H.323 ALG
H.323 应用层网关 (ALG) 由一套 H.225.0 和 H.245 协议组成,可在任何网络上提供视听通信会话。H.323 ALG 可在终端主机(例如 IP 电话和多媒体设备)之间提供安全通信。
了解 H.323 ALG
H.323 标准是由国际电信同盟 (ITU-T) 定义的传统 IP 语音 (VoIP) 协议。H.323 包含一套协议(如 H.225.0 和 H.245),用于 VoIP 呼叫信号和呼叫控制。
H.323 使用 ASN.1 编码格式。它按照协议 Q.931(端口号 1720)和 H.245 设置数据、视频和音频流的动态链路。H.323 有三个主要流程:
守门人发现 — 端点通过门卫发现过程(通过广播或单播)找到其守门人到已知 IP 和众所周知的 UDP 端口 1719。请注意,Junos OS 仅支持单播发现。
端点注册、许可和状态 — 端点注册给看门人并要求其管理。拨打电话之前,端点要求其守门人允许拨打电话。在报名和招生阶段,均使用注册、招生和状态 (RAS) 通道。传输服务接入点 (TSAP) 可以利用发现阶段或注册阶段以及 IP 地址中已知的 UDP 端口 (1719) 或动态分配的端口。
呼叫控制和呼叫设置 — 呼叫可以在一个区域内或两个区域之间建立,甚至跨多个区域(多点会议)建立。呼叫设置和中断通过呼叫信号通道执行,其 TSAP 是众所周知的 TCP 端口 (1720)。呼叫控制(包括两个端点之间的开口/关闭介质通道)通过呼叫控制通道执行,其 TSAP 将从之前的呼叫信号进程动态分配。H.245 消息用于呼叫控制通道,并使用 ASN.1 进行编码。
注意:有关 H.323 的详细信息,请参阅 ITU-T 建议 H.323。
此设备的 H.323 应用层网关 (ALG) 可保护终端主机(例如 IP 电话和多媒体设备)之间的 VoIP 通信。在此类电话系统中,门卫设备管理 VoIP 呼叫的呼叫注册、许可和呼叫状态。守门人可以驻留在两个不同的区域或同一个区域内。(请参阅 图 1。)
的 H.323 ALG
此图将 IP 电话用于说明目的,尽管可以为使用 VoIP 的其他主机(如 Microsoft NetMeeting 多媒体设备)进行配置。
从 Junos OS 17.4R1 版开始,H.323 应用层网关 (ALG) 上支持网关到网关的呼叫功能。此功能在 H.225 控制会话和 H.323 呼叫之间引入了一对多映射,因为多个 H.323 呼叫通过单个控制会话。
从 Junos OS 17.4R1 版开始,H.323 应用层网关 (ALG) 在 IPv6 网络中支持 NAT64 规则。
H.323 ALG 配置概述
H.323 应用层网关 (ALG) 默认在设备上启用 — 无需采取任何操作即可启用。但是,您可以选择使用以下说明来微调 H.323 ALG 运维:
指定端点注册条目在网络地址转换 (NAT) 表中保留的时间。有关说明,请参阅 示例:设置 H.323 ALG 端点注册超时 。
在狭窄或广泛的端口上启用媒体流量。有关说明,请参阅 示例:设置 H.323 ALG 媒体源端口范围。
保护 H.323 守门人免受拒绝服务 (DoS) 洪水攻击。有关说明,请参阅 示例:配置 H.323 ALG DoS 攻击防御。
当会话处于 NAT 模式和路由模式时,允许未知消息传递。有关说明,请参阅 示例:允许未知 H.323 ALG 消息类型。
了解 Avaya H.323 ALG
H.323 标准是由国际电信同盟 (ITU-T) 定义的传统 IP 语音 (VoIP) 协议。H.323 包含一套协议(如 H.225.0 和 H.245),用于 VoIP 呼叫信号和呼叫控制。配置 H.323 标准应用层网关 (ALG) 和专有 Avaya H.323 ALG 的过程相同。
但是,Avaya H.323 ALG 具有一些特殊功能。要了解和配置此处列出的 Avaya H.323 特定功能,请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
本主题包含以下部分:
Avaya H.323 ALG 特定功能
Avaya H.323 特定功能如下:
H.323 快速连接
H.323 非对称介质
呼叫等待
呼叫转发
语音留言
呼叫识别
电话会议
Avaya H.323 ALG 中的呼叫流详细信息
将手机连接到网络 — Avaya 在将手机连接到网络时执行 Q.931 设置/连接协商,而不是发起通话时。
拨打电话 — 拨打电话时,由于 PBX 已在手机连接到网络时存储了每部手机的功能,因此无需再进行 Q.931 和 PBX 协商即可设置通话。它不再与 PBX 交换 Q.931 设置和连接消息。电话和 PBX 交换 H.323 设备消息以设置通话。
注册 CM — 接到电话后,Avaya H.323 会向 Avaya Communications Manager (CM) 注册。注册流程类似于通用 H.323 标准注册流程。
注意:直接模式和隧道模式不是由 Avaya H.323 ALG 定义的。
对于工作号召,CM 必须与 Avaya 端点一起部署。通话期间,CM 和 Avaya 端点之间将交换 RAS 和 Q.931 消息。
注意:对于具有源网络地址转换 (NAT) 池的 Avaya H.323,注册流程仅允许池中一个 IP 地址。
设置实时传输协议 (RTP)/实时控制协议 (RTCP) 端口 — Q.931 设置、设备和信息消息用于设置 RTP/RTCP 端口。Avaya H.323 会话的层次结构为 Q.931、RTP/RTCP、家长和孩子。
注意:H.245 端口在 Avaya 呼叫流进程中不使用。
使用 Avaya H.323 计数器 — 呼叫和主动呼叫的计数器不适用于 Avaya H.323 ALG。呼叫创建和中断由设备消息在之后完成。当为呼叫分配资源时,所有呼叫计数器和主动呼叫的增加。如果多次为呼叫分配资源,属于多次通过防火墙的相同呼叫的消息将触发多个计数器增量。换句话说,如果需要多次分配呼叫资源,属于同一呼叫并多次通过防火墙的消息可能会触发计数器的多个增量。
