用户接入公私网穿越的问题及现状

5.1 用户接入公私网穿越面临的问题

    根据上面H.323及防火墙、NAT基本理论的说明。对于私网LAN接入方式中的用户，如果需要开通视讯业务，必须考虑如下问题：

    5.1.1 防火墙的端口开放

    由于防火墙一般需要包过滤及状态检测，因此为了网络安全，用户侧防火墙在访问列表配置时，除提供网内业务需要知名端口外（如Http的80端口），其它端口都Deny。而要进行视频通信， 就要求防火墙对H.323的支持，如果FW支持H.323协议，那么只要打开FW对H.323的支持即可。FW在收到公网侧的呼叫时，会根据通讯过程动态 的打开H.323通讯所需要的端口，在呼叫结束后（FW会通过H.323信令自动发现），FW又自动关闭在呼叫过程中动态打开的所以端口，从而保证了网络 的安全，使黑客无机可趁。如果FW不支持H.323协议，为了保证H.323通讯，需要在FW上打开部分端口，以允许媒体流的进入。

    H.323协议需要开放对应的业务端口如：

    RAS注册信令：UDP，RAS，一般需要端口1719

    Q.931呼叫信令：TCP，Q.931，一般需要端口1720

    H245控制信令端口：TCP，端口为1320～1327

    。。。。。。

    5.1.2 H.323包转换

    因为私网中一般都是通过防火墙完成普通业务的接入，但是由于视讯应用的H.323 IP包结构和其他应用的包结构不同，在H.323包中，不仅仅包头含有IP地址要转化，而且在包内部还有IP地址要进行转化。防火墙如果支持H.323协 议，在H.323包通过时，会自动对包中相关地址进行变换，但在实际的应用中却普遍存在业务防火墙对H.323协议支持不完善，导致当启用防火墙的 H.323功能后，反而出现H.323通信问题。

    5.1.3 HTTP Proxy服务器方式

    现在部分企业内部局域网仅通过HTTP Proxy服务器开放上网业务，对于这类用户，由于HTTP Proxy是采用缓存技术保存Http网页，实时性很差，并且不支持内部与外部网络的TCP连接，不支持UDP包的传输，这些局限性，恰恰限制了H.323协议的传输，因此，在这种情况下，建议企业重新考虑采用直接路由器NAT上网方式，在出口路由器前端配置硬件防火墙（如Netscreen、CheckPoint、华为的Eudemon防火墙等），这样就可以实现IP视讯业务了。

    5.2 用户接入公私网穿越的现状

    由于上述问题的存在，给H.323视频通信在公私网穿越带来了很大的障碍，现阶段业界普遍采用了如下几种方式。

    5.2.1 静态NAT

    当在私网中的视讯终端数量很少，并且可以提供对应的公网地址，可采取这种方式，对于私网中的每个终端，在防火墙NAT上作静态NAT，即私网地址与公网地址一对一的映射。在这种情况下，

    1) 适用范围：

    私网和公网终端互通，私网和私网之间终端互通。

    2) 限制及要求：

    ·终端支持静态NAT。

    ·防火墙公网地址池中IP地址数>=私网内终端总数，即一个私网内部，为了使用视讯业务，需要申请大量的公网地址。

    ·对防火墙的配置要求主要有两方面：一个是需要在防火墙上对私网终端的IP地址做静态的一对一的地址映射，二是需要打开静态映射后的公网IP地址的相关端口。

    5.2.2 支持H.323的NAT设备

    现大量的用户网络都采用的是动态NAT或者是NAPT方式，当在这种组网情况下，对于普通NAT，在实际的视频通信中由于动态NAT方式进行了地址和端口的转换。无论是私网终端呼叫公网终端，或者公网终端呼叫私网终端，都存在问题。

    1）当私网终端呼叫公网终端，虽然私网终端可以从GK处获取公网终端的IP地址，但在视音频RTP码流时，由于受H.323协议的自身限制，其各自的 RTP接口和发送端口不同，如上图所示，这样，私网终端向公网终端（公网IP）发送的RTP码流公网终端可以接收，但公网终端向私网终端（其NAT映射的 公网地址）发送的RTP码流，在经过NAT设备时，并不会进行IP地址的转换，导致码流不能通过NAT设备。出现单通的情况。

    2）当公网终端呼叫私网终端，由于呼叫的地址直接是私网终端映射的公网地址，NAT设备不支持H.323协议转换，因此呼叫就不能建立。

    结论：如果两个终端分别在FW内外，而FW只作普通NAT，则私网呼叫公网能够呼通，但是是单通，外部的码流不能进入到内部；公网呼叫私网不通。

    华为Eudemon设备是能够支持动态H.323协议NAT的防火墙设备，其直接可以理解H.323协议内容，对H.323协议的IP码流可以直接进行协 议转换，使得企业内部局域网上的终端就象放在公网上一样，这样企业内部的终端就可以无障碍地与外部终端互通，并可以确保网络安全性，通过并接或串接的网络 结构，能够做到不破坏原有的网络安全结构。

    5.2.3 H.323 Proxy穿越公私网

    目前，网上有免费的H.323 Proxy代理软件，即采用一台PC作为防火墙出口的代理设备，该方式下，需在每个防火墙后放一个H.323 代理，代理需要被分配公有IP 地址。如下图所示：

    防火墙必须被配置允许代理和外部进行通讯。代理需知道其它代理的公网地址，并且能够根据终端的宽带号码分析出该终端属于哪个代理管理。为提高私网安全性， 代理设备的面向私网的一侧可设置成有限的公认端口号，私网内的H.323 实体与代理之间全部通过这些公认端口通信。

    通过H.323代理方式可以解决NAT转换的问题，但同时也带来一系列其它问题：

    1） 每个私网都需要配置一个H.323Proxy。这个Proxy处于用户网络内，运营商不能进行维护。

    2） 所有的H.323Proxy都需要配置公网地址，并需要知道其它代理的公网地址，这样给运营网络带来很大的麻烦，基本上不能实现运营。

    3） H.323Proxy一般采用普通PC方式，并且所有视音频码流也同时通过，这样，码流的转发有可能在Proxy受到延迟，并受PC机性能的影响。

    4） H.323 Proxy采用的是PC系统，自身很容易收到病毒攻击和网络黑客攻击，加上Windows本身的安全性问题，导致这种情况下，系统非常脆弱。