ｃｓｔｙｌｅ

一、綜述

隨著IP網(wǎng)絡(luò)建設(shè)的大發(fā)展?，F(xiàn)在基于IP網(wǎng)絡(luò)環(huán)境下的視頻通信應(yīng)用越來越普遍，不但一部分政府部門、大型企業(yè)采用基于IP的網(wǎng)絡(luò)傳輸環(huán)境構(gòu)筑專用的視頻通信網(wǎng)，商業(yè)、企業(yè)更加傾向于將他們的視頻通信系統(tǒng)構(gòu)建在基于IP的傳輸環(huán)境中，以降低建設(shè)成本，特別是使用成本。

目前符合國際標準的視頻通信應(yīng)用模式。主要為遵循ITU組織H.323標準的系統(tǒng)。以及遵循ITEF組織SIP的系統(tǒng)。

經(jīng)過幾年的實際應(yīng)用考驗和不斷改進。基于H.323的應(yīng)用模式的應(yīng)用體系非常成熟。相關(guān)產(chǎn)品在穩(wěn)定性，連接的安全、可靠性等方面可以完全滿足市場，特別是專業(yè)視頻，多媒體會議的要求。由于H.323標準體系非常完備和嚴格。從而確保了基于H.323的眾多產(chǎn)品所具有的良好互通互聯(lián)性，這一點為H.323協(xié)議的大范圍推廣奠定了技術(shù)基礎(chǔ)。基于SIP的視頻應(yīng)用是隨著NGN的需求而日益得到市場的重視，特別是在3G背景環(huán)境下，越來越多的廠商相繼推出了基于SIP的視頻通信產(chǎn)品，以滿足個人用戶、移動用戶對視頻通信的需求。SIP提出的目的是在基于Internet環(huán)境中，實現(xiàn)多媒體通信的應(yīng)用。它和HTTP、SMTP等ITEF的協(xié)議一樣。是一種基于“文本”的通信協(xié)議。結(jié)構(gòu)簡單，便于擴充、擴展是SIP與H.323體系的明顯區(qū)別。

二、視頻通信在防火墻環(huán)境下的應(yīng)用

和所有的網(wǎng)絡(luò)應(yīng)用一樣，無論基于H.323標準還是基于SIP的，視頻通信系統(tǒng)都不可避免地受到所依托網(wǎng)絡(luò)環(huán)境的限制。這一點不但影響到視頻產(chǎn)品選型、系統(tǒng)結(jié)構(gòu)方案，同時對網(wǎng)絡(luò)環(huán)境本身是否需要進一步改造都有著比較大的影響。在所有影響因素中，除了網(wǎng)絡(luò)環(huán)境傳輸條件本身外，如何有效解決“防火墻”對視頻系統(tǒng)的影響是所有用戶、建設(shè)方以及視頻廠商乃至網(wǎng)絡(luò)廠商所不得不面對的一個“難題”。

從協(xié)議中對握手的定義來看，無論是H.323還是SIP。這個過程和保證網(wǎng)絡(luò)安全的“防火墻”、NAT等機制是一對矛盾體。

對于目前經(jīng)常使用的“防火墻”而言，為保證墻內(nèi)內(nèi)部網(wǎng)絡(luò)的安全性，其工作機制一般是屏蔽掉外部數(shù)據(jù)對受保護網(wǎng)絡(luò)中計算機的數(shù)據(jù)訪問。而只開放少許的指定地址和通信端口，以保證Internet服務(wù)器等設(shè)備正常工作。

NAT則通過地址轉(zhuǎn)換，一方面保護了內(nèi)部網(wǎng)絡(luò)中各計算機以免被外部惡意數(shù)據(jù)的直接破壞；另一方面也可以保證內(nèi)部局域網(wǎng)絡(luò)對有限公網(wǎng)地址的有效利用。

