监控UNP解决方案培训胶片

监控UNP解决方案培训胶片

UNP解决方案概述UNP解决方案原理UNP解决方案典型组网UNP基础配置UNP解决方案市场案例目录UNP解决方案概述UNP（UniversalNetworkPassport万能网络护照）是一项监控系统穿越公私网的方案，它以应用层通道技术为基础，结合监控双网卡方案，让监控系统轻松的穿越各种网闸、防火墙和NAT设备，让复杂的监控网络变得简单，同时提高了用户的网络安全，节省用户预算。NAT穿越存在的问题？SIP流程问题实况的媒体流连接地址通过SIP协议产生，即使通过端口映射的功能，XP能登录VM，但是媒体流协商地址都是私网地址，实况也不会成功存储问题平台下发给前端的IPSAN地址也是私网地址，前端无法存储其他问题

IPC的图像参数配置广域网XP总部VM服务器MS服务器DM服务器NAT穿越存在什么问题？地址映射方案：

至少需要：上级域的出口路由器需要对VM、MS做IP地址映射，下级域的出口路由器需要对DM做554端口号映射，这样上下级都需要使用固定的公网地址。我司要实现该方案至少还需要路由器支持SIPALG功能分部VM服务器MS服务器总部VM服务器MS服务器广域网DM服务器DM服务器现有方案的缺陷双IP方案：

监控服务器都部署在网络边缘，私网地址为私网监控设备服务器，公网地址为公网互联使用。需要多个公网地址，服务器裸露在广域网，安全性存在风险VM服务器MS服务器DM服务器VM服务器MS服务器DM服务器广域网分部总部UNP解决方案概述为了解决现有NAT、网闸和防火墙的方案中存在的不足，宇视科技公司推出了万能网络护照（UNP）解决方案，旨在为用户提供一个简单、安全、通用的方法来解决这些问题。UNP方案通过在终端与监控服务器之间、上下级域监控服务器之间建立一条应用层通道，后续通道两端的设备之间通讯时都走该通道进行转发，不需要用户进行引流操作，不需要增加额外的公网地址，极大的减少网闸厂家的二次开发工作量。其主要功能包括：万能穿越——各种NAT、网闸和防火墙组网都适用UNP方案将所有的监控业务报文在UNP应用层通道中进行传输，NAT设备在更改IP地址的时候仅修改了应用层通道的IP地址，对于通道内部的报文没有任何影响。当UNP服务器在私网时，仅需要在用户的现有公网IP地址上做端口映射既可。安全保障——黑客无法攻击到监控服务器

在UNP方案中，由于开放端口数量限制到了最低程度，入侵攻击已不可能，只剩DOS攻击，而DOS攻击报文基本会被防火墙过滤掉。即使黑客通过DOS攻击攻瘫中继，这也不会影响数据类服务器的正常运行。UNP解决方案概述UNP解决方案原理UNP解决方案典型组网UNP基础配置UNP解决方案市场案例目录UNP解决方案原理UNP万能网络护照方案是一个拥有完整知识产权的独创技术，其基本部件包括UNP服务器、UNP客户端。UNP服务器允许通过认证的UNP客户端接入，并建立UNP的应用通道。UNP客户端是所有需要使用UNP方案接入的主体，其可能包括：监控前端（EC、ECR、IPC）监控客户

