防火墙H323协议处理流程与H323-ALG应用

H.323协议简介H.323协议簇是ITU的一个标准协议栈，它是一个有机的整体，根据功能可以将它分为4类协议，也就是说该协议从系统的总体框架（H.323）、视频编解码（H.263）、音频编解码（G.723.1）、系统控制（ H.245）、数据流的复用（H.225）等各方面作了比较详细的规定。H323系统中的信息流是视频、音频和控制消息的组合。系统控制的协议包括 H.323、H245和H225.0，而Q.931和RTP/RTCP是H225.0的主要组成部分。整个系统控制由H.245控制信道、H225.0呼叫信令信道和RAS（注册、许可、状态）信道提供。H.225它主要处理传输路径问题，描述了如何操作网络包上的视频、音频、数据和控制信息使其提供 H.323装备会话服务。H.225主要有两个部分：呼叫信令和RAS（注册、接入允许和状态）。H.225详细定义了Q.931信令信息的使用和支持。在 IP网络的TCP端口1720需要创建一个可靠的TCP呼叫控制信道，该端口完成 Q.931呼叫控制信息的初始化，从而实现连接、维持和呼叫分离功能。H.245是H.323多媒体通信体系中的控制信令协议，其主要用于处于通信中的H.323终点或终端间的端到端 H.245信息交换。H.245制定了一个控制信道分段和重新装配的协议层（ CCSRL，ControlChannelSegmentationandReassemblyLayer），它可以在易出错环境下保证应用的可靠性。H.245提供了一种功能交换的功能，它支持两端设备通过协商确定一组通用的功能集。二．防火墙 H.323ALG功能简介当部网络的H.323终端穿越防火墙与公网上的H.323终端进行通信时，由于 NAT功能只能将传输层的IP及端口进行转换，无法对 H.323协议应用层携带的部数据进行转换，应用层中部数据直接被转发至公网，后续协议信息处理时会出现问题；而 H323ALG则可以实现应用层数据转换，协议数据发至 Internet时，将其应用层部信息转换成公网信息，实现完全隐藏部终端达到通信正常的目的。另外，应用防火墙一般只开放特定端口的数据进入部网络，H.323协议属于多通道协议，控制连接使用端口1720,数据交换使用端口为临时协商，无法事先预知，若无ALG功能，协商出数据交换通道所用端口后，外部网络终端尝试对部终端数据交换的端口进行连接时，防火墙会对其进行阻断，从而数据传输通道无法建立；开启H.323ALG功能后，会在对应用层转换的IP地址及端口进行转换的同时，将其信息进行记录，使其在外部网络终端尝试对部终端数据交换的端口进行连接时，防火墙进行协议识别，对后续相关协议报文执行放通策略，从而成功建立传输通道。三.H.323ALG的典型应用组网H323终端2:172,30158.100四.一次基本的H323协议连接过程及防火墙处理流程1.客户端与服务器建立TCP三次握手连接〜1nr^iiOrsTi+rtryv・■鼠晒冲■1L1M3.9917230.156.U»KP⑻r也空独逆叵9II[刑5Hbp卡・“林Lariimss-i堀 ■l(LCC玳172.H1.DBilQO11.1L1L99KPhjjfDSt^>2msH”◎」5tq=.*1，r⑹班L&F略％厂汕-n而基苒U1〕1'QC1二打TCPBdrtK.fds>轴内hNtcallTxifl物中1"k*l雷n>6i?gIwho4Q.%fll!LIT」，的1记知1照1调KP[HP$弱联ntata-阮it%施t]5C.2DN14厂，XU通】见口」乙7耶KPh丑mlwsHall?caJr®_fds[ack]5«q=lMk=5*iM5531LB>=fl60.20B86711.1M3J917230.1S8,100H.225.0C5：setup?0,14753917I.1G,1S8.1009TtP[TCP弓/ti2ntofir&asstTT^dPDU]£西ILlhia.DS-2.抵1M1BTCP匚edrcEjfd当$hW21hCst£il】(ACK]S^q=227Atk=5toin=€1216Len=0g0.412926172.30,156.1M11.12.13.KH.U5.0<5：Alerting1：0.(1375411.1；.13.9917230.1U,100TCP&drasJ加>帕上加5Lta111鼠k]“(|=U：«.k=i4jdn=4419Tlbt>0ii5.乳区ggmi限9TCP[TCPSKiem肝i”拈*rtf时PX]125.9444U11.1M3.99D2JQ.1H.1C0TCPtdrM.fds>h32Jhastull 5mq耻k-J L«i>：as.圳9H.喏,0C£：connectITOTST7?IEI23I3917T3TO5TX)KPoirtgsvc>ripp区闱如就讶n=5H」QLen^O*55-1460-Frane1(配b/tsonwire.Kbytes匚叩ard)-El帕侬II,5TC：W值;湿闲密;❸:见闻.DSCH叫2hDUM位洌(DO；掰;1G阳㈱即¥:PrnrtKDLSrc：1L1L1L第(口，1?口3).Dst：1□，哂,1翎「叩弓开ansri打ior口ntplProtMol,Src3an:zedros.fds(iUD),KtPart:hSJJhostull(r20)iSeq:G.Len;0

