【正文】 :13309] 媒體流 nat穿越機制：通過首包學(xué)習(xí)首 包 學(xué) 習(xí)（一）首包學(xué)習(xí)前媒體流轉(zhuǎn)發(fā)存在的問題：如以下組網(wǎng)，完成信令交互后，對終端 1， eudemon會根據(jù)信令建立 rtp session如 下：上行： 終端 1私網(wǎng)地址 eudemon內(nèi)網(wǎng)側(cè)地址 ?eudemon外網(wǎng)側(cè)地址 外網(wǎng)地址下行：外網(wǎng)地址 eumedon外網(wǎng)側(cè)地址 ?eudemon內(nèi)網(wǎng)側(cè)地址 終端 1私網(wǎng)地址若按以上過程轉(zhuǎn)發(fā)，存在的問題是： 由于下行 session表項中記錄的是終端 1私網(wǎng)地址，該地址對 eudemon1 而言不可達，因此終端 1收不到對端的媒體流。同理，對終端 2也會有同樣的現(xiàn)象。eumedia1終端 1 NAT1 終端 2NAT2eumedia2 RTP RTP RTP RTP 首 包 學(xué) 習(xí)（二）首包學(xué)習(xí)后媒體流轉(zhuǎn)發(fā)問題的解決： 以上示例中 ,eudemon1內(nèi)網(wǎng)側(cè)端口只要監(jiān)聽到第一個發(fā)給它的 RTP包，就將session表項中的終端私網(wǎng)地址修改為該包的地址： 上行： 終端 1NAT后地址 eudemon內(nèi)網(wǎng)側(cè)地址 ?eudemon外網(wǎng)側(cè)地址 外網(wǎng)地址 下行：外網(wǎng)地址 eumedon外網(wǎng)側(cè)地址 ?eudemon內(nèi)網(wǎng)側(cè)地址 終端 1NAT后 地址 也就是說：只要終端 1發(fā)出第一個媒體流包， eudemon就會學(xué)到它接收媒體流 nat后的地址，從而實現(xiàn)媒體流的 nat穿越eumedia1終端 1 NAT1 終端 2NAT2eumedia2 RTP RTP RTP RTP RTP RTP RTP 從這學(xué)到了地址ALG/Proxy工作機理比較（一）l NAT ALG方式只適于解決私網(wǎng)地址穿越問題， QOS、安全等問題無法解決。l NAT ALG設(shè)備需要放置在私網(wǎng)、公網(wǎng)交界處，一般位于企業(yè)出口；而 PROXY方式可以放置在 IP可達的任意位置，組網(wǎng)位置不受限。l 一般情況下， NAT ALG設(shè)備無法多個企業(yè)共用。l NAT ALG方式對功能影響較小，因此 NAT ALG方式可作為 PROXY組網(wǎng)方式的一個有益補充。企業(yè)網(wǎng)城域網(wǎng)Firewall/NATIAD企業(yè)網(wǎng)Firewall/NATRegister Response Register RequestNAT with ALG FunctionNAT with ALG FunctionIAD軟交換為何 PROXY方式對 H323處理有困難：216。與 SIP、 MGCP不同， H323中的 Q93 TCP協(xié)議216。TCP采用三次握手，具有方向性216。無法透過 NAT設(shè)備直接向私網(wǎng)終端發(fā)起 TCP連接來自外網(wǎng)的 TCP的SYN報文無法穿越NAT設(shè)備私網(wǎng) IAD 公網(wǎng) IADNAT設(shè)備SYNSYN＋ ACKACK 設(shè)備 2設(shè)備 1XTCP SYN報文TCP采用三次握手機制，具有方向性必須在 NAT內(nèi)部添加客戶端軟件，才有可能解決 PROXY方式下 H323的穿越ALG/Proxy工作機理比較（二）為何 PROXY方式 需要收發(fā)端口一致 ：216。PROXY是學(xué)習(xí)型設(shè)備216。無法透過 NAT設(shè)備主動向私網(wǎng)終端的接收端口發(fā)送報文216。語音 /視頻是有方向性的，分為 “說 ”和 “聽 ” 兩個方向 ；216。PROXY可以學(xué)習(xí)到私網(wǎng)終端發(fā)端口的 NAT后的地址，但無法學(xué)習(xí)到收端口NAT轉(zhuǎn)換后的地址，因為 “聽 ”方向并不發(fā)送報文。當發(fā)方向的報文到達 Proxy設(shè)備時，Proxy就可以學(xué)習(xí)到發(fā)方向的 NAT后的地址信息。如果收發(fā)端口不統(tǒng)一，報文就發(fā)不回去。