SIP之 穿越NAT.

Slides:



Advertisements
Similar presentations
7.1 内置对象概述及分类 JSP 视频教学课程. JSP2.2 目录 1. 内置对象简介 1. 内置对象简介 2. 内置对象分类 2. 内置对象分类 3. 内置对象按功能区分 3. 内置对象按功能区分 4. 内置对象作用范围 4. 内置对象作用范围.
Advertisements

NAT与ICMP交互.
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
这是一个数字的 乐园 这里埋藏着丰富的 宝藏 请跟我一起走进数学的 殿堂.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
我不在圖書館, 就是在 往圖書館的路上 圖書館館長 韓柏檉.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第二章 复式记账原理*** 主要内容、重点难点: 1.会计要素与会计等式*** 2.会计科目与账户*** 3. 借贷记账法***
林森國小一年8班班親會 葉宛婷老師 103年9月19日 晚上7:00-8:30 地點:108教室.
這是全班幼兒一起進行團體討論、分享、常規教學、新聞報導及全體共同經驗的活動,因此場地以能容納所有幼兒為主。
1、分别用双手在本上写下自己的名字 2、双手交叉
基隆市校園寬頻有線及無線網路環境 (NGN) 語音交換伺服器暨週邊設備建置簡報 瑪凱電信 VoIP 事業部 經理 何茂誠
第三课 走向自立人生.
第五部分 如何有艺术的销售? ----中海名都促销活动方案 差别化的重要性在于:与竞争者的定位相同,等于没有定位!
2007年11月考试相关工作安排 各考试点、培训中心和广大应考人员:
分式的乘除(1) 周良中学 贾文荣.
第四章 制造业企业 主要经济业务核算.
《思想品德》七年级下册 教材、教法与评价的交流 金 利 2006年1月10日.
计算机网络.
致亲爱的同学们 天空的幸福是穿一身蓝 森林的幸福是披一身绿 阳光的幸福是如钻石般耀眼 老师的幸福是因为认识了你们 愿你们努力进取,永不言败.
1.1.2 四 种 命 题.
高一数学 充分条件与必要条件 教育科学学院03级教育技术2班 刘文平.
项目四 组建跨地区网络 授课教师:肖颖.
课标教材下教研工作的 实践与思考 山东临沂市教育科学研究中心 郭允远.
网络地址转换(NAT) 及其实现.
在PHP和MYSQL中实现完美的中文显示
NAT-PT (Network Address Translation-Protocol Translation)
第9章 電子商務安全防範.
David liang 数据通信安全教程 防火墙技术及应用 David liang
Server Load Balancing 飛雅高科技 李村.
华南师范大学 防火墙 华南师范大学
IGRS2.0体系架构 闪联 源于中国的国际标准.
2018/11/22 SIP to Freshman.
P2P通信之 ——UDP穿越NAT方案的讨论
大连理工大学网络中心 冯刚 基于IPv6的SIP移动性研究 大连理工大学网络中心 冯刚 CERNET 2005 DaLian.
VoIP integrate compuse PSTN-PBX with SIP/ENUM/IVR
實驗 一 : RTP 實驗目的 實作部分 了解如何利用RTP在網路上傳送語音封包 加深對RTP、RTCP封包的基本格式的認識
SIP之 穿越NAT.
Chapter 14 DHCP.
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
P2P简介 网络模式 C/S 模式 B/S 模式 P2P(peer to peer) FTP,POP3,SMTP HTTP
Windows 2003 server 進階介紹 麋鹿.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
NetCom 4600 全分散架構下 之 IP-PBX.
PaPaPa项目架构 By:Listen 我在这.
SIP与H.323互通的研究 研究生选题报告 Research on Interworking between SIP and H.323
ISA Server 2004.
SOA – Experiment 2: Query Classification Web Service
防火墙.
第四章 团队音乐会序幕: 团队协作平台的快速创建
DQMClientDim.cxx及双光子练习
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
数据报分片.
郑 昀 应用开发事业部 神州泰岳 SIP多方会话消息 之实例讲解 郑 昀 应用开发事业部 神州泰岳
TYPE B 3504A設定 使用瀏覽器連線到閘道器的ip 例如:
TYPE A 3702A設定 使用瀏覽器連線到閘道器的ip 例如:
Mobile IPv4.
IP Layer Basics, Firewall, VPN, and NAT
阻塞式模型 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang 官网地址:
第二部分 导数与微分 在课程简介中已经谈到, 高等数学就是微积分(微分 + 积分). 对于一元函数来说, 微分本质上就是导数. 这一部分内容是“导数与微分”. 由此可见, 这一部分内容在本课程中的重要地位. 我们是在极限的基础之上讨论函数的导数和微分的. “导数与微分”是每个学习高等数学的人必须掌握的内容.
VoIP组工作汇报 黄权 李光华.
IP Layer Basics & Firewall
Homework 3.
实验六静态路由.
單 位 :國立暨南國際大學 南投區域網路中心 主講人:陳家祿先生
Presentation transcript:

SIP之 穿越NAT

Agenda SIP穿越NAT NAT分类 问题之所在 各种解决方案

SIP穿越NAT – NAT分类 Full Cone NAT(完全圆锥型) Address Restricted Cone NAT(地址限制圆锥型 ) Port Restricted Cone NAT(端口限制圆锥型) Symmetric NAT(对称型) 私网 公网 M A,b P X,y NAT S

SIP穿越NAT – NAT分类 Full Cone NAT(完全圆锥型NAT ) M A,b P X,y S 私网 公网 M A,b P X,y Full Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定 任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上

SIP穿越NAT – NAT分类 Address Restricted Cone NAT(地址限制圆锥型 ) M P,q A,b P,r 私网 公网 M X P,q A,b P,r X,y X Restricted Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定 只有来自主机{P}的包才能和主机{X:y}通信

SIP穿越NAT – NAT分类 Port Restricted Cone NAT(端口限制圆锥型 ) M,n P,q A,b P,r 私网 公网 M,n P,q A,b X P,r X,y X Port Restricted Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定 只有来自主机{P,q}的包才能和主机{X:y}通信

SIP穿越NAT – NAT分类 Symmetric NAT(对称型) M,n C,d P,q A,b P,r X,y S X X 私网 公网 C,d M,n P,q A,b X P,r X,y X Port Restricted Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为{X:y}|{A:b}<->{P:q} NAT只接受来自{P:q}的incoming packet,将它转给{X:y} 每次客户机请求一个不同的公网地址和端口,NAT会新分配一个端口号{C,d}

SIP穿越NAT – 问题之所在 SIP Proxy无法穿过NAT回送SIP信令 X X 公网 私网 SIP Proxy 私网 Firewall /NAT X X SIP信令 Firewall /NAT 因为SIP信令中的From和Contact头域记录的是私网地址和端口,NAT无法识别和转换。

SIP穿越NAT – 问题之所在 如果是UDP Hole Punching呢? 什么是UDP Hole? 私网 公网 UDP包 Firewall /NAT 这个内网的NAT上打了一个方向为211.136.91.58的“洞”,(这就是称为UDP Hole Punching的技术)以后211.136.91.58就可以通过这个洞与内网的192.168.1.223联系了,但是其他的IP不能利用这个洞。

SIP穿越NAT – 问题之所在 如果是UDP Hole Punching呢? 在没有活动的时候,这个Hole会过期:

SIP穿越NAT – 解决问题 几种解决方案 ALG MidCom STUN TURN SBC

Application Level Gateway Solution SIP穿越NAT – ALG Application Level Gateway Solution ALG可以识别SIP信令,能够适当地修改数据包 ALG可以是单独的连接于外网和内网之间的设备,也可以是内置于防火墙内的插件 当FW/NAT发现外网呼叫信令为SIP时,将其转发到ALG(应用层网关),通过ALG建立起内网伪地址终端与外网终端的通信连接 需要对现有设备升级改造

IETF MIDCOM(Middlebox Communications) Solution SIP穿越NAT – MidCom IETF MIDCOM(Middlebox Communications) Solution 允许第三方(MIDCOM Agent )成为受FW/NAT信任的实体,然后代表FW/NAT做出决定,强迫其开放端口传送媒体流或数据流。这些受信任的实体通过“MidCom”定义的新协议与FW/NAT进行通信。 协议的识别不由Middlebox完成,而是由外部的MIDCOM Agent完成 需要对现有设备升级改造

