Windows XP 中的Windows Messenger:在防火牆和NAT環境中的使用和執行
第4頁(共8頁):防火牆和Windows Messenger
同NAT設備類似,當您試突在安裝了防火牆的網路中使用Windows Messenger時,可能會遇到一些問題。由防火牆引起的問題包括:
用於SIP通信的消息可能來自一個外部客戶端,而且似乎來自一個未被請求的動態連接阜或者5060連接阜。要想使這些信息到達Windows Messenger客戶端,必須在防火牆上開放這些連接阜。例如,在使用了ICF的 Windows XP電腦上,預設情況下5060連接阜將被阻斷。
必須允許面向媒體流和其它資料的連接阜(例如用於AV的動態連接阜和面向AS或WB的1503連接阜)通過防火牆。
不同防火牆配置
以下討論了同不同防火牆配置有關的一些問題:
具有UPnP能力的防火牆
我們已經在本文的前面部分對具有UPnP能力的網關設備進行了討論。Windows XP防火牆,即Internet Connection Firewall(Internet連接防火牆),便是具有UPnP能力的防火牆。 Windows XP 中的Windows Messenger可以通過開啟資料傳送、連接或媒體流所需的連接阜對這種能力加以利用。
不具備UPnP能力的防火牆
對於一個不具備UPnP能力的防火牆,您只能通過很少的幾個選項對Windows Messenger的進階特性加以使用。需要瞭解的問題包括:
在防火牆同一側的通信雙方可以使用Windows Messenger的所有特性。
IM 和出席功能在大多數防火牆配置中都可以使用。
要想為處於防火牆兩側的通信雙方提供AV支持,5004到65535之間的所有UDP連接阜都必須開啟,以允許SIP和媒體流(RTP)資料通過防火牆。這種設定是必需的,因為這些操作使用動態連接阜。AS 和 WB也使用動態連接阜進行通信。
Ft可以通過在防火牆上開放6891到6900間的連接阜得以實現。使用遠端協助功能需要開放3389連接阜。
級聯式防火牆
級聯式防火牆可以會引起與級聯式NAT設備類似的問題。
Windows XP中的UPnP限制
在Windows XP中,如果在本機接頭中啟用了ICF並且用戶沒有管理員權限,那麼Windows Messenger的出站呼叫將無法工作。對於那些有管理員權限的用戶,本功能可以正確工作。
說明:Windows XP Home edition預設情況下為用戶授予管理員權限。
Windows XP中的Windows Messenger:在防火牆和NAT環境中的執行和使用
第5頁(共8頁):Windows Messenger的配置:有效和無效的配置方法
本頁面中的圖片展示了Windows Messenger在NAT和防火牆環境下的幾種配置方式。這些配置方式被劃分為兩類:「有效配置方式」和「無效配置方式」。
有效配置方式
以下幾種方式屬於有效配置方式——假定網路連接不存在任何問題。
具有UPnP 能力的單台NAT設備
在圖1中,「A」家庭配備了一台具有UPnP意識的Internet網關設備。「B」家庭的個人電腦直接連線到Internet,而且沒有使用網關設備。具有UPnP能力的網關使得「A家庭」能夠「意識」到它的外部網路位址,並且根據需要新增相關映射。所以,如圖1所顯示的「A」家庭和「B」家庭的之間的通信能夠正常進行。
1:使用單台具有UPnP能力的NAT設備。
兩個家庭通過兩台具有UPnP能力的網關設備相連
圖2與圖1類似,但是在本圖中,「B」家庭也使用了一台Internet網關設備。因為兩個家庭所使用的網關設備都具備UPnP能力,所以,在這種配置方式下,「A」家庭和「B」家庭仍然可以相互通信,並且可以使用所有的Windows Messenger功能。
圖2:通過兩台具有UPnP能力的網關設備相連
兩個客戶端位於同一台UPnP網關之後
圖3中的兩個客戶端位於同一台網關設備之後。如果該NAT設備具有UPnP能力,這兩個客戶端就可以相互辨認出它們是位於同一台設備之後,並且可以直接進行各種通信。
圖3:兩個客戶端位於同一台具有UPnP能力的網關設備之後
無效配置方式
以下配置方式將對Windows Messenger除IM和出席(Presence)之外的其它功能造成影響。
ISP使用NAT
圖4中的使用情境同圖1類似,但是在本圖中,為「A」家庭提供Internet服務的ISP也使用了NAT技術。在這種情況下,「A」家庭的電腦將無法知道它自己真正的公共位址,如圖4所顯示。
圖4:ISP使用了一個NAT設備。
「B」家庭使用了不具備UPnP能力的NAT設備
