IP視頻會議技術中NAT的應用

    NAT給視頻會議帶來的問題：

    1、外網終端要訪問內網終端，必須在內網終端經過NAT后向外網終端發(fā)送數(shù)據(jù)包（即產生一個NAT“綁定”）后才行。換句話說，內網終端不能接受外網終端的主動性訪問。

    當然，這可以當成一種安全特性，但是NAT穿越的一個目的就是為了允許外網終端主動連接內部終端。

    2、一些視頻會議協(xié)議在信令消息中包含了源地址/端口的內容。這些源地址為遠端終端提供了返回包的目的地址。但是，由于內部終端使用的是私網地址，如果NAT不帶ALG

    （應用層網關），它將不會轉換這些內部地址。當外部終端接收到一個消息后，它無法將數(shù)據(jù)包轉發(fā)到在消息里的這個私網地址。

    3、在NAT綁定超時前內部主機來不及發(fā)送數(shù)據(jù)包。一些NAT強制將超時計時器設定短至1分鐘。

    4、NAT允許安全TLS（安全傳輸層協(xié)議）穿越。但是,NAT在IPSec下會產生問題。IPSec協(xié)議在IP層加密數(shù)據(jù)包。本地IP通道無法穿越NAT，因為IPSec要求IP包頭地址及端口

    保持不變。為了實現(xiàn)IPSec穿越NAT，終端必須通過UDP建立通道來傳輸IPSec包。這種NAT穿越稱作NAT-T（NAT-穿越在IKE）。RFC3947定義密鑰交換方法，RFC3948定義UDP封

    裝。管理員可以配置這種NAT通道，但是會增加一定的管理開銷。

    5、如果兩個終端都在一個NAT的后面，多數(shù)NAT不會允許這種“回頭”連接，即先NAT出去，然后又NAT進來。在這種情況下，兩個終端必須能夠識別他們在同一個私網，然

    后使用私網地址建立直接連接，而不是連接到NAT外面后使用公用地址。

    6.再者，如果兩個終端分處于不同企業(yè)，并且都在各自的NAT后面，可能會出現(xiàn)某種極端現(xiàn)象。比如兩個終端都使用同一個私有IP地址10.2.2.2,如果這兩個終端要交換消息,

    包含內部IP地址,它們將會使用跟與自己IP地址一樣的一個地址作為目的地址。

    NAT ALG

    除了在IP包頭進行地址映射,NAT可能使用到ALG來檢測信令消息協(xié)議頭部的IP地址/端口,然后將它們也映射出去。NAT ALG類似于防火墻ALG，不過NAT ALG實際上改變（映射）

    的是信令消息中的地址/端口。這種地址重寫被稱為fixup或者deep-packet重寫（華三設備叫做“深度檢測”）。像防火墻ALG那樣，NAT ALG同樣存在如下問題：

    1、管理員需要時時更新NAT固件，以使其理解視頻會協(xié)議的最新版本。

    2、NAT不能檢測加密的信令協(xié)議。雖然防火墻可以使用UDP ALG作為加密信令的替代解決方法，但NAT傳輸加密信令卻沒有相似的解決方法。因為NAT不能重寫協(xié)議中的地址，

    消息協(xié)議會中斷。一種解決辦法是每個終端發(fā)現(xiàn)自己的公網地址，然后直接進行相應的修正。