網(wǎng)絡(luò)攝像機使用NAT還是UPnP的原則:
當(dāng)一個路由器下最多有3個設(shè)備時,使用UPnP功能,
當(dāng)一個路由器下大于3個網(wǎng)絡(luò)攝像機時,建議使用手動NAT方式或使用企業(yè)級路由器。
NAT/UPnP介紹:通常路由器NAT的映射的規(guī)則是:
路由器的外網(wǎng)端口N ----映射為-à 設(shè)備的內(nèi)網(wǎng)IP的端口N
即:路由器的外網(wǎng)的某個端口N,對應(yīng)內(nèi)網(wǎng)某個IP地址的相同端口N。
舉例:
1)單端口映射
路由器的外網(wǎng)80端口 映射為 內(nèi)網(wǎng) 192.168.1.30的80端口
對于外網(wǎng)訪問:221.124.22.21的80端口
等同于
內(nèi)網(wǎng)訪問
192.168.1.30的80端口
可以理解為NAT就是路由器橋接了外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)通路
當(dāng)然也可以讓外網(wǎng)的81對應(yīng)內(nèi)網(wǎng)的192.168.1.30的80端口。
但路由器的NAT通常要求內(nèi)外的端口是一致的。
1)路由器設(shè)置
TP-Link的WG541G為例
服務(wù)端口號:是指內(nèi)網(wǎng)設(shè)備的端口號,這里沒有設(shè)置外網(wǎng)端口號的地方,就說明路由器要求NAT的端口號要內(nèi)外一致。
IP地址:內(nèi)網(wǎng)設(shè)備的IP地址
協(xié)議:TCP或UDP,用默認(rèn)的ALL
狀態(tài):生效。
疑問:
為什么UPnP狀態(tài),內(nèi)部外部端口是不一致的?
解答:UPnP是自動的NAT,是設(shè)備和路由器之間按照UPnP協(xié)議,自動協(xié)商端口。
即使內(nèi)網(wǎng)設(shè)備重啟,IP地址改變,二者之間都會重新協(xié)商獲得新的UPnP端口號(即自動的NAT端口映射)
但NAT是靜態(tài)的映射,如果內(nèi)部設(shè)備IP地址發(fā)生變化,那外部的映射就會錯誤,失效了。
所以手動NAT情況下,設(shè)備絕對不能設(shè)置成DHCP方式。
2)DMZ方式介紹:
如下,DMZ設(shè)置僅僅需要指定內(nèi)網(wǎng)的一個IP地址,無需設(shè)置端口。
DMZ主機IP地址:指內(nèi)網(wǎng)的一個IP地址
DMZ方式的原理是將從外網(wǎng)訪問的所有請求都轉(zhuǎn)到內(nèi)網(wǎng)的一臺設(shè)備上。
如下圖,從外部訪問221.124.22.21的所有端口請求,從1到65535,無論是TCP還是UDP,都轉(zhuǎn)到192.168.1.30上。
DMZ 等于 將路由器外部的所有端口,都NAT給內(nèi)網(wǎng)的一個IP。
當(dāng)局域網(wǎng)只有一臺設(shè)備需要從外部訪問時,可以設(shè)置DMZ。
DMZ可以理解成是簡化的NAT設(shè)置,但影響范圍太廣。
在我們給客戶的應(yīng)用場景中,不允許使用DMZ技術(shù)。
3)同一個設(shè)備的多端口NAT
就是單端口NAT的重復(fù)設(shè)置
4)多個設(shè)備的多端口NAT
由于每個IPCAM都有相同的對外訪問端口,如80是web,而路由器的NAT要求內(nèi)外網(wǎng)一致,所以就要規(guī)劃,比如第一個設(shè)備是80,第二個設(shè)備就要改為81.
