Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Register now
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía del usuario de puertas de enlace de capa de aplicación ALG de VoIP

Guía del usuario de puertas de enlace de capa de aplicación

keyboard_arrow_up
close
keyboard_arrow_left
Guía del usuario de puertas de enlace de capa de aplicación
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

MGCP ALG

date_range 12-Aug-22
arrow_backward
arrow_forward

El Media Gateway Control Protocol (MGCP) es un protocolo de comunicaciones de control de llamadas y señalización basada en texto utilizado en sistemas de telecomunicaciones VoIP. MGCP se utiliza para configurar, mantener y finalizar llamadas entre varios puntos de conexión.

Descripción del MGCP ALG

El Media Gateway Control Protocol (MGCP) es un protocolo de capa de aplicación basado en texto que se utiliza para la configuración de llamadas y el control de llamada entre la puerta de enlace de medios y el controlador de puerta de enlace de medios (MGC).

El protocolo se basa en una arquitectura de control de llamada principal/cliente: el MGC (agente de llamada) mantiene la inteligencia de control de llamadas, y las puertas de enlace de medios llevan a cabo las instrucciones del agente de llamada. Tanto los paquetes de señalización como los paquetes de medios se transmiten a través de UDP. Junos OS admite MGCP en modo de ruta y modo de traducción de direcciones de red (TDR).

La puerta de enlace de capa de aplicación MGCP (ALG) realiza los siguientes procedimientos:

  • Lleva a cabo la inspección de carga de señalización de voz sobre IP (VoIP). La carga del paquete de señalización VoIP entrante se inspecciona completamente según rfc relacionados y estándares patentados. Alg bloquea cualquier ataque de paquete malformado.

  • Realiza inspección de carga de señalización MGCP. La carga del paquete de señalización MGCP entrante se inspecciona por completo de acuerdo con rfc 3435. Alg bloquea cualquier ataque de paquetes malformados.

  • Proporciona procesamiento de estado. Se invocan las máquinas de estado basadas en VoIP correspondientes para procesar la información parsada. Cualquier paquete fuera de estado o fuera de transacción se identifica y se maneja correctamente.

  • Realiza TDR. Cualquier dirección IP incrustada y la información de puerto en la carga se traduce correctamente según la información de enrutamiento y la topología de red existentes, y luego se sustituye por la dirección IP traducida y el número de puerto, si es necesario.

  • Administra los agujeros de pin para el tráfico de VoIP. Para mantener la red VoIP segura, alG identifica la dirección IP y la información de puerto utilizados para los medios o la señalización, y cualquier agujero de pins necesario se crea y cierra dinámicamente durante la configuración de la llamada.

Este tema contiene las siguientes secciones:

Seguridad de MGCP

MgCP ALG incluye las siguientes características de seguridad:

  • Protección contra ataques de denegación de servicio (DoS). ALG realiza una inspección de estado a nivel de paquete UDP, de transacción y de llamada. Se procesan paquetes MGCP que coinciden con el formato de mensaje RFC 3435, el estado de transacción y el estado de llamada. Todos los demás mensajes se pierden.

  • Cumplimiento de políticas de seguridad entre puerta de enlace y controlador de puerta de enlace (política de señalización).

  • Cumplimiento de políticas de seguridad entre puertas de enlace (política de medios).

  • Control de inundación de mensajes MGCP por puerta de enlace. Cualquier mal funcionamiento o puerta de enlace hackeada no interrumpirá toda la red VoIP. En combinación con el control de inundación por puerta de enlace, el daño se encuentra dentro de la puerta de enlace afectada.

  • Control de inundación de conexión MGCP por puerta de enlace.

  • Conmutación o conmutación por error sin problemas si las llamadas, incluidas las llamadas en curso, se cambian al firewall de espera en caso de falla del sistema.

Entidades en MGCP

MgCP cuenta con cuatro entidades básicas:

Extremo

Una puerta de enlace de medios es una colección de puntos de conexión. Un punto de conexión puede ser una línea analógica, una troncalización o cualquier otro punto de acceso. Un punto de conexión contiene los siguientes elementos:

content_copy zoom_out_map
local-endpoint-name@domain-name

Los siguientes ejemplos son algunos identificaciones de punto de conexión válidos:

content_copy zoom_out_map
group1/Trk8@example.net
group2/Trk1/*@[192.168.10.8] (wild-carding)
$@example.net (any endpoint within the media gateway)
*@example.net (all endpoints within the media gateway)

Conexión

Un MG crea conexiones en cada punto de conexión durante la configuración de la llamada. Una llamada VoIP típica implica dos conexiones. Una llamada compleja, por ejemplo, una llamada de tres partes o una llamada de conferencia, puede requerir más conexiones. El MGC puede indicar a las puertas de enlace de medios que creen, modifiquen, eliminen y auditen una conexión.

Una conexión se identifica mediante su ID de conexión, que crea el MG cuando se solicita crear una conexión. El ID de conexión se presenta como una cadena hexadecimal y su longitud máxima es de 32 caracteres.

Llamar

Una llamada se identifica mediante su ID de llamada, que crea el MGC al establecer una nueva llamada. El ID de llamada es una cadena hexadecimal con una longitud máxima de 32 caracteres. El ID de llamada es único dentro del MGC. Dos o más conexiones pueden tener el mismo ID de llamada si pertenecen a la misma llamada.

Llamar al agente

MgCP admite uno o más agentes de llamada (también llamados controladores de puerta de enlace de medios) para mejorar la confiabilidad en la red VoIP. Los dos ejemplos siguientes son de nombres de agente de llamada:

content_copy zoom_out_map
CallAgent@voipCA.example.com
voipCA.example.com

Varias direcciones de red se pueden asociar bajo un nombre de dominio en el sistema de nombres de dominio (DNS). Mediante el seguimiento del tiempo de vida (TTL) de los datos de consulta/respuesta de DNS y la implementación de la retransmisión mediante el uso de otras direcciones de red alternativas, se logra la conmutación y la conmutación por error en MGCP.

El concepto de entidad notificada es esencial en MGCP. La entidad notificada para un punto de conexión es el agente de llamada que controla actualmente ese punto de conexión. Un punto de conexión debe enviar cualquier comando MGCP a su entidad notificada. Sin embargo, diferentes agentes de llamada pueden enviar comandos MGCP a este punto de conexión.

La entidad notificada se establece en un valor aprovisionado al iniciarse, pero un agente de llamadas puede cambiarla mediante el NotifiedEntity uso del parámetro contenido en un mensaje MGCP. Si la entidad notificada para un punto de conexión está vacía o no se ha establecido explícitamente, su valor predeterminado es la dirección de origen del último comando MGCP exitoso que no sea de auditoría recibido para ese punto de conexión.

