1、1,探討SIP通過防火牆與 網路位址轉換的方法,指導教授:陳偉業 老師碩專資管二甲 N9490011 黃琮富 成功大學計網中心 網路作業組 組員 2006/12/16,2,、參考文獻,張澍元,探討SIP通過防火牆與網路位址轉換的方法,電腦與通訊,2003年 第105期 p169-p186。楊政遠,新世代網際電話標準與架構剖析,TWNIC 研討會簡報資料,2003年 http:/.tw/file/2003seminar/23e.ppt。台灣SIP/ENUM應用促進會 http:/www.enum.org.tw/。,3,二、SIP的基本運作方式,SIP(Session Initiation Pro
2、tocol)是一種網際網路上的多媒體通訊協定,以文字格式為基礎。 使用SDP(Session Description Protocol)來溝通多媒體能力及傳輸設定。 使用RTP(Real-Time Transport Protocol)傳遞即時聲音或影像。,SIP在點對點環境下的運作流程,4,二、SIP的基本運作方式(續),SIP在分散式大型通訊網路下的運作流程:,SIP在分散式環境下的運作流程,5,三、SIP的網路架構類型,A型:個人或家用的點對點SIP網路,點對點SIP網路的通訊流程,6,三、SIP的網路架構類型(續),B型:個人、家庭或小型辦公室使用位於公開網路位址的SIP伺服器,使用位
3、於公開網路位置的SIP Register的通訊流程,7,三、SIP的網路架構類型(續),C型:具有專屬SIP伺服器的企業網路和外部網路位置的SIP設備互通,使用位於私人網路位置的SIP Register的通訊流程,8,三、SIP的網路架構類型(續),綜合型:混合A,B,C三型的SIP網路架構,混合B,C二型的網路架構,9,四、SIP穿越防火牆或NAT時遭遇到的問題,SIP和SDP的訊息內容中都包含自己的網路位置,經由NAT後對方無法回應。RTP網路埠由SDP動態溝通決定,無法事先決定。SIP的信令傳輸途徑與RTP的媒體傳輸途徑可能不同。,10,五、SIP通過網路位置轉換設備(NAT)的情形,進
4、行RTP溝通 的原始訊息,經由NAT後IP 位址已被修改,無法與10.0.0.1 進行溝通, 建立SDP可能會成功,但建立RTP定會失敗。,11,六、SIP通過防火牆設備的情形,進行RTP溝通 的原始訊息,防火牆對外開放 Port 5060 進行SDP溝通,進行RTP溝通的埠 號無法事先決定, 除非防火牆有能力解讀SIP訊息的內容,否則無法在防火牆上建立固定讓RTP封包通過的規則。,12,七、讓SIP通過防火牆或NAT設備的方法,方法1: 使用外部的STUN(Simple Traversal of UDP Through NAT)伺服器來取得私有位置設備對應公開位置。,13,七、讓SIP通過防
5、火牆或NAT設備的方法(續),STUN優點: STUN的建置成本低。 單一STUN伺服器可以為多個私有網路提供服務。STUN缺點: SIP UA需支援STUN通訊協定。 無法適用於高級防火牆或NAT設備(如:Symmetric NAT)。,14,七、讓SIP通過防火牆或NAT設備的方法(續),方法2: 防火牆或NAT設備配合外部TURN(Traversal Using Relay NAT)伺服器來轉送封包。,15,七、讓SIP通過防火牆或NAT設備的方法(續),TURN優點: 可以符合大多數防火牆和NAT設備的安全性需求。TURN缺點: SIP UA需支援TURN通訊協定。 TURN伺服器負載
6、較STUN伺服器高,服務的客戶端也較少。 成本較高、佔用頻寬較多且增加延遲時間。,16,七、讓SIP通過防火牆或NAT設備的方法(續),方法3: NAT設備提供額外的通訊協定(UPnP)讓位於私有網路的設備取得對應的公開位置。,17,七、讓SIP通過防火牆或NAT設備的方法(續),UPnP優點: 不需外部伺服器支援。 適合各種SIP網路架構。UPnP缺點: 必須使用支援UPnP的防火牆或NAT設備和SIP UA,普及度是最大問題。 當兩個同在私人網路的SIP設備要通話時,容易發生”繞遠路”的現象。,18,七、讓SIP通過防火牆或NAT設備的方法(續),方法4: 與外部伺服器建立隧道(Tunne
7、ling)通過防火牆或NAT設備。,19,七、讓SIP通過防火牆或NAT設備的方法(續),VPN優點: 可以通過多重網路位址轉換或防火牆。 搭配認證及加密技術具有安全上的優勢。VPN缺點: 客戶端的SIP設備需支援VPN通訊協定。 隧道(Tunnel)會增加少許的延遲和頻寬。 建置成本較高。,20,七、讓SIP通過防火牆或NAT設備的方法(續),方法5: 防火牆或NAT設備本身支援SIP/RTP。優點: 經由內建SIP/RTP的防火牆或NAT設備不需其他通訊協定及伺服器的支援。 適合各種SIP網路架構。 相容性最高。缺點: 設備建置成本高。,21,七、讓SIP通過防火牆或NAT設備的方法(續)
8、,方法6: 般防火牆或NAT設備配合外掛設備SIP ALG(Application Layer Gateway)支援SIP/RTP。,22,七、讓SIP通過防火牆或NAT設備的方法(續),SIP ALG優點: 可以沿用舊式的NAT設備及防火牆。 可以避免”繞遠路”的現象。SIP ALG缺點: 封包轉送到ALG會增加少許的延遲和頻寬。 增加設備建置成本。,23,八、結論,解決SIP通過防火牆或NAT設備的最佳方式是設備本身支援SIP/RTP。SIP ALG和UPnP是最適合企業SIP網路的解決方案。STUN和UPnP是最適合個人或小型網路的解決方案。,24,八、結論(續),各種SIP防火牆與網路位置轉換問題解法的特性如下:,25,簡報結束、敬請指教,
