sip之穿越nat - read.ppt

SIP之穿越NAT Application Level Gateway Solution ALG可以识别SIP信令，能够适当地修改数据包 ALG可以是单独的连接于外网和内网之间的设备，也可以是内置于防火墙内的插件 当FW/NAT发现外网呼叫信令为SIP时，将其转发到ALG(应用层网关)，通过ALG建立起内网伪地址终端与外网终端的通信连接 需要对现有设备升级改造 IETF MIDCOM(Middlebox Communications) Solution 允许第三方(MIDCOM Agent )成为受FW/NAT信任的实体，然后代表FW/NAT做出决定，强迫其开放端口传送媒体流或数据流。这些受信任的实体通过“MidCom”定义的新协议与FW/NAT进行通信。 协议的识别不由Middlebox完成，而是由外部的MIDCOM Agent完成 需要对现有设备升级改造 STUN(Simple Traversalof UDP Through Network) Solution IETF RFC 3489定义了如何确定由NAT分配的公网地址和端口 不需要改造现有NAT 主要特色： 能够让客户端发现NAT的存在以及类型 能够让客户端发现NAT的绑定生命周期 可以工作在多NAT串联环境下 非常简单的协议，易于实现，负载低 STUN服务器可以位于公网任何地方 适用范围： 不适用于Symmetric NAT 对于Non- Symmetric NAT都适用 如果双方都位于同一个NAT之后，就不适用 STUN的优点： 无需现有NAT设备做任何改动 可在多个NAT串联的网络环境中使用 STUN的局限性： 需要终端支持STUN CLIENT的功能 不适合支持TCP连接的穿越，所以不支持H.323 不支持Symmetric NAT 不支持对防火墙的穿越 成熟的STUN Server/Client方案: /projects/stun/ 下载stund_0.94_Oct29.gz 运行其中的WinStun.exe测试程序,即可获知NAT类型以及分配的公网地址： TURN(Traveral Using Relay NAT) Solution IETF draft “draft-rosenberg-midcom-turn-06” TURN Server控制分配地址和端口，能分配RTP/RTCP地址对(RTCP端口号为RTP端口号加1)作为私网终端用户的接收地址，避免了STUN方式中出口NAT对RTP/RTCP地址端口号的任意分配，使得客户端无法收到对端发来的RTCP报文(对端发RTCP报文时，目的端口号缺省按RTP端口号加 1发送)。 与STUN的类似之处： 私网中的终端通过某种机制预先得到公网上的服务地址，然后在报文净载中所要求的地址信息就直接填写该公网地址。 与STUN的区别： STUN得到的地址为出口NAT上外部地址；TURN得到的地址为TURN Server上的公网地址 TURN支持Symmetric NAT TURN支持基于TCP的应用，如H.323 TURN的优点： 无需现有NAT设备做任何改动 可在多个NAT串联的网络环境中使用 支持Symmetric NAT 支持TCP连接的穿越 TURN的局限性： 需要终端支持TURN CLIENT的功能 所有报文都必须经过TURN Server转发，增大了包的延迟和丢包的可能性 ICE(Interactive Connectivity Establishment) Solution IETF draft “draft-ietf-mmusic-ice-03” 综合运用 STUN、TURN或RSIP(Realm Specific IP)协议，使之在最适合的情况下工作，以弥补单独使用其中任何一种所带来的固有缺陷 在 SIP client开发上显著地增加了复杂性 适用于各种类型的NAT 需要每一个终端支持 traversal 方法 资源： 可以参考论文《基于ICE方式SIP信令穿透Symmetric NAT技术研究 》 SBC(Session Border Controller) Solution Signaling Solution SBC可以帮助SIP信令穿越已经存在的FW/NAT，而不需要对现有的FW/NAT设备做任何改变 对于SIP终端，SIP终端设备会周期性发送注册消息到SBC Media Traversal Solution SBC可以把相应的媒体流发送到防火墙上的相关IP地址和端口，然后正确地使媒体流到达防火墙后的用户侧 谢谢！ Agenda SIP穿越NAT NAT分类 问题之所在 各种解决方案 SIP穿越NAT – NAT分类