WO2005062546A1 - Procede de conversion et de traversee d'une adresse reseau et son systeme - Google Patents

Description

实现网络地址转换穿越的方法及其系统 技术领域 本发明涉及下一代网络（Next Generation Network, 筒称 "NGN" ) 中通信技术领域， 特别涉及 NGN中实现网络地址转换穿越的方法及其 系统。 发明背景

NGN是电信史的一块里程碑， 它标志着新一代电信网络时代的到 来。从发展的角度来看， NGN是从传统的以电路交换为主的公用电话交 换网 （ Public Switched Telephone Network, 筒称 "PSTN" ) 中逐渐迈出 了向以分组交换为主的步伐， 它承载了原有 PSTN网络的所有业务， 把 大量的数据传输卸载到网间互联协议（Internet Protocol, 简称 "IP" ) 网 络中以减轻 PSTN网络的重荷，又以 IP技术的新特性增加和增强了许多 新老业务。 从这个意义上讲， NGN是基于时分多路复用 （ Time Division Multiplexing, 简称 "TDM" ) 的 PSTN语音网络和基于网间互联协议 / 异步传输模式（IP/ATM )的分组网络融合的产物， 它使得在新一代网络 上语音、视频、 数据等综合业务成为了可能。 目前， NGN成为了研究的 热点。

NGN在功能上可分为四个层次: 接入和传输层、媒体传送层、 网络 控制层、 网络服务层。 软交换（SoftSwitch )为 NGN提供具有实时性要 求的业务的呼叫控制和连接控制功能， 是 NGN呼叫与控制的核心。 软 交换构件（SoftX )为 NGN的网络控制层的关键构件， 是提供综合业务 和呼叫控制的设备。 其主要作用包括： 呼叫控制、信令网关、 网关控制、 综合业务、 增强业务等。

随着 NGN网絡逐步从实验走向商用， NGN用户的接入问题越来越 成为一个严重的问题。 由于 NGN是一个基于分组网承载的网络， 接入 用户都是通过 IP地址来寻址， 而当前网络由于 IP地址紧缺以及安全等 各种原因，大量的企业网和驻地网基本上都采用了私有 IP地址通过出口 的网络地址转换 /防火墙（NAT/FW )接入公网。

然而，目前 NGN中，在 IP上承载诸如 H.323、会话初始协议（ Session Initiationl Protocol , SIP )、 网关控制协议 ( Media Gateway Control Protocol , MGCP )、 H.248 等语音和视频协议时， 由于报文的负载中有 与报头不一样的地址，使得这些协议的控制通道 /媒体通道难以穿越传统 的 NAT/FW设备与公网进行互通。 其具体原因可通过对 NAT/FW的分 析得知：

防火墙， 即 FW, 用于限制数据包无限制的进入网络内。 一般是设 定一些包过滤原则， 防火墙通过检查数据包的源地址、 目标地址、 源端 口、 目标端口和协议来判断数据包是否符合过滤原则， 符合的数据包才 可以通过防火墙。 在实际应用时， 通常将一些需要外界访问的服务器， 如 Web服务器等放在这个区域内， 配置防火墙， 使所有发往这些服务器 的对应端口的数据包可以通过。 在进行多媒体通信时， 即使防火墙可以 让最初建立呼叫的发往固定端口的数据包进入，由于音 /视频通信需要通 过动态分配端口来建立发送和接收数据的通道， 其范围较大且无法事先 预知内部终端的 IP地址和端口信息， 防火墙不可能不顾局域网的安全， 开放这么大的包过滤范围。

另一方面， 再从 NAT考察有关原因：

NAT用于隐藏局域网 IP地址、 保护局域网内主机不受外界攻击。 由于局域网内的地址无法在公网上进行路由寻址， 当数据包的目标地址 是 LAN 内地址时， 数据包只能被丟弃掉。 在进行多媒体通信时， 如果 H.323 被叫方的地址是局域网地址， 则该呼叫的数据包根本无法到达局 域网内终端。 当从局域网内向外发起呼叫时， 呼叫方的 IP地址， 即局域 网 IP地址，和端口信息会加载在数据包的负载中，被叫方接收到数据包 后， 根据数据包负载中的源 IP地址和端口发送音频、 视频流， 当这个 IP地址是一个无法进行路由寻址的 IP时， 即上述局域网 IP地址无法进 行路由寻址的情况， Internet上的路由器只能将这些数据包丟掉。 因此， 表面上看起来呼叫已经建立，但实际上在： NAT内的终端是无法接收到外 面终端的音频和视频的。 另外， NAT还通过网络地址 /端口转换使局域 网内的多个终端能够共享较少数量的公网 IP地址。如在局域网内的某个 终端执行某个应用时， 将其局域网 IP地址和端口映射成网关的外网 IP 地址和端口。 在多媒体通信时， 只有多媒体流通道是从内向外建立时， NAT设备才可以建立对应的端口映射关系， 传送到网关的外网 IP地址 上的多媒体流才可正确地传送到局域网的终端。 如果多媒体流通道是从 外向内建立的，则 NAT设备无法建立映射关系，多媒体流的传送会失败。 再有， 如果这些通道采用的是超时的机制维持， 如果在超时时间内该通 道没有数据传送， 这个映射关系就会被取消掉， 在多媒体通信时， 如果 需要有很长时间停止通道上多媒体数据传送时， 需要采取一定的措施来 维持通道的建立。

