2022年FIN产品NGIN智能网私网穿越实施方案专题VB.docx

精品学习资源资料编码产品名称FIN使用对象华为工程师产品版本ENIP编写部门智能网产品部资料版本V1.0FIN产品NGIN智能网私网穿越方案专题拟制：吴晓峰日期：2006-7-24审核：陈俊日期：2006-7-26审核：批准：日期：日期：华为技术有限公司版权全部侵权必究修订记录日期修订版本描述作者2006-7-241.0初稿吴晓峰欢迎下载精品学习资源欢迎下载精品学习资源目 录第 1 章 前言 1第 2 章 基本概念以及设备介绍 22.1 什么是私网穿越 22.2 NAT穿越 22.3 会话边界把握器SBC32.4 运营商网络侧方案 52.4.1 ENIP平台与软交换位于同一个私网52.4.2 ENIP平台与软交换位于不同的私网72.5 用户网络侧方案 92.5.1网吧用户92.5.2家庭用户92.5.3企业用户92.5.4 华为企业用户 11第 3 章 SBC （PROXY ）如何解决 NAT 穿越问题 123.1 注册流程 133.2 呼叫流程 143.3 媒体处理流程 15第 4 章 实例分析 164.1 上海电信方案 164.1.1 组网图 164.1.2 SBC （ E2200 ）配置 164.2 深圳电信方案 214.2.1 UCV2.1改造方案 214.2.2 UCV2.2改造方案 25第 5 章 常见问题 255.1 SBC以及防火墙上需要做的配置255.2 IMU公网调测时需要修改的配置265.3 如何放开 MRS 的 FTP 端口 265.4 假如 IM 的好友信息无法得到或您添加了好友信息刷新后就不见了怎么办26欢迎下载精品学习资源关键词：UC 私网穿越 NAT SBC摘要：本文主要是环围着UC 业务的私网穿越问题开放论述，从基本设备和概念到各种组网以及配置， 同时举出实际的例子供参考缩略语清单：NAT: Network Address Translation SBC: Session Border Controller参考资料清单：Eudemon会话边界把握器基本原理专题-20050723-A FIN 产品ENIP 与周边网元对接指导书V1.0-20060316-B 欢迎下载精品学习资源第1章 前言目前，随着 NGN 设备的日趋成熟，智能网侧的sip 类业务也正在逐步地被开发和应用；其中，最具代表性地业务为UC （统一通讯）；UC 业务应用时，用户有可能处于企业网、小区网络、网吧、家庭网络中，这些网络中，有些网络用户可以直接猎取公网IP，如家庭拨号上网；有些网络 为明白决公网 IP 匮乏问题， 把私网通过 NAT 设备接入到公网； 有些网络不仅需要考虑公网 IP 共用，而且仍要考虑到安全性，因此通常部署防火墙FW 设备以进行 NAT 转换和安全防范，如企业网；由于UC 业务应用中 SIP 信令在交互阶段会在协议消息的净荷中携带地址信息，并依据这些地址信息进行报文的应答；而且其媒体流通道的地址和端口都是由信令交互协商产生的动态信息， 这些信息也是在消息净荷中承载；通常 NAT 设备仅对 IP 包头中的地址及端口号进行转换，并不对消息净荷中的媒体连接信息进行转换，净荷中的私网地址无法被NAT 映射成公网地址并传递到对端，因此UC 业务无法跨过NAT 设备；如下图所示：所以，在进行NAT 转换时，必需有才能处理协议中SDP 的消息，现在公司的防火墙中，必需要Eudemon2000以上才能支持；另外，电信私网（如CN2 ）与 Internet公网之间的隔离，也使得通过公网接入的用户拜望私网中的软交换设备发生了困难，造成 UC 业务信令媒体无法穿越两个网络之间得防火墙；欢迎下载精品学习资源本文就将如何实现不同网络之间的私网穿越问题进行探讨；第2章 基本概念以及设备介绍2.1 什么是私网穿越所谓私网穿越，通俗地来说就是指实现私网与公网的各种消息的正常拜望， 如 sip， http 等等；概括来说，可以归纳为以下两点：1） ）一般地，私网内使用的ip 地址都是私有网络地址，要使公网地地址能够拜望私网内地地址，就需要将私网内地地址转换成公网地址，或者对私网内的地址进行代理；2） ）私网的出口处一般都会部署防火墙设备，防火墙对一些端口的使用进行了屏蔽，为了中意业务的正常使用，需要打开相应的地址和端口，使得网内和网外能够通过这些端口进行正常的通讯；2.2 NAT 穿越NAT （ Network Address