MGCP ALG
メディアゲートウェイ制御プロトコル(MGCP)は、VoIP通信システムで使用されるテキストベースのシグナリングおよびコール制御通信プロトコルです。MGCP は、複数のエンドポイント間のコールの設定、維持、および終了に使用されます。
MGCP ALG について
MGCP(Media Gateway Control Protocol)は、メディア ゲートウェイとメディア ゲートウェイ コントローラ(MGC)間のコール設定とコール制御に使用されるテキストベースのアプリケーション レイヤー プロトコルです。
このプロトコルは、プライマリ/クライアントのコール制御アーキテクチャに基づいています。MGC(コール エージェント)はコール制御インテリジェンスを維持し、メディア ゲートウェイはコール エージェントからの命令を実行します。シグナリング パケットとメディア パケットの両方が UDP を介して送信されます。Junos OSは、ルートモードおよびNAT(ネットワークアドレス変換)モードでMGCPをサポートしています。
MGCP アプリケーション 層ゲートウェイ(ALG)は、以下の手順を実行します。
ボイスオーバー IP(VoIP)シグナリング ペイロード インスペクションを実行します。受信 VoIP シグナリング パケットのペイロードは、関連する RFC および独自規格に基づいて完全に検査されます。異常パケット攻撃は ALG によってブロックされます。
MGCP シグナリング ペイロード インスペクションを実行します。受信 MGCP シグナリング パケットのペイロードは、RFC 3435 に従って完全に検査されます。異常パケット攻撃は ALG によってブロックされます。
ステートフル処理を提供します。対応する VoIP ベースのステート マシンが呼び出され、解析された情報が処理されます。状態外またはトランザクション外のパケットは識別され、適切に処理されます。
NAT を実行します。ペイロードに埋め込まれた IP アドレスとポート情報は、既存のルーティング情報とネットワーク トポロジーに基づいて適切に変換され、必要に応じて変換された IP アドレスとポート番号に置き換えられます。
VoIP トラフィックのピンホールを管理します。VoIP ネットワークを安全に保つために、メディアやシグナリングに使用される IP アドレスとポート情報は ALG によって識別され、必要なピンホールはコール設定時に動的に作成および閉じられます。
このトピックには、以下のセクションが含まれています。
MGCP セキュリティ
MGCP ALG には、以下のセキュリティ機能が含まれています。
サービス拒否(DoS)攻撃防御。ALG は、UDP パケット レベル、トランザクション レベル、および呼び出しレベルでステートフル インスペクションを実行します。RFC 3435 メッセージ形式、トランザクション状態、および呼び出し状態に一致する MGCP パケットが処理されます。その他のメッセージはすべて破棄されます。
ゲートウェイとゲートウェイ コントローラー間のセキュリティ ポリシー適用(シグナリング ポリシー)。
ゲートウェイ間のセキュリティ ポリシー適用(メディア ポリシー)。
ゲートウェイ単位の MGCP メッセージ フラッディング制御。障害が発生したり、ゲートウェイがハッキングされたりしても、VoIP ネットワーク全体が中断することはありません。ゲートウェイ単位のフラッディング制御と組み合わせることで、影響を受けたゲートウェイに損傷が封じ込まれます。
ゲートウェイ単位の MGCP 接続フラッディング制御。
システム障害が発生した場合、進行中のコールを含むコールをスタンバイ ファイアウォールに切り替えた場合、シームレスな切り替え/フェイルオーバーが行われます。
MGCP 内のエンティティ
MGCP には、以下の 4 つの基本的なエンティティがあります。
エンドポイント
メディアゲートウェイは、エンドポイントの集まりです。エンドポイントには、アナログライン、トランク、またはその他のアクセスポイントを使用できます。エンドポイントには、以下の要素が含まれています。
local-endpoint-name@domain-name
次の例は、有効なエンドポイント ID の一部です。
group1/Trk8@example.net group2/Trk1/*@[192.168.10.8] (wild-carding) $@example.net (any endpoint within the media gateway) *@example.net (all endpoints within the media gateway)
接続
通話セットアップ中に、MG によって各エンドポイントで接続が作成されます。一般的な VoIP コールには 2 つの接続が必要です。3 者通話や電話会議などの複雑なコールでは、より多くの接続が必要になる場合があります。MGC は、接続の作成、変更、削除、監査をメディア ゲートウェイに指示できます。
接続は、接続 ID によって識別されます。これは MG が接続の作成を要求されたときに作成されます。接続 ID は 16 進文字列として表示され、最大長は 32 文字です。
呼び出し
コールは新しいコールを確立するとき MGC によって作成されるコール ID によって識別されます。呼び出し ID は、最大長が 32 文字の 16 進文字列です。コール ID は MGC 内で一意です。同じコールに属している場合、2 つ以上の接続が同じコール ID を持つことができます。
通話エージェント
MGCP では、1 つ以上のコール エージェント(メディア ゲートウェイ コントローラとも呼ばれます)がサポートされ、VoIP ネットワークの信頼性が向上します。以下の 2 つの例は、通話エージェント名の例です。
CallAgent@voipCA.example.com voipCA.example.com
DNS(ドメイン名システム)の 1 つのドメイン名の下に、複数のネットワーク アドレスを関連付けることができます。DNS クエリ/応答データの TTL(有効期限)を追跡し、他の代替ネットワーク アドレスを使用して再送信を実装することで、MGCP で切り替えとフェイルオーバーを実現します。
MGCP では、 通知を受けるエンティティ の概念が不可欠です。エンドポイントの通知エンティティは、現在そのエンドポイントを制御している通話エージェントです。エンドポイントは、MGCP コマンドを通知されたエンティティに送信する必要があります。ただし、異なる呼び出しエージェントは、このエンドポイントに MGCP コマンドを送信することがあります。
通知されるエンティティは起動時にプロビジョニングされた値に設定されますが、MGCP メッセージに含まれるパラメーターを使用 NotifiedEntity して呼び出しエージェントによって変更できます。エンドポイントの通知エンティティが空であるか、明示的に設定されていない場合、その値は、そのエンドポイントで最後に成功した非監査 MGCP コマンドの送信元アドレスにデフォルト設定されます。
MGCP コマンド
MGCP プロトコルは、エンドポイントと接続を制御するための 9 つのコマンドを定義します。すべてのコマンドは、コマンドヘッダーで構成され、オプションでSDP(セッション記述プロトコル)情報が続きます。コマンド ヘッダーには、以下の要素があります。
コマンド ライン:コマンド動詞 + トランザクション ID + endpointId + MGCP バージョン。
0 個以上のパラメータ行(パラメータ名の後にパラメータ値が続く)で構成されます。
表 1 は、サポートされている MGCP コマンドを示し、それぞれの説明、コマンド構文、例を示しています。コマンド構文の完全な説明については、RFC 2234を参照してください。
コマンド |
説明 |
コマンド構文 |
例 |
|---|---|---|---|
EPCF |
エンドポイント設定 — 通話エージェントが、エンドポイントの回線側で予想されるコーディング特性(a-law または mu-law)をゲートウェイに通知するために使用します。 |
|
|
CRCX |
接続の作成 — コール エージェントが、ゲートウェイ内のエンドポイントとの接続を作成するようゲートウェイに指示するために使用します。 |
|
|
MDCX |
接続の変更 — コール エージェントが既存の接続のパラメーターを変更するようゲートウェイに指示するために使用します。 |
|
|
DLCX |
DeleteConnection — コール エージェントがゲートウェイに既存の接続を削除するよう指示するために使用します。 DeleteConnection は、もはや維持できない接続をリリースするためにゲートウェイによって使用することもできます。 |
|
例1:MGC->MG
例2:MG-> MGC
|
RQNT |
NotificationRequest コマンド — 通話エージェントが MG に指示して、特定のエンドポイントの特定のイベントまたは信号を監視するように指示します。 |
|
|
NTFY |
通知 — ゲートウェイによって、要求されたイベントまたはシグナルが発生したときにコール エージェントに通知するために使用されます。 |
|
|
AUEP |
AuditEndpoint — エンドポイントのステータスを監査するために、コール エージェントによって使用されます。 |
|
例1:
例2:
|
AUCX |
