钱是否在缩水:关于ipcam的UPnP或NAT的知识

网络摄像机使用NAT还是UPnP的原则：
当一个路由器下最多有3个设备时，使用UPnP功能，
当一个路由器下大于3个网络摄像机时，建议使用手动NAT方式或使用企业级路由器。
NAT/UPnP介绍：
通常路由器NAT的映射的规则是：
路由器的外网端口N ----映射为-à 设备的内网IP的端口N
即：路由器的外网的某个端口N，对应内网某个IP地址的相同端口N。
举例：
1）单端口映射

路由器的外网80端口 映射为 内网 192.168.1.30的80端口
对于外网访问：221.124.22.21的80端口
等同于
内网访问
192.168.1.30的80端口
可以理解为NAT就是路由器桥接了外网到内网的数据通路
当然也可以让外网的81对应内网的192.168.1.30的80端口。

但路由器的NAT通常要求内外的端口是一致的。
１）路由器设置
TP-Link的WG541G为例

服务端口号：是指内网设备的端口号，这里没有设置外网端口号的地方，就说明路由器要求NAT的端口号要内外一致。
IP地址：内网设备的IP地址
协议：TCP或UDP，用默认的ALL
状态：生效。

疑问：
为什么UPnP状态，内部外部端口是不一致的?


解答：UPnP是自动的NAT，是设备和路由器之间按照UPnP协议，自动协商端口。
即使内网设备重启，IP地址改变，二者之间都会重新协商获得新的UPnP端口号（即自动的NAT端口映射）
但NAT是静态的映射，如果内部设备IP地址发生变化，那外部的映射就会错误，失效了。
所以手动NAT情况下，设备绝对不能设置成DHCP方式。
２）DMZ方式介绍：
如下，DMZ设置仅仅需要指定内网的一个IP地址，无需设置端口。

DMZ主机IP地址：指内网的一个IP地址
DMZ方式的原理是将从外网访问的所有请求都转到内网的一台设备上。
如下图，从外部访问221.124.22.21的所有端口请求，从1到65535，无论是TCP还是UDP，都转到192.168.1.30上。

DMZ 等于 将路由器外部的所有端口，都NAT给内网的一个IP。
当局域网只有一台设备需要从外部访问时，可以设置DMZ。
DMZ可以理解成是简化的NAT设置，但影响范围太广。
在我们给客户的应用场景中，不允许使用DMZ技术。
３）同一个设备的多端口NAT
就是单端口NAT的重复设置

４）多个设备的多端口NAT
由于每个IPCAM都有相同的对外访问端口，如80是web，而路由器的NAT要求内外网一致，所以就要规划，比如第一个设备是80，第二个设备就要改为81.

所以，多台IPCAM的NAT需要做：
１） 需要修改IPCAM的本地访问端口，每个都不一样
２）为避免混乱，需要在NAT设置前进行规划
３）施工完成后，需要保留外部端口和本地设备NAT的对应关系表，以备后查。
规划一个12台IPCAM的端口映射情况：
情况1：路由器不支持UPnP或路由器支持UPnP，但IPCAM无法正确获得。
国内的路由器品牌很多，质量参差不齐，并不是路由器上有UPnP开关，IPCAM就可以支持的。
以下以一个实际客户的网络情况，进行举例说明。

说明：
1) J系列的IPCAM有5个端口，这里我们只用：
web，rtsp，升级3个端口。 语音对讲不需要。
注意：A）J系列的必须的是web和rtsp的两个端口。这是是NAT或UPnP打开的最小值
B) 不到万不得已，升级端口的映射需要保留
C）语音对讲端口（非侦听），在一些局域网应用中，需要打开
D）FTP端口，可以不要，功能和web端口相同。
2) 为减少设备以后排查的难度，要求所有设备的IP地址连续。
3) 不要设置8080端口的NAT，因为已经设置了路由器的外部端口为8080，否则会导致路由器从外网不能访问。这样做是为了以后无需来现场，就可以排查问题。

以下可利用excel中的自动计算功能做好，如附件。
nat.xls(21 KB, 下载次数: 1)
ID
设备
IP地址 192.168.1.x
软件版本
设备端口
NAT端口
1
茶水间
31
web
80
80
rtsp
554
554
升级
8006
8006
2
走廊
37
web
81
81
rtsp
555
555
升级
8007
8007
3
前台
35
web
82
82
rtsp
556
556
升级
8008
8008
4
消防通道
30
web
83
83
rtsp
557
557
升级
8009
8009
5
左墙走廊
36
web
84
84
rtsp
558
558
升级
8010
8010
6
休息区走廊
32
web
85
85
rtsp
559
559
升级
8011
8011
7
员工间
34
web
86
86
rtsp
560
560
升级
8012
8012
8
配料间
33
web
87
87
rtsp
561
561
升级
8013
8013
9
顾问间1
39
web
88
88
rtsp
562
562
升级
8014
8014
10
顾问间1
41
web
89
89
rtsp
563
563
升级
8015
8015
11
顾问间1
38
web
90
90
rtsp
564
564
升级
8016
8016
12
顾问间1
40
web
91
91
rtsp
565
565
升级
8017
8017
以上共36个端口，依次添加。

前端IPCAM的3个网路端口也做相应的修改。

由于这里只用了3个端口，所以其他的无需改动。手动NAT时，UPnP需要关闭。
否则设备映射到外网的端口就会变成UPnP的端口，达不到我们NAT的目的了。
另外的11台设备按照表格设置。
特别注意的是：
由于默认的升级端口8006，默认的语音对讲端口是8004，离得很近。所以，需要对端口段进行规划。
要求今后的施工按照如下端口段进行分配：
设备型号/项目
服务端口
默认端口
NAT规划起始
20台ipcam的端口上限
可选性级别
J系列
web
80
80
99
必选
ftp
21
21
40
不选
rtsp
554
554
573
必选
对讲
8004
9006
9025
可选。根据项目和将来预期，最好开
升级
8006
8006
8025
必选
举例：TP-Link WG541，是常见的家用路由器，NAT的上限是16个。所以单路由器支持的ipcam数量有限。
开的端口数
端口名
最大支持的NAT端口数
单台路由支持的设备最大数
2
web/rtsp
16
8
3
web/rtsp/升级
5
4
web/rtsp/升级/对讲
4
5
web/rtsp/升级/对讲/ftp
3
情况2：路由器支持UPnP,但数量有限。
当IPCAM能够从路由器中获得UPnP时，就无需做手动端口映射，每台设备只需根据需要端口数，勾选需要的端口就可以了。
每台设备的设置都相同，无需在前端修改端口。

手动NAT和UPnP的区别是：
1）手动NAT内网设备的端口和外网路由器的端口要一致，UPnP自动获取，往往不一致。
2）手动NAT要求内网设备的IP要固定，端口要固定。但UPnP方式的同一个设备端口可能会不一致。
3）手动NAT要关闭DHCP，因为DHCP导致设备IP发生变化后，会导致手动NAT失效。
NAT或UPnP设置完成后的验证：
让在公司的同事（与网络摄像机不在同一个局域网），运行“感知网视频客户端”，观看视频。
看到视频后，在视频窗口，右键，选择”设备属性“，如果”当前观看地址“与”广域网观看地址“相同，说明NAT或UPnP设置正确。