带有防火墙和网络地址转换的音频－视频电话.pdf

带有防火墙和网络地址转换的音频—视频电话
    本发明涉及一种进行多媒体呼叫的通信系统。

    迅速发展的IP(互联网协议)数据网为多媒体和话音通信业务提供商创建新的机遇和挑战。当前的电信运营商和下一代通信公司及业务提供商已经在数据网络的主干链路上进行了史无前例的投资。同时，诸如DSL和电缆调制解调器的宽带接入技术为大社区的用户提供高速互联网接入。业务提供商的视线是使用IP数据网络将新的话音、视频和数据业务通过高速互联网接入而直接发送到桌面、办公室和家中。

    如果来自不同制造商的终端是互相操作的，大规模通信地标准的重要性是基础。在多媒体领域，当前通过分组网络(例如IP数据网络)进行实时通信的当前标准是ITU标准H.323。H.323现在是受多媒体通信业支持的比较成熟的标准，所述多媒体通信业包括例如微软、西斯科和英特尔等公司。例如，估计75％的个人计算机安装微软的NetMeeting(网络会议)(商标)程序。NetMeeting是用于多媒体(话音、视频和数据)通信的H.323兼容的软件应用程序。现在也实现了不同制造商的设备之间的互操作性。全世界超过120家的公司参加了由国际多媒体电信协会(IMTC)主持的上一次互操作性会议，国际多媒体电信协会是一个推动多媒体通信设备互操作性的独立组织。该会议是允许制造商测试和解决互通问题的常规会议。

    迄今为止，大规模使用多媒体(尤其是视频)通信存在很多障碍。使用的方便性、质量、成本和通信带宽都妨碍了市场的成长。视频编码技术上的进步、应用广泛的低廉的IP接入和在结合DSL与ISDN和电缆调制解调器的数据网络的当前投资已经消除了上述大多数问题，从而使多媒体和话音通信很容易实现。

    因为H.323被定义为标准，假定在网络域边缘存在将H.323转换成H.320的H.323-H.320网关用于在专用网之间的广大区域内传输信息。因此，在IP上实现H.323受限于单个网络内的通信。

    然而，IP作为广域协议继续显示其优点。越来越多的组织继续基于IP建立他们的整个数据网络。高速互联网接入、管理的内部网、虚拟专用网(VPN)全都基于IP是很普遍的。IP趋势是导致H.320作为多媒体协议正在衰退。市场需要是用以通过IP的H.323完全取代H.320。

    不幸地是，对现实世界的无法预料的技术障碍，仍然存在H.323的大规模的使用。这种技术障碍与IP数据网络边界上的通信基础设施有关。

    H.323标准应用于通过没有业务质量保证的基于分组网络的多媒体通信。该标准被设计独立于底层传输网络和协议。当前的IP数据网络是默认和普遍存在的分组网络以及H.323的大部分(如果不是全部的话)的实现是通过IP数据网络。然而，当前多媒体和话音通信的成功实现受到内部网或专用管理的IP网络的限制，因为存在IP拓扑问题，它阻止了在IP专用网和公共因特网或共享或管理的IP网络之间H.323的广泛使用。

    产生问题的原因是两个IP技术：网络地址转换(NAT)和防火墙。

    NAT的产生是解决“地址短缺”问题。IP网络中的任意端点或“主机”具有“IP地址”以识别该端点，从而数据分组可以正确地发送或选路到该端点，并且从其接收的分组可以识别出其始发点。在定义IP地址字段时，没有人预测到桌面计算机设备的大量增展。在全球使用IP多年之后，很快意识到希望使用IP协议通信的端点数量将超过地址字段可能提供的唯一IP地址数量。为了增加地址字段和可以使用更多的地址要求升级整个IP基础设施。(业界计划在某些位置上以IP v6来升级)。

    当前的解决方案称作NAT。在IETF RFC1631中称作简单的NAT的第一NAT解决方案使用一对一映射，在万维网存在之前和当在组织内仅少量主机(例如电子邮件服务器、文件传输服务器)需要与组织外部通信时产生。NAT允许公司建立专用IP网络，在那个公司内的每个端点具有仅在该公司内是唯一的而不是全球唯一的地址。这些是专用IP地址。这允许组织内的每个主机与该组织内的任何其它主机通信(即寻址)。对于外部通信，需要一个公共或全球唯一的IP地址。在专用IP网络边界是负责将专用IP地址转换成公用IP地址及相反操作的NAT功能的设备。该公司通常拥有公司专用的一个或多个公共地址，但是通常需要的公共地址少于主机，因为仅少量主机需要与外部通信，或者因为同时的外部通信的数量较少。NAT更复杂的实施例具有为需要外部通信的主机以先来先服务为基础动态分配的公共IP地址库。在外部装置需要发送主动提供的分组给特定内部装置的情况下需要固定的网络地址规则。

