史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-07-07, 03:11 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 Windows XP 中的Windows Messenger:在防火牆和NAT環境中的使用和執行

本文內容包括:

NAT和防火牆問題
NAT和Windows Messenger
防火牆和Windows Messenger
配置:有效和無效的配置方法
解決方案
ISA Server環境下的音瀕和視瀕
總結和相關連接

本文對Windows Messenger的幾種使用情境進行了討論,並且介紹了在這些情境下,您需要如何操作才能使用Windows Messenger的全部功能特性,同時為問題的發現和解決提供了幾種可能的解決方案。

Windows Messenger為用戶帶來了激動人心的全新實時通信體驗,它將為人類的通信溝通方式帶來一場徹底的變革。通過使用Windows Messenger,您可以通過即時消息(IM)。語音、視瀕、應用程式和資料共享、以及遠端協助同您的朋友、家人和同事展開交流。在很多網路環境下,您無需對網路結構進行任何的改變即可使用所有這些功能特性。但是某些特殊的網路(例如企業或家庭網路)可能還會佈署一些防火牆和(或)網路位址轉換(NAT)元件。

通過阻止外部用戶直接訪問內部電腦,防火牆可以網路上的電腦免受非法訪問的侵害。位於防火牆後方的電腦使用NAT元件共享有限的公共 IP(Internet Protocol,Internet傳輸協定)位址。在當前使用IPv4位址分配架構的Internet中,共享IP位址是一種有限的資源。因為IPv4位址分配架構不能提供足夠的IP位址,信息技術行業被迫對NAT技術進行了標準化,並且佈署了許多NAT產品,以便對IP位址和TCP(Transmission Control Protoco)/UDP(User Datagram Protocol)連接阜進行共享。 所以,在這些特定的網路環境下,某些Windows Messenger功能(主要是即時語音和視瀕通信功能)在功能上可能會大打折扣。

如果通信雙方使用的是具有通用即插即用(UpnP)能力的防火牆或者NAT元件,所有的Windows Messenger新特性都可以正常使用。但是, features work as intended. However, there are netw有些網路則需要進行特別的配置,以便所有的Windows Messenger新特性都能夠正常工作。

說明: Microsoft承諾同業界領先廠商以及標準化組織(例如Internet工程組IETF)密切合作,確保這些強大的通信和協作功能能夠在安裝了防火牆和NAT元件的網路上得到使用。


本節內容介紹了對受NAT和防火牆問題影響的Windows Messenger功能,這些功能包括:即時消息和出席(Presence) 、音瀕和視瀕、應用程式共享和白板、文件傳輸以及遠端協助。

Windows Messenger提供了使用文字、語音和視瀕進行溝通交流的能力;它也可以通過文件傳輸開展協作;或者共享應用程式和使用白板繪圖。

在很多配置情況下,所有的Windows Messenger功能都可以直接正常工作。但是在某些配置情況下,某些特定的功能可能會受到某些限制或者根本無法工作。為了解決這些問題,Windows Messenger使用了Windows XP及較早期Windows版本中的UPnP架構。隨著越來越多的Internet網關設備開始為UPnP提供支持,這種解決方案的可用性將變得越來越強。

說明:Microsoft將在Windows XP的Internet連接共享(ICS)和Internet連接防火牆(ICF)中提供對UPnP的支持。(同Internet連接共享和Internet連接防火牆有關的更詳細資料,請閱讀: Windows XP在安全性方面的新增特性。

受NAT和防火牆問題影響的Windows Messenger功能包括:

即時消息和出席(Presence)功能
一般來說,防火牆和NAT設備對IM和出席功能不會有任何的影響。如果Windows XP客戶端機可以新增並維護一條到伺服器的連接,那麼其它的IM和出席也能夠沿著相同的途徑進行通信。例如,Microsoft Exchange IM使用HTTP(超文本傳輸傳輸協定)傳送它的出席(Presence)和IM消息,並且擁有能夠確保這些消息通過防火牆和NAT設備的傳輸機制。這些機制包括:通過輪詢維護一條能夠進行雙向通信的伺服器連接,以及在一側設定一個固定的連接阜用於回叫傳輸。

