Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

H.323 ALG

La puerta de enlace de capa de aplicación (ALG) H.323 consta de un conjunto de protocolos H.225.0 y H.245 para proporcionar sesión de comunicación audiovisual en cualquier red. El ALG H.323 ofrece una comunicación segura entre hosts terminales, como teléfonos IP y dispositivos multimedia.

Descripción de H.323 ALG

El estándar H.323 es un protocolo de voz sobre IP (VoIP) heredado definido por la Unión Internacional de Telecomunicaciones (UIT-T). H.323 consta de un conjunto de protocolos (como H.225.0 y H.245) que se utilizan para la señalización de llamadas y el control de llamadas para VoIP.

H.323 utiliza el formato de codificación ASN.1. Configura los vínculos dinámicos para flujos de datos, video y audio, siguiendo los protocolos Q.931 (con el número de puerto 1720) y H.245. Hay tres procesos principales en H.323:

  • Detección de Portero: un punto de conexión encuentra su guardián a través del proceso de descubrimiento del portero, a través de difusión o unidifusión a una IP conocida y al puerto UDP 1719 conocido. Tenga en cuenta que Junos OS solo admite la detección de unidifusión.

  • Registro, admisión y estado del punto de conexión: un punto de conexión se registra en un guardián y pide su administración. Antes de realizar una llamada, un punto de conexión le pide permiso a su portero para realizar la llamada. En las fases de inscripción y admisión, se utiliza el canal de registro, admisión y estado (RAS). El punto de acceso del servicio de transporte (TSAP) puede utilizar el puerto UDP conocido (1719) o un puerto asignado dinámicamente desde la fase de detección o registro y una dirección IP.

  • Control de llamadas y configuración de llamadas: las llamadas se pueden establecer dentro de una zona o en dos zonas, o incluso en varias zonas (conferencia multipunto). La configuración y derribo de llamadas se realiza a través del canal de señalización de llamadas cuyo TSAP es el puerto TCP bien conocido (1720). El control de llamada, incluidos los canales de medios de apertura/cierre entre dos puntos de conexión, se realiza a través del canal de control de llamadas cuyo TSAP se asigna dinámicamente desde el proceso de señalización de llamada anterior. Los mensajes H.245 se utilizan en el canal de control de llamadas y se codifican mediante ASN.1.

    Nota:

    Puede encontrar información detallada sobre H.323 en la Recomendación UIT-T H.323.

La puerta de enlace de capa de aplicación (ALG) H.323 del dispositivo le permite proteger la comunicación VoIP entre hosts terminales, como teléfonos IP y dispositivos multimedia. En un sistema de telefonía de este tipo, el dispositivo portero administra el registro de llamadas, la admisión y el estado de llamada para las llamadas VoIP. Los porteros pueden residir en las dos zonas diferentes o en la misma zona. (Consulte la figura 1.)

Figura 1: H.323 ALG para llamadas H.323 ALG for VoIP Calls VoIP
Nota:

La ilustración utiliza teléfonos IP con fines ilustrativos, aunque es posible realizar configuraciones para otros hosts que utilizan VoIP, como microsoft netMeeting dispositivos multimedia.

A partir de Junos OS versión 17.4R1, la función de llamada de puerta de enlace a puerta de enlace se admite en la puerta de enlace de capa de aplicación (ALG) H.323. Esta función presenta una asignación uno a varios entre una sesión de control H.225 y llamadas H.323 mientras varias llamadas H.323 pasan por una sola sesión de control.

A partir de Junos OS versión 17.4R1, la puerta de enlace de capa de aplicación (ALG) H.323 admite reglas NAT64 en una red IPv6.

Descripción general de la configuración de ALG H.323

La puerta de enlace de capa de aplicación (ALG) H.323 está habilitada de forma predeterminada en el dispositivo: no se requiere ninguna acción para habilitarla. Sin embargo, puede elegir ajustar las operaciones de ALG H.323 mediante las siguientes instrucciones:

  1. Especifique cuánto tiempo permanece una entrada de registro de punto de conexión en la tabla Traducción de direcciones de red (TDR). Para obtener instrucciones, consulte Ejemplo: Establecer tiempos de espera de registro del punto de conexión H.323 ALG .

  2. Habilite el tráfico de medios en una gama estrecha o amplia de puertos. Para obtener instrucciones, consulte Ejemplo: Establecer rangos de puertos de origen de medios ALG H.323.

  3. Proteja al guardián H.323 de los ataques de inundación de denegación de servicio (DoS). Para obtener instrucciones, consulte Ejemplo: Configurar la protección contra ataques H.323 ALG DoS.

  4. Habilite que los mensajes desconocidos pasen cuando la sesión esté en modo TDR y en modo de ruta. Para obtener instrucciones, consulte Ejemplo: Permitir tipos de mensajes ALG H.323 desconocidos.