    现在，我们发现大多数专用网络使用从10.x.x.x开始的地址范围的专用IP地址。外部通信通常是通过经管理或共享IP网络或者经公共因特网提供业务的业务提供者。在每个网络之间的边界上，应用NAT改变地址为分组传送的IP网络内是唯一的。简单NAT在一对一映射上改变在通信会话期间可能是固定或动态创建的全部IP地址。

    NAT的结果是主机的专用IP地址在外部是不可见的。这增加了安全等级。

    web服务器、邮件服务器和代理服务器是需要静态的一对一NAT映射以允许外部通信到达它们的主机的例子。

    虽然通过公共IP协议连接的计算机和网络使通信更容易，但公共协议也使违反保密性和安全性更容易。使用较小的计算能力就可以访问专用或秘密数据和文件，还可以故意破坏商业信息。业界对付这种攻击的解决方案是在它们的专用网络边界配置“防火墙”。

    防火墙被设计用于限制或“过滤”在专用和公共IP网络之间可能通过的IP业务的类型。防火墙可以通过几个等级的规则施加限制。限制可以应用在IP地址、端口、IP传输协议(例如TCP或UDP)或应用程序。限制是不对称的。防火墙一般被编程以允许从专用网络(防火墙内部)到公共网络(防火墙外部)比相反方向有更多的通信。

    随着万维网的出现，已经越来越难以将防火墙规则仅仅应用于IP地址。任意的内部主机(即你的个人计算机)可能希望连接到遍布全球的任意外部主机(web服务器)。“公知端口”的概念应用于这个问题。一个端口识别两个主机之间点到点传输连接的一端。“公知端口”是承载一个“公知”类型的业务的端口。互联网指定号码授权IANA规定预分配的公知端口和通过它们承载的业务类型。例如端口80已经分配用于网络漫游(http协议)业务，端口25用于简单的邮件传输协议等。

    网络漫游的防火墙过滤规则的例子如下：

    ·任意内部IP地址/任意端口号可以使用TCP(传输连接协议)和HTTP(网络漫游的应用协议)连接到任意外部IP地址/端口80。

    该连接是双向的，所以业务可以在相同的路径从web服务器返回。关键是必须从内部初始化该连接。

    电子邮件的防火墙过滤规则的例子可以是：

    ·任意外部的IP地址/任意端口号可以使用TCP和SMTP连接到IP地址192.3.4.5/端口25。

    NAT功能可以将目的地IP地址192.3.4.5改变成邮件服务器的内部地址10.6.7.8。

    IT运行商并不赞成如下的过滤规则：

    ·对于TCP或UDP，任意内部IP地址/任意端口号可以连接到任意外部IP地址/任意端口号或者反之。

    这样的规则相当于完全开放防火墙，如同过宽的滤波器。

    NAT和防火墙二者的功能防止在NAT和防火墙功能存在于两个端点之间的地方进行H.323通信。这一般是当端点是在不同的专用网中时，当一个端点在专用网中而另一个端点在因特网中时，或者当端点是在不同的管理IP网络中时的情况。

    H.323已经设计独立于下层网络和传输协议。然而，以下述主要概念的映射可以在IP网络内实现H.323：

    H.323地址：IP地址

    H.323逻辑信道：TCP/UDP端口连接

    在IP上实现H.323时，使用TCP或UDP传输协议作为IP分组中的负载发送H.323协议消息。许多H.323消息包含始发端点、目的端点或两者端点的H.323地址。在IP领域内，这意味着我们将IP地址放在H.323消息内，该消息在其首部包含信源主机和目的主机的IP地址的IP分组中发送。

    然而，出现的问题是简单NAT功能将在不改变H.323负载内的H.323地址的情况下改变信源主机和目的主机的IP地址。这导致违反H.323协议，并要求中间智能来管理H.323负载地址。

