CN100452769C - 基于alg+mp的软交换网络穿越防火墙的系统及其方法 - Google Patents

Abstract

本发明公开了一种基于ALG+MP的软交换网络穿越防火墙的系统及其方法；涉及应用层网关(ALG)程序和媒体代理服务器(MP)程序。本发明是在不修改防火墙和终端设备的情况下，能够使软交换与终端设备顺利地建立起呼叫；由ALG(1)、MP(2)、局域网交换机(3)、FW(4)、MGC(5)、IAD(6)、普通话机(7)、SPY(8)组成；普通话机(7)通过IAD(6)接入局域网交换机(3)再到IP网中，在MGC(5)的控制下进行呼叫；又通过设置的ALG(1)和MP(2)配合MGC(5)完成FW(4)的穿透；ALG(1)建立起通信终端和MP(2)的通信连接，经过MP(2)的媒体流转发来实现终端之间的通讯。本发明应用在具有较多分支机构的企业内部、企业与企业之间。

Description

基于ALG+MP的软交换网络穿越防火墙的系统及其方法

技术领域

本发明涉及网络通信领域中一种软交换网络穿越防火墙的方法，具体地说，涉及应用层网关(ALG)程序和媒体代理服务器(MP)程序。

背景技术

网络地址转换(Network Address Translation，简称NAT)是用于将一个地址域如公司内部网映射到另一个地址域如因特网的标准方法；它允许一个专用网中的主机使用私网地址连接到公共域中的主机，而无需拥有公网地址，它能缓解现在32位长的IPv4(指以IP第四版为基础的网络)地址资源枯竭的状况。另一方面，为提高网络安全性，多数企业在出口处部署了防火墙(Firewall，简称FW)。大多数应用是将地址转换功能与防火墙集成在一个设备上的，保证私网内的安全，提供安全策略，阻止外部的攻击。其安全的一般策略是允许内部用户主动访问外部，外部用户的主动连接则不被允许。这可能使双方在通讯时，私网内部用户只能作为主叫，不能做被叫，除非防火墙开放对所有内部用户的访问，这样又丧失了其作为内部资源的屏蔽保护这一基本作用。

下一代网络(Next Generation Network，简称NGN)的体系架构中，软交换(SoftSwitch)则是一个融合话音、数据、传真和视频业务的决定性解决方案。在IPv6(新一代的IP规范)技术广泛应用之前，软交换系统仍需解决软交换控制设备与终端设备之间的NAT穿越和防火墙穿透问题。尽管专网内的设备发出的数据包进行了私网到公网的地址转换，而这个转换关系一般是通过对IP包头的地址修改完成，上层的软交换控制设备和终端并不知道，因为IP分组网承载的语音视频等协议，其媒体流呼叫地址是由信令协议动态协商后确定的。未经转换的私网地址，不能在公网上路由，从而无法建立通讯。因此现有通过此类不支持软交换协议的防火墙设备接入公网的企业用户和宽带用户很难实际开展业务。

发明内容

本发明的目的是克服现有技术存在的问题和不足，提供一种基于ALG+MP的软交换网络穿越防火墙的方法，即在不修改防火墙和终端设备的情况下，能够使软交换与终端设备顺利地建立起呼叫。

如图1所示，在未引入应用层网关之前，现有软交换网络通常需要修改防火墙和终端设备才能达到穿越的目的。但是由于防火墙的修改成本太高，过程烦琐；而且当传输网与软交换网属于不同所有者或者是硬件防火墙时，修改防火墙几乎不可能。

本发明的目的是这样实现的：引入了应用层网关和媒体代理服务器，其中媒体代理服务器是已有的产品，通过应用层网关对信令协议中的相关地址和端口进行修改，使通信双方的媒体流经过媒体代理服务器转发来实现NAT的穿越。

