SIP從私網到公網會遇到什麼樣的問題呢?

1. 包的地址轉換。
2. SIP訊息裡面的SIP地址轉換。
3. SIP訊息裡面的SDP中的RTP地址轉換。

網路現存結構複雜,SIP服務提供商並不一定是NETWORK提供商,很難要求客戶只能使用某種方式的NAT&FireWall。如何找出一種可以滿足各種網路的SIP應用解決方案呢?

NAT和Firewall的基本原理

首先,NAT的幾種方式:
Full Cone:當一臺私網內的主機向公網發一個包,其本地地址和埠是{A:B},NAT會將其私有地址{A:B}轉換成公網地址{X:Y}並繫結。

任何包都可以通過地址{X:Y}送到該主機的{A:B}地址上,NAT會將任何傳送到{X:Y}的incoming包的地址{X:Y}轉換成{A:B}。

Partial/Restricted Cone:當一臺私網內的主機向公網發一個包,其本地地址和埠是{A:B},NAT會將其私有地址{A:B}轉換成公網地址{X:Y}並繫結。

任何包都可以通過地址{X:Y}送到該主機的{A:B}地址上,但是,NAT只為第一個發往{X:Y}的包繫結成{A:B}|{X:Y}<->{C:D},其中{C:D}是那個包的源地址和埠。

也就是說,只有來自{C:D}的包才能於主機{A:B}通訊。
Partial和Restricted Cone的區別是Partial只繫結incoming packet 的IP地址,而Restricted Cone會繫結incoming packet的IP地址和埠。也就是上面描述的那種情況。

Symmetric Cone:當一臺私網內的主機向公網某臺主機發送一個包,{A:B}->{C:D}。NAT會將其地址{A:B}轉換成{X:Y},併為其繫結成{A:B}|{X:Y}<->{C:D}。

NAT只接受來自{C:D}的incoming packet,將它轉給{A:B}。也就是說,如果私網內的主機要向外面傳送一個包,它必須要知道對方的公網IP和埠。但如果對方也是處於一個私網內,它就很難獲知對方的公網IP和埠。
由此可見,Symmetric Cone條件最嚴格,Partial/Restricted Cone次之,Full Cone條件最不嚴格。

下面再看看Firewall的基本策略:
Firewall會判斷所有的包是來自內部(Inside)還是外部(Outside)。

一般,允許所有來自inside的包發出去。

一般,允許來自Outside的包發進來,但這個連線必須是由Inside發起的。

一般,禁止所有連線由Outside發起的包發進來。

一般,firewall會允許幾個信任的outside主機,他們可以發起建立連線,併發包進來。

所有NAT和Firewall都是對於TCP/IP層以下進行處理和過濾的,而SIP應用的地址是在應用層。所以必須採用其他的途徑來解決這一問題。
針對不同的NAT型別,可以有不同的解決方案。
1. UPnP
2. External Query
3. STUN
4. ALG
其中前3種都是由SIP Client(包括UA和Proxy)通過某種手段或協議在INVITE之前獲取自己的公網地址和埠。需要SIP Client提供額外支援,並且也不適應所有的NAT方式。
ALG(Application Layer Gateway)適應所有NAT方式,並不需要SIP Client做任何額外的支援。它對Application層的SIP信令進行處理和修改,從而做到透明轉換地址。
下面針對一個案例詳細描述ALG的解決方案。

SIP ALG解決方案
ALG修改SIP訊息裡面的SIP地址和埠和SDP訊息裡面的RTP地址和埠,其中RTP地址和埠要向RTP Proxy請求獲得,RTP Proxy分配自己的一個空閒的地址和埠,並和這個Call保持對映關係。

併為分配給呼叫雙方的地址和埠進行繫結,這樣,呼叫雙方的RTP連線地址都是RTP Proxy,由RTP Proxy經過中轉,發至真正的目的地。

假設,有兩個SIP Client要進行通訊,Ada和Bob,他們分別位於自己的Nat Server後面:

其中兩臺NAT Server都是Symmetric Cone方式。
其信令流程如下:
1.Ada發起信令,Invite Bob。
IP Packet IP Address:
From: 192.168.1.10:5060
To: 128.97.41.56:5060 (SIP ALG)
SIP Msg IP Address:
From: 192.168.1.10:5060
To: 128.97.41.56:5060
SDP Body IP Address for RTP:
192.168.1.10:10024

