NGN：穿越NAT/FW等私網的解決方案

2007/01/22

1. 目前網上大量的NAT/FW設備因不具備ALG能力而需要更換或升級；



2. NGN業(yè)務的ALG生產廠商少，沒有一套產品特性需求基線；



3. NAT/FW設備廠商一般不是IP業(yè)務領域的專業(yè)廠商，難以支持業(yè)務的變化（如SIP的擴展多種多樣）；



4. 用戶普遍希望運營商在不改變已有網絡設備（NAT）的情況下就可以提供新的IP業(yè)務，用戶不愿意重新購買NAT/FW設備，更無法判斷各種ALG的可行性。

　　2.2 MidCom方案

　　MidCom（Middlebox Communications）方案是通過在第三方實體和FW/NAT之間建立中間盒來通信，使FW/NAT設備變?yōu)榭煽氐囊环N新的概念。MidCom包括MidCom Agent和Middlebox，Agent通過MidCom協(xié)議通知Middlebox建立相應的NAT映射表項。

　　一般情況下，Middlebox集成在NAT或FW設備中，Agent可在軟交換、代理服務器或終端上實現(xiàn)。

　　由于應用業(yè)務識別的智能從Middlebox移到外部的MidCom Agent上，因此，根據MidCom的架構，在不需要更改Middlebox基本特性的基礎上，通過對MidCom Agent的升級就可以支持更多的新業(yè)務。這是相對于NAT/ALG方式的一個很大的優(yōu)勢。

　　從安全性考慮，MidCom方式支持控制報文和媒體流的加密，因此安全性比較高。

　　2.3 協(xié)議修改

　　由于目前的多媒體應用協(xié)議無法穿越NAT/FW，因此可以考慮通過修改協(xié)議以適應NAT/FW。

　　對于H.323，SIP，MGCP，H.248等協(xié)議，為支持NAT/FW穿越而做的修改尚未形成標準，還在起步研究階段，因此本文不做詳細探討。

　　2.4 STUN方案

　　STUN（Simple Traversal of UDP Through NATs）是由IETF研制的一種UDP流協(xié)議穿透NAT的協(xié)議。位于內部網絡的STUN client（NAT內）通過UDP發(fā)送請求STUN消息給外部網絡的STUN Server（NAT外），STUN Server收到請求消息后產生響應消息（響應消息中攜帶請求消息的源端口，即STUN Client在NAT上對應的外部端口），響應消息通過NAT發(fā)送給STUN Client，STUN Client通過響應消息體中的內容得知其在NAT上對應的外部地址，然后將該地址填入以后的呼叫協(xié)議的UDP負載中，并且告知對端，本端的RTP接收地址和端口號為NAT外的地址和端口號。由于通過STUN協(xié)議已在NAT上預先建立媒體流的NAT映射表項，因此媒體流可順利穿越NAT。

　　需要注意的是，終端設備需要集成STUN Client功能，STUN Server可以集成在相應的應用所屬的部件上（如在NGN應用中可以集成到SoftSwtich上）或者是由獨立的設備提供。

　　STUN協(xié)議最大的優(yōu)點是無需現(xiàn)有NAT/FW設備做任何改動。目前，網絡中已有大量的NAT/FW，而且這些NAT/FW并不支持VoIP應用。如果采用MidCom或NAT/ALG方式，則需要替換現(xiàn)有的NAT/FW，實施起來難度較大，且MidCom方式無法實現(xiàn)對多級NAT的有效控制。如果采用STUN方式，不但無需改動NAT/FW，而且能夠很好地適應多個NAT串聯(lián)的網絡環(huán)境。

　　但STUN也有以下幾個方面的局限性：

1. 需要應用程序支持STUN Client的功能，即NGN的網絡終端需具備STUN Client功能；



2. STUN不支持TCP連接的穿越，也就表示不支持H.323協(xié)議；



3. STUN方案不支持NGN業(yè)務對FW的穿越，不能穿越對稱NAT（Symmetric NAT）類型（在安全性要求較高的企業(yè)網中，出口NAT通常就是采用這種類型）。

網絡通訊服務網