AuditConnection — 接続に適用されるパラメーターを収集するために呼び出しエージェントによって使用されます。 |
|
|
RSIP |
RestareInProgress — ゲートウェイによって使用され、1 つ以上のエンドポイントがサービスから取り出されたか、サービスに戻されていることをコール エージェントに通知します。 |
|
|
MGCP 応答コード
呼び出し元エージェントまたはゲートウェイによって送信されたすべてのコマンドは、成功したかどうかに関係なく、応答コードが必要です。応答コードは応答メッセージのヘッダーにあり、オプションでセッション記述情報が続きます。
応答ヘッダーは応答行の後にゼロ以上のパラメーター行が続き、それぞれにパラメーター名文字の後に値が入っています。応答ヘッダーは、3桁の応答コード、トランザクションID、オプションでコメントで構成されています。以下の応答メッセージ内の応答ヘッダーには、応答コード 200(正常に完了)、続いて ID 1204 と comment:OK が表示されます。
200 1204 OK I: FDE234C8 v=0 o=- 25678 753849 IN IP4 128.96.41.1 s=- c=IN IP4 128.96.41.1 t=0 0 m=audio 3456 RTP/AVP 96 a=rtpmap:96 G726-32/8000
応答コードの範囲は、以下のように定義されます。
000 — 099 は、応答の確認応答を示します。
100 ~ 199—は暫定応答を示します。
200 — 299 は、完了(最終応答)を示します。
400 — 499 は一時的なエラー(最終応答)を示します。
500 — 599 は、恒久的なエラー(最終応答)を示します。
応答コードの詳細については、RFC 3661 を参照してください。
コマンドに対する応答は、現在の通知を受けたエンティティではなく、コマンドの送信元アドレスに送信されます。メディア ゲートウェイは、さまざまなネットワーク アドレスから MGCP コマンドを同時に受信し、対応するネットワーク アドレスに応答を返すことができます。ただし、すべての MGCP コマンドを、現在の通知を受けるエンティティに送信します。
MGCP ALG 設定の概要
メディアゲートウェイ制御プロトコル(MGCP ALG)は、デバイスでデフォルトで有効になっています。これを有効にするアクションは必要ありません。ただし、次の手順に従って MGCP ALG 操作を微調整することもできます。
コールが正しく終了しなかった場合、帯域幅を解放します。 例: MGCP ALG 呼び出し時間の設定を参照してください。
メディア トラフィックなしに通話をアクティブに維持できる時間を制御します。 例: MGCP ALG 非アクティブなメディア タイムアウトの設定を参照してください。
トラフィックがタイムアウトすると、トラフィックを追跡してクリアします。 例: MGCP ALG トランザクションタイムアウトの設定を参照してください。
サービス拒否(DoS)フラッド攻撃からメディアゲートウェイを保護します。 例: MGCP ALG DoS 攻撃防御の設定を参照してください。
セッションがネットワークアドレス変換(NAT)モードとルートモードのときに、未知のメッセージが通過できるようにします。 例: 未知の MGCP ALG メッセージ タイプの許可を参照してください。
例:MGCP ALG を使用した加入者宅内のメディア ゲートウェイの設定
この例では、MGCP ALG を使用して加入者宅内のメディア ゲートウェイを設定する方法を示します。
要件
開始する前に、以下を行います。
ゾーンを設定します。 例: セキュリティー・ゾーンの作成を参照してください。
アドレスとインターフェイスを設定します。例 : アドレスブックとアドレスセットの設定を参照してください。
セキュリティポリシーを設定します。 「セキュリティ ポリシーの設定の概要」を参照してください。
概要
ケーブル サービス プロバイダが一般家庭の加入者に MGCP サービスを提供する場合、ジュニパーネットワークスのデバイスを探し、エージェントに電話をかけ、それぞれの加入者の自宅にセットトップ ボックスを設置します。セットトップボックスは住居の玄関として機能します。
顧客とサービス プロバイダのinternal_caにexternal_subscriberゾーンを作成した後、アドレス、インターフェイス、最後にエンドポイント間のシグナリングを許可するポリシーを設定します。ゲートウェイは頻繁に異なるゾーンに存在し、メディア トラフィックに対するポリシーが必要になりますが、この例では両方のゲートウェイが同じサブネット内にあります。また、ゲートウェイ間の RTP トラフィックはデバイスを通過しないため、メディアにポリシーは必要ありません。 図 1 を参照してください。
内メディア ゲートウェイ
構成
手順
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security zones security-zone external-subscriber host-inbound-traffic system-services all set security zones security-zone external-subscriber host-inbound-traffic protocols all set security zones security-zone internal-ca host-inbound-traffic system-services all set security zones security-zone internal-ca host-inbound-traffic protocols all set interfaces ge-0/0/1 unit 0 family inet address 2.2.2.1/24 set interfaces ge-0/0/0 unit 0 family inet set security zones security-zone external-subscriber interfaces ge-0/0/0 set security zones security-zone internal-ca interfaces ge-0/0/1 set security address-book book1 address ca-agent 110.1.1.101/32 set security address-book book1 attach zone internal-ca set security address-book book2 address subscriber-subnet 2.2.2.1/24 set security address-book book2 attach zone external-subscriber set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match source-address ca-agent-1 set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match destination-address subscriber-subnet set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match application junos-mgcp set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers then permit set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match source-address subscriber-subnet set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match destination-address ca-agent-1 set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match application junos-mgcp set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca then permit set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match source-address any set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match destination-address any set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match application any set security policies from-zone internal-ca to-zone internal-ca policy intra-ca then permit set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match source-address any set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match destination-address any set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match application any set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
