系统管理。 A、设备资源管理
对MCU和终端信息进行注册、配置、修改、查询、删除; 为会议安排和会议控制提供可用设备资源; B、用户账号管理
系统管理员,管理系统内设备、网络、人员; 会议管理员,管理系统内所有会议; C、日志维护
记录内部操作并形成日志; 查阅和存档; D、资源查询统计
系统使用情况的查询统计; 会议召开情况的查询统计; 系统资源配置的数据分析。 5.3故障管理
MCU作为视频会议系统中的重要组成部分,承担着全网的视频交互与通讯处理的主要工作,是整个系统的核心,所以完善的故障诊断和管理机制至关重要。POLYCOM DST MCS MCU具有完善的诊断维护方法,从简单地通过外观屏幕的状态显示,到通过系统管理软件,POLYCOM DST MCS MCU提供了强大的诊断维护手段。 5.4安全管理
保证IP网络视频会议系统的安全非常重要,在会议系统中所采用的设备具有全面的网络安全机制,从网络层面、设备层面到应用层面都有相应的安全机制,确保系统从运行到应用是一个安全的系统。描述如下: 5.4.1视频会议系统与防火墙的配合
随着近年IP网宽带业务的蓬勃发展,基于包交换的多媒体通信系统标准H.323广泛运用于视频会议和IP电话中。复杂的H.323协议动态分配所使用的UDP端口,并在一个视频呼叫中产生和维护多个UDP数据流。此外,绝大部分企业部门从网络安全考虑多配置了专
41
用防火墙,而防火墙拒绝任何外部主动发起的通讯。
为解决IP地址匮乏问题,设计出了网址转换技术 (NAT)。然而NAT后的IP语音和视频设备仅有私有IP地址,这些地址在它们所在的域外或公众网上是不可路由的。
这样一来,H.323 视频会议设备穿越防火墙和NAT的问题,成为视频会议系统工程实施和运行维护中非常棘手的问题。 5.4.1.1 穿越防火墙的方法
很多利用IP进行多媒体通讯的机构将不可避免的面对防火墙的挑战。而且在不断的实践中有很多技术手段被应用到基于H.323的视频通讯中来,常用的一些解决办法如下: A.使用PSTN网关
该办法使用网关把局域网上的IP语音和视频转换为公共电路交换网上的语音和视频。使用这样一个网关就不用担心网络防火墙的穿透问题了,因为没有数据包要通过防火墙。网关方法是一个局部解决方案,要求所有参与呼叫者在最后一道防火墙后要有一个相应的网关。 B.H.323代理
H.323代理是一种特殊类型的网关,在代理两边使用的是相同的协议。代理使终端到终端的呼叫过程看起来像两个分离的呼叫:一个是从私有网上的终端到代理,另一个是从代理到公众网上的终端,代理通过对这个呼叫进行中转解决了NAT问题。 C.虚拟专用网(VPN)
VPN技术是当前在IP网络上提供安全通讯的方法之一,在同一个VPN网内可以解决防火墙穿越问题;
在VPN技术中,在UDP和TCP层下的IPSec层被用来提供安全的IP通讯,但由于基于VPN技术的IPSec层使用它自己的连接标识符而不是UDP或TCP端口,而且IPSec上面的层要被加密,这套自己的机制对NAT尤其是NAPT是不可通过的。另外,虽然VPN方案是很安全的,但它仅仅允许位于同一个VPN内的设备进行通讯,而无法与位于公众网的终端用户进行通讯。
上述传统的方法,很显然在网络设置上带来大量的设置和运维工作,极为不便。针对这种情况,POLYCOM DST公司的视频会议设备本身具备多种适应防火墙和网络地址转换NAT的技术。
42
5.4.1.2 本系统视频系统穿越防火墙的解决方案 A.MCU和终端产品均支持固定UDP端口;
本技术方案中的POLYCOM DST MCS MCU和POLYCOM VSX6000终端均支持固定端口功能。 B.POLYCOM DST MCS MCU和终端产品均支持NAT网络地址转换
本技术方案中的POLYCOM VSX6000终端和POLYCOM DST MCS MCU均支持网络地址转换NAT技术,可以工作于内网,在POLYCOM VSX6000终端产品或POLYCOM DST MCS MCU上设定内网的地址,然后指明对应的地址转换的外网地址,便可轻松实现工作于本系统内网,穿越具有NAT设置的防火墙和路由器。而且可以自动发现网络地址转换NAT。 C.MCU支持双网卡跨网段组会
MCU可以将不同网络类型接入的视频终端接入到一个多点会议中,这样即使这些终端之间根本没有互通的条件也可以实现会议交流。利用这一独到的特点,可以实现内外网完全不同的视频网络的互连和会议交流。 D.支持应用层网关自动穿越防火墙
应用层网关(Application layer gateways)是被设计能识别指定IP协议(象H.323和SIP协议)的防火墙,也被叫做ALG Firewall。它不是简单地察看包头信息来决定数据包是否可以通过,而是更深层的分析数据包负载内的数据,也就是应用层的数据。H.323和SIP协议都在负载中放了重要的控制信息,例如语音和视频终端使用哪一个数据端口来接收别的终端的语音和视频数据。通过分析哪一个端口需要打开,防火墙动态地打开那些被应用的端口,而所有别的端口依然安全地保持关闭状态。
本方案中使用的POLYCOM DST MCS MCU和视频终端均为业界最新一代的产品,支持最新的标准,在实际应用中,POLYCOM DST 产品更多的采用应用层网关(Application layer gateways)穿越防火墙。和主要的防火墙厂商像国外Cisco, Checkpoint, Gauntlet的防火墙产品配合可以自动协同工作,国内的天融信、北大青鸟、易尚等防火墙产品配合工作等。大大减少网络系统的配置和运维工作量。
43