CiRen 33 Visio-Réunion, Septembre GateKeepers et GnuGK.

Transcription

1 CiRen 33 Visio-Réunion, Septembre 2007 GateKeepers et GnuGK 1

2 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux et flux à autoriser (avec ou sans GK) GnuGK 2

3 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux et flux à autoriser (avec ou sans GK) GnuGK 3

4 Ce qu est la visioconférence et pourquoi l utiliser? La visioconférence, c est comme la téléphonie avec la vidéo en plus Une meilleure définition : Une visioconférence est une réunion virtuelle d au moins 2 participants (personne seule ou groupe de personnes) situés à différents endroits qui communiquent en temps réel par des liens audio/vidéo bidirectionnels. Le son, la vidéo et le texte peuvent être partagés entrent les participants. Avantages : Économies en déplacement, en temps et en coût de télécommunication. Applications : Travail collaboratif et réunion de groupe de travail à distance Éducation : les conférenciers présentent leurs exposés sans se déplacer Expérience interculturelle entre étudiants utilisant une technologie moderne Soutenances de thèse à distance 4

5 La norme H.323 Plusieurs protocoles sont disponibles pour la visioconférence : H.323 (sur IP) le plus utilisé H.320 (sur RNIS) surtout recommandé en tant qu option de secours SIP (sur IP) davantage utilisé pour la téléphonie sur IP Access Grid (sur IP multicast) applications à bande passante élevée Ce dont nous traitons ici : H.323 La recommandation H.323 (ITU-T, v.1 en 1996, v.6 en 2006) décrit les composants et les services requis pour une communication multimédia à travers un réseau IP Elle fournit un protocole commun pour que les outils puissent fonctionner ensemble Elle traite de plusieurs informations : G.7xx /RTP : audio H.26x /RTP : vidéo (RTP,RTCP) /UDP: transport et contrôle des données audio et vidéo (IETF) T.12x /TCP : partage d application H.225-RAS /UDP : signalisation d enregistrement H.225-Q.931 /TCP : signalisation d appel H.245 /TCP : contrôle d appel et bien d autres : H.450 (services téléphoniques tels que le transfert d appel, la mise en attente), H.235 (sécurité telle que l authentification, le contrôle d intégrité, le chiffrement), H.239 (double flux), H.243 et H.231 (multipoint), H.281 (pilotage des caméras à distance), H.350 (extension LDAP), H.460 (NAT/Firewall Traversal), 5

6 Les canaux d échange H.323 Le canal de signalisation est utilisé pour envoyer des messages de demande de mise en relation avec une autre personne. Ces messages indiquent que la ligne est occupée, que le téléphone sonne, Le canal est aussi utilisé pour envoyer des message qui signalent que tel téléphone est connecté au réseau et peut être joint de telle manière. La signalisation s appuie sur le protocole H.225 : H.225-RAS (Registration Admission Status) pour la signalisation d enregistrement H.225-Q.931 pour la signalisation d appel Le canal de contrôle d appel est utilisé pour envoyer des messages de négociation pour se mettre d accord sur la façon de communiquer et de coder les informations qu on va s échanger. Le contrôle d appel s appuie sur le protocole H.245 Les canaux de transport des données sont utilisés pour transporter l audio, la vidéo et les données du partage d application. Le transport audio et vidéo s appuie sur le protocole RTP (Real-time Transport Protocol) Le transport des données du partage d application s appuie sur le protocole T.120 Les canaux de contrôle du transport des données audio et vidéo sont utilisés pour échanger des messages qui permettent de s assurer que les données audio et vidéo sont bien échangées. Ces messages sont nécessaires pour contrôler l arrivée des paquets à destination parce que RTP fonctionne sur UDP (protocole de transport non fiable). Le contrôle du transport audio et vidéo s appuie sur le protocole RTCP (Real Time Transport Control Protocol) 6

7 Les composantes d une zone H.323 Zone H.323 RNIS GW FW EP MCU EP EP EP GK EP Une zone H.323 est constituée de : Terminaux (EP / EndPoint) pour entrer en visioconférence Ponts Multipoint (MCU / Multipoint Control Unit) pour gérer le multipoint Passerelles (GW / GateWay) pour se connecter aux réseaux non IP (RNIS) Pare-feu (FW / FireWall) pour sécuriser le réseau Portiers (GK / GateKeeper) pour gérer la zone H.323 7

8 Le pont multipoint (MCU - Multipoint Control Unit) Point à point ou multipoint? une connexion point à point inclut seulement deux participants, tandis que le multipoint peut connecter beaucoup plus de participants Point à point Multipoint 8

9 Le portier (GK GateKeeper) Logiciel ou matériel, dédié ou intégré dans un MCU ou dans un routeur IP Point central pour réaliser : l enregistrement et la translation d adresse : il assure la traduction entre les numéros de téléphone (ou les alias) et les adresses IP en utilisant une table de traduction mise à jour lors de l enregistrement des terminaux le contrôle des admissions : il autorise les terminaux à appeler et à être appelés la gestion de la bande passante : il régule la bande passante totale des conférences la gestion de la zone : il assure ces fonctions pour les terminaux, les ponts et les passerelles qui se sont enregistrés et bien d autres services : l authentification, l interface avec les systèmes de facturation pour la gestion des coûts, la mise en place de l annuaire des utilisateurs, la gestion des appels (transfert d appel, mise en attente, redirection), la fonction de Proxy, le support du NAT, le routage d appel (entre GK), Le GK reste optionnel mais sans lui : les correspondants ne sont joignables que par leur adresse IP les terminaux doivent être en adressage publique (pas de NAT) les appels ne sont pas contrôlables des difficultés pour traverser les Firewalls peuvent persister 9

10 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux et flux à autoriser (avec ou sans GK) GnuGK 10

11 Principe de fonctionnement (appel sans GK) 4 phases : 1. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 2. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 3. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 4. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation 11