一、基于ALG+MP的软交换网络穿越防火墙的系统

如图2所示，本系统是在在软交换网络的边界引入两个新的功能实体：

应用层网关(Application layer gateways，简称ALG)1；

媒体代理服务器(Media Proxy，简称MP)2；

通常将ALG1和MP2设置在同一台机器上。

此外，本系统还包括局域网交换机3、防火墙(简称FW)4、软交换控制器(简称MGC)5、综合接入设备(简称IAD)6、普通话机7、侦听工具8(简称SPY)；

具体地说，本系统由ALG1、MP2、局域网交换机3、FW4、MGC5、IAD 6、普通话机7、SPY 8组成；

普通话机7通过IAD 6接入局域网交换机3再到IP网中，在MGC5的控制下进行呼叫；又通过设置的ALG1和MP2配合MGC5完成FW4的穿透；ALG1建立起通信终端和MP2的通信连接，经过MP2的媒体流转发来实现终端之间的通讯；

所述的ALG1是针对特定应用进行处理转换的代理设备，使在某一地址域的主机与处在不同域的对端透明地建立联系，创建应用；配合MGC5来完成穿透FW4，实现NAT两侧用户端呼叫的发起、维持和终止。

本系统的工作原理是：

当呼叫信号为SIP、H.248/Megaco、MGCP(均为软交换协议)等呼叫信息时，通过ALG1建立起通信终端和MP2的通信连接，经过MP2的媒体流转发来实现终端之间的通讯。

通过将两个终端的呼叫连接到MP2上，由MP2转发媒体流来实现穿越FW4的功能。通过增加MP2，由ALG1控制其工作，使终端之间的呼叫变为终端与MP2之间的呼叫，由MP2协调终端之间的信息交流。在呼叫建立过程中，ALG1能够修改它收到的协议信令中相关部分的地址和端口信息，使通信的终端之间都能通过MP2进行媒体流的转发。

本发明解决了软交换穿透防火墙的问题，并且整个过程都采用标准软交换协议，对终端和防火墙都没有特殊要求。

下面对ALG1和MP2的工作原理、网络组成以及实现进一步描述：

1、ALG1

ALG1还可以处理第五层的众多会话信令协议，修改数据包头的地址，从而实现ALG1内外网地址变换。它不是简单地察看、修改包头信息来决定数据包是否可以通过，而是通过更深层的分析数据包负载内的数据，也就是应用层的数据。H.248/Megaco、MGCP和SIP协议都在负载中放了重要的控制信息，例如语音和视频终端使用哪一个数据端口来接收别的终端的语音和视频数据。

2、MP2

MP2是专用于语音、视频、传真数据流的转发设备。根据会话关联的数据通道，为通讯双方的媒体流分别作接收和发送的替换，即收到主叫发出的媒体流即时转予被叫，收到被叫的数据也即时转给主叫方，实时收发并与会话同步；会话结束时，该通道内的转发动作也停止，关联的通道也随之拆除，从而实现复杂软交换网络环境中终端的媒体互通。MP2作为已有的产品引入使用。

为实现与MP2的交互，在呼叫控制功能中，ALG1应被告知呼叫双方终端的在网络中的位置，并能在H.248/Megaco、MGCP、SIP媒体控制协议的SDP(即会话描述协议)中修改媒体发送和接收地址及端口。

MP2与ALG1能够直接通讯，事实上它们经常在同一台机器上。ALG1控制MP2工作，协调呼叫建立过程，它使多媒体终端之间的通讯转变为由MP2来代理。MP2一般部署在公网上，具有独立的、可路由的IP地址，通过百兆或千兆以太网适配器，提供对呼叫媒体的中转。MGC5和ALG1相配合，提供对呼叫信令的接续。软交换网络可以与传统的PSTN网(即公共电话交换网)之间用中继网关连接，实现基于IP网的多媒体终端与公共电话交换网的互通。

二、基于ALG+MP的软交换网络穿越防火墙的方法

本方法具有下列步骤：

①通讯终端通过注册或状态报告直接MGC5，或者通过连接ALG1，由ALG1的代理作用来间接连接MGC5进而可以确定其位置；

②通过ALG1和MP2，终端完成呼叫信令的建立，同时MP2准备好媒体数据通道，开始媒体流的收发中转；

③MP2保证呼叫中所需的数据通道，持续转发媒体直至该次会话结束；

④呼叫结束后，ALG1释放掉相关的资源，MP2关闭会话相关数据通道，释放资源，提供会话统计信息。

下面针对上述步骤，结合图2进行详细阐述：

图2中，ALG1有两个网卡，将网络分成两个部分：A侧和B侧。MGC5位于B侧，A、B两侧不可以交换，MGC5只能在B侧。A侧可以有多级NAT，B侧不能有NAT。一套MGC5可以连接多个ALG1。

