公私网穿越配置专题Word下载.docx
《公私网穿越配置专题Word下载.docx》由会员分享,可在线阅读,更多相关《公私网穿越配置专题Word下载.docx(54页珍藏版)》请在冰点文库上搜索。
3.3配置过程8
3.4结果验证14
4单SC组网15
4.1场景描述15
4.2数据规划16
4.3配置过程18
4.4结果验证28
5双SC组网29
5.1场景描述29
5.2数据规划30
5.3配置过程32
5.4结果验证48
6故障处理49
6.1双SC组网下,H.323保活失败49
6.2双SC组网下,SIP保活失败49
6.3公网和私网设备不能互通媒体50
6.4DMZ区域vlan2网段的设备不能互通媒体50
A如何判断SC是否进行媒体路由52
1前言
概述
本文档详细介绍视讯组网中的公私网穿越方案,包括组网的应用场景、不同组网的比较、组网的配置过程和验证。
读者对象
本文档主要适用于以下工程师:
●技术支持工程师
●维护工程师
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
符号
说明
用于警示紧急的危险情形,若不避免,将会导致人员死亡或严重的人身伤害。
用于警示潜在的危险情形,若不避免,可能会导致人员死亡或严重的人身伤害。
用于警示潜在的危险情形,若不避免,可能会导致中度或轻微的人身伤害。
用于传递设备或环境安全警示信息,若不避免,可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。
“注意”不涉及人身伤害。
用于突出重要/关键信息、最佳实践和小窍门等。
“说明”不是安全警示信息,不涉及人身、设备及环境伤害信息。
修订记录
修改记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
文档版本01(2014-11-13)
第一次正式发布。
2概述
2.1认识公私网穿越
为了保证网络安全,通常企业会部署自己的私有网络,与公众访问的网络(Internet)分离,并在网络的边界部署防火墙,用于保护企业私网免受外部网络的攻击和入侵,如图2-1。
图2-1公私网示意图
防火墙在网络边界的隔离作用主要体现为以下两点:
●阻止网络中的各种攻击报文通过。
●允许网络中的正常通信报文通过。
企业规划网络时,会在防火墙上划分不同等级的安全区域,每个安全区域通过接口与实际网络对应,从而实现防火墙对不同网络的区分和隔离。
当报文在不同的安全区域之间流动时,触发防火墙进行安全检查。
企业防火墙通常会划分三个安全区域,分别为Trust、DMZ(DemilitarizedZone)、Untrust,如图2-2所示。
图2-2防火墙安全区域划分
●Trust区域:
该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
●DMZ区域:
该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
该内部服务器需要为外部用户提供业务服务,如SC、RSE6500。
●Untrust:
该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
为了更清晰的体现防火墙安全区域在视讯组网中的应用,下面将图2-2中的安全区域改画至如图2-3所示的组网中。
图2-3视讯设备部署示意图
企业部署视讯系统时,建议将业务管理和媒体处理的核心服务器部署在企业私网中,将SC和RSE6500部署在DMZ中。
通过在企业防火墙开放对应的通信端口,可实现公网和私网设备的互通。
●SC在视讯系统中具有网络交换功能,需要同时为公网和私网中的设备提供地址解析、接入控制等服务。
●RSE6500是视讯系统中的录播服务器,需要同时为公网和私网用户提供直播和点播服务。
2.2基本概念
安全区域
企业通常在防火墙上划分三个安全区域来定义实际网络的安全级别,安全级别排序为Trust>
DMZ>
Untrust。
inbound/outbound
数据在防火墙不同安全级别的区域间传输的方向,分别如图4-2和图5-2所示。
●入方向(inbound):
数据从低级别的安全区域向高级别的安全区域传输。
●出方向(outbound):
数据从高级别的安全区域向低级别的安全区域传输。
SC管理IP/业务IP
●管理IP(manage-ip):
用于管理SC的IP地址,如通过SMC2.0管理SC、通过SSH工具接入SC。
