이 페이지의
H.323 ALG
H.323 ALG(Application Layer Gateway)는 H.225.0 및 H.245 프로토콜로 구성되어 모든 네트워크에서 시청각 통신 세션을 제공합니다. H.323 ALG는 IP 폰 및 멀티미디어 디바이스와 같은 터미널 호스트 간의 안전한 통신을 제공합니다.
H.323 ALG 이해
H.323 표준은 ITU-T(International Telecommunication Union)에서 정의한 레거시 VoIP(Voice-over-IP) 프로토콜입니다. H.323은 VoIP를 위한 호출 시그널링 및 호출 제어에 사용되는 프로토콜 제품군(예: H.225.0 및 H.245)으로 구성되어 있습니다.
H.323은 ASN.1 코딩 형식을 사용합니다. 또한 프로토콜 Q.931(포트 번호 1720) 및 H.245에 따라 데이터, 비디오 및 오디오 스트림을 위한 동적 링크를 설정합니다. H.323에는 다음과 같은 세 가지 주요 프로세스가 있습니다.
Gatekeeper Discovery—엔드포인트는 브로드캐스트 또는 유니캐스트를 통해 알려진 IP 및 잘 알려진 UDP 포트 1719에 이르기까지 게이트키퍼 검색 프로세스를 통해 게이트키퍼를 찾습니다. Junos OS는 유니캐스트 검색만 지원한다는 점에 유의하십시오.
단말 장치 등록, 승인 및 상태—단말 장치는 게이트키퍼에 등록하고 관리를 요청합니다. 전화를 걸기 전에 단말 장치는 게이트키퍼에게 전화를 걸 수 있는 권한을 요청합니다. 등록 및 승인 단계에서는 RAS(Registration, Admission, and Status) 채널이 사용됩니다. TSAP(Transport Service Access Point)는 잘 알려진 UDP 포트(1719) 또는 검색 또는 등록 단계 및 IP 주소에서 동적으로 할당된 포트를 사용할 수 있습니다.
호출 제어 및 호출 설정—존 내 또는 두 존 간 또는 여러 존(멀티포인트 컨퍼런스)에 걸쳐 호출을 설정할 수 있습니다. TSAP가 잘 알려진 TCP 포트(1720)인 콜 시그널링 채널을 통해 호출 설정 및 해체가 수행됩니다. 두 단말 장치 간의 미디어 채널 개방/폐쇄를 포함한 호출 제어는 이전 호출 시그널링 프로세스에서 TSAP가 동적으로 할당되는 호출 제어 채널을 통해 수행됩니다. H.245 메시지는 호출 제어 채널에서 사용되며 ASN.1을 사용하여 인코딩됩니다.
참고:H.323에 대한 자세한 정보는 ITU-T 권장 H.323에서 확인할 수 있습니다.
장비의 H.323 ALG(Application Layer Gateway)를 사용하면 IP 전화기 및 멀티미디어 디바이스와 같은 터미널 호스트 간의 VoIP 통신을 안전하게 보호할 수 있습니다. 이러한 전화 시스템에서는 게이트키퍼 장비가 VoIP 통화에 대한 통화 등록, 승인 및 통화 상태를 관리합니다. 게이트키퍼는 두 개의 서로 다른 존에 있거나 같은 존에 있을 수 있습니다. ( 그림 1 참조)
시 H.323 ALG
그림에서는 설명 목적으로 IP 폰을 사용하지만 Microsoft NetMeeting 멀티미디어 장비와 같이 VoIP를 사용하는 다른 호스트를 위해 구성할 수 있습니다.
Junos OS Release 17.4R1부터 H.323 ALG(Application Layer Gateway)에서 게이트웨이 투 게이트웨이 호출 기능이 지원됩니다. 이 기능은 여러 H.323 호출이 단일 제어 세션을 통과할 때 H.225 제어 세션과 H.323 호출 간의 일대다 매핑을 제공합니다.
Junos OS 릴리스 17.4R1부터 H.323 ALG(Application Layer Gateway)는 IPv6 네트워크에서 NAT64 규칙을 지원합니다.
H.323 ALG 구성 개요
H.323 ALG(Application Layer Gateway)는 디바이스에서 기본적으로 활성화되며, 이를 활성화하기 위한 어떠한 조치도 필요하지 않습니다. 그러나 다음 지침을 사용하여 H.323 ALG 작업을 미세 조정할 수 있습니다.
단말 장치 등록 항목이 NAT(Network Address Translation) 테이블에 유지되는 길이를 지정합니다. 지침은 예제: H.323 ALG 단말 장치 등록 타임아웃 설정을 참조하십시오.
좁거나 광범위한 포트에서 미디어 트래픽을 활성화합니다. 지침은 예제: H.323 ALG 미디어 소스 포트 범위 설정을 참조하십시오.
DoS(Denial-of-Service) 플러드 공격으로부터 H.323 게이트키퍼를 보호하십시오. 지침은 예: H.323 ALG DoS 공격 보호 구성을 참조하십시오.
세션이 NAT 모드 및 Route 모드일 때 알 수 없는 메시지를 전달합니다. 지침은 예: 알 수 없는 H.323 ALG 메시지 유형 허용을 참조하십시오.
Avaya H.323 ALG 이해하기
H.323 표준은 ITU-T(International Telecommunication Union)에서 정의한 레거시 VoIP(Voice-over-IP) 프로토콜입니다. H.323은 VoIP를 위한 호출 시그널링 및 호출 제어에 사용되는 프로토콜 제품군(예: H.225.0 및 H.245)으로 구성되어 있습니다. H.323 표준 ALG(Application Layer Gateway)와 전용 Avaya H.323 ALG를 구성하는 프로세스는 동일합니다.
하지만 Avaya H.323 ALG에는 몇 가지 특수 기능이 있습니다. 여기에 나열된 Avaya H.323 특정 기능을 이해하고 구성하려면, avaya Communication Manager용 관리자 가이드, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide(http://support.avaya.com 참조)를 참조하십시오.
이 항목에는 다음 섹션이 포함되어 있습니다.
