2014年X月支持某局點項目交付。客戶采用H.460 單GK組網(wǎng)的方式來完成公私網(wǎng)穿越,如何組網(wǎng)?SMC2.0、GK、MCU、終端分別需要如何配置?
告警信息無
處理過程GK通過比較IP頭的源地址(經(jīng)過NAT的時候,可能會被更改)和協(xié)議字段中RAS(經(jīng)過NAT不會被更改)地址是否相同,來識別節(jié)點是否與GK位于同一網(wǎng)絡(luò),如果相同就認為節(jié)點位于同一網(wǎng)絡(luò),如果不同則與GK位于不同網(wǎng)絡(luò)。與GK位于不同網(wǎng)絡(luò)的兩個節(jié)點,GK通過判斷他們映射出來的IP(IP層源IP)是否相同來判斷它們是否在同一網(wǎng)絡(luò),相同則認為他們位于同一網(wǎng)絡(luò),不同則認為他們位于不同網(wǎng)絡(luò)。
如果GK能夠根據(jù)該原理自行判斷所有節(jié)點與呼叫是否位于同一網(wǎng)絡(luò)則不需要添加私網(wǎng)區(qū)域,否則需要通過添加私網(wǎng)區(qū)域來指定節(jié)點是否位于同一網(wǎng)絡(luò)。
原理二:GK未配置NAT地址時發(fā)給節(jié)點的都是GK本身的地址;GK在配置了NAT地址時,如果GK判斷節(jié)點與GK位于同一網(wǎng)絡(luò)則使用本端地址提供服務(wù);如果GK判斷節(jié)點與GK位于不同網(wǎng)絡(luò),則通過NAT地址來提供服務(wù)。
只有在GK啟用NAT時才需要分析是否需要配置“本地私網(wǎng)/Local private network”,未啟用NAT時不需要該配置。
我們需要分析GK能否對不同的節(jié)點給出正確的地址提供服務(wù)來判斷是否需要指定本地私網(wǎng)。GK在無法自行判斷或判斷錯誤時,我們需要將與該GK位于同一個網(wǎng)絡(luò)內(nèi)的節(jié)點IP區(qū)域、節(jié)點號、URL配置為“本地私網(wǎng)/Local private network”,非同一網(wǎng)絡(luò)不需要勾選該配置。
我們以方案A為例做說明:
i、FW/NAT-1做了私網(wǎng)到DMZ的動態(tài)映射,私網(wǎng)發(fā)給GK的包中IP頭源地址被FW/NAT-1修改,GK判斷私網(wǎng)節(jié)點與GK位于不同私網(wǎng);FW/NAT-2做了DMZ到公網(wǎng)的靜態(tài)映射,公網(wǎng)發(fā)給GK的包中IP頭源地址未被修改,GK判斷公網(wǎng)節(jié)點與GK位于同一私網(wǎng);FW/NAT-3做了A3到公網(wǎng)的靜態(tài)/動態(tài)映射,發(fā)給GK的包中IP頭源地址被修改,GK判斷該節(jié)點與GK位于不同私網(wǎng),且因為映射后的IP(IP層源IP)與私網(wǎng)終端映射后的IP不同,所以GK可以判斷A3與私網(wǎng)終端位于不同的網(wǎng)絡(luò)。在該方案中GK可以自行判斷私網(wǎng)、公網(wǎng)節(jié)點A1/A2、另一層防火墻后的A3節(jié)點位于不同網(wǎng)絡(luò),可以自行判斷是否要進行路由,因此不需要配置私網(wǎng)區(qū)域。
ii、在路由時GK判斷公網(wǎng)節(jié)點A1、A2與GK位于同一私網(wǎng),私網(wǎng)節(jié)點、A3節(jié)點與GK位于不同私網(wǎng)。GK會使用NAT地址給私網(wǎng)節(jié)點、A3節(jié)點提供服務(wù)、使用本身地址給公網(wǎng)節(jié)點A1、A2提供服務(wù)。該判斷是錯誤的,我們需要GK使用本身地址對私網(wǎng)終端提供服務(wù),使用NAT地址對公網(wǎng)節(jié)點A1/A2、另一層防火墻后的A3節(jié)點提供服務(wù),因此需要指定私網(wǎng)動態(tài)映射到DMZ的IP為本地私網(wǎng)。
