1、一 H.323協議簡介H.323協議簇是ITU的一個標準協議棧，它是一個有機的整體，根據功能可以將它分為4類協議，也就是說該協議從系統的總體框架（H.323）、視頻編解碼（H.263）、音頻編解碼（G.723.1）、系統控制（H.245）、數據流的復用（H.225）等各方面作了比較詳細的規定。H323系統中的信息流是視頻、音頻和控制消息的組合。系統控制的協議包括H.323、H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要組成部分。整個系統控制由H.245控制信道、H225.0呼叫信令信道和RAS（注冊、許可、狀態）信道提供。H.225它主要處理傳輸路徑問題，描述了如何

2、操作網絡包上的視頻、音頻、數據和控制信息使其提供 H.323 裝備會話服務。H.225 主要有兩個部分：呼叫信令和 RAS （注冊、接入允許和狀態）。H.225 詳細定義了 Q.931 信令信息的使用和支持。在 IP 網絡的 TCP 端口1720需要創建一個可靠的 TCP 呼叫控制信道，該端口完成 Q.931 呼叫控制信息的初始化，從而實現連接、維持和呼叫分離功能。H.245 是 H.323 多媒體通信體系中的控制信令協議，其主要用于處于通信中的 H.323 終點或終端間的端到端 H.245 信息交換。H.245制定了一個控制信道分段和重新裝配的協議層（CCSRL，Control Channe

3、l Segmentation and Reassembly Layer），它可以在易出錯環境下保證應用的可靠性。H.245提供了一種功能交換的功能，它支持兩端設備通過協商確定一組通用的功能集。二防火墻H.323 ALG功能簡介當內部網絡的H.323終端穿越防火墻與公網上的H.323終端進行通信時，由于NAT功能只能將傳輸層的IP及端口進行轉換，無法對H.323協議應用層攜帶的內部數據進行轉換，應用層中內部數據直接被轉發至公網，后續協議信息處理時會出現問題；而H323 ALG則可以實現應用層數據轉換，協議數據發至Internet時，將其應用層內部信息轉換成公網信息，實現完全隱藏內部終端達到通信正

4、常的目的。另外，應用防火墻一般只開放特定端口的數據進入內部網絡，H.323協議屬于多通道協議，控制連接使用端口1720，數據交換使用端口為臨時協商，無法事先預知，若無ALG功能，協商出數據交換通道所用端口后，外部網絡終端嘗試對內部終端數據交換的端口進行連接時，防火墻會對其進行阻斷，從而數據傳輸通道無法建立；開啟H.323 ALG功能后，會在對應用層轉換的IP地址及端口進行轉換的同時，將其信息進行記錄，使其在外部網絡終端嘗試對內部終端數據交換的端口進行連接時，防火墻進行協議識別，對后續相關協議報文執行放通策略，從而成功建立傳輸通道。三H.323 ALG的典型應用組網四一次基本的H323協議連接過

5、程及防火墻處理流程1. 客戶端與服務器建立TCP三次握手連接2.建立TCP連接之后，主叫終端通過H.225協議發送setup消息至被叫終端，表示主叫方希望建立通話（FW開啟了H323 ALG功能）1）內網主叫終端抓包報文2）外網被叫終端抓包報文由上面2個報文可以明顯看出ALG對協議應用層的數據進行了處理。3.被叫終端返回CallProceeding給主叫終端，表示被叫終端正在處理。4.被叫終端返回Alerting報文給主叫終端，表示被叫用戶已被振鈴。1）內網主叫終端抓包報文2）外網被叫終端抓包報文5.被叫終端返回Connect報文給主叫終端，表示被叫用戶已摘機并告知被叫終端已開放特定端口來進行

6、下一階段的協議協商過程。1）內網主叫終端抓包報文2）外網被叫終端抓包報文6.主叫方收到Connect報文后，進入H.245協商階段，H.245整個協商階段包括能力交換、主從確定、打開邏輯通道（通道打開之后傳輸數據）、關閉邏輯通道、斷開H.245TCP連接。1）內網主叫終端抓包報文（TCP三次握手階段）2）內網主叫終端抓包報文（打開邏輯通道階段（能力交換、主從確定階段省略）3）外網被叫終端抓包報文由以上報文可以看出后續數據傳輸被叫方將使用1503端口來建立連接。7.通道建立之后，進行數據傳輸（主叫方將使用多個端口與被叫方的1503端口進行連接來進行視頻、音頻數據的傳輸）8.數據傳輸完成后（通訊結

7、束）后，由主叫方發起EndSessionCommand與ReleaseComplete消息來釋放連接1） 內網主叫方抓包報文2） 外網被叫終端抓包報文完成上述報文交互之后，斷開TCP連接，至此已完成整個H323呼叫流程。注：防火墻會話如下（與上述抓包無關聯，僅作參考）五H323在防火墻中的幾種應用場景1.內部終端向外網終端發起會話，防火墻做SNAT； 由于h323通話setup消息中被叫方只關注應用層中destCallSignalAdress字段信息（檢查目的IP是否為自己，確認其是想要和自己通信）與傳輸層的源IP（主叫方IP），符合以上條件后才會進行后續協議協商；當發起方為內部終端時，目的I

