公私网穿越配置专题.docx

公私网穿越配置专题.docx

《公私网穿越配置专题.docx》由会员分享，可在线阅读，更多相关《公私网穿越配置专题.docx（54页珍藏版）》请在冰豆网上搜索。

公私网穿越配置专题

HUAWEISMC2.0

V100R003C10

公私网穿越配置专题

文档版本

01

发布日期

2014-11-30

华为技术有限公司

版权所有©华为技术有限公司2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：

深圳市龙岗区坂田华为总部办公楼邮编：

518129

网址：

目录

1前言1

2概述3

2.1认识公私网穿越3

2.2基本概念5

2.3方案比较5

3SC骑墙组网7

3.1场景描述7

3.2数据规划8

3.3配置过程8

3.4结果验证14

4单SC组网15

4.1场景描述15

4.2数据规划16

4.3配置过程18

4.4结果验证28

5双SC组网29

5.1场景描述29

5.2数据规划30

5.3配置过程32

5.4结果验证48

6故障处理49

6.1双SC组网下，H.323保活失败49

6.2双SC组网下，SIP保活失败49

6.3公网和私网设备不能互通媒体50

6.4DMZ区域vlan2网段的设备不能互通媒体50

A如何判断SC是否进行媒体路由52

1前言

概述

本文档详细介绍视讯组网中的公私网穿越方案，包括组网的应用场景、不同组网的比较、组网的配置过程和验证。

读者对象

本文档主要适用于以下工程师：

●技术支持工程师

●维护工程师

符号约定

在本文中可能出现下列标志，它们所代表的含义如下。

符号

说明

用于警示紧急的危险情形，若不避免，将会导致人员死亡或严重的人身伤害。

用于警示潜在的危险情形，若不避免，可能会导致人员死亡或严重的人身伤害。

用于警示潜在的危险情形，若不避免，可能会导致中度或轻微的人身伤害。

用于传递设备或环境安全警示信息，若不避免，可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。

“注意”不涉及人身伤害。

用于突出重要/关键信息、最佳实践和小窍门等。

“说明”不是安全警示信息，不涉及人身、设备及环境伤害信息。

修订记录

修改记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

文档版本01（2014-11-13）

第一次正式发布。

2概述

2.1认识公私网穿越

为了保证网络安全，通常企业会部署自己的私有网络，与公众访问的网络（Internet）分离，并在网络的边界部署防火墙，用于保护企业私网免受外部网络的攻击和入侵，如图2-1。

