SIP over UDP部署中的NAT穿透问题深度解析

1. 问题背景与典型现象

在SIP（Session Initiation Protocol）基于UDP传输的VoIP系统中，终端用户代理（UA）常部署于私网环境，通过NAT设备接入公网。尽管SIP REGISTER请求可成功穿越NAT并完成注册，但当服务器尝试发起呼入（如发送INVITE）时，往往无法抵达终端，导致呼入失败。

• REGISTER请求能出：UA → NAT → SIP Server
• INVITE回拨失败：SIP Server → NAT × UA
• 根本原因：NAT未维持UDP映射状态或未处理SIP/SDP中的私网IP

此类问题在家庭宽带、企业边缘网络中尤为普遍，直接影响VoIP服务的可用性与用户体验。

2. NAT类型与映射机制差异

NAT类型	源地址映射策略	是否支持SIP穿透	STUN有效性
Full Cone	固定公网端口	高	有效
Restricted Cone	仅允许已通信IP回连	中	部分有效
Port Restricted Cone	需IP+端口匹配	低	受限
Symmetric NAT	每目标生成新映射	极低	基本无效

其中，Symmetric NAT是SIP穿透的最大障碍，因其为每个外部目标分配独立的公网端口映射，导致STUN获取的地址无法用于第三方回连。

3. 协议层瓶颈：SIP/SDP与ALG冲突

SIP信令中携带的Contact、Via头域及SDP媒体描述（c=, m=）包含UA的私网IP地址（如192.168.1.100），若NAT设备未启用或错误处理SIP ALG（Application Layer Gateway），则：

1. 私网IP未被替换为公网IP
2. SDP中的RTP端口未同步NAT映射
3. 防火墙丢弃“非预期”的媒体流包

更严重的是，某些厂商ALG实现存在缺陷，会错误修改SIP消息体，导致信令解析失败或对话建立异常。

4. STUN机制的局限性分析

// 典型STUN交互流程
Client → STUN Server: Binding Request
STUN Server → Client: Binding Response (公网IP:port)
Client 使用该信息填充 SDP

然而，在Symmetric NAT下，即使客户端通过STUN获取了其对外映射地址，SIP服务器仍无法通过该端口直接发送INVITE，因为NAT要求回包必须来自STUN服务器同一IP:port。而SIP服务器位于不同主机，触发新的映射规则，导致封包被丢弃。

5. 解决方案演进路径

1. ALG优化：启用并正确配置路由器SIP ALG，确保SIP/SDP地址翻译准确
2. STUN + keep-alive：定期发送空包维持NAT映射，提升Cone NAT下的成功率
3. TURNServer：作为中继节点，强制媒体流经公网转发
4. ICE框架整合：结合STUN、TURN、SDP offer/answer机制，实现多路径协商
5. SIP over TLS/TCP 或 WebSocket：规避UDP NAT状态管理问题

6. ICE与NAT穿透流程图

graph TD A[UA启动] --> B{发现候选地址} B --> C[Host Candidate: 192.168.1.100:5060] B --> D[Server Reflexive: 203.0.113.45:54321 via STUN] B --> E[Relayed Candidate: 198.51.100.1:60000 via TURN] C --> F[收集完成] D --> F E --> F F --> G[ICE协商 Offer/Answer] G --> H[连接检查] H --> I{连通性成功?} I -- 是 --> J[建立会话] I -- 否 --> K[尝试下一候选对]

ICE（Interactive Connectivity Establishment）通过多候选地址探测，显著提升在复杂NAT环境下的穿透成功率，尤其适用于Symmetric NAT场景。