Comandos MGCP

El protocolo MGCP define nueve comandos para controlar puntos de conexión y conexiones. Todos los comandos se componen de un encabezado de comando, seguido opcionalmente por la información del Protocolo de descripción de sesión (SDP). Un encabezado de comando tiene los siguientes elementos:

  • Una línea de comandos: verbo de comando + ID de transacción + punto de conexión + versión MGCP.

  • Cero o más líneas de parámetro, compuestas por un nombre de parámetro seguido de un valor de parámetro.

La tabla 1 enumera los comandos MGCP compatibles e incluye una descripción de cada uno, la sintaxis del comando y ejemplos. Consulte rfc 2234 para obtener una explicación completa de la sintaxis de comando.

Tabla 1: Comandos MGCP

Comando

Descripción

Sintaxis de comando

Ejemplo

EPCF

Configuración de punto de conexión: se utiliza por un agente de llamada para informar a una puerta de enlace de las características de codificación (a-law o mu-law) esperadas por el lado de la línea del punto de conexión.

ReturnCode [PackageList] EndpointConfiguration (EndpointId,[BearerInformation])

EPCF 2012 wxx/T2@example.com MGCP 1.0B: e:mu

CRCX

CreateConnection: lo usa un agente de llamadas para indicar a la puerta de enlace que cree una conexión con la puerta de enlace y un punto de conexión dentro de ella.

ReturnCode, [ConnectionId,] [SpecificEndPointId,] [LocalConnectionDescriptor,] [SecondEndPointId,] [SecondConnectionId,] [PackageList] CreateConnection (CallId, EndpointId, [NotifiedEntity,] [LocalConnectionOption,] Mode, [{RemoteConnectionDescriptor | SecondEndpoindId},] [encapsulated RQNT,] [encapsulated EPCF])

CRCX 1205 aaln/1@gw-25.example.net MGCP 1.0C: A3C47F21456789F0L: p:10, a:PCMUM: sendrecvX: 0123456789ADR: L/hdS: L/rgv=0o=- 25678 753849 IN IP4 128.96.41.1s=-c=IN IP4 128.96.41.1t=0 0m=audio 3456 RTP/AVP 0

MDCX

ModifyConnection (ModifyConnection): lo usa un agente de llamadas para indicar a una puerta de enlace que cambie los parámetros de una conexión existente.

ReturnCode, [LocalConnectionDescriptor,] [PackageList] ModifyConnection (CallId, EndpointId, ConnectionId, [NotifiedEntity,] [LocalConnectionOption,] [Mode,]

[RemoteConnectionDescriptor,] [encapsulated RQNT,] [encapsulated EPCF])

MDCX 1210 aaln/1@rgw-25.example.net MGCP 1.0C: A3C47F21456789F0I: FDE234C8M: recvonlyX: 0123456789AER: L/huS: G/rtv=0o=- 4723891 7428910 IN IP4 128.96.63.25s=-c=IN IP4 128.96.63.25t=0 0m=audio 3456 RTP/AVP 0

DLCX

DeleteConnection: lo usa un agente de llamadas para indicar a una puerta de enlace que elimine una conexión existente.

Una puerta de enlace también puede usar DeleteConnection para liberar una conexión que ya no se puede mantener.

ReturnCode, ConnectionParameters, [PackageList] DeleteConnection (CallId, EndpointId, ConnectionId, [NotifiedEntity,] [encapsulated RQNT,] [encapsulated EPCF])

Ejemplo 1: MGC -> MG

DLCX 9210 aaln/1@rgw-25.example.net MGCP 1.0C: A3C47F21456789F0I: FDE234C8

Ejemplo 2: MG -> MGC

DLCX 9310 aaln/1@rgw-25.example.net MGCP 1.0C: A3C47F21456789F0I: FDE234C8E: 900 - Hardware errorP: PS=1245, OS=62345, PR=780, OR=45123, PL=10, JI=27, LA=48

RQNT

Comando NotificationRequest: lo usa un agente de llamada para indicar a un MG que supervise determinados eventos o señales para un punto de conexión específico.

ReturnCode, [PackageList] NotificationRequest[(EndpointId, [NotifiedEntity,] [RequestedEvents,] RequestIdentifier, [DigitMap,] [SignalRequests,] [QuarantineHandling,] [DetectEvents,] [encapsulated EPCF])

RQNT 1205 aaln/1@rgw-25.example.net MGCP 1.0N: ca-new@callagent-ca.example.netX: 0123456789AAR: L/hd(A, E(S(L/dl),R(L/oc,L/hu,D/[0-9#*T](D))))D: (0T|00T|xx|91xxxxxxxxxx|9011x.T)S:T: G/ft

NTFY

Notificar: una puerta de enlace la usa para informar al agente de llamada cuando se producen eventos o señales solicitados.

ReturnCode, [PackageList] Notify (EndpointID, [NotifiedEntity,] RequestIdentifier, ObservedEvents)

NTFY 2002 aaln/1@rgw-25.example.net MGCP 1.0N: ca@ca1.example.net:5678X: 0123456789ACO: L/hd,D/9,D/1,D/2,D/0,D/1,D/8,D/2,D/9,D/4, D/2,D/6,D/6

AUEP

AuditEndpoint: lo usa un agente de llamadas para auditar el estado del punto de conexión.

ReturnCode, EndPointIdList, | { [RequestedEvents,] [QuarantineHandling,] [DigitMap,] [SignalRequests,] [RequestedIdentifier,] [NotifiedEntity,] [ConnectionIdentifier,] [DetectEvents,] [ObservedEvents,] [EventStats,] [BearerInformation,] [BearerMethod,] [RestartDelay,] [ReasonCode,] [MaxMGCPDatagram,] [Capabilities]} [PackageList] AuditEndpoint (EndpointId, [RequestedInfo])

Ejemplo 1:

AUEP 1201 aaln/1@rgw-25.example.net MGCP 1.0F: A, R,D,S,X,N,I,T,O

Ejemplo 2:

AUEP 1200 *@rgw-25.example.net MGCP 1.0

AUCX

AuditConnection: lo usa un agente de llamada para recopilar los parámetros aplicados a una conexión.

ReturnCode, [CallId,] [NotifiedEntity,] [LocalConnectionOptions,] [Mode,] [RemoteConnectionDescriptor,] [LocalConnectionDescriptor,] [ConnectionParameters,] [PackageList] AuditConnection (EndpointId, ConnectionId, RequestedInfo)

AUCX 3003 aaln/1@rgw-25.example.net MGCP 1.0I: 32F345E2F: C,N,L,M,LC,P

RSIP

RestareInProgress: se utiliza en una puerta de enlace para notificar a un agente de llamadas que uno o más puntos de conexión se están sacando de servicio o poniéndolo de nuevo en servicio.

ReturnCode, [NotifiedEntity,] [PackageList] RestartInProgress (EndpointId, RestartMethod, [RestartDelay,] [ReasonCode])

RSIP 5200 aaln/1@rg2-25.example.net MGCP 1.0RM: gracefulRD: 300

Códigos de respuesta de MGCP

Cada comando enviado por el agente de llamada o la puerta de enlace, sea que sea correcto o no, requiere un código de respuesta. El código de respuesta está en el encabezado del mensaje de respuesta y, opcionalmente, va seguido de información de descripción de la sesión.

