1

I'm going through the Whitepaper by RADVISION on NAT/Firewall traversal for H.323 endpoints. It is suggested there to use ITU-T H.460.18,17 and 19.

460.17 is very clear way for NAT traversal, but I'm not so clear about the 460.18. Both present a clear solution for Firewall, but how is 460.18 a solution for NAT traversal?

Regards,

4

2 回答 2

1

当从一个协议/网络连接移动到下一个时,H.460.18 通过打开针孔来工作。H.323 以以下经典方式连接呼叫:

  • RAS 用于通过 UDP 向网守注册
  • Q.931(通常)通过 TCP 用于发起呼叫
  • H.245 用于协商媒体能力和开放媒体通道
  • RTP/RTCP 用于发送实际媒体

现在,为了能够打开 Q.931 和 H.245,您需要端点在 TCP 地址上侦听传入连接。如果端点位于 NAT 后面 - 那将是不可能实现的。

因此,H.460.18 添加了特殊消息以从内向外获取这些 TCP 连接(=反向)。

在 RAS 上,当需要为 Q.931 开启新的 TCP 连接时,会向端点发送 RAS SCI (ServiceControlIndication) 消息,以便端点为 Q.931 开启 TCP 连接,而不是等待获取传入连接。

在 Q.931 上,当需要打开新的 H.245 连接时,它今天已经在 Q.931 上启动;但现在它总是从 NAT 后面的端点到公共地址完成。

把它们加起来:

  • H.460.17 使用从端点到网守的单一连接出站,然后只在其上建立隧道。
  • H.460.18 只是通过让 NAT 后面的端点进行连接而不是进行侦听,从一个协议到下一个协议打开了一个新的针孔。
于 2011-09-05T18:01:32.863 回答
1

H.460.17 的问题是几乎没有 H.323 设备支持它。

H.460.18 运行良好,甚至跨供应商。它让防火墙后面的端点戳一个整体,然后将该整体用于两种通信方式。当您阅读标准文档时,它相当简单。但请注意,它是 Tandberg 的专利,因此您必须获得(免费)许可证才能实施它。

您可以查看GNU Gatekeeper以了解 H.460.18 如何通过防火墙的详细信息。

于 2011-08-11T10:41:52.413 回答