宝利通视频会议终端单向呼叫故障排查全过程

引言

老王是公司的技术总监，按理说搞了十几年IT，什么大风大浪没见过。可今天，他被一台宝利通视频终端给整不会了。

事情是这样的：公司为了和总部开会方便，特意花大价钱拉了一条专线。自从有了这条专线，老王再也不用担心开会卡成PPT了。

上午十点，老王心血来潮，想测试一下新买的宝利通Group 700终端。他拿起遥控器，输入总部的MCU IP地址，嘟……通了！总部那边秒接，画面丝滑，音质清澈。老王满意地点点头，不愧是专线，钱没白花。

总部秘书打电话过来：“王总，下午有个会，我用MCU邀请你们啊，注意接收。”

老王比了个OK的手势，盯着电视屏幕。果然，“来电显示”跳出来了。

老王按了下接听。

画面一闪……然后又回到了待机界面。

嗯？可能是手慢了，再来一次。

还是如此。邀请-接听-闪退。

老王懵了。这专线是咋回事？只准我出去，不准人家进来？

老王点上一根烟，开启了柯南模式。

第一回合：排除物理层

专线是通的，这点毋庸置疑。能主动呼叫成功，说明网络物理链路、IP地址都是对的。这就排除了网线松动、交换机死机这类低级错误。

第二回合：怀疑是终端“耍脾气”

老王重启了终端，甚至恢复出厂设置重新配了一遍。再试，涛声依旧——依然只能出，不能进。

第三回合：抓包看“潜规则”

老王搬出他的杀手锏——Wireshark抓包软件。他在交换机的镜像端口上开始抓取数据。

对比两次通信的数据，老王发现了端倪：

当分公司主动呼叫总部时，数据包里的“源端口”是固定的，且请求是“我出去”。

当总部呼叫分公司时，信令包顺利进来了，分公司也回应了“我在，请接续”。但在接下来的媒体协商环节，总部要求分公司的终端打开一个高端口（比如3230~3300之间某个随机端口）来接收视频流。

问题就出在这个“随机高端口”上

公司的防火墙策略做得比较严，为了安全，只开放了常用的信令端口（比如1720），而那些动态协商出来的音视频端口，在入站方向是全部关闭的！这就好比总部的人递过来一根水管（视频流），说“接上这个口（高端口）”，但老王这边把那个口用水泥给糊死了，水（视频）根本流不进来。

真相大白：

这就是典型的“信令通，媒体不通”。因为分公司主动呼叫时，防火墙能识别这是“内部发起的会话”，自动临时开放相关端口；而当总部呼叫进来时，防火墙觉得这些高端口是“外部未知的入侵”，直接拒之门外。

老王赶紧登录防火墙，加了一条策略：针对总部MCU的IP地址，放开所需的音视频动态端口范围，并且开启了 “会话双向性检查” 的豁免规则。

保存配置，再试一次。

总部邀请发出，老王按接听，画面弹出，总部秘书的大脸清晰地出现在屏幕上。

老王吸了口烟，缓缓吐出，深藏功与名。

专线虽好，别忘了给“回家”的路也留一扇门。