（XP）监控服务器

（VM、DM、MS、TMS、IMP）UNP服务器是指允许UNP客户端接入并进行不同UNP应用层通道间报文转发的设备，其可能包括：路由器设备

Linux服务器

（MS）UNP解决方案原理UNPC和UNPS使用真实的物理接口建立UNP隧道，分别得到虚拟地址IP1’和IP2’。后续UNPC和UNPS之间使用IP1’和IP2’进行监控业务交互，交互报文在UNP隧道中转发，不会受到中间网络防火墙、NAT设备、网闸的干扰，实现对这些网络的穿越。UNP解决方案原理UNP方案通过在客户端和中继之间建立一条应用通道，再将监控业务的报文通过应用通道进行转发，其基本原理如下图所示：UNP解决方案原理多个UNPC之间如何通信？当UNPC与UNPS之间建立连接后，UNPS会自动向UNPC下发指定的路由，这些路由包括VM的虚拟地址、虚拟地址池以及用户在UNPS上配置的路由，UNPC收到后会添加这些路由，出接口为UNP连接。UNPC1UNPC2UNPS到其他UNPC路由下一跳为UNPS到其他UNPC路由下一跳为UNPS注：当前NVR、IPC和EC不支持路由学习功能，使用的是默认路由，会导致UNP拨号后无法进行本地跨三层的访问UNP解决方案原理会影响用户的本地访问么？不会，XP使用UNP联入到MS后，原有的路由不会被修改。仅会添加到VM虚拟主机地址、UNP虚拟地址池的路由，以及用户手动指定的其他UNP路由。UNP解决方案概述UNP解决方案原理UNP解决方案典型组网UNP基础配置UNP解决方案市场案例目录UNP解决方案典型组网——单域组网典型的监控单域组网，其他网络中的EC或者XP需要接入到监控网中，解决方案：1、MS服务器作为UNPS2、外网EC或者XP作为UNPC接入3、总部XP、VM根据实际组网需求考虑是否需要作为UNPC接入XP总部网络ECVMMSDM公网企业分部IPSANXPUNP解决方案典型组网——ECR接入VM企业分部ECR需要接入到总部监控网络，解决方案：1、MS服务器作为UNPS2、分部ECR作为UNPC接入3、总部XP、VM根据实际组网需求考虑是否需要作为UNPC接入XP总部网络XPECR公网企业分部VMMSDMIPSANUNP解决方案典型组网——VM跨域组网下级域VM需要接入到上级域VM，解决方案：1、上级域MS服务器作为UNPS2、下级域VM、MS作为UNPC接入3、总部XP、VM根据实际组网需求考虑是否需要作为UNPC接入XP总部网络XP公网企业分部VMMSDMMSDMVMIPSANUNP解决方案概述UNP解决方案原理UNP解决方案典型组网UNP基础配置UNP解决方案市场案例目录UNP解决方案配置——UNPS（MS）登录http://MS:8081页面，在系统设置－UNP服务器配置页面的基础配置中可以看到如下配置：动态分配IP地址：UNP虚拟地址池网段地址动态分配IP子网掩码：UNP虚拟地址池掩码UNP客户端虚拟地址池：自动分配的虚拟地址池范围UNP服务器虚拟地址：MS自身使用的UNP虚拟地址（自动生成，不需要配置）VM服务器虚拟地址：当VM需要进行UNP拨号时，填写其虚拟地址；当VM不需要进行UNP拨号时，填写其实际IP地址；（如果VM与MS为同一台服务器，填写的虚拟地址为UNP服务器虚拟地址）UNP解决方案配置——UNPC（VM）管理员登录VM页面，在系统设置－UNP配置页面的基础配置中可以看到如下配置：UNP服务器地址：UNP服务器的真实IP地址，如果路由器上做了端口映射，则需要填写路由器上的公网IP地址是否自动获取虚拟地址：VM的UNP虚拟地址由UNPS动态下发还是固定使用某地址（EC上填写VM地址或者下级域VM填写上级域VM的地址时，都需要有一个固定的IP地址）VM服务器虚拟地址：VM需要固定使用的虚拟地址，注意该地址不能属于UNPS上配置的虚拟地址池VM与MS安装在同一台服务器时，不需要也不能在启用UNPS的同时还启用UNPCUNP解决方案配置——UNPC（DM）登录http://DM:8080页面，在系统设置－UNP客户端配置页面的基础配置中可以看到如下配置：UNP服务器地址：UNP服务器的真实IP地址，如果路由器上做了端口映射，则需要填写路由器上的公网IP地址是否自动获取虚拟地址：DM的UNP虚拟地址由UNPS动态下发还是固定使用某地址（DM基本不需要固定地址）客户端静态虚拟地址：DM需要固定使用的虚拟地址，注意该地址不能属于UNPS上配置的虚拟地址池UNP解决方案配置——UNPC（MS）登录http://MS:8081页面，在系统设置－UNP客户端配置页面的基础配置中可以看到如下配置：UNP服务器地址：UNP服务器的真实IP地址，如果路由器上做了端口映射，则需要填写路由器上的公网IP地址是否自动获取虚拟地址：MS的UNP虚拟地址由UNPS动态下发还是固定使用某地址（MS基本不需要固定地址）客户端静态虚拟地址：MS需要固定使用的虚拟地址，注意该地址不能属于UNPS上配置的虚拟地址池UNP解决方案配置——UNPC（ECR）登录ECR页面，修改服务器管理IP地址为UNPS上填写的VM服务器虚拟IP地址登录ECR页面，在设备管理－设备配置页面可以看到如下UNP配置：UNP服务器地址：UNP服务器的真实IP地址，如果路由器上做了端口映射，则需要填写路由器上的公网IP地址鉴权：默认全使能，不需要进行修改（注：ECR建立UNP连接后，所有的跨三层通信都必须经过UNP连接，所以本地无法进行跨三层的通信）UNP解决方案配置——UNPC（ECR）登录IPC页面，修改服务器管理IP地址为UNPS上填写的VM服务器虚拟IP地址登录IPC页面，在网络配置页面可以看到如下UNP配置：服务器地址：UNP服务器的真实IP地址，如果路由器上做了端口映射，则需要填写路由器上的公网IP地址鉴权：默认全使能，不需要进行修改（注：IPC建立UNP连接后，所有的跨三层通信都必须经过UNP连接，所以本地无法进行跨三层的通信）UNP解决方案配置——UNPC（EC）Web登录EC，修改服务器管理IP地址为UNPS上填写的VM服务器虚拟IP地址telnet登录EC，执行如下命令使能UNP客户端：~#dtMW_MWAREMW_MWARE>displayctrlsetl2tp9MW_MWARE>exit（9为UNP服务器真实IP地址）telnet登录EC，执行如下命令去使能UNP功能~#dtMW_MWAREMW_MWARE>displayctrlclearl2tpMW_MWARE>exit（注：EC建立UNP连接后，所有的跨三层通信都必须经过UNP连接，所以本地无法进行跨三层的通信）UNP解决方案典型配置——UNPC（XP）首先在XP上安装UNP拨号客户端，客户端安装软件获取方法：访问http://MS:8089下载拨号客户端访问宇视网站下载客户端（待定）使用UNP客户端进行拨号连接，会自动跳转到VM登录页面，输入用户名密码既可登录注：B3305版本之后的UNP客户端，第一次设置正确，之后只需双击快捷方式，就直接连接UNP服务器，隐藏了之前点击“连接”的客户端界面UNP解决方案典型配置——更换端口号UNP连接默认使用UDP1701端口进行连接，但是如果用户出口路由器已经使用了该端口号，或者该端口号在用户网络未开放，我们可以根据现场情况修改该端口号。首先在UNPS上修改服务端口号，然后在NVR上修改。注：1、XP使用的是操作系统自带的软件，无法修改端口号2、NVR特殊版本支持，尚未合入到正式版本中3、IPC尚未支持UNP解决方案典型配置——其他配置在UNP转发流量较大时，可能会出现报文乱序现象导致丢包，可以在客户端上启用乱序整理功能

