[发明专利]一种VoIP中基于语音可达性的融合穿越方法

说明书

技术领域

本发明属于通信领域，具体涉及一种VoIP中基于语音可达性的融合穿越方法。

背景技术

随着VoIP(Voice over Internet Protocol的缩写(业界一般称为IP电话))和软交换技术的成熟和广泛应用，越来越多的企业和个人采用了VoIP和软交换技术进行企业内部数据网络和语音网络的整合。但是，出于安全的考虑，在企业内部网络中存在大量的防火墙；同时，为了节省IPv4的地址，目前很多企业采用NAT(Network Address Translation即网络地址转换)技术，也就是私网，使内网中大量的主机通过少数几个IP访问Internet。这些技术在早期的Internet网络中起到了很大的作用，能够用来阻挡来自企业外部网络攻击、节省IP地址、保护企业内部的数据安全。然而在VoIP的应用中，各种各样的业务要求和底层协议的特点，使得企业遗留的防火墙和NAT严重阻碍了VoIP的应用。于是，如何使VoIP穿越企业遗留的防火墙就成了一个亟待解决的问题。

目前在语音和视频通讯领域，私网穿越有如下方法：应用层网关(ALG)、MIDCOM、STUN、TURN、完全代理(Full proxy)、ICE方案。防火墙穿越方案存在网关思路、代理思路、应用层网关思路、虚拟专用网(VPN)思路以及隧道穿越方案。因此，针对上述亟待解决的问题，即在VoIP中穿越私网与防火墙两种主要网络环境，目前主要有以下方法：

1，网关思路

在传统PSTN网络中，可以使用网关把局域网上的IP语音和视频转换为公共电路交换网上的PSTN语音和视频。使用这样一个网关就不用关心网络防火墙的穿透问题，因为没有数据包要通过防火墙，这也解决了NAT问题，所有到局域网内终端的呼叫都是可路由的，因为通过网关进入局域网的呼叫都是可路由的。

但是，该方法的缺点是：网关属于早期传统网络中使用的一种方法，同时也是一个局部解决方案，要求所有参与呼叫者在最后一道NAT和防火墙要有一个相应的网关。

2，代理思路

H.323代理能解决NAT问题或者同时解决NAT和防火墙问题，这取决于代理如何被配置，代理其实是一种特殊类型的网关，但并不是把IP协议转换为别的，在代理两边使用的是相同的协议。代理使终端到终端的呼叫看起来像两个分离的呼叫：一个是从私有网上的终端到代理，另一个是从代理到公众网上的终端，代理通过对这个呼叫进行中转解决了NAT问题。

但是，该方法的缺点是：这种解决方案典型应用是在防火墙后放一个H.323代理，代理需要被分配公有IP地址。防火墙被配置允许代理和外部进行多媒体通讯。有时候沿着网络路径在许多位置都应用了NAT设备，这时就需要在每一个使用NAT的地方放置代理。

3，应用层网关

应用层网关(Application layer gateways)是被设计能识别指定IP协议(如H.323和SIP协议)的防火墙，它不是简单地察看包头信息来决定数据包是否可以通过，而是更深层的分析数据包负载内的数据，也就是应用层的数据。H.323和SIP协议(Session Initiation Protocol，是一个应用层的信令控制协议)都在负载中放了重要的控制信息，例如语音和视频终端使用哪一个数据端口来接收别的终端的语音和视频数据。通过分析哪一个端口需要打开，防火墙动态地打开那些被应用的端口，而所有别的端口依然安全地保持关闭状态。如果一个NAT被应用来屏蔽内部IP地址，这时ALG就需要一个代理，一些防火墙生产厂商把代理结合到ALG上越过NAT。

但是，这种解决方案的缺点是：由于要分析数据包负载，这样就加重了防火墙的处理任务，影响网络的运行，成为潜在的网络瓶颈；并且如果这儿有多层防火墙和NAT，则在呼叫路径上的每个防火墙都必须被升级来支持ALG功能；对大多数公司的网络来说防火墙是关键部件，在一些公司增加一个ALG或许是困难的。

4，虚拟专用网(VPN)

VPN技术是当前在IP网络上提供安全通讯的的方法之一，在同一个VPN网内可以解决防火墙穿越问题；是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。由VPN的特性可以知道，VPN可以提供以上几种防火墙穿越方式所不能提供的安全性、可靠性。可以把VPN看做是对企业的内部网的扩展。严格的说VPN并不是为了穿越的防火墙和NAT而提出，但是其特性为防火墙穿越提供了现成的机制。