AUF DIESER SEITE
Beispiel: Konfigurieren von Schnittstellenquellen-NAT für eingehende SIP-Anrufe
Beispiel: Konfigurieren statischer NAT für eingehende SIP-Anrufe
Beispiel: Konfigurieren des SIP-Proxys in der privaten Zone und NAT in der öffentlichen Zone
Beispiel: Konfiguration eines Drei-Zonen-SIP-ALG- und NAT-Szenarios
SIP ALG
ZUSAMMENFASSUNG Das Session Initiation Protocol (SIP) ist ein Signalprotokoll zum Initiieren, Ändern und Beenden von Multimedia-Sitzungen über das Internet. SIP unterstützt Single-Media- und Multi-Media-Sitzungen.
Verstehen des SIP ALG
Das Session Initiation Protocol (SIP) ist ein Internet Engineering Task Force (IETF)-Standardprotokoll zum Initiieren, Ändern und Beenden von Multimedia-Sitzungen über das Internet. Solche Sitzungen können Konferenzen, Telefonie oder Multimedia umfassen, mit Funktionen wie Instant Messaging und Mobilität auf Anwendungsebene in Netzwerkumgebungen.
Junos OS unterstützt SIP-as-a-Service und verweigert dies basierend auf einer von Ihnen konfigurierten Richtlinie. SIP ist ein vordefinierter Service in Junos OS und verwendet Port 5060 als Zielport.
Eine der Funktionen von SIP besteht darin, Sitzungsbeschreibungsinformationen zu verteilen und während der Sitzung die Parameter der Sitzung auszuhandeln und zu ändern. SIP wird auch zum Beenden einer Multimedia-Sitzung, zur Signalisierung einer Anrufeinrichtung, zur Angabe von Fehlern und zur Bereitstellung von Methoden für die Endpunktregistrierung verwendet.
Informationen zur Sitzungsbeschreibung sind in den Nachrichten INVITE und 200-OK oder 200-OK und ACK enthalten und geben den Multimedia-Typ der Sitzung an; sei es Sprache oder Video. Obwohl SIP zur Beschreibung der Sitzung verschiedene Beschreibungsprotokolle verwenden kann, unterstützt das SIP Application Layer Gateway (ALG) von Juniper Networks nur das Session Description Protocol (SDP).
SDP stellt Informationen zur Verfügung, die ein System für die Teilnahme an einer Multimedia-Sitzung verwenden kann. SDP kann Informationen wie IP-Adressen, Portnummern, Zeiten und Daten enthalten. Beachten Sie, dass die IP-Adresse und Portnummer im SDP-Header (die Felder c= bzw. m=) die Adresse und der Port sind, an dem der Client die Medienströme empfangen möchte, und nicht die IP-Adresse und Portnummer, von der die SIP-Anfrage stammt (obwohl sie gleich sein können).
SIP-Nachrichten bestehen aus Anfragen von einem Client an einen Server und antworten auf die Anfragen von einem Server zu einem Client, um eine Sitzung (oder einen Anruf) einzurichten. Ein User Agent (UA) ist eine Anwendung, die an den Endpunkten des Anrufs ausgeführt wird und aus zwei Teilen besteht:
User Agent Client (UAC), der SIP-Anfragen im Auftrag des Benutzers sendet
User Agent Server (UAS), der die Antworten abhört und den Benutzer benachrichtigt, wenn er ankommt
UAC und VAS werden in Bezug auf die Rolle definiert, die ein bestimmter Agent bei der Verhandlung spielt.
Beispiele für UAs sind SIP-Proxyserver und Telefone.
Dieses Thema enthält die folgenden Abschnitte:
SIP ALG-Betrieb
Es gibt zwei Arten von SIP-Datenverkehr, die Signalübertragung und den Medienstrom. Der SIP-Signalverkehr besteht aus Anforderungs- und Antwortmeldungen zwischen Client und Server und verwendet Transportprotokolle wie UDP oder TCP. Der Medien-Stream transportiert die Daten (z. B. Audiodaten) mithilfe von Transportprotokollen.
Ab Junos OS Version 12.3X48-D25 und Junos OS Version 17.3R1 unterstützt das SIP ALG TCP. Die TCP-Unterstützung über das SIP ALG reduziert den Datenverkehr zum Server, da keine erneute Registrierung oder aktualisierung des Servers erforderlich ist.
Standardmäßig unterstützt Junos OS SIP-Signalmeldungen am Port 5060. Sie können den Port konfigurieren, indem Sie eine Richtlinie erstellen, die einen SIP-Service zulässt, und die Software filtert SIP-Signalübertragungsverkehr wie jede andere Art von Datenverkehr, was dies zulässt oder verweigert. Der Medienstrom verwendet jedoch dynamisch zugewiesene Portnummern, die sich während eines Anrufs mehrmals ändern können. Ohne feste Ports ist es unsicher, eine statische Richtlinie zur Steuerung des Mediendatenverkehrs zu erstellen. In diesem Fall ruft das Gerät das SIP ALG auf. Die für die Mediensitzungen verwendeten Geräteübertragungsports sind im Voraus nicht bekannt; Die für die SIP-Aushandlung verwendeten Ports sind jedoch bekannt (oder vordefinierte). Das ALG registriert Interesse an Paketen von der Steuerungssitzung, die es leicht von den anderen Paketen unterscheiden kann, und prüft die Aushandlung der Transportinformationen, die für die Mediensitzung verwendet werden (sowohl IP-Adressen als auch Ports).
Das SIP ALG erzeugt ein Pinhole, wenn es eine übereinstimmende IP, einen Port, eine Transportadresse und ein entsprechendes Protokoll ermittelt, die mit den Informationen identifiziert werden, die zum Zeitpunkt des Öffnens des Pinholes bekannt sind.
Das SIP ALG überwacht SIP-Transaktionen und erstellt und verwaltet pinholes dynamisch basierend auf den Informationen, die es aus diesen Transaktionen extrahiert. Das Juniper Networks SIP ALG unterstützt alle SIP-Methoden und -Antworten. Sie können SIP-Transaktionen durch die Firewall von Juniper Networks durchqueren, indem Sie eine statische Richtlinie erstellen, die den SIP-Service zulässt. Wenn die Richtlinie so konfiguriert ist, dass der SIP-Datenverkehr untersucht wird (oder wenn die Richtlinie einen Teil des Datenverkehrs zur Überprüfung an das SIP ALG sendet), sind die zulässigen Aktionen, den Datenverkehr zu erlauben (in diesem Fall werden die entsprechenden Pinholes geöffnet) oder den Datenverkehr zu verweigern.
Das SIP ALG fängt SIP-Nachrichten ab, die SDP enthalten, und extrahiert mithilfe eines Parsers die Informationen, die zum Erstellen von Pinholes erforderlich sind. Das SIP ALG untersucht den SDP-Teil des Pakets, und ein Parser extrahiert Informationen wie IP-Adressen und Portnummern, die das SIP ALG in einer Pinhole-Tabelle aufzeichnet. Das SIP ALG nutzt die in der Pinhole-Tabelle aufgezeichneten IP-Adressen und Portnummern, um Pinholes zu öffnen und Medienströme durch das Gerät zu ermöglichen.
Wenn das Gerät NAT ausführt, sind die Transportadressen, die von den UAs verwendet werden, falsch. Das SIP ALG ändert die Transportadressen anhand der vom Gerät zugewiesenen übersetzten Ports und Adressen, die Netzwerkadressen übersetzen. Wenn SDP verschlüsselt ist, kann das Gerät den Inhalt der Nachricht weder extrahieren noch ändern und somit die Übertragungsadressen nicht korrigieren. Um eine Problemumgehung zu gewährleisten, wurde das STUN-Protokoll implementiert (sodass NAT-Geräte irgendeine Form von Cone-NAT durchführen müssen), wodurch die Clients die übersetzten Adressen bestimmen und diese neu entdeckten Adressen in den SDP-Nachrichten verwenden können.
NEC SIP-Produkte werden bedingt unterstützt.
SDP-Sitzungsbeschreibungen
Eine SDP-Sitzungsbeschreibung ist ein klar definiertes Format für die Übermittlung ausreichender Informationen, um eine Multimedia-Sitzung zu entdecken und an dieser teilzunehmen. Eine Sitzung wird von einer Reihe von Attribut-/Wertpaaren pro Zeile beschrieben. Die Attributnamen sind einzelne Zeichen, gefolgt von =, und ein Wert. Optionale Werte werden mit =* angegeben. Werte sind entweder eine ASCII-Zeichenfolge oder eine Sequenz bestimmter Typen, die durch Leerzeichen getrennt sind. Attributnamen sind nur innerhalb des zugeordneten syntaktischen Konstrukts eindeutig, z. B. nur innerhalb der Sitzung, Zeit oder medien.
In der Beschreibung der SDP-Sitzungen beginnen die Informationen auf Medienebene mit dem Feld m=.
Von den vielen Feldern in der SDP-Beschreibung sind zwei besonders für das SIP ALG nützlich, da sie Transportschichtinformationen enthalten.
c=für VerbindungsinformationenDieses Feld kann auf Sitzungs- oder Medienebene angezeigt werden. Es erscheint in diesem Format:
c=<Netzwerktyp><Addresstyp><verbindungsadresse>
Junos OS unterstützt nur "IN" (für Internet) als Netzwerktyp, "IPv4" als Adresstyp und eine Unicast-IP-Adresse oder einen Domänennamen als Ziel (Verbindung) IP-Adresse. Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 wird auch der Adresstyp "IPv6" unterstützt.
Wenn es sich bei der Ziel-IP-Adresse um eine Unicast-IP-Adresse handelt, erstellt das SIP ALG Pinholes unter Verwendung der ip-Adresse und Portnummern, die im Medienbeschreibungsfeld m= angegeben sind.
m=für Die MedienmitteilungDieses Feld wird auf Medienebene angezeigt und enthält die Beschreibung der Medien. Es erscheint in diesem Format:
m=<media><port><transport><fmt-Liste>
Derzeit unterstützt Junos OS "RTP" als Transportprotokoll auf Anwendungsebene. Die Portnummer gibt den Zielport des Medienstreams an (der Ursprung wird von der Remote-UA zugewiesen). Die Formatliste (FMT-Liste) enthält Informationen zum Anwendungsschichtprotokoll, das von den Medien verwendet wird.
Die Software öffnet Ports nur für RTP und Real-Time Control Protocol (RTCP). Jede RTP-Sitzung verfügt über eine entsprechende RTCP-Sitzung. Wenn ein Medien-Stream RTP verwendet, muss das SIP ALG daher Ports für RTP- und RTCP-Datenverkehr reservieren (Pinholes erstellen). Standardmäßig ist die Portnummer für RTCP eine höher als die RTP-Portnummer.
Pinhole-Erstellung
Jedes Pinhole (eines für RTP-Datenverkehr und das andere für RTCP-Datenverkehr) teilen sich dieselbe Ziel-IP-Adresse. Die IP-Adresse stammt aus dem Feld c= in der Beschreibung der SDP-Sitzung. Da das Feld c= entweder auf Sitzungsebene oder im Teil der SDP-Sitzungsbeschreibung auf Medienebene angezeigt werden kann, ermittelt der Parser die IP-Adresse anhand der folgenden Regeln (gemäß SDP-Konventionen):
Zunächst sucht der SIP ALG-Parser nach einem c=-Feld, das eine IP-Adresse auf Medienebene enthält. Wenn es ein solches Feld gibt, extrahiert der Parser diese IP-Adresse, und das SIP ALG verwendet diese Adresse, um ein Pinhole für die Medien zu erstellen.
Wenn auf Medienebene kein c=-Feld vorhanden ist, extrahiert der SIP ALG-Parser die IP-Adresse aus dem Feld c= auf Sitzungsebene, und das SIP ALG verwendet diese IP-Adresse, um ein Pinhole für die Medien zu erstellen. Wenn die Sitzungsbeschreibung in beiden Ebenen kein Feld c= enthält, zeigt dies einen Fehler im Protokollstapel an, und das Gerät löscht das Paket und protokolliert das Ereignis.
Das SIP ALG öffnet auch Pinholes für den Signalverkehr. Diese Signal-Pinholes sind nach dem Timeout der vorherigen Signalsitzung nützlich, und sie sind auch für den Signaldatenverkehr nützlich, der an eine Drittanbieteradresse gesendet wird, die nicht mit der vorherigen Signalsitzung übereinstimmt. Im Gegensatz zu RTP- oder RTCP-Pinholes, bei denen nur die Ziel-IP und der Ziel-Port angegeben sind, werden die SIP ALG-Signal-Pinholes nie ausge altert.
Das SIP ALG öffnet bei Bedarf Signal-Pinholes für folgende Header:
Über
KONTAKT
ROUTE
REKORD-ROUTE
Das SIP ALG benötigt die folgenden Informationen, um ein Pinhole zu erstellen. Diese Informationen stammen entweder aus der Beschreibung der SDP-Sitzung oder aus den SIP-Headern (wie oben aufgeführt).
Protokoll – UDP oder TCP.
Quell-IP – Unbekannt.
Quell-Port – Unbekannt.
Ziel-IP: Der Parser extrahiert die Ziel-IP-Adresse aus dem Feld c= auf Medien- oder Sitzungsebene.