在使用會話啟始化傳輸協定(SIP)解決方案的時候,資料可能使用TCP、UDP或者安全套接字層(SSL)進行傳送。此外,SIP資料傳輸還需要使用動態連接阜,所以您可能需要開放防火牆上的所有連接阜。如果在SIP客戶端與伺服器間存在一個NAT設備,那麼,反映在SIP消息中的連接阜和位址可能會與實際的連接阜和位址有所不同。Windows Messenger擁有的某些機制可以解決這些問題,我們將在以後的文章中對它進行討論。

音瀕和視瀕
在協商進行一個音瀕-視瀕會話的時候,音瀕-視瀕流會選項使用動態連接阜。在使用動態連接阜時,應用程式無需考慮系統中還執行了哪些其它的應用程式以及這些程序都使用哪些連接阜資源即可正常工作。對於.NET Messenger,來自B站的會話邀請會被傳送到B站所接收到的A站位址處。

如果網路環境中存在防火牆或者NAT設備,可能會發生以下問題:

無論是在會話邀請還是在接受會話的程序中,由A提供的位址都可能是一個經過NAT設備轉換的內部位址 —— 一個無效(或虛假)位址,B無法使用這個位址同A聯繫。在使用4.5版本的客戶端程序的情況下,A可能會對會話進行啟始化,但是相同或者類似的位址問題仍然存在。
當B向A傳送會話邀請的時候,該邀請所使用的IP位址和連接阜是由A傳遞給B的。要想使會話能夠順利進行,A和B之間的所有防火牆都必須開放該連接阜。
實時傳輸傳輸協定(Real–time Transport Protocol,RTP)資料流使用動態分配的UDP連接阜進行傳送,連接阜範圍在5004 – 65535之間。如果傳輸路徑上有任何一個防火牆沒有開放這些UDP連接阜,那麼這些流資料將不能到達它們的目的地。
應用程式共享和白板
當您在一個安裝了防火牆或者NAT設備的網路環境中使用應用程式共享和白板功能的時候,可能會發生以下問題。(前兩個問題與音瀕和視瀕功能遇到的問題相同)

由會話發起站點提供的位址可能是一個經過NAT設備轉換的內部位址。這是一個無效的位址,外部客戶端不能夠使用該位址開始SIP會話或者同A建立TCP連接。
外部客戶端傳送SIP邀請所使用的連接阜(由內部客戶端傳遞給外部客戶端)必須使SIP邀請能夠通過這兩個客戶端之間的所有防火牆。
用來傳輸應用程式共享(AS)和白板(WB)資料的TCP連接使用1503連接阜,您需要啟用該連接阜,以便資料能夠通過所有的防火牆。在一個具有UPnP能力的網關上,您無需啟用該連接阜,因為它會將內部的靜態連接阜映射到其它連接阜上。
因為TCP資料連接使用一個特定的連接阜(1503),如果客戶端位於一個不具備UPnP能力的NAT設備之後,該連接阜必須被映射到該客戶端上。以確保能夠通過最一般的NAT設備進行通信。這還意味著:該連接阜一般不能被NAT設備後面的其它客戶端所使用;在一個時間中,只有位於相同NAT設備後面的一個客戶端能夠擁有一個AS或WB會話。
文件傳輸
文件傳輸(FT)需要會話發起站點將它的位址通過伺服器傳遞給FT會話的另一方。所以,它所遇到的第一個問題與使用應用程式共享和白板功能時遇到的問題相同:

由會話發起站點提供的位址可能是一個經過NAT設備轉換的內部位址。這是一個無效的位址,另一方無法使用該位址建立TCP連接。
針對文件傳輸的TCP連接可以由外部客戶端發起,但是存在另外一個問題。

外來和外出的TCP連接都使用6891到6900間的連接阜。這使得每個傳送方最多只能建立10條文件傳輸連接。在通信雙方之間的所有防火牆上,這些連接阜都必須被開放。如果您僅僅開放6891連接阜,用戶每次只能建立起一條文件傳輸連接。
遠端協助
遠端協助使用遠端桌面傳輸協定(Remote Desktop Protocol,RDP);與Microsoft Terminal Services使用同一個傳輸協定。RDP建立在TCP連接之上。Windows Messenger使用關於伺服器的會話邀請邏輯(與FT類似)建立遠端協助會話。所以,它同樣會因為NAT產生與FT同樣的問題。

