2012年9月24日 星期一

SIP ALG穿透NAT的實現

摘要:為解決SIP應用穿透NAT的問題,剖析了NAT的工作原理,並針對SIP協議信令過程的特點,提出了採用ALG設備解決NAT的穿透問題,具體設計了ALG的結構和相關實現算法,並給出了詳細的實現方案。關鍵詞:會話發起協議(SIP)網絡地址轉換(NAT)會話描述協議(SDP)信令
  


  會話發起協議SIP [1] (Session Initiation Protocol)是由IETF組織於1999年提出的在Internet網絡環境中實現實時通信應用的一種信令協議。SIP引發了現代通信體系結構的變革,然而它卻在視頻能力、會議控制方面沒有一個完善的標準;同時,由於大量企業和駐地網都採用了私有編址[2],並通過網絡地址轉換NAT (Network Address Translation)來控制與公共網絡的通信,而SIP數據包需通過信令消息中的IP地址和端口號來實現目的地尋址,且它的媒體流端口是動態分配的,這就為在NAT上配置固定的包過濾策略帶來了困難。因此,SIP穿透NAT是絕大多數VoIP運營商亟待解決的問題。
  當前,幾種主要的NAT穿透技術有SIP ALG、Full Proxy、MidCom、VPN、隧道穿透、STUN等。其中,SIP ALG方式是在傳統的NAT上進行擴展,使之具備感知SIP呼叫控制協議的能力,從而對基於SIP呼叫的地址實現穿透。它是一種比較簡單的方案,最突出的特點是ALG和具體的SIP系統無關,對於一個SIP系統不需要做任何修改,只要在響應的NAT上加載SIP ALG,就能完成私網到公網甚至私網中的兩個用戶之間的SIP連接。1 SIP應用穿透NAT面臨的問題1.1 NAT的工作原理  NAT [3]被置於兩網間的邊界。NAT技術使得一個私有網絡可以通過Internet註冊IP連接到外部世界。位於內網和外網中的NAT路由器在發送數據包之前,負責把內部IP翻譯成外部合法地址。當從外網來的含公網地址信息的數據包到達NAT時,NAT使用預設好的規則(其組元包含源地址、源端口、目的地址、目的端口、協議)來修改數據包,然後再轉發給內網接收點。NAT的基本工作原理如圖1所示,NAT設備實際上是在維護一個狀態表,該表用於把非法的IP地址映射到合法的IP地址上。

1.2技術難點  與傳統NAT支持HTTP等數據的穿透不同,SIP應用中的語音和視頻數據需通過信令消息中的IP地址和端口號來實現目的地尋址,因此信令消息在地址穿透中不僅需要對TCP/UCP層的端口信息以及IP層的源地址和目的地址進行變換,還需對IP包載荷中的相關地址信息進行變換。同時,對於SIP應用來說,是在控制信息中動態地協商媒體流端口,信令協議中的IP地址也是私有的,因此要準確把握相關的地址和端口信息,並進行正確的轉換。這是本文需要解決的首要技術難點。
  其次,SIP ALG實現對NAT的穿透會因呼叫方處在內網和外網而不同,因此對進出NAT的SIP消息在解析時要判斷是內網之間的呼叫請求(內部消息)、外網呼叫請求內網(對內消息),還是內網呼叫請求外網(對外消息),以便對該消息進行正確處理。這也是本文需要解決的技術難點。2 SIP ALG的設計思想  由於媒體流端口是在呼叫雙方SIP信令建立連接後動態協商的,因此對SIP消息穿透NAT設備要綜合考慮這兩個方面因素。2.1 SIP信令的穿透原理  SIP信令穿透NAT與HTTP穿透類似,NAT設備只要打開固定的端口,就能保證SIP信令穿透NAT並與外界建立連接。  本文基於SIP終端設備的特殊性來考慮信令穿透NAT。SIP終端設備會周期性地發送Register消息[1]到註冊服務器上,由於不斷有信令消息經過NAT設備,致使NAT設備對通過的消息流始終 ​​保持一個確定的端口;同時,當Register消息經過ALG ,ALG就會記錄信令穿透NAT時經NAT轉換後的IP地址和端口等信息,並將此信息與NAT後面的終端用戶ID(如890010098)等信息進行綁定。這樣,當一個信令到來,ALG將通過NAT上正確的地址和端口發送給被叫方。2.2媒體流的穿透原理  當信令穿透NAT後,NAT後面的SIP終端就可以收到來自外網的呼叫請求。這時呼叫方的Invite消息和響應方的200(OK)消息中都攜帶了用於描述與會話相關的信息及與流媒體相關參數的SDP(Session Description Protocol)消息體[4]當該消息通過ALG時,ALG將通過與該媒體流相關的呼叫——會話層消息中的用戶ID(如890010098)識別出NAT上的IP地址和端口並進行相應的轉換,這樣當呼叫方收到200(OK)消息時就能從SDP消息體中獲取該IP地址和端口等信息並發送ACK確認消息,從而完成一個會話的建立。3 SIP ALG的實現  利用SIP ALG實現對NAT的穿透,主要是對流經ALG的SIP消息進行處理和維護。按照各部分功能的差異,可以將SIP ALG劃分為消息解析模塊、消息修改模塊和消息轉發模塊,SIP ALG的整體結構如圖2所示,該圖體現了各功能模塊間的相互關係。







