Jump to content
Калькуляторы

Juniper SRX650 h323 problem

Доброго времени суток. Есть джун, работает в качестве ната + пограничного маршрутизатора. Через него идет клиентский трафик в целом нормально, но вот h323 (видео конференцсвязь) работает совсем не правильно. Если точнее, то скорость потока очень низкая, наблюдаются потери пакетов или вообще полное пропадание звука/изображения. ALG H323 отключать пробовал, результат = 0. Знатоки Juniper, подскажите, куда копать.

P.S. Фаервол прозрачный (any any any permit), нат (в случае с этим клиентом) статический. Какие куски конфига будут нужны для анализа, скажите, предоставлю.

Заранее спасибо. Надеюсь на вашу помощь.

Share this post


Link to post
Share on other sites

Junos на устройстве какой?

 

10.4R7.5 сейчас обновляю до R8.5

Share this post


Link to post
Share on other sites

Попробуйте команду:

set security alg h323 application-screen unknown-message permit-nat-applied permit-routed

Share this post


Link to post
Share on other sites

Попробуйте команду:

set security alg h323 application-screen unknown-message permit-nat-applied permit-routed

Пробовал. С алг вообще игрался по всякому. Напрягает то, что вывод команды

show security alg h323 counters

выдает среди прочего строку

Decoding errors: xxx 

и число ошибок растет.

Включал логи, по логам пакеты ходят, но абонент говорит, что и скорость низкая (при канале в 10Мбит скорость видеоконференции 200-600Кбит) и потери пакетов.

Соединение так же устанавливается без проблем. Проблема только с потоком трафика.

Так же пробовал убирать шейп и отключать лимит сессий - не помогает.

В итоге я зашел в тупик, так-как джун я еще не изучил достаточно хорошо, чтобы решать подобные проблемы.

Share this post


Link to post
Share on other sites

Хм, странно конечно. Выложите сюда конфиг раздела "security".

Share this post


Link to post
Share on other sites

 

security {
   nat {
       source {
           pool name {
               address {
                   x.x.x.x/32;

           rule-set NAT {
               from interface ge-0/0/2.9;
               to interface ge-0/0/3.111;
               rule dynamic_rules_1 {
                   match {
                       source-address x.x.x.x/21;
                       destination-address 0.0.0.0/0;
                   }
                   then {
                       source-nat {
                           pool {
                               name;
                           }
                       }
                   }
               }
           }
           rule-set DMZ {
               from interface ge-0/0/2.9;
               to interface ge-0/0/1.11;
               rule DMZ {
                   match {
                       source-address 10.0.0.0/8;
                       destination-address x.x.x.x/28;
                   }
                   then {
                       source-nat {
                           interface;
                       }
                   }
               }
           }
       }
       static {
           rule-set NAT {
               from zone untrust;
               rule rule_1 {
                   match {
                       destination-address x.x.x.x/32;
                   }
                   then {
                       static-nat prefix x.x.x.x/32;
                   }
               }

