华为视讯轻松穿越防火墙(1)

　　由于IPV4地址的有限以及网络安全问题，多数行业和企业用户选择组建自己内部的IP网络来进行语音、图像和数据通信。为了确保网络安全，通常这些IP网络和公网之间都通过NAT、防火墙等设备连接。

　　由于这些设备通常都会对通过它们的IP包按照相关策略进行过滤，同时对IP地址或端口进行相应转换处理，导致基于H.323等协议的图像和语音IP包不能够正常通过。

　　具体地说，防火墙一般需要进行包过滤及状态检测，为了网络安全，防火墙在访问列表配置时，除打开网内业务需要的知名端口外（如：http的80端口），其它端口一般都配置为拒绝。而对于H.323等多媒体通信应用来说，是在控制信令中动态地协商媒体流端口的，动态分配的端口为在防火墙上配置固定的包过滤策略带来了困难，对于不支持H.323ALG的防火墙，无法获取这些动态端口信息，导致这些媒体报文无法通过。同时，对于内置NAT/PAT的防火墙，存在IP地址转换问题，由于视讯应用的H.323IP包结构和其他应用的包结构不同，在H.323包中，不仅仅包头含有IP地址要转化，而且在包内部还有IP地址要进行转化。防火墙如果支持H.323协议，在H.323包通过时，会自动对包中相关地址进行变换，但在实际的应用中却普遍存在业务防火墙对H.323协议不支持或支持不完善，导致出现H.323多媒体通信的问题。

　　上述问题均会引发企业内部网和外部网之间语音、图像通信的问题，所以对于企业视频通信，如何穿越NAT、防火墙成为进行视讯通信业务首先要解决的问题。

　　常见的防火墙穿越的视频通信解决方案

　　设置静态NAT

　　当在私网中的视讯终端数量很少，对于私网中的每个终端，在防火墙NAT上作静态NAT，将私网地址与公网地址作一对一的映射，并针对这些地址配制相应的端口开放策略。通过静态NAT的地址映射，私网内部的终端可和公网，其它私网之间的终端进行自由互通。

　　问题和局限性：

　　●通信终端需要配套支持静态NAT配置，预先配置其对应的公网地址。

　　●防火墙公网地址池中IP地址数>=私网内终端总数，即一个私网内部，为了使用视讯业务，需要申请大量的公网地址，对于私网之间的互通，两方防火墙都需要配置静态NAT，代价较大。

　　●对防火墙的配置复杂，不仅需要在防火墙上对所有私网终端的IP地址做静态的一对一的地址映射，还需要打开静态映射后的公网IP地址的全部通信端口。