Gatekeeper网闸产品技术方案

Gatekeeper网闸产品技术方案目录一GateKeeper产品介绍 3二产品性能介绍 4三设备应用方式 83.1终端及MCU的注册方式 83.2编码与拨号规则 9编码构成 9编码构成说明 93.3终端间的呼叫 103.4MCU与终端间的呼叫 10四网络拓扑图 12五产品特性介绍 125.1注册功能 125.2支持多台GK热备份 145.3带宽管理功能 155.4状态监控功能 165.5URI呼叫方式 165.6 Gatekeeper支持IPv6 185.7防火墙穿越 18一GateKeeper产品介绍TANDBERGGatekeeper网闸是TANDBERG公司提供的一款可靠性高，安全和易于使用的视频会议系统网闸产品，同时也是TANDBERG的视频会议网络解决方案的有机组成部分，并为多种终端设备提供ExpressWay防火墙穿越支持。TANDBERGGatekeeper网闸有别于其他品牌的软件GK，无须安装于Windows平台之上，是一款基于Linux实时多任务操作系统的硬件GK。IPIPEnterpriseHomeOfficeGatekeeperBranchOfficeTANDBERG的Gatekeeper网闸适用于不同用户数量的项目，是电信运营商、大型企事业单位、跨国公司、政府机构的最佳选择。该系统在价格、易安装性、易操作性及易管理性方面同样具有极强竞争力。同时，TANDBERGGatekeeper网闸可以与BorderController配合，为多种终端设备提供ExpressWay防火墙穿越解决方案。这种符合国际ITU标准的防火墙穿越方式能保障新的HD高清视频标准，MPEG4AAC-LD语音压缩协议和H.239双流协议，能够为用户提供高质量的音频、视频和数据通信功能，从而充分满足用户对商用视频通信的需求。TANDBERGExpressWay在不损失防火墙安全性的前提下，提供防火墙穿越无缝解决方案，是目前业界视频会议系统穿越防火墙最佳解决方案。保障技术投资，延长产品使用寿命。TANDBERG长期支持计划充分满足客户从决策到部署以及增值的服务需求。专业的服务使你能够获取TANDBERG专家支持系统部署和TANDBERG设备产品的配置，并确保获得最大的投资回报率。TANDBERG公司是ITU-TH.323协议的倡导者、发起者、制订者。该产品具有目前业内最先进的硬件结构与软件结构设计，这种先进的结构设计使得该产品具有极为出色的性能表现，同时也是具有多项国际领先技术的产品。它的设计以及生产年代是目前业内最新的。二产品性能介绍TANDBERGGatekeeper硬件采用即插即用一体化结构设计，可安装于标准19英寸机架上，高度为1U。TANDBERGGatekeeper基于实时多任务Linux操作系统，在保证稳定性的同时，避免了Windows病毒的侵扰。Linux操作系统不同于Windows平台的提供更高的稳定性，高性能和高安全性。系统基于应用的设计架构可以方便地实施和获得高度的可靠性，具有良好的兼容性，可以与任何H.323兼容的设备配合工作，可以TANDBERGBorderController配合穿越防火墙。TANDBERGGatekeeper支持H.235安全认证，支持域内或域间的带宽速率控制，提供国际电联H.460.18/H.460.19的Expressway特性。单机系统容量TandbergGatekeeper网闸支持的最大点数并发呼叫数量200注册数量1000支持防火墙穿越呼叫数量100注册服务service数量100支持邻居GK数量100设计特性基于应用的网络架构便于部署和实施，并能获得高度的可靠性既可以作为一个独立的网闸进行便捷式管理，也可以通过TANDBERGTMS进行管理可以与任何H.323兼容的设备配合工作便于升级安全和可靠性可安装于1U机架上应用特性内嵌的安装向导可以简化安装支持自动的和手动的注册利用指定区域和默认区域进行灵活的区域设置支持区域内部和区域间带宽控制直接呼叫信令利用TANDBERGExpressway技术，支持防火墙穿越支持URI拨叫采用H.235进行设备验证提供处理通话的策略引擎性能特征支持25个扩展到200个并发呼叫只使用固态内存，以提高可靠性