宝利通 SE 精英训练营网络基础和防火墙

宝利通 SE 精英训练营网络基础和防火墙王宇，华北和西北区

2宝利通 SE 精英训练营 – 网络基础和防火墙

常见网络类型ISDN 网络IP 网络OSI 网络模型Real Time Traffic 实时传输Quality of Service 服务质量防火墙基础防火墙和视频会议网络要求和故障排查

议题


网络基础和防火墙常见网络类型


公共交换电话网 (PSTN)综合业务数字网 (ISDN)全球移动通讯系统 / 码分多址 (GSM/CDMA)数字数据网 (DDN)卫星网 (VSAT)同步数字体系 (SDH )帧中继 (FR)异步传输网 (ATM)IP 网络MPLS VPN

常见网络类型


网络基础和防火墙 ISDN 网络


ISDN 概述

什么是 ISDN ?

标准


ISDN

ISDN 是一种使用普通电话线路的技术ISDN 允许同时运行多条数字信道


ISDN 信道

B 信道 – 传输数据 .

· 64 kbps( 欧洲和中国 ) · 56 kbps ( 美国 )

D 信道 – 用于管理 .


ISDN 类型

BRI (Basic Rate Interface)

PRI (Primary Rate Interface)


ISDN BRI

最大连接速率 144 kbps.

分为 3 条数字信道 .

2 条 B 信道 - 64 kbps/ 信道1 条 D 信道 - 16 kbps


ISDN PRI

最大连接速率 1936 kbps.

分为 31 条数字信道 .

30 条 B 信道 - 64 kbps/ 条 1 条 D 信道 - 16 kbps


ISDN 多条 BRI

用于提高音频质量和运动图像效果

3 BRI


ISDN 多条 BRI 呼叫方式

为了达到 6B 信道，你可以采用的呼叫方式 :

按照每条信道分别呼叫的方式或者使用

Bonding（信道捆绑）


ISDN 在视频会议中呼叫状态

1/4 Blue - 振铃1/2 Yellow - 建立呼叫3/4 Orange – 协商Full Green - 连接成功


网络基础和防火墙 IP 网络


IP 是基于包交换的网络协议· 从设计上讲， IP 是一种不可靠的协议· IP 不是被设计为保障端到端传输的协议分支网络可能存在如下问题· 丢包· 延迟· 乱序· 抖动IP 网络通过部署 QoS 可保障服务质量

IP 的特点


网络基础和防火墙 OSI 网络模型


TCP/IP 网络


OSI 模型提供了具有普遍意义的 7 层通讯模型OSI 模型

物理层数据链路层

网络层传输层会话层表示层应用层

应用功能端到端连接网络功能

Routing ---------Bridging --------Repeating -----

3 个功能组


OSI 模型

层 1-3 构成了网络功能部分层 1 物理层· 线缆· 接口· 属于物理层定义的典型规范代表包括： RS-232 、 RS-

449 、 V.35 、 RJ-45 等


OSI 模型

层 2 是数据链路层层 2 分为两个子层


逻辑链路子层 ( 上层 )· 允许更高层安全访问各种网络介质· LLC 允许 IP 运行 802.5 （令牌环） , 802.3/u （ 100Base-T ） ,

802.11a/g/b 等 .

媒体访问控制子层 ( 下层 )· MAC 子层从 LLC 层接收数据然后组成帧放到网络介质上· 如果网络介质是以太网， MAC 子层会把以太帧放到网络介质上· MAC 地址是物理地址· MAC 子层也会确保访问介质时使用正确的技术 (CSMA/CD, TR, FDDI)

控制上述功能的网络设备是网桥和交换机

OSI 模型


层 3 是网络层逻辑寻址 (IP 地址 ) 和路由发生在层 3

层 3 负责在不同逻辑网络之间路由 IP 包在层 3 工作的网络设备是路由器和 3 层交换机网络层协议的代表包括： IP 、 IPX 、 RIP 、 OSPF等MAC 地址和 IP 地址的主要区别是：· MAC 地址固化在 NIC 上 , 而你可以修改任意 IP 地址

OSI 模型


层 4 是传输层，定义了端到端的通讯方法· 传输层协议的代表包括： TCP 、 UDP 、 SPX 等

目前常用的传输协议是 TCP 和 UDP

UDP: 用户数据协议· UDP 是基于无连接的传输层协议

TCP: 传输控制协议· TCP 是基于连接的传输层协议

OSI 模型


层 5 是会话层· 打开一个源端口，随机生成一个大于 1024 的端口· 应用在这里确定目标端口 , 例如 80· 对于 TCP来说 , 所有通讯都发生在“源端口 -目的端口”通道之内，只到发生会话超时 .· 对于 H.323来说 , TCP 用于 H.225 和 H.245 协议层 6 是表示层· 表示层的数据转换包括数据的加密、压缩、格式转换等· 表示层协议的代表包括：

