• 易迪拓培训,专注于微波、射频、天线设计工程师的培养
首页 > 无线通信 > 技术文章 > NGN网络中NAT问题相关标准研究

NGN网络中NAT问题相关标准研究

录入:edatop.com     点击:

一、引言

NAT技术最初产生是为了解决互联网络IPv4地址不足的问题,随着NAT的广泛部署应用,很多企业和用户驻地网部署NAT除了原有的地址考虑外,还需要提供一些安全保护机制。NAT可以有效隐藏网络内部地址和网络内部拓扑结构的作用,在一定程度上实现内部网络向外部网络的物理屏蔽。

随着多媒体协议的引入,一个会话的路由将分为网络层的路由和应用层会话的路由两部分。通常网络中都部属了NAT设备,而普通的NAT设备只能对网络层的IP地址进行转换,对应用层协议是不感知的,因此会导致应用层与网络层地址信息不一致,这一问题不仅是现有网络开展各种多媒体业务急需解决的,同样,也是下一代网络中位于私网编址域内的各种终端设备接入网络时需要解决的重要问题。国际标准化组织在研究NGN Release1的各方面要求的同时,提出展开对NAT穿越技术进行研究需求。本文将就国际标准组织的研究现状进行介绍。

二、ITU方面的研究进展

1.NGN体系框架的研究

在NGN R1的通用功能体系框架要求中,增加了对网络拓扑隐藏和NAT穿越的规定。

在传输控制功能实体中,定义了ABG-FE(接入边界网关功能实体)、IBG-FE(互连边界网关功能实体)、NAC-FE(网络接入控制功能实体)完成NAPT/FW和NAT穿越功能。ABG-FE在RACF的控制下,完成接入网络的动态QoS控制、NAPT/FW和NAT穿越功能。IBG-FE(互连边界网关功能实体)在RACF的控制下,完成不同运营商核心网络之间的动态QoS控制、NAPT/FW和NAT穿越功能。NAC-FE支持自动配置,对防火墙策略、NAPT策略、安全策略进行控制。

在业务控制功能实体中,定义了P-CSC-FE(代理呼叫会话控制功能实体)、AGC-FE(接入网关控制功能实体)完成远程NAT穿越功能。P-CSC-FE和AGC-FE均支持NAPT代理功能,完成网络地址隐藏和远程NAT穿越。它们根据位于接入网络和核心网络边界处的RACF提供的地址绑定信息,对应用层信令消息体中的地址和端口信息进行修改。

2.NGN RACF的研究

NGN的RACF(资源和接入控制功能)对NGN传输资源进行控制,传输资源的控制包括QoS控制和NAPT/FW控制。

RACF将NAPT控制和NAT穿越的场景划分为两类,即Near-end NAPT控制和Far-end NAT穿越。Near-end NAPT控制适用于出于安全考虑或者地址资源不足的情况,由运营商对NAT设备进行控制。Near-end NAPT控制适用于接入网与核心网的边界处,或者是在不同运营商域的核心网之间的边界处。这种类型的NAT设备只对应用层信令进行地址/端口翻译。Far-end NAT穿越适用于企业网和用户驻地网,这种类型的NAT设备对应用层信令和媒体都需要做地址/端口翻译。

RACF与业务控制功能、传输功能配合完成NAPT和NAT穿越的控制功能,具体的穿越机制见图1。在RACF中完成NAPT的控制功能,在业务控制功能中完成NAPT的代理功能,在传输功能中完成NAPT的处理功能。RACF的NAPT控制功能应为地址/端口绑定、NAPT策略控制和网关控制提供NAPT和NAT穿越控制功能。NAPT控制功能与NAPT代理功能共同完成应用层信令消息体的修改;与NAPT处理功能共同完成请求网络地址/端口翻译信息。

3.NGN的安全研究

在NGN的安全指导方针中,对目前应用较为普遍的几种穿越机制进行分析,包括STUN、TURN、ICE等三种方案。在VoIP网络中,这几种穿越机制是否可以与IPsec技术共存是需要进行深入研究的课题。另外,利用NAT设备对数据的发送方进行认证也是特别需要关注的问题。

