讓H323協(xié)議輕松穿透防火墻NAT

1、讓H.323協(xié)議輕松穿透防火墻/NAT【摘要】隨著IP網(wǎng)寬帶業(yè)務(wù)的快速發(fā)展，在網(wǎng)絡(luò)上進(jìn)行多媒體通信，如視頻會(huì)議、網(wǎng)絡(luò)電話等應(yīng)用迅速普及。隨著這些技術(shù)的大規(guī)模應(yīng)用，一些現(xiàn)存網(wǎng)絡(luò)的沖突也突顯了出來(lái)。比如當(dāng)前一些網(wǎng)絡(luò)實(shí)體限制端到端的分組（包）通過(guò)，這些實(shí)體指的就是防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT）?！娟P(guān)鍵詞】視頻協(xié)議；防火墻；網(wǎng)絡(luò)地址轉(zhuǎn)換；包交換由于IPV4地址的有限以及網(wǎng)絡(luò)安全問(wèn)題，多數(shù)行業(yè)和單位用戶選擇組建自己內(nèi)部的IP網(wǎng)絡(luò)來(lái)進(jìn)行語(yǔ)音、圖像和數(shù)據(jù)通信。為了確保網(wǎng)絡(luò)安全，通常這些IP網(wǎng)絡(luò)和公網(wǎng)之間都通過(guò)NAT、防火墻等設(shè)備連接。這些設(shè)備通常都會(huì)對(duì)通過(guò)它們的IP包按照相關(guān)策略進(jìn)行過(guò)濾，同時(shí)對(duì)IP地址或

2、端口進(jìn)行相應(yīng)轉(zhuǎn)換處理，導(dǎo)致基于H.323等協(xié)議的圖像和語(yǔ)音IP包不能夠正常通過(guò)。1關(guān)于H.323協(xié)議現(xiàn)在常用的網(wǎng)絡(luò)會(huì)議軟件和網(wǎng)絡(luò)電話軟件采用的是國(guó)際電信聯(lián)盟（ITU-T）制定的H.323協(xié)議族，其中包括H.225,H.245，Q.931等，另外還有IETF制定的SIP（會(huì)話啟動(dòng)協(xié)議）。SIP協(xié)議采用與http類似的文本命令形式，而且協(xié)議比較簡(jiǎn)單，是未來(lái)網(wǎng)絡(luò)電話和即時(shí)通訊的方向。但由于H.323出現(xiàn)較早，已經(jīng)有很多商業(yè)應(yīng)用，比如微軟的NetMeeting采用的就是比較成熟的H.323,另外中國(guó)的電信企業(yè)實(shí)施IP電話時(shí)也傾向于采用H.323協(xié)議。所以H.323還將會(huì)在長(zhǎng)時(shí)間內(nèi)和SIP同時(shí)存在。H.

3、323標(biāo)準(zhǔn)定義了一個(gè)在基于分組的網(wǎng)絡(luò)上進(jìn)行靈活的、實(shí)時(shí)的、可交互的多媒體通信協(xié)議集。個(gè)人計(jì)算機(jī)能在包交換網(wǎng)絡(luò)（網(wǎng)際網(wǎng)和內(nèi)部網(wǎng)）和電路交換網(wǎng)絡(luò)上傳輸音頻，視頻和數(shù)據(jù)。H.323網(wǎng)絡(luò)包括終端，網(wǎng)關(guān)，網(wǎng)守（Gatekeepe）和多點(diǎn)控制單元（MCU）。2關(guān)于NAT/防火墻按照NAT的定義，內(nèi)部本地地址表示分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的IP地址；內(nèi)部合法地址表示對(duì)外進(jìn)行IP通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法IP地址。為了網(wǎng)絡(luò)的安全性，企業(yè)內(nèi)部網(wǎng)一般都安裝了防火墻，它是一個(gè)放置于私有網(wǎng)內(nèi)的設(shè)備，用來(lái)保護(hù)網(wǎng)絡(luò)資源免受外部的惡意破壞。防火墻總是被配置過(guò)濾掉所有不請(qǐng)自到的網(wǎng)絡(luò)通信。3解決H.323協(xié)議NAT

