會話發起協議SIP^[1](Session Initiation Protocol)是由IETF組織于1999年提出的在Internet網絡環境中實現實時通信應用的一種信令協議。SIP引發了現代通信體系結構的變革，然而它卻在視頻能力、會議控制方面沒有一個完善的標準；同時，由于大量企業和駐地網都采用了私有編址^[2]，并通過網絡地址轉換NAT(Network Address Translation)來控制與公共網絡的通信，而SIP數據包需通過信令消息中的IP地址和端口號" title="端口號">端口號來實現目的地尋址，且它的媒體流" title="媒體流">媒體流端口是動態分配的，這就為在NAT上配置固定的包過濾策略帶來了困難。因此，SIP穿透NAT是絕大多數VoIP運營商亟待解決的問題。
　　當前，幾種主要的NAT穿透技術有SIP ALG、Full Proxy、MidCom、VPN、隧道穿透、STUN等。其中，SIP ALG方式是在傳統的NAT上進行擴展，使之具備感知SIP呼叫控制協議的能力，從而對基于SIP呼叫的地址實現穿透。它是一種比較簡單的方案，最突出的特點是ALG和具體的SIP系統無關，對于一個SIP系統不需要做任何修改，只要在響應的NAT上加載SIP ALG，就能完成私網到公網甚至私網中的兩個用戶之間的SIP連接。
1 SIP應用穿透NAT面臨的問題
1.1 NAT的工作原理
　　NAT^[3]被置于兩網間的邊界。NAT技術使得一個私有網絡可以通過Internet注冊IP連接到外部世界。位于內網" title="內網">內網和外網中的NAT路由器在發送數據包之前，負責把內部IP翻譯成外部合法地址。當從外網來的含公網地址信息的數據包到達NAT時，NAT使用預設好的規則(其組元包含源地址、源端口、目的地址、目的端口、協議)來修改數據包，然后再轉發給內網接收點。NAT的基本工作原理如圖1所示，NAT設備實際上是在維護一個狀態表，該表用于把非法的IP地址映射" title="地址映射">地址映射到合法的IP地址上。

1.2 技術難點
　　與傳統NAT支持HTTP等數據的穿透不同，SIP應用中的語音和視頻數據需通過信令消息中的IP地址和端口號來實現目的地尋址，因此信令消息在地址穿透中不僅需要對TCP/UCP層的端口信息以及IP層的源地址和目的地址進行變換，還需對IP包載荷中的相關地址信息進行變換。同時，對于SIP應用來說，是在控制信息中動態地協商媒體流端口，信令協議中的IP地址也是私有的，因此要準確把握相關的地址和端口信息，并進行正確的轉換。這是本文需要解決的首要技術難點。
　　其次，SIP ALG實現對NAT的穿透會因呼叫方處在內網和外網而不同，因此對進出NAT的SIP消息在解析時要判斷是內網之間的呼叫請求(內部消息)、外網呼叫請求內網(對內消息)，還是內網呼叫請求外網(對外消息)，以便對該消息進行正確處理。這也是本文需要解決的技術難點。
2 SIP ALG的設計思想
　　由于媒體流端口是在呼叫雙方SIP信令建立連接后動態協商的，因此對SIP消息穿透NAT設備要綜合考慮這兩個方面因素。
2.1 SIP信令的穿透原理
　　SIP信令穿透NAT與HTTP穿透類似，NAT設備只要打開固定的端口，就能保證SIP信令穿透NAT并與外界建立連接。
　　本文基于SIP終端設備的特殊性來考慮信令穿透NAT。SIP終端設備會周期性地發送Register消息^[1]到注冊服務器上，由于不斷有信令消息經過NAT設備，致使NAT設備對通過的消息流始終保持一個確定的端口；同時，當Register消息經過ALG，ALG就會記錄信令穿透NAT時經NAT轉換后的IP地址和端口等信息，并將此信息與NAT后面的終端用戶ID(如890010098)等信息進行綁定。這樣，當一個信令到來，ALG將通過NAT上正確的地址和端口發送給被叫方。
2.2 媒體流的穿透原理
　　當信令穿透NAT后，NAT后面的SIP終端就可以收到來自外網的呼叫請求。這時呼叫方的Invite消息和響應方的200(OK)消息中都攜帶了用于描述與會話相關的信息及與流媒體相關參數的SDP(Session Description Protocol)消息體^[4]。當該消息通過ALG時，ALG將通過與該媒體流相關的呼叫——會話層消息中的用戶ID(如890010098)識別出NAT上的IP地址和端口并進行相應的轉換，這樣當呼叫方收到200(OK)消息時就能從SDP消息體中獲取該IP地址和端口等信息并發送ACK確認消息，從而完成一個會話的建立。
3 SIP ALG的實現
　　利用SIP ALG實現對NAT的穿透，主要是對流經ALG的SIP消息進行處理和維護。按照各部分功能的差異，可以將SIP ALG劃分為消息解析模塊、消息修改模塊和消息轉發模塊，SIP ALG的整體結構如圖2所示，該圖體現了各功能模塊間的相互關系。