2.建立TCP连接之后，主叫终端通过H.225协议发送setup消息至被叫终端，表示主叫方希望建立通话（FW开启了H323ALG功能）1）网主叫终端抓包报文T7TT(JFT：；111P.KJ:;SI4口-1■MIT小TC=fi■二T亨.T丹nt_ _a,■ ■,gL与.以皂百，三iE「史丁=DL,WWW &丑与我1舞・珅I卯中Yi1L/CK.mq<Lai5T■IF(531Etpf4L；jan n中好h;jlyhi<为arm血£:「下二口 ♦-B5：E5a*ibT£dPQu]LJ-1m—0口rrFr*ne2536衣随byre5o^iwire.?®nEyrescaprjredJEEthErnEtIITarc：10i：Oc：2Q：E3：20：la(ia：Oc：2®：e3：.2O：lai.Bst：Hang赤心现时5flQO:部二ac田町「：?<e■勺netPrat .13.弊01.12.15. -加,153.idQCPS.M0.15<.El?ArBilsrlonControlPrttacDl,3rrPort：.TYiiw(J7S1],6rtPm:h我站wtcall(1720),St中,「Adti1,Lei，33Ji；[F^u.：tflL1■.■,TCPSe^-tn.i.t2?6hyti...；，H设Hj.#；SS6：232J]itTPKT, LLengik:h®bq.i»EH.?25.UCSEH323-Userjinfgrrnsfipn-h325-4ju-jpcluBh3i3-neS54ge-hcdy；5&tup(Oj~二世卬prmacalidferri*ff1tr:D.o.a.iz^.o.a(vetstonQ*auEiAMrsas：Litmi^ralifg3加s口口「到干一用武€鹫；而闻全电533)-Ip^ddress；■】■】n向他上书展提带地址port:1720。i-rT^iusC:椁M；・巾£『/』二口:siTOTCTEsrasn^BFnEHWsswih「广而目"气既迎］：:已（0）：calliypeipQirtr&PoTnt(0>；_c-||。产4-lTTcH flirUrx上■*7EthernetTipStc；HanqzhnMtt;fa=4«(00;24;ac;*t：6i；-<«i7EthernetTipStc；HanqzhnMtt;fa=4«(00;24;ac;*t：6i；-<«i)i&5t；Vmari5c；*i7> 5c；Oc；7b?士lHtmrnEtrrmflcclversion4Psre:i72.3D.15&.241(172.30.1SA.24.1),oat;1721.M.15A_lDa(172.Jd.15ft.IM)・Mrsfflsslortanrral^r&TKol,s^£Parr:我快呷。£打电rxCJ74fl).Mtport:hJ^shosteall(K2<01建q；Lack；l,l«h2J2■l[?RtirS5wbTfdTCP就即门喧3Q新“tqG；n?9X<)-rtifiSCU?)]tpbtt,^r£lon!1,Lenqxh：2IS占Q.931SH.22k«CSHlju-ustT工rrforMl1an-hJ2J-uu-pduhn/陈".卯-bwly； 口CO)■srtiipprcncgcoTldeHiiFi^r:g.g.3^250.0^3以学才讪「Rsourtieiid.dreS'S.;1itenIdIIM01h』11“对打”手；所混】・loCD用23-ro；中mhldpt电chijSDkrceinffiDidiitCtHiigmiAMriii:TpMOrtsj[gj□刖国本既写 Mumet上忙？温卿也址1p^L?2.iD,158.1M(172.10-156,100)fnart:1/2&ccnfereiKesQi：st口后13：53-皿田T73-%ff«e44e29d592a7-ccrtf€rerzEGoal.create[0)«cjllT>pe.时向1■卅sRCO)一耳。山一「。心321工国产毛£/Jjpaddtf^5(Ql_'片「"之却C1723CU5LM1) A。vr号由。H—pyti176a™ = -1 l"rEijwld^ass__ 柬同hK贽制比'禺LL,12,1kWClt.l2,12.t*>：ipart:JJ51FCdll]dl£ritifricFQ+i-Tk/如飞1TFK5尸ECT：tL «r£vgrl^p5end;FiIsbtrmnsr^nriirdcail2）外网被叫终端抓包报文Fitpr:ip』ddr==EH.SCl1$&10C▼±iprHHDn..CJeatApp!savrNo.TmeSuiteDwtinBliairPthdcbIIim12#S,SKI33172r^.l^.ZHr九邦」。