    因为多媒体通信的复杂性，H.323要求在端点之间开放多条逻辑信道。逻辑信道是呼叫控制、容量交换、音频、视频和数据所必需的。在仅涉及音频和视频的简单的点对点H.323多媒体会话中，至少需要六条逻辑信道。在H.323的IP实现中，逻辑信道被映射到TCP或UDP端口连接，很多这种端口连接是动态分配的。

    出现的另一个问题是防火墙功能将在端口上滤除没有规则的业务。或者打开防火墙，这有悖于防火墙的目的，或者大量H.323业务不能通过。

    因此，H.323通信是防火墙要避免的。或者防火墙必须变成H.323知道的，或者必须以安全方式由某种中间智能来管理端口分配。

    这个问题的一个可能的解决方案是完整的IP H.323升级。这需要：

    ·在每个IP网络边界将H.323升级成简单NAT功能。NAT功能必须扫描所有的H.323负载并不断地改变IP地址。

    ·在每个IP网络边界将H.323升级成防火墙功能。防火墙必须理解并观察所有的H.323通信，以便它可以打开动态分配的端口，并必须过滤在这些端口的所有的H.323业务。

    ·在共享IP网络的边界或者其内部配置H.323智能以解析和判断地址。IP地址极少直接由用户使用。实际上使用的是IP地址替代名。需要智能解析替代名为IP地址。这个H.323功能包含在称作网闸的H.323实体内。

    这种可能的解决方案的缺点在于：

    ·每个组织/专用网必须对现有H.323通信具有相同等级的升级。

    ·这种升级成本很高。必须购买、规划和配置新的功能或者新的装置。IT管理者必须学习H.323。

    ·H.323分组的连续解析以实现简单NAT和防火墙功能导致在每个网络边界上信号的延迟负担。音频和视频的延迟容限是非常小的。

    因为这些问题，当存在防火墙或网络地址转换(NAT)时，H.323协议不用于话音和多媒体通信。一种方法是将H.323系统放置在防火墙和NAT功能的公共侧。这允许它们使用H.323，同时也允许它们保护它们网络的其它部分。这种方法的缺点是：

    1.视频通信最普遍的设备是桌面PC(个人计算机)。不可能将所有的桌面个人计算机放在公共侧！

    2.在防火墙的公共侧不保护H.323系统免受攻击者的攻击。

    3.这些公司不能利用H.323的潜在普遍特性，因为仅仅允许特定的系统进行H.323通信。

    4.这些公司不能充分利用H.323内的数据共享设备，因为防火墙防止H.323系统访问数据。打开防火墙以允许从H.323系统的数据传输功能不是任选的，因为它允许攻击者使用H.323系统作为中继。

    现在H.323不是经IP网络的实时话音和多媒体通信的唯一协议。SIP(如在IETF RFC 2543中定义的会话初始化协议)、MGCP(媒体网关控制协议)、H.248(有时称作MGCP的Megaco-ITU的等效)。所有这些协议都存在防火墙和NAT引起的相同的基础设施问题，并且不能在无帮助的情况下通过它们。

    本发明的一个目的是解决所有协议的公共路径中通过防火墙和NAT的话音和多媒体通信由防火墙和NAT所产生的问题。因而，虽然参照H.323协议描述本发明，但它也应用于所有的实时IP通信协议，包括H.323、SIP、MGCP、Megaco等等。类似地，本发明不仅应用于话音，而且也应用于多媒体通信。因此，在说明书中，“多媒体”是指话音和/或视频通信的任意组合。

    因此，本发明提供一种进行多媒体呼叫的通信系统，包括：第一多媒体终端、第二多媒体终端、经共享通信网进行多媒体呼叫的通信装置，所述通信装置包括分别与第一多媒体终端和第二多媒体终端相关的第一通信装置和第二通信装置，第一通信装置包括多媒体呼叫必需经过的第一防火墙，其中：

