用户接入公私网穿越的问题及现状.docVIP

用户接入公私网穿越的问题及现状 5.1 用户接入公私网穿越面临的问题 ??? 根据上面H.323及防火墙、NAT基本理论的说明。对于私网LAN接入方式中的用户，如果需要开通视讯业务，必须考虑如下问题： ??? 5.1.1 防火墙的端口开放 ??? 由于防火墙一般需要包过滤及状态检测，因此为了网络安全，用户侧防火墙在访问列表配置时，除提供网内业务需要知名端口外（如Http的80端口），其它端口都Deny。而要进行视频通信， 就要求防火墙对H.323的支持，如果FW支持H.323协议，那么只要打开FW对H.323的支持即可。FW在收到公网侧的呼叫时，会根据通讯过程动态 的打开H.323通讯所需要的端口，在呼叫结束后（FW会通过H.323信令自动发现），FW又自动关闭在呼叫过程中动态打开的所以端口，从而保证了网络 的安全，使黑客无机可趁。如果FW不支持H.323协议，为了保证H.323通讯，需要在FW上打开部分端口，以允许媒体流的进入。 ??? H.323协议需要开放对应的业务端口如： ??? RAS注册信令：UDP，RAS，一般需要端口1719 ??? Q.931呼叫信令：TCP，Q.931，一般需要端口1720 ??? H245控制信令端口：TCP，端口为1320～1327 ??? 。。。。。。 ??? 5.1.2 H.323包转换 ??? 因为私网中一般都是通过防火墙完成普通业务的接入，但是由于视讯应用的H.323 IP包结构和其他应用的包结构不同，在H.323包中，不仅仅包头含有IP地址要转化，而且在包内部还有IP地址要进行转化。防火墙如果支持H.323协 议，在H.323包通过时，会自动对包中相关地址进行变换，但在实际的应用中却普遍存在业务防火墙对H.323协议支持不完善，导致当启用防火墙的 H.323功能后，反而出现H.323通信问题。 ??? 5.1.3 HTTP Proxy服务器方式 ??? 现在部分企业内部局域网仅通过HTTP Proxy服务器开放上网业务，对于这类用户，由于HTTP Proxy是采用缓存技术保存Http网页，实时性很差，并且不支持内部与外部网络的TCP连接，不支持UDP包的传输，这些局限性，恰恰限制了H.323协议的传输，因此，在这种情况下，建议企业重新考虑采用直接路由器NAT上网方式，在出口路由器前端配置硬件防火墙（如Netscreen、CheckPoint、华为的Eudemon防火墙等），这样就可以实现IP视讯业务了。 ??? 5.2 用户接入公私网穿越的现状 ??? 由于上述问题的存在，给H.323视频通信在公私网穿越带来了很大的障碍，现阶段业界普遍采用了如下几种方式。 ??? 5.2.1 静态NAT ??? 当在私网中的视讯终端数量很少，并且可以提供对应的公网地址，可采取这种方式，对于私网中的每个终端，在防火墙NAT上作静态NAT，即私网地址与公网地址一对一的映射。在这种情况下， ??? 1) 适用范围： ??? 私网和公网终端互通，私网和私网之间终端互通。 ??? 2) 限制及要求： ??? ·终端支持静态NAT。 ??? ·防火墙公网地址池中IP地址数=私网内终端总数，即一个私网内部，为了使用视讯业务，需要申请大量的公网地址。 ??? ·对防火墙的配置要求主要有两方面：一个是需要在防火墙上对私网终端的IP地址做静态的一对一的地址映射，二是需要打开静态映射后的公网IP地址的相关端口。 ??? 5.2.2 支持H.323的NAT设备 ??? 现大量的用户网络都采用的是动态NAT或者是NAPT方式，当在这种组网情况下，对于普通NAT，在实际的视频通信中由于动态NAT方式进行了地址和端口的转换。无论是私网终端呼叫公网终端，或者公网终端呼叫私网终端，都存在问题。 ??? 1）当私网终端呼叫公网终端，虽然私网终端可以从GK处获取公网终端的IP地址，但在视音频RTP码流时，由于受H.323协议的自身限制，其各自的 RTP接口和发送端口不同，如上图所示，这样，私网终端向公网终端（公网IP）发送的RTP码流公网终端可以接收，但公网终端向私网终端（其NAT映射的 公网地址）发送的RTP码流，在经过NAT设备时，并不会进行IP地址的转换，导致码流不能通过NAT设备。出现单通的情况。 ??? 2）当公网终端呼叫私网终端，由于呼叫的地址直接是私网终端映射的公网地址，NAT设备不支持H.323协议转换，因此呼叫就不能建立。 ??? 结论：如果两个终端分别在FW内外，而FW只作普通NAT，则私网呼叫公网能够呼通，但是是单通，外部的码流不能进入到内部；公网呼叫私网不通。 ??? 华为Eudemon设备是能够支持动态H.323协议NAT的防火墙设备，其直接可以理解H.323协议内容，对H.323协议的IP码流可