上面详细分析了音频、 视频业务无法通过 NAT/FW的原因。 然而， NGN网络最大的好处之一就是能为用户提供丰富的业务，特别是为企业 用户提供语音、 数据、 视频融合的业务， 因此上面所提到问题的解决就 更加的迫切， 成为目前 NGN网络业务开展最大的障碍。 另一方面， 宽 带接入网絡由于大多不属于运营商网络， 运营商无法对其进行统一规 划， 使得接入网絡的 IP地址问题、 业务质量保证（Quality of Service , 筒称 "QoS" )和安全保证问题、 实时会话业务和数椐业务的区分等问题 难以得到解决， 这些问题成为困扰运营商的重要方面。

目前业界现有的解决方法有应用层网关方式 （Application Layer Gateway, 简称 "ALG" )、 中间盒通讯方式（ Middlebox Communication, 筒称 "MIDCOM" )、 用户数据报协议（User Datagram Protocol, UDP ) 对 NAT 的简单穿越方式（Simple Traversal of UDP Through Network Address Translators , 筒称 "STUN"；)、 通过中继^"式穿越 NAT 方式 ( TURN )o

下面简单说明上述各种现有技术的内容。

第一种： ALG方式。 普通 NAT是通过修改 UDP )或传输控制协议 ( Transfer Control Protocol , TCP )报文头部地址信 、实现地址的转换， 但部分承载于 TCP UDP的应用， 如多媒体会话、文件共享、 游戏等 "端 到端" 的应用， 在 TCP/UDP 负载中也需带地址信息。 一般情况下， 应 用程序在 TCP UDP负载中填写自身地址， 此地址信息在通过 NAT时被 修改为 NAT上对外的地址， 即我们常说的 ALG方式。

ALG功能目前主要驻留在一些 NAT/Firewall设备中， 要求这些设 备本身具备应用程序识别的智能。 同时每增加一种新的应用程序都需要 对 NAT/Firewall进行升级。

对 NGN业务应用， ALG 需要支持 IP语音和诸如 H323、 SIP、 MGCP/H.248等视频协议的识别和对 NAT/Firewall 的控制， 以使 NGN 业务顺利穿越。

ALG的关键点为： 企业网 /驻地网内部终端能穿透 NAT/ALG注册 到公网 SoftX上， 通过 SoftX进行协议解析和呼叫处理。 公网 SoftX和 企业网终端通过 SIP/H.323/MGCP/H.248 协议互通， NAT/ALG需要识别 SIP/ H.323/MGCP/H.248协议信令并建立媒体流通道， 以支持媒体流顺 利穿越 NAT/FW。

ALG是支持 NGN应用一种最筒单的方式， 但由于网络实际情况是 已部署了大量不支持 NGN业务应用的 NAT/FW 备。

第二种情况： MIDCOM方式。 MIDCOM与 ALG不同， MIDCOM 的框架结构是采用可信的第三方 MIDCOM代理 （Agent ) 对中间盒 ( Middlebo ) 进行控制的机制， 应用业务识别的智能也由 Middlebox 转移到外部的 MIDCOM Agent上， 因此应用协 i义对 Middlebox是透明 的 。

由于应用业务识别的智能从 Middlebox移到夕卜部的 MIDCOM Agent 上， 根据 MIDCOM 的架构， 在不需要更改 Middlebox基本特性的基础 上，通过对 MIDCOM Agent的升级就可以支持更多的新业务，这是相对 ALG方式的一个很大的优势。

在 NGN 业务实际应用中， Middlebox 功能可驻留在 NAT/FW, MIDCOM Agent功能可驻留在 SoftX。 通过软交换设备中的 MIDCOM Agent对 IP语音和诸如 H.323、 SIP、 MGCP/H.248等视频协议的识别和 对 NAT/ FW的控制， 它可以作为 NGN业务穿越: NAT/FW的一个解决 方案。

MIDCOM方式的关键点为：公网 SoftX通过 MIDCOM协议对私网 边缘的 NAT/FW 设备进行控制， SoftX 别主、 被叫侧的 SIP/H323/MGCP/H248协议， 如主、 被叫侧均为局内的私网用户， SoftX 需要通过 MIDCOM协议控制主、 被叫两侧的 NAT/FW, 在 NAT/FW上 创建了媒体流通道后， 媒体流可顺利穿越 NAT/FW。

