华为视讯轻松穿越防火墙(2)

　　升级防火墙支持H.323ALG

　　将现网的防火墙/NAT升级为支持H.323ALG是另一个解决公私网问题的有效途径。升级后的防火墙/NAT设备能够解析H.323协议内容，对H.323协议的IP码流可以直接进行包头、包内IP地址转换，同时根据需要动态开放相关媒体流端口，在通话结束后又会自动关闭这些端口。既保证了网络安全，又能够建立正常的多媒体通信，使得企业内部局域网上的终端就象放在公网上一样，这样企业内部的终端就可以无障碍地与外部终端互通。

　　问题和局限性：

　　●所有需要实现互通的私网出口防火墙均需要升级为支持H.323ALG，网络出口需要改造，代价较大。

　　●对于视讯运营系统，需要改造所有网内企业客户的网络出口，难度较大，且设备放在企业用户网内，运营商无法统一维护。

　　华为视讯防火墙穿越解决方案

　　华为ViewPoint8000视讯系统充分考虑了用户侧网络情况，并结合用户组网实际情况，提供多样化的防火墙穿越解决方案，以满足不同的组网需求。除了提供上述两种通用的防火墙穿越方案，还根据视讯运营网和部分客户的组网情况，独家提供了全新的防火墙穿越解决方案，通过配置媒体汇接网关，有效地避免了通用方案中的局限性。

　　设置静态NAT

　　华为的所有终端可以直接配置静态NAT的对应地址，支持静态NAT穿越公私网方式。

　　配置QuidwayEudemon系列防火墙产品

　　华为公司的QuidwayEudemon系列防火墙（以下简称Eudemon），工作在三层以上协议，可以理解H.323协议内容，其对H.323协议的IP码流可以直接进行协议转换，使得企业内部局域网上的终端可以无障碍地与外部终端互通。（如图1所示）

　　如果用户侧网络已经有防火墙设备，这时也可以添加Eudemon作为H.323网关，主要用于对H.323的支持。此时，Eudemon网关的作用仅仅是对H.323协议的IP码流进行协议转换，对其他上网业务如HTTP、FTP等没有影响，Eudemon网关识别到这些非H.323协议的业务IP包时，会自动透明转发，不作任何处理，因此不影响防火墙的功能。

　　通过ACL规则在Eudemon上实现H.323应用过滤，即：H.323应用在Eudemon上完成NAT转换后，转发给防火墙；非H.323应用则直接转发到防火墙，由防火墙完成NAT转换。这样既可以使用户原有安全策略、上网方式保持不变，又不用更改用户原有私有网络。

　　如果用户网上还没有布设防火墙，Eudemon防火墙还可以作为标准的防火墙使用。

　　配置ViewPoint8520媒体汇接网关设备