关键词:ME5000 NAT FW 网闸 多网段接入
摘 要:本文档描述了ME5000多网段接入技术,解决了视讯会议系统在NAT/FW或者网闸环境下的建网问题。
缩略语清单:
缩略语 | 英文全名 | 中文解释 |
NAT | Network Address Translation | 网络地址转换 |
FW | FireWall | 防火墙 |
|
|
|
在“效率至上”的信息社会中,企事业单位通过视讯系统,进行协同工作时既可听到对方的声音,又可看到对方的图像,大大增强了沟通的效果,在节约宝贵的时间、精力和金钱的同时,又提高了企业的管理和决策效率,充分发挥出视讯会议真实、高效、实时的优点,为人们提供了一种简便而有效的协同工作手段。
上世纪90年代中期以来,计算机互联网的飞速发展对电信业产生了巨大而深刻的影响,在IP网上基于包交换网络的视音频通信技术逐渐成为通信技术发展的方向。Internet工程任务组(IETF)开发出实时传输协议(RTP)、资源预留协议(RSVP)等。基于IP网络的ITU-T H.323建议的形成,标志着视频通信正式进入了一个全新时代。
但是由于网络规划的原因,在IP网络中搭建视讯会议的时候会碰到以下网络状况而影响视讯会议的正常通信:
1、 NAT 防火墙
由于很多企事业单位会在单位的内外网布置视讯会议系统,这时NAT会成为一个很常见的问题。
由于NAT内部即单位局域网内终端的IP地址是私有的,对局域网外来说是不可路由的,因此NAT内部的终端不能接收局域网外终端的呼叫。
即使NAT内的终端可以向NAT外的终端发起呼叫,也仍然存在问题。当进行呼叫时,发起呼叫的终端A(位于NAT内网)的IP地址会包含在数据包报文中,根据H.323协议被呼叫的终端B(位于NAT外网)收到呼叫建立(call setup)数据包后,会从该数据包报文中获取A的IP地址,并开始发送视音频数据到这个IP地址的A。由于这个IP地址是私有的,Internet路由器将丢弃从外部终端发送往内部终端的视音频数据包,因为这些数据包正被送往一个不可路由的IP地址。此时我们看到的现象是A、B之间的呼叫已经建立,但A将永远不会收到网外B的视音频流。
2、 网闸
在企事业单位不同区域被物理隔绝,当必要时被隔绝区域会通过网闸允许部分必要工作流数据通过,同时网闸会对通过的数据进行限制,如不允许UDP包通过、不允许非工作流数据通过等等,平时网闸处于打开状态,这样显然会导致MCU与终端之间由于没有正常链路而无法进行通讯。
解决上述影响视讯会议通讯的最好且最简单的办法就是避免使用它们,华为3COM技术有限公司根据这一理念提出了MCU的多网段接入技术,并把技术应用于新一代MCU---ME5000。
ME5000提供3个1000M业务网口,这3个网口可以跨越在不同的网段上,实现公、私网或者隔绝网络的穿越,同时也可以为用户提供网络负载均衡的功能。在存在防火墙的环境中,可以把ME5000的两个网口分别布置在防火墙的两侧,连接内、外网的视讯终端,从而可以直接绕过防火墙进行开会,而不影响其它数据业务的安全,内、外网进出数据业务时仍然会通过防火墙,网络安全保护作用不受影响。
ME5000在设计阶段对于网络安全有以下几方面的考虑:
1、 ME5000采用嵌入式操作系统,这样可以比较有效防范病毒的入侵;
2、 ME5000仅打开召开视讯会议必须的端口,如视频通讯端口、音频通讯端口等等;
3、 ME5000在召开会议时收到非视讯会议的数据时会选择丢弃;
4、 ME5000各个网口之间不允许通过IP路由直接连通,网口之间的视讯会议数据交互通过ME5000内置核心处理器来进行过滤转发,不允许非法数据流通过。
ME5000把两个网口分别跨越在内、外网,平时工作数据流通过NAT/FW设备来流动,NAT/FW设备可以保障这些数据流的安全性;而视讯会议的视音频流没有通过NAT/FW设备而直接与ME5000进行交互正常进行视讯会议,同时ME5000会拒绝其它非视讯会议数据的访问。
ME5000把两个网口分别跨越在两个具有不同安全区的网络内,这两个网络通过网闸相对隔离,网闸只允许平时必要工作数据流通过而会拒绝视讯会议数据通过,视讯会议的视音频流直接与ME5000进行交互正常进行视讯会议,同时ME5000会拒绝其它非视讯会议数据的访问。
ME5000可以使用3个业务网口满足特殊网络的建网问题,在不改动目前已经建立好的网络平台基础上实现视讯会议,能够协助用户的网络平台实现平滑升级,保护用户的前期投资不受损失。
