防火墻H323協(xié)議處理流程及H323 ALG應(yīng)用

1、一 H.323協(xié)議簡(jiǎn)介H.323協(xié)議簇是ITU的一個(gè)標(biāo)準(zhǔn)協(xié)議棧，它是一個(gè)有機(jī)的整體，根據(jù)功能可以將它分為4類協(xié)議，也就是說(shuō)該協(xié)議從系統(tǒng)的總體框架（H.323）、視頻編解碼（H.263）、音頻編解碼（G.723.1）、系統(tǒng)控制（H.245）、數(shù)據(jù)流的復(fù)用（H.225）等各方面作了比較詳細(xì)的規(guī)定。H323系統(tǒng)中的信息流是視頻、音頻和控制消息的組合。系統(tǒng)控制的協(xié)議包括H.323、H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要組成部分。整個(gè)系統(tǒng)控制由H.245控制信道、H225.0呼叫信令信道和RAS（注冊(cè)、許可、狀態(tài)）信道提供。H.225它主要處理傳輸路徑問(wèn)題，描述了如何

2、操作網(wǎng)絡(luò)包上的視頻、音頻、數(shù)據(jù)和控制信息使其提供 H.323 裝備會(huì)話服務(wù)。H.225 主要有兩個(gè)部分：呼叫信令和 RAS （注冊(cè)、接入允許和狀態(tài)）。H.225 詳細(xì)定義了 Q.931 信令信息的使用和支持。在 IP 網(wǎng)絡(luò)的 TCP 端口1720需要?jiǎng)?chuàng)建一個(gè)可靠的 TCP 呼叫控制信道，該端口完成 Q.931 呼叫控制信息的初始化，從而實(shí)現(xiàn)連接、維持和呼叫分離功能。H.245 是 H.323 多媒體通信體系中的控制信令協(xié)議，其主要用于處于通信中的 H.323 終點(diǎn)或終端間的端到端 H.245 信息交換。H.245制定了一個(gè)控制信道分段和重新裝配的協(xié)議層（CCSRL，Control Channe

3、l Segmentation and Reassembly Layer），它可以在易出錯(cuò)環(huán)境下保證應(yīng)用的可靠性。H.245提供了一種功能交換的功能，它支持兩端設(shè)備通過(guò)協(xié)商確定一組通用的功能集。二防火墻H.323 ALG功能簡(jiǎn)介當(dāng)內(nèi)部網(wǎng)絡(luò)的H.323終端穿越防火墻與公網(wǎng)上的H.323終端進(jìn)行通信時(shí)，由于NAT功能只能將傳輸層的IP及端口進(jìn)行轉(zhuǎn)換，無(wú)法對(duì)H.323協(xié)議應(yīng)用層攜帶的內(nèi)部數(shù)據(jù)進(jìn)行轉(zhuǎn)換，應(yīng)用層中內(nèi)部數(shù)據(jù)直接被轉(zhuǎn)發(fā)至公網(wǎng)，后續(xù)協(xié)議信息處理時(shí)會(huì)出現(xiàn)問(wèn)題；而H323 ALG則可以實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)轉(zhuǎn)換，協(xié)議數(shù)據(jù)發(fā)至Internet時(shí)，將其應(yīng)用層內(nèi)部信息轉(zhuǎn)換成公網(wǎng)信息，實(shí)現(xiàn)完全隱藏內(nèi)部終端達(dá)到通信正

