forum.opennet.ru - "PIX и h323" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"PIX и h323"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"PIX и h323"
Сообщение от Дима (??) on 06-Окт-04, 13:32 (MSK)
Мужики, всем привет. Такая ситуация: Cisco AS5350 подключен к внутреннему интерфейсу PIX515, за внешним интерфейсом стоит Cisco 1760-V. При звонке со стороны 1760 к AS5350 все отлично. При звонке со стороны AS5350 на 1760 звонок проходит, но в трубке звонящего не слышны гудки. В дебагах PIX видны ошибки H225: Bad Protocol discriminator. Без PIX515 все работает на ура. Подскажите, пожалуйста, что это может быть? Дима.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

PIX и h323, local, 17:04 , 12-Окт-04, (1)
PIX и h323, ВОЛКА, 17:40 , 12-Окт-04, (2)
- PIX и h323, Дима, 18:32 , 12-Окт-04, (3)
  - PIX и h323, ВОЛКА, 19:04 , 12-Окт-04, (4)
    - PIX и h323, Дима, 22:43 , 12-Окт-04, (5)
      - PIX и h323, Cir, 05:03 , 13-Окт-04, (6)
        
        PIX и h323, Дима, 09:06 , 13-Окт-04, (7)
    - PIX и h323, Дима, 10:19 , 13-Окт-04, (8)
    - PIX и h323, Дима, 10:26 , 13-Окт-04, (9)
      - PIX и h323, ВОЛКА, 11:00 , 13-Окт-04, (10)
        
        PIX и h323, Дима, 11:30 , 13-Окт-04, (11)
        
        PIX и h323, ВОЛКА, 12:36 , 13-Окт-04, (12)
        PIX и h323, Cir, 04:00 , 14-Окт-04, (13)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "PIX и h323"

Сообщение от local (ok) on 12-Окт-04, 17:04  (MSK)

Конфиги посмотреть можно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "PIX и h323"

Сообщение от ВОЛКА on 12-Окт-04, 17:40  (MSK)

у вас не работает ip tcp path-mtu-discovery

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "PIX и h323"

Сообщение от Дима (??) on 12-Окт-04, 18:32  (MSK)

>у вас не работает ip tcp path-mtu-discovery
Мужики. Я вроде пока решил эту проблему так: написал no fixup protocol h323 1720, а прикрыл все access- листами - разрешил нужным мне хостам общаться по h323, а всем остальным запретил.
Кстати, где почитать про ip tcp path-mtu-discovery - с такой штукой я еще не сталкивался, так что буду благодарен за доп. инфу.
Большое спасибо.
Дима.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "PIX и h323"

Сообщение от ВОЛКА on 12-Окт-04, 19:04  (MSK)

на пиксе надо разрешить прохождение icmp
на шлюзах сказать ip tcp path-mtu-discovery

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "PIX и h323"

Сообщение от Дима (??) on 12-Окт-04, 22:43  (MSK)

>на пиксе надо разрешить прохождение icmp
>на шлюзах сказать ip tcp path-mtu-discovery

Спасибо. Завтра попробую.
Кстати читать про ip tcp path-mtu-discovery на www.cisco.com или еще где-то есть что-нибудь дельное?
Пока.
Дима.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "PIX и h323"

Сообщение от Cir on 13-Окт-04, 05:03  (MSK)

>Кстати читать про ip tcp path-mtu-discovery на www.cisco.com или еще где-то есть
>что-нибудь дельное?
>
>Пока.
>Дима.
Толковее, чем на циско.ком, нет описания.
В двух словах:
циско отправляет пакет, если мту на каком-либо порту по пути следования пакета меньше размера пакета, с этого порта назад идет ицмп с сообщением о фрагментировании/невозможности фрагментирования. На основании этого интерфейс с включеным discovery уменьшает мту (подбирает). И все-бы хорошо, но эта фича работает только когда пакеты исходят от самого интерфейса с дискавери. т.е. циска самаявляется источником пакетов.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "PIX и h323"

Сообщение от Дима (??) on 13-Окт-04, 09:06  (MSK)

>
>>Кстати читать про ip tcp path-mtu-discovery на www.cisco.com или еще где-то есть
>>что-нибудь дельное?
>>
>>Пока.
>>Дима.
>
>Толковее, чем на циско.ком, нет описания.
>В двух словах:
>циско отправляет пакет, если мту на каком-либо порту по пути следования пакета
>меньше размера пакета, с этого порта назад идет ицмп с сообщением
>о фрагментировании/невозможности фрагментирования. На основании этого интерфейс с включеным discovery уменьшает
>мту (подбирает). И все-бы хорошо, но эта фича работает только когда
>пакеты исходят от самого интерфейса с дискавери. т.е. циска самаявляется источником
>пакетов.
Погодите, а какое это имеет отношение к протоколу H323 и как это может помочь PIX'у правильно открывать нужные этому протоколу порты?
Дима.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "PIX и h323"