El encabezado de respuesta se compone de una línea de respuesta, seguida de cero o más líneas de parámetros, cada una con una letra de nombre de parámetro seguida de su valor. El encabezado de respuesta se compone de un código de respuesta de tres dígitos, id de transacción y, opcionalmente, seguido de comentario. El encabezado de respuesta del siguiente mensaje de respuesta muestra el código de respuesta 200 (completado correctamente), seguido del ID 1204 y el comment:OK.

content_copy zoom_out_map
200 1204 OK
I: FDE234C8
v=0
o=- 25678 753849 IN IP4 128.96.41.1
s=-
c=IN IP4 128.96.41.1
t=0 0
m=audio 3456 RTP/AVP 96
a=rtpmap:96 G726-32/8000

Los rangos de códigos de respuesta se definen de la siguiente manera:

  • 000 — 099 indicar un reconocimiento de respuesta.

  • 100 a 199— indicar una respuesta provisional.

  • 200 a 299 indican una finalización correcta (respuesta final).

  • 400 — 499 indican un error transitorio (respuesta final).

  • 500 - 599 indican un error permanente (respuesta final).

Consulte el RFC 3661 para obtener información detallada sobre los códigos de respuesta.

Una respuesta a un comando se envía a la dirección de origen del comando, no a la entidad notificada actual. Una puerta de enlace de medios puede recibir comandos MGCP de varias direcciones de red simultáneamente y enviar respuestas a las direcciones de red correspondientes. Sin embargo, envía todos los comandos MGCP a su entidad notificada actual.

Descripción general de la configuración de MGCP ALG

El Protocolo de control de puerta de enlace de medios (MGCP ALG) está habilitado de forma predeterminada en el dispositivo; no es necesario realizar ninguna acción para habilitarlo. Sin embargo, puede optar por ajustar las operaciones de MGCP ALG mediante las siguientes instrucciones:

  1. Libere el ancho de banda cuando las llamadas no finalicen correctamente. Vea ejemplo: Configuración de la duración de la llamada MGCP ALG.

  2. Controle cuánto tiempo puede permanecer activa una llamada sin tráfico de medios. Vea el ejemplo: Establecer tiempo de espera de medios inactivos MGCP ALG.

  3. Rastree y despeje el tráfico de señales cuando se abaste el tiempo de espera. Vea el ejemplo: Establecer tiempo de espera de transacción MGCP ALG.

  4. Proteja la puerta de enlace de medios de ataques de inundación de denegación de servicio (DoS). Vea el ejemplo: Configurar la protección contra ataques MGCP ALG DoS.

  5. Habilite que los mensajes desconocidos pasen cuando la sesión está en el modo de traducción de direcciones de red (TDR) y en el modo de ruta. Vea ejemplo: Permitir tipos de mensajes MGCP ALG desconocidos.

Ejemplo: Configurar puertas de enlace de medios en los hogares de los suscriptores mediante MGCP ALG

En este ejemplo, se muestra cómo configurar puertas de enlace de medios en los hogares de los suscriptores mediante ALG MGCP.

Requisitos

Antes de empezar:

Visión general

Cuando un proveedor de servicios de cable ofrece servicios de MGCP a suscriptores residenciales, localiza el dispositivo y el agente de llamada de Juniper Networks en sus instalaciones e instala un decodificador en el hogar de cada suscriptor. Los decodificadores actúan como puertas de enlace para las residencias.

Después de crear zonas (external_subscriber para el cliente y internal_ca para el proveedor de servicios), configura direcciones, luego interfaces y, por último, políticas para permitir la señalización entre puntos de conexión. Tenga en cuenta que aunque las puertas de enlace suelen residir en diferentes zonas, lo que requiere políticas para el tráfico de medios, en este ejemplo, ambas puertas de enlace se encuentran en la misma subred. Tenga en cuenta también que, dado que el tráfico RTP entre las puertas de enlace nunca pasa por el dispositivo, no se necesita ninguna política para los medios. Véase la figura 1.

Figura 1: Puerta de enlace de medios en los hogares de los suscriptores Media Gateway in Subscriber Homes

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security zones security-zone external-subscriber host-inbound-traffic system-services all
set security zones security-zone external-subscriber host-inbound-traffic protocols all  
set security zones security-zone internal-ca host-inbound-traffic system-services all  
set security zones security-zone internal-ca host-inbound-traffic protocols all
set interfaces ge-0/0/1 unit 0 family inet address 2.2.2.1/24 
set interfaces ge-0/0/0 unit 0 family inet 
set security zones security-zone external-subscriber interfaces ge-0/0/0 
set security zones security-zone internal-ca interfaces ge-0/0/1 
set security address-book book1 address ca-agent 110.1.1.101/32  
set security address-book book1 attach zone internal-ca  
set security address-book book2 address subscriber-subnet 2.2.2.1/24  
set security address-book book2 attach zone external-subscriber 
set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match source-address ca-agent-1  
set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match destination-address subscriber-subnet   
set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match application junos-mgcp  
set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers then permit  
set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match source-address subscriber-subnet  
set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match destination-address ca-agent-1
set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match application junos-mgcp 
set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca then permit 
set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match source-address any 
set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match destination-address any 
set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match application any 
set security policies from-zone internal-ca to-zone internal-ca policy intra-ca then permit 
set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match source-address any  
set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match destination-address any  
set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match application any  
set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber then permit
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar puertas de enlace de medios en los hogares de los suscriptores mediante MGCP ALG:

  1. Cree zonas de seguridad para el cliente y el proveedor de servicios.

    content_copy zoom_out_map
    [edit security zones security-zone external-subscriber]
user@host# set host-inbound-traffic system-services all
user@host# set host-inbound-traffic protocols all  
[edit security zones security-zone internal-ca]
user@host# set host-inbound-traffic system-services all  
user@host# set host-inbound-traffic protocols all

  2. Configure interfaces para las zonas.

    content_copy zoom_out_map
    [edit]
user@host# edit security zones security-zone external-subscriber interfaces ge-0/0/0 
user@host# set interfaces ge-0/0/0 unit 0 family inet
user@host# set security zones security-zone internal-ca interfaces ge-0/0/1
user@host# set interfaces ge-0/0/1 unit 0 family inet address 2.2.2.1/24

  3. Configure las libretas de direcciones y adjunte zonas a ellas.

    content_copy zoom_out_map
    [edit security address-book book1]
user@host# set address ca-agent 110.1.1.101/32  
user@host# set attach zone internal-ca
    content_copy zoom_out_map
    [edit security address-book book2]
user@host# set address subscriber-subnet 2.2.2.1/24  
user@host# set attach zone external-subscriber