私網(wǎng)區(qū)域與本地私網(wǎng)的配置如下:
i. 登陸SMC2.0系統(tǒng),進入GK界面。選擇某一個GK,點擊“GK名字”的鏈接;
ii. 找到Private Network Zone配置頁面,點擊“Add”,彈出的對話框,輸入?yún)^(qū)域名稱。 若GK與節(jié)點位于同一個私網(wǎng)內(nèi),需要勾選“本地私網(wǎng)/Local private network”;
iii. 添加后,點擊保存。有了名字,然后配置規(guī)則列表。選中添加好的私網(wǎng)區(qū)域的名稱,在下方的“規(guī)則列表/Rule List”中,添加一個或多個規(guī)則,確保這些規(guī)則圈定一組處于此私網(wǎng)的終端;
4、終端與MCU配置:
方案A中H.460 Server位于DMZ域,對內(nèi)通過H.460穿越FW/NAT-1的防火墻,對外使用靜態(tài)NAT地址提供服務(wù),因此MCU、T1、T2、T3都需要支持H.460,A1、A2不需要支持H.460,A3終端由于位于另一層防火墻之后也需要支持H.460;
方案B中H.460Server位于私網(wǎng),對內(nèi)通過私網(wǎng)地址提供服務(wù),對外通過靜態(tài)NAT地址提供服務(wù),SMC2.0V1R2的機制是不管私網(wǎng)終端跟GK之間有沒有防火墻,都當(dāng)成有防火墻來處理,此時GK無法判斷是否需要代理公私網(wǎng)穿越,因此私網(wǎng)MCU、T1、T2、T3、位于另一層防火墻之后的A3都需要支持H.460,純公網(wǎng)終端A1、A2不需要支持H.460;
方案C中H.460位于私網(wǎng),對內(nèi)通過H.460穿越FW/NAT-1的防火墻,對外通過公網(wǎng)地址提供服務(wù),因此MCU、T1、T2、T3都需要支持H.460,A1、A2不需要支持H.460,A3終端由于位于另一層防火墻之后也需要支持H.460。
根因組網(wǎng)方案與準備:
1、組網(wǎng)方案與需要客戶準備的IP:
i. 組網(wǎng)方案A,單GK組網(wǎng),GK放在在DMZ域:
組網(wǎng)中H.460 Server位于DMZ域,對內(nèi)通過H.460穿越FW/NAT-1的防火墻;對外使用靜態(tài)NAT地址提供服務(wù)。
需要客戶提供1個私網(wǎng)地址,作為SMC2.0的地址;需要1個DMZ地址,作為H.460 Server的業(yè)務(wù)地址;需要1個DMZ地址,SMC 2.0需要把7000端口靜態(tài)隱射到此地址上;需要1個公網(wǎng)地址,把H.460 Server處在DMZ的業(yè)務(wù)地址靜態(tài)映射到此公網(wǎng)地址。
ii. 組網(wǎng)方案B,單防火墻GK位于私網(wǎng):
需要2個私網(wǎng)地址,分別作為SMC2.0、GK 的地址;1個公網(wǎng)地址,把H.460 Server的私網(wǎng)地址靜態(tài)映射到此公網(wǎng)地址作為H.460在公網(wǎng)的業(yè)務(wù)地址。
iii.組網(wǎng)方案C,單防火墻GK位于公網(wǎng)(此方案由于GK直接放置公網(wǎng),安全風(fēng)險較大,盡量避免使用):
需要客戶提供1個私網(wǎng)地址,作為SMC2.0的地址;需要1個公網(wǎng)地址,作為H.460 Server的業(yè)務(wù)地址;需要1個公網(wǎng)地址,SMC 2.0需要把7000端口靜態(tài)隱射到此地址上,此地址可共用防火墻的公網(wǎng)地址(對外服務(wù)),無需額外分配。
2、私網(wǎng)與H.460Server之間防火墻FW/NAT-1配置:
i. 方案A中私網(wǎng)與DMZ之間防火墻做SMC2.0 IP的7000端口靜態(tài)映射;方案B中無FW/NAT-1,不需配置;方案C中私網(wǎng)與公網(wǎng)之間防火墻做SMC2.0 IP的7000端口靜態(tài)映射。這樣處于DMZ/公網(wǎng)的H.460 Server才能連接上SMC2.0。
