H3C SecPath GAP2000系列安全隔离与信息交换系统典型配置(E6005 E6006 E6008)-5W114

09-SIP视频应用配置举例

1 简介

2 配置前提

3 H3C SecPath GAP2000视频SIP功能配置举例

1 简介

本文档介绍了H3C SecPath GAP2000的SIP视频应用配置举例。

安防视频行业发展初期，不同视频厂家系统之间的互联，在技术层面没有实现统一标准。各个监控系统之间的视频资源共享，需要集成平台分别对不同厂家的产品单独接入。由于各厂家产品通讯接口各不相同，负责进行资源整合的平台工作量巨大；从升级维护的角度来说，很多厂家的接口软件版本管理变的异常复杂，容易混乱。H3C SecPath GAP2000视频功能模块是基于GB/T28181标准开发的视频通道功能。用于对接不同SIP监控域视频平台，帮助不同区域的视频平台，在路由交换彻底阻断的情况下，实现SIP信令协商以及RTP码流推送。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

注：所有场景涉及到标准SIP-28181协议时，必须提前导入视频license授权，其它情况无需授权。

本文假设您已了解H3C SecPath GAP2000特性。

3 H3C SecPath GAP2000视频SIP功能配置举例

3.1 组网需求

如图1所示，上级SIP监控域位于H3C SecPath GAP2000内侧，下级SIP监控域位于H3C SecPath GAP2000外侧。每个SIP监控域都有各自独立的SIP客户端、SIP设备、流媒体服务器、视频服务器（含信令控制服务器、信令网关）。

图1 H3C SecPath GAP2000 SIP视频应用配置举例组网图

3.2 配置思路

· 级联/互联是SIP信令安全路由网关之间的联网模式，大多数视频厂商是将信令安全路由网关（也称“视频网关”、“信令网关”、“SIP网关”或“安全网关”）和信令控制服务器部署在一起的，也就是视频服务器。极少数情况下，视频厂商会将其独立部署。网闸要映射的实际是视频网关，而不是视频服务器。

· 网闸只能放在SIP网关和SIP网关之间级联/互联。只有级联/互联才能保证该SIP协议基于GB/T28181标准。SIP客户端到SIP服务器之间虽然也是SIP协议，但大部分视频厂商目前仍沿用私有标准。因此，网闸不能为SIP客户端到对面SIP服务器配置访问通道。

· 统计网闸两边的级联/互联线路有多少条。是否存在一对多关系。

· 两边SIP服务器级联/互联是基于GB/T28181-2011标准，还是GB/T28181-2016标准。SIP-UDP通道存在V1、V2两个版本。推荐使用V1版本。

· 将所有需要SIP服务器的IP以及信令网关端口PORT统计全，设计下级平台向上级平台注册的服务映射列表，GB/T28181-2016环境中视频厂商可能开启TCP级联/互联端口，GB/T28181-2011标准中没有TCP端口。申请内外端需要的IP地址。

3.3 使用版本

本举例是在E6008P06版本上进行配置和验证的。

3.4 配置步骤

3.4.1 通过B/S方式登录网闸

通过网闸MAN管理口登录网闸，打开浏览器输入https://192.168.0.1，（MAN口为专用管理口，其它网口不允许管理配置网闸）

系统管理员默认账号：admin；默认密码：adminh3c

安全管理员默认账号：secrecy；默认密码：secrecyh3c

图2 登录界面

3.4.2 网络配置

该配置在系统管理员admin下操作

点击“网络管理”→“IP地址管理”→“内端机”，选中SLOT0/0，设置网闸内端系统的IP。

图3 设置网闸内端系统的IP

点击“+”，设置完后点“保存”退出。

图4 新建IP

图5 配置IP和掩码

点击“网络管理”→“IP地址管理”→“外端机”，选中SLOT0/0，点击“+”设置网闸外端系统的IP。

图6 设置外端系统IP

设置完后点“保存”退出。

图7 添加、保存外端IP设置

点击“网络管理”→“路由配置”设置内、外端机的路由，如下图。

图8 路由管理

点击“新增路由”按钮添加路由。注意“端机口”参数，由于网闸是多机体系，请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。