Zielport: Der Parser extrahiert die Zielportnummer für RTP aus dem Feld m= auf Medienebene und berechnet die Zielportnummer für RTCP mit der folgenden Formel:
RTP-Portnummer + 1
Lebensdauer : Dieser Wert gibt die Dauer der Zeit (in Sekunden) an, während der ein Pinhole geöffnet ist, um ein Paket durchzulassen. Ein Paket muss das Pinhole durchlaufen, bevor die Lebensdauer abläuft. Wenn die Lebensdauer abläuft, entfernt das SIP ALG das Pinhole.
Wenn ein Paket innerhalb der Lebensdauer durch das Pinhole geht, entfernt das SIP ALG unmittelbar danach das Pinhole für die Richtung, aus der das Paket kam.
Abbildung 1 beschreibt eine Anrufeinrichtung zwischen zwei SIP-Clients und wie das SIP ALG Pinholes erstellt, um RTP- und RTCP-Datenverkehr zu ermöglichen. Die Abbildung setzt voraus, dass das Gerät über eine Richtlinie verfügt, die SIP zulässt, und öffnet somit Port 5060 für SIP-Signalmeldungen.
Abbildung 1: SIP-ALG-Anrufeinrichtung
Das SIP ALG erstellt keine Pinholes für RTP- und RTCP-Datenverkehr, wenn die Ziel-IP-Adresse 0.0.0.0 ist, was angibt, dass die Sitzung auf Eis liegt. Um eine Sitzung während einer Telefonkommunikation zu halten, sendet z. B. Client A eine SIP-Nachricht mit der Ziel-IP-Adresse 0.0.0.0. Dies bedeutet für Client B, dass es bis auf weiteres keine Medien senden darf. Wenn Client B ohnehin Medien sendet, wird das Gerät die Pakete fallen lassen.
- Verstehen der IPv6-Unterstützung für SIP ALG
- Verstehen der Skalierung von Busy Lamp Field Support für das UDP-basierte SIP-ALG
- Understanding SIP ALG Request Methods
- SIP ALG – Konfigurationsübersicht
- Verstehen von SIP ALG DoS-Angriffsschutz
- Understanding SIP ALG Unknown Message Types
- Verstehen der Dauer und Timeouts von SIP ALG-Anrufen
Verstehen der IPv6-Unterstützung für SIP ALG
IPv6 wird auf dem SIP ALG zusammen mit NAT-PT-Modus und NAT64-Adressenübersetzung unterstützt.
Das SIP ALG verarbeitet die IPv6-Adresse auf die gleiche Weise, wie sie die IPv4-Adresse verarbeitet, um den Payload zu aktualisieren, wenn NAT konfiguriert ist und Pinholes für zukünftigen Datenverkehr öffnen.
Für die folgenden Formate erfolgt eine besondere Verarbeitung:
IPv6 in SIP URIs— Der SIP-URI sieht gleich aus wie ein URI mit IPv4-Adressen. Wie bei allen URIs ist eine IPv6-Adresse in eckigen Klammern eingeschlossen. Die IPv6-Adressblöcke sind durch Doppelpunkte getrennt. In vielen Notationen trennt ein Kolon den Hostnamen oder die IP-Adresse vom Protokollport. Um die vollständige IPv6-Adresse zu analysieren und den Port zu trennen, ist die Adresse in eckigen Klammern verkapselt.
IPv6 in SDP— IPv6-Adressen im Session Description Protocol (SDP) haben den IP6-Marker.
Das SIP ALG mit IPv6-Unterstützung hat folgende Einschränkungen:
Wenn NAT64 mit persistenter NAT implementiert ist, fügt SIP ALG die NAT-Übersetzung zur persistenten NAT-Bindungstabelle hinzu, wenn NAT auf der AOR (Address of Record) konfiguriert ist. Da persistente NAT die konfigurierte Adresse nicht duplizieren kann, wird die Koexistenz von NAT66- und NAT64-Konfigurationen auf der gleichen Adresse nicht unterstützt.
Für dieselbe Quell-IP-Adresse wird nur eine Bindung erstellt.
Verstehen der Skalierung von Busy Lamp Field Support für das UDP-basierte SIP-ALG
Busy Lamp Field (BLF) ist eine Leuchte auf einem IP-Telefon, die angibt, ob eine weitere Erweiterung, die mit derselben PbX verbunden ist, ausgelastet ist oder nicht. Sie können das BLF manuell über eine Weboberfläche konfigurieren. Wenn BLF konfiguriert ist, abonniert das Telefon eine in der IP-PBX verfügbare Ressourcenliste, um über Statusinformationen für andere Erweiterungen benachrichtigt zu werden. BLF arbeitet über das Session Initiation Protocol (SIP) und verwendet die SUBSCRIBE- und NOTIFY-Nachrichten. Normalerweise ist das Telefon der Abonnent und die IP-PBX ist der Notifizierer.
Wenn ein Telefon bei der IP-PBX registriert ist, benachrichtigt die IP-PBX das Telefon über den Status der Ressourcenliste. Wenn die Ressourcenliste beispielsweise riesig ist, wird auch der Haupttext der NOTIFY-Nachricht groß sein. Da das SIP ALG nur 3000-Byte-SIP-Nachrichten unterstützt, wird die große NOTIFY-Nachricht umgangen. Wenn sich zu viele Instanzen von BLF im Nachrichtentext befinden, wird der Payload nicht geändert und das Tor wird nicht geöffnet.
Beginnend mit Junos OS Version 12.3X48-D15 und Junos OS Release 17.3R1 unterstützt das SIP ALG 65.000-Byte-SIP-Nachrichten auf dem UDP-Protokoll. Wenn jede Instanz etwa 500 Bytes beträgt, unterstützt das SIP-ALG in der Skalierungs-BLF-Anwendung 100 Instanzen in einer SIP-UDP-Nachricht.
BLF-Unterstützung für DAS UDP-basierte SIP ALG umfasst die folgenden Funktionen:
Das Gerät kann 65.000-Byte-SIP-Nachrichten senden und empfangen.
Das SIP ALG kann die 65.000-Byte-SIP-Nachrichten analysieren und bei Bedarf das Pinhole öffnen.
Das SIP ALG regeneriert die neue Jumbo SIP-Nachricht, wenn NAT konfiguriert und die Nutzlast geändert wird.
Understanding SIP ALG Request Methods
Das Session Initiation Protocol (SIP)-Transaktionsmodell umfasst eine Reihe von Anforderungs- und Antwortmeldungen, von denen jede ein method Feld enthält, das den Zweck der Nachricht bezeichnet.
Junos OS unterstützt die folgenden Methodentypen und Reaktionscodes:
EINLADUNG: Ein Benutzer sendet eine EINLADUNGsanforderung, um einen anderen Benutzer zur Teilnahme an einer Sitzung einzuladen. Der Haupttext einer INVITE-Anfrage kann die Beschreibung der Sitzung enthalten.
ACK: Der Benutzer, von dem die EINLADUNG stammt, sendet eine ACK-Anfrage, um den Empfang der endgültigen Antwort auf die EINLADUNGsanfrage zu bestätigen. Wenn die ursprüngliche INVITE-Anfrage die Sitzungsbeschreibung nicht enthielt, muss die ACK-Anfrage sie enthalten.
OPTIONEN: Der Benutzeragent (UA) erhält Informationen über die Funktionen des SIP-Proxys. Ein Server reagiert mit Informationen darüber, welche Methoden, Sitzungsbeschreibungsprotokolle und Nachrichtenkodierung er unterstützt.
BYE: Ein Benutzer sendet eine BYE-Anfrage zum Verlassen einer Sitzung. Eine BYE-Anfrage eines benutzers beendet die Sitzung automatisch.
ABBRECHEN – Ein Benutzer sendet eine CANCEL-Anfrage, um eine ausstehende EINLADUNGsanforderung abzubrechen. Eine CANCEL-Anfrage wirkt sich nicht aus, wenn der SIP-Server, der die EINLADUNG verarbeitet, vor dem Empfang des CANCEL eine endgültige Antwort für die EINLADUNG gesendet hatte.
REGISTRIEREN: Ein Benutzer sendet eine REGISTER-Anfrage an einen SIP-Registrarserver, um ihn über den aktuellen Standort des Benutzers zu informieren. Ein SIP-Registrar-Server zeichnet alle Informationen auf, die er in REGISTER-Anfragen empfängt, und stellt diese Informationen jedem SIP-Server zur Verfügung, der versucht, einen Benutzer zu finden.
Info: Dient zur Kommunikation von Signalisierungsinformationen während der mittleren Sitzung entlang des Signalpfads für den Anruf.
Abonnieren– Wird verwendet, um aktuelle Status- und Statusaktualisierungen von einem Remoteknoten anzufordern.
Benachrichtigen– Wird gesendet, um Abonnenten über Änderungen im Status zu informieren, in dem der Abonnent ein Abonnement hat.
Referenz– Wird verwendet, um den Empfänger (identifiziert durch den Request-URI) durch die in der Anfrage angegebenen Kontaktinformationen an dritte Parteien zu verweisen.
Wenn beispielsweise Benutzer A in einem privaten Netzwerk Benutzer B in einem öffentlichen Netzwerk an Benutzer C verweist, der sich ebenfalls im privaten Netzwerk befindet, weist das SIP Application Layer Gateway (ALG) eine neue IP-Adresse und Portnummer für Benutzer C zu, sodass Benutzer C von Benutzer B kontaktiert werden kann. Wenn Benutzer C jedoch bei einem Registrar registriert ist, wird seine Portzuordnung in der ALG Network Address Translation (NAT)-Tabelle gespeichert und zur Durchführung der Übersetzung wiederverwendet.
Update: Dient zum Öffnen von Pinhole für neue oder aktualisierte SDP-Informationen. Die Header-Felder Via:, From:, To:, Call-ID:, Contact:, Route:und Record-Route: werden geändert.
1xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx Reaktionscodes– Wird verwendet, um den Status einer Transaktion anzuzeigen. Header-Felder werden geändert.
SIP ALG – Konfigurationsübersicht
Das Session Initiation Protocol Application Layer Gateway (SIP ALG) ist standardmäßig auf SRX-Geräten deaktiviert. Bei Bedarf sollte es über die CLI aktiviert werden. Auf anderen Geräten ist er standardmäßig aktiviert. Für die Feinabstimmung der SIP ALG-Vorgänge verwenden Sie die folgenden Anweisungen:
Steuerung der SIP-Anrufaktivität. Anweisungen finden Sie unter Beispiel: Festlegen von SIP ALG-Anrufdauer und Timeouts.
Schützen Sie den SIP-Proxyserver vor Denial-of-Service(DoS)-Flood-Angriffen. Anweisungen finden Sie unter Beispiel: Konfigurieren von SIP-ALG-DoS-Angriffsschutz.
Aktivieren Sie unbekannte Nachrichten, die weitergeleitet werden, wenn sich die Sitzung im NAT-Modus (Network Address Translation)- und Route-Modus befindet. Anweisungen finden Sie unter Beispiel: "Allowing Unknown SIP ALG Message Types".
Lösungen für proprietäre SIP-Anrufströme. Anweisungen finden Sie unter Beibehalten von SIP ALG Hold Resources (CLI-Verfahren)
Verstehen von SIP ALG DoS-Angriffsschutz
Die Fähigkeit des Session Initiation Protocol (SIP)-Proxyservers zur Verarbeitung von Anrufen kann durch wiederholte SIP INVITE-Anfragen beeinträchtigt werden – Anfragen, die zunächst abgelehnt wurden. Mit der DoS-Schutzfunktion (Denial-of-Service) können Sie das Gerät so konfigurieren, dass INVITE-Anfragen und Proxyserver-Antworten darauf überwacht werden. Wenn eine Antwort einen anderen 3xx, 4-xx oder 5-Antwortcodexx als 401, 407, 487 und 488 enthält, bei dem es sich nicht um echte Fehlerantworten handelt, sollte der Antrag nicht blockiert werden. Erfahren Sie mehr über das SIP ALG und NAT. Das ALG speichert die Quell-IP-Adresse der Anfrage und die IP-Adresse des Proxyservers in einer Tabelle. Anschließend prüft das Gerät alle INVITE-Anfragen gegen diese Tabelle und verwirft für eine konfigurierbare Anzahl von Sekunden (Standard 3) alle Pakete, die mit Einträgen in der Tabelle übereinstimmen. Sie können das Gerät so konfigurieren, dass es wiederholte INVITE-Anfragen an alle Proxyserver überwacht und verweigert, oder Sie können einen bestimmten Proxyserver schützen, indem Sie die Ziel-IP-Adresse angeben. Sip-Angriffsschutz ist global konfiguriert.
Understanding SIP ALG Unknown Message Types
Mit dieser Funktion können Sie angeben, wie nicht identifizierte Session Initiation Protocol (SIP)-Nachrichten vom Gerät gehandhabt werden. Standardmäßig werden unbekannte (nicht unterstützte) Nachrichten abgesetzt.