通常意义上的ALG1和MP2在一台机器上同时运行。在A侧看来，ALG1就如同MGC5，A侧的所有用户，不管是否在NAT后，都向ALG1注册或者发引导呼叫。对B侧来说，ALG1就如同一个防火墙，充当对MGC5侧的保护。当A侧的MGC5代理收到注册消息时，会在B侧生成相应的终端代理节点，每一个终端都会映射成相应的终端代理节点，再由终端代理节点向MGC5进行转发。每次当有消息通过ALG1转发时，ALG1都会根据具体消息内容进行必要的地址和端口替换，以使媒体流能通过MP2设备转发。如果媒体流要通过两个MP2设备转发(当使用多个ALG1时)，ALG1会根据需要决定是否主动向MP2联系以使媒体流的转发顺畅。

图2中A侧有两个IAD86，各接有3部普通话机7，它们通过以太网与ALG1连接，之间有FW4；B侧ALG1通过以太网与MGC5连接，同时B侧有一个IAD86，其上也接有3部普通话机7；为了观察ALG1工作，设计了SPY 8，通过SPY 8来观察其内部工作状态。检查网络部分，从A侧的两个IAD 6到ALG1的A网卡10畅通，MGC5到B侧的IAD 6、ALG1的B网9卡畅通。

首先，多媒体终端进行注册，建立一个从多媒体终端到控制器的通道。可以直接注册到MGC5上或通过ALG1的代理间接注册到MGC5上。由于FW4的NAT处理单元对私网地址和公网地址的会话表有一定的生命期，当一定时间内没有数据包收发时，FW4就会把此唯一的对应关系撤销。所以需要MGC5定时刷新这个通道。刷新的方式是MGC5和终端之间保持定期发送数据，如一些与呼叫无关的查询消息。如果是通过ALG1的代理间接注册到MGC5上，这些消息要经过ALG1中转。这条信令通道将提供对多媒体终端的语音、视频、文件、数据媒体传输通道的控制。

同时，FW4内设备发送的数据包在穿越了一个或多个FW4后，协议包内包含的地址是一个不可路由的私网地址，所以发送应答包时不能以这个地址回应，而是以它到达ALG1所经过的最后一个FW4的地址来回应。通过到达的数据包中含有的如用户标识或电子邮件注册信息，此时ALG1维护好一张地址映射表，所有完成注册验证的终端，通过该对应表得以唯一区别并定位。这样对于软交换系统来说，可以认为就是该表所示地址的终端完成了注册，已准备好可以发起和接受呼叫，终端本身已不必关心在呼叫建立的路径上经过了多少个FW4。

下一步，当通讯双方都保证信令通道以后，双方即可准备通讯了。其中一方作为主叫向MGC5发起呼叫，或者通过ALG1的代理间接向MGC5发起呼叫。MGC5解析目标地址，向另一方发起呼叫。另一方可以在同一个或不同的ALG1上，也可以是不通过ALG1直接注册到MGC5上的。ALG1会负责将双方交互的协议消息中必要的部分进行地址和端口替换，使它们能通过媒体代理服务器2进行媒体流的通信。对方应答后，ALG1将两方都连接到MP2，并通知它呼叫已经建立，控制它打开通道，准备数据收发的缓冲区，同时让它启动一个单独的处理单元，以完成这个会话的所有的媒体流连接工作。软交换协议如SIP、H.248/Megaco、MGCP协议中都有对终端能力集的描述，它决定媒体流的协商和建立过程。具体媒体流收发地址和端口的分配，则由ALG1来完成。例如，话音、视频等数据流传输相关协议为RTP实时传输协议及RTCP控制协议，控制分配RTP(实时传输协议)和RTCP(实时传输控制协议)地址对作为呼叫发起端的接受地址，避免了出口NAT对RTP/RTCP地址端口号的任意分配，使得一方无法收到对方发过来的RTCP报文(对端发RTCP报文时，目的端口号缺省按RTP端口号加1发送)。通讯期间媒体流中DTMF(即双音多频)信号也会经由媒体代理服务器送出作进一步处理。

