Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Erleben von One Way Audio beim Herstellen einer Verbindung über... - Knowledge Base - Palo Alto Networks

Erleben von One Way Audio beim Herstellen einer Verbindung über SIP

84802
Created On 04/27/19 14:35 PM - Last Modified 03/26/21 17:40 PM


Symptom


Einmaliges Audio beim Herstellen einer Verbindung über SIP (Session Initiation Protocol).

Environment


PAN-OS

Cause


SIP (Session Initiation Protocol) ermöglicht es zwei Endpunkten, Mediensitzungen miteinander einzurichten. Dies ist ein Signalisierungsprotokoll auf Anwendungsebene.

Die wichtigsten Signalfunktionen des Protokolls sind wie folgt:
– Position eines Endpunkts.
– Kontaktaufnahme mit einem Endpunkt, um die Bereitschaft zur Einrichtung einer Sitzung zu bestimmen.
– Austausch von Medieninformationen, damit eine Sitzung eingerichtet werden kann.
– Änderung bestehender Mediensitzungen.
– Teardown vorhandener Mediensitzungen.

Ein SIP bei jedem Hop wird als Call-Bein bezeichnet. 



Das SIP Telefon ist beim internen Server ( , ) registriert und erhält die gesamte Konfiguration im Zusammenhang mit CUCM der CME Durchwahlnummer, die Codecs unterstützt wird. Jeder Standort verfügt über eine T1- und E1-Verbindung ISDN des SIP Anbieters, der eine Verbindung zum öffentlichen Telefonienetz herstellen kann. Das übliche Setup sieht wie folgt aus:

Phone user1===>(Registered)=== CUCM > CUBE ===> > ===>(Palo Alto Networks Firewall )=== > ISP SBCs ===>Dst VOIP Gateway === > Server VOIP ===>user2

Der Aufruf initiiert den Anruf über eine INVITE Nachricht, und der Proxy-Server ist dafür verantwortlich, eine Verbindung im Auftrag des Anrufers (Benutzer1) zu initiieren.

Hier ist der SIP Anruffluss:



INVITENachricht: INVITE Nachrichten werden vom Aufrufer generiert, der an den Server gesendet wird.  Der Proxyserver ist für das Initiieren einer Verbindung verantwortlich. Der INVITE Header enthält die Informationen des Anrufers und der aufrufenden Partei, einschließlich der eindeutigen Anruf-IDs. Hier sind zwei neue Terminologien zur Klärung: Early Handoff und Delayed Handoff.

Frühe Übergabe: In der obigen Abbildung können Sie die INVITE Nachricht ohne SDP (Session Description Protocol) Nutzlast sehen. Die häufigste Einrichtung besteht darin, eine SDP Nutzlast mit der Nachricht zu INVITE initiieren. Wenn die Nutzlast in der Nachricht angezeigt wird, wird dies SDP INVITE als "Frühe Übergabe" betrachtet.

Der SDP enthält die Informationen des Medientyps und des Mediums, die zwischen den beiden Endpunkten verwendet werden. Die SDP enthält auch die Informationen der IP Medienadresse, RTP Portnummer, Codec-Typ ( G .711, G .729 ) Informationen und viele mehr.

Verzögerte Übergabe: Wenn die Nutzlast in der Nachricht nicht angezeigt wird, handelt es sich bei diesem Setup um SDP INVITE eine verzögerte Übergabe. Dann muss die angerufene Partei zunächst ihre eigenen Medieninformationen senden, damit der Anrufer verhandeln kann.

Ein Beispiel für eine INVITE Nachricht mit SDP Nutzlast ist unten:

INVITE sip:calling_to@10.101.5.120 SIP /2.0
Von: "Called_id" <sip:Caller@10.101.6.120>; tag =35b8d8a74ca0f4e34e0adfa7_F10.101.6.120
Bis: sip:Calling_to@10.101.5.120
Anruf- ID : f_169eac17a017b0a4e0adfa8_I@10.101.6.120
CSeq: 15 INVITE
Via: SIP /2.0/ UDP 1 0.101.6.120;branch=z9hG4bKf_169eac12baa17054e0adfb3_I
Content-Länge: 306
Max-Forwards: 70
Kontakt: sip:Caller@10.101.6.120;transport=udp
Inhalt-Typ: Anwendung/sdp
User-Agent: Avaya SIP Softphone
Unterstützt: ersetzt

SDP:

v=0
o=sip:caller@10.101.6.120 1 16 IN IP4 10.101.6.120
s=sip:caller@10.101.6.120
c= IN IP4 10.101.6.120
t=0 0
m=audio 5000 RTP / 0 8 AVP 18 4 120
a=rtpmap:0 PCMU /8000/1
a=rtpmap:8 PCMA /8000/1
a=rtpmap:18 G729/8000/1
a=fmtp:18 annexb=no
a=rtpmap:4 G723/8000/1
a=rtpmap:120 telefon-event /8000/1

SDP Nutzlast:

c= IN IP4 10.101.6.120 ===> IP Adresse, die von der aufrufenden Partei für den Austausch der Audiopakete
m=audio 5000 / 0 8 18 4 120 ====== > Portnummer verwendet werden soll, RTP die von der AVP RTP aufrufenden Partei verwendet werden soll.