Descripción de Avaya H.323 ALG

El estándar H.323 es un protocolo de voz sobre IP (VoIP) heredado definido por la Unión Internacional de Telecomunicaciones (UIT-T). H.323 consta de un conjunto de protocolos (como H.225.0 y H.245) que se utilizan para la señalización de llamadas y el control de llamadas para VoIP. Los procesos para configurar la puerta de enlace de capa de aplicación (ALG) estándar H.323 y la PROPIEDAD Avaya H.323 ALG son los mismos.

Sin embargo, Avaya H.323 ALG tiene algunas características especiales. Para comprender y configurar las funciones específicas de Avaya H.323 enumeradas aquí, consulte la Guía del administrador para Avaya Communication Manager, la Guía de implementación de la telefonía IP de Avaya y la Guía de despliegue de telefonía IP de Avaya Application Solutions en http://support.avaya.com.

Este tema contiene las siguientes secciones:

Características específicas de Avaya H.323 ALG

Las funciones específicas de Avaya H.323 son las siguientes:

  • Conexión rápida H.323

  • Medios asimétricos H.323

  • Llamada en espera

  • Reenvío de llamadas

  • Correo de voz

  • Identificación de llamadas

  • Llamada de conferencia

Detalles del flujo de llamadas en Avaya H.323 ALG

  • Conexión del teléfono a la red: Avaya realiza la negociación de configuración/conexión Q.931 cuando el teléfono está conectado a la red en lugar de cuando se inicia una llamada.

  • Hacer una llamada: cuando se realiza una llamada, dado que la PBX ya ha almacenado las capacidades de cada teléfono cuando el teléfono está conectado a la red, no se requieren más negociaciones Q.931 y PBX para configurar la llamada. Ya no intercambia el programa de instalación Q.931 y conecta los mensajes con el PBX. El teléfono y el PBX intercambian mensajes de H.323 Facility para configurar la llamada.

  • Registro con un CM: cuando se realiza una llamada, Avaya H.323 se registra en el Avaya Communication Manager (CM). El proceso de registro es similar a un proceso genérico de registro estándar H.323.

    Nota:

    El modo directo y el modo de túnel no están definidos por Avaya H.323 ALG.

    Para que una llamada funcione, el CM debe desplegarse con los puntos de conexión de Avaya. Durante la llamada, los mensajes RAS y Q.931 se intercambian entre el CM y los puntos de conexión Avaya.

    Nota:

    Para Avaya H.323 con un conjunto de traducción de direcciones de red (TDR) de origen, el proceso de registro solo permite una dirección IP en el conjunto.

  • Configuración de puertos de protocolo de transporte en tiempo real (RTP)/Protocolo de control en tiempo real (RTCP): los mensajes de configuración, facilidad e información Q.931 se utilizan para configurar puertos RTP/RTCP. La jerarquía para una sesión de Avaya H.323 es Q.931, RTP/RTCP, Parent y, luego, Child.

    Nota:

    Los puertos H.245 no se utilizan en un proceso de flujo de llamada a Avaya.

  • Uso de contadores H.323 de Avaya: los contadores para llamadas y llamadas activas no son aplicables al Avaya H.323 ALG. La creación y derribo de llamadas se realiza mediante los mensajes de la instalación después. Cuando se asignan recursos para una llamada, todos los contadores para llamadas y llamadas activas se incrementan. Si se asignan recursos para una llamada varias veces, los mensajes que pertenecen a la misma llamada que pasan el firewall varias veces desencadenarán varios incrementos de los contadores. En otras palabras, los mensajes que pertenecen a la misma llamada y pasan el firewall varias veces pueden desencadenar varios incrementos de los contadores si el recurso de una llamada debe asignarse varias veces.

    Por ejemplo, en el caso de dos zonas, el par de mensajes de configuración y conexión asigna un recurso de llamada. El contador de llamadas activo se aumenta una vez. Cada vez que el par de mensajes de configuración y conexión pasa el firewall, se asigna un recurso de llamada diferente con interfaces únicas y TDR. Por lo tanto, el contador se incrementa dos veces en un escenario de tres zonas.

Ejemplo: Pasar tráfico H.323 ALG a un Guardián en la zona privada

En este ejemplo, se muestra cómo configurar dos políticas que permiten que el tráfico H.323 pase entre hosts de teléfono IP y un guardián en la zona privada, y un host de teléfono IP (2.2.2.5/32) en la zona pública.

Requisitos

Antes de comenzar:

  • Comprenda y configure cualquier función específica de Avaya H.323. Consulte la Guía del administrador para Avaya Communication Manager, Avaya IP Telephony Implementation Guide y Avaya Application Solutions IP Telephony Deployment Guide en http://support.avaya.com.

  • Configure zonas de seguridad. Consulte Descripción de las zonas de seguridad.

Visión general

En este ejemplo, se muestra cómo configurar dos políticas que permiten que el tráfico H.323 pase entre hosts de teléfono IP y un guardián en la zona privada, y un host de teléfono IP (2.2.2.5/32) en la zona pública. La conexión con el dispositivo puede estar con o sin TDR. Consulte la figura 2.