MGCP ALG を使用して加入者宅内のメディア ゲートウェイを設定するには、
顧客とサービス プロバイダのセキュリティ ゾーンを作成します。
[edit security zones security-zone external-subscriber] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all [edit security zones security-zone internal-ca] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all
ゾーンのインターフェイスを設定します。
[edit] user@host# edit security zones security-zone external-subscriber interfaces ge-0/0/0 user@host# set interfaces ge-0/0/0 unit 0 family inet user@host# set security zones security-zone internal-ca interfaces ge-0/0/1 user@host# set interfaces ge-0/0/1 unit 0 family inet address 2.2.2.1/24
アドレス帳を設定し、ゾーンをアタッチします。
[edit security address-book book1] user@host# set address ca-agent 110.1.1.101/32 user@host# set attach zone internal-ca
[edit security address-book book2] user@host# set address subscriber-subnet 2.2.2.1/24 user@host# set attach zone external-subscriber
内部ゾーンから外部ゾーンへのトラフィックのポリシーを設定します。
[edit security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers] user@host# edit match source-address ca-agent-1 user@host# set match destination-address subscriber-subnet user@host# set match application junos-mgcp user@host# set then permit
外部から内部ゾーンへのトラフィックのポリシーを設定します。
[edit security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca] user@host# edit match source-address subscriber-subnet user@host# set match destination-address ca-agent-1 user@host# set match application junos-mgcp user@host# set then permit
2つの内部ゾーン間のトラフィックに対してポリシーを設定します。
[edit security policies from-zone internal-ca to-zone internal-ca policy intra-ca] user@host# edit match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
2 つの外部ゾーン間のトラフィックに対してポリシーを設定します。
[edit security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber] user@host# edit match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
from-zone internal-ca to-zone external-subscriber {
policy ca-to-subscribers {
match {
source-address ca-agent-1;
destination-address subscriber-subnet;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone external-subscriber to-zone internal-ca {
policy subscriber-to-ca {
match {
source-address subscriber-subnet;
destination-address ca-agent-1;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone internal-ca to-zone internal-ca {
policy intra-ca {
match {
ssource-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone external-subscriber to-zone external-subscriber {
policy intra-subscriber {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、このタスクを実行します。
MGCP ALG の検証
目的
MGCP ALG 検証オプションを検証します。
アクション
動作モードから、 コマンドを show security alg mgcp ? 入力します。
user@host> show security alg mgcp ? Possible completions: calls Show MGCP calls counters Show MGCP counters endpoints Show MGCP endpoints
意味
出力は、すべての MGCP 検証パラメーターのリストを示しています。以下の情報を確認します。
すべての MGCP コール
すべての MGCP コールのカウンター
すべての MGCP エンドポイントに関する情報
MGCP ALG コールの検証
目的
アクティブな MGCP コールに関する情報を検証します。
アクション
動作モードから、 コマンドを show security alg mgcp calls 入力します。
user@host> show security alg mgcp calls
Endpoint@GW Zone Call ID RM Group
d001@101.50.10.1 Trust 10d55b81140e0f76 512
Connection Id> 0
Local SDP> o: 101.50.10.1 x_o: 101.50.10.1
c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
Remote SDP> c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Endpoint@GW Zone Call ID RM Group
d001@3.3.3.5 Untrust 3a104e9b41a7c4c9 511
Connection Id> 0
Local SDP> o: 3.3.3.5 x_o: 3.3.3.5
c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Remote SDP> c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
意味
出力には、すべての MGCP コールに関する情報が表示されます。以下の情報を確認します。
エンドポイント
ゾーン
コール識別子
リソース マネージャー グループ
MGCP ALG エンドポイントの検証
目的
MGCP エンドポイントに関する情報を検証します。
アクション
動作モードから、 コマンドを show security alg mgcp endpoints 入力します。
user@host> show security alg mgcp endpoints Gateway: 101.50.10.1 Zone: Trust IP: 101.50.10.1 -> 101.50.10.1 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0 Gateway: 3.3.3.5 Zone: Untrust IP: 3.3.3.5 -> 3.3.3.5 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0
意味
出力には、すべての MGCP エンドポイントに関する情報が表示されます。以下の情報を確認します。
