| 电信 教育 政务 机械 汽车 船舶 交通 石化 烟草 服装 电力 金融 外贸 冶金 电子 |
开祥科技NAT模式下VPN网络构建该方案特点: 方案概述: 我们假设在宽带城域网有两个用户A和B,其中A用户处在私网内部,B用户是在Internet公网上,这两个用户都安装了IP视频会议终端,希望通过宽带城域网开个临时的视频会议。如下图示,B用户首先呼叫A用户,B用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,因此不知道该如何将B用户发来的H.323或SIP建立会话连接的初始化包转发给内网的哪个用户,只好将该初始化包丢弃。而A用户虽然一直在等待B用户的初始化包,但A用户却永远等不到B用户的初始化包,这样A用户和B用户永远都建立不起来H.323或SIP会话连接,也就无法开IP视频会议。 NAT穿透问题示意图(一)
另一种情况也一样,由A用户首先呼叫B用户,如下图示,A用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,NAT设备将该IP包包头中的A用户私网地址替换成自己的公网地址,这样A用户发出的H.323或SIP建立会话连接的初始化包才能够发送B用户处,B用户上层的视频会议应用程序收到该初始化包,并作出应答,但是A用户在发出H.323或SIP建立会话连接的初始化包时,在上层应用数据包中采用的地址是A用户的私网地址,这样B用户上层的视频会议应用程序就会采用初始化包中上层应用数据包里的A用户的私网地址来发送应答包,由于A用户的地址是私网地址,因此该应答包就无法在公网上传送。这样A用户和B用户还是建立不起来H.323或SIP会话连接,还是无法开IP视频会议。 NAT穿透问题示意图(二)
本公司作为国内领先的专业VPN厂商,经过一段时间的攻关和研究,解决了NAT穿透问题,为企业构建跨城域网的VPN网络以及视频、语音通讯的建立提供了解决方案。 如果需要实现穿越NAT的安全连接,需要在内部网络和外部网络之间设置引擎(需要在NAT设备上为引擎作静态地址翻译)或者在外网(公网)设置引擎。引擎是一个专用UDP-T(即UDP隧道)数据包的路由转发软件,放置在网络边缘,在内部网络和外部网络之间转发数据流量。 下面为数据包的结构:
UDP-T包在经过引擎转发时,引擎根据UDP-T包内的UDP-T Header域所指定的路由信息来更换UDP-T包IP Tunnel Header域的源地址和目的地址,从而完成从一个私网成员到另一个私网成员的包转发,而UDP-T包内部的IP Virtual Header的源地址和目的地址始终保持不变,保证了上层应用中IP地址的完整性,从而实现端到端通讯的完整性。 2、VPN NAT穿透案例 根据公司的网络情况,在总部采用SGW25B,在分公司采用SGW25A。SGW25B处于总部网络边界。对总部LAN起到Firewall作用,对远地公司和移动用户可起到VPN接入作用。对外的办事处和分公司,规模较大的可以使用支持PPPOE(ADSL/Cable拨号)的SGW25A安全网关,该安全网关支持ADSL、Cable和以太网接入,另外有防火墙模块,可以做到基于状态检测的访问控制;特别是价格较低;规模较小的(如:就是几台PC),可以使用“安全客户端”软件,将其部署在网络接入的代理服务器上。 分公司和总部整体网络结构示意图如下:
整体网络结构示意图
相关案例
|
解决方案速查(共有 14387 个方案) 基础软件
安全保密
管理软件
办公软件
软件开发
系统网络
图形多媒体
辅助设计
行业专用
教育教学
电子政务
其他软件
接入
通信
网络
存储
IT服务
推荐解决方案
领军企业实施案例
+更多领军企业案例
电子杂志订阅
赞助商链接
| ||||||||||||||||||
