Met de snelle ontwikkeling van internet, van online multimedia-communicatie, zoals web conferencing, VoIP en andere toepassing verspreidde zich snel. Met de grootschalige toepassing van deze technologieën, een deel van het bestaande netwerk wordt ook gewezen op het conflict uit. Beperkt aantal entiteiten van het netwerk zoals het huidige einde van het pakket (pakket) door deze entiteiten wordt verwezen naar de firewall en netwerk adres vertalers.
1, H.323 profiel
nu algemeen gebruikte web conferencing software en Internet-telefonie software die gebruikt wordt door de Internationale Telecommunicatie Unie (ITU-T) ontwikkelde het H.323-protocol suite, waaronder H.225, H.245, Q.931, enz., in aanvulling op IETF de ontwikkeling van SIP (Session Initiation Protocol), SIP-protocol gebruikt met het http-commando soortgelijk aan de vorm van tekst, maar de overeenkomst is relatief eenvoudig, de toekomst van internet-telefonie en instant messaging richting. Echter, H.323 verscheen eerder, een aantal commerciële toepassingen, zoals Microsoft NetMeeting wordt gebruikt in meer volwassen H.323, andere Chinese telecom bedrijven naar IP-telefoons te doen uitvoeren eveneens van toepassing op de H.323-protocol. Dus ook een lange tijd H.323 en SIP gelijktijdig worden.
H.323-standaard definieert een packet-gebaseerde netwerken voor flexibele, real-time, interactieve multimediale communicatie protocollen in te stellen. Personal computers in pakketgeschakelde netwerken (internet en intranet) en circuitgeschakelde netwerken om audio, video en data versturen.
H.323-netwerk, inclusief terminal, gateway, gatekeeper (poortwachter) en multi-point control unit (MCU).
portier aan de LAN-toezicht op alle in hun regio H.323, biedt twee belangrijke diensten: bel de toegang en het adres resolutie. Alle in deze regio H.323 gatekeeper cliënt moet helpen bij het starten van een gesprek, kan een andere portier ook beslissen of de huidige beschikbare bandbreedte stelt klanten in staat te roepen.
gateway biedt de mogelijkheid de samenwerking tussen heterogene netwerken, zoals packet-switched netwerk en het telefoonnetwerk is een gateway tussen het protocol en data conversie.
MCU (Multipoint Control Unit) om multi-party conferencing multimedia mogelijkheden. Zij coördineert alle deelnemers van de media en communicatie mogelijkheden, audio mengen voor de eindpunten en video-opties (het eindpunt zelf niet kan volbrengen deze functie).
H.323 punt om ons te wijzen op het volgende voorbeeld wordt het communicatie proces communicatie aan te tonen. In dit geval maken we gebruik van de H.323-communicatie Alice en Bob als twee eindpunten. Alice buiten de firewall, Bob binnen de firewall.
de eerste plaats, Alice naar bekende H.323-poort Bob's 1720 een verbinding tot stand. Toen Bob en Alice in dit verband op Q.931 pakketjes versturen, in de Packet Exchange, naar Bob en Alice stuurt een dynamische poort wordt gebruikt om H.245-verbinding (dat wil zeggen, het cijfer CONNECT pakket H.245-adres vast te stellen ).
Vervolgens heeft de beller volgens de Q.931 streams overleg vast te stellen van een tijdelijke haven naar H.245 verbinden. H.245 onderhandelingsproces alle call parameters, zoals het gebruik van het coderen en decoderen van algoritmen. Eens deze parameters overleg afgesloten, H.245 OpenLogicalChannel sessie is begonnen, het proces voor een bepaalde media stream (zoals: audio of video) en stuur de overdracht van RTP en RTCP adres van de afzender en de poort (dat wil zeggen de kaart OpenLogicalChannel en OpenLogicalChannelAck in RTP en RTCP adres). Vervolgens stromen deze media kunnen worden overgedragen tussen twee eindpunten totdat de sessie wordt beëindigd.
2, H.323 via firewalls moeilijker
1, gebruik van veel dynamische poort
in het netwerk via een firewall kan beperken het type en de stroom van datapakketten (die grenzen kan worden gebaseerd op de bron IP-adres, IP adres of poortnummer doeleinden, zoals eenvoudige regels). Voor het H.323-protocol, moeten open poort 1718 of 1719 (uitgegeven een bericht naar de Poortwachter gebruikt RAS-poort), 1720 (de poort gebruikt voor bellen signalering berichten). Maar deze instelling niet helemaal het probleem van de H.323-applicaties via de firewall op te lossen, vooral omdat de media stream via RTP-protocol voor de overdracht, en de overdracht van de vereiste bron poort en haven van bestemming wordt dynamisch bepaald, kan deze poorten worden elke haven meer dan 1024, dus de H.323-datastroom te maken via de firewall, de firewall regels moeten alle havens meer dan 1024 geopend, is natuurlijk zeer onveilig.
2, firewall, Network Address Translation
Daarnaast zal met de snelle expansie van internet, IPv4-adresruimte te rennen in een ernstige situatie. Network Address Translation (NAT) kan dit probleem oplossen. Network Address Translation in traditionele Network Address Translation en Network Address poort vertaling.
traditionele network address translation is het adres convert via de firewall om een organisatie als bedoeld in de interne communicatie te gebruiken binnen een bepaald bereik van de prive-adressen, indien gebruikt met de external communication van een kleine pool van publieke IP-adressen
een ander network address translation is het netwerk adres en de poort vertaling, de verbouwing in de vorm van een intern adres, een of meer externe adressen, dan is de poort nummer dat wordt gebruikt om onderscheid te maken.
NAT gateway is geplaatst op de grens van twee van zijn functie is zichtbaar buiten het netwerk IP-adres en het adres wordt gebruikt binnen het netwerk in kaart brengen, zodat elk van de beschermde netwerk kan worden hergebruikt binnen een bepaald bereik van IP-adressen (192.168. xx), en deze adressen worden niet gebruikt voor openbare net. Afkomstig zijn van buiten het netwerk met het openbaar netwerk adres informatie pakket eerste NAT aangekomen, NAT goede regel om de standaard (de groep element te gebruiken bevat de bron aan te pakken, bron poort, bestemmingsadres, haven van bestemming, protocol) te wijzigen de datapakketten, en vervolgens toekomen aan de ontvangst van de punten binnen het netwerk. De uitstroom van datapakketten binnen het netwerk hebben om door deze omzetting.
NAT vanuit een security oogpunt van externe verborgen binnen het netwerk een middel van de topologie, maar ook om de enorme problemen H.323-toepassingen. Protocol bericht pakket is meestal ingebed in een specifiek deel van het IP-adres en poortnummer, in plaats van bovenaan in de IP header, dus als alleen NAT-protocol in de IP en poortnummer gebruiken, kunnen niet verwijzen naar de juiste plaats, die leidt tot de normale communicatie kan niet .
3, ASN.1 codering
H.323 grootste deel van de controle-informatie wordt gecodeerd met ASN.1, dat is een zeer complexe codering modus, dezelfde versie van dezelfde toepassing van dezelfde doeleinden in verband zal gebruik maken van verschillende opties, zodat de leden van hetzelfde in de datastroom te compenseren anders. Met het oog op nuttige informatie halen, de noodzaak voor het gebruik van gecodeerde ASN.1 pakketjes zorgvuldig te decoderen.