両方のエンドポイントのゲートウェイ IP アドレスとゾーン
各ゲートウェイのエンドポイント識別子、トランザクション番号、通話番号、通知エンティティ
MGCP ALG カウンターの検証
目的
MGCP カウンターに関する情報を検証します。
アクション
動作モードから、 コマンドを show security alg mgcp counters 入力します。
user@host> show security alg mgcp counters MGCP counters summary: Packets received :284 Packets dropped :0 Message received :284 Number of connections :4 Number of active connections :3 Number of calls :4 Number of active calls :3 Number of transactions :121 Number of active transactions:52 Number of re-transmission :68 MGCP Error Counters: Unknown-method :0 Decoding error :0 Transaction error :0 Call error :0 Connection error :0 Connection flood drop :0 Message flood drop :0 IP resolve error :0 NAT error :0 Resource manager error :0 MGCP Packet Counters: CRCX :4 MDCX :9 DLCX :2 AUEP :1 AUCX :0 NTFY :43 RSIP :79 EPCF :0 RQNT :51 000-199 :0 200-299 :95 300-999 :0
意味
出力には、すべての MGCP カウンターに関する情報が表示されます。以下の情報を確認します。
MGCP カウンターの概要
MGCP エラー カウンター
MGCP パケット カウンター
例:MGCP ALG と NAT を使用した 3 ゾーン ISP ホスト サービスの設定
この例では、MGCP ALG と NAT を使用して 3 ゾーン構成を設定する方法を示します。
要件
開始する前に、MGCP ALG による NAT サポートについて理解してください。 MGCP ALG についてを参照してください。
概要
通常、1 つの地域の ISP が異なる地理的な場所にある 2 つのネットワークにサービスを提供する場合、3 ゾーン構成が使用されます。
この例( 図 2 を参照)では、米国西海岸にある ISP が、アジアとサンフランシスコの別々のネットワークの顧客に MGCP サービスを提供しています。アジアのお客様は、asia-3ゾーンに含まれており、asia-gwゲートウェイでサポートされています。サンフランシスコのお客様はsf-2ゾーンにいて、sf-gwゲートウェイでサポートされています。コール エージェント west-ca は DMZ にあります。ゲートウェイとコール エージェントは 表 2 に示され、対応する IP アドレス、インターフェイス、ゾーンが示されています。
この例では、ゾーンを作成し、ゲートウェイとコール エージェントのアドレスを設定した後、ゾーンをインターフェイスに関連付け、sf-2 ゾーンの IP 電話からアジア 3 ゾーンの電話に通信するために静的 NAT をコール エージェントとソース NAT に設定します。また、ゾーン間のポリシーを設定して、通信を許可することもできます。
トポロジ
図 2 は、3 ゾーンの ISP ホストサービスを示しています。
ゲートウェイ |
IP アドレス |
インターフェイス |
ゾーン |
|---|---|---|---|
sf-gw |
192.168.3.201 |
ge-0/0/0 |
sf-2 |
アジア-gw |
3.3.3.101 |
ge-0/0/1 |
アジア-3 |
west-ca |
10.1.1.101 |
ge-0/0/2 |
Dmz |
構成
手順
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.10/24 set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.10/24 set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.2/24 set security zones security-zone sf-2 interfaces ge-0/0/0.0 set security zones security-zone asia-3 interfaces ge-0/0/1.0 set security zones security-zone dmz interfaces ge-0/0/2.0 set security address-book book1 address sf-gw 192.168.3.201/32 set security address-book book1 attach zone sf-2 set security address-book book2 address asia-gw 3.3.3.101/32 set security address-book book2 attach zone asia-3 set security address-book book3 address west-ca 10.1.1.101/32 set security address-book book3 attach zone dmz set security nat source pool ip-phone-pool address 3.3.3.20/32 set security nat source rule-set phones from zone sf-2 set security nat source rule-set phones to zone asia-3 set security nat source rule-set phones rule phone1 match source-address 192.168.3.10/32 set security nat source rule-set phones rule phone1 match destination 3.3.3.101/32 set security nat source rule-set phones rule phone1 then source-nat pool ip-phone-pool set security nat static rule-set to-callagent from zone asia-3 set security nat static rule-set to-callagent rule phone1 match destination-address 3.3.3.101/32 set security nat static rule-set to-callagent rule phone1 then static-nat prefix 10.1.1.101/32 set security nat proxy-arp interface ge-0/0/1.0 address 3.3.3.101/32 set security nat proxy-arp interface ge-0/0/1.0 address 3.3.3.20/32 set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match source-address west-ca set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match destination-address asia-gw set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match application junos-mgcp set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 then permit set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match source-address asia-gw set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match destination-address west-ca set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match application junos-mgcp set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz then permit set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match source-address sf-gw set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match