●业务IP(service-ip):
SC对外提供注册和呼叫业务时使用的IP地址。
穿越流量
穿越流量是指通过SC转发的媒体带宽大小。
穿越流量通过SC的License控制,在SMC2.0的Web界面,单击SC的名称,可进入“SC详细信息”页签,查看“最大穿越流量”和“已使用穿越流量”。
2.3方案比较
了解不同方案的安全性和部署的复杂度,有利于您根据局点实际情况规划具体的公私网穿越方案。
视讯系统目前支持三种典型公私网穿越部署方案:
SC骑墙、单SC组网、双SC组网。
三种组网方案的比较结果如表2-1所示。
表2-1方案比较
方案
SC骑墙
部署简单,对私网中的设备无特殊要求,该方案下通信数据不经过防火墙。
单SC组网
部署复杂,在防火墙上需要开放较多端口,私网中的H.323设备必须支持H.460,SIP设备支持首包学习。
双SC组网
部署复杂,在防火墙上开放少量端口,对私网中的设备无特殊要求,安全性高,为推荐方案。
3SC骑墙组网
3.1场景描述
骑墙即同一服务器同时处理两个网络的数据,且数据不通过防火墙。
SC骑墙的原理是:
安装SC的服务器通过两个物理网卡接入到不同网络,SC可以同时监听和处理两个网络的信令。
同时,SC对两个网络的媒体进行转发,实现网络互通。
图3-1SC骑墙
SC骑墙组网方案适用的场景具备以下特点:
●企业在公网和私网均部署了视讯设备,且多数设备部署在私网中。
●公网与私网设备之间的通信由SC转发,通信数据不经过防火墙。
●无需在防火墙开放端口,组网简单易用,可快速实现公私网穿越部署。
●部署单SC,建设成本较低。
3.2数据规划
SC骑墙组网下,请规划各设备的IP地址。
各设备的IP规划示例如表3-1所示。
表3-1IP地址规划
网段
IP示例
私网:
192.168.*.*
SClan1口:
192.168.100.96
SMC2.0:
192.168.100.90
MCU:
192.168.2.16
私网会场:
192.168.37.5
公网:
1.2.*.*
SClan2口:
1.2.100.96
公网会场:
1.2.3.4
SC的lan1口和lan2口分别对应服务器背部的网口1和网口2。
预安装和使用“iso”安装包安装SC,网口对应的缺省IP有如下差异:
●预安装SC:
网口1和网口2均有缺省IP,具体IP值请参见随服务器发货的“预安装报告”。
●使用“iso”安装包安装SC:
网口1有缺省IP,缺省值为“192.168.1.100”。
如果将SC服务器的两个网口均接入实际网络中,SC缺省仅将网口1的IP地址识别为管理IP。
客户端必须接入网口1所在网段,并通过SSH工具连接网口1对应的缺省IP。
如果仅将SC服务器的一个网口接入实际网络中,SC将接入网口的IP地址识别为管理IP。
3.3配置过程
在SC骑墙组网下,请完成以下配置:
配置SC、在SMC2.0中添加SC、配置私网MCU、配置私网会场、配置公网会场。
前提条件
●已申请和获取License文件,SC的License申请操作请参见《HUAWEISC快速配置指南》。
●将设备按表3-1的规划接入实际网络。
下文在介绍如何配置私网和公网设备时,仅介绍公私网穿越场景下的配置要求。
如果您不熟悉设备的基本配置,请参见《HUAWEISMC2.0配置指南》。
配置SC
步骤1通过SSH工具登录SC。
步骤2将SC的lan1和lan2分别配置成已规划的私网和公网的IP地址。
system-viewsys-confignetwork-configlan1ipv4address192.168.100.96netmask255.255.0.0gateway192.168.0.1
system-viewsys-confignetwork-configlan2ipv4address1.2.100.96netmask255.255.0.0gateway1.2.0.1
步骤3执行reboot命令重启SC,重启后使用修改后的lan1或lan2口IP登录。
步骤4检查SC的管理IP,请确认仅将私网IP设置成管理IP。
displaymanage-ip
192.168.100.96
TotalItemNum:
1
如果SC的管理IP不正确,请添加正确的IP,添加操作如下:
system-viewsys-configsecurity-configmanage-ipaddip192.168.100.96