图2-1公私网示意图

防火墙在网络边界的隔离作用主要体现为以下两点：

●阻止网络中的各种攻击报文通过。

●允许网络中的正常通信报文通过。

企业规划网络时，会在防火墙上划分不同等级的安全区域，每个安全区域通过接口与实际网络对应，从而实现防火墙对不同网络的区分和隔离。

当报文在不同的安全区域之间流动时，触发防火墙进行安全检查。

企业防火墙通常会划分三个安全区域，分别为Trust、DMZ（DemilitarizedZone）、Untrust，如图2-2所示。

图2-2防火墙安全区域划分

●Trust区域：

该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。

●DMZ区域：

该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。

该内部服务器需要为外部用户提供业务服务，如SC、RSE6500。

●Untrust：

该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。

为了更清晰的体现防火墙安全区域在视讯组网中的应用，下面将图2-2中的安全区域改画至如图2-3所示的组网中。

图2-3视讯设备部署示意图

企业部署视讯系统时，建议将业务管理和媒体处理的核心服务器部署在企业私网中，将SC和RSE6500部署在DMZ中。

通过在企业防火墙开放对应的通信端口，可实现公网和私网设备的互通。

●SC在视讯系统中具有网络交换功能，需要同时为公网和私网中的设备提供地址解析、接入控制等服务。

●RSE6500是视讯系统中的录播服务器，需要同时为公网和私网用户提供直播和点播服务。

2.2基本概念

安全区域

企业通常在防火墙上划分三个安全区域来定义实际网络的安全级别，安全级别排序为Trust>DMZ>Untrust。

inbound/outbound

数据在防火墙不同安全级别的区域间传输的方向，分别如图4-2和图5-2所示。

●入方向（inbound）：

数据从低级别的安全区域向高级别的安全区域传输。

●出方向（outbound）：

数据从高级别的安全区域向低级别的安全区域传输。

SC管理IP/业务IP

●管理IP（manage-ip）：

用于管理SC的IP地址，如通过SMC2.0管理SC、通过SSH工具接入SC。

●业务IP（service-ip）：

SC对外提供注册和呼叫业务时使用的IP地址。

穿越流量

穿越流量是指通过SC转发的媒体带宽大小。

穿越流量通过SC的License控制，在SMC2.0的Web界面，单击SC的名称，可进入“SC详细信息”页签，查看“最大穿越流量”和“已使用穿越流量”。

2.3方案比较

了解不同方案的安全性和部署的复杂度，有利于您根据局点实际情况规划具体的公私网穿越方案。

视讯系统目前支持三种典型公私网穿越部署方案：

SC骑墙、单SC组网、双SC组网。

三种组网方案的比较结果如表2-1所示。

表2-1方案比较

方案

说明

SC骑墙

部署简单，对私网中的设备无特殊要求，该方案下通信数据不经过防火墙。

单SC组网

部署复杂，在防火墙上需要开放较多端口，私网中的H.323设备必须支持H.460，SIP设备支持首包学习。

双SC组网

部署复杂，在防火墙上开放少量端口，对私网中的设备无特殊要求，安全性高，为推荐方案。

3SC骑墙组网

3.1场景描述

骑墙即同一服务器同时处理两个网络的数据，且数据不通过防火墙。

SC骑墙的原理是：

安装SC的服务器通过两个物理网卡接入到不同网络，SC可以同时监听和处理两个网络的信令。

同时，SC对两个网络的媒体进行转发，实现网络互通。

图3-1SC骑墙

SC骑墙组网方案适用的场景具备以下特点：

●企业在公网和私网均部署了视讯设备，且多数设备部署在私网中。

●公网与私网设备之间的通信由SC转发，通信数据不经过防火墙。

●无需在防火墙开放端口，组网简单易用，可快速实现公私网穿越部署。

●部署单SC，建设成本较低。

3.2数据规划

SC骑墙组网下，请规划各设备的IP地址。

各设备的IP规划示例如表3-1所示。

表3-1IP地址规划

网段

IP示例

私网：

192.168.*.*

SClan1口：

192.168.100.96

SMC2.0：

192.168.100.90

MCU：

192.168.2.16

私网会场：

192.168.37.5

公网：

1.2.*.*

SClan2口：

1.2.100.96

公网会场：

1.2.3.4

SC的lan1口和lan2口分别对应服务器背部的网口1和网口2。

预安装和使用“iso”安装包安装SC，网口对应的缺省IP有如下差异：

●预安装SC：

网口1和网口2均有缺省IP，具体IP值请参见随服务器发货的“预安装报告”。

●使用“iso”安装包安装SC：

网口1有缺省IP，缺省值为“192.168.1.100”。

如果将SC服务器的两个网口均接入实际网络中，SC缺省仅将网口1的IP地址识别为管理IP。

客户端必须接入网口1所在网段，并通过SSH工具连接网口1对应的缺省IP。

如果仅将SC服务器的一个网口接入实际网络中，SC将接入网口的IP地址识别为管理IP。

3.3配置过程

在SC骑墙组网下，请完成以下配置：

配置SC、在SMC2.0中添加SC、配置私网MCU、配置私网会场、配置公网会场。

前提条件

●已申请和获取License文件，SC的License申请操作请参见《HUAWEISC快速配置指南》。

●将设备按表3-1的规划接入实际网络。

下文在介绍如何配置私网和公网设备时，仅介绍公私网穿越场景下的配置要求。

如果您不熟悉设备的基本配置，请参见《HUAWEISMC2.0配置指南》。

配置SC

步骤1通过SSH工具登录SC。

步骤2将SC的lan1和lan2分别配置成已规划的私网和公网的IP地址。

system-viewsys-confignetwork-configlan1ipv4address192.168.100.96netmask255.255.0.0gateway192.168.0.1

system-viewsys-confignetwork-configlan2ipv4address1.2.100.96netmask255.255.0.0gateway1.2.0.1

