讓H.323協(xié)議輕松穿透防火墻/NAT

馮 穗

（中國人民武裝警察部隊(duì)廣東省公安邊防總隊(duì) 廣州通信站，廣東 廣州 510630）

由于IPV4地址的有限以及網(wǎng)絡(luò)安全問題，多數(shù)行業(yè)和單位用戶選擇組建自己內(nèi)部的IP網(wǎng)絡(luò)來進(jìn)行語音、圖像和數(shù)據(jù)通信。為了確保網(wǎng)絡(luò)安全，通常這些IP網(wǎng)絡(luò)和公網(wǎng)之間都通過NAT、防火墻等設(shè)備連接。

這些設(shè)備通常都會(huì)對(duì)通過它們的IP包按照相關(guān)策略進(jìn)行過濾，同時(shí)對(duì)IP地址或端口進(jìn)行相應(yīng)轉(zhuǎn)換處理，導(dǎo)致基于H.323等協(xié)議的圖像和語音IP包不能夠正常通過。

1 關(guān)于H.323協(xié)議

現(xiàn)在常用的網(wǎng)絡(luò)會(huì)議軟件和網(wǎng)絡(luò)電話軟件采用的是國際電信聯(lián)盟（ITU-T）制定的 H.323 協(xié)議族，其中包括 H.225，H.245，Q.931 等，另外還有IETF制定的SIP（會(huì)話啟動(dòng)協(xié)議）。SIP協(xié)議采用與http類似的文本命令形式，而且協(xié)議比較簡(jiǎn)單，是未來網(wǎng)絡(luò)電話和即時(shí)通訊的方向。但由于H.323出現(xiàn)較早，已經(jīng)有很多商業(yè)應(yīng)用，比如微軟的NetMeeting采用的就是比較成熟的H.323，另外中國的電信企業(yè)實(shí)施IP電話時(shí)也傾向于采用H.323協(xié)議。所以H.323還將會(huì)在長(zhǎng)時(shí)間內(nèi)和SIP同時(shí)存在。

H.323標(biāo)準(zhǔn)定義了一個(gè)在基于分組的網(wǎng)絡(luò)上進(jìn)行靈活的、實(shí)時(shí)的、可交互的多媒體通信協(xié)議集。個(gè)人計(jì)算機(jī)能在包交換網(wǎng)絡(luò)（網(wǎng)際網(wǎng)和內(nèi)部網(wǎng)）和電路交換網(wǎng)絡(luò)上傳輸音頻，視頻和數(shù)據(jù)。

H.323網(wǎng)絡(luò)包括終端，網(wǎng)關(guān)，網(wǎng)守（Gatekeeper）和多點(diǎn)控制單元（MCU）。

2 關(guān)于NAT/防火墻

按照NAT的定義，內(nèi)部本地地址表示分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的IP地址；內(nèi)部合法地址表示對(duì)外進(jìn)行IP通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法IP地址。

為了網(wǎng)絡(luò)的安全性，企業(yè)內(nèi)部網(wǎng)一般都安裝了防火墻，它是一個(gè)放置于私有網(wǎng)內(nèi)的設(shè)備，用來保護(hù)網(wǎng)絡(luò)資源免受外部的惡意破壞。防火墻總是被配置過濾掉所有不請(qǐng)自到的網(wǎng)絡(luò)通信。

3 解決H.323協(xié)議NAT/穿透防火墻的幾種方法

局域網(wǎng)內(nèi)的終端之間進(jìn)行呼叫和通信時(shí)不會(huì)有任何問題，但這些終端與外網(wǎng)終端進(jìn)行H.323通信時(shí)就會(huì)有問題產(chǎn)生，原因是局域網(wǎng)中的IP地址是私有的，在Internet中是不可路由的。當(dāng)局域網(wǎng)內(nèi)的終端呼叫外部終端時(shí)可以建立連接，但局域網(wǎng)內(nèi)的終端不能收到網(wǎng)外終端發(fā)送的語音和視頻數(shù)據(jù)包；局域網(wǎng)內(nèi)的終端也不能收到網(wǎng)外終端的呼叫。

H.323協(xié)議在端設(shè)備與端設(shè)備之間使用IP地址和端口進(jìn)行數(shù)據(jù)通信，防火墻的安全策略會(huì)限制未經(jīng)請(qǐng)求的外部數(shù)據(jù)包進(jìn)入，阻斷端設(shè)備與端設(shè)備之間的呼叫，就算防火墻打開了一個(gè)端口接收到呼叫申請(qǐng)的初始數(shù)據(jù)包，視頻協(xié)議還是會(huì)要求動(dòng)態(tài)分配一些端口用來接收申請(qǐng)呼叫的控制信息和建立音頻、視頻的數(shù)據(jù)通道，除非打開所有防火墻的端口，才可以進(jìn)行視頻通信，而這時(shí)防火墻也就失去了作用。