4、常的目的。另外，應(yīng)用防火墻一般只開(kāi)放特定端口的數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，H.323協(xié)議屬于多通道協(xié)議，控制連接使用端口1720，數(shù)據(jù)交換使用端口為臨時(shí)協(xié)商，無(wú)法事先預(yù)知，若無(wú)ALG功能，協(xié)商出數(shù)據(jù)交換通道所用端口后，外部網(wǎng)絡(luò)終端嘗試對(duì)內(nèi)部終端數(shù)據(jù)交換的端口進(jìn)行連接時(shí)，防火墻會(huì)對(duì)其進(jìn)行阻斷，從而數(shù)據(jù)傳輸通道無(wú)法建立；開(kāi)啟H.323 ALG功能后，會(huì)在對(duì)應(yīng)用層轉(zhuǎn)換的IP地址及端口進(jìn)行轉(zhuǎn)換的同時(shí)，將其信息進(jìn)行記錄，使其在外部網(wǎng)絡(luò)終端嘗試對(duì)內(nèi)部終端數(shù)據(jù)交換的端口進(jìn)行連接時(shí)，防火墻進(jìn)行協(xié)議識(shí)別，對(duì)后續(xù)相關(guān)協(xié)議報(bào)文執(zhí)行放通策略，從而成功建立傳輸通道。三H.323 ALG的典型應(yīng)用組網(wǎng)四一次基本的H323協(xié)議連接過(guò)

5、程及防火墻處理流程1. 客戶端與服務(wù)器建立TCP三次握手連接2.建立TCP連接之后，主叫終端通過(guò)H.225協(xié)議發(fā)送setup消息至被叫終端，表示主叫方希望建立通話（FW開(kāi)啟了H323 ALG功能）1）內(nèi)網(wǎng)主叫終端抓包報(bào)文2）外網(wǎng)被叫終端抓包報(bào)文由上面2個(gè)報(bào)文可以明顯看出ALG對(duì)協(xié)議應(yīng)用層的數(shù)據(jù)進(jìn)行了處理。3.被叫終端返回CallProceeding給主叫終端，表示被叫終端正在處理。4.被叫終端返回Alerting報(bào)文給主叫終端，表示被叫用戶已被振鈴。1）內(nèi)網(wǎng)主叫終端抓包報(bào)文2）外網(wǎng)被叫終端抓包報(bào)文5.被叫終端返回Connect報(bào)文給主叫終端，表示被叫用戶已摘機(jī)并告知被叫終端已開(kāi)放特定端口來(lái)進(jìn)行

6、下一階段的協(xié)議協(xié)商過(guò)程。1）內(nèi)網(wǎng)主叫終端抓包報(bào)文2）外網(wǎng)被叫終端抓包報(bào)文6.主叫方收到Connect報(bào)文后，進(jìn)入H.245協(xié)商階段，H.245整個(gè)協(xié)商階段包括能力交換、主從確定、打開(kāi)邏輯通道（通道打開(kāi)之后傳輸數(shù)據(jù)）、關(guān)閉邏輯通道、斷開(kāi)H.245TCP連接。1）內(nèi)網(wǎng)主叫終端抓包報(bào)文（TCP三次握手階段）2）內(nèi)網(wǎng)主叫終端抓包報(bào)文（打開(kāi)邏輯通道階段（能力交換、主從確定階段省略）3）外網(wǎng)被叫終端抓包報(bào)文由以上報(bào)文可以看出后續(xù)數(shù)據(jù)傳輸被叫方將使用1503端口來(lái)建立連接。7.通道建立之后，進(jìn)行數(shù)據(jù)傳輸（主叫方將使用多個(gè)端口與被叫方的1503端口進(jìn)行連接來(lái)進(jìn)行視頻、音頻數(shù)據(jù)的傳輸）8.數(shù)據(jù)傳輸完成后（通訊結(jié)

7、束）后，由主叫方發(fā)起EndSessionCommand與ReleaseComplete消息來(lái)釋放連接1） 內(nèi)網(wǎng)主叫方抓包報(bào)文2） 外網(wǎng)被叫終端抓包報(bào)文完成上述報(bào)文交互之后，斷開(kāi)TCP連接，至此已完成整個(gè)H323呼叫流程。注：防火墻會(huì)話如下（與上述抓包無(wú)關(guān)聯(lián)，僅作參考）五H323在防火墻中的幾種應(yīng)用場(chǎng)景1.內(nèi)部終端向外網(wǎng)終端發(fā)起會(huì)話，防火墻做SNAT； 由于h323通話setup消息中被叫方只關(guān)注應(yīng)用層中destCallSignalAdress字段信息（檢查目的IP是否為自己，確認(rèn)其是想要和自己通信）與傳輸層的源IP（主叫方IP），符合以上條件后才會(huì)進(jìn)行后續(xù)協(xié)議協(xié)商；當(dāng)發(fā)起方為內(nèi)部終端時(shí)，目的I

