《XX公司polycom HDX视频终端内网跨NAT访问外部MCU问题处理》由会员分享,可在线阅读,更多相关《XX公司polycom HDX视频终端内网跨NAT访问外部MCU问题处理(3页珍藏版)》请在金锄头文库上搜索。
1、XX公司polycom视频终端内网跨NAT访问外部MCU问题处理2011-10-28一、情况描述1. 网络拓扑为方便移动视频终端的灵活接入,计划将视频会议终端IP地址设为XX公司办公网内网地址,通过静态NAT实现与位于XX集团中心内网的视频会议MCU的双向通信。视频会议终端接入相应区域的思科29系列交换机,汇聚接入上图中最下方的45系列交换机,再通过Symantec防毒墙、Cisco ASA防火墙和Cisco 2821路由器出口访问位于XX集团内网的视频会议MCU。2. IP地址:XX公司视频会议终端内网IP地址:172.16.20.11(移动终端)和172.16.20.12(固定终端)XX集
2、团MCU地址:192.168.1.201XX集团内网和XX公司内网属于不同的网络自治域(AS),所以无法直接通过路由互访。在XX集团集团广域网规划中,XX公司的广域网地址段为172.16.10.0/24,所以赋予两台视频终端固定广域网地址,分别为172.16.10.38(移动终端),172.16.10.39(固定终端),通过静态NAT进行转换。3. 初始配置方案:初始配置方案中,视频会议终端地址的静态NAT在思科C2821路由器上实现,命令如下:ip nat inside source static 172.16.20.11 172.16.10.38ip nat inside source s
3、tatic 172.16.20.12 172.16.10.39在CISCO ASA防火墙上定义的规则为内外网双向ICMP和IP的Any to Any允许访问,即未作任何限制。在上述配置下,系统可实现以下功能:XX公司视频终端和XX集团MCU之间可以互相PING通XX公司视频终端可拨入XX集团MCU,XX集团MCU也可通过管理界面将视频终端加入会议中。存在的故障现象:进入会议后,XX公司视频会议终端只能看到本地视频,无法看到由MCU发来的远端视频和音频。二、故障原因分析1. Cisco ASA 的应用层分析功能对VoIP通信的影响(已确认)根据Polycom的知识库及网络文章(如http:/ A
4、SA 5000系列上默认开启的Inspection功能对较新型号的视频会议系统通信存在影响。Cisco ASA的Inspection功能能够对应用层通信进行分析,然后一方面自动开启协议所需的相应通信端口,另一方面阻断协议中不符合其预设规则的内容。在ASA中默认开启对以下协议的支持:policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspec
5、t esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp其中的h323 h225、h323 ras、skinny、sip均与视频会议通信有关。经过测试已经确认该设置确实对视频会议通信存在影响,当这几项inspect功能处于激活状态时,只有将HDX8000视频会议终端设置为“调试模式”方可正常通信(调试模式Diagnostic Mode在系统 管理设置 网络 呼叫首选项下打开,在调试模式下,HDX8000终端在通信中将严格遵循标准的H.32
6、3协议,只支持h261编码。不支持其他如H264等高级功能,且无法进行数据内容传输)。这一问题的原因可能是新一代视频会议终端的高级功能实现没有严格遵循H.323协议,导致ASA中的Inspect功能判断错误,影响通信。关闭与视频会议有关的Inspector方法如下:登录ASA命令行界面,进入global configuration状态,键入以下命令(config)#policy-map global_policy(config-pmap)#class inspection_default(config-pmap-c)#no inspect h323 h225(config-pmap-c)#no
7、 inspect h323 ras(config-pmap-c)#no inspect sip(config-pmap-c)#no inspect skinny2. Cisco 2821路由器中的NAT功能对VoIP通信的影响(尚未确认)理论上,NAT只对网络地址进行转换,不涉及应用层,不应对数据通信产生影响,但是在Polycom知识库中,有两篇文章提到了NAT功能影响对Polycom视频会议终端正常通信的问题。VSX cannot connect with audio and video in IP calls through Cisco NAT running IOS 12.4 or Ea
8、rlier(http:/knowledgebase- system behind a NAT device may not receive any audio or video from system outside the NAT device in H.323 calls.(http:/knowledgebase- ASA防火墙上实现。3. 视频会议终端设置(已确认)在按照第一和第二项问题原因进行针对性配置后,视频会议终端仍然无法正常通信,受到上一节中HDX system behind a NAT device may not receive any audio or video from
9、 system outside the NAT device in H.323 calls.这篇文章的启发,对视频会议终端进行了如下设置修改:在系统 管理设置 网络 IP 防火墙页面下:NAT配置选择“手动”NAT 公用 (WAN) 地址中手工输入对应XX集团集团网络的广域网地址,即172.16.10.11(移动终端),172.16.10.12(固定终端)NAT 与 H.323 兼容,该选项关闭。个人认为,该设置的功能是强制视频会议终端将自己的公网IP通过H323数据包提交给MCU,如果不这样设定,MCU会在某个环节丢失视频终端的公网地址,用XX公司集团的内网地址进行通信,导致通信故障。不过这
10、个分析不一定正确。三、解决方案在排查出问题后,针对Polycom HDX8000系列设备在类似网络结构此类问题的解决方案如下1. 将进行视频会议终端设备地址的NAT放在最新型号,最专业的设备上实现,减少因设备版本过低导致的NAT不兼容,在本项目中即是从C2821路由器迁移到Cisco ASA防火墙上2. 在视频会议数据流经的各个设备上,关闭针对H323等视频会议协议的应用层检查。在本项目中即是关闭Cisco ASA中的Inspect功能。3. 在视频会议终端中按照前述方法手动配置NAT选项。XX公司项目中,在按照上述方式配置后,问题得到初步解决,可实现双向视频会议通信。四、相关设备及软件版本HDX8000-720,3.0.2Cisco2821 IOS 12.4(x),x的具体数值忘了,但该IOS是08年编译的,应该比较老,新的IOS中可能已解决该问题。CISCO ASA 5510, ASA 7.0、ASDM 5.0Symantec设备未作配置修改
