,,<强>为什么今天要回顾下有关网络防火墙穿越的问题?因为在日常的项目工作及运维中碰到了有关网络穿越的问题,比如华为办公电话系统外网移动终端接入开视频会议及拨打电话,华为高清视频会议系统外网终端接入开视频会议,这些场景的实现都离不开一个东西—— <强> <>强壮!本篇简要回顾和总结一下网络防火墙穿越的背景,原理和解决方案,思维导图如下。
防火墙知识回顾,什么是防火墙?
<人力资源/>
内部网外部网,
什么是网络防火墙穿越?
<人力资源/>,,顾名思义,就是要正常的穿越防火墙咯(而不是非法* * *)。某些大型企业为了网络安全,会在内外网各个环节出口处部署大量防火墙,NAT(网络地址转换,内网终端访问外网,需要进行地址转换),安全检测等设备,而有些应用比较特殊,这些设备无法满足这些应用的通信条件,导致无法使用,这时候需要有这样一个设备,在防火墙设备后面,承担这些特殊的功能,帮助外网的信息流顺利穿越防火墙,与内网设备成功通信。,,
为什么要防火墙穿越?
<人力资源/>,上述基本上已经通俗的讲了防火墙穿越的含义,现在从多媒体通信角度阐述为什么要进行防火墙穿越。
强,并不对消息体中的媒体连接信息<强> 强进行转换,从而造成NAT/防火墙不支持SIP/H.323/H。248/MGCP等IP通信协议的有效传输。
如何穿越防火墙?
<人力资源/>,,静态奈特:对于私网中的每个终端,在防火墙NAT上作静态NAT,即私网地址与公网地址一对一的映射;这种情况是针对终端很少的情况。
,,支持H.323协议的NAT设备,动态支持H.323协议NAT的防火墙设备,其直接可以理解H.323协议内容,对H.323协议的IP码流可以直接进行协议转换,使得企业内部局域网上的终端就象放在公网上一样,这样企业内部的终端就可以无障碍地与外部终端互通。
,,H.323代理穿越公私网:即采用一台电脑作为防火墙出口的代理设备,该方式下,需在每个防火墙后放一个H。323代理,代理需要被分配公有IP地址。,
业界解决方案和产品
<人力资源/>,目前我所了解的有
组网说明:
1。SC放置在防火墙的DMZ区域,配置NAT映射到公网。
2。终端通过SC的私网地址/公网地址注册到SC。
3。需要定义本地私网,用于SC设置呼叫地址。
4。终端使用H。323或者SIP协议向SC进行注册,SC负责整个呼叫控制(信令处理机媒体流转发)。
思考和总结?
<人力资源/>,通过本次回顾,对多媒体通信场景——视频会议外网接入有一个基本认识,多媒体通信无非靠:信令流来完成终端的注册,连接建立和维护;媒体流(或者称为码流)的传输;信令传输出现问题,就会导致注册异常,呼叫发起不了,码流异常就会导致无声音或者无视频。日常排查问题中,首先需要对通信协议有个理解,然后通过抓包分析具体实现过程。后续再探讨多媒体通信协议-H.323和SIP通信机制。
