利用***+nat解决客户voip被封锁的问题
2024-06-13 05:52:28
最近有个私交不错的客户it人员问我一个问题。客户自己买了一台mosa的voip 语音网关用来跟其他分公司进行voip通话,节省长途+国际话费。据说安装后的前一个星期用得很愉快,一个星期后就不行了。看来无锡电信盯得很紧嘛:)。
架构很简单
pbx---------voip gateway-----------internet-------------- voip gateway----pbx
网上找了一下相关资料,如下
封杀原理
由于VOIP技术的大量普及,直接影响到传统电信的利益,再加上我国在VOIP政策上还没有全部放开,所以电信在技术上对VOIP进行了全面封杀。直接影响到VOIP虚拟运营商的运行安全可靠性。
电信是怎样封杀VOIP的呢?电信封杀的第一步是先把VOIP找出来,找的方法是首先把所有的网络数据包截获下来,第二步是把截获的所有数据包交给分析服务器。分析服务器通过对所有网络数据包进行协议分析。如果分析出有voip数据包,就给出对应数据包的IP地址,电信就有理由怀疑这个IP正在做VOIP运用,分析出来VOIP数据包后,电信就会采取一定的封杀措施,目前电信采用的封杀措施大约有以下四种:
第一种封IP,分析出VOIP包的目标IP,目标IP就是我们的VOIP服务器的IP地址,源IP一般是ADSL的动态IP,一般没什么用,电信就对这个目标服务器IP进行封杀,所有到这个IP的数据包,不管是VOIP数据包,还是非VOIP数据包,均被电信路由器丢掉,就是我们俗称的封IP。也就是通过这个路由器是不可能访问到那个服务器的。对付这种封杀只能换服务器IP。
第二种封端口,第一种方案的缺点就是把封VOIP数据包也封了,例如http、smtp、telnet等等应用都封了,容易引起投诉,根据TCP/IP应用的特点,每个应用只占用一个特定的端口,所以分析软件首先分析出VOIP应用使用的端口,然后,对丢弃所有这个端口的数据,达到封杀VOIP的目的,这种封杀对正在这个服务器上运行的其他服务不受影响。
第三种封协议,对于第一种和第二种封杀封杀方法。一般从voip查出来到采取封杀措施都要滞后几天时间,而且中间需要一个手工干预的过程,一旦虚拟运营商被封之后,虚拟运营商会采取马上换IP或者是端口的方法来对付封杀。所以电信采用了更实时的封杀方法,一旦分析出是VOIP数据包,马上就丢弃该数据包。这样VOIP通讯就无法建立,整个过程全部自动完成,不需要人工干预,而且采用换IP或者端口都不能对付这种封杀行为。
第四种干扰声音,这种方法是,电信查出VOIP数据之后,并不丢弃VOIP数据,而是在VOIP的数据包中插入一些非法干扰数据,这样数据包到达目的地之后还原出来的声音就有干扰的噪音。电信通过这种方式达到封杀voip的目的。
由于VOIP技术的大量普及,直接影响到传统电信的利益,再加上我国在VOIP政策上还没有全部放开,所以电信在技术上对VOIP进行了全面封杀。直接影响到VOIP虚拟运营商的运行安全可靠性。
电信是怎样封杀VOIP的呢?电信封杀的第一步是先把VOIP找出来,找的方法是首先把所有的网络数据包截获下来,第二步是把截获的所有数据包交给分析服务器。分析服务器通过对所有网络数据包进行协议分析。如果分析出有voip数据包,就给出对应数据包的IP地址,电信就有理由怀疑这个IP正在做VOIP运用,分析出来VOIP数据包后,电信就会采取一定的封杀措施,目前电信采用的封杀措施大约有以下四种:
第一种封IP,分析出VOIP包的目标IP,目标IP就是我们的VOIP服务器的IP地址,源IP一般是ADSL的动态IP,一般没什么用,电信就对这个目标服务器IP进行封杀,所有到这个IP的数据包,不管是VOIP数据包,还是非VOIP数据包,均被电信路由器丢掉,就是我们俗称的封IP。也就是通过这个路由器是不可能访问到那个服务器的。对付这种封杀只能换服务器IP。
第二种封端口,第一种方案的缺点就是把封VOIP数据包也封了,例如http、smtp、telnet等等应用都封了,容易引起投诉,根据TCP/IP应用的特点,每个应用只占用一个特定的端口,所以分析软件首先分析出VOIP应用使用的端口,然后,对丢弃所有这个端口的数据,达到封杀VOIP的目的,这种封杀对正在这个服务器上运行的其他服务不受影响。
第三种封协议,对于第一种和第二种封杀封杀方法。一般从voip查出来到采取封杀措施都要滞后几天时间,而且中间需要一个手工干预的过程,一旦虚拟运营商被封之后,虚拟运营商会采取马上换IP或者是端口的方法来对付封杀。所以电信采用了更实时的封杀方法,一旦分析出是VOIP数据包,马上就丢弃该数据包。这样VOIP通讯就无法建立,整个过程全部自动完成,不需要人工干预,而且采用换IP或者端口都不能对付这种封杀行为。
第四种干扰声音,这种方法是,电信查出VOIP数据之后,并不丢弃VOIP数据,而是在VOIP的数据包中插入一些非法干扰数据,这样数据包到达目的地之后还原出来的声音就有干扰的噪音。电信通过这种方式达到封杀voip的目的。
实际情况是客户所有的 voipgateway都是通过配置公网ip,通过internet来进行通话
mosa采用的是sip,由于无锡电信估计用了上面的方案3,或者4,让rtp建不起来, 客户端现在电话能振铃,但听不到声音,电信真坏阿。
知道了故障原因,解决就很方便。无锡----ipsec ***------客户台湾总部,policy routing让voip gateway从台湾出 internet并在台湾出口router给一个固定ip做一对一的nat(pat不行, rtp还是建不起来)使之可以顺利建立rtp。
大陆router config
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco address 210.x.x.x
!