4、/穿透防火墻的幾種方法局域網(wǎng)內(nèi)的終端之間進(jìn)行呼叫和通信時(shí)不會(huì)有任何問(wèn)題，但這些終端與外網(wǎng)終端進(jìn)行H.323通信時(shí)就會(huì)有問(wèn)題產(chǎn)生，原因是局域網(wǎng)中的IP地址是私有的，在Internet中是不可路由的。當(dāng)局域網(wǎng)內(nèi)的終端呼叫外部終端時(shí)可以建立連接，但局域網(wǎng)內(nèi)的終端不能收到網(wǎng)外終端發(fā)送的語(yǔ)音和視頻數(shù)據(jù)包；局域網(wǎng)內(nèi)的終端也不能收到網(wǎng)外終端的呼叫。H.323協(xié)議在端設(shè)備與端設(shè)備之間使用IP地址和端口進(jìn)行數(shù)據(jù)通信，防火墻的安全策略會(huì)限制未經(jīng)請(qǐng)求的外部數(shù)據(jù)包進(jìn)入，阻斷端設(shè)備與端設(shè)備之間的呼叫，就算防火墻打開了一個(gè)端口接收到呼叫申請(qǐng)的初始數(shù)據(jù)包，視頻協(xié)議還是會(huì)要求動(dòng)態(tài)分配一些端口用來(lái)接收申請(qǐng)呼叫的控制信息和建立音

5、頻、視頻的數(shù)據(jù)通道，除非打開所有防火墻的端口，才可以進(jìn)行視頻通信，而這時(shí)防火墻也就失去了作用。針對(duì)H.323協(xié)議的特點(diǎn)和NAT/防火墻的特性，人們提出了不同的解決方案，歸納起來(lái)主要有設(shè)置靜態(tài)NAT、擴(kuò)展協(xié)議方式、升級(jí)防火墻支持H.323ALG、隧道方式、H.323代理方式等幾種方式。3.1設(shè)置靜態(tài)NAT當(dāng)在私網(wǎng)中的視頻終端種類和數(shù)量不大，對(duì)于自建網(wǎng)中的每臺(tái)視頻終端，在防火墻NAT上作網(wǎng)絡(luò)地址轉(zhuǎn)換，將私網(wǎng)地址一對(duì)一的映射到公網(wǎng)地址上，在防火墻上指定端口設(shè)置這些地址的開放策略。通過(guò)這種方法，自建網(wǎng)內(nèi)部的終端設(shè)備可以和公網(wǎng)、其它自建網(wǎng)之間終端設(shè)備進(jìn)行互通互聯(lián)。但這種方法存在以下不足和缺陷：視頻終端設(shè)

6、備要有支持靜態(tài)NAT設(shè)置，可以預(yù)先設(shè)置對(duì)應(yīng)的公網(wǎng)地址。防火墻公網(wǎng)地址池中IP地址數(shù)要大于等于自建網(wǎng)內(nèi)終端設(shè)備的總數(shù)，任何節(jié)點(diǎn)的防火墻都需要有支持靜態(tài)NAT配置，投入成本比較大。復(fù)雜的防火墻安全策略配置，即要在防火墻上把所有視頻終端的IP地址一對(duì)一地做靜態(tài)地址映射，還要把靜態(tài)映射后的公網(wǎng)IP地址對(duì)應(yīng)的全部端口打開。3.2擴(kuò)展協(xié)議方式擴(kuò)展協(xié)議方式通過(guò)在公網(wǎng)上放置一個(gè)NATSWITCH設(shè)備，在GK上采用一定的策略，當(dāng)有私有網(wǎng)絡(luò)的端點(diǎn)參于呼叫時(shí)，把呼叫轉(zhuǎn)接到NATSWITCH上,通過(guò)NATSWITCH和NAT端點(diǎn)的消息交互，實(shí)現(xiàn)NATSWITCH和NAT后端點(diǎn)的互通，然后通過(guò)NATSWITCH實(shí)現(xiàn)私網(wǎng)

7、和公網(wǎng)端點(diǎn)的互通。該方式實(shí)現(xiàn)穿透優(yōu)勢(shì)如下：在私網(wǎng)內(nèi)的終端沒(méi)有進(jìn)入呼叫狀態(tài)時(shí)，只發(fā)送注冊(cè)消息，不額外增加NAT設(shè)備的負(fù)擔(dān)。和公網(wǎng)的MCU/終端之間采用標(biāo)準(zhǔn)H.323協(xié)議。不修改網(wǎng)絡(luò)結(jié)構(gòu)，兼容各種NAT方式。僅在H.323協(xié)議上擴(kuò)展，對(duì)系統(tǒng)改動(dòng)小。3.3升級(jí)防火墻支持H.323ALG將正在運(yùn)行的防火墻/NAT升級(jí)改造為支持H.323ALG是解決視頻協(xié)議穿透問(wèn)題的有效途徑。升級(jí)改造后的設(shè)備能夠解釋分析H.323協(xié)議內(nèi)容，對(duì)H.323協(xié)議的IP碼流可以直接進(jìn)行包頭、包內(nèi)IP地址轉(zhuǎn)換，并根據(jù)需求動(dòng)態(tài)打開相關(guān)媒體流的通信端口，在會(huì)話結(jié)束后再自動(dòng)關(guān)閉這些端口。不但證了網(wǎng)絡(luò)安全，還能使多媒體通信正常建立，這種