8、P即為被叫終端的IP，不需ALG轉(zhuǎn)換；Netmeeting軟件數(shù)據(jù)傳輸通道都是由主叫方發(fā)起，不存在Untrust到Trust的阻斷問(wèn)題；基于以上兩點(diǎn)，在此種場(chǎng)景下，是否開(kāi)啟ALG都對(duì)其通訊無(wú)影響；但是沒(méi)有開(kāi)啟ALG功能時(shí)，不會(huì)對(duì)setup消息中sourceCallSignalAdress字段的私網(wǎng)IP進(jìn)行轉(zhuǎn)換而將其地址暴露在公網(wǎng)中；2.外網(wǎng)終端向內(nèi)部終端發(fā)起會(huì)話，防火墻做DNAT； 當(dāng)主叫方在外部網(wǎng)絡(luò)時(shí)，若沒(méi)有開(kāi)啟ALG功能，H323的setup消息中字段信息destCallSignalAdress仍為防火墻目的NAT前的IP地址（沒(méi)有轉(zhuǎn)換為私網(wǎng)地址），被叫方在收到該消息后發(fā)現(xiàn)其不是想和自己進(jìn)

9、行通訊，會(huì)直接返回releaseComplete消息來(lái)結(jié)束通訊請(qǐng)求；故在此種應(yīng)用環(huán)境下，必須開(kāi)啟ALG功能才能正常通訊。補(bǔ)充（轉(zhuǎn)）：H.323之童話故事篇說(shuō)了這么多的呼叫流程，大家是不是有些頭暈眼花，沒(méi)有關(guān)系，看了下面的小故事，相信大家對(duì)于H.323一次呼叫過(guò)程就有了比較全面的了解。請(qǐng)看：在H.323的王國(guó)里有許多成員（各種H.323節(jié)點(diǎn)），為了確保這個(gè)王國(guó)的正常運(yùn)轉(zhuǎn)，頌布了許多法令（H.323協(xié)議簇，其中主要有RAS、Q.931、H.245、TCP/IP、RTP/RTCP、UDP），無(wú)論是國(guó)王、還是臣民，大家都嚴(yán)格遵守這些法規(guī)。在這里將介紹H.323王國(guó)最重要的兩個(gè)角色國(guó)王（GK）、臣民（G

10、W）是如何遵照法規(guī)（RAS、Q.931、H.245）通信的。其中國(guó)王與臣民之間的通信遵守RAS協(xié)議，臣民與臣民間的通信遵守Q.931、H.245協(xié)議。首先，臣民（GW）應(yīng)向國(guó)王注冊(cè)。一個(gè)臣民（GW）誕生后，會(huì)使用RAS協(xié)議去尋找自己的國(guó)王（GK），他高聲問(wèn)到：“誰(shuí)是我的國(guó)王請(qǐng)回答我！”，這時(shí)可能會(huì)有一個(gè)或者多個(gè)國(guó)王來(lái)響應(yīng)：“你是我的臣民（GW），到我這里來(lái)注冊(cè)吧，這是我的地址。”，當(dāng)然國(guó)王也可以拒絕臣民（GW）的請(qǐng)求：“你不是我的臣民（GW），別來(lái)煩我?！比绻济瘢℅W）幸運(yùn)地得到了多個(gè)國(guó)王的青睞，他可以選擇一個(gè)國(guó)王并向他注冊(cè)。注冊(cè)成功后，臣民（GW）就可以享受國(guó)王提供的各種服務(wù)（如接入控制、