就目前企事業(yè)單位、國家機關(guān)的現(xiàn)有網(wǎng)絡(luò)狀況來看。標準的網(wǎng)絡(luò)安全防護措施一般是“防火墻”和NAT同時使用，而且在所保護網(wǎng)絡(luò)中開辟出一個DMZ區(qū)域供Internet和E-mail等服務(wù)器使用，而將所有辦公計算機放置于受保護的內(nèi)網(wǎng)，位于外網(wǎng)的數(shù)據(jù)只能到達位于DMZ區(qū)域的設(shè)備，而不能直接訪問位于內(nèi)網(wǎng)的設(shè)備，它們之間的數(shù)據(jù)傳輸則是通過位于DMZ區(qū)的各種服務(wù)器來實現(xiàn)。這樣位于外網(wǎng)的視頻設(shè)備A是不能直接和位于內(nèi)網(wǎng)的設(shè)備B直接進行通信的。對于一般的數(shù)據(jù)應(yīng)用而言。在這種網(wǎng)絡(luò)結(jié)構(gòu)下，位于內(nèi)網(wǎng)的計算機可以訪問外網(wǎng)的設(shè)備。但和常規(guī)的網(wǎng)絡(luò)應(yīng)用不同，基于H.323或SIP的視音頻通信設(shè)備通信時，在握手的同時，發(fā)出呼叫申請的一端將自己本身的地址包括在有效的數(shù)據(jù)包中，設(shè)備B向A發(fā)出一個呼叫申請，A要根據(jù)數(shù)據(jù)包中的有效地址發(fā)出應(yīng)答信息，而這個有效地址是一個內(nèi)網(wǎng)的“私有”地址，該應(yīng)答會被“防火墻”有效屏蔽。由于在指定的時間周期不能得到A端的應(yīng)答信息。在B端會顯示呼叫被拒絕。即使通過開放端口的手段后，A端的應(yīng)答信息可以到達B端，建立連接，對于有嚴格合法性、“同源性”檢查的H.323系統(tǒng)而言。視音頻數(shù)據(jù)可以從B發(fā)送到A。但A的視音頻信號難以到達B，這種現(xiàn)象在具體的視頻通信網(wǎng)絡(luò)建設(shè)過程中會經(jīng)?？吹健?/p>

為有效解決在有安全機制的網(wǎng)絡(luò)環(huán)境中的視頻應(yīng)用，網(wǎng)絡(luò)設(shè)備商已做了大量工作，相繼推出了一些支持H.323，SIP的防火墻產(chǎn)品，而視頻通信廠商則對標準H.323／SIP產(chǎn)品和系統(tǒng)體系加以擴充，推出了可以在NAY／防火墻環(huán)境中使用的視頻產(chǎn)品。

下面就幾種目前常見的解決方案進行簡單介紹：

(1)開放網(wǎng)絡(luò)／VPN

這種方法是直接將視頻設(shè)備放置在DMZ區(qū)或直接放置在外網(wǎng)，這種辦法不需要對現(xiàn)有網(wǎng)絡(luò)進行大的改造，但這是以基本喪失對視頻產(chǎn)品進行網(wǎng)絡(luò)安全保護為代價的，同時由于和內(nèi)網(wǎng)之間原有的“隔絕”沒有消除。難以實現(xiàn)到桌面的視頻應(yīng)用。這種辦法比較適合在全網(wǎng)有較好的安全保障的專網(wǎng)使用?；蛟赩PN內(nèi)部使用。

(2)選用支持NAT的視頻產(chǎn)品

由于H.323產(chǎn)品在呼叫信息的有效數(shù)據(jù)包中包含了本地的地址信息，在經(jīng)過NAT轉(zhuǎn)換后，被邀請端設(shè)備難以給予有效應(yīng)答，因而部分H.323產(chǎn)品通過在呼叫過程中，將有效的NAT映射地址取代本地私有地址來完成呼叫應(yīng)答，解決了地址解析問題。如VTEL公司的VISTA系列產(chǎn)品，不但可以支持NAT的地址解析，還可以指定NAT端口，便于網(wǎng)絡(luò)設(shè)置。這種方案對單一NAT機制比較有效，如ADSL等PPPOE網(wǎng)絡(luò)環(huán)境下，可以不附加其他網(wǎng)絡(luò)或H.323設(shè)備，就可以解決問題。

