SCCP ALG
Протокол управления клиентом Skinny Client Control Protocol (SCCP) — это простой и легкий протокол, требующий относительно небольшой обработки компьютера. Клиенты SCCP используют TCP/IP для связи с приложениями менеджера по работе с вызовами в кластере.
Понимание algs SCCP
Протокол SCCP — это проприетарный протокол Cisco для сигнализации вызовов. Skinny основан на архитектуре управления вызовами на основе абонентов. В протоколе управления используются бинарные кодированные кадры, закодированные на кадрах TCP, отправленных в известные пункты назначения портов TCP для настройки и сноса медиасеть RTP.
Протокол SCCP так же, как и другие протоколы управления вызовами, ведет переговоры о параметрах конечных точек мультимедиа, в частности о номере порта в реальном времени (RTP) и IP-адресе расторжения мультимедийных сетей, путем встраивания информации в пакеты управления. Шлюз уровня приложений SCCP (ALG) анализирует эти пакеты управления и упрощает передачу пакетов мультимедиа и контроля через систему.
SCCP ALG также обеспечивает ограничение скорости звонков и помогает защитить критически важные ресурсы от перегрузки и атак типа «отказ в обслуживании» (DoS).
SCCP ALG внедряет следующие функции в ОС Junos:
Проверка единиц данных протокола SCCP
Перевод встроенных IP-адресов и номеров портов
Распределение ресурсов межсетевого экрана (пинхолы и ворота) для передачи мультимедиа
Вызревание из праздных звонков
API конфигурации для параметров SCCP ALG
API в рабочем режиме для отображения счетчиков, статуса и статистики
В архитектуре SCCP большую часть обработки выполняет прокси-сервер, известный как Call Manager. IP-телефоны, также называемые Конечными станциями, управляют клиентом SCCP и подключаются к первичному (и, при наличии, дополнительному) диспетчеру по телефону по TCP в порту 2000 года и зарегистрируйтесь у главного диспетчера по работе с вызовами. Это подключение затем используется для создания звонков, поступающих в клиент или из них.
SCCP ALG поддерживает следующее:
Поток вызовов из SCCP-клиента через диспетчера вызовов к другому клиенту SCCP.
Бесперебойное аварийное переключение — коммутаторы во всех процессах вызовов в резервный межсетевой экран во время сбоя первичной сети.
Проверка полезной нагрузки по протоколу VoIP(VoIP) — полностью проверяет полезную нагрузку входящих пакетов voIP-сигналов. Любая пороковая атака пакетов блокируется ALG.
Проверка полезной нагрузки по технологии SCCP. Полностью проверяет полезную нагрузку входящих пакетов сигнализации SCCP. Любая атака с поврежденным пакетом блокируется ALG.
Обработка с функцией ведения базы данных— использует соответствующие государственные машины на базе VoIP для обработки разбора информации. Выявляется и обрабатывается любой пакет, который находится вне состояния или вне транзакций.
Преобразование сетевых адресов (NAT) — перевод любой встроенной информации о IP-адресе и порту в полезную нагрузку на основе существующей информации о маршрутизации и топологии сети с переведенным IP-адресом и номером порта, если это необходимо.
Создание и управление pinhole для voIP-трафика — выявление IP-адресов и информации о портах, используемой для мультимедиа или сигнализации, а также динамически открытых (и закрытие) пин-скважин для безопасного потока мультимедиа.
Эта тема включает в себя следующие разделы:
- Безопасность SCCP
- Компоненты SCCP
- Операции SCCP
- Версия SCCP
- Сообщения для управления SCCP и поток RTP
- Сообщения о SCCP
Безопасность SCCP
SCCP ALG включает в себя следующие функции безопасности:
Проверка протокола SCCP с отслеживанием состояния сообщений по протоколу TCP и проверка формата сообщения, а также проверка достоверности сообщений для текущего состояния вызовов. Недействительные сообщения сбрасываются.
Применение политик безопасности между IP-телефонами Cisco и Cisco Call Manager.
Защитите от наводнения вызовов по скорости, ограничивающей количество вызовов, обрабатываемых ALG.
Бесперебойное переключение вызовов, в том числе тех, которые развиваются в случае сбоя устройств в кластерном развертывании.
