Este artículo aborda problemas de calidad de llamadas y caídas aleatorias en llamadas SIP en dispositivos FortiGate. Entender y resolver estos problemas es crucial para garantizar una comunicación eficiente y sin interrupciones en entornos de VoIP. A lo largo de este documento, se ofrecerán métodos de diagnóstico y soluciones efectivas para abordar estos desafíos.
Índice
Descripción del problema
El problema es la calidad inconsistente de las llamadas y las interrupciones en las llamadas que ocurren en la plataforma FortiGate. Esto puede afectar la experiencia del usuario y la efectividad de la comunicación, especialmente en un entorno empresarial donde las llamadas SIP son predominantes.
Alcance
Este artículo se centra en la plataforma FortiGate y el sistema operativo FortiOS.
Diagnóstico paso a paso
Para investigar problemas de calidad de llamadas y caídas aleatorias, se comenzará por evaluar el estado del proxy de VoIP. Aunque los problemas indican que la configuración del proxy de VoIP es correcta, es fundamental revisar el estado y la configuración para identificar el origen del problema.
- Modo basado en el núcleo: FortiGate actúa como un asistente de sesión, ofreciendo NAT básico para SIP y RTP y abriendo pinholes.
-
Comandos de diagnóstico:
diagnose sys sip status– Verifica el estado del sistema SIP.diagnose sys sip dialog {clear | list}– Muestra la lista de diálogos SIP activos.diagnose sys sip mapping list– Lista las asociaciones NAT SIP.
- Modo basado en proxy: Este es el modo predeterminado de SIP ALG y ofrece características de seguridad adicionales para VoIP.
-
Comandos de diagnóstico:
diagnose sys sip-proxy calls {clear | list | idle | invite}– Mostrar las llamadas SIP en el modo proxy.diagnose sys sip-proxy stats {clear | list}– Estadísticas sobre el comportamiento del proxy SIP.diagnose sys sip-proxy filter <options>– Filtrar las llamadas SIP según opciones específicas.diagnose sys sip-proxy log-filter <options>– Filtrar los registros del proxy SIP.
Para más información sobre las diferentes características de SIP ALG, consulte el siguiente enlace: SIP ALG y asistente de sesión SIP.
A continuación, se recomienda realizar una captura de paquetes en las interfaces entrantes y salientes del firewall simultáneamente para investigar el tráfico SIP y RTP. Herramientas como Wireshark permiten visualizar el flujo de tráfico y reproducir las llamadas capturadas.
Para ejecutar una captura de paquetes en FortiOS a través de la GUI, navegue a Network -> Diagnostics -> Create new capture. Para realizar la captura desde la CLI:
diagnose sniffer packet <nombre de la interfaz> "host x.x.x.x and port 5060" 6 0 l<- Ejemplo de sniffer en una dirección IP y puerto 5060.
Para obtener instrucciones sobre cómo ejecutar un sniffer, consulte Consejo de solución de problemas: Usando el sniffer de paquetes integrado de FortiOS para capturar paquetes.
Si el problema es intermitente, es recomendable revisar el rendimiento del firewall. Verifique los registros de eventos del sistema en la página de Log & Report, así como el uso de Memoria y CPU en la página de Dashboard -> Status.
Para revisar el registro de fallos, utilice el siguiente comando CLI:
diagnose debug crashlog read
Solución recomendada
Uno de los escenarios más comunes para problemas de llamadas SIP intermitentes es el enrutamiento del tráfico SIP que cambia durante la llamada debido a un efecto de Balanceo de Carga de Coste Igual (ECMP), donde múltiples rutas tienen la misma distancia y prioridad hacia el destino.
Este problema se puede identificar fácilmente utilizando el comando sniffer o revisando los registros de Forward Traffic, donde la interfaz de destino para diferentes sesiones hacia el mismo servidor SIP cambia.
Para solucionar el problema de ECMP, es necesario priorizar el tráfico SIP mediante la modificación de la prioridad o distancia de las rutas estáticas configuradas. También se pueden utilizar reglas de policy-route para dictar una única interfaz de destino para este tráfico.
Otra posible causa de problemas es la configuración de SD-WAN, que se utiliza para gestionar el tráfico saliente según criterios como el estado de salud de las interfaces salientes. Si un miembro de SD-WAN que está manejando tráfico de llamadas SIP brecha el umbral de verificación de salud configurado, las reglas de SD-WAN pueden forzar el tráfico a salir por un diferente miembro, provocando pérdida de audio o caída de la llamada.
El enfoque principal debe ser identificar y resolver por qué se superó el umbral de verificación de salud. En algunos casos, ajustar el umbral de verificación de salud del rendimiento para que coincida con rendimiento real del enlace ISP puede ser una solución efectiva.
Comandos CLI utilizados
diagnose sys sip statusdiagnose sys sip dialog {clear | list}diagnose sys sip mapping listdiagnose sys sip-proxy calls {clear | list | idle | invite}diagnose sys sip-proxy stats {clear | list}diagnose sys sip-proxy filter <options>diagnose sys sip-proxy log-filter <options>diagnose sniffer packet <interface name> "host x.x.x.x and port 5060" 6 0 ldiagnose debug crashlog read
Buenas prácticas y recomendaciones
Es recomendable realizar revisiones periódicas de las configuraciones de SIP y mantener actualizados los registros del sistema para asegurar un rendimiento óptimo de la comunicación VoIP. Considerar la implementación de ajustes en las configuraciones de red en función del comportamiento del tráfico y el análisis de los registros también puede contribuir a prevenir estos problemas en el futuro.
Notas adicionales
Recuerde que cada entorno de red puede presentar particularidades que requieren un enfoque específico. Ajustes y protocolos diferentes pueden ser necesarios según las condiciones del tráfico y la infraestructura utilizada.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!