遠端協助包括了一個附加邏輯,以應對可能遇到的NAT環境。該邏輯會簡單地嘗試從會話雙方兩個方向上建立TCP連接。如果只有一個客戶端位於NAT設備之後,那麼連接仍然可以建立,遠端協助會話也依然可以進行。如果兩個客戶端都位於(不具備UPnP能力)NAT設備的後面,那麼連接將不能建立。只有在遠端協助中加入了語音會話時,這個附加的SIP邀請邏輯才會被加入。

除了由NAT位址轉換產生的問題(只有在通信路徑中存在多個NAT設備才會出現問題)之外,遠端協助傳輸協定需要使用3389連接阜建立TCP連接。這意味著,通信雙方之間的所有防火牆都必須開放3389連接阜。
本部分內容介紹了Windows Messenger在NAT環境下可能產生的問題以及相關配置方法。

由NAT設備引起的問題

NAT設備會在以下方面對Windows Messenger功能的使用造成不良影響:

位於某台NAT設備後面的客戶端通常會被分配一個私有的IP位址。在收發資料時,該位址會被NAT設備轉換成某個公共IP位址和連接阜。在一些情況下,這個私有位址會被包括在Windows Messenger消息中傳送給另一個用戶,以便該用戶能夠同消息傳送方進行聯繫。但是,消息接收方並不能使用這個私有位址同傳送方建立連接,該位址必須經過轉換,被一個公共位址所替代。
在一些情況下,NAT設備必須進行連接阜映射,以便將一個位址和連接阜傳送給外部客戶,並且將該位址同相應的內部客戶進行映射。
有時,我們必須為某個特殊的功能使用靜態連接阜,這種情況下,在同一時間內,NAT設備後只有一個客戶端能夠使用該功能。
在不同的NAT配置環境中工作

下面,我們將對不同的NAT配置環境進行討論:

支持UPnP的NAT設備
UPnP論壇包含數個工作委員會,其中有一個專門為Internet網關設備而設立的工作委員會。該委員會主要負責為這些設備(例如NAT和防火牆設備)制訂UPnP支持規範,並且已經為使用ICS和NAT網路轉換定義出了一個標準。 支持該標準的NAT和防火牆設備可以使用UPnP傳輸協定進行檢測和控制。客戶端程序可以使用UPnP讀取和配置連接阜映射。Windows XP ICS 和ICF 支持該標準。其它網關設備廠商也已經宣佈將為該標準提供支持,這些廠商包括:ARESCOM Inc.、Buffalo Technologies Corp.、D–Link Systems Inc.、Intel Corp.、Linksys Group Inc.以及NetGear Inc.

此外,Windows XP還為UPnP提供了客戶端支持和應用程式編程接頭(API),以便應用程式能夠檢測出網路中具備UpnP能力的NAT和防火牆設備並對其加以利用。Windows XP中的Windows Messenger 可以使用這些API完成以下工作:

檢測Windows Messenger客戶端程序是否位於NAT設備之後,並且在程序位於NAT設備之後的情況下,返回經過轉換的位址,然後將該位址傳送給會話方。這就有效解決了我們上面提到過的幾個問題。
獲得動態分配連接阜的連接阜映射,並且使用它進行資料傳輸,對於一個SIP會話配置來說,這信息是必需獲得的。這樣,外部客戶端的資料就可以順利到達目的地。
獲得針對媒體流的動態連接阜映射 —— 包括AV、AS和WB使用的連接阜。
檢測Windows Messenger的通信雙方是否位於同一個NAT設備之後。如果是,則使用真實的IP位址在雙方間直接進行通信。
註:現在,您還可以為Windows的以前版本(Windows 98、98SE、ME)增加對NAT轉換的UPnP客戶端支持。您可以通過在上述版本的Windows系統中執行Windows XP附帶的網路安裝嚮導(Network Setup Wizard)獲得這種支持能力。

