NAT/ALG 方式
普通NAT是通過修改UDP或TCP報文頭部地址信息實現地址的轉換,但對於VOIP應用,在TCP/UDP淨載中也需帶地址信 息,ALG方式是指在私網中的VOIP終端在淨載中填寫的是其私網地址,此地址信息在通過NAT時被修改為NAT上對外的地址。
此時當然要求ALG功能駐留在NAT/Firewall設備中,要求這些設備本身具備應用識別的智能。支持IP 語音和視頻協議( H323、SIP、MGCP/H248)的識別和對NAT/Firewall的控制,同時每增加一種新的應用都 將需要對NAT/Firewall進行升級。 <br><br>在安全要求上還需要作一些折衷,因為ALG 不能識別加密後的報文內容,所以必須保證報文采用明文傳送,這使得報文在公網中傳送時有很大的安全隱患。 NAT/ALG是支持VOIP NAT穿透的一種最簡單的方式,但由於網絡實際情況是已部署了大量的不支持此種特性的NAT/FW設備,因此,實際應用中,很難 采用這種方式。
MIDCOM 方式
與NAT/ALG不同的是,MIDCOM的基本框架是采用可信的第三方(MIDCOM Agent)對Middlebox (NAT/FW)進行控制,VOIP協議的識別不由Middlebox完成,而是由外部的MIDCOM Agent完成,因此VOIP使用的協議對Middlebox是透明的 .
由於識別應用協議的功能從Middlebox移到外部的MIDCOM Agent上,根據MIDCOM 的構,在不需要更改Middlebox基本特性的基礎上,通過對MIDCOM Agent的升級就可以支持更多的新業務,這是相對NAT/ALG方式的一個很大的優勢。
在VOIP實際應用中,Middlebox功能可駐留在NAT/Firewall,通過軟交換設 備(即MIDCOM Agent)對IP語音和視頻協議(H323、SIP、MGCP/H248)的識別和對NAT/Firewall的控制,來完成 VOIP應用穿越NAT/Firewall . 在安全性上,MIDCOM方式可支持控制報文的加密,可支持媒體流的加密,因此安全性比較高。
如果在軟交換設 備上實現對SIP/H323/MGCP/H248協議的識別,就只需在軟交換和NAT/FW設備上增加MIDCO M協議即可,而且以後新的應用業務識別隨著軟交換的支持而支持,此方案是一種比較有前途的解決方案,但要求現有的NAT/FW設 備需升級支持MIDCOM協議,從這一點上來說,對已大量布署的NAT/FW設備來說,也是很困難的,同NAT/ALG方式有相 同的問題。
STUN 方式
解決穿透NAT問題的另一思路是,私網中的VOIP終端通過某種機制預先得到出口NAT上的對外地址,然後在淨載中所填寫的地址 信息直接填寫出口NAT上的對外地址,而不是私網內終端的私有IP地址,這樣淨載中的內容在經過NAT時就無需被修改了,只需按 普通NAT流程轉換報文頭的IP地址即可,淨載中的IP地址信息和報文頭地址信息是一致的。STUN協議就是基於此思路來解決應 用層地址的轉換問題。
STUN的全稱是Simple Traversal of UDP Through Network Address Translators,即UDP對NAT的簡單穿越方式。 應用程序(即STUN CLIENT)向NAT外的STUN SERVER通過UDP發送請求STUN 消息,STUN SERVER收到請求消息,產生響應消息,響應消息中攜帶請求消息的源端口,即STUN CLIENT在NAT上對應的外部端口。<br><br>然後響應消息通過NAT發送給STUN CLIENT,STUN CLIENT通過響應消息體中的內容得知其NAT上的外部地址,並將其填入以後呼叫協議的UDP負載中,告知對端,本端的RTP 接收地址和端口號為NAT外部的地址和端口號。由於通過STUN協議已在NAT上預先建立媒體流的NAT映射表項,故媒體流可順 利穿越NAT.
STUN協議最大的優點是無需現有NAT/FW設備做任何改動。由於實際應用中,已有大量的NAT/FW,並且這些NAT/FW 並不支持VoIP的應用,如果用MIDCOM或NAT/ALG方式來解決此問題,需要替換現有的NAT/FW,這是不太容易的。 <br><br>而采用STUN方式無需改動NAT/FW,這是其最大優勢,同時STUN方式可在多個NAT串聯的網絡環境中使 用,但MIDCO M方式則無法實現對多級NAT的有效控制。