私網(wǎng) IADNAT設(shè)備在 NAT內(nèi)部添加客戶端軟件，可以解決 PROXY方式下收發(fā)端口一致的問題主動發(fā) (說)被動收 (聽 )Eudemon2023發(fā)： NAT后的報文ALG/Proxy工作機理比較（三）ALG方式 PROXY方式設(shè)備所處位置 受限：私 /公網(wǎng)邊緣 不限： IP可達對原有網(wǎng)絡(luò)影響 需要添加路由 不改動對終端的要求 不改動 需要收發(fā)端口一致對 H323協(xié)議支持存在難點對 SoftX的要求 不改動 不改動對 NAT設(shè)備的要求 需要替代原來的 NAT設(shè)備 不改動多次 NAT支持 一般不支持 支持UPATH 部分支持，不支持呼叫控制 支持IADMS 不支持 支持業(yè)務(wù)劃分 一般不支持 支持防止業(yè)務(wù)盜用 不支持 支持防止帶寬盜用 不支持 支持非法信令報文檢測 不支持（無相應(yīng)狀態(tài)） 支持ALG/Proxy工作機理比較（四）ALG、 PROXY應(yīng)用場合應(yīng)用場合在有如下需求之一時，建議采用 PROXY方式解決 ：216。 位置要求在城域匯聚層，需要接入 Inter語音用戶216。 NGN采用專網(wǎng)構(gòu)建， SoftSwitch采用私有地址域216。 企業(yè)用戶原有的 NAT設(shè)備不能替換，原有網(wǎng)絡(luò)路由不能改動216。 可能穿越多個 NAT設(shè)備216。 需要支持 IADMS，需要支持 IP話務(wù)臺功能216。 提供語音、視頻報文的 QOS標記216。 防止帶寬盜用、防止業(yè)務(wù)盜用216。 需要提供非法信令報文檢測功能在如下情況時，建議采用 ALG方式解決 ：216。 位置處于企業(yè)出口（ NAT設(shè)備作為網(wǎng)關(guān)）， SoftSwitch位于公網(wǎng)（相對）216。 大量采用 216。 收發(fā)端口無法一致第二章 Eudemon邊界會話控制器1. NGN承載網(wǎng)改造需求分析2. ALG/PROXY工作原理介紹3. Eudemon 2023系列規(guī)格介紹4. Eudemon 2023系列典型配置案例華為產(chǎn)品維護資料 120Eudemon 2023系列Eudemon 2100Eudemon 2200Eudemon 2300項 目 技術(shù)參數(shù)與性能指標Eudemon 2100 Eudemon 2200 Eudemon 2300電源 單電源 雙電源，支持交 /直流 雙電源，支持交 /直流接口 支持 1FE接口卡，最大支持 4個FE固定 2FE接口， 2個擴展插槽， 固定 3GE，兩個擴展插槽整機處理能力 100Mbps 400Mbps 2Gbps并發(fā)呼叫數(shù)（ ）并發(fā)呼叫數(shù)： 200BHCA： 20K并發(fā)呼叫數(shù)： 1000BHCA： 100K并發(fā)呼叫數(shù)： 10KBHCA： 200K支持協(xié)議 Eudemon2023系列特性（一）工作模式和組網(wǎng)方式：216。 支持 NGN多媒體業(yè)務(wù)穿越 NAT/防火墻216。 支持單域 /多域模式216。 支持代理多個軟交換216。 支持在駐地網(wǎng)、企業(yè)網(wǎng)中應(yīng)用，接入 Inter用戶和其它運營商的用戶216。 支持在城域網(wǎng)匯聚層的應(yīng)用，實現(xiàn)多個企業(yè)網(wǎng)、駐地網(wǎng)跨 NAT通信216。 支持基于會話流的 NAT處理，接入多個企業(yè)時，企業(yè) IP地址可以重復(fù)216。 NGN專網(wǎng)的地址域可以與企業(yè)地址域重復(fù)QoS：216。 支持流分類、流量控制、擁塞管理216。 支持基于 DiffServ的報文優(yōu)先級重標記安全：216。 防止業(yè)務(wù)盜用和帶寬盜用216。 支持 ACL過濾規(guī)則216。 支持根據(jù)資源情況對呼叫進行控制216。 根據(jù)會話狀態(tài)而允許相應(yīng)的報文通過（針孔式防火墻）應(yīng)用：216。 支持 SIP、 MGCP、 216。 支持話務(wù)臺代理功能216。 支持 IADMS代理功能216。 支持收發(fā)端口不一致（多域模式下與客戶端配合實現(xiàn)）基本特性：216。 支持 VLAN216。 支持靜態(tài)路由216。 