Wir empfehlen nicht, unbekannte Nachrichten zuzulassen, da sie die Sicherheit gefährden können. In einer sicheren Test- oder Produktionsumgebung kann dieser Befehl jedoch bei der Lösung von Interoperabilitätsproblemen mit Geräten unterschiedlicher Anbieter nützlich sein. Die Genehmigung unbekannter SIP-Nachrichten kann Ihnen helfen, Ihr Netzwerk in Betrieb zu nehmen, sodass Sie später Ihren Voice-over-IP (VoIP)-Datenverkehr analysieren können, um festzustellen, warum einige Nachrichten abgebrochen wurden. Mit der Funktion für den unbekannten SIP-Nachrichtentyp können Sie das Gerät so konfigurieren, dass sip-Datenverkehr mit unbekannten Nachrichtentypen sowohl im NAT-Modus (Network Address Translation) als auch im Routenmodus akzeptiert wird.
Diese Option gilt nur für empfangene Pakete, die als unterstützte VoIP-Pakete identifiziert werden. Wenn ein Paket nicht identifiziert werden kann, wird es immer abgebrochen. Wenn ein Paket als unterstütztes Protokoll identifiziert wird und Sie das Gerät so konfiguriert haben, dass es unbekannte Nachrichtentypen zulässt, wird die Nachricht ohne Verarbeitung weitergeleitet.
Verstehen der Dauer und Timeouts von SIP ALG-Anrufen
Die Anrufdauer- und Timeout-Funktionen geben Ihnen die Kontrolle über die Session Initiation Protocol (SIP)-Anrufaktivität und helfen Ihnen bei der Verwaltung von Netzwerkressourcen.
Normalerweise endet ein Anruf, wenn einer der Clients eine BYE- oder CANCEL-Anfrage sendet. Das SIP Application Layer Gateway (ALG) fängt die BYE- oder CANCEL-Anforderung ab und entfernt alle Mediensitzungen für den Aufruf. Es kann Gründe oder Probleme geben, die verhindern, dass Clients in einem Anruf BYE- oder CANCEL-Anfragen senden, z. B. ein Stromausfall. In diesem Fall kann der Anruf unbegrenzt weitergehen und Ressourcen auf dem Gerät verbrauchen.
Ein Anruf kann über einen oder mehrere Sprachkanäle verfügen. Jeder Sprachkanal verfügt über zwei Sitzungen (oder zwei Medienstreams), eine für Echtzeitübertragungsprotokoll-Datenverkehr (RTP) und eine für RtCP-Signalübertragung (Real-Time Control Protocol). Bei der Sitzungsverwaltung berücksichtigt das Gerät die Sitzungen in jedem Sprachkanal als eine Gruppe. Timeouts und Einstellungen für die Anrufdauer gelten für eine Gruppe im Gegensatz zu jeder Sitzung.
Die folgenden Parameter regeln die SIP-Anrufaktivität:
inactive-media-timeout— Dieser Parameter gibt die maximale Dauer der Zeit (in Sekunden) an, die ein Anruf ohne jeglichen Medienverkehr (RTP oder RTCP) innerhalb einer Gruppe aktiv bleiben kann. Jedes Mal, wenn ein RTP- oder RTCP-Paket innerhalb eines Anrufs stattfindet, wird dieses Timeout zurückgesetzt. Wenn die Inaktivitätszeit diese Einstellung überschreitet, werden die temporären Öffnungen (Pinholes) in der Firewall, die das SIP ALG für Medien geöffnet hat, geschlossen. Die Standardeinstellung beträgt 120 Sekunden und der Bereich beträgt 10 bis 2550 Sekunden. Beachten Sie, dass beim Timeout Ressourcen für Medien (Sitzungen und Pinholes) entfernt werden und SIP-Anrufe auf dem Gerät ebenfalls beendet werden, wenn alle Medienressourcen dieses Anrufs entfernt werden.maximum-call-duration— Dieser Parameter legt die maximale absolute Länge eines Anrufs fest. Wenn ein Anruf diese Parametereinstellung überschreitet, bricht das SIP ALG den Anruf ab und veröffentlicht die Mediensitzungen. Die Standardeinstellung beträgt 720 Minuten und der Bereich beträgt 3 bis 720 Minuten.t1-interval— Dieser Parameter gibt die Roundtrip-Zeitschätzung in Sekunden für eine Transaktion zwischen Endgeräten an. Der Standard ist 500 Millisekunden. Da viele SIP-Timer mit dem t1-Intervall skaliert werden (wie in RFC 3261 beschrieben), werden diese SIP-Timer auch angepasst, wenn Sie den Wert des T1-Interval-Timers ändern.t4-interval– Dieser Parameter gibt die maximale Zeit an, für die eine Nachricht im Netzwerk verbleibt. Der Standard beträgt 5 Sekunden und der Bereich beträgt 5 bis 10 Sekunden. Da viele SIP-Timer mit dem t4-Intervall skaliert werden (wie in RFC 3261 beschrieben), werden diese SIP-Timer auch angepasst, wenn Sie den Wert des t4-Interval-Timers ändern.c-timeout— Dieser Parameter gibt die Timeout-Einladungstransaktion am Proxy innerhalb von Minuten an; Standard ist 3. Da sich SIP ALG in der Mitte befindet, erhält das SIP ALG anstelle des TIMER-Werts der INVITE-Transaktion B (64 * T1) = 32 Sekunden seinen Timerwert vom Proxy.
Understanding SIP ALG Hold Resources
Wenn ein Benutzer einen Anruf aussetzt, veröffentlicht das Session Initiation Protocol Application Layer Gateway (SIP ALG) Medienressourcen wie Pinholes und Übersetzungskontexte für das Session Description Protocol (SDP). Wenn der Benutzer den Anruf fortsetzt, wird in einer EINLADUNGsanforderungsnachricht ein neues SDP-Angebot und eine neue Antwort aushandlung, und das SIP ALG setzt Ressourcen für den Medien-Stream neu. Dies kann zu neuen übersetzten IP-Adressen und Portnummern für die Medienbeschreibung führen, auch wenn die Medienbeschreibung mit der vorherigen Beschreibung identisch ist. Dies entspricht RFC 3264 An Offer/Answer Model with the Session Description Protocol (SDP).
Einige proprietäre SIP-Implementierungen haben Call Flows so konzipiert, dass das User Agent (UA)-Modul das neue SDP INVITE-Angebot ignoriert und weiterhin das SDP-Angebot der vorherigen Aushandlung verwendet. Um diese Funktionalität zu unterstützen, müssen Sie das Gerät so konfigurieren, dass SDP-Medienressourcen beibehalten werden, wenn ein Anruf zur Wiederverwendung zurückgehalten wird, wenn der Anruf fortgesetzt wird.
Beibehalten von SIP ALG Hold Resources (CLI-Verfahren)
Um die proprietären SIP-Anrufströme zu berücksichtigen:
user@host# set security alg sip retain-hold-resource
Verstehen von SIP ALG und NAT
Das NAT-Protokoll (Network Address Translation) ermöglicht es mehreren Hosts in einem privaten Subnetz, eine einzige öffentliche IP-Adresse für den Zugriff auf das Internet gemeinsam zu nutzen. Für ausgehenden Datenverkehr ersetzt NAT die private IP-Adresse des Hosts im privaten Subnetz durch die öffentliche IP-Adresse. Beim eingehenden Datenverkehr wird die öffentliche IP-Adresse zurück in die private Adresse konvertiert, und die Nachricht wird an den entsprechenden Host im privaten Subnetz geroutet.
Die Verwendung von NAT mit dem Session Initiation Protocol (SIP)-Service ist komplizierter, da SIP-Nachrichten IP-Adressen in den SIP-Headern sowie im SIP-Text enthalten. Bei der Verwendung von NAT mit dem SIP-Service enthalten die SIP-Header Informationen über den Anrufer und den Empfänger, und das Gerät übersetzt diese Informationen, um sie im externen Netzwerk zu verbergen. Der SIP-Text enthält die Session Description Protocol (SDP)-Informationen, die IP-Adressen und Portnummern für die Übertragung der Medien enthalten. Das Gerät übersetzt SDP-Informationen zur Zuweisung von Ressourcen zum Senden und Empfangen von Medien.
Die Art und Weise, wie IP-Adressen und Portnummern in SIP-Nachrichten ersetzt werden, hängt von der Richtung der Nachricht ab. Bei einer ausgehenden Nachricht werden die private IP-Adresse und Portnummer des Clients durch die öffentliche IP-Adresse und Portnummer der Firewall von Juniper Networks ersetzt. Bei einer eingehenden Nachricht wird die öffentliche Adresse der Firewall durch die private Adresse des Clients ersetzt.
Wenn eine INVITE-Nachricht über die Firewall gesendet wird, erfasst das SIP Application Layer Gateway (ALG) Informationen aus dem Nachrichten-Header in eine Anruftabelle, die zur Weiterleitung nachfolgender Nachrichten an den richtigen Endpunkt verwendet wird. Wenn eine neue Nachricht eintrifft, z. B. eine ACK oder 200 OK, vergleicht das ALG die Felder "From:, To:, and Call-ID:" mit der Anruftabelle, um den Anrufkontext der Nachricht zu identifizieren. Wenn eine neue INVITE-Nachricht eintrifft, die dem vorhandenen Anruf entspricht, verarbeitet die ALG sie als REINVITE.
Wenn eine Nachricht mit SDP-Informationen eintrifft, weist das ALG Ports zu und erstellt eine NAT-Zuordnung zwischen ihnen und den Ports in der SDP. Da für die SDP sequenzielle Ports für die RtP- (Real-Time Transport Protocol) und RTCP-Kanäle (Real-Time Control Protocol) erforderlich sind, bietet das ALG gerade ungerade Aufeinanderfolgen von Ports. Wenn es kein Paar Ports finden kann, verwirft es die SIP-Nachricht.
IPv6 wird auf dem SIP ALG zusammen mit NAT-PT-Modus und NAT64-Adressenübersetzung unterstützt.
Dieses Thema enthält die folgenden Abschnitte:
- Ausgehende Anrufe
- Eingehende Anrufe
- Weitergeleitete Anrufe
- Anrufbeendigung
- Nachrichten zur erneuten Einladung von Anrufen
- Anrufsitzungs-Timer
- Stornierung von Anrufen
- Gabelung
- SIP-Nachrichten
- SIP-Header
- SIP-Text
- SIP-NAT-Szenario
- Kurse von SIP-Antworten
- NAT-Modus im reinen IPv6-Modus (NAT66) für SIP IPv6 ALG
- NAT-PT
- NAT64
- STUN und SIP ALG
Ausgehende Anrufe
Wenn ein SIP-Anruf mit einer SIP-Anfragenachricht vom internen zum externen Netzwerk eingeleitet wird, ersetzt NAT die IP-Adressen und Portnummern in der SDP und bindet die IP-Adressen und Portnummern an die Firewall von Juniper Networks. Via-, Contact-, Route- und Record-Route SIP-Header-Felder sind, falls vorhanden, auch an die Firewall-IP-Adresse gebunden. Das ALG speichert diese Zuordnungen für die Verwendung in Retransmissionen und für SIP-Antwortnachrichten.
Das SIP ALG öffnet dann Pinholes in der Firewall, um Medien über das Gerät auf den dynamisch zugewiesenen Ports zu ermöglichen, die basierend auf Informationen in den SDP- und den Via-, Contact- und Record-Route-Headerfeldern ausgehandelt werden. Die Pinholes ermöglichen es auch eingehenden Paketen, die Kontakt-, Via- und Record-Route-IP-Adressen und -Ports zu erreichen. Bei der Verarbeitung des Rückverkehrs fügt das ALG die ursprünglichen SIP-Felder Contact, Via, Route und Record-Route wieder in Pakete ein.
Eingehende Anrufe
Eingehende Anrufe werden vom öffentlichen Netzwerk zu öffentlichen statischen NAT-Adressen oder zur Schnittstelle von IP-Adressen auf dem Gerät eingeleitet. Statische NATs sind statisch konfigurierte IP-Adressen, die auf interne Hosts verweisen; Schnittstellen-IP-Adressen werden vom ALG dynamisch aufgezeichnet, da es REGISTER-Nachrichten überwacht, die von internen Hosts an den SIP-Registrar gesendet werden. Wenn das Gerät ein eingehendes SIP-Paket empfängt, richtet es eine Sitzung ein und leitet die Payload des Pakets an das SIP ALG weiter.
Das ALG prüft die SIP-Anfragenachricht (zunächst eine EINLADUNG) und öffnet auf Der Grundlage der SDP-Informationen Tore für ausgehende Medien. Wenn eine 200-OK-Antwortnachricht eintrifft, führt das SIP ALG NAT an den IP-Adressen und Ports aus und öffnet Pinholes in Ausgehende Richtung. (Die geöffneten Tore haben eine kurze Time-to-Live und sie haben eine Auszeit, wenn eine 200 OK-Antwortnachricht nicht schnell empfangen wird.)
Wenn eine Antwort mit 200 OK eintrifft, überprüft der SIP-Proxy die SDP-Informationen und liest die IP-Adressen und Portnummern für jede Mediensitzung. Das SIP-ALG auf dem Gerät führt NAT an den Adressen und Portnummern aus, öffnet Pinholes für ausgehenden Datenverkehr und aktualisiert das Timeout für Gates inbound-Richtung.
