AUF DIESER SEITE
Beispiel: Weitergabe des H.323 ALG-Datenverkehrs an einen Gatekeeper in der privaten Zone
Beispiel: H.323 ALG-Datenverkehr an einen Gatekeeper in der externen Zone übergeben
Beispiel: Verwendung von NAT mit dem H.323 ALG zur Aktivierung eingehender Anrufe
Beispiel: Verwendung von NAT mit dem H.323 ALG zum Aktivieren ausgehender Anrufe
Beispiel: Festlegen von H.323 ALG-Timeouts für die Endpunktregistrierung
Beispiel: H.323 ALG-Portbereiche für Medienquellen festlegen
H.323 ALG
Das Anwendungs-Layer-Gateway H.323 (ALG) besteht aus einer Reihe von Protokollen H.225.0 und H.245, um audiovisuelle Kommunikationssitzungen in jedem Netzwerk bereitzustellen. Das H.323 ALG stellt eine sichere Kommunikation zwischen Terminal-Hosts wie IP-Telefonen und Multimedia-Geräten bereit.
Understanding H.323 ALG
Der H.323-Standard ist ein von der International Telecommunication Union (ITU-T) definiertes Legacy-VoIP-Protokoll (Voice-over-IP). H.323 besteht aus einer Reihe von Protokollen (z. B. H.225.0 und H.245), die zur Anrufsignalisierung und Anrufsteuerung für VoIP verwendet werden.
H.323 verwendet das Codierungsformat ASN.1. Es richtet die dynamischen Verbindungen für Daten-, Video- und Audiostreams gemäß den Protokollen Q.931 (mit Portnummer 1720) und H.245 ein. H.323 hat drei Hauptprozesse:
Gatekeeper Discovery: Ein Endpunkt findet seinen Gatekeeper durch den Gatekeeper-Erkennungsprozess, über Broadcast oder Unicast zu einer bekannten IP und dem bekannten UDP-Port 1719. Beachten Sie, dass Junos OS nur Die Unicasterkennung unterstützt.
Endgeräteregistrierung, Zulassung und Status: Ein Endgerät registriert sich bei einem Gatekeeper und fragt nach dessen Verwaltung. Bevor ein Anruf durchgeführt wird, fordert ein Endgerät seinen Gatekeeper auf, die Berechtigung zum Platzieren des Anrufs zu erhalten. Sowohl in der Registrierungs- als auch in der Zulassungsphase wird der Kanal Registrierung, Zulassung und Status (RAS) verwendet. Der Transport Service Access Point (TSAP) kann entweder den bekannten UDP-Port (1719) oder einen dynamisch zugewiesenen Port aus der Erkennungs- oder Registrierungsphase sowie eine IP-Adresse nutzen.
Anrufsteuerung und Anrufeinrichtung: Anrufe können innerhalb einer Zone oder über zwei Zonen oder sogar über mehrere Zonen (Multipoint-Konferenz) eingerichtet werden. Die Anrufeinrichtung und -abnahme erfolgt über den Anrufsignalkanal, dessen TSAP der bekannte TCP-Port (1720) ist. Die Anrufsteuerung, einschließlich des Öffnens/Schließens von Medienkanälen zwischen zwei Endpunkten, wird über den Anrufkontrollkanal durchgeführt, dessen TSAP aus dem vorherigen Anrufsignalisierungsprozess dynamisch zugewiesen wird. H.245-Nachrichten werden im Anrufkontrollkanal verwendet und mit ASN.1 codiert.
Hinweis:Detaillierte Informationen zu H.323 finden Sie in der ITU-T-Empfehlung H.323.
Mit dem Application Layer Gateway H.323 (ALG) des Geräts können Sie die VoIP-Kommunikation zwischen Terminal-Hosts wie IP-Telefonen und Multimedia-Geräten sichern. In einem solchen Telefoniesystem verwaltet das Gatekeeper-Gerät die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Anrufe. Gatekeeper können sich in den beiden verschiedenen Zonen oder in derselben Zone befinden. (Siehe Abbildung 1.)
Die Illustration verwendet IP-Telefone für illustratative Zwecke, obwohl es möglich ist, Konfigurationen für andere Hosts zu machen, die VoIP verwenden, wie z. B. Microsoft NetMeeting Multimedia-Geräte.
Ab Junos OS Version 17.4R1 wird die Gateway-to-Gateway-Anruffunktion auf dem H.323 Application Layer Gateway (ALG) unterstützt. Diese Funktion führt eine One-to-Many-Zuordnung zwischen einer H.225-Steuerungssitzung und H.323-Anrufen ein, da mehrere H.323-Anrufe über eine einzige Steuerungssitzung laufen.
Das Application Layer Gateway (ALG) H.323 unterstützt ab Junos OS Version 17.4R1 NAT64-Regeln in einem IPv6-Netzwerk.
H.323 ALG-Konfigurationsübersicht
Das Anwendungs-Layer-Gateway H.323 (ALG) ist standardmäßig auf dem Gerät aktiviert– es ist keine Aktion erforderlich, um es zu aktivieren. Sie können jedoch die H.323-ALG-Vorgänge mithilfe der folgenden Anweisungen genau abstimmen:
Geben Sie an, wie lange ein Registrierungseintrag für Endgeräte in der Nat-Tabelle (Network Address Translation) verbleibt. Anweisungen finden Sie unter Beispiel: Festlegen von H.323 ALG Endpoint Registration Timeouts .
Ermöglichen Sie Mediendatenverkehr auf einer engen oder breiten Palette von Ports. Anweisungen finden Sie unter Beispiel: Festlegen von H.323 ALG Media Source Port Ranges.
Schützen Sie den H.323-Gatekeeper vor Denial-of-Service(DoS)-Flood-Angriffen. Anweisungen finden Sie unter Beispiel: Konfigurieren des H.323-ALG-DoS-Angriffsschutzes.
Aktivieren Sie unbekannte Nachrichten, die weitergeleitet werden, wenn sich die Sitzung im NAT-Modus und im Routenmodus befindet. Anweisungen finden Sie unter Beispiel: Zulassen unbekannter H.323 ALG-Nachrichtentypen.
Das Avaya H.323 ALG verstehen
Der H.323-Standard ist ein von der International Telecommunication Union (ITU-T) definiertes Legacy-VoIP-Protokoll (Voice-over-IP). H.323 besteht aus einer Reihe von Protokollen (z. B. H.225.0 und H.245), die zur Anrufsignalisierung und Anrufsteuerung für VoIP verwendet werden. Die Prozesse zur Konfiguration des H.323 Standard Application Layer Gateway (ALG) und des proprietären Avaya H.323 ALG sind die gleichen.
Avaya H.323 ALG hat jedoch einige besondere Funktionen. Um die hier aufgeführten Avaya H.323-spezifischen Funktionen zu verstehen und zu konfigurieren, finden Sie den Administratorleitfaden für Avaya Communication Manager, den Avaya IP Telephony Implementation Guide und den Avaya Application Solutions IP Telephony Deployment Guide unter http://support.avaya.com.