Компоненты SCCP
Основными компонентами архитектуры SCCP VoIP являются следующие:
Клиент SCCP
Клиент SCCP работает по IP-телефону, также называемой Конечной станцией, которая использует SCCP для сигнализации и для совершения звонков. Для того, чтобы клиент SCCP позвонил, он должен сначала зарегистрироваться у главного диспетчера по вызову (и при наличии дополнительного). Связь между клиентом и менеджером по вызову превышает TCP в порту 2000 года. Это соединение затем используется для создания звонков в клиент или из них. Передача мультимедиа происходит через RTP, UDP и IP.
Менеджер по работе с вызовами
Менеджер по работе с вызовами реализует серверное программное обеспечение для управления вызовами SCCP и имеет общий контроль над всеми устройствами и коммуникацией в сети SCCP VoIP. Ее функции включают в себя определение, мониторинг и контроль групп SCCP, регионов чисел и планов маршрутов; обеспечение инициализации, допуска и регистрации устройств в сети; предоставление резервной базы данных, содержащей адреса, номера телефонов и форматы номеров; и инициализации контактов с называемыми устройствами или их агентами для организации логических сеансов, в которых может проходить голосовая связь.
Кластера
Кластер представляет собой набор клиентов SCCP и менеджера по работе с вызовами. Менеджер по работе с вызовами в кластере обнаруживает все клиенты SCCP в кластере. В кластере может быть несколько диспетчеров вызовов для резервного копирования. Поведение менеджера по работе с вызовами варьируется в каждом из следующих кластерных сценариев:
Внутри кластера, в котором менеджер по работе с вызовами обнаруживает каждого клиента SCCP, а звонок проходит между клиентами SCCP в одном кластере.
Меж кластер, в котором диспетчеру вызовов необходимо общаться с другим менеджером по вызову с помощью H.323 для настройки вызовов.
Между кластерными вызовами с помощью привратника для контроля допуска и решения адресов.
Поведение менеджера по работе с вызовами также варьируется в зависимости от звонков между клиентом SCCP и телефоном в общедоступной коммутационной телефонной сети (PSTN), а также с вызовами между клиентом SCCP и телефоном в другом административном домене, который использует H.323.
Операции SCCP
Транзакции SCCP — это процессы, которые должны происходить для продолжения вызова SCCP. Операции SCCP включают в себя следующие процессы:
Инициализация клиента
Для инициализации клиенту SCCP необходимо определить IP-адрес диспетчера вызовов, собственный IP-адрес и другую информацию о IP-шлюзе и серверах DNS. Инициализация происходит на локальной локальной сети. Клиент отправляет запрос на управление динамическим хостом (DHCP) для получения IP-адреса, адреса сервера DNS, а также имени и адреса сервера TFTP. Клиенту требуется имя сервера TFTP для загрузки файла конфигурации под названием sepmacaddr.cnf. Если имя TFTP не уделено, клиент использует имя файла по умолчанию в IP-телефоне. Затем клиент загружает файл конфигурации .cnf (xml) с сервера TFTP. Файлы CNF содержат IP-адрес или адреса главного и дополнительного менеджера по работе с абонентами Cisco. Благодаря этой информации клиент обращается к диспетчеру по телефону для регистрации.
Регистрация клиента
Клиент SCCP после инициализации регистрируется у диспетчера по телефону в связи с TCP в хорошо известном порту по умолчанию 2000 года. Клиент регистрируется, предоставляя Диспетчеру по телефону IP-адрес, MAC-адрес телефона и другую информацию, такую как протокол и версия. Клиент не может инициировать или принимать вызовы до момента его регистрации. Держать сообщения держать это соединение TCP открытым между клиентом и менеджером по работе с вызовами, так что клиент может инициировать или получать звонки в любое время, при условии, что политика на устройстве позволяет это.
Настройка вызовов
Настройка ip-телефонии и IP-телефонии с помощью SCCP всегда выполняется менеджером по работе с вызовами. Сообщения для настройки вызовов отправляется диспетчеру по телефону, который возвращает сообщения, соответствующие статусу звонка. В случае успешной настройки вызовов и политики на устройстве, позволяющей позвонить, менеджер по вызову отправляет клиенту сообщения о настройке мультимедийных сетей.
