網絡攝像機使用NAT還是UPnP的原則:
當一個路由器下最多有3個設備時,使用UPnP功能,
當一個路由器下大于3個網絡攝像機時,建議使用手動NAT方式或使用企業級路由器。
NAT/UPnP介紹:通常路由器NAT的映射的規則是:
路由器的外網端口N ----映射為-à 設備的內網IP的端口N
即:路由器的外網的某個端口N,對應內網某個IP地址的相同端口N。
舉例:
1)單端口映射
路由器的外網80端口 映射為 內網 192.168.1.30的80端口
對于外網訪問:221.124.22.21的80端口
等同于
內網訪問
192.168.1.30的80端口
可以理解為NAT就是路由器橋接了外網到內網的數據通路
當然也可以讓外網的81對應內網的192.168.1.30的80端口。
但路由器的NAT通常要求內外的端口是一致的。
1)路由器設置
TP-Link的WG541G為例
服務端口號:是指內網設備的端口號,這里沒有設置外網端口號的地方,就說明路由器要求NAT的端口號要內外一致。
IP地址:內網設備的IP地址
協議:TCP或UDP,用默認的ALL
狀態:生效。
疑問:
為什么UPnP狀態,內部外部端口是不一致的?
解答:UPnP是自動的NAT,是設備和路由器之間按照UPnP協議,自動協商端口。
即使內網設備重啟,IP地址改變,二者之間都會重新協商獲得新的UPnP端口號(即自動的NAT端口映射)
但NAT是靜態的映射,如果內部設備IP地址發生變化,那外部的映射就會錯誤,失效了。
所以手動NAT情況下,設備絕對不能設置成DHCP方式。
2)DMZ方式介紹:
如下,DMZ設置僅僅需要指定內網的一個IP地址,無需設置端口。
DMZ主機IP地址:指內網的一個IP地址
DMZ方式的原理是將從外網訪問的所有請求都轉到內網的一臺設備上。
如下圖,從外部訪問221.124.22.21的所有端口請求,從1到65535,無論是TCP還是UDP,都轉到192.168.1.30上。
DMZ 等于 將路由器外部的所有端口,都NAT給內網的一個IP。
當局域網只有一臺設備需要從外部訪問時,可以設置DMZ。
DMZ可以理解成是簡化的NAT設置,但影響范圍太廣。
在我們給客戶的應用場景中,不允許使用DMZ技術。
3)同一個設備的多端口NAT
就是單端口NAT的重復設置
4)多個設備的多端口NAT
由于每個IPCAM都有相同的對外訪問端口,如80是web,而路由器的NAT要求內外網一致,所以就要規劃,比如第一個設備是80,第二個設備就要改為81.
所以,多臺IPCAM的NAT需要做:
1) 需要修改IPCAM的本地訪問端口,每個都不一樣
2)為避免混亂,需要在NAT設置前進行規劃
3)施工完成后,需要保留外部端口和本地設備NAT的對應關系表,以備后查。
規劃一個12臺IPCAM的端口映射情況:
情況1:路由器不支持UPnP或路由器支持UPnP,但IPCAM無法正確獲得。國內的路由器品牌很多,質量參差不齊,并不是路由器上有UPnP開關,IPCAM就可以支持的。
以下以一個實際客戶的網絡情況,進行舉例說明。
說明:
1) J系列的IPCAM有5個端口,這里我們只用:
web,rtsp,升級3個端口。 語音對講不需要。
注意:A)J系列的必須的是web和rtsp的兩個端口。這是是NAT或UPnP打開的最小值
B) 不到萬不得已,升級端口的映射需要保留
C)語音對講端口(非偵聽),在一些局域網應用中,需要打開
D)FTP端口,可以不要,功能和web端口相同。
2) 為減少設備以后排查的難度,要求所有設備的IP地址連續。
3) 不要設置8080端口的NAT,因為已經設置了路由器的外部端口為8080,否則會導致路由器從外網不能訪問。這樣做是為了以后無需來現場,就可以排查問題。
以下可利用excel中的自動計算功能做好,如附件。
nat.xls (21 KB, 下載次數: 1)
| ID |
設備
|
IP地址192.168.1.x
|
軟件版本
|
設備端口
|
NAT端口
|
1
|
茶水間
|
31
|
web
|
80
|
80
|
rtsp
|
554
|
554
|
升級
|
8006
|
8006
|
2
|
走廊