12 Appel sans GK Canal de signalisation H.225-Q.931 (TCP port 1720) EP appelant SETUP CALL PROCEEDING ALERTING + CONNECT EP appelé 1. Établissement de l appel - déclenchement de l appel - négociation d un port TCP temporaire pour H sonnerie chez l appelé, tonalité chez l appelant - connexion Canal de contrôle d appel H.245 (TCP port dynamique) Canaux des données RTP/RTCP (UDP ports dynamiques) TERMINAL CAPABILITY SET + ACK MASTER SLAVE DETERMINATION + ACK OPEN LOGICAL CHANNEL + ACK Flux de données audio + vidéo (RTP) Flux de contrôle des données audio + vidéo (RTCP) 2. Préparation de la conversation - échange des capacités des EP: débit, format et options des codecs sont échangés - détermination du maître et de l esclave - ouverture des canaux de données (ports UDP) sont échangés 3. Conversation - transfert et contrôle temps réel des media sur des canaux unidirectionnels : deux ports UDP sont utilisés (RTP+RTCP) par média Canal de contrôle d appel H.245 (TCP port dynamique) Canal de signalisation H.225-Q.931 (TCP port 1720) END SESSION COMMAND RELEASE COMPLETE 4. Fin de la communication - fermeture des canaux de données - fermeture du canal de contrôle d appel - fermeture du canal de signalisation 12

13 Appel sans GK Capture d un appel avec Wireshark Appel entre deux Ekiga Trace et analyse avec Wireshark Menu Statistics / VoIP Calls 13

14 Principe de fonctionnement (appel sans GK) 4 phases : 1. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 2. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 3. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 4. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation 14

15 Appel sans GK Phase 1 : déclenchement et initialisation de l appel EP appelant (TCP >1024) SETUP déclenchement de l appel CALL PROCEEDING traitement d appel en cours ALERTING sonnerie CONNECT connexion (@H245=30004) EP appelé (TCP=1720) Canal de signalisation H.225 Q.931 (TCP port 1720) L appelant commence par envoyer à l appelé un message Setup Ce message est envoyé à destination du port TCP 1720 de l appelant Ce message contient l adresse de destination (@IP,port TCP>1024) que l appelé devra utiliser pour envoyer les messages de signalisation d appel H.225-Q.931 L appelé accuse réception du message par un Call Proceeding puis envoie un message Alerting. L émission de ce message fait sonner le terminal de l appelé et à la réception le terminal de l appelant donne la tonalité d appel. L appelé décroche son terminal, un message Connect est envoyé Ce message contient l adresse de destination (@IP,port TCP>1024) que l appelant devra utiliser pour établir le canal de contrôle d appel H.245 (phase 2) 15

16 Appel sans GK Capture d un paquet H.225-Q.931 SETUP 16

17 Appel sans GK Capture d un paquet H.225-Q.931 CALL PROCEEDING 17

18 Appel sans GK Capture d un paquet H.225-Q.931 ALERTING 18

19 Appel sans GK Capture d un paquet H.225-Q.931 CONNECT 19

20 Principe de fonctionnement (appel sans GK) 4 phases : 1. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 2. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 3. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 4. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation 20

21 Appel sans GK Phase 2 : préparation à la conversation échange des capacités EP appelant (TCP >1024) TERMINAL CAPABILITY SET TERMINAL CAPABILITY SET ACK TERMINAL CAPABILITY SET TERMINAL CAPABILITY SET ACK EP appelé (TCP>1024) TCP Canal de contrôle d appel H.245 (port TCP négocié > 1024) Le canal de contrôle d appel est ouvert La connexion TCP est initiée par l appelant en utilisant l adresse contenue dans le message Connect (phase 1) Les terminaux s échangent leurs performances pour la communication Chaque terminal envoie un message Terminal Capability Set qui contient les capacités de multiplexage de flux et la table de capacités : possibilité d échange et de compression audio ou vidéo, types de codage audio et vidéo acceptés, paramètres de données T.120, Chaque terminal accuse réception de ce message par un Terminal Capability Set Ack À ce moment précis, les deux terminaux ont pleine conscience des capacités de leur correspondant 21

22 Appel sans GK Phase 2 : préparation à la conversation détermination du maître et de l esclave EP appelant (TCP >1024) MASTER SLAVE DETERMINATION EP appelé (TCP>1024) TCP MASTER SLAVE DETERMINATION ACK MASTER SLAVE DETERMINATION Canal de contrôle d appel H.245 (port TCP négocié > 1024) MASTER SLAVE DETERMINATION ACK Les terminaux doivent décider qui sera le maître dans la conversation (cet arbitrage permet d éviter certains conflits tels que l ouverture l un vers l autre et simultanément d un canal bidirectionnel) Chaque terminal envoie un message Master Slave Determination qui contient un nombre généré aléatoirement. Chaque terminal accuse réception de ce message par un Master Slave Determination Ack Le terminal ayant le nombre le plus élevé devient le maître À ce moment précis, les deux terminaux ne sont plus vus comme deux entités équivalentes 22

23 Appel sans GK Phase 2 : préparation à la conversation établissement de la communication audiovisuelle EP appelant (TCP >1024) OPEN LOGICAL audio,video =5013,5015 OPEN LOGICAL CHANNEL audio,video =5016,5018 audio,video =5017,5019 OPEN LOGICAL audio,video =5017,5019 OPEN LOGICAL CHANNEL audio,video =5012,5014 audio,video =5013,5015 EP appelé (TCP>1024) TCP Canal de contrôle d appel H.245 (port TCP négocié > 1024) Les terminaux ouvrent les canaux de communication audio et vidéo Chaque terminal envoie un message Open Logical Channel ce message contient l adresse (port UDP>1024) désirée pour la réception des rapports RTCP pour le contrôle de l audio et de la vidéo Chaque terminal accuse réception du message par un Open Logical Channel Ack ce message contient les adresses (ports UDP>1024) désirées pour la réception des données RTP (audio et vidéo) et pour la réception des rapports RTCP À ce moment précis, les deux terminaux sont prêts à dialoguer 23

