華北石油通信公司 姚軍 張金雙 李宏瑞
摘要:本文從華北油田專網(wǎng)的特點及視頻會議系統(tǒng)建設(shè)需求入手,詳細介紹了復(fù)雜專網(wǎng)環(huán)境下,如何解決在同一視頻會議系統(tǒng)下的混網(wǎng)混速問題,分析了傳統(tǒng)視頻會議系統(tǒng)與IP網(wǎng)絡(luò)視頻會議系統(tǒng)級聯(lián)時存在的問題以及如何解決等。
關(guān)鍵詞:混網(wǎng)混速NAT 防火墻穿越 VPN
1 引言
華北油田因為行業(yè)自身特點,地域遼闊、人員分散,區(qū)域跨度大,在全國各地乃至國外都有華北油田的分支機構(gòu)。為了節(jié)約時間、降低成本、提高效率、打破地域的界限,華北油田在冀中地區(qū)即油田專用傳輸網(wǎng)所及的11個礦區(qū)建設(shè)了一套視頻會議系統(tǒng),并且華北油田任丘礦區(qū)設(shè)有集團總公司視頻會議分會場。隨著油田生產(chǎn)的需要,在冀中地區(qū)以外如內(nèi)蒙、新疆等油田專網(wǎng)達不到的4個二級單位,準備建立一套基于IP網(wǎng)絡(luò)的視頻會議系統(tǒng)。并通過兩套視頻會議系統(tǒng)的級聯(lián),構(gòu)建一個完整的視頻會議系統(tǒng),使華北油田任何一個礦區(qū)或分支機構(gòu),無論通過專網(wǎng)還是公網(wǎng),都可以通過視頻進行有效、直觀的交流和溝通。
華北油田各單位分布示意圖如下:
2 系統(tǒng)的要求及問題、分析
2.1 系統(tǒng)建設(shè)需求
華北油田在2003年建設(shè)的一套基于H.320的視頻會議系統(tǒng),解決了華北油田冀中地區(qū)各二級單位視頻會議的需求。隨著油田生產(chǎn)的快速發(fā)展,華北油田在全國各地施工單位及分支機構(gòu)的增加,原有視頻會議系統(tǒng)已不能滿足現(xiàn)有的會議要求,因此華北油田于2005年又新建一套基于IP網(wǎng)絡(luò)的視頻會議系統(tǒng)。
要求兩套不同廠家的系統(tǒng)能夠進行級聯(lián),同時能支持集團公司視頻會議,并能召開混網(wǎng)混速會議。
2.2 系統(tǒng)建設(shè)存在問題分析
兩套系統(tǒng)級聯(lián),一套基于H.320協(xié)議,一套基于H.323協(xié)議,并且由于兩套系統(tǒng)的帶寬、速率各不相同,所以要求能夠召開混網(wǎng)混速會議,這在理論上沒有任何問題。整套系統(tǒng)還要求終端無論位于公網(wǎng)、單級私網(wǎng)還是多級私網(wǎng)不同級別的不同私網(wǎng)中,彼此之間均可以通信;而且,所有的終端即可以作為主叫方也可以作為被叫方;能同時完成媒體流和信令流的穿越;終端位于不同的地址域內(nèi),其媒體流必須通過相關(guān)的NAT設(shè)備;穿越方案的實施應(yīng)盡量不影響系統(tǒng)網(wǎng)管的工作,應(yīng)該盡量少的影響到網(wǎng)絡(luò)可靠性;穿越方案不能降低現(xiàn)有H.323多媒體系統(tǒng)的網(wǎng)絡(luò)安全;同時在可能的情況下,應(yīng)能夠考慮提供某些安全措施,因為在視頻會議終端在公網(wǎng)上的安全性不高。
華北油田冀中地區(qū)屬于華北石油通信公司油田專網(wǎng)應(yīng)用范圍之內(nèi),采用E1專線的終端都可以順利連接,只有一個會場因為特殊要求采用IP方式,但也是專線;冀中地區(qū)以外的各外圍施工單位及分支機構(gòu)都是租用當?shù)睾献骰锇榈乃骄W(wǎng)或當?shù)仉娦挪块T的線路,對于電信部門的公網(wǎng)線路,都是獨立的局域網(wǎng),直接連接到Internet上,而當?shù)睾献骰锇榈木钟蚓W(wǎng),由于IPv4地址緊張和網(wǎng)絡(luò)安全等問題,私網(wǎng)上普遍放置了NAT、防火墻設(shè)備,使視頻終端位于私網(wǎng)內(nèi)部,尤其新疆塔里木項目指揮部所使用網(wǎng)絡(luò)還是塔里木油田局域網(wǎng)內(nèi)的1個子網(wǎng)。而且原有視頻會議系統(tǒng)不支持混速,即所有會議必須都以同一速率開視頻會議。
其關(guān)鍵在于目前不同私網(wǎng)內(nèi)大部分NAT和防火墻設(shè)備的存在,阻斷了包括H.323在內(nèi)的多種多媒體通信協(xié)議,導(dǎo)致通信雙方的視頻通道無法正常建立。另外,防火墻設(shè)備在沒有內(nèi)網(wǎng)發(fā)出相應(yīng)消息時也會阻止來自于外網(wǎng)的消息,導(dǎo)致視頻通信失敗。
