防火墻H323協(xié)議處理流程及H323-ALG應(yīng)用

H.323協(xié)議簡介

H.323協(xié)議簇是ITU的一個標(biāo)準(zhǔn)協(xié)議棧，它是一個有機(jī)的整體，根據(jù)功能可以將它分為

4類協(xié)議，也就是說該協(xié)議從系統(tǒng)的總體框架（H.323）、視頻編解碼（H.263）、音頻編解碼

（G.723.1）、系統(tǒng)控制（H.245）、數(shù)據(jù)流的復(fù)用（H.225）等各方面作了比較詳細(xì)的規(guī)定。

H323系統(tǒng)中的信息流是視頻、音頻和控制消息的組合。系統(tǒng)控制的協(xié)議包括H.323、

H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要組成部分。整個系統(tǒng)控制由

H.245控制信道、H225.0呼叫信令信道和RAS（注冊、許可、狀態(tài)）信道提供。

H.225它主要處理傳輸路徑問題，描述了如何操作網(wǎng)絡(luò)包上的視頻、音頻、數(shù)據(jù)和控制

信息使其提供H.323裝備會話服務(wù)。H.225主要有兩個部分：呼叫信令和RAS（注冊、

接入允許和狀態(tài)）。H.225詳細(xì)定義了Q.931信令信息的使用和支持。在IP網(wǎng)絡(luò)的TCP

端口1720需要創(chuàng)建一個可靠的TCP呼叫控制信道，該端口完成Q.931呼叫控制信息的初

始化，從而實(shí)現(xiàn)連接、維持和呼叫分離功能。

H.245是H.323多媒體通信體系中的控制信令協(xié)議，其主要用于處于通信中的H.323

終點(diǎn)或終端間的端到端H.245信息交換。H.245制定了一個控制信道分段和重新裝配的協(xié)

議層（CCSRL，ControlChannelSegmentationandReassemblyLayer），它可以在易出

錯環(huán)境下保證應(yīng)用的可靠性。H.245提供了一種功能交換的功能，它支持兩端設(shè)備通過協(xié)商

確定一組通用的功能集。

二．防火墻H.323ALG功能簡介

當(dāng)內(nèi)部網(wǎng)絡(luò)的H.323終端穿越防火墻與公網(wǎng)上的H.323終端進(jìn)行通信時，由于NAT功

能只能將傳輸層的IP及端口進(jìn)行轉(zhuǎn)換，無法對H.323協(xié)議應(yīng)用層攜帶的內(nèi)部數(shù)據(jù)進(jìn)行轉(zhuǎn)換，

應(yīng)用層中內(nèi)部數(shù)據(jù)直接被轉(zhuǎn)發(fā)至公網(wǎng)，后續(xù)協(xié)議信息處理時會出現(xiàn)問題；而H323ALG則可

以實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)轉(zhuǎn)換，協(xié)議數(shù)據(jù)發(fā)至Internet時，將其應(yīng)用層內(nèi)部信息轉(zhuǎn)換成公網(wǎng)信息，

實(shí)現(xiàn)完全隱藏內(nèi)部終端達(dá)到通信正常的目的。

另外，應(yīng)用防火墻一般只開放特定端口的數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，H.323協(xié)議屬于多通道協(xié)

議，控制連接使用端口1720,數(shù)據(jù)交換使用端口為臨時協(xié)商，無法事先預(yù)知，若無ALG功能，協(xié)商出數(shù)據(jù)交換通道所用端口后，外部網(wǎng)絡(luò)終端嘗試對內(nèi)部終端數(shù)據(jù)交換的端口進(jìn)行連

接時，防火墻會對其進(jìn)行阻斷，從而數(shù)據(jù)傳輸通道無法建立；開啟H.323ALG功能后，會在對應(yīng)用層轉(zhuǎn)換的IP地址及端口進(jìn)行轉(zhuǎn)換的同時，將其信息進(jìn)行記錄，使其在外部網(wǎng)絡(luò)終端嘗試對內(nèi)部終端數(shù)據(jù)交換的端口進(jìn)行連接時，防火墻進(jìn)行協(xié)議識別，對后續(xù)相關(guān)協(xié)議報文執(zhí)行放通策略，從而成功建立傳輸通道。

三.H.323ALG的典型應(yīng)用組網(wǎng)

H323終端2:172,30158.100

四.一次基本的H323協(xié)議連接過程及防火墻處理流程

.客戶端與服務(wù)器建立TCP三次握手連接

?1nr^ii

OrsTi+rtryv

?■鼠曬沖■

1L1M3.99

17230.156.U?

KP

⑻r也空獨(dú)逆叵9II[刑5Hbp卡?“林Lariimss-i堀

■

l(LCC玳

172.H1.DBilQO

11.1L1L99

KP

hjjfDSt^>2msH”◎」5tq=.*1，r⑹班L&F略％廠汕

-n而基苒

U1〕1'QC

1二打

TCP

BdrtK.fds>軸內(nèi)hNtcallTxifl物中1"k*l雷n>6i?gIwho

4Q.%fll!