    i)配置第一防火墙限制第一终端和公用共享通信网之间的某些类型的通信；

    ii)每个终端具有发送和/或接收多媒体呼叫的多个逻辑通信端口，包括至少一个动态分配的端口；

    iii)在建立多媒体呼叫的过程中，至少一个终端适合于向其它终端发送请求以打开接收所述请求的终端中的一个或多个动态端口；

    其特征在于：

    iv)该系统包括在第一终端和第二终端之间的一个代理服务器，在多媒体呼叫过程中为每个终端起着另一终端的代理；

    v)该代理服务器具有与多个终端通信的多个逻辑通信端口，所述多个终端包括与第一终端通信的一个或多个预先指定的端口；

    vi)配置第一防火墙不限制第一终端与该代理服务器的预先指定端口之间的通信；和

    vii)配置代理服务器经其预先指定的端口之一接收并转发打开所述动态端口的请求。

    还根据本发明提供使用通信系统进行多媒体呼叫的方法，所述通信系统包括：包括：第一多媒体终端、第二多媒体终端和包括分别与第一多媒体终端和第二多媒体终端相关的第一通信装置和第二通信装置的多个通信装置，其中每个终端具有用于发送和/或接收多媒体呼叫的多个逻辑通信端口，包括配置用于限制第一终端和共享通信网之间某些类型的通信的第一防火墙，其中该方法包括步骤：

    a)通过共享通信网络与第一多媒体终端和第二多媒体终端之间的第一通信装置和第二通信装置经第一防火墙建立多媒体呼叫；

    b)在建立多媒体呼叫的过程中，至少一个终端向其它终端发送请求以打开接收所述请求的终端中的一个或多个动态端口；

    其特征在于：

    c)包括在第一终端和第二终端之间的一个代理服务器，在多媒体呼叫过程中为每个终端起着另一终端的代理，该代理服务器具有与终端通信的逻辑通信端口，所述终端包括与第一终端通信的一个或多个预先指定的端口；

    d)配置第一防火墙不限制第一终端与代理服务器的预先指定端口之间的通信；和

    e)配置代理服务器经其预先指定的端口之一接收并转发打开所述动态端口的请求。

    这样的系统可以用于根据国际电信联盟的H.323或H.248标准进行多媒体呼叫。该系统也可以用于根据互联网工程特别工作组的SIP或MGCP标准进行多媒体呼叫。而且，该代理可以支持混合的协议环境。

    共享通信网络可以包括一个公共网络，例如公用交换电话网(PSTN)和公共因特网数据网络，或者它可以是配置防火墙以区分和限制跨越网络边界业务的任何其它IP网络。例如，在本发明的一个实施例中，代理服务器放置在公司网络的非军事(de-minitarised)区(DMZ)内，在此该防火墙限制从DMZ进入专用网的业务。

    代理服务器通常是远离第一多媒体终端和第二多媒体终端，例如通过共享IP网络连接到第一和第二多媒体终端。

    在很多情况下，第二通信装置还包括多媒体呼叫必需通过的第二防火墙。因此可以配置第二防火墙限制第二终端和共享通信网络之间的某些类型的通信。代理服务器则具有与终端通信的逻辑通信端口，所述终端具有与第二终端通信的一个或多个预先指定的端口。因此可以配置第二防火墙不限制第二终端和代理服务器的预先指定端口之间的通信。

    在本发明的优选实施例中，代理服务器的预先指定端口的数量小于或等于多个终端的动态指定端口的总数。例如，代理服务器可以具有两个预先指定的端口，最好是三个预先指定的端口，一个用于TCP，两个用于UDP。

    这多个终端可适合于发送和/或接收多媒体的媒体信号以及相关的多媒体控制信号，该控制信号发送给预先指定的端口之一，而该媒体信号发送给其它预先指定的端口。

    优选地，至少一个逻辑通信端口是预先指定的端口，所述请求作为初始化请求发送给该预先指定的端口以便初始化经通信链路的通信。

    通信装置可适合于经互联网进行至少部分的多媒体呼叫，在这种情况下，代理服务器具有一个公共互联网协议地址，该终端或每个终端通过该地址与代理服务器通信，配置防火墙不限制终端和代理服务器的预先指定端口之间的通信。

