SUR CETTE PAGE
Exemple : transmission du trafic H.323 ALG à un gardien dans la zone privée
Exemple : transmission du trafic ALG H.323 à un gardien dans la zone externe
Exemple : utilisation du NAT avec l’ALG H.323 pour activer les appels entrants
Exemple : utilisation du NAT avec l’ALG H.323 pour activer les appels sortants
Exemple : définition de délais d’enregistrement des points de terminaison ALG H.323
Exemple : définition de plages de ports sources de médias ALG H.323
Exemple : configuration de la protection contre les attaques DoS ALG H.323
Exemple : autoriser des types de messages ALG H.323 inconnus
H.323 ALG
La passerelle de couche application (ALG) H.323 est composée d’une suite de protocoles H.225.0 et H.245 pour fournir des sessions de communication audio-visuelle sur n’importe quel réseau. Le H.323 ALG assure une communication sécurisée entre les hôtes de terminaux, tels que les téléphones IP et les équipements multimédia.
Comprendre H.323 ALG
La norme H.323 est un protocole voix sur IP (VoIP) hérité défini par l’Union internationale des télécommunications (UIT-T). H.323 est une suite de protocoles (tels que H.225.0 et H.245) qui sont utilisés pour la signalisation d’appels et le contrôle des appels pour la VoIP.
H.323 utilise le format de codage ASN.1. Il configure les liaisons dynamiques pour les flux de données, vidéo et audio, en suivant les protocoles Q.931 (avec le port numéro 1720) et H.245. Le H.323 comporte trois grands processus :
Gatekeeper Discovery : un point de terminaison trouve son portier par le biais du processus de découverte du gatekeeper, via la diffusion ou l’unicast vers une adresse IP connue et le port UDP 1719 bien connu. Notez que Junos OS prend uniquement en charge la découverte unicast.
Enregistrement, admission et statut des terminaux : un terminal s’enregistre auprès d’un gardien et demande sa gestion. Avant de passer un appel, un terminal demande à son gardien l’autorisation de passer l’appel. Dans les phases d’inscription et d’admission, le canal d’inscription, d’admission et de statut (RAS) est utilisé. Le point d’accès de service de transport (TSAP) peut utiliser soit le port UDP bien connu (1719), soit un port assigné dynamiquement à partir de la phase de découverte ou d’enregistrement et une adresse IP.
Contrôle des appels et configuration des appels : les appels peuvent être établis dans une zone ou sur deux zones, voire sur plusieurs zones (conférence multipoint). La configuration et le démontage de l’appel s’effectuent par le canal de signalisation d’appel dont TSAP est le port TCP bien connu (1720). Le contrôle des appels, y compris l’ouverture/la fermeture des canaux multimédias entre deux terminaux, est effectué via le canal de contrôle d’appel dont le TSAP est assigné dynamiquement à partir du processus de signalisation d’appel précédent. Les messages H.245 sont utilisés dans le canal de contrôle des appels et sont encodés à l’aide de l’ASN.1.
Note:Des informations détaillées sur H.323 sont disponibles dans la Recommandation UIT-T H.323.
La passerelle de couche application (ALG) H.323 de l’équipement vous permet de sécuriser les communications VoIP entre les hôtes de terminaux, tels que les téléphones IP et les équipements multimédia. Dans un tel système de téléphonie, l’équipement de contrôle gère l’enregistrement, l’admission et le statut des appels VoIP. Les gardiens peuvent résider dans les deux zones différentes ou dans la même zone. (Voir figure 1.)
VoIP
L’illustration utilise des téléphones IP à des fins d’illustration, bien qu’il soit possible d’effectuer des configurations pour d’autres hôtes qui utilisent la VoIP, comme les équipements multimédia Microsoft NetMeeting.
À partir de la version 17.4R1 de Junos OS, la fonctionnalité d’appel de passerelle à passerelle est prise en charge sur la passerelle de couche application (ALG) H.323. Cette fonctionnalité introduit un mappage entre une session de contrôle H.225 et des appels H.323 lorsque plusieurs appels H.323 passent par une seule session de contrôle.
À partir de la version 17.4R1 de Junos OS, la passerelle de couche application (ALG) H.323 prend en charge les règles NAT64 dans un réseau IPv6.
Présentation de la configuration ALG H.323
La passerelle de couche application (ALG) H.323 est activée par défaut sur l’équipement. Aucune action n’est requise pour l’activer. Toutefois, vous pouvez choisir d’ajuster les opérations ALG H.323 à l’aide des instructions suivantes :
Spécifiez la durée d’enregistrement d’une entrée de point de terminaison dans la table de traduction des adresses réseau (NAT). Pour obtenir des instructions, voir Exemple : Définition des délais d’enregistrement des points de terminaison ALG H.323 .
Activez le trafic multimédia sur une gamme étroite ou étendue de ports. Pour obtenir des instructions, voir Exemple : Définition de plages de ports sources de médias ALG H.323.
Protégez le portier H.323 contre les attaques par déni de service (DoS). Pour obtenir des instructions, voir Exemple : Configuration de la protection contre les attaques DoS H.323 ALG.
Activez les messages inconnus à passer lorsque la session est en mode NAT et en mode routage. Pour obtenir des instructions, voir Exemple : Autoriser des types de messages ALG inconnus H.323.
Comprendre l’Avaya H.323 ALG
La norme H.323 est un protocole voix sur IP (VoIP) hérité défini par l’Union internationale des télécommunications (UIT-T). H.323 est une suite de protocoles (tels que H.225.0 et H.245) qui sont utilisés pour la signalisation d’appels et le contrôle des appels pour la VoIP. Les processus de configuration de la passerelle de couche application (ALG) standard H.323 et de l’ALG propriétaire Avaya H.323 sont les mêmes.