LIT」，的

1記知1照1調(diào)

KP

[HP$弱聯(lián)ntata-阮it%施t]

5C.2DN14

廠，XU通】見

口」乙7耶

KP

h丑mlwsHall?caJr?_fds[ack]5?q=lMk=5*iM5531LB>=fl

60.20B867

11.1M3J9

17230.1S8,100

H.225.0

C5：setup

?0,147539

17I.1G,1S8.100

9

TtP

[TCP弓/ti2ntofir&asstTT^dPDU]

￡西

ILlhia.DS

-2.抵1M1B

TCP

匚edrcEjfd當(dāng)$hW21hCst￡il】(ACK]S^q=227Atk=5toin=€1216Len=0

g0.412926

172.30,156.1M

11.12.13.K

H.U5.0

<5：Alerting

1：0.(13754

11.1；.13.99

17230.1U,100

TCP

&drasJ加>帕上加5Lta111鼠k]“(|=U：?.k=i4jdn=4419Tlbt>0

ii5.乳區(qū)gg

mi限

9

TCP

[TCPSKiem肝i”拈*rtf時PX]

125.9444U

11.1M3.99

D2JQ.1H.1C0

TCP

tdrM.fds>h32Jhastull5mq恥k-JL?i>：

as.圳

9

H.喏,0

C￡：connect

ITOTST7?

IEI23I39

17T3TO5TX)

KP

oirtgsvc>ripp區(qū)闈如就訝n=5H」QLen^O*55-1460

-Frane1(配b/tsonwire.Kbytes匚叩ard)

-El帕儂II,5TC：W值;濕閑密;?:見聞.DSCH叫2hDUM位洌(DO；掰;1G陽㈱即

￥:PrnrtKDLSrc：1L1L1L第(口，1?口3).Dst：1□，哂,1翎「叩

弓開ansri打ior口ntplProtMol,Src3an:zedros.fds(iUD),KtPart:hSJJhostull(r20)iSeq:G.Len;0

.建立TCP連接之后，主叫終端通過H.225協(xié)議發(fā)送setup消息至被叫終端，表示主叫方希望建立通話（FW開啟了H323ALG功能）

1）內(nèi)網(wǎng)主叫終端抓包報文

T7TT

(JFT：；111P.KJ

:;SI4口-1■MIT小

TC=

fi■二T亨.T丹nt__a,■■,g

L與.以皂百，三iE「史丁

=DL

,WWW

&丑與我1舞?珅

I卯中Yi1L/CK.

mq<L

ai5T

■IF

(531

為arm

血￡:

「下二口?-B5：E5a*ibT￡dP口u1

LJ-1

m—0口

rrFr*ne2536衣隨byre5o^iwire.??nEyrescaprjredJ

EEthErnEtIITarc：10i：Oc：2Q：E3：20：la(ia：Oc：2?：e3：.2O：lai.Bst：Hang赤心現(xiàn)時5flQO:部二ac田町「：?<

e■勺netPrat.13.弊01.12.15.-加,153.idQCPS.M0.15<.

El?ArBilsrlonControlPrttacDl,3rrPort：.TYiiw(J7S1],6rtPm:h我站wtcall(1720),St中,「Adti1,Lei，33J

i；[F^u.：tflL1■.■,TCPSe^-tn.i.t2?6hyti...；，H設(shè)Hj.#；SS6：232J]

itTPKT,LLengik:h?

bq.i?

EH.?25.UCS

EH323-Userjinfgrrnsfipn

-h325-4ju-jpclu

Bh3i3-neS54ge-hcdy；5&tup(Oj

~二世卬

prmacalidferri*ff1tr:D.o.a.iz^.o.a(vetstonQ

*auEiAMrsas：Litm

i^ralifg3加s口口「到干一用武€鷲；而聞全電533)

-Ip^ddress；

1p5172.JfiLlSfi.lM(172.MltB.L0a)

■】n向他上書展提帶地址

port:1720

。i-rT^iusC:槨M

；?巾￡『/』二口：siTOTCTEsrasn^BFnEHWsswi

h「廣而目"氣既迎］：:已（0）

：calliypeipQirtr&PoTnt(0>

；_c-iif?產(chǎn)4-lTTcHnrUrx±■*7EthernetTipStc；HanqzhnMtt;fa=4?(00;24;ac;*t：6i；-<?i)i&5t；Vmari5c；*i7> 5c；Oc；7b?

士lHtmrnEtrrmflcclversion4Psre:i72.3D.15&.241(172.30.1SA.24.1),oat;1721.M.15A_lDa(172.Jd.15ft.IM)

?Mrsfflsslortanrral^r&TKol,s^￡P(guān)arr:我快呷?！甏螂妑xCJ74fl).Mtport:hJ^shosteall(K2<01建q；Lack；l,l?h2J2

■l[?RtirS5wbTfdTCP就即門喧3Q新“tqG；n?9X<)-rtifiSCU?)]

tpbtt,^r￡lon!1,Lenqxh：2IS

占Q.931

SH.22k?CS

Hlju-ustT工rrforMl1an

-hJ2J-uu-pdu

hn/陳".卯-bwly； 口CO)

■srtiip

prcncgcoTldeHiiFi^r:g.g.3^250.0^3以學(xué)才訕「R

sourtieiid.dreS'S.;1iten

IdIIM01

h』11“對打”手；所混】?loCD用23-ro；中mhldpt電chi

jSDkrceinffiDi

diitCtHiigmiAMriii:TpMOrtsj[gj

□刖國本既寫 Mumet上忙？溫卿也址

1p^L?2.iD,158.1M(172.10-156,100)fnart:1/2&

ccnfereiKesQi：st口齒1353-皿田T73-%ff?e44e29d592a7

-ccrtf€rerzEGoal.create[0)

?cjllT>pe.時向1■卅sRCO)

