讓H323協(xié)議輕松穿透防火墻NAT

1、讓H.323協(xié)議輕松穿透防火墻/NAT【摘要】隨著IP網(wǎng)寬帶業(yè)務(wù)的快速發(fā)展，在網(wǎng)絡(luò)上進行多媒體通信，如視頻會議、網(wǎng)絡(luò)電話等應(yīng)用迅速普及。隨著這些技術(shù)的大規(guī)模應(yīng)用，一些現(xiàn)存網(wǎng)絡(luò)的沖突也突顯了出來。比如當(dāng)前一些網(wǎng)絡(luò)實體限制端到端的分組（包）通過，這些實體指的就是防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT）?！娟P(guān)鍵詞】視頻協(xié)議；防火墻；網(wǎng)絡(luò)地址轉(zhuǎn)換；包交換由于IPV4地址的有限以及網(wǎng)絡(luò)安全問題，多數(shù)行業(yè)和單位用戶選擇組建自己內(nèi)部的IP網(wǎng)絡(luò)來進行語音、圖像和數(shù)據(jù)通信。為了確保網(wǎng)絡(luò)安全，通常這些IP網(wǎng)絡(luò)和公網(wǎng)之間都通過NAT、防火墻等設(shè)備連接。這些設(shè)備通常都會對通過它們的IP包按照相關(guān)策略進行過濾，同時對IP地址或

2、端口進行相應(yīng)轉(zhuǎn)換處理，導(dǎo)致基于H.323等協(xié)議的圖像和語音IP包不能夠正常通過。1關(guān)于H.323協(xié)議現(xiàn)在常用的網(wǎng)絡(luò)會議軟件和網(wǎng)絡(luò)電話軟件采用的是國際電信聯(lián)盟（ITU-T）制定的H.323協(xié)議族，其中包括H.225,H.245，Q.931等，另外還有IETF制定的SIP（會話啟動協(xié)議）。SIP協(xié)議采用與http類似的文本命令形式，而且協(xié)議比較簡單，是未來網(wǎng)絡(luò)電話和即時通訊的方向。但由于H.323出現(xiàn)較早，已經(jīng)有很多商業(yè)應(yīng)用，比如微軟的NetMeeting采用的就是比較成熟的H.323,另外中國的電信企業(yè)實施IP電話時也傾向于采用H.323協(xié)議。所以H.323還將會在長時間內(nèi)和SIP同時存在。H.

3、323標準定義了一個在基于分組的網(wǎng)絡(luò)上進行靈活的、實時的、可交互的多媒體通信協(xié)議集。個人計算機能在包交換網(wǎng)絡(luò)（網(wǎng)際網(wǎng)和內(nèi)部網(wǎng)）和電路交換網(wǎng)絡(luò)上傳輸音頻，視頻和數(shù)據(jù)。H.323網(wǎng)絡(luò)包括終端，網(wǎng)關(guān)，網(wǎng)守（Gatekeepe）和多點控制單元（MCU）。2關(guān)于NAT/防火墻按照NAT的定義，內(nèi)部本地地址表示分配給內(nèi)部網(wǎng)絡(luò)中的計算機的IP地址；內(nèi)部合法地址表示對外進行IP通信時，代表一個或多個內(nèi)部本地地址的合法IP地址。為了網(wǎng)絡(luò)的安全性，企業(yè)內(nèi)部網(wǎng)一般都安裝了防火墻，它是一個放置于私有網(wǎng)內(nèi)的設(shè)備，用來保護網(wǎng)絡(luò)資源免受外部的惡意破壞。防火墻總是被配置過濾掉所有不請自到的網(wǎng)絡(luò)通信。3解決H.323協(xié)議NAT

4、/穿透防火墻的幾種方法局域網(wǎng)內(nèi)的終端之間進行呼叫和通信時不會有任何問題，但這些終端與外網(wǎng)終端進行H.323通信時就會有問題產(chǎn)生，原因是局域網(wǎng)中的IP地址是私有的，在Internet中是不可路由的。當(dāng)局域網(wǎng)內(nèi)的終端呼叫外部終端時可以建立連接，但局域網(wǎng)內(nèi)的終端不能收到網(wǎng)外終端發(fā)送的語音和視頻數(shù)據(jù)包；局域網(wǎng)內(nèi)的終端也不能收到網(wǎng)外終端的呼叫。H.323協(xié)議在端設(shè)備與端設(shè)備之間使用IP地址和端口進行數(shù)據(jù)通信，防火墻的安全策略會限制未經(jīng)請求的外部數(shù)據(jù)包進入，阻斷端設(shè)備與端設(shè)備之間的呼叫，就算防火墻打開了一個端口接收到呼叫申請的初始數(shù)據(jù)包，視頻協(xié)議還是會要求動態(tài)分配一些端口用來接收申請呼叫的控制信息和建立音

5、頻、視頻的數(shù)據(jù)通道，除非打開所有防火墻的端口，才可以進行視頻通信，而這時防火墻也就失去了作用。針對H.323協(xié)議的特點和NAT/防火墻的特性，人們提出了不同的解決方案，歸納起來主要有設(shè)置靜態(tài)NAT、擴展協(xié)議方式、升級防火墻支持H.323ALG、隧道方式、H.323代理方式等幾種方式。3.1設(shè)置靜態(tài)NAT當(dāng)在私網(wǎng)中的視頻終端種類和數(shù)量不大，對于自建網(wǎng)中的每臺視頻終端，在防火墻NAT上作網(wǎng)絡(luò)地址轉(zhuǎn)換，將私網(wǎng)地址一對一的映射到公網(wǎng)地址上，在防火墻上指定端口設(shè)置這些地址的開放策略。通過這種方法，自建網(wǎng)內(nèi)部的終端設(shè)備可以和公網(wǎng)、其它自建網(wǎng)之間終端設(shè)備進行互通互聯(lián)。但這種方法存在以下不足和缺陷：視頻終端設(shè)