Translation）主要用于在私网（即内部网络）和公网（即外部网络）之间进行地址转换，通过以少量公有IP 地址代表多数私有IP地址的方式来节省日益削减的IP 地址资源；通常在网络边缘路由器或防火墙上配置 NAT 功能；一般NAT实现分为两种：基本NAT和 NAPT （ NetworkAddressPort Translation ）；基本 NAT 只对 IP 包头中的 IP 地址及校验和进行转换，当内网中多台主机同时拜望外网时，就需要有多个公有 IP 地址以供 NAT 转换使用；NAPT 方式答应内网中多台主机共用一个公网地址，也就是将内网不同主机的<IP 地址端口 >信息映射到 <公网 IP 地址端口 >来实现的；这种方式可以节省大量的公网 IP 地址；通常利用在 NAT 设备上爱惜一张NAT 映射表来实现地址转换；NAT 设备接收到需进行地址转换的报文后，查询该表并依据表中的内容进行地址替换；该表中的每条表项都拥有一个老化时间，即在这段时间内如某映射表项未一直使用，就该表项失效；NAT 映射表可以手工配置，也可自动生成；欢迎下载精品学习资源2.3 会话边界把握器SBC企业一般在出口处部署NAT/FW设备，对内部地址进行转换；对一般数据报文， NAT/FW设备只需要转换 IP/TCP/UDP头即可，但对于 H.323 、MGCP 、SIP 、H.248 等 NGN 应用来说， 信令交互所需要的信令地址是在报文负载中， 同时媒体流呼叫地址由信令协议动态协商，而信令协议里面的信令地址和媒体地址是私有的IP 地址， 私有 IP 地址在公网上是不能路由的，所以需要对信令里的地址信息也进行转换；实际现有的 NAT/FW设备很多不支持这种应用，造成实际开展NGN 业务比较困难；会话边界把握器SBC 可以很好的解决这个问题；会话边界把握器英文名为 Session Border Controller SBC ，或者 Boarder Session Controller BSC ； 有 时 SBC 也 被 称 为 BACBoarder Access Controller ， ABPAccess Border Point 以及 IBPInternet Border Point ；SBC 典型的网络位置如下：SBC 设备一般位于城域网的汇聚层，终端设备都经过 SBC 接入到 NGN 网络， 解决用户使用 NGN 业务时的安全、 NAT 穿越、 QOS 等问题； SBC 也可以位于企业网的出口；SBC 也可以作为不同的NGN 网络之间的互通设备， 解决不同地址域之间的互通、 QOS保证、网络隐匿等安全问题；有时也称为NBP （ NetworkBorderPoint ）；SBC 一般基于 Proxy 技术实现；欢迎下载精品学习资源1) 信令代理Eudemon2x00对 NGN 用户来说可看作是软交换系统，即用户的注册和呼叫消息都会先发给Eudemon2x00，经过信令处理后再转发给核心软交换系统（如华为公司 SoftX3000系统） ；另一方向， Eudemon2x00相对核心软交换系 统 又 可 看 作 是 用 户 ， 软 交 换 系 统 首 先 将 呼 叫 被 叫 的 请 求 发 给Eudemon2x00，经过信令处理后再转发给真正的被叫用户；Eudemon2x00通过对信令进行处理和分析，得到本次会话的地址变换状况、带宽需求等信息，并依据当前网络资源占用情形等信息来准备媒体流是否通 过 Eudemon2x00，从而起到网络爱惜、防止带宽盗用等作用；目前，Eudemon2x00支持 SIP、H.323 、MGCP 、H.248 、iDo 、U-Path 等协议的呼叫代理功能；2) 媒体代理Eudemon2x00是媒体流 RTP/RTCP 的必经之处，全部域内用户与外界互通的媒体流都经过Eudemon2x00进行处理和转发； Eudemon2x00第一检查报文的合法性，依据信令处理结果来制定媒体流转发策略（如包过滤、QoS和地址转换策略），通过指定内网/外网用户 RTP 流的接收地址和端口，来确保无论接受何种组网方案媒体流都能被正确转发并得到良好的QoS和安全保证；由于媒体流都经过Eudemon2x00进行处理和转发， 因此 Eudemon2x00支持基于会话流量的计费，丰富了计费手段，并使得这些基于 IP 的音频 /视频业务计费更加合理； Eudemon2x00仍可以识别会话流并为会话流设置QoS 标记、带宽支配，及可视会话的安全应用，从而很好地服务于会议电视解决方案；目前 Eudemon2x00系列共包括三款产品， Eudemon2100、Eudemon2200、Eudemon2300；欢迎下载精品学习资源典 型组网方案介绍2.4 运营商网络侧方案2.4.1 ENIP 平台与软交换位于同一个私网1. 