ii. 私網(wǎng)到H.460Server所在網(wǎng)絡(luò)做動態(tài)映射,方案A中私網(wǎng)到DMZ域;方案B中無需配置;方案C中私網(wǎng)到公網(wǎng):
3、把H.460Server的地址靜態(tài)映射到公網(wǎng)IP作為H.460的公網(wǎng)業(yè)務(wù)地址,H.460Server與公網(wǎng)之間防火墻配置,方案A、方案B中FW/NAT-2,方案C中由于GK位于公網(wǎng),無需配置:
i. H.460Server到Internet
ii. Internet到H.460Server
4、防火墻關(guān)閉H.323ALG與協(xié)議檢查:
FW/NAT-1與FW/NAT-2都需要關(guān)閉H.323ALG與協(xié)議檢查等。
i. Cisco ASA系列防火墻上關(guān)閉H.323協(xié)議檢查的命令如下:
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect h323 h225
pixfirewall(config-pmap-c)#no inspect h323 ras
ii. Juniper 防火墻上關(guān)閉H.323ALG的方法如下:
命令行:
Unset alg h323 enable
Unset alg ras
Unset alg q931
Unset alg h245
或者Web界面:
業(yè)務(wù)配置:
1、導(dǎo)入獨立GK的license:
i. 申請GK的H.460 license(帶有穿越流量);
ii. 將其命名為“l(fā)icense_sc.dat”,放置在獨立GK的目錄下,默認路徑為“ D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”;
iii. 放置好license文件后無需重啟,等待1分鐘自動生效;
iv. 可通過SMC2.0上GK頁面確認是否生效,如下圖:
2、GK Server配置:
i. 打開GK Server的配置文件“gkcfg.ini”,默認路徑“D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”,修改“SM-IP”,方案A/C GK Server中修改為SMC2.0 IP 7000端口靜態(tài)映射到DMZ/公網(wǎng)的IP;方案B中修改為SMC2.0的私網(wǎng)IP。
ii. 登陸SMC2.0系統(tǒng),進入GK界面。選擇某一個GK,點擊編輯按鈕;
iii. 在彈出的修改GK對話框中點擊“其他參數(shù)/other parameters”按鈕;
iv. 勾選“啟用H.460/enable H.460”和“啟用媒體網(wǎng)關(guān)/enable media gateway”,其他參數(shù)默認;
v. 啟用媒體端口復(fù)用功能,勾選“啟用端口復(fù)用/enable port reuse”(可選,可減少防火墻端口數(shù)量);
vi.方案A/B中 GK Server需要啟用NAT,并配置GK Server的NAT地址,方案C中GKServer處于公網(wǎng)無需配置:
3、添加私網(wǎng)區(qū)域(根據(jù)實際情況分析GK是否需要配置):
原理一:GK通過判斷節(jié)點是否位于同一網(wǎng)絡(luò),來決定是否路由兩個節(jié)點間的信令和媒體,同一網(wǎng)絡(luò)的呼叫,GK不路由信令和媒體,跨網(wǎng)絡(luò)的呼叫,則路由。
建議與總結(jié)視訊項目交付中涉及防火墻穿越的局點較多,希望本案例對于其他局點涉及SMC2.0 H.460 單GK組網(wǎng)、防火墻ALG關(guān)閉的配置起到幫助。