  4. Configure políticas para el tráfico desde la zona interna hasta la externa.

    content_copy zoom_out_map
    [edit security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers]
user@host# edit match source-address ca-agent-1  
user@host# set match destination-address subscriber-subnet   
user@host# set match application junos-mgcp  
user@host# set then permit

  5. Configure políticas para el tráfico desde la zona externa a la interna.

    content_copy zoom_out_map
    [edit security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca]
user@host# edit match source-address subscriber-subnet  
user@host# set match destination-address ca-agent-1
user@host# set match application junos-mgcp 
user@host# set then permit

  6. Configure políticas para el tráfico entre dos zonas internas.

    content_copy zoom_out_map
    [edit security policies from-zone internal-ca to-zone internal-ca policy intra-ca]
user@host# edit match source-address any 
user@host# set match destination-address any 
user@host# set match application any 
user@host# set then permit

  7. Configure políticas para el tráfico entre dos zonas externas.

    content_copy zoom_out_map
    [edit security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber]
user@host# edit match source-address any  
user@host# set match destination-address any  
user@host# set match application any  
user@host# set then permit
Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
from-zone internal-ca to-zone external-subscriber {
    policy ca-to-subscribers {
        match {
            source-address ca-agent-1;
            destination-address subscriber-subnet;
            application junos-mgcp;
        }
        then {
            permit;
        }
    }
}
from-zone external-subscriber to-zone internal-ca {
    policy subscriber-to-ca {
        match {
            source-address subscriber-subnet;
            destination-address ca-agent-1;
            application junos-mgcp;
        }
        then {
            permit;
        }
    }
}
from-zone internal-ca to-zone internal-ca {
    policy intra-ca {
        match {
            ssource-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}
from-zone external-subscriber to-zone external-subscriber {
    policy intra-subscriber {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Verificar las ALG MGCP

Propósito

Verifique las opciones de verificación DE MGCP ALG.

Acción

Desde el modo operativo, ingrese el show security alg mgcp ? comando.

content_copy zoom_out_map
user@host> show security alg mgcp ?
Possible completions:
  calls                Show MGCP calls
  counters             Show MGCP counters
  endpoints            Show MGCP endpoints
Significado

El resultado muestra una lista de todos los parámetros de verificación MGCP. Compruebe la siguiente información:

  • Todas las llamadas de MGCP

  • Contadores para todas las llamadas de MGCP

  • Información sobre todos los puntos de conexión de MGCP

Verificar las llamadas de MGCP ALG

Propósito

Verifique la información de las llamadas de MGCP activas.

Acción

Desde el modo operativo, ingrese el show security alg mgcp calls comando.

content_copy zoom_out_map
user@host> show security alg mgcp calls
Endpoint@GW                    Zone         Call ID                   RM Group
d001@101.50.10.1               Trust        10d55b81140e0f76          512
   Connection Id> 0
   Local SDP>  o: 101.50.10.1                x_o: 101.50.10.1
               c: 101.50.10.1/32206          x_c: 101.50.10.1/32206
   Remote SDP> c: 3.3.3.5/16928              x_c: 3.3.3.5/16928
Endpoint@GW                    Zone         Call ID                   RM Group
d001@3.3.3.5                   Untrust      3a104e9b41a7c4c9          511
   Connection Id> 0
   Local SDP>  o: 3.3.3.5                    x_o: 3.3.3.5
               c: 3.3.3.5/16928              x_c: 3.3.3.5/16928
   Remote SDP> c: 101.50.10.1/32206          x_c: 101.50.10.1/32206
Significado

El resultado muestra información de todas las llamadas MGCP. Compruebe la siguiente información:

  • Extremo

  • Zona

  • Identificador de llamada

  • Grupo de administrador de recursos

Verificar puntos de conexión MGCP ALG

Propósito

Verifique la información acerca de los puntos de conexión de MGCP.

Acción

Desde el modo operativo, ingrese el show security alg mgcp endpoints comando.

content_copy zoom_out_map
user@host> show security alg mgcp endpoints
Gateway: 101.50.10.1 Zone: Trust IP: 101.50.10.1 -> 101.50.10.1
   Endpoint             Trans #  Call #   Notified Entity
   d001                 1        1        0.0.0.0/0->0.0.0.0/0
Gateway: 3.3.3.5 Zone: Untrust IP: 3.3.3.5 -> 3.3.3.5
   Endpoint             Trans #  Call #   Notified Entity
   d001                 1        1        0.0.0.0/0->0.0.0.0/0
Significado

El resultado muestra información de todos los puntos de conexión de MGCP. Compruebe la siguiente información:

  • Dirección IP de puerta de enlace y zona de ambos puntos de conexión

  • Identificador de punto de conexión, número de transacción, número de llamada y entidad notificada para cada puerta de enlace

Verificar contadores MGCP ALG

Propósito

Verifique la información de los contadores de MGCP.

Acción

Desde el modo operativo, ingrese el show security alg mgcp counters comando.

content_copy zoom_out_map
user@host> show security alg mgcp counters
MGCP counters summary:
Packets received             :284
Packets dropped              :0
Message received             :284
Number of connections        :4
Number of active connections :3
Number of calls              :4
Number of active calls       :3
Number of transactions       :121
Number of active transactions:52
Number of re-transmission    :68
MGCP Error Counters:
Unknown-method               :0
Decoding error               :0
Transaction error            :0
Call error                   :0
Connection error             :0
Connection flood drop        :0
Message flood drop           :0
IP resolve error             :0
NAT error                    :0
Resource manager error       :0
MGCP Packet Counters:
CRCX     :4       MDCX     :9       DLCX     :2
AUEP     :1       AUCX     :0       NTFY     :43
RSIP     :79      EPCF     :0       RQNT     :51
000-199  :0       200-299  :95      300-999  :0
Significado

El resultado muestra información de todos los contadores MGCP. Compruebe la siguiente información:

  • Resumen de contadores de MGCP

  • Contadores de errores de MGCP

  • Contadores de paquetes MGCP

Ver también

  • Descripción del MGCP ALG

Ejemplo: Configuración del servicio alojado por ISP de tres zonas mediante MGCP ALG y TDR

En este ejemplo, se muestra cómo configurar una configuración de tres zonas mediante MGCP ALG y TDR.

Requisitos

Antes de comenzar, comprenda el soporte de TDR con MGCP ALG. Consulte Descripción del MGCP ALG.

Visión general

Normalmente, se usa una configuración de tres zonas cuando un ISP en una ubicación geográfica proporciona servicio a dos redes en diferentes ubicaciones geográficas.

En este ejemplo (véase la figura 2), un ISP ubicado en la costa oeste de EE. UU. proporciona el servicio de MGCP a clientes en redes separadas en Asia y San Francisco. Los clientes de Asia se encuentran en la zona asia-3 y cuentan con el soporte de la puerta de enlace asia-gw; Los clientes de San Francisco se encuentran en la zona sf-2 y son compatibles con la puerta de enlace sf-gw. Un agente de llamadas, west-ca, está en la ZDM. Las puertas de enlace y el agente de llamada se enumeran en la tabla 2, en la que se muestra la dirección IP, la interfaz y la zona correspondientes.