例如,在两区案例中,设置和连接消息对将分配一个呼叫资源。活动呼叫计数器增加一次。每次设置和连接消息对通过防火墙时,都会分配具有独特接口和 NAT 的不同呼叫资源。因此,在三区情景中,计数器递增两次。
示例:将 H.323 ALG 流量传递给专用区域的守门人
此示例说明如何设置两个策略,允许 H.323 流量在专用区域的 IP 电话主机和门卫之间传递,以及在公共区域设置一个 IP 电话主机 (2.2.2.5/32)。
要求
开始之前:
了解和配置任何 Avaya H.323 特定功能。请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
配置安全区域。请参阅 了解安全区域。
概述
此示例说明如何设置两个策略,允许 H.323 流量在专用区域的 IP 电话主机和门卫之间传递,以及在公共区域设置一个 IP 电话主机 (2.2.2.5/32)。与设备的连接可以是带或不带 NAT 的。请参阅 图 2。
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32 set security policies from-zone private to-zone public policy P1 match source-address any set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone set security policies from-zone private to-zone public policy P1 match application junos-h323 set security policies from-zone private to-zone public policy P1 then permit set security policies from-zone public to-zone private policy P2 match source-address any set security policies from-zone public to-zone private policy P2 match destination-address gateway set security policies from-zone public to-zone private policy P2 match application junos-h323 set security policies from-zone public to-zone private policy P2 then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置设备以将 H.323 ALG 流量传递给专用区域的守门人:
配置两本地址簿。
[edit] user@host# set security zones security-zone public address-book address ip_phone 2.2.2.5/32 set security zones security-zone private address-book address gateway 2.2.2.5/32
配置从私有区域到公共区域的策略 P1。
[edit] user@host# set security policies from-zone private to-zone public policy P1 match source-address any user@host# set security policies from-zone private to-zone public policy P1 match destination-address IP_Phone user@host# set security policies from-zone private to-zone public policy P1 match application junos-h323 user@host# set security policies from-zone private to-zone public policy P1 then permit
配置从公共区域到私有区域的策略 P2。
[edit] user@host# set security policies from-zone public to-zone private policy P2 match source-address any user@host# set security policies from-zone public to-zone private policy P2 match destination-address gateway user@host# set security policies from-zone public to-zone private policy P2 match application junos-h323 user@host# set security policies from-zone public to-zone private policy P2 then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
简洁性,此 show output 仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit]
user@host# show security policies
...
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
from-zone private to-zone public {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy P2 {
match {
source-address any;
destination-address gateway;
application junos-h323;
}
then {
permit;
}
}
}
...