步骤3执行reboot命令重启SC，重启后使用修改后的lan1或lan2口IP登录。

步骤4检查SC的管理IP，请确认仅将私网IP设置成管理IP。

displaymanage-ip

192.168.100.96

TotalItemNum:

1

如果SC的管理IP不正确，请添加正确的IP，添加操作如下：

system-viewsys-configsecurity-configmanage-ipaddip192.168.100.96

如果SC识别了多个IP为管理IP，请删除多余IP，删除操作如下：

system-viewsys-configsecurity-configmanage-ipdeleteip1.2.100.96

步骤5检查SC的业务IP，请确认将公网和私网IP同时设置成业务IP。

displayservice-ip

192.168.100.96

1.2.100.96

TotalItemNum:

2

如果SC未识别两个IP为业务IP，请添加遗漏的IP，添加操作如下：

system-viewsys-configsecurity-configservice-ipaddip1.2.100.96

步骤6将lan2口配置为默认路由端口。

system-viewsys-confignetwork-configdefault-routelanlan2

步骤7执行reboot命令重启SC使配置生效。

----结束

在SMC2.0中添加SC

步骤1登录SMC2.0的Web界面。

步骤2选择“设备>SC”，单击“添加SC”。

步骤3在“IP地址”中输入SC的私网IP，单击“下一步”。

用于连接认证的“用户名”和“密码”请保持缺省值，您可以参考《SMC2.0安全维护》修改密码。

步骤4填写SC的“名称”，如图3-2所示。

图3-1添加SC

步骤5单击“添加”。

在SC列表中，添加的SC为在线状态，显示为

。

步骤6单击SC的名称，进入SC详细信息页面。

步骤7单击“导入License”，浏览并选择SC的License文件，单击“上传”。

SC的License状态显示为“正常”。

----结束

配置私网MCU

请在SMC2.0中添加可管理MCU，并将MCU注册到上文描述的SC上，注册的地址选择SC的私网IP，如图3-3所示。

图3-1配置私网MCU

配置私网会场

请依据会场型号作判断，在SMC2.0中将私网会场添加为可管理会场或不可管理会场，并将会场注册到上文描述的SC上，注册的地址选择SC的私网IP，如图3-4所示。

图3-1配置私网会场

配置公网会场

请在SMC2.0中将公网会场添加为不可管理会场，并将会场注册到上文描述的SC上，注册的地址选择SC的公网IP，如图3-5和图3-6所示。

图3-1在SMC2.0添加会场

图3-2会场注册

3.4结果验证

在SMC2.0中调度一个包含私网会场和公网会场在内的视频会议，验证SC骑墙方案是否配置成功。

步骤1登录SMC2.0的Web界面。

步骤2选择“会议>新建会议”。

步骤3填写会议基本信息，将“主MCU”选择为已配置的MCU，添加公网和私网会场，如图3-7所示。

图3-1预约会议

步骤4单击“高级参数”，设置录播参数，如图3-8所示，单击“返回”。

图3-1设置录播参数

步骤5单击“预约会议”。

会议预约成功，公网和私网会场成功加入会议，会议管理员可以进行会议控制操作。

----结束

4单SC组网

4.1场景描述

单SC部署时，SC同时为公网和私网设备提供服务。

通过在DMZ区域划分两个网段，并将SC的两个物理网卡分别接入到两个网段中，使一个网段中的业务IP为私网设备提供服务，另一个网段的业务IP通过NAT映射到公网，为公网设备提供服务。

