讓H.323協議輕松穿透防火墻/NAT

馮 穗

（中國人民武裝警察部隊廣東省公安邊防總隊 廣州通信站，廣東 廣州 510630）

由于IPV4地址的有限以及網絡安全問題，多數行業和單位用戶選擇組建自己內部的IP網絡來進行語音、圖像和數據通信。為了確保網絡安全，通常這些IP網絡和公網之間都通過NAT、防火墻等設備連接。

這些設備通常都會對通過它們的IP包按照相關策略進行過濾，同時對IP地址或端口進行相應轉換處理，導致基于H.323等協議的圖像和語音IP包不能夠正常通過。

1 關于H.323協議

現在常用的網絡會議軟件和網絡電話軟件采用的是國際電信聯盟（ITU-T）制定的 H.323 協議族，其中包括 H.225，H.245，Q.931 等，另外還有IETF制定的SIP（會話啟動協議）。SIP協議采用與http類似的文本命令形式，而且協議比較簡單，是未來網絡電話和即時通訊的方向。但由于H.323出現較早，已經有很多商業應用，比如微軟的NetMeeting采用的就是比較成熟的H.323，另外中國的電信企業實施IP電話時也傾向于采用H.323協議。所以H.323還將會在長時間內和SIP同時存在。

H.323標準定義了一個在基于分組的網絡上進行靈活的、實時的、可交互的多媒體通信協議集。個人計算機能在包交換網絡（網際網和內部網）和電路交換網絡上傳輸音頻，視頻和數據。

H.323網絡包括終端，網關，網守（Gatekeeper）和多點控制單元（MCU）。

2 關于NAT/防火墻

按照NAT的定義，內部本地地址表示分配給內部網絡中的計算機的IP地址；內部合法地址表示對外進行IP通信時，代表一個或多個內部本地地址的合法IP地址。

為了網絡的安全性，企業內部網一般都安裝了防火墻，它是一個放置于私有網內的設備，用來保護網絡資源免受外部的惡意破壞。防火墻總是被配置過濾掉所有不請自到的網絡通信。

3 解決H.323協議NAT/穿透防火墻的幾種方法

局域網內的終端之間進行呼叫和通信時不會有任何問題，但這些終端與外網終端進行H.323通信時就會有問題產生，原因是局域網中的IP地址是私有的，在Internet中是不可路由的。當局域網內的終端呼叫外部終端時可以建立連接，但局域網內的終端不能收到網外終端發送的語音和視頻數據包；局域網內的終端也不能收到網外終端的呼叫。

H.323協議在端設備與端設備之間使用IP地址和端口進行數據通信，防火墻的安全策略會限制未經請求的外部數據包進入，阻斷端設備與端設備之間的呼叫，就算防火墻打開了一個端口接收到呼叫申請的初始數據包，視頻協議還是會要求動態分配一些端口用來接收申請呼叫的控制信息和建立音頻、視頻的數據通道，除非打開所有防火墻的端口，才可以進行視頻通信，而這時防火墻也就失去了作用。

針對H.323協議的特點和NAT/防火墻的特性，人們提出了不同的解決方案，歸納起來主要有設置靜態NAT、擴展協議方式、升級防火墻支持H.323ALG、隧道方式、H.323代理方式等幾種方式。

3.1 設置靜態 NAT

當在私網中的視頻終端種類和數量不大，對于自建網中的每臺視頻終端，在防火墻NAT上作網絡地址轉換，將私網地址一對一的映射到公網地址上，在防火墻上指定端口設置這些地址的開放策略。通過這種方法，自建網內部的終端設備可以和公網、其它自建網之間終端設備進行互通互聯。但這種方法存在以下不足和缺陷：①視頻終端設備要有支持靜態NAT設置，可以預先設置對應的公網地址。②防火墻公網地址池中IP地址數要大于等于自建網內終端設備的總數，任何節點的防火墻都需要有支持靜態NAT配置，投入成本比較大。③復雜的防火墻安全策略配置，即要在防火墻上把所有視頻終端的IP地址一對一地做靜態地址映射，還要把靜態映射后的公網IP地址對應的全部端口打開。

