Всем привет.
Вопрос, к специалистам в области маршрутизаторов Juniper серии SRX100
Настроили эту железочку в допофисе, все сервисы, службы - работают просто
замечательно, но возник вопрос с ip-телефонией. При попытке набрать номер
удалённого офиса в трубке тишина и секунд через 5 "занято", на стороне офиса
при попытке позвонить к нам - тоже самое - тишина и через 5 сек "занято".
Телефонную станцию удалённого офиса со своей стороны вижу.
Из удалённого офиса свою телефонную станцию тоже вижу.
Трассы, пинги - всё хорошо.
На удалённой стороне АТС Коралл, на моей Tadiran, сигнализация идёт по порту 2427.
С приоретизацией и QoS возились, но результат - 5 сек и "занято"
Отключали фильтры с интерфейса, чтобы просто шёл поток данных, и снова - 5 сек и "занято".
В других филилах вместо SRX100 стоят системники с LINUX SUSE - всё изумительно работает.
Ip адрес станции на моей стороне
Signaling: 10.0.0.253
Media: 10.0.0.254
Ip адрес станции на удалённой стороне
Signaling: 10.3.0.253
Media: 10.3.0.254вот конфигурация SRX100
=============================================================
## Last changed: 2011-07-31 18:02:24 MSD
version 11.1R1.10;
system {
host-name pyatigorsk;
time-zone Europe/Moscow;
}
name-server {
10.0.0.2;
}
services {
ssh;
telnet;
web-management {
http {
interface [ vlan.0 fe-0/0/2.0 fe-0/0/0.0 ];
}
https {
system-generated-certificate;
interface vlan.0;
}
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
interface-range interfaces-trust {
member fe-0/0/3;
member fe-0/0/4;
member fe-0/0/5;
member fe-0/0/6;
member fe-0/0/7;
member fe-0/0/0;
unit 0;
}
fe-0/0/0 {
unit 0 {
family inet {
filter {
output QoS;
}
address 192.168.3.10/30;
}
}
}
fe-0/0/1 {
unit 0 {
family inet {
address 192.168.103.2/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 10.3.0.1/24;
}
}
}
st0 {
disable;
unit 0 {
family inet {
mtu 1400;
address 10.134.0.1/30;
}
}
}
forwarding-options {
packet-capture {
file filename testpacketcapture;
maximum-capture-size 1500;
}
}
routing-options {
static {
route 192.168.103.0/24 next-hop 192.168.103.1;
route 0.0.0.0/0 next-hop 192.168.3.9;
}
}
protocols {
rip {
group alpha-rip-group {
export advertise-rip-routes;
neighbor fe-0/0/2.0;
neighbor st0.0;
neighbor fe-0/0/0.0;
}
}
}
policy-options {
policy-statement advertise-rip-routes {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
}
class-of-service {
classifiers {
dscp VoIp {
forwarding-class assured-forwarding {
loss-priority high code-points 101110;
}
}
}
interfaces {
fe-0/0/0 {
unit 0 {
classifiers {
dscp VoIp;
}
rewrite-rules {
dscp 101110;
}
}
}
}
rewrite-rules {
dscp 101110 {
forwarding-class assured-forwarding {
loss-priority high code-point 101110;
}
}
}
}
security {
ike {
policy IKE1 {
mode main;
proposal-set compatible;
}
gateway R1 {
ike-policy IKE1;
address 192.168.134.2;
external-interface fe-0/0/1;
}
}
ipsec {
proposal P2-AES;
policy ipsec-policy-1;
policy IKE2 {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
vpn R1_R2 {
bind-interface st0.0;
ike {
gateway R1;
ipsec-policy IKE2;
}
establish-tunnels immediately;
}
}
alg {
sip disable;
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
policies {
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone untrust {
policy untrust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy head {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/0.0;
fe-0/0/1.0;
fe-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone VPN {
interfaces {
st0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
}
}
firewall {
policer P_Critical {
if-exceeding {
bandwidth-limit 156k;
burst-size-limit 100k;
}
then forwarding-class assured-forwarding;
}
policer R_Production {
if-exceeding {
bandwidth-limit 150k;
burst-size-limit 100k;
}
then forwarding-class best-effort;
}
policer P-Net {
if-exceeding {
bandwidth-limit 100k;
burst-size-limit 50k;
}
then forwarding-class best-effort;
}
policer VoIP {
if-exceeding {
bandwidth-limit 200k;
burst-size-limit 150k;
}
then forwarding-class assured-forwarding;
}
filter QoS {
term R_Production {
from {
source-address {
10.3.0.1/32;
10.3.0.12/32;
10.0.0.1/32;
}
destination-address {
10.3.0.12/32;
10.0.0.1/32;
}
}
then policer R_Production;
}
term R_Critical {
from {
source-address {
10.3.0.254/32;
10.3.0.252/32;
10.3.0.253/32;
}
destination-address {
10.0.0.253/32;
10.0.0.254/32;
}
}
then {
policer P_Critical;
loss-priority low;
forwarding-class assured-forwarding;
}
}
term R_Net {
from {
source-address {
0.0.0.0/0;
}
destination-address {
0.0.0.0/0;
}
}
then policer P-Net;
}
}
}
====================================================================================
На SRX100 monitor traffic и tcpdump "хождения" трафика между телефонными станциями не показали.