支持策略路由管理：216。 支持命令行分級保護216。 支持遠程 Modem撥號、 Tel方式配置管理216。 支持 SSH方式進行安全的維護管理 216。 支持 SNMP統(tǒng)一網(wǎng)管Eudemon2023系列特性（二）Eudemon邊界會話控制器1. NGN承載網(wǎng)改造需求分析2. ALG/PROXY工作原理介紹3. Eudemon 2023系列規(guī)格介紹4. Eudemon 2023系列典型配置案例華為產(chǎn)品維護資料 124組網(wǎng)l SoftX3000 l | | l ++l | Eth0/0: l L3DEVICE l | Eth0/1: l | Eth0/0: l EUDEMON2100l | Eth0/1: l | Eth0/0: l NATl | Eth0/1: l ++++l MGCP IAD SIP PHONE H323 IAD/PHONE TRAVERSECLIENT基本配置l Sbc appmode multidomainl Sbc addrmap clientaddr serveraddr softxaddr iadmsaddr l Sbc wellknownport mgcp 2727l Sbc wellknownport sip 5060l Sbc wellknownport ras 1719l Sbc wellknownport q931 1720l Sbc wellknownport softxaddr mgcp 2727l Sbc wellknownport softxaddr ras 1719l Sbc wellknownport softxaddr sip 5060l Sbc wellknownport softxaddr q931 1720l Sbc portrange sip beginport 10000 endport 11999l Sbc portrange mgcp beginport 12023 endport 13999l Sbc portrange ras beginport 16000 endport 17999l Sbc portrange q931 beginport 10000 endport 11999l Sbc portrange h245 beginport 12023 endport 13999l Sbc portrange media beginport 18000 endport 65535l Sbc timer natrefresh 5l Sbc sip checkheartbeat enablel Sbc udp checksum enableEudemon 2023常見問題案例（一）l 【案例 1】l H323 Proxy模塊已經(jīng)使能， RAS的端口范圍已經(jīng)配置， NAT下的 OpenEye（ H323）所在 PC可以 ping 通 Eudemon ，但OpenEye（ H323）不能注冊成功；l ==可能原因： l 原因 1:從 Eudemon到 SoftX的路由不通，檢查 Eudemon上策略路由的配置，使從 Eudemon可以 ping通 SoftX；l 原因 2:沒有在 Eudemon上配置 SoftX的 RAS知名端口，檢查知名端口的配置； l 【案例 2】l 同一 NAT下的 MGCP用戶和 OpenEye（ H323）用戶成功注冊到DUT，呼叫 OpenEye（ H323） MGCP 通話正常，l 而反向呼叫， MGCP OpenEye（ H323），信令不通，MGCP用戶聽忙音。l ==可能原因：l 原因 1:在 NAT下沒有啟用 Traverseclient， NAT下的 H323終端做被叫時， NAT上沒有建立相應(yīng)的 NAT表項，信令消息不能到達 NAT下的被叫，呼叫不能成功；l 原因 2:可能 OpenEye（ H323）用戶先于 Traverseclient注冊，導(dǎo)致 H323做被叫暫時不通，重注冊 OpenEye就會通話正常；l 原因 3:可能 Traverseclient上配置的 NAT信息與實際的 NAT配置不一致，如 NAT配置為 Easy IP，而 Traverseclient配置為 NAT POOL。Eudemon 2023常見問題案例（二）l 【案例 3】l Eudemon2100上下行網(wǎng)口是否可以在一個網(wǎng)段 ?l 一個接口的主地址和從地址可以在一個網(wǎng)段。但是兩個物理接口不可以在同一個網(wǎng)段。l 比如： interface Ether0/0l duplex