Figura 2: Guardián H.323 en la zona H.323 Gatekeeper in the Private Zone privada

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el dispositivo para que pase tráfico H.323 ALG a un guardián en la zona privada:

  1. Configure dos libretas de direcciones.

  2. Configure la política P1 de la zona privada a la zona pública.

  3. Configure la política P2 desde la zona pública hasta la zona privada.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para la brevedad, este resultado de la demostración solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Verificar las configuraciones de ALG H.323

Propósito

Muestra información sobre llamadas activas.

Nota:

Los contadores H.323 para llamadas y llamadas activas en la salida a este show security comando no se aplican a la implementación propietaria de Avaya de H.323. Esto se debe a que los mensajes de configuración y conexión Q.931 se intercambian justo después de que el teléfono está encendido, y la creación y derribo de llamadas se realiza mediante mensajes de facilidad.

Los contadores para llamadas y llamadas activas se aumentan cuando se aumentan los recursos asignados a las llamadas, es decir, los mensajes que pertenecen a la misma llamada y que pasan el firewall varias veces incrementan los contadores. Esto se aplica cuando los recursos de una llamada deben asignarse varias veces. Por ejemplo, en un escenario de dos zonas, el par de mensajes de configuración y conexión asigna un recurso de llamada, y el contador de llamadas activo se incrementa en una. Sin embargo, en un escenario de tres zonas, el par de mensajes de configuración y conexión pasa el firewall dos veces, cada vez que asigna diferentes recursos de llamada. En este caso, el contador se incrementa.

Acción

En la interfaz J-Web, seleccione Monitor>ALGs>H323. Como alternativa, desde la CLI, ingrese el show security alg h323 counters comando.

Los contadores para los mensajes H.245 recibidos tampoco serán precisos en el caso de la tunelización H.245. Dado que los mensajes H.245 se encapsulan en paquetes Q.931, el contador de mensajes H.245 recibidos seguirá siendo cero incluso cuando haya mensajes H.245. Sin embargo, el Other H245 contador reflejará estas transmisiones de paquetes.

Ejemplo: Pasar tráfico H.323 ALG a un Guardián en la zona externa

En este ejemplo, se muestra cómo configurar dos políticas para permitir que el tráfico H.323 pase entre los hosts del teléfono IP en la zona interna, y el teléfono IP en la dirección IP 2.2.2.5/32 (y el portero) en la zona externa.

Requisitos

Antes de comenzar:

  • Comprenda y configure cualquier función específica de Avaya H.323. Consulte la Guía del administrador para Avaya Communication Manager, Avaya IP Telephony Implementation Guide y Avaya Application Solutions IP Telephony Deployment Guide en http://support.avaya.com.

  • Configure zonas de seguridad. Consulte Descripción de las zonas de seguridad.

Visión general

Dado que el modo de ruta no requiere asignación de direcciones de ningún tipo, una configuración de dispositivo para un guardián en la zona externa o pública suele ser idéntica a la configuración de un guardián en una zona interna o privada. En este ejemplo, se muestra cómo configurar dos políticas para permitir que el tráfico H.323 pase entre los hosts del teléfono IP en la zona interna, y el teléfono IP en la dirección IP 2.2.2.5/32 (y el portero) en la zona externa. El dispositivo puede estar en modo transparente o de ruta. Consulte la figura 3.

Figura 3: Guardián H.323 en la zona H.323 Gatekeeper in the External Zone externa

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el dispositivo para que pase tráfico H.323 ALG a un guardián en la zona externa:

  1. Configure dos libretas de direcciones.

  2. Configure la política P1 desde la zona interna hasta la zona externa.

  3. Configure la política P2 para permitir el tráfico entre la zona interna y el portero en la zona externa.

  4. Configure la política P3 para permitir el tráfico entre los teléfonos en la zona interna y la zona externa.

  5. Configure la política P4 para permitir el tráfico entre los teléfonos en la zona interna y el portero en la zona externa.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para la brevedad, este resultado de la demostración solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Verificar las configuraciones de ALG H.323

Propósito

Muestra información sobre llamadas activas.

Nota:

Los contadores H.323 para llamadas y llamadas activas en la salida a este show security comando no se aplican a la implementación propietaria de Avaya de H.323. Esto se debe a que los mensajes de configuración y conexión Q.931 se intercambian justo después de que el teléfono está encendido, y la creación y derribo de llamadas se realiza mediante mensajes de facilidad.

Los contadores para llamadas y llamadas activas se aumentan cuando se aumentan los recursos asignados a las llamadas, es decir, los mensajes que pertenecen a la misma llamada y que pasan el firewall varias veces incrementan los contadores. Esto se aplica cuando los recursos de una llamada deben asignarse varias veces. Por ejemplo, en un escenario de dos zonas, el par de mensajes de configuración y conexión asigna un recurso de llamada, y el contador de llamadas activo se incrementa en una. Sin embargo, en un escenario de tres zonas, el par de mensajes de configuración y conexión pasa el firewall dos veces, cada vez que asigna diferentes recursos de llamada. En este caso, el contador se incrementa.

