上海交通大学硕士学位论文私网穿越在软交换网络中的实现姓名：黄斐颖申请学位级别：硕士专业：计算机技术指导教师：白英彩;陈凯20050901私网穿越在软交换网络中的实现摘要随着网络的发展和新业务需求的不断增长,NGN网络正逐步从试验走向商用，NGN网络的大规模应用将极大地增加对IP地址的需求，在应用过程中出现了很多实际问题需要解决，特别是在NGN用户的接入方面，软交换的私网穿越就是其中的一个重要问题。

虽然Ipv6是将来网络发展的方向，但对于现阶段开展软交换业务的运营商来说，面对IP 地址极其短缺而又广泛部署SIP/H.323应用的情况下，这一问题的解决显得尤为重要和迫切，目前大量的企业网、驻地网出于安全和节约公有地址等考虑，大量使用私有网络地址，如何在对于现网结构和设备尽量少作改动和减少投资而能使业务平稳地向NGN网络过渡成为一个重要问题，而对于此问题的解决尚未形成标准化，也对此问题的解决方案和标准进行深入探讨和研究显得更为必要。

本文先阐述了私网在穿越软交换中所遇到的种种问题，分析了目前的几种穿越NAT/FW技术的不同特点以及限制，并提出了对于Full Proxy方式的改进方法和实现方式，最后，文章还提出了在这种实现方式中进一步加强网络的安全性的方法和QoS的实现作为后续进一步的研究内容。

V关键字： 软交换, 防火墙, 网络地址翻译, H.323, 代理, 隧道VIIMPLEMENTATION OF THE NGNSTREAM TRAVERSING NAT/FIREWALLIN SOFTWSWITCH NETWORKABSTRACTWith the development of network and contining growth of new services, NGN network is going from test to comercial application. Extensive applications of NGN network will increase the requirement of IP address. Many actual problems need to be solved in the application process especially NGN subscribers access.How to traverse firewalls and NATs in softswitch network is one of the most important problems. Ipv6 is the way of future network development, but to the carriers who are developing softswitch services, IP address is too shortage for them to deploy SIP/H.323 application.VIINow a lot of LAN and CPN(Customer Premise Network) networks use private IP addresses in order to save public ip address and protect network security. It is an important problem that how to transit to the NGN network smoothly with less change and investment. We have no standardization to solve such kind of problems today, so it is more necessary for us to discuss and research this solution and standard.At first this paper discusses the variety of problems that to traverse firewalls and NATs,then analyses the different kinds of characteristic and restriction of traverse firewalls and NATs methods, meanwhile the study puts forward a proposal that to improve Full Proxy modes and implement methods,at last the thesis discusses how to strengthen the network security and realize QoS.KEY WORDS: softswitch, firewall, NAT, H.323, proxy, tunnelVIII上海交通大学学位论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。

除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。

对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。

本人完全意识到本声明的法律结果由本人承担。

学位论文作者签名：日期：年月日III上海交通大学学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。

本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。

保密□，在 年解密后适用本授权书。

本学位论文属于 不保密□。

（请在以上方框内打“√”）学位论文作者签名： 指导教师签名：日期： 年 月 日 日期： 年 月 日IV第一章、引言随着网络的发展和新业务需求的不断增长, 集语音、数据、图像等于一体的多媒体综合业务的下一代网络正从试验走向商用，在现有网络向下一代网络演进的过程中，在网络技术和业务方面还有大量问题需要解决，其中，软交换的私网穿越就是其中的一个重要问题。

在中国，面对IP地址极其短缺而又广泛部署SIP/H.323应用的情况下，这一问题的解决显得尤为重要和迫切，目前大量的企业网、驻地网出于安全和节约公有地址等考虑，大量使用私有网络地址，如何在对于现网结构和设备尽量少作改动和减少投资而能使业务平稳地向NGN网络过渡成为一个重要问题，而对于此问题的解决尚未形成标准化，也对此问题的解决方案和标准进行深入探讨和研究显得更为必要。