一耳。山一「。1口321工國產(chǎn)半三/Jjpaddtf^5(Ql_

'片「"之卻C1723CU5LM1) A。vr號由。H—

pyti176a

c■rimrYnz:

?=-1l"r

Eijwld^ass

__柬同hK贄制比

'禺LL,12,1kWClt.l2,12.t*>：i

part:JJ51

FCdll]dl￡ritifricF

Q+i-Tk/如飛1TFK5尸ECT：

tL?r￡vgrl^p5end;FiIsb

trmnsr^nriirdcail

2）外網(wǎng)被叫終端抓包報文

Fitpr:ip』ddr==EH.SCl1$&10C

▼±iprHHDn..CJeat

App!savr

No.Tme

Suite

DwtinBliair

PthdcbII

im

12#S,SKI33

172r^.l^.ZH

r九邦」。札i叩

RP

司cftEEU罩EiEt-h323ba5tcal1

g]

5eq-l

Atk-1

ftiin-t42J0Len-C

MMOl騏

m.10.1SL3U

?F

[TEPAr1ed

徹）

iifd

177.1^】工營1JL1I

Tf&

hl?IKa?traill-ajir#w4_scliaFfr

m

5例」

ACk=5

誠n=6*”Ltn-p

11九如i汛2n

172.?.158,100

^^l-J25-JLC5;set,|

172.M.158.1K3

172.3?_15B_341

ItF

Tt^FsemertoFareisseftled

FOU]

口Friff“1K$:feyi”的盟「*口工&3匕1口】?￡■$引心《叩工■/小〔葭我bk”

由上面2個報文可以明顯看出ALG對協(xié)議應(yīng)用層的數(shù)據(jù)進(jìn)行了處理

.被叫終端返回CallProceeding給主叫終端，表示被叫終端正在處理

.被叫終端返回Alerting報文給主叫終端，表示被叫用戶已被振鈴

1）內(nèi)網(wǎng)主叫終端抓包報文

百孰2g9配99171s.mH.225.0CS：SHENSI

7Q,74T539-">鄉(xiāng)口」鉆jCKJllrl?eU.WTcp[tufse^merrofarFa^senbledrau]

I■凱。1療孑tMSgtWg.M.IWJSflrrrFEiliLHjLlBj[?￡]Seq-217山匚fc-5tf1n-M23fiun-d

inn,gl青-7E111/TTMJ,TTII*F1TlSBIfUlTTEl4!■,,：aJirhc+fc~、[[[Mt]5*^=刁37*總廠&1

111alfrfSg1?2,lo.ljS.lOdllJLiL典tcpPtcpi&onrtrtofim融nfc1“poj!

EfJlW9〔9：忖電斗口力Kir*.9ybyE於北即/射廠“]

Ft■卜frriFTri?Src::6a:W(nqe^4:acsRflrn.g:SO)pOst：10:我二胃9:?露U』(1Drace?A:*3：?p：la)

-mInternerProtocol,.Src：串為JkAg(U工門口4M.iW).D?t：imj泰褒(口鼻￡+1露991

TTdfl^filssiancamrolFrottKolHsrcPtK'r.Eh322ho3.cc.dll￡172D)Bcslpdfi:!c.ed"as_fds(illOj.seq:5,Ack：227aLenti9

2[ReisbMibleditP^egnerft￡(41byces):訂(』)串rt(3S)]

>3Tpkt.V?rsii9psLength:43

-Q.@J1

日Hr2Z5--D€5

hhJ2J-L5esrlfifornation

hmuu-|jm

Bh&U-廨與“陰-bo的：alerilng(1)

匕allortinq

protciicclIdentifier;。?6&225必露2[yersiwi2J

ttrivinil

.。一■r.ifiCEFalse

..CL一一ij^Kleflined^Qde:False

3cal11d?ntiff>sr

quid.b9/序加SW7-UMy*?x*bM*d

2）外網(wǎng)被叫終端抓包報文

Filter:ipjaddr=-=DO卜1m!sE0r.￡I~t入內(nèi)Sa?ff

ftto.

Time

Taurus-

口ettrHl沁n

PtabacEil

Ifire

3訓(xùn)

?u中TV。*

上F￡「」口一5—

1L產(chǎn)

tLf-七51虻，七4.FLJ-_bl】iIfJ-nuj

1114

372.1D.15O.1M

TCP

hil23hartGill又cedrcs.fdi[*CKJ5凹力討d-5/口?65、31Wm。

1115

———二?改1

1m汕L”?Lg

H.呢。聞

C5;serup

1119

九E3P黑口

l?ZuJD-lta.lLD

1%—L5D1

TCP

Lt'.i-巨方匯5t立r￡35sentlea-LU.

