网络摄像机使用NAT还是UPnP的原则:
当一个路由器下最多有3个设备时,使用UPnP功能,
当一个路由器下大于3个网络摄像机时,建议使用手动NAT方式或使用企业级路由器。
NAT/UPnP介绍:
通常路由器NAT的映射的规则是:
路由器的外网端口N ----映射为-à设备的内网IP的端口N
即:路由器的外网的某个端口N,对应内网某个IP地址的相同端口N。
举例:
1)单端口映射
路由器的外网80端口映射为内网 192.168.1.30的80端口
对于外网访问:221.124.22.21的80端口
等同于
内网访问
192.168.1.30的80端口
可以理解为NAT就是路由器桥接了外网到内网的数据通路
当然也可以让外网的81对应内网的192.168.1.30的80端口。
但路由器的NAT通常要求内外的端口是一致的。
1)路由器设置
TP-Link的WG541G为例
服务端口号:是指内网设备的端口号,这里没有设置外网端口号的地方,就说明路由器要求NAT的端口号要内外一致。
IP地址:内网设备的IP地址
协议:TCP或UDP,用默认的ALL
状态:生效。
疑问:
为什么UPnP状态,内部外部端口是不一致的?
解答:UPnP是自动的NAT,是设备和路由器之间按照UPnP协议,自动协商端口。
即使内网设备重启,IP地址改变,二者之间都会重新协商获得新的UPnP端口号(即自动的NAT端口映射)
但NAT是静态的映射,如果内部设备IP地址发生变化,那外部的映射就会错误,失效了。
所以手动NAT情况下,设备绝对不能设置成DHCP方式。
2)DMZ方式介绍:
如下,DMZ设置仅仅需要指定内网的一个IP地址,无需设置端口。
DMZ主机IP地址:指内网的一个IP地址
DMZ方式的原理是将从外网访问的所有请求都转到内网的一台设备上。
如下图,从外部访问221.124.22.21的所有端口请求,从1到65535,无论是TCP还是UDP,都转到192.168.1.30上。
DMZ 等于将路由器外部的所有端口,都NAT给内网的一个IP。
当局域网只有一台设备需要从外部访问时,可以设置DMZ。
DMZ可以理解成是简化的NAT设置,但影响范围太广。
在我们给客户的应用场景中,不允许使用DMZ技术。
3)同一个设备的多端口NAT
就是单端口NAT的重复设置
4)多个设备的多端口NAT
由于每个IPCAM都有相同的对外访问端口,如80是web,而路由器的NAT要求内外网一致,所以就要规划,比如第一个设备是80,第二个设备就要改为81.
所以,多台IPCAM的NAT需要做:
1) 需要修改IPCAM的本地访问端口,每个都不一样
2)为避免混乱,需要在NAT设置前进行规划
3)施工完成后,需要保留外部端口和本地设备NAT的对应关系表,以备后查。
规划一个12台IPCAM的端口映射情况:
情况1:路由器不支持UPnP或路由器支持UPnP,但IPCAM无法正确获得。
国内的路由器品牌很多,质量参差不齐,并不是路由器上有UPnP开关,IPCAM就可以支持的。
以下以一个实际客户的网络情况,进行举例说明。
说明:
1) J系列的IPCAM有5个端口,这里我们只用:
web,rtsp,升级3个端口。语音对讲不需要。
注意:A)J系列的必须的是web和rtsp的两个端口。这是是NAT或UPnP打开的最小值
B) 不到万不得已,升级端口的映射需要保留
C)语音对讲端口(非侦听),在一些局域网应用中,需要打开
D)FTP端口,可以不要,功能和web端口相同。
2) 为减少设备以后排查的难度,要求所有设备的IP地址连续。
3) 不要设置8080端口的NAT,因为已经设置了路由器的外部端口为8080,否则会导致路由器从外网不能访问。这样做是为了以后无需来现场,就可以排查问题。
以下可利用excel中的自动计算功能做好,如附件。
nat.xls (21 KB, 下载次数: 1)
|
ID |
设备 |
IP地址 192.168.1.x |
软件版本 |
设备端口 |
NAT端口 |
1 |
茶水间 |
31 |
web |
80 |
80 |
rtsp |
554 |
554 |
|||
升级 |
8006 |
8006 |
|||
2 |
走廊 |
37 |
web |
81 |
81 |
rtsp |
555 |
555 |
|||
