防火墻H323協(xié)議處理流程及H323 ALG應用

1、一 H.323協(xié)議簡介H.323協(xié)議簇是ITU的一個標準協(xié)議棧，它是一個有機的整體，根據(jù)功能可以將它分為4類協(xié)議，也就是說該協(xié)議從系統(tǒng)的總體框架（H.323）、視頻編解碼（H.263）、音頻編解碼（G.723.1）、系統(tǒng)控制（H.245）、數(shù)據(jù)流的復用（H.225）等各方面作了比較詳細的規(guī)定。H323系統(tǒng)中的信息流是視頻、音頻和控制消息的組合。系統(tǒng)控制的協(xié)議包括H.323、H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要組成部分。整個系統(tǒng)控制由H.245控制信道、H225.0呼叫信令信道和RAS（注冊、許可、狀態(tài)）信道提供。H.225它主要處理傳輸路徑問題，描述了如何

2、操作網絡包上的視頻、音頻、數(shù)據(jù)和控制信息使其提供 H.323 裝備會話服務。H.225 主要有兩個部分：呼叫信令和 RAS （注冊、接入允許和狀態(tài)）。H.225 詳細定義了 Q.931 信令信息的使用和支持。在 IP 網絡的 TCP 端口1720需要創(chuàng)建一個可靠的 TCP 呼叫控制信道，該端口完成 Q.931 呼叫控制信息的初始化，從而實現(xiàn)連接、維持和呼叫分離功能。H.245 是 H.323 多媒體通信體系中的控制信令協(xié)議，其主要用于處于通信中的 H.323 終點或終端間的端到端 H.245 信息交換。H.245制定了一個控制信道分段和重新裝配的協(xié)議層（CCSRL，Control Channe

3、l Segmentation and Reassembly Layer），它可以在易出錯環(huán)境下保證應用的可靠性。H.245提供了一種功能交換的功能，它支持兩端設備通過協(xié)商確定一組通用的功能集。二防火墻H.323 ALG功能簡介當內部網絡的H.323終端穿越防火墻與公網上的H.323終端進行通信時，由于NAT功能只能將傳輸層的IP及端口進行轉換，無法對H.323協(xié)議應用層攜帶的內部數(shù)據(jù)進行轉換，應用層中內部數(shù)據(jù)直接被轉發(fā)至公網，后續(xù)協(xié)議信息處理時會出現(xiàn)問題；而H323 ALG則可以實現(xiàn)應用層數(shù)據(jù)轉換，協(xié)議數(shù)據(jù)發(fā)至Internet時，將其應用層內部信息轉換成公網信息，實現(xiàn)完全隱藏內部終端達到通信正

4、常的目的。另外，應用防火墻一般只開放特定端口的數(shù)據(jù)進入內部網絡，H.323協(xié)議屬于多通道協(xié)議，控制連接使用端口1720，數(shù)據(jù)交換使用端口為臨時協(xié)商，無法事先預知，若無ALG功能，協(xié)商出數(shù)據(jù)交換通道所用端口后，外部網絡終端嘗試對內部終端數(shù)據(jù)交換的端口進行連接時，防火墻會對其進行阻斷，從而數(shù)據(jù)傳輸通道無法建立；開啟H.323 ALG功能后，會在對應用層轉換的IP地址及端口進行轉換的同時，將其信息進行記錄，使其在外部網絡終端嘗試對內部終端數(shù)據(jù)交換的端口進行連接時，防火墻進行協(xié)議識別，對后續(xù)相關協(xié)議報文執(zhí)行放通策略，從而成功建立傳輸通道。三H.323 ALG的典型應用組網四一次基本的H323協(xié)議連接過