STUN(Simple Traversalof UDP Through Network) Solution SIP穿越NAT – STUN STUN(Simple Traversalof UDP Through Network) Solution STUN回包告诉客户端 公网IP和12345端口 私网 公网 [A,b] What’s my ip? A,b S,t X,y NAT 希望在5060端口接收数据 从5060端口发送请求STUN服务器 NAT映射端口为12345

SIP穿越NAT – STUN IETF RFC 3489定义了如何确定由NAT分配的公网地址和端口 不需要改造现有NAT 主要特色: 非常简单的协议,易于实现,负载低 STUN服务器可以位于公网任何地方 适用范围: 不适用于Symmetric NAT 对于Non- Symmetric NAT都适用 如果双方都位于同一个NAT之后,就不适用

SIP穿越NAT – STUN STUN的优点: 无需现有NAT设备做任何改动 可在多个NAT串联的网络环境中使用 STUN的局限性: 需要终端支持STUN CLIENT的功能 不适合支持TCP连接的穿越,所以不支持H.323 不支持Symmetric NAT 不支持对防火墙的穿越

SIP穿越NAT – STUN

SIP穿越NAT – STUN

SIP穿越NAT – STUN 成熟的STUN Server/Client方案: http://sourceforge.net/projects/stun/ 下载stund_0.94_Oct29.gz 运行其中的WinStun.exe测试程序,即可获知NAT类型以及分配的公网地址:

TURN(Traveral Using Relay NAT) Solution SIP穿越NAT –TURN TURN(Traveral Using Relay NAT) Solution 通过Relay方式穿越NAT的方式: 私网终端发出的报文都要经过TURN Server进行Relay转发 私网 公网 O,p M,n [O,p] A,b O,p Give my ip S,t M,n X,y NAT 分配一个IP和端口:[O,p]

SIP穿越NAT –TURN IETF draft “draft-rosenberg-midcom-turn-06” TURN Server控制分配地址和端口,能分配RTP/RTCP地址对(RTCP端口号为RTP端口号加1)作为私网终端用户的接收地址,避免了STUN方式中出口NAT对RTP/RTCP地址端口号的任意分配,使得客户端无法收到对端发来的RTCP报文(对端发RTCP报文时,目的端口号缺省按RTP端口号加 1发送)。

SIP穿越NAT –TURN 与STUN的类似之处: 私网中的终端通过某种机制预先得到公网上的服务地址,然后在报文净载中所要求的地址信息就直接填写该公网地址。 与STUN的区别: STUN得到的地址为出口NAT上外部地址;TURN得到的地址为TURN Server上的公网地址 TURN支持Symmetric NAT TURN支持基于TCP的应用,如H.323

SIP穿越NAT –TURN TURN的优点: 无需现有NAT设备做任何改动 可在多个NAT串联的网络环境中使用 支持Symmetric NAT 支持TCP连接的穿越 TURN的局限性: 需要终端支持TURN CLIENT的功能 所有报文都必须经过TURN Server转发,增大了包的延迟和丢包的可能性

ICE(Interactive Connectivity Establishment) Solution SIP穿越NAT –ICE ICE(Interactive Connectivity Establishment) Solution IETF draft “draft-ietf-mmusic-ice-03” 综合运用 STUN、TURN或RSIP(Realm Specific IP)协议,使之在最适合的情况下工作,以弥补单独使用其中任何一种所带来的固有缺陷 在 SIP client开发上显著地增加了复杂性 适用于各种类型的NAT 需要每一个终端支持 traversal 方法 资源: 可以参考论文《基于ICE方式SIP信令穿透Symmetric NAT技术研究 》

SBC(Session Border Controller) Solution SIP穿越NAT –SBC SBC(Session Border Controller) Solution SIP Proxy SIP Signaling Firewall Firewall RTP/RTCP Media

SIP穿越NAT –SBC Signaling Solution SBC可以帮助SIP信令穿越已经存在的FW/NAT,而不需要对现有的FW/NAT设备做任何改变 对于SIP终端,SIP终端设备会周期性发送注册消息到SBC Media Traversal Solution SBC可以把相应的媒体流发送到防火墙上的相关IP地址和端口,然后正确地使媒体流到达防火墙后的用户侧

谢谢!