Настройка мультимедиа
Менеджер по вызову отправляет абоненту IP-адрес и номер порта вызываемой стороны. Менеджер по вызову также отправляет ip-адрес мультимедийного и портового номера звонящей стороны в названную сторону. После настройки мультимедиа мультимедиа передается непосредственно между клиентами. Когда звонок заканчивается, диспетчеру вызовов предоставляется информация, и он прекращает потоки мультимедийных сетей. Во время этого процесса диспетчер вызовов не передает клиенту функцию настройки вызовов. Сми передаются непосредственно между клиентами через RTP/UDP/IP.
Версия SCCP
Начиная с версии ОС Junos 12.1X46-D10 и ОС Junos 17.3R1, SCCP ALG поддерживает версии SCCP 16, 17 и 20, а также несколько сообщений SCCP были обновлены с новым форматом. Cisco Call Manager (CM) версии 7 использует SCCP версии 20.
Сообщения для управления SCCP и поток RTP
На рисунке 1 показаны сообщения контроля SCCP, используемые для настройки и сноса простого звонка между телефоном 1 и телефоном 2. За исключением сообщения OffHook, инициировающего звонок от Phone1 и сообщения OnHook, сигнализируя о конце звонка, все аспекты звонка контролируются менеджером по вызову.
Сообщения о SCCP
В таблице 1, таблице 2, таблице 3 и таблице 4 указаны ИДЕНТ-адреса сообщений для CCP с четырьмя интервалами, разрешенными устройством.
#define STATION_REGISTER_MESSAGE |
0x00000001 |
#define STATION_IP_PORT_MESSAGE |
0x00000002 |
#define STATION_ALARM_MESSAGE |
0x00000020 |
#define STATION_OPEN_RECEIVE_CHANNEL_ACK |
0x00000022 |
#define STATION_START_MEDIA_TRANSMISSION |
0x00000001 |
#define STATION_STOP_MEDIA_TRANSMISSION |
0x00000002 |
#define STATION_CALL_INFO_MESSAGE |
0x00000020 |
#define STATION_OPEN_RECEIVE_CHANNEL_ACK |
0x00000022 |
#define STATION_CLOSE_RECEIVE_CHANNEL |
0x00000106 |
#define STATION_REGISTER_TOKEN_REQ_MESSAGE |
0x00000029 |
#define STATION_MEDIA_TRANSMISSION_FAILURE |
0x0000002A |
#define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL_ACK |
0x00000031 |
#define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL |
0x00000131 |
#define STATION_START_MULTIMEDIA_TRANSMISSION |
0x00000132 |
#define STATION_STOP_MULTIMEDIA_TRANSMISSION |
0x00000133 |
#define STATION_CLOSE_MULTIMEDIA_RECEIVE_CHANNEL |
0x00000136 |
Ограничения SCCP ALG
SCCP — это проприетарный протокол Cisco. Таким образом, любые изменения в протоколе Cisco приводят к разрыву реализации SCCP ALG. Однако для обхода строгой расшифровки и изящной обработки любых изменений протокола предусмотрены обходные пути.
Любые изменения политик откажутся от сеансов и повлияют на уже установленные вызовы SCCP.
SCCP ALG открывает пин-скважины, которые разрушаются во время отсутствия трафика или мультимедийной активности. Это означает, что во время временной потери возможностей подключения сеансы мультимедиа не будут повторно реализованы.
Версия 6.x и более поздней версии Call Manager (CM) не поддерживает пакеты зонда TCP в режиме кластера шасси. В результате при аварийном переходе существующие сеансы SCCP прервутся. Вы все еще можете создавать новые сеансы SCCP во время аварийного переключения.
Понимание неактивных мультимедийных таймаутов SCCP ALG
Неактивная функция таймаута мультимедиа помогает сэкономить сетевые ресурсы и максимально увеличить пропускную способность.
Этот параметр указывает на максимальную продолжительность времени (за считаные секунды) звонок может оставаться активным без какого-либо медиа-трафика в группе. Каждый раз, когда пакет протокола RTP или протокола RTCP в режиме реального времени происходит в пределах звонка, этот тайм-аут сбрасывается. Когда период бездействия превышает этот уровень, ворота, открытые протоколом SCCP для мультимедиа, закрыты. Значение настройки по умолчанию составляет 120 секунд, а диапазон — от 10 до 2550 секунд. Обратите внимание, что после тайм-аута, хотя ресурсы для мультимедиа (сеансов и пинхолов) удаляются, звонок не прекращается.
