探討SIP通過防火牆與 網路位址轉換的方法

Presentation on theme: "探討SIP通過防火牆與 網路位址轉換的方法"— Presentation transcript:

1 探討SIP通過防火牆與 網路位址轉換的方法
指導教授：陳偉業 老師 碩專資管二甲 N 黃琮富 成功大學計網中心 網路作業組 組員 2006/12/16

2 ㄧ、參考文獻 張澍元，探討SIP通過防火牆與網路位址轉換的方法，電腦與通訊，2003年 第105期 p169-p186。
楊政遠，新世代網際電話標準與架構剖析，TWNIC 研討會簡報資料，2003年 台灣SIP/ENUM應用促進會

3 二、SIP的基本運作方式 SIP(Session Initiation Protocol)是一種網際網路上的多媒體通訊協定，以文字格式為基礎。 使用SDP(Session Description Protocol)來溝通多媒體能力及傳輸設定。 使用RTP(Real-Time Transport Protocol)傳遞即時聲音或影像。 SIP在點對點環境下的運作流程

4 二、SIP的基本運作方式(續) SIP在分散式大型通訊網路下的運作流程: SIP在分散式環境下的運作流程

5 三、SIP的網路架構類型 A型:個人或家用的點對點SIP網路 點對點SIP網路的通訊流程

6 三、SIP的網路架構類型(續) B型:個人、家庭或小型辦公室使用位於公開網路位址的SIP伺服器
使用位於公開網路位置的SIP Register的通訊流程

7 三、SIP的網路架構類型(續) C型:具有專屬SIP伺服器的企業網路和外部網路位置的SIP設備互通
使用位於私人網路位置的SIP Register的通訊流程

8 三、SIP的網路架構類型(續) 綜合型:混合A，B，C三型的SIP網路架構 混合B，C二型的網路架構

9 四、SIP穿越防火牆或NAT時遭遇到的問題
SIP和SDP的訊息內容中都包含自己的網路位置，經由NAT後對方無法回應。 RTP網路埠由SDP動態溝通決定，無法事先決定。 SIP的信令傳輸途徑與RTP的媒體傳輸途徑可能不同。

10 五、SIP通過網路位置轉換設備(NAT)的情形
進行RTP溝通 的原始訊息 經由NAT後IP 位址已被修改 無法與 進行溝通 ■ 建立SDP可能會成功，但建立RTPㄧ定會失敗。

11 六、SIP通過防火牆設備的情形 上建立固定讓RTP封包通過的規則。 進行RTP溝通 的原始訊息 防火牆對外開放 Port 5060
進行SDP溝通 進行RTP溝通的埠 號無法事先決定 ■ 除非防火牆有能力解讀SIP訊息的內容，否則無法在防火牆 上建立固定讓RTP封包通過的規則。

12 七、讓SIP通過防火牆或NAT設備的方法
方法1: 使用外部的STUN(Simple Traversal of UDP Through NAT)伺服器來取得私有位置設備對應公開位置。

13 七、讓SIP通過防火牆或NAT設備的方法(續)
STUN優點: STUN的建置成本低。 單一STUN伺服器可以為多個私有網路提供服務。 STUN缺點: SIP UA需支援STUN通訊協定。 無法適用於高級防火牆或NAT設備(如:Symmetric NAT)。

14 七、讓SIP通過防火牆或NAT設備的方法(續)
方法2: 防火牆或NAT設備配合外部TURN(Traversal Using Relay NAT)伺服器來轉送封包。

15 七、讓SIP通過防火牆或NAT設備的方法(續)
TURN優點: 可以符合大多數防火牆和NAT設備的安全性需求。 TURN缺點: SIP UA需支援TURN通訊協定。 TURN伺服器負載較STUN伺服器高，服務的客戶端也較少。 成本較高、佔用頻寬較多且增加延遲時間。

16 七、讓SIP通過防火牆或NAT設備的方法(續)
方法3: NAT設備提供額外的通訊協定(UPnP)讓位於私有網路的設備取得對應的公開位置。

17 七、讓SIP通過防火牆或NAT設備的方法(續)
UPnP優點: 不需外部伺服器支援。 適合各種SIP網路架構。 UPnP缺點: 必須使用支援UPnP的防火牆或NAT設備和SIP UA，普及度是最大問題。 當兩個同在私人網路的SIP設備要通話時，容易發生”繞遠路”的現象。

18 七、讓SIP通過防火牆或NAT設備的方法(續)
方法4: 與外部伺服器建立隧道(Tunneling)通過防火牆或NAT設備。

19 七、讓SIP通過防火牆或NAT設備的方法(續)
VPN優點: 可以通過多重網路位址轉換或防火牆。 搭配認證及加密技術具有安全上的優勢。 VPN缺點: 客戶端的SIP設備需支援VPN通訊協定。 隧道(Tunnel)會增加少許的延遲和頻寬。 建置成本較高。

20 七、讓SIP通過防火牆或NAT設備的方法(續)
方法5: 防火牆或NAT設備本身支援SIP/RTP。 優點: 經由內建SIP/RTP的防火牆或NAT設備不需其他通訊協定及伺服器的支援。 適合各種SIP網路架構。 相容性最高。 缺點: 設備建置成本高。

21 七、讓SIP通過防火牆或NAT設備的方法(續)
方法6: ㄧ般防火牆或NAT設備配合外掛設備SIP ALG(Application Layer Gateway)支援SIP/RTP。

22 七、讓SIP通過防火牆或NAT設備的方法(續)
SIP ALG優點: 可以沿用舊式的NAT設備及防火牆。 可以避免”繞遠路”的現象。 SIP ALG缺點: 封包轉送到ALG會增加少許的延遲和頻寬。 增加設備建置成本。

23 八、結論 解決SIP通過防火牆或NAT設備的最佳方式是設備本身支援SIP/RTP。
SIP ALG和UPnP是最適合企業SIP網路的解決方案。 STUN和UPnP是最適合個人或小型網路的解決方案。

24 八、結論(續) 各種SIP防火牆與網路位置轉換問題解法的特性如下:

25 簡報結束、敬請指教