網(wǎng)絡(luò)技術(shù) - VoIP穿越NAT和防火墻的方法

VOIP主要內(nèi)容VoIP的協(xié)議2VOIP配置4VoIP概述31VoIP穿越NAT和防火墻的方法33VoIP的定義VoIP（VoiceoverInternetProtocol：互連網(wǎng)語音）是一種以IP電話為主，并推出相應(yīng)的增值業(yè)務(wù)的技術(shù)。VoIP最大的優(yōu)勢是能廣泛地采用Internet和全球IP互連的環(huán)境，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù)。

VoIP互傳語音訊號的流程發(fā)話端的模擬語音信號進行編碼語音封包加以壓縮、添加地址及控制信息傳輸IP封包IP封包譯碼還原轉(zhuǎn)換成模擬音頻信號VoIP架構(gòu)的基本元素媒體網(wǎng)關(guān)器MediaGateway主要扮演將語音信號轉(zhuǎn)換成為IP封包的角色。媒體網(wǎng)關(guān)控制器MediaGatewayController主要負責(zé)管理訊號傳輸與轉(zhuǎn)換的工作。語音服務(wù)器主要提供電話不通、占線或忙線時的語音響應(yīng)服務(wù)。信號網(wǎng)關(guān)器SignalingGateway主要工作是在交換過程中進行相關(guān)控制，以決定通話建立與否，以及提供相關(guān)應(yīng)用的增值服務(wù)。VoIP的工作原理媒體網(wǎng)關(guān)器先將語音轉(zhuǎn)換為IP封包，然后交由媒體網(wǎng)關(guān)控制器加以控制管理，并決定IP封包在網(wǎng)絡(luò)中的傳送路徑。至于信號網(wǎng)關(guān)器則負責(zé)將SS7信號格式轉(zhuǎn)換為IP封包。VoIP必須達到的要求服務(wù)品質(zhì)（QoS）之保證99.9999％的高可用性（HighAvailable；HA）開放性及兼容性可管理性與安全性問題多媒體應(yīng)用VoIP的協(xié)議VoIP三大協(xié)議比較表H.323SIPMGCP擬定組織ITU-TIETFIETF架構(gòu)P2PP2P主從式設(shè)計對象ISDN及ATMInternetGatewayQoS無有N/A復(fù)雜度高低主從式擴充性低高中延伸性中高低編碼二進制基于文本N/A常見的VoIP產(chǎn)品VoIP軟件VoIP網(wǎng)絡(luò)電話VoIP網(wǎng)關(guān)器VoIPPBXVoIP穿越NAT和防火墻的方法NAT/ALG方式MIDCOM方式STUN方式TURN方式VPDNNAT/ALG方式普通NAT是通過修改UDP或TCP報文頭部地址信息實現(xiàn)地址的轉(zhuǎn)換，但對于VOIP應(yīng)用，在TCP/UDP凈載中也需帶地址信息，ALG方式是指在私網(wǎng)中的VOIP終端在凈載中填寫的是其私網(wǎng)地址，此地址信息在通過NAT時被修改為NAT上對外的地址。缺點：1、明文傳送不能加密，報文在公網(wǎng)中傳送時有很大的安全隱患。2、設(shè)備不支持，應(yīng)用困難。MIDCOM方式MIDCOM的基本框架是采用可信的第三方（MIDCOMAgent）對Middlebox（NAT/FW）進行控制，VOIP協(xié)議的識別不由Middlebox完成，而是由外部的MIDCOMAgent完成，因此VOIP使用的協(xié)議對Middlebox是透明的。支持報文加密是一種比較有前途的解決方案，但對舊設(shè)備的支持性不好STUN方式STUN方式優(yōu)點：無需現(xiàn)有NAT/FW設(shè)備做任何改動。同時STUN方式可在多個NAT串聯(lián)的網(wǎng)絡(luò)環(huán)境中使用。缺點：需要VOIP終端支持STUNCLIENT的功能，同時STUN并不適合支持TCP連接的穿越，因此不支持H323。另外STUN方式不支持對防火墻的穿越，不支持對稱NAT（SymmetricNAT）類型TURN方式TURN的全稱為TraversalUsingRelayNAT，即通過Relay方式穿越NAT。TURN應(yīng)用模型通過分配TURNServer的地址和端口作為私網(wǎng)中VOIP終端對外的接受地址和端口，即私網(wǎng)終端發(fā)出的報文都要經(jīng)過TURNServer進行Relay轉(zhuǎn)發(fā)。TURN的局限性在于需要VOIP終端支持TURNClient。所有報文都必須經(jīng)過TURNServer轉(zhuǎn)發(fā)，增大了包的延遲和丟包的可能性。VPDNVPDN是基于撥號接入（PSTN、ISDN）的虛擬專用撥號網(wǎng)業(yè)務(wù)。VPDN采用專用的網(wǎng)絡(luò)安全和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立相對安全的虛擬專網(wǎng)。VPN用戶可以經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的安全通道和用戶內(nèi)部的用戶網(wǎng)絡(luò)進行連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問用戶網(wǎng)絡(luò)內(nèi)部的資源。VOIP配置實例VOIP配置實例上海路由器的配置Router(config)#hostnameShanghaiShanghai(config)#interfaceserial1/2Shanghai(config-if)#ipaddress202.121.1.2255.255.255.0Shanghai(config-if)#encapsulationpppShanghai(config-if)#noshutdownShanghai(config)#dial-peervoice12pots/*建立一個語音接口Shanghai(config-dial-peer)#destination-pattern0212222/*為語音接口分配電話號碼Shanghai(config-dial-peer)#port2/0/*為編號為0的語音接口分配電話號碼0212222Shanghai(config-dial-peer)#exit/*退出語音接口狀態(tài)Shanghai(config)#dial-peervoice11voip/*配置VIOP撥號對等體Shanghai(config-dial-peer)#destination-pattern0101111/*配置對方電話號碼Shanghai(config-dial-peer)#sessiontargetipv4:202.121.1.1/*配置對方IP地址VOIP配置實例北京路由器的配置Router(config)#hostnameBeijingBeijing(config)#interfaceserial1/2Beijing(config-if)#ipaddress202.121.1.1255.255.255.0Beijing(config-if)#encapsulationpppBeijing(config-if)#clockrate64000Beijing(config-if)#noshutdownBeijing(config)#dial-peervoice11pots/*建立一個語音接口Beijing(config-dial-peer)#destination-pattern0101111/*為語音接口分配電話號碼Beijing(config-dial-peer)#port2/0/*為編號為0的語音接口分配電話號碼02021Beijing(config-dial-peer)#exit/*退出語音接口狀態(tài)Beijing(config)#dial-peervoice12voip/*配置VIOP撥號對等體Beijing(config-dial-peer)#destination-pattern0212222/*配置對方電話號碼Beijing(config-dial-peer)#sessiontargetipv4:202.121.1.2/*配置對方IP地址網(wǎng)絡(luò)電話配置及應(yīng)用實例按照網(wǎng)絡(luò)電話說明書，在網(wǎng)絡(luò)電話上查看本機的IP地址登入網(wǎng)絡(luò)電話的界面，查看和配置IP參數(shù)符合網(wǎng)絡(luò)要求注冊電話號碼簿拿起網(wǎng)絡(luò)電話的聽筒，