另外，雖然VPN方案是很安全的，但它僅僅允許位于同一個VPN內(nèi)的設(shè)備進(jìn)行通訊，而無法與位于公眾網(wǎng)的終端用戶進(jìn)行通訊。

    6、隧道穿透方案

    一般企業(yè)網(wǎng)都不想升級或者改動他們的防火墻和NAT設(shè)備的配置，也不想讓內(nèi)外的交互通訊繞過這些設(shè)備，采用允許IP語音和視頻穿越防火墻和NAT的隧道穿透方案也許是最合適的，目前提供此類解決方案的有美國的Ridgeway公司。
　
    隧道穿透解決方案由兩個組件構(gòu)成，Server軟件和Client軟件。Client放在防火墻內(nèi)的私有網(wǎng)，它同時具有網(wǎng)守功能和代理功能，私有網(wǎng)內(nèi)的終端注冊到Client上，它和防火墻外的Server創(chuàng)建一個信令和控制通道，可以把所有的注冊和呼叫控制信令轉(zhuǎn)發(fā)到Server，也把音視頻數(shù)據(jù)轉(zhuǎn)發(fā)到Server，在轉(zhuǎn)發(fā)時它把內(nèi)部終端發(fā)送的和外部發(fā)往終端的數(shù)據(jù)包的地址和端口號替換為自己的。Server放在防火墻外的公眾空間，可以位于服務(wù)提供商網(wǎng)絡(luò)或者位于企業(yè)網(wǎng)的DMZ區(qū)域，Server扮演網(wǎng)守代理的角色，從Client收到的所有注冊和呼叫信令都被Server轉(zhuǎn)發(fā)到中心網(wǎng)守。 　　

    Server和Client之間的通訊主要通過兩個固定的端口來傳輸數(shù)據(jù)，這兩個端口是2776和2777端口，被IANA機(jī)構(gòu)分配給Ridgeway的系統(tǒng)。

    當(dāng)私網(wǎng)內(nèi)Client啟動時：

    1．它與Server上的2776端口建立一個固定連接用來傳送控制和狀態(tài)信息；

    2．它監(jiān)聽私網(wǎng)內(nèi)H.323網(wǎng)守注冊和請求信息；

    當(dāng)一個終端啟動時：

    1．終端通過Client/Server之間的連接發(fā)送注冊信息到中心網(wǎng)守；

    2．Server分配給每一個注冊的終端一個唯一的端口號（與Server的IP地址對應(yīng)）。 　　

    當(dāng)一個終端呼叫防火墻外的另一個終端時，所有的數(shù)據(jù)包都通過Client路由到Server，返回的數(shù)據(jù)也從Server通過Client路由回到終端。當(dāng)呼叫被建立后，Client確保所有必需的經(jīng)過防火墻的音視頻通道保持開放，這樣音視頻數(shù)據(jù)可以通過這些防火墻上開放的通道進(jìn)行傳輸。
　　
    使用用這種方法IP地址信息被很好的屏蔽，因為所有的數(shù)據(jù)包通過Server來路由轉(zhuǎn)發(fā)，每個終端好像看來在直接地和Server進(jìn)行通信，而不是和別的終端，這保證了終端的IP地址在網(wǎng)絡(luò)外不可得到。而且這種方法在大多數(shù)情況下不用對防火墻配置進(jìn)行任何修改。對于那些防火墻設(shè)置限制打開向外的端口的情況，管理員可以創(chuàng)建簡單的原則來允許從Client到Server上兩個固定的端口2776和2777的向外的連接。 　
　
    這個方法最大的缺點(diǎn)是所有經(jīng)過防火墻的通訊都必須經(jīng)由Server來進(jìn)行中轉(zhuǎn)，這會引起潛在的瓶頸，這個經(jīng)由Client和Server的過程會增加少于5ms的延遲。但是這又是必須的，因為Server是防火墻唯一信任的設(shè)備。