如果完成设备配置,请在配置模式下输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证 H.323 ALG 配置
目的
显示有关主动呼叫的信息。
此命令输出 show security 中的呼叫和主动调用的 H.323 计数器不适用于 H.323 的专有 Avaya 实施。这是因为 Q.931 设置和连接消息在通电后直接交换,并且设备消息会创建和中断通话。
当为通话分配的资源增加时,呼叫和主动呼叫的计数器也会增加,也就是说,属于同一呼叫的消息,通过防火墙的消息会多次增加计数器。这适用于需要多次分配呼叫资源时。例如,在两区情景中,设置和连接消息对将分配一个呼叫资源,而活动呼叫计数器则增加一个。但在三区场景中,设置和连接消息对会通过防火墙两次,每次分配不同的呼叫资源。在这种情况下,计数器递增。
行动
从 J-Web 界面中选择 Monitor>ALGs>H323。或者,从 CLI 输入 show security alg h323 counters 命令。
在 H.245 隧道的情况下,收到的 H.245 消息的计数器也不准确。由于 H.245 消息封装在 Q.931 数据包中,因此即使有 H.245 消息,收到的 H.245 消息的计数器也将保持为零。但是,计数 Other H245 器将反映这些数据包传输。
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
示例:将 H.323 ALG 流量传递给外部区域的守门人
此示例说明如何设置两个策略,允许 H.323 流量在内部区域的 IP 电话主机和外部区域的 IP 地址 2.2.2.5/32(和守门人)之间传递。
要求
开始之前:
了解和配置任何 Avaya H.323 特定功能。请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
配置安全区域。请参阅 了解安全区域。
概述
由于路由模式不需要任何类型的地址映射,外部或公共区域中的守门人设备配置通常与内部或专用区域中的守门人配置相同。此示例说明如何设置两个策略,允许 H.323 流量在内部区域的 IP 电话主机和外部区域的 IP 地址 2.2.2.5/32(和守门人)之间传递。设备可以处于透明或路由模式。请参阅 图 3。
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32 set security policies from-zone internal to-zone external policy P1 match source-address any set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone set security policies from-zone internal to-zone external policy P1 match application junos-h323 set security policies from-zone internal to-zone external policy P1 then permit set security policies from-zone internal to-zone external policy P2 match source-address any set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper set security policies from-zone internal to-zone external policy P2 match application junos-h323 set security policies from-zone internal to-zone external policy P2 then permit set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone set security policies from-zone external to-zone internal policy P3 match destination-address any set security policies from-zone external to-zone internal policy P3 match application junos-h323 set security policies from-zone external to-zone internal policy P3 then permit set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper set security policies from-zone external to-zone internal policy P4 match destination-address any set security policies from-zone external to-zone internal policy P4 match application junos-h323 set security policies from-zone external to-zone internal policy P4 then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置设备以将 H.323 ALG 流量传递给外部区域的守门人:
配置两本地址簿。
[edit] user@host# set security zones security-zone external address-book address IP_Phone 2.2.2.5/32 user@host# set security zones security-zone internal address-book address gatekeeper 2.2.2.10/32
配置从内部区域到外部区域的策略 P1。
[edit] user@host# set security policies from-zone internal to-zone external policy P1 match source-address any user@host# set security policies from-zone internal to-zone external policy P1 match destination-address IP_Phone user@host# set security policies from-zone internal to-zone external policy P1 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P1 then permit
配置策略 P2,以允许外部区域中的内部区域与守门人之间产生信息流。
[edit] user@host# set security policies from-zone internal to-zone external policy P2 match source-address any user@host# set security policies from-zone internal to-zone external policy P2 match destination-address gatekeeper user@host# set security policies from-zone internal to-zone external policy P2 match application junos-h323 user@host# set security policies from-zone internal to-zone external policy P2 then permit
配置策略 P3,以允许在内部区域和外部区域中的手机之间传输流量。
[edit] user@host# set security policies from-zone external to-zone internal policy P3 match source-address IP_Phone user@host# set security policies from-zone external to-zone internal policy P3 match destination-address any user@host# set security policies from-zone external to-zone internal policy P3 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P3 then permit