在广域网存在报文丢包时，可以使能TCP传输模式

编码器建议启用码流平滑UNP解决方案概述UNP解决方案原理UNP解决方案典型组网UNP基础配置UNP解决方案应用案例目录UNP解决方案应用案例——单域组网某环保部门在检测外场环境时，编码器需要通过运营商3G链路接入到部门内部网络：EC1501-HFVM/DM/MS3G路由器H3CMSR3G网络总部IPSAN私网A公网私网BUNP解决方案应用案例——单域组网UNP解决方案：1、总部MS做UNPS2、编码器EC做UNPC3、路由器上做端口映射4、EC注册到VM的虚拟地址注：EC需要到IPSAN上进行存储，方案如下(选取其一既可)：1、取MS接口网段中的一个子网做虚拟地址池，EC获取该IP地址后，可以直接与IPSAN进行互访；中间网络可以为三层－－－－推荐2、选取一段用户网络规划外的网段做虚拟地址池，在IPSAN配置到该虚拟地址的路由，指向MS；需要IPSAN与MS在一个二层网络－－－－推荐3、选取一段用户保留的网段做虚拟地址池，然后在MS直连交换机上配置到虚拟地址的静态路由，下一跳为MS，并引入到动态路由中；中间网络可以为三层－－－－修改用户网络，限制推荐4、进行流转存，需要BM－－－－不推荐EC1501-HFVM/DM/MS3G路由器H3CMSR3G网络总部IPSAN端口映射UNP路由虚拟地址池UNP解决方案应用案例——单域组网配置：选取一段真实的IP地址做UNP虚拟地址池

譬如VM/MS/DM的地址为/24，网关为29/25子网地址无人使用，则可直接选取该子网作为虚拟地址池总部MS做UNPS配置见UNP服务器配置EC做UNPC配置见EC做UNPC配置总部出口路由器配置

登录路由器，在公网接口上配置端口映射：natserverprotocoludpglobalx.x.x.x1701insidex.x.x.x1701natserverprotocoltcpglobalx.x.x.x8089insidex.x.x.x8089

UNP解决方案应用案例——ECR接入VM某航运集团分部有ECR需要接入到总部VM，ECR和VM都在各自的私网中：S56NATECRRouteRouteXPVM/MS私网A公网私网BUNP解决方案应用案例——ECR接入VMUNP解决方案：1、总部MS做UNPS2、ECR做UNPC3、总部路由器上做端口映射4、ECR注册到VM的虚拟地址注：1、未与MS建立UNP连接的上级域XP用户需要回放ECR录像时，可使能回放经过MS2、未与MS建立UNP连接的上级域XP用户需要配置下级域ECR时，需要有到UNP虚拟地址池的路由，方法1：取MS接口网段中的一个子网做虚拟地址池，ECR获取该IP地址后，可以直接与总部设备进行互访；方法2：选取一段用户保留的网段做虚拟地址，然后在MS直连交换机上配置到虚拟地址的静态路由，下一跳为MS，并引入到动态路由中3、上级域XP用户实况ECR上管理的数字通道时，需要ECR支持MS转发功能S56ECRRouteRouteXPVM/MSUNP端口映射UNP解决方案应用案例——ECR接入VM配置：选取一段真实的IP地址做UNP虚拟地址池