Cependant, Avaya H.323 ALG a quelques fonctionnalités spéciales. Pour comprendre et configurer les fonctionnalités spécifiques à Avaya H.323 répertoriées ici, consultez le Guide de l’administrateur pour Avaya Communication Manager, le Guide d’implémentation de la téléphonie IP Avaya et le Guide de déploiement des solutions d’application Avaya sur http://support.avaya.com.
Cette rubrique contient les sections suivantes :
Fonctionnalités spécifiques à Avaya H.323 ALG
Les fonctionnalités spécifiques à Avaya H.323 sont les suivantes :
H.323 Connexion rapide
Support asymétrique H.323
Attente d’appel
Transfert d’appels
Messagerie vocale
Identification de l’appel
Conférence téléphonique
Détails du flux d’appels dans l’Avaya H.323 ALG
Connexion du téléphone au réseau : Avaya effectue la négociation Q.931 configuration/connexion lorsque le téléphone est filaire dans le réseau plutôt que lorsqu’un appel est lancé.
Faire un appel : lorsqu’un appel est effectué, parce que le PBX a déjà stocké les fonctionnalités de chaque téléphone lorsque le téléphone est connecté au réseau, il n’est plus nécessaire de négocier le Q.931 et le PBX pour configurer l’appel. Il n’échange plus les messages de configuration Q.931 et de connexion avec le PBX. Le téléphone et le PBX échangent des messages H.323 Pour configurer l’appel.
S’inscrire auprès d’un CM — Lorsqu’un appel a été effectué, Avaya H.323 s’inscrit auprès du responsable de la communication (CM) Avaya. Le processus d’enregistrement est similaire à un processus d’enregistrement standard H.323 générique.
Note:Le mode direct et le mode tunnel ne sont pas définis par Avaya H.323 ALG.
Pour qu’un appel fonctionne, le CM doit être déployé avec Avaya Endpoints. Au cours de l’appel, des messages RAS et Q.931 sont échangés entre le CM et les points de terminaison Avaya.
Note:Pour Avaya H.323 avec un pool de traduction des adresses réseau (NAT) source, le processus d’enregistrement n’autorise qu’une seule adresse IP dans le pool.
Configuration des ports RTP (Real-Time Transport Protocol) et RTCP (Real-Time Control Protocol) : les messages Q.931 Configuration, Installation et Informations sont utilisés pour configurer les ports RTP/RTCP. La hiérarchie d’une session Avaya H.323 est Q.931, RTP/RTCP, Parent et enfant.
Note:Les ports H.245 ne sont pas utilisés dans un processus de flux d’appel Avaya.
Utilisation des compteurs Avaya H.323 : les compteurs pour les appels et les appels actifs ne sont pas applicables à l’Avaya H.323 ALG. La création et le démontage des appels sont ensuite faits par les messages de l’installation. Lorsque des ressources sont allouées à un appel, tous les compteurs pour les appels et les appels actifs s’incrémentent. Si des ressources sont allouées à un appel plusieurs fois, les messages appartenant au même appel qui passent plusieurs fois le pare-feu déclenchent plusieurs incréments des compteurs. En d’autres termes, les messages qui appartiennent au même appel et qui passent le pare-feu plusieurs fois peuvent déclencher plusieurs incréments des compteurs si la ressource d’un appel doit être allouée plusieurs fois.
Par exemple, dans le cas des deux zones, la paire de messages de configuration et de connexion alloue une ressource d’appel. Le compteur d’appels actif est augmenté une fois. Chaque fois que la paire de messages de configuration et de connexion passe par le pare-feu, une ressource d’appel différente avec des interfaces et un NAT uniques est allouée. Par conséquent, le compteur s’incrémente deux fois dans un scénario à trois zones.
Exemple : transmission du trafic H.323 ALG à un gardien dans la zone privée
Cet exemple montre comment configurer deux stratégies qui permettent au trafic H.323 de passer entre des hôtes de téléphone IP et un gardien dans la zone privée, et un hôte de téléphone IP (2.2.2.5/32) dans la zone publique.
Exigences
Avant de commencer :
Comprenez et configurez toutes les fonctionnalités spécifiques à Avaya H.323. Consultez le guide de l’administrateur pour Avaya Communication Manager, le guide d’implémentation de la téléphonie IP Avaya et le guide de déploiement des solutions d’application Avaya sur http://support.avaya.com.
Configurez des zones de sécurité. Voir Comprendre les zones de sécurité.
Aperçu
Cet exemple montre comment configurer deux stratégies qui permettent au trafic H.323 de passer entre des hôtes de téléphone IP et un gardien dans la zone privée, et un hôte de téléphone IP (2.2.2.5/32) dans la zone publique. La connexion à l’équipement peut être avec ou sans NAT. Voir la figure 2.
privée
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32 set security policies from-zone private to-zone public policy P1 match source-address any set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone set security policies from-zone private to-zone public policy P1 match application junos-h323 set security policies from-zone private to-zone public policy P1 then permit set security policies from-zone public to-zone private policy P2 match source-address any set security policies from-zone public to-zone private policy P2 match destination-address gateway set security policies from-zone public to-zone private policy P2 match application junos-h323 set security policies from-zone public to-zone private policy P2 then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer l’équipement pour qu’il transmette le trafic H.323 ALG à un gardien de la zone privée :
Configurez deux carnets d’adresses.
[edit] user@host# set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32
Configurez la stratégie P1 de la zone privée à la zone publique.
[edit] user@host# set security policies from-zone private to-zone public policy P1 match source-address any user@host# set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone user@host# set security policies from-zone private to-zone public policy P1 match application junos-h323 user@host# set security policies from-zone private to-zone public policy P1 then permit
Configurez la stratégie P2 de la zone publique à la zone privée.
[edit] user@host# set security policies from-zone public to-zone private policy P2 match source-address any user@host# set security policies from-zone public to-zone private policy P2 match destination-address gateway user@host# set security policies from-zone public to-zone private policy P2 match application junos-h323 user@host# set security policies from-zone public to-zone private policy P2 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette sortie d’exposition inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
user@host# show security policies
...