    本发明可应用于存在一对或多对第一终端和第二终端的情况。例如，在一个位置的多个第一多媒体终端可以分别连接到在多个其它位置的其它对应的第二多媒体终端。

    下面参照附图通过例子来描述本发明，在附图中：

    图1是根据本发明优选实施例进行多媒体呼叫的通信系统的示意图；和

    图2至图9是表示根据本发明优选实施例建立多媒体呼叫的方法的示意图。

    在参照图1描述的例子中介绍了完整的H.323升级的替代形式。图1图示具有第一公司2和第二公司4的通信系统1，每个公司包括专用网6，8，两个专用网都具有一个或多个H.323终端10，12。每个专用网6，8具有在10.x.x.x地址范围内的专用IP地址14，16。该专用IP地址14，16是通过普通的DHCP过程从静态分配或动态分配获得的。外部通信是通过共享的、管理的或公用因特网20。对于外部通信，第一公司2具有开始于192.1.1.1的公用IP地址库22，而第二公司4具有开始于206.1.1.1的公用IP地址库24。每个公司具有一个路由器32、34，该路由器使用转换规则编程以执行简单网络地址转换(NAT)功能，内部地址14，16(专用)和外部地址22，24(公用)之间的标准映射或者经相应路由器32，34基于专用网6，8上终端10，12的哪一个H.323首先连接到共享网络20进行的动态映射。

    每个专用网6，8使用防火墙功能26，28在它们的边缘受保护。使用表一所示的规则配置防火墙功能以允许H.323业务。这些规则考虑了H.323和T.120的公知端口，它们是1718、1719、1720和1503，以及根据本发明所推荐的两个新的公知端口，称作X和Y。

    表1：  规  则  来自IP地     址  来自端    口  到IP地址   到端    口 IP协议    应用程序  1    任意   任意224.0.1.411718  UDP  GK发现请求  2代理服务器   1718    任意任意  UDP  GK发现响应  3    任意   任意代理服务器1719  UDP  GK登记请求  4代理服务器   1719    任意任意  UDP  GK登记响应  5    任意   任意代理服务器1720  TCP  外出呼叫控制    (Q.931)  6代理服务器   1720    任意任意  TCP  进入呼叫控制    (Q.931)  7    任意   任意代理服务器Y  TCP  外出媒体控制    (H.245)  8代理服务器   Y    任意任意  TCP  进入媒体控制    (H.245)  9    任意   任意代理服务器X  UDP  外出媒体(RTP)  10代理服务器   X    任意任意  UDP  进入媒体(RTP)  11    任意   任意代理服务器Y  UDP  外出媒体(RTCP)  12代理服务器   Y    任意任意  UDP  进入媒体(RTCP)  13    任意   任意代理服务器1503  TCP  外出数据(T.120)  14  代理服务器  1503    任意任意TCP进入数据(T.120)

    在上表中，具体列出的端口号是根据IANA同意的标准登记的端口号。

    为了第一公司2内的H.323终端10与第二公司4内的其它H.323终端通信，必需有代理服务器40例如经路由器38连接的共享网络20。代理服务器40具有公共IP地址44，例如45.6.7.8。该代理服务器还具有事先IANA同意并登记的两个新的公知端口号X，Y46。

    对于H.323终端该代理服务器40表现为是他们的H.323网闸(或者是SIP终端的SIP寄存器，等等)。在呼叫期间，对于任一个终端，该代理服务器表现为另一终端或远程终端。对于网闸，该代理服务器表现为他们所有的端点。网闸功能(未示出)可以与代理服务器共存或者远离代理服务器。

    当H.323终端10，12接通时，它首先通过代理服务器40发现并随后登记网闸功能以使其它装置知道它准备好进行或接收多媒体呼叫。登记过程要求终端10，12在H.323消息中将其自身的IP地址14，16通过代理服务器40发送给网闸功能。当离开该终端时，IP分组的源地址字段是终端14，16的专用IP地址。然而，因为IP分组经过简单的NAT功能传送，IP分组中的源地址被改变为其公共等效地址22，24。因为NAT功能不知道包含终端的专用IP地址的H.323负载，这个IP地址不改变。由于该登记消息在到达网闸的路程中通过该代理服务器，代理服务器40存储终端的“视在”IP地址22，24(即该分组在NAT改变之后看起来是来自的地址)以及终端的专用或“实际”IP地址14，16。在对网闸功能的未来呼叫控制请求期间，该代理服务器命令所有的呼叫控制由在代理服务器IP地址40的代理服务器内的各种功能(呼叫控制、媒体控制和媒体处理)来处理。在本发明的描述中，我们已假设该代理服务器是具有单个IP地址的单个设备。在本发明的其它实施例中，“代理服务器”可以是多个协同工作的设备。另外，每个代理服务器设备可以具有一个或多个IP地址。在使用多个IP地址时，通常的做法是从单个子集分配它们，因此防火墙规则的编程变成指定到和来自子集而不是单个IP地址所允许的端口。

