網絡攝像機使用NAT還是UPnP的原則：

   當一個路由器下最多有3個設備時，使用UPnP功能，
   當一個路由器下大于3個網絡攝像機時，建議使用手動NAT方式或使用企業(yè)級路由器。


NAT/UPnP介紹：

通常路由器NAT的映射的規(guī)則是：

路由器的外網端口N ----映射為-à 設備的內網IP的端口N

即：路由器的外網的某個端口N，對應內網某個IP地址的相同端口N。

舉例：

1）單端口映射

路由器的外網80端口 映射為 內網 192.168.1.30的80端口

對于外網訪問：221.124.22.21的80端口

等同于

內網訪問
      192.168.1.30的80端口

可以理解為NAT就是路由器橋接了外網到內網的數據通路

當然也可以讓外網的81對應內網的192.168.1.30的80端口。

但路由器的NAT通常要求內外的端口是一致的。

１）路由器設置

TP-Link的WG541G為例

服務端口號：是指內網設備的端口號，這里沒有設置外網端口號的地方，就說明路由器要求NAT的端口號要內外一致。

IP地址：內網設備的IP地址

協議：TCP或UDP，用默認的ALL

狀態(tài)：生效。

疑問：

為什么UPnP狀態(tài)，內部外部端口是不一致的?

解答：UPnP是自動的NAT，是設備和路由器之間按照UPnP協議，自動協商端口。

即使內網設備重啟，IP地址改變，二者之間都會重新協商獲得新的UPnP端口號（即自動的NAT端口映射）

但NAT是靜態(tài)的映射，如果內部設備IP地址發(fā)生變化，那外部的映射就會錯誤，失效了。

所以手動NAT情況下，設備絕對不能設置成DHCP方式。

２）DMZ方式介紹：

如下，DMZ設置僅僅需要指定內網的一個IP地址，無需設置端口。

DMZ主機IP地址：指內網的一個IP地址

DMZ方式的原理是將從外網訪問的所有請求都轉到內網的一臺設備上。

如下圖，從外部訪問221.124.22.21的所有端口請求，從1到65535，無論是TCP還是UDP，都轉到192.168.1.30上。

DMZ 等于 將路由器外部的所有端口，都NAT給內網的一個IP。

當局域網只有一臺設備需要從外部訪問時，可以設置DMZ。

DMZ可以理解成是簡化的NAT設置，但影響范圍太廣。

在我們給客戶的應用場景中，不允許使用DMZ技術。

３）同一個設備的多端口NAT

就是單端口NAT的重復設置

４）多個設備的多端口NAT

由于每個IPCAM都有相同的對外訪問端口，如80是web，而路由器的NAT要求內外網一致，所以就要規(guī)劃，比如第一個設備是80，第二個設備就要改為81.

所以，多臺IPCAM的NAT需要做：

１） 需要修改IPCAM的本地訪問端口，每個都不一樣

２）為避免混亂，需要在NAT設置前進行規(guī)劃

３）施工完成后，需要保留外部端口和本地設備NAT的對應關系表，以備后查。

規(guī)劃一個12臺IPCAM的端口映射情況：

情況1：路由器不支持UPnP或路由器支持UPnP，但IPCAM無法正確獲得。

國內的路由器品牌很多，質量參差不齊，并不是路由器上有UPnP開關，IPCAM就可以支持的。

以下以一個實際客戶的網絡情況，進行舉例說明。

說明：

1) J系列的IPCAM有5個端口，這里我們只用：

web，rtsp，升級3個端口。 語音對講不需要。

       注意：A）J系列的必須的是web和rtsp的兩個端口。這是是NAT或UPnP打開的最小值
                 B) 不到萬不得已，升級端口的映射需要保留

         C）語音對講端口（非偵聽），在一些局域網應用中，需要打開
                D）FTP端口，可以不要，功能和web端口相同。

2) 為減少設備以后排查的難度，要求所有設備的IP地址連續(xù)。

3) 不要設置8080端口的NAT，因為已經設置了路由器的外部端口為8080，否則會導致路由器從外網不能訪問。這樣做是為了以后無需來現場，就可以排查問題。

以下可利用excel中的自動計算功能做好，如附件。

 nat.xls (21 KB, 下載次數: 1)

ID	設備	IP地址192.168.1.x	軟件版本	設備端口	NAT端口
1	茶水間	31	web	80	80
			rtsp	554	554
			升級	8006	8006
2	走廊	37	web	81	81
			rtsp	555	555
			升級	8007	8007
3	前臺	35	web	82	82
			rtsp	556	556
			升級	8008	8008
4	消防通道	30	web	83	83
			rtsp	557	557
			升級	8009	8009
5	左墻走廊	36	web	84	84
			rtsp	558	558
			升級	8010	8010
6	休息區(qū)走廊	32	web	85	85
			rtsp	559	559
			升級	8011	8011
7	員工間	34	web	86	86
			rtsp	560	560
			升級	8012	8012
8	配料間	33	web	87	87
			rtsp	561	561
			升級	8013	8013
9	顧問間1	39	web	88	88
			rtsp	562	562
			升級	8014	8014
10	顧問間1	41	web	89	89
			rtsp	563	563
			升級	8015	8015
11	顧問間1	38	web	90	90
			rtsp	564	564
			升級	8016	8016
12	顧問間1	40	web	91	91
			rtsp	565	565
			升級	8017	8017

以上共36個端口，依次添加。

       前端IPCAM的3個網路端口也做相應的修改。

      由于這里只用了3個端口，所以其他的無需改動。手動NAT時，UPnP需要關閉。

否則設備映射到外網的端口就會變成UPnP的端口，達不到我們NAT的目的了。

另外的11臺設備按照表格設置。

特別注意的是：
      由于默認的升級端口8006，默認的語音對講端口是8004，離得很近。所以，需要對端口段進行規(guī)劃。

要求今后的施工按照如下端口段進行分配：

設備型號/項目	服務端口	默認端口	NAT規(guī)劃起始	20臺ipcam的端口上限	可選性級別
J系列	web	80	80	99	必選
	ftp	21	21	40	不選
	rtsp	554	554	573	必選
	對講	8004	9006	9025	可選。根據項目和將來預期，最好開
	升級	8006	8006	8025	必選

舉例：TP-Link WG541，是常見的家用路由器，NAT的上限是16個。所以單路由器支持的ipcam數量有限。

開的端口數	端口名	最大支持的NAT端口數	單臺路由支持的設備最大數
2	web/rtsp	16	8
3	web/rtsp/升級		5
4	web/rtsp/升級/對講		4
5	web/rtsp/升級/對講/ftp		3

情況2：路由器支持UPnP,但數量有限。

當IPCAM能夠從路由器中獲得UPnP時，就無需做手動端口映射，每臺設備只需根據需要端口數，勾選需要的端口就可以了。
每臺設備的設置都相同，無需在前端修改端口。

 


手動NAT和UPnP的區(qū)別是：

1）手動NAT內網設備的端口和外網路由器的端口要一致，UPnP自動獲取，往往不一致。
2）手動NAT要求內網設備的IP要固定，端口要固定。但UPnP方式的同一個設備端口可能會不一致。
3）手動NAT要關閉DHCP，因為DHCP導致設備IP發(fā)生變化后，會導致手動NAT失效。

NAT或UPnP設置完成后的驗證： 


讓在公司的同事（與網絡攝像機不在同一個局域網），運行“感知網視頻客戶端”，觀看視頻。
看到視頻后，在視頻窗口，右鍵，選擇”設備屬性“，如果”當前觀看地址“與”廣域網觀看地址“相同，說明NAT或UPnP設置正確。