Juniper 방화벽에서 H323 트래픽을 NAT하려면 ALG 기능을 활성화해야 합니까?

Juniper 방화벽에서 H323 트래픽을 NAT하려면 ALG 기능을 활성화해야 합니까?

ALG 기능이 비활성화된 경우(H323 트래픽 검사 기능이 궁극적으로 비활성화된 경우) H323 트래픽을 NAT할 수 있습니까? 아니면 그러한 트래픽을 NAT하려면 해당 기능이 필요합니까?

답변1

아니요, 그럴 필요는 없습니다. 사실 저는 일부 Polycom HDX 장치가 NAT를 통해 제대로 작동하도록 하기 위해 작년에 이 기능을 비활성화해야 했습니다. 추가로 높은 포트를 열어야 하기 때문에 IMO 작업이 좀 더 많아지지만 여전히 그렇습니다. 하지만 아래 KB 문서와 같은 문제가 발생하지 않는 한 계속 켜 두는 것이 좋습니다. 또는 대안은 H323 트래픽에 사용되는 실제 포트를 여는 것입니다(내장된 H323 서비스를 사용하지 않고 필요에 따라 높은 포트가 열려 있는 사용자 정의 서비스를 생성하여).

실제로 이를 설명하는 Juniper KB 기사가 있습니다.

http://kb.juniper.net/InfoCenter/index?page=content&id=KB7407&actp=search&viewlocale=en_US&searchid=1379081132614

요약: SIP, H.323, RTSP 연결이 작동하지 않고 신뢰 인터페이스가 NAT 모드(인터페이스 기반 NAT)로 구성되어 있습니다.

문제 또는 목표: 환경:

SIP
H.323
RTSP

인터페이스 기반 NAT가 구성된 경우 SIP, H.323 또는 RTSP를 사용하는 모든 응용 프로그램이 제대로 작동하지 않습니다. ALG는 페이로드에서 IP를 올바르게 변환하지 않습니다.

해결책:

이러한 VoIP 애플리케이션은 정책 기반 NAT를 사용할 때만 제대로 작동합니다. 이는 IPSec VPN에도 영향을 미칩니다.

이 문제를 해결하려면 SIP, H.323 및 RTSP 트래픽이 통과하는 정책에 정책 기반 NAT(정책 내 원본 네트워크 주소 변환)를 사용하는 것이 좋습니다. 일반적으로 정책 기반 NAT를 사용하면 신뢰 또는 소스 인터페이스가 경로 모드로 변경되고 NAT에 필요한 모든 정책이 정책 기반 NAT를 사용하도록 구성됩니다. 그러나 SIP, H.323이 정책에서 NAT가 활성화된 정책을 통과하는 한 신뢰 또는 소스 인터페이스가 여전히 NAT 모드로 남아 있어도 괜찮습니다.

관련 정보