IT Kvadratura Kruga: Kao resiti VoIP koristeci firewall?

[ pera detlich @ 12.07.2002. 21:12 ] @

Evo i jedna od modernih detlichevih glavolomki!

Kako resiti IT kvadraturu kruga, ili kako koristiti servis popularno poznat kao VoIP u intranetu, na cijem izlazu je firewall?

Jasno je da paketizacija voice-a, i prenos preko TCP/IP-a zahteva realno vreme, dakle sam VoIP zahteva minimalna kasnjenja u IP mrezi. Implicira koriscenje HW switcheva i HW routera. Onaj problem koji postoji izmedju izvornog IP hosta i odredisnog IP hosta je broj firewall-ova (minimalno 2 - izvorisni i destinacioni firewall-ovi), koji moraju da pristupaju IP i TCP headerima da bi mogli da svojoj bazi podataka konsultuju parametre sta i kako sa tim paketom?

Komplikacija je i sto se danas veoma cesto koriti IP over ATM, pa se vec na hostu (NIC) izvrsi konverzija IP paketa u ATM celije... Koje se prosledjuju u enterprize (privatnom) domenu u ATM mrezi, ali na ciijem izlazu postoji firewall (pre javne ATM mreze). Da bi izvorni firewall mogao da odradi funkciju (obicno da screenuje odredisnu IP adresu) mora da se ATM celije PONOVO pretvore u IP pakete, i da se iscita IP header, da se odradi provera, pa onda OPET da se napravi konverzija IP paketa u ATM!

Da vidimo kakvih sve interesantnih ideja ima... na koje sve nacine bi mogao da se resi ovaj problem?

[ Aleksandar Vidakovic @ 14.08.2002. 10:21 ] @

Zabolela me glava samo od čitanja, a još nisam počeo ni da razmišljam. Huh, čitam ovo već peti put.

Ako sam dobro shvatio, postoje dva firewall-a sa pravilima koja dozvoljavaju prolaz paketa. Ne, čekaj ... Znači imamo jedan firewall iza koga postoje kompjuteri gde rade aplikacije za voice. Taj firewall ima pravila koja dozvoljavaju da prolaze paketi određenog tipa u unutrašnju mrežu. Ne, čekaj, ... da li se radi masquerade-a? Tamo daleko, imamo drugi firewall iza koga ima kompjutera koji takođe hoće voice. Tu se radi tunneling, tj. učaurenje jednog u drugi protokol da bi se preneo i razložio na drugoj strani. Ne, ne ... čekaj malo ... hm, ne vredi, nisam razumeo pitanje ... `ajd zdravo.

[ Milenko Markov @ 16.08.2002. 10:02 ] @

Citat:

pera detlich:
Evo i jedna od modernih detlichevih glavolomki! :) Kako resiti IT kvadraturu kruga, ili kako koristiti servis popularno poznat kao VoIP u intranetu, na cijem izlazu je firewall? :(

Jasno je da paketizacija voice-a, i prenos preko TCP/IP-a zahteva realno vreme, dakle sam VoIP zahteva minimalna kasnjenja u IP mrezi. Implicira koriscenje HW switcheva i HW routera. Onaj problem koji postoji izmedju izvornog IP hosta i odredisnog IP hosta je broj firewall-ova (minimalno 2 - izvorisni i destinacioni firewall-ovi), koji moraju da pristupaju IP i TCP headerima da bi mogli da svojoj bazi podataka konsultuju parametre sta i kako sa tim paketom? ;)

Komplikacija je i sto se danas veoma cesto koriti IP over ATM, pa se vec na hostu (NIC) izvrsi konverzija IP paketa u ATM celije... Koje se prosledjuju u enterprize (privatnom) domenu u ATM mrezi, ali na ciijem izlazu postoji firewall (pre javne ATM mreze). Da bi izvorni firewall mogao da odradi funkciju (obicno da screenuje odredisnu IP adresu) mora da se ATM celije PONOVO pretvore u IP pakete, i da se iscita IP header, da se odradi provera, pa onda OPET da se napravi konverzija IP paketa u ATM! :(

Da vidimo kakvih sve interesantnih ideja ima... na koje sve nacine bi mogao da se resi ovaj problem? ;)

Uredjaj koji vrsi funkciju firewall-a iza koga se nalazi VoIP oprema mora dinamicki otvarati portove kojima se prenos glasovnih paketa vrsi (RTP-opm, koji se u IP stacku nalazi iznad UDP-a).

Problem je slican kao kod NAT-ovanja privatne mreze (prevodjenja skupa privatnih, u jednu ili vise javnih adresa) u tome sto se broj porta po kome se prenos vrsi , posebno ukoliko se koristi H.323 signalizacija, odredjuju u toku uspostavljanja sesije (dinanamicki), sto znaci da firewall mora da nadgleda tok uspostavljanja sesije kako bi otvorio odgovarajuci port.

Medjutim, svi ovi procesi ukoliko su podrzani od uredjaja, ne unose dodatna kasnjenja u poredjenju sa samim prenosom i kompresijom. Bitno je da ukupna kasnjenja ne prevazilaze zbir od reda 300ms, koji je granica za normalno odvijanje dvosmerne glasovne komunikacije.

Zakljucak je da pri izboru firewall-a mora voditi racuna da on daje podrsku za signalizaciju koja ce se u VoIP okruzenju koristiti (sip,h,323, skinny i sl.)

Btw. gde se cesto koristi IP over ATM ?

Pozdrav.

[ B o j a n @ 20.10.2002. 10:07 ] @

Jedno pitanjce, koliki je plafon u milisekundama za optimalan rad voip-a ?
Npr, neka garazna varijanta, 100Mbs link, cak da se jedno 5-6 racunara veze u twisted pair varijantu, pa sve tako u neki lanac, cisto da simulira 5-6 hopova, ne verujem da bi se postiglo kasnjenje vece od par desetina milisekundi.
Uz neki liberalan firewall ruleset ne verujem da bi se to nesto drasticno povecalo.

[ dijabolik @ 25.10.2002. 08:22 ] @

Vozdra,
prema licnom iskustvu znam da se delay moze "tolerisati" do nekih 600ms, a optimalno je puuuuno manje ....

[ B o j a n @ 25.10.2002. 10:27 ] @

I da, u kojim "razmerama" se govori ?
Milion korisnika ? l;) Deset hiljada ?

[ markom @ 02.08.2003. 22:20 ] @

Citat:

B o j a n:
Jedno pitanjce, koliki je plafon u milisekundama za optimalan rad voip-a ?

Kao optimalno kasnjanje se tolerise sve ispod 20ms. No, samo kasnenje nije problem, cak ako je i vece od toga. Da bi razgovor bio normalan, bitno je samo da je kasnjenje konstantno.

Marko.