一次語音流量穿越飛塔Gate不通問題的解決過程_第1頁
一次語音流量穿越飛塔Gate不通問題的解決過程_第2頁
一次語音流量穿越飛塔Gate不通問題的解決過程_第3頁
一次語音流量穿越飛塔Gate不通問題的解決過程_第4頁
一次語音流量穿越飛塔Gate不通問題的解決過程_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、一次語音流量穿越飛塔Gate不通的解決過程V 1.0北京超圣信華科技有限公司2016年4月11日問題:一次語音穿越Gate不通的解決過程版本:V1.0 日期:2016年4月11日 作者:宋澤春 摘要:一次語音穿越Gate不通的解決過程關(guān)鍵字:SIP、SDP、SDF、RTP文檔記錄文檔名稱一次語音流量穿越飛塔Gate不通的解決過程保密級別內(nèi)部版本編號更新日期更新摘要修訂復(fù)審1.02016年4月11日建立文檔宋澤春文檔說明本文檔描述了一次語音流量穿越飛塔Gate不通的解決過程的說明。目錄文檔記錄3文檔說明3第1章 需求5第2章 SIP淺析5第3章 拓撲結(jié)構(gòu)5第4章 配置部分64.1 配置火墻地址6

2、4.2 開啟負載均衡功能及VOIP高級特性64.3 配置虛擬服務(wù)器74.4 配置真實服務(wù)器84.5 監(jiān)控檢查84.6 配置虛擬IP94.7 策略配置10第5章 分割點12第6章 遇到的問題126.1 負載均衡回切慢問題126.2 語音無法建立問題146.3 語音IPPBX無法回切問題18第1章 需求內(nèi)部安裝兩臺IPPBX,外部IP分機呼入,通過Fortiner 200D可實現(xiàn)負載均衡功能。當(dāng)主設(shè)備故障后,呼叫會切換到備用設(shè)備。需求: 默認語音網(wǎng)關(guān)訪問飛塔VIP流量分發(fā)到IPPBX A上 當(dāng)IPPBX A異常,語音網(wǎng)關(guān)訪問飛塔的VIP的流量分發(fā)到IPPBX B上 當(dāng)IPPBX A恢復(fù)后,語音網(wǎng)關(guān)

3、訪問飛塔VIP的流量繼續(xù)分發(fā)到IPPBX A上第2章 SIP淺析簡單的說SIP有信令流(5060)和媒體流(兩個人的通話)兩部分組成,信令流主要用作從語音網(wǎng)關(guān)到IPPBX管理系統(tǒng)的注冊,媒體流用來傳輸建立好通道的語音流量。第3章 拓撲結(jié)構(gòu)拓撲結(jié)構(gòu)如下:第4章 配置部分欲完成上述需求,飛塔防火墻需要啟用負載均衡功能。即,兩個IPPBX管理系統(tǒng)作為兩臺服務(wù)器看待,語音網(wǎng)關(guān)作為訪問者看待,飛塔防火墻通過其負載均衡模塊將兩臺IPPBX管理系統(tǒng)向語音網(wǎng)關(guān)發(fā)布。4.1 配置火墻地址確定當(dāng)前配置為:WAN口IP為192.168.120.44;LAN口IP為192.168.100.99確定內(nèi)部IPPBX配置(

4、OM50)IPPBX-A:SIP端口5060,RTP端口1001010266;配置IP分機220,注冊密碼123321IPPBX-B:SIP端口5060,RTP端口1101011266;配置IP分機220,注冊密碼123321NAT_IP:需要配置NAT_IP為192.168.120.44,以保證IPPBX信令攜帶的IP地址是防火墻的WAN口IP,從而可以建立正確的語音流。對接語音網(wǎng)關(guān)配置MX8A:IP地址為192.168.120.19,配置注冊服務(wù)器192.168.120.44(200D的WAN口IP),配置PHONE1口號碼220,注冊密碼1233214.2 開啟負載均衡功能及VOIP高級

5、特性如下圖所示,在FortiGate中開啟負載及VOIP特性4.3 配置虛擬服務(wù)器登錄FortiGate 200D的配置界面,進入策略&對象下的負載均衡,打開虛擬服務(wù)器頁面。新建一個虛擬服務(wù)器。具體配置如下圖。其中虛擬服務(wù)器的IP地址為200D的WAN口地址。4.4 配置真實服務(wù)器進入真實服務(wù)器頁面,添加兩個,分別是IPPBX-A和IPPBX-B的IP地址第一臺設(shè)為激活模式,作為主設(shè)備第二臺設(shè)為待機模式,作為備份設(shè)備4.5 監(jiān)控檢查點開監(jiān)控檢查頁面,根據(jù)實際情況配置檢查規(guī)則。此規(guī)則用于FortiGate 200D判斷內(nèi)部IPPBX是否處于正常工作狀態(tài)。當(dāng)配置完成監(jiān)控檢查后,需回到虛擬服務(wù)器頁面

6、,選擇健康檢查4.6 配置虛擬IP說明:配置虛擬IP是用于建立RTP端口映射進入策略&對象下的對象,打開虛擬IP頁面,新建兩個虛擬IP,用于IPPBX-A和IPPBX-B的端口映射4.7 策略配置說明:之前建立的虛擬服務(wù)器和虛擬IP,必須建立相應(yīng)的規(guī)則,才可以使用。那么整體需要建立四條規(guī)則規(guī)則1:從內(nèi)到外的允許,啟用NAT規(guī)則2:從外到內(nèi)的VIP發(fā)布規(guī)則3:從外到IPPBX A的媒體流交互規(guī)則4:從外到IPPBX B的媒體流交互建立虛擬服務(wù)器的規(guī)則:進入策略&對象下的測率,打開IPV4頁面,點擊新建。注意目的地址配置為虛擬服務(wù)器輸入的名稱。下圖簡單介紹VIP發(fā)布及IPPBX發(fā)布配置建立虛擬IP

