為什么今天要回顧下有關(guān)網(wǎng)絡(luò)防火墻穿越的問題？因為在日常的項目工作及運維中碰到了有關(guān)網(wǎng)絡(luò)穿越的問題，比如華為辦公電話系統(tǒng)外網(wǎng)移動終端接入開視頻會議及撥打電話，華為高清視頻會議系統(tǒng)外網(wǎng)終端接入開視頻會議，這些場景的實現(xiàn)都離不開一個東西-公網(wǎng)與私網(wǎng)穿越！本篇簡要回顧和總結(jié)一下網(wǎng)絡(luò)防火墻穿越的背景，原理和解決方案，思維導(dǎo)圖如下。

創(chuàng)新互聯(lián)建站專注于貴港網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供貴港營銷型網(wǎng)站建設(shè)，貴港網(wǎng)站制作、貴港網(wǎng)頁設(shè)計、貴港網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務(wù)，打造貴港網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供貴港網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

• 防火墻知識回顧，什么是防火墻？

---

       防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。 

• 什么是網(wǎng)絡(luò)防火墻穿越？

---

   顧名思義，就是要正常的穿越防火墻咯（而不是非法***）。某些大型企業(yè)為了網(wǎng)絡(luò)安全，會在內(nèi)外網(wǎng)各個環(huán)節(jié)出口處部署大量防火墻，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換，內(nèi)網(wǎng)終端訪問外網(wǎng)，需要進行地址轉(zhuǎn)換），安全檢測等設(shè)備，而有些應(yīng)用比較特殊，這些設(shè)備無法滿足這些應(yīng)用的通信條件，導(dǎo)致無法使用，這時候需要有這樣一個設(shè)備，在防火墻設(shè)備后面，承擔(dān)這些特殊的功能，幫助外網(wǎng)的信息流順利穿越防火墻，與內(nèi)網(wǎng)設(shè)備成功通信。   

• 為什么要防火墻穿越？

---

  上述基本上已經(jīng)通俗的講了防火墻穿越的含義，現(xiàn)在從多媒體通信角度闡述為什么要進行防火墻穿越。

  通常NAT/防火墻設(shè)備僅對IP和UDP/TCP報文頭的地址及端口號進行轉(zhuǎn)換（所謂的網(wǎng)絡(luò)層），并不對消息體中的媒體連接信息（應(yīng)用層）進行轉(zhuǎn)換，從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等（當(dāng)今多媒體通信協(xié)議主要是SIP和H.323）IP通信協(xié)議的有效傳輸。

  比如外網(wǎng)終端用戶注冊后呼叫控制設(shè)備上記錄的將是其私網(wǎng)地址，當(dāng)私網(wǎng)終端呼叫公網(wǎng)終端，雖然私網(wǎng)終端可以從注冊網(wǎng)關(guān)處獲取公網(wǎng)終端的IP地址，但在視音頻RTP碼流時，由于受H.323協(xié)議的自身限制，其各自的RTP接收端口和發(fā)送端口不同，如下圖所示，這樣，私網(wǎng)終端向公網(wǎng)終端（公網(wǎng)IP）發(fā)送的RTP碼流公網(wǎng)終端可以接收，但公網(wǎng)終端向私網(wǎng)終端（其NAT映射的公網(wǎng)地址）發(fā)送的RTP碼流，在經(jīng)過NAT設(shè)備時，并不會進行IP地址的轉(zhuǎn)換，導(dǎo)致碼流不能通過NAT設(shè)備。出現(xiàn)單通的情況。

 當(dāng)公網(wǎng)終端呼叫私網(wǎng)終端，由于呼叫的地址直接是私網(wǎng)終端映射的公網(wǎng)地址，NAT設(shè)備不支持H.323協(xié)議轉(zhuǎn)換，因此呼叫就不能建立。

• 如何穿越防火墻？

---

   靜態(tài)NAT：對于私網(wǎng)中的每個終端，在防火墻NAT上作靜態(tài)NAT，即私網(wǎng)地址與公網(wǎng)地址一對一的映射；這種情況是針對終端很少的情況。

   支持H.323協(xié)議的NAT設(shè)備；動態(tài)支持H.323協(xié)議NAT的防火墻設(shè)備，其直接可以理解H.323協(xié)議內(nèi)容，對H.323協(xié)議的IP碼流可以直接進行協(xié)議轉(zhuǎn)換，使得企業(yè)內(nèi)部局域網(wǎng)上的終端就象放在公網(wǎng)上一樣，這樣企業(yè)內(nèi)部的終端就可以無障礙地與外部終端互通。

   H.323代理穿越公私網(wǎng)：即采用一臺PC作為防火墻出口的代理設(shè)備，該方式下，需在每個防火墻后放一個H.323 代理，代理需要被分配公有IP 地址。  

• 業(yè)界解決方案和產(chǎn)品

---

  目前我所了解的有迅時SBC系列- SX1000，SX300；華為SE2000，SwitchCenter（SC）。

      針對視頻會議，我們采用了華為SC，組網(wǎng)如下：

組網(wǎng)說明：

1. SC放置在防火墻的DMZ區(qū)域，配置NAT映射到公網(wǎng)。

2. 終端通過SC的私網(wǎng)地址/公網(wǎng)地址注冊到SC。

3. 需要定義本地私網(wǎng)，用于SC設(shè)置呼叫地址。

4. 終端使用H.323或者SIP協(xié)議向SC進行注冊，SC負責(zé)整個呼叫控制（信令處理機媒體流轉(zhuǎn)發(fā)）。

• 思考和總結(jié)？

---

  通過本次回顧，對多媒體通信場景-視頻會議外網(wǎng)接入有一個基本認(rèn)識，多媒體通信無非靠：信令流來完成終端的注冊，連接建立和維護；媒體流（或者稱為碼流）的傳輸；信令傳輸出現(xiàn)問題，就會導(dǎo)致注冊異常，呼叫發(fā)起不了，碼流異常就會導(dǎo)致無聲音或者無視頻。日常排查問題中，首先需要對通信協(xié)議有個理解，然后通過抓包分析具體實現(xiàn)過程。后續(xù)再探討多媒體通信協(xié)議-H.323和SIP通信機制！

文章名稱：多媒體通信之網(wǎng)絡(luò)防火墻穿越知多少？
本文URL：http://chinadenli.net/article38/jioepp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、定制網(wǎng)站、App開發(fā)、虛擬主機、自適應(yīng)網(wǎng)站、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)