图9 添加、保存内端路由

图10 设置外端路由

3.4.3 通道设置

该配置在安全管理员secrecy下操作

针对需要开放的服务，配置网闸通道，点击“通道管理”，如下图：

图11 通道管理

点击“+”添加通道

如果视频服务器使用UDP来封装SIP信令（和码流无关），则配置SIP-28181-UDP通道

图12 添加外到内，SIP-28181-UDP通道

如果视频服务器使用TCP来封装SIP信令（和码流无关），则配置SIP-28181-TCP通道

图13 添加外到内，SIP-28181-TCP通道

图14 启用通道

6007P03版本之前推荐使用V2，6008版本之后推荐使用V1。

6007P03及其之前版本的SIP-28181-UDP-V1模式仅适用于早期GB/T28181-2011版本的视频服务，相对于V2版本，V1无法配置源端服务器IP，部分厂商的信令可能无法完全转换，而且不能用在GB/T28181-2016环境中。V2可用于大多数GB/T28181-2011和GB/T28181-2016组网环境。目前已适配过的厂商有海康、大华、宇视、科达等。但V2模式仅适合人工点播的业务场景。如果单位时间内同时发生大量invite点播，比如每分钟几百次点播（某些人工智能点播应用，或高级算法的抓图软件），网闸视频模块的处理能力可能达到极限，无法处理完所有请求。为了优化性能同时解决兼容性问题，6008版本开始，SIP-28181-UDP-V1模式进行了重制，已经可以实现每分钟500次invite点播的处理，并能兼容GB/T28181-2011和GB/T28181-2016标准。

其次上级平台如果是基于GB/T28181-2016标准，网闸并非一定要配置SIP-28181-TCP，应当视现场实际情况而定。如果平台厂商没有开启TCP信令监听服务，可以不用配置SIP-28181-TCP通道。如果厂商将SIP信令和码流传输协议选择基于TCP协议，那问题排查可能会很困难。因为基于TCP的SIP会对报文进行加密，加密后我们无法再通过分析报文来判断问题具体原因了，码流的质量也很难通过抓包软件来统计。所以建议视频厂商优先采用基于UDP的SIP以及码流。

视频平台在信令协议上选TCP或UDP，跟码流的TCP、UDP不是一个概念。网闸在选SIP-TCP或SIP-UDP通道时，只取决于信令的协议类型，和视频码流是否为TCP、UDP无关。Invite信令（点播）协商成功后，这两种通道类型，都能同时支持TCP码流和UDP码流。

码流不支持TCP主动模式，码流代理最多添加20条，仅支持ipv4，且配置码流的通道不支持上传和下载。

监听端口和目的端口需要保持一致，不能做转换。虽然界面允许将这2个参数配置不同数值，但目前各大视频厂商均不允许端口转换。SIP信令中有大量协议字段会涉及到端口号，网闸转换后，视频平台不一定能适配、兼容。

当存在一对多的级联关系时，比如内网1个视频服务器，外网2个视频服务器。网闸内、外端需要各准备2个IP作为监听和连接IP，不能使用同一个IP不同端口的配置方法。

RTP码流端口段不需要配置，网闸是通过解析SIP信令中的协商结果，动态生成RTP码流通道的。以内网点播外网视频为例，该过程分2步骤：首先，解析内网SIP服务器发送过来的SIP报文，将收流地址改为网闸外端机，使外网流媒体将RTP码流访问网闸外端IP。第二步，网闸将SIP客户端收流IP映射到网闸外端IP，将收到的RTP码流转发至SIP客户端，有时也可能是内网流媒体服务器。

如果RTP码流并发较高，可以适当调整线程数。建议不超过10。

每一组级联/互联，需要配置单向SIP-UDP或SIP-TCP通道。方向由下级到上级注册方向而定，如果两边平台是双向注册，任选一个方向都行。注意，同一组级联不可以配双向SIP通道，否则反向的注册会产会话冲突。而SIP-UDP或SIP-TCP根据上级开启的信令监听服务而定，通常2选1，UDP居多，不需要两种全配。

每一组联网关系中，网闸所使用的IP（含内、外端监听IP、连接IP）必须独立，不能和其它级联/互联关系混用IP。也不能和其它数据通道混用。虽然用同一个IP，不同SIP端口可以配置，也不影响SIP协商。但是网闸在生成RTP码流的时候，内部码流规则可能会产生逻辑冲突。因此要求，每一组级联/互联，必须使用独立IP。在一对多环境中，需要格外注意。

SIP业务和其他应用业务不能使用同一对监听地址和连接地址，必须独立使用。

SIP通道配置端口时32767及以上端口不能作为信令端口，高位端口需要预留出来给码流使用。