软实力成就硬价值

------H3C服务案例展播1某政府机关视讯会议异常中断的问题定位

前言：视讯会议系统作为一种IP应用，其使用效果不可避免的会受到网络条件的限制，实际应用中，有很多视讯应用问题产生的根源并不是视讯本身，而是由网络的配置或管理不当引起的。以下以一实例进行说明。

为了提供更加灵活、便捷的业务沟通模式，某政府机关初期已经构建了H3C的视讯会议系统，用于驻外机构与某政府机关的沟通交流。随着事务的不断增多、业务的不断丰富，以及其IP网络的日趋成熟，某政府机关计划采用H3C视讯产品扩展现有视讯会议系统，增加其他驻外机构做为视讯会议节点。

一、组网拓扑

某政府机关和各驻外机构均部署了VPN网关和防火墙，广域网采用“GRE + IPSec”VPN链路连接。视讯系统的MCU（Multiple Control Unit，多点控制单元）和视讯会议系统管理控制台部署在某政府机关，多台视讯会议终端MG6060分别部署在某政府机关和其他驻外机构，视讯会议系统采用H.323协议。

二、问题描述

经过简单的配置调试，采用ME5000能够正常召开视讯会议，但是会议开始之后大约5分钟左右，驻外机构的会议终端会自动离会，必须采用会议系统的“自动离线重呼”功能或者手工重新召集终端，终端才能重新入会。

1.    我们采用MG6060终端点到点呼叫的方式，避开MCU设备，某政府机关和驻外机构之间直接建立点到点的视讯连接，一开始音视频流交互正常，但是同样的，视讯交互进行到5分钟左右时，某政府机关和驻外机构之间的连接会自动中断，可以证明非ME5000召集会议的问题；

2.    某政府机关有两台MG6060，避开广域网VPN链路，直接在局域网进行了测试，两台MG6060之间建立点到点的视讯连接，一切正常，没有出现中断问题。

三、问题定位及解决方案

1.   故障分析

从问题故障不难看出，会议是可以正常召集的，但是在会议过程中会异常中断，也就是说会议建立阶段的H.323报文交互是没有任何问题的，同时H3C终端本身具备智能诊断系统，如果有码流中断的话，MG6060会自动弹出对话框提示“没有接收到对方码流”，而现场故障发生时，并没有类似对话框，所以也可以排除是由于码流中断而导致连接异常中断。至此，基本可以确认问题故障和广域网VPN链路有关，而且可能是由于VPN链路导致TCP连接异常或者重置。由于驻外机构定位比较困难，所以只能在某政府机关侧抓取MG终端的IP报文进行分析。

2.   报文分析

 基于上述分析，将报文按照“H225 or H245 or IP”的方式进行了过滤，具体情况如下图所示：

其中10.10.134.130为驻外机构MG6060视讯终端IP地址，192.168.185.10为某政府机关MG6060视讯终端IP地址，报文省略了呼叫建立阶段和RTP流交互过程，可以看出来，在整个视讯交互的过程中，终端之间会每隔15s相互发送H.245的RoundTrip报文请求对方响应（参考“50386”和“53350”报文），此报文主要是用于终端之间的H.245连接“保活”，便于终端与终端之间、终端与MCU之间进行信令控制和H.245报文交互。

查看第“53351”个报文，发现驻外机构MG6060视讯终端在会议召开了大约261s之后发送了TCP RST报文，重置了TCP连接，导致某政府机关MG6060视讯终端认为TCP连接异常，并发送了ReleaseComplete报文，中断了视讯连接。

由于TCP RST报文是驻外机构的MG6060发送的，但是驻外机构没有技术工程师深入配合，所以只能通过经验来判断，客户采用的是“GRE + IPSec”VPN方式，驻外机构采用的是动态广域网地址，IPSec连接模式为“野蛮”模式，在这种情况之下，部分VPN网关会针对TCP连接和UDP连接的存活时间进行控制。

3.   问题定位及解决

经过某政府机关联系VPN网关的厂商工程师确认，在IPSec VPN设置中确实存在TCP连接控制的配置，VPN网关会监听广域网VPN链路上TCP连接传输的数据量，在规定时间内如果TCP连接的数据量低于网关设定的阀值，那么网关就会重置TCP连接，要求重新进行密钥协商。由于MG视讯终端建立连接之后，仅采用H.245通道传输RoundTrip报文进行“保活”，5分钟左右内统计的TCP传输数据量低于VPN网关设定的阀值，所以网关对H.245 TCP连接进行重置，从而导致了视讯连接的异常中断。

最终VPN网关的厂商工程师修改了TCP连接的监控设置之后，问题彻底解决。

四、总结

某政府机关此次视讯会议系统扩容意义重大，一方面驻外机构视讯会议系统节点是某政府机关的核心部门，另外一方面由于业务沟通的迫切需要，某政府机关总部工程师及领导亲自携带设备前往驻外机构安装调试，务必要保证短期内能够投入正常使用。

H3C工程师在第一时间到达现场，迅速定位并且推定了问题解决，虽然最终确定为广域网VPN网关的设置问题，与H3C视讯会议系统无关，但是H3C工程师深入的视讯会议系统知识以及全面、扎实的网络基础得到了某政府机关客户的高度认可，同时也体现了H3C公司做为IToIP解决方案专家的真正价值，因为专业，所以才能提供让客户满意的产品和服务，保护客户投资，持续为客户创造最大价值。