由于软交换设备 SoftX上已实现了对 SIP/H323/MGCP/H248协议的 识别， 只需在 NAT/FW设备上增加 MIDCOM协汉即可， 而且以后新的 应用业务识别随着软交换的支持而支持， 因此这仲方案是一种比较有前 途的解决方案， 但现有的 NAT/FW设备需升级支持 MIDCOM协议。 第三种： STUN方式。 解决 NGN NAT问题的另一思路是， 局域网 内的用户终端通过某种机制预先得到其地址对应在出口 NAT上的对外 地址，然后在报文负载中所描述的地址信息就直接填写出口 NAT上的对 外地址， 而不是该用户终端的在局域网内的 IP地址，这样报文负载中的 内容在经过 NAT时就无需被修改了， 只需按普通 NAT流程转换报文头 的 IP地址即可， 负载中的 IP地址信息和报文头的 IP地址信息又是一致 的。 STUN协议就是基于此思路来解决应用层地址的转换问题。

用户的应用程序，作为 STUN客户端（CLIENT )向 NAT外的 STUN 服务器 （SERVER )通过 UDP发送请求 STUN 消息， STUN SERVER 收到请求消息， 产生响应消息， 响应消息中携带请求消息的源端口， 即 STUN CLIENT在 NAT上对应的外部端口。 然后， 响应消息通过 AT 发送给 STUN CLIENT, STUN CLIENT通过响应消息体中的内容得知其 在 NAT上对应的外部地址，并且将其填入以后呼叫协议的 UDP负载中， 告知对端 , 本端的实时传输协议 ( RealTime Transfer Protocol , RTP )接 收地址和端口号为 NAT外的地址和端口号。 由于通过 STUN协议已在 NAT上预先建立媒体流的 NAT映射表项， 故媒体流可顺利穿越 NAT。

STUN协议最大的优点是无需现有 NAT/FW设备做任何改动。 由于 实际的网络环境中， 已存在大量的 NAT/FW, 并且这些 NAT/FW并不支 持分组语音（ Voice over IP, VoIP )的应用，如果用 MIDCOM或 NAT/ALG 方式来解决此问题， 需要替换现有的 NAT/FW, 这是不太容易的。 而采 用 STUN方式无需改动 NAT/FW, 这是其最大优势， 同时 STUN方式可 在多个 NAT串联的网络环境中使用，但 MIDCOM方式则无法实现对多 级 NAT的有效控制。

根据 STUN原理， STUN SERVER必须放在公网中， 可以内嵌在公 网 SoftX中， 由于通过 STUN协议已在 NAT上预先建立媒体流的 NAT 映射表项， 故媒体流可顺利穿越 NAT。

STUN的局限性在于需要应用程序支持 STUN CLIENT的功能， 即 NGN的网络终端需具备 STUN CLIENT功能。同时 STUN并不适合支持 TCP连接的穿越， 因此不支持 H.323 应用协议。另外 STUN方式还不支 持 NGN业务对防火墙的穿越， 同时 STUN方式不支持对称 NAT类型的 穿越。

第四种： TURN方式。 TURN方式与 STUN相似， 其解决 NAT问 题的思路也是基于私网接入用户通过某种机制预先得到其私有地址对 应在公网的地址， 然后在报文负载中所描述的地址信 ·就直接填写该公 网地址。 不同的是， STUN方式预先得到的地址为出口 NAT上的地址， TURN方式预先得到的地址为 TURN服务器 （SERVER )上的地址。

TURN应用模型如图 1所示，实现 TURN方式的系、统包括分组用户 终端 10、 11 , NAT FW 20, 21 , SoftX 40、 41以及 TURN SERVER50。 它通过分配 TURN Server 的地址和端口作为 TURN 客户端 （TURN CLIENT )对外的接受地址和端口， 即局域网内用户终端发出的报文都 要经过 TURN SERVER进行中继转发。值得指出，这 是 STUN方式与 TURN方式区别最大的地方。 这种方式除了具有 STUNT方式的优点外， 还能解决 STUN方式中应用无法穿透对称 NAT ( Symmetric NAT ) 以及 防火墙设备的缺陷， 即无论企业网 /驻地网出口为哪种类型的 NAT/FW, 都可以实现 NAT的穿透， 同时 TURN支持基于 TCP的应用， 如 H.323 协议。 此外 TURN SERVER控制分配地址和端口， 能分配实时传输协议 ( RealTime Transfer Protocol ， 简称 "RTP" ) /实时传输控制协议 ( RealTime Transfer Control Protocol , 筒称 "RTCP" ) 地址对作为本端 客户的接受地址， 其中 RTCP端口号为 RTP端口号力口 1 , 从而避免了 STUN应用模型下出口 NAT对 RTP/RTCP地址端口号的任意分配，使得 客户端无法收到对端发过来的 RTCP报文。

TURN的局限性在于需要终端支持 TURN CLIENT,这一点同 STUN 一样对网络终端有要求。 此外， 所有报文都必须经过 TURN SERVER转 发， 增大了包的延迟和丢包的可能性。

综上所述， 上述四种方案分别存在以下问题：

对于 ALG方式， 不但需要对现有的大量 NAT/FW进行改造以支持 ALG, 而且 NAT/FW此时难以支持业务的变化， 还有因为 ALG 不能识 别加密后的报文内容， 所以必须保证报文采用明文传送， 这使得报文在 公网中传送时有艮大的安全隐患。