Dieses Thema enthält die folgenden Abschnitte:
Avaya H.323 ALG-spezifische Funktionen
Avaya H.323-spezifische Funktionen sind wie folgt:
H.323 Fast Connect
H.323 asymmetrische Medien
Anrufwartung
Anrufweiterleitung
Voicemail
Anrufidentifizierung
Telefonkonferenz
Call Flow-Details im Avaya H.323 ALG
Verbinden des Telefons mit dem Netzwerk: Avaya führt die Q.931-Einrichtungs-/Verbindungsverhandlung durch, wenn das Telefon in das Netzwerk verkabelt ist und nicht, wenn ein Anruf eingeleitet wird.
Anrufen: Wenn ein Anruf erfolgt, weil die PBX bereits die Funktionen für jedes Telefon gespeichert hat, wenn das Telefon mit dem Netzwerk verbunden ist, sind keine weiteren Verhandlungen zu Q.931 und PBX erforderlich, um den Anruf einzurichten. Es tauscht die Q.931-Einrichtung nicht mehr aus und verbindet Nachrichten mit der PBX. Das Telefon und die Telefonanlage tauschen H.323 Facility-Nachrichten aus, um den Anruf einzurichten.
Anmeldung bei einem CM: Wenn ein Anruf erfolgt ist, registriert sich Avaya H.323 beim Avaya Communication Manager (CM). Der Registrierungsprozess ähnelt einem generischen H.323-Standardregistrierungsprozess.
Hinweis:Der Direktmodus und der Tunnelmodus werden nicht durch Avaya H.323 ALG definiert.
Damit ein Anruf funktioniert, muss das CM mit Avaya Endpoints bereitgestellt werden. Während des Anrufs werden RAS- und Q.931-Nachrichten zwischen dem CM und den Avaya-Endpunkten ausgetauscht.
Hinweis:Für Avaya H.323 mit einem Source Network Address Translation (NAT)-Pool erlaubt der Registrierungsprozess nur eine IP-Adresse im Pool.
Einrichten von Real-Time Transport Protocol (RTP)-/Real-Time Control Protocol (RTCP)-Ports – Die Q.931-Einrichtung, Facility- und Informationsnachrichten werden zum Einrichten von RTP/RTCP-Ports verwendet. Die Hierarchie für eine Avaya H.323-Sitzung lautet Q.931, RTP/RTCP, Parent und dann Child.
Hinweis:H.245-Ports werden in einem Avaya-Anrufflussprozess nicht verwendet.
Verwendung von Avaya H.323-Zählern– Die Zähler für Anrufe und aktive Anrufe gelten nicht für die Avaya H.323 ALG. Das Erstellen und Abreißen des Anrufs erfolgt anschließend über Facility-Nachrichten. Wenn Die Ressourcen für einen Anruf zugewiesen werden, werden alle Zähler für Anrufe und die Erhöhung der aktiven Anrufe. Wenn Die Ressourcen für einen Anruf mehrmals zugewiesen werden, werden Nachrichten, die demselben Anruf angehören, der die Firewall mehrmals passiert, mehrere Erhöhungen der Leistungsindikatoren auslösen. Mit anderen Worten: Nachrichten, die zum selben Anruf gehören und die Firewall mehrmals passieren, können mehrere Erhöhungen der Zähler auslösen, wenn die Ressource für einen Anruf mehrmals zugewiesen werden muss.
Im Fall von zwei Zonen weist das Nachrichtenpaar setup and connect beispielsweise einer Anrufressource zu. Der aktive Anrufzähler wird einmal erhöht. Jedes Mal, wenn das Setup- und Connect-Nachrichtenpaar die Firewall passiert, wird eine andere Anrufressource mit eindeutigen Schnittstellen und NAT zugewiesen. Daher werden die Gegenschritte in einem Drei-Zonen-Szenario zweimal erhöht.
Beispiel: Weitergabe des H.323 ALG-Datenverkehrs an einen Gatekeeper in der privaten Zone
In diesem Beispiel wird gezeigt, wie zwei Richtlinien eingerichtet werden, mit denen H.323-Datenverkehr zwischen IP-Telefon-Hosts und einem Gatekeeper in der privaten Zone und einem IP-Telefonhost (2.2.2.5/32) in der öffentlichen Zone übertragen werden kann.
Anforderungen
Bevor Sie beginnen:
Verstehen und konfigurieren Sie alle Avaya H.323-spezifischen Funktionen. Siehe Administratorleitfaden für Avaya Communication Manager, Avaya IP Telephony Implementation Guide und Avaya Application Solutions IP Telephony Deployment Guide at http://support.avaya.com.
Konfigurieren Sie Sicherheitszonen. Erfahren Sie mehr über Sicherheitszonen.
Übersicht
In diesem Beispiel wird gezeigt, wie zwei Richtlinien eingerichtet werden, mit denen H.323-Datenverkehr zwischen IP-Telefon-Hosts und einem Gatekeeper in der privaten Zone und einem IP-Telefonhost (2.2.2.5/32) in der öffentlichen Zone übertragen werden kann. Die Verbindung zum Gerät kann entweder mit oder ohne NAT erfolgen. Siehe Abbildung 2.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32 set security policies from-zone private to-zone public policy P1 match source-address any set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone set security policies from-zone private to-zone public policy P1 match application junos-h323 set security policies from-zone private to-zone public policy P1 then permit set security policies from-zone public to-zone private policy P2 match source-address any set security policies from-zone public to-zone private policy P2 match destination-address gateway set security policies from-zone public to-zone private policy P2 match application junos-h323 set security policies from-zone public to-zone private policy P2 then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gerät, um den H.323 ALG-Datenverkehr an einen Gatekeeper in der privaten Zone weiterzuleiten:
Konfigurieren Sie zwei Adressbücher.
[edit] user@host# set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32
Konfigurieren Sie die Richtlinie P1 von der privaten zone zur öffentlichen Zone.
[edit] user@host# set security policies from-zone private to-zone public policy P1 match source-address any user@host# set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone user@host# set security policies from-zone private to-zone public policy P1 match application junos-h323 user@host# set security policies from-zone private to-zone public policy P1 then permit
Konfigurieren Sie die Richtlinie P2 von der öffentlichen bis zur privaten Zone.
[edit] user@host# set security policies from-zone public to-zone private policy P2 match source-address any user@host# set security policies from-zone public to-zone private policy P2 match destination-address gateway user@host# set security policies from-zone public to-zone private policy P2 match application junos-h323 user@host# set security policies from-zone public to-zone private policy P2 then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Zur Kürze enthält diese Show-Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Jede andere Konfiguration des Systems wurde durch Ellipsen ersetzt (...).
[edit]
user@host# show security policies
...
