【正文】 [:14550 :13309] 媒體流 nat穿越機(jī)制：通過首包學(xué)習(xí)首 包 學(xué) 習(xí)（一）首包學(xué)習(xí)前媒體流轉(zhuǎn)發(fā)存在的問題：如以下組網(wǎng)，完成信令交互后，對(duì)終端 1， eudemon會(huì)根據(jù)信令建立 rtp session如 下：上行： 終端 1私網(wǎng)地址 eudemon內(nèi)網(wǎng)側(cè)地址 ?eudemon外網(wǎng)側(cè)地址 外網(wǎng)地址下行：外網(wǎng)地址 eumedon外網(wǎng)側(cè)地址 ?eudemon內(nèi)網(wǎng)側(cè)地址 終端 1私網(wǎng)地址若按以上過程轉(zhuǎn)發(fā)，存在的問題是： 由于下行 session表項(xiàng)中記錄的是終端 1私網(wǎng)地址，該地址對(duì) eudemon1 而言不可達(dá)，因此終端 1收不到對(duì)端的媒體流。同理，對(duì)終端 2也會(huì)有同樣的現(xiàn)象。eumedia1終端 1 NAT1 終端 2NAT2eumedia2 RTP RTP RTP RTP 首 包 學(xué) 習(xí)（二）首包學(xué)習(xí)后媒體流轉(zhuǎn)發(fā)問題的解決： 以上示例中 ,eudemon1內(nèi)網(wǎng)側(cè)端口只要監(jiān)聽到第一個(gè)發(fā)給它的 RTP包，就將session表項(xiàng)中的終端私網(wǎng)地址修改為該包的地址： 上行： 終端 1NAT后地址 eudemon內(nèi)網(wǎng)側(cè)地址 ?eudemon外網(wǎng)側(cè)地址 外網(wǎng)地址 下行：外網(wǎng)地址 eumedon外網(wǎng)側(cè)地址 ?eudemon內(nèi)網(wǎng)側(cè)地址 終端 1NAT后 地址 也就是說：只要終端 1發(fā)出第一個(gè)媒體流包， eudemon就會(huì)學(xué)到它接收媒體流 nat后的地址，從而實(shí)現(xiàn)媒體流的 nat穿越eumedia1終端 1 NAT1 終端 2NAT2eumedia2 RTP RTP RTP RTP RTP RTP RTP 從這學(xué)到了地址ALG/Proxy工作機(jī)理比較（一）l NAT ALG方式只適于解決私網(wǎng)地址穿越問題， QOS、安全等問題無法解決。l NAT ALG設(shè)備需要放置在私網(wǎng)、公網(wǎng)交界處，一般位于企業(yè)出口；而 PROXY方式可以放置在 IP可達(dá)的任意位置，組網(wǎng)位置不受限。l 一般情況下， NAT ALG設(shè)備無法多個(gè)企業(yè)共用。l NAT ALG方式對(duì)功能影響較小，因此 NAT ALG方式可作為 PROXY組網(wǎng)方式的一個(gè)有益補(bǔ)充。企業(yè)網(wǎng)城域網(wǎng)Firewall/NATIAD企業(yè)網(wǎng)Firewall/NATRegister Response Register RequestNAT with ALG FunctionNAT with ALG FunctionIAD軟交換為何 PROXY方式對(duì) H323處理有困難：216。與 SIP、 MGCP不同， H323中的 Q93 TCP協(xié)議216。TCP采用三次握手，具有方向性216。無法透過 NAT設(shè)備直接向私網(wǎng)終端發(fā)起 TCP連接來自外網(wǎng)的 TCP的SYN報(bào)文無法穿越NAT設(shè)備私網(wǎng) IAD 公網(wǎng) IADNAT設(shè)備SYNSYN＋ ACKACK 設(shè)備 2設(shè)備 1XTCP SYN報(bào)文TCP采用三次握手機(jī)制，具有方向性必須在 NAT內(nèi)部添加客戶端軟件，才有可能解決 PROXY方式下 H323的穿越ALG/Proxy工作機(jī)理比較（二）為何 PROXY方式 需要收發(fā)端口一致 ：216。PROXY是學(xué)習(xí)型設(shè)備216。無法透過 NAT設(shè)備主動(dòng)向私網(wǎng)終端的接收端口發(fā)送報(bào)文216。語音 /視頻是有方向性的，分為 “說 ”和 “聽 ” 兩個(gè)方向 ；216。PROXY可以學(xué)習(xí)到私網(wǎng)終端發(fā)端口的 NAT后的地址，但無法學(xué)習(xí)到收端口NAT轉(zhuǎn)換后的地址，因?yàn)?“聽 ”方向并不發(fā)送報(bào)文。當(dāng)發(fā)方向的報(bào)文到達(dá) Proxy設(shè)備時(shí)，Proxy就可以學(xué)習(xí)到發(fā)方向的 NAT后的地址信息。如果收發(fā)端口不統(tǒng)一，報(bào)文就發(fā)不回去。