配置策略 P4,以允许内部区域中的手机与外部区域的守门人之间产生信息流。
[edit] user@host# set security policies from-zone external to-zone internal policy P4 match source-address gatekeeper user@host# set security policies from-zone external to-zone internal policy P4 match destination-address any user@host# set security policies from-zone external to-zone internal policy P4 match application junos-h323 user@host# set security policies from-zone external to-zone internal policy P4 then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
简洁性,此 show output 仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit]
user@host# show security policies
...
from-zone internal to-zone external {
policy P1 {
match {
source-address any;
destination-address IP_Phone;
application junos-h323;
}
then {
permit;
}
}
policy P2 {
match {
source-address any;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone external to-zone internal {
policy P3 {
match {
source-address IP_Phone;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
policy P4 {
match {
source-address gatekeeper;
destination-address any;
application junos-h323;
}
then {
permit;
}
}
}
...
如果完成设备配置,请在配置模式下输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证 H.323 ALG 配置
目的
显示有关主动呼叫的信息。
此命令输出 show security 中的呼叫和主动调用的 H.323 计数器不适用于 H.323 的专有 Avaya 实施。这是因为 Q.931 设置和连接消息在通电后直接交换,并且设备消息会创建和中断通话。
当为通话分配的资源增加时,呼叫和主动呼叫的计数器也会增加,也就是说,属于同一呼叫的消息,通过防火墙的消息会多次增加计数器。这适用于需要多次分配呼叫资源时。例如,在两区情景中,设置和连接消息对将分配一个呼叫资源,而活动呼叫计数器则增加一个。但在三区场景中,设置和连接消息对会通过防火墙两次,每次分配不同的呼叫资源。在这种情况下,计数器递增。
行动
从 J-Web 界面中选择 Monitor>ALGs>H323。或者,从 CLI 输入 show security alg h323 counters 命令。
在 H.245 隧道的情况下,收到的 H.245 消息的计数器也不准确。由于 H.245 消息封装在 Q.931 数据包中,因此即使有 H.245 消息,收到的 H.245 消息的计数器也将保持为零。但是,计数 Other H245 器将反映这些数据包传输。
[edit] user@host> show security alg h323 counters H.323 counters summary: Packets received : 0 Packets dropped : 0 RAS message received : 0 Q.931 message received : 0 H.245 message received : 0 Number of calls : 0 Number of active calls : 0 H.323 error counters: Decoding errors : 0 Message flood dropped : 0 NAT errors : 0 Resource manager errors : 0 H.323 message counters: RRQ : 0 RCF : 0 ARQ : 0 ACF : 0 URQ : 0 UCF : 0 DRQ : 0 DCF : 0 Oth RAS : 0 Setup : 0 Alert : 0 Connect : 0 CallProd : 0 Info : 0 RelCmpl : 0 Facility : 0 Empty : 0 OLC : 0 OLC-ACK : 0 Oth H245 : 0
示例:使用 NAT 和 H.323 ALG 启用传入呼叫
此示例说明如何使用 H.323 ALG 配置 NAT 以启用从公共网络到专用网络的呼叫。
要求
开始之前,请了解 H.323 ALG。请参阅 了解 H.323 ALG。
概述
在私有区域内有服务器的两区情景中,您可以通过在接口上将 NAT 池配置到公共区域,来使用 NAT 来呼入呼叫。
在此示例中(请参阅 图 4),IP-Phone1 和一台称为门卫的服务器位于专用区域,IP-Phone2 位于公共区域。您可配置一个静态 nat 规则集和一个源 NAT 池来执行 NAT。您还创建两个策略(从私有到公共和公共到私有),以允许 ALG H.323 流量往返于私有区域和公共区域。
拓扑
图 4 显示了带有 H.323 ALG 传入呼叫的 NAT。
在此示例中,您将按照以下内容配置源 NAT:
-
创建一个称为门卫的静态 NAT 规则集,该规则称为守门人,用于将来自公共区域的数据包与目标地址 172.16.1.25/32 匹配。对于匹配的数据包,目标 IP 地址将转换为专用地址 10.1.1.25/32。
-
定义称为 h323-nat-pool 的源 NAT 池,以包含 172.16.1.30/32 到 172.16.1.150/32 的 IP 地址范围。
-
创建一个称为 h323-nat 的源 NAT 规则集,并使用规则 h323-r1 将从专用区到公共区域的数据包与源 IP 地址 10.1.1.0/24 匹配。对于匹配的数据包,源地址将转换为 h323-nat-pool 中的 IP 地址。
-
在接口 ge-0/0/1.0 上配置地址 172.16.1.30/32 至 172.16.1.150/32 的代理 ARP。这样,系统便可对接口上收到的这些地址的 ARP 请求做出响应。
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set security nat source address-persistent set security nat source rule-set h323-nat from zone private set security nat source rule-set h323-nat to zone public set security nat source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set security nat source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.30/32 to 172.16.1.150/32 set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address IP-Phone1 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要使用 H.323 ALG 配置 NAT 以启用从公共网络到专用网络的呼叫:
-
配置接口。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
配置区域并将地址分配给他们。
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
创建静态 NAT 规则集。
