探讨sip通过防火墙与 网路位址转换的方法

1、探討SIP通過防火牆與網路位址轉換的方法指導教授：陳偉業 老師碩專資管二甲 N9490011 黃琮富成功大學計網中心 網路作業組 組員2006/12/161、參考文獻張澍元，探討SIP通過防火牆與網路位址轉換的方法，電腦與通訊，2003年 第105期 p169-p186。楊政遠，新世代網際電話標準與架構剖析，TWNIC 研討會簡報資料，2003年 .tw/file/2003seminar/23e.ppt。台灣SIP/ENUM應用促進會 http:/.tw/。2二、SIP的基本運作方式SIP(Session Initiation Protocol)是一種網際網路上的多媒體通訊協定，以文字格式為基

2、礎。使用SDP(Session Description Protocol)來溝通多媒體能力及傳輸設定。使用RTP(Real-Time Transport Protocol)傳遞即時聲音或影像。SIP在點對點環境下的運作流程3二、SIP的基本運作方式(續)SIP在分散式大型通訊網路下的運作流程:SIP在分散式環境下的運作流程4三、SIP的網路架構類型A型:個人或家用的點對點SIP網路點對點SIP網路的通訊流程5三、SIP的網路架構類型(續)B型:個人、家庭或小型辦公室使用位於公開網路位址的SIP伺服器使用位於公開網路位置的SIP Register的通訊流程6三、SIP的網路架構類型(續)C型:具

3、有專屬SIP伺服器的企業網路和外部網路位置的SIP設備互通使用位於私人網路位置的SIP Register的通訊流程7三、SIP的網路架構類型(續)綜合型:混合A，B，C三型的SIP網路架構混合B，C二型的網路架構8四、SIP穿越防火牆或NAT時遭遇到的問題SIP和SDP的訊息內容中都包含自己的網路位置，經由NAT後對方無法回應。RTP網路埠由SDP動態溝通決定，無法事先決定。SIP的信令傳輸途徑與RTP的媒體傳輸途徑可能不同。9五、SIP通過網路位置轉換設備(NAT)的情形進行RTP溝通的原始訊息經由NAT後IP位址已被修改無法與進行溝通 建立SDP可能會成功，但建立RTP定會失敗。10六、S

4、IP通過防火牆設備的情形進行RTP溝通的原始訊息防火牆對外開放Port 5060進行SDP溝通進行RTP溝通的埠號無法事先決定 除非防火牆有能力解讀SIP訊息的內容，否則無法在防火牆 上建立固定讓RTP封包通過的規則。11七、讓SIP通過防火牆或NAT設備的方法方法1:使用外部的STUN(Simple Traversal of UDP Through NAT)伺服器來取得私有位置設備對應公開位置。12七、讓SIP通過防火牆或NAT設備的方法(續)STUN優點:STUN的建置成本低。單一STUN伺服器可以為多個私有網路提供服務。STUN缺點:SIP UA需支援STUN通訊協定。無法適用於高級防火

5、牆或NAT設備(如:Symmetric NAT)。13七、讓SIP通過防火牆或NAT設備的方法(續)方法2:防火牆或NAT設備配合外部TURN(Traversal Using Relay NAT)伺服器來轉送封包。14七、讓SIP通過防火牆或NAT設備的方法(續)TURN優點:可以符合大多數防火牆和NAT設備的安全性需求。TURN缺點:SIP UA需支援TURN通訊協定。TURN伺服器負載較STUN伺服器高，服務的客戶端也較少。成本較高、佔用頻寬較多且增加延遲時間。15七、讓SIP通過防火牆或NAT設備的方法(續)方法3:NAT設備提供額外的通訊協定(UPnP)讓位於私有網路的設備取得對應的公

6、開位置。16七、讓SIP通過防火牆或NAT設備的方法(續)UPnP優點:不需外部伺服器支援。適合各種SIP網路架構。UPnP缺點:必須使用支援UPnP的防火牆或NAT設備和SIP UA，普及度是最大問題。當兩個同在私人網路的SIP設備要通話時，容易發生”繞遠路”的現象。17七、讓SIP通過防火牆或NAT設備的方法(續)方法4:與外部伺服器建立隧道(Tunneling)通過防火牆或NAT設備。18七、讓SIP通過防火牆或NAT設備的方法(續)VPN優點:可以通過多重網路位址轉換或防火牆。搭配認證及加密技術具有安全上的優勢。VPN缺點:客戶端的SIP設備需支援VPN通訊協定。隧道(Tunnel)會

7、增加少許的延遲和頻寬。建置成本較高。19七、讓SIP通過防火牆或NAT設備的方法(續)方法5:防火牆或NAT設備本身支援SIP/RTP。優點:經由內建SIP/RTP的防火牆或NAT設備不需其他通訊協定及伺服器的支援。適合各種SIP網路架構。相容性最高。缺點:設備建置成本高。20七、讓SIP通過防火牆或NAT設備的方法(續)方法6:般防火牆或NAT設備配合外掛設備SIP ALG(Application Layer Gateway)支援SIP/RTP。21七、讓SIP通過防火牆或NAT設備的方法(續)SIP ALG優點:可以沿用舊式的NAT設備及防火牆。可以避免”繞遠路”的現象。SIP ALG缺點:封包轉送到ALG會增加少許的延遲和頻寬。增加設備建置成本。22八、結論解決SIP通過防火牆或NAT設備的最佳方式是設備本