6、備要有支持靜態(tài)NAT設(shè)置，可以預(yù)先設(shè)置對應(yīng)的公網(wǎng)地址。防火墻公網(wǎng)地址池中IP地址數(shù)要大于等于自建網(wǎng)內(nèi)終端設(shè)備的總數(shù)，任何節(jié)點的防火墻都需要有支持靜態(tài)NAT配置，投入成本比較大。復(fù)雜的防火墻安全策略配置，即要在防火墻上把所有視頻終端的IP地址一對一地做靜態(tài)地址映射，還要把靜態(tài)映射后的公網(wǎng)IP地址對應(yīng)的全部端口打開。3.2擴展協(xié)議方式擴展協(xié)議方式通過在公網(wǎng)上放置一個NATSWITCH設(shè)備，在GK上采用一定的策略，當(dāng)有私有網(wǎng)絡(luò)的端點參于呼叫時，把呼叫轉(zhuǎn)接到NATSWITCH上,通過NATSWITCH和NAT端點的消息交互，實現(xiàn)NATSWITCH和NAT后端點的互通，然后通過NATSWITCH實現(xiàn)私網(wǎng)

7、和公網(wǎng)端點的互通。該方式實現(xiàn)穿透優(yōu)勢如下：在私網(wǎng)內(nèi)的終端沒有進入呼叫狀態(tài)時，只發(fā)送注冊消息，不額外增加NAT設(shè)備的負擔(dān)。和公網(wǎng)的MCU/終端之間采用標準H.323協(xié)議。不修改網(wǎng)絡(luò)結(jié)構(gòu)，兼容各種NAT方式。僅在H.323協(xié)議上擴展，對系統(tǒng)改動小。3.3升級防火墻支持H.323ALG將正在運行的防火墻/NAT升級改造為支持H.323ALG是解決視頻協(xié)議穿透問題的有效途徑。升級改造后的設(shè)備能夠解釋分析H.323協(xié)議內(nèi)容，對H.323協(xié)議的IP碼流可以直接進行包頭、包內(nèi)IP地址轉(zhuǎn)換，并根據(jù)需求動態(tài)打開相關(guān)媒體流的通信端口，在會話結(jié)束后再自動關(guān)閉這些端口。不但證了網(wǎng)絡(luò)安全，還能使多媒體通信正常建立，這種

8、方法存在的不足和缺陷有：所有節(jié)點的防火墻都需要升級，網(wǎng)絡(luò)出口需要改造，投入成本比較大。視頻會議系統(tǒng)需要改造所有網(wǎng)絡(luò)出口，難度較大，且設(shè)備放在用戶網(wǎng)內(nèi)，運營商無法統(tǒng)一維護。3.4隧道方式隧道方式的H.323穿越如圖2所示，服務(wù)器軟件和客戶機軟件?？蛻魴C放在防火墻后的私有網(wǎng)中，它同時起到網(wǎng)守和代理服務(wù)器的作用，自建網(wǎng)內(nèi)的視頻終端連接到客戶機上，客戶機與防火墻外的服務(wù)器建立了控制及信令通道，把所有的呼叫控制信令和注冊信息都轉(zhuǎn)發(fā)到服務(wù)器上，同時把音、視頻數(shù)據(jù)也轉(zhuǎn)發(fā)到服務(wù)器上。在轉(zhuǎn)發(fā)時將內(nèi)部終端發(fā)送的以及外部發(fā)往終端的數(shù)據(jù)包的地址和端口號進行替換。服務(wù)器放在防火墻外的公眾空間，可以位于服務(wù)供應(yīng)商網(wǎng)絡(luò)或者

9、位于企業(yè)網(wǎng)的非保護區(qū)域（DMZ），服務(wù)器扮演網(wǎng)守的角色，從客戶機收到的所有注冊和呼叫信令都被服務(wù)器轉(zhuǎn)發(fā)到中心網(wǎng)守。當(dāng)私網(wǎng)內(nèi)客戶機啟動時，客戶機與服務(wù)器上的偵聽端口建立一個固定連接用來傳送控制和狀態(tài)信息，監(jiān)聽私網(wǎng)內(nèi)H.323網(wǎng)守注冊和請求信息。當(dāng)一個終端啟動時，終端通過客戶機/服務(wù)器之間的連接發(fā)送注冊信息到中心網(wǎng)守，服務(wù)器分配給每一個注冊的終端一個唯一的端口號（與服務(wù)器的IP地址對應(yīng)）。當(dāng)一個終端呼叫防火墻外的另一個終端時，所有的數(shù)據(jù)包都通過客戶機路由到服務(wù)器，返回的數(shù)據(jù)也從服務(wù)器通過客戶機路由回到終端。當(dāng)呼叫被建立后，客戶機確保所有必需的經(jīng)過防火墻的音、視頻通道保持開放，這樣音、視頻數(shù)據(jù)可以通過這些防火墻上開放的通道進行傳輸。使用這種方法IP地址信息可以被很好地屏蔽，因為所有的數(shù)據(jù)包通過服務(wù)器來轉(zhuǎn)發(fā)，每個終端看起來好像直接在和服務(wù)器進行通信，而不是和別的終端，保證了終端的IP地址在網(wǎng)絡(luò)外不可被得到。而且這種方法在大多數(shù)情況下不用對防火墻的配置進行修改。代理方式從使用者的角度看，H.323代理服務(wù)器對用戶、設(shè)備和網(wǎng)絡(luò)是透明的。H.323代理是一個基于H.323