Acción

En la interfaz J-Web, seleccione Monitor>ALGs>H323. Como alternativa, desde la CLI, ingrese el show security alg h323 counters comando.

Los contadores para los mensajes H.245 recibidos tampoco serán precisos en el caso de la tunelización H.245. Dado que los mensajes H.245 se encapsulan en paquetes Q.931, el contador de mensajes H.245 recibidos seguirá siendo cero incluso cuando haya mensajes H.245. Sin embargo, el Other H245 contador reflejará estas transmisiones de paquetes.

Ejemplo: Usar TDR con el ALG H.323 para habilitar las llamadas entrantes

En este ejemplo, se muestra cómo configurar TDR con la ALG H.323 para habilitar llamadas de un público a una red privada.

Requisitos

Antes de comenzar, comprenda las ALG H.323. Consulte Descripción de H.323 ALG.

Visión general

En un escenario de dos zonas con un servidor en la zona privada, puede usar TDR para llamadas entrantes mediante la configuración de un grupo TDR en la interfaz a la zona pública.

En este ejemplo (consulte la figura 4), el IP-Phone1 y un servidor llamado portero están en la zona privada, y el IP-Phone2 está en la zona pública. Configure un conjunto de reglas nat estáticas y un grupo TDR de origen para que realiceNDR. También crea dos políticas, de privado a público y de público a privado, para permitir el tráfico de ALG H.323 desde y hacia las zonas privadas y públicas.

Topología

La Figura 4 muestra TDR con las llamadas entrantes de ALG H.323.

Figura 4: TDR con el ALG H.323— Llamadas entrantes NAT with the H.323 ALG—Incoming Calls

En este ejemplo, configure el TDR de origen de la siguiente manera:

  • Cree un conjunto de reglas TDR estáticas denominadas portero con una regla denominada portero para hacer coincidir paquetes de la zona pública con la dirección de destino 172.16.1.25/32. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 10.1.1.25/32.

  • Defina un conjunto TDR de origen llamado h323-nat-pool para que contenga el intervalo de direcciones IP de 172.16.1.30/32 a 172.16.1.150/32.

  • Cree un conjunto de reglas TDR de origen llamado h323-nat con la regla h323-r1 para hacer coincidir paquetes de la zona privada a la zona pública con la dirección IP de origen 10.1.1.0/24. Para los paquetes coincidentes, la dirección de origen se traduce a la dirección IP en h323-nat-pool.

  • Configure ARP de proxy para las direcciones 172.16.1.30/32 a 172.16.1.150/32 en la interfaz ge-0/0/1.0. Esto permite que el sistema responda a las solicitudes ARP recibidas en la interfaz para estas direcciones.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar TDR con H.323 ALG para habilitar llamadas de un público a una red privada:

  1. Configure interfaces.

  2. Configure zonas y asigne direcciones a ellas.

  3. Cree un conjunto de reglas TDR estáticas.

  4. Configure ARP de proxy.

  5. Configure un conjunto de reglas TDR de origen.

  6. Configure políticas para el tráfico saliente.

  7. Configure políticas para el tráfico entrante.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security zones, show security naty show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de H.323 ALG

Propósito

Verifique que H.323 ALG esté habilitado en su sistema.

Acción

Desde el modo operativo, ingrese el show security alg status comando.

Significado

El resultado muestra el estado ALG H323 del siguiente modo:

  • Habilitado: muestra que el ALG H323 está habilitado.

  • Deshabilitado: muestra que el ALG H323 está deshabilitado.

Verificar contadores ALG de seguridad H.323

Propósito

Compruebe que hay un contador de seguridad para ALG H323.

Acción

Desde el modo operativo, ingrese el show security alg h323 counters comando.

Significado

El resultado de ejemplo ofrece la reducción de los contadores de seguridad ALG H.323 que expresan que hay contadores de seguridad para ALG H323.

Verificar el uso de la regla TDR de origen

Propósito

Verifique que haya tráfico que coincida con la regla TDR de origen.

Acción

Desde el modo operativo, ingrese el show security nat source rule all comando. Vea el campo Visitas de traducción para comprobar el tráfico que coincide con la regla.

Significado

El Translation hits campo muestra que no hay tráfico que coincida con la regla TDR de origen.

Ejemplo: Usar TDR con la ALG H.323 para habilitar las llamadas salientes

En este ejemplo, se muestra cómo configurar TDR estática con ALG H.323 para habilitar llamadas desde una red privada a una red pública.

Requisitos

Antes de comenzar, comprenda el ALG H.323 y sus procesos. Consulte Descripción de H.323 ALG.

Visión general

En este ejemplo (consulte la figura 5), el IP-Phone 1 y un servidor llamado portero están en la zona privada y el IP-Phone2 está en la zona pública. Configure TDR estática para habilitar IP-Phone1 y el portero para llamar a IP-Phone2 en la zona pública. A continuación, cree una política denominada pública a privada para permitir el tráfico de ALG H.323 desde la zona pública a la zona privada y una política denominada privada a pública para permitir el tráfico de ALG H.323 desde la zona privada hasta la zona pública.