札i叩RP司cftEEU罩EiEt-h323ba5tcal1g]5eq-lAtk-1ftiin-t42J0Len-CMMOl骐m.10.1SL3U«F[TEP Ar1ed彻）iifd177.1^】工营1JL1ITf&hl?IKa?traill-ajir#w4_scliaFfrm5例」ACk=5诚n=6*”Ltn-p11九如i汛2n172.».158,100^^l-J25-JLC5;set, |172.M.158.1K3172.3®_15B_341ItFTt^FsemertoFareisseftledFOU]口Friff“1K$:feyi”的盟「*口工&3匕1口】•£■$引心《叩工■/小〔葭我bk”由上面2个报文可以明显看出ALG对协议应用层的数据进行了处理.被叫终端返回CallProceeding给主叫终端，表示被叫终端正在处理.被叫终端返回Alerting报文给主叫终端，表示被叫用户已被振铃1）网主叫终端抓包报文百孰2g9配 99 171s.mH.225.0CS：SHENSI7Q,74T539- ">乡口」钻jCKJ llrl?eU.W Tcp [tufse^merrofarFa^senbledrau]I ■凯。1疗孑 tMSgtW g.M.IWJSfl rrr FEiliLHjLlBj [«£]Seq-217山匚fc-5tf1n-M23fiun-dinn,gl青-7E 111/TTMJ, TTII*F1TlSBIfUl TTEl 4!■,,：aJirhc+fc~、[[[Mt]5*^=刁37*总厂&1111alfrfSg1?2,lo.ljS.lOdllJLiL典 tcp Ptcpi&onrtrtofim融nfc1“poj!Ft■卜frriFTri।Src: :6a:W(nqe^4:acsRflrn.g:SO)pOst：10:我二胃9:・露U』(1Drace?A:*3：?p：la)-mInternerProtocol,.Src：串为JkAg(U工门口4M.iW).D»t：imj泰褒(口鼻£+1露991TTdfl^filssiancamrolFrottKolHsrcPtK'r.Eh322ho3.cc.dll£172D)Bcslpdfi:!c.ed"as_fds(illOj.seq:5,Ack：227aLenti92[ReisbMibleditP^egnerft£(41byces):订(』)串rt(3S)]>3Tpkt.V«rsii9psLength:43-Q.@J1日Hr2Z5--D€5hhJ2J-L5esrlfifornationhmuu-|jmBh&U-廨与“阴-bo的：alerilng(1)匕allortinqprotciicclIdentifier;。・6&225必露2[yersiwi2Jttrivinil.。一■r.ifiCEFalse..CL一一ij^Kleflined^Qde:False3cal11d«ntiff>srquid.b9/序加SW7-UMy*?x*bM*d2）外网被叫终端抓包报文Filter:ipjaddr=-= DO 卜 1m!sE0r.£I~t入内Sa«ffftto.TimeTaurus-口ettrHl沁nPtabacEilIfire3训・u中TV。*上F£「」口一5—1L产tLf-七51虻，七 4.FLJ-_bl】iIfJ-nuj1114372.1D.15O.1MTCPhil23hartGill又cedrcs.fdi[*CKJ5凹力讨d-5/口・65、31Wm。1115———二・改11m汕L”・LgH.呢。闻C5;serup1119九E3P黑口l?ZuJD-lta.lLD1%—L5D1TCPLt'.i- 巨方汇5t立r£35sentlea-LU.1XU了“滥啦 :时…1inaIMisn 1tai蓊0“111Ei]叼q"JiCh*5irfl^6423*5L.2口427.*鲍8通 372-30-158,lW 1个■沁H.JZ5.0C5；aleHingULF3FWMLIH ETT.3B.±3aL IFM.13BLL" TCP 5山W_『山，【AC/%%=£$，Act=44 Wl0=^4137LEH=a2Mlm淖SMg 172-10.158.IM 172.30.1i6.541 MP [TCP打如幽m df血Ffea"曰ib〕MfCjD]12.011136 37?.i0.1SS.]« 1目■部.1.、氏L8 一" fdi上MM箝hmtc”RJCK"! Ack-4SWfn-«4LQ3UbfwQuiwirnKpraiKDlwilcn4,srciL73.iQ-.i5a.ibDdies373.io.isfl.i4i(m.aionn.i4i)tTransfBTssiaricontrolPrctCKDlf5TcPort.hJJ^hmcall wt叫「t：?edr^5.fd^(4L40)asea;5■Ack：257.Len;N-[zReassEntlerlicpserireritsbytes)£.*111.9^),*ULd?C39j]TFKT-VtriUn："L"igU力ldiH.ZZ5,C'C5ti323^us-erinr2Drr^tIonBh睚$TUr中du-hSZ？-nessaiiP-fccid^^alerting.JdalerElngprococDlEdancIf1«r：Cl九ALSma机工(产―Ion,一"ie51initicninfoT&rnrfnal।H…—・匚：Fal£e、Q..，a・idrndefintElmBd«:FiliaBill蚓ti"HETgurt日：bi@asEte-bsde-saji -:erba4<Eiaf^d5.被叫终端返回Connect报文给主叫终端，表示被叫用户已摘机并告知被叫终端已开放特定端口来进行下一阶段的协议协商过程。1)网主叫终端抓包报文