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
from-zone private to-zone public {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy P2 {
match {
source-address any;
destination-address gateway;
application junos-h323;
}
then {
permit;
}
}
}
...
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez cette tâche :
Vérification des configurations ALG H.323
But
Affichez des informations sur les appels actifs.
Les compteurs H.323 pour les appels et les appels actifs dans la sortie de cette show security commande ne s’appliquent pas à l’implémentation propriétaire d’Avaya de H.323. En effet, les messages de configuration et de connexion Q.931 sont échangés juste après que le téléphone est allumé et que la création et la démontisation des appels sont effectuées par les messages de l’installation.
Les compteurs pour les appels et les appels actifs augmentent lorsque les ressources allouées aux appels sont augmentées, c’est-à-dire que les messages appartenant au même appel et qui passent le pare-feu plusieurs fois incrémentent les compteurs. Cela s’applique lorsque des ressources pour un appel doivent être allouées plusieurs fois. Par exemple, dans un scénario à deux zones, la paire de messages d’installation et de connexion alloue une ressource d’appel, et le compteur d’appels actif est augmenté d’une. Mais dans un scénario à trois zones, la paire de messages de configuration et de connexion passe le pare-feu deux fois, chaque fois qu’elle alloue des ressources d’appel différentes. Dans ce cas, le compteur est incrémenté.
Action
Dans l’interface J-Web, sélectionnez Monitor>ALGs>H323. Vous pouvez également saisir la commande à partir de la show security alg h323 counters CLI.
Les compteurs pour les messages H.245 reçus ne seront pas précis non plus dans le cas de la tunnelisation H.245. Étant donné que les messages H.245 sont encapsulés dans des paquets Q.931, le compteur des messages H.245 reçus restera nul même s’il y a des messages H.245. Le Other H245 compteur reflète cependant ces transmissions de paquets.
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
Exemple : transmission du trafic ALG H.323 à un gardien dans la zone externe
Cet exemple montre comment configurer deux stratégies pour permettre au trafic H.323 de passer entre des hôtes de téléphone IP dans la zone interne, et le téléphone IP à l’adresse IP 2.2.2.5/32 (et le gardien) dans la zone externe.
Exigences
Avant de commencer :
Comprenez et configurez toutes les fonctionnalités spécifiques à Avaya H.323. Consultez le guide de l’administrateur pour Avaya Communication Manager, le guide d’implémentation de la téléphonie IP Avaya et le guide de déploiement des solutions d’application Avaya sur http://support.avaya.com.
Configurez des zones de sécurité. Voir Comprendre les zones de sécurité.
Aperçu
Étant donné que le mode routage ne nécessite aucun mappage d’adresse, une configuration d’équipement pour un gardien de contrôle dans la zone externe ou publique est généralement identique à la configuration d’un gardien dans une zone interne ou privée. Cet exemple montre comment configurer deux stratégies pour permettre au trafic H.323 de passer entre des hôtes de téléphone IP dans la zone interne, et le téléphone IP à l’adresse IP 2.2.2.5/32 (et le gardien) dans la zone externe. L’équipement peut être en mode transparent ou de routage. Voir la figure 3.
externe
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32 set security policies from-zone internal to-zone external policy P1 match source-address any set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone set security policies from-zone internal to-zone external policy P1 match application junos-h323 set security policies from-zone internal to-zone external policy P1 then permit set security policies from-zone internal to-zone external policy P2 match source-address any set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper set security policies from-zone internal to-zone external policy P2 match application junos-h323 set security policies from-zone internal to-zone external policy P2 then permit set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone set security policies from-zone external to-zone internal policy P3 match destination-address any set security policies from-zone external to-zone internal policy P3 match application junos-h323 set security policies from-zone external to-zone internal policy P3 then permit set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper set security policies from-zone external to-zone internal policy P4 match destination-address any set security policies from-zone external to-zone internal policy P4 match application junos-h323 set security policies from-zone external to-zone internal policy P4 then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer l’équipement pour qu’il transmette le trafic ALG H.323 à un gardien de la zone externe :
Configurez deux carnets d’adresses.
[edit] user@host# set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 user@host# set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32
Configurez la stratégie P1 de la zone interne à la zone externe.
[edit] user@host# set security policies from-zone internal to-zone external policy P1 match source-address any user@host# set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone user@host# set security policies from-zone internal to-zone external policy P1 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P1 then permit
Configurez la stratégie P2 pour autoriser le trafic entre la zone interne et le gardien de la zone externe.
[edit] user@host# set security policies from-zone internal to-zone external policy P2 match source-address any user@host# set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper user@host# set security policies from-zone internal to-zone external policy P2 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P2 then permit
Configurez la stratégie P3 pour autoriser le trafic entre les téléphones de la zone interne et de la zone externe.
[edit] user@host# set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone user@host# set security policies from-zone external to-zone internal policy P3 match destination-address any user@host# set security policies from-zone external to-zone internal policy P3 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P3 then permit
Configurez la stratégie P4 pour autoriser le trafic entre les téléphones de la zone interne et le gardien dans la zone externe.
[edit] user@host# set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper user@host# set security policies from-zone external to-zone internal policy P4 match destination-address any user@host# set security policies from-zone external to-zone internal policy P4 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P4 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette sortie d’exposition inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
user@host# show security policies
...
from-zone internal to-zone external {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
policy P2 {
match {
source-address any;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone external to-zone internal {
policy P3 {
match {
source-address IP_Phone;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
policy P4 {
match {
source-address gatekeeper;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
}
...
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez cette tâche :
Vérification des configurations ALG H.323
But
Affichez des informations sur les appels actifs.
