一、了解到AF部署场景与应用需求
1.1 检查AF部署环境:
AF是NAT环境下,有对应协议要进行映射;
还是非NAT环境下,应用控制进行放通
1.2 了解对应问题与应用:
具体问题:
如FTP能登录获取不到文件
视频会议连接不上;视频会议图像单通,本端能看到对方,对方看不到本端等。
应用情况:
如视频会议或IP电话,协议是SIP还是H.323, 对应协议使用的端口;
如FTP,主动模式还是被动模式,对应协议使用的端口是标准端口21还是非标准端口
其他协议类似,了解协议使用的端口是标准端口还是非标准端口
二、检查AF的相关配置
2.1【系统】-【系统配置】-【通用配置】-【网络参数】是AF的ALG协议设置对应协议后的端口:
留空,则对应协议不做ALG识别
填了端口号,则对应协议的端口进行识别,一般填协议控制通道建立端口,如PPTP1723
SIP与H.323 协议:
有个单独勾选,未勾选则对应协议不加载;ALG驱动低版本没有对应方框选项(7.4以上设备可以勾选),对应ALG驱动是默认加载的
2.2 根据客户环境调整ALG配置
需要使用ALG,对应协议使用的是非标准端口,则把非标准端口添加
不需要使用ALG,对应协议留空则不进行处理;H.323与SIP协议,则需要把对应方框不勾选
三、H.323与SIP协议ALG问题排查
3.1 根据网络环境如是AF做出口做NAT,本端内网是客户端,是客户端主动去访问外网的服务器:
该场景下,常见是AF可以不用做ALG转换
3.2 如AF是总部环境,做DNAT,把本端的服务器通过公网IP映射出去,则需要做ALG:
可以先跟客户沟通,看视频服务器自身是否能做ALG,如视频软件上能设置ALG则AF不需要做;
如视频软件无法确认,需要AF来做ALG,先抓包确认视频应用使用的端口,如是非标准端口,把对应端口添加到ALG;
如是标准端口:
可以先断开视频会议,勾选ALG选项方框、填好端口,重新连接,AF内外网口同时抓包,确认当时视频问题;
再次断开视频会议,取消对应的ALG选项方框,重新连接,AF内外网口同时抓包,确认当时视频问题;
视频软件是否能直接接公网或接其他NAT设备,能否正常,抓一个正常连接的包。
常见问题,进行勾选或不勾选,视频会议可能能正常;如不正常,需要通过数据包来对比。
3.3 其他协议也类似方式处理,需要抓包进行分析