不支持UPnP的NAT設備
如果使用Windows Messenger進行通話的雙方不位於同一個NAT設備之後,並且該NAT設備不能被Windows Messenger檢測到,那麼他們應該仍然可以使用IM和Presence(在線顯示)功能。無論您使用的是.NET Messenger、Exchange IM或者是一個SIP解決方案,情況均是如此。使用SIP伺服器的客戶同樣能夠工作,因為相關邏輯已經被增加到了客戶端程序上,以確保在伺服器執行期間通信能夠正常進行。

我們在本文的前面部分曾經提到,NAT設備會給Windows Messenger部分功能的使用帶來一些問題。下面,我們將就這些問題進行討論:

在使用.NET Messenger或者Exchange IM時,IM 和Presence功能可以通過一台中間伺服器得以實現,該伺服器具有一條由客戶端程序發起的直接TCP連接。這樣應該不會產生任何NAT或防火牆問題。由位於NAT設備外部的客戶端程序發起的會話或連接不會取得成功,因為內部的客戶端程序無法向對方提供經過NAT轉換的位址。AV會話的情況即是如此,由內部客戶端向外部客戶端發起的呼叫可以取得成功,因為外部客戶端是SIP會話的發起方。但是如果由外部客戶端呼叫內部客戶端,呼叫程序將失敗。因為雖然內部客戶端可以向外部客戶端傳送SIP邀請,但是在會話邀請中夾帶的位址是一個錯誤的位址。
位於NAT設備同一側的雙方能夠正常進行會話。
SIP的套用層網關(ALG)可能會對這些問題有所緩和。用戶可以將ALG用作一個套用層過濾器,使用它對特定的應用程式和傳輸協定進行過濾。
級聯式NAT設備
在級聯式的NAT環境中,既使您的網路中沒有使用NAT設備,或者使用了一個支持UPnP的NAT設備,Windows Messenger的AV通信可能仍然不會取得成功。因為在這種配置環境下,通話雙方之間的會話路徑中可能存在其它NAT設備,而這些NAT設備是不受會話雙方控制的。例如,您的Internet服務提供商(ISP)也在它的網路中使用了NAT技術,但是這種情況並不一般。如果您懷疑通信問題是由這種情況引起的,請同您的ISP聯繫,以確定問題原因並找出相應的解決辦法。


縮略術語表

ALG–應用程式層網關
AS–應用程式共享
AV–音瀕和視瀕
FT–文件傳輸
ICF–Internet連接防火牆
ICS–Internet連接共享
IM–即時消息
ISA–Internet Security and Acceleration
ISP–Internet 服務提供商 NAT–網路位址轉換
RDP–遠端桌面傳輸協定
RTC–實時通信
RTP–實時傳輸傳輸協定
SDP–會話描述傳輸協定
SIP–會話啟始化傳輸協定
SSL–安全套接字層
TCP–傳輸控制傳輸協定
UDP–用戶資料報傳輸協定
UPnP–通用即插即用
WB–白板(共享)