Avaya H.323 ALG별 기능
Avaya H.323 고유 기능은 다음과 같습니다.
H.323 Fast Connect
H.323 비대칭 미디어
통화 대기 중
착신 전환
음성 메일
통화 식별
컨퍼런스 콜
Avaya H.323 ALG의 통화 흐름 세부 정보
전화 연결을 네트워크에 연결—Avaya는 전화를 시작할 때가 아니라 전화 연결이 네트워크에 유선될 때 Q.931 설치/연결 협상을 수행합니다.
전화 걸기—통화가 이루어지면, PBX가 이미 전화기가 네트워크에 연결되면 각 전화기에 대한 기능을 저장했기 때문에 통화를 설정하기 위해 더 이상 Q.931 및 PBX 협상이 필요하지 않습니다. 더 이상 Q.931 설정 및 PBX와 메시지를 교환하지 않습니다. 전화와 PBX는 H.323 설비 메시지를 교환하여 전화를 설정합니다.
CM 등록—통화가 이루어졌을 때 Avaya H.323은 CM(Avaya Communication Manager)에 등록합니다. 등록 프로세스는 일반 H.323 표준 등록 프로세스와 유사합니다.
참고:직접 모드 및 터널 모드는 Avaya H.323 ALG로 정의되지 않습니다.
업무를 요청하려면 CM을 Avaya Endpoints와 함께 구축해야 합니다. 통화 중에는 CM과 Avaya Endpoint 간에 RAS 및 Q.931 메시지가 교환됩니다.
참고:소스 NAT(Network Address Translation) 풀이 있는 Avaya H.323의 경우 등록 프로세스에서는 풀에서 하나의 IP 주소만 허용합니다.
RTP(Real-Time Transport Protocol)/RTCP(Real-Time Control Protocol) 포트 설정—Q.931 설정, 설비 및 정보 메시지는 RTP/RTCP 포트를 설정하는 데 사용됩니다. Avaya H.323 세션의 계층은 Q.931, RTP/RTCP, 부모, 자식입니다.
참고:H.245 포트는 Avaya 통화 흐름 프로세스에서 사용되지 않습니다.
Avaya H.323 카운터 사용—통화 및 활성 통화 카운터는 Avaya H.323 ALG에 적용되지 않습니다. 통화 생성 및 해체는 이후에 설비 메시지에 의해 수행됩니다. 자원이 호출에 할당되면 통화 및 활성 통화 증가에 대한 모든 카운터가 할당됩니다. 자원이 통화에 여러 번 할당되는 경우 방화벽을 여러 번 통과하는 동일한 호출에 속하는 메시지는 카운터의 여러 증분이 트리거됩니다. 즉, 동일한 통화에 속하고 방화벽을 여러 번 전달하는 메시지는 통화 리소스를 여러 번 할당해야 하는 경우 카운터의 여러 증분이 트리거될 수 있습니다.
예를 들어, 2 존의 경우 설정 및 연결 메시지 쌍은 하나의 호출 리소스를 할당합니다. 활성 콜 카운터가 한 번 증가합니다. 설정 및 연결 메시지 쌍이 방화벽을 통과할 때마다 고유한 인터페이스와 NAT가 할당된 다른 호출 리소스가 할당됩니다. 따라서 카운터는 3 존 시나리오에서 두 번 증가합니다.
예: H.323 ALG 트래픽을 프라이빗 존의 게이트키퍼에게 전달
이 예에서는 H.323 트래픽이 IP 전화 호스트와 프라이빗 존의 게이트키퍼 사이를 통과할 수 있도록 하는 두 가지 정책과 공용 존의 IP 전화 호스트(2.2.2.5/32)를 설정하는 방법을 보여줍니다.
요구 사항
시작하기 전:
Avaya H.323 특정 기능을 이해하고 구성합니다. http://support.avaya.com Avaya Communication Manager, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide를 참조하십시오.
보안 존을 구성합니다. 보안 존 이해(Understanding Security Zones)를 참조하십시오.
개요
이 예에서는 H.323 트래픽이 IP 전화 호스트와 프라이빗 존의 게이트키퍼 사이를 통과할 수 있도록 하는 두 가지 정책과 공용 존의 IP 전화 호스트(2.2.2.5/32)를 설정하는 방법을 보여줍니다. 장치에 대한 연결은 NAT 사용 또는 미지정일 수 있습니다. 그림 2를 참조하십시오.
구성
절차
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32 set security policies from-zone private to-zone public policy P1 match source-address any set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone set security policies from-zone private to-zone public policy P1 match application junos-h323 set security policies from-zone private to-zone public policy P1 then permit set security policies from-zone public to-zone private policy P2 match source-address any set security policies from-zone public to-zone private policy P2 match destination-address gateway set security policies from-zone public to-zone private policy P2 match application junos-h323 set security policies from-zone public to-zone private policy P2 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
H.323 ALG 트래픽을 프라이빗 존의 게이트키퍼에게 전달하도록 디바이스를 구성하려면 다음을 수행합니다.
두 개의 주소록을 구성합니다.
[edit] user@host# set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32
프라이빗 존에서 퍼블릭 존으로 정책 P1을 구성합니다.
[edit] user@host# set security policies from-zone private to-zone public policy P1 match source-address any user@host# set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone user@host# set security policies from-zone private to-zone public policy P1 match application junos-h323 user@host# set security policies from-zone private to-zone public policy P1 then permit
퍼블릭 존에서 프라이빗 존으로 정책 P2를 구성합니다.
[edit] user@host# set security policies from-zone public to-zone private policy P2 match source-address any user@host# set security policies from-zone public to-zone private policy P2 match destination-address gateway user@host# set security policies from-zone public to-zone private policy P2 match application junos-h323 user@host# set security policies from-zone public to-zone private policy P2 then permit
결과
구성 모드에서 명령을 입력하여 구성을 show security policies 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
간결하게 말하면 이 쇼 출력에는 이 예제와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성이 타원(...)으로 대체되었습니다.
[edit]
user@host# show security policies
...