Обзор конфигурации SCCP ALG
Шлюз протокола управления клиентом (SCCP ALG) по умолчанию подключен к устройству— для его включения не требуется никаких действий. Однако вы можете настроить операции SCCP ALG с помощью следующих инструкций:
Экономия сетевых ресурсов и максимальная пропускная способность. Для получения инструкций см. пример: установка неактивных мультимедийных таймаутов SCCP ALG.
Упростите передачу неизвестных сообщений во время сеанса в режиме преобразования сетевых адресов (NAT) и маршруте. Для получения инструкций см. пример: разрешение неизвестных типов сообщений SCCP ALG.
Защитите клиентов SCCP от атак типа «отказ в обслуживании» (DoS). Для получения инструкций см. пример: настройка защиты от атак SCCP ALG DoS.
Пример: определение неактивных мультимедийных таймаутов SCCP ALG
В этом примере показано, как установить неактивную ценность таймаута мультимедиа для SCCP ALG.
Требования
Прежде чем начать, просмотрите параметр, используемый для указания максимального времени (за считаные секунды) звонок может оставаться активным без какого-либо медиа-трафика в группе. Ознакомьтесь с неактивными тайм-аутами для мультимедийных сетей с пониманием SCCP ALG.
Обзор
Каждый раз, когда пакет RTP или RTCP возникает в пределах звонка, этот тайм-аут сбрасывается. Когда период бездействия превышает этот уровень, ворота, открытые SCCP для мультимедиа, закрыты. В этом примере время бездействия мультимедиа определяется 90 секундами.
Конфигурации
Процедуры
Быстрая настройка пользовательского интерфейса
Пошаговая процедура
Чтобы установить неактивный тайм-аут мультимедиа для SCCP ALG:
Выберите конфигурацию>Security>ALG.
Выберите вкладку SCCP .
В окне таймаута неактивного мультимедиа введите
90.Нажмите ОК , чтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата.
Если вы настроены на устройство, нажмите кнопку Commit Options>Commit.
Пошаговая процедура
Чтобы установить неактивный тайм-аут мультимедиа для SCCP ALG:
Настраивайте неактивную ценность мультимедийного таймаута SCCP ALG.
[edit] user@host# set security alg sccp inactive-media-timeout 90
Если настройка устройства завершена, зафиксировать конфигурацию.
[edit] user@host# commit
Проверки
Чтобы проверить правильность работы конфигурации, введите show security alg sccp команду.
Пример: разрешение неизвестных типов сообщений SCCP ALG
На этом примере показано, как настроить SCCP ALG, чтобы разрешить неизвестные типы сообщений SCCP как в режиме NAT, так и в режиме маршрутов.
Требования
Прежде чем начать, определяйте, нужно ли учитывать новые и неизвестные типы сообщений SCCP для устройства.
Обзор
Для адаптации к локальной разработке протокола управления клиентом Skinny Client Control Protocol (SCCP) может потребоваться разрешить трафик, содержащий новые типы сообщений SCCP. Неизвестная функция типа сообщения SCCP позволяет настроить устройство для приема трафика SCCP, содержащего неизвестные типы сообщений, как в режиме преобразования сетевых адресов (NAT), так и в режиме маршрута.
По умолчанию нужно удалить неизвестные (неподдерживаемые) сообщения. Мы не рекомендуем разрешать неизвестные сообщения, поскольку они могут поставить под угрозу безопасность. Однако в безопасной тестовой или производственной среде неизвестная команда типа сообщения SCCP может быть полезна для решения проблем совместимости с разрозненным оборудованием поставщика. Разрешение неизвестных сообщений SCCP может помочь вам получить эксплуатацию сети, чтобы позже вы могли проанализировать трафик голосовой передачи IP (VoIP), чтобы определить, почему некоторые сообщения были удалены.
Обратите внимание, что неизвестная команда типа сообщения SCCP применяется только к полученным пакетам, идентифицированным как поддерживаемые пакеты VoIP. Если пакет не может быть идентифицирован, он всегда сбрасывается. Если пакет идентифицируется как поддерживаемый протокол и вы настроенные устройство, чтобы разрешить неизвестные типы сообщений, сообщение переадресовывается без обработки.