Les compteurs H.323 pour les appels et les appels actifs dans la sortie de cette show security commande ne s’appliquent pas à l’implémentation propriétaire d’Avaya de H.323. En effet, les messages de configuration et de connexion Q.931 sont échangés juste après que le téléphone est allumé et que la création et la démontisation des appels sont effectuées par les messages de l’installation.
Les compteurs pour les appels et les appels actifs augmentent lorsque les ressources allouées aux appels sont augmentées, c’est-à-dire que les messages appartenant au même appel et qui passent le pare-feu plusieurs fois incrémentent les compteurs. Cela s’applique lorsque des ressources pour un appel doivent être allouées plusieurs fois. Par exemple, dans un scénario à deux zones, la paire de messages d’installation et de connexion alloue une ressource d’appel, et le compteur d’appels actif est augmenté d’une. Mais dans un scénario à trois zones, la paire de messages de configuration et de connexion passe le pare-feu deux fois, chaque fois qu’elle alloue des ressources d’appel différentes. Dans ce cas, le compteur est incrémenté.
Action
Dans l’interface J-Web, sélectionnez Monitor>ALGs>H323. Vous pouvez également saisir la commande à partir de la show security alg h323 counters CLI.
Les compteurs pour les messages H.245 reçus ne seront pas précis non plus dans le cas de la tunnelisation H.245. Étant donné que les messages H.245 sont encapsulés dans des paquets Q.931, le compteur des messages H.245 reçus restera nul même s’il y a des messages H.245. Le Other H245 compteur reflète cependant ces transmissions de paquets.
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
Exemple : utilisation du NAT avec l’ALG H.323 pour activer les appels entrants
Cet exemple montre comment configurer le NAT avec l’ALG H.323 pour activer les appels d’un réseau public vers un réseau privé.
Exigences
Avant de commencer, comprenez les ALG H.323. Voir Comprendre H.323 ALG.
Aperçu
Dans un scénario à deux zones avec un serveur dans la zone privée, vous pouvez utiliser NAT pour les appels entrants en configurant un pool NAT sur l’interface vers la zone publique.
Dans cet exemple (voir figure 4), IP-Phone1 et un serveur appelé gatekeeper se trouvent dans la zone privée, et IP-Phone2 dans la zone publique. Vous configurez un ensemble de règles nat statiques et un pool NAT source pour faire le NAT. Vous créez également deux politiques, du privé au public et du public à privé, pour autoriser le trafic ALG H.323 depuis et vers les zones privées et publiques.
Topologie
La figure 4 illustre le NAT avec les appels entrants H.323 ALG.
entrants
Dans cet exemple, vous configurez le NAT source comme suit :
-
Créez un ensemble de règles NAT statique appelé gatekeeper avec une règle appelée gatekeeper pour faire correspondre les paquets de la zone publique à l’adresse de destination 172.16.1.25/32. Pour les paquets correspondants, l’adresse IP de destination est traduite en adresse privée 10.1.1.25/32.
-
Définissez un pool NAT source appelé h323-nat-pool pour contenir la plage d’adresses IP de 172.16.1.30/32 à 172.16.1.150/32.
-
Créez un ensemble de règles NAT source appelé h323-nat avec la règle h323-r1 pour faire correspondre les paquets de la zone privée à la zone publique avec l’adresse IP source 10.1.1.0/24. Pour les paquets correspondants, l’adresse source est traduite en adresse IP dans h323-nat-pool.
-
Configurez l’ARP proxy pour les adresses 172.16.1.30/32 à 172.16.1.150/32 sur l’interface ge-0/0/1.0. Le système peut ainsi répondre aux demandes ARP reçues sur l’interface pour ces adresses.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set security nat source address-persistent set security nat source rule-set h323-nat from zone private set security nat source rule-set h323-nat to zone public set security nat source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set security nat source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.30/32 to 172.16.1.150/32 set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address IP-Phone1 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer nat avec H.323 ALG pour activer les appels d’un réseau public vers un réseau privé :
-
Configurez les interfaces.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
Configurez les zones et leur attribuez des adresses.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
Créez un ensemble de règles NAT statiques.
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set match destination-address 172.16.1.25/32 user@host# set then static-nat prefix 10.1.1.25/32
-
Configurez l’ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32
-
Configurez un ensemble de règles NAT source.
[edit security nat] set source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set source address-persistent set source rule-set h323-nat from zone private set source rule-set h323-nat to zone public set source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set proxy-arp interface ge-0/0/1.0 address 171.16.1.30/32 to 172.16.1.150/32
-
Configurez des stratégies pour le trafic sortant.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
-
Configurez des stratégies pour le trafic entrant.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address IP-Phone1 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show security zones, show security natet les show security policies commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
source {
pool h323-nat-pool {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
address-persistent;
rule-set h323-nat {
from zone private;
to zone public;
rule h323-r1 {
match {
source-address 10.1.1.0/24;
}
then {
source-nat {
pool {
h323-nat-pool;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
}
static {
rule-set ip-phones {
from zone public;
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy private-to-public {
match {
source-address [IP-Phone1 gatekeeper];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address [IP-Phone1 gatekeeper];
application junos-h323;
}
then {
permit;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification du statut ALG H.323
- Vérification de la sécurité ALG H.323 Compteurs
- Vérification de l’utilisation des règles NAT source
Vérification du statut ALG H.323
But
Vérifiez que H.323 ALG est activé sur votre système.
Action
Depuis le mode opérationnel, saisissez la show security alg status commande.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Sens
Le résultat affiche le statut ALG H323 comme suit :
-
Activé : montre que l’ALG H323 est activé.
-
Désactivé : affiche que l’ALG H323 est désactivé.
Vérification de la sécurité ALG H.323 Compteurs
But
Vérifiez qu’il existe un compteur de sécurité pour ALG H323.
Action
Depuis le mode opérationnel, saisissez la show security alg h323 counters commande.