LAN 區域網路
WAN 廣域網
UTP 非遮閉的雙絞線
STP 遮閉的雙絞線
ATM 異步傳輸模式
FDDI 光纖分佈式資料接頭
CSMA/CD 載波偵聽多路訪問方法
MSAU 多站訪問單元
ATM 異部傳輸模式
PVC 永久虛擬回路
Hub 集線器
PSTN 公共交換電話網
ISDN 綜合業務數字網
ADSL 非對稱數字用戶線路
Bridge 網路橋接
Switch 交換機
Router 路由器
Gateway 網關
VPN 虛擬專用網路
PRI 主數率接頭
BRI 基本數率接頭
MAC 媒體訪問控制
OSI 開放式系統互連
TCP/IP 傳輸控制傳輸協定/網際傳輸協定
IPX/SPX 網際資料包交換/系列資料包交換
FTP 文件傳輸傳輸協定
SMTP 簡單郵件傳輸傳輸協定
TCP 傳輸傳輸協定
IP 網際傳輸協定
AppleTalk 可路由傳輸協定組
IrDA 紅外線資料傳輸協定
SLIP 串行線路網際傳輸協定
PPP 點到點傳輸協定
PPTP 點到點隧道傳輸協定
L2TP 第二層隧道傳輸協定
IPsec Internet傳輸協定安全
NetBEUI NetBIOS增強型用戶接頭
HTTP 超文本傳輸傳輸協定
UDP 用戶報文傳輸協定
ARP 位址解析傳輸協定
ICMP Internet控制報文傳輸協定
IGMP Internet組管理傳輸協定
DNS 域名系統
WINS Windows Internet名稱服務
UDP 用戶資料報傳輸協定
CRC 循環冗余碼校驗
DHCP 動態主機配置傳輸協定
APIPA 自動私有IP位址
CIDR 無類域內路由選項
URL 統一資源定位符
NAT 網路位址翻譯器
IANA Internet分配資料機構
WWW 萬維網
NCSA 國家電腦安全協會
ITSEC 信息技術安全評價標準
CSE 通信安全機構
OUs 目錄林的組織單元
PKI 公用密鑰基礎結構
ACE 訪問控制條目
EFS 加密文件系統
S/MIME 安全的多目標郵件擴展
TLS 傳輸層安全
PAP 密碼認證傳輸協定
GPO 群組原則對像





psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2003-07-07, 03:17 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Windows XP 中的Windows Messenger:在防火牆和NAT環境中的使用和執行
第4頁(共8頁):防火牆和Windows Messenger

同NAT設備類似,當您試突在安裝了防火牆的網路中使用Windows Messenger時,可能會遇到一些問題。由防火牆引起的問題包括:

用於SIP通信的消息可能來自一個外部客戶端,而且似乎來自一個未被請求的動態連接阜或者5060連接阜。要想使這些信息到達Windows Messenger客戶端,必須在防火牆上開放這些連接阜。例如,在使用了ICF的 Windows XP電腦上,預設情況下5060連接阜將被阻斷。
必須允許面向媒體流和其它資料的連接阜(例如用於AV的動態連接阜和面向AS或WB的1503連接阜)通過防火牆。
不同防火牆配置
以下討論了同不同防火牆配置有關的一些問題:

具有UPnP能力的防火牆
我們已經在本文的前面部分對具有UPnP能力的網關設備進行了討論。Windows XP防火牆,即Internet Connection Firewall(Internet連接防火牆),便是具有UPnP能力的防火牆。 Windows XP 中的Windows Messenger可以通過開啟資料傳送、連接或媒體流所需的連接阜對這種能力加以利用。

不具備UPnP能力的防火牆
對於一個不具備UPnP能力的防火牆,您只能通過很少的幾個選項對Windows Messenger的進階特性加以使用。需要瞭解的問題包括:

在防火牆同一側的通信雙方可以使用Windows Messenger的所有特性。
IM 和出席功能在大多數防火牆配置中都可以使用。
要想為處於防火牆兩側的通信雙方提供AV支持,5004到65535之間的所有UDP連接阜都必須開啟,以允許SIP和媒體流(RTP)資料通過防火牆。這種設定是必需的,因為這些操作使用動態連接阜。AS 和 WB也使用動態連接阜進行通信。
Ft可以通過在防火牆上開放6891到6900間的連接阜得以實現。使用遠端協助功能需要開放3389連接阜。
級聯式防火牆
級聯式防火牆可以會引起與級聯式NAT設備類似的問題。

Windows XP中的UPnP限制
在Windows XP中,如果在本機接頭中啟用了ICF並且用戶沒有管理員權限,那麼Windows Messenger的出站呼叫將無法工作。對於那些有管理員權限的用戶,本功能可以正確工作。

說明:Windows XP Home edition預設情況下為用戶授予管理員權限。


Windows XP中的Windows Messenger:在防火牆和NAT環境中的執行和使用
第5頁(共8頁):Windows Messenger的配置:有效和無效的配置方法