11^J.g：M&妙172?W?15SJ1M■12.13.MTCP 2EJLB[tcpscgAeriiofare^s€mbfedpel115,W就注心门门汛"口"，胴口~t.一* ■—一.a .■1=，■方为起Il- I*172.33.158.IDG*■jr *j!w_二u-u11.12.13,W尸L-.U-.£ 13(167byttsonwireb167bytuidLptur-Bjd)•iLttiern^LII,打匚卜面空1电4_的：营看:50[K:24:』£：*”■:5。1Lit:10:0^:24:^3:20:1^(10:0t:29:(:3:2O:l^)inintertierProtocol,浦u00(172.JQ.15#+1QO)B的门lbl;aj+99(iL.lzak??)3TTansinisiioriControlProteccl,SrcPiwt：hjjyhastcalll(1-20)(DstPert:sdrs.fd、(JldQp5*q:4apAric:ZHjL#n:1133[R^A55gnbltdKPStgments(117tyxes)i ^13(111)]Flipkt.versiw;兀Lenigch;117hQ-911日H.Z25.DCSSHi2i-LsetInforwtion±h323-uu-pcSu打翌九融行曲电bWy;nrzet(I)日co«xnpFHDgzjilJdientifi・「： &??£Ur0「？fYergicn打3liZdiAddre5s:ipAddr_5：0jH1MddrgfIp：1?2.10,150,100(11乙为・1转」其》port:1121ZrTSTuSnSSnFoBvtneforh.221Manijfarrurfr：pTcro^ofr(DxbSM^^c)praductTd:Wicrosoirt\2>6^etveefirq-25fcvarsionld;3.0terain^l-d一・*me:False一・0i一一und电firmlW:FaIs#confertncelO：:g匚2%51S- 3-9G0T-7S7»F09«$244icallicfemlfterguid:b加弱的B-b式”EM7一时-匚酸bMcbQf*d11-17JS266JU427.I52WI11737.5551022004S用瓯，2）11-17JS266JU427.I52WI11737.5551022004S用瓯，172•式,1限Ml 172JI.liS^OC TCT jds,位1岫皿门：MK]元口由7£小7Em汹M LM-0丁，乳」逐JN 172.^0.1^.241 HJ25」G：alerdnggJLl沮Ml 17Z.30.156.1(1(1 TCP 3全“jds：h蒐强际算丁[41完口二门了小邛甫x&WTLEflG才晨弘.15&1M im/Ul辐二41 tcp [TCPfFycntofare；石saitTnPDJ]m・彳口a旧函独日—「土।haa2h"*G]ilJack]皿.川了此卜川宅话把L«n=o172J0.irS.l：'D 171.30.156.^1 h.225.0cs：cunnEct，&** "4="& E"4”尸「-E「「[ex] 1fli闻MA|.«t±0 5flEKJTRM=172.3C.l!3.1jD 17：.]：,1$S.：H Tm mpp-口frt要收[Sfh.圮xjSec-0产_ei>3，生-1』汕bFrimEK?『：lb?byues川FreQ若61dt831$；bytescipiured(耳蓟biirj,EthEEEt工工，工匚:WKtfEjcmOeETb@0!*?若:支:加;而).口G：血吧出用_09;独洞日fOO;24]&，BB;6i：加)±internetPrcrtoculVersnon4,$rc：ITS.却.U&1CQ。，乙现.15国[忡),DSt：两，马工。72.褊,1印.2也)ITransuri^siwiControlfrotKol,SrcPtrt:hJSlhostcan"72。).tatPart:cedros-fiis(41J0).5eq;45,Ac"257,L&fl：113i艮花芯曲BhdT,：Ps&sients：1Ktytesj:白州⑷，唐埼5]力±『例Lvtrildfl:3.Length:li-IQ.911-H.M工口书rlllS-ujerirroriiatim3M2，uupdu-H?3-npi^p-brely:，:nnn“t⑴EcannectproTocilidBrirlflar■O.Q.Br7?5Q,Q.760「51口口引n245*rldrEj5：打制叮如3『⑪-Ipml力口"Ip：172-IMCL祀.30.1第IM)port:U21HJestintnortlnfa1vtndjrlerrttlniT，儿，…伏：nist...a...indiriMtMDriBiraH-^rrfersnceiD:箕西b54即3T0®西演^9「羽"«l-lldwtiriargnid;tB跖尤bm一HdAR厚了一:|1国一「€了M4:hOfdd

