NAT构筑于企业防火墙,担当着网络“守护神”的作用,它是公司内部LAN与外部Internet连接的分界线。
如今人们又将NAT引入一个新的应用领域,这就是VoIP安全应用。
作为一类标准Internet技术,NAT能实现让内部LAN通信运用一套IP地址,而外部通信采用另一套IP地址。这在现行IPv4协议环境下意义重大,因为受到标题域限制,该协议方式用于标识终端站点的全球IP相当有限。通过分离Internet(公共域)与LAN(专用域)地址,相对于单一的全球地址分配机制来说,很多地址可以节省下来。
但如果某个终端用户的专用地址不为LAN以外的其他用户知晓,外部数据流如何才能传送到目标呢?这就是NAT要解决的问题。运用NAT技术,IT主管只需要为整个LAN分配一个公用IP地址,这个地址配置于防火墙,用于接收所有外部通信。防火墙运用NAT对输入通信的IP地址标题进行处理,公用地址随后被LAN中预定进行通信的终端用户专用地址所取代(如果输入通信不符合防火墙配置策略,则将其阻塞)。采用这种方式,网络主管能够运用未注册IP地址连接到Internet,并能与所需的终端用户进行正常通信。
NAT技术近年来一直被广泛采纳。一些开发商已引入称为会话边界控制的新技术,它专注于P2P IP应用,这类应用必须穿越防火墙,如VoIP、桌面视频会议、协作计算、在线游戏以及Napster方式共享播放MP3音乐。NAT技术在其中扮演着十分重要的角色,如保证VoIP通信安全和增强QoS及任何VoIP网必备的可管理特性。
实现安全VoIP通信
很明显,传统的防火墙无法与VoIP协同工作。通常的防火墙配置只接收经内部网请求,或说防火墙信任的外部通信,而VoIP呼叫可以是来自任何未知或未经请求的一方。由于这类呼叫不属于任何一类内部通信请求,因而会被阻塞于外。而且,即使输入通信获得通过,防火墙/NAT也无法确定与哪个终端(合适的IP地址)建立呼叫。
会话边界控制器在服务提供商网络中的工作流程
这是因为语音通信中同时包含了数据流和信号流,语音呼叫信息组成了数据流,而信号流则进行呼叫建立和控制,依据的信号协议通常是 H.323 、会话初始协议( SIP )或媒体网关控制协议( MGCP )。信号信息很容易通过防火墙,因为一般可预留少量端口用于呼叫接入。而对于呼叫本身,由于是基于实时协议( RTP )和采用动态分配 UDP 端口方式,而不是通常情况下防火墙针对特定用户或应用采用的静态分配方式,因而让 VoIP 呼叫接入通过意味着为所有通信打开了通道。
同样, NAT 本身也不能识别输入信号信息包类型。端点间 VoIP 会话携带有三组双向数据流:信号信息,用于创建、修改和终止会话;包含语音或视频通信的 RTP 媒体,依据端点动态分配通信端口传输;媒体统计信息,用于测定会话质量。这些信息包具有呼叫方 LAN 的专用地址,同时它们所携带的相应公用地址又无法为 NAT 设备所识别,因而也就无法通过。
SBC 担当防火墙
解决这类问题的原理,一是通过在内部为将输出的信号信息包调整专用 IP 地址,二是为输入信息包创建相关信息列表。简言之,就是利用一类新型设备来更改对等( P2P )通信单元,将它们变换为类似客户端 / 服务器的协议通信模式,以使网络边界设备能够识别。
为什么采用这类方法?这得从 VoIP 设计原理说起。 VoIP 自推出以来,已广泛应用于服务提供商核心网,在一些企业 LAN 中也有一定程度应用(通过 IP PBX 实现)。但这类 IP 信息包在整个网络中并不是连续的,因为网络边缘的接入连接通常是采用电路交换 TDM ,因而 VoIP 信号在一定程度上是一类 “ 孤立 ” 信息包,它脱离不了传统的 PSTN 架构。当呼叫信号以 IP PBX 方式发出时,必须转换为 TDM 方式传输到服务提供商 IP 核心网,随后又被转换为纯 IP 信号方式。这种来回 “ 倒换 ” 需要媒体网关的参与,而且会增加时延,降低 QoS ,最终影响到客户服务,增加服务提供商应用成本(有服务商称,信号转换使通信成本增加到差不多是纯内部 IP 通信的五倍)。使 IP 流以内部信号方式遍历整个分离 IP 网,而不需要在网络边缘将其转换为 TDM 信号,这个处理过程称为内部 IP 对等( P2P IP )操作。