如果SC识别了多个IP为管理IP,请删除多余IP,删除操作如下:
system-viewsys-configsecurity-configmanage-ipdeleteip1.2.100.96
步骤5检查SC的业务IP,请确认将公网和私网IP同时设置成业务IP。
displayservice-ip
1.2.100.96
2
如果SC未识别两个IP为业务IP,请添加遗漏的IP,添加操作如下:
system-viewsys-configsecurity-configservice-ipaddip1.2.100.96
步骤6将lan2口配置为默认路由端口。
system-viewsys-confignetwork-configdefault-routelanlan2
步骤7执行reboot命令重启SC使配置生效。
----结束
在SMC2.0中添加SC
步骤1登录SMC2.0的Web界面。
步骤2选择“设备>
SC”,单击“添加SC”。
步骤3在“IP地址”中输入SC的私网IP,单击“下一步”。
用于连接认证的“用户名”和“密码”请保持缺省值,您可以参考《SMC2.0安全维护》修改密码。
步骤4填写SC的“名称”,如图3-2所示。
图3-1添加SC
步骤5单击“添加”。
在SC列表中,添加的SC为在线状态,显示为
。
步骤6单击SC的名称,进入SC详细信息页面。
步骤7单击“导入License”,浏览并选择SC的License文件,单击“上传”。
SC的License状态显示为“正常”。
配置私网MCU
请在SMC2.0中添加可管理MCU,并将MCU注册到上文描述的SC上,注册的地址选择SC的私网IP,如图3-3所示。
图3-1配置私网MCU
配置私网会场
请依据会场型号作判断,在SMC2.0中将私网会场添加为可管理会场或不可管理会场,并将会场注册到上文描述的SC上,注册的地址选择SC的私网IP,如图3-4所示。
图3-1配置私网会场
配置公网会场
请在SMC2.0中将公网会场添加为不可管理会场,并将会场注册到上文描述的SC上,注册的地址选择SC的公网IP,如图3-5和图3-6所示。
图3-1在SMC2.0添加会场
图3-2会场注册
3.4结果验证
在SMC2.0中调度一个包含私网会场和公网会场在内的视频会议,验证SC骑墙方案是否配置成功。
步骤2选择“会议>
新建会议”。
步骤3填写会议基本信息,将“主MCU”选择为已配置的MCU,添加公网和私网会场,如图3-7所示。
图3-1预约会议
步骤4单击“高级参数”,设置录播参数,如图3-8所示,单击“返回”。
图3-1设置录播参数
步骤5单击“预约会议”。
会议预约成功,公网和私网会场成功加入会议,会议管理员可以进行会议控制操作。
4单SC组网
4.1场景描述
单SC部署时,SC同时为公网和私网设备提供服务。
通过在DMZ区域划分两个网段,并将SC的两个物理网卡分别接入到两个网段中,使一个网段中的业务IP为私网设备提供服务,另一个网段的业务IP通过NAT映射到公网,为公网设备提供服务。
公网和私网设备间的通信、RSE6500和公私网设备间的通信,通过SC进行信令和媒体路由。
图4-1单SC组网
单SC组网方案适用的场景具备以下特点:
●私网中的H.323设备支持H.460,SIP设备支持首包学习。
首包学习:
当私网中的SIP设备作为媒体的接收者时,需要主动向SC先发送媒体包,供SC学习目的地址和端口号。
该功能主要应用于公网设备呼叫私网设备,且发送演示的场景。
●MCU同时以H.323和SIP方式注册SC,支持H.323终端和SIP终端同时加入多点会议。
●SC部署在DMZ区域,在组网上与私网和公网均隔离,提升了企业私网的安全性。
●RSE6500部署在DMZ区域,同时为私网和公网用户提供直播和点播业务。
●在防火墙开放相应端口以实现SC与设备间的数据互通。
4.2数据规划
单SC部署于DMZ组网下,请按组网要求开放防火墙上对应端口,并规划各设备的IP地址。
防火墙的端口开放规则如图4-2所示。
图4-1防火墙端口开放规则
防火墙端口开放说明如下:
●如果组网中仅部署H.323设备,则仅需配置规则1~12、17~20、26~33。
●如果私网和公网会场均支持媒体端口复用,请配置规则16、25、38,无需配置规则12、20、33。
●如果组网中同时部署H.323设备和SIP设备,请配置所有规则。
●规则5、6、28、29中描述的端口号在RSE6500的Web管理界面可自行配置,配置入口为“系统管理>
系统配置>