下面以一個典型的兩個不同NAT內的用戶(Joe:890010098@192.168.1.4和Bob:810000004@10.10.15.44)通過註冊服務器(SER服務器)完成連接的過程為例,來說明SIP ALG的具體實現。SIP ALG解決NAT穿透的示意圖如圖3所示。
3.1前提條件  SIP ALG的實現主要是對Request、Response消息進行解析、修改與轉發。因此在實現ALG前首先要了解SIP請求(Request)的方法(Register、Invite、ACK、Options、Cancel、Bye) [1],SIP回答(Response,包括Trying、Ringing、OK和ACK) [1]以及SIP消息中的相關頭域(Request-URI、Via、From、To、Call-ID、Cseq、Contact等)[1]3.2消息解析模塊的實現  消息解析模塊主要對流經ALG的SIP消息進行解析,並判斷該消息是內部消息、對外消息還是對內消息,以便消息修改模塊能對這些消息進行正確的處理。消息解析模塊的工作流程如圖4所示。它主要判斷數據包From、To、Via等頭域中的IP地址信息,以準確解析消息類型。

3.3消息修改模塊的實現  由於同一NAT內部的用戶間可以直接通信,因此“內部消息處理”模塊不需要對消息體進行修改。這樣就把消息修改模塊分為對內消息修改與對外消息修改。這兩個過程實際上是可逆的。對內消息修改主要根據地址映射表把外網IP和端口號轉換成內部IP和端口號,以便外部請求能準確到達NAT內側的用戶端;對外消息修改則根據地址映射表把內部IP和端口號轉化成外網可用的IP和端口號,這樣,來自外網的請求就能準確定位到該地址。但無論哪個模塊,最終結果都是對相應的Request和Response消息中與NAT有關的IP地址和端口號進行修改。消息修改模塊的處理流程如圖5所示。
對信令消息的修改需要對Invite、ACK、BYE和Register等Request消息和100(Tring)、180(Ringing)以及200(OK)等Response消息中的Via、From、To、Call-ID、Contact等頭域中包含的私有IP地址和端口信息進行修改。而對SDP消息體的處理是SIP ALG實現其功能的關鍵所在,因為SDP消息體的交換是實 ​​現呼叫雙方媒體流通信的前提和關鍵。對SIP控制的向內的媒體流轉發,ALG分析向外的Invite和200(OK)消息中的SDP消息體中“Media Description”和“Connection Information”行,根據這兩行中的描述地址在NAT上啟用未用端口,完成向內接收媒體流的目的地址翻譯,從而實現媒體流通信的建立。需要注意的是,在對Response消息進行修改時,還需通過Call-ID匹配呼叫的上下文環境,也要加入Record-Route頭域以告知內網上的SIP終端,本次呼叫中以後所有的SIP消息都要流經該SIP ALG,這樣才能保證ALG的正確轉發。最後,對消息修改完畢後,需要重新計算消息的長度,並保存在Content-Length中。3.4消息轉發模塊的實現  消息轉發模塊主要是通過控制NAT,對修改後的SIP消息進行轉發,以完成一個會話的建立。消息轉發模塊在ALG中保留並維護當前呼叫的上下文環境,也就是一個地址映射信息表,如表1所示。以記錄相關的地址映射信息。

 表1中的數據表示所有目的地址為202.205.11.230、60012的SIP包都會被NAT網關轉發到主機10.10.15.44:5060上處理。消息修改模塊在做修改前,要首先查詢ALG內記錄的地址映射信息表,如果表內已建立了該用戶的信息,則按此信息對向NAT處的SIP消息做相應修改,否則丟棄該消息。
  為生成相關地址映射信息表,ALG首先需要分析向外的Register消息。ALG記錄Register中的To和Contact頭域,按它們的值在NAT設備上啟用一個未用的端口,然後ALG記錄生成的映射信息並填入地址映射信息表。生成地址映射信息表後,消息修改模塊再按映射信息修改向外的Invite和Register等報文,然後再通過消息轉發模塊實現對NAT的穿透。
  本文通過分析NAT的工作原理以及SIP信令與媒體流的特點,詳細講述了SIP ALG的具體實現方法。實驗證明,本文設計的SIP ALG能很好地解決NAT穿透問題,且運行穩定,互通性好。

How to use simple speedtest in RaspberryPi CLI

  pi@ChunchaiRPI2:/tmp $  wget -O speedtest-cli https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py --2023-06-26 10:4...