SIP之 穿越NAT.

Slides:



Advertisements
Similar presentations
平面构成 第六章 平面构成形式与法则 — 破规与变异. 第七章 平面构成形式与法则 — 破规与变异 破规与变异构成的形式、有下列四类: 一、特异构成 特异构成。其表现特征是,在普遍相同性质的事物 当中,有个别异质性的事物,便会立即显现出来。
Advertisements

SIP之 穿越NAT.
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
这是一个数字的 乐园 这里埋藏着丰富的 宝藏 请跟我一起走进数学的 殿堂.
高雄縣網路電話建置經驗與規畫考量 溫桂誠 May 12,2009.
我不在圖書館, 就是在 往圖書館的路上 圖書館館長 韓柏檉.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第二章 复式记账原理*** 主要内容、重点难点: 1.会计要素与会计等式*** 2.会计科目与账户*** 3. 借贷记账法***
第一章 概 述.
林森國小一年8班班親會 葉宛婷老師 103年9月19日 晚上7:00-8:30 地點:108教室.
這是全班幼兒一起進行團體討論、分享、常規教學、新聞報導及全體共同經驗的活動,因此場地以能容納所有幼兒為主。
1、分别用双手在本上写下自己的名字 2、双手交叉
基隆市校園寬頻有線及無線網路環境 (NGN) 語音交換伺服器暨週邊設備建置簡報 瑪凱電信 VoIP 事業部 經理 何茂誠
第三课 走向自立人生.
第五部分 如何有艺术的销售? ----中海名都促销活动方案 差别化的重要性在于:与竞争者的定位相同,等于没有定位!
2007年11月考试相关工作安排 各考试点、培训中心和广大应考人员:
分式的乘除(1) 周良中学 贾文荣.
第四章 制造业企业 主要经济业务核算.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
《思想品德》七年级下册 教材、教法与评价的交流 金 利 2006年1月10日.
第10章 局域网与Internet互联 RCNA_T010.
计算机网络.
计算机网络 暨南大学计算机科学系 学年 第一学期.
致亲爱的同学们 天空的幸福是穿一身蓝 森林的幸福是披一身绿 阳光的幸福是如钻石般耀眼 老师的幸福是因为认识了你们 愿你们努力进取,永不言败.
1.1.2 四 种 命 题.
高一数学 充分条件与必要条件 教育科学学院03级教育技术2班 刘文平.
Netman Linux 的防火牆設計與應用 Netman
第十二单元 第28讲 第28讲 古代中国的科技和文艺   知识诠释  思维发散.
课标教材下教研工作的 实践与思考 山东临沂市教育科学研究中心 郭允远.
第八章二元一次方程组 8.3实际问题与二元一次方程组.
第八章二元一次方程组 8.3实际问题与二元一次方程组 (第3课时).
网络地址转换(NAT) 及其实现.
SIP 体系架构.
NAT-PT (Network Address Translation-Protocol Translation)
第9章 電子商務安全防範.
David liang 数据通信安全教程 防火墙技术及应用 David liang
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
Server Load Balancing 飛雅高科技 李村.
华南师范大学 防火墙 华南师范大学
IGRS2.0体系架构 闪联 源于中国的国际标准.
2018/11/22 SIP to Freshman.
P2P通信之 ——UDP穿越NAT方案的讨论
大连理工大学网络中心 冯刚 基于IPv6的SIP移动性研究 大连理工大学网络中心 冯刚 CERNET 2005 DaLian.
MOSA 4600 全分散架構下 之 IP-PBX.
VoIP integrate compuse PSTN-PBX with SIP/ENUM/IVR
實驗 一 : RTP 實驗目的 實作部分 了解如何利用RTP在網路上傳送語音封包 加深對RTP、RTCP封包的基本格式的認識
第 2 章 TCP / IP 簡介.
Chapter 14 DHCP.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
P2P简介 网络模式 C/S 模式 B/S 模式 P2P(peer to peer) FTP,POP3,SMTP HTTP
Windows 2003 server 進階介紹 麋鹿.
Alcatel - Lucent SIGTRAN introduction 心得簡報
NetCom 4600 全分散架構下 之 IP-PBX.
SIP与H.323互通的研究 研究生选题报告 Research on Interworking between SIP and H.323
ISA Server 2004.
防火墙.
實驗目的: 明瞭DHCP運作原理 建置DHCP伺服器
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
美麗的西子湖.
TYPE B 3504A設定 使用瀏覽器連線到閘道器的ip 例如:
TYPE A 3702A設定 使用瀏覽器連線到閘道器的ip 例如:
Mobile IPv4.
IP Layer Basics, Firewall, VPN, and NAT
第二部分 导数与微分 在课程简介中已经谈到, 高等数学就是微积分(微分 + 积分). 对于一元函数来说, 微分本质上就是导数. 这一部分内容是“导数与微分”. 由此可见, 这一部分内容在本课程中的重要地位. 我们是在极限的基础之上讨论函数的导数和微分的. “导数与微分”是每个学习高等数学的人必须掌握的内容.
欢迎乘座远航号! 让我们一起去知识的海洋寻宝吧!
Mobile Nodes and Multiple Interfaces in IPv6 (Monami6)
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
IP Layer Basics & Firewall
Homework 3.
單 位 :國立暨南國際大學 南投區域網路中心 主講人:陳家祿先生
Presentation transcript:

