為了網路的安全性,企業內部網一般都安裝了防火牆,它是乙個放置於私有網內的裝置,用來保護網路資源免受外部的惡意破壞。防火牆總是被配置過濾掉所有不請自到的網路通訊。
3 解決h.323協議nat/穿透防火牆的幾種方法
區域網內的終端之間進行呼叫和通訊時不會有任何問題,但這些終端與外網終端進行h.323通訊時就會有問題產生,原因是區域網中的ip位址是私有的,在 internet中是不可路由的。當區域網內的終端呼叫外部終端時可以建立連線,但區域網內的終端不能收到網外終端傳送的語音和**資料報;區域網內的終端也不能收到網外終端的呼叫。
h.323協議在端裝置與端裝置之間使用ip位址和埠進行資料通訊,防火牆的安全策略會限制未經請求的外部資料報進入,阻斷端裝置與端裝置之間的呼叫,就算防火牆開啟了乙個埠接收到呼叫申請的初始資料報,**協議還是會要求動態分配一些埠用來接收申請呼叫的控制資訊和建立音訊、**的資料通道,除非開啟所有防火牆的埠,才可以進行**通訊,而這時防火牆也就失去了作用。
針對h.323協議的特點和nat/防火牆的特性,人們提出了不同的解決方案,歸納起來主要有設定靜態nat、擴充套件協議方式、公升級防火牆支援h.323alg、隧道方式、h.
323**方式等幾種方式。
3.1 設定靜態nat
當在私網中的**終端種類和數量不大,對於自建網中的每台**終端,在防火牆nat上作網路位址轉換,將私網位址一對一的對映到公網位址上,在防火牆上指定埠設定這些位址的開放策略。通過這種方法,自建網內部的終端裝置可以和公網、其它自建網之間終端裝置進行互通互聯。但這種方法存在以下不足和缺陷:
①**終端裝置要有支援靜態nat設定,可以預先設定對應的公網位址。②防火牆公網位址池中ip位址數要大於等於自建網內終端裝置的總數,任何節點的防火牆都需要有支援靜態nat配置,投入成本比較大。③複雜的防火牆安全策略配置,即要在防火牆上把所有**終端的ip位址一對一地做靜態位址對映,還要把靜態對映後的公網ip位址對應的全部埠開啟。
3.2 擴充套件協議方式
擴充套件協議方式通過在公網上放置乙個natswitch裝置,在gk上採用一定的策略,當有私有網路的端點參於呼叫時,把呼叫轉接到natswitch上, 通過natswitch和nat端點的訊息互動,實現natswitch和nat後端點的互通,然後通過natswitch實現私網和公網端點的互通。該方式實現穿透優勢如下:①在私網內的終端沒有進入呼叫狀態時,只傳送註冊訊息,不額外增加nat裝置的負擔。
②和公網的mcu/終端之間採用標準h.323協議。③不修改網路結構,相容各種nat方式。
④僅在h.323協議上擴充套件,對系統改動小。
3.3 公升級防火牆支援h.323alg
將正在執行的防火牆/nat公升級改造為支援h.323alg是解決**協議穿透問題的有效途徑。公升級改造後的裝置能夠解釋分析h.
323協議內容,對h.323協議的ip碼流可以直接進行包頭、包內ip位址轉換,並根據需求動態開啟相關**流的通訊埠,在會話結束後再自動關閉這些埠。不但證了網路安全,還能使多**通訊正常建立,這種方法存在的不足和缺陷有:
①所有節點的防火牆都需要公升級,網路出口需要改造,投入成本比較大。②**會議系統需要改造所有網路出口,難度較大,且裝置放在使用者網內,運營商無法統一維護。
3.4 隧道方式
隧道方式的h.323穿越如圖2所示,伺服器軟體和客戶機軟體。客戶機放在防火牆後的私有網中,它同時起到網守和**伺服器的作用,自建網內的**終端連線到客戶機上,客戶機與防火牆外的伺服器建立了控制及信令通道,把所有的呼叫控制信令和註冊資訊都**到伺服器上,同時把音、**資料也**到伺服器上。
在**時將內部終端傳送的以及外部發往終端的資料報的位址和埠號進行替換。伺服器放在防火牆外的公眾空間,可以位於服務**商網路或者位於企業網的非保護區域(dmz),伺服器扮演網守的角色,從客戶機收到的所有註冊和呼叫信令都被伺服器**到中心網守。
當私網內客戶機啟動時,客戶機與伺服器上的偵聽埠建立乙個固定連線用來傳送控制和狀態資訊,監聽私網內h.323網守註冊和請求資訊。
當乙個終端啟動時,終端通過客戶機/伺服器之間的連線傳送註冊資訊到中心網守,伺服器分配給每乙個註冊的終端乙個唯一的埠號(與伺服器的ip位址對應)。
當乙個終端呼叫防火牆外的另乙個終端時,所有的資料報都通過客戶機路由到伺服器,返回的資料也從伺服器通過客戶機路由回到終端。當呼叫被建立後,客戶機確保所有必需的經過防火牆的音、**通道保持開放,這樣音、**資料可以通過這些防火牆上開放的通道進行傳輸。
使用這種方法ip位址資訊可以被很好地遮蔽,因為所有的資料報通過伺服器來**,每個終端看起來好像直接在和伺服器進行通訊,而不是和別的終端,保證了終端的ip位址在網路外不可被得到。而且這種方法在大多數情況下不用對防火牆的配置進行修改。
3.5 h.323**方式
從使用者的角度看,h.323**伺服器對使用者、裝置和網路是透明的。h.
323**是乙個基於h.323協議的**伺服器,可以實現對h.323實體(mcu/終端)和**的**功能。
h.323**對外的介面都採用標準的h.323協議。
由以上分析可以看出,沒有乙個解決方案是完美的,應該根據使用者不同的應用場合選擇具體採用哪種穿越方式。
【參考文獻】
[1]基於包交換的多**通訊系統[j].
[2]多**通訊的信令協議和打包方法[s].
H323協議簡介和呼叫流程
編者 潘亞輝 審核 陳松 中興通訊固網交換用服部 修改記錄 協議概念 h.323是由itu制定的通訊控制協議,用於在分組交換網中提供多 業務。呼叫控制是其中的重要組成部分,它可用來建立點到點的 會話和多點間 會議。h.323定義了介於電路交換網和分組交換網之間的h.323閘道器 gateway 用於...
職業生涯規劃指南職業規劃讓你用簡歷秒殺HR
職業規劃在簡歷當中該如何體現呢?閆嶺認為,簡歷可以從以下五個方面來體現個人職業規劃 1 自我評價 通常來說,人事經理在瀏覽簡歷時首先看的就是你的自我評價 出色的自我評價能使你的簡歷在眾多背景類似的簡歷中脫穎而出。hr從自我評價中想看到的,是你對自己的了解,以及你對公司目前所招聘職位的了解和匹配度,而...