En este ejemplo, después de crear zonas y direcciones de configuración para las puertas de enlace y el agente de llamada, asociar las zonas a las interfaces y, a continuación, configurar TDR estático en el agente de llamada y TDR de origen para la comunicación desde un teléfono IP en la zona sf-2 a teléfonos en la zona asia-3. También se configura una política entre las zonas para permitir la comunicación.

Topología

La Figura 2 muestra un servicio alojado por ISP de tres zonas.

Figura 2: Servicio Three-Zone ISP-Hosted Service alojado por ISP de tres zonas
Tabla 2: Servicio isp-host de tres zonas

Gateway

Dirección IP

Interfaz

Zona

sf-gw

192.168.3.201

ge-0/0/0

sf-2

asia-gw

3.3.3.101

ge-0/0/1

asia-3

oeste-ca

10.1.1.101

ge-0/0/2

DMZ

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.10/24 
set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.10/24  
set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.2/24 
set security zones security-zone sf-2 interfaces ge-0/0/0.0  
set security zones security-zone asia-3 interfaces ge-0/0/1.0 
set security zones security-zone dmz interfaces ge-0/0/2.0 
set security address-book book1 address sf-gw 192.168.3.201/32 
set security address-book book1 attach zone sf-2  
set security address-book book2 address asia-gw 3.3.3.101/32  
set security address-book book2 attach zone asia-3  
set security address-book book3 address west-ca 10.1.1.101/32  
set security address-book book3 attach zone dmz 
set security nat source pool ip-phone-pool address 3.3.3.20/32  
set security nat source rule-set phones from zone sf-2  
set security nat source rule-set phones to zone asia-3  
set security nat source rule-set phones rule phone1 match source-address 192.168.3.10/32 
set security nat source rule-set phones rule phone1 match destination 3.3.3.101/32
set security nat source rule-set phones rule phone1 then source-nat pool ip-phone-pool  
set security nat static rule-set to-callagent from zone asia-3  
set security nat static rule-set to-callagent rule phone1 match destination-address 3.3.3.101/32  
set security nat static rule-set to-callagent rule phone1 then static-nat prefix 10.1.1.101/32  
set security nat proxy-arp interface ge-0/0/1.0 address 3.3.3.101/32  
set security nat proxy-arp interface ge-0/0/1.0 address 3.3.3.20/32 
set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match source-address west-ca  
set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match destination-address asia-gw  
set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match application junos-mgcp 
set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 then permit  
set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match source-address asia-gw  
set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match destination-address west-ca 
set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match application junos-mgcp  
set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz then permit  
set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match source-address sf-gw 
set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match destination-address west-ca  
set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match application junos-mgcp 
set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz then permit  
set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match source-address west-ca  
set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match destination-address sf-gw 
set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match application junos-mgcp  
set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 then permit  
set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match source-address sf-gw 
set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match destination-address asia-gw  
set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match application junos-mgcp  
set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 then permit 
set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match source-address asia-gw
set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match destination sf-gw
set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match application junos-mgcp
set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 then permit
set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match source-address any  
set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match destination-address any  
set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match application any
 set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 then permit  
set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match source-address any  
set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match destination-address any 
set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match application any  
set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 then permit
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una configuración de tres zonas mediante MGCP ALG y TDR:

  1. Configure interfaces.

    content_copy zoom_out_map
    [edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.10/24
user@host# set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.10/24
user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.2/24

  2. Cree zonas de seguridad.

    content_copy zoom_out_map
    [edit security zones]
user@host# set security-zone sf-2 interfaces ge-0/0/0
user@host# set security-zone asia-3 interfaces ge-0/0/1
user@host# set security-zone dmz interfaces ge-0/0/2

  3. Cree libretas de direcciones y asigne zonas.

    content_copy zoom_out_map
    [edit security address-book book1]
user@host# set address sf-gw 192.168.3.201/32 
user@host# set attach zone sf-2
    content_copy zoom_out_map
    [edit security address-book book2]
user@host# set address asia-gw 3.3.3.101/32 
user@host# set attach zone asia-3
    content_copy zoom_out_map
    [edit security address-book book3]
user@host# set address west-ca 10.1.1.101/32 
user@host# set attach zone dmz

  4. Cree un conjunto de reglas TDR estático y establezca las condiciones y acciones de coincidencia para él.

    content_copy zoom_out_map
    [edit security nat static rule-set to-callagent]
user@host# set from zone asia-3  
user@host# set rule phone1 match destination-address 3.3.3.101/32 
user@host# set rule phone1 then static-nat prefix 10.1.1.101/32

  5. Configure el ARP de proxy para la dirección 3.3.3.101/32 en la interfaz ge-0/0/1.0.

    content_copy zoom_out_map
    [edit security nat ]
user@host# set proxy-arp interface ge-0/0/1.0 address 3.3.3.101/32

  6. Cree un grupo TDR de origen.

    content_copy zoom_out_map
    [edit security nat]
user@host# set source pool ip-phone-pool address 3.3.3.20/32

  7. Cree un conjunto de reglas TDR de origen y establezca las condiciones y acciones de coincidencia para él.

    content_copy zoom_out_map
    [edit security nat source rule-set phones]
user@host# set from zone sf-2  
user@host# set to zone asia-3  
user@host# set rule phone1 match source-address 192.168.3.10/32  
user@host# set rule phone1 match destination-address 3.3.3.101/32  
user@host# set rule phone1 then source-nat pool ip-phone-pool

  8. Configure el ARP de proxy para la dirección 3.3.3.20/32 en la interfaz ge-0/0/1.0.

    content_copy zoom_out_map
    [edit security nat ]
user@host# set proxy-arp interface ge-0/0/1.0 address 3.3.3.20/32

  9. Configure una política para permitir el tráfico desde la ZDM a Asia.

    content_copy zoom_out_map
    [edit security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3]
user@host# set match source-address west-ca  
user@host# set match destination-address asia-gw  
user@host# set match application junos-mgcp  
user@host# set then permit

  10. Configure una política para permitir el tráfico de Asia a la ZDM.

    content_copy zoom_out_map
    [edit security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz]
user@host# set match source-address asia-gw  
user@host# set match destination-address west-ca  
user@host# set match application junos-mgcp  
user@host# set then permit

  11. Configure una política para permitir el tráfico de San Francisco a la ZDM.

    content_copy zoom_out_map
    [edit security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz]
user@host# set match source-address sf-gw  
user@host# set match destination-address west-ca  
user@host# set match application junos-mgcp  
user@host# set then permit

  12. Configure una política para permitir el tráfico de la ZDM a San Francisco.

    content_copy zoom_out_map
    [edit security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2]
user@host# set match source-address west-ca 
 user@host# set match destination-address sf-gw  
user@host# set match application junos-mgcp  
user@host# set then permit