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set match destination-address 172.16.1.25/32 user@host# set then static-nat prefix 10.1.1.25/32
-
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32
-
配置源 NAT 规则集。
[edit security nat] set source pool h323-nat-pool address 172.16.1.30/32 to 172.16.1.150/32 set source address-persistent set source rule-set h323-nat from zone private set source rule-set h323-nat to zone public set source rule-set h323-nat rule h323-r1 match source-address 10.1.1.0/24 set source rule-set h323-nat rule h323-r1 then source-nat pool h323-nat-pool set proxy-arp interface ge-0/0/1.0 address 171.16.1.30/32 to 172.16.1.150/32
-
为传出信息流配置策略。
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
-
为传入信息流配置策略。
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address IP-Phone1 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
结果
在配置模式下,输入 show interfaces、 show security zones、 show security nat和 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
source {
pool h323-nat-pool {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
address-persistent;
rule-set h323-nat {
from zone private;
to zone public;
rule h323-r1 {
match {
source-address 10.1.1.0/24;
}
then {
source-nat {
pool {
h323-nat-pool;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.30/32 to 172.16.1.150/32;
}
}
}
static {
rule-set ip-phones {
from zone public;
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone private to-zone public {
policy private-to-public {
match {
source-address [IP-Phone1 gatekeeper];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address [IP-Phone1 gatekeeper];
application junos-h323;
}
then {
permit;
}
}
}
如果完成设备配置,请在配置模式下输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证 H.323 ALG 状态
目的
验证您的系统是否启用了 H.323 ALG。
行动
在操作模式下,输入 show security alg status 命令。
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
意义
输出显示 H323 ALG 状态,如下所示:
-
启用 — 显示已启用 H323 ALG。
-
禁用 — 显示 H323 ALG 已禁用。
验证安全 ALG H.323 计数器
目的
验证 ALG H323 是否存在安全计数器。
行动
在操作模式下,输入 show security alg h323 counters 命令。
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690 Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
意义
示例输出提供了安全 ALG H.323 计数器的缩写,表示 ALG H323 有安全计数器。
验证源 NAT 规则的使用情况
目的
验证是否存在与源 NAT 规则匹配的信息流。
行动
在操作模式下,输入 show security nat source rule all 命令。查看转换命中字段,以检查与规则匹配的信息流。
user@host> show security nat source rule all
source NAT rule: h323-r1 Rule-set: h323-nat
Rule-Id : 1
Rule position : 1
From zone : private
To zone : public
Match
Source addresses : 0.0.0.0 - 255.255.255.255
Destination port : 0 - 0
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
意义
字 Translation hits 段显示,没有与源 NAT 规则匹配的信息流。
示例:使用 NAT 和 H.323 ALG 启用传出通话
此示例说明如何使用 H.323 ALG 配置静态 NAT,以启用从专用网络到公共网络的呼叫。
要求
开始之前,请了解 H.323 ALG 及其流程。请参阅 了解 H.323 ALG。
概述
在此示例中(请参阅 图 5),IP-Phone 1 和一台名为“守门人”的服务器位于私有区域,IP-Phone2 位于公共区域。您可配置静态 NAT,使 IP-Phone1 和门卫可在公共区域呼叫 IP-Phone2。然后,您创建一项称为公共到私有的信息流策略,允许 ALG H.323 流量从公共区域到私有区域,并创建一项称为私有到公共的策略,允许 ALG H.323 流量从私有区域流向公共区域。
拓扑
图 5 显示了带 H.323 ALG 呼出呼叫的 NAT。
在此示例中,您将按照以下内容配置静态 NAT:
-
创建一个称为 IP 电话的静态 NAT 规则集,规则称为 phone1,以匹配来自公共区域的数据包与目标地址 172.16.1.5/32。对于匹配的数据包,目标 IP 地址将转换为专用地址 10.1.1.5/32。
-
定义第二个规则,称为守门人,以匹配来自公共区域的数据包与目标地址 172.16.1.25/32。对于匹配的数据包,目标 IP 地址将转换为专用地址 10.1.1.25/32。
-
在接口 ge-0/0/1 上为地址 172.16.1.5/32 和 172.16.1.25/32 创建代理 ARP。这样,系统便可对在这些地址的指定接口上收到的 ARP 请求做出响应。
配置
程序
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改任何必要的详细信息,以便与网络配置匹配,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set security zones security-zone private address-book address IP-Phone1 10.1.1.5/32 set security zones security-zone private address-book address gatekeeper 10.1.1.25/32 set security zones security-zone private interfaces ge-0/0/0.0 set security zones security-zone public address-book address IP-Phone2 172.16.1.5/32 set security zones security-zone public interfaces ge-0/0/1.0 set security nat static rule-set ip-phones from zone public set security nat static rule-set ip-phones rule phone1 