1XU

了“濫啦

:時…1

inaIM

isn

1tai蓊0“111Ei]叼q"JiCh*5irfl^6423*5L.2

口427.*鮑8通372-30-158,lW1個■沁H.JZ5.0C5；aleHing

ULF3FWMLIHETT.3B.±3aLIFM.13BLL"TCP5山W_『山，【AC/%%=￡$，Act=44Wl0=^4137LEH=a

2Mlm淖SMg172-10.158.IM172.30.1i6.541MP[TCP打如幽mdf血Ffea"曰ib〕MfCjD]

12.01113637?.i0.1SS.]?1目■部.1.、氏L8一"fdi上MM箝hmtc”RJCK"!Ack-4SWfn-?4LQ3UbfwQ

uiwirnKpraiKDlwilcn4,srciL73.iQ-.i5a.ibDdies373.io.isfl.i4i(m.aionn.i4i)

tTransfBTssiaricontrolPrctCKDlf5TcPort.hJJ^hmcallwt叫「t：?edr^5.fd^(4L40)asea;5■Ack：257.Len;N

-[zReassEntlerlicpserireritsbytes)￡.*111.9^),*ULd?C39j]

TFKT-VtriUn："L"igU力l

diH.ZZ5,C'C5

ti323^us-erinr2Drr^tIon

Bh睚$TUr中du

-hSZ？-nessaiiP-fccid^^alerting.J

dalerElng

prococDlEdancIf1?r：Cl九ALSma機(jī)工(產(chǎn)―Ion,

一"ie51initicninfo

T&rnrfnal

?H…—?匚：Fal￡e

、Q..，a?idrndefintElmBd?:Filia

Bill蚓ti"HET

gurt日：bi@asEte-bsde-saji-:erba4<Eiaf^d

5.被叫終端返回Connect報文給主叫終端，表示被叫用戶已摘機(jī)并告知被叫終端已開放特定

端口來進(jìn)行下一階段的協(xié)議協(xié)商過程。

1)內(nèi)網(wǎng)主叫終端抓包報文

11^J.

g：M&妙

172?W?15SJ1M

■12.13.M

TCP2EJLB

[tcpscgAeriiofare^s€mbfedpel11

5,W就注

心門門汛"口

"，胴口

___Xi__.____._.~t!——n__e-■■■?.一*■—一.a.■

1=

v-IW.TUU.i-r

，■方為起

Il-I*

172.33.158.IDG

*■jr*j!w_二u-u

11.12.13,W

?r-?

TCP

■_■ijq■~~Ii^ji尸[i?rajm?111i■Bam^-liij.n.su

IL.■.-...IL:一…，.L-.U-.L-,-1LJ-.0-1F

￡13(167byttsonwireb167bytuidLptur-Bjd)

?iLttiern^LII,打匚卜面空1電4_的：營看:50[K:24:』￡：*”■:5。1Lit:10:0^:24:^3:20:1^(10:0t:29:(:3:2O:l^)

inintertierProtocol,浦u00(172.JQ.15#+1QO)B的門lbl;aj+99(iL.lzak??)

3TTansinisiioriControlProteccl,SrcPiwt：hjjyhastcalll(1-20)(DstPert:sdrs.fd、(JldQp5*q:4apAric:ZHjL#n:113

3[R^A55gnbltdKPStgments(117tyxes)i^13(111)]

Flipkt.versiw;兀Lenigch;117

hQ-911

日H.Z25.DCS

SHi2i-LsetInforwtion

±h323-uu-pcSu打翌九融行曲電bWy;nrzet(I)日co?xn

pFHDgzjilJdientifi?「：&??￡Ur0「？fYergicn打

3liZdiAddre5s:ipAddr_5：0jH1Mddrgf

Ip：1?2.10,150,100(11乙為?1轉(zhuǎn)」其》

port:1121ZrTSTuSnSSnFo

Bvtnefor

h.221Manijfarrurfr：pTcro^ofr(DxbSM^^c)

praductTd:Wicrosoirt\2>6^etveefirq-25fcvarsionld;3.0terain^l-d一?*me:False一?0i一一und電firmlW:FaIs#confertncelO：:g匚2%51S-3-9G0T-7S7?F09?$244

icallicfemlfter

guid:b加弱的B-b式”EM7一時-匚酸bMcbQf*d

2）外網(wǎng)被叫終端抓包報文

11-17JS266J

U427.I52WI11737.555102

2004S用甌，

172?式,1限Ml172JI.liS^OCTCTjds,位1岫皿門：MK]元口由7￡小7Em洶MLM-0

丁，乳」逐JN172.^0.1^.241HJ25」G：alerdng

gJLl沮Ml17Z.30.156.1(1(1TCP3全“jds：h蒐強(qiáng)際算丁[41完口二門了小邛甫x&WTLEflG

才晨弘.15&1Mim/Ul輻二41tcp[TCPfFycntofare；石saitTnPDJ]

m?彳口a舊函獨(dú)日—「土?haa2h"*G]ilJack]皿.川了此卜川宅話把L?n=o

172J0.irS.l：'D171.30.156.^1h.225.0cs：cunnEct

，&**"4="&E"4”尸「-E「「[ex]1fli聞MA|.?t±05flEKJTRM=

172.3C.l!3.1jD17：.]：,1$S.：HTmmpp-口frt要收[Sfh.圮xjSec-0產(chǎn)_ei>3，生-1』汕

bFrimEK?『：lb?byues川FreQ若61dt831$；bytescipiured(耳薊biirj

,EthEEEt工工，工匚:WKtfEjcmOeETb@0!*?若:支:加;而).口G：血吧出用_09;獨(dú)洞日fOO;24]&，BB;6i：加)

±internetPrcrtoculVersnon4,$rc：ITS.卻.U&1CQ。，乙現(xiàn).15國[忡),DSt：兩，馬工。72.褊,1印.2也)

ITransuri^siwiControlfrotKol,SrcPtrt:hJSlhostcan"72。).tatPart:cedros-fiis(41J0).5eq;45,Ac"257,L&fl：113i艮花芯曲BhdT,：Ps&sients：1Ktytesj:白州⑷，唐埼5]力

±『例Lvtrildfl:3.Length:li-

IQ.911

-H.M工口書

rlllS-ujerirroriiatim

3M2，uupdu

-H?3-npi^p-brely:，:nnn“t⑴

Ecannect

proTocilidBrirlflar■O.Q.Br7?5Q,Q.760「51口口引

n245*rldrEj5：打制叮如3『?