11、帶寬管理、地址翻譯等功能）。這時(shí)，當(dāng)臣民（GW）與另一臣民（GW）通信時(shí)，不需要知道對(duì)方的地址，只需告訴國(guó)王想要和誰(shuí)通信，國(guó)王會(huì)把對(duì)方的地址找來(lái)給他。對(duì)于那些沒(méi)有找到國(guó)王的臣民（GW）來(lái)說(shuō)就有點(diǎn)慘了，因?yàn)闆](méi)有國(guó)王的幫助，他只能與自己相當(dāng)熟悉的臣民（GW）通信（即知道對(duì)方的地址）。臣民（GW）向國(guó)王注冊(cè)可以有一個(gè)生命期，過(guò)了這個(gè)有效期，臣民（GW）還要再向國(guó)王注冊(cè)。下面看看H.323的國(guó)王與臣民是如何幫助PSTN王國(guó)的臣民通過(guò)IP網(wǎng)相互通信的（即IP電話是如何實(shí)現(xiàn)的）。一個(gè)PSTN王國(guó)的臣民C想通過(guò)IP網(wǎng)送給他遠(yuǎn)方的朋友D一份特別的禮物，他跑去找與自己相熟的H.323王國(guó)的臣民A（GW），并把朋

12、友的電話告訴他，請(qǐng)他幫助通過(guò)IP網(wǎng)找這個(gè)朋友（即一個(gè)PSTN用戶撥打IP電話，呼入GW）。臣民A（GW）看不懂這個(gè)電話號(hào)碼，他應(yīng)該怎么做才能找到那位朋友呢？向國(guó)王（GK）尋求幫助，解析電話號(hào)碼。由于在H.323王國(guó)里是使用IP協(xié)議通信的，所以臣民A（GW）拿到對(duì)方的電話號(hào)碼是沒(méi)有辦法與對(duì)方聯(lián)系的，他只有去尋找與對(duì)方相知的臣民B（目的GW）的地址。于是臣民A（GW）將電話號(hào)碼發(fā)送給他注冊(cè)的國(guó)王（GK），讓國(guó)王幫助尋找臣民B（目的GW）的地址。首先國(guó)王會(huì)對(duì)臣民A（GW）的請(qǐng)求進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，國(guó)王才會(huì)去尋找臣民B（目的GW）的地址。如果國(guó)王不知道臣民B（目的GW）的地址（即這個(gè)GW未在該GK上

13、注冊(cè)），他會(huì)向其它的國(guó)王（GK）詢問(wèn)有誰(shuí)知道臣民B（目的GW）的地址。當(dāng)國(guó)王得到臣民B（目的GW）的地址后，就將該地址（呼叫信令傳輸?shù)刂?目的GW的IP地址+端口號(hào)）發(fā)回給臣民A（GW）。這樣，就可以在這兩個(gè)臣民（GW）間建立聯(lián)系（建立呼叫信令信道，開(kāi)始Q.931協(xié)議流程）。臣民A（GW）告訴臣民B（目的GW）：“我的朋友C有禮物要送給你的朋友D，他的電話是XXX，他在家嗎？（即被叫用戶C是否空閉）”，臣民B（目的GW）趕緊告訴D，別走開(kāi)，有人要送禮物給你（即目的GW提醒被叫用戶，并將該用戶空閉態(tài)置為忙）。然后臣民B（目的GW）通知臣民A（GW）“一切搞掂”（即GWB向GWA發(fā)送CONNECTION消息后），雙方開(kāi)始討論采用什么方式將朋友C的禮物送給朋友D（即開(kāi)始H.245協(xié)議流程，進(jìn)行能力的協(xié)商）。臣民A（GW）說(shuō)：“朋友C的禮物是：播放一首凱利金的GOING HOME薩克斯曲給他聽(tīng)，我可以將這首曲子編輯為CD、VCD兩種格式，你可以解讀嗎？”臣民B（目的GW）：“我這里的設(shè)備還沒(méi)有升級(jí)呢，不好意思目前我只能解讀CD格式的曲子”（這就是H.245中的所謂能力協(xié)商，通過(guò)協(xié)商，獲得雙方都可以接受的語(yǔ)音編解碼類型）。臣民B（目的GW）通知臣民