(3)代理服務(wù)器

H.323代理服務(wù)器是為解決防火墻／NAT環(huán)境下，實現(xiàn)H.323通信的一種“非標準”H.323設(shè)備。在標準的H.323系統(tǒng)中沒有它的嚴格意義的定位。和Internet代理服務(wù)器一樣，它同樣被置于網(wǎng)絡(luò)的DMZ區(qū)，在實際呼叫過程中所有的內(nèi)外網(wǎng)的呼叫都通過它來“中繼”。即代理服務(wù)器將一個呼叫轉(zhuǎn)換成為由它發(fā)起的兩個呼叫來完成，從而繞過了防火墻的限制。

使用代理服務(wù)器不需要防火墻／NAT設(shè)備以及H323設(shè)備的特殊支持，實現(xiàn)比較容易，但由于代理服務(wù)器本身能力的限制。對呼叫數(shù)量以及數(shù)據(jù)交互量的規(guī)模都有一定的影響，同時，使用H.323代理服務(wù)器對視頻網(wǎng)絡(luò)建設(shè)成本的影響，也是需要根據(jù)實際情況考慮的一個問題。如當本地只有一臺視頻終端時，使用代理服務(wù)器不是一個經(jīng)濟的解決方案。

相對于H.323代理服務(wù)器，SIP的靈活性使得SIP代理服務(wù)器解決方案更為簡單靈活，通過位于公網(wǎng)的一個代理，注冊服務(wù)器，可以較為簡單和便宜地解決這個問題。目前Microsoft的MSN就是一個比較好的應(yīng)用實例。

(4)使用應(yīng)用層網(wǎng)關(guān)(ALG)

應(yīng)用層網(wǎng)關(guān)也就是具有協(xié)議分析功能的防火墻產(chǎn)品，通過這些防火墻在判斷數(shù)據(jù)是否可以通過時，不是簡單地對IP數(shù)據(jù)包的包頭進行分析，而是要對數(shù)據(jù)包中的具體數(shù)據(jù)進行相應(yīng)的協(xié)議分析，并對視音頻通信過程中所需求的數(shù)據(jù)通道進行動態(tài)打開，關(guān)閉，以保證視音頻通信的正常進行。

現(xiàn)在許多網(wǎng)絡(luò)設(shè)備商推出了采用ALG支持H.323和SIP的產(chǎn)品，可以在新建視音頻網(wǎng)絡(luò)時或進行網(wǎng)絡(luò)改造時考慮。

(5)視頻網(wǎng)關(guān)

為在標準H.323框架下解決防火墻／NAT對視頻通信的影響，出現(xiàn)了一種“變形”的MCU。該產(chǎn)品一般由兩個獨立的網(wǎng)絡(luò)接口分別和內(nèi)網(wǎng)、外網(wǎng)連接，位于內(nèi)外網(wǎng)的H.323設(shè)備分別和對應(yīng)的端口進行連接，而視音頻數(shù)據(jù)的交換則通過MCU本身來實現(xiàn)。采用該類產(chǎn)品在構(gòu)造視音頻通信網(wǎng)時。不需對網(wǎng)絡(luò)結(jié)構(gòu)進行改造，實現(xiàn)方法比較直接、簡單。如VTEL公司的Codian MCU是這種產(chǎn)品的一個代表，采用雙工作端口模式，不需要對內(nèi)外網(wǎng)的規(guī)模進行預(yù)先定義，也不會對MCU總的處理能力有所影響，有較好的實際應(yīng)用效果。

以上是目前經(jīng)常使用的解決防火墻／NAT環(huán)境下實現(xiàn)視音頻通信的方法，這些方法之間不是相互獨立的。在一個實際的應(yīng)用中可根據(jù)各個通信點的網(wǎng)絡(luò)狀態(tài)、使用情況以及建設(shè)成本等多方面因素進行綜合考慮。

三、結(jié)束語

防火墻／NAT是視音頻通信網(wǎng)絡(luò)建設(shè)使用中必須面對的一個問題。相對于H.323而言，SIP的解決方案更加靈活，隨著H.323和SIP之間可能的融合，我們也許會在不遠的將來看到更加靈活和經(jīng)濟的解決方案。