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
from-zone private to-zone public {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy P2 {
match {
source-address any;
destination-address gateway;
application junos-h323;
}
then {
permit;
}
}
}
...
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
확인
구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.
H.323 ALG 구성 검증
목적
활성 통화에 대한 정보를 표시합니다.
이 show security 명령의 출력에서 호출 및 활성 호출에 대한 H.323 카운터는 H.323의 전용 Avaya 구현에는 적용되지 않습니다. 이는 Q.931 설정 및 연결 메시지가 전화 전원이 가동되고 설비 메시지에 의해 통화 생성 및 해체가 수행된 직후에 교환되기 때문입니다.
통화에 할당된 리소스가 증가하면 통화 및 활성 통화에 대한 카운터가 증가합니다. 즉, 동일한 통화에 속하는 메시지이며 방화벽을 여러 번 전달하여 카운터를 증설합니다. 이는 호출 리소스를 여러 번 할당해야 하는 경우에 적용됩니다. 예를 들어, 2 존 시나리오에서 설정 및 연결 메시지 쌍은 하나의 호출 리소스를 할당하고 활성 콜 카운터는 1개씩 증가합니다. 그러나 3 존 시나리오에서 설정 및 연결 메시지 쌍은 각각 다른 호출 리소스를 할당할 때마다 방화벽을 두 번 전달합니다. 이 경우 카운터가 증분됩니다.
작업
J-Web 인터페이스에서 을 선택합니다 Monitor>ALGs>H323. 또는 CLI에서 명령을 입력합니다 show security alg h323 counters .
수신된 H.245 메시지에 대한 카운터도 H.245 터널링의 경우 정확하지 않습니다. H.245 메시지는 Q.931 패킷으로 캡슐화되기 때문에 수신된 H.245 메시지의 카운터는 H.245 메시지가 있는 경우에도 0으로 유지됩니다. 그러나 카운터는 Other H245 이러한 패킷 전송을 반영합니다.
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
예: H.323 ALG 트래픽을 외부 존의 게이트키퍼에게 전달
이 예에서는 H.323 트래픽이 내부 존의 IP 전화 호스트와 외부 존의 IP 주소 2.2.2.5/32(및 게이트키퍼)의 IP 전화기를 통과하도록 허용하는 두 가지 정책을 설정하는 방법을 보여줍니다.
요구 사항
시작하기 전:
Avaya H.323 특정 기능을 이해하고 구성합니다. http://support.avaya.com Avaya Communication Manager, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide를 참조하십시오.
보안 존을 구성합니다. 보안 존 이해(Understanding Security Zones)를 참조하십시오.
개요
라우트 모드는 어떤 종류의 주소 매핑도 요구하지 않기 때문에 외부 또는 공용의 게이트키퍼를 위한 장치 구성은 대개 내부 또는 전용 존의 게이트키퍼 구성과 동일합니다. 이 예에서는 H.323 트래픽이 내부 존의 IP 전화 호스트와 외부 존의 IP 주소 2.2.2.5/32(및 게이트키퍼)의 IP 전화기를 통과하도록 허용하는 두 가지 정책을 설정하는 방법을 보여줍니다. 디바이스는 투명하거나 경로 모드일 수 있습니다. 그림 3을 참조하십시오.
구성
절차
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32 set security policies from-zone internal to-zone external policy P1 match source-address any set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone set security policies from-zone internal to-zone external policy P1 match application junos-h323 set security policies from-zone internal to-zone external policy P1 then permit set security policies from-zone internal to-zone external policy P2 match source-address any set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper set security policies from-zone internal to-zone external policy P2 match application junos-h323 set security policies from-zone internal to-zone external policy P2 then permit set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone set security policies from-zone external to-zone internal policy P3 match destination-address any set security policies from-zone external to-zone internal policy P3 match application junos-h323 set security policies from-zone external to-zone internal policy P3 then permit set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper set security policies from-zone external to-zone internal policy P4 match destination-address any set security policies from-zone external to-zone internal policy P4 match application junos-h323 set security policies from-zone external to-zone internal policy P4 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
H.323 ALG 트래픽을 외부 존의 게이트키퍼에게 전달하도록 디바이스를 구성하려면 다음을 수행합니다.
두 개의 주소록을 구성합니다.
[edit] user@host# set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 user@host# set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32
내부 존에서 외부 존으로 정책 P1을 구성합니다.
[edit] user@host# set security policies from-zone internal to-zone external policy P1 match source-address any user@host# set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone user@host# set security policies from-zone internal to-zone external policy P1 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P1 then permit
정책 P2를 구성하여 내부 존과 외부 존의 게이트키퍼 간의 트래픽을 허용합니다.
[edit] user@host# set security policies from-zone internal to-zone external policy P2 match source-address any user@host# set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper user@host# set security policies from-zone internal to-zone external policy P2 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P2 then permit
정책 P3를 구성하여 내부 존과 외부 존의 전화기 간에 트래픽을 허용합니다.
[edit] user@host# set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone user@host# set security policies from-zone external to-zone internal policy P3 match destination-address any user@host# set security policies from-zone external to-zone internal policy P3 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P3 then permit
정책 P4를 구성하여 내부 존의 전화기와 외부 존의 게이트키퍼 간의 트래픽을 허용합니다.
[edit] user@host# set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper user@host# set security policies from-zone external to-zone internal policy P4 match destination-address any user@host# set security policies from-zone external to-zone internal policy P4 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P4 then permit
결과
구성 모드에서 명령을 입력하여 구성을 show security policies 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
간결하게 말하면 이 쇼 출력에는 이 예제와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성이 타원(...)으로 대체되었습니다.
[edit]
user@host# show security policies
...
from-zone internal to-zone external {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
policy P2 {
match {
source-address any;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone external to-zone internal {
policy P3 {
match {
source-address IP_Phone;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
policy P4 {
match {
source-address gatekeeper;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
}
...
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
확인
구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.
H.323 ALG 구성 검증
목적
활성 통화에 대한 정보를 표시합니다.
