Руководство по портам SIP: передача сигналов VoIP на портах 5060 и 5061

SIP координирует сеансы связи. Пользовательский агент SIP, телефон, УАТС, соединительная линия или программный телефон отправляет такие сообщения, как REGISTER, INVITE, ACK, BYE, OPTIONS и CANCEL, для установления вызовов и управления ими. В этих сообщениях описывается, кто звонит, где можно достичь конечной точки, какие кодеки доступны и как следует обмениваться мультимедиа.

SIP — это только уровень сигнализации. После согласования вызова аудио или видео обычно передаются через RTP или безопасный RTP через отдельные порты UDP. Именно из-за этого разделения SIP-устройство может появиться в сети, в то время как во время вызова присутствует односторонняя аудиосвязь, звук отсутствует или медиафайлы прерываются через несколько секунд.

Порт 5060 — это обычный порт сигнализации SIP. Он обычно используется с UDP, но SIP также может работать через TCP на 5060, когда платформе требуется надежный транспорт или сообщения большего размера. Многие телефоны, УАТС и SIP-транки по-прежнему используют UDP 5060 по умолчанию.

Порт 5061 обычно используется для SIP через TLS. TLS защищает метаданные сигнализации при передаче и помогает клиентам проверять сервер, с которым они общаются. Он не шифрует автоматически медиапоток; голосовым медиа требуется SRTP или другая защита на уровне мультимедиа, когда требуется конфиденциальность.

SIP сообщает конечным точкам, как начать, изменить и завершить вызов. RTP передает фактические аудио- или видеопакеты после того, как конечные точки согласуют кодеки и адреса. Диапазоны портов RTP различаются в зависимости от УАТС, провайдера, телефонной системы, SBC или облачной голосовой платформы, поэтому не существует единого универсального порта RTP.

Общие примеры включают диапазоны UDP, такие как 10000–20000, 16384–32767 или диапазоны, зависящие от поставщика. Открывайте только те диапазоны, которые требуются вашей голосовой платформе, и документируйте, должен ли трафик передаваться от телефонов к УАТС, от УАТС к провайдеру или в обоих направлениях.

Открывайте порты SIP только в том случае, если доверенному телефону, УАТС, поставщику SIP-транков, пограничному контроллеру сеанса или голосовому шлюзу необходимо обмениваться сигналами. Типичные развертывания позволяют телефонам подключаться к внутренней УАТС, УАТС к магистрали SIP или SBC для передачи общедоступного трафика VoIP.

Не раскрывайте широкое распространение SIP только потому, что звонки должны работать удаленно. Публичные конечные точки SIP привлекают сканеры, попытки регистрации, мошенничество с междугородными вызовами, перебор расширений и атаки паролей. Предпочитайте VPN, частный пиринг, списки разрешенных поставщиков, SBC или исходные сети с ограниченной областью действия.

Начните с определения точного голосового пути. Подтвердите, какое устройство владеет сигнализацией, какая сторона инициирует регистрацию, какой диапазон RTP использует платформа и требуется ли TLS или SRTP. Затем разрешите SIP 5060 или 5061 только между ожидаемыми источниками и пунктами назначения.

Для сред NAT настройте УАТС или SBC с правильным общедоступным адресом, локальными сетями, адресом внешней сигнализации и адресом внешнего носителя. Не полагайтесь слепо на SIP ALG, поскольку он может неправильно перезаписывать пакеты и вызывать периодические сбои регистрации или звука.

Базовая проверка порта может подтвердить, доступен ли прослушиватель TCP, такой как SIP через TLS на 5061. Для UDP 5060 по возможности используйте проверки с поддержкой SIP, поскольку UDP не ведет себя как TCP-соединение. Такие инструменты, как sipsak, sipvicious в контролируемых тестах, диагностика провайдера, журналы АТС и захват пакетов, могут показать, достигают ли SIP-сообщения нужной конечной точки.

После того, как сигнализация заработает, сделайте настоящий тестовый звонок и проверьте носитель. Проверьте двустороннюю аудиосвязь, время установки вызова, согласование кодека, адреса источника и назначения RTP, трансляции NAT, счетчики брандмауэра и продолжаются ли пакеты после первых нескольких секунд.

Если телефон не может зарегистрироваться, проверьте DNS, правила брандмауэра для исходящего трафика, учетные данные, область, режим транспорта, сертификаты TLS, списки разрешенных поставщиков, а также прослушивает ли УАТС или прокси-сервер ожидаемый порт SIP. Сбои регистрации часто являются проблемами аутентификации или политики, а не только проблемами порта.

Если вызовы соединяются, но нет звука, проверьте диапазоны RTP, адреса NAT в SDP, SIP ALG, настройки симметричного RTP, диапазоны IP-адресов мультимедиа поставщика и направление брандмауэра. Если звук работает только в одном направлении, одна сторона обычно может отправлять RTP, а другая не может его получить.

Ограничьте доступ к SIP известным поставщикам, филиалам, VPN-клиентам, SBC или частным сетям. Отключайте неиспользуемые расширения, требуйте надежные пароли или аутентификацию на основе сертификатов, если это поддерживается, ограничивайте попытки регистрации и предупреждайте о неудачных регистрациях или неожиданных международных звонках.

Используйте SIP через TLS и SRTP, если они поддерживаются, но помните, что шифрование не заменяет контроль доступа. Постоянно обновляйте PBX, SBC, прошивку телефона и голосовые шлюзы, проверяйте подробные записи вызовов на предмет мошенничества и отделяйте интерфейсы голосового управления от общедоступных путей передачи сигналов.