2.經過NAT Server,NAT將其私有地址轉換成公網地址,並繫結,由於是採用Symmetric Cone方式,所以還繫結目的的IP地址。
{192.168.1.10:5060}|{128.96.41.1:5678}<->{128.97.41.56:5060}
IP Packet IP Address:
From: 128.96.41.1:5678
To: 128.97.41.56:5060 (SIP ALG)
SIP Msg IP Address:
From: 192.168.1.10:5060
To: 128.97.41.56:5060
SDP Body IP Address for RTP:
192.168.1.10:10024

3.SIP ALG接受到該INVITE,發現其包的IP地址和SIP IP地址不同,就判斷其是經過NAT,於是就將其相關的SIP IP地址修改。
並檢查它的Body中是否是包含SDP資訊,如果是,且有RTP地址,SIP ALG就會去向RTP Proxy請求一個公網RTP地址來代替原有的RTP地址。
IP Packet IP Address:
From: 128.97.41.56:5060
To: 128.96.63.25:5566
SIP Msg IP Address:
From: 128.96.41.1:5678
To: 128.96.63.25:5566(下一跳的地址)
SDP Body IP Address for RTP:
128.97.44.5:3000

4.因為Bob不斷的向SIP ALG傳送註冊包,所以,它的NAT Server始終為它保留著這麼個繫結,{10.0.0.12:5060}|{128.96.63.25:5566}<->{128.97.41.56:5060}。所以,由SIP ALG發出的INVITE,Bob能收到。
Bob返回200 OK,包含SDP資訊。
IP Packet IP Address:
From: 10.0.0.12:5060
To: 128.97.41.56:5060
SIP Msg IP Address:
From: 10.0.0.12:5060
To: 128.97.41.56:5060(下一跳的地址)
SDP Body IP Address for RTP:
10.0.0.12:10002

5.NAT Server將其包的IP地址修改。發往SIP ALG。

6.SIP ALG接受到該200 OK,發現其包的IP地址和SIP IP地址不同,就判斷其是經過NAT,於是就將其相關的SIP IP地址修改。
並檢查它的Body中是否是包含SDP資訊,如果是,且有RTP地址,SIP ALG就會去向RTP Proxy請求一個公網RTP地址來代替原有的RTP地址。
IP Packet IP Address:
From: 128.96.63.25:5566
To: 128.96.41.1:5678
SIP Msg IP Address:
From: 128.96.63.25:5566
To: 128.96.41.1:5678(下一跳的地址)
SDP Body IP Address for RTP:
128.97.44.5:3002

7.此時,RTP Proxy為這個Session保持著這麼個連線繫結
{128.97.44.5:3000|128.97.44.5:3002}

8.Ada收到200 OK,它認為對方的RTP地址是128.97.44.5:3002。將與其建立連線。
而Bob認為對方的RTP地址是128.97.44.5:3000。將與其建立連線。

9.當RTP Proxy的3002埠收到包,它可以從包地址獲得Ada的RTP公網IP。
當RTP Proxy的3000埠收到包,它可以從包地址獲得Bob的RTP公網IP。
從而,RTP Proxy會將3002埠收到的包轉發到Bob的RTP公網IP。
同樣,RTP Proxy會將3000埠收到的包轉發到Ada的RTP公網IP。

這樣,一個通話的連線就成功建立。
SIP ALG的部署因為無論如何,都需要所有RTP包經過RTP Proxy,所以所有的MS都要有修改SDP的能力,而只有SIP ALG需要有修改SIP訊息的能力。讓使用者配置自己的Proxy是什麼,避免公網的SIP Client也經過SIP ALG,造成沒必要的消耗。
補充如果SIP ALG發現INVITE包的地址和SIP地址是一致的話,它將不對這個包進行修改,它認為這個包是來自公網,或者SIP Client具備了穿越NAT的能力。但它會修改其SDP的IP地址。
ISSUE:

1.       如果SDP描述的是單工工作的話,RTP連線無法建立,因為RTP proxy始終無法知道沉默方的RTP公網IP。
2.       每次建立RTP連線,某一方的RTP包可能會丟掉若干個,直到RTP proxy獲知另一方的RTP公網IP。
3.       是否應該強制任何RTP包都要經過RTP Proxy,無論它們都是來自公網,可以直接連線。我想是的,因為主叫方是不知道被叫方的網路環境的。
4.       如果多個RTP Proxy進行均衡,如何保證為主叫方分配IP的Proxy和為被叫方分配IP的Proxy是一致的呢?(它們必須是同一臺Proxy)
可以增加一個header,比如RTP proxy,這個header只有SIP ALG認識。
5.       如果SIP訊息加密,就無法修改其SIP的IP地址。