问题描述
某用户反馈其企业网络中,一台USG6307E防火墙trust域内的视频会议终端与untrust区域的视频会议做对接时出现闪断的情况,但是PC可以ping通untrust区域的视频会议终端。
处理过程
一:首先源视频会议终端可以通过拨号与目标视频会议终端建立短暂的链接且PC可以ping通目标视频会议终端的IP地址
可以确定内网的网络与untrust区域的视频会议终端之间的网络是互通的。
二:通过登录防火墙的web界面查看安全策略,发现安全策略是全放通的排除安全策略配置不合理导致视频会议闪断
三:查看NAT策略,发现客户配置的NAT是把trust区域地址映射到防火墙出接口的IP地址且这个接口放置在目标视频
会议终端所在的untrust区域下,排除NAT配置错误导致视频会议闪断
四:登录web界面查看ASPF的一个勾选情况,发现客户在配置ASPF时没有针对视频流做侦听
五:在防火墙的用户视通下查看防火墙的一个会话状态
命令是:display firewall session table verbose destination global x.x.x.x
可以看到去往目的视频终端的地址有一个h225协议的表项,然后从图中看可以看出去程包有6个,回程包有16个,结合视频会议可以连接几秒说明拨号的过程是可以建立的
,然后查看ASPF没有勾选RTCP协议判断是没有开启RTCP侦听的原因。
六:在ASPF页面勾选上RTCP,在防火墙诊断视图下reset firewall server-map ip x.x.x.x(目的视频终端的地址)
七:重启视频会议终端,视频会议建立稳定
根因
防火墙在两个区域间做视频会议流量转发时没有在ASPF中开启RTCP侦听,导致视频会议的流量不能正常转发
解决方案
当有视频流量在防火墙上转发是,在防火墙web界面上的ASPF选项页面勾选RTCP,刷新防火墙的server-map,重启视频会议终端问题解决