穿越防火墙和NAT方案

　　　　　 随着近年IP网宽带业务的蓬勃发展，基于分组的多媒体通信系统标准H.323广泛

　　　运用于视频会议和IP电话中。VoIP业务的应用也带来一个值得关注的问题：H.323很

　　　难通过传统专用防火墙。原因在于，复杂的H.323协议动态分配端口并产生和维护多

　　　个UDP数据流。绝大部分企业部门从网络安全考虑多配置了专用防火墙，而防火墙拒

　　　绝任何外部主动发起的通讯。

　　　　　随着Internet的快速膨胀，IPv4 地址空间将处于严重耗尽的境况。为解决这个

　　　问题，人们设计出了网址转换器(NAT)。然而NAT后的IP语音和视频设备仅有私有IP

　　　地址，这些地址在它们所在的域外或公众网上是不可路由的。

　　　　　这样一来，H.323 穿越防火墙和NAT的问题严重的制约了IP电话和视频会议的应

　　　用。解决这个问题也就成为多业务宽带IP网络至关重要的事情。

1．企业级视频会议穿越防火墙/NAT解决方案



　　　　　中讯群通公司自主研发的CTC-PROXY穿越防火墙系统包括两个部分：Server 软件和

　　　Client软件。Client放在防火墙内的私有网，它同时具有网守功能和代理功能，私有网

　　　内的终端注册到Client上，它和防火墙外的Server创建一个信令和控制通道。Server放

　　　在防火墙外的公众空间， Server扮演网守代理的角色，从Client 收到的所有注册和呼

　　　叫信令都被Server转发到中心网守。

　　　　　当一个终端呼叫防火墙外的另一个终端时，所有的数据包都通过Client路由到Ser－

　　　ver，返回的数据也从Server通过Client路由回到终端。当呼叫被建立后，Client确保

　　　所有必需的经过防火墙的音视频通道保持开放，这样音视频数据可以通过这些防火墙上

　　　开放的通道进行传输。

　　　　　对企业用户来讲，可以把Server放在企业网络的DMZ区域，如图所示是企业级视频会

　　　议穿越防火墙/NAT解决方案。

　

2．电信级视频会议穿越防火墙/NAT解决方案



　　　　　服务提供商可以把Server 放在ISP 网络的中枢向小企业和个人用户提供防火墙和

　　　NAT穿越服务。这样宽带小区用户和企业局域网用户仅需下载一个 Client 软件装在PC

　　　上，就可以如此简单地透过防火墙进行视频通讯。