内网PC通过ER8300路由器无法看到远程监控服务器监控图像的问题分析

内网PC通过ER8300路由器无法看到远程监控服务器监控图像的问题分析

一、   组网：

某客户使用ER8300路由器作为出口路由，局域网内的客户端PC通过ER8300上网，如图1所示。

图1 组网示意图

二、   问题描述：

客户有一台监控服务器位于公网，通过ER8300路由器下接的PC可以正常登录到这台监控服务器的平台，但是登录平台后却看不到远端的监控图像。

若宽带直连PC不经过路由器，能正常显示图像，将ER8300替换成ICG2000也能正常看到图像。

三、   过程分析：

客户反馈当前路由器的软件版本已是最新版本并且没有做任何防火墙限制，也建议客户尝试将设备恢复出厂设置并且将相关防护功能取消，同时将ALG功能也取消均无效果，仍然看不到远端的图像。此时，我们建议客户尝试开启DMZ功能，但是结果仍然一样。

最后，我们建议通过抓包来分析ER8300对这一块处理的情况。

通过分析报文发现，局域网内的PC登录到远程监控服务器后，在SIP报文交互过程中，PC与远程监控服务器会协商出一个全新的端口用于进行视频流的传输，并且视频流的传输是由WAN侧主动发起的，由于ER8300在SIP ALG处理上存在问题，导致这个端口并没有被打开，ER8300作为NAT设备存在，对于WAN侧主动发起且未知端口的报文缺省动作是做丢弃处理，从而导致视频流不通。

四、   解决方法：

升级软件版本到ER8300V100R007。