1、一 H.323協(xié)議簡介H.323協(xié)議簇是ITU的一個標(biāo)準(zhǔn)協(xié)議棧，它是一個有機(jī)的整體，根據(jù)功能可以將它分為4類協(xié)議，也就是說該協(xié)議從系統(tǒng)的總體框架（H.323）、視頻編解碼（H.263）、音頻編解碼（G.723.1）、系統(tǒng)控制（H.245）、數(shù)據(jù)流的復(fù)用（H.225）等各方面作了比較詳細(xì)的規(guī)定。H323系統(tǒng)中的信息流是視頻、音頻和控制消息的組合。系統(tǒng)控制的協(xié)議包括H.323、H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要組成部分。整個系統(tǒng)控制由H.245控制信道、H225.0呼叫信令信道和RAS（注冊、許可、狀態(tài)）信道提供。H.225它主要處理傳輸路徑問題，描述了如何

2、操作網(wǎng)絡(luò)包上的視頻、音頻、數(shù)據(jù)和控制信息使其提供 H.323 裝備會話服務(wù)。H.225 主要有兩個部分：呼叫信令和 RAS （注冊、接入允許和狀態(tài)）。H.225 詳細(xì)定義了 Q.931 信令信息的使用和支持。在 IP 網(wǎng)絡(luò)的 TCP 端口1720需要創(chuàng)建一個可靠的 TCP 呼叫控制信道，該端口完成 Q.931 呼叫控制信息的初始化，從而實現(xiàn)連接、維持和呼叫分離功能。H.245 是 H.323 多媒體通信體系中的控制信令協(xié)議，其主要用于處于通信中的 H.323 終點或終端間的端到端 H.245 信息交換。H.245制定了一個控制信道分段和重新裝配的協(xié)議層（CCSRL，Control Channe

3、l Segmentation and Reassembly Layer），它可以在易出錯環(huán)境下保證應(yīng)用的可靠性。H.245提供了一種功能交換的功能，它支持兩端設(shè)備通過協(xié)商確定一組通用的功能集。二防火墻H.323 ALG功能簡介當(dāng)部網(wǎng)絡(luò)的H.323終端穿越防火墻與公網(wǎng)上的H.323終端進(jìn)行通信時，由于NAT功能只能將傳輸層的IP及端口進(jìn)行轉(zhuǎn)換，無法對H.323協(xié)議應(yīng)用層攜帶的部數(shù)據(jù)進(jìn)行轉(zhuǎn)換，應(yīng)用層中部數(shù)據(jù)直接被轉(zhuǎn)發(fā)至公網(wǎng)，后續(xù)協(xié)議信息處理時會出現(xiàn)問題；而H323 ALG則可以實現(xiàn)應(yīng)用層數(shù)據(jù)轉(zhuǎn)換，協(xié)議數(shù)據(jù)發(fā)至Internet時，將其應(yīng)用層部信息轉(zhuǎn)換成公網(wǎng)信息，實現(xiàn)完全隱藏部終端達(dá)到通信正常的目的。

4、另外，應(yīng)用防火墻一般只開放特定端口的數(shù)據(jù)進(jìn)入部網(wǎng)絡(luò)，H.323協(xié)議屬于多通道協(xié)議，控制連接使用端口1720，數(shù)據(jù)交換使用端口為臨時協(xié)商，無法事先預(yù)知，若無ALG功能，協(xié)商出數(shù)據(jù)交換通道所用端口后，外部網(wǎng)絡(luò)終端嘗試對部終端數(shù)據(jù)交換的端口進(jìn)行連接時，防火墻會對其進(jìn)行阻斷，從而數(shù)據(jù)傳輸通道無法建立；開啟H.323 ALG功能后，會在對應(yīng)用層轉(zhuǎn)換的IP地址及端口進(jìn)行轉(zhuǎn)換的同時，將其信息進(jìn)行記錄，使其在外部網(wǎng)絡(luò)終端嘗試對部終端數(shù)據(jù)交換的端口進(jìn)行連接時，防火墻進(jìn)行協(xié)議識別，對后續(xù)相關(guān)協(xié)議報文執(zhí)行放通策略，從而成功建立傳輸通道。三H.323 ALG的典型應(yīng)用組網(wǎng)四一次基本的H323協(xié)議連接過程及防火墻處理流

