2014年X月支持某局點項目交付?？蛻舨捎肏.460 單GK組網(wǎng)的方式來完成公私網(wǎng)穿越，如何組網(wǎng)？SMC2.0、GK、MCU、終端分別需要如何配置？

 告警信息

無

 處理過程

GK通過比較IP頭的源地址（經(jīng)過NAT的時候，可能會被更改）和協(xié)議字段中RAS（經(jīng)過NAT不會被更改）地址是否相同，來識別節(jié)點是否與GK位于同一網(wǎng)絡，如果相同就認為節(jié)點位于同一網(wǎng)絡，如果不同則與GK位于不同網(wǎng)絡。與GK位于不同網(wǎng)絡的兩個節(jié)點，GK通過判斷他們映射出來的IP（IP層源IP）是否相同來判斷它們是否在同一網(wǎng)絡，相同則認為他們位于同一網(wǎng)絡，不同則認為他們位于不同網(wǎng)絡。
如果GK能夠根據(jù)該原理自行判斷所有節(jié)點與呼叫是否位于同一網(wǎng)絡則不需要添加私網(wǎng)區(qū)域，否則需要通過添加私網(wǎng)區(qū)域來指定節(jié)點是否位于同一網(wǎng)絡。
原理二：GK未配置NAT地址時發(fā)給節(jié)點的都是GK本身的地址；GK在配置了NAT地址時，如果GK判斷節(jié)點與GK位于同一網(wǎng)絡則使用本端地址提供服務；如果GK判斷節(jié)點與GK位于不同網(wǎng)絡，則通過NAT地址來提供服務。
只有在GK啟用NAT時才需要分析是否需要配置“本地私網(wǎng)/Local private network”，未啟用NAT時不需要該配置。
我們需要分析GK能否對不同的節(jié)點給出正確的地址提供服務來判斷是否需要指定本地私網(wǎng)。GK在無法自行判斷或判斷錯誤時，我們需要將與該GK位于同一個網(wǎng)絡內的節(jié)點IP區(qū)域、節(jié)點號、URL配置為“本地私網(wǎng)/Local private network”，非同一網(wǎng)絡不需要勾選該配置。
我們以方案A為例做說明：
i、FW/NAT-1做了私網(wǎng)到DMZ的動態(tài)映射，私網(wǎng)發(fā)給GK的包中IP頭源地址被FW/NAT-1修改，GK判斷私網(wǎng)節(jié)點與GK位于不同私網(wǎng)；FW/NAT-2做了DMZ到公網(wǎng)的靜態(tài)映射，公網(wǎng)發(fā)給GK的包中IP頭源地址未被修改，GK判斷公網(wǎng)節(jié)點與GK位于同一私網(wǎng)；FW/NAT-3做了A3到公網(wǎng)的靜態(tài)/動態(tài)映射，發(fā)給GK的包中IP頭源地址被修改，GK判斷該節(jié)點與GK位于不同私網(wǎng)，且因為映射后的IP（IP層源IP）與私網(wǎng)終端映射后的IP不同，所以GK可以判斷A3與私網(wǎng)終端位于不同的網(wǎng)絡。在該方案中GK可以自行判斷私網(wǎng)、公網(wǎng)節(jié)點A1/A2、另一層防火墻后的A3節(jié)點位于不同網(wǎng)絡，可以自行判斷是否要進行路由，因此不需要配置私網(wǎng)區(qū)域。
ii、在路由時GK判斷公網(wǎng)節(jié)點A1、A2與GK位于同一私網(wǎng)，私網(wǎng)節(jié)點、A3節(jié)點與GK位于不同私網(wǎng)。GK會使用NAT地址給私網(wǎng)節(jié)點、A3節(jié)點提供服務、使用本身地址給公網(wǎng)節(jié)點A1、A2提供服務。該判斷是錯誤的，我們需要GK使用本身地址對私網(wǎng)終端提供服務，使用NAT地址對公網(wǎng)節(jié)點A1/A2、另一層防火墻后的A3節(jié)點提供服務，因此需要指定私網(wǎng)動態(tài)映射到DMZ的IP為本地私網(wǎng)。
私網(wǎng)區(qū)域與本地私網(wǎng)的配置如下：
i. 登陸SMC2.0系統(tǒng)，進入GK界面。選擇某一個GK，點擊“GK名字”的鏈接；
ii. 找到Private Network Zone配置頁面，點擊“Add”，彈出的對話框，輸入?yún)^(qū)域名稱。 若GK與節(jié)點位于同一個私網(wǎng)內，需要勾選“本地私網(wǎng)/Local private network”；

