Eudemon300视频通信业务的故障排查

发布时间:  2013-08-14 浏览次数:  88 下载次数:  0
问题描述
在站点调测的过程中,发现部署在站点的视频会议终端(Video Conference)之间互ping测试正常,但却不能实现视频通信。在现场的调测过中快速响应客户的需求,快速完成站点故障问题定位并解决故障显得尤为重要。
告警信息
系统调测中发现视频会议终端互ping测试正常,但是视频终端之间却无法实现正常的视频通信。 ping通测试结果如下:

处理过程
站点之间拓扑图如下:

Site 032 & 017的Video Conference的IP地址如图所示。
1. 终端设备间互ping测试正常,排除网络传输故障,初步定位为数据流没有匹配相应的安全策略。
2. 检查防火墙配置,部分配置信息如下:
#
acl number 3000
rule 0 permit tcp destination 10.117.10.0 0.0.0.255
rule 1 permit icmp destination 10.117.10.0 0.0.0.255
#
#
firewall packet-filter default permit interzone trust untrust direction outbound
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#                                     
firewall interzone trust untrust
packet-filter 3000 inbound
#
从防火墙的配置中可以看出定义了高级ACL 3000,并匹配了TCP和ICMP协议。将与GigabitEthernet1/0/1相连的划为trust区域,将与GigabitEthernet1/0/0相连的划分untrust区域。配置了trust和untrust区域的域间包过滤规则。而客户的新业务视频会议(Video Conference)属于UDP的协议,防火墙上应配置相应的安全策略,以实现站点间视频通信畅通。
3. 更新防火墙配置如下:
acl number 3000
rule 0 permit tcp destination 10.117.10.0 0.0.0.255 destination-port port-set set1
rule 1 permit icmp destination 10.117.10.0 0.0.0.255
rule 2 permit udp destination 10.117.10.0 0.0.0.255
……其它与上相同。
对于Site 032的防火墙也做类似的配置。
检查Site 017 和Site 032视频会议,发现视频会议通信恢复正常。


根因
经过分析发现由于视频业务一般采用UDP协议,而之前的防火墙配置上没有开启相应的安全策略,导致视频通信业务无法正常开启。
建议与总结
重新配置防火墙安全策略后,站点之间视频通信恢复正常。

END