多达100个相邻区域和1000个设备与服务支持大规模的URI拨叫利用HTTPS、SSH和SCP实现安全管理网络架构基于安全应用的网络架构闪存（无需磁盘和硬盘）兼容ITU-TH.323v4兼容ITU-TH.225v4TANDBERGASSENT技术H.323v5见附件O(用于DNS拨叫支持)可靠性内置的可靠性注册不受系统重启的影响当前呼叫不受系统重启的影响快速的启动速度（1分钟）网闸流程可在几秒钟内启动恢复程序支持H.225备用网闸安全性利用HTTPS、SSH和SCP实现安全管理（安全文件传输）允许锁定IP服务HTTP(S)、Telnet、SSH、SCP和串行端口要求身份验证兼容H.235v2和v3，支持H.323设备管理支持行业标准，例如RS-232、Telnet、HTTP(S)、SCP和SSH在串行端口上内嵌设置向导，以便进行初始化设置采用TANDBERGTMS9.0或者更高版本进行管理日志和诊断管理为向系统记录服务器记录内容提供服务本地时间区域提示呼叫控制和注册登记支持自动搜索和终端的手动注册H.323ID、E.164别名和服务注册URI拨叫区域内部和之间的直接呼叫信令可达100个穿越通话可达200个主动呼叫可达100个针对单个终端的服务可达1000个注册（包括终端和服务）通话策略管理(RFC3880)区域控制支持多达100个相邻区域网闸和边界控制器支持用于宽带管理的次区域区设置利用指定区域和默认区域进行灵活的区域设置允许充当一个独立网闸，或可以在一个多层网闸结构中充当一个主网闸支持相邻网闸和网关转发请求服务利用相邻网闸上的网关服务，支持呼叫路由允许禁用自动搜索注册控制(打开,特定授权,特定禁止)带宽速率管理跨区域管理-呼叫间定义●每个呼叫的最大带宽●所有相邻区域的最大总带宽区域内部-呼叫间定义●每个呼叫的最大带宽●最大总带宽如果呼叫超过每个单元的最大带宽，自动降低速率网关负载平衡接口3个LAN/以太网（RJ-45），10/100Base-TX端口2个RS232DB-9（前+后）1个USB接口（后部）供电自动调节电源交流/直流90-264伏，47-63赫兹250瓦ATX电源供应冷却系统两个40mm风扇，用于降低系统温度系统控制和指示1个电源LED1个电源开关（后部）3个启动/连接，10/100LED网络支持NDS地址服务支持IPv4和IPv6认证73/23/EEC标准认证(低压规定)-EN60950标准89/336/EEC标准认证(EMC规定)- EN55022,A类- EN55024标准- EN61000-3-2/-3-3标准根据UL60950和CAN/CSAC22.2No.60950的规定进行认证与FCC15BA类兼容尺寸426（宽度）×228.6（长度）×43.5（高度）mm（16.8"×9"×1.72"）可以安装在1个机架单元上三设备应用方式3.1终端及MCU的注册方式终端及MCU可以采用自动注册GK，手动注册GK，和不注册GK三种方式。当终端选择自动注册GK时，终端将发送GRQ消息寻找GK，GK收到后回应GCF给终端，完成终端的自动注册过程。当终端选择手动注册GK时，终端会给指定的GK地址发送RRQ消息，GK回应RCF给终端后，完成手动注册过程。当终端及MCU完成注册后，TandbergGatekeeper视频会议系统网闸可以为每一端点设备提供E.164别名，H.323ID或会议号等别名，来维护全网编号的完整性，方便进行呼叫。3.2编码与拨号规则所有xxxxxxx视频会议系统的终端、MCU都要进行编号。对于会议电视终端终端（IP/H.323），其编号为该终端的E.164名；对于MCU来说，其编号为该MCU内所有会议号。xxxxxx视频会议系统中，采用数字形式的别名编号方案对MCU和终端设备进行编号，方案遵循E.164编号规则。编号用来标识每一个注册的端设备（终端，MCU，网关），且在会议电视网内是唯一的。编码构成端点编号建议采用7位等长编号，形式为：长途区号＋用户号码。编号示意图如下长途区号用户号码编码构成说明终端编码中，长途区号为2～3位，是根据现行的信息产业部电话长途区号制定，但去掉国内长途区号最前面的“0”，例如：北京为“10”、上海为“21”、福州为“591”、大连为“411”。