Конфигурации
Процедуры
Быстрая настройка пользовательского интерфейса
Пошаговая процедура
Чтобы настроить SCCP ALG, чтобы разрешить неизвестные типы сообщений:
Выберите конфигурацию>Security>ALG.
Выберите вкладку SCCP .
Выберите чек-флажок Enable Permit NAT .
Выберите флажок с маршрутизатором Enable Permit .
Нажмите ОК , чтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата.
Если вы настроены на устройство, нажмите кнопку Commit Options>Commit.
Пошаговая процедура
Чтобы настроить SCCP ALG, чтобы разрешить неизвестные типы сообщений:
Разрешить передачу неизвестных типов сообщений, если сеанс находится в режиме NAT или в режиме маршрута.
[edit] user@host# set security alg sccp application-screen unknown-message permit-nat-applied permit-routed
Если настройка устройства завершена, зафиксировать конфигурацию.
[edit] user@host# commit
Проверки
Чтобы проверить правильность работы конфигурации, введите show security alg sccp команду.
Пример: настройка защиты от атак SCCP ALG DoS
На этом примере показано, как настроить защиту от наводнений подключения для SCCP ALG.
Требования
Прежде чем начать, определите, стоит ли защищать медиа-шлюз SCCP от атак атак атак doS.
Обзор
Вы можете защитить клиентских шлюзов протокола SCCP ALG от атак типа «отказ в обслуживании» (DoS) благодаря ограничению количества вызовов, которые они пытаются обработать.
Когда вы настраиваете защиту от наводнений по вызову SCCP, SCCP ALG отбрасывает любые вызовы, превышающие установленный порог. Диапазон — от 2 до 1000 звонков в секунду на клиента, по умолчанию — 20.
В этом примере устройство настроено для того, чтобы отказаться от любых звонков, превышающих 500 в секунду на клиента.
Конфигурации
Процедуры
Быстрая настройка пользовательского интерфейса
Пошаговая процедура
Для настройки защиты от наводнений для SCCP ALG:
Выберите конфигурацию>Security>ALG.
Выберите вкладку SCCP .
В окне порога потока вызовов, типа
500.Нажмите ОК , чтобы проверить конфигурацию и сохранить ее в качестве конфигурации кандидата.
Если вы настроены на устройство, нажмите кнопку Commit Options>Commit.
Пошаговая процедура
Для настройки защиты от наводнений для SCCP ALG:
Настройте защиту от атак DoS:
[edit] user@host# set security alg sccp application-screen call-flood threshold 500
Если настройка устройства завершена, зафиксировать конфигурацию.
[edit] user@host# commit
Проверки
Чтобы проверить правильность работы конфигурации, введите show security alg sccp команду.
Пример: настройка диспетчера вызовов SCCP ALG или сервера TFTP в частной зоне
В этом примере показано, как настроить статическую NAT на исходящий интерфейс устройства Juniper Networks, чтобы абоненты, находящиеся в публичной зоне, регистрируются у диспетчера вызовов SCCP ALG или сервера TFTP, расположенного в частной зоне.
Требования
Прежде чем начать, поймите поддержку NAT с помощью SCCP ALG. См . обзор algs SCCP.
Обзор
В этом примере ( см. рисунок 2) одно устройство служит менеджером по работе с вызовами или сервером TFTP. К частной зоне прикреплены сервер call-manager или TFTP и телефон1, а телефон 2 подключен к общедоступной зоне. Вы настраиваете статичный набор правил NAT для сервера Call Manager или TFTP, чтобы при загрузке телефона 2 он связался с сервером TFTP и получил IP-адрес диспетчера вызовов. Затем вы создаете политику под названием in-pol, чтобы разрешить трафик SCCP от общественности до частной зоны и политику, называемую out-pol, чтобы позволить телефону1 звонить.
Мы рекомендуем изменить IP-адрес диспетчера вызовов, который находится в файле конфигурации сервера TFTP (sep <mac_addr>.cnf) на IP-адрес NAT диспетчера по работе с вызовами.
