排查视频会议通信故障

 

计算机网络是视频会议的基础，需要良好的网络质量、合理的网络设置，才能保证呼叫建立过程的顺利和语音、图像的正常传输。本文以笔者所在市级单位加入省级部门视频会议为例，讨论主叫端经2次NAT转换后，出现的问题及解决方案。

很多行业、部门都已经建立了纵向或横向的视频会议系统，也都或多或少地出现过各种各样的通信故障。

在基于H.323/MCU的硬件视频会议系统中，MCU和GK服务器一般直接使用公网地址，而视频终端一般放置在内网中，这就需要经过NAT转换才能与MCU正常通信。NAT穿越能力是视频会议系统的关键所在，而在经过2次NAT转换的情况下，NAT/防火墙穿越将变得困难，往往会出现很多意想不到的问题。

网络概况

省级部门建立省、地级市两级视频会议系统。

MCU为中兴ZXMVC8900，直接配置省级政务网地址29.37.25.2，GK服务器同样使用省级政务网地址29.37.25.3，市级视频终端采用型号为中兴ZXV10 T502，由于要多个会议室使用，且受网络布线限制，无法直接使用市级政务网IP，只能分配内网地址192.168.168.66,。这样一来，就不得不进行2次NAT转换。

第一次转换在Cisco路由器上进行，即将内网地址172.28.43.16.第二次转换由市信息中心的防火墙完成，即将172.28.43.16再转换为省级政务网地址29.37.25.18.因为市级政务网无法直接与省级政务网通信，需要进行NAT转换。

故障一：GK注册成功、呼叫成功，终端已加入会议，但终端显示远端图像为蓝屏。

1.故障分析

故障原因因为终端的视频能力与MCU不匹配，导致终端可以呼上MCU，但视频打不开，无法正常解码视频流，一直显示蓝屏，会议不会自动挂断，可以进行音频通话。

此现象并非终端硬件或软件故障，而是由于网络原因造成。视频流在传送中包头损坏并大量丢包，不能正常到达或终端接收的包是严重损坏的包，以至无法解码。

该故障根本原因是路由器或防火墙端口开放不足，因为视频会议需要动态使用大量的端口号，不固定，如TCP的80。30000,1000-4999，UDP的1719,1729,10000=20000端口，如果开放的端口范围较小，会造成数据包经过路由器、防火墙时被丢弃。我们可以同时在MCU端和视频终端所在网段中安装免费版网络连通性诊断软件“”“sokit-1.3-win32-chs”,一方作为服务器端，另一方作为客户端进行TCP和UDP端口测试，诊断所需端口是否已开放，

2.解决方法

在路由器、防火墙上为视频会议开放更大的端口范围。

故障二：会议过程中终端频繁掉线，每次入会几分钟几分钟就又自动掉线，但每次掉线后重新呼叫又可以顺利入会。

1.故障分析

每次呼叫建立正常，但频繁掉线，说明网络不稳定。从终端所处的网络中用DOS环境下ping ip-t-l5000(此处IP为MCU的IP地址，5000表示较长字节的数据包)命令测试，发现网络平均延时达数百ms，丢包率超过10%，达不到视频会议的网络要求。由于内网用户通过政务外网访问互联网，网络管理员未对BT下载、在线视频会议可用带宽不足，网络质量变差。

2.解决方法

在路由器上做ACL规则限制，过滤BT下载、在线视频等应用流量，可能的话购买一台上网行为管理设备，强化网络流量管控，给视频会议等重要业务留出足够的带宽。

故障三：当终端采用静态NAT映射时，GK注册正常，但呼叫MCU时显示远程正常挂断，呼叫始终无法建立。

1.故障分析

终端采用静态NAT映射，呼叫MCU，此时telnet路由器，用show ip nat translations命令查看NAT转换情况，发现只有3条转换条目，大量端口无法建立连接，原因不明。

2.解决方法

为终端单独划分一个VLAN,建立NAT转换池，池中只有一个IP，操作命令如下：ip nat pool shipinhuiyi_pool 172.28.43.16 172.28.43.16 netmask 255.255.255.0

ip nat inside source list 2 pool 

ahipinhuiyi_pool

!

access-list 2 permit 192.168.14.5

此时，终端使用动态NAT获取转换地址后的市级政务网IP地址172.28.43.16，即可经市信息中心防火墙进行第二次NAT转换后，与MCU进行正常通信，原因尚未可知。

经验总结

视频会议与VOIP网络电话原理相近，问题较多，目前均存在NAT/防火墙穿越等难题，国际上尚未有公认的很好的解决办法。国内厂商各有各的解决之道，但还不能彻底解决出现的所有问题。笔者通过亲身实践，摸索出几条经验，希望能供大家参考。