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
from-zone private to-zone public {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy P2 {
match {
source-address any;
destination-address gateway;
application junos-h323;
}
then {
permit;
}
}
}
...
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie diese Aufgabe aus:
Überprüfen von H.323-ALG-Konfigurationen
Zweck
Zeigen Sie Informationen zu aktiven Anrufen an.
H.323-Zähler für Anrufe und aktive Anrufe in der Ausgabe dieses show security Befehls gelten nicht für die proprietäre Avaya-Implementierung von H.323. Dies liegt daran, dass Q.931-Einrichtungs- und Verbindungsnachrichten direkt nach dem Einschalten des Telefons ausgetauscht werden und die Erstellung und abreißen von Anrufen durch Facility-Nachrichten erfolgt.
Zähler für Anrufe und aktive Anrufe werden erhöht, wenn die für Anrufe zugewiesenen Ressourcen erhöht werden– das heißt, Nachrichten, die zum selben Anruf gehören und die die Firewall passieren, erhöhen die Leistungsindikatoren um ein Vielfaches. Dies gilt, wenn Ressourcen für einen Anruf mehrmals zugewiesen werden müssen. In einem Zwei-Zonen-Szenario weist das Setup- und Connect-Nachrichtenpaar beispielsweise einer Anrufressource zu, und der aktive Anrufzähler wird um einen erhöht. In einem Drei-Zonen-Szenario führt das Setup- und Connect-Nachrichtenpaar jedoch zweimal an der Firewall vorbei, wobei jedes Mal unterschiedliche Anrufressourcen vergeben werden. In diesem Fall wird der Zähler inkrementiert.
Aktion
Wählen Sie Monitor>ALGs>H323über die J-Web-Schnittstelle . Alternativ geben Sie über die CLI den show security alg h323 counters Befehl ein.
Auch bei H.245-Tunneling sind die Leistungsindikatoren für empfangene H.245-Nachrichten nicht korrekt. Da H.245-Nachrichten in Q.931-Paketen eingekapselt sind, bleibt der Zähler für empfangene H.245-Nachrichten auch bei H.245-Nachrichten null. Der Other H245 Zähler spiegelt jedoch diese Paketübertragungen wider.
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
Beispiel: H.323 ALG-Datenverkehr an einen Gatekeeper in der externen Zone übergeben
Dieses Beispiel zeigt, wie Sie zwei Richtlinien einrichten, um H.323-Datenverkehr zwischen IP-Telefon-Hosts in der internen Zone und dem IP-Telefon mit der IP-Adresse 2.2.2.5/32 (und dem Gatekeeper) in der externen Zone zu ermöglichen.
Anforderungen
Bevor Sie beginnen:
Verstehen und konfigurieren Sie alle Avaya H.323-spezifischen Funktionen. Siehe Administratorleitfaden für Avaya Communication Manager, Avaya IP Telephony Implementation Guide und Avaya Application Solutions IP Telephony Deployment Guide at http://support.avaya.com.
Konfigurieren Sie Sicherheitszonen. Erfahren Sie mehr über Sicherheitszonen.
Übersicht
Da der Routenmodus keine Adresszuordnung jeglicher Art erfordert, ist eine Gerätekonfiguration für einen Gatekeeper in der externen oder öffentlichen Zone in der Regel identisch mit der Konfiguration für einen Gatekeeper in einer internen oder privaten Zone. Dieses Beispiel zeigt, wie Sie zwei Richtlinien einrichten, um H.323-Datenverkehr zwischen IP-Telefon-Hosts in der internen Zone und dem IP-Telefon mit der IP-Adresse 2.2.2.5/32 (und dem Gatekeeper) in der externen Zone zu ermöglichen. Das Gerät kann im Transparent- oder Routenmodus sein. Siehe Abbildung 3.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32 set security policies from-zone internal to-zone external policy P1 match source-address any set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone set security policies from-zone internal to-zone external policy P1 match application junos-h323 set security policies from-zone internal to-zone external policy P1 then permit set security policies from-zone internal to-zone external policy P2 match source-address any set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper set security policies from-zone internal to-zone external policy P2 match application junos-h323 set security policies from-zone internal to-zone external policy P2 then permit set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone set security policies from-zone external to-zone internal policy P3 match destination-address any set security policies from-zone external to-zone internal policy P3 match application junos-h323 set security policies from-zone external to-zone internal policy P3 then permit set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper set security policies from-zone external to-zone internal policy P4 match destination-address any set security policies from-zone external to-zone internal policy P4 match application junos-h323 set security policies from-zone external to-zone internal policy P4 then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gerät, um den H.323 ALG-Datenverkehr an einen Gatekeeper in der externen Zone weiterzuleiten:
Konfigurieren Sie zwei Adressbücher.
[edit] user@host# set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 user@host# set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32
Konfigurieren Sie die Richtlinie P1 von der internen zone zur externen Zone.
[edit] user@host# set security policies from-zone internal to-zone external policy P1 match source-address any user@host# set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone user@host# set security policies from-zone internal to-zone external policy P1 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P1 then permit
Konfigurieren Sie die Richtlinie P2, um den Datenverkehr zwischen der internen Zone und dem Gatekeeper in der externen Zone zu ermöglichen.
[edit] user@host# set security policies from-zone internal to-zone external policy P2 match source-address any user@host# set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper user@host# set security policies from-zone internal to-zone external policy P2 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P2 then permit
Konfigurieren Sie die Richtlinie P3, um den Datenverkehr zwischen Telefonen in der internen und der externen Zone zu ermöglichen.
[edit] user@host# set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone user@host# set security policies from-zone external to-zone internal policy P3 match destination-address any user@host# set security policies from-zone external to-zone internal policy P3 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P3 then permit
Konfigurieren Sie die Richtlinie P4, um den Datenverkehr zwischen Telefonen in der internen Zone und dem Gatekeeper in der externen Zone zu ermöglichen.
[edit] user@host# set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper user@host# set security policies from-zone external to-zone internal policy P4 match destination-address any user@host# set security policies from-zone external to-zone internal policy P4 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P4 then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Zur Kürze enthält diese Show-Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Jede andere Konfiguration des Systems wurde durch Ellipsen ersetzt (...).
[edit]
user@host# show security policies
...
from-zone internal to-zone external {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
policy P2 {
match {
source-address any;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone external to-zone internal {
policy P3 {
match {
source-address IP_Phone;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
policy P4 {
match {
source-address gatekeeper;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
}
...
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie diese Aufgabe aus:
Überprüfen von H.323-ALG-Konfigurationen
Zweck
Zeigen Sie Informationen zu aktiven Anrufen an.
H.323-Zähler für Anrufe und aktive Anrufe in der Ausgabe dieses show security Befehls gelten nicht für die proprietäre Avaya-Implementierung von H.323. Dies liegt daran, dass Q.931-Einrichtungs- und Verbindungsnachrichten direkt nach dem Einschalten des Telefons ausgetauscht werden und die Erstellung und abreißen von Anrufen durch Facility-Nachrichten erfolgt.