    如果H.323终端10，12不支持网闸登记功能，则该终端必须给予一个静态专用IP地址。因此必须在路由器32，34的简单NAT功能中制定静态NAT规则，并且必须以终端10，12的静态视在IP地址14，16和实际IP地址22，24编程代理服务器40。与前面的情况相同，编程终端10，12将所有的呼叫控制请求发送给代理服务器40。

    图2至图9表示根据本发明的优选实施例建立多媒体呼叫的方法。这些附图表示七个步骤或阶段，如下所述：

    步骤1，图2和图3：

    终端A1 10上的用户A使用H.323软件向终端B1 12上的用户B发出多媒体呼叫。在终端A1 10中运行的软件形成H.323建立消息，包含A和B的标识、终端A1 10的实际IP地址14和代理服务器42的实际IP地址44。随后从本地端口PA1 11在一个或多个TCP IP分组中发出这个消息50，该分组标记有终端A1 10的IP地址16作为源地址，代理服务器42的IP地址44作为目的地址。建立消息发送给代理服务器42的预先指定端口41，在此端口号为1720。由于这些分组50通过路由器32中的简单网络地址转换(NAT)功能，IP分组中的源IP地址14被改变为公共等效的IP地址18(例如10.1.1.1变成192.1.1.1)。H.323消息50本身不改变。

    由终端A1 10发送的这个建立消息表示如下：

    TCP分组    |源   IP/端口：10.1.1.1/PA1

               |目的 IP/端口：45.6.7.8/1720

    H.323      |源   IP/端口：10.1.1.1/PA1

               |目的 IP/端口：45.6.7.8/1720

    该建立消息由路由器32改变，然后表示如下：

    TCP分组    |源   IP/端口：192.1.1.1/PA1

               |目的 IP/端口：45.6.7.8/1720

    H.323      |源   IP/端口：10.1.1.1/PA1

               |目的 IP/端口：45.6.7.8/1720

    步骤2，图3和图4

    H.323建立消息51到达代理服务器42，它确定用户B的位置(例如结合一些网闸功能)，并形成类似的H.323新建立消息52以便发送。这个新建立的消息52包括A和B的标识、代理服务器42的实际IP地址44(例如45.6.7.8)和终端B1 12的实际IP地址16(例如10.1.1.1)。随后代理服务器42将这个消息52从预先指定的端口55发送给终端B1 12的公共IP地址17(例如206.1.1.1)，在此端口号为2777；这些IP分组标记有代理服务器42的IP地址作为源地址和终端B1 12的公共IP地址17作为目的地址。

    由代理服务器42转发的新建立消息52可以表示如下：

    TCP分组  |源    IP/端口：45.6.7.8/2777

             |目的  IP/端口：206.1.1.1/1720

    H.323    |源    IP/端口：45.6.7.8/2777

             |目的  IP/端口：10.1.1.1/1720

    步骤3，图4和图5：

    路由器34中的简单NAT功能改变IP分组以使它们的目的地址17变成终端B1 12的实际IP地址16。分组中包含的H.323消息53不改变，但是因为代理服务器42在发送消息52之前插入了实际IP地址16，由路由器34转发的消息53这时具有正确的IP地址16。这个转发的消息53包含将该呼叫识别为在终端A1 10的用户始发的信息。

    由路由器34改变的建立消息随后表示如下：

    TCP分组    |源    IP/端口：45.6.7.8/2777

               |目的  IP/端口：10.1.1.1/1720

    H.323      |源    IP/端口：45.6.7.8/2777

               |目的  IP/端口：10.1.1.1/1720

    步骤4，图6：

    例如由公知的国际一致同意的标准提出的过程中，终端A1 10和B1 12确定他们发送音频和/视频信号。该过程在任一方向都是相同的，并且对音频和视频也是相同的。

    终端B1 12准备新的TCP端口PB1 13，在该端口它接收来自H.245通信的连接。随后它将H.323“连接”消息54发送回代理服务器42。新端口10.1.1.1的地址在消息54内。