이 show security 명령의 출력에서 호출 및 활성 호출에 대한 H.323 카운터는 H.323의 전용 Avaya 구현에는 적용되지 않습니다. 이는 Q.931 설정 및 연결 메시지가 전화 전원이 가동되고 설비 메시지에 의해 통화 생성 및 해체가 수행된 직후에 교환되기 때문입니다.
통화에 할당된 리소스가 증가하면 통화 및 활성 통화에 대한 카운터가 증가합니다. 즉, 동일한 통화에 속하는 메시지이며 방화벽을 여러 번 전달하여 카운터를 증설합니다. 이는 호출 리소스를 여러 번 할당해야 하는 경우에 적용됩니다. 예를 들어, 2 존 시나리오에서 설정 및 연결 메시지 쌍은 하나의 호출 리소스를 할당하고 활성 콜 카운터는 1개씩 증가합니다. 그러나 3 존 시나리오에서 설정 및 연결 메시지 쌍은 각각 다른 호출 리소스를 할당할 때마다 방화벽을 두 번 전달합니다. 이 경우 카운터가 증분됩니다.
작업
J-Web 인터페이스에서 을 선택합니다 Monitor>ALGs>H323. 또는 CLI에서 명령을 입력합니다 show security alg h323 counters .
수신된 H.245 메시지에 대한 카운터도 H.245 터널링의 경우 정확하지 않습니다. H.245 메시지는 Q.931 패킷으로 캡슐화되기 때문에 수신된 H.245 메시지의 카운터는 H.245 메시지가 있는 경우에도 0으로 유지됩니다. 그러나 카운터는 Other H245 이러한 패킷 전송을 반영합니다.
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
예: H.323 ALG와 NAT를 사용하여 수신 통화 활성화
이 예에서는 H.323 ALG로 NAT를 구성하여 퍼블릭에서 프라이빗 네트워크로의 호출을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에 H.323 ALG에 대해 알아보십시오. H.323 ALG 이해하기를 참조하십시오.
개요
프라이빗 존에 서버가 있는 2개 존 시나리오에서는 인터페이스에서 퍼블릭 존으로 NAT 풀을 구성하여 수신 통화에 NAT를 사용할 수 있습니다.
이 예에서( 그림 4 참조), IP-Phone1 및 gatekeeper라는 서버가 프라이빗 존에 있고, IP-Phone2가 공용 존에 있습니다. 정적 NAT 규칙 세트와 소스 NAT 풀을 구성하여 NAT를 수행합니다. 또한 사설 및 공용 존을 오가는 ALG H.323 트래픽을 허용하는 2가지 정책(프라이빗-퍼블릭 및 퍼블릭-투-프라이빗)을 생성할 수도 있습니다.
토폴로지
그림 4 는 H.323 ALG 수신 호출이 있는 NAT를 보여줍니다.
이 예에서는 소스 NAT를 다음과 같이 구성합니다.
-
게이트키퍼라는 규칙을 사용하여 게이트키퍼라는 정적 NAT 규칙을 생성하여 공용 존의 패킷을 대상 주소 172.16.1.25/32와 일치합니다. 패킷 매칭을 위해 대상 IP 주소가 전용 주소 10.1.1.25/32로 변환됩니다.
-
172.16.1.30/32에서 172.16.1.150/32까지의 IP 주소 범위를 포함하도록 h323-nat-pool이라는 소스 NAT 풀을 정의합니다.
-
규칙 h323-r1을 사용하여 h323-nat라는 소스 NAT 규칙 세트를 생성하여 프라이빗 존에서 공용 존으로 패킷을 소스 IP 주소 10.1.1.0/24와 매칭합니다. 패킷을 일치시키기 위해 소스 주소는 h323-nat-pool의 IP 주소로 변환됩니다.
-
인터페이스 ge-0/0/1.0에서 주소 172.16.1.30/32 ~ 172.16.1.150/32에 대한 프록시 ARP를 구성합니다. 이를 통해 시스템은 이러한 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
구성
절차
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set security nat source address-persistent set security nat source rule-set h323-nat from zone private set security nat source rule-set h323-nat to zone public set security nat source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set security nat source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.30/32 to 172.16.1.150/32 set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address IP-Phone1 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
H.323 ALG로 NAT를 구성하여 퍼블릭에서 프라이빗 네트워크로의 통화를 활성화하려면 다음을 수행합니다.
-
인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
존을 구성하고 해당 영역에 주소를 할당합니다.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
정적 NAT 규칙 세트를 만듭니다.
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set match destination-address 172.16.1.25/32 user@host# set then static-nat prefix 10.1.1.25/32
-
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32
-
소스 NAT 규칙 집합을 구성합니다.
[edit security nat] set source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set source address-persistent set source rule-set h323-nat from zone private set source rule-set h323-nat to zone public set source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set proxy-arp interface ge-0/0/1.0 address 171.16.1.30/32 to 172.16.1.150/32
-
나가는 트래픽에 대한 정책을 구성합니다.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
-
수신 트래픽에 대한 정책을 구성합니다.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address IP-Phone1 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
결과
구성 모드에서 , show security zonesshow security nat및 show security policies 명령을 입력show interfaces하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
source {
pool h323-nat-pool {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
address-persistent;
rule-set h323-nat {
from zone private;
to zone public;
rule h323-r1 {
match {
source-address 10.1.1.0/24;
}
then {
source-nat {
pool {
h323-nat-pool;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
}
static {
rule-set ip-phones {
from zone public;
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy private-to-public {
match {
source-address [IP-Phone1 gatekeeper];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address [IP-Phone1 gatekeeper];
application junos-h323;
}
then {
permit;
}
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
확인
구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.
H.323 ALG 상태 검증
목적
시스템에서 H.323 ALG가 활성화되어 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security alg status .
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
의미
출력은 다음과 같이 H323 ALG 상태를 보여줍니다.
-
활성화—H323 ALG가 활성화됨을 보여줍니다.
-
비활성화—H323 ALG가 비활성화됨을 보여줍니다.
