MCU召集会议出现分会场不入会问题

发布时间:  2015-08-04 浏览次数:  352 下载次数:  0
问题描述

版本信息:MCU9650:V200R001C30SPC700;TE30:V100R001C10SPC100。

组网拓扑图:

 

问题描述: 北京侧MCU呼叫各个地市会场,出现天津和上海概率性不入会 。北京、天津、上海本地防火墙设备已经做好NAT配置,华为TE30终端禁用NAT,北京9650MCU上启用并做好NAT配置。如下图:

内外网IP对应如下:

处理过程

1、北京出路由侧到天津出路由侧进行抓包定位分析。

2、北京出路由侧到上海出路由侧进行抓包定位分析。    

过获取北京MCU和天津侧的抓包,分析天津会场出现概率性不入会的原因,具体如下:

I 分析北京MCU侧内网抓包,在收到终端的connect消息后,MCU需要在1328端口建立与终端的TCP连接:

II 随后可以看到北京侧MCU(192.168.10.51)向天津终端(111.30.21.183)1328端口发起建立TCP连接的SYN消息,但是没有收到对应的ACK响应(TCP握手不成功)

 III 同时分析天津侧的外网抓包,发现终端没有收到上图中MCU发起的SYN消息(端口1328)

上海侧会场分析方法同天津侧分析方法。


   

根因
MCU与终端建立会话连接后,MCU 发送了TCP建链的 SYN消息,但是天津侧的终端概率性没有收到该消息,导致TCP建立连接失败,最终出现TE30概率性无法入会问题。 由于北京侧内网的MCU发送TCP建链的SYN消息给天津侧TE30,而天津侧公网出口抓包显示问题现象出现时没有收到该建链消息,从抓包的点情况判断分析,有以下两种可能:

1、 北京侧的设备做了拦截。

2、 北京和天津之间的公网把消息丢弃。

根据这两种可能性,建议下一步按下面所示排查:

1、 通过抓包做进一步缩小范围,即进一步观察确认是北京内网的设备还是公网导致。

2、根据经验判断,第一种可能性较大。通过分析出现异常的消息,上面分析中提到的TCP建链的SYN消息,属于H323呼叫中的H245信令通道创建的消息,基于TCP传输,使用的端口范围是 TCP 端口1320-1344。因此针对第一种可能,建议重点排查北京侧设备对对应端口范围的H245信令通道TCP建链的SYN消息的处理是否异常。从经验判断,这里能导致该异常的应该为路由网关之类的设备。

解决方案
从问题原因分析角度入手,客户侧网康研发专家在现场和华为工程师沟通并了解情况后,网康研发专家更改网康防火墙配置问题解决。

网康防火墙更改的配置描述:

1、将 NAT 地址转换更新配置,即把 MCU 私网地址和公网地址形成一对一映射,满足当前组网要求。

2、视讯业务的路由路径指定为联通。

更改网康防火墙的上述配置后,经客户现网测试验证,问题解决。

END