　　下面以一個典型的兩個不同NAT內的用戶(Joe：890010098@192.168.1.4和Bob：810000004@10.10.15.44)通過注冊服務器(SER服務器)完成連接的過程為例，來說明SIP ALG的具體實現。SIP ALG解決NAT穿透的示意圖如圖3所示。

3.1 前提條件
　　SIP ALG的實現主要是對Request、Response消息進行解析、修改與轉發。因此在實現ALG前首先要了解SIP請求(Request)的方法(Register、Invite、ACK、Options、Cancel、Bye)^[1]，SIP回答(Response，包括Trying、Ringing、OK和ACK)^[1]以及SIP消息中的相關頭域(Request-URI、Via、From、To、Call-ID、Cseq、Contact等)^[1]。
3.2 消息解析模塊的實現
　　消息解析模塊主要對流經ALG的SIP消息進行解析，并判斷該消息是內部消息、對外消息還是對內消息，以便消息修改模塊能對這些消息進行正確的處理。消息解析模塊的工作流程如圖4所示。它主要判斷數據包From、To、Via等頭域中的IP地址信息，以準確解析消息類型。

3.3 消息修改模塊的實現
　　由于同一NAT內部的用戶間可以直接通信，因此“內部消息處理”模塊不需要對消息體進行修改。這樣就把消息修改模塊分為對內消息修改與對外消息修改。這兩個過程實際上是可逆的。對內消息修改主要根據地址映射表把外網IP和端口號轉換成內部IP和端口號，以便外部請求能準確到達NAT內側的用戶端；對外消息修改則根據地址映射表把內部IP和端口號轉化成外網可用的IP和端口號，這樣，來自外網的請求就能準確定位到該地址。但無論哪個模塊，最終結果都是對相應的Request和Response消息中與NAT有關的IP地址和端口號進行修改。消息修改模塊的處理流程如圖5所示。

　　對信令消息的修改需要對Invite、ACK、BYE和Register等Request消息和100(Tring)、180(Ringing)以及200(OK)等Response消息中的Via、From、To、Call-ID、Contact等頭域中包含的私有IP地址和端口信息進行修改。而對SDP消息體的處理是SIP ALG實現其功能的關鍵所在，因為SDP消息體的交換是實現呼叫雙方媒體流通信的前提和關鍵。對SIP控制的向內的媒體流轉發，ALG分析向外的Invite和200(OK)消息中的SDP消息體中“Media Description”和“Connection Information”行，根據這兩行中的描述地址在NAT上啟用未用端口，完成向內接收媒體流的目的地址翻譯，從而實現媒體流通信的建立。需要注意的是，在對Response消息進行修改時，還需通過Call-ID匹配呼叫的上下文環境，也要加入Record-Route頭域以告知內網上的SIP終端，本次呼叫中以后所有的SIP消息都要流經該SIP ALG，這樣才能保證ALG的正確轉發。最后，對消息修改完畢后，需要重新計算消息的長度，并保存在Content-Length中。
3.4 消息轉發模塊的實現
　　消息轉發模塊主要是通過控制NAT，對修改后的SIP消息進行轉發，以完成一個會話的建立。消息轉發模塊在ALG中保留并維護當前呼叫的上下文環境，也就是一個地址映射信息表，如表1所示。以記錄相關的地址映射信息。