H3C SecPath GAP2000-CN系列安全隔离与信息交换系统典型配置(E6701)-5W100

09-SIP视频应用配置举例

1 简介

2 配置前提

3 H3C SecPath GAP2000视频SIP功能配置举例

1 简介

本文档介绍了H3C SecPath GAP2000的SIP视频应用配置举例。

安防视频行业发展初期，不同视频厂家系统之间的互联，在技术层面没有实现统一标准。各个监控系统之间的视频资源共享，需要集成平台分别对不同厂家的产品单独接入。由于各厂家产品通讯接口各不相同，负责进行资源整合的平台工作量巨大；从升级维护的角度来说，很多厂家的接口软件版本管理变的异常复杂，容易混乱。H3C SecPath GAP2000视频功能模块是基于GB/T28181标准开发的视频通道功能。用于对接不同SIP监控域视频平台，帮助不同区域的视频平台，在路由交换彻底阻断的情况下，实现SIP信令协商以及RTP码流推送。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

注：所有场景涉及到标准SIP-28181协议时，必须提前导入视频license授权，其它情况无需授权。

本文假设您已了解H3C SecPath GAP2000特性。

3 H3C SecPath GAP2000视频SIP功能配置举例

3.1 组网需求

如图1所示，上级SIP监控域位于H3C SecPath GAP2000内侧，下级SIP监控域位于H3C SecPath GAP2000外侧。每个SIP监控域都有各自独立的SIP客户端、SIP设备、流媒体服务器、视频服务器（含信令控制服务器、信令网关）。

图1 H3C SecPath GAP2000 SIP视频应用配置举例组网图

3.2 配置思路

· 级联/互联是SIP信令安全路由网关之间的联网模式，大多数视频厂商是将信令安全路由网关（也称“视频网关”、“信令网关”、“SIP网关”或“安全网关”）和信令控制服务器部署在一起的，也就是视频服务器。极少数情况下，视频厂商会将其独立部署。网闸要映射的实际是视频网关，而不是视频服务器。

· 网闸只能放在SIP网关和SIP网关之间级联/互联。只有级联/互联才能保证该SIP协议基于GB/T28181标准。SIP客户端到SIP服务器之间虽然也是SIP协议，但大部分视频厂商目前仍沿用私有标准。因此，网闸不能为SIP客户端到对面SIP服务器配置访问通道。

· 统计网闸两边的级联/互联线路有多少条。是否存在一对多关系。

· 两边SIP服务器级联/互联是基于GB/T28181-2011标准，还是GB/T28181-2016标准。将所有需要SIP服务器的IP以及信令网关端口PORT统计全，设计双向服务映射列表，GB/T28181-2016环境中视频厂商可能开启TCP级联/互联端口，GB/T28181-2011标准中没有TCP端口。申请内外端需要的IP地址。

3.3 使用版本

本举例是在E6701版本上进行配置和验证的。

3.4 配置步骤

3.4.1 通过B/S方式登录网闸内端机

通过网闸内端机MAN管理口登录网闸，打开浏览器输入https://192.168.0.1，（MAN口为内端机专用管理口）

系统管理员默认账号：admin；默认密码：adminh3c

安全管理员默认账号：secrecy；默认密码：secrecyh3c

图2 内端机登录页面

3.4.2 内端机网络配置

点击“网络管理”>“IP地址管理”，选中GE0/0，点击“+”设置网闸内端系统的IP。

图3 设置内端系统IP

设置完后点“保存”退出。

图4 添加、保存内端IP设置

点击“网络管理”>“路由配置”设置内端机的路由，如下图。

图5 路由管理

点击“新增路由”按钮添加路由。由于网闸是多机体系，请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。

图6 添加、保存内端路由

3.4.3 通过B/S方式登录网闸外端机

通过网闸外端机MAN管理口登录网闸，打开浏览器输入https://192.168.0.2，（MAN口为外端机专用管理口）

系统管理员默认账号：admin；默认密码：adminh3c

安全管理员默认账号：secrecy；默认密码：secrecyh3c

图7 外端机登录页面

3.4.4 外端机网络配置

点击“网络管理”>“IP地址管理”，选中GE0/0，点击“+”设置网闸外端系统的IP。

图8 设置外端系统IP

设置完后点“保存”退出。

图9 添加、保存外端IP设置

点击“网络管理”>“路由配置”设置外端机的路由，如下图。

图10 路由管理

点击“新增路由”按钮添加路由。由于网闸是多机体系，请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。

图11 添加、保存外端路由

3.4.5 通道设置

该配置在内、外端系统的安全管理员secrecy下操作

1. 外端通道管理

如果视频服务器使用UDP来封装SIP信令（和码流无关），则配置SIP-28181-UDP通道。

添加SIP-28181-UDP监听通道

图12 SIP-28181-UDP监听通道配置界面

保存并启用SIP-28181-UDP监听通道

图13 已保存的外端SIP-28181-UDP监听通道

如果视频服务器使用TCP来封装SIP信令（和码流无关），则配置SIP-28181-TCP通道。SIP-28181-UDP和SIP-28181-TCP通常2选1，不需要全配。请按照视频厂商的级联设置选择对应类型。