此时，完成接续的通讯双方终端，在媒体流不断经由MP2转发下，得以正常通讯，直到最后拆线。媒体代理服务器的处理单元必须关联双方，并监控媒体流的状态。

最后当会话结束时，MP2停止收发双方终端媒体流，关闭会话使用的所有数据通道，释放会话相关的资源和连接，同时报告会话统计信息。

实际组网中，MGC5有时也部署在私网上，这种方案常常应用于拥有较多私网资源，对安全性要求较高的情况。当MGC5位于私网时，则必须要一个ALG1或类似功能的设备与之配合。作为MGC5的受信设备，它代理公网到私网的穿越，保证与处于公网的媒体代理之间的交互，共同完成此种情况下多媒体终端间的通讯。

以上步骤描述了各种复杂网络情况下本技术方案所提出的通讯方式。

目前，多家设备提供商已有下一代网络中多媒体业务的防火墙穿越方案或应用，本发明方案是在综合考虑了组网灵活性，应用可扩展性，对现有设备改造、资源管理、网络安全等因素后提出的，应用在具有较多分支机构的企业内部、企业与企业之间，具有很好的效果。

本发明具有以下优点和积极效果：

1、支持标准软交换协议，不对终端设备提出额外要求，ALG1没有使用任何协议与应用客户端联系，FW4内的终端既可作为主叫也可以作被叫。

2、将MGC5和ALG1的功能分离，使得MGC5的功能单一化，ALG1就如同一个边界控制器。

3、可以通过多级FW4，方案不破坏其原有构建的安全性，私网内资源信息被很好地屏蔽。

4、系统部署非常灵活。核心的ALG1这一模块，兼顾各种网络环境。作为一个逻辑部件，它可以和MP2集成在一个物理设备上，也可以分开在不同设备上。部署该系统后也不影响原网络中的业务，能够支持《软交换设备总体技术规范》中规定的音频、视频、传真等应用。

5、ALG1主要完成两个不同网段的穿越和互通，适合不同运营商网络的互通。在实际应用时，网络升级扩展容易。

6、跨平台的设计和实现，可以运行于主流的Linux、Unix或Win32操作系统之上，用户根据不同的安全级别或使用要求选择不同的系统平台。

附图说明

图1-现有软交换网络工作原理图；

图2-本系统工作原理图；

图3-本系统实施例工作原理图；

图4.1-应用层网关程序工作流程图(上部)，

图4.2-应用层网关程序工作流程图(下部)。

其中：

1-应用层网关，1.1-第1应用层网关，1.2-第2应用层网关，1.n-第n应用层网关；

2-媒体代理服务器，2.1-第1媒体代理服务器，2.2-第2媒体代理服务器，2.n-第n媒体代理服务器；

3-局域网交换机；

4-防火墙；

5-软交换控制器；6-综合接入设备；7-普通话机；8-侦听工具；

9-B网卡；10-A网卡；11-IP话机；12-中继网关；

A-IP骨干网；B-PSTN网；C1-第1私网，C2-第2私网，Cn-第n私网；

a-信令数据通道；

b-媒体数据通道。

主要缩略语：

NAT-网络地址转换；

FW-防火墙；

ALG-应用层网关；

MP-媒体代理服务器；

MGC-软交换控制器；

IAD-综合接入设备；

SPY-侦听工具。

具体实施方式

下面结合附图和实施例进一步说明：

1、系统

图3是一个典型的ALG组网方案图。

第1私网C1和第1ALG1.1的A网卡10连接的网络位于同一网段，

第2私网C2和第2ALG1.2的A网卡10连接的网络位于同一网段，……，

第n私网Cn和第nALG1.n的A网卡10连接的网络位于同一网段；

多个ALG1和一套MGC5互通；MGC5或在在私网中，或在公网中；

和MGC5互通的每个ALG1都通过A网卡10和B网卡9将两个网段的网络互连。

MGC5上只可以有直接注册的终端，如果要在MGC5的下一级私网中有注册终端，可以通过将下一级私网使用ALG1和MGC5互通来实现，这样就将MGC5和ALG1的功能分离，使得MGC5的功能单一化，ALG1就如同一个边界控制器。

