扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
由于IPV4地址的有限以及网络安全问题,多数行业和企业用户选择组建自己内部的IP网络来进行语音、图像和数据通信。为了确保网络安全,通常这些IP网络和公网之间都通过NAT、防火墙等设备连接。
由于这些设备通常都会对通过它们的IP包按照相关策略进行过滤,同时对IP地址或端口进行相应转换处理,导致基于H.323等协议的图像和语音IP包不能够正常通过。
具体地说,防火墙一般需要进行包过滤及状态检测,为了网络安全,防火墙在访问列表配置时,除打开网内业务需要的知名端口外(如:http的80端口),其它端口一般都配置为拒绝。而对于H.323等多媒体通信应用来说,是在控制信令中动态地协商媒体流端口的,动态分配的端口为在防火墙上配置固定的包过滤策略带来了困难,对于不支持H.323ALG的防火墙,无法获取这些动态端口信息,导致这些媒体报文无法通过。同时,对于内置NAT/PAT的防火墙,存在IP地址转换问题,由于视讯应用的H.323IP包结构和其他应用的包结构不同,在H.323包中,不仅仅包头含有IP地址要转化,而且在包内部还有IP地址要进行转化。防火墙如果支持H.323协议,在H.323包通过时,会自动对包中相关地址进行变换,但在实际的应用中却普遍存在业务防火墙对H.323协议不支持或支持不完善,导致出现H.323多媒体通信的问题。
上述问题均会引发企业内部网和外部网之间语音、图像通信的问题,所以对于企业视频通信,如何穿越NAT、防火墙成为进行视讯通信业务首先要解决的问题。
常见的防火墙穿越的视频通信解决方案
设置静态NAT
当在私网中的视讯终端数量很少,对于私网中的每个终端,在防火墙NAT上作静态NAT,将私网地址与公网地址作一对一的映射,并针对这些地址配制相应的端口开放策略。通过静态NAT的地址映射,私网内部的终端可和公网,其它私网之间的终端进行自由互通。
问题和局限性:
●通信终端需要配套支持静态NAT配置,预先配置其对应的公网地址。
●防火墙公网地址池中IP地址数>=私网内终端总数,即一个私网内部,为了使用视讯业务,需要申请大量的公网地址,对于私网之间的互通,两方防火墙都需要配置静态NAT,代价较大。
●对防火墙的配置复杂,不仅需要在防火墙上对所有私网终端的IP地址做静态的一对一的地址映射,还需要打开静态映射后的公网IP地址的全部通信端口。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。