实现 P2P IP 操作的处理过程是相当复杂的,它必须使 P2P 通信流像客户端 / 服务器通信流那样畅行无阻,同时提高效率。在网络边缘实现 TDM 到 IP 转换的功能部件称为会话边界控制器( SBC )。 SBC 可位于现行防火墙的前端,专注于处理大量 VoIP 作业,以减轻防火墙负荷。它还可工作于服务提供商的本地接入网,用于管理 IP 业务,如 IP Centrex 。所有输入通信流都经过 SBC , SBC 在内部 LAN 与 Internet 之间建立了一种仲裁机制,这是通过修改双向信号和封装包来实现的。目标防火墙接收经修正的控制信号和媒体流,然后转发到预定的 LAN 地址,即使这个地址是专用的。这个处理过程又称为远端遍历,因为输出信息包得遍历终端用户防火墙。防火墙负责区分输入呼叫是否带恶意性质。
可将 SBC 视为一类具备 VoIP 功能的防火墙,只是功能实现更为复杂。更进一步讲,它能实现以每次会话为基础的 P2P IP 操作,视需要通过修改 IP 包标题,使之能够通过网络边界。 SBC 对等操作在第 5 和第 7 层实现,它能处理第 5 层会话信号协议以维持一次会话的状态信息,这在修改地址标题用于远端遍历时显得至关重要。 SBC 中的 “ 边界 ” 指 LAN 与 Internet 间的分界线。
SBC 为 VoIP 而设计
SBC 性能参数体现在以下四个方面:安全性、 QoS 及服务级别( SLA )保证、信号协议互联及服务规则。
其中安全性是 SBC 应解决的主要课题。 SBC 必须具备防火墙 /NAT 遍历、在第 5 层(会话层)和第 3 层(网络层)隐藏网络拓扑以及网络资源保护功能;必要时通过关闭信号及媒体会话端口,防止出现安全漏洞。另外,还需集成更多现行和将来可用到的安全特性,包括入侵检测、带宽控制策略、保护会话不被窃取、防止 RTP 流拥塞和呼叫干扰,以及源 IP 地址隐藏的识别。
QoS 及 SLA 保证对于客户意义重大。 SBC 必须负责媒体流的生成和维护,解决相关 QoS 需求。服务提供商网的边缘路由器支持大部分 IP 服务类别( CoS )、排队和通信管理技术,但并不能保证基于会话层信号信息的 QoS ,因为这包括用于呼叫建立、终止以及路由控制的特定标识符和指令。因而,通过基于会话认可控制策略接受或拒绝呼叫,来管理实时通信命令是完全必要的。在跨国 IP 通信服务环境下,服务提供商必须构建合适的呼叫路由和 QoS 参数,并能透过网络边界共享呼叫情况记录。系统不具备这些功能,服务提供商就没法对 SLA 实施监控,也就无法保证 IP 对 IP 环境下的服务质量。简言之, SBC 必须能够在出现过多终端用户接入和传输链接的情况下,防止带宽拥塞,保证良好 QoS 。
信号协议互联是实现 IP 对等操作的基础,因为分离 IP 网可能用到的是不同的信号协议。如今占主导地位的信号协议是 H.323 ,由于 SIP 相对简单、可扩展性强且效率要高,将来极有可能取而代之。而且,很多新型 VoIP 方案将基于 SIP 来实现,因为如今大多数软交换机、 IP 电话和媒体网关都侧重于采用 SIP 。另外,支持 MGCP 和 H.248 协议也相当重要。
最后,需要一定的通信规章来约束这类新兴通信运营(包括企业客户)服务模式,其中重要一点就是保存呼叫识别和内容记录。这点于普通客户意义尤为重大,而开发商在实现方面还很难做到统一,这就需要一个明确规范。
SBC 技术的市场开发已初露端倪,其中包括 Acme Packet 、 Kagoor Networks 、 Netrake 、 Jasomi Networks 以及 NexTone 。 Aravox 自被 Alcatel 收购起,就在从事这方面的开发。防火墙市场的领军人物 Cisco 、 NetScreen 和 Check Point 都声称已开发出低层专有 VoIP 解决方案,目前正向高层发展。
Acme Packet 的方案最为出名,它的 Session Director 可用于服务提供商网,也适用于大型企业客户。 Session Director 支持主机 NAT 遍历,信号会话能遍历现行前端 NAT/ 防火墙,而不需要作配置变更。
从网络拓扑角度来说, SBC 比较适合于企业网。防火墙是企业网中必不可少的临界作业网络处理单元, SBC 能与现行企业防火墙协同工作,因而大大减少了手工配置各类规则的工作量,也不需要针对 LAN 应用和 VoIP 接入更改网络设置。
SBC 位于防火墙之前,大大降低了主防火墙处理 VoIP 通信作业的负荷,使网络单元 “ 各司其职 ” 。相对单一的设备,降低了 VoIP 通信处理时延。由于位于防火墙前, SBC 还能隐藏 LAN 拓扑,防止网络拓扑通过可能的请求方法(嵌于 IP 标题中)泄漏出去,暴露专用地址。
4434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