24 Appel sans GK Capture d un paquet H.245 TERMINAL CAPABILITY SET 24

25 Appel sans GK Capture d un paquet H.245 MASTER SLAVE DETERMINATION 25

26 Appel sans GK Capture d un paquet H.245 OPEN LOGICAL CHANNEL ACK 26

27 Principe de fonctionnement (appel sans GK) 4 phases : 1. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 2. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 3. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 4. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation 27

28 Appel sans GK Phase 3 : conversation (transport et contrôle des données) EP appelant EP appelé (UDP >1024) (UDP>1024) UDP 5012 Flux RTP audio UDP 5016 UDP 5013 Flux RTCP audio UDP 5017 UDP 5014 Flux RTP vidéo UDP 5018 UDP 5015 Flux RTCP vidéo UDP 5019 Canaux de données RTP/RTCP (ports UDP négociés > 1024) Les paquets sont échangés dans les canaux établis précédemment Un canal RTP et un canal RTCP par média (audio et vidéo) RTP (Realtime Transport Protocole) pour l acheminement des données audio/vidéo RTCP (Realtime Transport Control Protocole) pour échanger des messages de contrôle des données audio/vidéo deux numéros de ports UDP voisins : RTP port pair, RTCP port pair + 1 Les paquets RTCP (Sender Report) émis par le récepteur de paquets RTP donnent une idée sur la qualité de transmission. Ces paquets contiennent les statistiques sur la transmission de l émetteur des données audio/vidéo : taux de pertes, délais de transmission, RTT (temps aller-retour), gigue (variance des délais de transit) 28

29 Appel sans GK Capture d un paquet RTP format du paquet vidéo transporté numéro de séquence du paquet vidéo transporté identifiant de la source de synchronisation (nombre tiré aléatoirement) paquet vidéo transporté 29

30 Appel sans GK Capture d un paquet RTCP 30

31 Principe de fonctionnement (appel sans GK) 4 phases : 1. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 2. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 3. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 4. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation 31

32 Appel sans GK Phase 4 : fin de la communication EP appelant (TCP >1024) EP appelé (TCP>1024) END SESSION COMMAND commande de fin de session TCP Canal de contrôle d appel H.245 (port TCP négocié > 1024) RELEASE COMPLETE arrêt complet Canal de signalisation H.225-Q.931 (port TCP 1720) Celui qui raccroche libère la connexion : il ferme les canaux de communication, il envoie un message de fermeture de session End Session Command et il attend le même message de la part du correspondant avant de fermer le canal de contrôle Des messages Close Logical Channel + ACK peuvent aussi être échangés pour fermer les canaux de données Vient ensuite la fermeture du canal de signalisation par l envoi réciproque d un message Release Complete sur ce canal À ce moment précis, la communication est terminée 32

33 Appel sans GK Capture d un paquet H.245 END SESSION COMMAND 33

34 Appel sans GK Capture d un paquet H.225-Q.931 RELEASE COMPLETE 34

35 Appel sans GK Améliorations de la norme et nouvelles fonctionnalités (H.323 v.2) La procédure H.245 Tunneling Un seul canal est utilisé au lieu des deux canaux (H.225-Q.931 et H.245) tous les messages de contrôle H.245 sont encapsulés dans des messages H.225-Q.931 (ils utilisent la même connexion TCP initiée sur le port 1720) Avantage : il n y a plus de port TCP ouvert dynamiquement (à l exception du port TCP Established H.225-Q.931 chez l appelant) La procédure Early H.245 Ouverture du canal de contrôle H.245 dès que possible et parallèlement à la signalisation d appel (l adresse de connexion TCP H.245 est fournie par l appelant dans le message SETUP et/ou par l appelé dans le message CallProceeding et/ou Alerting) la négociation des paramètres est anticipée l ouverture des canaux RTP se fait sans attendre le message Connect Conséquence : l appel est plus rapidement établi Optimisation souvent disponible en complément de la procédure FastStart La procédure FastStart Nouvelle procédure d établissement d appel où les informations du canal de contrôle sont incluses dans l invitation d appel (SETUP) ouverture du canal H.245 simplifié ou rendue optionnel : l établissement de l appel peut se faire en seulement 2 messages! Conséquence : l appel est plus rapidement établi (quelques sec. contre sec. en H.323 v.1) Inconvénient : cette méthode ne permet pas la transmission d informations DTMF (contrôle d appel par des tiers) 35

36 Appel sans GK La procédure FastStart EP appelant (TCP >1024) SETUP (FastStart [Logical Channel Info]) déclenchement de l appel CALL PROCEEDING traitement d appel en cours ALERTING sonnerie RTP audio et vidéo CONNECT (FastStart [Logical Channel Info]) connexion RTP/RTCP audio et vidéo EP appelé (TCP=1720) Canal de signalisation H.225 (port TCP 1720) Canaux de données RTP/RTCP (ports UDP négociés > 1024) Les informations nécessaires pour commencer à ouvrir les canaux RTP sont contenues dans le 1 er message (SETUP) L appelant commence à recevoir le flux de données audio et vidéo avant même de recevoir le message qui indique que l appelé a décroché (CONNECT)! 36

37 Appel sans GK Attention, tous les terminaux ne supportent pas ces nouvelles procédures Il faut parfois désactiver ces fonctionnalités pour rendre compatible les terminaux entre eux Ekiga supporte les nouvelles fonctionnalités H.323 (Tunneling H.245, Early H.245, FastStart) mais ce n est pas le cas du logiciel Polycom PVX 37

38 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux et flux à autoriser (avec ou sans GK) GnuGK 38

39 Principe de fonctionnement (appel avec GK) 5 phases : 1. Découverte du GK, enregistrement des EP, autorisation d appel H.225-RAS (port UDP 1718 et 1719) : ouverture du canal RAS 2. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 3. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 4. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 5. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et fermeture du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation H.225-RAS (port UDP 1718 et 1719) : enregistrement résilié, fermeture du canal RAS 39