本頁面中的圖片展示了Windows Messenger在NAT和防火牆環境下的幾種配置方式。這些配置方式被劃分為兩類:「有效配置方式」和「無效配置方式」。

有效配置方式
以下幾種方式屬於有效配置方式——假定網路連接不存在任何問題。
具有UPnP 能力的單台NAT設備

在圖1中,「A」家庭配備了一台具有UPnP意識的Internet網關設備。「B」家庭的個人電腦直接連線到Internet,而且沒有使用網關設備。具有UPnP能力的網關使得「A家庭」能夠「意識」到它的外部網路位址,並且根據需要新增相關映射。所以,如圖1所顯示的「A」家庭和「B」家庭的之間的通信能夠正常進行。

1:使用單台具有UPnP能力的NAT設備。
兩個家庭通過兩台具有UPnP能力的網關設備相連

圖2與圖1類似,但是在本圖中,「B」家庭也使用了一台Internet網關設備。因為兩個家庭所使用的網關設備都具備UPnP能力,所以,在這種配置方式下,「A」家庭和「B」家庭仍然可以相互通信,並且可以使用所有的Windows Messenger功能。


圖2:通過兩台具有UPnP能力的網關設備相連
兩個客戶端位於同一台UPnP網關之後

圖3中的兩個客戶端位於同一台網關設備之後。如果該NAT設備具有UPnP能力,這兩個客戶端就可以相互辨認出它們是位於同一台設備之後,並且可以直接進行各種通信。
圖3:兩個客戶端位於同一台具有UPnP能力的網關設備之後

無效配置方式
以下配置方式將對Windows Messenger除IM和出席(Presence)之外的其它功能造成影響。
ISP使用NAT

圖4中的使用情境同圖1類似,但是在本圖中,為「A」家庭提供Internet服務的ISP也使用了NAT技術。在這種情況下,「A」家庭的電腦將無法知道它自己真正的公共位址,如圖4所顯示。


圖4:ISP使用了一個NAT設備。

「B」家庭使用了不具備UPnP能力的NAT設備

圖5與上面的圖2類似,但是在圖5中,「B」家庭使用的NAT設備不支持UPnP,所以它不允許「B」家庭的電腦確定它的轉換位址。具體情況如下面的圖5所顯示。


圖5:使用一個不具備UPnP能力的NAT設備

不具備UPnP能力的NAT設備

圖6同圖1的配置形式相同,但是圖6中的NAT設備不支持UPnP。在這種情況下,轉換位址無法被確定,也無法為Windows Messenger所使用的動態連接阜新增連接阜映射。具體情況如下面的圖6所顯示


圖6:使用不支持UPnP的NAT設備
如果 Windows Messenger的通信路徑中存在NAT或防火牆設備,各種各樣的問題就會隨之而來。幾乎所有的問題都可以通過採用具有UPnP能力的Internet網關設備得到解決。很多廠商已經將這種能力集成到了它們的設備之中,某些廠商甚至考慮將這種能力移植到更老一些的可昇級設備上。

我們在下面對這些問題及其解決辦法進行了總結,以便為您提供一些簡單的參考。

NAT設備

NAT設備後面的客戶端擁有一個在內部網路上使用的私有位址和一個由位址轉換提供的公共位址,該客戶端可以使用這個公共位址同NAT設備外面的世界進行通信。在客戶端之間新增AV會話所使用的傳輸協定包括了位址信息。這些位址可能是私有的內部位址和連接阜號,對於公共網路來說,這些位址是無效的。在這種情況下,用戶便無法使用音瀕和視瀕進行通信

NAT問題的解決辦法
支持UPnP的NAT設備允許Windows Messenger對需要使用的連接阜號進行協商,並且可以確定轉換後的IP位址。這使得客戶端可以共享合法、有效的位址信息,並且使用戶可以在安裝了NAT設備的網路中使用語音和視瀕同他人進行溝通和交流。

可用的NAT解決方案
Windows XP以ICS的形式提供了一個支持UPnP的Internet網關。如果將一台Windows XP電腦用作一個Internet網關設備的話,這將是一個十分簡單的解決辦法。其它廠商也計劃推出它們自己的UPnP網關設備,或者對它們當前的網關設備進行昇級以使其支持UPnP。同這些產品有關的更詳細資料,請參閱PressPass發佈頁面,或者訪問這些廠商的Web站點。

