語(yǔ)音和視頻通訊如何穿越防火墻和NAT?

    另外，雖然VPN方案是很安全的，但它僅僅允許位于同一個(gè)VPN內(nèi)的設(shè)備進(jìn)行通訊，而無(wú)法與位于公眾網(wǎng)的終端用戶進(jìn)行通訊。

    6、隧道穿透方案

    一般企業(yè)網(wǎng)都不想升級(jí)或者改動(dòng)他們的防火墻和NAT設(shè)備的配置，也不想讓內(nèi)外的交互通訊繞過(guò)這些設(shè)備，采用允許IP語(yǔ)音和視頻穿越防火墻和NAT的隧道穿透方案也許是最合適的，目前提供此類解決方案的有美國(guó)的Ridgeway公司。
　
    隧道穿透解決方案由兩個(gè)組件構(gòu)成，Server軟件和Client軟件。Client放在防火墻內(nèi)的私有網(wǎng)，它同時(shí)具有網(wǎng)守功能和代理功能，私有網(wǎng)內(nèi)的終端注冊(cè)到Client上，它和防火墻外的Server創(chuàng)建一個(gè)信令和控制通道，可以把所有的注冊(cè)和呼叫控制信令轉(zhuǎn)發(fā)到Server，也把音視頻數(shù)據(jù)轉(zhuǎn)發(fā)到Server，在轉(zhuǎn)發(fā)時(shí)它把內(nèi)部終端發(fā)送的和外部發(fā)往終端的數(shù)據(jù)包的地址和端口號(hào)替換為自己的。Server放在防火墻外的公眾空間，可以位于服務(wù)提供商網(wǎng)絡(luò)或者位于企業(yè)網(wǎng)的DMZ區(qū)域，Server扮演網(wǎng)守代理的角色，從Client收到的所有注冊(cè)和呼叫信令都被Server轉(zhuǎn)發(fā)到中心網(wǎng)守。 　　

    Server和Client之間的通訊主要通過(guò)兩個(gè)固定的端口來(lái)傳輸數(shù)據(jù)，這兩個(gè)端口是2776和2777端口，被IANA機(jī)構(gòu)分配給Ridgeway的系統(tǒng)。

    當(dāng)私網(wǎng)內(nèi)Client啟動(dòng)時(shí)：

    1．它與Server上的2776端口建立一個(gè)固定連接用來(lái)傳送控制和狀態(tài)信息；

    2．它監(jiān)聽(tīng)私網(wǎng)內(nèi)H.323網(wǎng)守注冊(cè)和請(qǐng)求信息；

    當(dāng)一個(gè)終端啟動(dòng)時(shí)：

    1．終端通過(guò)Client/Server之間的連接發(fā)送注冊(cè)信息到中心網(wǎng)守；

    2．Server分配給每一個(gè)注冊(cè)的終端一個(gè)唯一的端口號(hào)（與Server的IP地址對(duì)應(yīng)）。 　　

    當(dāng)一個(gè)終端呼叫防火墻外的另一個(gè)終端時(shí)，所有的數(shù)據(jù)包都通過(guò)Client路由到Server，返回的數(shù)據(jù)也從Server通過(guò)Client路由回到終端。當(dāng)呼叫被建立后，Client確保所有必需的經(jīng)過(guò)防火墻的音視頻通道保持開(kāi)放，這樣音視頻數(shù)據(jù)可以通過(guò)這些防火墻上開(kāi)放的通道進(jìn)行傳輸。
　　
    使用用這種方法IP地址信息被很好的屏蔽，因?yàn)樗�有的�?shù)據(jù)包通過(guò)Server來(lái)路由轉(zhuǎn)發(fā)，每個(gè)終端好像看來(lái)在直接地和Server進(jìn)行通信，而不是和別的終端，這保證了終端的IP地址在網(wǎng)絡(luò)外不可得到。而且這種方法在大多數(shù)情況下不用對(duì)防火墻配置進(jìn)行任何修改。對(duì)于那些防火墻設(shè)置限制打開(kāi)向外的端口的情況，管理員可以創(chuàng)建簡(jiǎn)單的原則來(lái)允許從Client到Server上兩個(gè)固定的端口2776和2777的向外的連接。 　
　
    這個(gè)方法最大的缺點(diǎn)是所有經(jīng)過(guò)防火墻的通訊都必須經(jīng)由Server來(lái)進(jìn)行中轉(zhuǎn)，這會(huì)引起潛在的瓶頸，這個(gè)經(jīng)由Client和Server的過(guò)程會(huì)增加少于5ms的延遲。但是這又是必須的，因?yàn)镾erver是防火墻唯一信任的設(shè)備。