na rychlý rozvoj internetu, v on-line multimediálních komunikací, jako jsou webové konference, VoIP a dalších aplikací se rychle šíří. Se ve velkém měřítku používání těchto technologií, z nichž některé stávající sítě také upozorňuje na konflikt ven. Omezený počet sítě subjektů, jako je aktuální konec paketu (paketu), kterou tyto subjekty se vztahuje na firewall a překladače síťových adres.
1, H.323 profil
nyní běžně používané webové konference software a internetovou telefonii software používaný Mezinárodní telekomunikační unie (ITU-T), které vyvinula H.323 protokol Suite, včetně H.225, H.245, Q.931, atd., kromě IETF vývoj SIP (Session Initiation Protocol), SIP protokol používaný s http příkaz podobné formě textu, ale dohoda je relativně jednoduchý, o budoucnosti internetové telefonie a instant messaging směru. Nicméně, H.323 objevil dříve, počet komerčních aplikací, jako je například Microsoft NetMeeting je používán ve více zralých H.323, ostatní čínské telekomunikační podniky k provedení IP telefony se vztahuje rovněž na H.323 protokol. Tak také bude dlouho H.323 a SIP současně.
H.323 standard definuje paket-založené sítě pro flexibilní, real-time, interaktivní multimediální komunikační protokoly sady. Osobní počítače v balíčku-měnil sítě (internet a intranet) a přepojováním okruhů sítě pro přenos audio, video a data.
H.323 sítě, včetně terminal, gateway, gatekeeper (gatekeeper), a multi-bod řídicí jednotky (MCU).
gatekeeper sledovat LAN všechny v jejich regionu H.323 volání, nabízí dvě hlavní služby: volání přístup a adres. Vše v tomto regionu H.323 gatekeeper klient musí pomoci začít hovor, může další gatekeeper také rozhodnout, zda současná dostupné šířky pásma umožňuje zákazníkům volat.
brána nabízí možnost spolupráce mezi heterogenních sítích, jako je paketově-přepínaný sítě a telefonní sítě vyžaduje brána mezi protokol a konverzi dat.
MCU (Multipoint Control Unit) poskytnout multi-party multimediální konference schopnosti. Koordinuje všechny účastníky mediálních a komunikačních schopností, poskytne mixování zvuku pro hodnocení výsledků a video volby (endpoint sám nemůže splnit tuto funkci).
H.323 z místa na místo nás na následujícím příkladu demonstrovat komunikačního procesu komunikace. V tomto případě používáme H.323 komunikace Alice a Bob jako dva koncové body. Alice mimo firewall, Bob uvnitř brány firewall.
první, Alice na známý Bob H.323 port 1720 o navázání spojení. Poté, Bob a Alice se v této souvislosti poslat Q.931 paketů, při výměně paketů, Bob a Alice poslat dynamický port se používá ke stanovení H.245 spojení (to znamená, že postava CONNECT paketu H.245 světa ).
Následně volající podle Q.931 proudy konzultace o vytvoření dočasné port pro připojení H.245. H.245 procesu vyjednávání všech volání parametry, jako je používání kódování a dekódování. Jakmile tyto parametry konzultace dokončena, H.245 zasedání začalo OpenLogicalChannel, proces pro konkrétní media stream (např.: audio nebo video) a poslat přenosu RTP a RTCP adresa odesílatele a port (tj. map OpenLogicalChannel a OpenLogicalChannelAck v RTP a RTCP adresa). Poté, potoků tato média lze přenášet mezi dvěma koncovými body až do konce zasedání.
2, H.323 pomocí brány firewall obtížné
1, s použitím mnoha dynamických port
do sítě přes firewall může omezit datový paket typu a průtoku (Tento limit může být založen na zdrojovou adresu IP, IP adresu nebo číslo portu účely, jako je jednoduchá pravidla). Pro H.323 protokol, je třeba otevřít port 1718 nebo 1719 (vydal zprávu port Gatekeeper RAS používá), 1720 (port pro signalizace volání zpráv). Ale toto nastavení není úplně vyřešit problém H.323 aplikací přes firewall, hlavně proto, že media stream přes protokol RTP pro přenos a převod požadované zdrojový port a cílového portu je dynamicky určena, mohou být tyto porty každý port větší než 1024, takže by H.323 datového toku přes firewall, firewall pravidla je třeba otevřít všechny porty vyšší než 1024, je samozřejmě velmi nebezpečné.
2, firewall, Network Address Translation
Kromě toho se na internetu je rychlé expanze, IPv4 adresní prostor běžet v závažné situaci. Network Address Translation (NAT), může tento problém vyřešit. Překlad síťových adres do tradičního překladu síťových adres a síťových adres port překladu.
tradiční Network Address Translation je převést na adresu přes firewall, aby organizace pro použití v interní komunikace v rámci určitého rozsahu privátních adres, při použití s externí komunikaci malé skupiny veřejných adres IP
další Network Address Translation je síťová adresa a port překlad, konverze ve formě vnitřní adresy, jednu nebo více externích adres, pak číslo portu používané pro rozlišování.
NAT brána je umístěna na hranici dvou z jeho funkce je vidět mimo síť IP adresu a adresy použité v rámci sítě s mapováním, tak, aby každý z chráněné sítě může být znovu použity v rámci konkrétní rozsah adres IP (192.168. xx), a tyto adresy nejsou používány pro veřejné sítě. Pochází z území mimo síť s veřejnou informační síť adresa paketu poprvé přijel NAT, NAT dobré pravidlo se má použít výchozí (skupina element obsahuje zdrojovou adresu, zdrojový port, cílová adresa, cílový port, protokol) o změně datových paketů, a pak očekává obdrží body v síti. Odliv datových paketů v rámci sítě musí projít touto konverzí.
NAT z bezpečnostního hlediska vnějších skryté v rámci sítě za předpokladu, prostřednictvím topologie, ale také obrovské potíže H.323 aplikací. Protokol zpráva paket je obvykle zakotven v konkrétní části IP adresu a číslo portu, spíše než umístěné v záhlaví IP, takže pokud jen používat NAT, protokolu v IP a číslo portu nemůže poukázat na správné místo, což vede k běžné komunikaci, nemůže .
3, ASN.1 kódování
H.323 většinu kontrolní informace jsou kódovány pomocí ASN.1, což je velmi složité kódovací režim, stejnou verzi stejné aplikace stejné účely v souvislosti se bude používat různé možnosti, aby se členy stejné v datovém toku offset jiný. Za účelem získání užitečných informací, třeba pomocí ASN.1 kódované pakety pro dekódování pečlivě.