網絡攝像機使用NAT還是UPnP的原則:
當一個路由器下最多有3個設備時,使用UPnP功能,
當一個路由器下大於3個網絡攝像機時,建議使用手動NAT方式或使用企業級路由器。
NAT/UPnP介紹:
通常路由器NAT的映射的規則是:
路由器的外網端口N ----映射為-à設備的內網IP的端口N
即:路由器的外網的某個端口N,對應內網某個IP地址的相同端口N。
舉例:
1)單端口映射
路由器的外網80端口映射為內網 192.168.1.30的80端口
對於外網訪問:221.124.22.21的80端口
等同於
內網訪問
192.168.1.30的80端口
可以理解為NAT就是路由器橋接了外網到內網的數據通路
當然也可以讓外網的81對應內網的192.168.1.30的80端口。
但路由器的NAT通常要求內外的端口是一致的。
1)路由器設置
TP-Link的WG541G為例
服務端口號:是指內網設備的端口號,這里沒有設置外網端口號的地方,就說明路由器要求NAT的端口號要內外一致。
IP地址:內網設備的IP地址
協議:TCP或UDP,用默認的ALL
狀態:生效。
疑問:
為什么UPnP狀態,內部外部端口是不一致的?
解答:UPnP是自動的NAT,是設備和路由器之間按照UPnP協議,自動協商端口。
即使內網設備重啟,IP地址改變,二者之間都會重新協商獲得新的UPnP端口號(即自動的NAT端口映射)
但NAT是靜態的映射,如果內部設備IP地址發生變化,那外部的映射就會錯誤,失效了。
所以手動NAT情況下,設備絕對不能設置成DHCP方式。
2)DMZ方式介紹:
如下,DMZ設置僅僅需要指定內網的一個IP地址,無需設置端口。
DMZ主機IP地址:指內網的一個IP地址
DMZ方式的原理是將從外網訪問的所有請求都轉到內網的一台設備上。
如下圖,從外部訪問221.124.22.21的所有端口請求,從1到65535,無論是TCP還是UDP,都轉到192.168.1.30上。
DMZ 等於將路由器外部的所有端口,都NAT給內網的一個IP。
當局域網只有一台設備需要從外部訪問時,可以設置DMZ。
DMZ可以理解成是簡化的NAT設置,但影響范圍太廣。
在我們給客戶的應用場景中,不允許使用DMZ技術。
3)同一個設備的多端口NAT
就是單端口NAT的重復設置
4)多個設備的多端口NAT
由於每個IPCAM都有相同的對外訪問端口,如80是web,而路由器的NAT要求內外網一致,所以就要規划,比如第一個設備是80,第二個設備就要改為81.
所以,多台IPCAM的NAT需要做:
1) 需要修改IPCAM的本地訪問端口,每個都不一樣
2)為避免混亂,需要在NAT設置前進行規划
3)施工完成后,需要保留外部端口和本地設備NAT的對應關系表,以備后查。
規划一個12台IPCAM的端口映射情況:
情況1:路由器不支持UPnP或路由器支持UPnP,但IPCAM無法正確獲得。
國內的路由器品牌很多,質量參差不齊,並不是路由器上有UPnP開關,IPCAM就可以支持的。
以下以一個實際客戶的網絡情況,進行舉例說明。
說明:
1) J系列的IPCAM有5個端口,這里我們只用:
web,rtsp,升級3個端口。語音對講不需要。
注意:A)J系列的必須的是web和rtsp的兩個端口。這是是NAT或UPnP打開的最小值
B) 不到萬不得已,升級端口的映射需要保留
C)語音對講端口(非偵聽),在一些局域網應用中,需要打開
D)FTP端口,可以不要,功能和web端口相同。
2) 為減少設備以后排查的難度,要求所有設備的IP地址連續。
3) 不要設置8080端口的NAT,因為已經設置了路由器的外部端口為8080,否則會導致路由器從外網不能訪問。這樣做是為了以后無需來現場,就可以排查問題。
以下可利用excel中的自動計算功能做好,如附件。
nat.xls (21 KB, 下載次數: 1)
| ID |
設備 |
IP地址 192.168.1.x |
軟件版本 |
設備端口 |
NAT端口 |
1 |
茶水間 |
31 |
web |
80 |
80 |
rtsp |
554 |
554 |
|||
升級 |
8006 |
8006 |
|||
2 |
走廊 |
37 |
web |
81 |
81 |
rtsp |
555 |
555 |
|||