第1ALG1.1的网卡A侧的终端用户视第1ALG1.1为MGC5，第2ALG1.2的网卡A侧的终端用户视第2ALG1.2为MGC5，……，第n ALG1.n的网卡A侧的终端用户视第n ALG1.n为MGC5。所有的用户注册或发起呼叫等，都直接与相应的ALG1通信。ALG1再转发所有的呼叫信息到网卡B侧的MGC5中。ALG1可以看作一个NAT，它仅仅只是对呼叫有作用，对于其它的与呼叫无关的数据包，不存在任何安全方面的隐患。网卡B侧的用户均注册到MGC5上，与ALG1无关。

每个ALG1都控制一个MP2。直接注册在MGC5上的终端之间可以直接发送媒体流，即终端之间的媒体流不通过MP2中转；但是只要有一个用户注册在ALG1上，媒体流就必须通过MP2。一个MGC5上的终端和一个ALG1上的终端之间的媒体流需要通过该ALG1所控制的MP2进行中转；同一个ALG1上的两个终端之间的媒体流也需要通过该ALG1所控制的MP2进行中转；两个不同ALG1上的终端之间的媒体流需要通过这两个ALG1所控制的MP2的中转，即媒体流要通过两次中转。

考虑到PSTN网B的用户，增加了中继网关(TG)12，中继网关12和MGC5必须在同一网段，可以减轻ALG1的处理负担，保障良好的QOS(即服务质量)。

MGC5可以位于公网，也可以位于私网，图3中是位于公网上；MGC5、ALG1与媒体代理之间相互协调、控制整个会话，并可根据终端具体位置作策略上的优化，共同完成各种复杂网络环境下多媒体终端的通讯。

2、ALG1

ALG1的工作流程如图4所示，包括下列步骤：

1-1，读配置文件，初始化资源管理模块；资源管理模块主要负责地址端口等资源的分配和释放。

1-2，读配置文件，初始化各个协议模块；在A侧生成MGC的代理节点，同时初始化IAD代理的管理结构。

1-3，判断A侧是否有消息到达，是则继续步骤1-4，否则跳到步骤1-6；

1-4，A侧MGC代理收到消息时；如果是注册消息则在B侧生成相应的IAD代理节点，否则查找相应的IAD代理节点。

1-5，如果是其它消息，则判断是否需要修改消息中的地址端口；是则调用资源管理模块获得分配的地址端口进行修改，然后由B侧的IAD代理节点向MGC进行转发。

1-6，判断B侧是否有消息到达，有则继续步骤1-7，否则跳到1-3；

1-7，B侧IAD代理收到消息时；判断是否需要修改消息中的地址端口；是则调用资源管理模块获得分配的地址端口进行修改，然后由A侧的MGC代理进行消息转发。

1-8，判断呼叫信令流程是否完成，是则继续步骤1-9，否则跳到步骤1-3；

1-9，继续上述过程，直到呼叫信令流程完成，ALG1控制MP2打开通道，准备转发媒体流。这时呼叫的双方都通过MP2的媒体流转发进行通信。

1-10，判断呼叫是否释放，是则继续步骤1-11，否则等待呼叫释放；

1-11，当呼叫释放时，ALG1会相应地回收被呼叫占用的各种资源。

2、方法

结合具体的呼叫流程：

1、主叫和被叫的终端连上私网后即可开始发出注册请求，消息分别经由信令数据通道a穿过所在私网的防火墙4，抵达ALG1的A侧，经过ALG1的处理后从ALG1的B侧转发给MGC5。ALG1会映射每一个终端到一个终端代理上，由终端代理负责和B侧的MGC5通讯。到达MGC5的数据包中记录有最后经过的防火墙公网侧地址，验证通过后有为其分配的用户号码，这些使通讯双方的终端拥有可路由的公网地址以及可定位的号码。

