语音和视频通讯如何穿越防火墙和NAT?

    另外，虽然VPN方案是很安全的，但它仅仅允许位于同一个VPN内的设备进行通讯，而无法与位于公众网的终端用户进行通讯。

    6、隧道穿透方案

    一般企业网都不想升级或者改动他们的防火墙和NAT设备的配置，也不想让内外的交互通讯绕过这些设备，采用允许IP语音和视频穿越防火墙和NAT的隧道穿透方案也许是最合适的，目前提供此类解决方案的有美国的Ridgeway公司。
　
    隧道穿透解决方案由两个组件构成，Server软件和Client软件。Client放在防火墙内的私有网，它同时具有网守功能和代理功能，私有网内的终端注册到Client上，它和防火墙外的Server创建一个信令和控制通道，可以把所有的注册和呼叫控制信令转发到Server，也把音视频数据转发到Server，在转发时它把内部终端发送的和外部发往终端的数据包的地址和端口号替换为自己的。Server放在防火墙外的公众空间，可以位于服务提供商网络或者位于企业网的DMZ区域，Server扮演网守代理的角色，从Client收到的所有注册和呼叫信令都被Server转发到中心网守。 　　

    Server和Client之间的通讯主要通过两个固定的端口来传输数据，这两个端口是2776和2777端口，被IANA机构分配给Ridgeway的系统。

    当私网内Client启动时：

    1．它与Server上的2776端口建立一个固定连接用来传送控制和状态信息；

    2．它监听私网内H.323网守注册和请求信息；

    当一个终端启动时：

    1．终端通过Client/Server之间的连接发送注册信息到中心网守；

    2．Server分配给每一个注册的终端一个唯一的端口号（与Server的IP地址对应）。 　　

    当一个终端呼叫防火墙外的另一个终端时，所有的数据包都通过Client路由到Server，返回的数据也从Server通过Client路由回到终端。当呼叫被建立后，Client确保所有必需的经过防火墙的音视频通道保持开放，这样音视频数据可以通过这些防火墙上开放的通道进行传输。
　　
    使用用这种方法IP地址信息被很好的屏蔽，因为所有的数据包通过Server来路由转发，每个终端好像看来在直接地和Server进行通信，而不是和别的终端，这保证了终端的IP地址在网络外不可得到。而且这种方法在大多数情况下不用对防火墙配置进行任何修改。对于那些防火墙设置限制打开向外的端口的情况，管理员可以创建简单的原则来允许从Client到Server上两个固定的端口2776和2777的向外的连接。 　
　
    这个方法最大的缺点是所有经过防火墙的通讯都必须经由Server来进行中转，这会引起潜在的瓶颈，这个经由Client和Server的过程会增加少于5ms的延迟。但是这又是必须的，因为Server是防火墙唯一信任的设备。