VoIP穿越NAT和防火墙的四种常见方法

　　VoIP是指 Voice over Internet Protocol的缩写，指的是将模拟的声音讯号经过压缩与封包之后，，以数据封包的形式在IP 网络的环境进行语音讯号的传输，通俗来说也就是互联网电话、网络IP电话或者简称IP电话的意思。VoIP技术是目前互联网应用领域的一个热门话题，在2004年就成为全球互联网与电子商务十大趋势之一（eMarketer）。

　　一、NAT/ALG 方式

　　普通NAT是通过修改UDP或TCP报文头部地址信息实现地址的转换，但对于VOIP应用，在TCP/UDP净载中也需带地址信息，ALG方式是指在私网中的VOIP终端在净载中填写的是其私网地址，此地址信息在通过NAT时被修改为NAT上对外的地址。

　　语音和视频协议(H323、SIP、MGCP/H248)的识别和对NAT/Firewall的控制，同时每增加一种新的应用都将需要对 NAT/Firewall进行升级。

　　在安全要求上还需要作一些折衷，因为ALG 不能识别加密后的报文内容，所以必须保证报文采用明文传送，这使得报文在公网中传送时有很大的安全隐患。

　　NAT/ALG是支持VOIP NAT穿透的一种最简单的方式，但由于网络实际情况是已部署了大量的不支持此种特性的NAT/FW设备，因此，实际应用中，很难采用这种方式。

　　二、MIDCOM 方式

　　与NAT/ALG不同的是，MIDCOM的基本框架是采用可信的第三方(MIDCOM Agent)对Middlebox (NAT/FW)进行控制，VOIP协议的识别不由Middlebox完成，而是由外部的MIDCOM Agent完成，因此VOIP使用的协议对Middlebox是透明的 .

　　由于识别应用协议的功能从Middlebox移到外部的MIDCOM Agent上，根据MIDCOM 的构，在不需要更改Middlebox基本特性的基础上，通过对MIDCOM Agent的升级就可以支持更多的新业务，这是相对NAT/ALG方式的一个很大的优势。

　　在VOIP实际应用中，Middlebox功能可驻留在NAT/Firewall，通过软交换设备(即MIDCOM　Agent)对IP语音和视频协议(H323、SIP、MGCP/H248)的识别和对NAT/Firewall的控制，来完成VOIP应用穿越 NAT/Firewall .在安全性上，MIDCOM方式可支持控制报文的加密，可支持媒体流的加密，因此安全性比较高。

　　如果在软交换设备上实现对SIP/H323/MGCP/H248协议的识别，就只需在软交换和NAT/FW设备上增加MIDCOM协议即可，而且以后新的应用业务识别随着软交换的支持而支持，此方案是一种比较有前途的解决方案，但要求现有的NAT/FW设备需升级支持MIDCOM协议，从这一点上来说，对已大量布署的NAT/FW设备来说，也是很困难的，同NAT/ALG方式有相同的问题。