7、的規(guī)則:注意目的地址配置為虛擬IP輸入的名稱至此配置完成。第5章 分割點若無問題,配置到上面即可結(jié)束,本人在測試的過程中不是很順利,發(fā)生了若干問題。具體的每個問題下面會有介紹,通過有解決方法和排錯過程。第6章 遇到的問題6.1 負載均衡回切慢問題此會且慢問題本人在自己的電腦上搭建的測試環(huán)境進行測試:測試環(huán)境如下:1、 Windows 7筆記本一臺2、 workstation軟件3、 虛擬windows 7環(huán)境4、 HFS網(wǎng)站快速發(fā)布工具搭建好的環(huán)境監(jiān)控負載狀態(tài)如下:其中一臺為主機一臺為備機,當(dāng)主機異常后流量會切換到備機,當(dāng)主機修復(fù)后發(fā)現(xiàn)流量要5分鐘后才會切換回主機。5分鐘為飛塔本身的特性,飛塔

8、防火墻負載下面的服務(wù)器做一個hold時間,修復(fù)方式如下:默認:修改:最小時間為30S,修改為30S保存在兩個IPPBX上分別更改上面的配置,至此且緩慢的問題解決。6.2 語音無法建立問題在用戶的真是場景中發(fā)生了這樣的問題,語音交換機可以注冊,但是無法建立語音媒體流。在接觸到這個問題的時候首先想到了是否是飛塔的ALG的問題導(dǎo)致的,同時參考廠商大牛的一個關(guān)于SIP故障問題處理手冊參考后有所啟迪,但是并沒有解決本次問題。第一:刪除飛塔的ALG,具體刪除方式不再提及。第二:按照廠商大牛的文檔中的描述,配置VOIP屬性,分別在策略中調(diào)用命令:configvoipprofile命令:editdefault

9、命令:configsip命令:setno-sdp-fixupenable用show命令看一下配置命令:end命令:end在用到的所有出向和入向策略中UTM啟用VOIP,調(diào)用default發(fā)現(xiàn)刪除了ALG和配置VOIP后問題沒有得到解決,這個時候沒人任何辦法的情況下,在飛塔的外網(wǎng)口和內(nèi)網(wǎng)口分別抓去數(shù)據(jù)包。數(shù)據(jù)包如下:打開LAN的數(shù)據(jù)包查看信息如下:打開WAN口的數(shù)據(jù)包發(fā)現(xiàn)信息如下:通過抓包對比,發(fā)現(xiàn)LAN口的RTP端口是11248,到達WAN口出去的時候的RTP是11226。發(fā)現(xiàn)RTP的端口被防火墻修改掉了。也就是語音流中的SDP被NAT了。修復(fù)方式:配置VOIP profile,將SDP設(shè)置為

10、不修改保存配置后,發(fā)現(xiàn)語音流量已經(jīng)可以建立完成。這個時候分別在防火墻的LAN口和WAN口抓包,信息如下:LAN口抓包信息:WAN口抓包信息:對比兩個數(shù)據(jù)包重的RTP端口,均一致為10124.本次抓包共進行了三次呼叫,打開數(shù)據(jù)包進行對比,發(fā)現(xiàn)RTP端口均一致,至此呼叫不通問題解決。6.3 語音IPPBX無法回切問題在用戶的環(huán)境中發(fā)現(xiàn),當(dāng)IPPBX切換到備機的時候,擋住主機的IPPBX恢復(fù)后,無法切換回主機的IPPBX上工作。在此現(xiàn)象上,經(jīng)過一系列排查,發(fā)現(xiàn)是由于備機的IPPBX的會話無法結(jié)束導(dǎo)致。對于此問題的解決思路如下:第一:調(diào)整飛塔設(shè)備上的UDP會話存活時間。udp-idle-timer是

11、udp信息在火墻中的存活時間的,將時間調(diào)整為16S第二:通過在語音設(shè)備的管理控制臺上看,最后發(fā)送信令的時間是19:02但是過非常久的時間還是沒有切換回主機,這個時候我去關(guān)注了idle的時間設(shè)定的是16s。于是在這種情況下,我將idle的時間設(shè)定為2發(fā)現(xiàn)切換的很快,設(shè)定為4秒的時候也可以,設(shè)定為8秒的時候還是沒問題,設(shè)定為14秒的時候還是okey的。只有設(shè)定為16S的時候切換不回來,而且在語音設(shè)備的WEB日志里看到確實沒有發(fā)后續(xù)的信令注冊包。抓包:在這個情況下進行了抓包,抓去語音設(shè)備的5060信息,發(fā)現(xiàn)盡快WEB幾面上沒有看到注冊信令,但是在飛塔的抓包里面看到每相隔15S就會在wan1口上接收到一個5060,這個時候確定問題應(yīng)該不是在飛塔的配置上,到語音設(shè)備上查看配置,發(fā)現(xiàn)設(shè)備有一個keepalive機制,在nat的環(huán)境下默認每隔15S會發(fā)送一

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論