-Ipml力口"

Ip：172-IMCL祀.30.1第IM)

port:U21

HJestintnortlnfa

1vtndjrlerrttlniT，兒，…伏：nist...a...indiriMtMDriBiraH-

^rrfersnceiD:箕西b54即3T0?西演^9「羽"?l-lldwtiriar

gnid;tB跖尤bm一HdAR厚了一:|1國一「€了M4:hOfdd

6.主叫方收到Connect報文后，進(jìn)入H.245協(xié)商階段，H.245整個協(xié)商階段包括能力交換、

主從確定、打開邏輯通道（通道打開之后傳輸數(shù)據(jù)）、關(guān)閉邏輯通道、斷開H.245TCP連接

1）內(nèi)網(wǎng)主叫終端抓包報文（TCP三次握手階段）

B:Khw描：汨前:wo ii5￡ilir m

121.翼I44L0U.12.13.99 172.iQ.liS.100 KP

'TCPsegnertqfar包“wnblgdPM]

CeitO5_Tds>h32]hcstcallseq=23?aeMsir1n=Mi^Ltft=O

]牖uwa__UiXi.Ai.M

15h：出而1L\,30,1^.10：11.li.15.99Ks『叩口>uiLs-V伍，MK]beq-CA^-l<h>?35Ufa。七“1二版

IE6,2171L&1L12.1J.991^^3458,100K>Dirtgs?>[*?]Stq-1*ck-lLcn-0

la&.3ZJ197 173.3M53.1OQ 9 KF

居6.222657 11.12.13.W 172.Z11SS.10C h.245

206,22biL5 173,J-.15U.10Q IL12.B.99 H.?4>

'tcf3fq岷rt肝ar^isjentjledpm]"erninalcapiji

'er-iriaK^niHt^Se*

21&.3??43? lt.12.LL99 172.-0.15S.1M TCP

22 It.12.13^9 17230-BS.10C

:TC:士可附rtc?fdftdistnljledPtu]

ca^oEjrds>hOlhostEall[mk]fieq-237Ack-161<ii>440^lai-0

日氏北KB&L73JJ.15fl.10C 9小羽5北的前 七issiw51a通黑leriii儲liwuM

gFrane14(62bytesonMr露Gbytescaptured)

+EtnerretIt,StcL;j;(k;23;e3;2J:li(10;Dc;23;ek2C;lcJ,Dat:danqzl?u_a3;5a;5O[0j：24;ac;t3jta;50；tincerretProtocol,5rc;^L,L2.13.M{H.12.1J.W}5Ost：17L犯158」網(wǎng)QgJUjf

TTTan^rissiwiCorTro'PrDtoccI,ireFort:a'rtgsvt41-11J?EBtFort;rirpp(Illi：、5eq;D,Let:1

Sourcepxt：qirtcsvz(4141)

De^firatijr二一二：rnpp二二

(relati^secuenctnmberj

這里的目的瑞：l是上一階脈口昉劄M開或的港口

[Stresfliirdex:1'

5c(HJtrcfirwrber;；■

nnderlength;?Bbytes

Fligsi伽￡(sru)g$i改；EU口

iChecksui:0x74M[vdiditicndisable^?opiiorii({byres)

2）內(nèi)網(wǎng)主叫終端抓包報文（打開邏輯通道階段（能力交換、主從確定階段省略）

27t.577721

17LW.15I.1M

U.12.1199

n.245

.uLfL'sgkaTiLhdniGlItl20)

nLsnvn

11.12.1LH

171.U.1SI.1K

H.湖

ipnogiraTharr*T(n?0；

界f.58111fJfl￡..EIUIE.

17L3D.：5a.lWiiiiina

1LIUT網(wǎng)

M1；,口1JU1

TC『

HF

[KF御ENQfJM瞄出1例Ml上幣匚y國尸

4

用?Kmm?

■w?舊風(fēng)■皿■

L

”t.El：中

n.i?.ii卜

mi：iu(

H二M

QqiraTiFhanTpTEp^^rr

￡E』口瀏

MT-I3-B

l'2I：1：S：：：!

5地5(>Mi^Iq|[SHIJ$69=4ViFF*9JW1<1=4N5$^ljlld

Ht.blMll

ULNlISR.lffl)

ILU-1J.99

"fl--IF->-1『6：ifh,Ui->?-!Jr-L?r-、：^b-n

?i.SlN7l

U.12;13.99

r：.n.UB40D

ciduLivt>irti-rE3[KK詠T/kE*洶14。Lnj-0

費(fèi)i?.615356

1L12.IL35

「？,3V.BH.10D

flidx5vc>irrc-icsjp15Hl**]：iq-l拈Ww1n~B*M0Lfn-?5

a?e.smsi

172.30,158.100

HJ2.13.S9

-ntl-oo->oidcL&^c[fsh,Seq=LAcs-l-Eiir=65$ltllEr-21

n氏wwi

U.U.B.B

172?豆JMJIO

Mix油r>irrerci[*t<ulM4;19un-q

班tU6ia

U.12.B.K

m.ain.iio

。汕mt>imc卜釗.?Kjirtj=；Cl￡k=^bTn=￡tH(fIm團(tuán)

