ITU-T草案《基于代理的多媒体NAT/FW穿越机制(H.Proxy)》规范简介 
 
一、引言

由于IPv4地址的匮乏，越来越多的NAT和防火墙设备（FW）被引入现有的网络中。可是NAT/FW设备的大量部署造成了网络的复杂化，同时破坏了网络端到端的透明性，因此阻断了大部分多媒体业务的应用。针对该问题，国际上已经出现了多种不同NAT/FW的多媒体穿越解决方案，并且各有千秋。《基于代理的多媒体NAT/FW穿越机制（H. Proxy）》草案是由信产部电信研究院牵头，联合国内数家单位，向ITU（国际电信联盟）提出的一个基于代理方式的多媒体业务NAT/FW穿越机制（目前是基于H.323的）。其基本原理为：在不改变网络中任何其他的设备的前提下，通过增加一个或者多个代理（Proxy）来完成多媒体业务的信令流和媒体流的NAT/FW的穿越。

二、Proxy的应用场景

H.Proxy机制的典型特点有：在某些特定的应用场景中可能只有H.Proxy能够工作；已经部署在多媒体通信网络中；需要对网络和终端进行必要的控制和管理。

1．已有网络

非常典型的一种场景是：网络中已经部署了无ALG功能的传统NAT设备，并且通常终端和服务器等设备没有做针对NAT/FW穿越的协议扩展。这时如果对NAT/FW、终端或者服务器等设备进行不同程度的升级，会带来很大的工作量，有时甚至是不现实的。如果使用Proxy来实现NAT/FW的穿越，则可以完全避免对现有任何设备的升级改造，因此在此类应用场景中，应用Proxy辅助多媒体业务完成NAT/FW的穿越是很有必要的。

2．服务器位于私网的网络

某些运营商或者企业网为了保护服务器的安全，而将服务器置于一级或者多级私网中，某些终端位于另外的一级或者多级私网中，如图1所示。这样的部署会导致一些NAT/FW的穿越机制（比如协议扩展）失效，而基于Proxy的NAT/FW穿越方案是完全可行的。

3．可控可管理的网络

目前的多媒体通信系统大都支持端到端的通信，这样对于运营商或者企业来说很难控制终端用户的行为，同时也引发了一定的安全隐患。而且针对于防火墙的穿越方案有时需要打开防火墙的限制端口，从而又降低了防火墙的安全机制。由于Proxy位于网络中所有的多媒体终端与服务器间的信令和媒体通路上，因此可以把作为穿越机制驻留点的Proxy扩展为合法监听、QoS策略和安全保证等功能，实现网络运营者对于网络可控可管理的需求。

三、Proxy的功能实体和接口

代理设备的基本功能辅助完成多媒体业务的NAT/FW穿越。其工作原理为：Proxy参与终端间的整个呼叫流程，修改消息的IP头和消息净荷中与地址/端口相关的内容，使之成为消息目的地址域中有效的地址/端口，然后完成信令消息和媒体流的转发。Proxy不会更改终端间呼叫流程的状态机，仅对消息内容进行修改。Proxy对于网络中其他的实体是透明的，如图2所示。

Proxy由信令代理与媒体代理两部分组成 ：

1. 信令代理（SPF）

信令代理对多媒体终端来说，可看作是服务器，即用户的注册和呼叫消息都会先发给Proxy，Proxy经过信令处理后再转发给服务器。同时，SPF对服务器又可看作是终端，服务器设备首先将被叫的请求发给Proxy，Proxy经过信令处理后再转发给真正的被叫终端。

SPF需具备协议感知功能，通过对信令进行处理和分析，得到当前会话的地址转换信息。

2. 媒体流代理（MPF）

多媒体终端间的媒体流（如RTP流）都经过MPF进行处理和转发。MPF将呼叫双方的媒体流地址设置为MPF本身的地址。MPF可以检查报文的合法性，并根据信令处理结果来转发报文。代理的组成结构如图3所示。

Proxy与终端和服务器之间的接口协议为标准的H.323协议（或其他多媒体通信协议）。

四、Proxy在网络中的位置

根据应用环境不同，代理可以根据需要位于外网、内网和内外网边缘，如图4所示。

当Proxy位于内网时，它必须至少配置两个地址（一个内外地址，一个外网地址[FS:PAGE]）。此时NAT设备应对Proxy的地址静态配置，让所有源和目的地址是Proxy的消息透明通过。

当Proxy位于内外网边缘时，其工作方式与ALG类似，如图5所示。当Proxy位于外网时，如图6所示。它需要配置至少两个外网地址，其中一个负责与NAT通信，另外一个负责与外网的实体进行通信。当外网连接几个彼此隔离的内网时，使用基于Proxy的穿越技术时，可以完成服务器位于外网而终端位于内网、服务器和终端均位于不同的内网时多媒体业务的NAT/FW穿越。

五、基于Proxy的H.323穿越方案

H.323与其他的多媒体应用协议（如H.248、MGCP和SIP等）有所不同，后者是不依赖底层承载协议的，而H.323协议中的部分信令协议是基于TCP的，如Q.931和H.245媒体地址的协商过程。

TCP是基于有方向的三次握手的过程来建立会话的，如图7所示。

当内网的终端侦听（Listen）一个TCP端口时，需要外网的设备主动向内外发起建立TCP连接的请求（TCP SYN报文）。由于终端并不会发送该端口的报文，NAT设备上没有相应的表项，因此来自外网的TCP SYN报文无法穿越NAT设备到达内部的终端。

在基于Proxy的H.323 NAT/FW穿越技术中，只有在Proxy位于外网时，才会遇到上述问题。在H. Proxy技术中，为了解决基于TCP的信令穿越问题，需要在网络中引入两个穿越实体，即穿越客户端（xTC）和穿越服务器端（xTS），当Proxy位于外网时，xTC和xTS通过彼此的相互配合来辅助完成H.323的信令和媒体流的穿越，如图8所示。

xTC和xTS之间的可以采用多种工作机制，如隧道机制和会话创建机制。对于隧道机制，规范中推荐使用增强的UDP隧道技术，其工作原理为在报文的IP头和UDP/TCP头之间插入一个UTH（UDP隧道头），UTH的结构如图9所示。

该UTH字段仅在xTC和xTS之间携带。

会话创建技术的基本原理为：当代理收到一个呼叫请求消息后，它会将所有相关的信息发送给xTS，xTS同时将该信息转发给xTC。xTC根据该信息在NAT上创建一个入口，相关的入口信息经xTS传送给Proxy。在会话创建机制中，xTC和xTS并不参与到整个的呼叫建立过程中。另外，xTC和xTS之间也可使用其他的技术来实现辅助穿越，如将来可能出现的某种分离模式的协议扩展机制等，xTC和xTS可以终结协议扩展部分，从而使xTC和xTS对外的接口仍然为标准的H.323协议。