SMC2.0 H.460 GK配对组网公私网穿越配置案例

发布时间:  2014-09-25 浏览次数:  2511 下载次数:  555
问题描述
2014年X月出差澳门支持某局点项目交付。客户采用H.460 GK配对组网的方式来完成公私网穿越,如何组网?SMC2.0、GK、MCU、终端分别需要如何配置?
告警信息
处理过程
业务配置:

1、导入独立GK的license:
a. 申请GK的H.460 license(带有穿越流量);
b. 将其命名为“license_sc.dat”,放置在独立GK的目录下,默认路径为“ D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”;

c. 放置好license文件后无需重启,等待1分钟自动生效;
d. 可通过SMC2.0上GK页面确认是否生效,如下图:

2、GK Server与GK Client配置:
a. 打开GK Server、GK Client的配置文件“gkcfg.ini”,默认路径“D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”,修改“SM-IP”,GK Server中修改为SMC2.0 IP 7000端口静态映射到DMZ/公网的IP,GK Client中修改为SMC2.0的IP;方案C中非SMC2.0所在私网的GK Client中“SM-IP”需要修改为SMC2.0 IP7000端口静态映射到该私网的IP地址;

b. 登陆SMC2.0系统,进入GK界面。选择某一个GK,点击编辑按钮;
c. 在弹出的修改GK对话框中点击“其他参数/other parameters”按钮;

d. 勾选“启用H.460/enable H.460”和“启用媒体网关/enable media gateway”,其他参数默认;
e. 启用媒体端口复用功能,勾选“启用端口复用/enable port reuse”(可选,可减少防火墙端口数量);

f. GK Server需要启用NAT,并配置GK Server的NAT地址(可选,方案A需要配置,方案B GK Server位于公网所以不不需配置):

3、在SMC2.0上添加GK Server与GK Client之间的路由:
a. 在GK(H.460 Server)上添加一条到GK(H.460 Client)的“私网路由/Private network route”

注:一个Server上可以添加多个Client,Server通过GKID来判断是哪个Client,但是一个Client上只能添加一个Server。
b. 在GK(H.460 Client)上添加一条到GK(H.460 Server)的“H.460服务端/H.460 Server route”路由

4、添加私网区域(根据实际情况分析每个GK是否需要配置):
以下对于节点的判断,是在呼叫中有一方节点启用H.460时才需要判断(节点是否需要启动H.460请参考“5、终端与MCU配置”)。
原理一:GK通过判断节点是否位于同一网络,来决定是否路由两个节点间的信令和媒体,同一网络的呼叫,GK不路由信令和媒体,跨网络的呼叫,则路由。
GK通过比较IP头的源地址(经过NAT的时候,可能会被更改)和协议字段中RAS(经过NAT不会被更改)地址是否相同,来识别节点是否与GK位于同一网络,如果相同就认为节点位于同一网络,如果不同则与GK位于不同网络。与GK位于不同网络的两个节点,GK通过判断他们映射出来的IP(IP层源IP)是否相同来判断它们是否在同一网络,相同则认为他们位于同一网络,不同则认为他们位于不同网络。
如果GK能够根据该原理自行判断所有节点与呼叫是否位于同一网络则不需要添加私网区域,否则需要通过添加私网区域来指定节点是否位于同一网络。
原理二:GK未配置NAT地址时发给节点的都是GK本身的地址;GK在配置了NAT地址时,如果GK判断节点与GK位于同一网络则使用本端地址提供服务;如果GK判断节点与GK位于不同网络,则通过NAT地址来提供服务。
只有在GK启用NAT时才需要分析是否需要配置“本地私网/Local private network”,未启用NAT时不需要该配置。
我们需要分析GK能否对不同的节点给出正确的地址提供服务来判断是否需要指定本地私网。GK在无法自行判断或判断错误时,我们需要将与该GK位于同一个网络内的节点IP区域、节点号、URL配置为“本地私网/Local private network”,非同一网络不需要勾选该配置。
我们以方案A为例做说明:
对于GK Client:
由于私网终端不需要启用H.460,且在第3节中建立了GK Server跟GK Client之间的路由,所以GK Client不需要配置私网区域,GK Client会默认不路由私网之间的呼叫、路由私网与GK Server之间的呼叫;GK Client未配置NAT地址,因此无需配置本地私网。
         对于GK Server:
i、GK Server会默认路由与GK Client有关的呼叫;FW/NAT-2做了DMZ到公网的静态映射,公网终端发给GK Server的包中源地址未被修改,GK Server认为A1、A2与其位于同一网络;FW/NAT-3做了A3到公网的静态/动态映射,A3发给GK Server的包中源地址被修改,GK Server认为A3与GK Server位于不同的网络。因此GK Server会路由所有与GK Client有关的呼叫,不路由A1与A2之间的呼叫,路由A1/A2与A3之间的呼叫,该路由过程正确,无需配置私网区域。
ii、GK Server启用了NAT地址,因此需要判断是否需要配置本地私网。在路由呼叫时,GK Server由于判断A1、A2与其位于同一网络,A3、GK Client与其位于不同网络,会使用NAT地址对A3、GK Client提供服务、使用本身地址对A1、A2提供服务,该判断是错误的,我们需要GK Server使用本身地址对GK Client提供服务,使用NAT地址对A1、A2、A3提供服务,因此需要指定GK Client的地址为GK Server的本地私网。
私网区域与本地私网的配置如下:

c. 添加后,点击保存。有了名字,然后配置规则列表。选中添加好的私网区域的名称,在下方的“规则列表/Rule List”中,添加一个或多个规则,确保这些规则圈定一组处于此私网的终端;

5、终端与MCU配置:
GK配对组网方案中组网方案中,GK Server作为路由代理来完成公私网穿越,因此组网图中私网终端T3、MCU、纯公网终端A1、A2都不需要支持H.460,终端A3、组网方案d中T2由于位于另一防火墙之后,因此需要启用H.460来完成对相应防火墙的穿越。
根因
组网方案与准备:
1、组网方案与需要客户准备的IP:
a. 组网方案A,双防火墙双GK配对组网,存在DMZ域:

该方案是我们主推的组网方案。该方案的优点是需要防火墙开放的端口较少、部署简单、安全性较好,且私网终端及完全公网终端(图中A1、A2)无需支持H.460功能;缺点是成本较高,适用于一些大企业、运营商,或者对成本不太敏感的中型企业。
需要客户提供2个私网地址,分别作为SMC2.0、GK Client的地址;需要1个DMZ地址,作为H.460 Server的业务地址;需要1个DMZ地址,SMC 2.0需要把7000端口静态隐射到此地址上;需要1个DMZ地址,需要把GK Client的地址动态映射(静态映射或者路由也可以达到同样效果,但是不安全且体现不出H.460的优势,尽量避免使用)到该IP,该IP可以与客户其他从私网动态映射到DMZ的IP共用;需要1个公网地址,把H.460 Server处在DMZ的业务地址静态映射到此公网地址。

b. 组网方案B,单防火墙双GK配对组网:

需要2个私网地址,分别作为SMC2.0、GK Client的地址;1个公网地址,作为H.460 Server的业务地址;1个公网地址,SMC 2.0需要把7000端口静态隐射到公网侧,此地址可共用防火墙的公网地址(对外服务),无需额外分配;需要1个公网地址,需要把GK Client的地址动态映射到该IP,此地址也可共用防火墙的公网地址(对外服务),无需额外分配。
需要1个该私网的私网地址作为GK Client的地址;非SMC2.0所在的私网需要一个该私网的私网地址,SMC 2.0需要把7000端口静态隐射到该地址;私网与公网之间的组网及配置可参考组网方案A/B,本案例不做详细介绍。
d. 组网方案D,客户存在多个子网私网,所有私网共用1台GK Client:

私网侧的组网及配置参考单GK组网的相关配置案例;私网与公网之间的组网及配置参照组网方案A/B,本案例不做详细介绍。
2、防火墙FW/NAT-1配置:
a. 方案A中私网与DMZ之间防火墙做SMC2.0 IP的7000端口静态映射,方案B中私网与公网之间防火墙做SMC2.0 IP的7000端口静态映射这样处于DMZ/公网的H.460 Server才能连接上SMC2.0;方案C中与SMC2.0不在同一私网的GK Client同样参照该配置。

b. 方案A中私网到DMZ域,方案B中私网到公网

3、方案A中防火墙FW/NAT-2配置(可选,方案A需要配置,方案B GK Server位于公网所以不不需配置):
a. DMZ域到Internet

b. Internet到DMZ域

4、防火墙关闭H.323ALG与协议检查:
FW/NAT-1与FW/NAT-2都需要关闭H.323ALG与协议检查等。
a. Cisco ASA系列防火墙上关闭H.323协议检查的命令如下:
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect h323 h225
pixfirewall(config-pmap-c)#no inspect h323 ras
b. Juniper 防火墙上关闭H.323ALG的方法如下:
命令行:
Unset alg h323 enable
Unset alg ras
Unset alg q931
Unset alg h245
或者Web界面:

建议与总结
视讯项目交付中涉及防火墙穿越的局点较多,希望本案例对于其他局点涉及SMC2.0 H.460 GK配对组网、防火墙ALG关闭的配置起到帮助。

END