近日,全球最大的IP设备制造商Cisco和软件业巨头Microsoft,在有关向软件中添加功能等举措达成了协同工作的意向,以使IP语音流量能更顺畅地运行于基于防火墙保护的网络中,而在此前,Microsoft一直努力以期在VoIP市场中扮演更重要的角色。吸引这两个巨头走向一起的是一项称为ICE的技术(Interactive Connectivity Establishment,互动连接建立),这个由IETF提出的标准旨在允许VoIP呼叫能顺利地通过防火墙,但并不因此在安全系数上打折扣。
通常,NAT(network address translation,网络地址解析)是对处于防火墙后的用户和其它基于网络的设备最基本的保护措施之一。NAT的原理是将内部的IP地址分派给各个节点,当流量通过Internet时再将这些地址解析成公共的可路由的IP地址。由于NAT使得VoIP链路上的每个IP端点变得互相“不可到达”,由此可防止VoIP呼叫的建立。考虑到对NAT还存在着不少争议,现在许多公司又开始围绕着NAT/VoIP的协同工作问题在展开工作:主要是通过开辟VPN链路上的IP语音流量通道,而这对具有“软件电话”的客户端和膝上设备的远程用户而言是非常普遍的,他们通常是通过某个家庭型防火墙或与某条VPN相连的旅店宽带链路,连接至IP PBX。端到端的 VoIP的建立也使用了通道技术,即在VPN上对VLAN(虚拟局域网)分段,或将VoIP呼叫连接至办公室的点对点链路,这些都处于NAT防火墙的保护之下。但也有一些业界人士认为那样的方法只能算是权宜之计,理想的VoIP连接就应该像浏览一个Web站点,或发送一封E_mail那样无缝地在 Internet上通行,而这正是ICE的优势所在。
ICE的工作原理主要就是在连接两个VoIP端点的网络(处于NAT防火墙后)中发现内部IP地址。为此,ICE使用现存的协议和IP地址搜寻机制,如 STUN、TURN和Realm Specific IP等。这些都要求服务器可以接受STUN和TURN的请求,并在这些连接中为VoIP设备(在ICE模式中被称为起始者)提供决策。STUN和TURN 就其设计初衷而言是很难通过NAT进行工作的,但ICE是以一种特殊的方法利用STUN和TURN,这样可避免许多单独使用它们时可能带来的问题。这种不影响NAT防火墙的任意 VoIP的连接,为VoIP技术注入了强大的动力。如Microsoft和Cisco在ICE标准上的合作对广大用户就是一个好消息,因为大多数使用 Microsoft操作系统的宽带家庭网络都受到了宽带路由器/NAT防火墙的保护,并利用Cisco设备连接至承载商的网络。
对那些在IP网络上运行商业电话系统的公司而言,他们更关心的是ICE的安全性。ICE无论防火墙的配置如何都允许IP通信设备通过Internet与 IP设备连接,也就是说ICE是在NAT内发现IP地址并被其他连接方所共享,这使得很多企业在开发时有所顾忌。因此若有VoIP厂商能为这种操作提供安全保障,那么将会有更多的企业开放他们的内部IP地址。未来随着VoIP的广泛接受ICE的优势会变得更明显,尤其在简化语音流量管理,简化VoIP连接等方面将发挥重要的作用。
摘自《中国计算机报》
扫一扫
908
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