升级 |
8007 |
8007 |
|||
3 |
前台 |
35 |
web |
82 |
82 |
rtsp |
556 |
556 |
|||
升级 |
8008 |
8008 |
|||
4 |
消防通道 |
30 |
web |
83 |
83 |
rtsp |
557 |
557 |
|||
升级 |
8009 |
8009 |
|||
5 |
左墙走廊 |
36 |
web |
84 |
84 |
rtsp |
558 |
558 |
|||
升级 |
8010 |
8010 |
|||
6 |
休息区走廊 |
32 |
web |
85 |
85 |
rtsp |
559 |
559 |
|||
升级 |
8011 |
8011 |
|||
7 |
员工间 |
34 |
web |
86 |
86 |
rtsp |
560 |
560 |
|||
升级 |
8012 |
8012 |
|||
8 |
配料间 |
33 |
web |
87 |
87 |
rtsp |
561 |
561 |
|||
升级 |
8013 |
8013 |
|||
9 |
顾问间1 |
39 |
web |
88 |
88 |
rtsp |
562 |
562 |
|||
升级 |
8014 |
8014 |
|||
10 |
顾问间1 |
41 |
web |
89 |
89 |
rtsp |
563 |
563 |
|||
升级 |
8015 |
8015 |
|||
11 |
顾问间1 |
38 |
web |
90 |
90 |
rtsp |
564 |
564 |
|||
升级 |
8016 |
8016 |
|||
12 |
顾问间1 |
40 |
web |
91 |
91 |
rtsp |
565 |
565 |
|||
升级 |
8017 |
8017 |
以上共36个端口,依次添加。
前端IPCAM的3个网路端口也做相应的修改。
由于这里只用了3个端口,所以其他的无需改动。手动NAT时,UPnP需要关闭。
否则设备映射到外网的端口就会变成UPnP的端口,达不到我们NAT的目的了。
另外的11台设备按照表格设置。
特别注意的是:
由于默认的升级端口8006,默认的语音对讲端口是8004,离得很近。所以,需要对端口段进行规划。
要求今后的施工按照如下端口段进行分配:
|
设备型号/项目 |
服务端口 |
默认端口 |
NAT规划起始 |
20台ipcam的端口上限 |
可选性级别 |
J系列 |
web |
80 |
80 |
99 |
必选 |
ftp |
21 |
21 |
40 |
不选 |
|
rtsp |
554 |
554 |
573 |
必选 |
|
对讲 |
8004 |
9006 |
9025 |
可选。根据项目和将来预期,最好开 |
|
升级 |
8006 |
8006 |
8025 |
必选 |
举例:TP-Link WG541,是常见的家用路由器,NAT的上限是16个。所以单路由器支持的ipcam数量有限。
|
开的端口数 |
端口名 |
最大支持的NAT端口数 |
单台路由支持的设备最大数 |
2 |
web/rtsp |
16 |
8 |
3 |
web/rtsp/升级 |
5 |
|
4 |
web/rtsp/升级/对讲 |
4 |
|
5 |
web/rtsp/升级/对讲/ftp |
3 |
情况2:路由器支持UPnP,但数量有限。
当IPCAM能够从路由器中获得UPnP时,就无需做手动端口映射,每台设备只需根据需要端口数,勾选需要的端口就可以了。
每台设备的设置都相同,无需在前端修改端口。
手动NAT和UPnP的区别是:
1)手动NAT内网设备的端口和外网路由器的端口要一致,UPnP自动获取,往往不一致。
2)手动NAT要求内网设备的IP要固定,端口要固定。但UPnP方式的同一个设备端口可能会不一致。
3)手动NAT要关闭DHCP,因为DHCP导致设备IP发生变化后,会导致手动NAT失效。
NAT或UPnP设置完成后的验证:
让在公司的同事(与网络摄像机不在同一个局域网),运行“感知网视频客户端”,观看视频。
看到视频后,在视频窗口,右键,选择”设备属性“,如果”当前观看地址“与”广域网观看地址“相同,说明NAT或UPnP设置正确。