보안 ALG H.323 카운터 검증
목적
ALG H323에 대한 보안 카운터가 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security alg h323 counters .
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690 Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
의미
샘플 출력은 ALG H323에 대한 보안 카운터가 있음을 표현하는 보안 ALG H.323 카운터의 개요를 제공합니다.
소스 NAT 규칙 사용량 검증
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat source rule all . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
user@host> show security nat source rule all
source NAT rule: h323-r1 Rule-set: h323-nat
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
의미
소스 Translation hits NAT 규칙과 일치하는 트래픽이 없다는 필드가 표시됩니다.
예: H.323 ALG와 NAT를 사용하여 발신 통화 활성화
이 예에서는 H.323 ALG를 사용하여 정적 NAT를 구성하여 프라이빗에서 퍼블릭 네트워크로의 호출을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에 H.323 ALG와 그 프로세스에 대해 알아보십시오. H.323 ALG 이해하기를 참조하십시오.
개요
이 예( 그림 5 참조),IP-Phone 1 및 gatekeeper라는 서버는 전용 존에 있고 IP-Phone2는 공용 존에 있습니다. 정적 NAT를 구성하여 IP-Phone1 및 게이트키퍼가 공용 존에서 IP-Phone2를 호출할 수 있도록 합니다. 그런 다음 공용 존에서 프라이빗 존으로 ALG H.323 트래픽을 허용하는 공용-사설 정책 및 프라이빗 존에서 퍼블릭 존으로의 ALG H.323 트래픽을 허용하도록 하는 정책을 만듭니다.
토폴로지
그림 5 는 H.323 ALG 발신 호출이 있는 NAT를 보여줍니다.
이 예에서는 다음과 같이 정적 NAT를 구성합니다.
-
대상 주소 172.16.1.5/32와 공용 존의 패킷을 일치시키기 위해 Phone1이라는 규칙이 있는 ip-phone이라는 정적 NAT 규칙 집합을 만듭니다. 패킷 일치를 위해 대상 IP 주소는 전용 주소 10.1.1.5/32로 변환됩니다.
-
게이트키퍼라는 두 번째 규칙을 정의하여 공용 존의 패킷을 대상 주소 172.16.1.25/32와 일치합니다. 패킷 매칭을 위해 대상 IP 주소가 전용 주소 10.1.1.25/32로 변환됩니다.
-
인터페이스 ge-0/0/1에서 주소 172.16.1.5/32 및 172.16.1.25/32에 대한 프록시 ARP를 생성합니다. 이를 통해 시스템은 해당 주소에 대해 지정된 인터페이스에서 수신되는 ARP 요청에 응답할 수 있습니다.
구성
절차
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat static rule-set ip-phones from zone public set security nat static rule-set ip-phones rule phone1 match destination-address 172.16.1.5/32 set security nat static rule-set ip-phones rule phone1 then static-nat prefix 10.1.1.5/32 set security nat static rule-set ip-phones rule gatekeeper match destination-address 172.16.1.25/32 set security nat static rule-set ip-phones rule gatekeeper then static-nat prefix 10.1.1.25/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.5/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32 set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
프라이빗에서 퍼블릭 네트워크로의 호출을 사용하도록 H.323 ALG를 사용하여 정적 NAT를 구성하려면 다음을 수행합니다.
-
인터페이스를 구성합니다.
user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
존을 생성하고 주소를 할당합니다.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
규칙으로 정적 NAT 규칙을 구성합니다.
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set rule phone1 match destination-address 172.16.1.5/32 user@host# set rule phone1 then static-nat prefix 10.1.1.5/32 user@host# set rule gatekeeper match destination-address 172.16.1.25/32 user@host# set rule gatekeeper then static-nat prefix 10.1.1.25/32
-
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.5/32 user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.25/32
-
수신 트래픽에 대한 보안 정책을 구성합니다.
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
-
나가는 트래픽에 대한 보안 정책을 구성합니다.
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
결과
구성 모드에서 , show security zonesshow security nat및 show security policies 명령을 입력show interfaces하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
static {
rule-set ip-phones {
from zone public;
rule phone1 {
match {
destination-address 172.16.1.5/32;
}
then {
static-nat prefix 10.1.1.5/32;
}
}
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.5/32;
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy private-to-public {
match {
source-address [ IP-Phone1 gatekeeper ];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
확인
구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.
H.323 ALG 상태 검증
목적
시스템에서 H.323 ALG가 활성화되어 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security alg status .
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Enabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
의미
출력은 다음과 같이 H323 ALG 상태를 보여줍니다.
-
활성화—H323 ALG가 활성화됨을 보여줍니다.
-
비활성화—H323 ALG가 비활성화됨을 보여줍니다.
보안 ALG H.323 카운터 검증
목적
ALG H323에 대한 보안 카운터가 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security alg h323 counters .
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
의미
샘플 출력은 ALG H.323에 대한 보안 카운터가 있음을 표현하는 보안 ALG H.323 카운터의 개요를 제공합니다.
예: H.323 ALG 단말 장치 등록 타임아웃 설정
이 예에서는 단말 장치 등록 타임아웃을 지정하는 방법을 보여줍니다.
요구 사항
시작하기 전에 Avaya H.323 특정 기능을 이해하고 구성합니다. http://support.avaya.com Avaya Communication Manager, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide를 참조하십시오.
개요
NAT(Network Address Translation) 모드에서 주니퍼 네트웍스 장비 뒤에 있는 보호 네트워크의 엔드포인트가 H.323 게이트키퍼에 등록되면 장치는 각 단말 장치에 대한 공용-전용 주소 매핑이 포함된 엔트리를 NAT 테이블에 추가합니다. 이러한 엔트리는 보호된 네트워크의 단말 장치에서 수신 전화를 수신할 수 있도록 합니다.
단말 장치 등록 타임아웃을 설정하여 단말 장치 등록 항목이 NAT 테이블에 유지되는 기간을 지정합니다. 중단 없는 수신 호출 서비스를 보장하기 위해 단말 장치 등록 타임아웃을 관리자가 게이트키퍼에서 구성한 유지 값과 같거나 더 큰 값으로 설정합니다. 범위는 10~50,000초, 기본값은 3600초입니다.