其它NAT廠商可能會為應用程式層網關(ALG)或者應用程式過濾程序提供一些接頭。這些接頭將以插件的形式增加到設備軟體之中,以便對特定的傳輸協定或者應用程式提供支持,或者對資料進行轉換,以使其同內部和外部網路的使用需要相適應。

必需的管理員/用戶操作
沒有任何必需操作。

如果您懷疑通信問題是由NAT設備所引起的,請同您的ISP聯繫或者參閱Internet網關設備的我的文件說明,以確定通信路徑中是否存在NAT設備,或者這些NAT設備是否支持UPnP。如果您正在使用一個支持UPnP的NAT設備,請咨詢您的ISP,瞭解它們的網路中是否使用了NAT設備,以及是否存在一種能夠實現關於RTP的AV的解決辦法。

防火牆設備

通過禁止資料到達那些沒有明確加以配置和啟用的IP位址和TCP/UDP連接阜,防火牆可以對內部網路上的電腦起到保護作用。外出的資料或者連接請求可以得到允許,以便實現內部電腦所請求的正常通信活動。對於Windows Messenger,在某些情況下,進行通信的客戶端使用會話建立傳輸協定(例如SIP)對資料路徑進行配置。在會話配置完畢後,如果由外部客戶端對會話進行啟始化,那麼,通信將被防火牆所阻止。另外, Windows Messenger的AV功能使用動態連接阜。雖然這樣能夠保證AV流總是能夠獲得可用的連接阜資源,但是它使得防火牆問題進一步複雜化了,因為我們不知道會話將會使用哪一個具體的連接阜。

防火牆問題的解決辦法
防火牆問題仍然要通過UPnP來解決。Windows Messenger會檢測到具有UPnP能力的防火牆,並且根據當前的通信需要對它們進行相應的配置。如果網路中的防火牆不支持UPnP,那麼必須對該防火牆進行配置,以使Windows Messenger功能正常工作所需使用的所有傳輸協定和連接阜上的流量都能夠通過防火牆。具體操作請參見下文中的「必需的管理員/用戶操作」一節。

可用的防火牆解決方案
Windows XP所附帶的防火牆 —— Internet Connection Firewall——支持UPnP配置。Windows Messenger可以識別出防火牆具有UPnP能力,並開放相應的連接阜以允許通信順利進行。如果您正在使用其它廠商的防火牆產品,請仔細閱讀該廠商提供的產品我的文件,以確定它是否支持UPnP配置,或者,您也可以通過產品我的文件學習如何對防火牆進行配置,以允許下面列出的連接阜通過防火牆。具體操作請參見下面的「必需的管理員/用戶操作」一節

必需的管理員/用戶操作
為了使Windows Messenger的語音和視瀕通信能夠通過一個不支持UPnP的防火牆,您需要對防火牆進行配置,使其允許UDP連接阜5004 – 65535間的外來流量能夠通過防火牆。

對於其它通信目的,您可以相應啟用以下連接阜:

文件傳輸:6891(如果想實現10條並發的文件傳輸連接,您需要開放6891到6900間的所有連接阜)
應用程式和白板共享:1503
遠端協助:3389
如果您懷疑您的通信問題是由於防火牆所引起的,請同您的防火牆產品的生產廠商聯繫,並且參閱相關我的文件說明,以確定您的防火牆是否支持UPnP,以及如何對防火牆進行配置以開放特定的連接阜。如果您懷疑問題是由級聯式防火牆所引起的,請同您的ISP進行聯繫


Windows XP 中的Windows Messenger:在防火牆和NAT環境中的使用和執行
第7頁(共8頁):Microsoft Internet Security and Acceleration (ISA) Server環境下的音瀕和視瀕


如果您將作為網路防火牆和代理伺服器的Microsoft ISA Server佈署在網路邊界,並且使用了一個SIP伺服器解決方案,那麼就會形成一種特殊的AV佈署情境。這種佈署方式是否能夠正常工作取決於與呼叫客戶端相關的SIP伺服器的位置。

