排查思路

1. 检查 ** 应用层网关（ALG）** 配置

• 登录 H3C 防火墙，进入系统视图，执行命令 display alg status，查看 H.323、SIP、RTP 等视频相关 ALG 是否启用。
• 若未启用，执行 alg 协议名 enable 启用（如 alg h323 enable、alg sip enable）。

2. 抓包分析视频流数据包

• 过滤规则：udp portrange 16384-32767（RTP 常用动态端口范围）。
• 观察逻辑：
  • 若Host1发送了 RTP 数据包，但防火墙未转发或Host2未收到，说明网络层存在阻塞。
  • 若Host1未发送 RTP 数据包，需排查视频应用本身（但音频正常，此可能性较低）。

3. 验证安全策略命中情况

• 执行命令 display security-policy hit-count，查看允许 any 的策略命中次数。
• 若命中次数为 0，说明流量匹配了其他策略或被隐含拒绝，需调整策略顺序或检查配置。

4. 检查NAT 会话与端口转换

• 执行命令 display nat session，过滤Host1（20.1.1.10）和Host2（30.1.1.10）的 IP，查看会话中源 / 目的端口是否正确转换。
• 若媒体流端口转换异常（如端口未映射或映射错误），需调整 NAT 规则，确保动态端口被正确转发。

5. 排查QoS 或带宽限制

• 执行命令 display qos policy，查看是否存在针对视频流量的限速规则。
• 若有，调整或删除该 QoS 策略，测试视频是否恢复。

您好，参考

1. 在 HOST1 和 HOST2 分别抓包（用 Wireshark），过滤视频协议（如 RTP），确认是否有视频报文发出，且目标端口是否正确。
2. 登录防火墙，查看 “NAT 会话” 和 “安全策略命中日志”，确认视频对应的端口是否被 NAT 映射、是否有报文命中安全策略（无命中则说明 NAT 未转发）。
3. 临时关闭防火墙的 “应用识别”“IPS” 等额外功能，仅保留双向 NAT 和安全策略，测试是否恢复（排除额外功能对视频报文的过滤）。
4. 若协议已知（如 SIP+RTP），手动在双向 NAT 中指定 “协议 + 端口段映射”（而非依赖 any），同时开启对应 ALG 功能。