防火墙H323协议处理流程及H323-ALG应用.docx

H.323协议简介H.323协议簇是ITU的一个标准协议栈，它是一个有机的整体，根据功能可以将它分为4类协议，也就是说该协议从系统的总体框架（H.323）、视频编解码（H.263）、音频编解码（G.723.1）、系统控制（H.245）、数据流的复用（H.225）等各方面作了比较详细的规定H323系统中的信息流是视频、音频和控制消息的组合系统控制的协议包括H.323、H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要组成部分整个系统控制由H.245控制信道、H225.0呼叫信令信道和RAS（注册、许可、状态）信道提供H.225它主要处理传输路径问题，描述了如何操作网络包上的视频、音频、数据和控制信息使其提供H.323装备会话服务H.225主要有两个部分：呼叫信令和RAS（注册、接入允许和状态）H.225详细定义了Q.931信令信息的使用和支持在IP网络的TCP端口1720需要创建一个可靠的TCP呼叫控制信道，该端口完成Q.931呼叫控制信息的初始化，从而实现连接、维持和呼叫分离功能H.245是H.323多媒体通信体系中的控制信令协议，其主要用于处于通信中的H.323终点或终端间的端到端H.245信息交换。

H.245制定了一个控制信道分段和重新装配的协议层（CCSRL，ControlChannelSegmentationandReassemblyLayer），它可以在易出错环境下保证应用的可靠性H.245提供了一种功能交换的功能，它支持两端设备通过协商确定一组通用的功能集二．防火墙H.323ALG功能简介当内部网络的H.323终端穿越防火墙与公网上的H.323终端进行通信时，由于NAT功能只能将传输层的IP及端口进行转换，无法对H.323协议应用层携带的内部数据进行转换，应用层中内部数据直接被转发至公网，后续协议信息处理时会出现问题；而H323ALG则可以实现应用层数据转换，协议数据发至Internet时，将其应用层内部信息转换成公网信息，实现完全隐藏内部终端达到通信正常的目的另外，应用防火墙一般只开放特定端口的数据进入内部网络，H.323协议属于多通道协议，控制连接使用端口1720,数据交换使用端口为临时协商，无法事先预知，若无ALG功能，协商出数据交换通道所用端口后，外部网络终端尝试对内部终端数据交换的端口进行连接时，防火墙会对其进行阻断，从而数据传输通道无法建立；开启H.323ALG功能后，会在对应用层转换的IP地址及端口进行转换的同时，将其信息进行记录，使其在外部网络终端尝试对内部终端数据交换的端口进行连接时，防火墙进行协议识别，对后续相关协议报文执行放通策略，从而成功建立传输通道。

三.H.323ALG的典型应用组网H323终端2:172,30158.100四.一次基本的H323协议连接过程及防火墙处理流程1 .客户端与服务器建立TCP三次握手连接〜1nr^iiOrsTi+rtryv・■鼠晒冲■1L1M3.9917230.156.U»KP⑻r也空独逆叵9II[刑5Hbp卡・“林Lariimss-i堀■l(LCC玳172.H1.DBilQO11.1L1L99KPhjjfDSt^>2msH”◎」5tq=.*1，r⑹班L&F略％厂汕-n而基苒U1〕1'QC1二打TCPBdrtK.fds>轴内hNtcallTxifl物中1"k*l雷n>6i?gIwho4Q.%fll!LIT」，的1记知1照1调KP[HP$弱联ntata-阮it%施t]5C.2DN14厂，XU通】见口」乙7耶KPh丑mlwsHall?caJr®_fds[ack]5«q=lMk=5*iM5531LB>=fl60.20B86711.1M3J917230.1S8,100H.225.0C5：setup?0,14753917I.1G,1S8.10011.12.13.99TtP[TCP弓/ti2ntofir&asstTT^dPDU]£西ILlhia.DS-2.抵1M1BTCP匚edrcEjfd当$hW21hCst£il】(ACK]S^q=227Atk=5toin=€1216Len=0g0.412926172.30,156.1M11.12.13.KH.U5.0<5：Alerting1：0.(1375411.1；.13.9917230.1U,100TCP&drasJ加>帕上加5Lta111鼠k]“(|=U：«.k=i4jdn=4419Tlbt>0ii5.乳区ggmi限11.11.13.99TCP[TCPSKiem肝i”拈*rtf时PX]125.9444U11.1M3.99D2JQ.1H.1C0TCPtdrM.fds>h32Jhastull5mq耻k-JL«i>：as.圳11.12.13.99H.喏,0C£：connectITOTST7?IEI23I3917T3TO5TX)KPoirtgsvc>ripp区闱如就讶n=5H」QLen^O*55-1460-Frane1(配b/tsonwire.Kbytes匚叩ard)-El帕侬II,5TC：W值;湿闲密;❸:见闻.DSCH叫2hDUM位洌(DO；掰;1G阳㈱即¥:PrnrtKDLSrc：1L1L1L第(口，1?口3).Dst：1□，哂,1翎「叩弓开ansri打ior口ntplProtMol,Src3an:zedros.fds(iUD),KtPart:hSJJhostull(r20)iSeq:G.Len;02 .建立TCP连接之后，主叫终端通过H.225协议发送setup消息至被叫终端，表示主叫方希望建立通话（FW开启了H323ALG功能）1）内网主叫终端抓包报文T7TT(JFT：；111P.KJ:;SI4口-1■MIT小TC=fi■二T亨.T丹nt__a,■■,gL与.以皂百，三iE「史丁=DL,WWW&丑与我1舞・珅I卯中Yi1L/CK.mq

