URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22935
[ Назад ]

Исходное сообщение
"Juniper SRX100 и телефонная станция"

Отправлено beaver33 , 31-Июл-11 11:15 
Всем привет.
Вопрос, к специалистам в области маршрутизаторов Juniper серии SRX100
Настроили эту железочку в допофисе, все сервисы, службы - работают просто
замечательно, но возник вопрос с ip-телефонией. При попытке набрать номер
удалённого офиса в трубке тишина и секунд через 5 "занято", на стороне офиса
при попытке позвонить к нам - тоже самое - тишина и через 5 сек "занято".
Телефонную станцию удалённого офиса со своей стороны вижу.
Из удалённого офиса свою телефонную станцию тоже вижу.
Трассы, пинги  - всё хорошо.
На удалённой стороне АТС Коралл, на моей Tadiran, сигнализация идёт по порту 2427.
С приоретизацией и QoS возились, но результат - 5 сек и "занято"
Отключали  фильтры с интерфейса, чтобы просто шёл поток данных, и снова  - 5 сек и "занято".
В других филилах вместо  SRX100 стоят системники с LINUX SUSE - всё изумительно работает.
Ip адрес станции на моей стороне
Signaling:    10.0.0.253
Media:    10.0.0.254
Ip адрес станции на удалённой стороне
Signaling:    10.3.0.253
Media:    10.3.0.254

вот конфигурация SRX100
=============================================================
## Last changed: 2011-07-31 18:02:24 MSD
version 11.1R1.10;
system {
    host-name pyatigorsk;
    time-zone Europe/Moscow;
      }
    name-server {
        10.0.0.2;
    }
    services {
        ssh;
        telnet;
        web-management {
            http {
                interface [ vlan.0 fe-0/0/2.0 fe-0/0/0.0 ];
            }
            https {
                system-generated-certificate;
                interface vlan.0;
            }
        }
    }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 5;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
}
interfaces {
    interface-range interfaces-trust {
        member fe-0/0/3;
        member fe-0/0/4;
        member fe-0/0/5;
        member fe-0/0/6;
        member fe-0/0/7;
        member fe-0/0/0;
        unit 0;
    }
    fe-0/0/0 {
        unit 0 {
            family inet {
                filter {
                    output QoS;
                }
                address 192.168.3.10/30;
            }
        }
    }
    fe-0/0/1 {
        unit 0 {
            family inet {
                address 192.168.103.2/30;
            }
        }
    }
    fe-0/0/2 {
        unit 0 {
            family inet {
                address 10.3.0.1/24;
            }
        }
    }
    st0 {
        disable;
        unit 0 {
            family inet {
                mtu 1400;
                address 10.134.0.1/30;
            }
        }
}
forwarding-options {
    packet-capture {
        file filename testpacketcapture;
        maximum-capture-size 1500;
    }
}
routing-options {
    static {
        route 192.168.103.0/24 next-hop 192.168.103.1;
        route 0.0.0.0/0 next-hop 192.168.3.9;
    }
}
protocols {
    rip {
        group alpha-rip-group {
            export advertise-rip-routes;
            neighbor fe-0/0/2.0;
            neighbor st0.0;
            neighbor fe-0/0/0.0;
        }
    }
}
policy-options {
    policy-statement advertise-rip-routes {
        term 1 {
            from protocol [ direct rip ];
            then accept;
        }
    }
}
class-of-service {
    classifiers {
        dscp VoIp {
            forwarding-class assured-forwarding {
                loss-priority high code-points 101110;
            }
        }
    }
    interfaces {
        fe-0/0/0 {
            unit 0 {
                classifiers {
                    dscp VoIp;
                }
                rewrite-rules {
                    dscp 101110;
                }
            }
        }
    }
    rewrite-rules {
        dscp 101110 {
            forwarding-class assured-forwarding {
                loss-priority high code-point 101110;
            }
        }
    }
}
security {
    ike {
        policy IKE1 {
            mode main;
            proposal-set compatible;
        }
        gateway R1 {
            ike-policy IKE1;
            address 192.168.134.2;
            external-interface fe-0/0/1;
        }
    }
    ipsec {
        proposal P2-AES;
        policy ipsec-policy-1;
        policy IKE2 {
            perfect-forward-secrecy {
                keys group2;
            }
            proposal-set compatible;
        }
        vpn R1_R2 {
            bind-interface st0.0;
            ike {
                gateway R1;
                ipsec-policy IKE2;
            }
            establish-tunnels immediately;
        }
    }
    alg {
        sip disable;
    }
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy trust-to-trust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone untrust to-zone untrust {
            policy untrust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone VPN {
            policy head {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone VPN to-zone trust {
            policy 1 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                fe-0/0/0.0;
                fe-0/0/1.0;
                fe-0/0/2.0;
            }
        }
        security-zone untrust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
        }
        security-zone VPN {
            interfaces {
                st0.0 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
    }
}
firewall {
    policer P_Critical {
        if-exceeding {
            bandwidth-limit 156k;
            burst-size-limit 100k;
        }
        then forwarding-class assured-forwarding;
    }
    policer R_Production {
        if-exceeding {
            bandwidth-limit 150k;
            burst-size-limit 100k;
        }
        then forwarding-class best-effort;
    }
    policer P-Net {
        if-exceeding {
            bandwidth-limit 100k;
            burst-size-limit 50k;
        }
        then forwarding-class best-effort;
    }
    policer VoIP {
        if-exceeding {
            bandwidth-limit 200k;
            burst-size-limit 150k;
        }
        then forwarding-class assured-forwarding;
    }
    filter QoS {
        term R_Production {
            from {
                source-address {
                    10.3.0.1/32;
                    10.3.0.12/32;
                    10.0.0.1/32;
                }
                destination-address {
                    10.3.0.12/32;
                    10.0.0.1/32;
                }
            }
            then policer R_Production;
        }
        term R_Critical {
            from {
                source-address {
                    10.3.0.254/32;
                    10.3.0.252/32;
                    10.3.0.253/32;
                }
                destination-address {
                    10.0.0.253/32;
                    10.0.0.254/32;
                }
            }
            then {
                policer P_Critical;
                loss-priority low;
                forwarding-class assured-forwarding;
            }
        }
        term R_Net {
            from {
                source-address {
                    0.0.0.0/0;
                }
                destination-address {
                    0.0.0.0/0;
                }
            }
            then policer P-Net;
        }
    }
}
====================================================================================
На SRX100 monitor traffic и tcpdump "хождения" трафика между телефонными станциями не показали.
Отсюда и возник вопрос, что не было учтено при настройке SRX100, относительно
ip телефонии, как протолкнуть телефонный трафик, может SRX100 его где-то режет  ?
Заранее спасибо.