Wenn der ACK für die 200 OK ankommt, passiert er auch das SIP ALG. Wenn die Nachricht SDP-Informationen enthält, stellt das SIP ALG sicher, dass die IP-Adressen und Portnummern nicht von der vorherigen EINLADUNG geändert werden. Wenn dies der Grund dafür ist, löscht das ALG alte Pinholes und erstellt neue Pinholes, damit Medien passieren können. Das ALG überwacht auch die SIP-Felder Via, Contact und Record-Route und öffnet neue Pinholes, wenn festgestellt wird, dass sich diese Felder geändert haben.
Weitergeleitete Anrufe
Ein weitergeleiteter Anruf ist beispielsweise dann, wenn Benutzer A außerhalb des Netzwerks Benutzer B im Netzwerk anruft und Benutzer B den Anruf an Benutzer C außerhalb des Netzwerks weiterleitet. Das SIP ALG verarbeitet die EINLADUNG von Benutzer A als normalen eingehenden Anruf. Wenn das ALG jedoch den weitergeleiteten Anruf von B nach C außerhalb des Netzwerks untersucht und feststellt, dass B und C über dieselbe Schnittstelle erreicht werden, werden keine Pinholes in der Firewall geöffnet, da die Medien direkt zwischen Benutzer A und Benutzer C fließen.
Anrufbeendigung
Die BYE-Nachricht beendet einen Anruf. Wenn das Gerät eine BYE-Nachricht empfängt, übersetzt es die Header-Felder genauso wie jede andere Nachricht. Da jedoch eine BYE-Nachricht vom Empfänger mit einem 200 OK erkannt werden muss, verzögert die ALG das Abreißen des Anrufs um 5 Sekunden, um die Übertragung des 200 OK zu ermöglichen.
Nachrichten zur erneuten Einladung von Anrufen
Re-INVITE-Nachrichten fügen einem Anruf neue Mediensitzungen hinzu und entfernen vorhandene Mediensitzungen. Wenn einem Anruf neue Mediensitzungen hinzugefügt werden, werden neue Pinholes in der Firewall geöffnet und neue Adressbindungen erstellt. Der Vorgang ist identisch mit der ursprünglichen Anrufeinrichtung. Wenn alle Mediensitzungen oder Medien-Pinholes aus einem Anruf entfernt werden, wird der Anruf entfernt, wenn eine BYE-Nachricht empfangen wird.
Anrufsitzungs-Timer
Als Vorsichtsmaßnahme verwendet das SIP ALG harte Timeout-Werte, um die maximale Zeit festzulegen, für die ein Anruf vorhanden sein kann. Auf diese Weise wird sichergestellt, dass das Gerät geschützt ist, sollte eines der folgenden Ereignisse auftreten:
Endsysteme stürzen während eines Anrufs ab, und eine BYE-Nachricht wird nicht empfangen.
Böswillige Benutzer senden niemals ein BYE, um ein SIP-ALG anzugreifen.
Unzureichende Implementierungen von SIP-Proxy verarbeiten Record-Route nicht und senden niemals eine BYE-Nachricht.
Netzwerkausfälle verhindern, dass eine BYE-Nachricht empfangen wird.
Stornierung von Anrufen
Jede Partei kann einen Anruf abbrechen, indem sie eine CANCEL-Nachricht sendet. Nach Empfang einer CANCEL-Nachricht schließt das SIP ALG die Pinholes durch die Firewall – falls vorhanden – und veröffentlicht Adressbindungen. Bevor die Ressourcen freigegeben werden, verzögert die ALG das Age-out des Kontrollkanals um etwa 5 Sekunden, um die Zeit für das endgültige 200 OK zu ermöglichen. Der Anruf wird beendet, wenn das 5-Sekunden-Timeout abläuft, unabhängig davon, ob eine 487- oder nicht-200-Antwort eintrifft.
Gabelung
Forking ermöglicht es einem SIP-Proxy, eine einzelne INVITE-Nachricht gleichzeitig an mehrere Ziele zu senden. Wenn die mehreren 200 OK-Antwortmeldungen für den einzelnen Anruf eintreffen, analysiert das SIP ALG die Anrufinformationen mit den ersten 200 OK-Nachrichten, die es empfängt, aber aktualisiert.
SIP-Nachrichten
Das SIP-Nachrichtenformat besteht aus einem SIP-Header-Abschnitt und dem SIP-Text. In Anforderungsmeldungen ist die erste Zeile des Header-Abschnitts die Anforderungszeile, die den Methodentyp, request-URI und die Protokollversion umfasst. In Antwortmeldungen ist die erste Zeile die Statuszeile, die einen Statuscode enthält. SIP-Header enthalten IP-Adressen und Portnummern, die für die Signalübertragung verwendet werden. Der SIP-Text, der durch eine Leere vom Header-Abschnitt getrennt ist, ist für Informationen zur Sitzungsbeschreibung reserviert, was optional ist. Junos OS unterstützt derzeit nur SDP. Der SIP-Text enthält IP-Adressen und Portnummern, die für die Übertragung der Medien verwendet werden.
SIP-Header
In der folgenden SIP-Anfrage-Beispielnachricht ersetzt NAT die IP-Adressen in den Header-Feldern, um sie außerhalb des Netzwerks zu verbergen.
INVITE bob@10.150.20.5SIP/2.0 Via: SIP/2.0/UDP10.150.20.3:5434 From: alice@10.150.20.3To: bob@10.150.20.5Call-ID: a12abcde@10.150.20.3Contact: alice@10.150.20.3:5434 Route: <sip:netscreen@10.150.20.3:5060> Record-Route: <sip:netscreen@10.150.20.3:5060>
Wie die IP-Adressenübersetzung durchgeführt wird, hängt vom Typ und der Richtung der Nachricht ab. Eine Nachricht kann eine der folgenden Sein:
Eingehende Anfrage
Ausgehende Reaktion
Ausgehende Anfrage
Eingehende Reaktion
Tabelle 1 zeigt, wie in jedem dieser Fälle NAT durchgeführt wird. Beachten Sie, dass die ALG bei mehreren Headerfeldern mehr als nur bestimmt, ob die Nachrichten von innen oder außerhalb des Netzwerks kommen. Er muss auch bestimmen, welcher Client den Anruf initiiert hat und ob es sich bei der Nachricht um eine Anfrage oder Antwort handelt.
Eingehende Anfrage (von öffentlichen zu privaten) |
An: |
Ersetzen der Domäne durch lokale Adresse |
Von: |
Nichts |
|
Anruf-ID: |
Nichts |
|
Über: |
Nichts |
|
Request-URI: |
ALG-Adresse durch lokale Adresse ersetzen |
|
Kontakt: |
Nichts |
|
Rekordroute: |
Nichts |
|
Route: |
Nichts |
|
Ausgehende Reaktion (von privat bis öffentlich) |
An: |
ALG-Adresse durch lokale Adresse ersetzen |
Von: |
Nichts |
|
Anruf-ID: |
Nichts |
|
Über: |
Nichts |
|
Request-URI: |
k. A. |
|
Kontakt: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Rekordroute: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Route: |
Nichts |
|
Ausgehende Anfrage (von privat bis öffentlich) |
An: |
Nichts |
Von: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Anruf-ID: |
Nichts |
|
Über: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Request-URI: |
Nichts |
|
Kontakt: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Rekordroute: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Route: |
Lokale Adresse durch ALG-Adresse ersetzen |
|
Ausgehende Reaktion (von öffentlichen zu privaten) |
An: |
Nichts |
Von: |
ALG-Adresse durch lokale Adresse ersetzen |
|
Anruf-ID: |
Nichts |
|
Über: |
ALG-Adresse durch lokale Adresse ersetzen |
|
Request-URI: |
k. A. |
|
Kontakt: |
Nichts |
|
Rekordroute: |
ALG-Adresse durch lokale Adresse ersetzen |
|
Route: |
ALG-Adresse durch lokale Adresse ersetzen |
SIP-Text
Die SDP-Informationen im SIP-Text enthalten IP-Adressen, die das ALG zum Erstellen von Kanälen für den Medienstream verwendet. Die Übersetzung des SDP-Abschnitts weist auch Ressourcen zu, d. h. Portnummern, die gesendet und empfangen werden sollen.
Der folgende Auszug aus einem Beispiel-SDP-Abschnitt zeigt die Felder, die für die Ressourcenzuweisung übersetzt werden.
o=user 2344234 55234434 IN IP410.150.20.3c=IN IP410.150.20.3m=audio43249RTP/AVP 0
SIP-Nachrichten können mehr als einen Medien-Stream enthalten. Das Konzept ähnelt dem Anhängen mehrerer Dateien an eine E-Mail-Nachricht. Beispielsweise kann eine EINLADUNGsnachricht, die von einem SIP-Client an einen SIP-Server gesendet wird, folgende Felder aufweisen:
c=IN IP410.123.33.4m=audio33445RTP/AVP 0 c=IN IP410.123.33.4m=audio33447RTP/AVP 0 c=IN IP410.123.33.4m=audio33449RTP/AVP 0
Junos OS unterstützt bis zu 6 für jede Richtung ausgehandelte SDP-Kanäle für insgesamt 12 Kanäle pro Anruf. Weitere Informationen finden Sie unter Understanding the SIP ALG.
SIP-NAT-Szenario
Abbildung 2 und Abbildung 3 zeigen einen SIP-Anruf INVITE und 200 OK. In Abbildung 2 sendet ph1 eine SIP-EINLADUNGsnachricht an ph2. Beachten Sie, wie die IP-Adressen in den Kopfzeilenfeldern , die in fetter Schrift angezeigt werden, vom Gerät übersetzt werden.
Der SDP-Abschnitt der INVITE-Nachricht gibt an, wo der Anrufer bereit ist, Medien zu erhalten. Beachten Sie, dass das Media Pinhole für RTCP und RTP zwei Portnummern enthält, 52002 und 52003. Das Via/Contact Pinhole gibt die Portnummer 5060 für DIE SIP-Signalübertragung an.
Beobachten Sie, wie in der Antwortnachricht 200 OK in Abbildung 3 die in der INVITE-Nachricht durchgeführten Übersetzungen umgekehrt werden. Die in dieser Nachricht aufgeführten IP-Adressen werden nicht übersetzt, aber Die Tore werden geöffnet, um den Zugriff auf das private Netzwerk über medienstromgebundene Medien zu ermöglichen.
Kurse von SIP-Antworten
SIP-Antworten liefern Statusinformationen zu SIP-Transaktionen und enthalten einen Antwortcode und einen Grundbegriff. SIP-Antworten werden in die folgenden Klassen gruppiert:
Informational (100 bis 199) – Anfrage eingegangen, weiter bearbeiten.
Erfolg (200 bis 299) – Aktion wurde erfolgreich empfangen, verstanden und akzeptiert.
Umleitung (300 auf 399): Weitere Maßnahmen, die zum Ausfüllen der Anfrage erforderlich sind.
Clientfehler (400 bis 499): Die Anfrage enthält eine schlechte Syntax oder kann auf diesem Server nicht erfüllt werden.
Serverfehler (500 bis 599): Server konnte eine offenbar gültige Anfrage nicht erfüllen.
Globaler Fehler (600 bis 699): Die Anfrage kann auf keinem Server erfüllt werden.
Tabelle 2 enthält eine vollständige Liste der aktuellen SIP-Antworten.
Informations |
100 versuchen |
180 Ringing |
181 Anruf wird weitergeleitet |
182 in der Warteschlange |
183 Sitzungsfortschritt |
|
|
Erfolg |
200 OK |
202 angenommen |
|
Umleitung |
300 Verschiedene Auswahlmöglichkeiten |
301 dauerhaft verschoben |
302 vorübergehend verschoben |
305 Proxy verwenden |
380 Alternativer Service |
|
|
Clientfehler |
400 Schlechte Anfrage |
401 Nicht autorisierte |
402 Zahlung erforderlich |
403 Verboten |
404 nicht gefunden |
405-Methode nicht zulässig |
|
406 Nicht akzeptabel |
407 Proxy-Authentifizierung erforderlich |
408 Time-out für Anfragen |
|
409 Konflikt |
410 verschwunden |
411 Länge erforderlich |
|
413 Anfrage-Entität zu groß |
414 Anfrage-URL zu groß |
415 Nicht mehr unterstützter Medientyp |
|
420 Schlechte Erweiterung |
480 Vorübergehend nicht verfügbar |
481 Anruf-Leg/Transaktion nicht vorhanden |
|
482 Loop erkannt |
483 Zu viele Hops |
484 Adresse unvollständig |
|
485 Mehrdeutig |
486 Beschäftigt hier |
487 Anfrage abgebrochen |
|
488 Hier nicht akzeptabel |
|
|
|
Serverfehler |
500 Server interner Fehler |
501 Nicht implementiert |
502 Schlechtes Gateway |
502 Service nicht verfügbar |
Time-out für 504 Gateways |
505 SIP-Version nicht unterstützt |
|
Globaler Fehler |
600 überall beschäftigt |
Rückgang 603 |
604 Existiert nirgendwo |
606 Nicht akzeptabel |
|
|
NAT-Modus im reinen IPv6-Modus (NAT66) für SIP IPv6 ALG
Das SIP IPv6 ALG unterstützt NAT66 genau wie NAT44. NAT66 (IPv6 NAT) bietet Quell-NAT und statische NAT-Funktionen ähnlich NAT44 (IPv4 NAT).