5、程1. 客戶端與服務(wù)器建立TCP三次握手連接2.建立TCP連接之后，主叫終端通過H.225協(xié)議發(fā)送setup消息至被叫終端，表示主叫方希望建立通話（FW開啟了H323 ALG功能）1）網(wǎng)主叫終端抓包報文2）外網(wǎng)被叫終端抓包報文由上面2個報文可以明顯看出ALG對協(xié)議應(yīng)用層的數(shù)據(jù)進(jìn)行了處理。3.被叫終端返回CallProceeding給主叫終端，表示被叫終端正在處理。4.被叫終端返回Alerting報文給主叫終端，表示被叫用戶已被振鈴。1）網(wǎng)主叫終端抓包報文2）外網(wǎng)被叫終端抓包報文5.被叫終端返回Connect報文給主叫終端，表示被叫用戶已摘機(jī)并告知被叫終端已開放特定端口來進(jìn)行下一階段的協(xié)議協(xié)商過

6、程。1）網(wǎng)主叫終端抓包報文2）外網(wǎng)被叫終端抓包報文6.主叫方收到Connect報文后，進(jìn)入H.245協(xié)商階段，H.245整個協(xié)商階段包括能力交換、主從確定、打開邏輯通道（通道打開之后傳輸數(shù)據(jù)）、關(guān)閉邏輯通道、斷開H.245TCP連接。1）網(wǎng)主叫終端抓包報文（TCP三次握手階段）2）網(wǎng)主叫終端抓包報文（打開邏輯通道階段（能力交換、主從確定階段省略）3）外網(wǎng)被叫終端抓包報文由以上報文可以看出后續(xù)數(shù)據(jù)傳輸被叫方將使用1503端口來建立連接。7.通道建立之后，進(jìn)行數(shù)據(jù)傳輸（主叫方將使用多個端口與被叫方的1503端口進(jìn)行連接來進(jìn)行視頻、音頻數(shù)據(jù)的傳輸）8.數(shù)據(jù)傳輸完成后（通訊結(jié)束）后，由主叫方發(fā)起End

7、SessionCommand與ReleaseComplete消息來釋放連接1） 網(wǎng)主叫方抓包報文2） 外網(wǎng)被叫終端抓包報文完成上述報文交互之后，斷開TCP連接，至此已完成整個H323呼叫流程。注：防火墻會話如下（與上述抓包無關(guān)聯(lián)，僅作參考）五H323在防火墻中的幾種應(yīng)用場景1.部終端向外網(wǎng)終端發(fā)起會話，防火墻做SNAT； 由于h323通話setup消息中被叫方只關(guān)注應(yīng)用層中destCallSignalAdress字段信息（檢查目的IP是否為自己，確認(rèn)其是想要和自己通信）與傳輸層的源IP（主叫方IP），符合以上條件后才會進(jìn)行后續(xù)協(xié)議協(xié)商；當(dāng)發(fā)起方為部終端時，目的IP即為被叫終端的IP，不需ALG

8、轉(zhuǎn)換；Netmeeting軟件數(shù)據(jù)傳輸通道都是由主叫方發(fā)起，不存在Untrust到Trust的阻斷問題；基于以上兩點，在此種場景下，是否開啟ALG都對其通訊無影響；但是沒有開啟ALG功能時，不會對setup消息中sourceCallSignalAdress字段的私網(wǎng)IP進(jìn)行轉(zhuǎn)換而將其地址暴露在公網(wǎng)中；2.外網(wǎng)終端向部終端發(fā)起會話，防火墻做DNAT； 當(dāng)主叫方在外部網(wǎng)絡(luò)時，若沒有開啟ALG功能，H323的setup消息中字段信息destCallSignalAdress仍為防火墻目的NAT前的IP地址（沒有轉(zhuǎn)換為私網(wǎng)地址），被叫方在收到該消息后發(fā)現(xiàn)其不是想和自己進(jìn)行通訊，會直接返回releaseC

9、omplete消息來結(jié)束通訊請求；故在此種應(yīng)用環(huán)境下，必須開啟ALG功能才能正常通訊。補(bǔ)充（轉(zhuǎn)）：H.323之童話故事篇說了這么多的呼叫流程，大家是不是有些頭暈眼花，沒有關(guān)系，看了下面的小故事，相信大家對于H.323一次呼叫過程就有了比較全面的了解。請看：在H.323的王國里有許多成員（各種H.323節(jié)點），為了確保這個王國的正常運轉(zhuǎn)，頌布了許多法令（H.323協(xié)議簇，其中主要有RAS、Q.931、H.245、TCP/IP、RTP/RTCP、UDP），無論是國王、還是臣民，大家都嚴(yán)格遵守這些法規(guī)。在這里將介紹H.323王國最重要的兩個角色國王（GK）、臣民（GW）是如何遵照法規(guī)（RAS、Q.9