구성
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security alg h323 counters .
예: H.323 ALG 미디어 소스 포트 범위 설정
이 예에서는 H.323 ALG 미디어 소스 포트 기능을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에 Avaya H.323 특정 기능을 이해하고 구성합니다. http://support.avaya.com Avaya Communication Manager, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide를 참조하십시오.
개요
미디어 소스 포트 기능을 사용하면 디바이스를 구성하여 좁거나 광범위한 포트에서 미디어 트래픽을 허용할 수 있습니다. 기본적으로 디바이스는 좁은 범위의 포트에서 H.323 트래픽을 수신 대기합니다. 단말 장치로 전송 포트와 수신 대기 포트를 지정할 수 있는 경우 디바이스에서 미디어 트래픽을 허용하는 포트의 범위를 좁힐 수 있습니다. 이를 통해 H.323 트래픽을 위해 작은 핀홀을 열어 보안을 강화합니다. 이 예에서는 미디어 소스 포트 기능을 활성화하여 디바이스를 구성하여 미디어 트래픽에 대한 광범위한 게이트를 여는 방법을 보여줍니다.
구성
절차
GUI 빠른 구성
단계별 절차
H.323 ALG 미디어 소스 포트 기능을 사용하려면 다음을 수행합니다.
를 선택합니다
Configure>Security>ALG.탭을
H323선택합니다.확인란을
Enable Permit media from any source port선택합니다.을 클릭하여
OK구성을 확인하고 후보 구성으로 저장합니다.디바이스 구성을 완료한 경우 를 클릭합니다
Commit Options>Commit.
단계별 절차
H.323 ALG 미디어 소스 포트 기능을 사용하려면 다음을 수행합니다.
H.323 ALG에 대한 미디어 소스 포트를 비활성화하여 미디어 트래픽에 대한 좁은 게이트를 설정합니다.
[edit] user@host# delete security alg h323 media-source-port-any
디바이스 구성을 완료한 경우 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security alg h323 counters .
예: H.323 ALG DoS 공격 방어 구성
이 예에서는 H.323 ALG DoS 공격 보호 기능을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 Avaya H.323 특정 기능을 이해하고 구성합니다. http://support.avaya.com Avaya Communication Manager, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide를 참조하십시오.
개요
처리하려고 시도하는 RAS(Registration, Admission, and Status) 메시지의 수를 제한하여 H.323 게이트키퍼를 DoS(Denial-of-Service) 플러드 공격으로부터 보호할 수 있습니다. 사용자가 지정한 임계값을 초과하는 수신 RAS 요청 메시지는 H.323 ALG(Application Layer Gateway)에 의해 삭제됩니다. 범위는 초당 2~50,000개, 기본값은 1000입니다.
구성
절차
GUI 빠른 구성
단계별 절차
H.323 ALG DoS 공격 차단 기능을 구성하려면 다음을 수행합니다.
를 선택합니다
Configure>Security>ALG.탭을
H323선택합니다.Message flood gatekeeper 임계값 상자에 을 입력합니다
5000.을 클릭하여
OK구성을 확인하고 후보 구성으로 저장합니다.디바이스 구성을 완료한 경우 를 클릭합니다
Commit Options>Commit.
단계별 절차
H.323 ALG DoS 공격 차단 기능을 구성하려면 다음을 수행합니다.
H.323 ALG에 대한 게이트키퍼를 구성하고 임계값을 설정합니다.
[edit] user@host# set security alg h323 application-screen message-flood gatekeeper threshold 5000
디바이스 구성을 완료한 경우 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security alg h323 counters .
H.323 ALG 알려진 메시지 유형 이해
H.323 표준은 ITU-T(International Telecommunication Union)에서 정의한 레거시 VoIP(Voice-over-IP) 프로토콜입니다. H.323은 VoIP를 위한 호출 시그널링 및 호출 제어에 사용되는 프로토콜 제품군(예: H.225.0 및 H.245)으로 구성되어 있습니다. H.323에는 다음과 같은 세 가지 주요 프로세스가 있습니다.
Gatekeeper Discovery—엔드포인트는 브로드캐스트 또는 유니캐스트(알려진 IP 및 잘 알려진 UDP 포트 1719)를 통해 게이트키퍼 검색 프로세스를 통해 게이트키퍼를 찾습니다.
단말 장치 등록, 승인 및 상태—단말 장치는 게이트키퍼에 등록하고 관리를 요청합니다. 전화를 걸기 전에 단말 장치는 게이트키퍼에게 전화를 걸 수 있는 권한을 요청합니다. 등록 및 승인 단계에서는 RAS(Registration, Admission, and Status) 채널이 사용됩니다.
호출 제어 및 호출 설정—존 내 또는 두 존 간 또는 여러 존(멀티포인트 컨퍼런스)에 걸쳐 호출을 설정할 수 있습니다. TSAP가 잘 알려진 TCP 포트(1720)인 콜 시그널링 채널을 통해 호출 설정 및 해체가 수행됩니다. 두 단말 장치 간의 미디어 채널 개방/폐쇄를 포함한 호출 제어는 이전 호출 시그널링 프로세스에서 TSAP가 동적으로 할당되는 호출 제어 채널을 통해 수행됩니다. H.245 메시지는 호출 제어 채널에서 사용되며 ASN.1을 사용하여 인코딩됩니다.
H.225 RAS 시그널링: 게이트키퍼 및 게이트웨이
(ITU-T) H.323 표준에 설명되어 있듯이 RAS(Registration, Admission, and Status)는 게이트웨이 또는 단말 장치 간에 사용되는 시그널링 프로토콜입니다. 게이트키퍼는 주소 확인 및 승인 제어 서비스를 제공합니다.