Сообщение от Дима (??) on 13-Окт-04, 10:19  (MSK)

>на пиксе надо разрешить прохождение icmp
>на шлюзах сказать ip tcp path-mtu-discovery

Действительно, поставил ip tcp path-mtu-discovery и гудки стали проходить. Что самое интересное, потом ставлю no ip tcp path-mtu-discovery, но гудки все равно проходят.
Если не трудно объясните почему так?
Заранее спасибо, Дима.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "PIX и h323"

Сообщение от Дима (??) on 13-Окт-04, 10:26  (MSK)

>на пиксе надо разрешить прохождение icmp
>на шлюзах сказать ip tcp path-mtu-discovery

Огромное спасибо. Действительно помогло. Перезагружаю шлюзы с no ip tcp path-mtu-discovery - гудки не проходят, ставлю ip tcp path-mtu-discovery - все отлично.
С огромной благодарностью.
Дима.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "PIX и h323"

Сообщение от ВОЛКА on 13-Окт-04, 11:00  (MSK)

setup - который посылает ваш шлюз не помещается ip пакет размером 576 байт...
поэтому шлюз его фрагментирует, а pix фрагментированный setup не понимает, и рубит соединение

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "PIX и h323"

Сообщение от Дима (??) on 13-Окт-04, 11:30  (MSK)

>setup - который посылает ваш шлюз не помещается ip пакет размером 576
>байт...
>поэтому шлюз его фрагментирует, а pix фрагментированный setup не понимает, и рубит
>соединение
Да, но ведь по умолчанию mtu=1500 байт, на пиксе стоит mtu inside 1500, mtu outside 1500. Pix и шлюзы воткнуты в каталист в разные VLAN'ы. То есть все расположено в непосредственной близости друг от друга, кроме Ethernat'a на пути ничего нет. Где происходит фрагментация все равно не понятно.
На самом деле по идее я должен был столкнуться с данной проблемой, позже при  появлении новых шлюзов, находящихся на большом удалении, где на пути были бы участки с меньшим mtu.
Буду очень благодарен за прояснение.
Дима.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "PIX и h323"

Сообщение от ВОЛКА on 13-Окт-04, 12:36  (MSK)

прочитайте про tcp mss

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "PIX и h323"

Сообщение от Cir on 14-Окт-04, 04:00  (MSK)

