1.單一網(wǎng)絡環(huán)境
如上圖,手機APP和IP話機通過SIP注冊消息,向服務器提供自身的IP地址,服務器將注冊地址保存起來,兩個終端互相通話沒有什么問題。
2. 服務器處于公網(wǎng)環(huán)境
NAT設備會將IP數(shù)據(jù)包頭的地址和端口,換成外網(wǎng)的地址和端口,但是服務器正常情況下采用的SIP注冊消息中攜帶的地址作為終端地址,此時兩個終端連注冊都無法成功,服務器在SIP注冊消息中獲取的是局域網(wǎng)IP地址,發(fā)出的200 OK無法抵達終端設備。
這里涉及三個角色,有各自的辦法可解決NAT穿透問題:
1)終端設備側
采用STUN服務,STUN的原理是:在公網(wǎng)上部署一個STUN服務器,位于NAT后面的客戶端設備向它發(fā)送一系列的UDP包先在NAT設備上“打洞”,STUN服務器取到UDP包的來源地址后,回送相關的消息告訴該客戶端它被映射的外網(wǎng)地址。使用STUN后,SIP消息的contact頭域中就可以直接填入外網(wǎng)地址。
注意,STUN技術在對稱型NAT設備中是無能為力的,因為學習到的外網(wǎng)IP地址會失效,此時需要和TURN中繼服務配合使用。
2)NAT設備側
應用層網(wǎng)關(ALG)是解決NAT對應用層協(xié)議無感知的一個最常用方法,已經(jīng)被NAT設備廠商廣泛采用,通過感知應用層協(xié)議,對報文深層的內容進行檢查,當發(fā)現(xiàn)任何形式表達的IP地址和端口時,將會把這些信息同步轉換,并且為這個新連接創(chuàng)建一個附加的轉換表項。
注意,NAT設備的ALG無法解決私有協(xié)議或加密協(xié)議的穿越問題。
3)服務器側
融合通信服務器通過開啟NAT檢測功能,內含nat.auto是一個ACL,包含了RFC1918規(guī)定的私網(wǎng)地址,并去掉了本地網(wǎng)絡的地址。當SIP終端注冊時,通過比較contact地址是否包含在此ACL中來判定該終端是否處于NAT背后,如果是那么它就把contact地址自動替換為SIP包的來源地址,信令就可以正常抵達。
3. 服務器處于內網(wǎng)NAT環(huán)境
當服務器處于內網(wǎng)環(huán)境時,服務器的解決辦法有:STUN、直接配置外網(wǎng)地址,同時服務器還支持Upnp協(xié)議,需要NAT設備支持該協(xié)議并開啟,該協(xié)議允許應用程序向NAT設備申請并管理內外網(wǎng)地址、端口映射。
之所以要配置端口轉發(fā),是因為NAT設備的特性決定了只能內網(wǎng)主機接觸過的外網(wǎng)主機才能向內發(fā)數(shù)據(jù),而融合通信系統(tǒng)首先發(fā)起注冊的是終端設備。
4.服務器和客戶頓都處于NAT環(huán)境
測試環(huán)境中很多都是這個網(wǎng)絡環(huán)境,但是實際部署的環(huán)境通常卻比較簡單。
這樣的結構,將解決NAT穿透的問題主要交給了服務器側,因為終端設備的種類多,無法讓所有終端都自行解決穿透問題。