10、31、H.245）通信的。其中國王與臣民之間的通信遵守RAS協(xié)議，臣民與臣民間的通信遵守Q.931、H.245協(xié)議。首先，臣民（GW）應(yīng)向國王注冊。一個臣民（GW）誕生后，會使用RAS協(xié)議去尋找自己的國王（GK），他高聲問到：“誰是我的國王請回答我！”，這時可能會有一個或者多個國王來響應(yīng)：“你是我的臣民（GW），到我這里來注冊吧，這是我的地址?！?，當(dāng)然國王也可以拒絕臣民（GW）的請求：“你不是我的臣民（GW），別來煩我?！比绻济瘢℅W）幸運地得到了多個國王的青睞，他可以選擇一個國王并向他注冊。注冊成功后，臣民（GW）就可以享受國王提供的各種服務(wù)（如接入控制、帶寬管理、地址翻譯等功能）。這時，

11、當(dāng)臣民（GW）與另一臣民（GW）通信時，不需要知道對方的地址，只需告訴國王想要和誰通信，國王會把對方的地址找來給他。對于那些沒有找到國王的臣民（GW）來說就有點慘了，因為沒有國王的幫助，他只能與自己相當(dāng)熟悉的臣民（GW）通信（即知道對方的地址）。臣民（GW）向國王注冊可以有一個生命期，過了這個有效期，臣民（GW）還要再向國王注冊。下面看看H.323的國王與臣民是如何幫助PSTN王國的臣民通過IP網(wǎng)相互通信的（即IP是如何實現(xiàn)的）。一個PSTN王國的臣民C想通過IP網(wǎng)送給他遠(yuǎn)方的朋友D一份特別的禮物，他跑去找與自己相熟的H.323王國的臣民A（GW），并把朋友的告訴他，請他幫助通過IP網(wǎng)找這個朋

12、友（即一個PSTN用戶撥打IP，呼入GW）。臣民A（GW）看不懂這個，他應(yīng)該怎么做才能找到那位朋友呢？向國王（GK）尋求幫助，解析。由于在H.323王國里是使用IP協(xié)議通信的，所以臣民A（GW）拿到對方的是沒有辦法與對方聯(lián)系的，他只有去尋找與對方相知的臣民B（目的GW）的地址。于是臣民A（GW）將發(fā)送給他注冊的國王（GK），讓國王幫助尋找臣民B（目的GW）的地址。首先國王會對臣民A（GW）的請求進(jìn)行認(rèn)證，認(rèn)證通過后，國王才會去尋找臣民B（目的GW）的地址。如果國王不知道臣民B（目的GW）的地址（即這個GW未在該GK上注冊），他會向其它的國王（GK）詢問有誰知道臣民B（目的GW）的地址。當(dāng)國王得

13、到臣民B（目的GW）的地址后，就將該地址（呼叫信令傳輸?shù)刂?目的GW的IP地址+端口號）發(fā)回給臣民A（GW）。這樣，就可以在這兩個臣民（GW）間建立聯(lián)系（建立呼叫信令信道，開始Q.931協(xié)議流程）。臣民A（GW）告訴臣民B（目的GW）：“我的朋友C有禮物要送給你的朋友D，他的是XXX，他在家嗎？（即被叫用戶C是否空閉）”，臣民B（目的GW）趕緊告訴D，別走開，有人要送禮物給你（即目的GW提醒被叫用戶，并將該用戶空閉態(tài)置為忙）。然后臣民B（目的GW）通知臣民A（GW）“一切搞掂”（即GWB向GWA發(fā)送CONNECTION消息后），雙方開始討論采用什么方式將朋友C的禮物送給朋友D（即開始H.245協(xié)議流程，進(jìn)行能力的協(xié)商）。臣民A（GW）說：“朋友C的禮物是：播放一首凱利金的GOING HOME薩克斯曲給他聽，我可以將這首曲子編輯為CD、VCD兩種格式，你可以解讀嗎？”臣民B（目的GW）：“我這里的設(shè)備還沒有升級呢，不好意思目前我只能解讀CD格式的曲子”（這就是H.245中的所謂能力協(xié)商，通過協(xié)商，獲得雙方都可以接受的語音編解碼類型）。臣民B（目的GW