TAGS
NAT traduce las direcciones IP privadas dentro de la empresa en direcciones IP públicas visibles en la Internet pública. En la mayoría de casos se combina con NAT firewall en un solo dispositivo.
NAT se clasifica de dos maneras:
Ejemplo extremo interno envía un paquete con fuente de IPI por Pi a destino de IPE1: Pe1 al punto final externa # 1. NAT traduce IPI por Pi a IPNAT: PNAT. punto final externa # 1 envía un paquete de vuelta con fuente de IPE1: Pe2 a NAT IPNAT: PNAT y el paquete pasa a través de NAT y punto final alcanza interna. Al mismo tiempo punto final externa # 2 puede enviar un paquete destinado a la misma IP: par de puertos (IPNAT: PNAT) y NAT sería permitir que pase y, finalmente, llegar a criterio de valoración interna también.
filtrado de direcciones dependientes no permitirá esta situación. No va a dejar que un paquete del punto extremo externo # 2 destinado a IPNAT: PNAT llegar sin embargo. Sin embargo, sería dejar punto final externo # 1 para establecer una nueva sesión con fuente de IPE1: Pe3 hacia punto final interna. Dirección y filtrado de puertos dependientes se cerrará esta brecha - sólo se permite una sesión bidireccional en este caso.
La mayoría de los dispositivos NAT están usando mapeo de punto final dependientes y filtrado de Dirección y puerto-dependiente y son llamados NATs simétricos.
1) El punto extremo externo no puede conectarse al extremo interno hasta que el interno se crea la unión de un NAT. 2) la señalización SIP lleva una información de lo que la dirección IP y el puerto a utilizar. Por eso, cuando los protocolos de red más bajos altere negociaciones dirección IP y puertos SIP falla. 3) NAT encuadernaciones tiempo de espera y pueden restaurarse sólo desde detrás de la NAT, mientras que los puntos terminales SIP pueden ser ambos servidores y clientes en un diálogo SIP y se basan en el hecho de que cualquiera de ellos puede iniciar una transmisión.
Hay un número de soluciones que se pueden aplicar en diferentes situaciones.
Además de crear un NAT unión puede inspeccionar una señalización de llamadas y fijar adecuadamente. Sin embargo, usted debe estar seguro de que el firmware del dispositivo NAT está al día con todos los protocolos de señalización. Por otra parte no se puede trabajar con el tráfico cifrado así que olvídate de SIP seguro.
RFC 3581 da soporte a un parámetro rport en Via SIP cabecera que indica a un punto final remoto para enviar señales a destino si obtuvo de la capa de red.
Ejemplo asterisco tiene un nat = force_rport y nat = argumentos Comedia de sip.conf, que le indica que debe utilizar información de la capa de red en lugar del uno se puso en SDP para la comunicación con un punto final. Comedia en este caso es para los medios (tráfico RTP) y rport es para el tráfico de señalización.
Si un punto final durante su configuración sabe lo que es externa dirección sería la misma puede construir SDP adecuadamente.
Ejemplo. Asterisco tiene externip declaración = XXX.XXX.XXX.XXX donde se puede definir qué direcciones para usar en oferta SDP.
Pero lo que si usted no sabe la dirección externa, o su punto final no permite editar SDP como en p.3. Hay STUN para ello. punto final internos se conectan a través de UDP 3478 a un servidor STUN en la red externa. STUN ve cómo dirección del extremo interno consiguió transformada por NAT e informar al punto final al respecto en la respuesta. Así que el punto final puede aplicar SDP corrección de confiar en esta información. Pero en el caso de NAT simétrica no funcionará porque NAT cartografía sería diferente y aleatorio cuando el punto final comienzan a comunicarse con otro dispositivo. Por otra parte STUN (transversal simple de UDP a través de NAT) es para UDP y no para TCP. Y SIP sobre TCP es más deseable en cuando los mensajes SIP pueden ser largas en la aplicación de videollamadas y conferencias especialmente el vídeo.
TURN (desplazamiento con Relay NAT) del servidor es una entidad de señalización y transmisión de medios situados fuera de la NAT en una DMZ. Una vez que un punto extremo interno se conecta a un servidor TURN se crea una unión de dirección de origen puntos finales a su interfaz routeable e informa al punto final al respecto. Entonces, sólo se delegua todos los medios de comunicación y el tráfico de señalización. La desventaja de este enfoque podría ser un aumento de la demora y una carga excesiva en el hardware del servidor TURN. Ahora su vez, está considerada como una parte de STUN IETF proyecto.