5、程及防火墻處理流程1. 客戶端與服務器建立TCP三次握手連接2.建立TCP連接之后，主叫終端通過H.225協(xié)議發(fā)送setup消息至被叫終端，表示主叫方希望建立通話（FW開啟了H323 ALG功能）1）內網主叫終端抓包報文2）外網被叫終端抓包報文由上面2個報文可以明顯看出ALG對協(xié)議應用層的數(shù)據(jù)進行了處理。3.被叫終端返回CallProceeding給主叫終端，表示被叫終端正在處理。4.被叫終端返回Alerting報文給主叫終端，表示被叫用戶已被振鈴。1）內網主叫終端抓包報文2）外網被叫終端抓包報文5.被叫終端返回Connect報文給主叫終端，表示被叫用戶已摘機并告知被叫終端已開放特定端口來進行

6、下一階段的協(xié)議協(xié)商過程。1）內網主叫終端抓包報文2）外網被叫終端抓包報文6.主叫方收到Connect報文后，進入H.245協(xié)商階段，H.245整個協(xié)商階段包括能力交換、主從確定、打開邏輯通道（通道打開之后傳輸數(shù)據(jù)）、關閉邏輯通道、斷開H.245TCP連接。1）內網主叫終端抓包報文（TCP三次握手階段）2）內網主叫終端抓包報文（打開邏輯通道階段（能力交換、主從確定階段省略）3）外網被叫終端抓包報文由以上報文可以看出后續(xù)數(shù)據(jù)傳輸被叫方將使用1503端口來建立連接。7.通道建立之后，進行數(shù)據(jù)傳輸（主叫方將使用多個端口與被叫方的1503端口進行連接來進行視頻、音頻數(shù)據(jù)的傳輸）8.數(shù)據(jù)傳輸完成后（通訊結

7、束）后，由主叫方發(fā)起EndSessionCommand與ReleaseComplete消息來釋放連接1） 內網主叫方抓包報文2） 外網被叫終端抓包報文完成上述報文交互之后，斷開TCP連接，至此已完成整個H323呼叫流程。注：防火墻會話如下（與上述抓包無關聯(lián)，僅作參考）五H323在防火墻中的幾種應用場景1.內部終端向外網終端發(fā)起會話，防火墻做SNAT； 由于h323通話setup消息中被叫方只關注應用層中destCallSignalAdress字段信息（檢查目的IP是否為自己，確認其是想要和自己通信）與傳輸層的源IP（主叫方IP），符合以上條件后才會進行后續(xù)協(xié)議協(xié)商；當發(fā)起方為內部終端時，目的I

8、P即為被叫終端的IP，不需ALG轉換；Netmeeting軟件數(shù)據(jù)傳輸通道都是由主叫方發(fā)起，不存在Untrust到Trust的阻斷問題；基于以上兩點，在此種場景下，是否開啟ALG都對其通訊無影響；但是沒有開啟ALG功能時，不會對setup消息中sourceCallSignalAdress字段的私網IP進行轉換而將其地址暴露在公網中；2.外網終端向內部終端發(fā)起會話，防火墻做DNAT； 當主叫方在外部網絡時，若沒有開啟ALG功能，H323的setup消息中字段信息destCallSignalAdress仍為防火墻目的NAT前的IP地址（沒有轉換為私網地址），被叫方在收到該消息后發(fā)現(xiàn)其不是想和自己進

9、行通訊，會直接返回releaseComplete消息來結束通訊請求；故在此種應用環(huán)境下，必須開啟ALG功能才能正常通訊。補充（轉）：H.323之童話故事篇說了這么多的呼叫流程，大家是不是有些頭暈眼花，沒有關系，看了下面的小故事，相信大家對于H.323一次呼叫過程就有了比較全面的了解。請看：在H.323的王國里有許多成員（各種H.323節(jié)點），為了確保這個王國的正常運轉，頌布了許多法令（H.323協(xié)議簇，其中主要有RAS、Q.931、H.245、TCP/IP、RTP/RTCP、UDP），無論是國王、還是臣民，大家都嚴格遵守這些法規(guī)。在這里將介紹H.323王國最重要的兩個角色國王（GK）、臣民（G