对于 MIDCOM方式， 需要对现有大量的 NAT/FW进行升级以支持 MIDCOM。 而且， 运营商难以对属于企业的 NAT/FW进行升级和管理。

对于 TURN方式， 需要 NGN的网络终端具备 TURN Client功能， 此外如果多媒体终端的信令收端口和发端口不一致， RTP/RTCP 的收端 口和发端口不一致则可能造成无法穿越 NAT的问题。

对于 STUN方式， 除了具有与 TUR —样的问题， 即需要网络终 端支持和会因端口配置不一致而无法穿越 NAT夕卜， 还不支持 TCP连接 穿越和对称 NAT的穿越。

造成上述些缺点的主要原因在于，一方面， ALG、MIDCOM、 STUN、 TURN方式的实现需要 NAT/FW或用户终端的支持； 另一方面， 由于各 种方式本身的缺陷， 使得它们在面对一些应用无能为力。 发明内容

有鉴于此， 本发明的主要目的在于提供一种实现网絡地址转换穿越 的方法及其系统， 使得在任何组网形式下实现穿越时均不需要对现有的 NAT/FW和用户终端进行改造。

为实现上述目的 ,本发明提供了一种实现网络地址转换穿越的方法， 包含以下步驟：

A 当网络地址转换服务器或防火墙以外的代理服务器收到来自第 一网絡内分组用户终端的信令报文时， 对该信令 艮文负载信息进行解 析， 记录该报文负载中的呼叫信令地址和端口， 以及媒体流实时传输协 议和实时传输控制协议地址和端口， 并且将该报文负载信息中的呼叫信 令地址和端口修改为所述代理服务器为该呼叫分酉 &的在第二网络中的 呼叫信令地址和端口， 将该报文负载信息中的媒体流实时传输协议和实 时传输控制协议地址和端口修改为所述代理服务器为该媒体流分配的 在第二网络中的地址和端口；

B 所述代理服务器将修改后的所述信令报文发送到分组语音信令 处理设备或业务处理设备；

C 当所述代理服务器收到发向所述第一网络内分组用户终端的回 应信令报文时， 对该回应信令报文负载信息进行觯析， 将该报文负载信 息中回应信令地址和端口修改为步骤 A 中所记录的呼叫信令地址和端 口， 将该报文负载信息所携带的媒体流实时传输协、议和实时传输控制协 议地址和端口，修改为步骤 A中所记录的媒体流实时传输协议和实时传 输控制协议地址和端口；

D 所述代理服务器将修改后的所述回应信令 艮文发向所述第一网 络内分组用户终端。

在步骤 A之前， 该方法可以进一步包括：

第一网絡内的分组用户终端向所述代理服务器发送信令报文， 该信 令报文先被发送到网络地址转换服务器或防火墙， 网络地址转换服务器 或防火墙为该信令报文分配公网地址 /端口， 并将该信令报文 IP头的源 地址从第一网络的地址 /端口修改为为其分配的公网地址 /端口， 并在信 令地址映射关系中记录所述第一网络地址 /端口与网络地址转换服务器 或防火墙分配的公网地址 /端口之间的对应关系 ,然后把该信令报文转发 到所述代理服务器。

在执行步骤 A后， 可以包括：

所述代理服务器定期向所述第一网络内分组用户终端发起报文， 刷 新所述网络地址转换服务器或防火墙上的信令地址映射关系。

步骤 A还可以进一步包括：

当所述代理服务器收到来自所述笫一网络内分组用户终端的呼叫信 令时，记录该呼叫信令的报文 IP头地址和端口， 并将其修改为所述代理 服务器为该呼叫分配的在第二网絡中的呼叫信令地址和端口；

则步骤 C进一步包括：

当所述代理服务器收到发向所述第一网络内分组用户终端的呼叫信 令时，将该呼叫信令的寺艮文 IP头地址和端口 4 改为所述被记录的呼叫信 令的报文 IP头地址和端口。

其中， 所述分组语音信令处理设备或业务处理设备是软交换设备或 IP语音网守设备。

本发明提供的一种实现网络地址转换穿越的系统包含：

位于第一网络内分组用户终端, 用于发起和接收业务;

位于第二网絡内的代理服务器， 用于接收来自第一网絡的所述分組 用户终端的信令报文， 对该信令报文的报文负载信息进行解析， 记录该 报文负载中的呼叫信令地址和端口， 以及媒体流地址和端口， 并且将该 报文负载中的呼叫信令地址修改为所述代理服务器为该呼叫分配的在 第二网络中的呼叫信令地址和端口， 将该报文负载中的媒体流地址和端 口修改为所述代理服务器为该媒体流分 ®£的在第二网絡中的地址和端 口， 然后将修改后的所述信令拫文发送到所述软交换设备， 和， 当所述 代理服务器收到发向所述第一网络内分组用户终端的回应信令时， 对该 回应信令的报文负载信息进行解析， 将该报文负载中回应信令地址和端 口修改为所述被记录的呼叫信令地址和端口， 将该报文负载所携带的媒 体流地址和端口， 修改为所述被记录的媒体流地址和端口， 然后将 "ί 改 后的所述回应信令发向所述第一网络内分組用户终端；

