打破ISP限制 實現(xiàn)企業(yè)內(nèi)VoIP通訊

申請免費試用、咨詢電話：400-8352-114

近年來，基于IP技術(shù)的寬帶業(yè)務(wù)迅速得到普及，致使H.323多媒體通信系統(tǒng)不再僅限在專網(wǎng)用戶群中應(yīng)用，而且在那些基于Internet辦公的企業(yè)用戶也越來越得到青睞。伴隨著H.323系統(tǒng)應(yīng)用在Internet上的逐步普及，防火墻和NAT穿越這一老生常談的問題遇到了新的挑戰(zhàn)，而且這一矛盾日益凸現(xiàn)出來。

相對于國外寬帶接入環(huán)境，中國寬帶網(wǎng)絡(luò)環(huán)境又具有自身的特性，使得我國企業(yè)用戶的H.323系統(tǒng)應(yīng)用同時還面臨著其它一些非技術(shù)性的障礙。技術(shù)上的和非技術(shù)上的障礙，導(dǎo)致視頻會議和VoIP應(yīng)用在企業(yè)中發(fā)展速度遠遠低于人們的預(yù)期。突破這些阻礙，將在一定程度上促進視頻會議以及VoIP等IP應(yīng)用進一步普及與發(fā)展。

你或許已經(jīng)了解到H.323協(xié)議在通信過程中，會為音視頻等多媒體數(shù)據(jù)動態(tài)分配端口并產(chǎn)生和維護多個UDP數(shù)據(jù)流。這與很多企業(yè)防火墻策略制定相矛盾，即與傳統(tǒng)防火墻的固定端口限制和禁止向內(nèi)發(fā)起連接的基本策略相沖突。

不僅與此，眾所周知，目前除了美國以外，全球都面臨著IPv4地址空間極度匱乏的境況。然而大面積搭建IPv6也不是能夠在短期內(nèi)可以實現(xiàn)的。人們?yōu)榱私鉀Q這一棘手問題，想了很多辦法，其中網(wǎng)址轉(zhuǎn)換(NAT)技術(shù)是解決這一問題的最好的方法之一?？墒瞧髽I(yè)用戶在采用NAT技術(shù)之后，會導(dǎo)致企業(yè)使用的IP語音和視頻設(shè)備僅有私有IP地址。由于這些地址在公眾網(wǎng)上不可路由，使企業(yè)購買了視頻會議或者使VoIP設(shè)備，卻無法使用。

事實上，大多數(shù)機構(gòu)都同時使用了防火墻和NAT，因此企業(yè)用戶采用的VoIP解決方案必須是完整的，即一個方案要同時解決上述兩個問題。

在傳統(tǒng)解決方案中，我們通常認(rèn)為有如下幾種解決辦法，每種方法各有優(yōu)劣：

1．使用PSTN網(wǎng)關(guān)
使用網(wǎng)關(guān)把局域網(wǎng)上的IP語音和視頻轉(zhuǎn)換為公共電路交換網(wǎng)上的PSTN語音和視頻。使用這樣一個網(wǎng)關(guān)就不用關(guān)心網(wǎng)絡(luò)防火墻的穿透問題了，因為沒有數(shù)據(jù)包要通過防火墻和NAT設(shè)備。
但這樣的解決方案面臨設(shè)備復(fù)雜、連接麻煩、擴展困難、功能單一等多種問題，同時也失去了IP長途通信的廉價優(yōu)勢，因此很少真正在實際案例中使用。

2．雙網(wǎng)口MCU
使用具有兩個網(wǎng)絡(luò)端口的MCU，一個網(wǎng)口連接內(nèi)部網(wǎng)絡(luò)，另一個端口直接連接外部公網(wǎng)。 這個解決方案雖在部署上比較簡單，卻存在一個遺憾，即企業(yè)用戶在進行點對點的呼叫時也得需要使用MCU，失去了VoIP的便捷性。同時，該解決方案還存在一個致命死穴--在網(wǎng)絡(luò)拓樸結(jié)構(gòu)中，MCU由于平行于防火墻設(shè)備，這將成為一個非常嚴(yán)重的安全隱患，一旦黑客攻擊了MCU，用戶內(nèi)部的網(wǎng)絡(luò)便完全透明。