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690 Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
Sens
L’exemple de sortie donne l’aperçu des compteurs de sécurité ALG H.323 exprimant qu’il existe des compteurs de sécurité pour ALG H323.
Vérification de l’utilisation des règles NAT source
But
Vérifiez que le trafic correspond à la règle NAT source.
Action
Depuis le mode opérationnel, saisissez la show security nat source rule all commande. Consultez le champ Traduction hits pour vérifier que le trafic correspond à la règle.
user@host> show security nat source rule all
source NAT rule: h323-r1 Rule-set: h323-nat
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Sens
Le Translation hits champ montre qu’il n’y a pas de trafic correspondant à la règle NAT source.
Exemple : utilisation du NAT avec l’ALG H.323 pour activer les appels sortants
Cet exemple montre comment configurer un NAT statique avec H.323 ALG pour activer les appels d’un réseau privé vers un réseau public.
Exigences
Avant de commencer, comprenez le H.323 ALG et ses processus. Voir Comprendre H.323 ALG.
Aperçu
Dans cet exemple (voir figure 5), IP-Phone 1 et un serveur appelé gatekeeper se trouvent dans la zone privée et IP-Phone2 dans la zone publique. Vous configurez le NAT statique pour permettre à IP-Phone1 et gatekeeper d’appeler IP-Phone2 dans la zone publique. Vous créez ensuite une politique appelée public-to-privé pour autoriser le trafic ALG H.323 de la zone publique à la zone privée et une politique appelée privé à public pour autoriser le trafic ALG H.323 de la zone privée à la zone publique.
Topologie
La figure 5 illustre le NAT avec les appels sortants ALG H.323.
Dans cet exemple, vous configurez le NAT statique comme suit :
-
Créez un ensemble statique de règles NAT appelé ip-phones avec une règle appelée phone1 pour faire correspondre les paquets de la zone publique à l’adresse de destination 172.16.1.5/32. Pour les paquets correspondants, l’adresse IP de destination est traduite en adresse privée 10.1.1.5/32.
-
Définissez une deuxième règle appelée gatekeeper pour faire correspondre les paquets de la zone publique à l’adresse de destination 172.16.1.25/32. Pour les paquets correspondants, l’adresse IP de destination est traduite en adresse privée 10.1.1.25/32.
-
Créez un ARP proxy pour les adresses 172.16.1.5/32 et 172.16.1.25/32 sur l’interface ge-0/0/1. Le système peut ainsi répondre aux demandes ARP reçues sur l’interface spécifiée pour ces adresses.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au [edit] niveau hiérarchique, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat static rule-set ip-phones from zone public set security nat static rule-set ip-phones rule phone1 match destination-address 172.16.1.5/32 set security nat static rule-set ip-phones rule phone1 then static-nat prefix 10.1.1.5/32 set security nat static rule-set ip-phones rule gatekeeper match destination-address 172.16.1.25/32 set security nat static rule-set ip-phones rule gatekeeper then static-nat prefix 10.1.1.25/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.5/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32 set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer le NAT statique avec l’ALG H.323 afin d’activer les appels d’un réseau privé vers un réseau public :
-
Configurez les interfaces.
user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
Créez des zones et leur attribuez des adresses.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
Configurez un ensemble de règles NAT statiques avec des règles.
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set rule phone1 match destination-address 172.16.1.5/32 user@host# set rule phone1 then static-nat prefix 10.1.1.5/32 user@host# set rule gatekeeper match destination-address 172.16.1.25/32 user@host# set rule gatekeeper then static-nat prefix 10.1.1.25/32
-
Configurez l’ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.5/32 user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.25/32
-
Configurez une stratégie de sécurité pour le trafic entrant.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
-
Configurez une stratégie de sécurité pour le trafic sortant.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show security zones, show security natet les show security policies commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
static {
rule-set ip-phones {
from zone public;
rule phone1 {
match {
destination-address 172.16.1.5/32;
}
then {
static-nat prefix 10.1.1.5/32;
}
}
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.5/32;
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy private-to-public {
match {
source-address [ IP-Phone1 gatekeeper ];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification du statut ALG H.323
But
Vérifiez que H.323 ALG est activé sur votre système.
Action
Depuis le mode opérationnel, saisissez la show security alg status commande.
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Enabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Sens
Le résultat affiche le statut ALG H323 comme suit :
-
Activé : montre que l’ALG H323 est activé.
-
Désactivé : affiche que l’ALG H323 est désactivé.
Vérification de la sécurité ALG H.323 Compteurs
But
Vérifiez qu’il existe un compteur de sécurité pour ALG H323.
Action
Depuis le mode opérationnel, saisissez la show security alg h323 counters commande.
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
Sens
L’exemple de sortie fournit le résumé des compteurs de sécurité ALG H.323 indiquant qu’il existe des compteurs de sécurité pour ALG H.323.
Exemple : définition de délais d’enregistrement des points de terminaison ALG H.323
Cet exemple montre comment spécifier le délai d’enregistrement des terminaux.
Exigences
Avant de commencer, comprenez et configurez les fonctionnalités spécifiques à Avaya H.323. Consultez le guide de l’administrateur pour Avaya Communication Manager, le guide d’implémentation de la téléphonie IP Avaya et le guide de déploiement des solutions d’application Avaya sur http://support.avaya.com.
Aperçu
En mode traduction des adresses réseau (NAT), lorsque les points de terminaison du réseau protégé derrière l’équipement Juniper Networks s’enregistrent auprès du gardien H.323, l’équipement ajoute une entrée à la table NAT contenant un mappage de l’adresse publique à privée pour chaque terminal. Ces entrées permettent aux points de terminaison du réseau protégé de recevoir des appels entrants.