Топологии
На рис. 2 показан менеджер по работе с вызовами или сервер TFTP в частной зоне.
В этом примере вы настраиваете NAT следующим образом:
-
Создайте статичный набор правил NAT, называемый «прокси-сервером», с помощью правила под названием телефон 2 для сопоставления пакетов из общедоступной зоны с адресом назначения 172.16.1.2/32. Для сопоставления пакетов IP-адрес назначения переводится на частный адрес 10.1.1.4/32.
-
Настраивайте прокси-сервер ARP по адресу 172.16.1.2/32 на интерфейс ge-0/0/1.0. Это позволяет системе отвечать на запросы ARP, полученные на интерфейсе для этих адресов.
-
Настройте второй набор правил, называемый телефонами, с помощью правила под названием phone1, чтобы обеспечить NAT интерфейса для связи от телефона1 до телефона2.
Конфигурации
Процедуры
Быстрая настройка командной строки
Чтобы быстро настроить этот раздел примера, копируйте следующие команды, вставьте их в текстовый файл, удаляйте любые перерывы в строке, изменяйте любые детали, необходимые для соответствия конфигурации сети, копируйте и вставьте команды в командную строку на [edit] уровне иерархии, а затем введите commit из режима конфигурации.
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public interfaces ge-0/0/1.0 set security address-book book1 address phone1 10.1.1.3/32 set security address-book book1 address cm-tftp_server 10.1.1.4/32 set security address-book book1 attach zone private set security address-book book2 address phone2 172.16.1.4/32 set security address-book book2 attach zone public set security nat source rule-set phones from zone private set security nat source rule-set phones to zone public set security nat source rule-set phones rule phone1 match source-address 10.1.1.3/32 set security nat source rule-set phones rule phone1 then source-nat interface set security nat static rule-set to-proxy from zone public set security nat static rule-set to-proxy rule phone2 match destination-address 172.16.1.2/32 set security nat static rule-set to-proxy rule phone2 then static-nat prefix 10.1.1.4/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.2/32 set security policies from-zone public to-zone private policy in-pol match source-address phone2 set security policies from-zone public to-zone private policy in-pol match destination-address cm-tftp_server set security policies from-zone public to-zone private policy in-pol match destination-address phone1 set security policies from-zone public to-zone private policy in-pol match application junos-sccp set security policies from-zone public to-zone private policy in-pol then permit set security policies from-zone private to-zone public policy out-pol match source-address any set security policies from-zone private to-zone public policy out-pol match destination-address phone2 set security policies from-zone private to-zone public policy out-pol match application junos-sccp set security policies from-zone private to-zone public policy out-pol then permit set security policies from-zone private to-zone private policy tftp-pol match source-address any set security policies from-zone private to-zone private policy tftp-pol match destination-address any set security policies from-zone private to-zone private policy tftp-pol match application junos-tftp set security policies from-zone private to-zone private policy tftp-pol then permit
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций о том, как это сделать, см. Руководство по интерфейсу пользователя с помощью редактора командной строки в режиме конфигурации.
Для настройки NAT для диспетчера вызовов SCCP ALG или сервера TFTP, расположенного в частной зоне:
-
Настраивайте интерфейсы.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
Создайте зоны безопасности.
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/1.0
-
Создайте адресные книги и приложите к ним зоны.
[edit security address-book book1] user@host# set address phone1 10.1.1.3/32 user@host# set address cm-tftp_server 10.1.1.4/32 user@host# set attach zone private
[edits security address-book book2] user@host# set address phone2 172.16.1.4/32 user@host# set attach zone public
-
Создайте набор правил для статической NAT и назначайте ему правило.
[edit security nat static rule-set to-proxy] user@host# set from zone public user@host# set rule phone2 match destination-address 172.16.1.2/32 user@host# set rule phone2 then static-nat prefix 10.1.1.4/32
-
Настраивайте прокси-сервер ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/1.0 address 172.16.1.2/32
-
Настраивайте NAT-интерфейс для связи с телефоном1 до телефона2.
[edit security nat source rule-set phones] user@host# set from zone private user@host# set to zone public user@host# set rule phone1 match source-address 10.1.1.3/32 user@host# set rule phone1 then source-nat interface
-
Настройка политики, позволяющая передавать трафик из общедоступной зоны в частную зону.