SIP之 穿越NAT

Agenda SIP穿越NAT NAT分类 问题之所在 各种解决方案

SIP穿越NAT – NAT分类 Full Cone NAT(完全圆锥型) Address Restricted Cone NAT(地址限制圆锥型 ) Port Restricted Cone NAT(端口限制圆锥型) Symmetric NAT(对称型) 私网 公网 M A,b P X,y NAT S

SIP穿越NAT – NAT分类 Full Cone NAT(完全圆锥型NAT ) M A,b P X,y S 私网 公网 M A,b P X,y Full Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定 任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上

SIP穿越NAT – NAT分类 Address Restricted Cone NAT(地址限制圆锥型 ) M P,q A,b P,r 私网 公网 M X P,q A,b P,r X,y X Restricted Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定 只有来自主机{P}的包才能和主机{X:y}通信

SIP穿越NAT – NAT分类 Port Restricted Cone NAT(端口限制圆锥型 ) M,n P,q A,b P,r 私网 公网 M,n P,q A,b X P,r X,y X Port Restricted Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定 只有来自主机{P,q}的包才能和主机{X:y}通信

SIP穿越NAT – NAT分类 Symmetric NAT(对称型) M,n C,d P,q A,b P,r X,y S X X 私网 公网 C,d M,n P,q A,b X P,r X,y X Port Restricted Cone NAT S NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为{X:y}|{A:b}<->{P:q} NAT只接受来自{P:q}的incoming packet,将它转给{X:y} 每次客户机请求一个不同的公网地址和端口,NAT会新分配一个端口号{C,d}

SIP穿越NAT – 问题之所在 SIP Proxy无法穿过NAT回送SIP信令 X X 公网 私网 SIP Proxy 私网 Firewall /NAT X X SIP信令 Firewall /NAT 因为SIP信令中的From和Contact头域记录的是私网地址和端口,NAT无法识别和转换。

SIP穿越NAT – 问题之所在 如果是UDP Hole Punching呢? 什么是UDP Hole? 私网 公网 UDP包 Firewall /NAT 这个内网的NAT上打了一个方向为211.136.91.58的“洞”,(这就是称为UDP Hole Punching的技术)以后211.136.91.58就可以通过这个洞与内网的192.168.1.223联系了,但是其他的IP不能利用这个洞。

SIP穿越NAT – 问题之所在 如果是UDP Hole Punching呢? 在没有活动的时候,这个Hole会过期:

SIP穿越NAT – 解决问题 几种解决方案 ALG MidCom STUN TURN SBC

Application Level Gateway Solution SIP穿越NAT – ALG Application Level Gateway Solution ALG可以识别SIP信令,能够适当地修改数据包 ALG可以是单独的连接于外网和内网之间的设备,也可以是内置于防火墙内的插件 当FW/NAT发现外网呼叫信令为SIP时,将其转发到ALG(应用层网关),通过ALG建立起内网伪地址终端与外网终端的通信连接 需要对现有设备升级改造

IETF MIDCOM(Middlebox Communications) Solution SIP穿越NAT – MidCom IETF MIDCOM(Middlebox Communications) Solution 允许第三方(MIDCOM Agent )成为受FW/NAT信任的实体,然后代表FW/NAT做出决定,强迫其开放端口传送媒体流或数据流。这些受信任的实体通过“MidCom”定义的新协议与FW/NAT进行通信。 协议的识别不由Middlebox完成,而是由外部的MIDCOM Agent完成 需要对现有设备升级改造

