打破ISP限制 實(shí)現(xiàn)企業(yè)內(nèi)VoIP通訊

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

近年來(lái)，基于IP技術(shù)的寬帶業(yè)務(wù)迅速得到普及，致使H.323多媒體通信系統(tǒng)不再僅限在專(zhuān)網(wǎng)用戶(hù)群中應(yīng)用，而且在那些基于Internet辦公的企業(yè)用戶(hù)也越來(lái)越得到青睞。伴隨著H.323系統(tǒng)應(yīng)用在Internet上的逐步普及，防火墻和NAT穿越這一老生常談的問(wèn)題遇到了新的挑戰(zhàn)，而且這一矛盾日益凸現(xiàn)出來(lái)。

相對(duì)于國(guó)外寬帶接入環(huán)境，中國(guó)寬帶網(wǎng)絡(luò)環(huán)境又具有自身的特性，使得我國(guó)企業(yè)用戶(hù)的H.323系統(tǒng)應(yīng)用同時(shí)還面臨著其它一些非技術(shù)性的障礙。技術(shù)上的和非技術(shù)上的障礙，導(dǎo)致視頻會(huì)議和VoIP應(yīng)用在企業(yè)中發(fā)展速度遠(yuǎn)遠(yuǎn)低于人們的預(yù)期。突破這些阻礙，將在一定程度上促進(jìn)視頻會(huì)議以及VoIP等IP應(yīng)用進(jìn)一步普及與發(fā)展。

你或許已經(jīng)了解到H.323協(xié)議在通信過(guò)程中，會(huì)為音視頻等多媒體數(shù)據(jù)動(dòng)態(tài)分配端口并產(chǎn)生和維護(hù)多個(gè)UDP數(shù)據(jù)流。這與很多企業(yè)防火墻策略制定相矛盾，即與傳統(tǒng)防火墻的固定端口限制和禁止向內(nèi)發(fā)起連接的基本策略相沖突。

不僅與此，眾所周知，目前除了美國(guó)以外，全球都面臨著IPv4地址空間極度匱乏的境況。然而大面積搭建IPv6也不是能夠在短期內(nèi)可以實(shí)現(xiàn)的。人們?yōu)榱私鉀Q這一棘手問(wèn)題，想了很多辦法，其中網(wǎng)址轉(zhuǎn)換(NAT)技術(shù)是解決這一問(wèn)題的最好的方法之一。可是企業(yè)用戶(hù)在采用NAT技術(shù)之后，會(huì)導(dǎo)致企業(yè)使用的IP語(yǔ)音和視頻設(shè)備僅有私有IP地址。由于這些地址在公眾網(wǎng)上不可路由，使企業(yè)購(gòu)買(mǎi)了視頻會(huì)議或者使VoIP設(shè)備，卻無(wú)法使用。

事實(shí)上，大多數(shù)機(jī)構(gòu)都同時(shí)使用了防火墻和NAT，因此企業(yè)用戶(hù)采用的VoIP解決方案必須是完整的，即一個(gè)方案要同時(shí)解決上述兩個(gè)問(wèn)題。

在傳統(tǒng)解決方案中，我們通常認(rèn)為有如下幾種解決辦法，每種方法各有優(yōu)劣：

1．使用PSTN網(wǎng)關(guān)
使用網(wǎng)關(guān)把局域網(wǎng)上的IP語(yǔ)音和視頻轉(zhuǎn)換為公共電路交換網(wǎng)上的PSTN語(yǔ)音和視頻。使用這樣一個(gè)網(wǎng)關(guān)就不用關(guān)心網(wǎng)絡(luò)防火墻的穿透問(wèn)題了，因?yàn)闆](méi)有數(shù)據(jù)包要通過(guò)防火墻和NAT設(shè)備。
但這樣的解決方案面臨設(shè)備復(fù)雜、連接麻煩、擴(kuò)展困難、功能單一等多種問(wèn)題，同時(shí)也失去了IP長(zhǎng)途通信的廉價(jià)優(yōu)勢(shì)，因此很少真正在實(shí)際案例中使用。

2．雙網(wǎng)口MCU
使用具有兩個(gè)網(wǎng)絡(luò)端口的MCU，一個(gè)網(wǎng)口連接內(nèi)部網(wǎng)絡(luò)，另一個(gè)端口直接連接外部公網(wǎng)。 這個(gè)解決方案雖在部署上比較簡(jiǎn)單，卻存在一個(gè)遺憾，即企業(yè)用戶(hù)在進(jìn)行點(diǎn)對(duì)點(diǎn)的呼叫時(shí)也得需要使用MCU，失去了VoIP的便捷性。同時(shí)，該解決方案還存在一個(gè)致命死穴--在網(wǎng)絡(luò)拓樸結(jié)構(gòu)中，MCU由于平行于防火墻設(shè)備，這將成為一個(gè)非常嚴(yán)重的安全隱患，一旦黑客攻擊了MCU，用戶(hù)內(nèi)部的網(wǎng)絡(luò)便完全透明。

