欢迎光临 江苏海清通信 官方网站!

新浪微博 腾讯微博 关于海清 | 网站地图

海清通信

卓效会议触手可及12年专注视频会议解决方案
咨询热线:400-0512-402
0512-67586679
选择海清通信,会议沟通不再有距离
首页 » 海清通信资讯中心 » 行业资讯 » 浅聊华为视频会议系统中组网的可以使用的几种方案

浅聊华为视频会议系统中组网的可以使用的几种方案

文章出处:江苏海清通信科技有限公司人气:-发表时间:2015-09-29 13:41【

今天小编为您介绍华为视频会议系统在组网过程中可以使用的2种组网方案。江苏海清通信科技有限公司是华为视讯的金牌代理商,8年专注视频会议解决方案!

1.野蛮方案:让视讯设备之间的通信绕着防火墙走,使数据传输不经过防火墙,这一想法催生了“SC骑墙”方案。 

该方案下,SC服务器通过两个物理网卡接入到不同网络,SC可以同时监听和处理两个网络的信令,并对两个网络的媒体进行转发,实现网络互通。但由于绕过了防火墙,该方案很可能不被客户接受。 

2.智慧方案:在防火墙两侧部署穿越的客户端和服务端,通过标准的协议实现公私网穿越。视讯设备间的通信都是基于H.323或SIP协议,其中,H.460协议定义了H.323通信下的公私网穿越标准,而SIP通信基于其协议自身的简单灵活,可方便实现公私网穿越。那谁来充当这个服务端和客户端呢?答案还是SC。 

企业的防火墙通常会划分三个安全区域:Trust、DMZ和Untrust,三个区域的安全级别为Trust>DMZ>Untrust,每个安全区域通过接口与实际网络对应,从而实现防火墙对不同网络的区分和隔离,当报文在不同的安全区域之间流动时,触发防火墙进行安全检查,也就是我们前面所说的防火墙的安全策略功能。一般Trust区域对应企业私网,Untrust区域对应Internet(公网),而DMZ区域对应企业单独划分出来的服务器区,该区域也使用私网IP,区域中的服务器可以通过防火墙配置NAT Server功能对外提供访问服务,如SC2就需要对公网提供注册和呼叫服务。 

为了更清晰的体现防火墙安全区域在视讯组网中的应用,我们将安全区域改画至下面的组网中。相信大家可以意识到:组网中的两堵防火墙实际是同一个设备,在任意两个不同区域之间都起到了隔离作用。 

该组网下,防火墙上各区域之间的安全策略配置原则如下: 

一、Trust区域中的设备不允许外部设备主动访问,所以Trust和DMZ之间只开放指定源网段outbound方向的单向安全策略。 

二、位于DMZ区域的SC2允许公网终端通过公网IP地址访问,也需要主动访问公网终端,所以DMZ和Untrust之间要开放服务器IP地址+指定端口的双向安全策略。 

三、Trust和Untrust区域间的媒体通信由SC1和SC2进行转发,所以无需配置Trust和Untrust区域之间的安全策略。 

在组网中,SC1代理客户端,SC2代理服务端。然而,大家知道,我们的很多设备(如MCU、VCT、TEX0)本身具有H.460客户端功能,所以当私网中所有需要和公网互通的设备都具有H.460客户端功能后,充当H.460客户端的SC1也可以省略,因此形成了下面这个组网。 

那设备的部署对企业已有的组网规划是否有特殊要求呢?大家可能在组网图中已经察觉出了端倪。是的!就是在DMZ区域,必须给SC划分两个网段!SC服务器通过两个物理网卡接入两个网段,接口1配置了通向企业私网的静态路由,接口2配置了通向公网的静态映射。划分不同的网段使得SC将私网业务和公网业务进行了很好的分离,私网设备间的呼叫仅通过接口1处理,公网设备间的呼叫仅通过接口2处理,只有当公网和私网设备进行通信时,SC才通过两个接口转发数据。 


【文章源自:江苏海清通信