match destination-address 172.16.1.5/32 set security nat static rule-set ip-phones rule phone1 then static-nat prefix 10.1.1.5/32 set security nat static rule-set ip-phones rule gatekeeper match destination-address 172.16.1.25/32 set security nat static rule-set ip-phones rule gatekeeper then static-nat prefix 10.1.1.25/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.5/32 set security nat proxy-arp interface ge-0/0/1.0 address 172.16.1.25/32 set security policies from-zone public to-zone private policy public-to-private match source-address IP-Phone2 set security policies from-zone public to-zone private policy public-to-private match destination-address gatekeeper set security policies from-zone public to-zone private policy public-to-private match application junos-h323 set security policies from-zone public to-zone private policy public-to-private then permit set security policies from-zone private to-zone public policy private-to-public match source-address IP-Phone1 set security policies from-zone private to-zone public policy private-to-public match source-address gatekeeper set security policies from-zone private to-zone public policy private-to-public match destination-address IP-Phone2 set security policies from-zone private to-zone public policy private-to-public match application junos-h323 set security policies from-zone private to-zone public policy private-to-public then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要使用 H.323 ALG 配置静态 NAT,以启用从专用网络到公共网络的呼叫:
-
配置接口。
user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24
-
创建区域并将地址分配给他们。
[edit security zones] user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone private interfaces ge-0/0/0.0 user@host# set security-zone private address-book address IP-Phone1 10.1.1.5/32 user@host# set security-zone private address-book address gatekeeper 10.1.1.25/32 user@host# set security-zone public interfaces ge-0/0/1.0 user@host# set security-zone public address-book address IP-Phone2 172.16.1.5/32
-
使用规则配置设置的静态 NAT 规则。
[edit security nat static rule-set ip-phones] user@host# set from zone public user@host# set rule phone1 match destination-address 172.16.1.5/32 user@host# set rule phone1 then static-nat prefix 10.1.1.5/32 user@host# set rule gatekeeper match destination-address 172.16.1.25/32 user@host# set rule gatekeeper then static-nat prefix 10.1.1.25/32
-
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.5/32 user@host# set proxy-arp interface ge-0/0/1 address 172.16.1.25/32
-
为传入流量配置安全策略。
[edit security policies from-zone public to-zone private policy public-to-private] user@host# set match source-address IP-Phone2 user@host# set match destination-address gatekeeper user@host# set match application junos-h323 user@host# set then permit
-
为传出流量配置安全策略。
[edit security policies from-zone private to-zone public policy private-to-public] user@host# set match source-address IP-Phone1 user@host# set match source-address gatekeeper user@host# set match destination-address IP-Phone2 user@host# set match application junos-h323 user@host# set then permit
结果
在配置模式下,输入 show interfaces、 show security zones、 show security nat和 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone private {
address-book {
address IP-Phone1 10.1.1.5/32;
address gatekeeper 10.1.1.25/32;
}
interfaces {
ge-0/0/0.0;
}
}
security-zone public {
address-book {
address IP-Phone2 172.16.1.5/32;
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security nat
static {
rule-set ip-phones {
from zone public;
rule phone1 {
match {
destination-address 172.16.1.5/32;
}
then {
static-nat prefix 10.1.1.5/32;
}
}
rule gatekeeper {
match {
destination-address 172.16.1.25/32;
}
then {
static-nat prefix 10.1.1.25/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
172.16.1.5/32;
172.16.1.25/32;
}
}
}
[edit]
user@host# show security policies
from-zone public to-zone private {
