炸金花平台技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 318|回复: 0
打印 上一主题 下一主题

【ALG模块】视频业务有图像没声音(SIP)

[复制链接]

27

主题

35

帖子

1569

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1569
跳转到指定楼层
楼主
发表于 2019-5-17 09:47:44 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 Graves-J 于 2019-5-17 10:51 编辑

一、故障现象

某企业内网部署如上图所示,我司DPX8000部署于出口网关位置,ADX业务板卡进行在线转发,外联运营商网络,内联核心交换,核心交换下挂办公区PC。服务器位于公网侧,提供视频会议服务,内网PC1与PC2安装视频会议客户端,客户端间通过服务器交互视频数据。
现办公区PC接入视频会议后,只能看到图像,没有声音,会议无法正常召开。
二、问题分析
(1)首先梳理流量走向,视频会议客户端需要通过服务器进行数据交互,且由客户端PC主动发起请求,客户端之间不会直接交互数据。服务器在公网侧,客户端PC使用的是私网地址,客户端请求报文需要经过网关DPX8000设备进行路由转发以及源地址转换。检查路由、源NAT配置,均配置正确。
(2)由于视频类业务一般使用多通道协议,此类协议在NAT环境中会涉及到ALG修改应用层数据。需判断此视频会议使用哪种协议,因此在客户端抓取视频会议报文。通过分析报文发现其使用的是SIP协议。
     
SIP协议会通过报文应用层数据携带的IP地址和端口号进行目的地寻址。
      
在源NAT环境下,客户端的SIP协议报文经过我司设备进行源NAT转换后,会转换三层的IP地址以及四层的端口号,但应用层的数据不会改变。服务器接收报文后,根据该报文应用层数据进行寻址时会发现目的地址是私网地址,无法通过公网到达正确的目的地,因此客户端访问失败。
此时需要开启SIP ALG辅助其实现访问。SIP ALG会配合源NAT修改应用层的IP地址及端口号,保证地址可达性。
(3)检查ALG配置,发现SIP ALG已开启,但仍然有图像无声音。于是检查SIP ALG状态,使用show alg命令查看。
               
SIP ALG的源地址校验以及源端口保持功能均处于禁用状态(C011版本默认配置)。
在部分情况下,服务器会对客户端的端口范围做限制,如果其端口不在允许范围之内,则无法建立连接。由于SIP ALG会修改应用层端口范围,可能会导致以上问题,因此在设备上开启源端口保持,即不修改应用层端口号。使用命令alg sip src-port-hold。

            
此时视频会议测试正常,故障已恢复。
三、解决方案
在部分情况下服务器会校验客户端SIP报文应用层源端口,此时我司设备需要开启SIP ALG源端口保持功能,确保其端口不被修改在允许范围之内。但是开启测功能可能会存在端口冲突的问题,即内网多个客户端经过我司源NAT后,转换成相同源地址,此时如果各客户端使用的源端口相同,则会导致端口冲突。
四、其他
SIP ALG另一个功能为源IP检查。如果设备收到的SIP报文IP层地址与应用层地址不一致时,如果开启源IP检查,则会丢弃此报文。需使用命令alg sip src-ip-uncheck禁用IP地址检查。
我司C008版本默认开启源IP检查,不开启源端口保持;我司C011版本默认不开启源IP检查,不开启源端口保持。
  



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|炸金花平台

GMT+8, 2019-9-18 04:56 , Processed in 0.148570 second(s), 22 queries .

Powered by X3.1

© 2001-2014

快速回复 返回顶部 返回列表