Содержание

Сообщения в этом обсуждении
"Juniper SRX100 и телефонная станция"
Отправлено beaver33 , 01-Авг-11 15:14 
Привет, еще раз.
Похоже, что кроме меня,
на всём белом свете с Juniper SRX100 не работает никто.

"Juniper SRX100 и телефонная станция"
Отправлено dae , 22-Сен-11 15:45 
> Привет, еще раз.
> Похоже, что кроме меня,
> на всём белом свете с Juniper SRX100 не работает никто.

Привет, Бобёр!
Тема как бы про Cisco, поэтому никто и не отвечает.
Проверять надо рутинг и размер MTU, желательно с компа: еще раз посмотреть пинги, трейсы в обе стороны.
Потом запустить telnet на указанный сигнальный порт.
В конфиге Juniper (прикольный конфиг кста) я не нашел интерфейса 10.0.0.1/32
Он есть? Или еще какой-то рутер стоит между сетками 10.0.0.0/24 и 10.3.0.0/24?
и наверно есть смысл обратиться к Tоварищу, настроившему Juniper


"Juniper SRX100 и телефонная станция"
Отправлено KostyaK , 23-Сен-11 01:53 
Если с маршрутизацией все нормально (станции видят/пингуют друг друга), попробуйте выключить инспекцию VOIP протоколов. Подглючивает на джуниперах эта фишка.

В зависимости от того, что у вас используется:

set security alg sip disable
set security alg h323 disable
set security alg mgcp disable
set security alg sccp disable


"Juniper SRX100 и телефонная станция"
Отправлено beaver33 , 29-Сен-11 13:18 
> Если с маршрутизацией все нормально (станции видят/пингуют друг друга), попробуйте выключить
> инспекцию VOIP протоколов. Подглючивает на джуниперах эта фишка.
> В зависимости от того, что у вас используется:
> set security alg sip disable
> set security alg h323 disable
> set security alg mgcp disable
> set security alg sccp disable

Здравствуйте, KostyaK
Спасибо Вам за Ваш ответ. Игрался уже с alg.
Уже и дампы снимал с сетевых карт и варешарком смотрел - всё ок. Пинги, трассы, протоколы.
Да что-то подсказывает что всё дело в прошивке. Спасибо Вам еще раз за ответ.


"Juniper SRX100 и телефонная станция"
Отправлено bda , 30-Сен-11 00:41 
>[оверквотинг удален]
>> set security alg sip disable
>> set security alg h323 disable
>> set security alg mgcp disable
>> set security alg sccp disable
> Здравствуйте, KostyaK
> Спасибо Вам за Ваш ответ. Игрался уже с alg.
> Уже и дампы снимал с сетевых карт и варешарком смотрел - всё
> ок. Пинги, трассы, протоколы.
> Да что-то подсказывает что всё дело в прошивке. Спасибо Вам еще раз
> за ответ.

Сорри что немного не в тему, но у меня например, на srx240h - не работает нормально alg для dns - пришлось вообще отключить. А вообще какой софт-то стоит?


"Juniper SRX100 и телефонная станция"
Отправлено beaver33 , 06-Окт-11 15:04 
>[оверквотинг удален]
>>> set security alg sccp disable
>> Здравствуйте, KostyaK
>> Спасибо Вам за Ваш ответ. Игрался уже с alg.
>> Уже и дампы снимал с сетевых карт и варешарком смотрел - всё
>> ок. Пинги, трассы, протоколы.
>> Да что-то подсказывает что всё дело в прошивке. Спасибо Вам еще раз
>> за ответ.
> Сорри что немного не в тему, но у меня например, на srx240h
> - не работает нормально alg для dns - пришлось вообще отключить.
> А вообще какой софт-то стоит?

