Med den raske utviklingen av Internett, i online multimedia kommunikasjon, som web-konferanser, VoIP og andre program spredde seg raskt. Med storskala bruk av disse teknologiene, fremhever noen av de eksisterende nettverk også konflikten ut. Begrenset antall nettverket enheter for eksempel gjeldende slutten av pakken (pakke) av disse enhetene refererer til brannmur og NATer.
1, H.323 profil
nå ofte brukt webkonferanser programvare og Internett-telefoni programvare som brukes av International Telecommunication Union (ITU-T) utviklet H.323-protokollen suite, inkludert H.225, H.245, Q.931, etc., i tillegg til IETF utvikling av SIP (Session Initiation Protocol), SIP-protokollen brukes sammen med http kommandoen lik form av tekst, men avtalen er relativt enkel, fremtiden for Internett-telefoni og direktemeldinger retning. Imidlertid dukket H.323 tidligere, en rekke kommersielle programmer, slik som Microsofts NetMeeting er brukt i mer modne H.323, til andre kinesiske telekom bedrifter implementerer IP-telefoner gjør også gjelde for H.323-protokollen. Så også vil være en lang tid H.323 og SIP samtidig.
H.323-standarden definerer en pakke-basert nettverk for fleksibel, real-time, sette interaktiv multimedia kommunikasjonsprotokoller. Personlige datamaskiner i pakkesvitsjede nettverk (internett og intranett) og Circuit Switched nettverk for å overføre lyd, video og data.
H.323-nettverket, inkludert terminal, gateway, gatekeeper (gatekeeper) og multi-punkt kontrollenheten (MCU).
gatekeeper å overvåke LAN alt i sin region H.323 samtale, gir det to viktige tjenester: ring tilgang og adresse oppløsning. Alle i denne regionen H.323 gatekeeper-klient må bidra til å starte en samtale, kan en annen gatekeeper også bestemme om dagens tilgjengelige båndbredden tillater kunder å ringe.
Gateway gir mulighet til operasjonen mellom heterogene nettverk, slik som pakkesvitsjede nett og telefon nettverket krever en gateway mellom protokollen og data konvertering.
MCU (Multipoint Control Unit) for å gi flere parter multimediekonferanser evner. Det koordinerer alle deltakerne på media og kommunikasjon evner, gi lydmiksing for endepunktene og video alternativer (endepunkt i seg selv kan ikke gjøre denne funksjonen).
H.323 punkt til punkt oss til følgende eksempel for å demonstrere kommunikasjonsprosessen kommunikasjon. I dette tilfellet bruker vi H.323 kommunikasjon Alice og Bob som to endepunkter. Alice utenfor brannmuren, Bob innenfor brannmuren.
første, med Alice til Bob's velkjente H.323 port 1720 opprette en tilkobling. Så, til Bob og Alice i den forbindelse sende Q.931 pakker, i utveksling av pakker, til Bob og Alice sende en dynamisk port brukes til å opprette H.245-tilkobling (som er, er tallet CONNECT pakken H.245 Adresse ).
Deretter til den som ringer under forhandlingene i Q.931 strømmen H.245 forbindelse etablere en midlertidig havn. H.245 forhandlingsprosess hele samtalen parametere, slik som bruk av koding og dekoding algoritmer. Når disse parametrene konsultasjonene avsluttet, startet H.245 økt OpenLogicalChannel, prosessen for en bestemt media strøm (for eksempel: lyd-eller video) og send overføring av RTP og RTCP avsender-adresse og port (dvs. kartet OpenLogicalChannel og OpenLogicalChannelAck i RTP og RTCP Adresse). Deretter bekker disse mediene kan overføres mellom to endepunkter til økten avsluttes.
2, H.323 gjennom brannmurer vanskelige
1, med massevis av dynamiske porten
inn i nettverket via en brannmur kan begrense datapakke type og mengde (Denne grensen kan være basert på kilde IP-adresse, IP-adresse eller port rekke formål som for eksempel enkle regler). For H.323-protokollen, trenger å åpne port 1718 eller 1719 (send en melding til gatekeeper RAS porten brukes), 1720 (ring signalisere meldinger brukt i havn). Men denne innstillingen ikke løser helt problemet med H.323-programmer gjennom brannmuren, hovedsakelig fordi mediene strømme gjennom RTP-protokollen til å overføre og overføre de nødvendige kildeport og lossehavn bestemmes dynamisk, kan disse portene være noen port høyere enn 1024, så gjør H.323 datastrømmen gjennom brannmuren, brannmuren reglene behovet for å åpne alle porter som er høyere enn 1024, er selvsagt svært usikre.
2, brannmur, Network Address Translation
I tillegg vil med Internett raske ekspansjon, IPv4 adresse plass løpe ut i en alvorlig situasjon. Network Address Translation (NAT) kan løse dette problemet. Network Address Translation i tradisjonelt Network Address Translation og Network Address porten oversettelse.
tradisjonelle Network Address Translation, er å konvertere adressen gjennom brannmuren til å tillate en organisasjon som skal brukes i den interne kommunikasjon innenfor et bestemt utvalg av private adresser, når det brukes sammen med ekstern kommunikasjon i et lite basseng med offentlige IP-adresser
annen Network Address Translation er nettverket adressen og porten oversettelse, konverteringen i form av en intern adresse, én eller flere eksterne adresser, så portnummeret som brukes for å skille.
NAT gateway er plassert på grensen mellom to av dets funksjon er synlig utenfor nettverket IP-adresse og adressen som brukes i nettverket med kartlegging, slik at hver av de beskyttede nettverket kan gjenbrukes innenfor en bestemt utvalg av IP-adresser (192.168. xx), og disse adressene brukes ikke til offentlig nett. Kommer fra utenfor nettverket med offentlig nettverk adresseinformasjon Packet første kom NAT, NAT god regel å bruke standard (gruppen elementet inneholder kilden adresse, source port, destinasjon adresse, destinasjon port, protokoll) til å endre data pakker, og deretter fram til å motta poeng i nettverket. Den strøm av datapakker i nettverket må gå gjennom denne konverteringen.
NAT fra et sikkerhetsmessig perspektiv av eksterne skjult i nettverket forutsatt et middel for topologi, men også til den enorme problemer H.323 programmer. Protokoll melding pakken er vanligvis innebygd i en bestemt del av IP-adresse og portnummer i stedet plassert i IP header, så hvis bare til å bruke NAT, protokoll i IP og portnummer kan ikke peke på rett sted, som førte til normal kommunikasjon kan ikke .
3, ASN.1 koding
H.323 meste av kontrollen informasjonen er kodet i ASN.1, som er en svært kompleks koding modus, samme versjon av samme program med samme formål i forbindelse vil bruke ulike alternativer, slik at medlemmer av samme i datastrømmen offset annerledes. For å trekke ut nyttig informasjon, behovet for å bruke ASN.1 kodede pakker å dekode nøye.