STUN(Simple Traversalof UDP Through Network) Solution SIP穿越NAT – STUN STUN(Simple Traversalof UDP Through Network) Solution STUN回包告诉客户端 公网IP和12345端口 私网 公网 [A,b] What’s my ip? A,b S,t X,y NAT 希望在5060端口接收数据 从5060端口发送请求STUN服务器 NAT映射端口为12345

SIP穿越NAT – STUN IETF RFC 3489定义了如何确定由NAT分配的公网地址和端口 不需要改造现有NAT 主要特色: 非常简单的协议,易于实现,负载低 STUN服务器可以位于公网任何地方 适用范围: 不适用于Symmetric NAT 对于Non- Symmetric NAT都适用 如果双方都位于同一个NAT之后,就不适用

SIP穿越NAT – STUN STUN的优点: 无需现有NAT设备做任何改动 可在多个NAT串联的网络环境中使用 STUN的局限性: 需要终端支持STUN CLIENT的功能 不适合支持TCP连接的穿越,所以不支持H.323 不支持Symmetric NAT 不支持对防火墙的穿越

SIP穿越NAT – STUN

SIP穿越NAT – STUN

SIP穿越NAT – STUN 成熟的STUN Server/Client方案: http://sourceforge.net/projects/stun/ 下载stund_0.94_Oct29.gz 运行其中的WinStun.exe测试程序,即可获知NAT类型以及分配的公网地址:

TURN(Traveral Using Relay NAT) Solution SIP穿越NAT –TURN TURN(Traveral Using Relay NAT) Solution 通过Relay方式穿越NAT的方式: 私网终端发出的报文都要经过TURN Server进行Relay转发 私网 公网 O,p M,n [O,p] A,b O,p Give my ip S,t M,n X,y NAT 分配一个IP和端口:[O,p]

SIP穿越NAT –TURN IETF draft “draft-rosenberg-midcom-turn-06” TURN Server控制分配地址和端口,能分配RTP/RTCP地址对(RTCP端口号为RTP端口号加1)作为私网终端用户的接收地址,避免了STUN方式中出口NAT对RTP/RTCP地址端口号的任意分配,使得客户端无法收到对端发来的RTCP报文(对端发RTCP报文时,目的端口号缺省按RTP端口号加 1发送)。

SIP穿越NAT –TURN 与STUN的类似之处: 私网中的终端通过某种机制预先得到公网上的服务地址,然后在报文净载中所要求的地址信息就直接填写该公网地址。 与STUN的区别: STUN得到的地址为出口NAT上外部地址;TURN得到的地址为TURN Server上的公网地址 TURN支持Symmetric NAT TURN支持基于TCP的应用,如H.323

SIP穿越NAT –TURN TURN的优点: 无需现有NAT设备做任何改动 可在多个NAT串联的网络环境中使用 支持Symmetric NAT 支持TCP连接的穿越 TURN的局限性: 需要终端支持TURN CLIENT的功能 所有报文都必须经过TURN Server转发,增大了包的延迟和丢包的可能性

ICE(Interactive Connectivity Establishment) Solution SIP穿越NAT –ICE ICE(Interactive Connectivity Establishment) Solution IETF draft “draft-ietf-mmusic-ice-03” 综合运用 STUN、TURN或RSIP(Realm Specific IP)协议,使之在最适合的情况下工作,以弥补单独使用其中任何一种所带来的固有缺陷 在 SIP client开发上显著地增加了复杂性 适用于各种类型的NAT 需要每一个终端支持 traversal 方法 资源: 可以参考论文《基于ICE方式SIP信令穿透Symmetric NAT技术研究 》

SBC(Session Border Controller) Solution SIP穿越NAT –SBC SBC(Session Border Controller) Solution SIP Proxy SIP Signaling Firewall Firewall RTP/RTCP Media

SIP穿越NAT –SBC Signaling Solution SBC可以帮助SIP信令穿越已经存在的FW/NAT,而不需要对现有的FW/NAT设备做任何改变 对于SIP终端,SIP终端设备会周期性发送注册消息到SBC Media Traversal Solution SBC可以把相应的媒体流发送到防火墙上的相关IP地址和端口,然后正确地使媒体流到达防火墙后的用户侧

谢谢!