我正在通过RADVISION关于H.323端点的NAT/防火墙遍历的白皮书。建议使用ITU-T H.460.18、17和19。
460.17是NAT穿越非常明确的方式,但我不太清楚460.18。两者都为防火墙提供了一个清晰的解决方案,但是460.18如何成为NAT穿越的解决方案呢?
认为,
H.460.18在从一个协议/网络连接移动到下一个协议/网络连接时通过打开针孔工作。H.323以以下经典方式连接呼叫:
- RAS通过UDP注册到gatekeeper
- Q。931通过TCP(通常)来发起呼叫
- H。245用于协商媒体功能和打开媒体通道
- RTP/RTCP用于发送实际媒体
现在,为了能够打开Q.931和H.245,您需要端点侦听传入连接的TCP地址。如果端点在NAT后面,这将是不可能实现的。
所以H.460.18增加了特殊的消息从内到外获得这些TCP连接(=反向)。
在RAS上,当需要为Q.931打开一个新的TCP连接时,一个RAS SCI (servicecontrolinication)消息将被发送到端点,以便端点将为Q.931打开TCP连接,而不是仅仅等待一个传入的连接。
在Q.931上,当一个新的H.245连接需要打开时,它今天已经在Q.931上启动了;但现在它总是从NAT后面的端点到一个公共地址。
总结一下:
- H.460.17使用从端点到网关管理员的单一连接出站,然后仅在其上隧道所有内容。
- H.460.18只是打开了一个新的针孔,从一个协议到下一个协议,让NAT后面的端点进行连接,而不是进行侦听。
H.460.17的问题是实际上没有H.323设备支持它。
H.460.18可以很好地工作,甚至跨供应商。它允许防火墙后面的端点戳出一个整体,然后将该整体用于两种通信方式。当你通读标准文档时,会发现它相当简单。但要注意,它是由Tandberg申请专利的,所以你必须在实现它之前获得一个(免费的)许可证。
您可以查看GNU Gatekeeper查看H.460.18如何通过防火墙的详细信息