Zähler für Anrufe und aktive Anrufe werden erhöht, wenn die für Anrufe zugewiesenen Ressourcen erhöht werden– das heißt, Nachrichten, die zum selben Anruf gehören und die die Firewall passieren, erhöhen die Leistungsindikatoren um ein Vielfaches. Dies gilt, wenn Ressourcen für einen Anruf mehrmals zugewiesen werden müssen. In einem Zwei-Zonen-Szenario weist das Setup- und Connect-Nachrichtenpaar beispielsweise einer Anrufressource zu, und der aktive Anrufzähler wird um einen erhöht. In einem Drei-Zonen-Szenario führt das Setup- und Connect-Nachrichtenpaar jedoch zweimal an der Firewall vorbei, wobei jedes Mal unterschiedliche Anrufressourcen vergeben werden. In diesem Fall wird der Zähler inkrementiert.
Aktion
Wählen Sie Monitor>ALGs>H323über die J-Web-Schnittstelle . Alternativ geben Sie über die CLI den show security alg h323 counters Befehl ein.
Auch bei H.245-Tunneling sind die Leistungsindikatoren für empfangene H.245-Nachrichten nicht korrekt. Da H.245-Nachrichten in Q.931-Paketen eingekapselt sind, bleibt der Zähler für empfangene H.245-Nachrichten auch bei H.245-Nachrichten null. Der Other H245 Zähler spiegelt jedoch diese Paketübertragungen wider.
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
Beispiel: Verwendung von NAT mit dem H.323 ALG zur Aktivierung eingehender Anrufe
In diesem Beispiel wird gezeigt, wie NAT mit dem H.323 ALG konfiguriert wird, um Anrufe von einem öffentlichen zu einem privaten Netzwerk zu aktivieren.
Anforderungen
Bevor Sie beginnen, verstehen Sie H.323 ALGs. Siehe Understanding H.323 ALG.
Übersicht
In einem Zwei-Zonen-Szenario mit einem Server in der privaten Zone können Sie NAT für eingehende Anrufe verwenden, indem Sie einen NAT-Pool an der Schnittstelle zur öffentlichen Zone konfigurieren.
In diesem Beispiel (siehe Abbildung 4) befinden sich IP-Phone1 und ein Server namens Gatekeeper in der privaten Zone, und IP-Phone2 befindet sich in der öffentlichen Zone. Sie konfigurieren einen statischen NAT-Regelsatz und einen Quell-NAT-Pool, um NAT durchzuführen. Sie erstellen außerdem zwei Richtlinien, privat-zu-öffentlich und öffentlich-zu-privat, um ALG H.323-Verkehr von und zu den privaten und öffentlichen Zonen zu ermöglichen.
Topologie
Abbildung 4 zeigt NAT mit den eingehenden H.323 ALG-Anrufen.
In diesem Beispiel konfigurieren Sie Quell-NAT wie folgt:
-
Erstellen Sie einen statischen NAT-Regelsatz namens Gatekeeper mit einer Regel namens Gatekeeper, um Pakete aus der öffentlichen Zone mit der Zieladresse 172.16.1.25/32 abgleichen zu können. Für das Abgleichen von Paketen wird die Ziel-IP-Adresse mit der privaten Adresse 10.1.1.25/32 übersetzt.
-
Definieren Sie einen Quell-NAT-Pool namens h323-nat-pool, der den IP-Adressbereich von 172.16.1.30/32 bis 172.16.1.150/32 enthält.
-
Erstellen Sie einen Quell-NAT-Regelsatz namens h323-nat mit Regel h323-r1, um Pakete aus der privaten Zone mit der öffentlichen Zone mit der Quell-IP-Adresse 10.1.1.0/24 abgleichen zu können. Zum Abgleichen von Paketen wird die Quelladresse in h323-nat-pool mit der IP-Adresse übersetzt.
-
Konfigurieren Sie Proxy-ARP für die Adressen 172.16.1.30/32 bis 172.16.1.150/32 auf der Schnittstelle ge-0/0/1.0. Dadurch kann das System auf ARP-Anfragen reagieren, die an der Schnittstelle für diese Adressen empfangen wurden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set security nat source address-persistent set security nat source rule-set h323-nat from zone private set security nat source rule-set h323-nat to zone public set security nat source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set security nat source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.30/32 to 172.16.1.150/32 set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address IP-Phone1 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Konfigurieren von NAT mit H.323 ALG zur Aktivierung von Anrufen von einem öffentlichen zu einem privaten Netzwerk:
-
Schnittstellen konfigurieren.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
Konfigurieren Sie Zonen und weisen Sie ihnen Adressen zu.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
Erstellen Sie einen statischen NAT-Regelsatz.
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set match destination-address 172.16.1.25/32 user@host# set then static-nat prefix 10.1.1.25/32
-
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32
-
Konfigurieren Sie einen Quell-NAT-Regelsatz.
[edit security nat] set source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set source address-persistent set source rule-set h323-nat from zone private set source rule-set h323-nat to zone public set source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set proxy-arp interface ge-0/0/1.0 address 171.16.1.30/32 to 172.16.1.150/32
-
Konfigurieren Sie Richtlinien für ausgehenden Datenverkehr.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
-
Konfigurieren Sie Richtlinien für eingehenden Datenverkehr.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address IP-Phone1 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security natundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
source {
pool h323-nat-pool {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
address-persistent;
rule-set h323-nat {
from zone private;
to zone public;
rule h323-r1 {
match {
source-address 10.1.1.0/24;
}
then {
source-nat {
pool {
h323-nat-pool;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
}
static {
rule-set ip-phones {
from zone public;
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy private-to-public {
match {
source-address [IP-Phone1 gatekeeper];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address [IP-Phone1 gatekeeper];
application junos-h323;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
- Überprüfung des H.323 ALG-Status
- Überprüfen von Sicherheits-ALG H.323-Leistungsindikatoren
- Überprüfen der Quell-NAT-Regelnutzung
Überprüfung des H.323 ALG-Status
Zweck
Vergewissern Sie sich, dass H.323 ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den H323 ALG-Status wie folgt an:
-
Aktiviert– Zeigt an, dass die H323-ALG aktiviert ist.
-
Deaktiviert – Zeigt an, dass das H323 ALG deaktiviert ist.
Überprüfen von Sicherheits-ALG H.323-Leistungsindikatoren
Zweck
Vergewissern Sie sich, dass es einen Sicherheitszähler für ALG H323 gibt.
Aktion
Geben Sie im Betriebsmodus den show security alg h323 counters Befehl ein.
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690 Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
Bedeutung
Die Beispielausgabe gibt den Durchlauf der Sicherheits-ALG H.323-Zähler an, die ausdrücken, dass es Sicherheitszähler für ALG H323 gibt.
