视频监控网络摄像机的NAT或UPnP设置和验证.doc

视频监控网络摄像机的 NAT 或 UPnP 设置和验证什么是 NAT : 网络地址转换(work Address Translation) 属接入广域网(WAN) 技术, 是一种将私有( 保留) 地址转化为合法 IP 地址的转换技术, 它被广泛应用于各种类型 接入方式和各种类型的网络中。原因很简单, NAT 不仅完美地解决了 lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机参见百度百科: http://baike./view/ 网络摄像机使用 NAT 还是 UPnP 的原则: 当一个路由器下最多有 2 个设备时,使用 UPnP 功能, 当一个路由器下大于 2 个网络摄像机时,建议使用手动 NAT 方式。 NAT/UPnP 规则: 通常路由器 NAT 的映射的规则是: 路由器的外网端口 N ---- 映射为-?设备的内网 IP 的端口 N 即:路由器的外网的某个端口 N ,对应内网某个 IP 地址的相同端口 N。举例: 1 )单端口映射路由器的外网 80 端口映射为内网 的 80 端口对于外网访问: 的 80 端口等同于内网访问 的 80 端口可以理解为 NAT 就是路由器桥接了外网到内网的数据通路当然也可以让外网的 81 对应内网的 的 80 端口。但路由器的 NAT 通常要求内外的端口是一致的。 1) 路由器设置 TP-Link 的 WG541G 为例服务端口号: 是指内网设备的端口号,这里没有设置外网端口号的地方,就说明路由器要求 NAT 的端口号要内外一致。 IP 地址: 内网设备的 IP 地址协议: TCP 或 UDP ,用默认的 ALL 状态: 生效。疑问: 为什么 UPnP 状态,内部外部端口是不一致的? 解答: UPnP 是自动的 NAT ,是设备和路由器之间按照 UPnP 协议,自动协商端口。即使内网设备重启, IP 地址改变,二者之间都会重新协商获得新的 UPnP 端口号(即自动的 NAT 端口映射) 但 NAT 是静态的映射,如果内部设备 IP 地址发生变化,那外部的映射就会错误,失效了。所以手动 NAT 情况下,设备绝对不能设置成 DHCP 方式。 2) DMZ 方式介绍: 如下, DMZ 设置仅仅需要指定内网的一个 IP 地址,无需设置端口。 DMZ 主机 IP 地址: 指内网的一个 IP 地址 DMZ 方式的原理是将从外网访问的所有请求都转到内网的一台设备上。如下图, 从外部访问 的所有端口请求,从1到 65535 , 无论是 TCP 还是 UDP ,都转到 上。 DMZ 等于将路由器外部的所有端口,都 NAT 给内网的一个 IP。当局域网只有一台设备需要从外部访问时,可以设置 DMZ 。 DMZ 可以理解成是简化的 NAT 设置,但影响范围太广。在我们给客户的应用场景中,不允许使用 DMZ 技术。 3) 同一个设备的多端口 NAT 就是单端口 NAT 的重复设置 4) 多个设备的多端口 NAT 由于每个 IPCAM 都有相同的对外访问端口,如 80是 web , 而路由器的 NAT 要求内外网一致,所以就要规划,比如第一个设备是 80 ,第二个设备就要改为 81. 所以,多台 IPCAM 的 NAT 需要做: 1) 需要修改 IPCAM 的本地访问端口,每个都不一样 2) 为避免混乱,需要在 NAT 设置前进行规划 3) 施工完成后,需要保留外部端口和本地设备 NAT 的对应关系表,以备后查。规划一个 12台 IPCAM 的端口映射情况: 情况 1 :路由器不支持 UPnP 或路由器支持 UPnP ,但 IPCAM 无法正确获得。国内的路由器品牌很多,质量参差不齐,并不是路由器上有 UPnP 开关, IPCAM 就可以支持的。以下以一个实际客户的网络情况,进行举例说明。说明: 1)J 系列的 IPCAM 有5 个端口,这里我们只用: web , rtsp ,升级 3 个端口。语音对讲不需要。注意: A)J 系列的必须的是 web 和 rtsp 的两个端口。这是是 NAT 或 UPnP 打开的最小值 B) 不到万不得已,升级端口的映射需要保留 C )语音对讲端口(非侦听),在一些局域网应用中,需要打开 D) FTP 端口,可以不要,功能和 web 端口相同。 2) 为减少设备以后排查的难度,要求所有设备的 IP 地址连续。 3) 不要设置 8080 端口的 NAT ,因为已经设置了路由器的外部端口为 8080 ,否则会导致路由器从外网不能访问。这样做是为了以后无需来现场,就可以排查问题。