i-rT^iusC:椁M；・巾£『/』二口：siTOTCTEsrasn^BFnEHWsswih「广而目"气既迎］：:已（0）：calliypeipQirtr&PoTnt(0>；_c-iif•产4-lTTcHnrUrx±■*7 Ethernet Tip Stc； HanqzhnMtt;fa=4« (00;24;ac;*t：6i；-<«i)i &5t； Vmari5c；*i7> 5c；Oc；7b?士 lHtmrnEt rrmflccl version 4P sre: i72.3D.15&.241 (172. 30.1SA.24.1), oat; 1721. M.15A_lDa (172.Jd. 15ft.IM)・ Mrsfflsslor tanrral ^r&TKol, s^£ Parr:我快呷£打电rx CJ74fl). Mt port: hJ^shosteall (K2<01 建q； L ack； l, l«h 2J2■ l[? RtirS5wbTfd TCP 就即门喧3 Q新 “tqG； n?9X<)- rtifiSCU?)] tpbtt, ^r£lon! 1, Lenqxh： 2IS占 Q.931S H.22k« CSHlju-ustT 工 rrf or Ml 1 an-hJ2J-uu-pduhn/陈".卯-bwly； 口 CO)■ srtiipprcncgcoTldeHiiFi^r: g. g. 3^250.0^3 以学才讪「Rsourtieiid.dreS'S.; 1 itenId IIM 01h』11“对打”手；所混】・lo CD 用 23-ro；中mhl dpt电chij SDkrceinffiDidiitCtHiigmiAMriii: TpMOrtsj [gj□刖国本既写 Mumet上忙？温卿也址1p^ L?2. iD,158.1M (172.10-156,100) fnart: 1/2&c cnfereiKesQi： st口齿 1353-皿田 T73-%ff «e44e29d592 a7-ccrtf€rerzEGoal. create [0)« cjllT>pe.时向 1■卅sR CO)一耳。

山一「1口321工国产半三/Jjpaddtf^5 (Ql _ '片「"之却C1723CU5LM1) Avr号由H—pyti 176ac■rimrYnz:™=-1l"rEijwld^ass__柬同hK贽制比'禺LL,12,1kWClt.l2,12.t*>：ipart:JJ51FCdll]dl£ritifricFQ+i-Tk/如飞1TFK5尸ECT：tL«r£vgrl^p5end;FiIsbtrmnsr^nriirdcail2）外网被叫终端抓包报文Fitpr:ip』ddr==EH.SCl1$&10C▼±iprHHDn..CJeatApp!savrNo.TmeSuiteDwtinBliairPthdcbIIim12#S,SKI33172r^.l^.ZHr九邦」札i叩RP司cftEEU罩EiEt-h323ba5tcal1g]5eq-lAtk-1ftiin-t42J0Len-CMMOl骐m.10.1SL3U«F[TEPAr1ed彻）iifd177.1^】工营1JL1ITf&hl?IKa?traill。