xx公司polycom hdx视频终端内网跨nat访问外部mcu问题处理_第1页
xx公司polycom hdx视频终端内网跨nat访问外部mcu问题处理_第2页
xx公司polycom hdx视频终端内网跨nat访问外部mcu问题处理_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

XX 公司 polycom 视频终端内网跨 NAT 访问外部 MCU 问题处理 2011-10-28 一、情况描述 1. 网络拓扑 为方便移动视频终端的灵活接入,计划将视频会议终端 IP 地址设为 XX 公司办公网内网地 址,通过静态 NAT 实现与位于 XX 集团中心内网的视频会议 MCU 的双向通信。 视频会议终端接入相应区域的思科 29 系列交换机,汇聚接入上图中最下方的 45 系列交换 机,再通过 Symantec 防毒墙、Cisco ASA 防火墙和 Cisco 2821 路由器出口访问位于 XX 集团 内网的视频会议 MCU。 2. IP 地址: XX 公司视频会议终端内网 IP 地址:1(移动终端)和 2(固定终端) XX 集团 MCU 地址:01 XX 集团内网和 XX 公司内网属于不同的网络自治域(AS) ,所以无法直接通过路由互访。在 XX 集团集团广域网规划中,XX 公司的广域网地址段为 /24,所以赋予两台视频 终端固定广域网地址,分别为 8(移动终端) , 9(固定终端) ,通过 静态 NAT 进行转换。 3. 初始配置方案: 初始配置方案中,视频会议终端地址的静态 NAT 在思科 C2821 路由器上实现,命令如下: ip nat inside source static 1 8 ip nat inside source static 2 9 在 CISCO ASA 防火墙上定义的规则为内外网双向 ICMP 和 IP 的 Any to Any 允许访问,即未 作任何限制。 在上述配置下,系统可实现以下功能: XX 公司视频终端和 XX 集团 MCU 之间可以互相 PING 通 XX 公司视频终端可拨入 XX 集团 MCU,XX 集团 MCU 也可通过管理界面将视频终端加入会 议中。 存在的故障现象: 进入会议后,XX 公司视频会议终端只能看到本地视频,无法看到由 MCU 发来的远端视频 和音频。 二、故障原因分析 1. Cisco ASA 的应用层分析功能对 VoIP 通信的影响(已确认) 根据 Polycom 的知识库及网络文章(如 /2009/08/03/cisco-asa- inspection-issues) ,在 Cisco ASA 5000 系列上默认开启的 Inspection 功能对较新型号的视频 会议系统通信存在影响。 Cisco ASA 的 Inspection 功能能够对应用层通信进行分析,然后一方面自动开启协议所需的 相应通信端口,另一方面阻断协议中不符合其预设规则的内容。在 ASA 中默认开启对以下 协议的支持: policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp 其中的 h323 h225、h323 ras、skinny、sip 均与视频会议通信有关。 经过测试已经确认该设置确实对视频会议通信存在影响,当这几项 inspect 功能处于激活状 态时,只有将 HDX8000 视频会议终端设置为“调试模式”方可正常通信(调试模式 Diagnostic Mode 在系统 管理设置 网络 呼叫首选项下打开,在调试模式下,HDX8000 终端在通信中将严格遵循标准的 H.323 协议,只支持 h261 编码。不支持其他如 H264 等高 级功能,且无法进行数据内容传输) 。 这一问题的原因可能是新一代视频会议终端的高级功能实现没有严格遵循 H.323 协议,导 致 ASA 中的 Inspect 功能判断错误,影响通信。 关闭与视频会议有关的 Inspector 方法如下: 登录 ASA 命令行界面,进入 global configuration 状态,键入以下命令 (config)#policy-map global_policy (config-pmap)#class inspection_default (config-pmap-c)#no inspect h323 h225 (config-pmap-c)#no inspect h323 ras (config-pmap-c)#no inspect sip (config-pmap-c)#no inspect skinny 2. Cisco 2821 路由器中的 NAT 功能对 VoIP 通信的影响(尚未确认) 理论上,NAT 只对网络地址进行转换,不涉及应用层,不应对数据通信产生影响,但是在 Polycom 知识库中,有两篇文章提到了 NAT 功能影响对 Polycom 视频会议终端正常通信的 问题。 VSX cannot connect with audio and video in IP calls through Cisco NAT running IOS 12.4 or Earlier(http:/knowledgebase- /kb/viewContent.do?externalId=12991&sliceId=1) HDX system behind a NAT device may not receive any audio or video from system outside the NAT device in H.323 calls.(http:/knowledgebase- /kb/viewContent.do?externalId=14200&sliceId=1) 这两篇文章中提到的解决方案在 XX 公司项目中都未能成功。但考虑到存在这样的问题报告, 在本项目中,将视频会议终端的静态 NAT 功能迁移至 Cisco ASA 防火墙上实现。 3. 视频会议终端设置(已确认) 在按照第一和第二项问题原因进行针对性配置后,视频会议终端仍然无法正常通信,受到 上一节中 HDX system behind a NAT device may not receive any audio or video from system outside the NAT device in H.323 calls.这篇文章的启发,对视频会议终端进行了如下设置修改: 在系统 管理设置 网络 IP 防火墙页面下: NAT 配置选择“手动” NAT 公用 (WAN) 地址中手工输入对应 XX 集团集团网络的广域网地址,即 1(移动终端) ,2(固定终端) NAT 与 H.323 兼容,该选项关闭。 个人认为,该设置的功能是强制视频会议终端将自己的公网 IP 通过 H323 数据包提交给 MCU,如果不这样设定,MCU 会在某个环节丢失视频终端的公网地址,用 XX 公司集团的 内网地址进行通信,导致通信故障。不过这个分析不一定正确。 三、解决方案 在排查出问题后,针对 Polycom HDX8000 系列设备在类似网络结构此类问题的解决方案如 下 1. 将进行视频会议终端设备地址的 NAT 放在最新型号,最专业的设备上实现,减少因设备 版本过低导致的 NAT 不兼容,在本项目中即是从 C2821 路由器迁移到 Cisco ASA 防火墙上 2. 在视频会议数据流经的各个设备上,关闭针对 H323 等视频会议协议的应用层检查。在 本项目中即是关闭 Cisco ASA 中的 Inspect 功能。 3. 在视频会议终端中按照前述方法手动配置 NAT 选项。 XX 公司项目中,在按照上述

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论