组网图ENIP 平台与软交换位于同一个私网时，ENIP 与软交换之间通过SIP-T 中继， 不需要使用 SBC 作为互通网关；欢迎下载精品学习资源在 UCv2.1 版本中， UC 客户端需要分别往软交换注册软号码以及往ENIP 平台注册即时消息， 且 ENIP 平台与软交换位于私网， 所以需要 SBC 代理 ENIP 平台与软交换；在UCV2.2版本中准时消息功能由单独的IMU服务器取代presence ， UC 终端没有直接和AS 的信令交互，因此只需要SBC 代理软交换；同时增加IMU 服务器的地址映射；防火墙作为一种安全设备将会屏蔽一些不使用的地址和端口；2. 配置指南假设 IP 情形如下：SOFTX 的 IP ： 192.168.0.1 ENIP 平台地址： 192.168.0.2PORTAL地址： 192.168.0.10IMU 地址： 192.168.0.11SBC 的 IP ： interface eth0/0:10.71.121.15410.71.121.155 subinterface eth0/1 : 192.168.0.3192.168.0.4 sub配置脚本：配置软交换的地址映射，使SBC 成为软交换的代理sbcsignal-addrmapclientaddr10.71.121.154serveraddr192.168.0.3softxaddr 192.168.0.1sbc media-addrmap clientaddr 10.71.121.154 serveraddr 192.168.0.3配置 ENIP 的地址映射，使 SBC 成为 ENIP 的代理； （ UCv2.2 版本不用配置ENIP 的代理）sbcsignal-addrmapclientaddr10.71.121.155serveraddr192.168.0.4softxaddr 192.168.0.2sbc media-addrmap clientaddr 10.71.121.155 serveraddr 192.168.0.4配置 NAT Server ，将核心网中的 portal Server和 IMU Server映射出来；Nat Server protocol tcp global 10.71.121.155 8080 inside 192.168.0.108080 安装 portal 过程中所设置的端口，默认是8080Nat Server protocol tcp global 10.71.121.155 8443 inside 192.168.0.108443欢迎下载精品学习资源nat server protocol udp global 10.71.121.155 1977 inside 192.168.0.11 1977（中心服务器的服务端口）nat server protocol udp global 10.71.121.1556600 inside 192.168.0.116600（局服务器的服务端口）nat server protocol udp global 10.71.121.1552021 inside 192.168.0.112021（转发服务器端口）nat server protocol udp global 10.71.121.1559191 inside 192.168.0.119191（号码转换服务器的服务端口）2.4.2 ENIP 平台与软交换位于不同的私网1. 组网图ENIP 平台与软交换位于不同的私网， ENIP 与软交换之间必需使用 SBC 作为互通网关；软交换位于私网，所以需要 SBC 代理软交换； Web Portal 和 IMU Server 需要做地址映射；2. 