软交换设备， 用于提供综合业务和呼叫控制， 在收到发送给所述分 组用户终端的回应信令报文时转发给所述代理服务器。

该系统可以进一步包括：

网络地址转换服务器或防火墙， 用于为所述分组用户终端提供接入 第二网络的服务， 为所述分组用户终端和所述代理服务器相互转发报 文。

所述分组用户终端可以是使用 Η.323协议、 或会话初始化协议、 或 媒体网关控制协议、 或 Η.248协议进行音频和视频通信的用户终端。

所述代理服务器还可以用于按照流量计费。

所述代理服务器还可以用于用户的接入控制、 带宽管理， 对媒体流 的服务质量标记、 虚拟专用网标记和信息进行加密。

所述代理服务器还用于多个第一网络和第二网络地址对的设置， 同 时实现对多个网络地址转换服务器或防火墙的穿越。

对于媒体流的交互， 所述代理月艮务器还可以采用首包刷新方式来更 新媒体流的会话表项或地址转换关系表项。

通过比较可以发现， 本发明的技术方案与现有技术的区别在于， 本 发明通过代理服务器对 NAT/FW进行穿越， 代理服务器不但对报文 IP 头的地址 /端口进行转换， 而且对 艮文中携带的信令地址 /端口以及 RTP/RTCP地址 /端口也进行转换。 这种技术方案上的区别， 带来了较为明 的有益效果， 即该方案不 需要 NAT/FW设备进行任何改造； 对业务终端没有需求， 不需要终端修 改； 可以实现多层 NAT和对称 NAT的穿越;. 能同时实现对多个企业网 / 驻地网出口 FW/NAT的穿越； 提供用户的接入控制功能， 提供对媒体流 的 QoS标记和信息加密， 解决接入网络中实时会话业务的 QoS保证和 安全问题； 而且还具有刷新 NAT映射表和流量计費的功能。 附图简要说明 图 1是 TURN方式下的系统结构图； 图 2是根据本发明的一个实施例的 FULL PROXY方式的系统结构 图；

图 3 是根据本发明的一个实施例的 FULL PROXY 方式的实现 NAT/FW穿越的方法流程。 实施本发明的方式 为使本发明的目的、 技术方案和优点更力口清楚， 下面将结合附图对 本发明作进一步地详细描述。

本发明釆用全代理 ( FULL PROXY )方式， 通过对私网内用户终端 的呼叫信令和媒体流同时做中继来实现出口 NAT/FW的穿越。

图 2所示为实现本发明 FULL PROXY 式的系统的一个具体实施 例的结构示意图。 为突出本发明， 图 2中只标出与本发明有密切关系的 部分。

如图 2所示，本实施例的系统包括分组用户终端 10和 11、 NAT/FW 20和 21、 代理服务器（PROXY SERVER ) 30、 软交换设备（SoftX ) 40 和 41。 其中， 分组用户终端 10、 11 分别属于不同的网絡， 分别通过 NAT FW 20、 21与 PROXY SERVER30相连； PROXY SERVER30与 SoftX 40、 41相连。 图中实线为媒体流， 虛线为信令流。

分组用户终端 10、11是指使用诸如 H.323、会话初始化协议（ Session Initation Protocol, SIP ), 媒体网关控制十办议 ( Media Gateway Control Protocol, MGCP )、 H.248等音频 /视频协议通信的用户终端。 分组用户 终端是多媒体业务的发起者和接 4欠者， 在私网中， 分别通过 NAT/FW20 和 21 接入公网。 需要指出的是， 本发明中提到的私网和公网只是一个 具体的特例， 实质上只要是两个网络都可以， 可以是不同的局域网， 也 可以一个是局域网， 一个为外部公共网络， 只要一个网络在 NAT/FW之 内， 即认为该网络为私网， 另一个网络在 NAT/FW之外， 即认为该网络 为公网。

NAT/FW 20、 21是指实现 NAT功能和防火墙功能的设备， 通常配 置在私网接入公网的位置。 它一方面用于防止数据包无限制的进入私网 内， 保护私网内主机不受外界攻击； 另一方面通过网络地址端口转换， 隐藏私网 IP地址， 使私网内的多个用户终端能够共享较少数量的公网 IP地址。

PROXY SERVER 30类似于现有技术中的 TURN SERVER, 置于城 域网汇聚层 , 用于实现 FULL PROXY的功能， 即信令代理以及媒体中 继功能。 具体功能如下： PROXY SERVER30在收到来自分组用户终端 10的信令报文时， 对信令报文负载进行解析与处理， 得到该信令报文的 IP 头地址 /端口、 该信令报文负载中的呼叫信令地址 /端口以及该用户终 端接收媒体流地址 /端口，这些地址 /端口为私网地址 /端口。并且， PROXY SERVER30在公网中分别为该信令报文、 该信令艮文的负载中的呼叫信 令以及该用户终端接收媒体流分配呼叫信令地址 /端口。并记录上述私网 地址 /端口与公网地址 /端口的对应关系。

