USG2130部署在PBX网络出口作为NAT ALG设备时,语音单通

发布时间:  2013-10-31 浏览次数:  406 下载次数:  0
问题描述
使用USG作为NAT ALG设备,部署在语音网络出口,测试发现局内呼叫局外正常,但是局外呼叫局内可正常振铃,局内被叫摘机后即自动挂断,无法正常通话。
测试拓扑如图(为保护客户信息,已经地址做了修改),USG在出接口处企业NAT ALG,配置如下:
#
acl number 3001
rule 0 permit ip
acl number 3002
rule 0 permit ip
#
firewall interzone trust untrust
nat outbound 3001 interface Vlanif230
nat inbound 3002 interface Vlanif218
detect sip


告警信息
处理过程
ALG的功能,理论上只需要对应用层中源地址为内网地址的字段做NAT变换成公网地址。但是在该sip报文中,via头域地址并非内网地址,USG也做了转换,导致信令协商失败。
需要在USG上增加一条针对内网地址的ACL,对于outbound的流量,只有报文应用层的地址为内网地址时,才做NAT,配置如下:
#                                                                              
acl number 2000                                                                
rule 5 permit source 172.16.1.0 0.0.0.15                        -----------//      172.16.1.0 0.0.0.15为内网地址   
acl number 2001                                                                
rule 5 permit                                                                 
#   
#                                                                              
firewall interzone trust untrust                                               
nat outbound 2000 interface Ethernet0/0/0                                       
nat inbound 2001 interface Vlanif217                                          
detect sip                      ----------//出方向的报文,只针对应用层的sip报文中内网地址做NAT转换。                                            
根因
对USG上行到运营商网络的接口进行镜像抓包,以及U1910上抓取日志,对比发现USG将从局内U1910发送的180响应报文中Via头域的地址做了转换。
Via头域记录了经过的sip server 的地址,响应报文中,该地址并非内网IP地址,不应该做NAT变换。
由于NAT ALG更改了该头域,导致呼叫失败。

以下是U1910上抓取的日志以及USG出口处抓到的报文分析:

U1910发出去的的180 ringing,其中Via头域中IP为局外IMS地址192.168.20.1

SIP/2.0 180 Ringing
Via: SIP/2.0/UDP 192.168.20.1:5060;branch=z9hG4bK70500r008ovgshcdl7j1.1
Call-ID: NSNSIP-4b82d70a-4e82d70a-1-11-1371183904-44491-1371228395
From: <sip:8121006616@ims.A.com;user=phone>;tag=snl_0085119496_NSN_CLIENT
To: <sip:+622130480360@ims.A.com:5090>;tag=elixiktl
CSeq: 1235 INVITE
Contact: <sip:+622130480360@172.16.1.1:5060;user=phone>
Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,REGISTER,INFO,PRACK,SUBSCRIBE,NOTIFY,UPDATE,REFER,PUBLISH
Content-Length: 0


USG NAT ALG后送给主叫的180 ringing如图,其中Via头域已经转换成USG的NAT地址:192.168.10.1




建议与总结
暂无。

END