随着网络应用的迅猛发展,VoIP技术得到了广泛应用。但是,为解决IP地址不足以及网络安全问题而提出的网络地址翻译(Network Address Translation, NAT)技术和防火墙技术却导致了VoIP的端到端通信问题。如何有效解决信令、媒体流的防火墙/NAT穿越问题,将是VoIP业务能否广泛推广应用的关键。论文主要针对防火墙/NAT穿越展开深入研究,在现今最热门会话边界控制器(Session Border Controller, SBC)方案的基础上提出一种分布式的改进方案。和其他的防火墙/NAT穿越方案相比,SBC方案不需要对现有网络环境做任何假设和修改,并且提供了更好的QoS(Quality of Service)保障。但是,由于SBC需要同时完成信令中转和媒体转发,SBC有可能成为系统的瓶颈。另外,SBC的安全和QoS保障都是基于逐包分析策略,这更加剧了SBC的负担。最后,SBC的结构注定了它难以依靠动态扩展来提高容量,也难以通过负载均衡进行流量分担。在充分研究SBC技术优缺点的基础上,本文提出分布式防火墙/NAT穿透方案,从结构上将SBC的信令中转和媒体转发处理分开。信令中转由信令接入网关(Signaling Access Gateway, SAG)完成,媒体转发由媒体通道控制器(Media Channel Controller, MCC)完成,二者之间的服务关系由网管中心(Net Manage Center, NMC)动态定义。在媒体流和信令流分开的基础上,多台MCC通过媒体扩展和负载均衡组成媒体子系统并通过多级媒体通道策略实现QoS优化;多台SAG通过信令扩展和负载均衡策略组成信令子系统。由此构成一个分布式系统,媒体和信令子系统的容量可以根据要求扩展,任何一个服务器故障或者受到攻击都不会对系统性能造成实质的影响。本文给出了一个基于SIP的分布式防火墙/NAT穿越的实验系统并详细讲述了系统中SAG, MCC, NMC实现结构以及实现过程中所用到的关键技术。最后对这个实验系统进行了功能和性能测试,通过测试数据可以看到,SAG的通话建立和维护能力比SBC提高了将近两个数量级。在媒体通道控制器数量足够多的情况下,分布式防火墙/NAT穿越系统的容量将比同配置的单台SBC容量有巨大的提升。