然后， 将信令报文的 IP头地址 /端口修改为 PROXY SERVER30为 该呼叫分配的在公网中的信令报文地址 /端口，将该信 ^艮文负载中的呼 叫信令地址修改为 PROXY SERVER30 为该呼叫分配的在公网中地址 / 端口， 将该信令报文负载中的媒体流地址 /端口修改为 PROXY SERVER30为该媒体流分配的在公网中的地址 /端口。然后将经过地址修 改的信令报文发送到 SoftX 40、 41。当 PROXY SERVER30收到来自 SoftX 40、 41发向分组用户终端 10的信令报文时， 根从自身记录的对应关系 中获取该信令报文的 IP头地址 /端口对应的私网内的 IP头地址 /端口，该 信令报文负载中呼叫信令地址 /端口所对应的私网内的呼叫信令地址 /端 口，以及该信令报文负载中媒体流的地址 /端口所对应的私网内的媒体流 的地址 /端口， 将该信令报文的 IP头地址 /端口修改为私网中信令报文 IP 头地址 /端口； 将该信令报文负载中呼叫信令地址 /端口修改私网中的呼 叫信令地址 /端口； 将该信令报文所携带的媒体流地址 /端口修改为私网 中的媒体流地址 /端口； 最后， 按照修 后的信令报文 IP头地址对该报 文进行转发。这样，呼叫信令以及媒体流就可以通过 PROXY SERVER30 在主被叫之间进行中转。

熟悉本发明领域的技术人员会理觯， PROXY SERVER30可以配置 多个 IP地址对。 如果 PROXY SERVER30上配置有多个私网的 IP地址 或多个公网 IP地址, 则可以用一台设备同时实现对多个企业网 /驻地网 出口 FW/NAT 的穿越或同时代理多个软交换。 通过这种方式确保了 PROXY SERVER30无论在哪种组网模式， 无论 NAT是否对称 NAT, 媒 体流都能得到正确转发。

此外， 通过对信令的处理和分析， PROXY SERVER30不仅得到本 次会话的地址变换情况， 还可以获得带宽需求等服务质量（Quality of Service, 简称 " QoS" )信息。 由此， 它能通过会话状态信息来控制媒体 流的通过与关闭， 起到保护网络、 防范带宽盗用等。 PROXY SERVER30 可以提供对用户的接入控制功能、 带宽管理功能， 提供对媒体流的 QoS 标记、 虚拟局域网 （ Virtual Local Area Network, 简称 "VLAN" )标记 和信息加密。

为了防止 NAT映射表老化问题， 本发明还可以引入 NAT地址绑定 关系的定时刷新机制， 即 PROXY SERVER30在信令解析获得地址后就 定期向分组用户终端 10发起报文， 来刷新企业出口 NAT/FW20上的信 令地址映射关系， 即私网 IP地址 /端口与 NAT/F W20分配的公网上的 IP 地址 /端口的对应关系。 在解决信令地址对企业出口 NAT的穿越后， 对 于媒体流的交互， PROXY SERVER30采用首包刷新方式来更新媒体流 的会话表项或地址转换关系表项， 即在终端发出媒体流后， 经过企业出 口的 NAT/FW20进行转换到达 PROXY SERVER30, 通过首包学习得到 出口 NAT/FW20上动态分配的地址 /端口信息， 从而更新媒体流会话表 项， 建立一个完整的媒体流会话表项， 完成位于公网接入多个企业时的 媒体转发功能。 '

在系统中引入 PROXY SERVER30后， 由于主叫方和被叫方的媒体 流都经过 PROXY SERVER30, 所以 PROXY SERVER30可以准确地获 得媒体流量， 从而实现基于报文流量的计费， 而不仅仅是传统的基于时 长的计费。

SoftX40、 41是软交换设备， 作为 NGN的网络控制层的关键构件， 用于提供综合业务和呼叫控制。 在收到公网发送给私网中的分组用户终 端的信令报文时， 将收到的该 ^艮文转发给 PROXY SERVER30。

下面再具体说明本发明中的基于 FULL PROXY 方式的穿越 NAT/FW的方法流程。 作为本发明的一个较佳实施例， 假设由分组用户终端 10发起相关 业务到分组用户终端 11 , 过程如图 3所示：

步驟 200:私网内的分组用户终端 10向 PROXY SERVER30发送信 令报文，该信令报文中包含注册和呼叫信息， 并且该信令报文的 IP头的 源地址为私网地址。分组用户终端 10将 PROXY SERVER30看作软交换 设备。具体地说，源自分组用户终端 10的信令报文先被发送到 NAT/FW 20, NAT/FW 20为该信令艮文分配一个公网地址 /端口， 并将其才艮文 IP 头的源地址从私网地址 /端口修改为为其所分配的公网地址 /端口， 但是 对报文内部信息不作任何改动， 记录上述私网地址 /端口与 NAT/FW 20 分配的公网地址 /端口之间的对应关系， 然后把该信令报文转发到 PROXY SERVER30.