公网和私网设备间的通信、RSE6500和公私网设备间的通信，通过SC进行信令和媒体路由。

图4-1单SC组网

单SC组网方案适用的场景具备以下特点：

●企业在公网和私网均部署了视讯设备，且多数设备部署在私网中。

●私网中的H.323设备支持H.460，SIP设备支持首包学习。

首包学习：

当私网中的SIP设备作为媒体的接收者时，需要主动向SC先发送媒体包，供SC学习目的地址和端口号。

该功能主要应用于公网设备呼叫私网设备，且发送演示的场景。

●MCU同时以H.323和SIP方式注册SC，支持H.323终端和SIP终端同时加入多点会议。

●SC部署在DMZ区域，在组网上与私网和公网均隔离，提升了企业私网的安全性。

●RSE6500部署在DMZ区域，同时为私网和公网用户提供直播和点播业务。

●在防火墙开放相应端口以实现SC与设备间的数据互通。

●部署单SC，建设成本较低。

4.2数据规划

单SC部署于DMZ组网下，请按组网要求开放防火墙上对应端口，并规划各设备的IP地址。

防火墙的端口开放规则如图4-2所示。

图4-1防火墙端口开放规则

防火墙端口开放说明如下：

●如果组网中仅部署H.323设备，则仅需配置规则1～12、17～20、26～33。

●如果私网和公网会场均支持媒体端口复用，请配置规则16、25、38，无需配置规则12、20、33。

●如果组网中同时部署H.323设备和SIP设备，请配置所有规则。

●规则5、6、28、29中描述的端口号在RSE6500的Web管理界面可自行配置，配置入口为“系统管理>系统配置>网络配置>端口配置”，请与界面配置的值保持一致。

各设备的IP规划示例如表4-1所示。

表4-1IP地址规划

网段

IP示例

Trust：

192.168.*.*

SMC2.0：

192.168.100.90

MCU：

192.168.2.16

私网会场：

192.168.37.5

DMZ

vlan1：

172.16.*.*

SClan1口：

172.16.100.96

RSE6500：

172.16.15.50

vlan2：

172.17.*.*

SClan2口：

172.17.100.96

Untrust：

1.2.*.*

SClan2口的静态映射IP：

1.2.100.96

RSE6500的静态映射IP：

1.2.15.50

公网会场：

1.2.3.4

SC的lan1口和lan2口分别对应服务器背部的网口1和网口2。

预安装和使用“iso”安装包安装SC，网口对应的缺省IP有如下差异：

●预安装SC：

网口1和网口2均有缺省IP，具体IP值请参见随服务器发货的“预安装报告”。

●使用“iso”安装包安装SC：

网口1有缺省IP，缺省值为“192.168.1.100”。

如果将SC服务器的两个网口均接入实际网络中，SC缺省仅将网口1的IP地址识别为管理IP。

客户端必须接入网口1所在网段，并通过SSH工具连接网口1对应的缺省IP。

如果仅将SC服务器的一个网口接入实际网络中，SC将接入网口的IP地址识别为管理IP。

4.3配置过程

单SC组网下，请完成以下配置：

配置SC、在SMC2.0中添加SC、配置私网MCU、配置私网会场、配置RSE6500、配置公网会场。

前提条件

●已申请和获取License文件，SC的License申请操作请参见《HUAWEISC快速配置指南》。

●在防火墙上按图4-2的规划开放相应端口。

●按表4-1的规划，配置SC的lan2口到Untrust的静态映射，配置RSE6500从DMZ到Untrust的静态映射。

●将设备按表4-1的规划接入实际网络。

下文在介绍如何配置私网和公网设备时，仅介绍公私网穿越场景下的配置要求。

如果您不熟悉设备的基本配置，请参见《HUAWEISMC2.0配置指南》。

配置SC

步骤1通过SSH工具登录SC。

步骤2将SC的lan1和lan2分别配置成已规划的vlan1和vlan2网段的IP地址。

system-viewsys-confignetwork-configlan1ipv4address172.16.100.96netmask255.255.0.0gateway172.16.0.1

system-viewsys-confignetwork-configlan2ipv4address172.17.100.96netmask255.255.0.0gateway172.17.0.1