   }
   log {
       mode stream;
       source-address x.x.x.x;
       stream rtdlog {
           severity info;
           format syslog;
           category all;
           host {
               192.168.100.100;
           }
       }
   }
   screen {
       ids-option limit_session {
           limit-session {
               source-ip-based 500;
               destination-ip-based 500;
           }
       }
       ids-option untrust-screen {
           icmp {
               fragment;
               large;
               ping-death;
           }
           ip {
               source-route-option;
               tear-drop;
           }
           tcp {
               syn-frag;
               land;
           }
           limit-session {
               source-ip-based 800;
               destination-ip-based 800;
           }
       }
   }
   zones {
       security-zone trust {
           host-inbound-traffic {
               system-services {
                   all;
               }
               protocols {
                   all;
               }
           }
           interfaces {
               ge-0/0/2.9;
           }
       }
       security-zone untrust {
           screen untrust-screen;
           interfaces {
               ge-0/0/3.111 {
                   host-inbound-traffic {
                       system-services {
                           all;
                       }
                       protocols {
                           all;
                       }
                   }
               }
               ge-0/0/0.60 {
                   host-inbound-traffic {
                       system-services {
                           all;
                       }
                       protocols {
                           all;
                       }
                   }
               }
               ge-0/0/3.20 {
                   host-inbound-traffic {
                       protocols {
                           ospf;
                       }
                   }
               }
           }
       }
       security-zone DMZ {
           interfaces {
               ge-0/0/1.11 {
                   host-inbound-traffic {
                       system-services {
                           all;
                       }
                       protocols {
                           all;
                       }
                   }
               }
           }
       }
   }
   policies {
       from-zone trust to-zone untrust {
           policy trust-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone untrust to-zone trust {
           policy untrust-to-trust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone DMZ to-zone trust {
           policy DMZ-to-TRUST {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone trust to-zone DMZ {
           policy trust-to-DMZ {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone untrust to-zone DMZ {
           policy deny_untrust-to-dmz {
               match {
                   source-address any;
                   destination-address any;
                   application junos-telnet;
               }
               then {
                   deny;
               }
           }
           policy untrust-to-dmz {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone DMZ to-zone untrust {
           policy deny_DMZ-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application junos-telnet;
               }
               then {
                   deny;
               }
           }
           policy DMZ-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone untrust to-zone untrust {
           policy untrust-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
   }
   alg {
       dns disable;
       ftp disable;
       h323 {
           endpoint-registration-timeout 3600;
           media-source-port-any;
           application-screen {
               unknown-message {
                   permit-nat-applied;
                   permit-routed;
               }
               message-flood {
                   gatekeeper threshold 10000;
               }
           }
       }
       mgcp disable;
       sccp disable;
       sip disable;
       talk disable;
       pptp disable;
   }
   flow {
       allow-dns-reply;
   }
}

 

 

Часть конфига из раздела nat сократил.

Share this post


Link to post
Share on other sites

пробовали отключить alg вовсе.

 

set secur alg disable

commit

 

вернее set secur alg h323 disable

 

у меня на примере с DNS и RTSP хорошо помогло

Share this post


Link to post
Share on other sites

пробовали отключить alg вовсе.

 

set secur alg disable

commit

 

вернее set secur alg h323 disable

 

у меня на примере с DNS и RTSP хорошо помогло

 

Отключал. Не помогает.

Share this post


Link to post
Share on other sites

Вообще отключил alg и все равно результат тот же. Скайп, после выключения alg, работать стал лучше (были тормоза), а вот с h323 как были проблемы, так и остались... Хелп.

Share this post


Link to post
Share on other sites

Попробуйте еще отключить всю секцию

screen

и проверить.

Edited by Artemoshka

Share this post


Link to post
Share on other sites

Попробуйте еще отключить всю секцию

screen

и проверить.

 

Проблема похоже в nat. А screen я тоже пробовал отключать..

Share this post


Link to post
Share on other sites

Проблема похоже в nat. А screen я тоже пробовал отключать..

 

Может быть, как еще вариант можно вместо статического NAT попробовать использовать сочетание source + destination. А что за оборудование у клиента? У меня при внедрении оборудования Juniper тоже возникли проблемы с ВКС на базе Polycom как раз по H323. Но решилось все гораздо проще - отключили ALG, а потом вообще перевели SRX и J серию в пакетный режим. Они нам нужны нам как просто маршрутизаторы, а не как сетевые экраны. Увы, при этом лишились NAT, но это не большая проблема.

Share this post


Link to post
Share on other sites

Проблема похоже в nat. А screen я тоже пробовал отключать..

 

Может быть, как еще вариант можно вместо статического NAT попробовать использовать сочетание source + destination. А что за оборудование у клиента? У меня при внедрении оборудования Juniper тоже возникли проблемы с ВКС на базе Polycom как раз по H323. Но решилось все гораздо проще - отключили ALG, а потом вообще перевели SRX и J серию в пакетный режим. Они нам нужны нам как просто маршрутизаторы, а не как сетевые экраны. Увы, при этом лишились NAT, но это не большая проблема.

 

Пробовал. Там стоит "LifeSize", как я помню. В общем спасибо огромное за помощь и за советы, проблема уже не актуальна. А отключение ALG значительно улучшило качество связи по скайпу в частности. Вообще я тоже планирую уйти от ната и оставить джун только как пограничный маршрутизатор с bgp и ospf (уж это на нем работает без нареканий). Еще раз спасибо. :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this