1 引言
華北油田因為行業(yè)自身特點���,地域遼闊���、人員分散�����,區(qū)域跨度大�,在全國各地乃至國外都有華北油田的分支機構���。為了節(jié)約時間��、降低成本�、提高效率���、打破地域的界限����,華北油田在冀中地區(qū)即油田專用傳輸網所及的11個礦區(qū)建設了一套視頻會議系統(tǒng),并且華北油田任丘礦區(qū)設有集團總公司視頻會議分會場���。隨著油田生產的需要�����,在冀中地區(qū)以外如內蒙���、新疆等油田專網達不到的4個二級單位,準備建立一套基于IP網絡的視頻會議系統(tǒng)��。并通過兩套視頻會議系統(tǒng)的級聯(lián)���,構建一個完整的視頻會議系統(tǒng)�����,使華北油田任何一個礦區(qū)或分支機構����,無論通過專網還是公網���,都可以通過視頻進行有效����、直觀的交流和溝通。
華北油田各單位分布示意圖如下:
2 系統(tǒng)的要求及問題�、分析
2.1 系統(tǒng)建設需求
華北油田在2003年建設的一套基于H.320的視頻會議系統(tǒng),解決了華北油田冀中地區(qū)各二級單位視頻會議的需求����。隨著油田生產的快速發(fā)展,華北油田在全國各地施工單位及分支機構的增加�,原有視頻會議系統(tǒng)已不能滿足現(xiàn)有的會議要求,因此華北油田于2005年又新建一套基于IP網絡的視頻會議系統(tǒng)�����。
要求兩套不同廠家的系統(tǒng)能夠進行級聯(lián)���,同時能支持集團公司視頻會議,并能召開混網混速會議��。
2.2 系統(tǒng)建設存在問題分析
兩套系統(tǒng)級聯(lián)�,一套基于H.320協(xié)議,一套基于H.323協(xié)議�,并且由于兩套系統(tǒng)的帶寬�����、速率各不相同�,所以要求能夠召開混網混速會議����,這在理論上沒有任何問題。整套系統(tǒng)還要求終端無論位于公網����、單級私網還是多級私網不同級別的不同私網中,彼此之間均可以通信�����;而且��,所有的終端即可以作為主叫方也可以作為被叫方��;能同時完成媒體流和信令流的穿越��;終端位于不同的地址域內�����,其媒體流必須通過相關的NAT設備;穿越方案的實施應盡量不影響系統(tǒng)網管的工作�,應該盡量少的影響到網絡可靠性;穿越方案不能降低現(xiàn)有H.323多媒體系統(tǒng)的網絡安全�;同時在可能的情況下,應能夠考慮提供某些安全措施����,因為在視頻會議終端在公網上的安全性不高。
華北油田冀中地區(qū)屬于華北石油通信公司油田專網應用范圍之內�����,采用E1專線的終端都可以順利連接���,只有一個會場因為特殊要求采用IP方式��,但也是專線���;冀中地區(qū)以外的各外圍施工單位及分支機構都是租用當?shù)睾献骰锇榈乃骄W或當?shù)仉娦挪块T的線路,對于電信部門的公網線路��,都是獨立的局域網����,直接連接到Internet上,而當?shù)睾献骰锇榈木钟蚓W�,由于IPv4地址緊張和網絡安全等問題,私網上普遍放置了NAT�、防火墻設備,使視頻終端位于私網內部����,尤其新疆塔里木項目指揮部所使用網絡還是塔里木油田局域網內的1個子網。而且原有視頻會議系統(tǒng)不支持混速���,即所有會議必須都以同一速率開視頻會議�。
其關鍵在于目前不同私網內大部分NAT和防火墻設備的存在���,阻斷了包括H.323在內的多種多媒體通信協(xié)議����,導致通信雙方的視頻通道無法正常建立�����。另外�,防火墻設備在沒有內網發(fā)出相應消息時也會阻止來自于外網的消息,導致視頻通信失敗��。
二連、西安���、北戴河3地局域網租用當?shù)仉娦呕蚓W通IP線路�����,組成自己的私網��,只有塔指使用塔里木油田局域網中的子網��,并且各地網絡所使用私網IP地址段各不相同�。因此����,H.323協(xié)議的NAT、防火墻穿越等問題成為開通視訊會議首需解決的問題之一����。
3 解決方案
