meat_08 Posted January 25, 2012 Posted January 25, 2012 Доброго времени суток. Есть джун, работает в качестве ната + пограничного маршрутизатора. Через него идет клиентский трафик в целом нормально, но вот h323 (видео конференцсвязь) работает совсем не правильно. Если точнее, то скорость потока очень низкая, наблюдаются потери пакетов или вообще полное пропадание звука/изображения. ALG H323 отключать пробовал, результат = 0. Знатоки Juniper, подскажите, куда копать. P.S. Фаервол прозрачный (any any any permit), нат (в случае с этим клиентом) статический. Какие куски конфига будут нужны для анализа, скажите, предоставлю. Заранее спасибо. Надеюсь на вашу помощь. Вставить ник Quote
meat_08 Posted January 25, 2012 Author Posted January 25, 2012 Junos на устройстве какой? 10.4R7.5 сейчас обновляю до R8.5 Вставить ник Quote
Artemoshka Posted January 26, 2012 Posted January 26, 2012 Попробуйте команду: set security alg h323 application-screen unknown-message permit-nat-applied permit-routed Вставить ник Quote
meat_08 Posted January 26, 2012 Author Posted January 26, 2012 Попробуйте команду: set security alg h323 application-screen unknown-message permit-nat-applied permit-routed Пробовал. С алг вообще игрался по всякому. Напрягает то, что вывод команды show security alg h323 counters выдает среди прочего строку Decoding errors: xxx и число ошибок растет. Включал логи, по логам пакеты ходят, но абонент говорит, что и скорость низкая (при канале в 10Мбит скорость видеоконференции 200-600Кбит) и потери пакетов. Соединение так же устанавливается без проблем. Проблема только с потоком трафика. Так же пробовал убирать шейп и отключать лимит сессий - не помогает. В итоге я зашел в тупик, так-как джун я еще не изучил достаточно хорошо, чтобы решать подобные проблемы. Вставить ник Quote
Artemoshka Posted January 26, 2012 Posted January 26, 2012 Хм, странно конечно. Выложите сюда конфиг раздела "security". Вставить ник Quote
meat_08 Posted January 26, 2012 Author Posted January 26, 2012 security { nat { source { pool name { address { x.x.x.x/32; rule-set NAT { from interface ge-0/0/2.9; to interface ge-0/0/3.111; rule dynamic_rules_1 { match { source-address x.x.x.x/21; destination-address 0.0.0.0/0; } then { source-nat { pool { name; } } } } } rule-set DMZ { from interface ge-0/0/2.9; to interface ge-0/0/1.11; rule DMZ { match { source-address 10.0.0.0/8; destination-address x.x.x.x/28; } then { source-nat { interface; } } } } } static { rule-set NAT { from zone untrust; rule rule_1 { match { destination-address x.x.x.x/32; } then { static-nat prefix x.x.x.x/32; } } } log { mode stream; source-address x.x.x.x; stream rtdlog { severity info; format syslog; category all; host { 192.168.100.100; } } } screen { ids-option limit_session { limit-session { source-ip-based 500; destination-ip-based 500; } } ids-option untrust-screen { icmp { fragment; large; ping-death; } ip { source-route-option; tear-drop; } tcp { syn-frag; land; } limit-session { source-ip-based 800; destination-ip-based 800; } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.9; } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/3.111 { host-inbound-traffic { system-services { all; } protocols { all; } } } ge-0/0/0.60 { host-inbound-traffic { system-services { all; } protocols { all; } } } ge-0/0/3.20 { host-inbound-traffic { protocols { ospf; } } } } } security-zone DMZ { interfaces { ge-0/0/1.11 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy untrust-to-trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone DMZ to-zone trust { policy DMZ-to-TRUST { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone DMZ { policy trust-to-DMZ { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone DMZ { policy deny_untrust-to-dmz { match { source-address any; destination-address any; application junos-telnet; } then { deny; } } policy untrust-to-dmz { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone DMZ to-zone untrust { policy deny_DMZ-to-untrust { match { source-address any; destination-address any; application junos-telnet; } then { deny; } } policy DMZ-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone untrust { policy untrust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } } alg { dns disable; ftp disable; h323 { endpoint-registration-timeout 3600; media-source-port-any; application-screen { unknown-message { permit-nat-applied; permit-routed; } message-flood { gatekeeper threshold 10000; } } } mgcp disable; sccp disable; sip disable; talk disable; pptp disable; } flow { allow-dns-reply; } } Часть конфига из раздела nat сократил. Вставить ник Quote
Konstantin Z Posted January 27, 2012 Posted January 27, 2012 пробовали отключить alg вовсе. set secur alg disable commit вернее set secur alg h323 disable у меня на примере с DNS и RTSP хорошо помогло Вставить ник Quote
meat_08 Posted January 27, 2012 Author Posted January 27, 2012 пробовали отключить alg вовсе. set secur alg disable commit вернее set secur alg h323 disable у меня на примере с DNS и RTSP хорошо помогло Отключал. Не помогает. Вставить ник Quote
meat_08 Posted January 30, 2012 Author Posted January 30, 2012 Вообще отключил alg и все равно результат тот же. Скайп, после выключения alg, работать стал лучше (были тормоза), а вот с h323 как были проблемы, так и остались... Хелп. Вставить ник Quote
Artemoshka Posted January 30, 2012 Posted January 30, 2012 (edited) Попробуйте еще отключить всю секцию screen и проверить. Edited January 30, 2012 by Artemoshka Вставить ник Quote
meat_08 Posted January 30, 2012 Author Posted January 30, 2012 Попробуйте еще отключить всю секцию screen и проверить. Проблема похоже в nat. А screen я тоже пробовал отключать.. Вставить ник Quote
Artemoshka Posted January 30, 2012 Posted January 30, 2012 Проблема похоже в nat. А screen я тоже пробовал отключать.. Может быть, как еще вариант можно вместо статического NAT попробовать использовать сочетание source + destination. А что за оборудование у клиента? У меня при внедрении оборудования Juniper тоже возникли проблемы с ВКС на базе Polycom как раз по H323. Но решилось все гораздо проще - отключили ALG, а потом вообще перевели SRX и J серию в пакетный режим. Они нам нужны нам как просто маршрутизаторы, а не как сетевые экраны. Увы, при этом лишились NAT, но это не большая проблема. Вставить ник Quote
meat_08 Posted January 31, 2012 Author Posted January 31, 2012 Проблема похоже в nat. А screen я тоже пробовал отключать.. Может быть, как еще вариант можно вместо статического NAT попробовать использовать сочетание source + destination. А что за оборудование у клиента? У меня при внедрении оборудования Juniper тоже возникли проблемы с ВКС на базе Polycom как раз по H323. Но решилось все гораздо проще - отключили ALG, а потом вообще перевели SRX и J серию в пакетный режим. Они нам нужны нам как просто маршрутизаторы, а не как сетевые экраны. Увы, при этом лишились NAT, но это не большая проблема. Пробовал. Там стоит "LifeSize", как я помню. В общем спасибо огромное за помощь и за советы, проблема уже не актуальна. А отключение ALG значительно улучшило качество связи по скайпу в частности. Вообще я тоже планирую уйти от ната и оставить джун только как пограничный маршрутизатор с bgp и ospf (уж это на нем работает без нареканий). Еще раз спасибо. :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.