8、方法存在的不足和缺陷有：所有節(jié)點(diǎn)的防火墻都需要升級(jí)，網(wǎng)絡(luò)出口需要改造，投入成本比較大。視頻會(huì)議系統(tǒng)需要改造所有網(wǎng)絡(luò)出口，難度較大，且設(shè)備放在用戶網(wǎng)內(nèi)，運(yùn)營(yíng)商無(wú)法統(tǒng)一維護(hù)。3.4隧道方式隧道方式的H.323穿越如圖2所示，服務(wù)器軟件和客戶機(jī)軟件?？蛻魴C(jī)放在防火墻后的私有網(wǎng)中，它同時(shí)起到網(wǎng)守和代理服務(wù)器的作用，自建網(wǎng)內(nèi)的視頻終端連接到客戶機(jī)上，客戶機(jī)與防火墻外的服務(wù)器建立了控制及信令通道，把所有的呼叫控制信令和注冊(cè)信息都轉(zhuǎn)發(fā)到服務(wù)器上，同時(shí)把音、視頻數(shù)據(jù)也轉(zhuǎn)發(fā)到服務(wù)器上。在轉(zhuǎn)發(fā)時(shí)將內(nèi)部終端發(fā)送的以及外部發(fā)往終端的數(shù)據(jù)包的地址和端口號(hào)進(jìn)行替換。服務(wù)器放在防火墻外的公眾空間，可以位于服務(wù)供應(yīng)商網(wǎng)絡(luò)或者

9、位于企業(yè)網(wǎng)的非保護(hù)區(qū)域（DMZ），服務(wù)器扮演網(wǎng)守的角色，從客戶機(jī)收到的所有注冊(cè)和呼叫信令都被服務(wù)器轉(zhuǎn)發(fā)到中心網(wǎng)守。當(dāng)私網(wǎng)內(nèi)客戶機(jī)啟動(dòng)時(shí)，客戶機(jī)與服務(wù)器上的偵聽端口建立一個(gè)固定連接用來(lái)傳送控制和狀態(tài)信息，監(jiān)聽私網(wǎng)內(nèi)H.323網(wǎng)守注冊(cè)和請(qǐng)求信息。當(dāng)一個(gè)終端啟動(dòng)時(shí)，終端通過(guò)客戶機(jī)/服務(wù)器之間的連接發(fā)送注冊(cè)信息到中心網(wǎng)守，服務(wù)器分配給每一個(gè)注冊(cè)的終端一個(gè)唯一的端口號(hào)（與服務(wù)器的IP地址對(duì)應(yīng)）。當(dāng)一個(gè)終端呼叫防火墻外的另一個(gè)終端時(shí)，所有的數(shù)據(jù)包都通過(guò)客戶機(jī)路由到服務(wù)器，返回的數(shù)據(jù)也從服務(wù)器通過(guò)客戶機(jī)路由回到終端。當(dāng)呼叫被建立后，客戶機(jī)確保所有必需的經(jīng)過(guò)防火墻的音、視頻通道保持開放，這樣音、視頻數(shù)據(jù)可以通過(guò)這些防火墻上開放的通道進(jìn)行傳輸。使用這種方法IP地址信息可以被很好地屏蔽，因?yàn)樗械臄?shù)據(jù)包通過(guò)服務(wù)器來(lái)轉(zhuǎn)發(fā)，每個(gè)終端看起來(lái)好像直接在和服務(wù)器進(jìn)行通信，而不是和別的終端，保證了終端的IP地址在網(wǎng)絡(luò)外不可被得到。而且這種方法在大多數(shù)情況下不用對(duì)防火墻的配置進(jìn)行修改。代理方式從使用者的角度看，H.323代理服務(wù)器對(duì)用戶、設(shè)備和網(wǎng)絡(luò)是透明的。H.323代理是一個(gè)基于H.323