為什么今天要回顧下有關(guān)網(wǎng)絡(luò)防火墻穿越的問(wèn)題？因?yàn)樵谌粘５捻?xiàng)目工作及運(yùn)維中碰到了有關(guān)網(wǎng)絡(luò)穿越的問(wèn)題，比如華為辦公電話系統(tǒng)外網(wǎng)移動(dòng)終端接入開視頻會(huì)議及撥打電話，華為高清視頻會(huì)議系統(tǒng)外網(wǎng)終端接入開視頻會(huì)議，這些場(chǎng)景的實(shí)現(xiàn)都離不開一個(gè)東西-公網(wǎng)與私網(wǎng)穿越！本篇簡(jiǎn)要回顧和總結(jié)一下網(wǎng)絡(luò)防火墻穿越的背景，原理和解決方案，思維導(dǎo)圖如下。

成都創(chuàng)新互聯(lián)公司專注于企業(yè)成都全網(wǎng)營(yíng)銷、網(wǎng)站重做改版、景東網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、html5、商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為景東等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

• 防火墻知識(shí)回顧，什么是防火墻？

---

    防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

• 什么是網(wǎng)絡(luò)防火墻穿越？

---

  顧名思義，就是要正常的穿越防火墻咯（而不是非法***）。某些大型企業(yè)為了網(wǎng)絡(luò)安全，會(huì)在內(nèi)外網(wǎng)各個(gè)環(huán)節(jié)出口處部署大量防火墻，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換，內(nèi)網(wǎng)終端訪問(wèn)外網(wǎng)，需要進(jìn)行地址轉(zhuǎn)換），安全檢測(cè)等設(shè)備，而有些應(yīng)用比較特殊，這些設(shè)備無(wú)法滿足這些應(yīng)用的通信條件，導(dǎo)致無(wú)法使用，這時(shí)候需要有這樣一個(gè)設(shè)備，在防火墻設(shè)備后面，承擔(dān)這些特殊的功能，幫助外網(wǎng)的信息流順利穿越防火墻，與內(nèi)網(wǎng)設(shè)備成功通信。

• 為什么要防火墻穿越？

---

 上述基本上已經(jīng)通俗的講了防火墻穿越的含義，現(xiàn)在從多媒體通信角度闡述為什么要進(jìn)行防火墻穿越。

 通常NAT/防火墻設(shè)備僅對(duì)IP和UDP/TCP報(bào)文頭的地址及端口號(hào)進(jìn)行轉(zhuǎn)換（所謂的網(wǎng)絡(luò)層），并不對(duì)消息體中的媒體連接信息（應(yīng)用層）進(jìn)行轉(zhuǎn)換，從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等（當(dāng)今多媒體通信協(xié)議主要是SIP和H.323）IP通信協(xié)議的有效傳輸。

 比如外網(wǎng)終端用戶注冊(cè)后呼叫控制設(shè)備上記錄的將是其私網(wǎng)地址，當(dāng)私網(wǎng)終端呼叫公網(wǎng)終端，雖然私網(wǎng)終端可以從注冊(cè)網(wǎng)關(guān)處獲取公網(wǎng)終端的IP地址，但在視音頻RTP碼流時(shí)，由于受H.323協(xié)議的自身限制，其各自的RTP接收端口和發(fā)送端口不同，如下圖所示，這樣，私網(wǎng)終端向公網(wǎng)終端（公網(wǎng)IP）發(fā)送的RTP碼流公網(wǎng)終端可以接收，但公網(wǎng)終端向私網(wǎng)終端（其NAT映射的公網(wǎng)地址）發(fā)送的RTP碼流，在經(jīng)過(guò)NAT設(shè)備時(shí)，并不會(huì)進(jìn)行IP地址的轉(zhuǎn)換，導(dǎo)致碼流不能通過(guò)NAT設(shè)備。出現(xiàn)單通的情況。

 當(dāng)公網(wǎng)終端呼叫私網(wǎng)終端，由于呼叫的地址直接是私網(wǎng)終端映射的公網(wǎng)地址，NAT設(shè)備不支持H.323協(xié)議轉(zhuǎn)換，因此呼叫就不能建立。

• 如何穿越防火墻？

---

  靜態(tài)NAT：對(duì)于私網(wǎng)中的每個(gè)終端，在防火墻NAT上作靜態(tài)NAT，即私網(wǎng)地址與公網(wǎng)地址一對(duì)一的映射；這種情況是針對(duì)終端很少的情況。

  支持H.323協(xié)議的NAT設(shè)備；動(dòng)態(tài)支持H.323協(xié)議NAT的防火墻設(shè)備，其直接可以理解H.323協(xié)議內(nèi)容，對(duì)H.323協(xié)議的IP碼流可以直接進(jìn)行協(xié)議轉(zhuǎn)換，使得企業(yè)內(nèi)部局域網(wǎng)上的終端就象放在公網(wǎng)上一樣，這樣企業(yè)內(nèi)部的終端就可以無(wú)障礙地與外部終端互通。

  H.323代理穿越公私網(wǎng)：即采用一臺(tái)PC作為防火墻出口的代理設(shè)備，該方式下，需在每個(gè)防火墻后放一個(gè)H.323 代理，代理需要被分配公有IP 地址。

• 業(yè)界解決方案和產(chǎn)品

---

 目前我所了解的有迅時(shí)SBC系列- SX1000，SX300；華為SE2000，SwitchCenter（SC）。

   針對(duì)視頻會(huì)議，我們采用了華為SC，組網(wǎng)如下：

組網(wǎng)說(shuō)明：

1. SC放置在防火墻的DMZ區(qū)域，配置NAT映射到公網(wǎng)。

2. 終端通過(guò)SC的私網(wǎng)地址/公網(wǎng)地址注冊(cè)到SC。

3. 需要定義本地私網(wǎng)，用于SC設(shè)置呼叫地址。

4. 終端使用H.323或者SIP協(xié)議向SC進(jìn)行注冊(cè)，SC負(fù)責(zé)整個(gè)呼叫控制（信令處理機(jī)媒體流轉(zhuǎn)發(fā)）。

• 思考和總結(jié)？

---

 通過(guò)本次回顧，對(duì)多媒體通信場(chǎng)景-視頻會(huì)議外網(wǎng)接入有一個(gè)基本認(rèn)識(shí)，多媒體通信無(wú)非靠：信令流來(lái)完成終端的注冊(cè)，連接建立和維護(hù)；媒體流（或者稱為碼流）的傳輸；信令傳輸出現(xiàn)問(wèn)題，就會(huì)導(dǎo)致注冊(cè)異常，呼叫發(fā)起不了，碼流異常就會(huì)導(dǎo)致無(wú)聲音或者無(wú)視頻。日常排查問(wèn)題中，首先需要對(duì)通信協(xié)議有個(gè)理解，然后通過(guò)抓包分析具體實(shí)現(xiàn)過(guò)程。后續(xù)再探討多媒體通信協(xié)議-H.323和SIP通信機(jī)制！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站欄目：多媒體通信之網(wǎng)絡(luò)防火墻穿越知多少？-創(chuàng)新互聯(lián)
標(biāo)題鏈接：http://aaarwkj.com/article6/ccdgig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)公司、電子商務(wù)、網(wǎng)站策劃、商城網(wǎng)站、軟件開發(fā)、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)