|
|
|
|
Страница 1 из 1
|
[ Сообщений: 7 ] |
|
Avaya IP Phone через site-to-site VPN на ASA
Автор |
Сообщение |
921
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 9
|
Есть схемка сети, Avaya/PC/Phone - asa 5510 - интернет - asa 5505 - PC/Phone Налажен site-to-site VPN между асами. Все работает, все пашет, кроме одного. При звонке из одного офиса в другой, ровно через 2 минуты пропадает голос. В трубках тишина. Такое ощущение rtp поток рубится. Телефоны не обрываются. У авайи протокол 323 по всей видимости. На асе трафик между офисами заворачивается в ВПН простой одной строчкой в ACL - весь IP от офиса к офису. Таймауты вроде в норме.
Версия софта на обоих 8.2(4).
В чем может быть проблема? Может MTU MSS каким то образом?
Конфиг одной из Ас, на второй все зеркально.
interface Ethernet0/0 description -= Internet =- switchport access vlan 10 ! interface Ethernet0/1 description -= LAN =- ! interface Vlan1 nameif Inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan10 nameif Outside security-level 0 ip address 1.1.1.1 255.255.255.252 ! access-list ACCESSINTERNET extended permit ip 192.168.1.0 255.255.255.0 any access-list OUTSIDEIN extended permit ip host 2.1.1.1 any access-list OUTSIDEIN extended permit icmp any any access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 access-list new extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 mtu Inside 1500 mtu Outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat-control global (Outside) 1 interface nat (Inside) 0 access-list NONAT nat (Inside) 1 access-list ACCESSINTERNET access-group OUTSIDEIN in interface Outside route Outside 0.0.0.0 0.0.0.0 1.1.1.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:10:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:10:00 sip-invite 0:03:00 sip-disconnect 0:10:00 timeout sip-provisional-media 0:10:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map outside_map 30 match address new crypto map outside_map 30 set peer 2.1.1.1 crypto map outside_map 30 set transform-set ESP-AES-256-SHA crypto map outside_map interface Outside crypto isakmp identity address crypto isakmp enable Outside crypto isakmp policy 10 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5
threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ssl encryption des-sha1 webvpn
tunnel-group 2.1.1.1 type ipsec-l2l tunnel-group 2.1.1.1 ipsec-attributes pre-shared-key KEY ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect http ! service-policy global_policy global
|
18 янв 2011, 19:08 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
У тебя точно 5510? Откуда интерфейс vlan? На 5510 сабинтерфейсы создаются и непосредственно в них прописываются vlan.
|
19 янв 2011, 09:09 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Это очевидно конфиг 5505 - он же написал, что "одной из ASA"
Может поковырять настройки inspect rtsp - посмотреть какие там тайм-ауты по умолчанию.
|
19 янв 2011, 09:24 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
Так таймауты вроде тут? timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:10:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:10:00 sip-invite 0:03:00 sip-disconnect 0:10:00 timeout sip-provisional-media 0:10:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00
|
19 янв 2011, 09:41 |
|
|
921
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 9
|
Да, это 5505 конфиг. На 5510 зеркальный. Конфиг по сути базовый, ничего не накручивал. Изменил только таймауты udp и sip с 2 минут до 10. Не помогло как видите.
|
19 янв 2011, 12:03 |
|
|
921
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 9
|
Ну как и полагалось, оказался Баг софта 8.2.4. Поставил 8.3.2 все пашет. Баг возможно этот http://tools.cisco.com/squish/d6c74, но написано что он пофиксен в 8.2.4... Тему можно переносить в решенные. Всем спасибо.
|
19 янв 2011, 17:32 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Я обычно рекомендую исключать трафик туннельный из инспектирования h323
Незачем оно в туннеле, из которого трафик весь пропускается.
Спасибо за ссылку на баг-фикс
|
19 янв 2011, 18:39 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 7 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|