如果停用 ALG 功能(最終停用 H323 流量檢查功能),您是否可以對 H323 流量進行 NAT,或者是否需要該功能才能對此類流量進行 NAT?
答案1
不,沒有必要。事實上,去年我不得不禁用它才能使一些 Polycom HDX 設備透過 NAT 正常工作。在我看來,這使得工作量增加了一些,因為您需要打開額外的高端口,但仍然如此。不過,建議保持開啟狀態,除非您遇到諸如下面的知識庫文章中的問題。或者另一種方法是開啟 H323 流量使用的實際連接埠(不使用內建的 H323 服務,而是透過建立具有高連接埠開放且必要的自訂服務)。
實際上有一篇 Juniper 知識庫文章對此進行了描述:
摘要:SIP、H.323、RTSP 連線不起作用,且信任介面配置為 NAT 模式(基於介面的 NAT)
問題或目標: 環境:
SIP
H.323
RTSP
如果配置了基於介面的 NAT,任何使用 SIP、H.323 或 RTSP 的應用程式都將無法正常運作。 ALG 將無法正確轉換有效負載中的 IP。
解決方案:
這些 VoIP 應用程式只有在使用基於策略的 NAT 時才能正常運作。這也會影響 IPSec VPN。
為了解決此問題,強烈建議在SIP、H.323和RTSP流量經過的策略上使用基於策略的NAT(策略內的來源網路位址轉換)。通常,當使用基於策略的 NAT 時,信任或來源介面將變更為路由模式,並且所有策略(需要進行 NAT)都配置為使用基於策略的 NAT。但是,只要 SIP、H.323 透過啟用了 NAT 的策略,信任或來源介面仍保持在 NAT 模式就可以了。