前言:
VoIP 刚推出之初期,受到各种因素之干扰,以致非常难用,需要经过繁复的设定才能使用。 最常见到的是某一边的使用者的电脑设定有问题导致单边没有声音,因此收话发话两端都必须是 电脑高手才能顺利进行双方通话。另外一个很大的限制是,收话发话两端都必须填入所用电脑的 IP地址, 才能让两方相连。对于在家中利用拨接或ADSL设备上网或在防火墙后面的使用者而言, 这是一项难以达成的任务,无论使用者或电脑本身都难以轻易获知其对外的IP位址。 这种现象一直等到Skype 推出之后才获得大幅改善,大大提高了 VoIP的可用度,使得一般的电脑使用者也可以很轻易的使用VoIP。即使使用者是在防火墙 之后,VoIP 也可以顺利运作,这是归功於「VoIP穿越NAT 防火墙」技术。
一、NAT以及防火墙介绍
NAT 是一种将内部IP 与外部IP互相转换之技术。其起源是因為 IPv4 位址稀少,而很多企业或网路公司在拥有少数IP 地址而公司内部确有太多电脑时 而采用共用IP 的解决方法,让一个IP 地址给多个电脑使用。如今最常见的 IP 分享器或无线区域网路Access Point 都有NAT 的功能。使用者利用 ADSL上网 后,拿到一个 IP 地址,而IP 分享器或WLAN AP 则将一组专供内部使用的私有IP , 通常是192.168.0.x,分配给所有内部电脑,内部每部电脑拥有一个192.168.0.x的IP 位址, 但WLAN AP 对外却只有一个由网路公司赋予的IP 位址。 通常NAT 是将每一部电脑所用的 (IP, port number), 本文称为内部位址,对应到 (共用IP, port number),本文称为外部位址, 而 NAT 负责将进出封包的表头进行转换使得内部电脑可以 透通的与外部网络连线沟通。
Firewall的基本策略:
Firewall会判断所有的包是来自内部(Inside)还是外部(Outside)。
允许所有来自inside的包发出去。
允许来自Outside的包发进来,但这个连接必须是由Inside发起的。
禁止所有连接由Outside发起的包发进来。
firewall会允许几个信任的outside主机,他们可以发起建立连接,并发包进来。
所有NAT和Firewall都是对于TCP/IP层以下进行处理和过滤的,而SIP应用的地址是在应用层。所以必须采用其他的途径来解决这一问题。
解决方案
针对不同的NAT类型,可以有不同的解决方案。
防火墙/NAT的种类
防火墙通常整合在NAT 裡面,根据所用的防火墙技术,NAT 可以分成 几类。主要分为如下四类:
下面说的地址表明IP,位址表明IP和Port
1、Full Cone
只是单纯的做位址转换,并未对进出的封包设限。
当一台私网内的主机向公网发一个包,其本地地址和端口是{A:B},NAT会将其私有地址{A:B}转换成公网地址{X:Y}并绑定。任何包都可以通过地址{X:Y}送到该主机的{A:B}地址上,NAT会将任何发送到{X:Y}的incoming包的地址{X:Y}转换成{A:B}。
其原理及运作方式如下图所示:
最低0.47元/天 解锁文章
1759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