配置指南假设 IP 情形如下：SOFTX 的 IP ： 192.168.0.1/24 ENIP 平台地址： 192.168.1.2/24 PORTAL地址： 192.168.1.10/24 IMU 地址： 192.168.0.11/24欢迎下载精品学习资源互通网关 SBC 的 IP： interface eth0/0: 192.168.0.3/24interface eth0/1 : 192.168.1.3/24 代理 SBC 的 IP： interface eth0/0:10.71.121.154 10.71.121.155 subinterface eth0/1 : 192.168.0.3192.168.1.4 sub配置脚本：对代理 SBC 进行配置配置软交换的地址映射，使SBC 成为软交换的代理sbcsignal-addrmapclientaddr10.71.121.154serveraddr192.168.0.3softxaddr 192.168.0.1sbc media-addrmap clientaddr 10.71.121.154 serveraddr 192.168.0.3配置 ENIP 的地址映射，使 SBC 也成为 ENIP 的代理； （ UCv2.2 版本不用配置 ENIP 的代理）sbcsignal-addrmapclientaddr10.71.121.155serveraddr192.168.1.4softxaddr 192.168.1.2sbc media-addrmap clientaddr 10.71.121.155 serveraddr 192.168.1.4配置 NAT Server ，将核心网中的 portal Server和 IMU Server映射出来；Nat Server protocol tcp global 10.71.121.155 8080 inside 192.168.1.108080 安装 portal 过程中所设置的端口，默认是8080Nat Server protocol tcp global 10.71.121.155 8443 inside 192.168.1.108443 安装 portal 过程中所设置的端口，默认是8443nat server protocol udp global 10.71.121.155 1977 inside 192.168.0.11 1977（中心服务器的服务端口）nat server protocol udp global 10.71.121.155 6600 inside 192.168.0.11 6600（局服务器的服务端口）nat server protocol udp global 10.71.121.155 2021 inside 192.168.0.11 2021（转发服务器端口）nat server protocol udp global 10.71.121.155 9191 inside 192.168.0.11 9191（号码转换服务器的服务端口） 对互通网关 SBC 进行配置欢迎下载精品学习资源配置 IP-IP 互通网关路由；sbc intercom ip-route 192.168.0.3 192.168.1.2 192.168.1.3sbc intercom ip-route 192.168.1.3192.168.0.1 192.168.0.32.5 用户网络侧方案在使用 EudemonSBC 设备进行私网穿越的基础上，各种不同接入方式的终端用户由于网络不同，因此其对应的解决方案也有所区分；下面针对通过不同接入方式接入到163 IP 网络的终端用户开展UC 业务的方案进行说明；以下方案都是以EudemonSBC 作为私网穿越的手段，全部用户在开户时已经指定了业务注册服务器为EudemonSBC 设备，而非软交换和应用服务器， 而且用户只需要知道Web 登陆服务器的地址， Eudemon SBC设备的地址和端口对用户来说都是屏蔽的；注：UC 终端信令端口范畴： 5060 5069 ；音频端口范畴： 10500 10509 ；视频端口范畴10510 10519 ；Eudemon侧的信令端口（知名端口）与媒体端口由配置准备；2.5.1 网吧用户网吧一般都是私网，然后通过NAT 设备接入到公网；对于这种网络结构，用户侧网络无需更换，达到了用户侧网络零配置要求；网吧内的终端用户依据正常的方式使用UC 业务；对于媒体流来说， 同一网吧内的用户的媒体流在终端之间直接传输，对于网吧用户和公网用户或者其他私网用户之间的媒体流由 SBC 设备进行转发；2.5.2 家庭用户家庭用户一般通过拨号、 ADSL 、LAN 接入到公网， 用户可以直接猎取公网IP， 具有公网 IP 的终端使用 UC 业务时网络无需更换； 终端用户可以正常使用UC 业务；对于媒体流来说，公网上的用户的媒体流在终端之间直接传输，与私网用户之间的媒体流由SBC 