Topología

La figura 5 muestra TDR con las llamadas salientes de ALG H.323.

Figura 5: TDR con el ALG H.323— Llamadas salientes NAT with the H.323 ALG—Outgoing Calls

En este ejemplo, configure TDR estática de la siguiente manera:

  • Cree un conjunto de reglas TDR estáticas llamadas teléfonos IP con una regla llamada phone1 para hacer coincidir paquetes de la zona pública con la dirección de destino 172.16.1.5/32. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 10.1.1.5/32.

  • Defina una segunda regla llamada portero para hacer coincidir los paquetes de la zona pública con la dirección de destino 172.16.1.25/32. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 10.1.1.25/32.

  • Cree ARP de proxy para las direcciones 172.16.1.5/32 y 172.16.1.25/32 en la interfaz ge-0/0/1. Esto permite que el sistema responda a las solicitudes ARP recibidas en la interfaz especificada para estas direcciones.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar TDR estática con la ALG H.323 para habilitar llamadas desde una red privada a una red pública:

  1. Configure interfaces.

  2. Cree zonas y asigne direcciones a ellas.

  3. Configure el conjunto de reglas TDR estáticas con reglas.

  4. Configure ARP de proxy.

  5. Configure una política de seguridad para el tráfico entrante.

  6. Configure una política de seguridad para el tráfico saliente.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security zones, show security naty show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de H.323 ALG

Propósito

Verifique que H.323 ALG esté habilitado en su sistema.

Acción

Desde el modo operativo, ingrese el show security alg status comando.

Significado

El resultado muestra el estado ALG H323 del siguiente modo:

  • Habilitado: muestra que el ALG H323 está habilitado.

  • Deshabilitado: muestra que el ALG H323 está deshabilitado.

Verificar contadores ALG de seguridad H.323

Propósito

Compruebe que hay un contador de seguridad para ALG H323.

Acción

Desde el modo operativo, ingrese el show security alg h323 counters comando.

Significado

El resultado de ejemplo ofrece la sinoopsis de los contadores ALG H.323 de seguridad que expresan que hay contadores de seguridad para ALG H.323.

Ejemplo: Establecer tiempos de espera de registro del punto de conexión H.323 ALG

En este ejemplo, se muestra cómo especificar el tiempo de espera de registro del punto de conexión.

Requisitos

Antes de comenzar, entienda y configure cualquier función específica de Avaya H.323. Consulte la Guía del administrador para Avaya Communication Manager, la Guía de implementación de la telefonía IP de Avaya y la Guía de despliegue de telefonía IP de Avaya Application Solutions en http://support.avaya.com.

Visión general

En el modo de traducción de direcciones de red (TDR), cuando los puntos de conexión de la red protegida detrás del dispositivo de Juniper Networks se registran con el guardián H.323, el dispositivo agrega una entrada a la tabla TDR que contiene una asignación de la dirección pública a privada para cada punto de conexión. Estas entradas hacen posible que los puntos de conexión de la red protegida reciban llamadas entrantes.

Establezca un tiempo de espera de registro de punto de conexión para especificar cuánto tiempo permanece una entrada de registro de punto de conexión en la tabla TDR. Para garantizar un servicio de llamada entrante ininterrumpida, establezca el tiempo de espera de registro del punto de conexión en un valor igual o mayor que el valor de keepalive que el administrador configura en el portero. El intervalo es de 10 a 50 000 segundos, el valor predeterminado es 3600 segundos.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para especificar el tiempo de espera de registro del punto de conexión ALG H.323:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la H323 pestaña.

  3. En el cuadro Tiempo de espera para puntos de conexión, escriba 5000.

  4. Haga clic OK para comprobar su configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso
  1. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg h323 counters comando.

Ejemplo: Establecer rangos de puertos de origen de medios ALG H.323

En este ejemplo, se muestra cómo habilitar la función de puerto de origen de medios ALG H.323.

Requisitos

Antes de comenzar, entienda y configure cualquier función específica de Avaya H.323. Consulte la Guía del administrador para Avaya Communication Manager, la Guía de implementación de la telefonía IP de Avaya y la Guía de despliegue de telefonía IP de Avaya Application Solutions en http://support.avaya.com.

Visión general

La función de puerto de origen de medios le permite configurar el dispositivo para permitir el tráfico de medios en una gama estrecha o amplia de puertos. De forma predeterminada, el dispositivo escucha el tráfico H.323 en un rango limitado de puertos. Si el equipo de punto de conexión le permite especificar un puerto de envío y un puerto de escucha, es posible que desee reducir el rango de puertos en los que el dispositivo permite el tráfico de medios. Esto mejora la seguridad mediante la apertura de un agujero de pin más pequeño para el tráfico H.323. En este ejemplo, se muestra cómo configurar el dispositivo para abrir una puerta ancha para el tráfico de medios habilitando la función de puerto de origen de medios.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para habilitar la función de puerto de origen de medios ALG H.323:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la H323 pestaña.

