EN ESTA PÁGINA
Ejemplo: Configurar puertas de enlace de medios en los hogares de los suscriptores mediante MGCP ALG
Ejemplo: Configuración del servicio alojado por ISP de tres zonas mediante MGCP ALG y TDR
Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG
Ejemplo: Configuración de la duración de la llamada MGCP ALG
Ejemplo: Establecer tiempo de espera de medios inactivos MGCP ALG
Ejemplo: Establecer tiempo de espera de transacción MGCP ALG
Ejemplo: Configurar la protección contra ataques MGCP ALG DoS
MGCP ALG
El Media Gateway Control Protocol (MGCP) es un protocolo de comunicaciones de control de llamadas y señalización basada en texto utilizado en sistemas de telecomunicaciones VoIP. MGCP se utiliza para configurar, mantener y finalizar llamadas entre varios puntos de conexión.
Descripción del MGCP ALG
El Media Gateway Control Protocol (MGCP) es un protocolo de capa de aplicación basado en texto que se utiliza para la configuración de llamadas y el control de llamada entre la puerta de enlace de medios y el controlador de puerta de enlace de medios (MGC).
El protocolo se basa en una arquitectura de control de llamada principal/cliente: el MGC (agente de llamada) mantiene la inteligencia de control de llamadas, y las puertas de enlace de medios llevan a cabo las instrucciones del agente de llamada. Tanto los paquetes de señalización como los paquetes de medios se transmiten a través de UDP. Junos OS admite MGCP en modo de ruta y modo de traducción de direcciones de red (TDR).
La puerta de enlace de capa de aplicación MGCP (ALG) realiza los siguientes procedimientos:
Lleva a cabo la inspección de carga de señalización de voz sobre IP (VoIP). La carga del paquete de señalización VoIP entrante se inspecciona completamente según rfc relacionados y estándares patentados. Alg bloquea cualquier ataque de paquete malformado.
Realiza inspección de carga de señalización MGCP. La carga del paquete de señalización MGCP entrante se inspecciona por completo de acuerdo con rfc 3435. Alg bloquea cualquier ataque de paquetes malformados.
Proporciona procesamiento de estado. Se invocan las máquinas de estado basadas en VoIP correspondientes para procesar la información parsada. Cualquier paquete fuera de estado o fuera de transacción se identifica y se maneja correctamente.
Realiza TDR. Cualquier dirección IP incrustada y la información de puerto en la carga se traduce correctamente según la información de enrutamiento y la topología de red existentes, y luego se sustituye por la dirección IP traducida y el número de puerto, si es necesario.
Administra los agujeros de pin para el tráfico de VoIP. Para mantener la red VoIP segura, alG identifica la dirección IP y la información de puerto utilizados para los medios o la señalización, y cualquier agujero de pins necesario se crea y cierra dinámicamente durante la configuración de la llamada.
Este tema contiene las siguientes secciones:
Seguridad de MGCP
MgCP ALG incluye las siguientes características de seguridad:
Protección contra ataques de denegación de servicio (DoS). ALG realiza una inspección de estado a nivel de paquete UDP, de transacción y de llamada. Se procesan paquetes MGCP que coinciden con el formato de mensaje RFC 3435, el estado de transacción y el estado de llamada. Todos los demás mensajes se pierden.
Cumplimiento de políticas de seguridad entre puerta de enlace y controlador de puerta de enlace (política de señalización).
Cumplimiento de políticas de seguridad entre puertas de enlace (política de medios).
Control de inundación de mensajes MGCP por puerta de enlace. Cualquier mal funcionamiento o puerta de enlace hackeada no interrumpirá toda la red VoIP. En combinación con el control de inundación por puerta de enlace, el daño se encuentra dentro de la puerta de enlace afectada.
Control de inundación de conexión MGCP por puerta de enlace.
Conmutación o conmutación por error sin problemas si las llamadas, incluidas las llamadas en curso, se cambian al firewall de espera en caso de falla del sistema.
Entidades en MGCP
MgCP cuenta con cuatro entidades básicas:
Extremo
Una puerta de enlace de medios es una colección de puntos de conexión. Un punto de conexión puede ser una línea analógica, una troncalización o cualquier otro punto de acceso. Un punto de conexión contiene los siguientes elementos:
local-endpoint-name@domain-name
Los siguientes ejemplos son algunos identificaciones de punto de conexión válidos:
group1/Trk8@example.net group2/Trk1/*@[192.168.10.8] (wild-carding) $@example.net (any endpoint within the media gateway) *@example.net (all endpoints within the media gateway)
Conexión
Un MG crea conexiones en cada punto de conexión durante la configuración de la llamada. Una llamada VoIP típica implica dos conexiones. Una llamada compleja, por ejemplo, una llamada de tres partes o una llamada de conferencia, puede requerir más conexiones. El MGC puede indicar a las puertas de enlace de medios que creen, modifiquen, eliminen y auditen una conexión.
Una conexión se identifica mediante su ID de conexión, que crea el MG cuando se solicita crear una conexión. El ID de conexión se presenta como una cadena hexadecimal y su longitud máxima es de 32 caracteres.