NAT-PT
Network Address Translation Protocol Translation (NAT-PT) (RFC 2766) ist ein Protokollübersetzungsmechanismus, der die Kommunikation zwischen nur IPv6- und IPv4-Knoten über eine protokollunabhängige Übersetzung von IPv4- und IPv6-Datagrammen ermöglicht. Für die Sitzung sind keine Statusinformationen erforderlich.
NAT-PT wird durch normale NAT implementiert, von IPv6-Adresse zu IPv4-Adresse und umgekehrt. Das SIP ALG verarbeitet diese Adressübersetzungen im Payload genauso, wie die Adressen in normaler NAT verarbeitet werden.
NAT-PT bindet die Adressen im IPv6-Netzwerk an Adressen im IPv4-Netzwerk und umgekehrt, um ein transparentes Routing für die Datagramme bereitzustellen, die zwischen Adressbereichen übertragen werden.
Der Hauptvorteil von NAT-PT besteht darin, dass die Endgeräte und Netzwerke entweder IPv4-Adressen oder IPv6-Adressen ausführen können und der Datenverkehr von jeder Seite gestartet werden kann.
NAT64
NAT64 ist ein Mechanismus, mit dem IPv6-Hosts mit IPv4-Servern kommunizieren können. NAT64 ist erforderlich, um die Zuordnung von IPv6- zu IPv4-Adressen zu behalten. Eine solche Adresszuordnung wird entweder statisch vom Systemadministrator konfiguriert (zustandslose Übersetzung) oder häufiger automatisch erstellt, wenn das erste Paket aus dem IPv6-Netzwerk NAT64 erreicht, das übersetzt werden soll (stateful).
NAT64 wird auf Geräten mit persistenter NAT implementiert. Wenn die erste SIP-Anfragenachricht (das erste Paket sollte nur aus IPv6 stammen) das DUT quer durchgeht, wird die Adressbindung erstellt und dann können die Pakete in beide Richtungen fließen.
Der NAT64-Mechanismus übersetzt IPv6-Pakete in IPv4-Pakete und umgekehrt, wodurch IPv6-Clients mithilfe von Unicast UDP, TCP oder ICMP Kontakt zu den IPv4-Servern aufnehmen können. Das NAT-PT- und NAT64-Verhalten scheint ähnlich zu sein, aber diese Mechanismen werden unterschiedlich implementiert.
Wenn NAT64 mit persistenter NAT implementiert ist, fügt SIP ALG mit IPv6-Unterstützung die NAT-Übersetzung zur persistenten NAT-Bindungstabelle hinzu, wenn NAT auf der Adressenadresse des Datensatzes konfiguriert ist. Da persistente NAT die konfigurierte Adresse nicht duplizieren kann, wird die Koexistenz von NAT66- und NAT64-Konfigurationen auf der gleichen Adresse nicht unterstützt.
Für dieselbe Quell-IP-Adresse wird nur eine Bindung erstellt.
STUN und SIP ALG
Session Traversal Utilities für NAT (STUN) ist eine Lösung, mit der VoIP über NAT und Firewall funktionieren kann.
Zuvor hatte STUN ohne SIP ALG gearbeitet. Dies bedeutet, dass das SIP ALG nicht beteiligt war, wenn persistente NAT konfiguriert wurde.
STUN kann mit dem SIP ALG koexistieren und SIP ALG ist beteiligt, wenn persistente NAT konfiguriert wird.
Verstehen des eingehenden SIP ALG-Anrufsupports mit dem SIP-Registrar und NAT
Die Session Initiation Protocol (SIP)-Registrierung bietet eine Erkennungsfunktion, anhand derer SIP-Proxys und Standortserver den Standort oder die Standorte identifizieren können, an denen Benutzer kontaktiert werden möchten. Ein Benutzer registriert einen oder mehrere Kontaktorte, indem er eine REGISTER-Nachricht an den Registrar sendet. Die To- und Contact-Felder in der REGISTER-Nachricht enthalten den Uniform Resource Identifier (URI) und mindestens eine Kontakt-URIs (siehe Abbildung 4). Die Registrierung erstellt Bindungen in einem Standortdienst, der die Adressdaten mit der Kontaktadresse oder den Adressen verknüpft.
Das Gerät überwacht ausgehende REGISTER-Nachrichten, führt Network Address Translation (NAT) auf diesen Adressen aus und speichert die Informationen in einer eingehenden NAT-Tabelle. Wenn dann eine INVITE-Nachricht von außerhalb des Netzwerks empfangen wird, verwendet das Gerät die eingehende NAT-Tabelle, um zu ermitteln, an welchen internen Host die INVITE-Nachricht weitergeleitet werden soll. Sie können den SIP-Proxyregistrierungsdienst nutzen, um eingehende Anrufe zu ermöglichen, indem Sie Schnittstellenquellen-NAT oder NAT-Pools auf der Ausgangsschnittstelle des Geräts konfigurieren. Schnittstellenquellen-NAT eignet sich für die Bearbeitung eingehender Anrufe in einem kleinen Büro, während wir die Einrichtung von Nat-Quellpools für größere Netzwerke oder Unternehmensumgebungen empfehlen.
Unterstützung eingehender Anrufe über Schnittstellen-NAT oder einen Quell-NAT-Pool wird nur für SIP- und H.323-Dienste unterstützt. Bei eingehenden Anrufen unterstützt Junos OS derzeit nur UDP und TCP. Die Auflösung des Domänennamens wird derzeit ebenfalls nicht unterstützt; daher müssen URIs IP-Adressen enthalten, wie in Abbildung 4 dargestellt.
Beispiel: Festlegen von SIP ALG-Anrufdauer und Timeouts
In diesem Beispiel wird gezeigt, wie die Anrufdauer und das Media-Inaktivitäts-Timeout festgelegt werden.
Anforderungen
Überprüfen Sie vor Beginn der Anrufdauer und der Timeout-Funktionen, die zur Steuerung der SIP-Anrufaktivität verwendet werden. Erfahren Sie mehr über die Dauer und Timeouts von SIP ALG-Anrufen.
Übersicht
Die Anrufdauer- und Inaktivitäts-Media-Timeout-Funktionen helfen Ihnen, Netzwerkressourcen zu sparen und den Durchsatz zu maximieren.
Der maximum-call-duration Parameter legt die maximal zulässige Dauer der Zeit fest, in der ein Anruf aktiv sein kann. Wenn die Dauer überschritten wird, bricht das SIP ALG den Anruf ab und veröffentlicht die Mediensitzungen. Die Standardeinstellung beträgt 720 Minuten und der Bereich beträgt 3 bis 720 Minuten. Durch diese Einstellung wird auch bandbreitenfrei, wenn Anrufe nicht ordnungsgemäß beendet werden.
Der inactive-media-timeout Parameter gibt die maximale Dauer der Zeit (in Sekunden) an, die ein Anruf ohne rtp- oder RTPC-Datenverkehr innerhalb einer Gruppe aktiv bleiben kann. Jedes Mal, wenn ein RTP- oder RTCP-Paket innerhalb eines Anrufs stattfindet, wird dieses Timeout zurückgesetzt. Wenn die Inaktivitätszeit diese Einstellung überschreitet, werden die sip ALG temporären Öffnungen (Pinholes) für Medien in der Firewall geschlossen. Die Standardeinstellung beträgt 120 Sekunden und der Bereich beträgt 10 bis 2550 Sekunden. Beim Timeout werden zwar Ressourcen für Medien (Sitzungen und Pinholes) entfernt, der Anruf wird jedoch nicht beendet.
In diesem Beispiel wird die Anrufdauer auf 36000 Sekunden und das Media-Inaktivitäts-Timeout auf 90 Sekunden festgelegt.
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So legen Sie die Sip ALG-Anrufdauer und das Media-Inaktivitäts-Timeout fest:
Wählen Sie "Configure >Security >ALG".
Wählen Sie die Registerkarte SIP aus.
Geben Sie im Feld Maximale Anrufdauer ein
600.Geben Sie im Feld Inaktive Medien-Timeout ein
90.Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf Commit-Optionen >Commit.
Schritt-für-Schritt-Verfahren
So legen Sie die Sip ALG-Anrufdauer und das Media-Inaktivitäts-Timeout fest:
Konfigurieren Sie die SIP ALG-Anrufdauer.
[edit] user@host# set security alg sip maximum-call-duration 600
Konfigurieren Sie das SIP ALG-Inaktivitätsmedien-Timeout.
[edit] user@host# set security alg sip inactive-media-timeout 90
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg sip Befehl ein.
Beispiel: Konfiguration von SIP ALG DoS-Angriffsschutz
In diesem Beispiel wird die Konfiguration der DoS-Angriffsschutzfunktion dargestellt.
Anforderungen
Bevor Sie beginnen, überprüfen Sie die DoS-Angriffsschutzfunktion zur Steuerung der SIP-Anrufaktivität. Erfahren Sie mehr über den Schutz vor SIP-ALG-DoS-Angriffen.
Übersicht
Die Fähigkeit des SIP-Proxyservers zur Verarbeitung von Anrufen kann durch wiederholte SIP-EINLADUNGsanforderungen beeinträchtigt werden – Anforderungen, die dem Server zunächst verweigert wurden. Mit der DoS-Schutzfunktion können Sie das Gerät so konfigurieren, dass es INVITE-Anfragen überwacht und Proxyserver-Antworten darauf überprüft.
In diesem Beispiel ist das Gerät so konfiguriert, dass es einen einzelnen SIP-Proxyserver (10.1.1.3) vor wiederholten INVITE-Anforderungen schützt, denen der Dienst bereits verweigert wurde. Pakete werden für einen Zeitraum von 5 Sekunden abgebrochen, danach nimmt das Gerät die Einladungsanfragen von diesen Quellen weiter.
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So konfigurieren Sie den SIP ALG DoS-Angriffsschutz:
-
Wählen Sie Configure>Security>ALG.
-
Wählen Sie die Registerkarte SIP aus.
-
Klicken Sie im Bereich Schutz vor Angriffen aktivieren auf die Option Ausgewählte Server .
-
Geben Sie im Feld Ziel-IP ein
10.1.1.3, und klicken Sie auf Hinzufügen. -
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
-
Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf Commit-Optionen>Commit.
Schritt-für-Schritt-Verfahren
So konfigurieren Sie den SIP ALG DoS-Angriffsschutz:
-
Konfigurieren Sie das Gerät zum Schutz eines einzelnen SIP-Proxyservers.
[edit] user@host# set security alg sip application-screen protect deny destination-ip 10.1.1.3
Hinweis:IPv6 wird auf dem SIP ALG zusammen mit dem NAT-PT-Modus (Network Address Translation Protocol Translation) und NAT64-Adressenübersetzung unterstützt.
Der Typ der <destination-ip-address> wird von IPv4-Adresse zu IP-Präfix geändert, um alle Arten von IP-Adressen zu unterstützen, und entsprechend wird ein Präfix unterstützt, um mehrere IP-Adressen zu ermöglichen.
-
Konfigurieren Sie das Gerät für die Sperrzeit.
[edit] user@host# set security alg sip application-screen protect deny timeout 5
-
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg sip Befehl ein.
Beispiel: Unbekannte SIP-ALG-Nachrichtentypen zulassen
In diesem Beispiel wird gezeigt, wie unbekannte Nachrichtentypen zugelassen werden.
Anforderungen
Bevor Sie beginnen, überprüfen Sie, wie nicht identifizierte SIP-Nachrichten vom Gerät gehandhabt werden. Erfahren Sie mehr über die unbekannten NACHRICHTENtypen von SIP ALG.
Übersicht
In diesem Beispiel konfigurieren Sie das Gerät so, dass unbekannte Nachrichtentypen im SIP-Datenverkehr sowohl im NAT-Modus als auch im Routenmodus zugelassen werden. Standardmäßig werden unbekannte (nicht unterstützte) Nachrichten abgesetzt.
Konfiguration
Verfahren
Gui Quick-Konfiguration
Schritt-für-Schritt-Verfahren
So ermöglichen Sie unbekannte SIP ALG-Nachrichtentypen:
Wählen Sie Configure>Security>ALG.
Wählen Sie die Registerkarte SIP aus.
Aktivieren Sie das Kontrollkästchen AKTIVIERT NAT zulassen angewendet .
Aktivieren Sie das Kontrollkästchen Zulassen geroutet aktivieren .
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Wenn Sie die Konfiguration des Geräts durchgeführt haben, klicken Sie auf Commit-Optionen>Commit.
Schritt-für-Schritt-Verfahren
So ermöglichen Sie unbekannte SIP ALG-Nachrichtentypen:
Konfigurieren Sie das Gerät, um unbekannte Nachrichtentypen im SIP-Datenverkehr zuzulassen.
[edit] user@host# set security alg sip application-screen unknown-message permit-nat-applied permit-routed
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security alg sip Befehl ein.
Beispiel: Konfigurieren von Schnittstellenquellen-NAT für eingehende SIP-Anrufe
In diesem Beispiel wird gezeigt, wie eine Quell-NAT-Regel an einer öffentlichen Zone-Schnittstelle konfiguriert wird, sodass NAT für eingehende SIP-Anrufe verwendet werden kann.
Anforderungen
Bevor Sie beginnen, verstehen Sie, wie NAT mit dem SIP ALG funktioniert. Erfahren Sie mehr über das SIP ALG und NAT.
