IP視頻會(huì)議技術(shù)中NAT的應(yīng)用

    NAT給視頻會(huì)議帶來的問題：

    1、外網(wǎng)終端要訪問內(nèi)網(wǎng)終端，必須在內(nèi)網(wǎng)終端經(jīng)過NAT后向外網(wǎng)終端發(fā)送數(shù)據(jù)包（即產(chǎn)生一個(gè)NAT“綁定”）后才行。換句話說，內(nèi)網(wǎng)終端不能接受外網(wǎng)終端的主動(dòng)性訪問。

    當(dāng)然，這可以當(dāng)成一種安全特性，但是NAT穿越的一個(gè)目的就是為了允許外網(wǎng)終端主動(dòng)連接內(nèi)部終端。

    2、一些視頻會(huì)議協(xié)議在信令消息中包含了源地址/端口的內(nèi)容。這些源地址為遠(yuǎn)端終端提供了返回包的目的地址。但是，由于內(nèi)部終端使用的是私網(wǎng)地址，如果NAT不帶ALG

    （應(yīng)用層網(wǎng)關(guān)），它將不會(huì)轉(zhuǎn)換這些內(nèi)部地址。當(dāng)外部終端接收到一個(gè)消息后，它無法將數(shù)據(jù)包轉(zhuǎn)發(fā)到在消息里的這個(gè)私網(wǎng)地址。

    3、在NAT綁定超時(shí)前內(nèi)部主機(jī)來不及發(fā)送數(shù)據(jù)包。一些NAT強(qiáng)制將超時(shí)計(jì)時(shí)器設(shè)定短至1分鐘。

    4、NAT允許安全TLS（安全傳輸層協(xié)議）穿越。但是,NAT在IPSec下會(huì)產(chǎn)生問題。IPSec協(xié)議在IP層加密數(shù)據(jù)包。本地IP通道無法穿越NAT，因?yàn)镮PSec要求IP包頭地址及端口

    保持不變。為了實(shí)現(xiàn)IPSec穿越NAT，終端必須通過UDP建立通道來傳輸IPSec包。這種NAT穿越稱作NAT-T（NAT-穿越在IKE）。RFC3947定義密鑰交換方法，RFC3948定義UDP封

    裝。管理員可以配置這種NAT通道，但是會(huì)增加一定的管理開銷。

    5、如果兩個(gè)終端都在一個(gè)NAT的后面，多數(shù)NAT不會(huì)允許這種“回頭”連接，即先NAT出去，然后又NAT進(jìn)來。在這種情況下，兩個(gè)終端必須能夠識(shí)別他們?cè)谕�一個(gè)私網(wǎng)，然

    后使用私網(wǎng)地址建立直接連接，而不是連接到NAT外面后使用公用地址。

    6.再者，如果兩個(gè)終端分處于不同企業(yè)，并且都在各自的NAT后面，可能會(huì)出現(xiàn)某種極端現(xiàn)象。比如兩個(gè)終端都使用同一個(gè)私有IP地址10.2.2.2,如果這兩個(gè)終端要交換消息,

    包含內(nèi)部IP地址,它們將會(huì)使用跟與自己IP地址一樣的一個(gè)地址作為目的地址。

    NAT ALG

    除了在IP包頭進(jìn)行地址映射,NAT可能使用到ALG來檢測(cè)信令消息協(xié)議頭部的IP地址/端口,然后將它們也映射出去。NAT ALG類似于防火墻ALG，不過NAT ALG實(shí)際上改變（映射）

    的是信令消息中的地址/端口。這種地址重寫被稱為fixup或者deep-packet重寫（華三設(shè)備叫做“深度檢測(cè)”）。像防火墻ALG那樣，NAT ALG同樣存在如下問題：

    1、管理員需要時(shí)時(shí)更新NAT固件，以使其理解視頻會(huì)協(xié)議的最新版本。

    2、NAT不能檢測(cè)加密的信令協(xié)議。雖然防火墻可以使用UDP ALG作為加密信令的替代解決方法，但NAT傳輸加密信令卻沒有相似的解決方法。因?yàn)镹AT不能重寫協(xié)議中的地址，

    消息協(xié)議會(huì)中斷。一種解決辦法是每個(gè)終端發(fā)現(xiàn)自己的公網(wǎng)地址，然后直接進(jìn)行相應(yīng)的修正。