Mit der rasanten Entwicklung des Internet, in Online-Multimedia-Kommunikation, wie z. B. Web-Conferencing, VoIP und andere Applikationen schnell zu verbreiten. Mit der großflächigen Anwendung dieser Technologien, die teilweise das bestehende Netz hebt auch den Konflikt aus. Begrenzte Anzahl von Netzwerk-Einrichtungen wie etwa das aktuelle Ende des Pakets (Paket) durch diese Einrichtungen bezieht sich auf die Firewall und Network Address Translators.
1, H.323 Profil
jetzt allgemein Web-Conferencing-Software und Internet-Telefonie-Software von der International Telecommunication Union (ITU-T verwendet) entwickelte das H.323-Protokoll-Suite, einschließlich H.225, H.245, Q.931, etc., zusätzlich zu IETF verwendet entwickelten SIP (Session Initiation Protocol), SIP-Protokoll mit dem HTTP-Befehl ähnlich der Form von Text verwendet, aber die Einigung ist relativ einfach, die Zukunft der Internet-Telefonie und Instant-Messaging-Richtung. Allerdings erschien H.323 zuvor eine Reihe von kommerziellen Anwendungen wie Microsoft NetMeeting ist in reiferen H.323 verwendet, andere chinesische Telekom-Unternehmen für IP-Telefone umzusetzen weiß auch das H.323-Protokoll anwenden. So wird auch eine lange Zeit gleichzeitig H.323 und SIP werden.
H.323-Standard definiert ein Paket-basierter Netzwerke für flexible, Echtzeit, interaktive Multimedia-Set-Kommunikationsprotokolle. Personal Computern in paketvermittelten Netzen (Internet und Intranet) und Circuit-Switched-Netzwerke eingeschaltet, um Audio, Video und Daten übertragen.
H.323-Netzwerk, einschließlich Terminal, Gateway, Gatekeeper (Torwächter) und Multi-Point-Control Unit (MCU).
Gatekeeper an das LAN, alles in ihrer Region überwachen H.323, bietet es zwei wesentliche Leistungen: call-Zugang und die Resolution der Adresse. Alle in dieser Region H.323 Gatekeeper-Client muss dazu beitragen, einen Anruf zu starten, kann ein anderer Gatekeeper auch entscheiden, ob die derzeit verfügbare Bandbreite Kunden nennen können.
Gateway bietet die Möglichkeit, zwischen heterogenen Netzen, wie paketvermitteltes Netz und das Telefonnetz erfordert ein Gateway zwischen dem Protokoll und Datenkonvertierung.
MCU (Multipoint Control Unit), um Mehrparteien-Multimedia-Conferencing-Funktionen. Es koordiniert alle Teilnehmer der Medien-und Kommunikationsfunktionen bieten Audio-Mischpult für die Endpunkte und Video-Optionen (dem Endpunkt selbst nicht erfüllen können diese Funktion).
H.323 Punkt für uns in dem folgenden Beispiel verweisen auf die Mitteilung der Prozess-Kommunikation zu demonstrieren. In diesem Fall verwenden wir die H.323-Kommunikation Alice und Bob als zwei Endpunkten. Alice außerhalb der Firewall, Bob innerhalb der Firewall.
zunächst auf Alice zu bekannten H.323 Bob's Port 1720 eine Verbindung herzustellen. Dann, Bob und Alice in diesem Zusammenhang auf Q.931-Pakete zu senden, in den Austausch von Paketen, um Bob und Alice senden einen dynamischen Port wird verwendet, um H.245-Verbindung (dh die Abbildung Verbindungspaket H.245-Adresse einzurichten ).
Anschließend, nach den Anrufer an die Q.931 Streams Konsultationen einen temporären Port H.245 Verbindung zu etablieren. H.245 Verhandlungsprozesses alle nennen Parameter, wie zB die Verwendung von Encoding und Decoding Algorithmen. Sobald diese Parameter Konsultationen abgeschlossen, begonnen H.245-Sitzung OpenLogicalChannel, den Prozess für eine bestimmte Media-Stream (wie zB: Audio oder Video) und senden die Übertragung von RTP und RTCP Absender-Adresse und Port (dh die Karte und OpenLogicalChannel OpenLogicalChannelAck in RTP und RTCP-Adresse). Dann, Bächen dieser Medien kann zwischen zwei Endpunkten, bis die Sitzung beendet übertragen werden.
