视频监控网络摄像机的NAT或UPnP设置及验证.doc

视频监控网络摄像机的NAT或UPnP设置和验证 什么是NAT： 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机/view/16102.htm 网络摄像机使用NAT还是UPnP的原则：? ?当一个路由器下最多有2个设备时，使用UPnP功能，? ?当一个路由器下大于2个网络摄像机时，建议使用手动NAT方式。NAT/UPnP：通常路由器NAT的映射的规则是： 路由器的外网端口N ----映射为-??设备的内网IP的端口N 即：路由器的外网的某个端口N，对应内网某个IP地址的相同端口N。 举例： 1）单端口映射  路由器的外网80端口?映射为?内网?0的80端口 对于外网访问：1的80端口 等同于 内网访问? ?? ?0的80端口 可以理解为NAT就是路由器桥接了外网到内网的数据通路 当然也可以让外网的81对应内网的0的80端口。  但路由器的NAT通常要求内外的端口是一致的。 １）路由器设置 TP-Link的WG541G为例  服务端口号：是指内网设备的端口号，这里没有设置外网端口号的地方，就说明路由器要求NAT的端口号要内外一致。 IP地址：内网设备的IP地址 协议：TCP或UDP，用默认的ALL 状态：生效。  疑问： 为什么UPnP状态，内部外部端口是不一致的?   解答：UPnP是自动的NAT，是设备和路由器之间按照UPnP协议，自动协商端口。 即使内网设备重启，IP地址改变，二者之间都会重新协商获得新的UPnP端口号（即自动的NAT端口映射） 但NAT是静态的映射，如果内部设备IP地址发生变化，那外部的映射就会错误，失效了。 所以手动NAT情况下，设备绝对不能设置成DHCP方式。 ２）DMZ方式介绍： 如下，DMZ设置仅仅需要指定内网的一个IP地址，无需设置端口。  DMZ主机IP地址：指内网的一个IP地址 DMZ方式的原理是将从外网访问的所有请求都转到内网的一台设备上。 如下图，从外部访问1的所有端口请求，从1到65535，无论是TCP还是UDP，都转到0上。   DMZ?等于?将路由器外部的所有端口，都NAT给内网的一个IP。 当局域网只有一台设备需要从外部访问时，可以设置DMZ。 DMZ可以理解成是简化的NAT设置，但影响范围太广。 在我们给客户的应用场景中，不允许使用DMZ技术。 ３）同一个设备的多端口NAT 就是单端口NAT的重复设置   ４）多个设备的多端口NAT 由于每个IPCAM都有相同的对外访问端口，如80是web，而路由器的NAT要求内外网一致，所以就要规划，比如第一个设备是80，第二个设备就要改为81.  所以，多台IPCAM的NAT需要做： １）?需要修改IPCAM的本地访问端口，每个都不一样 ２）为避免混乱，需要在NAT设置前进行规划 ３）施工完成后，需要保留外部端口和本地设备NAT的对应关系表，以备后查。 规划一个12台IPCAM的端口映射情况：情况1：路由器不支持UPnP或路由器支持UPnP，但IPCAM无法正确获得。国内的路由器品牌很多，质量参差不齐，并不是路由器上有UPnP开关，IPCAM就可以支持的。 以下以一个实际客户的网络情况，进行举例说明。  说明： 1) J系列的IPCAM有5个端口，这里我们只用： web，rtsp，升级3个端口。?语音对讲不需要。 ? ?? ? 注意：A）J系列的必须的是web和rtsp的两个端口。这是是NAT或UPnP打开的最小值? ?? ?? ?? ?? ???B) 不到万不得已，升级端口的映射需要保留 ? ?? ?? ?C）语音对讲端口（非侦听），在一些局域网应用中，需要打开? ?? ?? ?? ?? ? D）FTP端口，可以不要，功能和web端口相同。 2)?为减少设备以后排查的难度，要求所有设备的IP地址连续。 3)?不要设置8080端口的NAT，因为已经设置了路由器的外部端口为8080，否则会导致路由器从外网不能访问。这样做是为了以后无需来现场，就可以排查问题。   以下可利用excel中的自动计算功能做好，如附件。 ID 设备 IP地址 192.168.1.x 软件版本 设备端口 NAT端口 1 茶水间 31 web 80 80 rtsp 554 554 升级 8006 8006 2 37 web 81 81 rtsp 555