3.2 擴展協議方式

擴展協議方式通過在公網上放置一個NATSWITCH設備，在GK上采用一定的策略，當有私有網絡的端點參于呼叫時，把呼叫轉接到NATSWITCH上，通過NATSWITCH和NAT端點的消息交互，實現NATSWITCH和NAT后端點的互通，然后通過NATSWITCH實現私網和公網端點的互通。該方式實現穿透優勢如下：①在私網內的終端沒有進入呼叫狀態時，只發送注冊消息，不額外增加NAT設備的負擔。②和公網的MCU/終端之間采用標準H.323協議。③不修改網絡結構，兼容各種NAT方式。④僅在H.323協議上擴展，對系統改動小。

NATSWITCH接口如圖1所示，NATSWITCH是一個基于H.323協議的代理服務器，通過添加擴展消息實現和NAT設備后的H.323實體互通，而它和公網的H.323實體的消息又是標準的H.323接口，具有兼容性。

3.3 升級防火墻支持H.323ALG

將正在運行的防火墻/NAT升級改造為支持H.323ALG是解決視頻協議穿透問題的有效途徑。升級改造后的設備能夠解釋分析H.323協議內容，對H.323協議的IP碼流可以直接進行包頭、包內IP地址轉換，并根據需求動態打開相關媒體流的通信端口，在會話結束后再自動關閉這些端口。不但證了網絡安全，還能使多媒體通信正常建立，這種方法存在的不足和缺陷有：①所有節點的防火墻都需要升級，網絡出口需要改造，投入成本比較大。②視頻會議系統需要改造所有網絡出口，難度較大，且設備放在用戶網內，運營商無法統一維護。

3.4 隧道方式

隧道方式的H.323穿越如圖2所示，服務器軟件和客戶機軟件?？蛻魴C放在防火墻后的私有網中，它同時起到網守和代理服務器的作用，自建網內的視頻終端連接到客戶機上，客戶機與防火墻外的服務器建立了控制及信令通道，把所有的呼叫控制信令和注冊信息都轉發到服務器上，同時把音、視頻數據也轉發到服務器上。

在轉發時將內部終端發送的以及外部發往終端的數據包的地址和端口號進行替換。服務器放在防火墻外的公眾空間，可以位于服務供應商網絡或者位于企業網的非保護區域(DMZ)，服務器扮演網守的角色，從客戶機收到的所有注冊和呼叫信令都被服務器轉發到中心網守。

當私網內客戶機啟動時，客戶機與服務器上的偵聽端口建立一個固定連接用來傳送控制和狀態信息，監聽私網內H.323網守注冊和請求信息。

當一個終端啟動時，終端通過客戶機/服務器之間的連接發送注冊信息到中心網守，服務器分配給每一個注冊的終端一個唯一的端口號(與服務器的IP地址對應)。

當一個終端呼叫防火墻外的另一個終端時，所有的數據包都通過客戶機路由到服務器，返回的數據也從服務器通過客戶機路由回到終端。當呼叫被建立后，客戶機確保所有必需的經過防火墻的音、視頻通道保持開放，這樣音、視頻數據可以通過這些防火墻上開放的通道進行傳輸。

使用這種方法IP地址信息可以被很好地屏蔽，因為所有的數據包通過服務器來轉發，每個終端看起來好像直接在和服務器進行通信，而不是和別的終端，保證了終端的IP地址在網絡外不可被得到。而且這種方法在大多數情況下不用對防火墻的配置進行修改。

圖3 H.323代理服務器組網圖

3.5 H.323 代理方式

如圖3所示，這種解決方案的典型應用是在防火墻后放一個H.323代理，代理需要被分配公有IP地址。防火墻被配置允許代理和外部進行多媒體通信。

從使用者的角度看，H.323代理服務器對用戶、設備和網絡是透明的。H.323代理是一個基于H.323協議的代理服務器，可以實現對H.323實體(MCU/終端)和媒體的代理功能。H.323代理對外的接口都采用標準的H.323協議。

由以上分析可以看出，沒有一個解決方案是完美的，應該根據用戶不同的應用場合選擇具體采用哪種穿越方式。

［1］基于包交換的多媒體通信系統[J].

［2］多媒體通信的信令協議和打包方法[S].