外网PC无法通过USG2110-F-W访问内网的视频服务器

发布时间:  2014-11-24 浏览次数:  421 下载次数:  4
问题描述
组网图:


组网如图所示,LSW4为纯二层交换机,不做任何配置内部的服务器和都属于192.168.3.0网段,CLIENT5能正常访问海康威视视频服务器,输入用户名和密码后,可以看到预览的监控画面;外网的PC通过访问113.107.66.154的地址后,输入用户名和密码能登陆,但是预览不了监控画面。
告警信息
处理过程
一.查看配置
海康威视视频服务器开放的端口号有81、1025和8001端口,在防火墙的配置里查看是有相应的NAT server的配置
nat server 4 protocol tcp global 113.107.66.154 81 inside 192.168.3.21 81 no-reverse
nat server 5 protocol tcp global 113.107.66.154 8001 inside 192.168.3.21 8001 no-reverse
nat server 6 protocol tcp global 113.107.66.154 1025 inside 192.168.3.21 1025 no-reverse
在域间策略里开启了ASPF功能:
firewall interzone trust untrust
detect ftp
detect mms
detect mgcp
detect pptp
detect sip
detect sqlnet
detect h323
detect rtsp
detect qq
detect msn
detect dns
detect ils
detect netbios
detect icq
但是查看配置发现在interface Ethernet0/0/0(公网口)下只配置了detect ftp,怀疑是在untrust的Ethernet0/0/0没有开启其他协议报文的ASPF功能导致的,但是在此接口下加上与视频传输相关的detect sip、detect H323、detect mgcp后,依然从外网的PC无法正常预览海康视频服务器的预览画面。

二.查看防火墙上的会话信息
从外网发起对113.107.66.154 的访问在防火墙上采集display firewall session table verbose的信息,发现有相应的会话信息
http  VPN:public --> public
  Zone: untrust--> trust  TTL: 00:00:10  Left: 00:00:00
  Interface: Vlanif1  NextHop: 192.168.3.21  MAC: 00-40-48-c1-12-99
  <--packets:8 bytes:3423   -->packets:7 bytes:693
  183.10.163.4:49793[113.107.66.154:45720]-->113.107.66.154:81[192.168.3.21:81]
这是符合事实的,因为能通过外网登陆到海康威视的视频服务器,只是预览不了画面。此时还是不能找出问题的根因,执行第三步。

三.抓包分析
①内网PC上抓包


②外网PC抓包


因为视频服务器涉及的是TCP报文,过滤抓包信息查看,内网正常访问视频服务器是有TCP的RTSP报文数据流和三次握手成功的过程, This is an ACK to the segment in frame:34305。对比查看外网PC抓包TCP的RTSP报文交互过程是不成功的。

根因
RTSP(Real Time Streaming Protocol)实时流传输协议,是用来控制声音或影像的多媒体串流协议,并允许同时多个串流需求控制,传输时所用的网络通讯协定并不在其定义的范围内,服务器端可以自行选择使用TCP或UDP来传送串流内容。从报文交互的过程可看出,外网的PC一直在请求视频服务器的554端口,所以需要在防火墙上开启554的端口转换。 
解决方案
在全局下添加nat server 7  protocol tcp global 113.107.66.154  554 inside 192.168.3.21 554  no-reverse,外网能正常访问内部视频服务器。 
建议与总结
ASPF是针对应用层的包过滤,即基于状态的报文过滤。ASPF能够检测试图通过设备的应用层协议会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。防护墙上做NAT转换的时候,对于某些服务器的协议报文交互可能会有影响,此时的话可能会出现无法访服务器的情况,需要多多排查协议报文交互的过程。,进行抓包分析。

END