自动上下料开料机木工:SIP穿越NAT&FireWall解决方案 - 紅③白②藍① - 51CTO技术博客

SIP穿越NAT&FireWall解决方案 2006-12-12 09:51:04标签：方案 SIP穿越NAT&FireWall解决方案  SIP从私网到公网会遇到什么样的问题呢？包的地址转换。SIP消息里面的SIP地址转换。SIP消息里面的SDP中的RTP地址转换。网络现存结构复杂，SIP服务提供商并不一定是NETWORK提供商，很难要求客户只能使用某种方式的NAT&FireWall。如何找出一种可以满足各种网络的SIP应用解决方案呢？NAT和Firewall的基本原理首先，NAT的几种方式：Full Cone：当一台私网内的主机向公网发一个包，其本地地址和端口是{A:B}，NAT会将其私有地址{A:B}转换成公网地址{X:Y}并绑定。任何包都可以通过地址{X:Y}送到该主机的{A:B}地址上，NAT会将任何发送到{X:Y}的incoming包的地址{X:Y}转换成{A:B}。Partial/Restricted Cone：当一台私网内的主机向公网发一个包，其本地地址和断口是{A:B}，NAT会将其私有地址{A:B}转换成公网地址{X:Y}并绑定。任何包都可以通过地址{X:Y}送到该主机的{A:B}地址上，但是，NAT只为第一个发往{X:Y}的包绑定成{A:B}|{X:Y}<->{C: D},其中{C:D}是那个包的源地址和端口。也就是说，只有来自{C:D}的包才能于主机{A:B}通信。
Partial和Restricted Cone的区别是Partial只绑定incoming packet 的IP地址，而Restricted Cone会绑定incoming packet的IP地址和端口。也就是上面描述的那种情况。Symmetric Cone：当一台私网内的主机向公网某台主机发送一个包，{A:B}à{C:D}。NAT会将其地址{A:B}转换成{X:Y}，并为其绑定成{A:B} |{X:Y}<->{C:D}。NAT只接受来自{C:D}的incoming packet，将它转给{A:B}。也就是说，如果私网内的主机要向外面发送一个包，它必须要知道对方的公网IP和端口。但如果对方也是处于一个私网内，它就很难获知对方的公网IP和端口。由此可见，Symmetric Cone条件最严格，Partial/Restricted Cone次之，Full Cone条件最不严格。下面再看看Firewall的基本策略：l         Firewall会判断所有的包是来自内部（Inside）还是外部(Outside)。l         一般，允许所有来自inside的包发出去。l         一般，允许来自Outside的包发进来，但这个连接必须是由Inside发起的。l         一般，禁止所有连接由Outside发起的包发进来。l         一般，firewall会允许几个信任的outside主机，他们可以发起建立连接，并发包进来。所有NAT和Firewall都是对于TCP/IP层以下进行处理和过滤的，而SIP应用的地址是在应用层。所以必须采用其他的途径来解决这一问题。
针对不同的NAT类型，可以有不同的解决方案。l         UPnPl         External Queryl         STUNl         ALG其中前3种都是由SIP Client(包括UA和Proxy)通过某种手段或协议在INVITE之前获取自己的公网地址和端口。需要SIP Client提供额外支持，并且也不适应所有的NAT方式。ALG(Application Layer Gateway)适应所有NAT方式，并不需要SIP Client做任何额外的支持。它对Application层的SIP信令进行处理和修改，从而做到透明转换地址。下面针对一个案例详细描述ALG的解决方案。SIP ALG解决方案ALG修改SIP消息里面的SIP地址和端口和SDP消息里面的RTP地址和端口,其中RTP地址和端口要向RTP Proxy请求获得，RTP Proxy分配自己的一个空闲的地址和端口，并和这个Call保持映射关系。并为分配给呼叫双方的地址和端口进行绑定，这样，呼叫双方的RTP连接地址都是RTP Proxy,由RTP Proxy经过中转，发至真正的目的地。
假设，有两个SIP Client要进行通信，Ada和Bob，他们分别位于自己的Nat Server后面：
其中两台NAT Server都是Symmetric Cone方式。其信令流程如下：1.         Ada发起信令，Invite Bob。IP Packet IP Address:From: 192.168.1.10:5060T 128.97.41.56:5060 (SIP ALG)SIP Msg IP Address:From: 192.168.1.10:5060T 128.97.41.56:5060SDP Body IP Address for RTP:192.168.1.10:100242.         经过NAT Server，NAT将其私有地址转换成公网地址，并绑定，由于是采用Symmetric Cone方式，所以还绑定目的的IP地址。
