» Настройка Cisco оборудования

собсна VPN есть, через него все вполне работает..
Но есть у нас личности, которые такие способы наглухо отвергают и, увы, с такими личностями спорить абсолютно бесполезно..

cacao2 Ну, если эти личности - гендиректор или особы приближенные к нему, тогда ДНС с двумя вьюшками. Например, если внутренний адрес 10.0.0.5 смаплен на внешний 1.2.3.5 и все это должно отзываться на имя ресурс1.вашдомен.ру, то локальный пользователь, обращаясь к ресурс1.вашдомен.ру, получит адрес 10.0.0.5, а внешний - 1.2.3.5. Все будет нормально работать и изнутри, и извне, и никому ничего не надо будет перенастраивать. Ищи в Гугле Split DNS.

Имеется сетка в которой стоит станция АТС к этой станции подключается ИП телефон из филиальной сети, сети связаны GRE тунелем. Перестала работать двустороняя связь, из центральной точки слышно что говорят на удалённой но они нас неслышат, в чём может быть трабл?


Трейсы проходят нормально из офиса в филилал и из филиала в офис.

кто-нибудь ставил WCCP для редиректа трафика на сквид?подскажите как это сделать, хотя бы примерно

AMuHb
у меня такое было на билайне (канал точка точка, пакет стандарт чтоли), когда провайдер внезапно решил подрезать канал на предмет передачи VoIP
перезаключили договор на предмет предоставления расширенного пакета.
нам резали по qos 5
тобишь когда поменяли метку - заработало и на стандартном канале.
попробуйте пинговать с qos 5 удаленный филиал (c cisco команда ping и расширенные команды)

каким образом пингануть? ping ?

WORD Ping destination address or hostname
clns CLNS echo
ethernet Ethernet echo
ip IP echo
ipv6 IPv6 echo
mpls MPLS echo
srb srb echo
tag Tag encapsulated IP echo
<cr>

AMuHb


cisco1811-l1#ping
Protocol [ip]:
Target IP address: 192.168.3.252
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]: 5
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.252, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/19/24 ms
cisco1811-l1#

Protocol [ip]:
Target IP address: 172.16.0.20
Repeat count [5]: 100
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]: 5
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 172.16.0.20, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 36/42/108 ms

Проходит

zubastiy
У него, как я понимаю, циски туннелем связаны, т.ч. тут врят-ли провайдер может вмешаться.
AMuHb
Позвольте предположить что проблема все-же в маршрутизации.
Как вариант, если что-то меняли то откатиться на старый конфиг, предварительно сохранив текущий. Если заработает, то сравнить diff-ом их.
Один из вариантов - разные пути, в зависимости от источника и/или инициатора. Т.е. к ним идет по одному пути, к Вам - по другому. Ну и если есть в конфиге это: "ip verify unicast reverse-path" то получим 'обрезание' Это конечно если настроен бэкап канала до ЦО. Сравнивать надо пути трейсом, что-б одинаково были.
Далее, пинговать тогда все-же стоит попробовать с указанием внутреннего интерфейса, т.е. указывая 'Source address or interface'.

Трейсы пускал с обеих точек, идут одинаково, никаких левых хопов нет.

Откатываться по конфигам некуда, ничего особо не делалось.
Уже смотрел всё что можно, всё чисто. Все остальные сервисы работают нормально.

AMuHb А в центральном офисе тоже IP-телефоны?


Добавлено:
JamesBond1988
http://wiki.squid-cache.org/ConfigExamples/SquidAndWccp2#

Цитата:

Трейсы пускал с обеих точек, идут одинаково, никаких левых хопов нет.

А это с цисок или с рабочих станций ?
Если используются гейты, т.е. записи типа "h323-gateway voip bind srcaddr x.x.x.x"
то трейтисть/пинг на них, и с указанием их как source
ЗЫ Позвольте порекомендовать прежде все-же сделать бэкап. Если есть флэшка в циске, то на нее(copy run flash:lastconf.txt) Мне в подобной ситуации сильно выручило как-то. Потом выяснилось diff-ом что в маршруте маску неверно прописал, ошибся с одной цифрой. Причем всплыло после перезагрузки циски только!
ЗЫЗЫ Ну и не забываем что статика имеет свойство рекурсии ...

AMuHb
проблемы может быть 3
1. где-то ограничен трафик РТП (возможно диапазон портов РТП)
2. НАТ (я так понял в данном случае врядли)
3. происходит реинвайт и нет прямой маршрутизации между двумя VoIP устройствами

alespopov
шут его знает, у нас тоже тоннели были поверх канала, все равно пров резал.
была связка междуcisco call manager + kirk - какой то там пакет не проходил.
но при этом пинги с qos 5 не проходили.

AMuHb
в понедельник наш телефонист выйдет из отпуска, может он чего посоветует.

zubastiy
Однако ... Получает что провайдер залазил в GRE, анализировал, и блокировал!
Ну видимо сильно этого хотели раз пошли на такое ...
roma
Я вижу и еще 4-й - бага в IOS в одной из цисок.