步骤 210: 当 PROXY SERVER30收到该信令报文后, 对该信令报 文负载中携带的信息进行解析与处理，得到信令报文的 IP头地址 /端口、 报文负载中的呼叫信令地址 /端口以及用户终端所请求的媒体流地址 /端 口， 并且， PROXY SERVER30为该信令报文、 该信令才艮文负载中的呼 叫信令以及该用户终端所请求的媒体流分别分配在公网中的地址 /端口。 然后， PROXY SERVER30 寻信令报文 IP 头地址 /端口修改为 PROXY SERVER30为该呼叫分配的在公网中的地址 /端口，将该报文负载中的呼 叫信令地址修改为 PROXY SERVER30为该呼叫分配的在公网中的呼叫 信令地址 /端口， 将该报文负载中的媒体流地址 /端口修改为 PROXY SERVER30为该媒体流分配的在公网中的地址 /端口，并记录私网内的信 令报文的 IP头地址 /端口、 报文负载中的呼叫信令地址 /端口以及用户终 端所请求的媒体流地址 /端口与 PROXY SERVER30分配的公网内的地址 /端口之间的对应关系。

步驟 220: 将步骤 210 中修改后的信令报文转发给软交换设备 SoftX40o

步驟 230: 当 SoftX40收到需要发向分组用户终端 10的回应信令报 文时， 将该回应信令报文转发给 PROXY SERVER30。

步骤 240: PROXY SERVER30收到发向私网内分组用户终端 10的 回应信令报文时， 对该回应信令报文负载信息进行解析， 得到回应信令 报文的 IP头地址 /端口、 回应信令报文负载中回应信令的地址 /端口、 媒 体流地址 /端口， 然后根据回应 言令报文的 IP头地址 /端口、 回应信令报 文负载中回应信令的地址 /端口、 媒体流地址 /端口从自身记录的对应关 系中获取对应的私网中 IP地址、呼叫信令地址 /端口、媒体流地址 /端口， 然后将该回应信令 4艮文的 IP头地址 /端口 改为私网中对应的 IP头地址 /端口， 将该回应信令报文负载中回应信令地址 /端口修改为私网中对应 的呼叫信令地址 /端口， 将该回应信令所携带的媒体流地址 /端口， 修改 为私网中对应的媒体流地址 /端口。 这里， 媒体流地址 /端口可以为 RTP/RTCP地址 /端口。

通过在步骤 210和步驟 240中对报文负载中信令和媒体流地址 /端口 的记录和修改， 实现了对 NAT FW的穿越， 并且在任何组网形式下实现 穿越时均不需要对现有的 NAT/FW和用户终端进行改造。

步骤 250: PROXY SERVER30将修改后的回应信令报文发向私网 内分组用户终端 10。

具体地说， PROXY SERYER30首先将修改后的回应信令报文发送 给 NAT/FW20， 该报文的目的地址是 NAT/FW20为分组用户终端 10的 呼叫分配的公网地址 /端口 , NAT/FW20从自身记录的私网地址 /端口和 公网地址 /端口的对应关系表中查询出该报文的公网目的地址 /端口所对 应的私网地址 /端口 , 然后用查询到的私网地址 /端口替换该报文的公网 目的地址 /端口， 然后将经过地址 /端口转换的回应信令报文转发给分组 用户终端 10。

从上述过程可以看出， 本发明的 FULL PROXY方式与 TUR 方式 的中继相比， 有如下区别：

TURN方式是在 TURN SERVER与用户终端通过 TURN协议交互 时分配地址 /端口， 报文内部的地址信息由终端生成， TURN SERVER对 后续的报文才艮据分配的地址 /端口信息进行地址变换后中继转发。 而 FULL PROXY 方式是通过对报文进行中继的设备对呼叫协议解析与处 理， 改写报文其中携带的媒体流地址信息后转发信令拫文， 同时根据改 写的媒体流地址信息对媒体报文做地址变换后中继转发。

虽然通过参照本发明的某些优选实施例， 已经对本发明进行了图示 和描述， 但本领域的普通技术人员应该明白， 可以在形式上和细节上对 其作各种各样的改变， 而不偏离所附权利要求书所限定的本发明的精神 和范围。

Claims

权利要求书

1、一种实现网络地址转换穿越的方法， 其特征在于， 该方法包含以 下步骤：

A 当网络地址转换服务器或防火墙以外的代理服务器收到来自第 一网络内分组用户终端的信令报文时， 对该信令报文负载信息进行解 析， 记录该报文负载中的呼叫信令地址和端口， 以及媒体流实时传输协 议和实时传输控制协议地址和端口， 并且将该报文负载信息中的呼叫信 令地址和端口修改为所述代理服务器为该呼叫分配的在第二网络中的 呼叫信令地址和端口， 将该报文负载信息中的媒体流实时传输协议和实 时传输控制协议地址和端口修改为所述代理服务器为该媒体流分配的 在第二网络中的地址和端口；