    这表示如下：

    TCP分组  |源         IP/端口：10.1.1.1/1720

             |目的       IP/端口：45.6.7.8/2777

    H.323    |H.245地址  IP/端口：10.1.1.1/PB1

    路由器34将该消息转换为：

    TCP分组    |源         IP/端口：206.1.1.1/1720

               |目的       IP/端口：45.6.7.8/2777

    H.323      |H.245地址  IP/端口：10.1.1.1/PB1

    步骤5，图7：

    代理服务器42将H.323“连接”消息56发送给在IP地址192.1.1.1/PA1的终端A1 10。该消息命名IP地址45.6.7.8/2777为终端A1 10应进行H.245连接的端口。

    这表示如下：

    TCP分组    |源         IP/端口：45.6.7.8/1720

               |目的       IP/端口：192.1.1.1/PA1

    H.323      |H.245地址  IP/端口：45.6.7.8/2777

    路由器34转换该消息57并将其转发给终端A1 10，如下：

    TCP分组    |源         IP/端口：45.6.7.8/1720

               |目的       IP/端口：10.1.1.1/PA1

    H.323      |H.245地址  IP/端口：45.6.7.8/2777

    步骤6，图8：

    接着，各自独立地或者相继地发生两个事件。首先，终端A1 10与代理服务器42建立H.245通信。承载H.245通信的IP分组58，59在路由器32被转换成上述的初始的建立消息。其次，代理服务器42以如上所述的相同方式的地址转换经路由器34建立到终端B1 12的类似H.245连接60，61。在这一阶段，在H.245消息58，59；60，61中不承载IP地址。

    步骤7，图9A至9E：

    终端A1 10和B1 12遵循普通H.245协议以打开承载音频和/或视频信号的逻辑信道。每条信道承载音频或者视频，但是不同时承载两者。该过程对于所有信道都是相同的。多个端口27，29在终端10，12和代理服务器42中被打开，如图9A中以简单形式表示的。

    各个端口打开的顺序可以改变，在此描述一个特定的例子。特别地，尽管图9E所示的步骤表示为发生在图9D的步骤之后，图E的步骤可以发生在图9C所示的步骤之前，或者在图9C和图9D所示的步骤之间。

    首先如图9B中所示的，终端A1 10建立动态端口对PA3/UDP和PA4/UDP 31作为发送音频的音频信道。数字上，根据RTP通信的规则(标准IETF RFC 1889)，PA4＝PA3+1，并且PA3是偶数。端口PA3用于RTP通信，而端口PA4用于RTCP通信。

    终端A1 10发送必需的“打开逻辑信道”消息62给代理服务器42。路由器32中的NAT功能发送转换后的消息63和IP分组为：

                           转换前          转换后

    TCP  |源    IP/端口：10.1.1.1/PA2   192.1.1.1/PA2

         |目的  IP/端口：45.6.7.8/2777  45.6.7.8/2777

    RTCP |地址           10.1.1.1/PB4       未改变

    然后，如图9C所示，代理服务器42形成类似的新消息64给终端B1 12。代理服务器42将预先指定端口的标识和有关该信号特性的信息放在这个消息中。该消息64与45.6.7.8/2777(UDP)构造为代理服务器的RTCP地址。编码的方法可以与由终端A1选择的编码方法相同，或者也可以是不同的。随后代理服务器42在IP分组中将消息64发送给终端B1 12的公共IP地址17。

    该消息通过在路由器34的简单的NAT功能。这将分组中的目的IP地址改变成终端B1 12的实际地址16。该终端接收消息65，并打开一对动态端口35以接收该信号。

    这表示如下：

                             之前           之后

    TCP  |源    IP/端口：45.6.7.8/2777  45.6.7.8/2777

         |目的  IP/端口：206.1.1.1/PB1  10.1.1.1/PB2

    RTCP |地址           45.6.7.8/2777     未改变

    随后，如图9D所示，终端B1 12以“打开逻辑信道确认”响应66应答，所述响应包括终端B1 12的实际IP地址16和终端B1已经打开的动态端口35的端口号。

    “打开逻辑信道确认”消息66给出终端B1 12的RTP和RTCP地址，此处为10.1.1.1/PB2和10.1.1.1/PB3。在这个例子中，PB2是偶数，PB3＝PB2+1。这个消息66被放置在具有源IP地址等于终端B1 12的实际IP地址16和目的地址等于代理服务器42的IP地址44的IP分组中。消息66通过路由器34，它使用简单NAT功能转发转换的消息67给代理服务器42，该代理服务器42具有改变成公共IP地址17的终端B1 12的实际IP地址16。该分组到达代理服务器42，它使用来自消息的动态端口号加终端B1 12的公共IP地址(206.1.1.1)以打开其预先指定的端口33从而将音频信号发送给终端B1 12。路由器34并不改变H.323消息中的地址。