Здравствуте, bda (ok)!
сейчас
Model: srx100-hm
JUNOS Software Release [10.0R3.10]
был
JUNOS Software Release [11.1R1.10]
Откатился на 10 и  - о чудо - всё просто замечтательно !!!


"Juniper SRX100 и телефонная станция"
Отправлено bda , 07-Окт-11 07:57 
>[оверквотинг удален]
>> - не работает нормально alg для dns - пришлось вообще отключить.
>> А вообще какой софт-то стоит?
> Здравствуте, bda (ok)!
> сейчас
> Model: srx100-hm
> JUNOS Software Release [10.0R3.10]
> был
> JUNOS Software Release [11.1R1.10]
> Откатился на 10 и  - о чудо - всё просто замечтательно
> !!!

Ну вот и славненько. А вообще на сайте жунипера - есть еще документ, в котором говорится - какой софт на данный момент для какого железа является рекомендуемым.


"Juniper SRX100 и телефонная станция"
Отправлено Frenk , 11-Окт-11 14:30 

> Здравствуте, bda (ok)!
> сейчас
> Model: srx100-hm
> JUNOS Software Release [10.0R3.10]
> был
> JUNOS Software Release [11.1R1.10]
> Откатился на 10 и  - о чудо - всё просто замечтательно
> !!!

Немножко не успел :)
Столкнулся с подобной проблемой, только станции Avaya definity и IP office.

пришлось откатываться на десятку, сейчас стоит
Software Version:        JUNOS Software Release [10.2R3.10]
Bios Version:        1.7
вроде все работает.


"Juniper SRX100 и телефонная станция"
Отправлено beaver33 , 05-Мрт-12 11:45 
>[оверквотинг удален]
>> был
>> JUNOS Software Release [11.1R1.10]
>> Откатился на 10 и  - о чудо - всё просто замечтательно
>> !!!
> Немножко не успел :)
> Столкнулся с подобной проблемой, только станции Avaya definity и IP office.
> пришлось откатываться на десятку, сейчас стоит
> Software Version:  JUNOS Software Release [10.2R3.10]
> Bios Version:  1.7
> вроде все работает.

Здравствуйте, Frenk.
Спасибо, Вам за ответ.
Есть немного факультативный вопросец.
А не сталкивались ли Вы при работе с Juniper  с таким моментом. Удалённый юзер подключается и начинает работать с базой данных, всё ок всё летает, но если юзер не работает минут 10-15 - это самое приложение просто тупо виснет и не отвечает.
Помогает только перезапуск приложения.
Добавил вот такую настройку
application custom_app {
    protocol tcp;
    inactivity-timeout 43200;
}
application custom_appu {
    protocol udp;
    inactivity-timeout 43200;
}
но как бы общей картины не изменило.


"Juniper SRX100 и телефонная станция"
Отправлено Hireling , 04-Апр-12 10:26 
Юзер скорей всего отваливается через 30 минут. Это базовое значение для tcp на srx. Значения для конкретных приложений можно посмотреть командой

request pfe execute target fwdd command "show usp app-def tcp"

Собственно, таймаут для приложения вы создали. А в security policy его указать не забыли?
Так реализованно у меня:

set applications application BISQUIT protocol tcp
set applications application BISQUIT inactivity-timeout 7200


set security policies from-zone trust to-zone untrust policy trust-to-untrust-special match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special match destination-address BIS-SERVER
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special match application BISQUIT
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special then permit


"Juniper SRX100 и телефонная станция"
Отправлено beaver33 , 05-Апр-12 19:29 
Здравствуйте, Hireling.
Да, Вы правы по поводу политик, но этот момент, я
тоже рассматривал. Добавлял в политики srx100 ip адреса, порты. Просто,
как-то немного не ясно, почему допустим сессия того-же Radmin'а может висеть сутками
открытым окном, и оставаться активной и "живой", а вот работа с базами рубится после 10-20 минутного бездействия.
Спасибо, Вам еще раз за ответ и Ваше время на этот самый ответ.



"Juniper SRX100 и телефонная станция"
Отправлено Liss , 01-Июл-14 16:37 
> Если с маршрутизацией все нормально (станции видят/пингуют друг друга), попробуйте выключить
> инспекцию VOIP протоколов. Подглючивает на джуниперах эта фишка.
> В зависимости от того, что у вас используется:
> set security alg sip disable
> set security alg h323 disable
> set security alg mgcp disable
> set security alg sccp disable

Была у меня проблема с Juniper-ом и с VoIP сервисами тоже.
Но немного другая - после минуты разговора - разговор обрывался.
Так set security alg sip disable - решило проблему.

P/S: Что интересно, что эта функция делала проблемы еще тогда, когда был старый Juniper - Juniper SSG с ОС от Netscreen.