ASCII 、 ASN.1 、 JPEG 、 MPEG 等层 7 是应用层· 应用层协议的代表包括： Telnet 、 FTP 、 HTTP 、 SNMP等

OSI 模型


网络基础和防火墙 Real Time Traffic 实时传输


数据的传输模式

可靠传输 (TCP)

非可靠传输 (UDP)


数据应用需要可靠传输· TCP(Transmission Control Protocol) 用于保障可靠传输· TCP 工作于 IP 之上· TCP 用“重传”来保障数据完整性数据应用的特点· 尽快完成数据传输，网络数据突发明显

数据应用需要可靠传输


实时传输连续不断的对现实世界（图像和声音）的采样实时交互音视频应用会一直占用网络带宽

实时交互音视频应用对于时延非常敏感

实时交互音视频应用


实时传输的特点· UDP承载实时交互音视频应用· UDP 不具备数据恢复机制实时传输应用面临的挑战· 确保与音视频数据有关的数据包在传输过程中避免被丢失QoS 是确保实时传输应用的有效机制

实时交互音视频应用采用实时传输模式


标准 H.323 协议栈

Physical Layer (IEEE802.3)

Data Link Layer (IEEE802.3)

H.323

Network layer (IP)

UDP

RTP

RTCP

TCP/UDP TCP UDPTCP

AudioCodecsG.711

G.723.1G.729

..

VideoCodecsH.261H.263H.264

..T.120H.225.0

CallSignaling

H.245 H.225.0RAS

Terminal Control and ManagementDataApplications Media Control

Multimedia Applications, User Interface

tunnel

tunnel


网络基础和防火墙 Quality of Service 服务质量


什么是 QoS？


到底需要多少不同类型的服务


QoS 服务模型

Best-Effort Service （尽力而为）

Integrated Service （集成服务）

Differentiated Service （区分服务）


Interserv 服务模型（著名的 RSVP 协议）


DiffServ 服务模型DiffServ 是多服务模型，满足不同 QoS需求DiffServ 不需要提前预留网络资源DiffServ根据指定的 QoS来提供特定的服务


标记分类拥塞避免拥塞管理

QoS 的关键步骤



QoS 的关键步骤


QoS流程图（ cisco 模型）


层 2 标记分类


层 3 标记分类


MPLS 标记分类


DSCP 每跳行为


NBAR



QoS 的关键步骤




拥塞避免 -RED


拥塞避免 -WRED



QoS 的关键步骤




拥塞管理 -FIFO


拥塞管理 -WFQ


拥塞管理 -PQ


拥塞管理 -CQ


拥塞管理 -CBWFQ


拥塞管理 -LLQ


拥塞管理 -RTPPQ




流量整形



QoS 的关键步骤回顾


网络基础和防火墙防火墙基础


路由器加上 ACL 工作起来就像一台简单的防火墙

防火墙实际上就是一台运行着非常多精密规则的路由器

防火墙在不同网络之间路由 IP 包，但是通过检查 IP 包来决定是否允许这些包通过

防火墙简介


防火墙类型· 包过滤型· 状态检测型· 应用层网关型

防火墙简介


包过滤型防火墙过滤操作在 OSI 模型的层 3-5· 层 3 是网络层

· 从 A 网段到 B 网段· 层 4 是传输层

· TCP 或者 UDP, 基于连接或无连接· 层 5 是会话层

· 端口号码· 例如 port 80 是 http, port 23 是 telnet

防火墙简介


状态检测· 查看包的状态而不是每一个包· 非常适于使用 TCP 的数据应用

· TCP SYN, SYN-ACK, ACK; HTTP GET· 序列号码位

· 状态检测可以获得更高的防火墙效率· 缺点是降低了一些安全性（原因是什么？）

防火墙简介


应用层网关型· 也叫代理（ Proxy ）· 划分 LAN/WAN界限

· 所有 LAN 通讯发到 LAN段网卡， WAN 通讯发到 WAN段网卡· 从入口收到的包会重新打包，然后送到出口

· 检测一个包的内容然后基于此做出操作决定· 代理 HTTP, FTP, TELNET, 323, etc.· 好处是增加了一些对 IP 包进行的额外操作· 缺点是对于包在每一层都进行检测，降低了处理效率

防火墙简介


网络基础和防火墙防火墙与视频会议


视频会议与防火墙

TCP/UDP 端口的使用NAT 地址转换


视频会议常用 TCP/UDP 端口


防火墙 NAT

私网 IP 地址 10.x.x.x/8 位掩码 –

1 个 A 类网络 172.[16..31].x.x/12 位掩码 – 16 个 B 类网络 192.168.[0..255].x/16 位掩码 – 256 个 C 类网络