Überprüfen der Quell-NAT-Regelnutzung
Zweck
Überprüfen Sie, ob der Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
user@host> show security nat source rule all
source NAT rule: h323-r1 Rule-set: h323-nat
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits Feld zeigt, dass der Datenverkehr nicht mit der Quell-NAT-Regel übereinstimmt.
Beispiel: Verwendung von NAT mit dem H.323 ALG zum Aktivieren ausgehender Anrufe
In diesem Beispiel wird gezeigt, wie statische NAT mit H.323 ALG konfiguriert wird, um Anrufe von einem privaten zu einem öffentlichen Netzwerk zu ermöglichen.
Anforderungen
Bevor Sie beginnen, verstehen Sie das H.323 ALG und seine Prozesse. Siehe Understanding H.323 ALG.
Übersicht
In diesem Beispiel (siehe Abbildung 5) befinden sich IP-Phone 1 und ein Server namens Gatekeeper in der privaten Zone und IP-Phone2 in der öffentlichen Zone. Sie konfigurieren statische NAT, damit IP-Phone1 und Gatekeeper IP-Phone2 in der öffentlichen Zone anrufen können. Sie erstellen dann eine Richtlinie namens öffentlich-zu-privat, um ALG H.323-Datenverkehr von der öffentlichen Zone zur privaten Zone und eine Richtlinie namens "privat-zu-öffentlich" zu ermöglichen, um ALG H.323-Verkehr von der privaten Zone zur öffentlichen Zone zu ermöglichen.
Topologie
Abbildung 5 zeigt NAT mit den H.323 ALG ausgehenden Anrufen.
In diesem Beispiel konfigurieren Sie statische NAT wie folgt:
-
Erstellen Sie einen statischen NAT-Regelsatz namens IP-Phones mit der Regel phone1, die Pakete aus der öffentlichen Zone mit der Zieladresse 172.16.1.5/32 abgleicht. Zum Abgleichen von Paketen wird die Ziel-IP-Adresse mit der privaten Adresse 10.1.1.5/32 übersetzt.
-
Definieren Sie eine zweite Regel namens Gatekeeper, um Pakete aus der öffentlichen Zone mit der Zieladresse 172.16.1.25/32 abgleichen zu können. Für das Abgleichen von Paketen wird die Ziel-IP-Adresse mit der privaten Adresse 10.1.1.25/32 übersetzt.
-
Erstellen Sie Proxy-ARP für die Adressen 172.16.1.5/32 und 172.16.1.25/32 auf der Schnittstelle ge-0/0/1. Dadurch kann das System auf ARP-Anfragen reagieren, die an der angegebenen Schnittstelle für diese Adressen empfangen werden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat static rule-set ip-phones from zone public set security nat static rule-set ip-phones rule phone1 match destination-address 172.16.1.5/32 set security nat static rule-set ip-phones rule phone1 then static-nat prefix 10.1.1.5/32 set security nat static rule-set ip-phones rule gatekeeper match destination-address 172.16.1.25/32 set security nat static rule-set ip-phones rule gatekeeper then static-nat prefix 10.1.1.25/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.5/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32 set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Konfigurieren statischer NAT mit H.323 ALG zum Aktivieren von Anrufen von einem privaten zu einem öffentlichen Netzwerk:
-
Schnittstellen konfigurieren.
user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
Zonen erstellen und Adressen zuweisen.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
Konfigurieren Sie statische NAT-Regelsatz mit Regeln.
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set rule phone1 match destination-address 172.16.1.5/32 user@host# set rule phone1 then static-nat prefix 10.1.1.5/32 user@host# set rule gatekeeper match destination-address 172.16.1.25/32 user@host# set rule gatekeeper then static-nat prefix 10.1.1.25/32
-
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.5/32 user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.25/32
-
Konfigurieren Sie eine Sicherheitsrichtlinie für eingehenden Datenverkehr.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
-
Konfigurieren Sie eine Sicherheitsrichtlinie für ausgehenden Datenverkehr.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security natundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
static {
rule-set ip-phones {
from zone public;
rule phone1 {
match {
destination-address 172.16.1.5/32;
}
then {
static-nat prefix 10.1.1.5/32;
}
}
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.5/32;
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy private-to-public {
match {
source-address [ IP-Phone1 gatekeeper ];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
Überprüfung des H.323 ALG-Status
Zweck
Vergewissern Sie sich, dass H.323 ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Enabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den H323 ALG-Status wie folgt an:
-
Aktiviert– Zeigt an, dass die H323-ALG aktiviert ist.
-
Deaktiviert – Zeigt an, dass das H323 ALG deaktiviert ist.
Überprüfen von Sicherheits-ALG H.323-Leistungsindikatoren
Zweck
Vergewissern Sie sich, dass es einen Sicherheitszähler für ALG H323 gibt.
Aktion
Geben Sie im Betriebsmodus den show security alg h323 counters Befehl ein.
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
Bedeutung
Die Beispielausgabe gibt die Zusammenfassung der Sicherheits-ALG H.323-Zähler an, die ausdrücken, dass es Sicherheitszähler für ALG H.323 gibt.
Beispiel: Festlegen von H.323 ALG-Timeouts für die Endpunktregistrierung
In diesem Beispiel wird gezeigt, wie sie das Timeout für die Endpunktregistrierung angeben.
Anforderungen
Bevor Sie beginnen, verstehen und konfigurieren Sie alle Avaya H.323-spezifischen Funktionen. Siehe Administratorleitfaden für Avaya Communication Manager, Avaya IP Telephony Implementation Guide und Avaya Application Solutions IP Telephony Deployment Guide at http://support.avaya.com.
Übersicht
Wenn sich Endgeräte im geschützten Netzwerk hinter dem Gerätewart H.323 beim H.323-Gatekeeper registrieren, fügt das Gerät im NAT-Modus einen Eintrag hinzu, der eine Zuordnung der öffentlichen zu privaten Adresse für jedes Endgerät enthält. Mit diesen Einträgen können Endgeräte im geschützten Netzwerk eingehende Anrufe empfangen.
Sie legen ein Timeout für die Endpunktregistrierung fest, um festzulegen, wie lange ein Registrierungseintrag für Endgeräte in der NAT-Tabelle verbleibt. Um einen unterbrechungsfreien eingehenden Anrufdienst zu gewährleisten, legen Sie das Timeout für die Endpunktregistrierung auf einen Wert fest, der dem vom Administrator auf dem Gatekeeper konfigurierten Keepalive-Wert entspricht oder größer ist. Der Bereich beträgt 10 bis 50.000 Sekunden, der Standardwert beträgt 3600 Sekunden.
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So geben Sie den Timeout für die H.323 ALG-Endpunktregistrierung an:
Wählen Sie
Configure>Security>ALG.Wählen Sie die
H323Registerkarte aus.Geben Sie im Feld Timeout für Endpunkte ein
5000.Klicken Sie hier
OK, um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf
Commit Options>Commit.
Schritt-für-Schritt-Verfahren
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg h323 counters Befehl ein.