policy public-to-private {
match {
source-address IP-Phone2;
destination-address gatekeeper;
application junos-h323;
}
then {
permit;
}
}
}
from-zone private to-zone public {
policy private-to-public {
match {
source-address [ IP-Phone1 gatekeeper ];
destination-address IP-Phone2;
application junos-h323;
}
then {
permit;
}
}
}
如果完成设备配置,请在配置模式下输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证 H.323 ALG 状态
目的
验证您的系统是否启用了 H.323 ALG。
行动
在操作模式下,输入 show security alg status 命令。
user@host> show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Enabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
意义
输出显示 H323 ALG 状态,如下所示:
-
启用 — 显示已启用 H323 ALG。
-
禁用 — 显示 H323 ALG 已禁用。
验证安全 ALG H.323 计数器
目的
验证 ALG H323 是否存在安全计数器。
行动
在操作模式下,输入 show security alg h323 counters 命令。
user@host> show security alg h323 counters
H.323 counters summary: Packets received :4060 Packets dropped :24 RAS message received :3690Q.931 message received :202 H.245 message received :145 Number of calls :25 Number of active calls :0 H.323 Error Counters: Decoding errors :24 Message flood dropped :0 NAT errors :0 Resource manager errors :0 H.323 Message Counters: RRQ : 431 RCF : 49 ARQ : 60 ACF : 33 URQ : 34 UCF : 25 DRQ : 55 DCF : 44 oth RAS : 2942 Setup : 28 Alert : 9 Connect : 25 CallPrcd : 18 Info : 0 RelCmpl : 39 Facility : 14 Progress : 0 Empty : 65 OLC : 20 OLC-ACK : 20
意义
样本输出提供了安全 ALG H.323 计数器的概要,表示 ALG H.323 有安全计数器。
示例:设置 H.323 ALG 端点注册超时
此示例说明如何指定端点注册超时。
要求
开始之前,请了解和配置任何 Avaya H.323 特定功能。请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
概述
在网络地址转换 (NAT) 模式中,当 Juniper Networks 设备后面受保护网络中的端点与 H.323 守门人一起注册时,设备会将一个条目添加到 NAT 表中,其中包含每个端点的公共到私有地址映射。这些条目使得受保护网络中的端点能够接收来电。
您设置端点注册超时,以指定端点注册条目在 NAT 表中保留的时间。为确保不间断传入呼叫服务,请将端点注册超时设置为等于或大于管理员在门卫上配置的激活值的值。范围为 10 至 50,000 秒,默认值为 3600 秒。
配置
验证
要验证配置是否正常工作,请输入 show security alg h323 counters 命令。
示例:设置 H.323 ALG 媒体源端口范围
此示例说明如何启用 H.323 ALG 媒体源端口功能。
要求
开始之前,请了解和配置任何 Avaya H.323 特定功能。请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
概述
媒体源端口功能允许您配置设备,以允许在狭窄或广泛的端口上进行媒体流量。默认情况下,设备会侦听狭窄端口上的 H.323 流量。如果您的端点设备允许您指定发送端口和侦听端口,则可能需要缩小设备允许打开媒体流量的端口范围。这通过为 H.323 流量打开一个较小的针孔来增强安全性。此示例说明如何通过启用媒体源端口功能来配置设备,以便为媒体流量打开宽门。
配置
程序
GUI 快速配置
逐步过程
要启用 H.323 ALG 媒体源端口功能:
选择
Configure>Security>ALG。选择选项
H323卡。Enable Permit media from any source port选择复选框。单击
OK以检查您的配置并将其保存为候选配置。如果完成设备配置,请单击
Commit Options>Commit。
逐步过程
要启用 H.323 ALG 媒体源端口功能:
禁用 H.323 ALG 的媒体源端口,为媒体流量设置窄门。
[edit] user@host# delete security alg h323 media-source-port-any
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security alg h323 counters 命令。
示例:配置 H.323 ALG DoS 攻击保护
此示例说明如何配置 H.323 ALG DoS 攻击保护功能。
要求
开始之前,请了解和配置任何 Avaya H.323 特定功能。请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
概述
您可以通过限制其尝试处理的注册、许可和状态 (RAS) 消息数量来保护 H.323 门卫免受拒绝服务 (DoS) 洪水攻击。超过您指定阈值的传入 RAS 请求消息将由 H.323 应用层网关 (ALG) 丢弃。范围为每秒 2 至 50,000 条消息,默认值为 1000。
配置
程序
GUI 快速配置
逐步过程
要配置 H.323 ALG DoS 攻击保护功能:
选择
Configure>Security>ALG。选择选项
H323卡。在“消息泛滥门卫”阈值框中,键入
5000。单击
OK以检查您的配置并将其保存为候选配置。如果完成设备配置,请单击
Commit Options>Commit。
逐步过程
要配置 H.323 ALG DoS 攻击保护功能:
配置 H.323 ALG 的门卫并设置阈值。
[edit] user@host# set security alg h323 application-screen message-flood gatekeeper threshold 5000
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security alg h323 counters 命令。
了解 H.323 ALG 已知消息类型
H.323 标准是由国际电信同盟 (ITU-T) 定义的传统 IP 语音 (VoIP) 协议。H.323 包含一套协议(如 H.225.0 和 H.245),用于 VoIP 呼叫信号和呼叫控制。H.323 有三个主要流程:
关门发现 — 端点通过广播或单播(到已知 IP 和众所周知的 UDP 端口 1719)通过门卫发现过程找到其守门人。
端点注册、许可和状态 — 端点注册给看门人并要求其管理。拨打电话之前,端点要求其守门人允许拨打电话。在报名和招生阶段,均使用注册、招生和状态 (RAS) 通道。
呼叫控制和呼叫设置 — 呼叫可以在一个区域内或两个区域之间建立,甚至跨多个区域(多点会议)建立。呼叫设置和中断通过呼叫信号通道执行,其 TSAP 是众所周知的 TCP 端口 (1720)。呼叫控制(包括两个端点之间的开口/关闭介质通道)通过呼叫控制通道执行,其 TSAP 将从之前的呼叫信号进程动态分配。H.245 消息用于呼叫控制通道,并使用 ASN.1 进行编码。
H.225 RAS 信号:守门人和网关
如 (ITU-T) H.323 标准所述,注册、许可和状态 (RAS) 是网关或端点之间使用的信号协议。守门人提供地址解析和入场控制服务。
RAS 是 H.323 网关发现其区域守门人的过程。RAS 通信通过端口 1718(组播)和 1719(单播)上的 UDP 数据报进行。端点使用 RAS 协议与守门人通信。如果 H.323 端点不了解其守门人,则可以发送一条门卫请求 (GRQ) 消息,以寻求守门人的回应。一个或多个守门人可能会通过一条门卫确认 (GCF) 消息或一条门卫拒绝 (GRJ) 消息来回答请求。拒绝消息包含拒绝的原因。
