2014年X月支持某局點項目交付。客戶采用H.460 單GK組網的方式來完成公私網穿越,如何組網?SMC2.0、GK、MCU、終端分別需要如何配置?
告警信息無
處理過程GK通過比較IP頭的源地址(經過NAT的時候,可能會被更改)和協議字段中RAS(經過NAT不會被更改)地址是否相同,來識別節點是否與GK位于同一網絡,如果相同就認為節點位于同一網絡,如果不同則與GK位于不同網絡。與GK位于不同網絡的兩個節點,GK通過判斷他們映射出來的IP(IP層源IP)是否相同來判斷它們是否在同一網絡,相同則認為他們位于同一網絡,不同則認為他們位于不同網絡。
如果GK能夠根據該原理自行判斷所有節點與呼叫是否位于同一網絡則不需要添加私網區域,否則需要通過添加私網區域來指定節點是否位于同一網絡。
原理二:GK未配置NAT地址時發給節點的都是GK本身的地址;GK在配置了NAT地址時,如果GK判斷節點與GK位于同一網絡則使用本端地址提供服務;如果GK判斷節點與GK位于不同網絡,則通過NAT地址來提供服務。
只有在GK啟用NAT時才需要分析是否需要配置“本地私網/Local private network”,未啟用NAT時不需要該配置。
我們需要分析GK能否對不同的節點給出正確的地址提供服務來判斷是否需要指定本地私網。GK在無法自行判斷或判斷錯誤時,我們需要將與該GK位于同一個網絡內的節點IP區域、節點號、URL配置為“本地私網/Local private network”,非同一網絡不需要勾選該配置。
我們以方案A為例做說明:
i、FW/NAT-1做了私網到DMZ的動態映射,私網發給GK的包中IP頭源地址被FW/NAT-1修改,GK判斷私網節點與GK位于不同私網;FW/NAT-2做了DMZ到公網的靜態映射,公網發給GK的包中IP頭源地址未被修改,GK判斷公網節點與GK位于同一私網;FW/NAT-3做了A3到公網的靜態/動態映射,發給GK的包中IP頭源地址被修改,GK判斷該節點與GK位于不同私網,且因為映射后的IP(IP層源IP)與私網終端映射后的IP不同,所以GK可以判斷A3與私網終端位于不同的網絡。在該方案中GK可以自行判斷私網、公網節點A1/A2、另一層防火墻后的A3節點位于不同網絡,可以自行判斷是否要進行路由,因此不需要配置私網區域。
ii、在路由時GK判斷公網節點A1、A2與GK位于同一私網,私網節點、A3節點與GK位于不同私網。GK會使用NAT地址給私網節點、A3節點提供服務、使用本身地址給公網節點A1、A2提供服務。該判斷是錯誤的,我們需要GK使用本身地址對私網終端提供服務,使用NAT地址對公網節點A1/A2、另一層防火墻后的A3節點提供服務,因此需要指定私網動態映射到DMZ的IP為本地私網。
私網區域與本地私網的配置如下:
i. 登陸SMC2.0系統,進入GK界面。選擇某一個GK,點擊“GK名字”的鏈接;
ii. 找到Private Network Zone配置頁面,點擊“Add”,彈出的對話框,輸入區域名稱。 若GK與節點位于同一個私網內,需要勾選“本地私網/Local private network”;
iii. 添加后,點擊保存。有了名字,然后配置規則列表。選中添加好的私網區域的名稱,在下方的“規則列表/Rule List”中,添加一個或多個規則,確保這些規則圈定一組處于此私網的終端;
4、終端與MCU配置:
方案A中H.460 Server位于DMZ域,對內通過H.460穿越FW/NAT-1的防火墻,對外使用靜態NAT地址提供服務,因此MCU、T1、T2、T3都需要支持H.460,A1、A2不需要支持H.460,A3終端由于位于另一層防火墻之后也需要支持H.460;
方案B中H.460Server位于私網,對內通過私網地址提供服務,對外通過靜態NAT地址提供服務,SMC2.0V1R2的機制是不管私網終端跟GK之間有沒有防火墻,都當成有防火墻來處理,此時GK無法判斷是否需要代理公私網穿越,因此私網MCU、T1、T2、T3、位于另一層防火墻之后的A3都需要支持H.460,純公網終端A1、A2不需要支持H.460;
方案C中H.460位于私網,對內通過H.460穿越FW/NAT-1的防火墻,對外通過公網地址提供服務,因此MCU、T1、T2、T3都需要支持H.460,A1、A2不需要支持H.460,A3終端由于位于另一層防火墻之后也需要支持H.460。
根因組網方案與準備:
1、組網方案與需要客戶準備的IP:
i. 組網方案A,單GK組網,GK放在在DMZ域:
組網中H.460 Server位于DMZ域,對內通過H.460穿越FW/NAT-1的防火墻;對外使用靜態NAT地址提供服務。