Vous définissez un délai d’enregistrement des points de terminaison pour spécifier la durée d’une entrée d’enregistrement dans la table NAT. Pour garantir un service d’appels entrants ininterrompu, définissez le délai d’enregistrement des terminaux sur une valeur égale ou supérieure à la valeur keepalive configurée par l’administrateur sur le gardien. La plage est de 10 à 50 000 secondes, la valeur par défaut est de 3 600 secondes.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour spécifier le délai d’enregistrement des points de terminaison ALG H.323 :
Sélectionnez
Configure>Security>ALG.Sélectionnez l’onglet
H323.Dans la zone Délai d’expiration des points de terminaison, tapez
5000.Cliquez
OKpour vérifier votre configuration et l’enregistrer en tant que configuration de candidature.Si vous avez fini de configurer l’équipement, cliquez sur
Commit Options>Commit.
Procédure étape par étape
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security alg h323 counters commande.
Exemple : définition de plages de ports sources de médias ALG H.323
Cet exemple montre comment activer la fonctionnalité de port source de support H.323 ALG.
Exigences
Avant de commencer, comprenez et configurez les fonctionnalités spécifiques à Avaya H.323. Consultez le guide de l’administrateur pour Avaya Communication Manager, le guide d’implémentation de la téléphonie IP Avaya et le guide de déploiement des solutions d’application Avaya sur http://support.avaya.com.
Aperçu
La fonctionnalité de port source des médias vous permet de configurer l’équipement pour autoriser le trafic multimédia sur une gamme étroite ou large de ports. Par défaut, l’équipement écoute le trafic H.323 sur une gamme étroite de ports. Si votre équipement de point de terminaison vous permet de spécifier un port d’envoi et un port d’écoute, vous pouvez réduire la gamme de ports sur 2 que l’équipement autorise le trafic multimédia. Cela améliore la sécurité en ouvrant un trou d’épingle plus petit pour le trafic H.323. Cet exemple montre comment configurer l’équipement pour qu’il ouvre une large porte pour le trafic multimédia en activant la fonctionnalité de port source des médias.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour activer la fonctionnalité de port source de support H.323 ALG :
Sélectionnez
Configure>Security>ALG.Sélectionnez l’onglet
H323.Cochez la
Enable Permit media from any source portcase.Cliquez
OKpour vérifier votre configuration et l’enregistrer en tant que configuration de candidature.Si vous avez fini de configurer l’équipement, cliquez sur
Commit Options>Commit.
Procédure étape par étape
Pour activer la fonctionnalité de port source de support H.323 ALG :
Définissez une porte étroite pour le trafic multimédia en désactivant le port source des médias pour l’ALG H.323.
[edit] user@host# delete security alg h323 media-source-port-any
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security alg h323 counters commande.
Exemple : configuration de la protection contre les attaques DoS ALG H.323
Cet exemple montre comment configurer la fonctionnalité de protection contre les attaques DoS ALG H.323.
Exigences
Avant de commencer, comprenez et configurez les fonctionnalités spécifiques à Avaya H.323. Consultez le guide de l’administrateur pour Avaya Communication Manager, le guide d’implémentation de la téléphonie IP Avaya et le guide de déploiement des solutions d’application Avaya sur http://support.avaya.com.
Aperçu
Vous pouvez protéger le gardien H.323 contre les attaques par déni de service (DoS) en limitant le nombre de messages d’inscription, d’admission et d’état (RAS) par seconde qu’il tentera de traiter. Les messages de requête RAS entrants dépassant le seuil spécifié sont supprimés par H.323 Application Layer Gateway (ALG). La plage est de 2 à 50 000 messages par seconde, la valeur par défaut est 1 000.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer la fonctionnalité de protection contre les attaques DoS ALG H.323 :
Sélectionnez
Configure>Security>ALG.Sélectionnez l’onglet
H323.Dans la zone de seuil de contrôle de flux de messages, saisissez
5000.Cliquez
OKpour vérifier votre configuration et l’enregistrer en tant que configuration de candidature.Si vous avez fini de configurer l’équipement, cliquez sur
Commit Options>Commit.
Procédure étape par étape
Pour configurer la fonctionnalité de protection contre les attaques DoS ALG H.323 :
Configurez le garde-barrière pour l’ALG H.323 et définissez le seuil.
[edit] user@host# set security alg h323 application-screen message-flood gatekeeper threshold 5000
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security alg h323 counters commande.
Comprendre les types de messages connus ALG H.323
La norme H.323 est un protocole voix sur IP (VoIP) hérité défini par l’Union internationale des télécommunications (UIT-T). H.323 est une suite de protocoles (tels que H.225.0 et H.245) qui sont utilisés pour la signalisation d’appels et le contrôle des appels pour la VoIP. Le H.323 comporte trois grands processus :
Gatekeeper Discovery : un terminal trouve son portier par le biais du processus de découverte du gatekeeper, par le biais de la diffusion ou de l’unicast (vers une adresse IP connue et le port UDP 1719 bien connu).
Enregistrement, admission et statut des terminaux : un terminal s’enregistre auprès d’un gardien et demande sa gestion. Avant de passer un appel, un terminal demande à son gardien l’autorisation de passer l’appel. Dans les phases d’inscription et d’admission, le canal d’inscription, d’admission et de statut (RAS) est utilisé.
Contrôle des appels et configuration des appels : les appels peuvent être établis dans une zone ou sur deux zones, voire sur plusieurs zones (conférence multipoint). La configuration et le démontage de l’appel s’effectuent par le canal de signalisation d’appel dont TSAP est le port TCP bien connu (1720). Le contrôle des appels, y compris l’ouverture/la fermeture des canaux multimédias entre deux terminaux, est effectué via le canal de contrôle d’appel dont le TSAP est assigné dynamiquement à partir du processus de signalisation d’appel précédent. Les messages H.245 sont utilisés dans le canal de contrôle des appels et sont encodés à l’aide de l’ASN.1.