8、P即為被叫終端的IP，不需ALG轉換；Netmeeting軟件數據傳輸通道都是由主叫方發起，不存在Untrust到Trust的阻斷問題；基于以上兩點，在此種場景下，是否開啟ALG都對其通訊無影響；但是沒有開啟ALG功能時，不會對setup消息中sourceCallSignalAdress字段的私網IP進行轉換而將其地址暴露在公網中；2.外網終端向內部終端發起會話，防火墻做DNAT； 當主叫方在外部網絡時，若沒有開啟ALG功能，H323的setup消息中字段信息destCallSignalAdress仍為防火墻目的NAT前的IP地址（沒有轉換為私網地址），被叫方在收到該消息后發現其不是想和自己進

9、行通訊，會直接返回releaseComplete消息來結束通訊請求；故在此種應用環境下，必須開啟ALG功能才能正常通訊。補充（轉）：H.323之童話故事篇說了這么多的呼叫流程，大家是不是有些頭暈眼花，沒有關系，看了下面的小故事，相信大家對于H.323一次呼叫過程就有了比較全面的了解。請看：在H.323的王國里有許多成員（各種H.323節點），為了確保這個王國的正常運轉，頌布了許多法令（H.323協議簇，其中主要有RAS、Q.931、H.245、TCP/IP、RTP/RTCP、UDP），無論是國王、還是臣民，大家都嚴格遵守這些法規。在這里將介紹H.323王國最重要的兩個角色國王（GK）、臣民（G

10、W）是如何遵照法規（RAS、Q.931、H.245）通信的。其中國王與臣民之間的通信遵守RAS協議，臣民與臣民間的通信遵守Q.931、H.245協議。首先，臣民（GW）應向國王注冊。一個臣民（GW）誕生后，會使用RAS協議去尋找自己的國王（GK），他高聲問到：“誰是我的國王請回答我！”，這時可能會有一個或者多個國王來響應：“你是我的臣民（GW），到我這里來注冊吧，這是我的地址。”，當然國王也可以拒絕臣民（GW）的請求：“你不是我的臣民（GW），別來煩我。”如果臣民（GW）幸運地得到了多個國王的青睞，他可以選擇一個國王并向他注冊。注冊成功后，臣民（GW）就可以享受國王提供的各種服務（如接入控制、

11、帶寬管理、地址翻譯等功能）。這時，當臣民（GW）與另一臣民（GW）通信時，不需要知道對方的地址，只需告訴國王想要和誰通信，國王會把對方的地址找來給他。對于那些沒有找到國王的臣民（GW）來說就有點慘了，因為沒有國王的幫助，他只能與自己相當熟悉的臣民（GW）通信（即知道對方的地址）。臣民（GW）向國王注冊可以有一個生命期，過了這個有效期，臣民（GW）還要再向國王注冊。下面看看H.323的國王與臣民是如何幫助PSTN王國的臣民通過IP網相互通信的（即IP電話是如何實現的）。一個PSTN王國的臣民C想通過IP網送給他遠方的朋友D一份特別的禮物，他跑去找與自己相熟的H.323王國的臣民A（GW），并把朋

12、友的電話告訴他，請他幫助通過IP網找這個朋友（即一個PSTN用戶撥打IP電話，呼入GW）。臣民A（GW）看不懂這個電話號碼，他應該怎么做才能找到那位朋友呢？向國王（GK）尋求幫助，解析電話號碼。由于在H.323王國里是使用IP協議通信的，所以臣民A（GW）拿到對方的電話號碼是沒有辦法與對方聯系的，他只有去尋找與對方相知的臣民B（目的GW）的地址。于是臣民A（GW）將電話號碼發送給他注冊的國王（GK），讓國王幫助尋找臣民B（目的GW）的地址。首先國王會對臣民A（GW）的請求進行認證，認證通過后，國王才會去尋找臣民B（目的GW）的地址。如果國王不知道臣民B（目的GW）的地址（即這個GW未在該GK上

13、注冊），他會向其它的國王（GK）詢問有誰知道臣民B（目的GW）的地址。當國王得到臣民B（目的GW）的地址后，就將該地址（呼叫信令傳輸地址=目的GW的IP地址+端口號）發回給臣民A（GW）。這樣，就可以在這兩個臣民（GW）間建立聯系（建立呼叫信令信道，開始Q.931協議流程）。臣民A（GW）告訴臣民B（目的GW）：“我的朋友C有禮物要送給你的朋友D，他的電話是XXX，他在家嗎？（即被叫用戶C是否空閉）”，臣民B（目的GW）趕緊告訴D，別走開，有人要送禮物給你（即目的GW提醒被叫用戶，并將該用戶空閉態置為忙）。然后臣民B（目的GW）通知臣民A（GW）“一切搞掂”（即GWB向GWA發送CONNECTION消息后），雙方開始討論采用什么方式將朋友C的禮物送給朋友D（即開始H.245協議流程，進行能力的協商）。臣民A（GW）說：“朋友C的禮物是：播放一首凱利金的GOING HOME薩克斯曲給他聽，我可以將這首曲子編輯為CD、VCD兩種格式，你可以解讀嗎？”臣民B（目的GW）：“我這里的設備還沒有升級呢，不好意思目前我只能解讀CD格式的曲子”（這就是H.245中的所謂能力協商，通過協商，獲得雙方都可以接受的語音編解碼類型）。臣民B（目的GW）通知臣民