二連、西安、北戴河3地局域網(wǎng)租用當?shù)?a class="channel_keylink" href="/search.asp">電信或網(wǎng)通IP線路,組成自己的私網(wǎng),只有塔指使用塔里木油田局域網(wǎng)中的子網(wǎng),并且各地網(wǎng)絡(luò)所使用私網(wǎng)IP地址段各不相同。因此,H.323協(xié)議的NAT、防火墻穿越等問題成為開通視訊會議首需解決的問題之一。
3 解決方案
對于原有系統(tǒng)不支持混速問題,很好解決,只要升級系統(tǒng)即可,通過對舊系統(tǒng)的升級,兩套系統(tǒng)可以同時開2M和768K、384K等多種速率的混速會議。H.320與H.323兩套不同協(xié)議系統(tǒng)之間級聯(lián)也不存在太多問題。
對于VPN轉(zhuǎn)換及防火墻穿越問題,經(jīng)過多次的測試,最后決定采用視頻終端+VPN捆綁的技術(shù)方案,考慮到固定的IP地址不好申請,故使用了支持ADSL+VPN或LAN+VPN的接入方式。
華北油田視頻會議所采用的VPN是集成NAT和防火墻功能的網(wǎng)關(guān)硬件設(shè)備,內(nèi)置支持H.323協(xié)議的NAT模塊,由該模塊完成H.323NAT的地址翻譯轉(zhuǎn)換功能,進行地址翻譯和管理,然后轉(zhuǎn)發(fā)給防火墻,這樣既可以使用戶原有安全策略、上網(wǎng)方式保持不變,又不用更改用戶原有私網(wǎng)。方案不僅不會降低現(xiàn)有H.323多媒體系統(tǒng)的網(wǎng)絡(luò)安全,同時在可能的情況下,還考慮提供了某些安全措施。在組建視頻會議系統(tǒng)時,設(shè)計使用VPN技術(shù),讓各節(jié)點間傳輸?shù)臄?shù)據(jù)均通過底層加密,采用128位AES加密VPN隧道,并且通過專用的隧道路由傳輸,可以有效隔絕來自外部網(wǎng)絡(luò)的攻擊,并且可以杜絕信息在傳輸過程中可能的泄漏情況,保證網(wǎng)關(guān)/客戶端和策略中心間的配置數(shù)據(jù)、日志數(shù)據(jù)和控制數(shù)據(jù)的安全。如:為了防止病毒和黑客的攻擊,除了標準的用戶名、密碼接入認證之外,同時提供硬件捆綁的接入認證,采用硬件的特殊屬性以及USB口的DEKY作為雙重接入身份驗證,指定特定用戶訪問局域網(wǎng)的特定資源,只有總部授權(quán)的硬件設(shè)備和硬件DKEY才能允許接入;這樣有效防止各種黑客攻擊。另外還采用了自主中心控制系統(tǒng),不需要專門的第三方服務(wù)提供商進行動態(tài)DNS尋址,所有功能、權(quán)鑒都在本地服務(wù)器上完成。
而且針對臨時駐外辦事處、Internet接入方式復(fù)雜的情況,即有電信線路,又有網(wǎng)通線路,而且視頻通信本身還具有:信息量大、傳輸帶寬高、對網(wǎng)絡(luò)性能要求較高等特征,所以采用多線路捆綁技術(shù)。在主會場所在地采用雙線路出口,對外圍使用ADSL的會場,采用兩條ADSL線路上網(wǎng)方式來開視頻會議,這樣對寬帶質(zhì)量不穩(wěn)定的會場,可以起到保證帶寬的作用。
方案組網(wǎng)示意圖如下:
目前這套系統(tǒng)不僅可以擁有眾多的會場數(shù)量(按全部384K帶寬下開會,可支持384個會場),并且可以實現(xiàn)雙視頻流發(fā)送;同時支持專網(wǎng)、互聯(lián)網(wǎng)、外網(wǎng)和內(nèi)網(wǎng)融合應(yīng)用,公私網(wǎng)穿越技術(shù),低帶寬傳輸,三級級聯(lián)等先進技術(shù);整個方案實現(xiàn)了資源的統(tǒng)一調(diào)度、用戶集中管理、會議集中控制,并提供了完善的號碼編址體系,注重了系統(tǒng)的可靠性、擴展性和設(shè)備的兼容性,使建成后的系統(tǒng)除了具有較高的會議圖象及話音質(zhì)量外,還有使用靈活、控制簡單、統(tǒng)一管理的特點,還支持桌面?zhèn)魉汀㈦p屏顯示、速率和協(xié)議適配、多畫面等功能。
4 結(jié)束語
視頻通信中的NAT/Firewall穿越是一個非常普遍的問題,因為涉及的網(wǎng)絡(luò)情況復(fù)雜多樣,現(xiàn)有的解決方案和技術(shù)眾多,因此一個成功的應(yīng)用方案,對運營商建設(shè)下一代網(wǎng)絡(luò)并普及多媒體增值業(yè)務(wù),提供良好的借鑒作用。
行業(yè)企業(yè)市場一直是僅次于政府的視頻會議第二大市場,專網(wǎng)專用也正好符合企業(yè)內(nèi)部的宗旨,在企業(yè)的遠程教育和培訓(xùn)、企業(yè)內(nèi)部的實時溝通、工作匯報、內(nèi)部外部遠程項目的合作等需求上,都存在著良好的應(yīng)用前景。