- Signalisation RAS H.225 : gardiens et passerelles
- Signalisation d’appel H.225 (Q.931)
- H.245 Signalisation de contrôle et de transport des médias
Signalisation RAS H.225 : gardiens et passerelles
L’enregistrement, l’admission et le statut (RAS), comme décrit dans la norme (ITU-T) H.323, est le protocole de signalisation utilisé entre les passerelles ou les terminaux. Les gardiens fournissent des services de résolution d’adresses et de contrôle d’admission.
Le RAS est le processus par lequel les passerelles H.323 découvrent leurs gardiens de zone. La communication RAS s’effectue via un datagramme UDP sur les ports 1718 (multicast) et 1719 (unicast). Les points de terminaison utilisent le protocole RAS pour communiquer avec un gardien. Si un terminal H.323 ne connaît pas son gardien, il peut alors envoyer un message GRQ (Gatekeeper Request) pour obtenir la réponse du gardien. Un ou plusieurs gardiens peuvent répondre à la demande par un message de confirmation du gardien (GCF) ou par un message grJ (Gatekeeper Reject). Un message de rejet contient la raison du rejet.
Le tableau 1 répertorie les messages de contrôle RAS pris en charge.
Message |
Description |
|---|---|
GRQ (Gatekeeper_Request) |
Message envoyé d’un terminal à un gardien pour « découvrir » les gardiens prêts à fournir un service. |
GCF (Gatekeeper_Confirm) |
Réponse d’un gardien à un terminal qui indique l’acceptation de communiquer avec le canal RAS du gardien. |
GRJ (Gatekeeper_Reject) |
Réponse d’un gardien à un point de terminaison qui rejette la demande de terminal. |
- Enregistrement et désinscription RAS
- RAS Admissions
- Localisation RAS
- Contrôle de la bande passante RAS
- Informations sur l’état RAS
- Informations de désengagement RAS
Enregistrement et désinscription RAS
L’enregistrement est le processus par lequel les passerelles, les terminaux et les unités de contrôle multipoint (MPU) rejoignent une zone et informent le gardien de leurs adresses IP et d’alias. Chaque passerelle ne peut enregistrer qu’un seul gardien actif.
L’enregistrement a lieu après que le terminal a déterminé et confirmé que le gardien doit communiquer, en envoyant un message de demande d’inscription (RRQ). Le gardien répond ensuite par un message de confirmation d’enregistrement (RCF), ce qui permet de faire connaître le terminal au réseau.
Le tableau 2 répertorie les messages d’enregistrement RAS et de non-inscription pris en charge.
Message |
Description |
|---|---|
RRQ (Registration_Request) |
Message envoyé d’un terminal à un gardien. Les demandes d’enregistrement sont prédéfinies dans la configuration administrative du système. |
RCF (Registration_Confirm) |
Réponse d’un gardien qui confirme l’inscription d’un terminal en réponse à un message RRQ. |
RRJ (Registration_Reject) |
Réponse d’un gardien qui rejette l’enregistrement d’un terminal. |
URQ (Unregister_Request) |
Message envoyé par un terminal ou un gardien demandant d’annuler une inscription. |
UCF (Unregister_Confirm) |
Une réponse envoyée par un terminal ou un gardien pour confirmer l’annulation de l’inscription. |
URJ (Unregister_Reject) |
Message indiquant que le terminal n’est pas préenregistré auprès du gardien. |
RAS Admissions
Les messages d’admission entre les terminaux et les gardiens constituent la base pour l’admission des appels et le contrôle de la bande passante. Le gardien résout ensuite l’adresse en confirmant ou en rejetant une demande d’admission.
Le tableau 3 répertorie les messages d’admission RAS pris en charge.
Message |
Description |
|---|---|
ARQ (Admission_Request) |
Tentative d’appel par un terminal. |
ACF (Admission_Confirm) |
Réponse positive d’un gardien qui autorise un terminal à participer à un appel. |
ARJ (Admission_Reject) |
Message envoyé par un gardien rejetant le message ARQ qui lance un appel. |
Localisation RAS
Les messages de demande de localisation (LRQ) sont envoyés par un terminal ou un gardien à un gardien interzone pour obtenir les adresses IP de différents points de terminaison de zone.
Le tableau 4 répertorie les messages de demande de localisation RAS pris en charge.
Message |
Description |
|---|---|
LRQ (Location_Request) |
Un message envoyé pour demander à un gardien les coordonnées d’une ou plusieurs adresses. |
LCF (Location_Confirm) |
Réponse envoyée par un gardien qui contient un canal de signalisation d’appel ou des adresses de canal RAS. |
LRJ (Location_Reject) |
Réponse envoyée par les gardiens qui ont reçu un LRQ pour lequel le terminal demandé n’est pas enregistré. |
Contrôle de la bande passante RAS
Le contrôle de la bande passante est appelé pour configurer l’appel et est initialement géré via la séquence de messages d’admission (ARQ/ACF/ARJ).
Le tableau 5 répertorie les messages de contrôle de la bande passante RAS pris en charge.
Message |
Description |
|---|---|
BRQ (Bandwidth_Request) |
Demande envoyée par un terminal à un gardien pour augmenter ou réduire la bande passante d’appel. |
BCF (Bandwidth_Confirm) |
Réponse envoyée par un gardien pour confirmer l’acceptation d’une demande de modification de bande passante. |
BRJ (Bandwidth_Reject) |
Réponse envoyée par un gardien pour rejeter une demande de modification de bande passante. |
Informations sur l’état RAS
Un gardien utilise un message de demande d’informations (IRQ) pour déterminer l’état d’un point de terminaison. Le protocole RAS permet de déterminer si les terminaux sont en ligne ou hors ligne.
Le tableau 6 répertorie les messages d’informations sur l’état RAS pris en charge.