B 所述代理服务器将修改后的所述信令报文发送到分组语音信令 处理设备或业务处理设备；

C 当所迷代理服务器收到发向所述第一网絡内分组用户终端的回 应信令报文时， 对该回应信令报文负载信息进行解析， 将该报文负载信 息中回应信令地址和端口修改为步骤 A 中所记录的呼叫信令地址和端 口， 将该报文负载信息所携带的媒体流实时传输协议和实时传输控制协 议地址和端口 , 修改为步骤 A中所记录的媒体流实时传输协议和实时传 输控制协议地址和端口；

D 所述代理服务器将修改后的所述回应信令报文发向所述第一网 絡内分组用户终端。

2、 根据权利要求 1所述的方法， 其特征在于， 在步骤 A之前进一 步包括：

第一网络内的分组用户终端向所述代理服务器发送信令报文， 该信 令才艮文先被发送到网络地址转换月 务器或防火墙， 网络地址转换服务器 或防火墙为该信令报文分配公网地址 /端口， 并将该信令报文 IP头的源 地址从第一网络的地址 /端口修改为为其分配的公网地址 /端口， 并在信 令地址映射关系中记录所述第一网络地址 /端口与网络地址转换服务器 或防火墙分配的公网地址 /端口之间的对应关系，然后把该信令报文转发 到所述代理服务器。

3、 根据权利要求 1所述的方法， 其特征在于， 在执行步骤 A后， 包括：

所述代理服务器定期向所述第一网络内分組用户终端发起报文， 刷 新所述网络地址转换服务器或防火墙上的信令地址映射关系。

4、根据权利要求 1所述的方法， 其特征在于， 所述分组语音信令处 理设备或业务处理设备是软交换设备或 IP语音网守设备。

5、 根据权利要求 1所述的方法， 其特征在于， 步骤 A还进一步包 括：

当所述代理服务器收到来自所述第一网络内分组用户终端的呼叫信 令时，记录该呼叫信令的报文 IP头地址和端口， 并将其修改为所述代理 月艮务器为该呼叫分配的在第二网络中的呼叫信令地址和端口；

则步骤 C进一步包括：

当所述代理服务器收到发向所述第一网络内分组用户终端的呼叫信 令时，将该呼叫信令的报文 IP头地址和端口修改为所述被记录的呼叫信 令的 艮文 IP头地址和端口。

6、 一种实现网络地址转换穿越的系统 , 其特征在于， 该系统包含： 位于第一网络内分组用户终端， 用于发起和接收业务；

位于第二网络内的代理服务器， 用于接收来自第一网络的所述分组 用户终端的信令报文， 对该信令报文的报文负载信息进行解析， 记录该 报文负载中的呼叫信令地址和端口， 以及媒体流地址和端口， 并且将该 报文负载中的呼叫信令地址修改为所述代理服务器为该呼叫分配的在 第二网络中的呼叫信令地址和端口， 将该报文负载中的媒体流地址和端 口修改为所述代理服务器为该媒体流分配的在第二网络中的地址和端 口， 然后将修改后的所述信令报文发送到所述软交换设备， 和， 当所述 代理服务器收到发向所述第一网络内分组用户终端的回应信令时， 对该 回应信令的报文负载信息进行解析， 将该报文负载中回应信令地址和端 口修改为所述被记录的呼叫信令地址和端口， 将该报文负载所携带的媒 体流地址和端口， 修改为所述被记录的媒体流地址和端口， 然后将修改 后的所述回应信令发向所述第一网络内分组用户终端；

软交换设备， 用于提供综合业务和呼叫控制， 在收到发送给所述分 组用户终端的回应信令 ^艮文时转发给所述代理服务器。

7、 根据权利要求 6所述的系统， 其特征在于， 该系统进一步包括： 网络地址转换服务器或防火墙， 用于为所述分组用户终端提供接入 第二网络的服务， 为所述分组用户终端和所述代理服务器相互转发报 文。

8、根据权利要求 6所述的系统， 其特征在于， 所述分組用户终端是 使用 H.323协议、 或会话初始化协议、 或媒体网关控制协议、 或 H.248 协议进行音频和视频通信的用户终端。

9、根据权利要求 6所述的系统， 其特征在于， 所述代理服务器还用 于按照流量计费。

10、 根据权利要求 6所述的系统， 其特征在于， 所述代理服务器还 用于用户的接入控制、 带宽管理， 对媒体流的服务质量标记、 虚拟专用 网标记和信息进行加密。

11、 根据权利要求 6所述的系统， 其特征在于， 所述代理服务器还 用于多个第一网络和第二网络地址对的设置 , 同时实现对多个网絡地址 转换服务器或防火墙的穿越。

12、 根据权利要求 6所述的系统， 其特征在于， 所述代理服务器采 用首包刷新方式来更新媒体流的会话表项或地址转换关系表项。