返回
用户接入公私网穿越的问题及现状

用户接入公私网穿越的问题及现状

ID:41738135

大小:65.94 KB

页数:4页

时间:2019-08-31

用户接入公私网穿越的问题及现状_第1页
用户接入公私网穿越的问题及现状_第2页
用户接入公私网穿越的问题及现状_第3页
用户接入公私网穿越的问题及现状_第4页
资源描述:

《用户接入公私网穿越的问题及现状》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、用户接入公私网穿越的问题及现状5.1用户接入公私网穿越面临的问题根据上面H.323及防火墙、NAT基木理论的说明。对于私网LAN接入方式中的用户,如果需要开通视讯业务,必须考虑如下问题:5.1.1防火墙的端口开放由于防火墙一般需要包过滤及状态检测,因此为了网络安全,用户侧防火墙在访问列表配置时,除提供网内业务需要知名端口外(如Http的80端口),其它端口都Deny。而要进行视频通信,就要求防火墙对H.323的支持,如果FW支持H.323协议,那么只要打开FW对H.323的支持即可。FW在收到公网侧的呼叫吋,会根据通讯过程动态的

2、打开H.323通讯所盂要的端口,在呼叫结束后(FW会通过H.323信令自动发现),FW乂自动关闭在呼叫过程中动态打开的所以端口,从而保证了网络的安全,使黑客无机可趁。如果FW不支持H.323协议,为了保证H.323通讯,需要在FW上打开部分端口,以允许媒体流的进入。H.323协议需要开放对应的业务端口如:RAS注册信令:UDP,RAS,一般需要端U1719Q.931呼叫信令:TCP,Q.931,一般需要端口1720H245控制信令端口:TCP,端口为1320〜13275.1.2H.323包转换因为私网小一般都是通过防火墙完成普通

3、业务的接入,但是由于视讯应用的H.323IP包结构和其他应用的包结构不同,在H.323包中,不仅仅包头含有IP地址要转化,而且在包内部还有IP地址要进行转化。防火墙如果支持H.323协议,在H.323包通过时,会白动对包中相关地址进行变换,但在实际的应用中却普遍存在业务防火墙对H.323协议支持不完善,导致当启用防火墙的H.323功能后,反仙II现H.323通信问题。5.1.3HTTPProxy服务器方式现在部分企业内部局域网仅通过HTTPProxy服务器开放上网业务,对于这类用户,由于HTTPProxy是采用缓存技术保存Htt

4、p网页,实时性很差,并H不支持内部与外部网络的TCP连接,不支持UDP包的传输,这些局限性,恰恰限制了H.323协议的传输,因此,在这种情况卜,建议企业重新考虑采用直接路由器NAT上网方式,在出口路由器前端配置硬件防火墙(如Netscreen、Checkpoint、华为的Eudemon防火墙等),这样就可以实现IP视讯业务了。5.2用户接入公私网穿越的现状由于上述问题的存在,给H.323视频通信在公私网穿越带來了很大的障碍,现阶段业界普遍采用了如下几种方式。5.2.1静态NAT当在私网中的视讯终端数量很少,并几可以提供对应的公网

5、地址,对采取这种方式,对于私网小的每个终端,在防火墙NAT上作静态NAT,即私网地址与公网地址一对-的映射。在这种情况下,1)适用范围:私网和公网终端互通,私网和私网Z间终端互通。2)限制及耍求:•终端支持静态NA「•防火墙公网地址池中IP地址数>=私网内终端总数,即一个私网内部,为了使用视讯业务,需要屮请大量的公网地址。•对防火墙的配登要求主要有两方面:一个是需要在防火墙上对私网终端的IP地址做静态的一对一的地址映射,二是需要打开静态映射后的公网IP地址的相关端口。5.2.2支持H.323的NAT设备现大量的川户网络都采丿IJ

6、的是动态NAT或者是NAPT方式,当在这种组网情况下,对于普通NAT,在实际的视频通信屮由于动态NAT方式进行了地址和端口的转换。无论是私网终端呼叫公网终端,或者公网终端呼叫私网终端,都存在问题。终端2RTP发送端口

7、RTP接收端口普通昭Ti乞备公网私网RTP接收端口*RTP发洪端口终端11)当私网终端呼叫公网终端,虽然私网终端可以从GK处获取公网终端的IP地址,但在视音频RTP码流时,由于受H.323协议的白身限制,其各白的RTP接口和发送端口不同,如上图所示,这样,私网终端向公网终端(公网IP)发送的RTP码流公网终端可以接

8、收,但公网终端向私网终端(其NAT映射的公网地址)发送的RTP码流,在经过NAT设备时,并不会进行IP地址的转换,导致码流不能通过NAT设备。出现单通的情况。2)当公网终端呼叫私网终端,山于呼叫的地址直接是私网终端映射的公网地址,NAT设备不支持H.323协议转换,因此呼叫就不能建立。结论:如果两个终端分别在FW内外,而FW只作普通NAT,则私网呼叫公网能够呼通,但是是单通,外部的码流不能进入到内部;公网呼叫私网不通。华为Eudemon设备是能够支持动态H.323协议NAT的防火墙设备,其直接可以理解H.323协议内容,对H.3

9、23协议的IP码流可以直接进行协议转换,使得企业内部局域网上的终端就象放在公网上一样,这样企业内部的终端就可以无障碍地与外部终端互通,并可以确保网络安全性,通过并接或串接的网络结构,能够做到不破坏原冇的网络安全结构。5.2.3H.323Proxy穿越公私网目前,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。