!
crypto ipsec transform-set set1 esp-des esp-md5-hmac
!
crypto map *** 1 ipsec-isakmp
set peer 210.x.x.x
set transform-set set1
match address aa
reverse-route
!
!
!
interface Tunnel0
ip address 10.199.199.2 255.255.255.252
tunnel source Loopback0
tunnel destination 10.0.0.1
!
interface Loopback0
ip address 10.90.0.1 255.255.255.255
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description wan
ip address 218.y.y.y 255.255.255.240
duplex auto
speed auto
crypto map ***
!
interface Vlan1
ip address 192.168.11.254 255.255.255.0
ip policy route-map ippbx
!
ip classless
ip route 0.0.0.0 0.0.0.0 218.y.y.y
!
no ip http server
no ip http secure-server
!
ip access-list extended aa
permit ip host 10.90.0.1 host 10.0.0.1
!
access-list 110 permit ip 192.168.11.0 0.0.0.255 any
route-map ippbx permit 10-----------------------------让mosa的数据都走到 *** tunnel
match ip address 110
set ip next-hop 10.199.199.1
hash md5
authentication pre-share
crypto isakmp key cisco address 210.x.x.x
!
!
crypto ipsec transform-set set1 esp-des esp-md5-hmac
!
crypto map *** 1 ipsec-isakmp
set peer 210.x.x.x
set transform-set set1
match address aa
reverse-route
!
!
!
interface Tunnel0
ip address 10.199.199.2 255.255.255.252
tunnel source Loopback0
tunnel destination 10.0.0.1
!
interface Loopback0
ip address 10.90.0.1 255.255.255.255
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description wan
ip address 218.y.y.y 255.255.255.240
duplex auto
speed auto
crypto map ***
!
interface Vlan1
ip address 192.168.11.254 255.255.255.0
ip policy route-map ippbx
!
ip classless
ip route 0.0.0.0 0.0.0.0 218.y.y.y
!
no ip http server
no ip http secure-server
!
ip access-list extended aa
permit ip host 10.90.0.1 host 10.0.0.1
!
access-list 110 permit ip 192.168.11.0 0.0.0.255 any
route-map ippbx permit 10-----------------------------让mosa的数据都走到 *** tunnel
match ip address 110
set ip next-hop 10.199.199.1
为了让***一直都是active ,做个sla,
ip sla 2
icmp-echo 10.0.0.1 source-ip 10.90.0.1
timeout 2000
frequency 30
ip sla schedule 2 life forever start-time now
icmp-echo 10.0.0.1 source-ip 10.90.0.1
timeout 2000
frequency 30
ip sla schedule 2 life forever start-time now
总部相关config
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set set2 esp-des esp-md5-hmac
hash md5
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set set2 esp-des esp-md5-hmac
crypto dynamic-map ***map 11
set transform-set set2
match address test
reverse-route
set transform-set set2
match address test
reverse-route
!
crypto map ***trans 100 ipsec-isakmp dynamic ***map
!
!
!
interface Tunnel500
ip address 10.199.199.1 255.255.255.252
ip nat inside---------------------------------------------------------大陆数据从这里进行nat
ip virtual-reassembly
ip policy route-map ippbx-teco
tunnel source Loopback99
tunnel destination 10.90.0.1
crypto map ***trans 100 ipsec-isakmp dynamic ***map
!
!
!
interface Tunnel500
ip address 10.199.199.1 255.255.255.252
ip nat inside---------------------------------------------------------大陆数据从这里进行nat
ip virtual-reassembly
ip policy route-map ippbx-teco
tunnel source Loopback99
tunnel destination 10.90.0.1
interface Loopback99
ip address 10.0.0.1 255.255.255.255
ip address 10.0.0.1 255.255.255.255
interface Ethernet1
ip address 210.a.a.a 255.255.255.224
ip nat outside
ip virtual-reassembly
ip policy route-map aa
duplex auto
crypto map ***trans
ip route 0.0.0.0 0.0.0.0 210.a.a.a
ip route 192.168.11.0 255.255.255.0 Tunnel500
ip http server
no ip http secure-server
!
ip nat inside source static 192.168.11.1 210..b.b.b ----------------static maping
ip route 192.168.11.0 255.255.255.0 Tunnel500
ip http server
no ip http secure-server
!