3．H.323代理
H.323代理使一個(gè)呼叫過(guò)程看起來(lái)像兩個(gè)分離的呼叫過(guò)程：一個(gè)過(guò)程是從私有網(wǎng)上的終端到代理服務(wù)器，另一個(gè)過(guò)程是從代理服務(wù)器到公眾網(wǎng)上的終端。H.323代理通過(guò)對(duì)一個(gè)呼叫進(jìn)行中轉(zhuǎn)解決了NAT問(wèn)題。 H.323代理必須同時(shí)具備網(wǎng)守的代理功能和RTP/RTCP多媒體流的代理功能。
這種方案的最大問(wèn)題是沒(méi)有解決防火墻的問(wèn)題。

4．應(yīng)用層網(wǎng)關(guān)
企業(yè)可以采用應(yīng)用層網(wǎng)關(guān)（Application layer gateways），以解決防火墻和NAT穿透問(wèn)題。應(yīng)用層網(wǎng)關(guān)是具有指定IP協(xié)議（象H.323和SIP協(xié)議）識(shí)別功能的防火墻，也被叫做ALG Firewall。它可以對(duì)流入設(shè)備內(nèi)的數(shù)據(jù)包進(jìn)行深入分析，換種說(shuō)法就是，它不僅可以識(shí)別三層（路由層）數(shù)據(jù)，還可以對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行識(shí)別，通過(guò)分析數(shù)據(jù)通信內(nèi)容，從而可以動(dòng)態(tài)控制防火墻端口，以?xún)?nèi)容決定端口開(kāi)放與否。
這種解決方案的缺點(diǎn)就是加重了防火墻的處理任務(wù)，降低了網(wǎng)絡(luò)傳輸?shù)男剩锌赡艹蔀榫W(wǎng)絡(luò)傳輸潛在瓶頸。

5．虛擬專(zhuān)用網(wǎng)(VPN)
目前很多防火墻生產(chǎn)商提供防火墻產(chǎn)品，通常同時(shí)具備N(xiāo)AT和VPN功能。VPN功能可以使用戶(hù)的所有分支機(jī)構(gòu)和總部之間的通信如同在同一局域網(wǎng)之中一樣。從通信上來(lái)講，這種方案可以滿(mǎn)足視頻會(huì)議和VoIP的所有功能。
但作為企業(yè)網(wǎng)管人員的你需要注意是由于H.323本身要維護(hù)多條動(dòng)態(tài)連接，因此對(duì)防火墻的負(fù)載能力是否能夠滿(mǎn)足這種應(yīng)用需要進(jìn)行深入分析。一分錢(qián)一分貨，功能的增加勢(shì)必增加設(shè)備生產(chǎn)成本，從而引起用戶(hù)設(shè)備擁有成本的上升。

6．隧道穿透方案
隧道穿透解決方案由兩個(gè)組件構(gòu)成，Server和Client。Client放在防火墻內(nèi)的私有網(wǎng)，私有網(wǎng)內(nèi)的終端注冊(cè)到Client上，它和防火墻外的Server創(chuàng)建一個(gè)由內(nèi)向外的信令和控制通道，可以把所有的注冊(cè)和呼叫控制信令以及音視頻數(shù)據(jù)轉(zhuǎn)發(fā)到Server。同時(shí)，防火墻向內(nèi)網(wǎng)的通信，被模擬成由內(nèi)向外通信的反饋信息，從而順利穿越防火墻和NAT。Server處于公網(wǎng)上，扮演網(wǎng)守代理的角色，從Client收到的所有注冊(cè)和呼叫信令都被Server轉(zhuǎn)發(fā)到中心網(wǎng)守。
這個(gè)方法的缺點(diǎn)是所有經(jīng)過(guò)防火墻的通訊都必須經(jīng)由Server來(lái)進(jìn)行中轉(zhuǎn)，這會(huì)引起潛在的瓶頸，同時(shí)用戶(hù)必須為視頻會(huì)議系統(tǒng)額外添加代理設(shè)備。

以上幾種解決辦法都是從技術(shù)上解決防火墻和NAT問(wèn)題，但目前我國(guó)的用戶(hù)在實(shí)際使用中，還會(huì)遇到一些非技術(shù)性的問(wèn)題。一個(gè)是我國(guó)的寬帶網(wǎng)絡(luò)服務(wù)商同時(shí)扮演著電信服務(wù)商的角色。在Internet上的音視頻通信業(yè)務(wù)會(huì)對(duì)其原有的長(zhǎng)途業(yè)務(wù)帶來(lái)沖擊，因此很多寬帶網(wǎng)絡(luò)服務(wù)商會(huì)在自己網(wǎng)絡(luò)設(shè)備上進(jìn)行設(shè)置，從而屏蔽基于國(guó)際標(biāo)準(zhǔn)的音視頻通信協(xié)議，包括H.323和SIP協(xié)議。也就是說(shuō)，即便我們的企業(yè)用戶(hù)搭建的視頻會(huì)議和VoIP系統(tǒng)成功的解決了防火墻和NAT問(wèn)題，也可能由于電信服務(wù)商的封鎖而無(wú)法使用。

在上述的解決方案中，VPN和隧道穿越技術(shù)會(huì)將通信內(nèi)容進(jìn)行重新的封裝，因此這兩種方案可以在解決防火墻和NAT問(wèn)題的同時(shí)，避免被電信服務(wù)商查封的問(wèn)題。但這兩種方案均是邏輯的星形連接，因此所有的通信必須經(jīng)過(guò)中心的轉(zhuǎn)接，因此必須付出貸款的代價(jià)。（IT168）