對于原有系統(tǒng)不支持混速問題,很好解決��,只要升級系統(tǒng)即可����,通過對舊系統(tǒng)的升級����,兩套系統(tǒng)可以同時開2M和768K�����、384K等多種速率的混速會議��。H.320與H.323兩套不同協(xié)議系統(tǒng)之間級聯(lián)也不存在太多問題�。
對于VPN轉換及防火墻穿越問題��,經過多次的測試���,最后決定采用視頻終端+VPN捆綁的技術方案����,考慮到固定的IP地址不好申請��,故使用了支持ADSL+VPN或LAN+VPN的接入方式����。
華北油田視頻會議所采用的VPN是集成NAT和防火墻功能的網關硬件設備,內置支持H.323協(xié)議的NAT模塊,由該模塊完成H.323NAT的地址翻譯轉換功能�,進行地址翻譯和管理,然后轉發(fā)給防火墻��,這樣既可以使用戶原有安全策略���、上網方式保持不變��,又不用更改用戶原有私網����。方案不僅不會降低現(xiàn)有H.323多媒體系統(tǒng)的網絡安全��,同時在可能的情況下�����,還考慮提供了某些安全措施����。在組建視頻會議系統(tǒng)時,設計使用VPN技術�,讓各節(jié)點間傳輸?shù)臄?shù)據均通過底層加密,采用128位AES加密VPN隧道�,并且通過專用的隧道路由傳輸�,可以有效隔絕來自外部網絡的攻擊����,并且可以杜絕信息在傳輸過程中可能的泄漏情況,保證網關/客戶端和策略中心間的配置數(shù)據����、日志數(shù)據和控制數(shù)據的安全��。如:為了防止病毒和黑客的攻擊�����,除了標準的用戶名�����、密碼接入認證之外�����,同時提供硬件捆綁的接入認證�����,采用硬件的特殊屬性以及USB口的DEKY作為雙重接入身份驗證,指定特定用戶訪問局域網的特定資源����,只有總部授權的硬件設備和硬件DKEY才能允許接入;這樣有效防止各種黑客攻擊���。另外還采用了自主中心控制系統(tǒng)�����,不需要專門的第三方服務提供商進行動態(tài)DNS尋址�,所有功能���、權鑒都在本地服務器上完成�����。
而且針對臨時駐外辦事處�、Internet接入方式復雜的情況�����,即有電信線路�����,又有網通線路,而且視頻通信本身還具有:信息量大�、傳輸帶寬高、對網絡性能要求較高等特征����,所以采用多線路捆綁技術。在主會場所在地采用雙線路出口���,對外圍使用ADSL的會場,采用兩條ADSL線路上網方式來開視頻會議����,這樣對寬帶質量不穩(wěn)定的會場,可以起到保證帶寬的作用��。
方案組網示意圖如下:
目前這套系統(tǒng)不僅可以擁有眾多的會場數(shù)量(按全部384K帶寬下開會���,可支持384個會場)�,并且可以實現(xiàn)雙視頻流發(fā)送����;同時支持專網���、互聯(lián)網、外網和內網融合應用����,公私網穿越技術,低帶寬傳輸���,三級級聯(lián)等先進技術��;整個方案實現(xiàn)了資源的統(tǒng)一調度��、用戶集中管理�、會議集中控制�����,并提供了完善的號碼編址體系����,注重了系統(tǒng)的可靠性、擴展性和設備的兼容性�,使建成后的系統(tǒng)除了具有較高的會議圖象及話音質量外,還有使用靈活�����、控制簡單、統(tǒng)一管理的特點���,還支持桌面?zhèn)魉���、雙屏顯示、速率和協(xié)議適配�、多畫面等功能。
4 結束語
視頻通信中的NAT/Firewall穿越是一個非常普遍的問題��,因為涉及的網絡情況復雜多樣�����,現(xiàn)有的解決方案和技術眾多���,因此一個成功的應用方案,對運營商建設下一代網絡并普及多媒體增值業(yè)務��,提供良好的借鑒作用��。
行業(yè)企業(yè)市場一直是僅次于政府的視頻會議第二大市場���,專網專用也正好符合企業(yè)內部的宗旨����,在企業(yè)的遠程教育和培訓、企業(yè)內部的實時溝通��、工作匯報����、內部外部遠程項目的合作等需求上,都存在著良好的應用前景��。
更多相關:
投影機