升級 |
8007 |
8007 |
|||
3 |
前台 |
35 |
web |
82 |
82 |
rtsp |
556 |
556 |
|||
升級 |
8008 |
8008 |
|||
4 |
消防通道 |
30 |
web |
83 |
83 |
rtsp |
557 |
557 |
|||
升級 |
8009 |
8009 |
|||
5 |
左牆走廊 |
36 |
web |
84 |
84 |
rtsp |
558 |
558 |
|||
升級 |
8010 |
8010 |
|||
6 |
休息區走廊 |
32 |
web |
85 |
85 |
rtsp |
559 |
559 |
|||
升級 |
8011 |
8011 |
|||
7 |
員工間 |
34 |
web |
86 |
86 |
rtsp |
560 |
560 |
|||
升級 |
8012 |
8012 |
|||
8 |
配料間 |
33 |
web |
87 |
87 |
rtsp |
561 |
561 |
|||
升級 |
8013 |
8013 |
|||
9 |
顧問間1 |
39 |
web |
88 |
88 |
rtsp |
562 |
562 |
|||
升級 |
8014 |
8014 |
|||
10 |
顧問間1 |
41 |
web |
89 |
89 |
rtsp |
563 |
563 |
|||
升級 |
8015 |
8015 |
|||
11 |
顧問間1 |
38 |
web |
90 |
90 |
rtsp |
564 |
564 |
|||
升級 |
8016 |
8016 |
|||
12 |
顧問間1 |
40 |
web |
91 |
91 |
rtsp |
565 |
565 |
|||
升級 |
8017 |
8017 |
以上共36個端口,依次添加。
前端IPCAM的3個網路端口也做相應的修改。
由於這里只用了3個端口,所以其他的無需改動。手動NAT時,UPnP需要關閉。
否則設備映射到外網的端口就會變成UPnP的端口,達不到我們NAT的目的了。
另外的11台設備按照表格設置。
特別注意的是:
由於默認的升級端口8006,默認的語音對講端口是8004,離得很近。所以,需要對端口段進行規划。
要求今后的施工按照如下端口段進行分配:
| 設備型號/項目 |
服務端口 |
默認端口 |
NAT規划起始 |
20台ipcam的端口上限 |
可選性級別 |
J系列 |
web |
80 |
80 |
99 |
必選 |
ftp |
21 |
21 |
40 |
不選 |
|
rtsp |
554 |
554 |
573 |
必選 |
|
對講 |
8004 |
9006 |
9025 |
可選。根據項目和將來預期,最好開 |
|
升級 |
8006 |
8006 |
8025 |
必選 |
舉例:TP-Link WG541,是常見的家用路由器,NAT的上限是16個。所以單路由器支持的ipcam數量有限。
| 開的端口數 |
端口名 |
最大支持的NAT端口數 |
單台路由支持的設備最大數 |
2 |
web/rtsp |
16 |
8 |
3 |
web/rtsp/升級 |
5 |
|
4 |
web/rtsp/升級/對講 |
4 |
|
5 |
web/rtsp/升級/對講/ftp |
3 |
情況2:路由器支持UPnP,但數量有限。
當IPCAM能夠從路由器中獲得UPnP時,就無需做手動端口映射,每台設備只需根據需要端口數,勾選需要的端口就可以了。
每台設備的設置都相同,無需在前端修改端口。
手動NAT和UPnP的區別是:
1)手動NAT內網設備的端口和外網路由器的端口要一致,UPnP自動獲取,往往不一致。
2)手動NAT要求內網設備的IP要固定,端口要固定。但UPnP方式的同一個設備端口可能會不一致。
3)手動NAT要關閉DHCP,因為DHCP導致設備IP發生變化后,會導致手動NAT失效。
NAT或UPnP設置完成后的驗證:
讓在公司的同事(與網絡攝像機不在同一個局域網),運行“感知網視頻客戶端”,觀看視頻。
看到視頻后,在視頻窗口,右鍵,選擇”設備屬性“,如果”當前觀看地址“與”廣域網觀看地址“相同,說明NAT或UPnP設置正確。