内网如何检查链路,话机SIP注册不上
- 0关注
- 0收藏,1012浏览
问题描述:
A——B——C(服务侧),
我所在的A需要访问C的客服系统,是内网环境,然后A的私网地址通过NAT转成192.168段地址,再由B配合把192.168的地址转成B测的10网段内网地址,再访问C的系统。
现在按照前期C方的要求,把我们的电脑和电话都转成了B的10网段地址,然后C给开通防火墙,B也给C开通了允许C访问B的防火墙权限。
连接方式:工位网口——电话机——电脑,内网电脑能上网,话机注册不上
然后我在A的办公电脑上可以tracert到C的服务器,也可以telnet到服务器端口。
但是我们的IP电话,SIP一直注册不上。
C说ping不通我们话机对应的B那边提供的10的地址。B说他们的防火墙禁PING。
有没有大佬能指点一下现在怎么排查或者解决问题
- 2025-04-09提问
- 举报
-
(0)
最佳答案
关键排查点:
1. SIP协议检测配置
在B侧防火墙检查ASPF策略是否启用SIP协议检测:
display securitypolicy aspf
若未启用SIP检测,需在安全策略中补充:
aspf policy 1
detect sip
2. NAT配置验证
检查B设备静态NAT规则,确认话机地址到10网段的映射是否包含SIP端口(5060/5061):
display nat static
3. 安全策略放行
在B侧防火墙检查是否存在放行SIP流量的安全策略:
display securitypolicy rule
需确保策略同时放行双向通信(SIP信令+媒体流端口)
4. 会话状态检查
在B设备查看SIP会话建立情况:
display session table sip
5. 调试日志分析
在B设备开启报文调试:
debugging securitypolicy packet ip 3000
检查是否有SIP报文被deny的记录
6. NAT Hairpin验证
若存在地址回流需求,确认已启用:
display nat hairpin
补充建议:
要求C方在防火墙上临时开启ICMP用于连通性测试
验证话机与B设备之间的ARP表项是否正确
检查话机NAT穿透参数配置(建议开启SIP ALG)
请优先排查ASPF策略和会话表状态,SIP协议需要特殊检测机制才能通过状态检测防火墙。
- 2025-04-09回答
- 评论(6)
- 举报
-
(0)
做了
您发的映射SIP协议的简单理解打不开,
***.***/op/view.aspx?src=https://zhiliao.h3c.com/EnclosureTechDoc/ziliao/17005322105784.pptx
nat alg sip是在我的防火墙上直接敲吗?老师这个命令是做什么的
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
答案,点击下载 下载看下吧