Beispiel: H.323 ALG-Portbereiche für Medienquellen festlegen
In diesem Beispiel wird gezeigt, wie die Media Source Port-Funktion H.323 ALG aktiviert wird.
Anforderungen
Bevor Sie beginnen, verstehen und konfigurieren Sie alle Avaya H.323-spezifischen Funktionen. Siehe Administratorleitfaden für Avaya Communication Manager, Avaya IP Telephony Implementation Guide und Avaya Application Solutions IP Telephony Deployment Guide at http://support.avaya.com.
Übersicht
Mit der Port-Funktion für Medienquellen können Sie das Gerät so konfigurieren, dass Mediendatenverkehr auf einer engen oder breiten Palette von Ports zulässig ist. Standardmäßig hört das Gerät H.323-Datenverkehr auf einem engen Bereich von Ports ab. Wenn Sie mit ihren Endgeräten einen Sende- und einen Abhör-Port angeben können, können Sie den Bereich der Ports, auf denen das Gerät Mediendatenverkehr zulässt, einschränken. Dies erhöht die Sicherheit, indem ein kleineres Pinhole für H.323-Datenverkehr geöffnet wird. In diesem Beispiel wird gezeigt, wie das Gerät so konfiguriert werden kann, dass es ein wide Gate für Mediendatenverkehr öffnet, indem die Portfunktion für Medienquellen aktiviert wird.
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So aktivieren Sie die H.323 ALG Media Source Port-Funktion:
Wählen Sie
Configure>Security>ALG.Wählen Sie die
H323Registerkarte aus.Aktivieren Sie das
Enable Permit media from any source portKontrollkästchen.Klicken Sie hier
OK, um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf
Commit Options>Commit.
Schritt-für-Schritt-Verfahren
So aktivieren Sie die H.323 ALG Media Source Port-Funktion:
Setzen Sie ein schmales Tor für Mediendatenverkehr, indem Sie den Medienquellenport für die H.323-ALG deaktivieren.
[edit] user@host# delete security alg h323 media-source-port-any
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg h323 counters Befehl ein.
Beispiel: Konfigurieren des H.323-ALG-DoS-Angriffsschutzes
In diesem Beispiel wird die Konfiguration der H.323-ALG-DoS-Angriffsschutzfunktion dargestellt.
Anforderungen
Bevor Sie beginnen, verstehen und konfigurieren Sie alle Avaya H.323-spezifischen Funktionen. Siehe Administratorleitfaden für Avaya Communication Manager, Avaya IP Telephony Implementation Guide und Avaya Application Solutions IP Telephony Deployment Guide at http://support.avaya.com.
Übersicht
Sie können den H.323-Gatekeeper vor Denial-of-Service(DoS)-Flood-Angriffen schützen, indem Sie die Anzahl der Registrierungs-, Zulassungs- und Statusmeldungen (RAS) pro Sekunde begrenzen, die verarbeitet werden sollen. Eingehende RAS-Anforderungsmeldungen, die den angegebenen Schwellenwert überschreiten, werden vom H.323 Application Layer Gateway (ALG) abgelegt. Der Bereich beträgt 2 bis 50.000 Nachrichten pro Sekunde, der Standardwert 1000.
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die H.323 ALG DoS-Angriffsschutzfunktion:
Wählen Sie
Configure>Security>ALG.Wählen Sie die
H323Registerkarte aus.Geben Sie
5000in das Message Flood Gatekeeper-Schwellenwertfeld ein.Klicken Sie hier
OK, um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf
Commit Options>Commit.
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die H.323 ALG DoS-Angriffsschutzfunktion:
Konfigurieren Sie den Gatekeeper für die H.323-ALG und legen Sie den Schwellenwert fest.
[edit] user@host# set security alg h323 application-screen message-flood gatekeeper threshold 5000
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg h323 counters Befehl ein.
Verstehen der bekannten Nachrichtentypen von H.323 ALG
Der H.323-Standard ist ein von der International Telecommunication Union (ITU-T) definiertes Legacy-VoIP-Protokoll (Voice-over-IP). H.323 besteht aus einer Reihe von Protokollen (z. B. H.225.0 und H.245), die zur Anrufsignalisierung und Anrufsteuerung für VoIP verwendet werden. H.323 hat drei Hauptprozesse:
Gatekeeper Discovery: Ein Endpunkt findet seinen Gatekeeper über den Gatekeeper-Erkennungsprozess, über Broadcast oder Unicast (zu einer bekannten IP und dem bekannten UDP-Port 1719).
Endgeräteregistrierung, Zulassung und Status: Ein Endgerät registriert sich bei einem Gatekeeper und fragt nach dessen Verwaltung. Bevor ein Anruf durchgeführt wird, fordert ein Endgerät seinen Gatekeeper auf, die Berechtigung zum Platzieren des Anrufs zu erhalten. Sowohl in der Registrierungs- als auch in der Zulassungsphase wird der Kanal Registrierung, Zulassung und Status (RAS) verwendet.
Anrufsteuerung und Anrufeinrichtung: Anrufe können innerhalb einer Zone oder über zwei Zonen oder sogar über mehrere Zonen (Multipoint-Konferenz) eingerichtet werden. Die Anrufeinrichtung und -abnahme erfolgt über den Anrufsignalkanal, dessen TSAP der bekannte TCP-Port (1720) ist. Die Anrufsteuerung, einschließlich des Öffnens/Schließens von Medienkanälen zwischen zwei Endpunkten, wird über den Anrufkontrollkanal durchgeführt, dessen TSAP aus dem vorherigen Anrufsignalisierungsprozess dynamisch zugewiesen wird. H.245-Nachrichten werden im Anrufkontrollkanal verwendet und mit ASN.1 codiert.
- H.225 RAS-Signalübertragung: Gatekeeper und Gateways
- H.225 Anrufsignalisierung (Q.931)
- H.245 Media Control and Transport Signaling
H.225 RAS-Signalübertragung: Gatekeeper und Gateways
Registrierung, Zulassung und Status (RAS), wie im Standard (ITU-T) H.323 beschrieben, ist das Signalübertragungsprotokoll, das zwischen Gateways oder Endpunkten verwendet wird. Die Gatekeeper bieten Adressauflösungs- und Zugangskontrolle.
RAS ist der Prozess, mit dem H.323-Gateways ihre Zonengatekeeper entdecken. Die RAS-Kommunikation erfolgt über ein UDP-Datagramm an Port 1718 (Multicast) und 1719 (Unicast). Endpunkte verwenden das RAS-Protokoll, um mit einem Gatekeeper zu kommunizieren. Wenn ein H.323-Endpunkt seinen Gatekeeper nicht kennt, kann er eine Gatekeeper Request (GRQ)-Nachricht senden, um die Antwort des Gatekeepers zu suchen. Ein oder mehrere Gatekeeper können die Anfrage entweder mit einer Gatekeeper Confirmation (GCF)-Nachricht oder einer Gatekeeper Reject (GRJ)-Nachricht beantworten. Eine Ablehnungsnachricht enthält den Ablehnungsgrund.
