已解决: Polycom连接ASA和外部公网直接建立视频会议

wangbin006599 · ‎01-23-2015

希望和大家一起讨论讨论一下Polycom通过ASA无法和外网进行正常的视频通讯。
拓扑如下：
PC（Polycom）————(inside)ASA（outside）————ISP（路由器1841）————PC（模拟公网IP）
10.1.1.2 10.1.1.1 202.100.1.1 202.100.1.2 100.1.1.1 100.1.1.2
PC直接网关指向ASA，然后我看了Polycom上面我看了H323和tcp，udp的3230和3250端口。
我ASA配置：
int e0/0
nameif inside
ip add 100.1.1.1 255.255.255.0
no shut
int e0/1
nameif outside
ip add 202.100.1.1 255.255.255.0
no shut
route outside 0 0 202.100.1.2
object network Polycom
host 10.1.1.2
nat (inside,outside) static 202.100.1.10
access-list out per ip any any
access-group out in interface outside
这是我最初配置，公网PC是可以ping通我202.100.1.10，但是我开启视频之后只看到自己这边的图像。我上网研究了一下，原因是我ASA没有放H.323的端口，所有我又在下面添加：
access-list out extended permit ip any any
access-list out extended permit udp any any
access-list out extended permit tcp any any
access-list out extended permit tcp host 10.1.1.2 eq h323 host 202.100.1.10 eq h323
access-list out extended permit tcp host 10.1.1.2 eq 1503 host 202.100.1.10 eq 1503
access-list out extended permit tcp host 10.1.1.2 range 3230 3250 host 202.100.1.10 range 3230 3250
access-list out extended permit udp host 10.1.1.2 range 3230 3250 host 202.100.1.10 range 3230 3250
我比较笼统的放行，目的就是希望可以视频通讯，但是依然没有解决，并且我发现我的ACL根本没有撞针，这让我很困扰，并且视频也只能看到自己的画面。我的ASA是5520,的9.1（5）。
有做过这方面项目的朋友遇到这种情况吗？因为我的MCU希望是一个私网，真实情况是我希望希望我这个MCU既可以让我专线进行视频连接，同时不通过专线，也就是我外网可以访问我的MCU进行视频（因此我ASA做的是一对一映射）。
PS：我之前用过1841进行路由器进行一对一转换，后来我发现死活不行，然后换了一个2901（ios 15.4（2））也是一对一映射一点问题也没有。所以我怀疑路由器是要看iso进行通讯的。
这个我比较急希望有朋友知道这一块的可以帮我想想方法。谢谢！！！

qiuliu · ‎01-23-2015

看看是否可以开一个ASA防火墙的case，请TAC工程师来具体的查看一下吧，看起来可能需要收集一些ASA方面的信息来看看还有什么没放开，或者是什么协议需要打开。

在原帖中查看解决方案

qiuliu · ‎01-23-2015

看看是否可以开一个ASA防火墙的case，请TAC工程师来具体的查看一下吧，看起来可能需要收集一些ASA方面的信息来看看还有什么没放开，或者是什么协议需要打开。

wangbin006599 · ‎01-25-2015

qiuliu 发表于 2015-1-26 11:15
看看是否可以开一个ASA防火墙的case，请TAC工程师来具体的查看一下吧，看起来可能需要收集一些ASA方面的信息 ...

case我已经开了，正在等待思科的恢复。

qiuliu · ‎01-26-2015

wangbin006599 发表于 2015-1-26 14:20
case我已经开了，正在等待思科的恢复。

把SR Number私信给我，我可以帮你推动推动~~

qiuliu · ‎01-26-2015

wangbin006599 发表于 2015-1-26 14:20
case我已经开了，正在等待思科的恢复。

另外我有个小建议啊，等这个问题解决了，可以直接将问题的结论啊写一个小案例贴在这个帖子下面，这样会让更多的人受益啊，你也成为愿意分享的技术大拿了:)

wangbin006599 · ‎01-27-2015

qiuliu 发表于 2015-1-27 10:33
把SR Number私信给我，我可以帮你推动推动~~

郁闷，跟cisco开的case直接就被solved，一点回复都没有。是被无视了吗？个人编号：01532615。另外，我今天尝试了5510，直接做nat一对一，什么都没修改，就可以正常视频，但是前几天我也这么做，死活都不行，这个问题让我感觉都醉了。。。但是我换到5525上面做这方面的测试却没有一点效果，关键我照着上面做一点都没有修改。这个让我感觉好奇怪啊。希望能和你研究讨论一下，我的qq号451662401。

wangbin006599 · ‎01-27-2015

qiuliu 发表于 2015-1-27 10:33
把SR Number私信给我，我可以帮你推动推动~~

我再一次发了一个case# 01533330。但愿思科可以提供技术支持吧！！！也希望和你探讨一下这方面。谢谢。

liyzhao · ‎01-27-2015

本帖最后由 liyzhao 于 2015-1-28 11:47 编辑

wangbin006599 发表于 2015-1-28 00:04
我再一次发了一个case# 01533330。但愿思科可以提供技术支持吧！！！也希望和你探讨一下这方面。谢谢。

TAC的case现在是63开头的你这case号是在哪儿开的case？
开case可以拨打400 810 8886
case开出来之后一定会有工程师联系你的

liyzhao · ‎01-27-2015

做了nat的话必须要打开inspect。把这个配上试试
policy-map global_policy
class inspection_default
inspect h323 h225
inspect h323 ras
如果已经配上了，那show service-policy看看counter

wangbin006599 · ‎01-27-2015

liyzhao 发表于 2015-1-28 11:50
做了nat的话必须要打开inspect。把这个配上试试
policy-map global_policy
class inspection_default

这个我查看过，都是凡是匹配H.323的都放行了，没有drop掉的。

wangbin006599 · ‎01-27-2015

今天在实际环境操作了，发现我清了进程之后，第一次连接上去等待会儿时间连接后，可以正常视频。然后我进行第二次视频，却发现没办法视频。验证之后，发现只要我再次清理了进程是可以视频的。这个很奇怪，还是没搞明白。acl我跟新如下：（核心）
access-list out extended permit icmp any any
access-list out extended permit udp any range 0 65535 host 10.1.1.2 range 0 65535
access-list out extended permit tcp any range 1 65535 host 10.1.1.2 range 1 65535
实在没有办法，外网运行的Polycom realpresence Desktop里面网络选项选择使用NAT—自动检测公网地址，这是在移动端做好的。视频是正常使用的，因此使用外网IP解决了视频测试。希望后面的大神在遇到这个问题的时候互相讨教一下。

13nash · ‎01-31-2015

这个问题最终怎么解决的呢。。

wangbin006599 · ‎02-01-2015

13nash 发表于 2015-1-31 21:06
这个问题最终怎么解决的呢。。

我让移动端网络选项选择使用NAT—自动检测公网地址这样就保证了视频正常使用。

Yanli Sun · ‎03-17-2015

您好，不知您的问题是否已经得到满意答复，如果是请您选择“已解决”，感谢您的支持~~~