网络配置>
端口配置”,请与界面配置的值保持一致。
各设备的IP规划示例如表4-1所示。
表4-1IP地址规划
Trust:
DMZ
vlan1:
172.16.*.*
172.16.100.96
RSE6500:
172.16.15.50
vlan2:
172.17.*.*
172.17.100.96
Untrust:
SClan2口的静态映射IP:
RSE6500的静态映射IP:
1.2.15.50
4.3配置过程
单SC组网下,请完成以下配置:
配置SC、在SMC2.0中添加SC、配置私网MCU、配置私网会场、配置RSE6500、配置公网会场。
●在防火墙上按图4-2的规划开放相应端口。
●按表4-1的规划,配置SC的lan2口到Untrust的静态映射,配置RSE6500从DMZ到Untrust的静态映射。
●将设备按表4-1的规划接入实际网络。
步骤2将SC的lan1和lan2分别配置成已规划的vlan1和vlan2网段的IP地址。
system-viewsys-confignetwork-configlan1ipv4address172.16.100.96netmask255.255.0.0gateway172.16.0.1
system-viewsys-confignetwork-configlan2ipv4address172.17.100.96netmask255.255.0.0gateway172.17.0.1
步骤4检查SC的管理IP,请确认仅将lan1口的IP设置成管理IP。
172.16.100.96
system-viewsys-configsecurity-configmanage-ipaddip172.16.100.96
system-viewsys-configsecurity-configmanage-ipdeleteip172.17.100.96
步骤5检查SC的业务IP,请确认将lan1口和lan2口的IP同时设置成业务IP。
172.17.100.96
system-viewsys-configsecurity-configservice-ipaddip172.17.100.96
步骤7配置lan1口到Trust区域的静态路由。
system-viewstatic-routeadddest-address192.168.0.0mask-or-prefix255.255.0.0network-portlan1
如果Trust区域规划了多个网段,请逐一配置lan1口到多个网段的静态路由。
步骤8配置lan2口到Untrust区域的NAT静态映射。
system-viewsys-confignetwork-configlan2ipv4-natenabletrueaddress1.2.100.96
步骤9执行reboot命令重启SC使配置生效。
步骤3在“IP地址”中输入SC的lan1口IP,单击“下一步”。
步骤4填写SC的“名称”,开启SC的公私网穿越功能,如图4-3所示。
图4-1添加SC
●H.460功能需在导入License后才能开启。
●如果私网设备支持端口复用,则SC与其进行媒体交互时将使用复用端口。
步骤1登录MCU的Web界面,选择“设备管理>
H323/SIP配置>
H.460配置”,开启H.460功能,如图4-4所示。
图4-1开启H.460功能
步骤2在SMC2.0中添加可管理MCU,并将MCU注册到上文描述的SC上,注册的地址选择SC的lan1口IP,如图4-5所示。
图4-1配置私网MCU
步骤1登录会场的Web界面,选择“系统配置>
网络>
防火墙”,开启H.460功能,如图4-6所示。
步骤2请依据会场型号作判断,在SMC2.0中将私网会场添加为可管理会场或不可管理会场,并将会场注册到上文描述的SC上,注册的地址选择SC的lan1口IP,如图4-7所示。
图4-1配置私网会场
配置RSE6500
在SMC2.0中添加RSE6500,并将RSE6500注册到上文描述的SC上,注册的地址选择SC的lan1口IP,如图4-8至图4-10所示。
图4-1在SMC2.0添加RSE6500
图4-2注册GK
图4-3注册SIP服务器
请在SMC2.0中将公网会场添加为不可管理会场,并将会场注册到上文描述的SC上,注册的地址选择SC在Untrust区域的静态映射地址,如图4-11和图4-12所示。
图4-1在SMC2.0添加会场
图4-2会场注册
4.4结果验证
新建会
升级会员 