SMC2.0 H.460 单GK组网公私网穿越配置案例

发布时间:  2014-09-25 浏览次数:  3650 下载次数:  221
问题描述
2014年X月支持某局点项目交付。客户采用H.460 单GK组网的方式来完成公私网穿越,如何组网?SMC2.0、GK、MCU、终端分别需要如何配置?
告警信息
处理过程
GK通过比较IP头的源地址(经过NAT的时候,可能会被更改)和协议字段中RAS(经过NAT不会被更改)地址是否相同,来识别节点是否与GK位于同一网络,如果相同就认为节点位于同一网络,如果不同则与GK位于不同网络。与GK位于不同网络的两个节点,GK通过判断他们映射出来的IP(IP层源IP)是否相同来判断它们是否在同一网络,相同则认为他们位于同一网络,不同则认为他们位于不同网络。
如果GK能够根据该原理自行判断所有节点与呼叫是否位于同一网络则不需要添加私网区域,否则需要通过添加私网区域来指定节点是否位于同一网络。
原理二:GK未配置NAT地址时发给节点的都是GK本身的地址;GK在配置了NAT地址时,如果GK判断节点与GK位于同一网络则使用本端地址提供服务;如果GK判断节点与GK位于不同网络,则通过NAT地址来提供服务。
只有在GK启用NAT时才需要分析是否需要配置“本地私网/Local private network”,未启用NAT时不需要该配置。
我们需要分析GK能否对不同的节点给出正确的地址提供服务来判断是否需要指定本地私网。GK在无法自行判断或判断错误时,我们需要将与该GK位于同一个网络内的节点IP区域、节点号、URL配置为“本地私网/Local private network”,非同一网络不需要勾选该配置。
我们以方案A为例做说明:
i、FW/NAT-1做了私网到DMZ的动态映射,私网发给GK的包中IP头源地址被FW/NAT-1修改,GK判断私网节点与GK位于不同私网;FW/NAT-2做了DMZ到公网的静态映射,公网发给GK的包中IP头源地址未被修改,GK判断公网节点与GK位于同一私网;FW/NAT-3做了A3到公网的静态/动态映射,发给GK的包中IP头源地址被修改,GK判断该节点与GK位于不同私网,且因为映射后的IP(IP层源IP)与私网终端映射后的IP不同,所以GK可以判断A3与私网终端位于不同的网络。在该方案中GK可以自行判断私网、公网节点A1/A2、另一层防火墙后的A3节点位于不同网络,可以自行判断是否要进行路由,因此不需要配置私网区域。
ii、在路由时GK判断公网节点A1、A2与GK位于同一私网,私网节点、A3节点与GK位于不同私网。GK会使用NAT地址给私网节点、A3节点提供服务、使用本身地址给公网节点A1、A2提供服务。该判断是错误的,我们需要GK使用本身地址对私网终端提供服务,使用NAT地址对公网节点A1/A2、另一层防火墙后的A3节点提供服务,因此需要指定私网动态映射到DMZ的IP为本地私网。
私网区域与本地私网的配置如下:
i. 登陆SMC2.0系统,进入GK界面。选择某一个GK,点击“GK名字”的链接;
ii. 找到Private Network Zone配置页面,点击“Add”,弹出的对话框,输入区域名称。 若GK与节点位于同一个私网内,需要勾选“本地私网/Local private network”;

iii. 添加后,点击保存。有了名字,然后配置规则列表。选中添加好的私网区域的名称,在下方的“规则列表/Rule List”中,添加一个或多个规则,确保这些规则圈定一组处于此私网的终端;

4、终端与MCU配置:
方案A中H.460 Server位于DMZ域,对内通过H.460穿越FW/NAT-1的防火墙,对外使用静态NAT地址提供服务,因此MCU、T1、T2、T3都需要支持H.460,A1、A2不需要支持H.460,A3终端由于位于另一层防火墙之后也需要支持H.460;
方案B中H.460Server位于私网,对内通过私网地址提供服务,对外通过静态NAT地址提供服务,SMC2.0V1R2的机制是不管私网终端跟GK之间有没有防火墙,都当成有防火墙来处理,此时GK无法判断是否需要代理公私网穿越,因此私网MCU、T1、T2、T3、位于另一层防火墙之后的A3都需要支持H.460,纯公网终端A1、A2不需要支持H.460;
方案C中H.460位于私网,对内通过H.460穿越FW/NAT-1的防火墙,对外通过公网地址提供服务,因此MCU、T1、T2、T3都需要支持H.460,A1、A2不需要支持H.460,A3终端由于位于另一层防火墙之后也需要支持H.460。
根因
组网方案与准备:
1、组网方案与需要客户准备的IP:
i. 组网方案A,单GK组网,GK放在在DMZ域:

组网中H.460 Server位于DMZ域,对内通过H.460穿越FW/NAT-1的防火墙;对外使用静态NAT地址提供服务。
需要客户提供1个私网地址,作为SMC2.0的地址;需要1个DMZ地址,作为H.460 Server的业务地址;需要1个DMZ地址,SMC 2.0需要把7000端口静态隐射到此地址上;需要1个公网地址,把H.460 Server处在DMZ的业务地址静态映射到此公网地址。

ii. 组网方案B,单防火墙GK位于私网:

需要2个私网地址,分别作为SMC2.0、GK 的地址;1个公网地址,把H.460 Server的私网地址静态映射到此公网地址作为H.460在公网的业务地址。
iii.组网方案C,单防火墙GK位于公网(此方案由于GK直接放置公网,安全风险较大,尽量避免使用):

需要客户提供1个私网地址,作为SMC2.0的地址;需要1个公网地址,作为H.460 Server的业务地址;需要1个公网地址,SMC 2.0需要把7000端口静态隐射到此地址上,此地址可共用防火墙的公网地址(对外服务),无需额外分配。

2、私网与H.460Server之间防火墙FW/NAT-1配置:
i. 方案A中私网与DMZ之间防火墙做SMC2.0 IP的7000端口静态映射;方案B中无FW/NAT-1,不需配置;方案C中私网与公网之间防火墙做SMC2.0 IP的7000端口静态映射。这样处于DMZ/公网的H.460 Server才能连接上SMC2.0。

ii. 私网到H.460Server所在网络做动态映射,方案A中私网到DMZ域;方案B中无需配置;方案C中私网到公网:

3、把H.460Server的地址静态映射到公网IP作为H.460的公网业务地址,H.460Server与公网之间防火墙配置,方案A、方案B中FW/NAT-2,方案C中由于GK位于公网,无需配置:
i. H.460Server到Internet

ii. Internet到H.460Server

4、防火墙关闭H.323ALG与协议检查:
FW/NAT-1与FW/NAT-2都需要关闭H.323ALG与协议检查等。
i. Cisco ASA系列防火墙上关闭H.323协议检查的命令如下:
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect h323 h225
pixfirewall(config-pmap-c)#no inspect h323 ras
ii. Juniper 防火墙上关闭H.323ALG的方法如下:
命令行:
Unset alg h323 enable
Unset alg ras
Unset alg q931
Unset alg h245
或者Web界面:

业务配置:

1、导入独立GK的license:
i. 申请GK的H.460 license(带有穿越流量);
ii. 将其命名为“license_sc.dat”,放置在独立GK的目录下,默认路径为“ D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”;

iii. 放置好license文件后无需重启,等待1分钟自动生效;
iv. 可通过SMC2.0上GK页面确认是否生效,如下图:

2、GK Server配置:
i. 打开GK Server的配置文件“gkcfg.ini”,默认路径“D:\Huawei Technologies Co., Ltd\Switch System\SwitchCentre”,修改“SM-IP”,方案A/C GK Server中修改为SMC2.0 IP 7000端口静态映射到DMZ/公网的IP;方案B中修改为SMC2.0的私网IP。

ii. 登陆SMC2.0系统,进入GK界面。选择某一个GK,点击编辑按钮;
iii. 在弹出的修改GK对话框中点击“其他参数/other parameters”按钮;

iv. 勾选“启用H.460/enable H.460”和“启用媒体网关/enable media gateway”,其他参数默认;
v. 启用媒体端口复用功能,勾选“启用端口复用/enable port reuse”(可选,可减少防火墙端口数量);

vi.方案A/B中 GK Server需要启用NAT,并配置GK Server的NAT地址,方案C中GKServer处于公网无需配置:

3、添加私网区域(根据实际情况分析GK是否需要配置):
原理一:GK通过判断节点是否位于同一网络,来决定是否路由两个节点间的信令和媒体,同一网络的呼叫,GK不路由信令和媒体,跨网络的呼叫,则路由。
建议与总结
视讯项目交付中涉及防火墙穿越的局点较多,希望本案例对于其他局点涉及SMC2.0 H.460 单GK组网、防火墙ALG关闭的配置起到帮助。

END