iii. 添加后，點擊保存。有了名字，然后配置規(guī)則列表。選中添加好的私網(wǎng)區(qū)域的名稱，在下方的“規(guī)則列表/Rule List”中，添加一個或多個規(guī)則，確保這些規(guī)則圈定一組處于此私網(wǎng)的終端；

4、終端與MCU配置：
方案A中H.460 Server位于DMZ域，對內通過H.460穿越FW/NAT-1的防火墻，對外使用靜態(tài)NAT地址提供服務，因此MCU、T1、T2、T3都需要支持H.460，A1、A2不需要支持H.460，A3終端由于位于另一層防火墻之后也需要支持H.460；
方案B中H.460Server位于私網(wǎng)，對內通過私網(wǎng)地址提供服務，對外通過靜態(tài)NAT地址提供服務，SMC2.0V1R2的機制是不管私網(wǎng)終端跟GK之間有沒有防火墻，都當成有防火墻來處理，此時GK無法判斷是否需要代理公私網(wǎng)穿越，因此私網(wǎng)MCU、T1、T2、T3、位于另一層防火墻之后的A3都需要支持H.460，純公網(wǎng)終端A1、A2不需要支持H.460；
方案C中H.460位于私網(wǎng)，對內通過H.460穿越FW/NAT-1的防火墻，對外通過公網(wǎng)地址提供服務，因此MCU、T1、T2、T3都需要支持H.460，A1、A2不需要支持H.460，A3終端由于位于另一層防火墻之后也需要支持H.460。

 根因

組網(wǎng)方案與準備：
1、組網(wǎng)方案與需要客戶準備的IP：
i. 組網(wǎng)方案A，單GK組網(wǎng)，GK放在在DMZ域：

組網(wǎng)中H.460 Server位于DMZ域，對內通過H.460穿越FW/NAT-1的防火墻；對外使用靜態(tài)NAT地址提供服務。
需要客戶提供1個私網(wǎng)地址，作為SMC2.0的地址；需要1個DMZ地址，作為H.460 Server的業(yè)務地址；需要1個DMZ地址，SMC 2.0需要把7000端口靜態(tài)隱射到此地址上；需要1個公網(wǎng)地址，把H.460 Server處在DMZ的業(yè)務地址靜態(tài)映射到此公網(wǎng)地址。

ii. 組網(wǎng)方案B，單防火墻GK位于私網(wǎng)：

需要2個私網(wǎng)地址，分別作為SMC2.0、GK 的地址；1個公網(wǎng)地址，把H.460 Server的私網(wǎng)地址靜態(tài)映射到此公網(wǎng)地址作為H.460在公網(wǎng)的業(yè)務地址。
iii.組網(wǎng)方案C，單防火墻GK位于公網(wǎng)（此方案由于GK直接放置公網(wǎng)，安全風險較大，盡量避免使用）：

需要客戶提供1個私網(wǎng)地址，作為SMC2.0的地址；需要1個公網(wǎng)地址，作為H.460 Server的業(yè)務地址；需要1個公網(wǎng)地址，SMC 2.0需要把7000端口靜態(tài)隱射到此地址上，此地址可共用防火墻的公網(wǎng)地址（對外服務），無需額外分配。