destination-address west-ca set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match application junos-mgcp set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz then permit set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match source-address west-ca set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match destination-address sf-gw set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match application junos-mgcp set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 then permit set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match source-address sf-gw set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match destination-address asia-gw set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match application junos-mgcp set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 then permit set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match source-address asia-gw set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match destination sf-gw set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match application junos-mgcp set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 then permit set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match source-address any set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match destination-address any set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match application any set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 then permit set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match source-address any set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match destination-address any set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match application any set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
MGCP ALG と NAT を使用して 3 ゾーンの設定を構成するには、
インターフェイスを設定します。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.10/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.10/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.2/24
セキュリティ ゾーンを作成します。
[edit security zones] user@host# set security-zone sf-2 interfaces ge-0/0/0 user@host# set security-zone asia-3 interfaces ge-0/0/1 user@host# set security-zone dmz interfaces ge-0/0/2
アドレス帳を作成し、ゾーンを割り当てます。
[edit security address-book book1] user@host# set address sf-gw 192.168.3.201/32 user@host# set attach zone sf-2
[edit security address-book book2] user@host# set address asia-gw 3.3.3.101/32 user@host# set attach zone asia-3
[edit security address-book book3] user@host# set address west-ca 10.1.1.101/32 user@host# set attach zone dmz
静的 NAT ルール セットを作成し、それに対する一致条件とアクションを設定します。
[edit security nat static rule-set to-callagent] user@host# set from zone asia-3 user@host# set rule phone1 match destination-address 3.3.3.101/32 user@host# set rule phone1 then static-nat prefix 10.1.1.101/32
インターフェイス上のアドレス
3.3.3.101/32にプロキシARPを設定しますge-0/0/1.0。[edit security nat ] user@host# set proxy-arp interface ge-0/0/1.0 address 3.3.3.101/32
ソース NAT プールを作成します。
[edit security nat] user@host# set source pool ip-phone-pool address 3.3.3.20/32
ソース NAT ルール セットを作成し、それに対する一致条件とアクションを設定します。
[edit security nat source rule-set phones] user@host# set from zone sf-2 user@host# set to zone asia-3 user@host# set rule phone1 match source-address 192.168.3.10/32 user@host# set rule phone1 match destination-address 3.3.3.101/32 user@host# set rule phone1 then source-nat pool ip-phone-pool
インターフェイス上のアドレス
3.3.3.20/32にプロキシARPを設定しますge-0/0/1.0。[edit security nat ] user@host# set proxy-arp interface ge-0/0/1.0 address 3.3.3.20/32
DMZからアジアへのトラフィックを許可するポリシーを設定します。
[edit security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3] user@host# set match source-address west-ca user@host# set match destination-address asia-gw user@host# set match application junos-mgcp user@host# set then permit
アジアから DMZ へのトラフィックを許可するポリシーを設定します。
[edit security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz] user@host# set match source-address asia-gw user@host# set match destination-address west-ca user@host# set match application junos-mgcp user@host# set then permit
サンフランシスコから DMZ へのトラフィックを許可するポリシーを設定します。
