|
1 引言
華北油田因為行業自身特點,地域遼闊、人員分散,區域跨度大,在全國各地乃至國外都有華北油田的分支機構。為了節約時間、降低成本、提高效率、打破地域的界限,華北油田在冀中地區即油田專用傳輸網所及的11個礦區建設了一套視頻會議系統,并且華北油田任丘礦區設有集團總公司視頻會議分會場。隨著油田生產的需要,在冀中地區以外如內蒙、新疆等油田專網達不到的4個二級單位,準備建立一套基于IP網絡的視頻會議系統。并通過兩套視頻會議系統的級聯,構建一個完整的視頻會議系統,使華北油田任何一個礦區或分支機構,無論通過專網還是公網,都可以通過視頻進行有效、直觀的交流和溝通。
華北油田各單位分布示意圖如下:
2 系統的要求及問題、分析
2.1 系統建設需求
華北油田在2003年建設的一套基于H.320的視頻會議系統,解決了華北油田冀中地區各二級單位視頻會議的需求。隨著油田生產的快速發展,華北油田在全國各地施工單位及分支機構的增加,原有視頻會議系統已不能滿足現有的會議要求,因此華北油田于2005年又新建一套基于IP網絡的視頻會議系統。
要求兩套不同廠家的系統能夠進行級聯,同時能支持集團公司視頻會議,并能召開混網混速會議。
2.2 系統建設存在問題分析
兩套系統級聯,一套基于H.320協議,一套基于H.323協議,并且由于兩套系統的帶寬、速率各不相同,所以要求能夠召開混網混速會議,這在理論上沒有任何問題。整套系統還要求終端無論位于公網、單級私網還是多級私網不同級別的不同私網中,彼此之間均可以通信;而且,所有的終端即可以作為主叫方也可以作為被叫方;能同時完成媒體流和信令流的穿越;終端位于不同的地址域內,其媒體流必須通過相關的NAT設備;穿越方案的實施應盡量不影響系統網管的工作,應該盡量少的影響到網絡可靠性;穿越方案不能降低現有H.323多媒體系統的網絡安全;同時在可能的情況下,應能夠考慮提供某些安全措施,因為在視頻會議終端在公網上的安全性不高。
華北油田冀中地區屬于華北石油通信公司油田專網應用范圍之內,采用E1專線的終端都可以順利連接,只有一個會場因為特殊要求采用IP方式,但也是專線;冀中地區以外的各外圍施工單位及分支機構都是租用當地合作伙伴的私網或當地電信部門的線路,對于電信部門的公網線路,都是獨立的局域網,直接連接到Internet上,而當地合作伙伴的局域網,由于IPv4地址緊張和網絡安全等問題,私網上普遍放置了NAT、防火墻設備,使視頻終端位于私網內部,尤其新疆塔里木項目指揮部所使用網絡還是塔里木油田局域網內的1個子網。而且原有視頻會議系統不支持混速,即所有會議必須都以同一速率開視頻會議。
其關鍵在于目前不同私網內大部分NAT和防火墻設備的存在,阻斷了包括H.323在內的多種多媒體通信協議,導致通信雙方的視頻通道無法正常建立。另外,防火墻設備在沒有內網發出相應消息時也會阻止來自于外網的消息,導致視頻通信失敗。
二連、西安、北戴河3地局域網租用當地電信或網通IP線路,組成自己的私網,只有塔指使用塔里木油田局域網中的子網,并且各地網絡所使用私網IP地址段各不相同。因此,H.323協議的NAT、防火墻穿越等問題成為開通視訊會議首需解決的問題之一。
3 解決方案
對于原有系統不支持混速問題,很好解決,只要升級系統即可,通過對舊系統的升級,兩套系統可以同時開2M和768K、384K等多種速率的混速會議。H.320與H.323兩套不同協議系統之間級聯也不存在太多問題。
對于VPN轉換及防火墻穿越問題,經過多次的測試,最后決定采用視頻終端+VPN捆綁的技術方案,考慮到固定的IP地址不好申請,故使用了支持ADSL+VPN或LAN+VPN的接入方式。
華北油田視頻會議所采用的VPN是集成NAT和防火墻功能的網關硬件設備,內置支持H.323協議的NAT模塊,由該模塊完成H.323NAT的地址翻譯轉換功能,進行地址翻譯和管理,然后轉發給防火墻,這樣既可以使用戶原有安全策略、上網方式保持不變,又不用更改用戶原有私網。方案不僅不會降低現有H.323多媒體系統的網絡安全,同時在可能的情況下,還考慮提供了某些安全措施。在組建視頻會議系統時,設計使用VPN技術,讓各節點間傳輸的數據均通過底層加密,采用128位AES加密VPN隧道,并且通過專用的隧道路由傳輸,可以有效隔絕來自外部網絡的攻擊,并且可以杜絕信息在傳輸過程中可能的泄漏情況,保證網關/客戶端和策略中心間的配置數據、日志數據和控制數據的安全。如:為了防止病毒和黑客的攻擊,除了標準的用戶名、密碼接入認證之外,同時提供硬件捆綁的接入認證,采用硬件的特殊屬性以及USB口的DEKY作為雙重接入身份驗證,指定特定用戶訪問局域網的特定資源,只有總部授權的硬件設備和硬件DKEY才能允許接入;這樣有效防止各種黑客攻擊。另外還采用了自主中心控制系統,不需要專門的第三方服務提供商進行動態DNS尋址,所有功能、權鑒都在本地服務器上完成。
而且針對臨時駐外辦事處、Internet接入方式復雜的情況,即有電信線路,又有網通線路,而且視頻通信本身還具有:信息量大、傳輸帶寬高、對網絡性能要求較高等特征,所以采用多線路捆綁技術。在主會場所在地采用雙線路出口,對外圍使用ADSL的會場,采用兩條ADSL線路上網方式來開視頻會議,這樣對寬帶質量不穩定的會場,可以起到保證帶寬的作用。
方案組網示意圖如下:
目前這套系統不僅可以擁有眾多的會場數量(按全部384K帶寬下開會,可支持384個會場),并且可以實現雙視頻流發送;同時支持專網、互聯網、外網和內網融合應用,公私網穿越技術,低帶寬傳輸,三級級聯等先進技術;整個方案實現了資源的統一調度、用戶集中管理、會議集中控制,并提供了完善的號碼編址體系,注重了系統的可靠性、擴展性和設備的兼容性,使建成后的系統除了具有較高的會議圖象及話音質量外,還有使用靈活、控制簡單、統一管理的特點,還支持桌面傳送、雙屏顯示、速率和協議適配、多畫面等功能。
4 結束語
視頻通信中的NAT/Firewall穿越是一個非常普遍的問題,因為涉及的網絡情況復雜多樣,現有的解決方案和技術眾多,因此一個成功的應用方案,對運營商建設下一代網絡并普及多媒體增值業務,提供良好的借鑒作用。
行業企業市場一直是僅次于政府的視頻會議第二大市場,專網專用也正好符合企業內部的宗旨,在企業的遠程教育和培訓、企業內部的實時溝通、工作匯報、內部外部遠程項目的合作等需求上,都存在著良好的應用前景。
更多相關:
投影機
文章來源:中國投影網