[edit security policies from-zone public to-zone private policy in-pol] user@host# set match source-address phone2 user@host# set match destination-address cm-tftp_server user@host# set match destination-address phone1 user@host# set match application junos-sccp user@host# set then permit
-
Настройка политики, позволяющая передавать трафик из частной зоны в общедоступную зону.
[edit security policies from-zone private to-zone public policy out-pol] user@host# set match source-address any user@host# set match destination-address phone2 user@host# set match application junos-sccp user@host# set then permit
-
Настройка политики для обеспечения трафика от телефона1 до сервера CM/TFTP.
[edit security policies from-zone private to-zone private policy tftp-pol] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-tftp user@host# set then permit
Результаты
Из режима конфигурации подтверждайте конфигурацию, show security natshow security zonesshow security address-bookвступив в show interfacesпункты и show security policies команды. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security address-book
book1 {
address phone1 10.1.1.3/32;
address cm-tftp_server 10.1.1.4/32;
attach {
zone private;
}
}
book2 {
address phone2 172.16.1.4/32;
attach {
zone public;
}
}
[edit]
user@host# show security nat
source {
rule-set phones {
from zone private;
to zone public;
rule phone1 {
match {
source-address 10.1.1.3/32;
}
then {
source-nat {
interface;
}
}
}
}
}
static {
rule-set to-proxy {
from zone public;
rule phone2 {
match {
destination-address 172.16.1.2/32;
}
then {
static-nat prefix 10.1.1.4/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.2/32;
}
}
}
[edit]
user@host# show security policies
from-zone public to-zone private {
policy in-pol {
match {
source-address phone2;
destination-address cm-tftp_server;
destination-address phone1;
application junos-sccp;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy out-pol {
match {
source-address any;
destination-address phone2;
application junos-sccp;
}
then {
permit;
}
}
}
from-zone private to-zone private {
policy tftp-pol {
match {
source-address any;
destination-address any;
application junos-tftp;
}
then {
permit;
}
}
}
Если настройка устройства завершена, введите commit его из режима конфигурации.
Проверки
Чтобы подтвердить правильность работы конфигурации, выполняйте следующие задачи:
- Проверка использования правил NAT источника
- Проверка статической конфигурации NAT
- Проверка SCCP ALG
- Проверка политик безопасности SIP ALG
Проверка использования правил NAT источника
Цель
Убедитесь, что трафик соответствует правилу NAT источника.
Действий
Из эксплуатационного режима введите show security nat source rule all команду.
user@host> show security nat source rule all
Total rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 3/0
source NAT rule: phone1 Rule-set: phones
Rule-Id : 3
Rule position : 2
From zone : private
To zone : public
Match
Source addresses : 10.1.1.3 - 10.1.1.3
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Смысл
Поле Translation hits показывает, что трафик не соответствует правилу NAT источника.
Проверка статической конфигурации NAT
Цель
Убедитесь, что трафик соответствует статическому набору правил NAT.
Действий
Из эксплуатационного режима введите show security nat static rule phone2 команду.
user@host> show security nat static rule phone2
Static NAT rule: phone2 Rule-set: to-proxy Rule-Id : 1 Rule position : 1 From zone : public Destination addresses : 172.16.1.2 Host addresses : 10.1.1.4 Netmask : 32 Host routing-instance : N/A Translation hits : 0
Смысл
На Translation hits поле видно, что трафик не соответствует набору правил NAT источника.
Проверка SCCP ALG
Цель
Убедитесь в возможности SCCP ALG.
Действий
Из эксплуатационного режима введите show security alg status | match sccp команду.
user@host> show security alg status | match sccp
SCCP : Enabled
Смысл
На выходе показан статус SCCP ALG следующим образом:
-
Включено— отображается поддержка SCCP ALG.
-
Инвалид: показывает, что SCCP ALG отключен.
Проверка политик безопасности SIP ALG
Цель
Убедитесь в том, что статическая NAT между общедоступной зоной и частной зоной установлена.