{192.168.1.10:5060}|{128.96.41.1:5678}<->{128.97.41.56:5060}IP Packet IP Address:From: 128.96.41.1:5678T 128.97.41.56:5060 (SIP ALG)SIP Msg IP Address:From: 192.168.1.10:5060
T 128.97.41.56:5060SDP Body IP Address for RTP:192.168.1.10:100243.         SIP ALG接受到该INVITE，发现其包的IP地址和SIP IP地址不同，就判断其是经过NAT，于是就将其相关的SIP IP地址修改。
并检查它的Body中是否是包含SDP信息，如果是，且有RTP地址，SIP ALG就会去向RTP Proxy请求一个公网RTP地址来代替原有的RTP地址。IP Packet IP Address:From: 128.97.41.56:5060T 128.96.63.25:5566SIP Msg IP Address:From: 128.96.41.1:5678T 128.96.63.25:5566（下一跳的地址）SDP Body IP Address for RTP:128.97.44.5:30004.         因为Bob不断的向SIP ALG发送注册包，所以，它的NAT Server始终为它保留着这么个绑定，{10.0.0.12:5060}|{128.96.63.25:5566}<-> {128.97.41.56:5060}。所以，由SIP ALG发出的INVITE，Bob能收到。
Bob返回200 OK，包含SDP信息。IP Packet IP Address:From: 10.0.0.12:5060
T 128.97.41.56:5060SIP Msg IP Address:From: 10.0.0.12:5060
T 128.97.41.56:5060（下一跳的地址）SDP Body IP Address for RTP:10.0.0.12:100025.         NAT Server将其包的IP地址修改。发往SIP ALG。6.         SIP ALG接受到该200 OK，发现其包的IP地址和SIP IP地址不同，就判断其是经过NAT，于是就将其相关的SIP IP地址修改。并检查它的Body中是否是包含SDP信息，如果是，且有RTP地址，SIP ALG就会去向RTP Proxy请求一个公网RTP地址来代替原有的RTP地址。IP Packet IP Address:From: 128.96.63.25:5566T 128.96.41.1:5678SIP Msg IP Address:From: 128.96.63.25:5566T 128.96.41.1:5678（下一跳的地址）
SDP Body IP Address for RTP:128.97.44.5:30027.         此时，RTP Proxy为这个Session保持着这么个连接绑定
{128.97.44.5:3000|128.97.44.5:3002}8.         Ada收到200 OK，它认为对方的RTP地址是128.97.44.5:3002。将与其建立连接。而Bob认为对方的RTP地址是128.97.44.5:3000。将与其建立连接。9.         当RTP Proxy的3002端口收到包，它可以从包地址获得Ada的RTP公网IP。
当RTP Proxy的3000端口收到包，它可以从包地址获得Bob的RTP公网IP。从而，RTP Proxy会将3002端口收到的包转发到Bob的RTP公网IP。同样，RTP Proxy会将3000端口收到的包转发到Ada的RTP公网IP。这样，一个通话的连接就成功建立。
SIP ALG的部署因为无论如何，都需要所有RTP包经过RTP Proxy，所以所有的MS都要有修改SDP的能力，而只有SIP ALG需要有修改SIP消息的能力。让用户配置自己的Proxy是什么，避免公网的SIP Client也经过SIP ALG，造成没必要的消耗。补充
如果SIP ALG发现INVITE包的地址和SIP地址是一致的话，它将不对这个包进行修改，它认为这个包是来自公网，或者SIP Client具备了穿越NAT的能力。但它会修改其SDP的IP地址。ISSUE:
1.       如果SDP描述的是单工工作的话，RTP连接无法建立，因为RTP proxy始终无法知道沉默方的RTP公网IP。
2.       每次建立RTP连接，某一方的RTP包可能会丢掉若干个，直到RTP proxy获知另一方的RTP公网IP。3.       是否应该强制任何RTP包都要经过RTP Proxy，无论它们都是来自公网，可以直接连接。我想是的，因为主叫方是不知道被叫方的网络环境的。4.       如果多个RTP Proxy进行均衡，如何保证为主叫方分配IP的Proxy和为被叫方分配IP的Proxy是一致的呢？（它们必须是同一台Proxy）可以增加一个header，比如RTP proxy，这个header只有SIP ALG认识。5.       如果SIP消息加密，就无法修改其SIP的IP地址。
参考
“SIP, NAT, and Firewalls”, Fredrik Thernelius, May 2000“Cisco - VoIP Traversal of NAT and Firewall”,  Cisco Systems, Inc