10、W）是如何遵照法規(guī)（RAS、Q.931、H.245）通信的。其中國王與臣民之間的通信遵守RAS協(xié)議，臣民與臣民間的通信遵守Q.931、H.245協(xié)議。首先，臣民（GW）應向國王注冊。一個臣民（GW）誕生后，會使用RAS協(xié)議去尋找自己的國王（GK），他高聲問到：“誰是我的國王請回答我！”，這時可能會有一個或者多個國王來響應：“你是我的臣民（GW），到我這里來注冊吧，這是我的地址?！?，當然國王也可以拒絕臣民（GW）的請求：“你不是我的臣民（GW），別來煩我。”如果臣民（GW）幸運地得到了多個國王的青睞，他可以選擇一個國王并向他注冊。注冊成功后，臣民（GW）就可以享受國王提供的各種服務（如接入控制、

11、帶寬管理、地址翻譯等功能）。這時，當臣民（GW）與另一臣民（GW）通信時，不需要知道對方的地址，只需告訴國王想要和誰通信，國王會把對方的地址找來給他。對于那些沒有找到國王的臣民（GW）來說就有點慘了，因為沒有國王的幫助，他只能與自己相當熟悉的臣民（GW）通信（即知道對方的地址）。臣民（GW）向國王注冊可以有一個生命期，過了這個有效期，臣民（GW）還要再向國王注冊。下面看看H.323的國王與臣民是如何幫助PSTN王國的臣民通過IP網相互通信的（即IP電話是如何實現(xiàn)的）。一個PSTN王國的臣民C想通過IP網送給他遠方的朋友D一份特別的禮物，他跑去找與自己相熟的H.323王國的臣民A（GW），并把朋

12、友的電話告訴他，請他幫助通過IP網找這個朋友（即一個PSTN用戶撥打IP電話，呼入GW）。臣民A（GW）看不懂這個電話號碼，他應該怎么做才能找到那位朋友呢？向國王（GK）尋求幫助，解析電話號碼。由于在H.323王國里是使用IP協(xié)議通信的，所以臣民A（GW）拿到對方的電話號碼是沒有辦法與對方聯(lián)系的，他只有去尋找與對方相知的臣民B（目的GW）的地址。于是臣民A（GW）將電話號碼發(fā)送給他注冊的國王（GK），讓國王幫助尋找臣民B（目的GW）的地址。首先國王會對臣民A（GW）的請求進行認證，認證通過后，國王才會去尋找臣民B（目的GW）的地址。如果國王不知道臣民B（目的GW）的地址（即這個GW未在該GK上

13、注冊），他會向其它的國王（GK）詢問有誰知道臣民B（目的GW）的地址。當國王得到臣民B（目的GW）的地址后，就將該地址（呼叫信令傳輸?shù)刂?目的GW的IP地址+端口號）發(fā)回給臣民A（GW）。這樣，就可以在這兩個臣民（GW）間建立聯(lián)系（建立呼叫信令信道，開始Q.931協(xié)議流程）。臣民A（GW）告訴臣民B（目的GW）：“我的朋友C有禮物要送給你的朋友D，他的電話是XXX，他在家嗎？（即被叫用戶C是否空閉）”，臣民B（目的GW）趕緊告訴D，別走開，有人要送禮物給你（即目的GW提醒被叫用戶，并將該用戶空閉態(tài)置為忙）。然后臣民B（目的GW）通知臣民A（GW）“一切搞掂”（即GWB向GWA發(fā)送CONNECTION消息后），雙方開始討論采用什么方式將朋友C的禮物送給朋友D（即開始H.245協(xié)議流程，進行能力的協(xié)商）。臣民A（GW）說：“朋友C的禮物是：播放一首凱利金的GOING HOME薩克斯曲給他聽，我可以將這首曲子編輯為CD、VCD兩種格式，你可以解讀嗎？”臣民B（目的GW）：“我這里的設備還沒有升級呢，不好意思目前我只能解讀CD格式的曲子”（這就是H.245中的所謂能力協(xié)商，通過協(xié)商，獲得雙方都可以接受的語音編解碼類型）。臣民B（目的GW）通知臣民