  13. Configure una política para permitir el tráfico de San Francisco a Asia.

    content_copy zoom_out_map
    [edit security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3]
user@host#  set match source-address sf-gw  
user@host# set match destination-address asia-gw  
user@host# set match application junos-mgcp  
user@host# set then permit

  14. Configure una política para permitir el tráfico desde Asia a San Francisco.

    content_copy zoom_out_map
    [edit security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2]
user@host# set match source-address asia-gw 
user@host# set match destination-address sf-gw  
user@host# set match application junos-mgcp
user@host# set then permit

  15. Configure una política para permitir el tráfico en dispositivos dentro de San Francisco.

    content_copy zoom_out_map
    [edit security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2]
user@host# set match source-address any  
user@host# set match destination-address any  
user@host# set match application any  
user@host# set then permit

  16. Configure una política para permitir el tráfico en dispositivos dentro de Asia.

    content_copy zoom_out_map
    [edit security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3]
user@host# set match source-address any 
user@host# set match destination-address any  
user@host# set match application any 
user@host# set then permit
Resultados

Desde el modo de configuración, ingrese los comandos , show security zones, show security address-book, show security naty show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show interfaces
    ge-0/0/0 {
        unit 0 {
            family inet {
                address 192.168.3.10/24;
            }
        }
    }
        ge-0/0/1 {
            unit 0 {
                family inet {
                    
                    address 3.3.3.10/24;
                }
            }
        }
        ge-0/0/2 {
            unit 0 {
                family inet {
                    
                    address 10.1.1.2/24;
                }
            }
        }
[edit]
user@host# show security zones
security-zone sf-2 {
    interfaces {
        ge-0/0/0.0;
    }
}
    security-zone asia-3 {
        interfaces {
            ge-0/0/1.0;
        }
    }
    security-zone dmz {
        interfaces {
            ge-0/0/2.0;
        }
    }
[edit]
user@host# show security address-book
book1 {
    address sf-gw 192.168.3.201/32;
    attach {
        zone sf-2;
    }
}
    book2 {
        address asia-gw 3.3.3.101/32;
        attach {
            zone asia-3;
        }
    }
    book3 {
        address west-ca 10.1.1.101/32;
        attach {
            zone dmz;
        }
    }
[edit]
user@host# show security nat
source {
    
    pool ip-phone-pool {
        address {
            3.3.3.20/32;
        }
    }
    
    rule-set phones {
        from zone sf-2;
        to zone asia-3;
        rule phone1 {
            match {
                source-address 192.168.3.10/32;
                destination-address 3.3.3.101/32;
            }
            then {
                source-nat {
                    pool {
                        ip-phone-pool;
                    }
                }
            }
        }
    }
}
    static {
        rule-set to-callagent {
            from zone asia-3;
            rule phone1 {
                match {
                    destination-address 3.3.3.101/32;
                }
                then {
                    static-nat prefix 10.1.1.101/32;
                }
            }
        }
    }
    proxy-arp {
        
        interface ge-0/0/1.0 {
            address {
                3.3.3.101/32;
                3.3.3.20/32;
            }
        }
    }
[edit]
user@host# show security policies
from-zone dmz to-zone asia-3 {
    policy pol-dmz-to-asia-3 {
        match {
            source-address west-ca;
            destination-address asia-gw;
            application junos-mgcp;
        }
        then {
            permit;
        }
    }
    }
    from-zone asia-3 to-zone dmz {
        policy pol-asia-3-to-dmz {
            match {
                source-address asia-gw;
                destination-address west-ca;
                application junos-mgcp;
            }
            then {
                permit;
            }
        }
    }
    from-zone sf-2 to-zone dmz {
        policy pol-sf-2-to-dmz {
            match {
                source-address sf-gw;
                destination-address west-ca;
                application junos-mgcp;
            }
            then {
                permit;
            }
        }
    }
    from-zone dmz to-zone sf-2 {
        policy pol-dmz-to-sf-2 {
            match {
                source-address west-ca;
                destination-address sf-gw;
                application junos-mgcp;
            }
            then {
                permit;
            }
        }
    }
    from-zone sf-2 to-zone asia-3 {
        policy pol-sf-2-to-asia-3 {
            match {
                source-address sf-gw;
                destination-address asia-gw;
                application junos-mgcp;
            }
            then {
                permit;
            }
        }
    }
    from-zone asia-3 to-zone sf-2 {
        policy pol-asia-3-to-sf-2 {
            match {
                source-address asia-gw;
                destination-address sf-gw;
                application junos-mgcp;
            }
            then {
                permit;
            }
        }
    }
    from-zone sf-2 to-zone sf-2 {
        policy pol-intra-sf-2 {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone asia-3 to-zone asia-3 {
        policy pol-intra-asia-3 {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar MGCP ALG

Propósito

Compruebe si MGCP ALG está habilitado.

Acción

Desde el modo operativo, ingrese el show security alg status | match mgcp comando.

content_copy zoom_out_map
user@host> show security alg status | match mgcp
content_copy zoom_out_map
MGCP     : Enabled
Significado

El resultado muestra el estado de MGCPALG de la siguiente manera:

  • Habilitado (Enabled): muestra que MGCP ALG está habilitado.

  • Deshabilitado(Deshabilitado): muestra que MGCP ALG está deshabilitado.

Verificar las llamadas de MGCP

Propósito

Compruebe las llamadas MGCP que están activas actualmente.

Acción

Desde el modo operativo, ingrese el show security alg mgcp calls comando.

content_copy zoom_out_map
user@host> show security alg mgcp calls
content_copy zoom_out_map
Endpoint@GW                    Zone         Call ID                   RM Group
d001@101.50.10.1               Trust        10d55b81140e0f76          512
   Connection Id> 0
   Local SDP>  o: 101.50.10.1                x_o: 101.50.10.1
               c: 101.50.10.1/32206          x_c: 101.50.10.1/32206
   Remote SDP> c: 3.3.3.5/16928              x_c: 3.3.3.5/16928
Endpoint@GW                    Zone         Call ID                   RM Group
d001@3.3.3.5                   Untrust      3a104e9b41a7c4c9          511
   Connection Id> 0
   Local SDP>  o: 3.3.3.5                    x_o: 3.3.3.5
               c: 3.3.3.5/16928              x_c: 3.3.3.5/16928
   Remote SDP> c: 101.50.10.1/32206          x_c: 101.50.10.1/32206
Significado

El resultado muestra información de todas las llamadas MGCP. Compruebe la siguiente información:

  • Extremo

  • Zona

  • Identificador de llamada

  • Grupo de administrador de recursos

Verificar las estadísticas de MGCP ALG

Propósito

Verifique las estadísticas DE MGCP ALG.

