华北石油通信公司 姚军 张金双 李宏瑞
摘要:本文从华北油田专网的特点及视频会议系统建设需求入手,详细介绍了复杂专网环境下,如何解决在同一视频会议系统下的混网混速问题,分析了传统视频会议系统与IP网络视频会议系统级联时存在的问题以及如何解决等。
关键词:混网混速NAT 防火墙穿越 VPN
1 引言
华北油田因为行业自身特点,地域辽阔、人员分散,区域跨度大,在全国各地乃至国外都有华北油田的分支机构。为了节约时间、降低成本、提高效率、打破地域的界限,华北油田在冀中地区即油田专用传输网所及的11个矿区建设了一套视频会议系统,并且华北油田任丘矿区设有集团总公司视频会议分会场。随着油田生产的需要,在冀中地区以外如内蒙、新疆等油田专网达不到的4个二级单位,准备建立一套基于IP网络的视频会议系统。并通过两套视频会议系统的级联,构建一个完整的视频会议系统,使华北油田任何一个矿区或分支机构,无论通过专网还是公网,都可以通过视频进行有效、直观的交流和沟通。
华北油田各单位分布示意图如下:
2 系统的要求及问题、分析
2.1 系统建设需求
华北油田在2003年建设的一套基于H.320的视频会议系统,解决了华北油田冀中地区各二级单位视频会议的需求。随着油田生产的快速发展,华北油田在全国各地施工单位及分支机构的增加,原有视频会议系统已不能满足现有的会议要求,因此华北油田于2005年又新建一套基于IP网络的视频会议系统。
要求两套不同厂家的系统能够进行级联,同时能支持集团公司视频会议,并能召开混网混速会议。
2.2 系统建设存在问题分析
两套系统级联,一套基于H.320协议,一套基于H.323协议,并且由于两套系统的带宽、速率各不相同,所以要求能够召开混网混速会议,这在理论上没有任何问题。整套系统还要求终端无论位于公网、单级私网还是多级私网不同级别的不同私网中,彼此之间均可以通信;而且,所有的终端即可以作为主叫方也可以作为被叫方;能同时完成媒体流和信令流的穿越;终端位于不同的地址域内,其媒体流必须通过相关的NAT设备;穿越方案的实施应尽量不影响系统网管的工作,应该尽量少的影响到网络可靠性;穿越方案不能降低现有H.323多媒体系统的网络安全;同时在可能的情况下,应能够考虑提供某些安全措施,因为在视频会议终端在公网上的安全性不高。
华北油田冀中地区属于华北石油通信公司油田专网应用范围之内,采用E1专线的终端都可以顺利连接,只有一个会场因为特殊要求采用IP方式,但也是专线;冀中地区以外的各外围施工单位及分支机构都是租用当地合作伙伴的私网或当地电信部门的线路,对于电信部门的公网线路,都是独立的局域网,直接连接到Internet上,而当地合作伙伴的局域网,由于IPv4地址紧张和网络安全等问题,私网上普遍放置了NAT、防火墙设备,使视频终端位于私网内部,尤其新疆塔里木项目指挥部所使用网络还是塔里木油田局域网内的1个子网。而且原有视频会议系统不支持混速,即所有会议必须都以同一速率开视频会议。
其关键在于目前不同私网内大部分NAT和防火墙设备的存在,阻断了包括H.323在内的多种多媒体通信协议,导致通信双方的视频通道无法正常建立。另外,防火墙设备在没有内网发出相应消息时也会阻止来自于外网的消息,导致视频通信失败。
二连、西安、北戴河3地局域网租用当地电信或网通IP线路,组成自己的私网,只有塔指使用塔里木油田局域网中的子网,并且各地网络所使用私网IP地址段各不相同。因此,H.323协议的NAT、防火墙穿越等问题成为开通视讯会议首需解决的问题之一。
3 解决方案
对于原有系统不支持混速问题,很好解决,只要升级系统即可,通过对旧系统的升级,两套系统可以同时开2M和768K、384K等多种速率的混速会议。H.320与H.323两套不同协议系统之间级联也不存在太多问题。
对于VPN转换及防火墙穿越问题,经过多次的测试,最后决定采用视频终端+VPN捆绑的技术方案,考虑到固定的IP地址不好申请,故使用了支持ADSL+VPN或LAN+VPN的接入方式。
华北油田视频会议所采用的VPN是集成NAT和防火墙功能的网关硬件设备,内置支持H.323协议的NAT模块,由该模块完成H.323NAT的地址翻译转换功能,进行地址翻译和管理,然后转发给防火墙,这样既可以使用户原有安全策略、上网方式保持不变,又不用更改用户原有私网。方案不仅不会降低现有H.323多媒体系统的网络安全,同时在可能的情况下,还考虑提供了某些安全措施。在组建视频会议系统时,设计使用VPN技术,让各节点间传输的数据均通过底层加密,采用128位AES加密VPN隧道,并且通过专用的隧道路由传输,可以有效隔绝来自外部网络的攻击,并且可以杜绝信息在传输过程中可能的泄漏情况,保证网关/客户端和策略中心间的配置数据、日志数据和控制数据的安全。如:为了防止病毒和黑客的攻击,除了标准的用户名、密码接入认证之外,同时提供硬件捆绑的接入认证,采用硬件的特殊属性以及USB口的DEKY作为双重接入身份验证,指定特定用户访问局域网的特定资源,只有总部授权的硬件设备和硬件DKEY才能允许接入;这样有效防止各种黑客攻击。另外还采用了自主中心控制系统,不需要专门的第三方服务提供商进行动态DNS寻址,所有功能、权鉴都在本地服务器上完成。
而且针对临时驻外办事处、Internet接入方式复杂的情况,即有电信线路,又有网通线路,而且视频通信本身还具有:信息量大、传输带宽高、对网络性能要求较高等特征,所以采用多线路捆绑技术。在主会场所在地采用双线路出口,对外围使用ADSL的会场,采用两条ADSL线路上网方式来开视频会议,这样对宽带质量不稳定的会场,可以起到保证带宽的作用。
方案组网示意图如下:
目前这套系统不仅可以拥有众多的会场数量(按全部384K带宽下开会,可支持384个会场),并且可以实现双视频流发送;同时支持专网、互联网、外网和内网融合应用,公私网穿越技术,低带宽传输,三级级联等先进技术;整个方案实现了资源的统一调度、用户集中管理、会议集中控制,并提供了完善的号码编址体系,注重了系统的可靠性、扩展性和设备的兼容性,使建成后的系统除了具有较高的会议图象及话音质量外,还有使用灵活、控制简单、统一管理的特点,还支持桌面传送、双屏显示、速率和协议适配、多画面等功能。
4 结束语
视频通信中的NAT/Firewall穿越是一个非常普遍的问题,因为涉及的网络情况复杂多样,现有的解决方案和技术众多,因此一个成功的应用方案,对运营商建设下一代网络并普及多媒体增值业务,提供良好的借鉴作用。
行业企业市场一直是仅次于政府的视频会议第二大市场,专网专用也正好符合企业内部的宗旨,在企业的远程教育和培训、企业内部的实时沟通、工作汇报、内部外部远程项目的合作等需求上,都存在着良好的应用前景。