譬如VM/MS/DM的地址为/24，网关为29/25子网地址无人使用，则可直接选取该子网作为虚拟地址池总部MS做UNPS配置见UNP服务器配置ECR做UNPC配置见ECR做UNPC配置总部出口路由器配置

登录路由器，在公网接口上配置端口映射：natserverprotocoludpglobalx.x.x.x1701insidex.x.x.x1701

UNP解决方案应用案例——VM跨域组网某集团分部有分支监控需要接入到总部监控中心，上下级域VM都在私网中：XP总部网络XP公网企业分部VMMSDMMSDMVMIPSANUNP解决方案应用案例——VM跨域组网UNP解决方案：1、总部MS做UNPS2、分支VM、MS做UNPC3、总部路由器上做端口映射4、使用上级域虚拟地址进行跨域注册注：1、上级域XP用户需要回放下级域录像时，可使能回放经过MS2、如果下级域是三合一，则仅需要在任意一个UNPC界面上进行配置既可；如果下级域非三合一，则需要VM和MS分别进行UNP的拨号XP总部网络XP公网企业分部VMMSDMMSDMVMIPSANUNPUNP解决方案应用案例——VM跨域组网配置：任取一段保留的IP地址做UNP虚拟地址池

譬如29/25子网地址无人使用，则可直接选取该子网作为虚拟地址池总部MS做UNPS配置见UNP服务器配置VM做UNPC配置见VM做UNPC配置MS做UNPC配置见MS做UNPC配置路由器配置

登录路由器，在公网接口上配置端口映射：natserverprotocoludpglobalx.x.x.x1701insidex.x.x.x1701

UNP解决方案应用案例——DDNS组网某用户需要在家里登录到超市ECR上进行监控业务的操作，且超市出口路由器的公网地址是动态获取的。UNP解决方案：1、超市出口路由器上启用DDNS功能，在其动态获取到公网地址后，会向花生壳进行地址注册。2、XP在使用UNP拨号时，目的地址填写为路由器注册的域名3、路由器上做UNP端口映射NATECRRouteRouteXPDNSServer（花生壳）UNPserver动态IPUNP解决方案应用案例——公安专网公安监控网作为下级域接入到公安专网，下级域需要主动向上级域发起注册。但公安监控网相对于公安专网是内网，无法主动访问专网，也不能随意做地址映射。UNP解决方案：1、下级域MS做UNPS2、上级域VM、MS做UNPC安全性分析：1、上级与主动访问下级域，符合要求2、UNP虚拟地址池在下级域网络中并未发布路由，除了监控服务器外，其他的设备无法通过该隧道到达公安专网3、公网网闸同样可以对UNP封装后的报文进行监听和控制，相对于现有的检测做一定字节的偏移既可XP公安专网－上级域XP公网VMMSDMMSDMVM公安监控网－下级域IPSAN常见问题（1）——拨号不成功问题1：其他人都可以正常拨号，为啥这台设备无法正常建立UNP的连接？解决办法1：如果你是linux系统，请查看message日志，tail/var/log/messages–f，Feb2515:02:02serverd13pppd[6345]:Warning:can'topenoptionsfile/root/.ppprc:PermissiondeniedFeb2515:02:02serverd13pppd[6345]:Can'topenoptionsfile/usr/local/svconfig/server/conf/xl2tpd/client/options.xl2tpd:Permissiondenied说明系统的selinux未关闭，如下所示，将enforcing修改为disabled，重启系统[root@serverd13selinux]#cat/etc/selinux/config#ThisfilecontrolsthestateofSELinuxonthesystem.#SELINUX=cantakeoneofthesethreevalues:#enforcing-SELinuxsecuritypolicyisenforced.#permissive-SELinuxprintswarningsinsteadofenforcing.#disabled-SELinuxisfullydisabled.SELINUX=enforcing#SELINUXTYPE=typeofpolicyinuse.Possiblevaluesare:#targeted-Onlytargetednetworkdaemonsareprotected.#strict-FullSELinuxprotection.SELINUXTYPE=targeted[root@serverd13selinux]#常见问题（1）——拨号不成功（续）问题1：其他人都可以正常拨号，为啥这台