三、TISPAN方面的研究进展

1.穿越方案的研究

TISPAN的第二工作组在2005年开始对非GPRS终端接入IMS网络时面临的NAT穿越问题着手进行研究。

目前就IMS NAT穿越提出了四种解决方案,主要是根据现有较为普遍的几种NAT穿越方案进行归纳。

第一种方案是NAT设备内嵌SIP/SDP ALG,如图2所示,在接入网侧的NAT设备内嵌可以识别SIP/SDP协议的ALG,完成SIP消息中的地址和端口翻译。

这种方案适用于发送/接收SIP信令和相关媒体流的主机位于一级NAT设备后,不适用于多级NAT穿越场景。这种解决方案最大的问题是IMS要求对UE和P-CSCF之间传送的SIP消息进行加密保护,但具有SIP/SDP ALG功能的NAT设备不能对加密的SIP消息进行处理。

第二种方案是基于用户终端的方案

这种方案假定用户终端在SDP消息中提供自己的公网侧可路由地址。目前已有的技术有STUN、TURN等。这种方案要求在IMS网络中部署STUN/TURN服务器。

第三种方案是P-CSCF内嵌SIP/SDP ALG,同时在IMS网络中部署一个负责媒体流转发的网关

P-CSCF对发送来的SIP消息进行检查,发现SIP消息中有新的媒体目的地址信息(IP地址和端口),则通过控制接口向网关发送请求,为新的媒体流申请地址映射关系。网关会为这个媒体流预留一个传输地址,并通过控制接口返回给P-CSCF。P-CSCF将网关返回的预留传输地址写入SDP消息,代替UE的源地址信息,这样P-CSCF就完成了SDP中的地址翻译。在后续的会话阶段,媒体流直接在UE和网关之间传送。这种解决方案假定UE支持"对称媒体",要求UE在相同的地址和端口上接收/发送媒体流,并且需要在IMS体系架构中定义两个新的逻辑功能,SIP-ALG和网关,并且需要在SIP-ALG和网关之间定义新的控制接口。

第四种方案是基于隧道的方案,在NAT和IMS网络之间部署隧道网关,使在UE和隧道网关之间的NAT设备对IMS是透明的

这种方案也需要在IMS网络中定义一个新的逻辑网元,隧道网关,以及在UE和隧道网关之间的隧道协议。

2.NGN IBCF的研究

TISPAN的NGN体系框架中定义了IBCF(互连边界控制功能)。IBCF位于两个运营商域之间,在IP传输层面对I-BGF(互连边界网关功能)进行控制,实现防火墙(Pinholing)控制、NAT(P)T和NA(P)T-PT控制、扫描信令中的源/目的地址、不同IP版本之间互通等功能。IBCF可以与IP多媒体子域或其它子域相连。在IMS体系架构中,IBCF支持对位于终端和P-CSCF之间的far-end NAT的控制。当IBCF完成SIP信令的扫描功能时,可以将它看作是一个B2BUA。IBCF可以根据本地策略,在转发SIP信令之前对其报头进行修改。如果在用户平面要求对地址进行翻译,IBCF则可以完成对SDP中相关的地址信息进行修改。

TISPAN的NGN体系框架中的RACS(资源与接入控制子域)中定义了参考点Ia,该参考点位于SPDF(业务策略判决功能)与BGF(边界网关功能)之间,在应用层面实现NAPT控制和NAT穿越及网关功能。参考点Ia应支持如下功能:

(1)为接收和转发的媒体流请求NAT绑定,并将NAT绑定信息(IP地址、端口号、IP版本)返回给请求方;
(2)在NAT绑定请求中,指出媒体流的源/目的参数;
(3)在NAT绑定请求中,指出闭锁指定终端的IP地址和端口号;
(4)在NAT绑定请求中,指出每一条媒体流的传输协议,如RTP、T.38、MSRP协议等,BGF可以根据指示完成相应协议的特定功能;
(5)在NAT绑定请求中,指出媒体流是单向还是双向;
(6)请求在会话过程中修改媒体参数,包括对一个新的IP地址或端口进行闭锁。

四、小结

前文介绍了NGN网络中NAT相关问题的研究进展,可以看出就NAT穿越机制本身而言并无新的进展,基本都是围绕着IETF提出的几种穿越机制进行讨论。但这些穿越机制是否适用于NGN网络,引入这些穿越机制后给NGN网络的性能以及安全方面会带来怎样的影响都是下一阶段需要重点研究的问题。

来源:全球IP通信联盟

上一篇:布线技巧(2):UTP直通线
下一篇:布线技巧(1):网线回顾与基础

手机天线设计培训教程详情>>

手机天线设计培训教程 国内最全面、系统、专业的手机天线设计培训课程,没有之一;是您学习手机天线设计的最佳选择...【More..

射频和天线工程师培训课程详情>>

  网站地图