Übersicht
In einem Zwei-Zonen-Szenario mit dem SIP-Proxyserver in einer externen Zone können Sie NAT für eingehende Anrufe verwenden, indem Sie eine Quell-NAT-Regel an der Schnittstelle in der öffentlichen oder externen Zone konfigurieren.
In diesem Beispiel (siehe Abbildung 5) befindet sich Phone1 an der Ge-0/0/0-Schnittstelle in der privaten Zone, und Phone2 und der Proxyserver befinden sich auf der GE-0/0/2-Schnittstelle in der öffentlichen Zone. Sie konfigurieren eine Quell-NAT-Regel auf der öffentlichen Schnittstelle ge-0/0/2.0.
Topologie
Abbildung 5 zeigt Quell-NAT für eingehende SIP-Anrufe.
In diesem Beispiel konfigurieren Sie Adressbücher, die im Quell-NAT-Regelsatz verwendet werden, nachdem Sie Zonen namens "privat" und "öffentlich" erstellt und Schnittstellen zugewiesen haben. Dann konfigurieren Sie Quell-NAT, indem Sie einen Regelsatz namens sip-phones und eine Regel namens Phone1 definieren, die alle Pakete von der Quelladresse 10.1.1.2/32 abgleicht.
Schließlich erstellen Sie Sicherheitsrichtlinien, um den gesamten SIP-Datenverkehr zwischen privaten und öffentlichen Zonen zu ermöglichen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address phone1 10.1.1.2/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address proxy 172.16.1.3/32 set security zones security-zone public address-book address phone2 172.16.1.2/32 set security zones security-zone public interfaces ge-0/0/2.0 set security nat source rule-set sip-phones from zone private set security nat source rule-set sip-phones to zone public set security nat source rule-set sip-phones rule phone1 match source-address 10.1.1.2/32 set security nat source rule-set sip-phones rule phone1 then source-nat interface set security policies from-zone private to-zone public policy outgoing match source-address phone1 set security policies from-zone private to-zone public policy outgoing match destination-address phone2 set security policies from-zone private to-zone public policy outgoing match destination-address proxy set security policies from-zone private to-zone public policy outgoing match application junos-sip set security policies from-zone private to-zone public policy outgoing then permit set security policies from-zone public to-zone private policy incoming match source-address phone2 set security policies from-zone public to-zone private policy incoming match destination-address phone1 set security policies from-zone public to-zone private policy incoming match source-address proxy set security policies from-zone public to-zone private policy incoming match application junos-sip set security policies from-zone public to-zone private policy incoming then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Quell-NAT-Regel an einer Schnittstelle für öffentliche Zonen:
-
Schnittstellen konfigurieren.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24
-
Konfigurieren Sie Zonen und weisen Sie sie den Schnittstellen zu.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/2.0
-
Konfigurieren Sie Adressbücher und erstellen Sie Adressen.
[edit security zones] user@host# set security-zone private address-book address phone1 10.1.1.2/32 user@host# set security-zone public address-book address proxy 172.16.1.3/32 user@host# set security-zone public address-book address phone2 172.16.1.2/32
-
Konfigurieren Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set sip-phones from zone private user@host# set rule-set sip-phones to zone public user@host# set rule-set sip-phones rule phone1 match source-address 10.1.1.2/32 user@host# set rule-set sip-phones rule phone1 then source-nat interface
-
Aktivieren Sie die persistente Quell-NAT-Übersetzung.
[edit security nat source] user@host# set address-persistent
-
Konfigurieren Sie eine Sicherheitsrichtlinie, um ausgehenden SIP-Datenverkehr zu ermöglichen.
[edit security policies from-zone private to-zone public policy outgoing] user@host# set match source-address phone1 user@host# set match destination-address phone2 user@host# set match destination-address proxy user@host# set match application junos-sip user@host# set then permit
-
Konfigurieren Sie eine Sicherheitsrichtlinie, um eingehenden SIP-Datenverkehr zu ermöglichen.
[edit security policies from-zone public to-zone private policy incoming] user@host# set match source-address phone2 user@host# set match destination-address phone1 user@host# set match source-address proxy user@host# set match application junos-sip user@host# set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security policiesundshow security nat. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address phone1 10.1.1.2/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address proxy 172.16.1.3/32;
address phone2 172.16.1.2/32;
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show security nat
source {
rule-set sip-phones {
from zone private;
to zone public;
rule phone1 {
match {
source-address 10.1.1.2/32;
}
then {
source-nat {
interface;
}
}
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy outgoing {
match {
source-address phone1;
destination-address [ phone2 proxy ];
application junos-sip;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy incoming {
match {
source-address [ phone2 proxy ];
destination-address phone1 ;
application junos-sip;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
Überprüfen der Quell-NAT-Regelnutzung
Zweck
Überprüfen Sie, ob der Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
user@host> show security nat source rule all
source NAT rule: phone1 Rule-set: sip-phones
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits Feld zeigt, dass der Datenverkehr nicht mit der Quell-NAT-Regel übereinstimmt.
Überprüfen des SIP ALG-Status
Zweck
Vergewissern Sie sich, dass SIP ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den SIP ALG-Status wie folgt an:
-
Aktiviert– Zeigt an, dass SIP ALG aktiviert ist.
-
Deaktiviert – Zeigt an, dass das SIP ALG deaktiviert ist.
Beispiel: Reduzierung der Netzwerkkomplexität durch Konfiguration eines Quell-NAT-Pools für eingehende SIP-Anrufe
Dieses Beispiel zeigt, wie Sie die Netzwerkkomplexität reduzieren können, indem Sie einen Quell-NAT-Pool auf einer externen Schnittstelle konfigurieren, um NAT für eingehende SIP-Anrufe zu aktivieren.
Anforderungen
Bevor Sie beginnen, verstehen Sie, wie NAT mit dem SIP ALG funktioniert. Erfahren Sie mehr über das SIP ALG und NAT.
Übersicht
In einem Zwei-Zonen-Szenario mit dem SIP-Proxyserver in einer externen oder öffentlichen Zone können Sie NAT für eingehende Anrufe verwenden, indem Sie einen NAT-Pool an der Schnittstelle zur öffentlichen Zone konfigurieren.
In diesem Beispiel (siehe Abbildung 6) befindet sich Phone1 in der privaten Zone, Phone2 und der Proxyserver befinden sich in der öffentlichen Zone. Sie konfigurieren einen Quell-NAT-Pool für NAT. Sie erstellen auch eine Richtlinie, die SIP-Datenverkehr von der privaten zur öffentlichen Zone ermöglicht. Dadurch kann sich Phone1 in der privaten Zone beim Proxyserver in der öffentlichen Zone registrieren, und es ermöglicht auch eingehende Anrufe von der öffentlichen Zone zur privaten Zone.
Topologie
Abbildung 6 zeigt den Quell-NAT-Pool für eingehende Anrufe.
In diesem Beispiel konfigurieren Sie Quell-NAT wie folgt:
-
Definieren Sie den Quell-NAT-Pool namens SIP-NAT-Pool, um den IP-Adressbereich von 172.16.1.20/32 bis 172.16.1.40/32 zu enthalten.
-
Erstellen Sie einen Quell-NAT-Regelsatz namens sip-nat mit einer Regel sip-r1, um Pakete aus der privaten Zone mit der Quell-IP-Adresse 10.1.1.3/24 abgleichen zu können. Zum Abgleichen von Paketen wird die Quelladresse mit einer der IP-Adressen im SIP-NAT-Pool übersetzt.
-
Konfigurieren Sie Proxy-ARP für die Adressen 172.16.1.20/32 bis 172.16.1.40/32 auf der Schnittstelle ge-0/0/2.0. Dadurch kann das System auf ARP-Anfragen reagieren, die an der Schnittstelle für diese Adressen empfangen wurden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address phone1 10.1.1.3/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address proxy 172.16.1.3/32 set security zones security-zone public address-book address phone2 172.16.1.4/32 set security zones security-zone public interfaces ge-0/0/2.0 set security nat source pool sip-nat-pool address 172.16.1.20/32 to 172.16.1.40/32 set security nat source address-persistent set security nat source rule-set sip-nat from zone private set security nat source rule-set sip-nat to zone public set security nat source rule-set sip-nat rule sip-r1 match source-address 10.1.1.3/24 set security nat source rule-set sip-nat rule sip-r1 then source-nat pool sip-nat-pool set security nat proxy-arp interface ge-0/0/2.0 address 172.16.1.20/32 to 172.16.1.40/32 set security policies from-zone private to-zone public policy outgoing match source-address phone1 set security policies from-zone private to-zone public policy outgoing match destination-address any set security policies from-zone private to-zone public policy outgoing match application junos-sip set security policies from-zone private to-zone public policy outgoing then permit set security policies from-zone public to-zone private policy incoming match source-address phone2 set security policies from-zone public to-zone private policy incoming match destination-address phone1 set security policies from-zone public to-zone private policy incoming match application junos-sip set security policies from-zone public to-zone private policy incoming then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen Quell-NAT-Pool für eingehende Anrufe:
-
Schnittstellen konfigurieren.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24
-
Konfigurieren Sie Zonen und weisen Sie ihnen Schnittstellen zu.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/2.0
-
Adressbücher konfigurieren.
[edit security zones] user@host# set security-zone private address-book address phone1 10.1.1.3/32 user@host# set security-zone public address-book address proxy 172.16.1.3/32 user@host# set security-zone public address-book address phone2 172.16.1.4/32
-
Konfigurieren Sie einen Quell-NAT-Pool.
[edit security nat] user@host# set source pool sip-nat-pool address 172.16.1.20/32 to 172.16.1.40/32
-
Konfigurieren Sie einen Quell-NAT-Regelsatz mit einer Regel.
[edit security nat source rule-set sip-nat] user@host# set from zone private user@host# set to zone public user@host# set rule sip-r1 match source-address 10.1.1.3/24 user@host# set rule sip-r1 then source-nat pool sip-nat-pool
-
Aktivieren Sie persistente NAT.
[edit security nat] user@host# set source address-persistent
-
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/2.0 address 172.16.1.20/32 to 172.16.1.40/32
-
Konfigurieren Sie eine Sicherheitsrichtlinie, um ausgehenden SIP-Datenverkehr zu ermöglichen.
[edit security policies from-zone private to-zone public policy outgoing] set match source-address phone1 set match destination-address any set match application junos-sip set then permit
-
Konfigurieren Sie eine Sicherheitsrichtlinie, um eingehenden SIP-Datenverkehr zu ermöglichen.
[edit security policies from-zone public to-zone private policy incoming] set match source-address phone2 set match destination-address phone1 set match application junos-sip set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security natundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address phone1 10.1.1.3/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address proxy 172.16.1.3/32;
address phone2 172.16.1.4/32;
}
interfaces {
ge-0/0/2.0;
}
}
user@host# show security nat
source {
pool sip-nat-pool {
address {
172.16.1.20/32 to 172.16.1.40/32;
}
}
address-persistent;
rule-set sip-nat {
from zone private;
to zone public;
rule sip-r1 {
match {
source-address 10.1.1.3/24;
}
then {
source-nat {
pool {
sip-nat-pool;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
172.16.1.20/32 to 172.16.1.40/32;
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy outgoing {
match {
source-address phone1;
destination-address any;
application junos-sip;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy incoming {
match {
source-address phone2;
destination-address phone1;
application junos-sip;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
- Überprüfen der Quell-NAT-Poolnutzung
- Überprüfen der Quell-NAT-Regelnutzung
- Überprüfen des SIP ALG-Status
- Überprüfung der Sicherheitspolizeien von SIP ALG
Überprüfen der Quell-NAT-Poolnutzung
Zweck
Überprüfen Sie, ob der Datenverkehr über IP-Adressen aus dem Quell-NAT-Pool erfolgt.
Aktion
Geben Sie im Betriebsmodus den show security nat source pool all Befehl ein.
user@host> show security nat source pool all
Total pools: 1
Pool name : sip-nat-pool
Pool id : 4
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
port overloading : 1
Total addresses : 21
Translation hits : 0
Address range Single Ports Twin Ports
172.16.1.20 - 172.16.1.40 0 0
Bedeutung
Das Translation hits Feld zeigt, dass kein Datenverkehr von IP-Adressen aus dem Quell-NAT-Pool verwendet wird.
Überprüfen der Quell-NAT-Regelnutzung
Zweck
Überprüfen Sie, ob der Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein.
user@host> show security nat source rule all
source NAT rule: sip-r1 Rule-set: sip-nat
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits Feld zeigt, dass der Datenverkehr nicht mit der Quell-NAT-Regel übereinstimmt.
Überprüfen des SIP ALG-Status
Zweck
Vergewissern Sie sich, dass SIP ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den SIP ALG-Status wie folgt an:
-
•Aktiviert– Zeigt an, dass SIP ALG aktiviert ist.
-
•Deaktiviert – Zeigt an, dass das SIP ALG deaktiviert ist.
Überprüfung der Sicherheitspolizeien von SIP ALG
Zweck
Überprüfen Sie, ob die Quell-NAT zwischen öffentlicher und privater Zone festgelegt ist.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein.
user@host> show security policies
from-zone private to-zone public {
policy outgoing {
match {
source-address phone1;
destination-address any;
application junos-sip;
}
then {
permit;
}
}
from-zone public to-zone private {
policy incoming {
match {
source-address phone2;
destination-address phone1;
application junos-sip;
}
then {
permit;
}
}
Bedeutung
Die Beispielausgabe zeigt, dass die Quell-NAT zwischen öffentlicher und privater Zone festgelegt ist.