3．H.323代理
H.323代理使一個呼叫過程看起來像兩個分離的呼叫過程：一個過程是從私有網(wǎng)上的終端到代理服務(wù)器，另一個過程是從代理服務(wù)器到公眾網(wǎng)上的終端。H.323代理通過對一個呼叫進行中轉(zhuǎn)解決了NAT問題。 H.323代理必須同時具備網(wǎng)守的代理功能和RTP/RTCP多媒體流的代理功能。
這種方案的最大問題是沒有解決防火墻的問題。

4．應(yīng)用層網(wǎng)關(guān)
企業(yè)可以采用應(yīng)用層網(wǎng)關(guān)（Application layer gateways），以解決防火墻和NAT穿透問題。應(yīng)用層網(wǎng)關(guān)是具有指定IP協(xié)議（象H.323和SIP協(xié)議）識別功能的防火墻，也被叫做ALG Firewall。它可以對流入設(shè)備內(nèi)的數(shù)據(jù)包進行深入分析，換種說法就是，它不僅可以識別三層（路由層）數(shù)據(jù)，還可以對應(yīng)用層數(shù)據(jù)進行識別，通過分析數(shù)據(jù)通信內(nèi)容，從而可以動態(tài)控制防火墻端口，以內(nèi)容決定端口開放與否。
這種解決方案的缺點就是加重了防火墻的處理任務(wù)，降低了網(wǎng)絡(luò)傳輸?shù)男剩锌赡艹蔀榫W(wǎng)絡(luò)傳輸潛在瓶頸。

5．虛擬專用網(wǎng)(VPN)
目前很多防火墻生產(chǎn)商提供防火墻產(chǎn)品，通常同時具備NAT和VPN功能。VPN功能可以使用戶的所有分支機構(gòu)和總部之間的通信如同在同一局域網(wǎng)之中一樣。從通信上來講，這種方案可以滿足視頻會議和VoIP的所有功能。
但作為企業(yè)網(wǎng)管人員的你需要注意是由于H.323本身要維護多條動態(tài)連接，因此對防火墻的負(fù)載能力是否能夠滿足這種應(yīng)用需要進行深入分析。一分錢一分貨，功能的增加勢必增加設(shè)備生產(chǎn)成本，從而引起用戶設(shè)備擁有成本的上升。

6．隧道穿透方案
隧道穿透解決方案由兩個組件構(gòu)成，Server和Client。Client放在防火墻內(nèi)的私有網(wǎng)，私有網(wǎng)內(nèi)的終端注冊到Client上，它和防火墻外的Server創(chuàng)建一個由內(nèi)向外的信令和控制通道，可以把所有的注冊和呼叫控制信令以及音視頻數(shù)據(jù)轉(zhuǎn)發(fā)到Server。同時，防火墻向內(nèi)網(wǎng)的通信，被模擬成由內(nèi)向外通信的反饋信息，從而順利穿越防火墻和NAT。Server處于公網(wǎng)上，扮演網(wǎng)守代理的角色，從Client收到的所有注冊和呼叫信令都被Server轉(zhuǎn)發(fā)到中心網(wǎng)守。
這個方法的缺點是所有經(jīng)過防火墻的通訊都必須經(jīng)由Server來進行中轉(zhuǎn)，這會引起潛在的瓶頸，同時用戶必須為視頻會議系統(tǒng)額外添加代理設(shè)備。

以上幾種解決辦法都是從技術(shù)上解決防火墻和NAT問題，但目前我國的用戶在實際使用中，還會遇到一些非技術(shù)性的問題。一個是我國的寬帶網(wǎng)絡(luò)服務(wù)商同時扮演著電信服務(wù)商的角色。在Internet上的音視頻通信業(yè)務(wù)會對其原有的長途業(yè)務(wù)帶來沖擊，因此很多寬帶網(wǎng)絡(luò)服務(wù)商會在自己網(wǎng)絡(luò)設(shè)備上進行設(shè)置，從而屏蔽基于國際標(biāo)準(zhǔn)的音視頻通信協(xié)議，包括H.323和SIP協(xié)議。也就是說，即便我們的企業(yè)用戶搭建的視頻會議和VoIP系統(tǒng)成功的解決了防火墻和NAT問題，也可能由于電信服務(wù)商的封鎖而無法使用。

在上述的解決方案中，VPN和隧道穿越技術(shù)會將通信內(nèi)容進行重新的封裝，因此這兩種方案可以在解決防火墻和NAT問題的同時，避免被電信服務(wù)商查封的問題。但這兩種方案均是邏輯的星形連接，因此所有的通信必須經(jīng)過中心的轉(zhuǎn)接，因此必須付出貸款的代價。（IT168）