40 RAS (Registration, Admission, Status) et la translation d adresse les EP s enregistrent auprès de leur GK (ou du GK qu il découvre automatiquement) avec un n E.164 et/ou un nom d alias H.323 unique n E.164 : nom alias H.323 : Paul EP (IP 1 ) n E.164 : nom alias H.323 : Jean EP (IP 2 ) le GK connaît l état de connexion des EP et se charge d autoriser les EP à effectuer les appels. les appels entre EP se font avec les n E.164 et/ou les noms d alias H.323 enregistrés sur le GK (cela n empêche pas l appel avec l adresse IP) le GK s occupe de localiser les EP et de faire la conversion n E.164 adresse IP et nom d alias H.323 adresse IP Le GK autorise l appel et communique à l appelant l adresse IP du correspondant nécessaire pour un appel direct entre EP Canaux RAS ports UDP GK Enregistrement des terminaux Table de correspondance : ( , Paul) IP 1 ( , Jean) IP 2 RAS : Registration, Admission, Status 1. découverte du GK 2. enregistrement et localisation du terminal : n E.164, alias H.323, adresse IP, 3. contrôle d appel et état de la connexion 40

41 Les messages RAS RAS (Registration, Admission, Status) est utilisé par les EP pour envoyer des requêtes (xrq) au GK qu il accepte (xcf) ou qu il rejette (xrj) Fonction Requête (xrq=xrequest) Requête acceptée (xcf=xconfirm) Requête rejetée (xrj=xreject) découvrir le GK GRQ Gatekeeper Request GCF Gatekeeper Confirm GRJ Gatekeeper Reject s enregistrer sur le GK RRQ Registration Request RCF Registration Confirm RRJ Regitration Reject autoriser d appeler ARQ Admission Request ACF Admission Confirm ARJ Admission Reject modifier la bande passante BCQ Bandwidth Request BCF Bandwidth Confirm BRJ Bandwidth Reject arrêter de communication DRQ Disengage Request DCF Disengage Confirm DRJ Disengage Reject résilier l enregistrement URQ Unregistration Request UCF Unregistration Confirm URJ Unregistration Reject 41

42 Les messages RAS D autres messages RAS peuvent être envoyés par l EP (ou le GK) : Location Request Location Confirm Location Reject Info Request Info Request Response Info Request Ack Info Request Nak Unknown Message Response Non Standard Message Request in Progress Ressources Available Indicate Ressources Avalable Confirm 42

43 Principe de fonctionnement (appel avec GK) 5 phases : 1. Découverte du GK, enregistrement des EP, autorisation d appel H.225-RAS (port UDP 1718 et 1719) : ouverture du canal RAS 2. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 3. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 4. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 5. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et fermeture du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation H.225-RAS (port UDP 1718 et 1719) : enregistrement résilié, fermeture du canal RAS 43

44 Appel avec GK Phase 1 étape 1 (facultative) : découverte automatique du GK L EP envoie une requête GRQ sur le port UDP 1718 du groupe multicast pour le canal RAS ( ). Cette requête comprend : l adresse et le port RAS utilisés par l EP (sur lesquels doivent parvenir les réponses) le type de terminal Un ou plusieurs GK répondent par un message GCF vers le port RAS spécifié par l EP. Ce message comprend : le nom du GK l adresse et le port RAS utilisés par le GK (en général le port UDP 1719) L EP choisit son GK et lance le processus d enregistrement auprès de lui (étape 2) Remarque : L EP peut aussi choisir un GK particulier dans ce cas, l étape 1 n existe pas et l adresse (avec le port RAS) du GK désiré est déclarée dans la configuration de l EP Déclaration du GK dans les paramètres du logiciel Ekiga et PVX 44

45 Appel avec GK Capture d une requête GRQ Capture des réponses GCF 45

46 Appel avec GK Phase 1 étape 2 : processus d enregistrement EP RRQ GK EP RRQ GK RCF RRJ Le GK accepte la requête d enregistrement de l EP L EP est enregistré Le GK rejette la requête d admission de l EP L EP n est pas enregistré L EP envoie une requête d enregistrement (RRQ) vers le port RAS du GK choisi (le port UDP 1719). Cette requête comprend : l adresse et le port H.225-Q.931 utilisés par l EP pour la signalisation d appel (le port TCP 1720) l adresse et le port H.225-RAS utilisés par l EP (sur lesquels doivent parvenir les réponses RAS) l alias et le n E164 de l EP Ces informations permettent au GK de mettre à jour ces tables de correspondance Le GK répond par un message d acceptation (RCF) ou de rejet (RRJ) vers le port RAS spécifié par l EP. Cette réponse comprend : (si RCF) l adresse et le port H.225-Q.931 utilisés par le GK pour la signalisation d appel (en général le port TCP 1720) (si RCF) un numéro d identification unique au terminal assigné par le GK qu il utilisera dans chacune des transactions entre lui même et le terminal (si RCF) la durée de vie (TimeToLive) de l enregistrement (si RRJ) le motif du rejet : n E.164 invalide ou déjà enregistré avec une autre IP, Remarque : le processus de résiliation de l enregistrement est similaire à celui de l enregistrement (requête URQ suivie d un message d acceptation UCF ou de rejet URJ) 46

47 Appel avec GK Capture d une requête RRQ Capture de la réponse RCF 47

48 Appel avec GK Capture d une requête RRQ Capture de la réponse RRJ 48

49 Appel avec GK Phase 1 étape 3 : permission d appeler un correspondant EP ARQ GK EP ARQ GK ACF ARJ Le GK accepte la requête de permission d appeler Le GK rejette la requête de permission d appeler L EP envoie une requête de permission d appeler (ARQ) vers le port RAS du GK où il est enregistré (le port UDP 1719). Cette requête comprend : le type d appel (point à point ou multipoint) l identifiant unique de l appelant (qui a été assigné par le GK dans le message RCF) le n E.164 ou l alias du correspondant à appeler le n E.164 et l alias de la source un numéro unique qui permettra d identifier la connexion établie entre l appelant et l appelé la bande passante bidirectionnelle en multiples de 100 bit/s que l EP souhaite disposer Avec ces informations, le GK décide ou non d accepter l appel Le GK répond par un message d acceptation (ACF) ou de rejet (ARJ) vers le port RAS de l EP. Cette réponse comprend : (si ACF) la bande passante maximum allouée pour cet appel (si ACF) le mode d appel (appel direct ou routé par le GK) (si ACF) l adresse et le port H.225-Q.931 (le port TCP 1720) où envoyer l invitation d appel selon le mode d appel, c est l adresse du GK ou celle du correspondant (si ACF) la fréquence des messages d information (IRR) à envoyer au GK (si ARJ) le motif du refus (correspondant non enregistré, ) 49