[edit security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz] user@host# set match source-address sf-gw user@host# set match destination-address west-ca user@host# set match application junos-mgcp user@host# set then permit
DMZ からサンフランシスコへのトラフィックを許可するポリシーを設定します。
[edit security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2] user@host# set match source-address west-ca user@host# set match destination-address sf-gw user@host# set match application junos-mgcp user@host# set then permit
サンフランシスコからアジアへのトラフィックを許可するポリシーを設定します。
[edit security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3] user@host# set match source-address sf-gw user@host# set match destination-address asia-gw user@host# set match application junos-mgcp user@host# set then permit
アジアからサンフランシスコへのトラフィックを許可するポリシーを設定します。
[edit security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2] user@host# set match source-address asia-gw user@host# set match destination-address sf-gw user@host# set match application junos-mgcp user@host# set then permit
サンフランシスコ内のデバイス上のトラフィックを許可するポリシーを設定します。
[edit security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
アジア内のデバイス上のトラフィックを許可するポリシーを設定します。
[edit security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
結果
設定モードから、 、show security natshow security zonesshow security address-bookおよび のコマンドをshow interfaces入力して、設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.3.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.10/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.1.1.2/24;
}
}
}
[edit]
user@host# show security zones
security-zone sf-2 {
interfaces {
ge-0/0/0.0;
}
}
security-zone asia-3 {
interfaces {
ge-0/0/1.0;
}
}
security-zone dmz {
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show security address-book
book1 {
address sf-gw 192.168.3.201/32;
attach {
zone sf-2;
}
}
book2 {
address asia-gw 3.3.3.101/32;
attach {
zone asia-3;
}
}
book3 {
address west-ca 10.1.1.101/32;
attach {
zone dmz;
}
}
[edit]
user@host# show security nat
source {
pool ip-phone-pool {
address {
3.3.3.20/32;
}
}
rule-set phones {
from zone sf-2;
to zone asia-3;
rule phone1 {
match {
source-address 192.168.3.10/32;
destination-address 3.3.3.101/32;
}
then {
source-nat {
pool {
ip-phone-pool;
}
}
}
}
}
}
static {
rule-set to-callagent {
from zone asia-3;
rule phone1 {
match {
destination-address 3.3.3.101/32;
}
then {
static-nat prefix 10.1.1.101/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
3.3.3.101/32;
3.3.3.20/32;
}
}
}
[edit]
user@host# show security policies
from-zone dmz to-zone asia-3 {
policy pol-dmz-to-asia-3 {
match {
source-address west-ca;
destination-address asia-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone asia-3 to-zone dmz {
policy pol-asia-3-to-dmz {
match {
source-address asia-gw;
destination-address west-ca;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone sf-2 to-zone dmz {
policy pol-sf-2-to-dmz {
match {
source-address sf-gw;
destination-address west-ca;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone dmz to-zone sf-2 {
policy pol-dmz-to-sf-2 {
match {
source-address west-ca;
destination-address sf-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone sf-2 to-zone asia-3 {
policy pol-sf-2-to-asia-3 {
match {
source-address sf-gw;
destination-address asia-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone asia-3 to-zone sf-2 {
policy pol-asia-3-to-sf-2 {
match {
source-address asia-gw;
destination-address sf-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone sf-2 to-zone sf-2 {
policy pol-intra-sf-2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone asia-3 to-zone asia-3 {
policy pol-intra-asia-3 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
MGCP ALG の検証
目的
MGCP ALG が有効になっているかどうかを確認します。
アクション
動作モードから、 コマンドを show security alg status | match mgcp 入力します。
user@host> show security alg status | match mgcp
MGCP : Enabled
意味
出力では、MGCPALG ステータスを次のように表示しています。
イネーブル—MGCP ALG がイネーブルであることを示しています。
無効— MGCP ALG が無効であることを示しています。
MGCP コールの検証
目的
現在アクティブになっている MGCP コールを確認します。
アクション
動作モードから、 コマンドを show security alg mgcp calls 入力します。
user@host> show security alg mgcp calls
Endpoint@GW Zone Call ID RM Group
d001@101.50.10.1 Trust 10d55b81140e0f76 512
Connection Id> 0