2、私網(wǎng)與H.460Server之間防火墻FW/NAT-1配置：
i. 方案A中私網(wǎng)與DMZ之間防火墻做SMC2.0 IP的7000端口靜態(tài)映射；方案B中無FW/NAT-1，不需配置；方案C中私網(wǎng)與公網(wǎng)之間防火墻做SMC2.0 IP的7000端口靜態(tài)映射。這樣處于DMZ/公網(wǎng)的H.460 Server才能連接上SMC2.0。

ii. 私網(wǎng)到H.460Server所在網(wǎng)絡做動態(tài)映射，方案A中私網(wǎng)到DMZ域；方案B中無需配置；方案C中私網(wǎng)到公網(wǎng)：

3、把H.460Server的地址靜態(tài)映射到公網(wǎng)IP作為H.460的公網(wǎng)業(yè)務地址，H.460Server與公網(wǎng)之間防火墻配置，方案A、方案B中FW/NAT-2，方案C中由于GK位于公網(wǎng)，無需配置：
i. H.460Server到Internet

ii. Internet到H.460Server

4、防火墻關閉H.323ALG與協(xié)議檢查：
FW/NAT-1與FW/NAT-2都需要關閉H.323ALG與協(xié)議檢查等。
i. Cisco ASA系列防火墻上關閉H.323協(xié)議檢查的命令如下：
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect h323 h225
pixfirewall(config-pmap-c)#no inspect h323 ras
ii. Juniper 防火墻上關閉H.323ALG的方法如下：
命令行：
Unset alg h323 enable
Unset alg ras
Unset alg q931
Unset alg h245
或者Web界面：

業(yè)務配置：

1、導入獨立GK的license：
i. 申請GK的H.460 license（帶有穿越流量）；
ii. 將其命名為“l(fā)icense_sc.dat”，放置在獨立GK的目錄下，默認路徑為“ D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”；

iii. 放置好license文件后無需重啟，等待1分鐘自動生效；
iv. 可通過SMC2.0上GK頁面確認是否生效，如下圖：

2、GK Server配置：
i. 打開GK Server的配置文件“gkcfg.ini”，默認路徑“D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”，修改“SM-IP”，方案A/C GK Server中修改為SMC2.0 IP 7000端口靜態(tài)映射到DMZ/公網(wǎng)的IP；方案B中修改為SMC2.0的私網(wǎng)IP。

ii. 登陸SMC2.0系統(tǒng)，進入GK界面。選擇某一個GK，點擊編輯按鈕；
iii. 在彈出的修改GK對話框中點擊“其他參數(shù)/other parameters”按鈕；

iv. 勾選“啟用H.460/enable H.460”和“啟用媒體網(wǎng)關/enable media gateway”，其他參數(shù)默認；
v. 啟用媒體端口復用功能，勾選“啟用端口復用/enable port reuse”(可選，可減少防火墻端口數(shù)量)；

vi.方案A/B中 GK Server需要啟用NAT，并配置GK Server的NAT地址，方案C中GKServer處于公網(wǎng)無需配置：

3、添加私網(wǎng)區(qū)域（根據(jù)實際情況分析GK是否需要配置）：
原理一：GK通過判斷節(jié)點是否位于同一網(wǎng)絡，來決定是否路由兩個節(jié)點間的信令和媒體，同一網(wǎng)絡的呼叫，GK不路由信令和媒體，跨網(wǎng)絡的呼叫，則路由。

 建議與總結

視訊項目交付中涉及防火墻穿越的局點較多，希望本案例對于其他局點涉及SMC2.0 H.460 單GK組網(wǎng)、防火墻ALG關閉的配置起到幫助。

上一條：華為視頻會議Live和Presentation兩種演示模式有什么區(qū)別？ 下一條：SMC1.0召集1080P會議分會場接收不到輔流