探討sip通過防火墻與 網(wǎng)路位址轉(zhuǎn)換的方法

1、探討SIP通過防火牆與網(wǎng)路位址轉(zhuǎn)換的方法指導(dǎo)教授：陳偉業(yè) 老師碩專資管二甲 N9490011 黃琮富成功大學(xué)計網(wǎng)中心 網(wǎng)路作業(yè)組 組員2006/12/161、參考文獻(xiàn)張澍元，探討SIP通過防火牆與網(wǎng)路位址轉(zhuǎn)換的方法，電腦與通訊，2003年 第105期 p169-p186。楊政遠(yuǎn)，新世代網(wǎng)際電話標(biāo)準(zhǔn)與架構(gòu)剖析，TWNIC 研討會簡報資料，2003年 .tw/file/2003seminar/23e.ppt。臺灣SIP/ENUM應(yīng)用促進(jìn)會 http:/.tw/。2二、SIP的基本運作方式SIP(Session Initiation Protocol)是一種網(wǎng)際網(wǎng)路上的多媒體通訊協(xié)定，以文字格式為基

2、礎(chǔ)。使用SDP(Session Description Protocol)來溝通多媒體能力及傳輸設(shè)定。使用RTP(Real-Time Transport Protocol)傳遞即時聲音或影像。SIP在點對點環(huán)境下的運作流程3二、SIP的基本運作方式(續(xù))SIP在分散式大型通訊網(wǎng)路下的運作流程:SIP在分散式環(huán)境下的運作流程4三、SIP的網(wǎng)路架構(gòu)類型A型:個人或家用的點對點SIP網(wǎng)路點對點SIP網(wǎng)路的通訊流程5三、SIP的網(wǎng)路架構(gòu)類型(續(xù))B型:個人、家庭或小型辦公室使用位於公開網(wǎng)路位址的SIP伺服器使用位於公開網(wǎng)路位置的SIP Register的通訊流程6三、SIP的網(wǎng)路架構(gòu)類型(續(xù))C型:具

3、有專屬SIP伺服器的企業(yè)網(wǎng)路和外部網(wǎng)路位置的SIP設(shè)備互通使用位於私人網(wǎng)路位置的SIP Register的通訊流程7三、SIP的網(wǎng)路架構(gòu)類型(續(xù))綜合型:混合A，B，C三型的SIP網(wǎng)路架構(gòu)混合B，C二型的網(wǎng)路架構(gòu)8四、SIP穿越防火牆或NAT時遭遇到的問題SIP和SDP的訊息內(nèi)容中都包含自己的網(wǎng)路位置，經(jīng)由NAT後對方無法回應(yīng)。RTP網(wǎng)路埠由SDP動態(tài)溝通決定，無法事先決定。SIP的信令傳輸途徑與RTP的媒體傳輸途徑可能不同。9五、SIP通過網(wǎng)路位置轉(zhuǎn)換設(shè)備(NAT)的情形進(jìn)行RTP溝通的原始訊息經(jīng)由NAT後IP位址已被修改無法與進(jìn)行溝通 建立SDP可能會成功，但建立RTP定會失敗。10六、S

4、IP通過防火牆設(shè)備的情形進(jìn)行RTP溝通的原始訊息防火牆對外開放Port 5060進(jìn)行SDP溝通進(jìn)行RTP溝通的埠號無法事先決定 除非防火牆有能力解讀SIP訊息的內(nèi)容，否則無法在防火牆 上建立固定讓RTP封包通過的規(guī)則。11七、讓SIP通過防火牆或NAT設(shè)備的方法方法1:使用外部的STUN(Simple Traversal of UDP Through NAT)伺服器來取得私有位置設(shè)備對應(yīng)公開位置。12七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))STUN優(yōu)點:STUN的建置成本低。單一STUN伺服器可以為多個私有網(wǎng)路提供服務(wù)。STUN缺點:SIP UA需支援STUN通訊協(xié)定。無法適用於高級防火

5、牆或NAT設(shè)備(如:Symmetric NAT)。13七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))方法2:防火牆或NAT設(shè)備配合外部TURN(Traversal Using Relay NAT)伺服器來轉(zhuǎn)送封包。14七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))TURN優(yōu)點:可以符合大多數(shù)防火牆和NAT設(shè)備的安全性需求。TURN缺點:SIP UA需支援TURN通訊協(xié)定。TURN伺服器負(fù)載較STUN伺服器高，服務(wù)的客戶端也較少。成本較高、佔用頻寬較多且增加延遲時間。15七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))方法3:NAT設(shè)備提供額外的通訊協(xié)定(UPnP)讓位於私有網(wǎng)路的設(shè)備取得對應(yīng)的公

6、開位置。16七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))UPnP優(yōu)點:不需外部伺服器支援。適合各種SIP網(wǎng)路架構(gòu)。UPnP缺點:必須使用支援UPnP的防火牆或NAT設(shè)備和SIP UA，普及度是最大問題。當(dāng)兩個同在私人網(wǎng)路的SIP設(shè)備要通話時，容易發(fā)生”繞遠(yuǎn)路”的現(xiàn)象。17七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))方法4:與外部伺服器建立隧道(Tunneling)通過防火牆或NAT設(shè)備。18七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))VPN優(yōu)點:可以通過多重網(wǎng)路位址轉(zhuǎn)換或防火牆。搭配認(rèn)證及加密技術(shù)具有安全上的優(yōu)勢。VPN缺點:客戶端的SIP設(shè)備需支援VPN通訊協(xié)定。隧道(Tunnel)會

7、增加少許的延遲和頻寬。建置成本較高。19七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))方法5:防火牆或NAT設(shè)備本身支援SIP/RTP。優(yōu)點:經(jīng)由內(nèi)建SIP/RTP的防火牆或NAT設(shè)備不需其他通訊協(xié)定及伺服器的支援。適合各種SIP網(wǎng)路架構(gòu)。相容性最高。缺點:設(shè)備建置成本高。20七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))方法6:般防火牆或NAT設(shè)備配合外掛設(shè)備SIP ALG(Application Layer Gateway)支援SIP/RTP。21七、讓SIP通過防火牆或NAT設(shè)備的方法(續(xù))SIP ALG優(yōu)點:可以沿用舊式的NAT設(shè)備及防火牆。可以避免”繞遠(yuǎn)路”的現(xiàn)象。SIP ALG缺點:封包轉(zhuǎn)送到ALG會增加少許的延遲和頻寬。增加設(shè)備建置成本。22八、結(jié)論解決SIP通過防火牆或NAT設(shè)備的最佳方式是設(shè)備本