Отсюда и возник вопрос, что не было учтено при настройке SRX100, относительно
ip телефонии, как протолкнуть телефонный трафик, может SRX100 его где-то режет ?
Заранее спасибо.
Привет, еще раз.
Похоже, что кроме меня,
на всём белом свете с Juniper SRX100 не работает никто.
> Привет, еще раз.
> Похоже, что кроме меня,
> на всём белом свете с Juniper SRX100 не работает никто.Привет, Бобёр!
Тема как бы про Cisco, поэтому никто и не отвечает.
Проверять надо рутинг и размер MTU, желательно с компа: еще раз посмотреть пинги, трейсы в обе стороны.
Потом запустить telnet на указанный сигнальный порт.
В конфиге Juniper (прикольный конфиг кста) я не нашел интерфейса 10.0.0.1/32
Он есть? Или еще какой-то рутер стоит между сетками 10.0.0.0/24 и 10.3.0.0/24?
и наверно есть смысл обратиться к Tоварищу, настроившему Juniper
Если с маршрутизацией все нормально (станции видят/пингуют друг друга), попробуйте выключить инспекцию VOIP протоколов. Подглючивает на джуниперах эта фишка.В зависимости от того, что у вас используется:
set security alg sip disable
set security alg h323 disable
set security alg mgcp disable
set security alg sccp disable
> Если с маршрутизацией все нормально (станции видят/пингуют друг друга), попробуйте выключить
> инспекцию VOIP протоколов. Подглючивает на джуниперах эта фишка.
> В зависимости от того, что у вас используется:
> set security alg sip disable
> set security alg h323 disable
> set security alg mgcp disable
> set security alg sccp disableЗдравствуйте, KostyaK
Спасибо Вам за Ваш ответ. Игрался уже с alg.
Уже и дампы снимал с сетевых карт и варешарком смотрел - всё ок. Пинги, трассы, протоколы.
Да что-то подсказывает что всё дело в прошивке. Спасибо Вам еще раз за ответ.
>[оверквотинг удален]
>> set security alg sip disable
>> set security alg h323 disable
>> set security alg mgcp disable
>> set security alg sccp disable
> Здравствуйте, KostyaK
> Спасибо Вам за Ваш ответ. Игрался уже с alg.
> Уже и дампы снимал с сетевых карт и варешарком смотрел - всё
> ок. Пинги, трассы, протоколы.
> Да что-то подсказывает что всё дело в прошивке. Спасибо Вам еще раз
> за ответ.Сорри что немного не в тему, но у меня например, на srx240h - не работает нормально alg для dns - пришлось вообще отключить. А вообще какой софт-то стоит?
>[оверквотинг удален]
>>> set security alg sccp disable
>> Здравствуйте, KostyaK
>> Спасибо Вам за Ваш ответ. Игрался уже с alg.
>> Уже и дампы снимал с сетевых карт и варешарком смотрел - всё
>> ок. Пинги, трассы, протоколы.
>> Да что-то подсказывает что всё дело в прошивке. Спасибо Вам еще раз
>> за ответ.