RAS는 H.323 게이트웨이가 존 게이트키퍼를 발견하는 프로세스입니다. RAS 통신은 포트 1718(멀티캐스트)과 1719(유니캐스트)에서 UDP 데이터그램을 통해 수행됩니다. 엔드포인트는 RAS 프로토콜을 사용하여 게이트키퍼와 통신합니다. H.323 단말 장치에서 게이트키퍼를 모르는 경우 게이트키퍼 요청(GRQ) 메시지를 보내 게이트키퍼의 응답을 요청할 수 있습니다. 하나 이상의 게이트키퍼가 GCF(Gatekeeper Confirmation) 메시지 또는 GRJ(Gatekeeper Reject) 메시지로 요청에 응답할 수 있습니다. 거부 메시지에는 거부 사유가 포함되어 있습니다.
표 1 에는 지원되는 RAS 게이트키퍼 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
GRQ(Gatekeeper_Request) |
서비스를 제공하려는 게이트키퍼를 "발견"하기 위해 단말 장치에서 게이트키퍼로 보낸 메시지 |
GCF(Gatekeeper_Confirm) |
게이트키퍼에서 단말 장치로 회신하여 게이트키퍼의 RAS 채널과 통신하는 데 동의함을 나타냅니다. |
GRJ(Gatekeeper_Reject) |
단말 장치 요청을 거부하는 단말 장치로 게이트키퍼의 회신 |
RAS 등록 및 등록 등록
등록은 게이트웨이, 터미널 및 멀티포인트 제어 장치(MCU)가 존에 가입하고 게이트키퍼에게 IP 및 별칭 주소를 알리는 프로세스입니다. 모든 게이트웨이는 하나의 활성 게이트키퍼만 등록할 수 있습니다.
단말 장치에서 RRQ(Registration Request) 메시지를 보내 게이트키퍼가 통신을 확인하고 확인한 후에 등록이 이루어집니다. 그런 다음 게이트키퍼는 RCF(Registration Confirm) 메시지로 응답하여 엔드포인트를 네트워크에 알려줍니다.
표 2에는 지원되는 RAS 등록 및 등록되지 않은 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
RRQ(Registration_Request) |
단말 장치에서 게이트키퍼로 전송되는 메시지 등록 요청은 시스템의 관리 설정에 미리 정의되어 있습니다. |
RCF(Registration_Confirm) |
RRQ 메시지에 대한 응답으로 단말 장치의 등록을 확인하는 게이트키퍼의 회신 |
RRJ(Registration_Reject) |
단말 장치의 등록을 거부하는 게이트키퍼의 회신 |
URQ(Unregister_Request) |
단말 장치 또는 게이트키퍼가 등록 취소를 요청하는 메시지 |
UCF(Unregister_Confirm) |
등록이 취소되었는지 확인하기 위해 단말 장치 또는 게이트키퍼로부터 회신을 받았습니다. |
URJ(Unregister_Reject) |
단말 장치는 게이트키퍼에 사전 등록되어 있지 않음을 나타내는 메시지입니다. |
RAS 승인
단말 장치와 게이트키퍼 간의 승인 메시지는 호출 승인 및 대역폭 제어를 위한 기반을 제공합니다. 그런 다음 게이트키퍼는 승인 요청을 확인하거나 거부하여 주소를 해결합니다.
표 3 에는 지원되는 RAS 승인 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
ARQ(Admission_Request) |
단말 장치에서 호출을 시작하려는 시도 |
ACF(Admission_Confirm) |
단말 장치에서 통화에 참여하도록 승인하는 게이트키퍼의 긍정적인 응답 |
ARJ(Admission_Reject) |
게이트키퍼가 전화를 시작하는 ARQ 메시지를 거부하는 메시지 |
RAS 위치
LRQ(Location Request) 메시지는 엔드포인트 또는 게이트키퍼가 interzone 게이트키퍼로 전송하여 서로 다른 존 엔드포인트의 IP 주소를 얻습니다.
표 4에는 지원되는 RAS 위치 요청 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
LRQ(Location_Request) |
하나 이상의 주소에 대한 연락처 정보를 위해 게이트키퍼를 요청하는 메시지 |
LCF(Location_Confirm) |
호출 시그널링 채널 또는 RAS 채널 주소가 포함된 게이트키퍼가 보낸 응답 |
LRJ(Location_Reject) |
요청된 단말 장치를 등록하지 않은 LRQ를 받은 게이트키퍼가 보낸 응답입니다. |
RAS 대역폭 제어
대역폭 제어가 호출을 설정하도록 호출되며 처음에는 승인 메시지(ARQ/ACF/ARJ) 시퀀스를 통해 관리됩니다.
표 5 에는 지원되는 RAS 대역폭 제어 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
BRQ(Bandwidth_Request) |
호출 대역폭을 늘리거나 줄이기 위해 단말 장치에서 게이트키퍼에게 보낸 요청 |
BCF(Bandwidth_Confirm) |
대역폭 변경 요청을 수락하기 위해 게이트키퍼가 보낸 응답 |
BRJ (Bandwidth_Reject) |
대역폭 변경 요청을 거부하기 위해 게이트키퍼가 보낸 응답 |
RAS 상태 정보
게이트키퍼가 IRQ(Information Request) 메시지를 사용하여 단말 장치의 상태를 결정합니다. RAS 프로토콜은 엔드포인트가 온라인 상태인지 오프라인인지를 결정하는 데 사용됩니다.
표 6 에는 지원되는 RAS 상태 정보 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
IRQ(Information_Request) |
수신자 단말 장치의 상태 정보를 요청하기 위해 게이트키퍼가 보낸 메시지입니다. |
IRR(Information_Request_Response) |
IRQ 메시지에 대한 응답으로 단말 장치에서 게이트키퍼에게 보내는 응답 엔드포인트가 온라인 상태인지 아니면 오프라인인지를 결정합니다. |
IACK(Info_Request_Acknowledge) |
단말 장치에서 IRR 메시지를 수신한 것을 인정하기 위해 게이트키퍼가 보낸 메시지 |
INACK(Info_Request_Neg_Acknowledge) |
정보 요청 메시지를 이해하지 못할 경우 게이트키퍼가 메시지를 보냈습니다. |
RAS 정보 해체
단말 장치는 통화가 중단된 경우 게이트키퍼에게 DRQ(Disengage Request) 메시지를 보냅니다.