SIP ALG:
ALG steht für Application Layer Gateway, die für das Layer 7-Paket zuständig ist NAT (Einladen und SDP )</sip:Caller@10.101.6.120> Palo Alto Networks Firewalls sind in der Lage, ALG die SIP Pakete auszuführen, und Sie müssen keine zusätzliche Konfiguration durchführen, um diese Funktion zu aktivieren. Sobald der firewall den Datenverkehr als SIP Anwendung identifiziert, ruft er den Decoder auf ALG und führt eine Ebene 7 NAT aus. Firewalls wie Palo Alto Networks Firewalls nehmen die Medieninformationen auf und öffnen ein Loch oder eine "Vorhersagesitzung", um die Medienpakete zuzulassen.


Resolution


ISSUE:
Ein Problem kann auftreten, wenn Sie diese Funktion auf der deaktivieren, indem Sie firewall in die ( Objekte > Anwendung > > ) gehen und eine firewall SIP ALG Anwendungsüberschreibung für den SIP Datenverkehr konfigurieren. Nachdem die App überschrieben wurde, firewall verliert die Layer 7-Sichtbarkeit und kann Layer 7 nicht NAT ausführen.

Warum ist es wichtig zu ALG aktivieren?
Jedem Telefon wird eine RFC private Adresse von 1918 IP zugewiesen. Wenn das Telefon die Paketmedienadresse initiiert, handelt es sich auch um SDP RTP eine private IP IP Adresse. Wenn das Telefon kein bekanntes Gerät ist NAT oder kein leistungsfähiges Gerät im Netzwerk vorhanden ALG ist, hat das Layer-7-Paket die private IP Adresse, wenn es das Zieltelefon erreicht. Nach all der Signalisierung und sie versuchen, die tatsächlichen RTP /Audio-Pakete zu senden, wird das Ziel es an eine private Adresse senden, IP die es im Paket empfangen hat und keine SDP weitergeleitete Adresse im öffentlichen Internet IP ist. Das ist der Hauptgrund, warum wir eine Einweg-Audio in den VOIP Anrufen haben.

Wo brauchen Sie nicht ALG ?
Wenn es sich bei Ihrem Telefon um ein NAT aufmerksames Telefon handelt oder Sie ein anderes Gerät in der Mitte haben, das ALG ein aktiviertes Gerät ist. Dies kann auch angezeigt werden, wenn Sie im Netzwerk und ALG die firewall tut ALG auch, was bewirkt, dass die Pakete eine doppelte . NAT Dies könnte einige Probleme wie Verzögerung und fallen gelassen Anrufe unter anderem Probleme verursachen.


Additional Information


Um zu sehen, ob der firewall dies ALG tut, können Sie zu Object > Application > SIP > ALG gehen.
Es sollte so eingestellt werden, dass "Ja"

aktiviert wird. Nehmen Sie Paketerfassungen zwischen dem Telefon und dem ISP SBC (Session Boarder Controller) auf. Denken Sie immer daran, die Filter wie folgt zu setzen:
NOTE: Kunden sollten über die IP Adresse der von der zur Verfügung SBC gestellten hinweise ISP wissen. Es sollte eine Sicherheit policy geben, die die Kommunikation mit diesen beiden Adressen ermöglichen IP sollte.

Index 1:
Src IP – Calling phones address IP
Dst – ip address provided IP by the ( in der regel ist es 2 different address for the SBC ISP IP failover/load sharing )

Index 2:
Vice Versa

Index 3:
src IP : Calling phones address IP
Dst : IP 0.0.0.0

Index 4:
Src IP : 0.0.0.0
Dst : Calling phone ip IP address.

Nach der Einnahme der PCAPs, müssen Sie die Sendestufe PCAPs überprüfen, die alle / gehört in die Adresse geändert haben SIP SDP IP NAT IP sollte. Es ist auch wichtig, den Namen des Anrufers, den Namen des Empfängers und die Durchwahlnummer zu nehmen, um den SIP Header in den PCAPs zu überprüfen.

Im Folgenden finden Sie einen Befehl, den Sie ausführen können, um zu überprüfen, ob der firewall . ALG

> appinfo2ip anzeigen

Im Falle eines Problems mit dem Anruf-Drop, One-Way-Audio, müssen Sie Flow Basic, Appid Basic, ctd Basic und PCAPs mindestens sammeln.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLooCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language