用户接入公私网穿越的问题及现状.docVIP

  • 5
  • 0
  • 约2.69千字
  • 约 4页
  • 2017-02-08 发布于重庆
  • 举报
用户接入公私网穿越的问题及现状

用户接入公私网穿越的问题及现状 5.1 用户接入公私网穿越面临的问题 ??? 根据上面H.323及防火墙、NAT基本理论的说明。对于私网LAN接入方式中的用户,如果需要开通视讯业务,必须考虑如下问题: ??? 5.1.1 防火墙的端口开放 ??? 由于防火墙一般需要包过滤及状态检测,因此为了网络安全,用户侧防火墙在访问列表配置时,除提供网内业务需要知名端口外(如Http的80端口),其它端口都Deny。而要进行视频通信, 就要求防火墙对H.323的支持,如果FW支持H.323协议,那么只要打开FW对H.323的支持即可。FW在收到公网侧的呼叫时,会根据通讯过程动态 的打开H.323通讯所需要的端口,在呼叫结束后(FW会通过H.323信令自动发现),FW又自动关闭在呼叫过程中动态打开的所以端口,从而保证了网络 的安全,使黑客无机可趁。如果FW不支持H.323协议,为了保证H.323通讯,需要在FW上打开部分端口,以允许媒体流的进入。 ??? H.323协议需要开放对应的业务端口如: ??? RAS注册信令:UDP,RAS,一般需要端口1719 ??? Q.931呼叫信令:TCP,Q.931,一般需要端口1720 ??? H245控制信令端口:TCP,端口为1320~1327 ??? 。。。。。。 ??? 5.1.2 H.323包转换 ??? 因为私网中一般都是通过防火墙完成普通业务的接入,但是由于视讯应用的H.323 IP包结构和其他应用的包结构不同,在H.323包中,不仅仅包头含有IP地址要转化,而且在包内部还有IP地址要进行转化。防火墙如果支持H.323协 议,在H.323包通过时,会自动对包中相关地址进行变换,但在实际的应用中却普遍存在业务防火墙对H.323协议支持不完善,导致当启用防火墙的 H.323功能后,反而出现H.323通信问题。 ??? 5.1.3 HTTP Proxy服务器方式 ??? 现在部分企业内部局域网仅通过HTTP Proxy服务器开放上网业务,对于这类用户,由于HTTP Proxy是采用缓存技术保存Http网页,实时性很差,并且不支持内部与外部网络的TCP连接,不支持UDP包的传输,这些局限性,恰恰限制了H.323协议的传输,因此,在这种情况下,建议企业重新考虑采用直接路由器NAT上网方式,在出口路由器前端配置硬件防火墙(如Netscreen、CheckPoint、华为的Eudemon防火墙等),这样就可以实现IP视讯业务了。 ??? 5.2 用户接入公私网穿越的现状 ??? 由于上述问题的存在,给H.323视频通信在公私网穿越带来了很大的障碍,现阶段业界普遍采用了如下几种方式。 ??? 5.2.1 静态NAT ??? 当在私网中的视讯终端数量很少,并且可以提供对应的公网地址,可采取这种方式,对于私网中的每个终端,在防火墙NAT上作静态NAT,即私网地址与公网地址一对一的映射。在这种情况下, ??? 1) 适用范围: ??? 私网和公网终端互通,私网和私网之间终端互通。 ??? 2) 限制及要求: ??? ·终端支持静态NAT。 ??? ·防火墙公网地址池中IP地址数=私网内终端总数,即一个私网内部,为了使用视讯业务,需要申请大量的公网地址。 ??? ·对防火墙的配置要求主要有两方面:一个是需要在防火墙上对私网终端的IP地址做静态的一对一的地址映射,二是需要打开静态映射后的公网IP地址的相关端口。 ??? 5.2.2 支持H.323的NAT设备 ??? 现大量的用户网络都采用的是动态NAT或者是NAPT方式,当在这种组网情况下,对于普通NAT,在实际的视频通信中由于动态NAT方式进行了地址和端口的转换。无论是私网终端呼叫公网终端,或者公网终端呼叫私网终端,都存在问题。 ??? 1)当私网终端呼叫公网终端,虽然私网终端可以从GK处获取公网终端的IP地址,但在视音频RTP码流时,由于受H.323协议的自身限制,其各自的 RTP接口和发送端口不同,如上图所示,这样,私网终端向公网终端(公网IP)发送的RTP码流公网终端可以接收,但公网终端向私网终端(其NAT映射的 公网地址)发送的RTP码流,在经过NAT设备时,并不会进行IP地址的转换,导致码流不能通过NAT设备。出现单通的情况。 ??? 2)当公网终端呼叫私网终端,由于呼叫的地址直接是私网终端映射的公网地址,NAT设备不支持H.323协议转换,因此呼叫就不能建立。 ??? 结论:如果两个终端分别在FW内外,而FW只作普通NAT,则私网呼叫公网能够呼通,但是是单通,外部的码流不能进入到内部;公网呼叫私网不通。 ??? 华为Eudemon设备是能够支持动态H.323协议NAT的防火墙设备,其直接可以理解H.323协议内容,对H.323协议的IP码流可

文档评论(0)

1亿VIP精品文档

相关文档