私網(wǎng) IADNAT設(shè)備在 NAT內(nèi)部添加客戶端軟件，可以解決 PROXY方式下收發(fā)端口一致的問題主動(dòng)發(fā) (說)被動(dòng)收 (聽 )Eudemon2023發(fā)： NAT后的報(bào)文ALG/Proxy工作機(jī)理比較（三）ALG方式 PROXY方式設(shè)備所處位置 受限：私 /公網(wǎng)邊緣 不限： IP可達(dá)對(duì)原有網(wǎng)絡(luò)影響 需要添加路由 不改動(dòng)對(duì)終端的要求 不改動(dòng) 需要收發(fā)端口一致對(duì) H323協(xié)議支持存在難點(diǎn)對(duì) SoftX的要求 不改動(dòng) 不改動(dòng)對(duì) NAT設(shè)備的要求 需要替代原來的 NAT設(shè)備 不改動(dòng)多次 NAT支持 一般不支持 支持UPATH 部分支持，不支持呼叫控制 支持IADMS 不支持 支持業(yè)務(wù)劃分 一般不支持 支持防止業(yè)務(wù)盜用 不支持 支持防止帶寬盜用 不支持 支持非法信令報(bào)文檢測(cè) 不支持（無相應(yīng)狀態(tài)） 支持ALG/Proxy工作機(jī)理比較（四）ALG、 PROXY應(yīng)用場(chǎng)合應(yīng)用場(chǎng)合在有如下需求之一時(shí)，建議采用 PROXY方式解決 ：216。 位置要求在城域匯聚層，需要接入 Inter語音用戶216。 NGN采用專網(wǎng)構(gòu)建， SoftSwitch采用私有地址域216。 企業(yè)用戶原有的 NAT設(shè)備不能替換，原有網(wǎng)絡(luò)路由不能改動(dòng)216。 可能穿越多個(gè) NAT設(shè)備216。 需要支持 IADMS，需要支持 IP話務(wù)臺(tái)功能216。 提供語音、視頻報(bào)文的 QOS標(biāo)記216。 防止帶寬盜用、防止業(yè)務(wù)盜用216。 需要提供非法信令報(bào)文檢測(cè)功能在如下情況時(shí)，建議采用 ALG方式解決 ：216。 位置處于企業(yè)出口（ NAT設(shè)備作為網(wǎng)關(guān)）， SoftSwitch位于公網(wǎng)（相對(duì)）216。 大量采用 216。 收發(fā)端口無法一致第二章 Eudemon邊界會(huì)話控制器1. NGN承載網(wǎng)改造需求分析2. ALG/PROXY工作原理介紹3. Eudemon 2023系列規(guī)格介紹4. Eudemon 2023系列典型配置案例華為產(chǎn)品維護(hù)資料 120Eudemon 2023系列Eudemon 2100Eudemon 2200Eudemon 2300項(xiàng) 目 技術(shù)參數(shù)與性能指標(biāo)Eudemon 2100 Eudemon 2200 Eudemon 2300電源 單電源 雙電源，支持交 /直流 雙電源，支持交 /直流接口 支持 1FE接口卡，最大支持 4個(gè)FE固定 2FE接口， 2個(gè)擴(kuò)展插槽， 固定 3GE，兩個(gè)擴(kuò)展插槽整機(jī)處理能力 100Mbps 400Mbps 2Gbps并發(fā)呼叫數(shù)（ ）并發(fā)呼叫數(shù)： 200BHCA： 20K并發(fā)呼叫數(shù)： 1000BHCA： 100K并發(fā)呼叫數(shù)： 10KBHCA： 200K支持協(xié)議 Eudemon2023系列特性（一）工作模式和組網(wǎng)方式：216。 支持 NGN多媒體業(yè)務(wù)穿越 NAT/防火墻216。 支持單域 /多域模式216。 支持代理多個(gè)軟交換216。 支持在駐地網(wǎng)、企業(yè)網(wǎng)中應(yīng)用，接入 Inter用戶和其它運(yùn)營(yíng)商的用戶216。 支持在城域網(wǎng)匯聚層的應(yīng)用，實(shí)現(xiàn)多個(gè)企業(yè)網(wǎng)、駐地網(wǎng)跨 NAT通信216。 支持基于會(huì)話流的 NAT處理，接入多個(gè)企業(yè)時(shí)，企業(yè) IP地址可以重復(fù)216。 NGN專網(wǎng)的地址域可以與企業(yè)地址域重復(fù)QoS：216。 支持流分類、流量控制、擁塞管理216。 支持基于 DiffServ的報(bào)文優(yōu)先級(jí)重標(biāo)記安全：216。 防止業(yè)務(wù)盜用和帶寬盜用216。 支持 ACL過濾規(guī)則216。 支持根據(jù)資源情況對(duì)呼叫進(jìn)行控制216。 根據(jù)會(huì)話狀態(tài)而允許相應(yīng)的報(bào)文通過（針孔式防火墻）應(yīng)用：216。 支持 SIP、 MGCP、 216。 支持話務(wù)臺(tái)代理功能216。 