添加SIP-28181-TCP监听通道

图14 SIP-28181-TCP监听通道配置界面

保存并启用SIP-28181-TCP监听通道

图15 已保存的外端SIP-28181-TCP监听通道

2. 内端通道管理

对应外端机的SIP通道类型，如果外端配置的是SIP-28181-UDP，则内端也配置SIP-28181-UDP。如果外端机配置的是SIP-28181-TCP，则内端也配置SIP-28181-TCP。

添加SIP-28181-UDP连接通道

图16 SIP-28181-UDP连接通道配置界面

保存并启用SIP-28181-UDP连接通道

图17 已保存的外端SIP-28181-UDP连接通道

添加SIP-28181-TCP连接通道

图18 SIP-28181-TCP连接通道配置界面

保存并启用SIP-28181-TCP连接通道

图19 已保存的外端SIP-28181-TCP连接通道

上级平台如果是基于GB/T28181-2016标准，网闸并非一定要配置SIP-28181-TCP，应当视现场实际情况而定。如果平台厂商没有开启TCP信令监听服务，可以不用配置SIP-28181-TCP通道。如果厂商将SIP信令和码流传输协议选择基于TCP协议，那问题排查可能会很困难。因为基于TCP的SIP会对报文进行加密，加密后我们无法再通过分析报文来判断问题具体原因了，码流的质量也很难通过抓包软件来统计。所以建议视频厂商优先采用基于UDP的SIP以及码流。

视频平台在信令协议上选TCP或UDP，跟码流的TCP、UDP不是一个概念。网闸在选SIP-TCP或SIP-UDP通道时，只取决于信令的协议类型，和视频码流是否为TCP、UDP无关。Invite信令（点播）协商成功后，这两种通道类型，都能同时支持TCP码流和UDP码流。

监听端口和目的端口需要保持一致，不能做转换。虽然界面允许将这2个参数配置不同数值，但目前各大视频厂商均不允许端口转换。SIP信令中有大量协议字段会涉及到端口号，网闸转换后，视频平台不一定能适配、兼容。

当存在一对多的级联关系时，比如内网1个视频服务器，外网2个视频服务器。网闸内、外端需要各准备2个IP作为监听和连接IP，不能使用同一个IP不同端口的配置方法。

RTP码流端口段不需要配置，网闸是通过解析SIP信令中的协商结果，动态生成RTP码流通道的。以内网点播外网视频为例，该过程分2步骤：首先，解析内网SIP服务器发送过来的SIP报文，将收流地址改为网闸外端机，使外网流媒体将RTP码流访问网闸外端IP。第二步，网闸将SIP客户端收流IP映射到网闸外端IP，将收到的RTP码流转发至SIP客户端，有时也可能是内网流媒体服务器。

如果RTP码流并发较高，可以适当调整线程数。建议不超过10。

每一组级联/互联，需要配置单向SIP-28181-UDP或SIP-28181-TCP通道。方向由下级到上级注册方向而定，如果两边平台是双向注册，任选一个方向都行。注意，同一组级联不可以配双向SIP通道，否则反向的注册会产会话冲突。而SIP-28181-UDP或SIP-28181-TCP根据上级开启的信令监听服务而定，通常2选1，UDP居多，不需要两种全配。

每一组联网关系中，网闸所使用的IP（含内、外端监听IP、连接IP）必须独立，不能和其它级联/互联关系混用IP。也不能和其它数据通道混用。虽然用同一个IP，不同SIP端口可以配置，也不影响SIP协商。但是网闸在生成RTP码流的时候，内部码流规则可能会产生逻辑冲突。因此要求，每一组级联/互联，必须使用独立IP。在一对多环境中，需要格外注意。

SIP业务和其他应用业务不能使用同一对监听地址和连接地址，必须独立使用。

SIP通道配置端口时32767及以上端口不能作为信令端口，高位端口需要预留出来给码流使用。