Действий
Из эксплуатационного режима введите show security policies команду.
user@host> show security policies
from-zone private to-zone public {
policy out-pol {
match {
source-address any;
destination-address phone2;
application junos-sccp;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy in-pol {
match {
source-address phone2;
destination-address [ cm-tftp_server phone1 ];
application junos-sccp;
}
then {
permit;
}
}
}
from-zone private to-zone private {
policy tftp-pol {
match {
source-address any;
destination-address any;
application junos-tftp;
}
then {
permit;
}
}
}
Смысл
Выход образца показывает, что установлена статическая NAT между общедоступными зонами и частной зоной.
Проверка конфигураций SCCP ALG
- Проверка SCCP ALG
- Проверка вызовов SCCP ALG
- Проверка данных телефонов SCCP ALG
- Проверка счетчиков SCCP ALG
Проверка SCCP ALG
Цель
Отображение вариантов проверки SCCP.
Действий
С командной строки введите show security alg sccp команду.
user@host> show security alg sccp ? Possible completions: calls Show SCCP calls counters Show SCCP counters
Смысл
На выходе показан список всех параметров проверки SCCP. Проверить следующую информацию:
Все вызовы SCCP
Счетчики для всех вызовов SCCP
См. также
Проверка вызовов SCCP ALG
Цель
Отобразить список всех вызовов SCCP
Действий
С командной строки введите show security alg sccp calls команду.
user@host> show security alg sccp calls Possible completions: calls Show SCCP calls counters Show SCCP counters endpoints Show SCCP endpoints
Смысл
На выходе показан список всех параметров проверки SCCP. Проверить следующую информацию:
Все вызовы SCCP
Счетчики для всех SCCP c alls
Информация обо всех конечных точках SCCP
Проверка данных телефонов SCCP ALG
Цель
Отображать подробную информацию обо всех вызовах SCCP.
Действий
С командной строки введите show security alg sccp calls detail команду.
user@host> show security alg sccp calls detail
Client IP address: 11.0.102.91
Client zone: 7
Call Manager IP: 13.0.99.226
Conference ID: 16789504
Resource manager group: 2048
SCCP channel information:
Media transmit channel address (IP address/Port): 0.0.0.0:0
Media transmit channel translated address (IP address/Port): 0.0.0.0:0
Media transmit channel pass-through party ID (PPID): 0
Media transmit channel resource ID: 0
Media receive channel address (IP address/Port): 11.0.102.91:20060
Media receive channel translated address (IP address/Port): 25.0.0.1:1032
Media receive channel pass-through party ID (PPID): 16934451
Media receive channel resource ID: 8185
Multimedia transmit channel address (IP address/Port): 0.0.0.0:0
Multimedia transmit channel translated address (IP address/Port): 0.0.0.0:0
Multimedia transmit channel pass-through party ID (PPID): 0
Multimedia transmit channel resource ID: 0
Multimedia receive channel address (IP address/Port): 0.0.0.0:0
Multimedia receive channel translated address (IP address/Port): 0.0.0.0:0
Multimedia receive channel pass-through party ID (PPID): 0
Multimedia receive channel resource ID: 0
Total number of calls = 1
Смысл
На выходе показан список всех параметров проверки SCCP. Проверить следующую информацию:
Клиентский пояс
IP-адрес диспетчера по телефону: 13.0.99.226
ID-адреса конференции
Группа менеджеров ресурсов
Информация о канале SCCP
Общее количество звонков
Проверка счетчиков SCCP ALG
Цель
Отобразить список всех счетчиков SCCP
Действий
Из интерфейса J-Web выберите monitor>ALGs>SCCP>Counters. В качестве альтернативы, от командной строки, введите show security alg sccp counters команду.
user@host> show security alg sccp ounters SCCP call statistics: Active client sessions : 0 Active calls : 0 Total calls : 0 Packets received : 0 PDUs processed : 0 Current call rate : 0 Error counters: Packets dropped : 0 Decode errors : 0 Protocol errors : 0 Address translation errors : 0 Policy lookup errors : 0 Unknown PDUs : 0 Maximum calls exceeded : 0 Maximum call rate exceeded : 0 Initialization errors : 0 Internal errors : 0 Nonspecific error : 0 No active calls to delete : 0 No active client sessions to delete : 0 Session cookie create errors : 0 Invalid NAT cookie detected : 0
Смысл
На выходе показан список всех параметров проверки SCCP. Проверить следующую информацию:
Статистика вызовов SCCP
Счетчики ошибок