6.主叫方收到Connect报文后，进入H.245协商阶段，H.245整个协商阶段包括能力交换、主从确定、打开逻辑通道（通道打开之后传输数据）、关闭逻辑通道、断开H.245TCP连接1）网主叫终端抓包报文（TCP三次握手阶段）B:KhwB:Khw描：汨前:wo ii5£ilir m121.翼I44L0U.12.13.99 172.iQ.liS.100 KP'TCPsegnertqfar包“wnblgdPM]CeitO5_Tds>h32]hcstcallseq=23?aeMsir1n=Mi^Ltft=O]牖uwa__UiXi.Ai.M15 h：出而1 L\,30,1^.10： 11.li.15.99 Ks 『叩口>uiLs-V伍，MK]beq-CA^-l<h>«35 Ufa。七“1二版IE 6,2171L& 1L12.1J.99 1^^3458,100 K> Dirtgs«> [*«] Stq-1 *ck-l Lcn-0la &.3ZJ197 173,3：,153.100 11.1M3.39 KF ：KFifqrwrrtqFir«5se»t)le(i PDU1居 6.222657 11.12.13.W 172.Z11SS.10C h.245 TEriinakapahilitySeT20 6J26HB 172,H.15U.100 1L12.U.99 H.Z45 rerilnalCapabiUtySer21 瓦狎门的 11.12.1L$9 172.20.15S.10C TCP [TCFs^qnertlofAran心心】皿PDll]22 6.J793O 11.12.13,K 17230-1>8,IOC 7。 ccdrocjdl>h32]htKtClll[.\CK]Etq-237Ack-161 Ltf>0日氏北KB&L73JJ.15fl.10C 9小羽5北的前 七1351电「51a通黑leriii储liwuMgFrane14(62bytesonMr露Gbytescaptured)+EtnerretIt,StcL;j;(k;23;e3;2J:li(10;Dc;23;ek2C;lcJ,Dat:danqzl»u_a3;5a;5O[0j：24;ac;t3jta;50；tincerretProtocol,5rc;^L,L2.13.M{H.12.1J.W}5Ost：17L犯158」网QgJUjfTTTan^rissiwiCorTro'PrDtoccI,ireFort:a'rtgsvt41-11J।口stFort;rirpp(Illi：、5eq;D,Let:1Sourcepxt：qirtcsvz(4141)De^firatijr二一二：rnpp二二(relati^secuenctnmberj这里的目的瑞：l是上一阶脉口昉劄(relati^secuenctnmberj这里的目的瑞：l是上一阶脉口昉劄M开或的港口5c(HJtrcfirwrber;；■nnderlength;?BbytesFligsi伽£(sru)g$i改；EU口iChecksui:0x74M[vdiditicndisable^।opiiorii({byres)2）网主叫终端抓包报文（打开逻辑通道阶段（能力交换、主从确定阶段省略））2?t.57Z7Zl1-2,30.158.1001L1L1LHn.245*M1制北1小打佃1111201nLsnvn11.12.1LH171.U.1SI.1KH.湖ipnogiraTharr*T(n?0；界f.58111fJfl£..EK31E.17L3D.：5a.lWiiiiina1LIUT网1!，1；EI1fUlTC『MP[KF御ENQfJM瞄出1例Ml 上币匚y国尸*■w«旧风■皿■”t.El：中n.i?.ii卜mi：iu(H二M产.iiqirarrharrpTsp^iFrt■£E』口浏4l'2I：1：S：：：!_, ■._■- S<与三二一「 一二-.__七一--'i5-11"!Ht.blMllULNlISR.lffl)ILU-1J.99-"n--IF->-1『6：ifh,Ui->«-!Jr-L?r-、：^b-n»iBQlK7lU.12;13.99r：.n.UB40D情命口注>irtt-rC3[ACKStLl，hE LnJ-0费i«.6153561LU.D.95「？,3V.BH.10Dflidx5vc>irrc-icsjp15Hl**]：iq-l拈Ww1n-B*?iOLfn-?5371621154172.30,158.100HJ2.13.S9-ntl-oo->oidcL&^c[fsh, Seq=LAcs-l-Eiir=6S$ltllEr-21n氏wwiU.U.B.B172•豆JMJIOMix油r>irrerci[*t< ulM4;19un-q班tMHaU.12.B.Km.ain.iio。汕mt>imc卜钊.