需要客戶提供1個私網地址,作為SMC2.0的地址;需要1個DMZ地址,作為H.460 Server的業務地址;需要1個DMZ地址,SMC 2.0需要把7000端口靜態隱射到此地址上;需要1個公網地址,把H.460 Server處在DMZ的業務地址靜態映射到此公網地址。
ii. 組網方案B,單防火墻GK位于私網:
需要2個私網地址,分別作為SMC2.0、GK 的地址;1個公網地址,把H.460 Server的私網地址靜態映射到此公網地址作為H.460在公網的業務地址。
iii.組網方案C,單防火墻GK位于公網(此方案由于GK直接放置公網,安全風險較大,盡量避免使用):
需要客戶提供1個私網地址,作為SMC2.0的地址;需要1個公網地址,作為H.460 Server的業務地址;需要1個公網地址,SMC 2.0需要把7000端口靜態隱射到此地址上,此地址可共用防火墻的公網地址(對外服務),無需額外分配。
2、私網與H.460Server之間防火墻FW/NAT-1配置:
i. 方案A中私網與DMZ之間防火墻做SMC2.0 IP的7000端口靜態映射;方案B中無FW/NAT-1,不需配置;方案C中私網與公網之間防火墻做SMC2.0 IP的7000端口靜態映射。這樣處于DMZ/公網的H.460 Server才能連接上SMC2.0。
ii. 私網到H.460Server所在網絡做動態映射,方案A中私網到DMZ域;方案B中無需配置;方案C中私網到公網:
3、把H.460Server的地址靜態映射到公網IP作為H.460的公網業務地址,H.460Server與公網之間防火墻配置,方案A、方案B中FW/NAT-2,方案C中由于GK位于公網,無需配置:
i. H.460Server到Internet
ii. Internet到H.460Server
4、防火墻關閉H.323ALG與協議檢查:
FW/NAT-1與FW/NAT-2都需要關閉H.323ALG與協議檢查等。
i. Cisco ASA系列防火墻上關閉H.323協議檢查的命令如下:
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect h323 h225
pixfirewall(config-pmap-c)#no inspect h323 ras
ii. Juniper 防火墻上關閉H.323ALG的方法如下:
命令行:
Unset alg h323 enable
Unset alg ras
Unset alg q931
Unset alg h245
或者Web界面:
業務配置:
1、導入獨立GK的license:
i. 申請GK的H.460 license(帶有穿越流量);
ii. 將其命名為“license_sc.dat”,放置在獨立GK的目錄下,默認路徑為“ D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”;
iii. 放置好license文件后無需重啟,等待1分鐘自動生效;
iv. 可通過SMC2.0上GK頁面確認是否生效,如下圖:
2、GK Server配置:
i. 打開GK Server的配置文件“gkcfg.ini”,默認路徑“D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”,修改“SM-IP”,方案A/C GK Server中修改為SMC2.0 IP 7000端口靜態映射到DMZ/公網的IP;方案B中修改為SMC2.0的私網IP。
ii. 登陸SMC2.0系統,進入GK界面。選擇某一個GK,點擊編輯按鈕;
iii. 在彈出的修改GK對話框中點擊“其他參數/other parameters”按鈕;
iv. 勾選“啟用H.460/enable H.460”和“啟用媒體網關/enable media gateway”,其他參數默認;
v. 啟用媒體端口復用功能,勾選“啟用端口復用/enable port reuse”(可選,可減少防火墻端口數量);
vi.方案A/B中 GK Server需要啟用NAT,并配置GK Server的NAT地址,方案C中GKServer處于公網無需配置:
3、添加私網區域(根據實際情況分析GK是否需要配置):
原理一:GK通過判斷節點是否位于同一網絡,來決定是否路由兩個節點間的信令和媒體,同一網絡的呼叫,GK不路由信令和媒體,跨網絡的呼叫,則路由。
建議與總結視訊項目交付中涉及防火墻穿越的局點較多,希望本案例對于其他局點涉及SMC2.0 H.460 單GK組網、防火墻ALG關閉的配置起到幫助。