-：-cB4-5B87

172.3O,150.11H1

114L13.99

"fillC-IKS?Dldocsvc[P5HPAUl]SfiQ-ZZ以?久『樣5犬9L￡f1-113

4l.bljjlt

U.12.U.94

1?.JJ.kU.UU

>1KC-KS[FlNrM]Si午:1JVkJiSidr-bllDbLtri-J

±Etheiretn,5rc:Hangzhaj一詠6a二孫^:2i:aczflfl:fca:ifl)rD5t:10:Ck::2^:&J~20:la[l.D:Cc:2i:eJ:2fl:li：)

±Int^rretPratDcoL5匚172.3(1.155.1?(172.30.1^.100),.Dsi:H_1X1LM(11.12.13.M)

+T「打出5圻叫ColitrolProtE口L5rcPort：mppJ1121),Ftrt;口片停"(JUl'.如q;380.Ack:34kLen;21

i[MUSenbkdTCP絢出心.必修)：mOf仇f91(21j]

TWiversion:Ll呻h：H

EHJ15

曰pihjTyp”；rtsp(MT5?(1)

ErsspanE.e;叩見即3KharwlAcfc(5!

jpmLog：lialdwr)el.<kfori^nJL聞七12^

3時“鼠蟲3藁礪M壬叫萬自己!麟用千期摘演羞W隹1酶L

EdiwilMiE；ini€<Qt(0)jr

同Wl;皿

Fnrart”的⑴：locilwtMddress{2)

ETacalilreaAddress:UTicistSddre^s(0)Jr

B汴出■的3rKLKTi:U1.3O,L5I.1Q0H72.m」5&j(M)THpM+FMLM..MiaditKanfF-fnci1：Filst

?Fqtw(Xu，ltipltJtkkPyamters;h22SQLogiicjkhdJirslAckPrmtr1(0)

ZLI31S.65Q7U

zlmis.efiasas

3）外網(wǎng)被叫終端抓包報文

ZWQU工友14即

L?2.3^.15己?11口

172.3Q-15B.Z41

TCP

Ftcpsegrentofareisssihled：pl<j]

川-741的用

t7>MU1

17?-iYi

TTP

%三0r-n，nrt-a『「.q^anh-irtar.il

Isueii.ema2

172i3Q.13B.UD

173.30iJJB.241

DpBTjgl-:ilctiinn&Vct

江八力一郎”，麗

17?30.176,Ml

L72Jft.15B.lW

N^MS

opTfCnr^Tfl^aTt[

■1-1:機(jī)￡5門弱

173.工。?10益

173.3O.15E-241

Q叫?0

qmuFE-CldOCEVC

172-30,156.100

17ZB3Q.nE.lW

l72.30i-15S,24i

L?2.3Qi.l5i.Z41

P-P

Trp

TCP

TCP

；FTN|ACK]SsqfAct-1win-e5^35Lm-D11

J50k]Se(|=lJUk^lMin=&i2d.0Len=4

'peh.ack]seq-1ACk-lurfriTAQLfifi?口

哥doesuq■*imte-mESd1ccczu<-

rr

「raffle2M6;居byt必onwifE￡600hit，1,科聯(lián)州ciptuHd〔制。bin)

FfthmruHt工r,sru：Ear&Jr:恥:7b位0:口。？忙KRc:7b)|口外：血叫動口憶的：心：$口色"：皿："；88；心：4中

*internetprptKQiversion.sre;n熊翎「，樂工叫口筑；式/邛,/i】tl冗，加，[濟(jì)

iTrinswis?ionControlPrutDral,即上Port:r唧pQ121J,UstPori:Dirtjslfc(Jlilji,￡eq:*的，歐k：^43,1_心忙JlE[2回御MsdKF5e》fin會(25byt電力內(nèi)DOH),>12144(21)]

ii?rr,3,Length:25

二H.2dT

PWT>pEtreipanie0J

r+pcina;叩*九叼證，:h*nnF】恥)■(力opchannelAck

fonoardLcgicjlctiRinEHLrfaf:25T

^Ei5ifSL_.g1此khainLpi-anlls-s

;出學(xué)士四Logical七rHfiruIFlutter：M9

-tUftiTMUlXk

?rtlstrlhutlan:unicut(0；

i-irri-ujnrkirlrit-i3;"nlAr，/qdd「m(3)

16打加￡詞而？5胃fu)

—口打」dq,■?■J=出d*.<：._J]_

_iPAj^dress

nerwk:17230.159,10007工物,58JE)

tapddmiriGr:1501

ifnn^rdNultipip1tPir^nat?r^：hJ?TQL嗎V/IE即1口01此1PaF/Tpr5(0)

h京SOLjog1caldhainelAGkPjrairaiier$

由以上報文可以看出后續(xù)數(shù)據(jù)傳輸被叫方將使用1503端口來建立連接

.通道建立之后，進(jìn)行數(shù)據(jù)傳輸（主叫方將使用多個端口與被叫方的1503端口進(jìn)行連接來進(jìn)

行視頻、音頻數(shù)據(jù)的傳輸）

?.,Time

Scurze

加一他加『

q4?yi?一』

Prgtcccl

Info

乃良機(jī)E6旬U.12.1159

172JC.Efi.10t

TCP

ddoti'ec

>'[rtt-TCS1

恬?看Kgm曰*Wb■喻is把mioie司■?.]