步骤3执行reboot命令重启SC，重启后使用修改后的lan1或lan2口IP登录。

步骤4检查SC的管理IP，请确认仅将lan1口的IP设置成管理IP。

displaymanage-ip

172.16.100.96

TotalItemNum:

1

如果SC的管理IP不正确，请添加正确的IP，添加操作如下：

system-viewsys-configsecurity-configmanage-ipaddip172.16.100.96

如果SC识别了多个IP为管理IP，请删除多余IP，删除操作如下：

system-viewsys-configsecurity-configmanage-ipdeleteip172.17.100.96

步骤5检查SC的业务IP，请确认将lan1口和lan2口的IP同时设置成业务IP。

displayservice-ip

172.16.100.96

172.17.100.96

TotalItemNum:

2

如果SC未识别两个IP为业务IP，请添加遗漏的IP，添加操作如下：

system-viewsys-configsecurity-configservice-ipaddip172.17.100.96

步骤6将lan2口配置为默认路由端口。

system-viewsys-confignetwork-configdefault-routelanlan2

步骤7配置lan1口到Trust区域的静态路由。

system-viewstatic-routeadddest-address192.168.0.0mask-or-prefix255.255.0.0network-portlan1

如果Trust区域规划了多个网段，请逐一配置lan1口到多个网段的静态路由。

步骤8配置lan2口到Untrust区域的NAT静态映射。

system-viewsys-confignetwork-configlan2ipv4-natenabletrueaddress1.2.100.96

步骤9执行reboot命令重启SC使配置生效。

----结束

在SMC2.0中添加SC

步骤1登录SMC2.0的Web界面。

步骤2选择“设备>SC”，单击“添加SC”。

步骤3在“IP地址”中输入SC的lan1口IP，单击“下一步”。

用于连接认证的“用户名”和“密码”请保持缺省值，您可以参考《SMC2.0安全维护》修改密码。

步骤4填写SC的“名称”，开启SC的公私网穿越功能，如图4-3所示。

图4-1添加SC

●H.460功能需在导入License后才能开启。

●如果私网设备支持端口复用，则SC与其进行媒体交互时将使用复用端口。

步骤5单击“添加”。

在SC列表中，添加的SC为在线状态，显示为

。

步骤6单击SC的名称，进入SC详细信息页面。

步骤7单击“导入License”，浏览并选择SC的License文件，单击“上传”。

SC的License状态显示为“正常”。

----结束

配置私网MCU

步骤1登录MCU的Web界面，选择“设备管理>H323/SIP配置>H.460配置”，开启H.460功能，如图4-4所示。

图4-1开启H.460功能

步骤2在SMC2.0中添加可管理MCU，并将MCU注册到上文描述的SC上，注册的地址选择SC的lan1口IP，如图4-5所示。

图4-1配置私网MCU

----结束

配置私网会场

步骤1登录会场的Web界面，选择“系统配置>网络>防火墙”，开启H.460功能，如图4-6所示。

图4-1开启H.460功能

步骤2请依据会场型号作判断，在SMC2.0中将私网会场添加为可管理会场或不可管理会场，并将会场注册到上文描述的SC上，注册的地址选择SC的lan1口IP，如图4-7所示。

图4-1配置私网会场

----结束

配置RSE6500

在SMC2.0中添加RSE6500，并将RSE6500注册到上文描述的SC上，注册的地址选择SC的lan1口IP，如图4-8至图4-10所示。

图4-1在SMC2.0添加RSE6500

图4-2注册GK

图4-3注册SIP服务器

配置公网会场

请在SMC2.0中将公网会场添加为不可管理会场，并将会场注册到上文描述的SC上，注册的地址选择SC在Untrust区域的静态映射地址，如图4-11和图4-12所示。

图4-1在SMC2.0添加会场

图4-2会场注册

4.4结果验证

在SMC2.0中调度一个包含私网会场和公网会场在内的视频会议，验证SC骑墙方案是否配置成功。

步骤1登录SMC2.0的Web界面。

步骤2选择“会议>新建会