Establecimiento interactivo de conectividad (ICE) permite a los puntos finales a decidir qué dirección va a utilizar para la comunicación. Punto final son conscientes de su dirección IP local, que pueden conseguir candidatos adicionales de servidores STUN y de vuelta, o UPnP.
La sanción es un protocolo propietario de Cisco, que presenta una solución para NAT (y firewall) de recorrido para las comunicaciones H.323 y SIP (tanto de señalización y medios de comunicación). H.460 es un estándar de la industria y un sucesor de la sanción, pero se admite sólo H.323, mientras que preservar toda la idea de la sanción.
H.460 se compone de tres partes principales: H.460.17 y H.460.18 y H.460.19 para la señalización de recorrido de los medios de comunicación. En la mayoría de los casos se necesita un cliente de recorrido detrás del NAT / FW y un Servidor de recorrido en DMZ. En un caso los criterios de valoración internos apoyan H.460 (que no suele ser el caso) no es necesario cliente de recorrido. Estos protocolos no necesitan NAT ALG y requieren NAT para trabajar en modo simétrico que permite crear agujeros bidireccionales.
Este método requiere un cliente de recorrido para establecer un túnel RAS a un servidor de recorrido mediante el envío de vacíos H.225 protocolo de transporte las unidades de envasado de datos (TPKT) o rerigestrations RAS a ella. Cuando un punto extremo interno quiere llegar a una externa se envía señalización (RAS, H.225 y H.245) al cliente de recorrido (un portero que funciona en modo GKRCS) que les enviar a través de ese túnel de larga vida con el servidor de recorrido. El mismo túnel funciona en la situación opuesta, cuando un envío de punto final de señalización externa al servidor de recorrido que utilizan el túnel para llegar al cliente recorrido. Este túnel sólo necesita un puerto 1720 para pasar a través de FW.
Éste no utiliza túnel RAS como H.460.17. el uso del servidor de recorrido Indicación especial de control de servicios H.323 RAS para instruir al cliente de recorrido para abrir un orificio en el NAT. Después de que el cliente recorrido kepps al aire libre del agujero de alfiler volviendo a enviar reregistrations RAS RRQ, H.225 o H.245 TPKT. Cuando un punto final interna quiere llegar a uno externo que enviar señalización (RAS, H.225 y H.245) para el cliente de recorrido, que las retransmite al servidor de recorrido en DMZ. El cliente mantiene el recorrido continuación NAT vinculante en nombre de la variable interna. Cuando un punto final externo desea conectarse a un punto extremo interior, el punto final externo envía un mensaje de establecimiento al servidor de recorrido, y luego crea un paquete RAS SCI que solicita que el cliente de recorrido de enviar un paquete H.225 vacío a través de la NAT a la servidor de recorrido para abrir un agujero de alfiler inversa para el mensaje de configuración de entrada. mensaje SCI da al cliente toda la información sobre los puertos de destino en el servidor. Así que esta conexión se utiliza para transmitirla señalización de punto final externa a la interna.
Este mecanismo permite que el servidor de recorrido para actuar como un relé de medios de comunicación. Proporciona H.245 corrección para garantizar que sólo las direcciones enrutables se transfieren a criterio de valoración externa. Cuando un punto extremo externo desea enviar medios a la red interna se envía a los medios de recorrido de cliente, lo que a su vez envía el mensaje H.245 de recorrido de cliente que instruye para enviar paquetes RTP vacío a cambio, por lo que la unión NAT y un agujero de alfiler se crean y recorrido servidor y el cliente sabe qué puertos a utilizar. H.480.19 hacer lo mismo con el flujo de tráfico RTCP.
característica adicional de H.480.19 es multiplexado, que permite el recorrido del cliente para utilizar un número reducido de puertos para RTP. Esto se realiza añadiendo un número corriente de 4 bytes a paquetes RTP para identificar una corriente de medios de comunicación.
asentimiento protocolo utiliza los mismos principios descritos anteriormente y permite las comunicaciones SIP también. El único producto que conozco que implementa Cisco es Expressway ()
.