«Kjirtj=；Cl£k=^bTn=£tH(fIm团-：-cB4-5B87172.3O,150.11H1114L13.99"fillC-IKS?Dldocsvc[P5HPAUl]SfiQ-ZZ以・久可此5犬9L£f1-1134l.bljjlt11.12.U.941?.JJ.kU.UU>1KC-KS[FlNrM]Si午:1JVkJiSidr-bllDbLtri-J-Etkcrretn,5rc:Hangzhaj_3S:6<:M^flO:2t:ac:Bfl:tia:：J)r05t二iO:Oc:2,9:el:20:1a[l.D:Cc:2l:ei:2fl:liJ二IntflrretPratocoll,Src: Dsl:11.1X1LM(1L12.13.M)iTriritissrnnControlFratixoLSrc.Port：「npp【1121)卜MiFtrt:oirlgsit(1141^,如q;3电耻k：34kLbh;21i[RiusmbldTCPsepmi(25必事)：睚0(4，*91(21)]•WTiverfiw:3.旧奥帆21eH.?15E：|PIHJTyps：rtsppns«(1)Erespan-E：叩见％icikharw】*!(5：那rtuglHchimnel<kf^rdL®g1cilciharrelNL^：zv=rfterMLtjgieilCFamtlPiriftST*rjE时"皿虫3 越用途由|壬叫万目已并岫用千轴挎轴烝•百隹1限;匚EdiwibvtiE；5i,t(0) jr端Ml；皿E悭旧”曲匕市：localVEMddr55(2)ETocalilreaAddresszuricistSddre^s(0)B汴出■的3r^lHrk:L72.3O.LM.10Q：1?2-30-151.IK) THpl败，阴♦： ||“Mi«riitKanfFr»nce,:Filse三forwi»u，ltiplttUkPyiffitar^Ih22SQLffljitikhjuirt#wtir&(0)

3）外网被叫终端抓包报文ZWQU工友14即L?2.3^.15己・11口172.3Q-15B.Z41TCPFtcpsegrentofareisssihled：pl<j]川-741的用t7>M U117? -iYiTTP%三0r-n，nrt-a『「.q^anh-irtar.ilIsueii.ema2172i3Q.13B.UD173.30iJJB.241DpBTjgl-:ilctiinn&Vct江八力一郎”，丽17?30.176,MlL72Jft.15B.lWN^MSopTfCnr^Tfl^aTt [ ■1-1:机£5门弱173.工。・10益173.3O.15E-241Q叫・0qmuFE-CldOCEVC172-30,156.10017ZB3Q.nE.lWZLI31S.65Q7Uzlmis.efiasasl72.30i-15S,24iL?2.3Qi.l5i.Z41P-PTrpTCPTCP；FTN|ACK]SsqfAct-1win-e5^35Lm-D11J50k]Se(|=lJUk^lMin=&i2d.0Len=4'peh.ack]seq-1ACk-lurfriTAQLfifi•口哥doesuq■*imte-mESd1ccczu<-「raffle2M6;「raffle2M6;居byt必onwifE£600hit，1,科联州ciptuHd〔制。bin)FfthmruHt工r,sru：Ear&Jr:耻:7b位0:口。？忙KRc:7b)|口外：血叫动口忆的：心：$口色"：皿："；88；心：4中*internetprptKQiversion.sre;n熊翎「，乐工叫 口筑；式/邛,/i】tl冗，加，[济iTrinswis?ionControlPrutDral,即上Port:r唧pQ121J,UstPori:Dirtjslfc(Jlilji,£eq:*的，欧k：^43,1_心忙JlE[2回御MsdKF5e》fin会(25byt电力内DOH),>12144(21)]ii?rr, 3,Length:25二H.2dTPWT>pEtreipanie0Jr+pcina;叩*九叼证，:h*nnF】耻)■(力opchannelAckfonoardLcgicjlctiRinEHLrfaf:25T^Ei5ifSL_.g1此khainLpi-anlls-s;出学士四Logical七rHfiruIFlutter：M9-tUftiTMUlXk।rtlstrlhutlan:unicut(0；i-irri-ujnrkirlrit-i3;"nlAr，/qdd「m(3)16打加£词而？5胃 fu)—口打」dq,■•■J=出d*.<：._J]__iPAj^dressnerwk:17230.159,10007工物,58JE)tapddmiriGr:1501ifnn^rdNultipip1tPir^nat»r^：hJ?TQL吗V/IE即1口01此1PaF/Tpr5(0)h京SOLjog1caldhainelAGkPjrairaiier$由以上报文可以看出后续数据传输被叫方将使用 1503端口来建立连接.通道建立之后，进行数据传输（主叫方将使用多个端口与被叫方的1503端口进行连接来进行视频、音频数据的传输）?.,TimeScurze加一他加『q4・yi・一』PrgtccclInfo乃良机E6旬U.12.1159172JC.Efi.10tTCPddoti'ec>'[rtt-TCS1恬・看Kgm曰*Wb■喻is把mioie司■♦.]