２第二章、防火墙、NAT技术及传统私网穿越的实现2．1、防火墙为了网络的安全性，公司一般都安装防火墙，它是一个放于私有网的设备，用来保护网络资源免受外部的恶意破坏。

防火墙检查从外部进来的每个数据包的IP地址和目的端口号，它经常如此设置：如果防火墙内的一台计算机A向防火墙外的一台计算机B主动发出请求要数据，防火墙会让外部计算机B的数据包通过，而且当且仅当数据包的目的地址和端口号与防火墙内发起请求的计算机A的地址和端口号相同；如果计算机B发来的数据包仅仅目的地址是防火墙内发起请求的计算机A的地址，而端口号不是计算机A发出请求的那个端口号，防火墙也将会丢弃那个外来的数据包。

防火墙总是被配置过滤掉所有不请自到的网络通信，有一个例外是在防火墙内提供Web Server供外部访问。

在这种情况下，公司会配置防火墙允许目的地址是Web Server的IP地址且目的端口号为80的数据包通过，这就使得公司外部可以主动向公司的Web Server发起请求得到一些公司放在Server上的数据。

2．2、传统私网穿越的及实现方法随着互联网技术的飞速发展，IP地址短缺已成为一个日益严重的问题，在全面实现IPV6之前，采用N A T（Network Address Translation）技术是解决这一问题的主要技术手段,私网穿越传统的做法是在私网的边界处进行地址翻译，典型的翻译方法包括网络地址翻译（N A T）和网络地址端口翻译（NAPT）两类，二者统称为N A T，传统的N A T技术主要应用于网络及传输层。

RFCl631以及相关RFC定义的N A T是一种将IP地址从一个编址域映射到另外一个编址域３的方法，如最典型的应用是把RFCl918定义的私有IP地址映射到Internet所使用的公有IP地址。

N A T的作用主要是两个：1)、隐藏内部地址，防止攻击；2）实现同一地址在不同局域网的复用，防止地址冲突；根据RFC3489定义，传统N A T的映射方式主要有以下几种典型类型：1．克隆N A T(Clone NAT)当在(私有IP，私有端口)与(公有IP，公有端口)已经建立了一个端口映射表后，克隆N A T 将为随后从相同的私有地址和端口号发起的呼叫重复使用该映射，条件是只要使用映射的会话至少有一个继续保持激活状态。

克隆N A T有分为以下三种类型：（1）全克隆(Full Clone)首先，把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。

其次，任何一个外部主机通过把一个IP包发送给已得到映射的外部IP地址的方式，都能够把该包发送给该内部主机。

（2）限制性克隆（Restricted Clone）把所有来自相同内部IP地址和端口号的请求映射到相同的外部IP地址和端口。

与全克隆N A T方式不同，只有当内部主机以前曾经给IP地址为X的外部主机发送过一个包时，IP地址为X的该外部主机才能够把一个IP包发送给该内部主机。

（3）端口限制性克隆(Port Restricted Clone)端口限制性克隆与限制性克隆类似，只是限制中多了端口号。

特别是，一个外部主机可以发送一个源IP地址和源端口号分别为（X，P）的IP包给内部主机，只有当内部主机以前曾经给IP地址为X，端口号为P的外部主机发送过一个包时，IP地址为X的该外部主机才能够把一个源端口号为P的IP包发送给该内部主机。

2、对称N A T对称式NAT(Symmetric NAT)是指把所有来自相同内部IP地址和端口号，到特定目的IP 地址和端口号的请求映射到相同的外部IP地址和端口。

如果同一主机使用不同的源地址和端口对，发送的目的地址不同，则使用不同的映射。

只有收到了一个IP包的外部主机才能够向该内部主机发送回一个UDP包。

对称式的N A T不保证所有会话中的（私有地址，私有端口）４和（公有IP，公有端口）之间绑定的一致性。