端f.ft9356

11.12.13.M

172J0L158.1M1

KP

oiMCS4!C

>TITTC-iCS

[PSH,K?

強(qiáng)c=lAct-1brin=64M0LEf>25

37€,621154

L72JO,15S.1DO

9

TCP

imte-vs

>alcocivc

；P5H,ACK；

5cq>lAck-2fitffn-65510Ltn-21

38￡6二歹1

U.12Al99

172JOL158.100

TCP

oidocsvc

>ilTtC-KS；

ACK]Seq46Atk=22Mn=&21gl&M

刊i.M44?

D.12.13.99

17Z.J0.13B.LDQ

KP

Gldo?vc>iirrc-ncs

[RiH,.垢0i€：<6ACk<2*1巾￡4219Len-ldl

40瓦區(qū)蹣

F230.15a.KXl

U.12.1L99

TCP

Mc-ncs

>:icocsvc

[PSH.AC<]強(qiáng)九2?缸卜乃-H11*5329Lerwlll

nnj3Ti9

ET^nS.TK

KP

oi±csvc

>inrtc-ics

FINtACK]5-E07*匚k>H$￥ia&41時LGfMJ

4TTWJKH

U"犯1通:UM

KP

imtc-XS

>oideewe

FIN?%K]51Gti^115Ack-2CnirixEmgLenT

歸。若日興

11,1243.99

172JC.b8.1K

KP

oloocsvc

>inc-ics

MKj*田8城=1加Win=&il聃L?r=3

■[TTrcyzna

tnzrurs

UJTSIT^IIK：

KP

o1(5r>

-nuc-rics[5+戛5ez=C*in=&4±4，].en=C*￡41士用

45L652190

00

11.1243.99

TCP

init;-"C5

>01GOES.'C

■；CK15EZ|=1比Ack=2：8rt'iM5329Len=：

446,6530^

172,30l15L1DO

11.12.13.M

TtP

imtc-iKs

>olesr

；5YNrME]5ec=0AEk=l力作6詡5L&MX55=L46D

4；6.6616*8

U.12.O.M

172.3i：.156.IOC

TCP

nidsr>

irntc-BC5-

Xk'5ej-1A€<-1*in-￡424dLen-C

41瓦眼淵

U.12.13.M

172J0.15B.1N

TCP

oldsr>

inrtt-iKS

[PSh

，北4]sec=lACk=lYin=6+23Len=25

mR3QU

17?-1“ina

111)1^獨(dú)

TfP

irnrr-ftrfl；

vnifkr

陷卜

dWtl。r-irt=^1M1=?1

曰Frai^35(54曲仃onurire.54bytescaptured!

BahernnII,5rc：10：0<:29;eJ;20:U(10:(X:29：eJ：?C;13),Dst:HangzhoOB：取:川(00:M:就;茄;靦:網(wǎng)：nu-netPra：ocol,sre;1112」碑口LIL以知卜阿：1屋，取153」削險池型甲)

?TriTjfnissioncwtrolFrotMQl?5rdPort:oidccsvc(4142)>OstParr:iirtcntj[1503)53：LAck：1,lcf;0

.數(shù)據(jù)傳輸完成后（通訊結(jié)束）后，由主叫方發(fā)起EndSessionCommand與

ReleaseComplete消息來釋放連接

內(nèi)網(wǎng)主叫方抓包報文

"1『：，-￡Lfl_i

J.1.XI.1；

JLI￡■JI.11UU

riLF

ua.Ji金1-IL，*rJIIB小型」」OL|-JL"-"kh-TJ>.?l￥JyatLFl-17

OiCfir>ItttHnCS[P5HbOJ5eq=5HMk=$拓Win=439OSLMT

3422J,對,汨

11.12,1?39

172.31.156.l(J0

TCP

M3ZJ.W4IB11=12,13.W

L.7.'：..ra.iuo

TCP

?FM■1*iTC--C5LF：N,4C-]，速_$此》n_i)30>LfMJ

■■■■■

T&】uu

TtP

4--i?-n^-ws:FI.MK]■^q-76s1""IhllWir74F&LfHsd

KT2KWUJ

102711.99

nzaaisnxffl

XF

vwrortr5TlHW^srrTpfflruCTZS^TWBOO^TOTnrOWWWR

|~~H,占，'1如MJ

1L1L11.列

UAJfL+KkMl。-

-=?<=

[MT"卯EF1所Bl嚴(yán)<lj

■■■事口■■i島儂■

I11上》"|"*Ml,*R.i

一"F--fcm,■>■ra—*■卡■

■IB■

一耳.—q.J,*_—T.t

UZ.30.1^,100

IW2XU

r"酊K-fliJlTrTf

?口」"如崗

H3門M—

iLnj].加

―==<=

ttc<M>01擊r[fttl0[)eq~^MMin=649WLenMJ~~

J51日小國藏

1?2,30.153,100

11.1工13.的

p

awr-control[KKJ5tf|-2C13Adcd的即irmowLw=0

)5?a+9卻如6

172.30;159.100

lll?+13

FP

i1陰*n-ingiK[配叼53。4口“L”-a

期23.9WW

17J,W.153,100

也，1九】九股

TCP

imT/，41工[*rj901511北k二“出HgMi，*n-

<

(■ran電凸電bytesortwire,5c如t的tiprr的二

￡lb,t!rtiii!LIE?5rL.tl：0t：2jJeS:2D：lA(LQDlj24,e3：20.1d/13L：HiiigzticjJi.ti；>0(M2]：4匚30)

iMenMProtocc1,Src:Mt;1J如15SOOa?L301158,100)

rrarailssiancanrolAraiocobtrepvt：oirt?;c(4H1),兇lpert：『翱p(im),wq:疑丸a*:wlL<ir:2

-[SfaiirtbledKF專egnwn、(6b^iw；:J3J7(2)]