50 Appel avec GK Capture d une requête ARQ Capture de la réponse ACF 50

51 Appel avec GK Capture d une requête ARQ Capture de la réponse ARJ 51

52 Appel avec GK Durant un appel d autres messages RAS peuvent être échangés : IRQ : Info Request Requête du GK à l EP d information concernant son statut IRR : Info Request Response Réponse à la requête IRQ (peut être aussi envoyé périodiquement sans sollicitation du GK) BRQ : Bandwith Request Requête de l EP au GK pour changer l allocation de bande passante. Le GK confirme (BCF) ou rejette (BRJ). La bande passante de l appel est initialement négociée et fournie par le GK pendant la phase d initialisation de l appel mais à tout moment pendant un appel, l EP ou le GK peut en demander une augmentation ou une diminution Capture d une requête IRR 52

53 Appel avec GK 5 phases : 1. Découverte du GK, enregistrement des EP, autorisation d appel H.225-RAS (port UDP 1718 et 1719) : ouverture du canal RAS 2. Établissement de l appel (déclenchement et initialisation) H.225-Q.931 (port TCP 1720) : ouverture du canal de signalisation 3. Préparation à la conversation (échange des capacités et établissement de la communication audiovisuelle) H.245 (port TCP > 1024) : ouverture du canal de contrôle d appel 4. Conversation (transport et contrôle des données) RTP (ports UDP > 1024) : ouverture des canaux de transport de l audio/vidéo RTCP (ports UDP > 1024) : ouverture des canaux de contrôle de l audio/vidéo 5. Terminaison de la communication H.245 (port TCP > 1024) : fermeture des canaux de transport/contrôle des données et fermeture du canal de contrôle d appel H.245 H.225-Q.931 (port TCP 1720) : fermeture du canal de signalisation H.225-RAS (port UDP 1718 et 1719) : enregistrement résilié, fermeture du canal RAS 53

54 Appel avec GK Pour les phases 2 à 5, on a les mêmes mécanismes qu en l absence de GK, mais le GK peut ou non être impliqué dans les échanges. Trois cas sont à envisager : GK direct : GK en mode Direct la signalisation d appel est établie directement entre les EP le GK ne fait que mettre en communication les EP, l appel se fait directement entre les EP GK routed : GK en mode Routé la signalisation d appel (et le contrôle d appel) passe par l intermédiaire du GK le GK route les paquets H.225-Q.931 et H.245 entre les EP seuls les flux de données (RTP/RTCP et T.120) passent directement d un EP à l autre GK proxy : GK en mode Proxy tout le trafic H.323 (H.225-Q.931, H.245, RTP/RTCP et T.120) transite par le GK aucune connexion directe n est établie entre les EP Remarque : le GK informe l EP de son mode de fonctionnement dans sa réponse de permission d appeler (ACF), lors de la phase 1 - étape 3 54

55 Appel avec GK Avantages du GK {routed proxy} : Le GK {routed proxy} garde la supervision de la communication : il peut intervenir dans la négociation et interdire certains flux audio ou vidéo il peut sauvegarder les paramètres négociés lors d un appel (données utiles pour de la facturation) Le GK proxy avec le support du NAT permet aux terminaux qui sont en adressage privé d appeler et de pouvoir être appelés depuis les réseaux publics/privés Le GK proxy avec une restriction sur la gamme des ports ouverts dynamiquement permet une meilleure sécurité et les terminaux peuvent mieux traverser les Firewalls Inconvénients du GK {routed proxy} : Le GK {routed proxy} est fortement sollicité puisqu il fait transiter l ensemble des messages de signalisation Le GK proxy est encore plus fortement sollicité puisqu il fait transiter en plus les données sur les canaux RTP/RTCP (au nombre de 4 par appel) Le mode Proxy n est pas spécifié dans la norme H.323 : tous les GK n intègrent pas la fonctionnalité de Proxy 55

56 Appel avec GK EP H.323 GK en mode Direct H.225-Q.931 H.245 RTP/RTCP EP H.323 EP H.323 GK en mode Routé RTP/RTCP EP H.323 EP H.323 GK en mode Proxy EP H.323 RAS RAS H.225-Q.931 H.245 RAS H.225-Q.931 H.245 RTP/RTCP GK direct GK non impliqué dans la signalisation (pas de supervision sur l appel) GK routed GK impliqué dans la signalisation (accounting et contrôle des négociations) GK proxy GK impliqué dans tous les flux (contrôle total et sécurité) Protocole H.225-RAS H.225-Q.931 H.245 RTP/RTCP Usage Signalisation d enregistrement : enregistrement et localisation de l EP, contrôle et état de la connexion Signalisation d appel : initialisation de l appel Contrôle d appel : préparation au dialogue Transport des données audio et vidéo : dialogue 56

57 Appel avec GK GK en mode Direct GK en mode Routé GK en mode Proxy EP appellant GK direct EP appelé ARQ ACF S CP A + C TCS +ACK MSD +ACK OLC + ACK ARQ ACF EP appellant GK routed EP appelé EP appellant GK proxy EP appelé ARQ ACF ARQ ACF S CP A+C TCS +ACK MSD +ACK OLC + ACK S CP ARQ ACF A+C TCS +ACK MSD +ACK OLC + ACK S CP A+C TCS +ACK MSD +ACK OLC + ACK S CP ARQ ACF A+C TCS +ACK MSD +ACK OLC + ACK RTP + RTCP RTP + RTCP RTP + RTCP RTP + RTCP ESC ESC ESC ESC ESC RC RC RC RC RC DRQ DRQ DRQ DRQ DRQ DRQ DCF DCF DCF DCF DCF DCF Messages H.225-RAS Messages H.225-Q.931 Messages H.245 Messages H.245 ARQ : Admission Request ACF : Admission Confirm DRQ : Disengage Request DCF : Disengage Confirm S : Setup CP : Call Proceeding A+C : Alerting + Connect RC : Release Complete TCS : Terminal Capability Set MSD : Master Slave Determination OLC : Open Logical Channel ESC : End Session Command RTP : Real-time Transport Control Protocol RTCP : Real Time Transport Control Protocol 57

