周迪

你是否曾經或現在依然為廣域網絡的監控聯網而頭疼？是否為廣域聯網購買額外的公網IP花費而心痛？是否為暴露于外網的服務器的安全而擔心？朋友們，請放下你心中的顧慮，宇視科技的萬能網絡護照UNP（universal network passport）方案為您提供統一簡潔的解決方案，讓您輕松的完成大型系統的聯網部署。

簡便經濟的站點聯網

廣域網的監控系統聯網通常會遇到如下幾個問題：地址轉換設備（NAT、防火墻、網閘等）帶來的消息內部IP地址和消息報文頭部IP地址的不一致而導致的部件之間無法互通；為內網的多個監控服務器作地址映射而帶來的公網地址消耗；原先網絡獨立的多個部門之間實施監控聯網所面臨的地址規劃沖突；處于高密級區域的上級域與低密級區域的下級域聯網時面臨的安全規范（會話應由高密級區域向低密級區域發起）和國標標準（要求下級域先向上級域發起注冊）之間的沖突。

宇視科技的UNP方案可輕松解決上述難題。UNP方案在上、下級域的監控服務器之間或終端與監控服務器之間建立一條應用層的通道（這個通道稱為UNP通道），護送所有信令和數據從通道穿越地址轉換設備；所以，不管組網有多復雜，也無論存在多少層NAT，只要普通報文可達，業務均可正常運行——發生地址轉換的僅是通道本身的IP地址，從避免了第一個問題。UNP方案利用UNP通道可以為參與聯網的服務器或終端建立了一個虛擬地址空間，這是個“世外桃源”，與實際網絡地址空間保持隔離。于是，盡管私網內可能有很多監控服務器，但通道本身只消耗一個公網地址和一個端口；而這一個公網地址，我們直接利用了現有的NAT設備的公網地址，所以不需要用戶購買新的公網IP，這就避免了第2個問題。

由于UNP方案在聯網的監控服務器之間制造了一個虛擬地址空間，該空間不與外部實際地址空間互通，那么，即使平級域或上下域的兩個區域之間的地址規劃存在沖突，只要建立UNP通道的幾臺服務器間的地址不發生沖突，域間的業務聯網就不存在任何問題——域間發生的任何業務都由這些服務器負責中轉處理，這樣就解決了第3個問題。

安全規范和國標標準在上級域處高密級區域時不可避免的會發生沖突，一般方案無能為力，但UNP 可破此僵局。上級域服務器先向下級域服務器建立UNP連接，下級域服務器就可以通過UNP 通道向上級域服務器發起注冊——由于通道是建立在兩個服務器之間的一個應用層連接，與外部地址空間保持隔離，所以完全滿足安全性的要求。

經過兩年多的大量開局證明，UNP 可以輕松應對大量復雜的廣域聯網需求。當上下級域間存在復雜網絡，則在上下級域服務器之間建立UNP 連接；當服務器與終端間存在復雜組網，則在服務器與終端之間建立UNP 連接。只要保證兩端設備相互能夠PING 通即萬事大吉。

安全的業務防護

UNP方案從多個維度為廣域監控聯網提供了安全保障。

從網絡層面看，UNP方案只要求防火墻映射一個“地址+ 端口號”，將企業網絡對外的窗口關閉至最小，這使得著總部內網遭受外網入侵的風險降到至最低。因為端口號的控制限制了允許外網主動進入的業務類型，黑客只能依靠大流量發起DOS攻擊；但由于公網IP地址映射指向的是UNP中繼，一臺不保存任何數據的轉發設備，所以數據類服務器非常的安全；同時，即使UNP中繼受攻擊而癱瘓，影響的只是域間的轉發業務，監控系統的本域業務不受任何影響；而防止DOS攻擊其實只需防火墻開啟流量限制即可。

從管理層面看，UNP方案只要求總部的防火墻為UNP中繼建立一個地址端口映射，而無須分支機構的防火墻開啟任何映射。因此，分支機構很安全，而總部的防火墻相對分支機構的防火墻更強悍，所以綜合安全性較好。

從UNP層面看， UNP通道的建立需要進行嚴格的身份認證，屏蔽仿冒攻擊；由于UNP通道內的虛擬地址空間獨立于外網，所有的業務交互都通過服務器進行應用層的業務中轉，所以分支網絡、UNP虛擬空間和總部網絡便形成了三個獨立的地址空間，上下級域的服務器們便是這天然的關卡，這兩道關卡只負責轉換監控類業務，不會轉換其他信令，使得黑客從分支機構攻擊總部網絡的可能性極小。

【結束語】

UNP為上層的監控業務屏蔽了復雜的網絡結構，又為下層的網絡屏蔽了復雜的監控業務，使得監控系統的廣域聯網部署非常的靈活簡便，又經濟安全；也為廣大非IT出身的傳統監控系統運維朋友們解除了對復雜IP網絡知識的依賴，為IP監控的廣域部署奠定了簡單易用的基礎。