> Сорри что немного не в тему, но у меня например, на srx240h
> - не работает нормально alg для dns - пришлось вообще отключить.
> А вообще какой софт-то стоит?Здравствуте, bda (ok)!
сейчас
Model: srx100-hm
JUNOS Software Release [10.0R3.10]
был
JUNOS Software Release [11.1R1.10]
Откатился на 10 и - о чудо - всё просто замечтательно !!!
>[оверквотинг удален]
>> - не работает нормально alg для dns - пришлось вообще отключить.
>> А вообще какой софт-то стоит?
> Здравствуте, bda (ok)!
> сейчас
> Model: srx100-hm
> JUNOS Software Release [10.0R3.10]
> был
> JUNOS Software Release [11.1R1.10]
> Откатился на 10 и - о чудо - всё просто замечтательно
> !!!Ну вот и славненько. А вообще на сайте жунипера - есть еще документ, в котором говорится - какой софт на данный момент для какого железа является рекомендуемым.
> Здравствуте, bda (ok)!
> сейчас
> Model: srx100-hm
> JUNOS Software Release [10.0R3.10]
> был
> JUNOS Software Release [11.1R1.10]
> Откатился на 10 и - о чудо - всё просто замечтательно
> !!!Немножко не успел :)
Столкнулся с подобной проблемой, только станции Avaya definity и IP office.пришлось откатываться на десятку, сейчас стоит
Software Version: JUNOS Software Release [10.2R3.10]
Bios Version: 1.7
вроде все работает.
>[оверквотинг удален]
>> был
>> JUNOS Software Release [11.1R1.10]
>> Откатился на 10 и - о чудо - всё просто замечтательно
>> !!!
> Немножко не успел :)
> Столкнулся с подобной проблемой, только станции Avaya definity и IP office.
> пришлось откатываться на десятку, сейчас стоит
> Software Version: JUNOS Software Release [10.2R3.10]
> Bios Version: 1.7
> вроде все работает.Здравствуйте, Frenk.
Спасибо, Вам за ответ.
Есть немного факультативный вопросец.
А не сталкивались ли Вы при работе с Juniper с таким моментом. Удалённый юзер подключается и начинает работать с базой данных, всё ок всё летает, но если юзер не работает минут 10-15 - это самое приложение просто тупо виснет и не отвечает.
Помогает только перезапуск приложения.
Добавил вот такую настройку
application custom_app {
protocol tcp;
inactivity-timeout 43200;
}
application custom_appu {
protocol udp;
inactivity-timeout 43200;
}
но как бы общей картины не изменило.
Юзер скорей всего отваливается через 30 минут. Это базовое значение для tcp на srx. Значения для конкретных приложений можно посмотреть командойrequest pfe execute target fwdd command "show usp app-def tcp"
Собственно, таймаут для приложения вы создали. А в security policy его указать не забыли?
Так реализованно у меня:set applications application BISQUIT protocol tcp
set applications application BISQUIT inactivity-timeout 7200
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special match destination-address BIS-SERVER
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special match application BISQUIT
set security policies from-zone trust to-zone untrust policy trust-to-untrust-special then permit
Здравствуйте, Hireling.
Да, Вы правы по поводу политик, но этот момент, я
тоже рассматривал. Добавлял в политики srx100 ip адреса, порты. Просто,
как-то немного не ясно, почему допустим сессия того-же Radmin'а может висеть сутками
открытым окном, и оставаться активной и "живой", а вот работа с базами рубится после 10-20 минутного бездействия.
Спасибо, Вам еще раз за ответ и Ваше время на этот самый ответ.
> Если с маршрутизацией все нормально (станции видят/пингуют друг друга), попробуйте выключить
> инспекцию VOIP протоколов. Подглючивает на джуниперах эта фишка.
> В зависимости от того, что у вас используется:
> set security alg sip disable
> set security alg h323 disable
> set security alg mgcp disable
> set security alg sccp disableБыла у меня проблема с Juniper-ом и с VoIP сервисами тоже.
Но немного другая - после минуты разговора - разговор обрывался.
Так set security alg sip disable - решило проблему.P/S: Что интересно, что эта функция делала проблемы еще тогда, когда был старый Juniper - Juniper SSG с ОС от Netscreen.