meat_08 Опубликовано 25 января, 2012 · Жалоба Доброго времени суток. Есть джун, работает в качестве ната + пограничного маршрутизатора. Через него идет клиентский трафик в целом нормально, но вот h323 (видео конференцсвязь) работает совсем не правильно. Если точнее, то скорость потока очень низкая, наблюдаются потери пакетов или вообще полное пропадание звука/изображения. ALG H323 отключать пробовал, результат = 0. Знатоки Juniper, подскажите, куда копать. P.S. Фаервол прозрачный (any any any permit), нат (в случае с этим клиентом) статический. Какие куски конфига будут нужны для анализа, скажите, предоставлю. Заранее спасибо. Надеюсь на вашу помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
msdt Опубликовано 25 января, 2012 · Жалоба Junos на устройстве какой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 25 января, 2012 · Жалоба Junos на устройстве какой? 10.4R7.5 сейчас обновляю до R8.5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artemoshka Опубликовано 26 января, 2012 · Жалоба Попробуйте команду: set security alg h323 application-screen unknown-message permit-nat-applied permit-routed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 26 января, 2012 · Жалоба Попробуйте команду: set security alg h323 application-screen unknown-message permit-nat-applied permit-routed Пробовал. С алг вообще игрался по всякому. Напрягает то, что вывод команды show security alg h323 counters выдает среди прочего строку Decoding errors: xxx и число ошибок растет. Включал логи, по логам пакеты ходят, но абонент говорит, что и скорость низкая (при канале в 10Мбит скорость видеоконференции 200-600Кбит) и потери пакетов. Соединение так же устанавливается без проблем. Проблема только с потоком трафика. Так же пробовал убирать шейп и отключать лимит сессий - не помогает. В итоге я зашел в тупик, так-как джун я еще не изучил достаточно хорошо, чтобы решать подобные проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artemoshka Опубликовано 26 января, 2012 · Жалоба Хм, странно конечно. Выложите сюда конфиг раздела "security". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 26 января, 2012 · Жалоба security { nat { source { pool name { address { x.x.x.x/32; rule-set NAT { from interface ge-0/0/2.9; to interface ge-0/0/3.111; rule dynamic_rules_1 { match { source-address x.x.x.x/21; destination-address 0.0.0.0/0; } then { source-nat { pool { name; } } } } } rule-set DMZ { from interface ge-0/0/2.9; to interface ge-0/0/1.11; rule DMZ { match { source-address 10.0.0.0/8; destination-address x.x.x.x/28; } then { source-nat { interface; } } } } } static { rule-set NAT { from zone untrust; rule rule_1 { match { destination-address x.x.x.x/32; } then { static-nat prefix x.x.x.x/32; } } } log { mode stream; source-address x.x.x.x; stream rtdlog { severity info; format syslog; category all; host { 192.168.100.100; } } } screen { ids-option limit_session { limit-session { source-ip-based 500; destination-ip-based 500; } } ids-option untrust-screen { icmp { fragment; large; ping-death; } ip { source-route-option; tear-drop; } tcp { syn-frag; land; } limit-session { source-ip-based 800; destination-ip-based 800; } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.9; } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/3.111 { host-inbound-traffic { system-services { all; } protocols { all; } } } ge-0/0/0.60 { host-inbound-traffic { system-services { all; } protocols { all; } } } ge-0/0/3.20 { host-inbound-traffic { protocols { ospf; } } } } } security-zone DMZ { interfaces { ge-0/0/1.11 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy untrust-to-trust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone DMZ to-zone trust { policy DMZ-to-TRUST { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone DMZ { policy trust-to-DMZ { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone DMZ { policy deny_untrust-to-dmz { match { source-address any; destination-address any; application junos-telnet; } then { deny; } } policy untrust-to-dmz { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone DMZ to-zone untrust { policy deny_DMZ-to-untrust { match { source-address any; destination-address any; application junos-telnet; } then { deny; } } policy DMZ-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone untrust { policy untrust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } } alg { dns disable; ftp disable; h323 { endpoint-registration-timeout 3600; media-source-port-any; application-screen { unknown-message { permit-nat-applied; permit-routed; } message-flood { gatekeeper threshold 10000; } } } mgcp disable; sccp disable; sip disable; talk disable; pptp disable; } flow { allow-dns-reply; } } Часть конфига из раздела nat сократил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Z Опубликовано 27 января, 2012 · Жалоба пробовали отключить alg вовсе. set secur alg disable commit вернее set secur alg h323 disable у меня на примере с DNS и RTSP хорошо помогло Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 27 января, 2012 · Жалоба пробовали отключить alg вовсе. set secur alg disable commit вернее set secur alg h323 disable у меня на примере с DNS и RTSP хорошо помогло Отключал. Не помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 30 января, 2012 · Жалоба Вообще отключил alg и все равно результат тот же. Скайп, после выключения alg, работать стал лучше (были тормоза), а вот с h323 как были проблемы, так и остались... Хелп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artemoshka Опубликовано 30 января, 2012 (изменено) · Жалоба Попробуйте еще отключить всю секцию screen и проверить. Изменено 30 января, 2012 пользователем Artemoshka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 30 января, 2012 · Жалоба Попробуйте еще отключить всю секцию screen и проверить. Проблема похоже в nat. А screen я тоже пробовал отключать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artemoshka Опубликовано 30 января, 2012 · Жалоба Проблема похоже в nat. А screen я тоже пробовал отключать.. Может быть, как еще вариант можно вместо статического NAT попробовать использовать сочетание source + destination. А что за оборудование у клиента? У меня при внедрении оборудования Juniper тоже возникли проблемы с ВКС на базе Polycom как раз по H323. Но решилось все гораздо проще - отключили ALG, а потом вообще перевели SRX и J серию в пакетный режим. Они нам нужны нам как просто маршрутизаторы, а не как сетевые экраны. Увы, при этом лишились NAT, но это не большая проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
meat_08 Опубликовано 31 января, 2012 · Жалоба Проблема похоже в nat. А screen я тоже пробовал отключать.. Может быть, как еще вариант можно вместо статического NAT попробовать использовать сочетание source + destination. А что за оборудование у клиента? У меня при внедрении оборудования Juniper тоже возникли проблемы с ВКС на базе Polycom как раз по H323. Но решилось все гораздо проще - отключили ALG, а потом вообще перевели SRX и J серию в пакетный режим. Они нам нужны нам как просто маршрутизаторы, а не как сетевые экраны. Увы, при этом лишились NAT, но это не большая проблема. Пробовал. Там стоит "LifeSize", как я помню. В общем спасибо огромное за помощь и за советы, проблема уже не актуальна. А отключение ALG значительно улучшило качество связи по скайпу в частности. Вообще я тоже планирую уйти от ната и оставить джун только как пограничный маршрутизатор с bgp и ospf (уж это на нем работает без нареканий). Еще раз спасибо. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...