針對(duì)H.323協(xié)議的特點(diǎn)和NAT/防火墻的特性，人們提出了不同的解決方案，歸納起來主要有設(shè)置靜態(tài)NAT、擴(kuò)展協(xié)議方式、升級(jí)防火墻支持H.323ALG、隧道方式、H.323代理方式等幾種方式。

3.1 設(shè)置靜態(tài) NAT

當(dāng)在私網(wǎng)中的視頻終端種類和數(shù)量不大，對(duì)于自建網(wǎng)中的每臺(tái)視頻終端，在防火墻NAT上作網(wǎng)絡(luò)地址轉(zhuǎn)換，將私網(wǎng)地址一對(duì)一的映射到公網(wǎng)地址上，在防火墻上指定端口設(shè)置這些地址的開放策略。通過這種方法，自建網(wǎng)內(nèi)部的終端設(shè)備可以和公網(wǎng)、其它自建網(wǎng)之間終端設(shè)備進(jìn)行互通互聯(lián)。但這種方法存在以下不足和缺陷：①視頻終端設(shè)備要有支持靜態(tài)NAT設(shè)置，可以預(yù)先設(shè)置對(duì)應(yīng)的公網(wǎng)地址。②防火墻公網(wǎng)地址池中IP地址數(shù)要大于等于自建網(wǎng)內(nèi)終端設(shè)備的總數(shù)，任何節(jié)點(diǎn)的防火墻都需要有支持靜態(tài)NAT配置，投入成本比較大。③復(fù)雜的防火墻安全策略配置，即要在防火墻上把所有視頻終端的IP地址一對(duì)一地做靜態(tài)地址映射，還要把靜態(tài)映射后的公網(wǎng)IP地址對(duì)應(yīng)的全部端口打開。

3.2 擴(kuò)展協(xié)議方式

擴(kuò)展協(xié)議方式通過在公網(wǎng)上放置一個(gè)NATSWITCH設(shè)備，在GK上采用一定的策略，當(dāng)有私有網(wǎng)絡(luò)的端點(diǎn)參于呼叫時(shí)，把呼叫轉(zhuǎn)接到NATSWITCH上，通過NATSWITCH和NAT端點(diǎn)的消息交互，實(shí)現(xiàn)NATSWITCH和NAT后端點(diǎn)的互通，然后通過NATSWITCH實(shí)現(xiàn)私網(wǎng)和公網(wǎng)端點(diǎn)的互通。該方式實(shí)現(xiàn)穿透優(yōu)勢(shì)如下：①在私網(wǎng)內(nèi)的終端沒有進(jìn)入呼叫狀態(tài)時(shí)，只發(fā)送注冊(cè)消息，不額外增加NAT設(shè)備的負(fù)擔(dān)。②和公網(wǎng)的MCU/終端之間采用標(biāo)準(zhǔn)H.323協(xié)議。③不修改網(wǎng)絡(luò)結(jié)構(gòu)，兼容各種NAT方式。④僅在H.323協(xié)議上擴(kuò)展，對(duì)系統(tǒng)改動(dòng)小。

NATSWITCH接口如圖1所示，NATSWITCH是一個(gè)基于H.323協(xié)議的代理服務(wù)器，通過添加擴(kuò)展消息實(shí)現(xiàn)和NAT設(shè)備后的H.323實(shí)體互通，而它和公網(wǎng)的H.323實(shí)體的消息又是標(biāo)準(zhǔn)的H.323接口，具有兼容性。

3.3 升級(jí)防火墻支持H.323ALG

將正在運(yùn)行的防火墻/NAT升級(jí)改造為支持H.323ALG是解決視頻協(xié)議穿透問題的有效途徑。升級(jí)改造后的設(shè)備能夠解釋分析H.323協(xié)議內(nèi)容，對(duì)H.323協(xié)議的IP碼流可以直接進(jìn)行包頭、包內(nèi)IP地址轉(zhuǎn)換，并根據(jù)需求動(dòng)態(tài)打開相關(guān)媒體流的通信端口，在會(huì)話結(jié)束后再自動(dòng)關(guān)閉這些端口。不但證了網(wǎng)絡(luò)安全，還能使多媒體通信正常建立，這種方法存在的不足和缺陷有：①所有節(jié)點(diǎn)的防火墻都需要升級(jí)，網(wǎng)絡(luò)出口需要改造，投入成本比較大。②視頻會(huì)議系統(tǒng)需要改造所有網(wǎng)絡(luò)出口，難度較大，且設(shè)備放在用戶網(wǎng)內(nèi)，運(yùn)營商無法統(tǒng)一維護(hù)。