端f.ft935611.12.13.M172J0L158.1M1KPoiMCS4!C>TITTC-iCS[PSH,K©强c=lAct-1brin=64M0LEf>2537€,621154L72JO,15S.1DO9TCPimte-vs>alcocivc；P5H,ACK；5cq>lAck-2fitffn-65510Ltn-2138£6二歹1U.12Al99172JOL158.100TCPoidocsvc>ilTtC-KS；ACK]Seq46Atk=22Mn=&21gl&M刊i.M44«D.12.13.9917Z.J0.13B.LDQKPGldo»vc>iirrc-ncs[RiH,.垢0i€：<6ACk<2*1巾£4219Len-ldl40瓦区蹒F230.15a.KXlU.12.1L99TCPMc-ncs>:icocsvc[PSH.AC<]强九2?缸卜乃-H11*5329Lerwlllnnj3Ti9ET^nS.TKKPoi±csvc>inrtc-icsFINtACK]5-E07*匚k>H$¥ia&41时LGfMJ4TTWJKHU"犯1通:UMKPimtc-XS>oideeweFIN?%K]51Gti^115Ack-2CnirixEmgLenT归。若日兴11,1243.99172JC.b8.1KKPoloocsvc>inc-icsMKj*田8城=1加Win=&il聃L?r=3■[TTrcyznatnzrursUJTSIT^IIK：KPo1(5r>-nuc-rics[5+戛5ez=C*in=&4±4，].en=C*£41士用45L6521900011.1243.99TCPinit;-"C5>01GOES.'C■；CK15EZ|=1比Ack=2：8rt'iM5329Len=：446,6530^172,30l15L1DO11.12.13.MTtPimtc-iKs>olesr；5YNrME]5ec=0AEk=l力作6诩5L&MX55=L46D4；6.6616*8U.12.O.M172.3i：.156.IOCTCPnidsr>irntc-BC5-Xk'5ej-1A€<-1*in-£424dLen-C41瓦眼渊U.12.13.M172J0.15B.1NTCPoldsr>inrtt-iKS[PSh，北4]sec=lACk=lYin=6+23Len=25mR3QU17?-1“ina111)1^独TfPirnrr-ftrfl；vnifkr陷卜dWtl。r-irt=^ 1M1=?1曰Frai^35(54曲仃onurire.54bytescaptured!BahernnII,5rc：10：0<:29;eJ;20:U(10:(X:29：eJ：?C;13),Dst:HangzhoOB：取:川(00:M:就;茄;腼:网：nu-netPra：ocol,sre;1112」碑口LIL以知卜阿：1屋，取153」削险池型甲)।TriTjfnissioncwtrolFrotMQl।5rdPort:oidccsvc(4142)>OstParr:iirtcntj[1503)53：LAck：1,lcf;0.数据传输完成后（通讯结束）后，由主叫方发起EndSessionCommand与ReleaseComplete消息来释放连接1) 网主叫方抓包报文"1『：，-£Lfl_iJ.1.XI.1；JLI£■JI.1 1UUriLFua.Ji1-IL，*r JIIB小型」」OL|-JL"-"kh-TJ>.«l¥ JyatLFl-17OiCfir>ItttHnCS[P5HbOJ5eq=5HMk=$拓Win=439OSLMT3422J,对,汨11.12,1?39172.31.156.l(J0TCPM3ZJ.W4IB11=12,13.WL.7.'：..ra.iuoTCP♦FM■1*iTC--C5LF：N,4C-] ，速_$此》n_i)30>LfMJ■■■■■T&】uuTtP4--i?-n^-ws:FI.MK]■^q-76s1""IhllWir74F&LfHsdKT2KWUJ102711.99nzaaisnxfflXFvwrortr5TlHW^srrTpfflruCTZS^TWBOO^TOTnrOWWWR|~~H,占，'1如MJ1L1L11.列 UAJfL+KkMl。--=?<= [MT"卯EF1所Bl 严<lj■■■事口■■i岛侬■I 11上》 "|"*Ml,*R.i一"F- -fcm,■>■ra—*■卡■一耳 . —q.J,*_— T.tUZ.30.1^,100IW2XUr"酊K-fliJlTrTf। 口」"如岗H3门M—iLnj].加 ―==<= ttc<M>01击r[fttl0[)eq~^M Min=649WLenMJ~~J51日小国藏1?2,30.153,10011.1工13.的pawr-control[KKJ5tf|-2C13Adcd的即irmowLw=0)5?a+9却如6172.30;159.100lll?+13FPi1阴*n-ingiK[配叼53。