TE30版本:V500R002C00SPC500

MCUVP9660版本: V500R002C00SPC800

组网概述:MCU、SMC、4个TE30终端、1个TE40终端在同一个网段192.168.23.0/24属于国外站;国内站包涵一个TE30终端,网段192.168.34.34.0/24。国内站和国外站两端都包交换机、路由器、防火墙通过光纤连接。

通过SMC召集会议出现国内站间歇性无法入会的情况。

未正常入会的情况SMC告警信息提示国内会场终端拒绝入会。

下图为网络拓扑图。

告警信息提示:国内站分会场拒绝入会。

1.告警提示被叫拒绝接听,检查终端配置确认自动接听已经打开。

2.通过ping命令测试TE30终端的连通性确认网络连通性没有问题。

3.检查SMC、MCU、TE30的配置参数确认无误。

4.分析MCU和国内站的TE30终端诊断信令如下:

国内站TE30端信令分析:

(1)TE30视频终端收到SMC个指令后使用源IP地址192.168.34.2源端口1720>>访问MCU目标IP192.168.23.253目标端口1136。

(2)MCU使用源IP地址192.168.23.253源端口1139>>回复TE30视频终端目的IP地址192.168.34.2目的端口1720,此时会话端口发生改变,MCU的端口由1136改变为1139。

(3)终端的1720端口向MCU的1139端口发送建链请求。

(4)TE30视频会议终端未收到回包再次使用源IP地址192.168.34.2源端口1720>>回复MCU目标IP192.168.23.253目标端口1139重复发送。

总结:通过以上分析发现这个会话过程在第二步的时候MCU使用的端口号由1136改变为1139,此时双方IP地址未改变而使用的端口号改变被防火墙识别为两个会话而拦截。

1.排查链路问题,通过分析每个中间链路的网络设备两侧的信令消息,发现防火墙把后续连接的IP包给拦截了。(跳过防火墙后测试正常)

2.此项目为联合交付项目,防火墙为T 友商防火墙,防火墙工程师解释为:会话连接过程中更改了连接端口,防火墙识别为两个会话拦截了后续连接。

3.解决方法:防火墙更改配置为强制识别会话,即两个IP建立连接不再检测端口的改变,一直识别为一个会话。