3.4 隧道方式

隧道方式的H.323穿越如圖2所示，服務(wù)器軟件和客戶機(jī)軟件?？蛻魴C(jī)放在防火墻后的私有網(wǎng)中，它同時(shí)起到網(wǎng)守和代理服務(wù)器的作用，自建網(wǎng)內(nèi)的視頻終端連接到客戶機(jī)上，客戶機(jī)與防火墻外的服務(wù)器建立了控制及信令通道，把所有的呼叫控制信令和注冊(cè)信息都轉(zhuǎn)發(fā)到服務(wù)器上，同時(shí)把音、視頻數(shù)據(jù)也轉(zhuǎn)發(fā)到服務(wù)器上。

在轉(zhuǎn)發(fā)時(shí)將內(nèi)部終端發(fā)送的以及外部發(fā)往終端的數(shù)據(jù)包的地址和端口號(hào)進(jìn)行替換。服務(wù)器放在防火墻外的公眾空間，可以位于服務(wù)供應(yīng)商網(wǎng)絡(luò)或者位于企業(yè)網(wǎng)的非保護(hù)區(qū)域(DMZ)，服務(wù)器扮演網(wǎng)守的角色，從客戶機(jī)收到的所有注冊(cè)和呼叫信令都被服務(wù)器轉(zhuǎn)發(fā)到中心網(wǎng)守。

當(dāng)私網(wǎng)內(nèi)客戶機(jī)啟動(dòng)時(shí)，客戶機(jī)與服務(wù)器上的偵聽端口建立一個(gè)固定連接用來傳送控制和狀態(tài)信息，監(jiān)聽私網(wǎng)內(nèi)H.323網(wǎng)守注冊(cè)和請(qǐng)求信息。

當(dāng)一個(gè)終端啟動(dòng)時(shí)，終端通過客戶機(jī)/服務(wù)器之間的連接發(fā)送注冊(cè)信息到中心網(wǎng)守，服務(wù)器分配給每一個(gè)注冊(cè)的終端一個(gè)唯一的端口號(hào)(與服務(wù)器的IP地址對(duì)應(yīng))。

當(dāng)一個(gè)終端呼叫防火墻外的另一個(gè)終端時(shí)，所有的數(shù)據(jù)包都通過客戶機(jī)路由到服務(wù)器，返回的數(shù)據(jù)也從服務(wù)器通過客戶機(jī)路由回到終端。當(dāng)呼叫被建立后，客戶機(jī)確保所有必需的經(jīng)過防火墻的音、視頻通道保持開放，這樣音、視頻數(shù)據(jù)可以通過這些防火墻上開放的通道進(jìn)行傳輸。

使用這種方法IP地址信息可以被很好地屏蔽，因?yàn)樗械臄?shù)據(jù)包通過服務(wù)器來轉(zhuǎn)發(fā)，每個(gè)終端看起來好像直接在和服務(wù)器進(jìn)行通信，而不是和別的終端，保證了終端的IP地址在網(wǎng)絡(luò)外不可被得到。而且這種方法在大多數(shù)情況下不用對(duì)防火墻的配置進(jìn)行修改。

圖3 H.323代理服務(wù)器組網(wǎng)圖

3.5 H.323 代理方式

如圖3所示，這種解決方案的典型應(yīng)用是在防火墻后放一個(gè)H.323代理，代理需要被分配公有IP地址。防火墻被配置允許代理和外部進(jìn)行多媒體通信。

從使用者的角度看，H.323代理服務(wù)器對(duì)用戶、設(shè)備和網(wǎng)絡(luò)是透明的。H.323代理是一個(gè)基于H.323協(xié)議的代理服務(wù)器，可以實(shí)現(xiàn)對(duì)H.323實(shí)體(MCU/終端)和媒體的代理功能。H.323代理對(duì)外的接口都采用標(biāo)準(zhǔn)的H.323協(xié)議。

由以上分析可以看出，沒有一個(gè)解決方案是完美的，應(yīng)該根據(jù)用戶不同的應(yīng)用場(chǎng)合選擇具體采用哪種穿越方式。

［1］基于包交換的多媒體通信系統(tǒng)[J].

［2］多媒體通信的信令協(xié)議和打包方法[S].