ip nat inside source static 192.168.11.1 210..b.b.b ----------------static maping
access-list 110 permit ip 192.168.11.0 0.0.0.255 any
access-list 120 permit ip any 192.168.11.0 0.0.0.255
route-map aa permit 10--------------------让回来的数据走到tunnel
match ip address 120
set interface Tunnel500
!
route-map ippbx-teco permit 10------------让出来的数据走到台湾internet 上
match ip address 110
set ip next-hop 210.17.56.222
access-list 120 permit ip any 192.168.11.0 0.0.0.255
route-map aa permit 10--------------------让回来的数据走到tunnel
match ip address 120
set interface Tunnel500
!
route-map ippbx-teco permit 10------------让出来的数据走到台湾internet 上
match ip address 110
set ip next-hop 210.17.56.222
nat后客户的问题就解决了,我后来又给他加了2个policy,
这台上面的2个policy 大家会觉得有点多余:),但用来理解 sip rtp建立是很有帮助的。简单点就是让rtp 数据包从哪里来回哪里去。
转载于:https://blog.51cto.com/lovelili/94777
利用***+nat解决客户voip被封锁的问题相关推荐
- 华为路由器负载均衡_华为路由器配置利用NAT实现TCP负载均衡
7.8 利用 NAT 实现 TCP 负载均衡 TCP 负载均衡是为了把一个外部的合法地址交替映射到多个内部地址上,这样可以使 多台服务器使用同一个外部地址进行访问. 一.实验目的 1. 掌握利用 NA ...
- Cisco Packet Tracer 思科模拟器利用NAT实现外网主机访问内网服务器
前两篇讲解了动态NAT地址转换,以及静态NAT地址转换,本篇文章主要讲解如何理由NAT实现外网主机访问内网服务器,含有重分布教学 情境分析 公司只申请了一个公网IP地址,基于私有地址与公有地址不能直接 ...
- Windows2003利用×××+NAT+静态路由表建立网通电信双线×××服务器
一.问题的提出 目前我的电脑采用ADSL上网,拥有一台服务器同时用光纤接入网通和电信网络,并且网络状况良好,要实现的是让所有ADSL接入的机器通过服务器来上网,并且实现网通电信自动切换,即网通走网通线 ...
- 利用NAT实现外网主机访问内网服务器(原创)
拓扑图: 步骤一:配置IP地址 PCA IP:172.20.106.2 MASK:255.255.255.0 GAT :172.20.106.1 SERVER0: IP: 10.10.10.2 MAS ...
- 在NUC972上利用pjsip实现VOIP网关
如果有问题,请加QQ群 891339868 进行交流 上次在NUC972上移植好了pjsip库后,实现了一个简单的VOIP网关的功能,由于前一段时间再忙别的事情,没有来得及整理,今天忙里偷闲,总结一下 ...
- NAT对数据业务的影响
目录: 问题提出 NAT 防火墙 NAT对数据业务的影响 IPSec NAT和IPSec共同实施 NAT对VOIP业务(SIP)的影响 SIP呼叫穿透NAT的方案 STUN协议(让终端发现自己的公网I ...
- NAT对语音业务的影响(终端控制方案…
NAT对VOIP业务(SIP)的影响 下面的SIP流程与码流摘自 3GPP TR 24.930 IP Multimedia core network Subsystem (IMS) base ...
- VOIP穿越防火墙详解
前言: VoIP 刚推出之初期,受到各种因素之干扰,以致非常难用,需要经过繁复的设定才能使用. 最常见到的是某一边的使用者的电脑设定有问题导致单边没有声音,因此收话发话两端都必须是 电脑高手才能顺利进 ...
- NAT技术详解(网络地址转换)
组织对不起,90年的事我瞒不住了--NAT(网络地址转换) NAT(Network Addresss Translation),网络地址转换,本质上是一种允许在互联网的不同地方重复使用相同的IP地址集 ...
最新文章
- python mac地址转换_Python MAC地址 获取,过滤,转换 Python MYSQL 数据获取,比较
- iOS-获取通讯录联系人信息
- Linux下使用PPTP ×××拔号的实现
- bzoj 36733674: 可持久化并查集 by zky
- javascript闭包简单实例
- OpenCV使用Facemark API
- java 多线程阻塞队列 与 阻塞方法与和非阻塞方法
- 微课系列(5):Python程序中__name__变量的用法
- php mysql 获取排名,Mysql排序获取排名的实例代码
- 基于docker的php调用基于docker的mysql数据库的方法
- uiscrollview 图片放大缩小
- vue中使用dragdrop
- 用计算机弹熊出没,熊出没之熊大快跑2018辅助
- 类和对象9:属性访问方法
- 关于阅读论文的一些感想
- 【AI竞赛】GAN实战——TinyMind书法字体生成练习赛开始报名拉!
- 新一代国产区块链底层平台正式亮相,蓝石区块链实验室首发CefaChain技术 | 附白皮书
- 根据oe抓取ebayno title fits
- 手机微信内置浏览器清理缓存
- 带你走进我的家乡---隆回