Beispiel: Konfigurieren statischer NAT für eingehende SIP-Anrufe
In diesem Beispiel wird gezeigt, wie sie eine statische NAT-Zuordnung konfigurieren, die Es Anrufern in der privaten Zone ermöglicht, sich beim Proxyserver in der öffentlichen Zone zu registrieren.
Anforderungen
Bevor Sie beginnen, verstehen Sie, wie NAT mit dem SIP ALG funktioniert. Erfahren Sie mehr über das SIP ALG und NAT.
Übersicht
Wenn sich ein SIP-Proxyserver in einer externen oder öffentlichen Zone befindet, können Sie statische NAT an der öffentlichen Schnittstelle konfigurieren, um Anrufern in der privaten Zone die Registrierung beim Proxyserver zu ermöglichen.
In diesem Beispiel (siehe Abbildung 7) befindet sich Phone1 an der Ge-0/0/0-Schnittstelle in der privaten Zone, und Phone2 und der Proxyserver befinden sich an der GE-0/0/2-Schnittstelle in der öffentlichen Zone. Sie erstellen einen statischen NAT-Regelsatz namens incoming-sip mit einer Regel namens Phone1, um Pakete aus der öffentlichen Zone mit der Zieladresse 172.16.1.3/32 abgleichen zu können. Zum Abgleichen von Paketen wird die Ziel-IP-Adresse mit der privaten Adresse 10.1.1.3/32 übersetzt. Sie erstellen auch Proxy-ARP für die Adresse 172.16.1.3/32 auf der Schnittstelle ge-0/0/2.0. Dadurch kann das System auf ARP-Anfragen reagieren, die an der Schnittstelle für diese Adressen empfangen wurden. Schließlich erstellen Sie eine Sicherheitsrichtlinie namens "Incoming", die SIP-Datenverkehr von der öffentlichen Zone zur privaten Zone ermöglicht.
Achten Sie bei der Konfiguration statischer NAT für eingehende SIP-Anrufe darauf, für jede private Adresse in der privaten Zone eine öffentliche Adresse zu konfigurieren.
Topologie
Abbildung 7 zeigt statische NAT für eingehende Anrufe.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone private address-book address phone1 10.1.1.5/32 set security zones security-zone public interfaces ge-0/0/2.0 set security zones security-zone public address-book address proxy 172.16.1.3/32 set security zones security-zone public address-book address phone2 172.16.1.4/32 set security nat static rule-set incoming-sip from zone public set security nat static rule-set incoming-sip rule phone1 match destination-address 172.16.1.3/32 set security nat static rule-set incoming-sip rule phone1 then static-nat prefix 10.1.1.3/32 set security nat proxy-arp interface ge-0/0/2.0 address 172.16.1.3/32 set security policies from-zone public to-zone private policy incoming match source-address phone2 set security policies from-zone public to-zone private policy incoming match source-address proxy set security policies from-zone public to-zone private policy incoming match destination-address phone1 set security policies from-zone public to-zone private policy incoming match application junos-sip set security policies from-zone public to-zone private policy incoming then permit set security policies from-zone private to-zone public policy outgoing match source-address phone1 set security policies from-zone private to-zone public policy outgoing match destination-address phone2 set security policies from-zone private to-zone public policy outgoing match destination-address proxy set security policies from-zone private to-zone public policy outgoing match application junos-sip set security policies from-zone private to-zone public policy outgoing then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie statische NAT für eingehende Anrufe:
-
Schnittstellen konfigurieren.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24
-
Erstellen Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/2.0
-
Den Sicherheitszonen Adressen zuweisen.
[edit security zones] user@host# set security-zone private address-book address phone1 10.1.1.5/32 user@host# set security-zone public address-book address proxy 172.16.1.3/32 user@host# set security-zone public address-book address phone2 172.16.1.4/32
-
Erstellen Sie einen statischen NAT-Regelsatz mit einer Regel.
[edit security nat static rule-set incoming-sip] user@host# set from zone public user@host# set rule phone1 match destination-address 172.16.1.3/32 user@host# set rule phone1 then static-nat prefix 10.1.1.3/32
-
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/2.0 address 172.16.1.3/32
-
Definieren Sie eine Sicherheitsrichtlinie, um eingehenden SIP-Datenverkehr zu ermöglichen.
[edit security policies from-zone public to-zone private policy incoming] user@host# set match source-address phone2 user@host# set match source-address proxy user@host# set match destination-address phone1 user@host# set match application junos-sip user@host# set then permit
-
Definieren Sie eine Sicherheitsrichtlinie, um ausgehenden SIP-Datenverkehr zu ermöglichen.
[edit security policies from-zone private to-zone public policy outgoing] user@host# set match source-address phone1 user@host# set match destination-address phone2 user@host# set match destination-address proxy user@host# set match application junos-sip user@host# set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security natundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address phone1 10.1.1.5/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address proxy 172.16.1.3/32;
address phone2 172.16.1.4/32;
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show security nat
static {
rule-set incoming-sip {
from zone public;
rule phone1 {
match {
destination-address 172.16.1.3/32;
}
then {
static-nat prefix 10.1.1.3/32;
}
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
172.16.1.3/32;
}
}
}
[edit]
user@host# show security policies
from-zone public to-zone private {
policy incoming {
match {
source-address phone2;
destination-address phone1;
application junos-sip;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy outgoing {
match {
source-address phone1;
destination-address [phone2 proxy];
application junos-sip;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
- Überprüfen der statischen NAT-Konfiguration
- Überprüfen des SIP ALG-Status
- Überprüfung der Sicherheitspolizeien von SIP ALG
Überprüfen der statischen NAT-Konfiguration
Zweck
Überprüfen Sie, ob datenverkehrsgleich mit dem statischen NAT-Regelsatz ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule all Befehl ein.
user@host> show security nat static rule all
Static NAT rule: phone1 Rule-set: incoming-sip Rule-Id : 1 Rule position : 1 From zone : public Destination addresses : 172.16.1.3 Host addresses : 172.16.1.4 Netmask : 24 Host routing-instance : N/A Translation hits : 4 Successful sessions : 4 Failed sessions : 0 Number of sessions : 4
Bedeutung
Das Translation hits Feld zeigt, dass der Datenverkehr dem statischen NAT-Regelsatz entspricht.
Überprüfen des SIP ALG-Status
Zweck
Vergewissern Sie sich, dass SIP ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den SIP ALG-Status wie folgt an:
-
•Aktiviert– Zeigt an, dass SIP ALG aktiviert ist.
-
•Deaktiviert – Zeigt an, dass das SIP ALG deaktiviert ist.
Überprüfung der Sicherheitspolizeien von SIP ALG
Zweck
Überprüfen Sie, ob die statische NAT zwischen öffentlicher und privater Zone festgelegt ist.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein.
user@host> show security policies
from-zone public to-zone private {
policy incoming {
match {
source-address [ phone2 proxy ];
destination-address phone1;
application junos-sip;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy outgoing {
match {
source-address phone1;
destination-address [ phone2 proxy ];
application junos-sip;
}
then {
permit;
}
}
}
Bedeutung
Die Beispielausgabe zeigt, dass die statische NAT zwischen öffentlicher und privater Zone festgelegt ist.
Beispiel: Konfigurieren des SIP-Proxys in der privaten Zone und NAT in der öffentlichen Zone
In diesem Beispiel wird gezeigt, wie ein SIP-Proxyserver in einer privaten Zone und statische NAT in einer öffentlichen Zone konfiguriert werden kann, um Anrufern in der öffentlichen Zone die Registrierung beim Proxyserver zu ermöglichen.
Anforderungen
Bevor Sie beginnen, verstehen Sie, wie NAT mit dem SIP ALG funktioniert. Erfahren Sie mehr über das SIP ALG und NAT.
Übersicht
Mit dem SIP-Proxyserver in der privaten Zone können Sie statische NAT auf der externen oder öffentlichen Schnittstelle konfigurieren, um Anrufern in der öffentlichen Zone die Registrierung beim Proxyserver zu ermöglichen.
In diesem Beispiel (siehe Abbildung 8) befinden sich Phone1 und der SIP-Proxyserver an der Ge-0/0/0-Schnittstelle in der privaten Zone, und Phone2 befindet sich an der GE-0/0/2-Schnittstelle in der öffentlichen Zone. Sie konfigurieren eine statische NAT-Regel für den Proxyserver, um phone2 die Registrierung beim Proxyserver zu ermöglichen, und erstellen dann eine Richtlinie namens ausgehend, die SIP-Datenverkehr von der öffentlichen zur privaten Zone ermöglicht, damit Anrufer in der öffentlichen Zone sich beim Proxyserver registrieren können. Sie konfigurieren auch eine Richtlinie, die von der privaten zur öffentlichen Zone eintreffen soll, damit Phone1 anrufen kann.
Topologie
Abbildung 8 zeigt die Konfiguration von SIP-Proxy in der privaten Zone und NAT in einer öffentlichen Zone.
In diesem Beispiel konfigurieren Sie NAT wie folgt:
-
Konfigurieren Sie statische NAT auf der GE-0/0/2-Schnittstelle zum Proxyserver mit einem Regelsatz namens incoming-sip mit einer Regel namens Proxy, um Pakete aus der öffentlichen Zone mit der Zieladresse 172.16.1.2/32 abgleichen zu können. Zum Abgleichen von Paketen wird die Ziel-IP-Adresse mit der privaten Adresse 10.1.1.5/32 übersetzt.
-
Konfigurieren Sie einen zweiten Regelsatz namens SIP-Phones mit einer Regel namens Phone1, um Schnittstellen-NAT für die Kommunikation von Phone1 zu Phone2 zu aktivieren.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24 set interfaces ge-0/0/2 unit 0 proxy-arp set security zones security-zone private address-book address phone1 10.1.1.3/32 set security zones security-zone private address-book address proxy 10.1.1.5/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address phone2 172.16.1.4/32 set security zones security-zone public interfaces ge-0/0/2.0 set security nat source rule-set sip-phones from zone private set security nat source rule-set sip-phones to zone public set security nat source rule-set sip-phones rule phone1 match source-address 10.1.1.3/32 set security nat source rule-set sip-phones rule phone1 then source-nat interface set security nat static rule-set incoming-sip from zone public set security nat static rule-set incoming-sip rule proxy match destination-address 172.16.1.2/32 set security nat static rule-set incoming-sip rule proxy then static-nat prefix 10.1.1.5/32 set security nat proxy-arp interface ge-0/0/2.0 address 172.16.1.2/32 set security policies from-zone private to-zone public policy outgoing match source-address any set security policies from-zone private to-zone public policy outgoing match destination-address phone2 set security policies from-zone private to-zone public policy outgoing match application junos-sip set security policies from-zone private to-zone public policy outgoing then permit set security policies from-zone public to-zone private policy incoming match source-address phone2 set security policies from-zone public to-zone private policy incoming match destination-address proxy set security policies from-zone public to-zone private policy incoming match application junos-sip set security policies from-zone public to-zone private policy incoming then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie statische NAT für eingehende Anrufe:
-
Schnittstellen konfigurieren.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24 user@host# set interfaces ge-0/0/2 unit 0 proxy-arp
-
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/2.0
-
Den Sicherheitszonen Adressen zuweisen.
[edit security zones] user@host# set security-zone private address-book address phone1 10.1.1.3/32 user@host# set security-zone private address-book address proxy 10.1.1.5/32 user@host# set security-zone public address-book address phone2 172.16.1.4/32
-
Erstellen Sie einen Regelsatz für statische NAT und weisen Sie dieser eine Regel zu.
[edit security nat static rule-set incoming-sip] user@host# set from zone public user@host# set rule proxy match destination-address 172.16.1.2/32 user@host# set rule proxy then static-nat prefix 10.1.1.5/32
-
Konfigurieren Sie Proxy-Arp für die 172.16.1.2/32-Adresse.
[edit security nat] user@host# proxy-arp interface ge-0/0/2.0 address 172.16.1.2/32
-
Konfigurieren Sie den zweiten Regelsatz und weisen Sie ihm eine Regel zu.
[edit security nat source rule-set sip-phones] user@host# set from zone private user@host# set to zone public user@host# set rule phone1 match source-address 10.1.1.3/32 user@host# set rule phone1 then source-nat interface
-
Konfigurieren Sie eine Sicherheitsrichtlinie für ausgehenden Datenverkehr.
[edit security policies from-zone private to-zone public policy outgoing] user@host# set match source-address any user@host# set match destination-address phone2 user@host# set match application junos-sip user@host# set then permit
-
Konfigurieren Sie eine Sicherheitsrichtlinie für eingehenden Datenverkehr.