支持 IADMS代理功能216。 支持收發(fā)端口不一致（多域模式下與客戶端配合實(shí)現(xiàn)）基本特性：216。 支持 VLAN216。 支持靜態(tài)路由216。 支持策略路由管理：216。 支持命令行分級(jí)保護(hù)216。 支持遠(yuǎn)程 Modem撥號(hào)、 Tel方式配置管理216。 支持 SSH方式進(jìn)行安全的維護(hù)管理 216。 支持 SNMP統(tǒng)一網(wǎng)管Eudemon2023系列特性（二）Eudemon邊界會(huì)話控制器1. NGN承載網(wǎng)改造需求分析2. ALG/PROXY工作原理介紹3. Eudemon 2023系列規(guī)格介紹4. Eudemon 2023系列典型配置案例華為產(chǎn)品維護(hù)資料 124組網(wǎng)l SoftX3000 l | | l ++l | Eth0/0: l L3DEVICE l | Eth0/1: l | Eth0/0: l EUDEMON2100l | Eth0/1: l | Eth0/0: l NATl | Eth0/1: l ++++l MGCP IAD SIP PHONE H323 IAD/PHONE TRAVERSECLIENT基本配置l Sbc appmode multidomainl Sbc addrmap clientaddr serveraddr softxaddr iadmsaddr l Sbc wellknownport mgcp 2727l Sbc wellknownport sip 5060l Sbc wellknownport ras 1719l Sbc wellknownport q931 1720l Sbc wellknownport softxaddr mgcp 2727l Sbc wellknownport softxaddr ras 1719l Sbc wellknownport softxaddr sip 5060l Sbc wellknownport softxaddr q931 1720l Sbc portrange sip beginport 10000 endport 11999l Sbc portrange mgcp beginport 12023 endport 13999l Sbc portrange ras beginport 16000 endport 17999l Sbc portrange q931 beginport 10000 endport 11999l Sbc portrange h245 beginport 12023 endport 13999l Sbc portrange media beginport 18000 endport 65535l Sbc timer natrefresh 5l Sbc sip checkheartbeat enablel Sbc udp checksum enableEudemon 2023常見問題案例（一）l 【案例 1】l H323 Proxy模塊已經(jīng)使能， RAS的端口范圍已經(jīng)配置， NAT下的 OpenEye（ H323）所在 PC可以 ping 通 Eudemon ，但OpenEye（ H323）不能注冊(cè)成功；l ==可能原因： l 原因 1:從 Eudemon到 SoftX的路由不通，檢查 Eudemon上策略路由的配置，使從 Eudemon可以 ping通 SoftX；l 原因 2:沒有在 Eudemon上配置 SoftX的 RAS知名端口，檢查知名端口的配置； l 【案例 2】l 同一 NAT下的 MGCP用戶和 OpenEye（ H323）用戶成功注冊(cè)到DUT，呼叫 OpenEye（ H323） MGCP 通話正常，l 而反向呼叫， MGCP OpenEye（ H323），信令不通，MGCP用戶聽忙音。l ==可能原因：l 原因 1:在 NAT下沒有啟用 Traverseclient， NAT下的 H323終端做被叫時(shí)， NAT上沒有建立相應(yīng)的 NAT表項(xiàng)，信令消息不能到達(dá) NAT下的被叫，呼叫不能成功；l 原因 2:可能 OpenEye（ H323）用戶先于 Traverseclient注冊(cè)，導(dǎo)致 H323做被叫暫時(shí)不通，重注冊(cè) OpenEye就會(huì)通話正常；l 原因 3:可能 Traverseclient上配置的 NAT信息與實(shí)際的 NAT配置不一致，如 NAT配置為 Easy IP，而 Traverseclient配置為 NAT POOL。Eudemon 2023常見問題案例（二）l 【案例 3】l Eudemon2100上下行網(wǎng)口是否可以在一個(gè)網(wǎng)段 ?l 一個(gè)接口的主地址和從地址可以在一個(gè)網(wǎng)段。但是兩個(gè)物理接口不可以在同一個(gè)網(wǎng)段。l 比如： interface Ethe