Ну чем черт не шутит, может стоит попробовать перегрузить их для начала ?
Причем лучше именно выключить секунд на 10-ть.
Мне как-то помогло, когда подходящий IOS в мою 2811 подбирал
К слову сейчас остановился на 'Version 12.4(15)T12' как наиболее беглючной в моей конфигурации.

alespopov
если zubastiy имеет ввиду под qos 802.1p то оно передаётся в заголовке ethernet фрейма. и не надо копать вроде как. или там был тунель который езернет-фреймы заворачивал?

Цитата:

Я вижу и еще 4-й - бага в IOS в одной из цисок.

ну там не сказано на чём построен VoIP может вообще не на цисках.

AMuHb

Цитата:

из центральной точки слышно что говорят на удалённой но они нас неслышат,

я бы при таком раскладе прежде всего бы дебажил РТП на выходе из офиса на предмет "а есть ли оно ваще", а если есть то откуда идёт.

Цитата:

ну там не сказано на чём построен VoIP может вообще не на цисках.

Гм, ну тема-то:

Цитата:

Настройка Cisco оборудования

Ну и по 'cisco call manager' - это вроде как внешние сервера.

Цитата:

В качестве аппаратной платформы для программного обеспечения Cisco CallManager используются серверы Cisco Media Convergence Server (MCS), а также сертифицированные модели серверов других производителей (IBM, HP)

Т.ч. QoS видимо внутри них формировался, ну и соответственно был внутри GRE.
Хотя видимо более подробно zubastiy может сказать.

Инфа

стоит станция ATC AstraMatra всё VoIP у неё внутрях, она имеет ИП, на этот ИП прописаны телефоны в которых задаются настройки ИП станции и всё.

Транспортная среда через циски в центре 3845 удалённая 857 медлу ними GRE тунель маршрутизируется всё ок, принги проходят ровно запетливаний нет.


сейчас попробую ИОС поменять на 857 посмотреть на результат. Если что отпишу

вот тут вот
Цитата:

в центре 3845

призвонке надо смотреть какой РТП трафик идёт вон туда
Цитата:

удалённая 857

Залил c850-advsecurityk9-mz.124-15.T12.bin
не помогло, я их слышу, они меня нет.

про AstraMatra даже не слышал, на avaya такой глюк получался при неправильном использовании настройки "allow direct media patch" когда один девайс гнал голос через шлюз а другой напрямую

В моём случае шлюхов VoIP нет всё какбы напрямую %-)

На цисках в конфигах ничего под ИП телефонию не настраивалось.

AMuHb
я имел ввиду что один телефон может гнать голосовй трафик на второй через PBX а может напрямую.

AMuHb

Цитата:

allow direct media patch

речь идёт о том, что после установления соединения конечные VoIP телефоны начинают гнать голос (RTP трафик) не через атс, а пытаются это делать между собой (в SIP это называется реинвайт). поэтому и нужно точно установить где какой откуда и куда этот трафик (RTP) идёт. и если эта теория подтвердится то уже искать причину в VoIP оборудовании

AMuHb
А может дело в банальных размерах пакетов?
Попробуйте на обоих туннелях установить:
ip tcp adjust-mss 1400
ну или меньше. И если есть, убрать 'ip mtu'
А на интерфейса которые в локалки смотрят, по 1360 например.

ip tcp adjust-mss было не помогло

в данный момент ИП телефон 1 и общаться он может только с PBX и только через PBX

Цитата:

ip tcp adjust-mss было не помогло

Ну а если обратно поставить и shutdown/no shutdown на туннелях выполнить ?
Кстати я заметил что внесенные изменения в конфигурации, иногда, вступаю в силу не немедленно, а спустя пару минут.
По сути, раз звонок к ним приходит, то путь PBX->3845->Tun->Tun->857->IP и обратно нормальный, но если вместо PBX пакеты отправляет IPтелефон, в филиал, то уже пакеты не идут. Может дело в получаемых насройках от PBX ? В части дефолтного маршрута например. Т.е. IPтел. понимает как отправить пакеты до PBX, но не может отправить до IPтел в филиал. Что он получает, можно на нем посмотреть-то и проанализировать ?
Иправлено: ЦО->филиал
Добавлено
А команды 'tunnel path-mtu-discovery' на туннелях нет случаем ?
В некоторых случаех она может вести себя неадекватно

ИП телефон всего один с него звонят на обычные внутренние телефоны, поэтому ИП тел конектится только к PBX и не к кому больше. В самом телефоне прописаны настройки сети (ИП маска шлюз) и ИП PBX
буду пробовать снифером смотреть что и куда летит.

AMuHb
Дык если он один, то может просто сам телефон сломался?
Заменить не пробовали ?
Ну и я в предыдущем добавил еще предположение, но больше предположений нема пока.

Попробовали притащить его в офис и он в нашей локалке заработал как надо, только отвезли его обратно одностороняя связь.