  3. Active la Enable Permit media from any source port casilla de verificación.

  4. Haga clic OK para comprobar su configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para habilitar la función de puerto de origen de medios ALG H.323:

  1. Establezca una puerta estrecha para el tráfico de medios deshabilitando el puerto de origen de medios para la ALG H.323.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg h323 counters comando.

Ejemplo: Configurar la protección contra ataques H.323 ALG DoS

En este ejemplo, se muestra cómo configurar la función de protección contra ataques H.323 ALG DoS.

Requisitos

Antes de comenzar, entienda y configure cualquier función específica de Avaya H.323. Consulte la Guía del administrador para Avaya Communication Manager, la Guía de implementación de la telefonía IP de Avaya y la Guía de despliegue de telefonía IP de Avaya Application Solutions en http://support.avaya.com.

Visión general

Puede proteger el guardián H.323 de ataques de inundación de denegación de servicio (DoS) limitando la cantidad de mensajes de registro, admisión y estado (RAS) por segundo que intentará procesar. La puerta de enlace de capa de aplicación (ALG) de H.323 descarta los mensajes de solicitud DE RAS entrantes que superan el umbral especificado. El intervalo es de 2 a 50 000 mensajes por segundo, el valor predeterminado es 1000.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar la función de protección contra ataques DoS H.323 ALG:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la H323 pestaña.

  3. En el cuadro Umbral del guardián de la inundación del mensaje, escriba 5000.

  4. Haga clic OK para comprobar su configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para configurar la función de protección contra ataques DoS H.323 ALG:

  1. Configure el portero para el ALG H.323 y establezca el umbral.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg h323 counters comando.

Descripción de los tipos de mensajes conocidos de H.323 ALG

El estándar H.323 es un protocolo de voz sobre IP (VoIP) heredado definido por la Unión Internacional de Telecomunicaciones (UIT-T). H.323 consta de un conjunto de protocolos (como H.225.0 y H.245) que se utilizan para la señalización de llamadas y el control de llamadas para VoIP. Hay tres procesos principales en H.323:

  • Detección de portero: un punto de conexión encuentra su guardián a través del proceso de descubrimiento del portero, a través de difusión o unidifusión (a una IP conocida y al puerto UDP 1719 conocido).

  • Registro, admisión y estado del punto de conexión: un punto de conexión se registra en un guardián y pide su administración. Antes de realizar una llamada, un punto de conexión le pide permiso a su portero para realizar la llamada. En las fases de inscripción y admisión, se utiliza el canal de registro, admisión y estado (RAS).

  • Control de llamadas y configuración de llamadas: las llamadas se pueden establecer dentro de una zona o en dos zonas, o incluso en varias zonas (conferencia multipunto). La configuración y derribo de llamadas se realiza a través del canal de señalización de llamadas cuyo TSAP es el puerto TCP bien conocido (1720). El control de llamada, incluidos los canales de medios de apertura/cierre entre dos puntos de conexión, se realiza a través del canal de control de llamadas cuyo TSAP se asigna dinámicamente desde el proceso de señalización de llamada anterior. Los mensajes H.245 se utilizan en el canal de control de llamadas y se codifican mediante ASN.1.

Señalización H.225 RAS: porteros y puertas de enlace

El registro, la admisión y el estado (RAS), como se describe en el estándar H.323 (ITU-T), es el protocolo de señalización que se utiliza entre puertas de enlace o puntos de conexión. Los porteros proporcionan servicios de resolución de direcciones y control de admisión.

RAS es el proceso mediante el cual las puertas de enlace H.323 descubren sus porteros de zona. La comunicación RAS se realiza a través de un datagrama UDP en el puerto 1718 (multidifusión) y 1719 (unidifusión). Los puntos de conexión utilizan el protocolo RAS para comunicarse con un guardián. Si un punto de conexión H.323 no conoce su portero, entonces puede enviar un mensaje de solicitud de Portero (GRQ) para buscar la respuesta del guardián. Uno o más porteros pueden responder a la solicitud con un mensaje de confirmación de Portero (GCF) o un mensaje de rechazo de Portero (GRJ). Un mensaje de rechazo contiene el motivo del rechazo.

La tabla 1 enumera los mensajes de guardián de RAS compatibles.

Tabla 1: Mensajes de Gatekeeper

Mensaje

Descripción

GRQ (Gatekeeper_Request)

Un mensaje enviado desde un punto de conexión a un guardián para "descubrir" guardianes dispuestos a prestar servicio.

GCF (Gatekeeper_Confirm)

Una respuesta de un guardián a un punto de conexión que indica la aceptación de comunicarse con el canal RAS del portero.

GRJ (Gatekeeper_Reject)

Una respuesta de un guardián a un punto de conexión que rechaza la solicitud de punto de conexión.

Registro y anulación de registro de RAS

El registro es el proceso mediante el cual las puertas de enlace, los terminales y las unidades de control multipunto (MCU) se unen a una zona e informan al guardián de sus direcciones IP y alias. Cada puerta de enlace solo puede registrar un guardián activo.