Local SDP> o: 101.50.10.1 x_o: 101.50.10.1
c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
Remote SDP> c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Endpoint@GW Zone Call ID RM Group
d001@3.3.3.5 Untrust 3a104e9b41a7c4c9 511
Connection Id> 0
Local SDP> o: 3.3.3.5 x_o: 3.3.3.5
c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Remote SDP> c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
意味
出力には、すべての MGCP コールに関する情報が表示されます。以下の情報を確認します。
エンドポイント
ゾーン
コール識別子
リソース マネージャー グループ
MGCP ALG 統計の検証
目的
MGCP ALG 統計を検証します。
アクション
動作モードから、 コマンドを show security alg mgcp counters 入力します。
user@host> show security alg mgcp counters
MGCP counters summary: Packets received :284 Packets dropped :0 Message received :284 Number of connections :4 Number of active connections :3 Number of calls :4 Number of active calls :3 Number of transactions :121 Number of active transactions:52 Number of re-transmission :68 MGCP Error Counters: Unknown-method :0 Decoding error :0 Transaction error :0 Call error :0 Connection error :0 Connection flood drop :0 Message flood drop :0 IP resolve error :0 NAT error :0 Resource manager error :0 MGCP Packet Counters: CRCX :4 MDCX :9 DLCX :2 AUEP :1 AUCX :0 NTFY :43 RSIP :79 EPCF :0 RQNT :51 000-199 :0 200-299 :95 300-999 :0
意味
出力には、すべての MGCP カウンターに関する情報が表示されます。以下の情報を確認します。
MGCP カウンターの概要
MGCP エラー カウンター
MGCP パケット カウンター
MGCP エンドポイントの検証
目的
MGCP エンドポイントを確認します。
アクション
動作モードから、 コマンドを show security alg mgcp endpoints 入力します。
user@host> show security alg mgcp endpoints
Gateway: 101.50.10.1 Zone: Trust IP: 101.50.10.1 -> 101.50.10.1 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0 Gateway: 3.3.3.5 Zone: Untrust IP: 3.3.3.5 -> 3.3.3.5 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0
意味
出力には、すべての MGCP エンドポイントに関する情報が表示されます。以下の情報を確認します。
両方のエンドポイントのゲートウェイ IP アドレスとゾーン
各ゲートウェイのエンドポイント識別子、トランザクション番号、通話番号、通知エンティティ
MGCP ALG コールの長さとタイムアウトについて
通話時間機能は、MGCP(Media Gateway Control Protocol)コール アクティビティを制御し、ネットワーク リソースの管理に役立ちます。
通常、接続の削除(DLCX)メッセージが送信され、接続が削除されます。MCGPアプリケーション層ゲートウェイ(ALG)はそれを傍受し、その接続のすべてのメディアセッションを削除します。
通話に 1 つ以上の音声チャネルを設定できます。各音声チャネルには、2 つのセッション(または 2 つのメディア ストリーム)があり、1 つはリアルタイム トランスポート プロトコル(RTP)トラフィック用、もう 1 つは RTCP(リアルタイム制御プロトコル)シグナリング用です。セッションを管理する場合、デバイスは各音声チャネルのセッションを 1 つのグループとみなします。タイムアウトと通話時間の設定は、各セッションではなくグループに適用されます。
MGCP 呼び出しアクティビティは、以下のパラメーターによって制御されます。
maximum-call-duration—このパラメーターは、呼び出しの絶対最大長を設定します。コールがこのパラメータ設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分で、範囲は 3~720 分です。また、この設定により、コールが正しく終了しなかった場合に、帯域幅が解放されます。inactive-media-timeout—このパラメータは、グループ内のメディア(RTP または RTCP)トラフィックなしでコールがアクティブの状態を維持できる最大時間(秒単位)を示します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開いた MGCP ALG ゲートは閉じられます。デフォルト設定は120秒で、範囲は10~2550秒です。タイムアウト時に、メディア(セッションおよびピンホール)のリソースが削除される間、コールは終了しないことに注意してください。メモ:値は
inactive-media-timeout、値よりもmaximum-call-duration小さくする必要があります。transaction-timeout—トランザクションはコマンドとその必須応答です。たとえば、ゲートウェイからコール エージェントへの NTFY、またはコール エージェントからゲートウェイへの 200 OK。ジュニパーネットワークスのデバイスは、これらのトランザクションを追跡し、タイムアウトしたときにそのトランザクションをクリアします。MGCP トランザクションのタイムアウト範囲は 3~50 秒で、デフォルトは 30 秒です。
例:MGCP ALG 呼び出し時間の設定
この例では、MGCP ALG の呼び出し時間を設定する方法を示します。
要件
開始する前に、MGCP 呼び出しアクティビティの制御とそのネットワーク リソースの管理に使用するパラメーターのタイプを決定します。 MGCP ALG 呼び出し時間とタイムアウトについてを参照してください。
概要
パラメーターは maximum-call-duration MGCP 呼び出しアクティビティーを制御し、呼び出しの絶対最大長を設定します。コールがこのパラメータ設定を超えると、MGCP ALG はコールを破棄し、メディア セッションを解放します。デフォルト設定は 720 分で、範囲は 3~720 分です。また、この設定により、コールが正しく終了しなかった場合に、帯域幅が解放されます。この例では、通話時間は600分に設定されています。
構成
手順
GUI クイックコンフィギュレーション
手順
MGCP ALG の呼び出し時間を設定するには、次の手順にしたがっています。
[> >
Security] を選択ConfigureしますALG。タブを
MGCP選択します。最大通話時間ボックスに、 を入力します
600。をクリック
OKして設定を確認し、候補のコンフィギュレーションとして保存します。デバイスの設定が完了したら、[>
Commit] をクリックしますCommit Options。
手順
MGCP ALG の呼び出し時間を設定するには、次の手順にしたがっています。
MGCP ALG コール時間を設定します。
[edit] user@host# set security alg mgcp maximum-call-duration 600
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security alg mgcp 入力します。
例:MGCP ALG 非アクティブメディアタイムアウトの設定
この例では、MGCP ALG の非アクティブなメディア タイムアウト値を設定する方法を示します。
要件
開始する前に、MGCP 呼び出しアクティビティの制御とそのネットワーク リソースの管理に使用するパラメーターのタイプを決定します。 MGCP ALG 呼び出し時間とタイムアウトについてを参照してください。
概要