2、主叫发起呼叫时，呼叫信令通过ALG1转发给MGC5，MGC5查找到被叫，被叫可以在同一个或不同的ALG1的A侧，也可以是不通过ALG1直接注册到MGC5上的。当呼叫信令通过ALG1时，ALG1会对信令中的地址和端口进行必要的替换，使主被叫能通过MP2进行媒体流的相互转发。如果主被叫在不同的ALG1上，媒体流需要通过这两个ALG1所控制的MP2的中转，即媒体流要通过两次中转，其间ALG1视需要可能会向它控制的MP2联系，告知另一个MP2的地址和端口，以使媒体流的两次中转能顺利进行。

3、通过控制数据通道，ALG1和ALG1相互协调，作用于整个呼叫过程。过程涉及建立和控制媒体通道，分配RTP/RTCP端口地址对等。MP2经由媒体数据通道不断进行媒体流的转发，直至会话结束。

4、MGC5发现一方挂机时，通知对方，同时当呼叫释放的信令通过ALG1时，ALG1会释放本次呼叫相关的资源以及分配的端口地址对等。至此，一个穿越私网的呼叫成功完成。

以上说明了一个典型的软交换网络中，使用本实施方案，通过ALG1和MP2的中转功能，顺利地实现了两个处于不同私网的终端通讯。

Claims (1)

1、一种基于ALG+MP的软交换网络穿越防火墙的系统，其特征在于：

由ALG(1)、MP(2)、局域网交换机(3)、FW(4)、MGC(5)、IAD(6)、普通话机(7)、SPY(8)组成；

普通话机(7)通过IAD综合接入设备(6)接入局域网交换机(3)再到IP网中，在MGC(5)的控制下进行呼叫；又通过设置的ALG(1)和MP(2)配合MGC(5)完成FW(4)的穿透；ALG(1)建立起通信终端和MP(2)的通信连接，经过MP(2)的媒体流转发来实现终端之间的通讯；

所述的ALG(1)是针对特定应用进行处理转换的代理设备，使在某一地址域的主机与处在不同域的对端透明地建立联系，创建应用；配合MGC(5)来完成穿透FW(4)，实现NAT两侧用户端呼叫的发起、维持和终止；

其中：NAT-网络地址转换；FW-防火墙；ALG-应用层网关；MP-媒体代理服务器；MGC-软交换控制器；IAD-综合接入设备；SPY-侦听工具；

第1私网(C1)和第1ALG(1.1)的A网卡(10)连接的网络位于同一网段，

第2私网(C2)和第2ALG(1.2)的A网卡(10)连接的网络位于同一网段，

依次类推，直到

第n私网(Cn)和第nALG(1.n)的A网卡(10)连接的网络位于同一网段；

多个ALG(1)和一套MGC(5)互通；MGC(5)或在在私网中，或在公网中；

和MGC(5)互通的每个ALG(1)都通过A网卡(10)和B网卡(9)将两个网段的网络互连；

ALG(1)的工作流程包括下列步骤：

1-1，初始化资源管理模块；

1-2，初始化各个协议模块；

1-3，判断A侧是否有消息到达，是则继续步骤1-4，否则跳到步骤1-6；

1-4，A侧MGC代理收到消息时，如果是注册消息则在B侧生成相应的IAD代理节点，否则查找相应的IAD代理节点；

1-5，判断是否需要修改消息中的地址端口，是则调用资源管理模块获得分配的地址端口进行修改，然后由B侧的IAD代理节点向MGC进行转发；

1-6，判断B侧是否有消息到达，是则继续步骤1-7，否则跳到步骤1-3；

1-7，B侧IAD代理收到消息时，判断是否需要修改消息中的地址端口，是则调用资源管理模块获得分配的地址端口进行修改，然后由A侧的MGC代理进行消息转发；

1-8，判断呼叫信令流程是否完成，是则继续步骤1-9，否则跳到步骤1-3；

1-9，ALG(1)控制MP(2)打开通道，准备转发媒体流；

1-10，判断呼叫是否释放，是则继续步骤1-11，否则等待呼叫释放；

1-11，当呼叫释放时，ALG(1)回收被呼叫占用的各种资源。

Images