Acción

Desde el modo operativo, ingrese el show security alg mgcp counters comando.

content_copy zoom_out_map
user@host> show security alg mgcp counters
content_copy zoom_out_map
MGCP counters summary:
Packets received             :284
Packets dropped              :0
Message received             :284
Number of connections        :4
Number of active connections :3
Number of calls              :4
Number of active calls       :3
Number of transactions       :121
Number of active transactions:52
Number of re-transmission    :68
MGCP Error Counters:
Unknown-method               :0
Decoding error               :0
Transaction error            :0
Call error                   :0
Connection error             :0
Connection flood drop        :0
Message flood drop           :0
IP resolve error             :0
NAT error                    :0
Resource manager error       :0
MGCP Packet Counters:
CRCX     :4       MDCX     :9       DLCX     :2
AUEP     :1       AUCX     :0       NTFY     :43
RSIP     :79      EPCF     :0       RQNT     :51
000-199  :0       200-299  :95      300-999  :0
Significado

El resultado muestra información de todos los contadores MGCP. Compruebe la siguiente información:

  • Resumen de contadores de MGCP

  • Contadores de errores de MGCP

  • Contadores de paquetes MGCP

Verificar puntos de conexión de MGCP

Propósito

Verifique los puntos de conexión de MGCP.

Acción

Desde el modo operativo, ingrese el show security alg mgcp endpoints comando.

content_copy zoom_out_map
user@host> show security alg mgcp endpoints
content_copy zoom_out_map
Gateway: 101.50.10.1 Zone: Trust IP: 101.50.10.1 -> 101.50.10.1
   Endpoint             Trans #  Call #   Notified Entity
   d001                 1        1        0.0.0.0/0->0.0.0.0/0
Gateway: 3.3.3.5 Zone: Untrust IP: 3.3.3.5 -> 3.3.3.5
   Endpoint             Trans #  Call #   Notified Entity
   d001                 1        1        0.0.0.0/0->0.0.0.0/0
Significado

El resultado muestra información de todos los puntos de conexión de MGCP. Compruebe la siguiente información:

  • Dirección IP de puerta de enlace y zona de ambos puntos de conexión

  • Identificador de punto de conexión, número de transacción, número de llamada y entidad notificada para cada puerta de enlace

Ver también

Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG

La función de duración de la llamada le da control sobre la actividad de llamada del Protocolo de control de puerta de enlace de medios (MGCP) y le ayuda a administrar los recursos de red.

Por lo general, se enviará un mensaje de eliminación de conexión (DLCX) para eliminar una conexión. La puerta de enlace de capa de aplicación MCGP (ALG) la intercepta y elimina todas las sesiones de medios para esa conexión.

Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dos sesiones (o dos flujos de medios), una para el tráfico del Protocolo de transporte en tiempo real (RTP) y otra para la señalización del Protocolo de control en tiempo real (RTCP). Al administrar las sesiones, el dispositivo considera las sesiones de cada canal de voz como un solo grupo. La configuración de tiempo de espera y duración de llamada se aplica a un grupo en lugar de a cada sesión.

Los siguientes parámetros gobiernan la actividad de llamada de MGCP:

  • maximum-call-duration— Este parámetro establece la longitud máxima absoluta de una llamada. Cuando una llamada supera esta configuración de parámetro, MGCP ALG desgarra la llamada y libera las sesiones de medios. La configuración predeterminada es de 720 minutos y el intervalo es de 3 a 720 minutos. Esta configuración también libera el ancho de banda en los casos en que las llamadas no terminan correctamente.

  • inactive-media-timeout— Este parámetro indica el tiempo máximo (en segundos) que una llamada puede permanecer activa sin tráfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, las puertas MGCP ALG abiertas para los medios se cierran. La configuración predeterminada es de 120 segundos y el intervalo es de 10 a 2550 segundos. Tenga en cuenta que tras el tiempo de espera, aunque se eliminan los recursos para medios (sesiones y pinholes), la llamada no termina.

    Nota:

    El inactive-media-timeout valor debe ser menor que el maximum-call-duration valor.

  • transaction-timeout— Una transacción es un comando y su respuesta obligatoria. Por ejemplo, un NTFY desde la puerta de enlace al agente de llamada o un 200 OK del agente de llamada a la puerta de enlace. El dispositivo Juniper Networks rastrea estas transacciones y las despeda cuando están fuera de tiempo. El intervalo de tiempo de espera para las transacciones de MGCP es de 3 a 50 segundos y el valor predeterminado es de 30 segundos.

Ejemplo: Configuración de la duración de la llamada MGCP ALG

En este ejemplo, se muestra cómo establecer la duración de la llamada para MGCP ALG.

Requisitos

Antes de comenzar, determine el tipo de parámetro utilizado para controlar la actividad de llamada de MGCP y administrar sus recursos de red. Consulte Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG.

Visión general

El maximum-call-duration parámetro controla la actividad de llamada de MGCP y establece la longitud máxima absoluta de una llamada. Cuando una llamada supera esta configuración de parámetro, MGCP ALG desgarra la llamada y libera las sesiones de medios. La configuración predeterminada es de 720 minutos y el intervalo es de 3 a 720 minutos. Esta configuración también libera el ancho de banda en los casos en que las llamadas no terminan correctamente. En este ejemplo, la duración de la llamada se establece en 600 minutos.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para establecer la duración de la llamada para MGCP ALG:

  1. Seleccione Configure >Security >ALG.

  2. Seleccione la MGCP pestaña.

  3. En el cuadro Duración máxima de la llamada, escriba 600.

  4. Haga clic OK para comprobar la configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, haga clic en Commit Options >Commit.

Procedimiento paso a paso

Para establecer la duración de la llamada para MGCP ALG:

  1. Configure la duración de la llamada MGCP ALG.

    content_copy zoom_out_map
    [edit]
user@host# set security alg mgcp maximum-call-duration 600

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

    content_copy zoom_out_map
    [edit]
user@host# commit

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.

Ejemplo: Establecer tiempo de espera de medios inactivos MGCP ALG

En este ejemplo, se muestra cómo establecer el valor de tiempo de espera de medios inactivo para MGCP ALG.

Requisitos

Antes de comenzar, determine el tipo de parámetro utilizado para controlar la actividad de llamada de MGCP y administrar sus recursos de red. Consulte Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG.

Visión general

El inactive-media-timeout parámetro controla la actividad de llamada de MGCP e indica la duración máxima de tiempo (en segundos) que una llamada puede permanecer activa sin ningún medio (RTP o RTCP) tráfico dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, las puertas MGCP ALG abiertas para los medios se cierran. La configuración predeterminada es de 120 segundos y el intervalo es de 10 a 2550 segundos. Tenga en cuenta que tras el tiempo de espera, aunque se eliminan los recursos para medios (sesiones y pinholes), la llamada no termina. En este ejemplo, el tiempo de espera del medio inactivo se establece en 90 segundos.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para establecer el tiempo de espera de medios inactivos para MGCP ALG:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la MGCP pestaña.