用户号码的长度取决于长途区号的长度，如果长途区号为2位，则用户号码为5位；如果长途区号为3位，则用户号码为4位。如下图所示。长途区号用户号码总长7位其中用户号码，按如下规则分配：MCU――1～99（不足4位或5位补0）终端――100～9999或99999（不足4位或5位补0）3.3终端间的呼叫注册到TandbergGateKeeper网闸上的终端，可以进行E.164别名的呼叫，可以直接按照对方的7位号码：长途区号＋用户号码进行呼叫。IPIPBorderControllerTMSMCU北京上海DSL10002002100201Gatekeeper例如：北京用户终端编码：1000200，上海用户终端编码：2100201终端名称E.164名所在用户城市北京终端1000200北京用户北京上海终端2100201上海用户上海北京终端呼叫上海终端时拨叫号码为：2100201上海终端呼叫北京终端时拨叫号码为：10002003.4MCU与终端间的呼叫注册到TandbergGateKeeper网闸上的终端和MCU，可以直接按照对方的7位号码：长途区号＋用户号码进行呼叫。MCU可以将会议号注册到GK上，终端可以将E.164别名注册到GK上，以便于呼叫。IPIPBorderControllerTMSMCU1000100北京上海DSL10002002100201Gatekeeper例如：北京用户终端1编码：1000200，上海用户终端2编码：2100201，终端名称E.164名所在用户城市北京终端1000200北京用户北京北京MCU1000100北京用户北京上海终端2100201上海用户上海北京终端呼叫北京MCU时拨叫号码为：1000100北京终端呼叫北京MCU时拨叫号码为：1000100四网络拓扑图TMSTMSMCUTANDBERGGatekeeperGatekeeperGatekeeperIPCompanyABC.comC五产品特性介绍5.1注册功能TandbergGatekeeper具有H.323注册功能。注册GK后的终端及MCU可以实现IP地址，E.164别名和H.323ID之间的呼叫，这其中的地址解析工作由GK来完成。终端或MCU注册GK可以采用自动注册和手动注册两种方式来进行。当终端选择自动注册GK时，终端将发送GRQ消息寻找GK，GK收到后回应GCF给终端，完成终端的自动注册过程。当终端选择手动注册GK时，终端会给指定的GK地址发送RRQ消息，GK回应RCF给终端后，完成手动注册过程。成功注册后的终端和MCU将以固定的时间间隔发送LW-RRQ给GateKeeper,以实时更新注册状态。当终端及MCU完成注册后，TandbergGatekeeper视频会议系统网闸可以为每一端点设备提供E.164别名，H.323ID或会议号等别名，来维护全网编号的完整性，方便进行呼叫。终端注册限制Gatekeeper允许用户控制视频设备的注册策略，所有注册到Gatekeeper上的终端构成了一个域Zone，在这个域的范围内所有视频设备都需遵循这个注册策略。终端的注册策略可以分为黑名单即允许注册列表，和白名单即拒绝注册列表。具体实现方式如下：12345678完全匹配1234567?前7个数字匹配，最后一位为通配符号？，代表任何一位字符123*前3个数字匹配，最后一位为通配符号*，代表任何位数的字符支持端到端H.235身份认证TANDBERGGatekeeper可以使用验证终端用户名和密码的方式来进行H.235身份认证。为了验证终端的合法身份，Gatekeeper需要查找认证信息，这些认证信息可以存储在Gatekeeper本地，也可以存储在LDAP服务器中。H.235H.235认证LDAPS(TLS)LDAPServerH.350PlacedinDMZBorderControllerGatekeeper终端H.235认证H.235认证LDAPS(TLS)GatekeeperH.235认证5.2支持多台GK热备份考虑到Gatekeeper在视频会议系统中的重要性，建立热备份机制显得尤为重要。如果一台Gatekeeper由于网络或电源故障不能正常工作，另一台Gatekeeper将成为它的备份。每台Gatekeeper可以最多配置5台备份，当终端向Gatekeeper发注册信息的时候，将被告知所有备份Gatekeeper的地址。