佈署情境
以下兩種佈署情境即反映出了這種特殊的情況:

佈署情境1:使用ISA Server作為網路防火牆和代理伺服器
在本佈署情境中,A站點執行Windows Socket Proxy客戶端,從A站點到B站點的呼叫,或者從B站點到A站點的呼叫都可以成功。這種佈署方式之所以能夠取得成功,主要應歸功於Windows Messenger在確定它近端網址時所使用的方式。

在會話程序中,客戶端使用套接字連線到遠端位址和SIP伺服器,然後詢問套接字所使用的近端網址。在這種情況下,它所獲得的位址便是來自ISA Server外部接頭的位址——位址X。然後,該位址和一個隨機連接阜被包括在會話邀請中並且通過會話描述傳輸協定(SDP)傳送到B站點。當B站點作為呼叫的發起站點時,A站點會接收到很多同B站點有關的信息。然後,A站點可以使用這些信息(特別是B站點的位址信息)確定它在回應該會話邀請(帶有SDP信息的200 OK)時應該使用的位址,如圖7所顯示。


圖7:使用ISA server作為防火牆和代理伺服器

佈署情境2:使用ISA Server
本佈署情境與上例稍有不同;從A站點到B站點的呼叫從來不能取得成功,無論您是否在ISA 防火牆上開放所需的連接阜。

只要A站點使用代理客戶端,從B站點到A站點的呼叫就可以取得成功。當A站點新增呼叫的時候,它所使用的遠端位址是它的SIP伺服器的位址,而該位址是一個近端網址。它所接收到位址也是一個近端網址。當它將該位址增加到向B站點傳送的會話邀請中的時候,B無法使用該內部位址同A站點進行聯繫——所以這些呼叫就都失敗了。如果由B站點發起這個呼叫,與佈署情境1相同,A站點便可以使用會話邀請中的SDP資料中的B站點位址完成連接程序。本佈署情境如圖8所顯示。


圖8:使用ISA server

本文對Windows Messenger的幾種使用情境進行了討論,並且介紹了在這些情境下,您需要如何操作才能使用Windows Messenger的全部功能特性,同時為問題的發現和解決提供了幾種可能的解決方案。如果 Windows Messenger的通信路徑中存在NAT或防火牆設備,各種各樣的問題就會隨之而來。幾乎所有的問題都可以通過採用具有UPnP能力的Internet網關設備得到解決。很多廠商已經將這種能力集成到了它們的設備之中,某些廠商甚至考慮將這種能力移植到更老一些的可昇級設備上。

本文的主要內容包括:

NAT和防火牆問題
NAT和Windows Messenger
防火牆和Windows Messenger
配置:有效和無效的配置方式
解決方案
ISA Server環境下的音瀕和視瀕




更多信息
如需進一步瞭解Windows Messenger的功能特性、它所使用的底層傳輸協定、UPnP的工作方式、以及NAT和防火牆設備的詳細資料,請訪問以下連接:

Windows Messenger內幕:通信方式及原理
MSN Messenger Service
Microsoft Exchange 2000即時消息設定
RFC 2543—Session Initiation Protocol (SIP)
RFC 2327—Session Description Protocol (SDP)
Windows XP中的網路位址轉換(NAT)
UPnP與NAT一般問題解答
Windows XP的網路功能及相關增強

原文URL:
http://www.microsoft.com/china/windo...fw/related.asp
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
linux - 完全用Linux工作 psac 作業系統操作技術文件 10 2006-10-02 04:41 AM
用Windows XP的原位昇級安裝解決系統問題 psac 作業系統操作技術文件 3 2006-08-20 07:59 PM
WINDOWS XP調整、設定、最佳化全攻略 psac 作業系統操作技術文件 8 2005-01-11 08:55 PM
Windows XP鮮為人知的70招 psac 作業系統操作技術文件 13 2004-01-02 01:10 PM
Windows 2000/Xp 錯誤編號詳解(收集整理) psac 作業系統操作技術文件 9 2003-08-03 03:27 PM


所有時間均為台北時間。現在的時間是 11:09 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1