《防火墙RTSP协议处理流程及RTSPALG应用》由会员分享,可在线阅读,更多相关《防火墙RTSP协议处理流程及RTSPALG应用(11页珍藏版)》请在金锄头文库上搜索。
1、一 RTSP协议概述RTSP(Real-Time Stream Protocol )是一种基于文本的应用层协议,在语法及一些消息参数等方面,RTSP协议与HTTP协议类似。RTSP被用于建立的控制媒体流的传输,它为多媒体服务扮演“网络远程控制”的角色。尽管有时可以把RTSP控制信息和媒体数据流交织在一起传送,但一般情况RTSP本身并不用于转送媒体流数据。媒体数据的传送可通过RTP/RTCP等协议来完成。二一次基本的RTSP协议连接过程1. 客户端与服务器建立TCP三次握手连接。2. 客户端连接到流服务器并发送一个RTSP描述命令(OPTIONS),询问S有哪些方法可用(包括DESCRIBE、S
2、ETUP、TEARDOWN、PLAY、PAUSE、OPTIONS、ANNOUNCE、RECORD等)。 / 3. 客户端继续发送一个RTSP描述命令(DESCRIBE),要求得到S提供的媒体描述信息,流服务器通过一个SDP描述来进行反馈,反馈信息包括流数量、媒体类型等信息。4. 客户端再分析该SDP描述,并为会话中的每一个流发送一个RTSP建立命令(SETUP),RTSP建立命令告诉服务器客户端用于接收媒体数据的端口。5. 流媒体连接建立完成后,客户端发送一个播放命令(PLAY),服务器就开始在UDP上传送媒体流(RTP包)到客户端。6. 在播放过程中客户端还可以向服务器发送命令来控制快进、快
3、退和暂停等。最后,客户端可发送一个终止命令(TERADOWN)来结束流媒体会话。三、简单的RTSP消息交互过程C表示RTSP客户端,S表示RTSP服务端1. 第一步:查询服务器端可用方法 1.C-S:OPTION request /询问S有哪些方法可用1.S-C:OPTION response /S回应信息的public头字段中包括提供的所有可用方法2. 第二步:得到媒体描述信息2.C-S:DESCRIBE request /要求得到S提供的媒体描述信息2.S-C:DESCRIBE response /S回应媒体描述信息,一般是sdp信息3. 第三步:建立RTSP会话3.C-S:SETUP r
4、equest /通过Transport头字段列出可接受的传输选项,请求S建立会话3.S-C:SETUP response /S建立会话,通过Transport头字段返回选择的具体转输选项,并返回建立的Session ID;4. 第四步:请求开始传送数据4.C-S:PLAY request /C请求S开始发送数据4.S-C:PLAY response /S回应该请求的信息5. 第五步:数据传送播放中S-C:发送流媒体数据 / 通过RTP协议传送数据6. 第六步:关闭会话,退出6.C-S:TEARDOWN request /C请求关闭会话6.S-C:TEARDOWN response/S回应该请求
5、上述的过程只是标准的、友好的rtsp流程,但实际的需求中并不一定按此过程。其中第三和第四步是必需的!第一步,只要服务器客户端约定好,有哪些方法可用,则option请求可以不要。第二步,如果我们有其他途径得到媒体初始化描述信息(比如http请求等等),则我们也不需要通过rtsp中的describe请求来完成。四、防火墙处理RTSP协议的几种应用场景1. 包过滤正向(Trust-Untrust)只放通TCP554端口,三层源NAT,不开启RTSP ALG。数据转发过程:1)PC-Server发起TCP三次握手连接,建立RTSP 554端口的控制连接。 2)Server-PC发送UDP视频音频流数据
6、。3)防火墙包过滤阻断该数据流,Server没有收到PC返回的确认包,重新开始协商控制连接,连接建立后使用TCP来进行视频音频流的传输(此时PC播放视频时会先卡顿510S后再出现视频数据,播放时会卡),此时TCP传输数据。2. 包过滤正向只放通TCP554端口,三层源NAT,开启RTSP ALG。 数据转发过程:1)PC-Server发起TCP三次握手连接,建立RTSP 554端口的控制连接,此时防火墙RTSP ALG记录NAT 会话,后台添加放通TCP协商的UDP数据端口策略。 2)Server-PC发送UDP视频音频流数据,防火墙放通,此时UDP传输数据。3.包过滤正反向全放通,三层源NA
7、T,不开启RTSP ALG。数据转发过程:1)PC-Server发起TCP三次握手连接,建立RTSP 554端口的控制连接。 2)Server-PC发送UDP视频音频流数据。 3)Server端发送UDP数据的目的地址与端口为防火墙公网出接口的IP地址,由于没有开启RTSP ALG功能,不会根据控制连接的NAT会话来将目的防火墙的IP转换为PC的IP,从而数据无法送达PC,UDP传输数据失败。 4)Server端收不到PC已收到UDP音频视频数据的确认包,将控制连接Teardown后重新建立连接,使用TCP进行数据传输4.包过滤正反向全放通,三层源NAT,开启RTSP ALG。(同2)5.二层
8、透明,包过滤正反向全放通,开启/不开启RTSP ALG。(二层不涉及ALG)Server-防火墙-Internet-ClientIP:11.12.13.222 SNAT后IP:172.30.158.248 IP:172.30.138.1 DNAT前IP:172.30.158.251目的NAT下开启RTSP的防火墙会话sh session list ipv4 dst-ip 172.30.158.251TCP TCP_NS_ESTABLISHED,left_time:386s,172.30.138.1:63997=172.30.158.251:554, packet=7, bytes=1047RE
9、PLY 11.12.13.222:554=172.30.138.1:63997, packet=5, bytes=1360sh session list ipv4 dst-ip 172.30.138.1 UDP,left_time:119s,11.12.13.222:6971=172.30.138.1:52753, packet=44, bytes=4122REPLY 172.30.138.1:52753=172.30.158.251:6971, packet=41, bytes=4182UDP,left_time:119s,11.12.13.222:6970=172.30.138.1:527
10、52, packet=295465, bytes=404787036REPLY 172.30.138.1:52752=172.30.158.251:6970, packet=0, bytes=0目的NAT下关闭RTSP的防火墙会话sh session list ipv4 dst-ip 172.30.158.251TCP TCP_NS_ESTABLISHED,left_time:588s,172.30.138.1:64336=172.30.158.251:554, packet=7, bytes=1117REPLY 11.12.13.222:554=172.30.138.1:64336, pac
11、ket=5, bytes=1417sh session list ipv4 dst-ip 172.30.138.1UDP,left_time:104s,11.12.13.222:6971=172.30.138.1:51459, packet=14, bytes=1302REPLY 172.30.138.1:51459=172.30.158.248:6971, packet=0, bytes=0UDP,left_time:105s,11.12.13.222:6970=172.30.138.1:51458, packet=88663, bytes=121468296REPLY 172.30.138.1:51458=172.30.158.248:6970, packet=0, bytes=0 温馨提示:合同协议可能无法思考和涵盖全面,最好找律师起草或审核后使用。