当终端初始注册的Gatekeeper出现故障的时，终端会自动的向备份Gatekeeper注册，从而保障呼叫的正常进行。配置备份GK配置备份GKIPIPBorderControllerEnterpriseHomeOfficeDSL5000500150025003Gatekeeper5.3带宽管理功能Gatekeeper允许用户控制视频设备的呼叫带宽，所有注册到Gatekeeper上的终端构成了一个域Zone。这个域Zone可以划分为不同的子域，针对每个子域内部或域间可以定义单独的带宽管理策略，包括每路呼叫带宽限制，和呼叫带宽总和限制。如下图，可以定义在每个sub-zone子域间的总带宽上限，以及每单个呼叫带宽上限。针对每个sub-zone子域内的总带宽，和每单个呼叫带宽也可以制订上限。5.4状态监控功能通过TandbergGatekeeper的监控界面可以查看到当前在线已注册的终端信息，注册历史记录。以及当前连接情况，包括已用呼叫带宽，剩余呼叫带宽，呼叫时长等情况。同时对于设备当前资源利用情况，软件版本，系统状态信息也可以进行监控。5.5URI呼叫方式通过对Expressway解决方案的进一步开发，TANDBERG提供了对URI拨号支持。当有一个使用唯一域名的Gatekeeper存在，并且管理员已在DNS中注册了Gatekeeper的地址，其结果是Gatekeeper的公众地址将发布到整个公众网络区域中。因此，这种机制允许像使用Email中URI的方式在不同的专用地址空间中进行拨号。IPIPDNSServerGatekeeperJ呼叫字符串为:Dialknut@Gatekeeper接入到呼叫方Gatekeeper附带的公众网络的DNS服务能够解析出接收方的相关Gatekeeper的地址，随后将呼叫传递给正确的Gatekeeper。当本地专有地址的位置通过域名方式识别时，在两个分离的地点使用同一个拨号方案已不再是问题。 例如：从1234@companyA.com拨叫1234@companyB.com只需要ComanyA系统拨叫完整的1234@companyB.com地址。CompanyA的边缘控制器包含有companyB.com的DNS解析,并将呼叫直接发给请求连接系统的companyB边缘控制中，同时companyB的边缘控制器通过别名1234识别出该系统。这种拨叫方案的进一步发展将能够提供一个个人电子邮件地址，和电话号码，二者在视频通信系统中都将变成别名。如果系统通过本地网闸注册了E.164别名和H.323别名，那么JohnSmith有Email地址john.smith@companyA.com和电话号码202-555-1234，拨打john.smith@companyA.com或“2025551234@companyA.com能产生同样的效果，并同JohnSmith所属视频通信系统建立一个安全，透明的连接。TANDBERGExpressway解决方案为任何H.323的设备提供统一的URI拨号。Gatekeeper支持IPv6目前使用IPv4地址资源匮乏,IPv4正在逐渐被IPv6所取代。Gatekeeper支持IPv6地址，是第一个支持IPv6的防火墙穿越解决方案。为用户保护现有投资，提供将来设备的兼容与扩展性提供了保障。5.7防火墙穿越来自防火墙完整性的挑战对于防火墙完整性，解决的关键问题是实时的IP通信协议能够充分保证端到端连通的能力。在任何一次呼叫中，都有一个拨叫方和一个接收方。为了保证每一次视频通信的顺畅，任何一方都必须随时准备接收呼叫，并随着视频通信的普及，这些呼叫可能来自各种类型的呼叫方，包括客户，远程办公人员等。防火墙可能无法识别协议防火墙问题包括:对内呼叫,呼叫端口的类别以及直接接入专用设备，大部分防火墙不提供对任何两方间呼叫连接的控制能力。就安全性而言,大多数防火墙解决方案依然是宽带网络和专网连接中的一个很棘手的问题。安全管理员对任何两方间的呼叫连接极少进行控制，也不采用这种方式。此外，IP通信协议使用多种网络端口，同时协议之间很难区分，除非防火墙是针对某个特定的协议而设定的。获得安全和开放通信能力的一个最直接的途径就是对防火墙进行代价昂贵的升级工作，