基于SIP的分布式VoIP防火墻-NAT穿越架構(gòu).pdf

1、隨著網(wǎng)絡(luò)應(yīng)用的迅猛發(fā)展，VoIP 技術(shù)得到了廣泛應(yīng)用。但是，為解決IP 地址不足以及網(wǎng)絡(luò)安全問題而提出的網(wǎng)絡(luò)地址翻譯(Network Address Translation, NAT)技術(shù)和防火墻技術(shù)卻導(dǎo)致了VoIP 的端到端通信問題。如何有效解決信令、媒體流的防火墻/NAT 穿越問題，將是VoIP 業(yè)務(wù)能否廣泛推廣應(yīng)用的關(guān)鍵。論文主要針對防火墻/NAT穿越展開深入研究，在現(xiàn)今最熱門會(huì)話邊界控制器(Session Border Cont

2、roller, SBC)方案的基礎(chǔ)上提出一種分布式的改進(jìn)方案。 和其他的防火墻/NAT 穿越方案相比，SBC 方案不需要對現(xiàn)有網(wǎng)絡(luò)環(huán)境做任何假設(shè)和修改，并且提供了更好的QoS(Quality of Service)保障。但是，由于SBC 需要同時(shí)完成信令中轉(zhuǎn)和媒體轉(zhuǎn)發(fā)，SBC 有可能成為系統(tǒng)的瓶頸。另外，SBC 的安全和QoS 保障都是基于逐包分析策略，這更加劇了SBC 的負(fù)擔(dān)。最后，SBC 的結(jié)構(gòu)注定了它難以依靠動(dòng)態(tài)擴(kuò)展來提

3、高容量，也難以通過負(fù)載均衡進(jìn)行流量分擔(dān)。 在充分研究SBC 技術(shù)優(yōu)缺點(diǎn)的基礎(chǔ)上，本文提出分布式防火墻/NAT 穿透方案，從結(jié)構(gòu)上將SBC 的信令中轉(zhuǎn)和媒體轉(zhuǎn)發(fā)處理分開。信令中轉(zhuǎn)由信令接入網(wǎng)關(guān)(SignalingAccess Gateway, SAG)完成，媒體轉(zhuǎn)發(fā)由媒體通道控制器(Media Channel Controller,MCC)完成，二者之間的服務(wù)關(guān)系由網(wǎng)管中心(Net Manage Center, NMC)動(dòng)態(tài)定義

4、。在媒體流和信令流分開的基礎(chǔ)上，多臺MCC 通過媒體擴(kuò)展和負(fù)載均衡組成媒體子系統(tǒng)并通過多級媒體通道策略實(shí)現(xiàn)QoS 優(yōu)化；多臺SAG 通過信令擴(kuò)展和負(fù)載均衡策略組成信令子系統(tǒng)。由此構(gòu)成一個(gè)分布式系統(tǒng)，媒體和信令子系統(tǒng)的容量可以根據(jù)要求擴(kuò)展，任何一個(gè)服務(wù)器故障或者受到攻擊都不會(huì)對系統(tǒng)性能造成實(shí)質(zhì)的影響。 本文給出了一個(gè)基于SIP 的分布式防火墻/NAT 穿越的實(shí)驗(yàn)系統(tǒng)并詳細(xì)講述了系統(tǒng)中SAG, MCC, NMC 實(shí)現(xiàn)結(jié)構(gòu)以及實(shí)現(xiàn)過