Tabelle 1 listet die unterstützten RAS-Gatekeeper-Nachrichten auf.
Nachricht |
Beschreibung |
|---|---|
GRQ (Gatekeeper_Request) |
Eine Nachricht, die von einem Endgerät an einen Gatekeeper gesendet wurde, um Gatekeeper zu "entdecken", die bereit sind, Service bereitzustellen. |
GCF (Gatekeeper_Confirm) |
Eine Antwort von einem Gatekeeper auf ein Endgerät, die die Akzeptanz für die Kommunikation mit dem RAS-Kanal des Gatekeepers angibt. |
GRJ (Gatekeeper_Reject) |
Eine Antwort von einem Gatekeeper auf ein Endgerät, das die Endpunktanforderung zurückweist. |
- RAS-Registrierung und -Registrierung
- RAS-Zulassungen
- RAS-Standort
- RAS-Bandbreitenkontrolle
- RAS-Statusinformationen
- RAS Disengage Information
RAS-Registrierung und -Registrierung
Die Registrierung ist der Prozess, bei dem die Gateways, Terminals und Multipoint Control Units (MCUs) einer Zone beitreten und den Gatekeeper über ihre IP- und Alias-Adressen informieren. Jedes Gateway kann nur einen aktiven Gatekeeper registrieren.
Die Registrierung erfolgt, nachdem das Endgerät die Kommunikation durch den Gatekeeper bestimmt und bestätigt, indem eine Registrierungsanfrage (RRQ)-Nachricht gesendet wird. Der Gatekeeper antwortet dann mit einer Registration Confirm (RCF)-Nachricht und macht das Endgerät dem Netzwerk bekannt.
Tabelle 2 listet die unterstützten RAS-Registrierungs- und Registrierungsmeldungen auf.
Nachricht |
Beschreibung |
|---|---|
RRQ (Registration_Request) |
Eine Nachricht, die von einem Endgerät an einen Gatekeeper gesendet wurde. Registrierungsanforderungen werden in der Administrativen Einrichtung des Systems vorab definiert. |
RCF (Registration_Confirm) |
Eine Antwort von einem Gatekeeper, der die Registrierung eines Endpunkts als Reaktion auf eine RRQ-Nachricht bestätigt. |
RRJ (Registration_Reject) |
Eine Antwort eines Gatekeepers, der die Registrierung eines Endgeräts zurückweist. |
URQ (Unregister_Request) |
Eine Nachricht, die von einem Endgerät oder einem Gatekeeper gesendet wurde, der die Stornierung einer Registrierung anforderte. |
UCF (Unregister_Confirm) |
Eine Antwort, die von einem Endgerät oder einem Gatekeeper gesendet wurde, um zu bestätigen, dass die Registrierung abgebrochen wurde. |
URJ (Unregister_Reject) |
Eine Meldung, die angibt, dass das Endgerät nicht beim Gatekeeper vorregistriert ist. |
RAS-Zulassungen
Zugangsmeldungen zwischen Endgeräten und Gatekeepern bilden die Grundlage für Anrufzugang und Bandbreitenkontrolle. Der Torwart behebt dann die Adresse entweder mit Bestätigung oder Ablehnung eines Zulassungsgesuchs.
Tabelle 3 listet die unterstützten RAS-Zugangsmeldungen auf.
Nachricht |
Beschreibung |
|---|---|
ARQ (Admission_Request) |
Ein Versuch eines Endpunkts, einen Anruf zu initiieren. |
ACF (Admission_Confirm) |
Eine positive Antwort von einem Gatekeeper, der ein Endgerät zur Teilnahme an einem Anruf autorisiert. |
ARJ (Admission_Reject) |
Eine Nachricht, die von einem Gatekeeper gesendet wurde und die ARQ-Nachricht, die einen Anruf initiiert, abgelehnt wird. |
RAS-Standort
LRQ-Nachrichten (Location Request) werden entweder von einem Endgerät oder einem Gatekeeper an einen Interzone Gatekeeper gesendet, um die IP-Adressen verschiedener Zonenendpunkte zu erhalten.
Tabelle 4 listet die unterstützten RAS-Standortanforderungsmeldungen auf.
Nachricht |
Beschreibung |
|---|---|
LRQ (Location_Request) |
Eine Nachricht, die gesendet wurde, um einen Gatekeeper um Kontaktinformationen einer oder mehrerer Adressen zu bitten. |
LCF (Location_Confirm) |
Eine Antwort, die von einem Gatekeeper gesendet wird, der Anrufsignalkanal- oder RAS-Kanaladressen enthält. |
LRJ (Location_Reject) |
Eine Antwort, die von Gatekeepern gesendet wurde, die ein LRQ erhalten haben, für das das angeforderte Endgerät nicht registriert ist. |
RAS-Bandbreitenkontrolle
Die Bandbreitenkontrolle wird zum Einrichten des Anrufs aufgerufen und wird zunächst über die Sequenz der Zugangsnachrichten (ARQ/ACF/ARJ) verwaltet.
Tabelle 5 listet die unterstützten RAS-Bandbreitensteuerungsmeldungen auf.
Nachricht |
Beschreibung |
|---|---|
BRQ (Bandwidth_Request) |
Eine Anfrage, die von einem Endgerät an einen Gatekeeper gesendet wird, um die Anrufbandbreite zu erhöhen oder zu verringern. |
BCF (Bandwidth_Confirm) |
Eine Antwort, die von einem Gatekeeper gesendet wurde, um die Annahme einer Anfrage zur Bandbreitenänderung zu bestätigen. |
BRJ (Bandwidth_Reject) |
Eine Antwort, die von einem Gatekeeper gesendet wurde, um eine Anfrage zur Änderung der Bandbreite abzulehnen. |
RAS-Statusinformationen
Ein Gatekeeper verwendet eine Information Request (IRQ)-Nachricht, um den Status eines Endgeräts zu bestimmen. Das RAS-Protokoll wird verwendet, um zu bestimmen, ob die Endgeräte online oder offline sind.
Tabelle 6 listet die unterstützten RAS-Statusinformationen auf.
Nachricht |
Beschreibung |
|---|---|
IRQ (Information_Request) |
Eine Nachricht, die von einem Gatekeeper gesendet wurde, um Statusinformationen seiner Empfängerendpunkte anzufordern. |
IRR (Information_Request_Response) |
Eine Antwort, die vom Endgerät an einen Gatekeeper als Reaktion auf eine IRQ-Nachricht gesendet wird. Sie bestimmt, ob die Endgeräte online oder offline sind. |
IACK (Info_Request_Acknowledge) |
Eine Nachricht, die von einem Gatekeeper gesendet wurde, um den Erhalt einer IRR-Nachricht von einem Endgerät zu bestätigen. |
INACK (Info_Request_Neg_Acknowledge) |
Eine Nachricht wurde an einen Gatekeeper gesendet, wenn eine Informationsanfragenachricht nicht verstanden wird. |
RAS Disengage Information
Ein Endpunkt sendet im Falle eines Anrufabbruchs eine Disengage Request (DRQ)-Nachricht an einen Gatekeeper.