设备进行转发；假如在家庭网络后接有NAT 设备然后再连接一个私网的网络，与网吧网络类似，可以做到零配置；2.5.3 企业用户企业网络一般也是私网，然后通过NAT/FW设备接入到公网；由于企业网对网络安全要求比较高，因此在企业网出口部署防火墙；假如企业网出口处没有防火墙或者防火墙上没有对信令和媒体报文进行限制，这种网络与网吧相同，用户侧可以做到零配置，这里不再争辩；假如防火墙已经对信令和媒体9 / 30欢迎下载精品学习资源进行了限制， 就需要对防火墙进行一些配置修改，使其中意供应UC 业务的要求；下面主要针对各种不同的防火墙配置和供应的业务进行说明；1） ） 只开放信令端口，答应信令报文穿越防火墙；UC 业务使用 SIP 信令进行会话， 因此， 在防火墙上放开信令端口限制是进行UC 业务的前提；开放信令端口，意味降低安全性，我们可以通过确定的手段来把风险降到最低限度；由于私网内的终端的全部SIP信令都只发送到Eudemon SBC设备，全部接收的SIP 信令都只来自于 Eudemon SBC设备， 因此，可以通过配置FW 的安全规章，只答应外网IP 为 EudemonSBC 的UDP 报文通过， 这样可以屏蔽其他用户的非法拜望，达到提高安全性的目的；（详细方案由数通防火墙专家给出）；SIP 信令可以穿越后，私网中的UC 终端可以使用一些UC 业务，包括显现治理，即时通信，点击拨号（非软电话终端），点击会议（非软电话终端）等业务；由于防火墙没有开通媒体端口，因此无法使用软电话终端与公网和其他私网内用户进行媒体通讯，只能使用点击拨号的方式，把主叫指定为固定电话，让媒体走PSTN 网络；会议功能也是如此；由于EudemonSBC 具有媒体旁路功能， 即同一网络内的终端媒体直接互通而不经过SBC 设备，因此， 可以使用软电话在私网内部终端之间进行音视频媒体通讯，召开音视频会议；要实现旁路功能有个前提，私网到公网的出口只有一个IP 地址；另外，以上的方式无法实现MRS 媒体流穿越防火墙对私网内UC 的软终端放音；2） ） 开放信令和音频媒体端口，答应信令和音频媒体报文穿越防火墙要使用软电话终端与公网或者其他私网内的终端进行音频媒体通讯，或者需要公网上的 MRS 为软电话终端放音就必需进一步放开音频媒体端口；与SIP 信令类似，由于私网终端媒体流也仅与Eudemon SBC设备进行通讯，因此， 也可以通过配置FW 的安全规章使得安全性风险降到最低；放开音频媒体端口以后，可以供应更加丰富得媒体业务；除了私网内软电话与公网和其他私网内的终端无法进行视频通讯以外，其他业务都可以使用；软电话在同一私网内可以进行视频通讯；3） ） 开放信令和音视频媒体端口，答应信令和音视频媒体报文穿越防火墙要使私网内的软电话可以与公网或者其他私网内的终端进行视频通讯，就只有连续放开防火墙的视频媒体端口；同样，私网终端的视频媒体也仅与Eudemon SBC设备进行通讯， 因此， 也可以通过配置 FW 的安全规章使得安全性风险降到最低；放开视频媒体端口以后，可以供应全部的UC 业务；以上三种方式的FW 的配置方式都是如下形式：欢迎下载精品学习资源出私网： SIP 不限 /SPORT 受限DIP 受限 /DPORT 不限 进私网： SIP 受限 /SPORT 不限DIP 不限 /DPORT 受限 2.5.4 华为企业用户华为的企业网是典型的企业网组网方式，在企业出口处部署防火墙，该防火墙禁止除非军事区 DMZ 之外的任何私网地址与外网的直接连接；另外， 公司内部私网也分为三大块，分别为研发区R&D 、非研发区 nonR&D 和业务与软件区，三块之间不能互通；为了为公司私网内的用户供应对外的Email 、WWW 等服务，公司在 DMZ 区中布署了 Email 代理服务器、 Proxy 代理服务器， FW 答应这些代理服务器拜望 INTERNET ，私网内用户就通过这些代理使用相应的业务；为了供应 UC 业务，可以在DMZ 区布署 Eudemon2200设备，和其它代理不同， Eudemon2200有两个 IP 地址，一个用于连接私网内用户，另一个就可以路由到外部 INTERNET ；为这种企业私网用户开通UC 时，其 SIP 帐号注册的服务器不是SoftSwitch ，而是企业内DMZ 区的 Eudemon2200；这种情形下的 FW 的安全规章配置方式是：欢迎下载精品学习资源出私网： SIP 受限 /SPORT 不限DIP 受限 /DPORT 不限 进私网： SIP 