표 7 에는 지원되는 RAS 해체 메시지가 나와 있습니다.
메시지 |
설명 |
|---|---|
DRQ(Disengage_Request) |
통화가 끝나면 단말 장치에서 게이트키퍼로 전송되는 상태 요청. |
DCF(Disengage_Confirm) |
단말 장치에서 DRQ 메시지의 수신을 확인하기 위해 게이트키퍼가 보낸 메시지 |
DRJ (Disengage_Reject) |
단말 장치의 종료 확인 요청을 거부하는 게이트키퍼가 보낸 메시지 |
H.225 콜 시그널링(Q.931)
H.225는 H.323 엔드포인트 간의 연결을 설정하는 데 사용됩니다. (ITU-T) H.225 권장 사항은 Q.931 메시지의 사용 및 지원을 지정합니다.
H.225 호출 시그널링으로 다음과 같은 메시지를 지원합니다.
설정 및 설정 인정
통화 진행
연결
경고
사용자 정보
릴리스 완료
시설
진행률
상태 및 상태 문의
알림
H.245 미디어 제어 및 전송 시그널링
H.245는 H.323 엔드포인트 간의 엔드 투 엔드 제어 메시지를 처리합니다. 이 제어 채널 프로토콜은 오디오, 비디오, 데이터 및 제어 채널 정보의 전송을 위한 논리적 채널을 설정합니다.
H.245는 다음과 같은 메시지를 지원합니다.
요청
응답
명령
표시
H.323 ALG 알 수 없는 메시지 유형 이해
알 수 없는 H.323 메시지 유형 기능을 사용하면 알 수 없는 H.323 메시지가 장비에서 어떻게 처리되는지 지정할 수 있습니다. 기본값은 알려지지 않은(지원되지 않는) 메시지를 삭제하는 것입니다.
처리하려고 시도하는 RAS(Registration, Admission, and Status) 메시지의 수를 제한하여 H.323 게이트키퍼를 DoS(Denial-of-Service) 플러드 공격으로부터 보호할 수 있습니다. 사용자가 지정한 임계값을 초과하는 수신 RAS 요청 메시지는 H.323 ALG(Application Layer Gateway)에 의해 삭제됩니다. 범위는 초당 2~50,000개, 기본값은 1000입니다.
보안을 손상시킬 수 있기 때문에 알 수 없는 메시지를 허용하는 것은 권장하지 않습니다. 그러나 보안 테스트 또는 프로덕션 환경에서는 알 수 없는 H.323 메시지 유형 명령이 서로 다른 벤더 장비와의 상호 운영성 문제를 해결하는 데 유용할 수 있습니다. 알려지지 않은 H.323 메시지를 허용하면 네트워크 운영에 도움이 되므로 VoIP(Voice-over-IP) 트래픽을 분석하여 일부 메시지가 삭제된 이유를 파악할 수 있습니다. 알 수 없는 H.323 메시지 유형 기능을 사용하면 NAT(Network Address Translation) 모드와 Route 모드 모두에서 알 수 없는 메시지 유형을 포함하는 H.323 트래픽을 수용하도록 디바이스를 구성할 수 있습니다.
알 수 없는 H.323 메시지 유형 옵션은 지원되는 VoIP 패킷으로 식별된 수신 패킷에만 적용됩니다. 패킷을 식별할 수 없는 경우 항상 삭제됩니다. 패킷이 지원되는 프로토콜로 식별되고 알 수 없는 메시지 유형을 허용하도록 디바이스를 구성한 경우 해당 메시지는 처리하지 않고 전송됩니다.
예: 알 수 없는 H.323 ALG 메시지 유형 허용
이 예에서는 라우트 및 NAT 모드에서 알 수 없는 H.323 메시지 유형을 허용하도록 장비를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 Avaya H.323 특정 기능을 이해하고 구성합니다. http://support.avaya.com Avaya Communication Manager, Avaya IP Telephony Implementation Guide 및 Avaya Application Solutions IP Telephony Deployment Guide를 참조하십시오.
개요
이 기능을 사용하면 장비에서 식별되지 않은 H.323 메시지를 처리하는 방법을 지정할 수 있습니다. 기본값은 알려지지 않은(지원되지 않는) 메시지를 삭제하는 것입니다. Enable Permit NAT 적용 옵션과 permit-nat-applied 구성 문은 세션이 NAT 모드인 경우 알 수 없는 메시지를 전달할 수 있도록 지정합니다. Enable Permit 라우팅 옵션과 permit-routed 구성 문은 세션이 Route 모드인 경우 알 수 없는 메시지를 전달할 수 있도록 지정합니다. (Transparent 모드의 세션은 Route 모드로 처리됩니다.)
구성
절차
GUI 빠른 구성
단계별 절차
라우트와 NAT 모드 모두에서 알 수 없는 H.323 메시지 유형을 허용하도록 디바이스를 구성하려면 다음을 수행합니다.
를 선택합니다
Configure>Security>ALG.탭을
H323선택합니다.확인란을
Enable Permit NAT applied선택합니다.확인란을
Enable Permit routed선택합니다.을 클릭하여
OK구성을 확인하고 후보 구성으로 저장합니다.디바이스 구성을 완료한 경우 를 클릭합니다
Commit Options>Commit.
단계별 절차
라우트와 NAT 모드 모두에서 알 수 없는 H.323 메시지 유형을 허용하도록 디바이스를 구성하려면 다음을 수행합니다.
세션이 NAT 모드인 경우 알 수 없는 메시지가 전달되도록 허용되도록 지정합니다.
[edit] user@host# set security alg h323 application-screen unknown-message permit-nat-applied
세션이 Route 모드인 경우 알 수 없는 메시지가 전달되도록 허용되도록 지정합니다.
[edit] user@host# set security alg h323 application-screen unknown-message permit-routed
디바이스 구성을 완료한 경우 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령과 명령을 입력 show security alg h323 합니다 show security alg h323 counters .