>>setup - который посылает ваш шлюз не помещается ip пакет размером 576
>>байт...
>>поэтому шлюз его фрагментирует, а pix фрагментированный setup не понимает, и рубит
>>соединение
>
>Да, но ведь по умолчанию mtu=1500 байт, на пиксе стоит mtu inside
>1500, mtu outside 1500. Pix и шлюзы воткнуты в каталист в
>разные VLAN'ы. То есть все расположено в непосредственной близости друг от
>друга, кроме Ethernat'a на пути ничего нет. Где происходит фрагментация все
>равно не понятно.
>На самом деле по идее я должен был столкнуться с данной проблемой,
>позже при  появлении новых шлюзов, находящихся на большом удалении, где
>на пути были бы участки с меньшим mtu.
>
>Буду очень благодарен за прояснение.
>Дима.
Сам себе отвечаешь :))
Разберись, что такое влан. Таггет и антаггет пакеты разного размера.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PIX и h323"
Сообщение от local (ok) on 12-Окт-04, 17:04 (MSK)
Конфиги посмотреть можно?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "PIX и h323"
Сообщение от ВОЛКА on 12-Окт-04, 17:40 (MSK)
у вас не работает ip tcp path-mtu-discovery
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "PIX и h323"
	Сообщение от Дима (??) on 12-Окт-04, 18:32 (MSK)
	>у вас не работает ip tcp path-mtu-discovery Мужики. Я вроде пока решил эту проблему так: написал no fixup protocol h323 1720, а прикрыл все access- листами - разрешил нужным мне хостам общаться по h323, а всем остальным запретил. Кстати, где почитать про ip tcp path-mtu-discovery - с такой штукой я еще не сталкивался, так что буду благодарен за доп. инфу. Большое спасибо. Дима.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "PIX и h323"
	Сообщение от ВОЛКА on 12-Окт-04, 19:04 (MSK)
	на пиксе надо разрешить прохождение icmp на шлюзах сказать ip tcp path-mtu-discovery
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "PIX и h323"
	Сообщение от Дима (??) on 12-Окт-04, 22:43 (MSK)
	>на пиксе надо разрешить прохождение icmp >на шлюзах сказать ip tcp path-mtu-discovery Спасибо. Завтра попробую. Кстати читать про ip tcp path-mtu-discovery на www.cisco.com или еще где-то есть что-нибудь дельное? Пока. Дима.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "PIX и h323"
	Сообщение от Cir on 13-Окт-04, 05:03 (MSK)
	>Кстати читать про ip tcp path-mtu-discovery на www.cisco.com или еще где-то есть >что-нибудь дельное? > >Пока. >Дима. Толковее, чем на циско.ком, нет описания. В двух словах: циско отправляет пакет, если мту на каком-либо порту по пути следования пакета меньше размера пакета, с этого порта назад идет ицмп с сообщением о фрагментировании/невозможности фрагментирования. На основании этого интерфейс с включеным discovery уменьшает мту (подбирает). И все-бы хорошо, но эта фича работает только когда пакеты исходят от самого интерфейса с дискавери. т.е. циска самаявляется источником пакетов.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "PIX и h323"
	Сообщение от Дима (??) on 13-Окт-04, 09:06 (MSK)
	> >>Кстати читать про ip tcp path-mtu-discovery на www.cisco.com или еще где-то есть >>что-нибудь дельное? >> >>Пока. >>Дима. > >Толковее, чем на циско.ком, нет описания. >В двух словах: >циско отправляет пакет, если мту на каком-либо порту по пути следования пакета >меньше размера пакета, с этого порта назад идет ицмп с сообщением >о фрагментировании/невозможности фрагментирования. На основании этого интерфейс с включеным discovery уменьшает >мту (подбирает). И все-бы хорошо, но эта фича работает только когда >пакеты исходят от самого интерфейса с дискавери. т.е. циска самаявляется источником >пакетов. Погодите, а какое это имеет отношение к протоколу H323 и как это может помочь PIX'у правильно открывать нужные этому протоколу порты? Дима.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "PIX и h323"
	Сообщение от Дима (??) on 13-Окт-04, 10:19 (MSK)
	>на пиксе надо разрешить прохождение icmp >на шлюзах сказать ip tcp path-mtu-discovery Действительно, поставил ip tcp path-mtu-discovery и гудки стали проходить. Что самое интересное, потом ставлю no ip tcp path-mtu-discovery, но гудки все равно проходят. Если не трудно объясните почему так? Заранее спасибо, Дима.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "PIX и h323"
	Сообщение от Дима (??) on 13-Окт-04, 10:26 (MSK)
	>на пиксе надо разрешить прохождение icmp >на шлюзах сказать ip tcp path-mtu-discovery Огромное спасибо. Действительно помогло. Перезагружаю шлюзы с no ip tcp path-mtu-discovery - гудки не проходят, ставлю ip tcp path-mtu-discovery - все отлично. С огромной благодарностью. Дима.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "PIX и h323"
	Сообщение от ВОЛКА on 13-Окт-04, 11:00 (MSK)
	setup - который посылает ваш шлюз не помещается ip пакет размером 576 байт... поэтому шлюз его фрагментирует, а pix фрагментированный setup не понимает, и рубит соединение
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "PIX и h323"
	Сообщение от Дима (??) on 13-Окт-04, 11:30 (MSK)
	>setup - который посылает ваш шлюз не помещается ip пакет размером 576 >байт... >поэтому шлюз его фрагментирует, а pix фрагментированный setup не понимает, и рубит >соединение Да, но ведь по умолчанию mtu=1500 байт, на пиксе стоит mtu inside 1500, mtu outside 1500. Pix и шлюзы воткнуты в каталист в разные VLAN'ы. То есть все расположено в непосредственной близости друг от друга, кроме Ethernat'a на пути ничего нет. Где происходит фрагментация все равно не понятно. На самом деле по идее я должен был столкнуться с данной проблемой, позже при появлении новых шлюзов, находящихся на большом удалении, где на пути были бы участки с меньшим mtu. Буду очень благодарен за прояснение. Дима.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "PIX и h323"
	Сообщение от ВОЛКА on 13-Окт-04, 12:36 (MSK)
	прочитайте про tcp mss
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "PIX и h323"
	Сообщение от Cir on 14-Окт-04, 04:00 (MSK)
	>>setup - который посылает ваш шлюз не помещается ip пакет размером 576 >>байт... >>поэтому шлюз его фрагментирует, а pix фрагментированный setup не понимает, и рубит >>соединение > >Да, но ведь по умолчанию mtu=1500 байт, на пиксе стоит mtu inside >1500, mtu outside 1500. Pix и шлюзы воткнуты в каталист в >разные VLAN'ы. То есть все расположено в непосредственной близости друг от >друга, кроме Ethernat'a на пути ничего нет. Где происходит фрагментация все >равно не понятно. >На самом деле по идее я должен был столкнуться с данной проблемой, >позже при появлении новых шлюзов, находящихся на большом удалении, где >на пути были бы участки с меньшим mtu. > >Буду очень благодарен за прояснение. >Дима. Сам себе отвечаешь :)) Разберись, что такое влан. Таггет и антаггет пакеты разного размера.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх