打破ISP限制 實現企業(yè)內VoIP通訊

申請免費試用、咨詢電話：400-8352-114

近年來，基于IP技術的寬帶業(yè)務迅速得到普及，致使H.323多媒體通信系統(tǒng)不再僅限在專網用戶群中應用，而且在那些基于Internet辦公的企業(yè)用戶也越來越得到青睞。伴隨著H.323系統(tǒng)應用在Internet上的逐步普及，防火墻和NAT穿越這一老生常談的問題遇到了新的挑戰(zhàn)，而且這一矛盾日益凸現出來。

相對于國外寬帶接入環(huán)境，中國寬帶網絡環(huán)境又具有自身的特性，使得我國企業(yè)用戶的H.323系統(tǒng)應用同時還面臨著其它一些非技術性的障礙。技術上的和非技術上的障礙，導致視頻會議和VoIP應用在企業(yè)中發(fā)展速度遠遠低于人們的預期。突破這些阻礙，將在一定程度上促進視頻會議以及VoIP等IP應用進一步普及與發(fā)展。

你或許已經了解到H.323協議在通信過程中，會為音視頻等多媒體數據動態(tài)分配端口并產生和維護多個UDP數據流。這與很多企業(yè)防火墻策略制定相矛盾，即與傳統(tǒng)防火墻的固定端口限制和禁止向內發(fā)起連接的基本策略相沖突。

不僅與此，眾所周知，目前除了美國以外，全球都面臨著IPv4地址空間極度匱乏的境況。然而大面積搭建IPv6也不是能夠在短期內可以實現的。人們?yōu)榱私鉀Q這一棘手問題，想了很多辦法，其中網址轉換(NAT)技術是解決這一問題的最好的方法之一。可是企業(yè)用戶在采用NAT技術之后，會導致企業(yè)使用的IP語音和視頻設備僅有私有IP地址。由于這些地址在公眾網上不可路由，使企業(yè)購買了視頻會議或者使VoIP設備，卻無法使用。

事實上，大多數機構都同時使用了防火墻和NAT，因此企業(yè)用戶采用的VoIP解決方案必須是完整的，即一個方案要同時解決上述兩個問題。

在傳統(tǒng)解決方案中，我們通常認為有如下幾種解決辦法，每種方法各有優(yōu)劣：

1．使用PSTN網關
使用網關把局域網上的IP語音和視頻轉換為公共電路交換網上的PSTN語音和視頻。使用這樣一個網關就不用關心網絡防火墻的穿透問題了，因為沒有數據包要通過防火墻和NAT設備。
但這樣的解決方案面臨設備復雜、連接麻煩、擴展困難、功能單一等多種問題，同時也失去了IP長途通信的廉價優(yōu)勢，因此很少真正在實際案例中使用。

2．雙網口MCU
使用具有兩個網絡端口的MCU，一個網口連接內部網絡，另一個端口直接連接外部公網。 這個解決方案雖在部署上比較簡單，卻存在一個遺憾，即企業(yè)用戶在進行點對點的呼叫時也得需要使用MCU，失去了VoIP的便捷性。同時，該解決方案還存在一個致命死穴--在網絡拓樸結構中，MCU由于平行于防火墻設備，這將成為一個非常嚴重的安全隱患，一旦黑客攻擊了MCU，用戶內部的網絡便完全透明。

3．H.323代理
H.323代理使一個呼叫過程看起來像兩個分離的呼叫過程：一個過程是從私有網上的終端到代理服務器，另一個過程是從代理服務器到公眾網上的終端。H.323代理通過對一個呼叫進行中轉解決了NAT問題。 H.323代理必須同時具備網守的代理功能和RTP/RTCP多媒體流的代理功能。
這種方案的最大問題是沒有解決防火墻的問題。

4．應用層網關
企業(yè)可以采用應用層網關（Application layer gateways），以解決防火墻和NAT穿透問題。應用層網關是具有指定IP協議（象H.323和SIP協議）識別功能的防火墻，也被叫做ALG Firewall。它可以對流入設備內的數據包進行深入分析，換種說法就是，它不僅可以識別三層（路由層）數據，還可以對應用層數據進行識別，通過分析數據通信內容，從而可以動態(tài)控制防火墻端口，以內容決定端口開放與否。
這種解決方案的缺點就是加重了防火墻的處理任務，降低了網絡傳輸的效率，有可能成為網絡傳輸潛在瓶頸。

5．虛擬專用網(VPN)
目前很多防火墻生產商提供防火墻產品，通常同時具備NAT和VPN功能。VPN功能可以使用戶的所有分支機構和總部之間的通信如同在同一局域網之中一樣。從通信上來講，這種方案可以滿足視頻會議和VoIP的所有功能。
但作為企業(yè)網管人員的你需要注意是由于H.323本身要維護多條動態(tài)連接，因此對防火墻的負載能力是否能夠滿足這種應用需要進行深入分析。一分錢一分貨，功能的增加勢必增加設備生產成本，從而引起用戶設備擁有成本的上升。

6．隧道穿透方案
隧道穿透解決方案由兩個組件構成，Server和Client。Client放在防火墻內的私有網，私有網內的終端注冊到Client上，它和防火墻外的Server創(chuàng)建一個由內向外的信令和控制通道，可以把所有的注冊和呼叫控制信令以及音視頻數據轉發(fā)到Server。同時，防火墻向內網的通信，被模擬成由內向外通信的反饋信息，從而順利穿越防火墻和NAT。Server處于公網上，扮演網守代理的角色，從Client收到的所有注冊和呼叫信令都被Server轉發(fā)到中心網守。
這個方法的缺點是所有經過防火墻的通訊都必須經由Server來進行中轉，這會引起潛在的瓶頸，同時用戶必須為視頻會議系統(tǒng)額外添加代理設備。

以上幾種解決辦法都是從技術上解決防火墻和NAT問題，但目前我國的用戶在實際使用中，還會遇到一些非技術性的問題。一個是我國的寬帶網絡服務商同時扮演著電信服務商的角色。在Internet上的音視頻通信業(yè)務會對其原有的長途業(yè)務帶來沖擊，因此很多寬帶網絡服務商會在自己網絡設備上進行設置，從而屏蔽基于國際標準的音視頻通信協議，包括H.323和SIP協議。也就是說，即便我們的企業(yè)用戶搭建的視頻會議和VoIP系統(tǒng)成功的解決了防火墻和NAT問題，也可能由于電信服務商的封鎖而無法使用。

在上述的解決方案中，VPN和隧道穿越技術會將通信內容進行重新的封裝，因此這兩種方案可以在解決防火墻和NAT問題的同時，避免被電信服務商查封的問題。但這兩種方案均是邏輯的星形連接，因此所有的通信必須經過中心的轉接，因此必須付出貸款的代價。（IT168）