ALG 機能が無効になっている場合 (最終的に H323 トラフィック検査機能が無効になっている場合)、H323 トラフィックを NAT できますか。それとも、そのようなトラフィックを NAT するにはその機能が必要ですか。
答え1
いいえ、必要ありません。実際、昨年、Polycom HDX ユニットを NAT 経由で適切に動作させるために、これを無効にする必要がありました。追加の高ポートを開く必要があるため、私の意見では少し手間がかかりますが、それでもです。ただし、以下の KB 記事のような問題が発生しない限り、オンにしておくことをお勧めします。または、H323 トラフィックで使用される実際のポートを開くという方法もあります (組み込みの H323 サービスを使用するのではなく、必要に応じて高ポートを開いたカスタム サービスを作成します)。
実際に、これについて説明している Juniper KB の記事があります。
概要: SIP、H.323、RTSP 接続が機能せず、Trust Interface が NAT モード (インターフェイス ベースの NAT) で構成されている
問題または目標: 環境:
SIP
H.323
RTSP
インターフェイス ベース NAT が設定されている場合、SIP、H.323、または RTSP を使用するアプリケーションは正常に動作しません。ALG はペイロード内の IP を適切に変換しません。
解決:
これらの VoIP アプリケーションは、ポリシー ベースの NAT を使用している場合にのみ適切に機能します。これは IPSec VPN にも影響します。
この問題を解決するには、SIP、H.323、および RTSP トラフィックが通過するポリシーでポリシーベースの NAT (ポリシー内のソース ネットワーク アドレス変換) を使用することを強くお勧めします。通常、ポリシーベースの NAT を使用すると、信頼インターフェイスまたはソース インターフェイスがルート モードに変更され、すべてのポリシー (NAT する必要がある) がポリシーベースの NAT を使用するように設定されます。ただし、ポリシーで NAT が有効になっているポリシーを SIP、H.323 が通過する限り、信頼インターフェイスまたはソース インターフェイスが NAT モードのままでも問題ありません。