所以,多臺IPCAM的NAT需要做:
1) 需要修改IPCAM的本地訪問端口,每個都不一樣
2)為避免混亂,需要在NAT設(shè)置前進(jìn)行規(guī)劃
3)施工完成后,需要保留外部端口和本地設(shè)備NAT的對應(yīng)關(guān)系表,以備后查。
規(guī)劃一個12臺IPCAM的端口映射情況:
情況1:路由器不支持UPnP或路由器支持UPnP,但I(xiàn)PCAM無法正確獲得。國內(nèi)的路由器品牌很多,質(zhì)量參差不齊,并不是路由器上有UPnP開關(guān),IPCAM就可以支持的。
以下以一個實際客戶的網(wǎng)絡(luò)情況,進(jìn)行舉例說明。
說明:
1) J系列的IPCAM有5個端口,這里我們只用:
web,rtsp,升級3個端口。 語音對講不需要。
注意:A)J系列的必須的是web和rtsp的兩個端口。這是是NAT或UPnP打開的最小值
B) 不到萬不得已,升級端口的映射需要保留
C)語音對講端口(非偵聽),在一些局域網(wǎng)應(yīng)用中,需要打開
D)FTP端口,可以不要,功能和web端口相同。
2) 為減少設(shè)備以后排查的難度,要求所有設(shè)備的IP地址連續(xù)。
3) 不要設(shè)置8080端口的NAT,因為已經(jīng)設(shè)置了路由器的外部端口為8080,否則會導(dǎo)致路由器從外網(wǎng)不能訪問。這樣做是為了以后無需來現(xiàn)場,就可以排查問題。
以下可利用excel中的自動計算功能做好,如附件。
nat.xls (21 KB, 下載次數(shù): 1)
| ID |
設(shè)備
|
IP地址192.168.1.x
|
軟件版本
|
設(shè)備端口
|
NAT端口
|
1
|
茶水間
|
31
|
web
|
80
|
80
|
rtsp
|
554
|
554
|
升級
|
8006
|
8006
|
2
|
走廊
|
37
|
web
|
81
|
81
|
rtsp
|
555
|
555
|
升級
|
8007
|
8007
|
3
|
前臺
|
35
|
web
|
82
|
82
|
rtsp
|
556
|
556
|
升級
|
8008
|
8008
|
4
|
消防通道
|
30
|
web
|
83
|
83
|
rtsp
|
557
|
557
|
升級
|
8009
|
8009
|
5
|
左墻走廊
|
36
|
web
|
84
|
84
|
rtsp
|
558
|
558
|
升級
|
8010
|
8010
|
6
|
休息區(qū)走廊
|
32
|
web
|
85
|
85
|
rtsp
|
559
|
559
|
升級
|
8011
|
8011
|
7
|
員工間
|
34
|
web
|
86
|
86
|
rtsp
|
560
|
560
|
升級
|
8012
|
8012
|
8
|
配料間
|
33
|
web
|
87
|
87
|
rtsp
|
561
|
561
|
升級
|
8013
|
8013
|
9
|
顧問間1
|
39
|
web
|
88
|
88
|
rtsp
|
562
|
562
|
升級
|
8014
|
8014
|
10
|
顧問間1
|
41
|
web
|
89
|
89
|
rtsp
|
563
|
563
|
升級
|
8015
|
8015
|
11
|
顧問間1
|
38
|
web
|
90
|
90
|
rtsp
|
564
|
564
|
升級
|
8016
|
8016
|
12
|
顧問間1
|
40
|
web
|
91
|
91
|
rtsp
|
565
|
565
|
升級
|
8017
|
8017
|
以上共36個端口,依次添加。
前端IPCAM的3個網(wǎng)路端口也做相應(yīng)的修改。
由于這里只用了3個端口,所以其他的無需改動。手動NAT時,UPnP需要關(guān)閉。
否則設(shè)備映射到外網(wǎng)的端口就會變成UPnP的端口,達(dá)不到我們NAT的目的了。
另外的11臺設(shè)備按照表格設(shè)置。
特別注意的是:
由于默認(rèn)的升級端口8006,默認(rèn)的語音對講端口是8004,離得很近。所以,需要對端口段進(jìn)行規(guī)劃。
要求今后的施工按照如下端口段進(jìn)行分配:
| 設(shè)備型號/項目 |
服務(wù)端口
|
默認(rèn)端口
|
NAT規(guī)劃起始
|
20臺ipcam的端口上限
|
可選性級別
|
J系列
|
web
|
80
|
80
|
99
|
必選
|
ftp
|
21
|
21
|
40
|
不選
|
rtsp
|
554
|
554
|
573
|
必選
|
對講
|
8004
|
9006
|
9025
|
可選。根據(jù)項目和將來預(yù)期,最好開
|
升級
|
8006
|
8006
|
8025
|
必選
|
舉例:TP-Link WG541,是常見的家用路由器,NAT的上限是16個。所以單路由器支持的ipcam數(shù)量有限。| 開的端口數(shù) |
端口名
|
最大支持的NAT端口數(shù)
|
單臺路由支持的設(shè)備最大數(shù)
|
2
|
web/rtsp
|
16
|
8
|
3
|
web/rtsp/升級
|
5
|
4
|
web/rtsp/升級/對講
|
4
|
5
|
web/rtsp/升級/對講/ftp
|
3
|
情況2:路由器支持UPnP,但數(shù)量有限。
當(dāng)IPCAM能夠從路由器中獲得UPnP時,就無需做手動端口映射,每臺設(shè)備只需根據(jù)需要端口數(shù),勾選需要的端口就可以了。
每臺設(shè)備的設(shè)置都相同,無需在前端修改端口。
手動NAT和UPnP的區(qū)別是:1)手動NAT內(nèi)網(wǎng)設(shè)備的端口和外網(wǎng)路由器的端口要一致,UPnP自動獲取,往往不一致。
2)手動NAT要求內(nèi)網(wǎng)設(shè)備的IP要固定,端口要固定。但UPnP方式的同一個設(shè)備端口可能會不一致。
3)手動NAT要關(guān)閉DHCP,因為DHCP導(dǎo)致設(shè)備IP發(fā)生變化后,會導(dǎo)致手動NAT失效。
NAT或UPnP設(shè)置完成后的驗證: 讓在公司的同事(與網(wǎng)絡(luò)攝像機不在同一個局域網(wǎng)),運行“感知網(wǎng)視頻客戶端”,觀看視頻。
看到視頻后,在視頻窗口,右鍵,選擇”設(shè)備屬性“,如果”當(dāng)前觀看地址“與”廣域網(wǎng)觀看地址“相同,說明NAT或UPnP設(shè)置正確。
