华为技术有限公司 荆晓文
由于ipV4地址的有限以及网络安全问题,多数行业和企业用户选择组建自己内部的IP网络来进行语音、图像和数据通信。为了确保网络安全,通常这些IP网络和公网之间都通过NAT、防火墙等设备连接。
由于这些设备通常都会对通过它们的IP包按照相关策略进行过滤,同时对IP地址或端口进行相应转换处理,导致基于H.323等协议的图像和语音IP包不能够正常通过。
具体地说,防火墙一般需要进行包过滤及状态检测,为了网络安全,防火墙在访问列表配置时,除打开网内业务需要的知名端口外(如:http的80端口),其它端口一般都配置为拒绝。而对于H.323等多媒体通信应用来说,是在控制信令中动态地协商媒体流端口的,动态分配的端口为在防火墙上配置固定的包过滤策略带来了困难,对于不支持H.323ALG的防火墙,无法获取这些动态端口信息,导致这些媒体报文无法通过。同时,对于内置NAT/PAT的防火墙,存在IP地址转换问题,由于视讯应用的H.323IP包结构和其他应用的包结构不同,在H.323包中,不仅仅包头含有IP地址要转化,而且在包内部还有IP地址要进行转化。防火墙假如支持H.323协议,在H.323包通过时,会自动对包中相关地址进行变换,但在实际的应用中却普遍存在业务防火墙对H.323协议不支持或支持不完善,导致出现H.323多媒体通信的问题。
上述问题均会引发企业内部网和外部网之间语音、图像通信的问题,所以对于企业视频通信,如何穿越NAT、防火墙成为进行视讯通信业务首先要解决的问题。
常见的防火墙穿越的视频通信解决方案
设置静态NAT
当在私网中的视讯终端数量很少,对于私网中的每个终端,在防火墙NAT上作静态NAT,将私网地址与公网地址作一对一的映射,并针对这些地址配制相应的端口开放策略。通过静态NAT的地址映射,私网内部的终端可和公网,其它私网之间的终端进行自由互通。
问题和局限性:
●通信终端需要配套支持静态NAT配置,预先配置其对应的公网地址。
●防火墙公网地址池中IP地址数>=私网内终端总数,即一个私网内部,为了使用视讯业务,需要申请大量的公网地址,对于私网之间的互通,两方防火墙都需要配置静态NAT,代价较大。
●对防火墙的配置复杂,不仅需要在防火墙上对所有私网终端的IP地址做静态的一对一的地址映射,还需要打开静态映射后的公网IP地址的全部通信端口。
升级防火墙支持H.323ALG
将现网的防火墙/NAT升级为支持H.323ALG是另一个解决公私网问题的有效途径。升级后的防火墙/NAT设备能够解析H.323协议内容,对H.323协议的IP码流可以直接进行包头、包内IP地址转换,同时根据需要动态开放相关媒体流端口,在通话结束后又会自动关闭这些端口。既保证了网络安全,又能够建立正常的多媒体通信,使得企业内部局域网上的终端就象放在公网上一样,这样企业内部的终端就可以无障碍地与外部终端互通。
问题和局限性:
●所有需要实现互通的私网出口防火墙均需要升级为支持H.323ALG,网络出口需要改造,代价较大。
●对于视讯运营系统,需要改造所有网内企业客户的网络出口,难度较大,且设备放在企业用户网内,运营商无法统一维护。
华为视讯防火墙穿越解决方案
华为ViewPoint8000视讯系统充分考虑了用户侧网络情况,并结合用户组网实际情况,提供多样化的防火墙穿越解决方案,以满足不同的组网需求。除了提供上述两种通用的防火墙穿越方案,还根据视讯运营网和部分客户的组网情况,独家提供了全新的防火墙穿越解决方案,通过配置媒体汇接网关,有效地避免了通用方案中的局限性。
设置静态NAT
华为的所有终端可以直接配置静态NAT的对应地址,支持静态NAT穿越公私网方式。
配置QuidwayEudemon系列防火墙产品
华为公司的QuidwayEudemon系列防火墙(以下简称Eudemon),工作在三层以上协议,可以理解H.323协议内容,其对H.323协议的IP码流可以直接进行协议转换,使得企业内部局域网上的终端可以无障碍地与外部终端互通。(如图1所示)
假如用户侧网络已经有防火墙设备,这时也可以添加Eudemon作为H.323网关,主要用于对H.323的支持。此时,Eudemon网关的作用仅仅是对H.323协议的IP码流进行协议转换,对其他上网业务如HTTP、FTP等没有影响,Eudemon网关识别到这些非H.323协议的业务IP包时,会自动透明转发,不作任何处理,因此不影响防火墙的功能。
通过ACL规则在Eudemon上实现H.323应用过滤,即:H.323应用在Eudemon上完成NAT转换后,转发给防火墙;非H.323应用则直接转发到防火墙,由防火墙完成NAT转换。这样既可以使用户原有安全策略、上网方式保持不变,又不用更改用户原有私有网络。
假如用户网上还没有布设防火墙,Eudemon防火墙还可以作为标准的防火墙使用。
配置ViewPoint8520媒体汇接网关设备
ViewPoint8520是华为公司研发的专用解决公私网通信问题的媒体汇接网关(以下简称8520)。它可被放置在公网上,和ViewPointSwitchCentre配合,通过SNP协议,将所有私网内的终端呼叫均汇接到8520上面,不需要对用户内部网的网络出口做任何改造,即可实现不同私网内部、公私网之间的用户安全有效的互通。由于H.323协议需要占用多个端口,在穿越公私网时,需要消耗防火墙(或其它NAT设备)的端口资源,使用8520汇接平台可提供一种全新的防火墙穿越方案:受控的端口开放。在防火墙上为固定的端口开放到可信的IP地址。
具体组网方案如图2所示
采用8520媒体汇接网关方案有以下优势:
●8520在公私网间汇接H.323节点的信令和媒体流,所有企业网用户均不需要改造内部网网络出口,即能够实现公网和内部网、不同内部网之间的自由通信。
●8520支持端口收敛,可将H.323通信的大量动态端口收敛为几个固定端口,并且防火墙配置可针对指定IP地址(8520地址)开放这些端口,充分保障了用户内部网的安全性。
●实现多个企业内部网之间互通,只需要根据流量架设一台或多台8520,不需要考虑需要互通的内部网数目;
●对于视讯运营网络,8520可放置在公共网络上,由运营商统一维护,对于企业用户基本不可见,网关资源可以在多个企业用户中完全共享;
通过将ViewPoint8520作为媒体汇接网关,无论用户通过何种方式接入,都可以象在同一个网络中正常地进行多媒体通信。该方案有效地解决了困扰视讯运营的最大问题:私网和私网之间的互通,大大扩展了视讯用户的接入范围。
综述
综合分析上述三个公私网穿越解决方案,各有特点,适合不同用户组网情况下的应用。
静态NAT方案适用于一些小型企业在内部网终端数量很少,且又不希望改造网络出口的情况下使用。
配置Eudemon防火墙,适用于企业内部视频通信用,一般仅需要内部网和公网之间进行视频通信。
配置8520媒体汇接网关,适合视讯运营网络或有多个企业内部网需要互联互通的情况下使用。
华为公司凭着通过对网络的深刻理解,在保证安全的基础上,提供多样化的防火墙穿越解决方案供用户选择,相信每个用户都能够从中找到最适合自己组网情况的一种。