Tabelle 7 listet die unterstützten RAS-Disengage-Nachrichten auf.
Nachricht |
Beschreibung |
|---|---|
DRQ (Disengage_Request) |
Eine Statusanfrage, die von einem Endgerät an einen Gatekeeper gesendet wird, wenn ein Anruf endet. |
DCF (Disengage_Confirm) |
Eine Nachricht, die von einem Gatekeeper gesendet wurde, um den Erhalt der DRQ-Nachricht von einem Endgerät zu bestätigen. |
DRJ (Disengage_Reject) |
Eine Nachricht, die von einem Gatekeeper gesendet wird, der eine Bestätigungsanfrage zum Aussperren von einem Endgerät zurückweist. |
H.225 Anrufsignalisierung (Q.931)
H.225 wird zum Einrichten von Verbindungen zwischen H.323-Endpunkten verwendet. Die (ITU-T) H.225-Empfehlung legt die Verwendung und Unterstützung von Q.931-Nachrichten fest.
Die H.225-Anrufsignalisierung unterstützt die folgenden Nachrichten:
Einrichtung und Einrichtung anerkennen
Anrufverfahren
Verbinden
Alarmierung
Benutzerinformationen
Veröffentlichung abgeschlossen
Anlage
Fortschritt
Status- und Statusanfrage
Benachrichtigen
H.245 Media Control and Transport Signaling
H.245 verarbeitet End-to-End-Steuermeldungen zwischen H.323-Endpunkten. Dieses Control Channel-Protokoll stellt die logischen Kanäle für die Übertragung von Audio-, Video-, Daten- und Steuerungskanalinformationen her.
H.245 unterstützt die folgenden Meldungen:
Anfrage
Antwort
Befehl
Angabe
Informationen zu H.323 ALG Unbekannte Nachrichtentypen
Mit der unbekannten Funktion zum Nachrichtentyp H.323 können Sie angeben, wie nicht identifizierte H.323-Nachrichten vom Gerät gehandhabt werden. Standardmäßig werden unbekannte (nicht unterstützte) Nachrichten abgesetzt.
Sie können den H.323-Gatekeeper vor Denial-of-Service(DoS)-Flood-Angriffen schützen, indem Sie die Anzahl der Registrierungs-, Zulassungs- und Statusmeldungen (RAS) pro Sekunde begrenzen, die verarbeitet werden sollen. Eingehende RAS-Anforderungsmeldungen, die den angegebenen Schwellenwert überschreiten, werden vom H.323 Application Layer Gateway (ALG) abgebrochen. Der Bereich beträgt 2 bis 50.000 Nachrichten pro Sekunde, der Standardwert 1000.
Wir empfehlen nicht, unbekannte Nachrichten zuzulassen, da sie die Sicherheit gefährden können. In einer sicheren Test- oder Produktionsumgebung kann der unbekannte Befehl H.323-Nachrichtentyp jedoch nützlich sein, um Kompatibilitätsprobleme mit Geräten unterschiedlicher Hersteller zu lösen. Die Genehmigung unbekannter H.323-Nachrichten kann Ihnen dabei helfen, Ihr Netzwerk betriebsbereit zu machen, sodass Sie Ihren Voice-over-IP (VoIP)-Datenverkehr analysieren können, um festzustellen, warum einige Nachrichten abgebrochen wurden. Mit der unbekannten Funktion zum Nachrichtentyp H.323 können Sie das Gerät so konfigurieren, dass H.323-Datenverkehr mit unbekannten Nachrichtentypen sowohl im NAT-Modus (Network Address Translation) als auch im Routenmodus akzeptiert wird.
Die unbekannte Option für den Nachrichtentyp H.323 gilt nur für empfangene Pakete, die als unterstützte VoIP-Pakete identifiziert wurden. Wenn ein Paket nicht identifiziert werden kann, wird es immer abgebrochen. Wenn ein Paket als unterstütztes Protokoll identifiziert wird und Sie das Gerät so konfiguriert haben, dass es unbekannte Nachrichtentypen zulässt, wird die Nachricht ohne Verarbeitung weitergeleitet.
Beispiel: Zulassen unbekannter H.323 ALG-Nachrichtentypen
In diesem Beispiel wird gezeigt, wie das Gerät so konfiguriert wird, dass unbekannte H.323-Nachrichtentypen sowohl im Routen- als auch im NAT-Modus zulässig sind.
Anforderungen
Bevor Sie beginnen, verstehen und konfigurieren Sie alle Avaya H.323-spezifischen Funktionen. Siehe Administratorleitfaden für Avaya Communication Manager, Avaya IP Telephony Implementation Guide und Avaya Application Solutions IP Telephony Deployment Guide at http://support.avaya.com.
Übersicht
Mit dieser Funktion können Sie angeben, wie nicht identifizierte H.323-Nachrichten vom Gerät gehandhabt werden. Standardmäßig werden unbekannte (nicht unterstützte) Nachrichten abgesetzt. Die angewendete Option Enable Permit NAT und die permit-nat-applied Konfigurationsanweisung geben an, dass unbekannte Nachrichten übergeben werden dürfen, wenn sich die Sitzung im NAT-Modus befindet. Die Option Enable Permit routed und die permit-routed Konfigurationsanweisung geben an, dass unbekannte Nachrichten weitergeleitet werden dürfen, wenn sich die Sitzung im Routenmodus befindet. (Sitzungen im transparenten Modus werden als Routenmodus behandelt.)
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gerät, um unbekannte H.323-Nachrichtentypen sowohl im Routen- als auch im NAT-Modus zuzulassen:
Wählen Sie
Configure>Security>ALG.Wählen Sie die
H323Registerkarte aus.Aktivieren Sie das
Enable Permit NAT appliedKontrollkästchen.Aktivieren Sie das
Enable Permit routedKontrollkästchen.Klicken Sie hier
OK, um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf
Commit Options>Commit.
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gerät, um unbekannte H.323-Nachrichtentypen sowohl im Routen- als auch im NAT-Modus zuzulassen:
Geben Sie an, dass unbekannte Nachrichten übergeben werden dürfen, wenn sich die Sitzung im NAT-Modus befindet.
[edit] user@host# set security alg h323 application-screen unknown-message permit-nat-applied
Geben Sie an, dass unbekannte Nachrichten weitergeleitet werden dürfen, wenn sich die Sitzung im Routenmodus befindet.
[edit] user@host# set security alg h323 application-screen unknown-message permit-routed
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg h323 Befehl und den show security alg h323 counters Befehl ein.