    这表示如下：

                             之前             之后

    TCP |源    IP/端口：10.1.1.1/PB1      206.1.1.1/PB1

        |目的  IP/端口：45.6.7.8/2777     45.6.7.8/2777

    RTP |地址           10.1.1.1/PB2(UDP)    未改变

    RTCP|地址           10.1.1.1/PB3(UDP)    未改变

    最后，如图9E所示，代理服务器42向终端A1 10的公共IP地址18发送“打开逻辑信道确认”响应68告诉该终端接收音频信号的端口。在这个例子中，该消息列出在代理服务器42的预先指定的端口2776/UDP和2777/UDP作为分别用于RTP和RTCP的端口。路由器32修改转发消息69的IP分组中的终端的IP地址，但不对响应本身进行修改。该终端接收这个消息69，并开始发送该音频信号。

    由路由器32改变的建立消息被转换如下：

                               之前            之后

    TCP   |源    IP/端口：45.6.7.8/2777    45.6.7.8/2777

          |目的  IP/端口：192.1.1.1/PA2    10.1.1.1/PA2

    RTP   |地址           45.6.7.8/2776       未改变

    RTCP  |地址           45.6.7.8/2777       未改变

    多媒体通信(“媒体数据”)随后可以在两个终端10，12之间进行。由于终端A1 10产生新信道的媒体数据，它将其从新的第三端口10.1.1.1/PA3发送给在45.6.7.8/2776的代理服务器42。代理服务器42接收该媒体数据，并从视在源地址确定发往该逻辑信道的分组，以及通过将它们从45.6.7.8/2776发送到在206.1.1.1/PB2的终端B1 12将它们转发给B1 12。代理服务器42在向前发送媒体数据之前可以执行处理，或者它可以转发未改变的媒体数据。

    在这个例子中，代理服务器42必需记录终端A1 10的视在或“公共”IP地址18，在此为192.1.1.1，因为在它接收媒体数据分组时它不直接访问实际的始发地址14，在此为10.1.1.1。

    上述发明允许位于不同保密和专用IP数据网络的H.323端点在不降低各专用网络的数据保密性和数据安全性的情况下相互通信。本发明涉及一种方法和设备，具有与现有的防火墙、路由器和代理服务器一起工作的优点，因而节省将这些设备升级为完全H.323一致的设备或者配置附加H.323设备的费用。上述发明的一方面应用于简单(一对一)NAT(网络地址转换)映射可以在专用网边界上应用或者可以旁路NAT的情况。上述发明的另一方面应用于NAPT(网络地址和端口转换)应用在专用网边界的情况。本发明的两个方面可以共存，并且该设备可以允许在遵循一种方法的专用网和遵循另一种方法的专用网之间进行通信。类似地，在单个专用网内，一些终端可以使用一种方法(例如专用的房间系统)，而其它些终端可以使用第二种方法(例如桌面客户个人计算机)。

    参照ITU H.323标准描述了上述发明，因为该标准是在包括IP网络的分组网络上进行多媒体通信的主要标准。然而，它同样可以应用于需要动态地分配端口以承载双向信息的其它标准和方法，例如SIP、MGCP和H.248。

    总之，本发明提供了一种方法和系统，允许位于专用IP网络中的H.323终端：不损害现有的安全过程和措施；不需要升级现有的防火墙、路由器和代理服务器；避免在专用网络内配置附加的专用H.323装置。本发明还允许在一个专用网络中的标准H.323装置使用共享或公共IP网络通过H.323代理服务器与在相同或不同的专用和/或公共IP网络中的其它H.323终端通信。

    注意，H.323终端的静态专用IP地址实际上可以与它所映射的公共IP地址相同，在这种情况下一对一的映射是透明的。

    上述方法的优点是：

    ·NAT和防火墙功能不需要升级。

    ·可以由业务提供者通过共享网络或者由公司自身使用公共互联网提供连接性。

    ·信号的等待时间保持为最小值。

    因此各组织可以预定共享IP网络的共享资源。费用可以保持最小/不损害共享和安全性。