[edit security policies from-zone public to-zone private policy incoming] user@host# set match source-address phone2 user@host# set match destination-address proxy user@host# set match application junos-sip user@host# set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security natundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
proxy-arp;
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address phone1 10.1.1.3/32;
address proxy 10.1.1.5/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address phone2 172.16.1.4/32;
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show security nat
source {
rule-set sip-phones {
from zone private;
to zone public;
rule phone1 {
match {
source-address 10.1.1.3/32;
}
then {
source-nat {
interface;
}
}
}
}
}
static {
rule-set incoming-sip {
from zone public;
rule proxy {
match {
destination-address 172.16.1.2/32;
}
then {
static-nat prefix 10.1.1.5/32;
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
172.16.1.2/32;
}
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy outgoing {
match {
source-address any;
destination-address phone2;
application junos-sip;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy incoming {
match {
source-address phone2;
destination-address proxy;
application junos-sip;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
- Überprüfen der statischen NAT-Konfiguration
- Überprüfen des SIP ALG-Status
- Überprüfung der Quell-NAT-Regel
- Überprüfung der Security Flow Session
Überprüfen der statischen NAT-Konfiguration
Zweck
Überprüfen Sie, ob datenverkehrsgleich mit dem statischen NAT-Regelsatz ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule all Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
user@host> show security nat static rule all
Total static-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Static NAT rule: proxy Rule-set: incoming-sip
Rule-Id : 2
Rule position : 1
From zone : public
Destination addresses : 172.16.1.2
Host addresses : 10.1.1.5
Netmask : 32
Host routing-instance : N/A
Translation hits : 23
Successful sessions : 23
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits Feld zeigt, dass 23 Datenverkehr mit der statischen NAT-Regel übereinstimmen.
Überprüfen des SIP ALG-Status
Zweck
Vergewissern Sie sich, dass SIP ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den SIP ALG-Status wie folgt an:
-
Aktiviert– Zeigt an, dass SIP ALG aktiviert ist.
-
Deaktiviert – Zeigt an, dass das SIP ALG deaktiviert ist.
Überprüfung der Quell-NAT-Regel
Zweck
Überprüfen Sie, ob die Quell-NAT-Regelkonfiguration.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein.
user@host> show security nat source rule all
Total referenced IPv4/IPv6 ip-prefixes: 1/0
source NAT rule: phone1 Rule-set: sip-phones
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 10.1.1.3 - 10.1.1.3
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 88
Successful sessions : 88
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits Feld zeigt, dass 88 Datenverkehr mit der Quell-NAT-Regel übereinstimmen.
Überprüfung der Security Flow Session
Zweck
Vergewissern Sie sich, dass das NAT-Übersetzungstelefon1 zu Phone2.
Aktion
Geben Sie im Betriebsmodus den run show security flow session Befehl ein.
user@host> run show security flow session Session ID: 169, Policy name: allow-all/4, Timeout: 2, Valid In: 10.1.1.3/4 --> 172.16.1.4/52517;icmp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1, Bytes: 84, Out: 172.16.1.4/52517 --> 172.16.1.1/25821;icmp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 1, Bytes: 84,
Bedeutung
Die Ausgabe zeigt das NAT-Übersetzungstelefon1 zu phone2 an.
Beispiel: Konfiguration eines Drei-Zonen-SIP-ALG- und NAT-Szenarios
In diesem Beispiel wird gezeigt, wie ein SIP-Proxyserver in einer privaten Zone und statische NAT in einer öffentlichen Zone konfiguriert werden kann, um Anrufern in der öffentlichen Zone die Registrierung beim Proxyserver zu ermöglichen.
Anforderungen
Bevor Sie beginnen, verstehen Sie, wie NAT mit dem SIP ALG funktioniert. Erfahren Sie mehr über das SIP ALG und NAT.
Übersicht
In einer DREI-Zonen-SIP-Konfiguration befindet sich der SIP-Proxyserver in der Regel in einer anderen Zone als der anrufende und als Systeme bezeichnete. Ein solches Szenario erfordert eine zusätzliche Adress- und Zonenkonfiguration und Richtlinien, um sicherzustellen, dass alle Systeme Zugriff aufeinander und auf den Proxyserver haben.
In diesem Beispiel befindet sich Phone1 auf der Ge-0/0/0.0-Schnittstelle in der privaten Zone, Phone2 auf der Ge-0/0/2.0-Schnittstelle in der öffentlichen Zone und der Proxyserver auf der ge-0/0/1.0-Schnittstelle in der DMZ. Sie konfigurieren die statische NAT-Regel für Phone1 in der privaten Zone. Anschließend erstellen Sie Richtlinien für den Datenverkehr, der von der privaten Zone zur DMZ und von der DMZ zur privaten Zone, von der öffentlichen Zone zur DMZ und von der DMZ zur öffentlichen Zone und von der privaten Zone zur öffentlichen Zone führt. Die Pfeile in Abbildung 9 zeigen den Sip-Signalfluss, wenn Phone2 in der öffentlichen Zone einen Anruf zu Phone1 in der privaten Zone abruft. Nachdem die Sitzung eingeleitet wurde, fließen die Daten direkt zwischen Phone1 und Phone2.
In diesem Beispiel konfigurieren Sie NAT wie folgt:
Konfigurieren Sie einen statischen NAT-Regelsatz namens incoming-sip mit einem Regeltelefon1, um Pakete aus der öffentlichen Zone mit der Zieladresse 10.1.2.3/32 abgleichen zu können. Zum Abgleichen von Paketen wird die Ziel-IP-Adresse mit der privaten Adresse 10.1.1.3/32 übersetzt.
Konfigurieren Sie Proxy-ARP für die Adresse 10.1.2.3/32 an der Schnittstelle ge-0/0/1.0, sodass das System auf ARP-Anforderungen reagieren kann, die an der Schnittstelle für diese Adresse eingehen.
Konfigurieren Sie einen zweiten Regelsatz namens sip-phones mit einer Regel r1, um Schnittstellen-NAT für die Kommunikation von Phone1 zum Proxy-Server und von Phone1 zu Phone2 zu aktivieren.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security nat static rule-set sip-phone from zone private set security nat static rule-set sip-phone from zone public set security nat static rule-set sip-phone rule phone1 match destination-address 10.1.2.3/32 set security nat static rule-set sip-phone rule phone1 then static-nat prefix 10.1.1.3/32 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.2/24 set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address phone1 10.1.1.3/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address phone2 172.16.1.4/32 set security zones security-zone public interfaces ge-0/0/2.0 set security zones security-zone dmz address-book address proxy 10.1.2.4/32 set security zones security-zone dmz interfaces ge-0/0/1.0 set security nat source rule-set sip-phones from zone private set security nat source rule-set sip-phones to zone dmz set security nat source rule-set sip-phones rule r1 match source-address 10.1.1.3/32 set security nat source rule-set sip-phones rule r1 then source-nat interface set security policies from-zone private to-zone dmz policy private-to-proxy match source-address phone1 set security policies from-zone private to-zone dmz policy private-to-proxy match destination-address proxy set security policies from-zone private to-zone dmz policy private-to-proxy match application junos-sip set security policies from-zone private to-zone dmz policy private-to-proxy then permit set security policies from-zone public to-zone dmz policy public-to-proxy match source-address phone2 set security policies from-zone public to-zone dmz policy public-to-proxy match destination-address proxy set security policies from-zone public to-zone dmz policy public-to-proxy match application junos-sip set security policies from-zone public to-zone dmz policy public-to-proxy then permit set security policies from-zone public to-zone private policy public-to-private match source-address phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address phone1 set security policies from-zone public to-zone private policy public-to-private match application junos-sip set security policies from-zone public to-zone private policy public-to-private then permit set security policies from-zone private to-zone public policy private-to-public match source-address phone1 set security policies from-zone private to-zone public policy private-to-public match destination-address phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-sip set security policies from-zone private to-zone public policy private-to-public then permit set security policies from-zone dmz to-zone private policy proxy-to-private match source-address proxy set security policies from-zone dmz to-zone private policy proxy-to-private match destination-address phone1 set security policies from-zone dmz to-zone private policy proxy-to-private match application junos-sip set security policies from-zone dmz to-zone private policy proxy-to-private then permit set security policies from-zone dmz to-zone public policy proxy-to-public match source-address proxy set security policies from-zone dmz to-zone public policy proxy-to-public match destination-address phone2 set security policies from-zone dmz to-zone public policy proxy-to-public match application junos-sip set security policies from-zone dmz to-zone public policy proxy-to-public then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen SIP-Proxyserver in einer privaten Zone und statische NAT in einer öffentlichen Zone:
Erstellen Sie einen Regelsatz für statische NAT und weisen Sie dieser eine Regel zu.
[edit security nat static rule-set] user@host# sip-phone from zone private user@host# sip-phone from zone public user@host# sip-phone rule phone1 match destination-address 10.1.2.3/32 user@host# phone1 then static-nat prefix 10.1.1.3/32
Schnittstellen konfigurieren.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.2/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 172.16.1.1/24
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/2.0 user@host# set security-zone dmz interfaces ge-0/0/1.0
Den Sicherheitszonen Adressen zuweisen.
[edit security zones] user@host# set security-zone private address-book address phone1 10.1.1.3/32 user@host# set security-zone public address-book address phone2 172.16.1.4/32 user@host# set security-zone dmz address-book address proxy 10.1.2.4/32
Konfigurieren Sie Schnittstellen-NAT für die Kommunikation von Phone1 zu Proxy.
[edit security nat source rule-set sip-phones] user@host# set from zone private user@host# set to zone dmz user@host# set rule r1 match source-address 10.1.1.3/32 user@host# set rule r1 then source-nat interface
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von zone privat zu zone DMZ zu ermöglichen.
[edit security policies from-zone private to-zone dmz policy private-to-proxy] user@host# set match source-address phone1 user@host# set match destination-address proxy user@host# set match application junos-sip user@host# set then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von zone public zu zone DMZ zu ermöglichen.
[edit security policies from-zone public to-zone dmz policy public-to-proxy] user@host# set match source-address phone2 user@host# set match destination-address proxy user@host# set match application junos-sip user@host# set then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von zone privat zu zone public zu ermöglichen.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address phone1 user@host# set match destination-address phone2 user@host# set match application junos-sip user@host# set then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von zone public zu zone private zu ermöglichen.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address phone2 user@host# set match destination-address phone1 user@host# set match application junos-sip user@host# set then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von Zone DMZ zu Zone Privat zu ermöglichen.
[edit security policies from-zone dmz to-zone private policy proxy-to-private] user@host# set match source-address proxy user@host# set match destination-address phone1 user@host# set match application junos-sip user@host# set then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von Zone DMZ zu Zone Public zu ermöglichen.
[edit security policies from-zone dmz to-zone public policy proxy-to-public] user@host# set match source-address proxy user@host# set match destination-address phone2 user@host# set match application junos-sip user@host# set then permit
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show security zonesshow security natundshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.2.2/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address phone1 10.1.1.3/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address phone2 172.16.1.4/32;
}
interfaces {
ge-0/0/2.0;
}
}
security-zone dmz {
address-book {
address proxy 10.1.2.4/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
static {
rule-set sip-phone {
from zone [ private public ];
rule phone1 {
match {
destination-address 10.1.2.3/32;
}
then {
static-nat {
prefix {
10.1.1.3/32;
}
}
}
}
}
}
source {
rule-set sip-phones {
from zone private;
to zone dmz;
rule r1 {
match {
source-address 10.1.1.3/32;
}
then {
source-nat {
interface;
}
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
10.1.2.3/32;
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone dmz {
policy private-to-proxy {
match {
source-address phone1;
destination-address proxy;
application junos-sip;
}
then {
permit;
}
}
}
from-zone public to-zone dmz {
policy public-to-proxy {
match {
source-address phone2;
destination-address proxy;
application junos-sip;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy public-to-private {
match {
source-address phone2;
destination-address phone1;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy private to-zone public {
match {
source-address phone1;
destination-address phone2;
}
then {
permit;
}
}
}
from-zone dmz to-zone private {
policy proxy-to-private {
match {
source-address proxy;
destination-address phone2;
application junos-sip;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:
- Überprüfen der Quell-NAT-Regelnutzung
- Überprüfen der statischen NAT-Regelnutzung
- Überprüfen des SIP ALG-Status
Überprüfen der Quell-NAT-Regelnutzung
Zweck
Überprüfen Sie, ob der Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
user@host> show security nat source rule all
source NAT rule: r1 Rule-set: sip-phones
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits field zeigt, dass kein Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
Überprüfen der statischen NAT-Regelnutzung
Zweck
Überprüfen Sie, ob datenverkehrsgleich mit der statischen NAT-Regel ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule all Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
user@host> show security nat static rule all
Total static-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Static NAT rule: phone1 Rule-set: sip-phone
Rule-Id : 1
Rule position : 1
From zone : private
: public
Destination addresses : 10.1.2.3
Host addresses : 10.1.2.4
Netmask : 32
Host routing-instance : N/A
Translation hits : 127
Successful sessions : 127
Failed sessions : 0
Number of sessions : 0
Bedeutung
Das Translation hits Feld zeigt, dass der Datenverkehr, der der statischen NAT-Regel entspricht.
Überprüfen des SIP ALG-Status
Zweck
Vergewissern Sie sich, dass SIP ALG auf Ihrem System aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Bedeutung
Die Ausgabe zeigt den SIP ALG-Status wie folgt an:
Aktiviert– Zeigt an, dass SIP ALG aktiviert ist.
Deaktiviert – Zeigt an, dass das SIP ALG deaktiviert ist.