圖5與上面的圖2類似,但是在圖5中,「B」家庭使用的NAT設備不支持UPnP,所以它不允許「B」家庭的電腦確定它的轉換位址。具體情況如下面的圖5所顯示。
圖5:使用一個不具備UPnP能力的NAT設備
不具備UPnP能力的NAT設備
圖6同圖1的配置形式相同,但是圖6中的NAT設備不支持UPnP。在這種情況下,轉換位址無法被確定,也無法為Windows Messenger所使用的動態連接阜新增連接阜映射。具體情況如下面的圖6所顯示
圖6:使用不支持UPnP的NAT設備
如果 Windows Messenger的通信路徑中存在NAT或防火牆設備,各種各樣的問題就會隨之而來。幾乎所有的問題都可以通過採用具有UPnP能力的Internet網關設備得到解決。很多廠商已經將這種能力集成到了它們的設備之中,某些廠商甚至考慮將這種能力移植到更老一些的可昇級設備上。
我們在下面對這些問題及其解決辦法進行了總結,以便為您提供一些簡單的參考。
NAT設備
NAT設備後面的客戶端擁有一個在內部網路上使用的私有位址和一個由位址轉換提供的公共位址,該客戶端可以使用這個公共位址同NAT設備外面的世界進行通信。在客戶端之間新增AV會話所使用的傳輸協定包括了位址信息。這些位址可能是私有的內部位址和連接阜號,對於公共網路來說,這些位址是無效的。在這種情況下,用戶便無法使用音瀕和視瀕進行通信
NAT問題的解決辦法
支持UPnP的NAT設備允許Windows Messenger對需要使用的連接阜號進行協商,並且可以確定轉換後的IP位址。這使得客戶端可以共享合法、有效的位址信息,並且使用戶可以在安裝了NAT設備的網路中使用語音和視瀕同他人進行溝通和交流。
可用的NAT解決方案
Windows XP以ICS的形式提供了一個支持UPnP的Internet網關。如果將一台Windows XP電腦用作一個Internet網關設備的話,這將是一個十分簡單的解決辦法。其它廠商也計劃推出它們自己的UPnP網關設備,或者對它們當前的網關設備進行昇級以使其支持UPnP。同這些產品有關的更詳細資料,請參閱PressPass發佈頁面,或者訪問這些廠商的Web站點。
其它NAT廠商可能會為應用程式層網關(ALG)或者應用程式過濾程序提供一些接頭。這些接頭將以插件的形式增加到設備軟體之中,以便對特定的傳輸協定或者應用程式提供支持,或者對資料進行轉換,以使其同內部和外部網路的使用需要相適應。
必需的管理員/用戶操作
沒有任何必需操作。
如果您懷疑通信問題是由NAT設備所引起的,請同您的ISP聯繫或者參閱Internet網關設備的我的文件說明,以確定通信路徑中是否存在NAT設備,或者這些NAT設備是否支持UPnP。如果您正在使用一個支持UPnP的NAT設備,請咨詢您的ISP,瞭解它們的網路中是否使用了NAT設備,以及是否存在一種能夠實現關於RTP的AV的解決辦法。
防火牆設備
通過禁止資料到達那些沒有明確加以配置和啟用的IP位址和TCP/UDP連接阜,防火牆可以對內部網路上的電腦起到保護作用。外出的資料或者連接請求可以得到允許,以便實現內部電腦所請求的正常通信活動。對於Windows Messenger,在某些情況下,進行通信的客戶端使用會話建立傳輸協定(例如SIP)對資料路徑進行配置。在會話配置完畢後,如果由外部客戶端對會話進行啟始化,那麼,通信將被防火牆所阻止。另外, Windows Messenger的AV功能使用動態連接阜。雖然這樣能夠保證AV流總是能夠獲得可用的連接阜資源,但是它使得防火牆問題進一步複雜化了,因為我們不知道會話將會使用哪一個具體的連接阜。
防火牆問題的解決辦法
防火牆問題仍然要通過UPnP來解決。Windows Messenger會檢測到具有UPnP能力的防火牆,並且根據當前的通信需要對它們進行相應的配置。如果網路中的防火牆不支持UPnP,那麼必須對該防火牆進行配置,以使Windows Messenger功能正常工作所需使用的所有傳輸協定和連接阜上的流量都能夠通過防火牆。具體操作請參見下文中的「必需的管理員/用戶操作」一節。
可用的防火牆解決方案
Windows XP所附帶的防火牆 —— Internet Connection Firewall——支持UPnP配置。Windows Messenger可以識別出防火牆具有UPnP能力,並開放相應的連接阜以允許通信順利進行。如果您正在使用其它廠商的防火牆產品,請仔細閱讀該廠商提供的產品我的文件,以確定它是否支持UPnP配置,或者,您也可以通過產品我的文件學習如何對防火牆進行配置,以允許下面列出的連接阜通過防火牆。具體操作請參見下面的「必需的管理員/用戶操作」一節
必需的管理員/用戶操作
為了使Windows Messenger的語音和視瀕通信能夠通過一個不支持UPnP的防火牆,您需要對防火牆進行配置,使其允許UDP連接阜5004 – 65535間的外來流量能夠通過防火牆。