7TFKThversion：落Ltnjrhi：后

K245

"pe"rypp-cofitiinrl："

n?nvne:erdsessionccwarid[51

-trtd5tS5loixo?ind：JIsconriKi⑴

di5cc^r&rr:UU-L

2)外網(wǎng)被叫終端抓包報文

MeTireEpunsDestiraticriProtaoolInfo

JVj-WJILfaJJ^WJ^JT—1LiiJILf?，UHUii3U*?JLLT-「LIIIVLR!■，』'"IUJI[IJJM,Lj—-!.i-i.b_c.__nJ|i||l-i_rr|_i

503130.952573172.30.^3.2(1172.30.^3.10(1TP4144-fME/tW[W]E國JR位Vfc4612kin^lLDBL即』

50見30.9925M17330.158.17230.158.100TCPMr*1mc<5[O]里45。MbWbidn=639?ien=C

號做WXUIt?amwmiiMimu漉MlTTPrnrnfar曲詢卜11PDU]

湖5孤即網(wǎng)1飛踮遙.gL飛兒J落和H/HNS㈤日猛巴E

IriMfilftBMiflMtiO1ft<QB4MliTi1ft<QB■iif■JMiiiiiWnw^

I5O&73D.397151_lT2JD.15S.ldO1T2.3D.15S.241HL那正椀sdliOiml，

5工口.：4點(diǎn)尸飛尸l*-wo,+祝-3g]通理盯出就M出力超240M=C

江貝社」5第茁12第二5象州:質(zhì)為二5象⑷力在才三了禽-武WEt?1:西，玲］網(wǎng)士的g=?明TL日前

Frame匚比97bytesorwire(?7tHts),97byres邵岫(776bits)

ECttiernec..maTBJc：0c：7b(00:k;2&:5c：0c：7b),.什則|枷u_恥珈祀期;M;ac的血洗)

Fint^netProtixal^rsicnd,5rc;12證15&LW)洱HK1Q嘰Kt;(172JC.15EJil)

rrinstii551anamrolProtocolsrePort;怕日hastcall(172D),DstPort:c眥耳他a14以羹q;1跖岫：⑻，Lai:4W

：口ReasjEflt'edTCPs^=nw07Mm出同魄口j,*硼％/)]

rm,vrskn：w,Lwgth:"

eq期1

E大空』。

完成上述報文交互之后，斷開TCP連接，至此已完成整個H323呼叫流程。

注：防火墻會話如下（與上述抓包無關(guān)聯(lián)，僅作參考）

三靠舸II繾然評翎質(zhì)/丁第E酒亭

眥.

豈理：

1P4d

越F軸口：

統(tǒng)割現(xiàn)：

1".］：3.1：0

期柝

上項(xiàng)球/i翦占_Y反，『I鼠聯(lián)，豪

羈

麗mm

鼠醺1此即用煙!：*口

鄴儂笄林方麴濯口-唱崛:晉能力蹦棄s>

t口毒郵

1

療EE面

&謂電1115mm同陶口.用卻R眼V

陰A

2

裔%叫C

值⑶酬寰

匯回謝112；

1覆Q宸削施帆仔電30缺評H1幅0V

曬A

3

4

療自因蒯

仃E卸帆

owmu。331

&13f72111潴

T1.小謝應(yīng)心儻。的悔晚

nil書鞭和鼬颼。見1睹1503

251945論Q.現(xiàn)悵出闊/k樣加X加?xùn)V?捻

KA

調(diào)

倒1蚓51個。1卸曠即3機(jī)刎梁13口腮

273A

5

TCP臉跳［!

值13T7M11匹

rm巷口鼻王餒彼宙三

電力孤51超Ql5tf批陰W日皿同第1研TH二

二，五卜M顆囂砸

五.H323在防火墻中的幾種應(yīng)用場景

.內(nèi)部終端向外網(wǎng)終端發(fā)起會話，防火墻做SNAT;

由于h323通話setup消息中被叫方只關(guān)注應(yīng)用層中destCallSignalAdress字段信息

（檢查目的IP是否為自己，確認(rèn)其是想要和自己通信）與傳輸層的源IP（主叫方IP）,符合

以上條件后才會進(jìn)行后續(xù)協(xié)議協(xié)商；當(dāng)發(fā)起方為內(nèi)部終端時，目的IP即為被叫終端的IP,不需ALG轉(zhuǎn)換；Netmeeting軟件數(shù)據(jù)傳輸通道都是由主叫方發(fā)起，不存在Untrust到Trust的阻斷問題；基于以上兩點(diǎn)，在此種場景下，是否開啟ALG都對其通訊無影響；但是沒有開

啟ALG功能時，不會對setup消息中sourceCallSignalAdress字段的私網(wǎng)IP進(jìn)行轉(zhuǎn)換而將其地址暴露在公網(wǎng)中；

.外網(wǎng)終端向內(nèi)部終端發(fā)起會話，防火墻做DNAT;

當(dāng)主叫方在外部網(wǎng)絡(luò)時，若沒有開啟ALG功能，H323的setup消息中字段