  3. En el tiempo de espera del medio inactivo, escriba 90.

  4. Haga clic OK para comprobar la configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para establecer el tiempo de espera de medios inactivos para MGCP ALG:

  1. Configure el tiempo de espera de medios inactivos MGCP ALG.

    content_copy zoom_out_map
    [edit]
user@host# set security alg mgcp inactive-media-timeout 90

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

    content_copy zoom_out_map
    [edit]
user@host# commit

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.

Ejemplo: Establecer tiempo de espera de transacción MGCP ALG

En este ejemplo, se muestra cómo establecer el tiempo de espera de la transacción para MGCP ALG.

Requisitos

Antes de comenzar, determine el tipo de parámetro utilizado para controlar la actividad de llamada de MGCP y administrar sus recursos de red. Consulte Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG.

Visión general

El transaction-timeout parámetro controla la actividad de llamada de MGCP y es un mensaje de señalización; por ejemplo, un NTFY desde la puerta de enlace al agente de llamada o un OK 200 del agente de llamada a la puerta de enlace. El dispositivo de Juniper Networks rastrea estas transacciones y las borra cuando están fuera de tiempo. El intervalo de tiempo de espera para las transacciones de MGCP es de 3 a 50 segundos, y el valor predeterminado es de 30 segundos. En este ejemplo, el tiempo de espera de la transacción se establece en 20 segundos.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para establecer el tiempo de espera de la transacción para MGCP ALG:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la MGCP pestaña.

  3. En el tiempo de espera de transacciones, escriba 20.

  4. Haga clic OK para comprobar la configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para establecer el tiempo de espera de la transacción para MGCP ALG:

  1. Configure el valor de tiempo de espera de transacción MGCP ALG.

    content_copy zoom_out_map
    [edit]
user@host# set security alg mgcp transaction-timeout 20

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

    content_copy zoom_out_map
    [edit]
user@host# commit

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.

Ejemplo: Configurar la protección contra ataques MGCP ALG DoS

En este ejemplo, se muestra cómo configurar la protección contra inundación de conexión para MGCP ALG.

Requisitos

Antes de comenzar, determine si proteger la puerta de enlace de medios MGCP de ataques de inundación DoS.

Visión general

Puede proteger la puerta de enlace de medios del Protocolo de control de puerta de enlace de medios (MGCP) de ataques de inundación de denegación de servicio (DoS) limitando la cantidad de mensajes y conexiones del servicio de acceso remoto (RAS) por segundo que intentará procesar.

Cuando configure la protección contra inundación de mensajes mgCP, la puerta de enlace de capa de aplicación (ALG) mgcp elimina cualquier mensaje que supere el umbral establecido. El intervalo es de 2 a 50 000 mensajes por segundo por puerta de enlace de medios y el valor predeterminado es de 1000 mensajes por segundo por puerta de enlace de medios.

Cuando configure la protección contra inundación de conexión MGCP, MGCP ALG elimina cualquier solicitud de conexión que supere el umbral establecido. Esto limita la velocidad de procesamiento de CreateConnection (CRCX) comandos, lo que limita indirectamente la creación de agujeros de pin. El intervalo es de 2 a 10 000 solicitudes de conexión por segundo por puerta de enlace de medios, el valor predeterminado es 200.

En este ejemplo, configure MGCP ALG para que elimine cualquier solicitud de mensaje que supere las 10 000 solicitudes por segundo y que elimine las solicitudes de conexión que superen los 4000 por segundo.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar la protección contra inundación de conexión para MGCP ALG:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la MGCP pestaña.

  3. En el cuadro Umbral del guardián de la puerta de entrada de inundación del mensaje, escriba 10000.

  4. En el cuadro Umbral de inundación de conexión, escriba 4000.

  5. Haga clic OK para comprobar la configuración y guardarla como configuración candidata.

  6. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para configurar la protección contra inundación de conexión para MGCP ALG:

  1. Configure el valor del umbral de inundación de conexión.

    content_copy zoom_out_map
    [edit]
user@host# set security alg mgcp application-screen message-flood threshold 10000
user@host# set security alg mgcp application-screen connection-flood threshold 4000

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

    content_copy zoom_out_map
    [edit]
user@host# commit

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.

Ejemplo: Permitir tipos de mensajes ALG MGCP desconocidos

En este ejemplo, se muestra cómo configurar MGCP ALG para permitir tipos de mensajes MGCP desconocidos tanto en modo TDR como en modo de ruta.

Requisitos

Antes de comenzar, determine si desea adaptar los tipos de mensajes MGCP nuevos y desconocidos para el dispositivo.

Visión general

Para adaptarse al desarrollo en marcha del Protocolo de control de puerta de enlace de medios (MGCP), es posible que desee permitir tráfico que contenga nuevos tipos de mensajes MGCP. La función de tipo de mensaje MGCP desconocido le permite configurar el dispositivo de Juniper Networks para que acepte tráfico MGCP que contiene tipos de mensajes desconocidos tanto en el modo de traducción de direcciones de red (TDR) como en el modo de ruta.

Esta función le permite especificar cómo los mensajes MGCP no identificados son gestionados por el dispositivo de Juniper Networks. El valor predeterminado es soltar mensajes desconocidos (no compatibles). Los mensajes desconocidos pueden comprometer la seguridad. Sin embargo, en un entorno de prueba o producción seguro, este comando puede ser útil para resolver problemas de interoperabilidad con equipos de proveedores dispares. Permitir mensajes de MGCP desconocidos puede ayudarlo a que su red funcione para que luego pueda analizar su tráfico de voz sobre IP (VoIP) para determinar por qué se estaban perdiendo algunos mensajes.

Tenga en cuenta que este comando solo se aplica a los paquetes recibidos identificados como paquetes de VoIP compatibles. Si no se puede identificar un paquete, siempre se pierde. Si se identifica un paquete como protocolo compatible y ha configurado el dispositivo para permitir tipos de mensaje desconocidos, el mensaje se reenvía sin procesar.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar MGCP ALG para permitir tipos de mensajes desconocidos:

  1. Seleccione Configure>Security>ALG.

  2. Seleccione la MGCP pestaña.

  3. Active la casilla de Enable Permit NAT applied verificación.

  4. Active la casilla de Enable Permit routed verificación.

  5. Haga clic OK para comprobar la configuración y guardarla como configuración candidata.

  6. Si ha terminado de configurar el dispositivo, haga clic en Commit Options>Commit.

Procedimiento paso a paso

Para configurar MGCP ALG para permitir tipos de mensajes desconocidos:

  1. Permitir que los tipos de mensajes desconocidos pasen si la sesión está en modo TDR o en modo de ruta.

    content_copy zoom_out_map
    [edit]
user@host# set security alg mgcp application-screen unknown-message permit-nat-applied permit-routed

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

    content_copy zoom_out_map
    [edit]
user@host# commit

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.

Documentación relacionada

arrow_backward PREVIOUS H.323 ALG
NEXT arrow_forward SCCP ALG
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top