探討sip通過防火牆與 網路位址轉換的方法
DESCRIPTION
探討SIP通過防火牆與 網路位址轉換的方法. 指導教授:陳偉業 老師 碩專資管二甲 N9490011 黃琮富 成功大學計網中心 網路作業組 組員 2006/12/16. ㄧ、參考文獻. 張澍元 ,探討SIP通過防火牆與網路位址轉換的方法 ,電腦與通訊, 2003 年 第 105 期 p169-p186 。 楊政遠,新世代網際電話標準與架構剖析, TWNIC 研討會簡報資料 , 2003 年 http://www.twnic.net.tw/file/2003seminar/23e.ppt 。 - PowerPoint PPT PresentationTRANSCRIPT
1
探討 SIP通過防火牆與
網路位址轉換的方法指導教授:陳偉業 老師
碩專資管二甲 N9490011 黃琮富成功大學計網中心 網路作業組 組員
2006/12/16
2
ㄧ、參考文獻
張澍元,探討 SIP通過防火牆與網路位址轉換的方法,電腦與通訊, 2003 年 第 105 期 p169-p186 。
楊政遠,新世代網際電話標準與架構剖析, TWNIC 研討會簡報資料, 2003 年 http://www.twnic.net.tw/file/2003seminar/23e.ppt。
台灣 SIP/ENUM 應用促進會 http://www.enum.org.tw/。
3
二、 SIP 的基本運作方式
SIP(Session Initiation Protocol) 是一種網際網路上的多媒體通訊協定,以文字格式為基礎。
使用 SDP(Session Description Protocol) 來溝通多媒體能力及傳輸設定。
使用 RTP(Real-Time Transport Protocol) 傳遞即時聲音或影像。
SIP 在點對點環境下的運作流程
4
二、 SIP 的基本運作方式 (續 )
SIP 在分散式大型通訊網路下的運作流程 :
SIP 在分散式環境下的運作流程
5
三、 SIP 的網路架構類型
A 型 :個人或家用的點對點 SIP 網路
點對點 SIP 網路的通訊流程
6
三、 SIP 的網路架構類型 (續 )
B 型 :個人、家庭或小型辦公室使用位於公開網路位址的 SIP 伺服器
使用位於公開網路位置的 SIP Register 的通訊流程
7
三、 SIP 的網路架構類型 (續 )
C 型 :具有專屬 SIP 伺服器的企業網路和外部網路位置的 SIP 設備互通
使用位於私人網路位置的 SIP Register 的通訊流程
8
三、 SIP 的網路架構類型 (續 )
綜合型 :混合 A , B , C 三型的 SIP 網路架構
混合 B, C二型的網路架構
9
四、 SIP 穿越防火牆或 NAT 時遭遇到的問題
SIP 和 SDP 的訊息內容中都包含自己的網路位置,經由 NAT 後對方無法回應。
RTP 網路埠由 SDP 動態溝通決定,無法事先決定。
SIP 的信令傳輸途徑與 RTP 的媒體傳輸途徑可能不同。
10
五、 SIP 通過網路位置轉換設備 (NAT) 的情形
進行 RTP 溝通的原始訊息
經由 NAT 後 IP位址已被修改
無法與 10.0.0.1進行溝通
■ 建立 SDP 可能會成功,但建立 RTP ㄧ定會失敗。
11
六、 SIP 通過防火牆設備的情形進行 RTP 溝通的原始訊息
防火牆對外開放Port 5060進行 SDP 溝通
進行 RTP 溝通的埠號無法事先決定
■ 除非防火牆有能力解讀 SIP 訊息的內容,否則無法在防火牆 上建立固定讓 RTP封包通過的規則。
12
七、讓 SIP 通過防火牆或 NAT 設備的方法
方法 1: 使用外部的 STUN(Simple Traversal of UDP Through NAT)
伺服器來取得私有位置設備對應公開位置。
13
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )
STUN優點 : STUN 的建置成本低。 單一 STUN 伺服器可以為多個私有網路提供服務。
STUN缺點 : SIP UA需支援 STUN 通訊協定。 無法適用於高級防火牆或 NAT 設備 (如 :Symmetric NAT) 。
14
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )方法 2: 防火牆或 NAT 設備配合外部 TURN(Traversal Using Relay
NAT) 伺服器來轉送封包。
15
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )
TURN優點 : 可以符合大多數防火牆和 NAT 設備的安全性需求。
TURN缺點 : SIP UA需支援 TURN 通訊協定。 TURN 伺服器負載較 STUN 伺服器高,服務的客戶端也較少。 成本較高、佔用頻寬較多且增加延遲時間。
16
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )方法 3: NAT 設備提供額外的通訊協定 (UPnP)讓位於私有網路的設
備取得對應的公開位置。
17
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )
UPnP優點 : 不需外部伺服器支援。 適合各種 SIP 網路架構。
UPnP缺點 : 必須使用支援 UPnP 的防火牆或 NAT 設備和 SIP UA ,普及度
是最大問題。 當兩個同在私人網路的 SIP 設備要通話時,容易發生”繞
遠路”的現象。
18
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )方法 4: 與外部伺服器建立隧道 (Tunneling) 通過防火牆或 NAT 設備。
19
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )
VPN優點 : 可以通過多重網路位址轉換或防火牆。 搭配認證及加密技術具有安全上的優勢。
VPN缺點 : 客戶端的 SIP 設備需支援 VPN 通訊協定。 隧道 (Tunnel) 會增加少許的延遲和頻寬。 建置成本較高。
20
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )方法 5: 防火牆或 NAT 設備本身支援 SIP/RTP 。
優點 : 經由內建 SIP/RTP 的防火牆或 NAT 設備不需其他通訊協定及
伺服器的支援。 適合各種 SIP 網路架構。 相容性最高。
缺點 : 設備建置成本高。
21
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )方法 6: ㄧ般防火牆或 NAT 設備配合外掛設備 SIP ALG(Application Layer Gateway)支援 SIP/RTP 。
22
七、讓 SIP 通過防火牆或 NAT 設備的方法(續 )
SIP ALG 優點 : 可以沿用舊式的 NAT 設備及防火牆。 可以避免”繞遠路”的現象。
SIP ALG 缺點 : 封包轉送到 ALG會增加少許的延遲和頻寬。 增加設備建置成本。
23
八、結論
解決 SIP 通過防火牆或 NAT 設備的最佳方式是設備本身支援 SIP/RTP 。
SIP ALG和 UPnP 是最適合企業 SIP 網路的解決方案。
STUN 和 UPnP 是最適合個人或小型網路的解決方案。
24
八、結論 ( 續 )
各種 SIP 防火牆與網路位置轉換問題解法的特性如下 :
25
簡報結束、敬請指教