對於其它通信目的,您可以相應啟用以下連接阜:
文件傳輸:6891(如果想實現10條並發的文件傳輸連接,您需要開放6891到6900間的所有連接阜)
應用程式和白板共享:1503
遠端協助:3389
如果您懷疑您的通信問題是由於防火牆所引起的,請同您的防火牆產品的生產廠商聯繫,並且參閱相關我的文件說明,以確定您的防火牆是否支持UPnP,以及如何對防火牆進行配置以開放特定的連接阜。如果您懷疑問題是由級聯式防火牆所引起的,請同您的ISP進行聯繫
Windows XP 中的Windows Messenger:在防火牆和NAT環境中的使用和執行
第7頁(共8頁):Microsoft Internet Security and Acceleration (ISA) Server環境下的音瀕和視瀕
如果您將作為網路防火牆和代理伺服器的Microsoft ISA Server佈署在網路邊界,並且使用了一個SIP伺服器解決方案,那麼就會形成一種特殊的AV佈署情境。這種佈署方式是否能夠正常工作取決於與呼叫客戶端相關的SIP伺服器的位置。
佈署情境
以下兩種佈署情境即反映出了這種特殊的情況:
佈署情境1:使用ISA Server作為網路防火牆和代理伺服器
在本佈署情境中,A站點執行Windows Socket Proxy客戶端,從A站點到B站點的呼叫,或者從B站點到A站點的呼叫都可以成功。這種佈署方式之所以能夠取得成功,主要應歸功於Windows Messenger在確定它近端網址時所使用的方式。
在會話程序中,客戶端使用套接字連線到遠端位址和SIP伺服器,然後詢問套接字所使用的近端網址。在這種情況下,它所獲得的位址便是來自ISA Server外部接頭的位址——位址X。然後,該位址和一個隨機連接阜被包括在會話邀請中並且通過會話描述傳輸協定(SDP)傳送到B站點。當B站點作為呼叫的發起站點時,A站點會接收到很多同B站點有關的信息。然後,A站點可以使用這些信息(特別是B站點的位址信息)確定它在回應該會話邀請(帶有SDP信息的200 OK)時應該使用的位址,如圖7所顯示。
圖7:使用ISA server作為防火牆和代理伺服器
佈署情境2:使用ISA Server
本佈署情境與上例稍有不同;從A站點到B站點的呼叫從來不能取得成功,無論您是否在ISA 防火牆上開放所需的連接阜。
只要A站點使用代理客戶端,從B站點到A站點的呼叫就可以取得成功。當A站點新增呼叫的時候,它所使用的遠端位址是它的SIP伺服器的位址,而該位址是一個近端網址。它所接收到位址也是一個近端網址。當它將該位址增加到向B站點傳送的會話邀請中的時候,B無法使用該內部位址同A站點進行聯繫——所以這些呼叫就都失敗了。如果由B站點發起這個呼叫,與佈署情境1相同,A站點便可以使用會話邀請中的SDP資料中的B站點位址完成連接程序。本佈署情境如圖8所顯示。
圖8:使用ISA server
本文對Windows Messenger的幾種使用情境進行了討論,並且介紹了在這些情境下,您需要如何操作才能使用Windows Messenger的全部功能特性,同時為問題的發現和解決提供了幾種可能的解決方案。如果 Windows Messenger的通信路徑中存在NAT或防火牆設備,各種各樣的問題就會隨之而來。幾乎所有的問題都可以通過採用具有UPnP能力的Internet網關設備得到解決。很多廠商已經將這種能力集成到了它們的設備之中,某些廠商甚至考慮將這種能力移植到更老一些的可昇級設備上。
本文的主要內容包括:
NAT和防火牆問題
NAT和Windows Messenger
防火牆和Windows Messenger
配置:有效和無效的配置方式
解決方案
ISA Server環境下的音瀕和視瀕
更多信息
如需進一步瞭解Windows Messenger的功能特性、它所使用的底層傳輸協定、UPnP的工作方式、以及NAT和防火牆設備的詳細資料,請訪問以下連接:
Windows Messenger內幕:通信方式及原理
MSN Messenger Service
Microsoft Exchange 2000即時消息設定
RFC 2543—Session Initiation Protocol (SIP)
RFC 2327—Session Description Protocol (SDP)
Windows XP中的網路位址轉換(NAT)
UPnP與NAT一般問題解答
Windows XP的網路功能及相關增強
原文URL:
http://www.microsoft.com/china/windo...fw/related.asp