パラメーターは inactive-media-timeout MGCP コール アクティビティを制御し、グループ内のメディア(RTP または RTCP)トラフィックなしでコールをアクティブに維持できる最大時間(秒単位)を示します。RTP または RTCP パケットがコール内で発生するたびに、このタイムアウトはリセットされます。非アクティブ期間がこの設定を超えると、メディア用に開いた MGCP ALG ゲートは閉じられます。デフォルト設定は120秒で、範囲は10~2550秒です。タイムアウト時に、メディア(セッションおよびピンホール)のリソースが削除される間、コールは終了しないことに注意してください。この例では、非アクティブなメディアタイムアウトは90秒に設定されています。
構成
手順
GUI クイックコンフィギュレーション
手順
MGCP ALG の非アクティブなメディア タイムアウトを設定するには、
を選択します
Configure>Security>ALG。タブを
MGCP選択します。[非アクティブなメディアタイムアウト]ボックスに、 を入力します
90。をクリック
OKして設定を確認し、候補のコンフィギュレーションとして保存します。デバイスの設定が完了したら、 をクリックします
Commit Options>Commit。
手順
MGCP ALG の非アクティブなメディア タイムアウトを設定するには、
MGCP ALG非アクティブなメディア タイムアウト値を設定します。
[edit] user@host# set security alg mgcp inactive-media-timeout 90
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security alg mgcp 入力します。
例:MGCP ALG トランザクションタイムアウトの設定
この例では、MGCP ALG のトランザクション タイムアウトを設定する方法を示します。
要件
開始する前に、MGCP 呼び出しアクティビティの制御とそのネットワーク リソースの管理に使用するパラメーターのタイプを決定します。 MGCP ALG 呼び出し時間とタイムアウトについてを参照してください。
概要
パラメーターは transaction-timeout MGCP コール アクティビティを制御し、シグナリング メッセージです。たとえば、ゲートウェイからコール エージェントへの NTFY、コール エージェントからゲートウェイへの 200 OK などです。ジュニパーネットワークスのデバイスは、これらのトランザクションを追跡し、タイムアウトしたときにそのトランザクションを消去します。MGCP トランザクションのタイムアウト範囲は 3~50 秒で、デフォルトは 30 秒です。この例では、トランザクションのタイムアウトは 20 秒に設定されています。
構成
手順
GUI クイックコンフィギュレーション
手順
MGCP ALG のトランザクション タイムアウトを設定するには、
を選択します
Configure>Security>ALG。タブを
MGCP選択します。[トランザクションタイムアウト] ボックスに、 を入力します
20。をクリック
OKして設定を確認し、候補のコンフィギュレーションとして保存します。デバイスの設定が完了したら、 をクリックします
Commit Options>Commit。
手順
MGCP ALG のトランザクション タイムアウトを設定するには、
MGCP ALG トランザクションタイムアウト値を設定します。
[edit] user@host# set security alg mgcp transaction-timeout 20
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security alg mgcp 入力します。
例:MGCP ALG DoS 攻撃防御の設定
この例では、MGCP ALGの接続フラッド保護を設定する方法を示しています。
要件
開始する前に、MGCP メディア ゲートウェイを DoS フラッド攻撃から保護するかどうかを判断します。
概要
処理を試みる1秒あたりのリモートアクセスサービス(RAS)メッセージと接続数を制限することで、サービス拒否(DoS)フラッド攻撃からメディアゲートウェイを保護することができます。
MGCP メッセージ フラッド保護を設定すると、MGCP ALG(アプリケーション レイヤー ゲートウェイ)は、設定したしきい値を超えるメッセージをドロップします。範囲は、メディア ゲートウェイあたり 1 秒あたり 2~50,000 メッセージ、デフォルトはメディア ゲートウェイあたり 1000 メッセージ/秒です。
MGCP 接続フラッド保護を設定すると、MGCP ALG は設定したしきい値を超える接続要求をドロップします。これにより(CRCX)コマンドのCreateConnection処理速度が制限されるため、ピンホールの作成が間接的に制限されます。範囲は、メディア ゲートウェイあたり 1 秒あたり 2~10,000 回の接続要求で、デフォルトは 200 です。
この例では、MGCP ALG を設定して、1 秒あたり 10,000 リクエストを超えるメッセージ要求をドロップし、1 秒あたり 4000 を超える接続要求をドロップします。
構成
手順
GUI クイックコンフィギュレーション
手順
MGCP ALG の接続フラッド保護を設定するには、
を選択します
Configure>Security>ALG。タブを
MGCP選択します。メッセージフラッドゲートキーパーのしきい値ボックスに、 を入力します
10000。[接続フラッドのしきい値] ボックスに、 を入力します
4000。をクリック
OKして設定を確認し、候補のコンフィギュレーションとして保存します。デバイスの設定が完了したら、 をクリックします
Commit Options>Commit。
手順
MGCP ALG の接続フラッド保護を設定するには、
接続フラッドしきい値を設定します。
[edit] user@host# set security alg mgcp application-screen message-flood threshold 10000 user@host# set security alg mgcp application-screen connection-flood threshold 4000
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security alg mgcp 入力します。
例:不明な MGCP ALG メッセージ タイプの許可
この例では、NAT モードとルート モードの両方で未知の MGCP メッセージ タイプを許可するように MGCP ALG を設定する方法を示します。
要件
開始する前に、デバイスに新しい MGCP メッセージ タイプと不明な MGCP メッセージ タイプを対応させるかどうかを判断します。
概要
MGCP(Media Gateway Control Protocol)の継続的な開発に対応するために、新しい MGCP メッセージ タイプを含むトラフィックを許可することができます。未知の MGCP メッセージ タイプ機能により、ネットワーク アドレス変換(NAT)モードとルート モードの両方で、未知のメッセージ タイプを含む MGCP トラフィックを受け入れるようジュニパーネットワークス デバイスを設定できます。
この機能により、識別されていない MGCP メッセージをジュニパーネットワークス デバイスで処理する方法を指定できます。デフォルトでは、不明(サポートされていない)メッセージをドロップします。不明なメッセージがセキュリティを侵害する可能性があります。ただし、セキュアなテスト環境や実稼働環境では、このコマンドは、異なるベンダーの機器との相互運用性の問題を解決するのに役立ちます。不明な MGCP メッセージを許可すると、ネットワークを稼働させることができます。そのため、VoIP(Voice-over-IP)トラフィックを分析して、一部のメッセージがドロップされた理由を判断できます。
このコマンドは、サポートされているVoIPパケットとして識別された受信パケットにのみ適用されることに注意してください。パケットを識別できない場合、常にドロップされます。パケットがサポートされているプロトコルとして識別され、不明なメッセージタイプを許可するようにデバイスを設定している場合、メッセージは処理されずに転送されます。
構成
手順
GUI クイックコンフィギュレーション
手順
MGCP ALG が未知のメッセージ タイプを許可するように設定するには、
を選択します
Configure>Security>ALG。タブを
MGCP選択します。このチェック ボックスを
Enable Permit NAT appliedオンにします。このチェック ボックスを
Enable Permit routedオンにします。をクリック
OKして設定を確認し、候補のコンフィギュレーションとして保存します。デバイスの設定が完了したら、 をクリックします
Commit Options>Commit。
手順
MGCP ALG が未知のメッセージ タイプを許可するように設定するには、
セッションがNATモードまたはルートモードの場合、不明なメッセージタイプを渡すことを許可します。
[edit] user@host# set security alg mgcp application-screen unknown-message permit-nat-applied permit-routed
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを show security alg mgcp 入力します。