Müssen Sie ALG-Funktionen aktivieren, um H323-Verkehr auf einer Juniper-Firewall zu NATen?

Question

Nein, das ist nicht notwendig. Tatsächlich musste ich es letztes Jahr deaktivieren, damit einige Polycom HDX-Geräte über NAT richtig funktionierten. Meiner Meinung nach macht es etwas mehr Arbeit, da Sie zusätzliche hohe Ports öffnen müssen, aber trotzdem. Es wird jedoch empfohlen, es eingeschaltet zu lassen, es sei denn, Sie haben Probleme wie im KB-Artikel unten. ODER die Alternative besteht darin, die tatsächlichen Ports zu öffnen, die von Ihrem H323-Verkehr verwendet werden (nicht mit dem integrierten H323-Dienst, sondern durch Erstellen eines benutzerdefinierten Dienstes mit offenen und erforderlichen hohen Ports).

Es gibt tatsächlich einen KB-Artikel von Juniper, der es beschreibt:

http://kb.juniper.net/InfoCenter/index?page=content&id=KB7407&actp=search&viewlocale=en_US&searchid=1379081132614

Zusammenfassung: SIP-, H.323- und RTSP-Verbindungen funktionieren nicht und Trust Interface ist im NAT-Modus (schnittstellenbasiertes NAT) konfiguriert.

Problem oder Ziel: Umgebung:

SIP
H.323
RTSP

Alle Anwendungen, die SIP, H.323 oder RTSP verwenden, funktionieren nicht ordnungsgemäß, wenn Interface Based NAT konfiguriert ist. Das ALG übersetzt die IP in der Nutzlast nicht richtig.

Lösung:

Diese VoIP-Anwendungen funktionieren nur dann ordnungsgemäß, wenn NAT auf Richtlinienbasis verwendet wird. Dies betrifft auch IPSec-VPNs.

Um dieses Problem zu beheben, wird dringend empfohlen, richtlinienbasiertes NAT (Source Network Address Translation innerhalb der Richtlinie) für die Richtlinien zu verwenden, durch die der SIP-, H.323- und RTSP-Verkehr läuft. Wenn richtlinienbasiertes NAT verwendet wird, wird die Trust- oder Quellschnittstelle normalerweise in den Routenmodus geändert und alle Richtlinien (die NAT-fähig sein müssen) werden für die Verwendung von richtlinienbasiertem NAT konfiguriert. Es ist jedoch in Ordnung, wenn die Trust- oder Quellschnittstelle weiterhin im NAT-Modus bleibt, solange SIP und H.323 eine Richtlinie durchlaufen, für die NAT aktiviert ist.

Answer 1

Nein, das ist nicht notwendig. Tatsächlich musste ich es letztes Jahr deaktivieren, damit einige Polycom HDX-Geräte über NAT richtig funktionierten. Meiner Meinung nach macht es etwas mehr Arbeit, da Sie zusätzliche hohe Ports öffnen müssen, aber trotzdem. Es wird jedoch empfohlen, es eingeschaltet zu lassen, es sei denn, Sie haben Probleme wie im KB-Artikel unten. ODER die Alternative besteht darin, die tatsächlichen Ports zu öffnen, die von Ihrem H323-Verkehr verwendet werden (nicht mit dem integrierten H323-Dienst, sondern durch Erstellen eines benutzerdefinierten Dienstes mit offenen und erforderlichen hohen Ports).

Es gibt tatsächlich einen KB-Artikel von Juniper, der es beschreibt:

http://kb.juniper.net/InfoCenter/index?page=content&id=KB7407&actp=search&viewlocale=en_US&searchid=1379081132614

Zusammenfassung: SIP-, H.323- und RTSP-Verbindungen funktionieren nicht und Trust Interface ist im NAT-Modus (schnittstellenbasiertes NAT) konfiguriert.

Problem oder Ziel: Umgebung:

SIP
H.323
RTSP

Alle Anwendungen, die SIP, H.323 oder RTSP verwenden, funktionieren nicht ordnungsgemäß, wenn Interface Based NAT konfiguriert ist. Das ALG übersetzt die IP in der Nutzlast nicht richtig.

Lösung:

Diese VoIP-Anwendungen funktionieren nur dann ordnungsgemäß, wenn NAT auf Richtlinienbasis verwendet wird. Dies betrifft auch IPSec-VPNs.

Um dieses Problem zu beheben, wird dringend empfohlen, richtlinienbasiertes NAT (Source Network Address Translation innerhalb der Richtlinie) für die Richtlinien zu verwenden, durch die der SIP-, H.323- und RTSP-Verkehr läuft. Wenn richtlinienbasiertes NAT verwendet wird, wird die Trust- oder Quellschnittstelle normalerweise in den Routenmodus geändert und alle Richtlinien (die NAT-fähig sein müssen) werden für die Verwendung von richtlinienbasiertem NAT konfiguriert. Es ist jedoch in Ordnung, wenn die Trust- oder Quellschnittstelle weiterhin im NAT-Modus bleibt, solange SIP und H.323 eine Richtlinie durchlaufen, für die NAT aktiviert ist.

Müssen Sie ALG-Funktionen aktivieren, um H323-Verkehr auf einer Juniper-Firewall zu NATen?

Antwort1

verwandte Informationen