受限 /SPORT 不限DIP 受限 /DPORT 不限 为了进一步提高安全性，可以利用Eudemon2200的 UDP 隧道功能，如上图所示，在 DMZ 区的 Eudemon2200与运营商侧的 Eudemon2200之间建立UDP 隧道，由于 UDP 隧道可以使用指定的端口，这样，FW 的安全规章配置方式可以进一步严格化为：出私网： SIP 受限 /SPORT 受限DIP 受限 /DPORT 受限 进私网： SIP 受限 /SPORT 受限DIP 受限 /DPORT 受限 使用上述方案时，将使得企业私网内的用户可以与公网用户进行音视频通话；如需要禁止内外网之间的视频通话，就需要布署在DMZ 区的 Eudemon2200实现以下功能：检查穿过它的媒体包，抛弃视频包；由于 UC 终端中通过 FTP 协议猎取版本升级信息、会议录音文件等，所以仍需要供应 FTP 的穿越功能，实现方案是在DMZ 区布署一个FTP 的 SOCKS 代理服务器， UC 终端就需要实现FTP 的 SOCKS客户端功能；另一种解决 方法就是将 UC 终端的 FTP 接口都改成 HTTP 接口；这个问题目前仍没有不需要修改现有版本而通过组网解决的方案；第3章 SBC （ PROXY ）如何解决 NAT 穿越问题在 2.3 节提到， SBC 一般基于 Proxy 技术实现； 本章以 SIP 为例， 介绍 Proxy在公网时实现 NAT 穿越的原理；以 Proxy 设备在公网组网介绍Proxy 设备的基本工作流程；共分三个流程：用户注册流程、呼叫流程和媒体处理流程；欢迎下载精品学习资源3.1 注册流程1) 用户发起注册请求；注册报文头部的源地址和净荷中的联系地址均为该终端的私网地址 /端口；2) NAT 设备支配一个公网地址/端口，转换该报文头部的源地址信息，并转发报文；3) Proxy设备收到注册报文，支配公网信令地址/端口，转换该报文头部和净荷中的地址信息并记录地址的映射关系；向用户所属的软交换发起注册请求；4) 软交换上用户认证通过，并将响应报文发回给Proxy 设备；5) Proxy 设备收到响应报文； 依据地址映射关系修改报文头部和净荷中的地址信息，并转发该响应报文；6) NAT 设备转换响应报文中的目的地址信息并转发该报文至用户终端；7) Proxy 设备定期向NAT 设备发送报文来刷新NAT 表项，以爱惜 NAT 上的地址转换关系在以后的会话过程中不发生变化；欢迎下载精品学习资源3.2 呼叫流程1) 主叫发起呼叫；报文头部源地址和净荷中联系地址及媒体接收地址均为该终端的私网地址 /端口；2) 主叫侧NAT设备支配一个公网地址/端口，转换该报文头部的源地址信息，并转发报文；3) 主叫侧 Full Proxy设备收到呼叫请求报文； 为本次呼叫支配媒体外网侧的接收地址 /端口和信令地址 /端口并记录地址映射关系，转换报文头部和净荷中的地址信息后，转发该报文；4) 软交换收到呼叫请求报文并转发到被叫侧Full Proxy设备；欢迎下载精品学习资源5) 被叫侧 FullProxy 设备为本次呼叫支配媒体内网侧的接收地址/端口和信令地址 /端口并记录地址映射关系，转换报文头部和净荷中的地址信息后，转发该报文；6) NAT 依据注册过程所形成的地址映射关系修改报头信息并转发给用户；7) 被叫终端发出呼叫进展响应（SIP 协议中，其状态码为1xx ），它所设置被叫媒体流接收的地址为自身的私网地址/端口；8) 经 NAT 后被叫侧 Full Proxy设备收到该消息，为本次会话支配媒体外网侧接收地址 / 端口并转换报文头部和净荷中的地址信息后，发送该消息；9) 软交换转发该消息到主叫侧Full Proxy设备；10) 主叫侧收到该消息，为本次会话支配媒体内网侧接收地址/端口并转换报文头部和净荷中的地址信息后，发送该消息；11) 被叫发出呼叫成功响应（SIP 协议中，其状态码为200 ），相关流程类似于呼叫进展响应；（注：后续仍有主叫的ACK 响应消息等，它们的流程均类似于呼叫进展响应）12) 呼叫成功后， 主/被叫开头媒体交互， 此时 Proxy 设备完成媒体中继功能；13) 会话终止，一方发起BYE 请求，经 Full Proxy设备代理后，另一方响应当请求；整个呼叫代理过程终止；3.3 媒体处理流程1) 在 RTP 报文到达前的呼叫信令处理过程已使Full Proxy设备感知了媒体的相关描述，生成了包括RTP 的转换地址 /端口、带宽和流向等信息；2) Full