El registro tiene lugar después de que el punto de conexión determine y confirme el guardián para comunicarse, mediante el envío de un mensaje de solicitud de registro (RRQ). A continuación, el portero responde con un mensaje de confirmación de registro (RCF), lo que hace que el punto de conexión se conozca a la red.

La tabla 2 enumera los mensajes de registro y anulación de registro de RAS compatibles.

Tabla 2: Mensajes de registro y anulación de registro

Mensaje

Descripción

RRQ (Registration_Request)

Un mensaje enviado desde un punto de conexión a un guardián. Las solicitudes de registro están predefinidas en la configuración administrativa del sistema.

RCF (Registration_Confirm)

Una respuesta de un portero que confirma el registro de un punto de conexión en respuesta a un mensaje RRQ.

RRJ (Registration_Reject)

Una respuesta de un guardián que rechaza el registro de un punto de conexión.

URQ (Unregister_Request)

Un mensaje enviado desde un punto de conexión o un portero que solicita cancelar un registro.

UCF (Unregister_Confirm)

Una respuesta enviada desde un punto de conexión o un guardián para confirmar que el registro se cancela.

URJ (Unregister_Reject)

Un mensaje que indica que el punto de conexión no está registrado previamente con el portero.

Admisiones de RAS

Los mensajes de admisión entre puntos de conexión y porteros proporcionan la base para la admisión de llamadas y el control de ancho de banda. A continuación, el portero resuelve la dirección con confirmación o rechazo de una solicitud de admisión.

La tabla 3 enumera los mensajes de admisión de RAS admitidos.

Tabla 3: Mensajes de admisión de llamadas

Mensaje

Descripción

ARQ (Admission_Request)

Un intento de un punto de conexión de iniciar una llamada.

ACF (Admission_Confirm)

Una respuesta positiva de un guardián que autoriza a un punto de conexión a participar en una llamada.

ARJ (Admission_Reject)

Un mensaje enviado desde un portero rechazando el mensaje ARQ que inicia una llamada.

Ubicación de RAS

Los mensajes de solicitud de ubicación (LRQ) se envían por un punto de conexión o un portero a un portero de interzona para obtener las direcciones IP de diferentes puntos de conexión de zona.

La tabla 4 enumera los mensajes de solicitud de ubicación de RAS compatibles.

Tabla 4: Mensajes de solicitud de ubicación

Mensaje

Descripción

LRQ (Location_Request)

Un mensaje enviado para solicitar a un guardián información de contacto de una o más direcciones.

LCF (Location_Confirm)

Respuesta enviada por un guardián que contiene direcciones de canal de señalización de llamadas o de canal RAS.

LRJ (Location_Reject)

Una respuesta enviada por los porteros que recibieron una LRQ para la cual el punto de conexión solicitado no está registrado.

Control de ancho de banda RAS

El control de ancho de banda se invoca para configurar la llamada y se administra inicialmente mediante la secuencia de mensajes de admisión (ARQ/ACF/ARJ).

La tabla 5 enumera los mensajes de control de ancho de banda RAS compatibles.

Tabla 5: Mensajes de control de ancho de banda

Mensaje

Descripción

BRQ (Bandwidth_Request)

Una solicitud enviada por un punto de conexión a un guardián para aumentar o disminuir el ancho de banda de la llamada.

BCF (Bandwidth_Confirm)

Una respuesta enviada por un guardián para confirmar la aceptación de una solicitud de cambio de ancho de banda.

BRJ (Bandwidth_Reject)

Una respuesta enviada por un guardián para rechazar una solicitud de cambio de ancho de banda.

Información de estado de RAS

Un portero utiliza un mensaje de solicitud de información (IRQ) para determinar el estado de un punto de conexión. El protocolo RAS se usa para determinar si los puntos de conexión están en línea o sin conexión.

La tabla 6 enumera los mensajes de información de estado de RAS compatibles.

Tabla 6: Mensajes de información de estado

Mensaje

Descripción

IRQ (Information_Request)

Un mensaje enviado desde un guardián para solicitar información de estado de sus puntos de conexión de destinatario.

IRR (Information_Request_Response)

Una respuesta enviada por el punto de conexión a un guardián en respuesta a un mensaje IRQ. Determina si los puntos de conexión están en línea o sin conexión.

IACK (Info_Request_Acknowledge)

Un mensaje enviado por un guardián para reconocer la recepción de un mensaje IRR desde un punto de conexión.

INACK (Info_Request_Neg_Acknowledge)

Un mensaje enviado a un guardián si no se entiende un mensaje de solicitud de información.

Información de desconexión de RAS

Un punto de conexión envía un mensaje de solicitud de desconexión (DRQ) a un guardián en caso de caída de llamada.

La tabla 7 enumera los mensajes de desconexión de RAS compatibles.

Tabla 7: Desenganchar mensajes de solicitud

Mensaje

Descripción

DRQ (Disengage_Request)

Una solicitud de estado enviada desde un punto de conexión a un guardián cuando finaliza una llamada.

DCF (Disengage_Confirm)

Un mensaje enviado por un guardián para confirmar la recepción del mensaje DRQ desde un punto de conexión.