58 Appel avec GK Quelque soit le mode d appel du GK : Avant la communication : L EP appelé demande l autorisation de répondre auprès de son GK par une requête RAS ARQ (Admission Request). Le GK confirme par un message RAS ACF (Admission Confirm) ou refuse par un message RAS ARJ (Admission Reject), si par exemple la bande passante ne le permet pas. Après la communication : Chaque EP informe leur GK de la terminaison d appel par une requête RAS DRQ (Disengage Request). Le GK est mis au courant de la libération de la bande passante et répond par un message RAS DCF (Disengage Confirm). Le GK peut ainsi allouer la bande passante libérée à d autres appels. Cet échange permet aussi au GK de déterminer la durée d appel (donnée utile pour établir des statistiques et une facturation sur les appels) 58

59 Appel avec GK en mode Direct! Puis je m enregistrer? Enregistrement confirmé Puis-je appeler 2? Oui, je te donne de 2 Création de l appel Appel en cours EP 1 REGISTRATION REQUEST (RRQ) GK REGISTRATION REQUEST (RRQ) EP 2 REGISTRATION CONFIRM (RCF) REGISTRATION CONFIRM (RCF) ADMISSION REQUEST (ARQ) ADMISSION CONFIRM (ACF) SETUP CALL PROCEEDING ADMISSION REQUEST (ARQ) ADMISSION CONFIRM (ACF) Puis je m enregistrer? OK Appel en cours Puis-je répondre à 1? Oui, autorisé Sonnerie et appel établi Échange des paramètres : codecs audio, vidéo, Détermination du maître et de l esclave Ouverture des canaux de transmission : négociation des ports UDP/RTP-RTCP Communication établie et transport des flux Confirmation fin de session L appel a pris fin OK (prêt à être rappelé) Me désinscrire du GK OK ALERTING + CONNECT (contient les ports TCP négociés pour H.245) TERMINAL CAPABILITY SET TERMINAL CAPABILITY SET ACK TERMINAL CAPABILITY SET TERMINAL CAPABILITY SET ACK MASTER SLAVE DETERMINATION MASTER SLAVE DETERMINATION ACK MASTER SLAVE DETERMINATION MASTER SLAVE DETERMINATION ACK OPEN LOGICAL CHANNEL (contient les ports RTCP) OPEN LOGICAL CHANNEL ACK (contient les ports RTP/RTCP) OPEN LOGICAL CHANNEL (contient les ports RTCP) OPEN LOGICAL CHANNEL ACK (contient les ports RTP/RTCP) RTP MEDIA STREAM (audio+vidéo) RTP MEDIA STREAM (audio+vidéo) RTCP MESSAGES (audio+vidéo) RTCP MESSAGES (audio+vidéo) END SESSION COMMAND END SESSION COMMAND RELEASE COMPLETE DISENGAGE REQUEST (DRQ) DISENGAGE REQUEST (DRQ) DISENGAGE CONFIRM (DCF) DISENGAGE CONFIRM (DCF) UNREGISTRATION REQUEST (URQ) UNREGISTRATION REQUEST (URQ) UNREGISTRATION CONFIRM (UCF) UNREGISTRATION CONFIRM (UCF) H.225 (RAS) : Registration, Admission, Status H.225 (Q.931) : signalisation d appel H.245 : contrôle d appel RTP/RTCP : transport des données Échange des paramètres : codecs audio, vidéo, Détermination du maître et de l esclave Ouverture des canaux transmission : négocia des ports UDP/RTP-R Communication établie et transport des flux Commande fin de session Fin de communication L appel a pris fin OK (prêt à être rappelé) Me désinscrire du GK OK 59

60 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux H.323 et flux à autoriser GnuGK 60

61 Principe de fonctionnement (cas général) Quatre scénarios d appel ont été vus : EP EP (communication sans GK) EP GK direct EP (communication utilisant un GK en mode Direct) EP GK routed EP (communication utilisant un GK en mode Routé) EP GK proxy EP (communication utilisant un GK en mode Proxy) Cas général : EP GK {direct routed proxy} GK {direct routed proxy} EP Comment les EP se trouvent-ils (quand vous composez un n E.164)? Si les EP sont enregistrés sur le même GK, le GK recherche l adresse IP dans une stack locale ou un back-end (BDD, LDAP, etc.) Si les EP sont enregistrés sur différents GK, une requête RAS LRQ (Location Request) est envoyée aux autres GK connus (c est comme cela que le GDS fonctionne) 61

62 Localisation d un correspondant Localisation des EP GK 2 EP 2 EP 1 GK 1 ARQ LRQ LCF ACF SETUP CALL PROCEEDING ALERTING + CONNECT ARQ ACF L appelant initie un échange ARQ/ACF avec son GK Si le GK ne résout pas l adresse de l appelé, il envoie vers le port UDP 1719 du GK voisin un message RAS Location Request (LRQ) pour localiser le destinataire. Le GK voisin répond avec un Location Confirm (LCF) si il résout l adresse de l appelé ou un Location Reject (LRJ) en cas d échec le message LCF contient l adresse à utiliser par l appelant pour établir le canal de signalisation d appel et envoyer l invitation d appel (SETUP) le message LRJ contient la raison de l échec (requestdenied, ) Un message SETUP est envoyé à l appelant et l appelant accuse à l appelé par un Call Proceeding (échange direct entre les EP si les GK sont en mode Direct). L appelant échange un ARQ/ACF avec son GK pour lui demander l autorisation de répondre à l appel. L appelant envoie à l appelé un Alerting+Connect pour établir la connexion (émission directe à l EP si les GK sont en mode Direct). 62