表 1 列出了支持的 RAS 守门消息。
消息 |
描述 |
|---|---|
GRQ(Gatekeeper_Request) |
从端点发送至门卫的消息,用于“发现”愿意提供服务的守门人。 |
GCF(Gatekeeper_Confirm) |
从门卫到端点的答复,表示接受与门卫的 RAS 通道通信。 |
GRJ(Gatekeeper_Reject) |
门卫对拒绝端点请求的端点的回复。 |
RAS 注册和未注册
注册是指网关、终端和多点控制单元 (MCUS) 加入一个区域并通知门卫其 IP 和别名地址的过程。每个网关只能注册一个活动守门人。
注册发生在端点通过发送注册请求 (RRQ) 消息确定并确认守门人进行通信之后。然后,守门人会使用注册确认 (RCF) 消息进行响应,从而使网络已知端点。
表 2 列出了支持的 RAS 注册和未注册消息。
消息 |
描述 |
|---|---|
RRQ(Registration_Request) |
从端点发送至守门人的消息。系统管理设置中预定义了注册请求。 |
RCF(Registration_Confirm) |
由门卫回复,确认端点注册以响应 RRQ 消息。 |
RRJ(Registration_Reject) |
拒绝端点注册的门卫的答复。 |
URQ (Unregister_Request) |
从端点或守门人发送的请求取消注册的消息。 |
UCF(Unregister_Confirm) |
从端点或门卫发送的回复,确认注册已取消。 |
URJ(Unregister_Reject) |
表示该端点未预注册为门卫的消息。 |
RAS 许可
端点和守门人之间的许可消息为呼叫许可和带宽控制提供了依据。然后,门卫通过确认或拒绝入场申请来解析地址。
表 3 列出了支持的 RAS 许可消息。
消息 |
描述 |
|---|---|
ARQ(Admission_Request) |
端点尝试发起呼叫。 |
ACF(Admission_Confirm) |
通过授权端点参与通话的守门人积极响应。 |
ARJ(Admission_Reject) |
由门卫发送的消息,拒绝发起呼叫的 ARQ 消息。 |
RAS 位置
位置请求 (LRQ) 消息由端点或门卫发送至区域间守门人,以获取不同区域端点的 IP 地址。
表 4 列出了支持的 RAS 位置请求消息。
消息 |
描述 |
|---|---|
LRQ (Location_Request) |
发送至请求守门人获取一个或多个地址的联系信息的消息。 |
LCF(Location_Confirm) |
由门卫发送的响应,包含呼叫信号通道或 RAS 通道地址。 |
LRJ(Location_Reject) |
由守门人发送的响应,收到未注册请求端点的 LRQ。 |
RAS 带宽控制
调用带宽控制以设置呼叫,最初通过许可消息 (ARQ/ACF/ARJ) 顺序进行管理。
表 5 列出了支持的 RAS 带宽控制消息。
消息 |
描述 |
|---|---|
BRQ (Bandwidth_Request) |
由端点发送至门卫的请求,以增加或减少呼叫带宽。 |
BCF(Bandwidth_Confirm) |
由门卫发送的响应,确认接受带宽更改请求。 |
BRJ(Bandwidth_Reject) |
由门卫发送的拒绝带宽更改请求的响应。 |
RAS 状态信息
守门人使用信息请求 (IRQ) 消息来确定端点的状态。RAS 协议用于确定端点是联机还是脱机。
表 6 列出了支持的 RAS 状态信息消息。
消息 |
描述 |
|---|---|
IRQ (Information_Request) |
由门卫发送的消息,请求其接收端点的状态信息。 |
IRR(Information_Request_Response) |
由端点发送至门卫的响应,以响应 IRQ 消息。它会确定端点是联机还是脱机。 |
IACK(Info_Request_Acknowledge) |
由门卫发送的消息,用于确认从端点接收到 IRR 消息。 |
INACK(Info_Request_Neg_Acknowledge) |
如果信息请求消息不被理解,将发送一条消息。 |
RAS 脱离接触信息
如果出现呼叫中断,端点会向门卫发送一条脱离接触请求 (DRQ) 消息。
表 7 列出了支持的 RAS 脱离接触消息。
消息 |
描述 |
|---|---|
DRQ(Disengage_Request) |
呼叫结束时,从端点发送至守门人的状态请求。 |
DCF(Disengage_Confirm) |
由门卫发送的消息,用于确认从端点接收 DRQ 消息。 |
DRJ(Disengage_Reject) |
由门卫发送的消息,拒绝端点发出的脱离接触确认请求。 |
H.225 呼叫信号 (Q.931)
H.225 用于在 H.323 端点之间设置连接。(ITU-T) H.225 建议指定了 Q.931 消息的使用和支持。
H.225 呼叫信号支持以下消息:
设置和设置 确认
呼叫过程
连接
提醒
用户信息
完整版本
设施
进展
状态和状态查询
通知
H.245 媒体控制和传输信号
H.245 处理 H.323 端点之间的端到端控制消息。此控制通道协议可建立用于传输音频、视频、数据和控制通道信息的逻辑通道。
H.245 支持以下消息:
请求
响应
命令
指示
了解 H.323 ALG 未知消息类型
未知 H.323 消息类型功能使您能够指定设备如何处理未识别的 H.323 消息。默认设置为丢弃未知(不支持)消息。
您可以通过限制其尝试处理的注册、许可和状态 (RAS) 消息数量来保护 H.323 门卫免受拒绝服务 (DoS) 洪水攻击。超过您指定阈值的传入 RAS 请求消息将由 H.323 应用层网关 (ALG) 丢弃。范围为每秒 2 至 50,000 条消息,默认值为 1000。
我们不建议允许未知消息,因为它们会损害安全性。但是,在安全测试或生产环境中,未知 H.323 消息类型命令对于解决不同供应商设备的互操作性问题很有用。允许未知 H.323 消息可帮助您实现网络运维,以便分析 IP 语音 (VoIP) 流量,以确定某些消息被丢弃的原因。未知 H.323 消息类型功能使您能够将设备配置为接受 H.323 流量,在网络地址转换 (NAT) 模式和路由模式中包含未知消息类型。
未知 H.323 消息类型选项仅适用于已识别为受支持的 VoIP 数据包的接收数据包。如果无法识别数据包,则数据包总是被丢弃。如果数据包被识别为受支持的协议,并且您已将设备配置为允许未知消息类型,则该消息将转发至无处理。
示例:允许未知 H.323 ALG 消息类型
此示例说明如何在路由和 NAT 模式下配置设备以允许未知 H.323 消息类型。
要求
开始之前,请了解和配置任何 Avaya H.323 特定功能。请参阅 http://support.avaya.com 的 Avaya 通信经理管理员指南、Avaya IP 电话实施指南和 Avaya 应用程序解决方案 IP 电话部署指南。
概述
此功能允许您指定设备如何处理未识别的 H.323 消息。默认设置为丢弃未知(不支持)消息。Enable Permit NAT 应用选项和 permit-nat-applied 配置语句指定,如果会话处于 NAT 模式,则允许未知消息通过。“启用许可”路由选项和 permit-routed 配置语句指定,如果会话处于路由模式,则允许未知消息通过。(透明模式的会话被视为路由模式。)
配置
程序
GUI 快速配置
逐步过程
要将设备配置为在路由和 NAT 模式下允许未知 H.323 消息类型:
选择
Configure>Security>ALG。选择选项
H323卡。Enable Permit NAT applied选择复选框。Enable Permit routed选择复选框。单击
OK以检查您的配置并将其保存为候选配置。如果完成设备配置,请单击
Commit Options>Commit。
逐步过程
要将设备配置为在路由和 NAT 模式下允许未知 H.323 消息类型:
指定如果会话处于 NAT 模式,则允许未知消息通过。
[edit] user@host# set security alg h323 application-screen unknown-message permit-nat-applied
指定如果会话处于路由模式,则允许未知消息通过。
[edit] user@host# set security alg h323 application-screen unknown-message permit-routed
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security alg h323 命令和 show security alg h323 counters 命令。