DRJ (Disengage_Reject)

Un mensaje enviado por un portero que rechaza una solicitud de confirmación de desconexión desde un punto de conexión.

Señalización de llamadas H.225 (Q.931)

H.225 se utiliza para configurar conexiones entre puntos de conexión H.323. La recomendación H.225 (ITU-T) especifica el uso y el soporte de los mensajes Q.931.

La señalización de llamadas H.225 admite los siguientes mensajes:

  • Configuración y configuración Reconocen

  • Procedimiento de llamada

  • Conectar

  • Alertas

  • Información del usuario

  • Versión completa

  • Instalación

  • Progreso

  • Consulta de estado y estado

  • Notificar

Señalización de transporte y control de medios H.245

H.245 controla los mensajes de control de extremo a extremo entre los puntos de conexión H.323. Este protocolo de canal de control establece los canales lógicos para la transmisión de audio, video, datos e información de canal de control.

H.245 admite los siguientes mensajes:

  • Petición

  • Respuesta

  • Comando

  • Indicación

Descripción de los tipos de mensajes desconocidos de H.323 ALG

La función desconocida de tipo de mensaje H.323 le permite especificar cómo el dispositivo controla los mensajes H.323 no identificados. El valor predeterminado es colocar mensajes desconocidos (no compatibles).

Puede proteger el guardián H.323 de ataques de inundación de denegación de servicio (DoS) limitando la cantidad de mensajes de registro, admisión y estado (RAS) por segundo que intentará procesar. La puerta de enlace de capa de aplicación (ALG) de H.323 descarta los mensajes de solicitud DE RAS entrantes que superan el umbral especificado. El intervalo es de 2 a 50 000 mensajes por segundo, el valor predeterminado es 1000.

No recomendamos permitir mensajes desconocidos porque pueden comprometer la seguridad. Sin embargo, en un entorno seguro de prueba o producción, el comando de tipo de mensaje H.323 desconocido puede ser útil para resolver problemas de interoperabilidad con equipos de proveedores dispares. Permitir mensajes H.323 desconocidos puede ayudarlo a poner su red en funcionamiento, de modo que pueda analizar el tráfico de voz sobre IP (VoIP) para determinar por qué se han caído algunos mensajes. La función de tipo de mensaje H.323 desconocida le permite configurar el dispositivo para que acepte tráfico H.323 que contiene tipos de mensajes desconocidos en el modo de traducción de direcciones de red (TDR) y en el modo de ruta.

Nota:

La opción de tipo de mensaje H.323 desconocida solo se aplica a los paquetes recibidos identificados como paquetes VoIP compatibles. Si no se puede identificar un paquete, siempre se pierde. Si un paquete se identifica como un protocolo compatible y ha configurado el dispositivo para permitir tipos de mensajes desconocidos, el mensaje se reenvía sin procesar.

Ejemplo: Permitir tipos de mensajes ALG H.323 desconocidos

En este ejemplo, se muestra cómo configurar el dispositivo para permitir tipos de mensajes H.323 desconocidos en los modos de ruta y TDR.

Requisitos

Antes de comenzar, entienda y configure cualquier función específica de Avaya H.323. Consulte la Guía del administrador para Avaya Communication Manager, Avaya IP Telephony Implementation Guide y Avaya Application Solutions IP Telephony Deployment Guide en http://support.avaya.com.

Visión general

Esta función le permite especificar cómo el dispositivo controla los mensajes H.323 no identificados. El valor predeterminado es colocar mensajes desconocidos (no compatibles). La opción Enable Permit NAT applied y la permit-nat-applied instrucción de configuración especifican que se permite que pasen mensajes desconocidos si la sesión está en modo TDR. La opción Habilitar permiso enrutado y la permit-routed instrucción de configuración especifican que se permite que pasen mensajes desconocidos si la sesión está en modo de ruta. (Las sesiones en modo transparente se tratan como modo de ruta.)

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar el dispositivo para permitir tipos de mensajes H.323 desconocidos en los modos de ruta y TDR:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la H323 pestaña.

  3. Active la Enable Permit NAT applied casilla de verificación.

  4. Active la Enable Permit routed casilla de verificación.

  5. Haga clic OK para comprobar su configuración y guardarla como configuración candidata.

  6. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para configurar el dispositivo para permitir tipos de mensajes H.323 desconocidos en los modos de ruta y TDR:

  1. Especifique que se permita que pasen mensajes desconocidos si la sesión está en modo TDR.

  2. Especifique que se permita que pasen mensajes desconocidos si la sesión está en modo de ruta.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg h323 comando y el show security alg h323 counters comando.

Tabla de historial de versiones
Lanzamiento
Descripción
17,4R1
A partir de Junos OS versión 17.4R1, la función de llamada de puerta de enlace a puerta de enlace se admite en la puerta de enlace de capa de aplicación (ALG) H.323.
17,4R1
A partir de Junos OS versión 17.4R1, la puerta de enlace de capa de aplicación (ALG) H.323 admite reglas NAT64 en una red IPv6.