|
37
|
web
|
81
|
81
|
rtsp
|
555
|
555
|
升級
|
8007
|
8007
|
3
|
前臺
|
35
|
web
|
82
|
82
|
rtsp
|
556
|
556
|
升級
|
8008
|
8008
|
4
|
消防通道
|
30
|
web
|
83
|
83
|
rtsp
|
557
|
557
|
升級
|
8009
|
8009
|
5
|
左墻走廊
|
36
|
web
|
84
|
84
|
rtsp
|
558
|
558
|
升級
|
8010
|
8010
|
6
|
休息區走廊
|
32
|
web
|
85
|
85
|
rtsp
|
559
|
559
|
升級
|
8011
|
8011
|
7
|
員工間
|
34
|
web
|
86
|
86
|
rtsp
|
560
|
560
|
升級
|
8012
|
8012
|
8
|
配料間
|
33
|
web
|
87
|
87
|
rtsp
|
561
|
561
|
升級
|
8013
|
8013
|
9
|
顧問間1
|
39
|
web
|
88
|
88
|
rtsp
|
562
|
562
|
升級
|
8014
|
8014
|
10
|
顧問間1
|
41
|
web
|
89
|
89
|
rtsp
|
563
|
563
|
升級
|
8015
|
8015
|
11
|
顧問間1
|
38
|
web
|
90
|
90
|
rtsp
|
564
|
564
|
升級
|
8016
|
8016
|
12
|
顧問間1
|
40
|
web
|
91
|
91
|
rtsp
|
565
|
565
|
升級
|
8017
|
8017
|
以上共36個端口,依次添加。
前端IPCAM的3個網路端口也做相應的修改。
由于這里只用了3個端口,所以其他的無需改動。手動NAT時,UPnP需要關閉。
否則設備映射到外網的端口就會變成UPnP的端口,達不到我們NAT的目的了。
另外的11臺設備按照表格設置。
特別注意的是:
由于默認的升級端口8006,默認的語音對講端口是8004,離得很近。所以,需要對端口段進行規劃。
要求今后的施工按照如下端口段進行分配:
| 設備型號/項目 |
服務端口
|
默認端口
|
NAT規劃起始
|
20臺ipcam的端口上限
|
可選性級別
|
J系列
|
web
|
80
|
80
|
99
|
必選
|
ftp
|
21
|
21
|
40
|
不選
|
rtsp
|
554
|
554
|
573
|
必選
|
對講
|
8004
|
9006
|
9025
|
可選。根據項目和將來預期,最好開
|
升級
|
8006
|
8006
|
8025
|
必選
|
舉例:TP-Link WG541,是常見的家用路由器,NAT的上限是16個。所以單路由器支持的ipcam數量有限。| 開的端口數 |
端口名
|
最大支持的NAT端口數
|
單臺路由支持的設備最大數
|
2
|
web/rtsp
|
16
|
8
|
3
|
web/rtsp/升級
|
5
|
4
|
web/rtsp/升級/對講
|
4
|
5
|
web/rtsp/升級/對講/ftp
|
3
|
情況2:路由器支持UPnP,但數量有限。
當IPCAM能夠從路由器中獲得UPnP時,就無需做手動端口映射,每臺設備只需根據需要端口數,勾選需要的端口就可以了。
每臺設備的設置都相同,無需在前端修改端口。
手動NAT和UPnP的區別是:1)手動NAT內網設備的端口和外網路由器的端口要一致,UPnP自動獲取,往往不一致。
2)手動NAT要求內網設備的IP要固定,端口要固定。但UPnP方式的同一個設備端口可能會不一致。
3)手動NAT要關閉DHCP,因為DHCP導致設備IP發生變化后,會導致手動NAT失效。
NAT或UPnP設置完成后的驗證: 讓在公司的同事(與網絡攝像機不在同一個局域網),運行“感知網視頻客戶端”,觀看視頻。
看到視頻后,在視頻窗口,右鍵,選擇”設備屬性“,如果”當前觀看地址“與”廣域網觀看地址“相同,說明NAT或UPnP設置正確。