2, H.323 schwer durch Firewalls
1, mit vielen dynamischen Port
in das Netzwerk durch eine Firewall schränken die Art und Datenpaket-Flow (Diese Grenze kann auf Grund von Quell-IP-Adresse, IP-Adresse oder Port zu verschiedenen Zwecken, wie einfache Regeln). Für das H.323-Protokoll, müssen offenen Port 1718 oder 1719 (eine Nachricht an den Gatekeeper RAS Port ausgegeben), 1720 (der Port für Rufsignalisierung Nachrichten verwendet). Aber diese Einstellung nicht vollständig lösen das Problem der H.323-Anwendungen durch die Firewall, vor allem weil die Medien-Stream über RTP-Protokoll zu übertragen, und die Übertragung der erforderlichen Source Port und Destination Port wird dynamisch festgelegt, so kann diese Ports werden jeden Port größer als 1024, so stellen die H.323-Datenstrom durch die Firewall, müssen die Firewall-Regeln auf alle Ports größer als 1024 zu öffnen, ist natürlich sehr unsicher.
2, Firewall, Network Address Translation
Darüber hinaus wird mit dem Internet zu einer raschen Expansion bei IPv4-Adressraum erschöpft in einer ernsten Situation. Network Address Translation (NAT) kann dieses Problem lösen. Network Address Translation in traditionelle Network Address Translation und Network Address Port Translation.
traditionellen Network Address Translation wird an die Adresse durch die Firewall zu konvertieren, damit eine Organisation, in der internen Kommunikation innerhalb eines bestimmten Bereichs der privaten Adressen, wenn es mit der externen Kommunikation von einem kleinen Pool von öffentlichen IP-Adressen verwendet Nutzung
anderen Network Address Translation ist die Netzwerk-Adresse und Port-Übersetzung, die Umwandlung in Form einer internen Adresse, eine oder mehrere externe Adressen, dann ist die Port-Nummer verwendet werden, um zu unterscheiden.
NAT-Gateway ist auf der Grenze zweier seiner Funktion gesetzt wird sichtbar außerhalb der Netzwerk-IP-Adresse und die Adresse verwendet innerhalb des Netzwerks mit Mapping, so dass jeder der geschützten Netzwerk können innerhalb eines bestimmten Bereichs von IP-Adressen (192,168 wiederverwendet werden. xx), und diese Adressen werden nicht für öffentliche Netz verwendet. Kommen Sie von außerhalb des Netzwerks mit dem öffentlichen Netzwerk-Adresse Infopaket ankam, NAT, NAT gute Regel auf den Standardwert (der Gruppe Element verwenden enthält die Quelladresse, Quellport, Zieladresse, Zielport, Protokoll), um die Datenpakete zu ändern, und dann uns auf Punkte innerhalb des Netzwerks. Der Abfluss von Datenpaketen im Netzwerk haben, um durch diese Umwandlung gehen.
NAT aus sicherheitspolitischer Sicht der externen versteckt innerhalb des Netzes stellt ein Instrument der Topologie, sondern auch auf die enormen Schwierigkeiten H.323-Anwendungen. Protokoll Nachrichtenpaket ist in der Regel in einem spezifischen Abschnitt der IP-Adresse und Port-Nummer, anstatt in den IP-Header platziert eingebettet, so dass, wenn nur die NAT-, Protokoll in der IP-und Port-Nummer verwenden können, nicht an der richtigen Stelle zeigen, was zu der normalen Kommunikation kann nicht .
3, ASN.1-Codierung
H.323 meisten der Steuerung Informationen werden verschlüsselt mittels ASN.1, die eine sehr komplexe Codemodus, die gleiche Version der gleichen Anwendung der gleichen Zwecken im Zusammenhang werden unterschiedliche Optionen verwendet wird, so dass die Mitglieder der gleichen im Datenstrom ausgeglichen anders. Um nützliche Informationen zu extrahieren, die Notwendigkeit für die Verwendung von ASN.1-kodierten Pakete sorgfältig zu dekodieren.