海康威视的硬盘录像机需要在外网访问，在华为防火墙上配置了端口映射，突然失效了？

已经是两年前做完的项目了，但是做完之后，客户就将直接将IT业务外包给了我们，这几天在为客户部署了加密系统，由于参会培训人员比较多，而且还有部分外协单位也需要赶来参加，以致于现场有点小混乱。

有混乱必出差错，这不，客户有员工的手机不见了，我们兵分两路，一个跑到机房调监控，另一个在手机上打开海康威视的4500软件，准备调阅监控，谁曾想，竟然无法添加硬盘录像机。

技术员问客户：“你手机是怎么看监控的？”

客户答：“以前是用你们安装的4500软件，后来家里买了两个监控摄像机，用的是萤石云APP，然后就把公司的硬盘录像机也开通了萤石云，后来一直用的萤石云。”

技术员拿起客户的手机，打开ivms-4500软件，果然是无法预览画面，更不用说调监控录像了

客户问：“怎么不能用了？以前好用的呀。”

这时，丢手机的员工跑来说，手机找到了，是自己忘在洗手间了。

虚惊一场！继续培训、开会，笔者一个人到机房，准备检测一番，解决ivms-4500软件不能查阅监控的问题。

第一步，排查硬盘录像机

按理说，不可能4台硬盘录像机同时出问题，但是本着快速排除原则，还是先检测一下吧：

1、在内网检测硬盘录像机的端口

一般来说，海康威视的硬盘录像机需要三个端口：80、554、8000，实际上，ivms-4500软件在外网的时候，只需要8000端口就够了，因此，在电脑上打开CMD命令窗口，输入命令：telnet 10.1.2.184 8000，10.1.2.184是硬盘录像机的IP地址，如果能连接到8000端口，则命令窗口只剩下光标闪烁，按CTRL+C可以退出。

2、在外网检测所映射的端口

为提高安全性，8000端口不能直接开放，需要变更端口号映射到公网，因此，在外网执行命令：telnet 58.210.xxx.xx 9000，连接失败，改用站长工具来扫描相应IP的9000端口，同样是显示关闭状态

由此判断，问题应该出在防火墙上

第二步，排查华为防火墙

1、登录防火墙WEB界面，点“策略”标签，打开“NAT策略”，点击“服务器映射”，硬盘录像机的端口映射赫然在目

经检测，端口状态为“已连通”貌似端口映射成功的啊

2、检查防火墙的安全策略，确认允许硬盘录像机访问外网，其实这个不用看，因为萤石云能够正常看到监控画面，不过既然要查，就顺带看一眼呗

3、看来一切正常，难道是源进源出的问题吗？ 那就再检查一下相关的源NAT策略吧

没错啊，硬盘录像机是从固定IP的链路出去的，前面也看过了，端口映射的确是做在固定IP的链路上。

4、继续排查：（1）在外网测试其他被映射的端口，除了硬盘录像机之外，全都正常；（2）在防火墙上抓包，发现防火墙已经把端口转发请求发给硬盘录像机了，但是没有得到回应，难道问题还是出在硬盘录像机身上？

第三步，再次排查硬盘录像机，反复查看配置，始终没发现问题所在，时间有限，干脆打个海康威视的技术支持电话吧，果然不出所料，客服果然说内网能测通端口，说明设备没问题，请检查出口设备，如果不会配置，请开通UPNP。

第四步，又仔细看了防火墙配置，真没什么不对的地方，算了，重启一下吧，反正也有半年没重启了，说不定重启就好了呢。

当然了，愿望是美好的，现实是残酷的，自动解决故障是不存在的，感觉进了死胡同。

冷静分析后，觉得问题肯定出在硬盘录像机上，又一次致电海康威视，详细说了检测过程，客服答：“确实有部分机型，开通了萤石云之后，会导致端口映射失败，既然开通了萤石云，不再推荐使用ivms-4500软件。”

笔者：“我汗，早说啊，害我排查半天。但是客户非要两个软件都用，怎么办？老总喜欢用ivms-4500，员工爱用萤石云。”

客服答：“ivms-4500也能用萤石云帐号登录，这样就不用端口映射了。”

第五步，在手机上打开ivms-4500，按以下图片登录萤石云帐户：

输入验证码后，ivms-4500终于能看到久违的监控画面了，文章写出来只有1600多字外加几个图片，其实是足足折腾了半天。

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，如有相同或者不同观点，欢迎评论