SIP 端口指南：端口 5060 和 5061 上的 VoIP 信令

SIP 协调通信会话。 SIP 用户代理、电话、PBX、中继或软电话发送 REGISTER、INVITE、ACK、BYE、OPTIONS 和 CANCEL 等消息来建立和管理呼叫。这些消息描述了谁在呼叫、可以到达端点的位置、可用的编解码器以及应如何交换媒体。

SIP只是信令层。一旦协商完成呼叫，音频或视频通常会在单独的 UDP 端口上通过 RTP 或安全 RTP 传输。这种分离就是为什么 SIP 设备可以在呼叫有单向音频、没有音频或几秒钟后丢失媒体的情况下显示为在线。

端口5060是传统的SIP信令端口。它通常与 UDP 一起使用，但当平台需要可靠传输或更大的消息时，SIP 也可以在 5060 上通过 TCP 运行。许多电话、PBX 和 SIP 中继默认情况下仍使用 UDP 5060。

端口 5061 通常用于基于 TLS 的 SIP。 TLS 保护传输中的信令元数据，并帮助客户端验证他们正在通信的服务器。它不会自动加密媒体流；当需要隐私时，语音媒体需要 SRTP 或其他媒体层保护。

SIP 告诉端点如何开始、更改和结束呼叫。在端点就编解码器和地址达成一致后，RTP 承载实际的音频或视频数据包。 RTP 端口范围因 PBX、提供商、电话系统、SBC 或云语音平台而异，因此没有单一的通用 RTP 端口。

常见示例包括 UDP 范围（例如 10000-20000、16384-32767）或特定于提供商的范围。仅打开语音平台所需的范围，并记录流量是否必须从电话流向 PBX、从 PBX 流向提供商，或从两个方向流向。

仅在可信电话、PBX、SIP 中继提供商、会话边界控制器或语音网关需要交换信令的地方打开 SIP 端口。典型部署允许电话到达内部 PBX、PBX 到达 SIP 中继或 SBC 来调解公共 VoIP 流量。

不要仅仅因为呼叫需要远程工作而广泛公开 SIP。公共 SIP 端点会吸引扫描仪、注册尝试、长途电话欺诈、分机枚举和密码攻击。首选 VPN、私有对等互连、提供商白名单、SBC 或范围严格的源网络。

首先确定确切的语音路径。确认哪个设备拥有信令、哪一方发起注册、平台使用哪个RTP范围以及是否需要TLS或SRTP。然后仅在预期源和目标之间允许 SIP 5060 或 5061。

对于 NAT 环境，请使用正确的公共地址、本地网络、外部信令地址和外部媒体地址配置 PBX 或 SBC。避免盲目依赖 SIP ALG，因为它可能会错误地重写数据包并造成间歇性注册或音频故障。

基本端口检查可以确认 TCP 侦听器（例如 5061 上的 SIP over TLS）是否可访问。对于 UDP 5060，请尽可能使用 SIP 感知检查，因为 UDP 的行为与 TCP 连接不同。受控测试、提供商诊断、PBX 日志和数据包捕获中的 sipsak、sipvicious 等工具可以显示 SIP 消息是否到达正确的端点。

信令工作后，进行真正的测试呼叫并验证媒体。检查双向音频、呼叫建立时间、编解码器协商、RTP 源和目标地址、NAT 转换、防火墙计数器以及数据包在前几秒后是否继续。

如果电话无法注册，请检查 DNS、出站防火墙规则、凭据、领域、传输模式、TLS 证书、提供商允许列表以及 PBX 或代理是否正在侦听预期的 SIP 端口。注册失败通常是身份验证或策略问题，而不仅仅是端口问题。

如果呼叫已连接但没有音频，请检查 RTP 范围、SDP 中的 NAT 地址、SIP ALG、对称 RTP 设置、提供商媒体 IP 范围和防火墙方向。如果音频仅以一种方式工作，则一侧通常可以发送 RTP，而另一侧则无法接收。

限制 SIP 对已知提供商、分支机构、VPN 客户端、SBC 或专用网络的暴露。禁用未使用的分机、要求强密码或基于证书的身份验证（如果支持）、限制注册尝试的速率，并对注册失败或意外的国际拨号发出警报。

如果支持，请使用基于 TLS 和 SRTP 的 SIP，但请记住，加密并不能取代访问控制。保持 PBX、SBC、电话固件和语音网关修补，检查呼叫详细记录是否存在欺诈，并将语音管理接口与公共信令路径分开。