防火墻RTSP協(xié)議處理流程及RTSPALG應(yīng)用

1、一 RTSP協(xié)議概述RTSP(Real-Time Stream Protocol )是一種基于文本的應(yīng)用層協(xié)議，在語法及一些消息參數(shù)等方面，RTSP協(xié)議與HTTP協(xié)議類似。RTSP被用于建立的控制媒體流的傳輸，它為多媒體服務(wù)扮演“網(wǎng)絡(luò)遠(yuǎn)程控制”的角色。盡管有時可以把RTSP控制信息和媒體數(shù)據(jù)流交織在一起傳送，但一般情況RTSP本身并不用于轉(zhuǎn)送媒體流數(shù)據(jù)。媒體數(shù)據(jù)的傳送可通過RTP/RTCP等協(xié)議來完成。二一次基本的RTSP協(xié)議連接過程1. 客戶端與服務(wù)器建立TCP三次握手連接。2. 客戶端連接到流服務(wù)器并發(fā)送一個RTSP描述命令（OPTIONS），詢問S有哪些方法可用（包括DESCRIBE、S

2、ETUP、TEARDOWN、PLAY、PAUSE、OPTIONS、ANNOUNCE、RECORD等）。3. 客戶端繼續(xù)發(fā)送一個RTSP描述命令（DESCRIBE），要求得到S提供的媒體描述信息，流服務(wù)器通過一個SDP描述來進(jìn)行反饋，反饋信息包括流數(shù)量、媒體類型等信息。4. 客戶端再分析該SDP描述，并為會話中的每一個流發(fā)送一個RTSP建立命令(SETUP)，RTSP建立命令告訴服務(wù)器客戶端用于接收媒體數(shù)據(jù)的端口。5. 流媒體連接建立完成后，客戶端發(fā)送一個播放命令(PLAY)，服務(wù)器就開始在UDP上傳送媒體流（RTP包）到客戶端。6. 在播放過程中客戶端還可以向服務(wù)器發(fā)送命令來控制快進(jìn)、快退和暫

3、停等。最后，客戶端可發(fā)送一個終止命令(TERADOWN)來結(jié)束流媒體會話。三、簡單的RTSP消息交互過程C表示RTSP客戶端,S表示RTSP服務(wù)端1. 第一步：查詢服務(wù)器端可用方法 1.C-S:OPTION request /詢問S有哪些方法可用1.S-C:OPTION response /S回應(yīng)信息的public頭字段中包括提供的所有可用方法2. 第二步：得到媒體描述信息2.C-S:DESCRIBE request /要求得到S提供的媒體描述信息2.S-C:DESCRIBE response /S回應(yīng)媒體描述信息，一般是sdp信息3. 第三步：建立RTSP會話3.C-S:SETUP requ

4、est /通過Transport頭字段列出可接受的傳輸選項，請求S建立會話3.S-C:SETUP response /S建立會話，通過Transport頭字段返回選擇的具體轉(zhuǎn)輸選項，并返回建立的Session ID;4. 第四步：請求開始傳送數(shù)據(jù)4.C-S:PLAY request /C請求S開始發(fā)送數(shù)據(jù)4.S-C:PLAY response /S回應(yīng)該請求的信息5. 第五步：數(shù)據(jù)傳送播放中S-C:發(fā)送流媒體數(shù)據(jù) / 通過RTP協(xié)議傳送數(shù)據(jù)6. 第六步：關(guān)閉會話，退出6.C-S:TEARDOWN request /C請求關(guān)閉會話6.S-C:TEARDOWN response/S回應(yīng)該請求上述的

5、過程只是標(biāo)準(zhǔn)的、友好的rtsp流程，但實際的需求中并不一定按此過程。其中第三和第四步是必需的！第一步，只要服務(wù)器客戶端約定好，有哪些方法可用，則option請求可以不要。第二步，如果我們有其他途徑得到媒體初始化描述信息（比如http請求等等），則我們也不需要通過rtsp中的describe請求來完成。四、防火墻處理RTSP協(xié)議的幾種應(yīng)用場景1. 包過濾正向（Trust-Untrust）只放通TCP554端口，三層源NAT，不開啟RTSP ALG。數(shù)據(jù)轉(zhuǎn)發(fā)過程：1）PC-Server發(fā)起TCP三次握手連接，建立RTSP 554端口的控制連接。 2）Server-PC發(fā)送UDP視頻音頻流數(shù)據(jù)。3）

6、防火墻包過濾阻斷該數(shù)據(jù)流，Server沒有收到PC返回的確認(rèn)包，重新開始協(xié)商控制連接，連接建立后使用TCP來進(jìn)行視頻音頻流的傳輸（此時PC播放視頻時會先卡頓510S后再出現(xiàn)視頻數(shù)據(jù)，播放時會卡），此時TCP傳輸數(shù)據(jù)。2. 包過濾正向只放通TCP554端口，三層源NAT，開啟RTSP ALG。 數(shù)據(jù)轉(zhuǎn)發(fā)過程：1）PC-Server發(fā)起TCP三次握手連接，建立RTSP 554端口的控制連接，此時防火墻RTSP ALG記錄NAT 會話，后臺添加放通TCP協(xié)商的UDP數(shù)據(jù)端口策略。 2）Server-PC發(fā)送UDP視頻音頻流數(shù)據(jù)，防火墻放通，此時UDP傳輸數(shù)據(jù)。3.包過濾正反向全放通，三層源NAT，不

7、開啟RTSP ALG。數(shù)據(jù)轉(zhuǎn)發(fā)過程：1）PC-Server發(fā)起TCP三次握手連接，建立RTSP 554端口的控制連接。 2）Server-PC發(fā)送UDP視頻音頻流數(shù)據(jù)。 3）Server端發(fā)送UDP數(shù)據(jù)的目的地址與端口為防火墻公網(wǎng)出接口的IP地址，由于沒有開啟RTSP ALG功能，不會根據(jù)控制連接的NAT會話來將目的防火墻的IP轉(zhuǎn)換為PC的IP，從而數(shù)據(jù)無法送達(dá)PC，UDP傳輸數(shù)據(jù)失敗。 4）Server端收不到PC已收到UDP音頻視頻數(shù)據(jù)的確認(rèn)包，將控制連接Teardown后重新建立連接，使用TCP進(jìn)行數(shù)據(jù)傳輸4.包過濾正反向全放通，三層源NAT，開啟RTSP ALG。（同2）5.二層透明，

8、包過濾正反向全放通，開啟/不開啟RTSP ALG。（二層不涉及ALG）Server-防火墻-Internet-ClientIP：22 SNAT后IP：48 IP： DNAT前IP：51目的NAT下開啟RTSP的防火墻會話sh session list ipv4 dst-ip 51TCP TCP_NS_ESTABLISHED,left_time:386s,:63997=51:554, packet=7, bytes=1047REPLY

9、 22:554=:63997, packet=5, bytes=1360sh session list ipv4 dst-ip UDP,left_time:119s,22:6971=:52753, packet=44, bytes=4122REPLY :52753=51:6971, packet=41, bytes=4182UDP,left_time:119s,22:6970=:52752,

10、 packet=, bytes=REPLY :52752=51:6970, packet=0, bytes=0目的NAT下關(guān)閉RTSP的防火墻會話sh session list ipv4 dst-ip 51TCP TCP_NS_ESTABLISHED,left_time:588s,:64336=51:554, packet=7, bytes=1117REPLY 22:554=:64336, packet=5, bytes=1417sh session list ipv4 dst-ip UDP,left_time:104s,22:6971=:51459, packet=14, bytes=1302REPLY :51459=