Message |
Description |
|---|---|
IRQ (Information_Request) |
Message envoyé par un gardien pour demander des informations sur l’état de ses terminaux de destinataire. |
IRR (Information_Request_Response) |
Réponse envoyée par le terminal à un gardien en réponse à un message IRQ. Il détermine si les terminaux sont en ligne ou hors ligne. |
IACK (Info_Request_Acknowledge) |
Message envoyé par un gardien pour accuser réception d’un message irr d’un terminal. |
INACK (Info_Request_Neg_Acknowledge) |
Un message envoyé à un gardien si un message de demande d’information n’est pas compris. |
Informations de désengagement RAS
Un terminal envoie un message de demande de désengagement (DRQ) à un gardien en cas de perte d’appel.
Le tableau 7 répertorie les messages de désengagement RAS pris en charge.
Message |
Description |
|---|---|
DRQ (Disengage_Request) |
Une demande de statut envoyée d’un terminal à un gardien lorsque l’appel prend fin. |
DCF (Disengage_Confirm) |
Message envoyé par un gardien pour confirmer la réception du message DRQ d’un terminal. |
DRJ (Disengage_Reject) |
Message envoyé par un gardien qui rejette une demande de confirmation de désengagement d’un terminal. |
Signalisation d’appel H.225 (Q.931)
H.225 est utilisé pour configurer les connexions entre les points de terminaison H.323. La recommandation H.225 (UIT-T) spécifie l’utilisation et la prise en charge des messages Q.931.
La signalisation d’appel H.225 prend en charge les messages suivants :
Configuration et configuration Reconnaître
Procédure d’appel
Connecter
Alerte
Informations utilisateur
Version complète
Installation
Progrès
Demande d’état et d’état
Prévenir
H.245 Signalisation de contrôle et de transport des médias
H.245 gère les messages de contrôle de bout en bout entre les points de terminaison H.323. Ce protocole de canal de contrôle établit les canaux logiques pour la transmission des informations audio, vidéo, de données et de canal de contrôle.
H.245 prend en charge les messages suivants :
Demande
Réponse
Commande
Indication
Comprendre les types de messages inconnus H.323 ALG
La fonctionnalité de type de message H.323 inconnue vous permet de spécifier comment les messages H.323 non identifiés sont traités par l’équipement. Par défaut, les messages inconnus (non pris en charge) sont supprimés.
Vous pouvez protéger le gardien H.323 contre les attaques par déni de service (DoS) en limitant le nombre de messages d’inscription, d’admission et d’état (RAS) par seconde qu’il tentera de traiter. Les messages de requête RAS entrants dépassant le seuil spécifié sont supprimés par la passerelle de couche application (ALG) H.323. La plage est de 2 à 50 000 messages par seconde, la valeur par défaut est 1 000.
Nous ne recommandons pas d’autoriser les messages inconnus, car ils peuvent compromettre la sécurité. Toutefois, dans un environnement de test ou de production sécurisé, une commande de type de message H.323 inconnue peut être utile pour résoudre les problèmes d’interopérabilité avec des équipements divers fournisseurs. L’autorisation de messages H.323 inconnus peut vous aider à rendre votre réseau opérationnel, ce qui vous permet d’analyser votre trafic VoIP (Voice-over-IP) pour déterminer pourquoi certains messages ont été supprimés. La fonctionnalité de type de message H.323 inconnue vous permet de configurer l’équipement pour qu’il accepte le trafic H.323 contenant des types de messages inconnus en mode de traduction des adresses réseau (NAT) et en mode de routage.
L’option de type de message H.323 inconnu s’applique uniquement aux paquets reçus identifiés comme paquets VoIP pris en charge. Si un paquet ne peut pas être identifié, il est toujours abandonné. Si un paquet est identifié comme un protocole pris en charge et que vous avez configuré l’équipement pour autoriser des types de messages inconnus, le message est transféré sans traitement.
Exemple : autoriser des types de messages ALG H.323 inconnus
Cet exemple montre comment configurer l’équipement pour autoriser les types de messages H.323 inconnus dans les modes route et NAT.
Exigences
Avant de commencer, comprenez et configurez les fonctionnalités spécifiques à Avaya H.323. Consultez le Guide de l’administrateur pour Avaya Communication Manager, le Guide d’implémentation de la téléphonie IP Avaya et le Guide de déploiement de la téléphonie IP avaya sur http://support.avaya.com.
Aperçu
Cette fonctionnalité vous permet de spécifier comment les messages H.323 non identifiés sont gérés par l’équipement. Par défaut, les messages inconnus (non pris en charge) sont supprimés. L’option Enable Permit NAT appliquée et l’instruction permit-nat-applied de configuration spécifient que les messages inconnus doivent être autorisés à passer si la session est en mode NAT. L’option Enable Permit routé et l’instruction permit-routed de configuration spécifient que les messages inconnus doivent être autorisés à passer si la session est en mode routage. (Les sessions en mode transparent sont traitées comme un mode route.)
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer l’équipement de manière à autoriser les types de messages H.323 inconnus dans les modes routage et NAT :
Sélectionnez
Configure>Security>ALG.Sélectionnez l’onglet
H323.Cochez la
Enable Permit NAT appliedcase.Cochez la
Enable Permit routedcase.Cliquez
OKpour vérifier votre configuration et l’enregistrer en tant que configuration de candidature.Si vous avez fini de configurer l’équipement, cliquez sur
Commit Options>Commit.
Procédure étape par étape
Pour configurer l’équipement de manière à autoriser les types de messages H.323 inconnus dans les modes routage et NAT :
Spécifiez que les messages inconnus doivent être autorisés à passer si la session est en mode NAT.
[edit] user@host# set security alg h323 application-screen unknown-message permit-nat-applied
Spécifiez que les messages inconnus doivent être autorisés à passer si la session est en mode routage.
[edit] user@host# set security alg h323 application-screen unknown-message permit-routed
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez la show security alg h323 commande et la show security alg h323 counters commande.