63 Localisation d un correspondant Capture d une requête LRQ Capture de la réponse LCF 63

64 Localisation d un correspondant Localisation des EP EP 1 GK 1 ARQ LRQ LRJ GK 2 EP 2 GK 3 GK 4 LRQ LRQ LRJ LRQ GK 5 LCF ACF SETUP CALL PROCEEDING ALERTING + CONNECT LCF ARQ ACF les GK en réseau permettent de localiser de proche en proche les destinataires Il est possible, en fonction du préfixe du numéro appelé, de choisir le(s) GK(s) voisin(s) à contacter, et éviter ici par exemple que GK 1 sollicite inutilement GK 2 ou que GK 3 sollicite GK 4 64

65 Appel inter-zone et réseaux de GK un GK gère une zone H.323 unique la zone H.323 est identifiée par un préfixe X les terminaux s enregistrent auprès du GK avec un n E.164 unique de préfixe X les appels vers cette zone se font avec les n E.164 de préfixe X les GK en réseau gèrent les appels inter-zone H.323 le GK d une zone est lié à ses GK voisins en fonction du préfixe du n E.164 appelé, il route l appel vers le bon GK un appel vers un n E.164 de préfixe X est routé vers le GK gérant la zone X un GK ayant des capacités de réécriture des n E.164 permet de s affranchir du préfixe : les terminaux s enregistrent avec leur n E164 court (i.e. sans le préfixe) permet d assurer un service de numérotation interne : les appels intra-zone se font avec les n E.164 longs ou courts (i.e. avec ou sans le préfixe) 65

66 Appel inter-zone et réseaux de GK Zone C, préfixe : GK3 Le n E.164 appelé est dans ma zone : J en informe GK1 et l appel est établi GK4 GK2 Zone B, préfixe : Routage inter-zone : L appel en 222xxx est routé vers le GK2 (via LRQ/LCF) GK1 Le n E.164 appelé (222xxx) est hors de ma zone : Je transmet l appel à mon GK voisin (via LRQ/LCF) appelle Zone A, préfixe :

67 Appel inter-zone et réseaux de GK Zone C, préfixe : GK3 Le GK2 réécrit le n appelé en 001 GK4 GK2 Zone B, préfixe : GK1 Le GK1 réécrit le n de l appelant 001 en appelle Les GK ont la capacité de réécrire les n E.164. Les EP peuvent alors s enregistrer auprès de leur GK avec leur n court (i.e. sans le préfixe de zone) Zone A, préfixe :

68 Appel inter-zone et réseaux de GK Zone C, préfixe : GK3 GK4 GK2 Zone B, préfixe : GK1 Le GK1 réécrit le n de l appelé 002 en appelle 002 ou La fonction de réécriture des n E.164 des GK permet de s affranchir des préfixes et d assurer un service de numérotation interne à la zone. Au sein de la même zone, les EP peuvent s appeler au choix avec leur n court ou leur n long Zone A, préfixe :

69 Le GDS, un réseau d appel international 69

70 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux et flux à autoriser (avec ou sans GK) GnuGK 70

71 Sécurité des réseaux H.323 Le problème H.323 pour les Firewalls : H.323 utilise certains ports fixes : UDP 1718 et 1719 pour H.225-RAS TCP 1720 pour H.225-Q.931 Mais d autres ports sont négociés DYNAMIQUEMENT durant la phase d initialisation de l appel : la plage de port TCP et UDP 2 10 à 2 16 ( ) est utilisée 4 à 8 ports sont négociés et utilisés par appel cette négociation est un problème pour traverser les Firewalls Comment ouvrir les ports si vous ne les connaissez pas? 71

72 Le problème H.323 pour les Firewalls Captures d écran TCPView prises lors d un appel H.323 Appel avec le PVX Appel avec Ekiga (H.245-Tunneling activé) 4 ports TCP (deux fixe et deux dynamiques) 1720 (en écoute) : H.225-Q (dst 1720) : H.225-Q (dst 38417) : H.245 (3603 est utilisé pour l Interface Web du PVX) 7 ports UDP (un fixe et les autres dynamiques) 1719 : H.225-RAS 3230, 3232 : RTP (audio, vidéo) 3231, 3233 : RTCP (audio, vidéo) (3234 et 3235 à priori pas utilisés) 2 ports TCP (un fixe et un dynamique) : 1720 (en écoute) : H.225-Q (dst 1720) : H.225-Q.931 et H.245-Tunneling 6 ports UDP (tous dynamiques) : 5062 : H.225-RAS 5036, 5038 : RTP (audio, vidéo) 5037, 5039 : RTCP (audio, vidéo) (5060 est utilisé par SIP) 72

73 Le problème H.323 pour les Firewalls Scénario typique de ce qui peut se passer : Souvent les Firewalls laissent passer la signalisation d appel (flèches noires) Les données audio et vidéo (flèches rouges) peuvent passer de l intérieur vers l extérieur mais ce n est pas le cas de l extérieur vers l intérieur : L external EP reçoit bien l audio et la vidéo L internal EP a un écran noir et n a pas de son 73

74 Le problème H.323 pour les Firewalls Comment résoudre ce problème? Ne pas utiliser H.323 Ouvrir les ports sur le Firewall pour tous les terminaux H.323 no secure, mais cela reste envisageable pour les terminaux de salles dédiés H.323 certains terminaux et ponts ont la capacité de restreindre la gamme des ports, dans ce cas un filtrage réseau (par Access List) est envisageable Utiliser un Firewall StateFull Inspection qui intègre H.323 (NetScreen, Check Point, Cisco PIX) le Firewall détecte dès la signalisation d appel les ports TCP et UDP négociés il ouvre dynamiquement les ports concernés uniquement pour la durée de connexion et trace les paquets échangés pour chaque communication Utiliser un GK/Proxy H.323 derrière un Firewall le Firewall laisse passer le trafic uniquement entre le Proxy et l extérieur tous les trafics H.323 passent par le Proxy (nécessite du CPU) inconvénient : le Proxy, même si il a la capacité de réduire la gamme de ports dynamiques, doit rester ouvert sur une large plage de ports UDP et TCP qui est fonction du nombre d appels simultanés maximum qu il est possible d atteindre 74

