我正在阅读RADVISION关于H.323端点的NAT /防火墙遍历的白皮书。 建议使用ITU-T H.460.18,17和19。
460.17是非常明确的NAT遍历方式,但我对460.18并不是那么清楚。 两者都为防火墙提供了明确的解决方案,但460.18如何成为NAT遍历的解决方案?
此致
答案 0 :(得分:1)
H.460.17的问题在于几乎没有H.323设备支持它。
H.460.18可以很好地工作,甚至可以跨供应商。它允许防火墙后面的端点整体挖掘,然后将这整体用于两种通信方式。当您阅读标准文档时,它非常简单。但要注意它是Tandberg的专利,所以你必须得到(免费)许可才能实现它。
您可以查看GNU Gatekeeper以查看H.460.18如何通过防火墙的详细信息。
答案 1 :(得分:1)
H.460.18通过在从一个协议/网络连接移动到下一个协议/网络连接时打开针孔来工作。 H.323以下列经典方式连接呼叫:
现在,为了能够打开Q.931和H.245,您需要端点在TCP地址上侦听传入连接。如果端点在NAT后面 - 那是不可能实现的。
因此,H.460.18添加了特殊消息以从内到外获取这些TCP连接(=反向)。
在RAS上,当需要为Q.931打开新的TCP连接时,将向端点发送RAS SCI(ServiceControlIndication)消息,以便端点将打开Q.931的TCP连接,而不仅仅是等待传入连接。
在Q.931上,当需要打开一个新的H.245连接时,它已于今天在Q.931上启动;但现在它将始终从NAT后面的端点到公共地址。
总结一下: