SIP穿越防火墙解决办法.ppt

探討SIP通過防火牆與網路位址轉換的方法 指導教授：陳偉業 老師 碩專資管二甲 N9490011 黃琮富 成功大學計網中心 網路作業組 組員 2006/12/16 ㄧ、參考文獻 張澍元，探討SIP通過防火牆與網路位址轉換的方法，電腦與通訊，2003年 第105期 p169-p186。 楊政遠，新世代網際電話標準與架構剖析，TWNIC 研討會簡報資料，2003年 .tw/file/2003seminar/23e.ppt。 台灣SIP/ENUM應用促進會 .tw/。 二、SIP的基本運作方式 SIP(Session Initiation Protocol)是一種網際網路上的多媒體通訊協定，以文字格式為基礎。 使用SDP(Session Description Protocol)來溝通多媒體能力及傳輸設定。 使用RTP(Real-Time Transport Protocol)傳遞即時聲音或影像。 二、SIP的基本運作方式(續) SIP在分散式大型通訊網路下的運作流程: 三、SIP的網路架構類型 A型:個人或家用的點對點SIP網路 三、SIP的網路架構類型(續) B型:個人、家庭或小型辦公室使用位於公開網路位址的SIP伺服器 三、SIP的網路架構類型(續) C型:具有專屬SIP伺服器的企業網路和外部網路位置的SIP設備互通 三、SIP的網路架構類型(續) 綜合型:混合A，B，C三型的SIP網路架構 四、SIP穿越防火牆或NAT時遭遇到的問題 SIP和SDP的訊息內容中都包含自己的網路位置，經由NAT後對方無法回應。 RTP網路埠由SDP動態溝通決定，無法事先決定。 SIP的信令傳輸途徑與RTP的媒體傳輸途徑可能不同。 五、SIP通過網路位置轉換設備(NAT)的情形 六、SIP通過防火牆設備的情形 七、讓SIP通過防火牆或NAT設備的方法 方法1: 使用外部的STUN(Simple Traversal of UDP Through NAT)伺服器來取得私有位置設備對應公開位置。 七、讓SIP通過防火牆或NAT設備的方法(續) STUN優點: STUN的建置成本低。 單一STUN伺服器可以為多個私有網路提供服務。 STUN缺點: SIP UA需支援STUN通訊協定。 無法適用於高級防火牆或NAT設備(如:Symmetric NAT)。 七、讓SIP通過防火牆或NAT設備的方法(續) 方法2: 防火牆或NAT設備配合外部TURN(Traversal Using Relay NAT)伺服器來轉送封包。 七、讓SIP通過防火牆或NAT設備的方法(續) TURN優點: 可以符合大多數防火牆和NAT設備的安全性需求。 TURN缺點: SIP UA需支援TURN通訊協定。 TURN伺服器負載較STUN伺服器高，服務的客戶端也較少。 成本較高、佔用頻寬較多且增加延遲時間。 七、讓SIP通過防火牆或NAT設備的方法(續) 方法3: NAT設備提供額外的通訊協定(UPnP)讓位於私有網路的設備取得對應的公開位置。 七、讓SIP通過防火牆或NAT設備的方法(續) UPnP優點: 不需外部伺服器支援。 適合各種SIP網路架構。 UPnP缺點: 必須使用支援UPnP的防火牆或NAT設備和SIP UA，普及度是最大問題。 當兩個同在私人網路的SIP設備要通話時，容易發生”繞遠路”的現象。 七、讓SIP通過防火牆或NAT設備的方法(續) 方法4: 與外部伺服器建立隧道(Tunneling)通過防火牆或NAT設備。 七、讓SIP通過防火牆或NAT設備的方法(續) VPN優點: 可以通過多重網路位址轉換或防火牆。 搭配認證及加密技術具有安全上的優勢。 VPN缺點: 客戶端的SIP設備需支援VPN通訊協定。 隧道(Tunnel)會增加少許的延遲和頻寬。 建置成本較高。 七、讓SIP通過防火牆或NAT設備的方法(續) 方法5: 防火牆或NAT設備本身支援SIP/RTP。 優點: 經由內建SIP/RTP的防火牆或NAT設備不需其他通訊協定及伺服器的支援。 適合各種SIP網路架構。 相容性最高。 缺點: 設備建置成本高。 七、讓SIP通過防火牆或NAT設備的方法(續) 方法6: ㄧ般防火牆或NAT設備配合外掛設備SIP ALG(Application Layer Gateway)支援SIP/RTP。 七、讓SIP通過防火牆或NAT設備的方法(續) SIP ALG優點: 可以沿用舊式的NAT設備及防火牆。 可以避免”繞遠路”的現象。 SIP ALG缺點: 封包轉送到ALG會增加少許的延遲和頻寬。 增加設備建置成本。 八、結論 解決SIP通過防火牆或NAT設備的最佳方式是設備本身支援SIP/RTP。 SIP ALG和UPnP是最