公网 IP 地址除了 A ， B 和 C 类网络以外的其他网络地址

配置了 NAT 防火墙

远端会场

192.168.1.4

192.168.1.3

192.168.1.2

64.1.1.1Internet

200.1.1.1


“出方向”防火墙 NAT 问题

RTP and RTCP192.169.1.2200.1.1.1

NAT/FW Router

远端会场

192.168.1.4

192.168.1.3

192.168.1.2

64.1.1.1Internet

200.1.1.1

Connect – External H245 IP Address and Port

64.1.1.1200.1.1.1

Open Logical Channel AcknowledgeLocal RTP IP Address and Port

192.168.1.2200.1.1.1

Open Logical Channel64.1.1.1200.1.1.1

Call Setup64.1.1.1 --> 200.1.1.1


192.168.1.2200.1.1.1



192.168.1.2200.1.1.1

Call Setup192.168.1.2 --> 200.1.1.1

H.323 信息传递了错误的 IP 地址和端口

NAT/PAT 防火墙表内网 IP 公网 IP 内部源 Port 外部源 Port192.168.1.2 64.1.1.1 TCP 7600 TCP 3000


“出方向”防火墙 NAT穿越

RTP and RTCP64.1.1.1200.1.1.1

NAT/FW Router

远端会场

192.168.1.4

192.168.1.3

192.168.1.2

64.1.1.1Internet

200.1.1.1

NAT/PAT 防火墙表内网 IP 公网 IP 内部源 Port 外部源 Port192.168.1.2 64.1.1.1 TCP 7600 TCP 3000


64.1.1.1200.1.1.1

Open Logical Channel AcknowledgeLocal RTP IP Address and Port64.1.1.1200.1.1.1


Call Setup64.1.1.1 --> 200.1.1.1


192.168.1.2200.1.1.1



192.168.1.2200.1.1.1

Call Setup192.168.1.2 --> 200.1.1.1

RTP and RTCP192.168.1.2200.1.1.1

成功呼叫的步骤 :

1. 在防火墙上为内部 IP配置静态 NAT

2. 告知 H.323外部 IP 地址


“入方向”防火墙 NAT 问题NAT/FW Router

Internet

Call Setup

Remote participant


“入方向”防火墙 NAT穿越NAT/FW Router

Internet


Call Setup

Open Logical Channel AckExternal RTP IP Address and Port

Open Logical Channel

RTP and RTCP

Static NAT - Virtual external IP address

Call Setup

1. 防火墙上为 MCU配置静态 IP 地址2.入方向的呼叫地址使用“虚拟” IP 地址

Remote participant

成功呼叫的步骤 :


视频会议 NAT配置


网络基础和防火墙网络要求和故障排查


视频会议关心的网络基本要素

时延抖动丢包率网络带宽


端到端时延


影响时延和抖动的因素


对于语音的网络需求


视频会议传输举例


视频会议数据包大小分布


对于视频会议的网络需求

带宽


视频会议对 IP 网络的基本要求时延：单向小于 150ms抖动：单向小于 30ms网络带宽：为视频呼叫的 1.2-1.3倍丢包率：单向小于 1％针对视频应用启用 QoS


视频会议常见带宽估算会议类型速率以太网

传统视频会议 192K 230K

384K 460K

高清视频会议

512K 614K

768K 920K

832K 998K

1024K 1.2M

1472K 1.8M

1920K 2.3M

3840K 4.6M

4096K 4.9M


视频会议常见网络问题 - 网络不通检查网线检查以太网距离检查 RJ45 接头的质量检查所接设备（交换机还是路由器）检查线序（直连线还是交叉线）检查 IP 地址、网关、掩码的设置检查 IP 地址是否为同一个网段、是否有冲突检查网关是否配置正确检查掩码是否配置正确，以保证该 IP 地址检查终端、 MCU 端口是否连接了正确的端口检查 VLAN 设置、检查路由直接 PC 机进行测试


视频会议常见网络问题 - 丢包严重检查交换机和终端的端口配置很多终端的丢包是因为与交换机端口匹配的问题尝试固定 100M 或 1000M 全双工通过分段 PING来检查问题出现在哪里通过 TRACE来检查问题发生在哪里检查丢包发生在哪一层测试网络总带宽通过记录 PING来长时间观察网络的稳定性


常见网络类型ISDN 网络IP 网络OSI 网络模型Real Time Traffic 实时传输Quality of Service 服务质量防火墙基础防火墙和视频会议网络要求和故障排查

总结

谢谢

王宇华北和西北区

t: [email protected]

Documents

宝利通 SE 精英训练营 网络基础和防火墙

宝利通 SE 精英训练营网络基础和防火墙