75 Le problème H.323 pour les Firewalls Cas particulier de certains terminaux (Polycom) : restreindre la plage des ports à utiliser directement sur le terminal Restriction de la gamme des ports dynamiques utilisés sur les terminaux Polycom : H225 : TCP=1720 H.245 : X<TCP<Y RTP/RTCP : X<UDP<Y (ici X=3230 et Y=3235) Configuration réseau du logiciel Polycom PVX 75

76 Le problème H.323 pour les Firewalls Cas d un FireWall StateFull Inspection (NetSreen 5XT) ouvrir le service H

77 Le problème H.323 pour les Firewalls Cas d un GK/Proxy H.323 Tous les flux (signalisation, contrôle et média) transitent par le GK/Proxy : EP GK/Proxy EP : pour les flux de signalisation et de contrôle (TCP) EP GK/Proxy EP : pour les flux de média RTP/RTCP (UDP) L external EP dialogue au GK/Proxy qui transmet à l internal EP et vice versa Seule l adresse IP du GK/Proxy est autorisée à traverser le Firewall en ouvrant la gamme de ports dynamiques pour ce système uniquement et pas pour les EP les EP sont protégés par le Firewall, ils sont seulement autorisés à dialoguer avec l IP du GK/Proxy Le GK/Proxy doit être localisé dans une DMZ Les EP ne savent pas que le Proxy est un Proxy, il est vu comme étant un EP Chaque EP reçoit l audio et la vidéo 77

78 Le problème H.323 pour les Firewalls Et pour plus de sécurité Ajouter un second GK : un dans le réseau interne et un dans le réseau externe ouvrir le Firewall entre les 2 GK uniquement les 2 adresses IP seulement sont autorisées à dialoguer entre eux les autres dialogues sont interdits 78

79 Flux à autoriser sur le réseau (sans GK) Recommandé : Firewall StateFull Inspection intégrant H.323 H.225-Q.931 H.245 T.120 RTP/RTCP H.323 à autoriser EP appelant EP appelé En général : Access List TCP>1024 TCP>1024 TCP>1024 UDP>1024 H.225-Q.931 H.245 T.120 RTP/RTCP Flux à autoriser TCP=1720 TCP>1024 TCP=1503 UDP>1024 EP appelant EP appelé 79

80 Flux à autoriser sur le réseau (sans GK) EP appelant Cas particulier : Terminaux Polycom TCP>1024 X<TCP<Y TCP>1024 X<UDP<Y H.225-Q.931 H.245 T.120 RTP/RTCP Flux à autoriser TCP=1720 X<TCP<Y TCP=1503 X<UDP<Y EP appelé EP appelant Cas particulier : H.245 Tunneling TCP>1024 UDP>1024 H.225-Q H.245-Tunneling RTP/RTCP Flux à autoriser TCP=1720 UDP>1024 EP appelé 80

81 Flux à autoriser sur le réseau (avec GK) Recommandé : Firewall StateFull Inspection intégrant H.323 H.323 à autoriser GK EP appelant H.225-RAS H.225-Q.921 et H.245 si GK Routed RTP/RTCP/T.120 si GK Proxy H.225-Q.921 et H.245 si GK Direct RTP/RTCP/T.120 si GK Direct GK EP appelé Cas général : Access List et GK proxy EP appelant GK Proxy + Port Range [X,Y] [X,Y ] + NAT UDP=1719 TCP<1024 X<TCP<Y TCP>1024 X <UDP<Y Flux à autoriser H.225-RAS H.225-Q.931 UDP=1719 TCP=1720 H.245 X<TCP<Y T.120 TCP=1503 RTP/RTCP X <UDP<Y GK Proxy + Port Range [X,Y] [X,Y ] + NAT EP appelé 81

82 Au programme Généralités sur la visioconférence H.323 Principe de fonctionnement d un appel H.323 Appel sans GateKeeper Appel avec GateKeeper (intra-zone) Appel avec GateKeeper (inter-zone) Sécurité des réseaux et flux à autoriser (avec ou sans GK) GnuGK 82

83 GnuGK Qu est ce que c est et pourquoi l utiliser? Logiciel libre et multi plateformes (binaires compilés disponibles) GK complètement fonctionnel qui supporte H.323 v.4 et qui intégre toutes les fonctionnalités attendues Fonctionnalités : Capacités standards : translation d adresse, contrôle d admission, contrôle de la bande passante et gestion de zone Capacités complètes de Proxy avec restriction de ports et support du NAT Large choix de méthodes d authentification (IP/Préfixe, mysql, LDAP, Radius) Fonction de routage des appels inter-zone déclaration de GK voisins routage des appels vers les GK voisins en fonction des préfixes des n E.164 capacité de réécriture les n E.164 Génération de statistiques d utilisation Historiques sur les appels effectués et sauvegardes dans des journaux Gestion des coûts par le biais d un système de facturation (fichier, mysql, Radius, ) Redondance et partage de charge via des GKs alternatifs Interface Telnet d administration et de contrôle 83

84 Configuration GnuGK Telnet Interface : telnet <IP du GK> 7000 Après installation, elle permet de surveiller les événements en temps réel Quelques commandes : Reload : recharge la configuration après des modifications Statistics, s : affiche les informations statistiques du GK PrintAllRegistrations, r,? : affiche tous les terminaux enregistrés PrintCurrentCalls, c,! : affiche tous les appels en cours Help, h : affiche la liste des commandes L interface montre ici qu il y a eu 6 requêtes d enregistrement (RCF) 84

85 Configuration GnuGK Control Center ( Application Windows pour configurer et administrer GnuGK (utilise la connexion Telnet sur le port 7000) 85