Proxy 设备依据已猎取得信息对接收到的RTP 流完成安全检查和媒体流地址转换处理后，进行媒体流的转发；欢迎下载精品学习资源第4章 实例分析4.1 上海电信方案4.1.1 组网图如上图所示， 上海电信在原有 UC 一期的基础上增加了UC 二期的设备， 除了增加一套 ENIP 平台以及一台web portal服务器之外， 仍增加了一台UM 服务器以及一台 IMU 服务器；这些设备都是通过同一个SBC （ E2200 ）出公网， 因此，在 E2200 上既有 UCV2.1 版本的配置又有 UCV2.2版本的配置； UCV2.2 版本要求 E2200 增加对 UM 服务器以及 IMU 服务器地址和端口映射（详见下节配置说明）；图中的 Foundry设备为其它公司的设备，充当防火墙的功能；4.1.2 SBC （ E2200 ）配置以下只是列举出一些关键配置，有关SBC的详细配置请询问数通工程师；（ ip 地址信息见 5.1.1 节组网图）欢迎下载精品学习资源#/ 网内到 MRS 和 PORTAL的接口interface Ethernet0/0/0 description TO-MRS and Portalip address 202.96.194.209 255.255.255.240undo ip fast-forwarding qffundo ip fast-forwarding same-interface #/ 往网外到 Foundry1的接口interface Ethernet0/0/1 description TO-NM_RTip address 61.152.72.70 255.255.255.252undo ip fast-forwarding qffundo ip fast-forwarding same-interface firewall packet-filter 3000 inbound/imu 服务器使用的地址和端口映射, 需要放开局服务器的服务端口、 中心服务器的服务端口以及号码转换服务器的服务端口nat server protocol udp global 202.96.194.215 6600 inside 10.0.4.36 6600/ 局服务器的服务端口nat server protocol udp global 202.96.194.215 1977 inside 10.0.4.36 1977/ 中心服务器的服务端口nat server protocol udp global 202.96.194.215 2021 inside 10.0.4.36 2021/ 转发服务器的服务端口nat server protocol udp global 202.96.194.215 9191 inside 10.0.4.36 9191/ 号码转换服务器的服务端口/ 会议背景音使用的 ftp 服务器的 ftp 端口，这里由 IMU 服务器来同时充当 MRS的 ftp 服务器nat server protocol tcp global 202.96.194.215 ftp inside 10.0.4.36 ftp欢迎下载精品学习资源nat server protocol tcp global 202.96.194.215 20 inside 10.0.4.36 20/um 服务器使用的收发邮件以及web 拜望的地址和端口映射nat server protocol tcp global 202.96.194.218 smtp inside 10.0.4.30 smtp nat server protocol tcp global 202.96.194.218 pop3 inside 10.0.4.30 pop3 nat server protocol tcp global 202.96.194.218 www inside 10.0.4.30 www #/ 网内到 ENIP 侧的接口interface Ethernet1/0/0 description TO-UC-Privateip address 10.0.4.1 255.255.255.0 undo ip fast-forwarding qffundo ip fast-forwarding same-interface #interface Ethernet1/0/1 undo ip fast-forwarding qffundo ip fas