4口“L”-a期23.9WW17J,W.153,100也，1九】九股TCPimT/，41工[*rj901511北k二“出HgMi，*n-<(■ran电 凸电bytesortwire,5c如t的tiprr的二£lb,t!rtiii!LIE।5rL.tl：0t：2jJeS:2D：lA(LQDlj24,e3：20.1d/13L：HiiigzticjJi.ti；>0(M2]：4匚30)iMenMProtocc1,Src: Mt;1J如15SOOa?L301158,100)rrarailssiancanrolAraiocobtrepvt：oirt«;c(4H1),凶lpert：『翱p(im),wq:疑丸a*:wlL<ir:2-[SfaiirtbledKF专egnwn、(6b^iw；: J3J7(2)]7TFKThversion：落Ltnjrhi：后K245"pe"rypp-cofitiinrl："n«nvne:erdsessionccwarid[51-trtd5tS5loixo»ind：JIsconriKi⑴di5cc^r&rr:UU-L2) 外网被叫终端抓包报文MeTire Epuns Destiraticri Protaool InfoJVj-WJILfaJJ^WJ^JT —1LiiJILf・，UH Uii3U*・JLLT- 「LI IIVLR!■，』'"IUJI[IJJM, Lj—-!.i-i.b_c.__nJ|i||l-i_rr |_i503130.952573 172.30.^3.2(1 172.30.^3.10(1 TP 4144 -fME/tW[W]E国JR位 Vfc4612kin^lLDBL即』50见30.9925M 17330.158.17230.158.100TCPMr*1mc<5[O]里45。MbWbidn=639«ien=C号做WXUIt?a mwmiiMimu漉MlTTPrnrnfar曲询卜11PDU]湖5孤即网 1飞踮遥.g L飞儿J落和 H/HNS㈤日猛巴EIriMfilftBMiflM tiO1ft<QB4MliTi1ft<QB ■iif■JMiiiiiWnw^I5O&73D.397151 _lT2JD.15S.ldO1T2.3D.15S.241HL那正椀sdliOiml ，5工口.：4点尸 飞尸l*-wo,+祝-3g]通理盯出就M出力超240M=C江贝社」5第茁 12第二5象州: 质为二5象⑷ 力在才三了禽-武WEt⑪1:西，玲］网士的g=®明TL日前Frame匚比97bytesorwire(?7tHts),97byres邵岫(776bits)ECttiernec..maTBJc：0c：7b(00:k;2&:5c：0c：7b),.什则|枷u_耻珈祀期;M;ac的血洗)Fint^netProtixal^rsicnd,5rc;12证15&LW) 洱HK1Q叽Kt; (172JC.15EJil)rrinstii551anamrolProtocolsrePort;怕日hastcall(172D),DstPort:c眦耳他a14以羹q;1跖岫：⑻，Lai:4W：口ReasjEflt'edTCPs^=nw07Mm出同魄口j,*硼％/)]rm,vrskn：w,Lwgth:"eq期1E大空』。完成上述报文交互之后，断开TCP连接，至此已完成整个H323呼叫流程。注：防火墙会话如下（与上述抓包无关联，仅作参考）三靠舸II缱然评翎质/丁 第E酒亭眦.岂理：1P4d越F轴口：统割现：1".］：3.1：0期柝上项球/i翦占_Y反，『I鼠联，豪羁丽mm鼠醺1此即用烟!：*口邺侬笄林方麴濯口-唱崛:晋能力蹦弃s>t 口 毒 邮1疗 EE面&谓 电1115mm同陶口.用却R眼 V阴 A2裔 %叫C值⑶酬寰汇回谢 112；1覆Q 宸削施帆仔电30缺评H1幅0 V晒 A34疗 自因蒯仃 E卸帆owmu。 331&13f72111 潴T1.小谢应心傥。的悔晚nil书鞭和鼬飕。见1睹1503251945 论Q.现怅出阔/k样加X加胧 ・捻K A调倒1蚓5 1个。1卸旷即3机刎梁13口腮273 A5TCP 脸跳［!值13T7M11 匹rm巷口鼻王馁彼宙三电力孤5 1超Ql5tf批阴W日皿同第1研TH 二二，五卜M颗嚣砸五.H323在防火墙中的几种应用场景.部终端向外网终端发起会话，防火墙做SNAT;由于h323通话setup消息中被叫方只关注应用层中destCallSignalAdress 字段信息（检查目的IP是否为自己，确认其是想要和自己通信）与传输层的源IP（主叫方IP）,符合以上条件后才会进行后续协议协商； 当发起方为部终端时，目的IP即为被叫终端的IP,不需ALG转换；Netmeeting软件数据传输通道都是由主叫方发起，不存在Untrust到Trust的阻断问题；基于以上两点，在此种场景下，是否开启 ALG都对其通讯无影响；但是没有开启ALG功能时，不会对setup消息中sourceCallSignalAdress字段的私网IP进行转换而将其地址暴露在公网中；.外网终端向部终端发起会话，防火墙做 DNAT;当主叫方在外部网络时，若没有开启 ALG功能，H323的setup消息中字段信息destCallSignalAdress仍为防火墙目的NAT前的IP地址（没有转换为私网地址），