Overview
Bien comprendre les différents types de NAT, Bien appréhender la nature des problèmes posés par le NAT en SIP, Bien comprendre ICE avec STUN et TURN, Bien comprendre l'utilité d'un SBC
Architecte télécom, Chef de projet télécom, ingénieur TOIP, ingénieur télécom
Connaitre SIP/SDP, Connaitre TCP/IP
Le NAT est une opération purement IP mise en place pour assurer des enjeux de sécurité, confidentialité mais aussi pour pallier l’insuffisance d’adresses IP publiques. A ce titre il s’agit d’une opération purement légitime et normale pour le bon fonctionnement du réseau.
Cependant, il faut noter que le NAT dans son fonctionnement altère le callflow SIP impliquant une rupture des communications SIP et même RTP entre deux devices n’étant pas sur le même LAN, voire des devices qui sont sur internet.
Ce cours, très riche en contenu, traite justement ce problème du NAT relativement au protocole SIP dans tous les détails. Il donne les outils nécessaires à tout ingénieur qui implémente une infrastructure SIP avec des ramifications LAN et donc en présence de NAT.
Lesquels outils permettent de comprendre le problème et d’y apporter les solutions idoines.
C’est ici l’occasion de parler de NAT, de firewall qui est un équipement clé dans un réseau IP.
Nous parlons aussi du SBC, équipement incontournable dans la téléphonie.
Ce cours aborde aussi le concept de ‘GRUU’ très souvent utilisé dans certaines architectures en téléphonie.
Enfin bien d’autres notions telles l’application level gateway, ICE, STUN, hairpining etc y sont abordées.
Tout ceci pour consolider les acquis de l’ingénieur de sorte qu’il appréhende les complexités liées au SIP avec beaucoup plus d’aisance.
Pour la dernière partie, nous vous faisons découvrir une solution de SBC AS A SERVICE : ANYNODE SBC
Ci-dessous le contenu :
PARTIE 0
INTRODUCTION : NOTIONS DE FIREWALL
PARTIE I: NAT
I.NAT REQUEST
II.NAT RESPONSE
III.UDP ‘HOLE PUNCHING’
IV.NAT HAIRPINNING
V. MEDIA HAIRPINNING
VI.MULTIPLE NAT TYPE
Full Cone
Restricted Cone
Port Restricted Cone
Symetric NAT
VII.MAPPING AND FILTERING
Endpoint Independent Mapping
Address Dependent Mapping
Address and Port Dependent Mapping
Filtering rules
PARTIE II: FIREWALL AND NAT PROBLEMS
I.LE PROBLEME DU NAT
II.LE PROBLEME DU NAPT OU PAT
III.PETIT RESUME SUR LES PROBLEMES DU SIP RELATIFS AU NAT
IV.LE PROBLEME DU FIREWALL
PARTIE III : SOLUTIONS
I.INTERACTIVE CONNECTIVITY ESTABLISHMENT (ICE)
Classic STUN (rfc 3489)
Architecture
Paramètre ‘received’ dans le header « VIA »
Paramètre ‘rport’ dans le header « VIA »
Problème du classic STUN
Symetric RTP
SIP client using STUN
STUN –rfc8489
Requête et réponse STUN
Traversal using Relays around NAT (TURN)
II.APPLICATION DE STUN ET TURN DANS ICE
ICE en théorie
ICE en pratique
ICE tags
‘ICE-lite’
‘trickle’ ICE
III. MEDIA PROXY
IV.APPLICATION LEVEL GATEWAY (ALG)
Notion de ‘SIP Aware’ firewall – incoming
‘SIP aware’ firewall – outgoing
V.UNIVERSAL PLUG AND PLAY (UPnP)
Notion de ‘Near End’ NAT
Notion de ‘Far End’ NAT
VI. GLOBALLY ROUTABLE USER AGENT URI (GRUU)
PARTIE IV : SESSION BORDER CONTROLLER
I.DESCRIPTION
II.FONCTIONALITES D’UN SBC
DoS attack prevention
DoS protection
Access control
Topology hiding
VPN Separation
Fraud prevention
Monitoring and reporting
QoS
Normalisation
Optimization
III. SBC EN PRATIQUE
TITE BEUGRE
Ingénieur télécom de formation, je suis titulaire d'un diplôme d'ingénieur de conception en Télécommunications et Réseaux délivré par l'INSTITUT NATIONAL POLYTECHNIQUE FELIX HOUPHOUET BOIGNY (INPHB, ABIDJAN, COTE D'IVOIRE).
Après mon cycle ingénieur, j'ai obtenu un diplôme de Mastère Spécialisé en CONCEPTION ET ARCHITECTURE DE RESEAU à TELECOM PARIS (devenu aujourd'hui IP PARIS).
Après mon Mastère Spécialisé, j'ai obtenu une certification en SIP (Session Initiation Protocol) délivrée par thesipschool : SSCA ELITE (SIP SCHOOL CERTIFIED ASSOCIATE)
A côté de cette certification j'ai aussi une certification en Networking 4 Video and Voice Over IP appelée SSVVP (The SIP SCHOOL VVoIP PROFESSIONAL).
En outre, je suis partenaire de TE-SYSTEM sur un produit appelé ANYNODE.
ANYNODE est la solution SBC (Session Border Controller) en mode cloud de MICROSOFT.
Je peux donc accompagner techniquement toute entreprise qui souhaite déployer un SBC ANYNODE ou réaliser certains autres projets relatifs à leur SBC ANYNODE tel que migration vers MICROSOFT Teams et bien d'autres.
Par ailleurs j'exerce en Entreprise en tant que chef de projet technique dans un environnement de Voix sur IP avec un parc d'équipement du constructeur MITEL.
Pour terminer, j'ai un laboratoire SAHEL TELEPHONY SERVICES où j'implémente des scénarios d'appels à la demande de certaines entreprises ou à ma propre initiative dans le but de réaliser de nouvelles implémentations SIP.
Je suis aussi membre du SIP Forum, où je consulte régulièrement les nouveaux framework, webinar, implémentations SIP.