Llamar
Una llamada se identifica mediante su ID de llamada, que crea el MGC al establecer una nueva llamada. El ID de llamada es una cadena hexadecimal con una longitud máxima de 32 caracteres. El ID de llamada es único dentro del MGC. Dos o más conexiones pueden tener el mismo ID de llamada si pertenecen a la misma llamada.
Llamar al agente
MgCP admite uno o más agentes de llamada (también llamados controladores de puerta de enlace de medios) para mejorar la confiabilidad en la red VoIP. Los dos ejemplos siguientes son de nombres de agente de llamada:
CallAgent@voipCA.example.com voipCA.example.com
Varias direcciones de red se pueden asociar bajo un nombre de dominio en el sistema de nombres de dominio (DNS). Mediante el seguimiento del tiempo de vida (TTL) de los datos de consulta/respuesta de DNS y la implementación de la retransmisión mediante el uso de otras direcciones de red alternativas, se logra la conmutación y la conmutación por error en MGCP.
El concepto de entidad notificada es esencial en MGCP. La entidad notificada para un punto de conexión es el agente de llamada que controla actualmente ese punto de conexión. Un punto de conexión debe enviar cualquier comando MGCP a su entidad notificada. Sin embargo, diferentes agentes de llamada pueden enviar comandos MGCP a este punto de conexión.
La entidad notificada se establece en un valor aprovisionado al iniciarse, pero un agente de llamadas puede cambiarla mediante el NotifiedEntity uso del parámetro contenido en un mensaje MGCP. Si la entidad notificada para un punto de conexión está vacía o no se ha establecido explícitamente, su valor predeterminado es la dirección de origen del último comando MGCP exitoso que no sea de auditoría recibido para ese punto de conexión.
Comandos MGCP
El protocolo MGCP define nueve comandos para controlar puntos de conexión y conexiones. Todos los comandos se componen de un encabezado de comando, seguido opcionalmente por la información del Protocolo de descripción de sesión (SDP). Un encabezado de comando tiene los siguientes elementos:
Una línea de comandos: verbo de comando + ID de transacción + punto de conexión + versión MGCP.
Cero o más líneas de parámetro, compuestas por un nombre de parámetro seguido de un valor de parámetro.
La tabla 1 enumera los comandos MGCP compatibles e incluye una descripción de cada uno, la sintaxis del comando y ejemplos. Consulte rfc 2234 para obtener una explicación completa de la sintaxis de comando.
Comando |
Descripción |
Sintaxis de comando |
Ejemplo |
|---|---|---|---|
EPCF |
Configuración de punto de conexión: se utiliza por un agente de llamada para informar a una puerta de enlace de las características de codificación (a-law o mu-law) esperadas por el lado de la línea del punto de conexión. |
|
|
CRCX |
CreateConnection: lo usa un agente de llamadas para indicar a la puerta de enlace que cree una conexión con la puerta de enlace y un punto de conexión dentro de ella. |
|
|
MDCX |
ModifyConnection (ModifyConnection): lo usa un agente de llamadas para indicar a una puerta de enlace que cambie los parámetros de una conexión existente. |
|
|
DLCX |
DeleteConnection: lo usa un agente de llamadas para indicar a una puerta de enlace que elimine una conexión existente. Una puerta de enlace también puede usar DeleteConnection para liberar una conexión que ya no se puede mantener. |
|
Ejemplo 1: MGC -> MG
Ejemplo 2: MG -> MGC
|
RQNT |
Comando NotificationRequest: lo usa un agente de llamada para indicar a un MG que supervise determinados eventos o señales para un punto de conexión específico. |
|
|
NTFY |
Notificar: una puerta de enlace la usa para informar al agente de llamada cuando se producen eventos o señales solicitados. |
|
|
AUEP |
AuditEndpoint: lo usa un agente de llamadas para auditar el estado del punto de conexión. |
|
Ejemplo 1:
Ejemplo 2:
|
AUCX |
AuditConnection: lo usa un agente de llamada para recopilar los parámetros aplicados a una conexión. |
|
|
RSIP |
RestareInProgress: se utiliza en una puerta de enlace para notificar a un agente de llamadas que uno o más puntos de conexión se están sacando de servicio o poniéndolo de nuevo en servicio. |
|
|
Códigos de respuesta de MGCP
Cada comando enviado por el agente de llamada o la puerta de enlace, sea que sea correcto o no, requiere un código de respuesta. El código de respuesta está en el encabezado del mensaje de respuesta y, opcionalmente, va seguido de información de descripción de la sesión.
El encabezado de respuesta se compone de una línea de respuesta, seguida de cero o más líneas de parámetros, cada una con una letra de nombre de parámetro seguida de su valor. El encabezado de respuesta se compone de un código de respuesta de tres dígitos, id de transacción y, opcionalmente, seguido de comentario. El encabezado de respuesta del siguiente mensaje de respuesta muestra el código de respuesta 200 (completado correctamente), seguido del ID 1204 y el comment:OK.
200 1204 OK I: FDE234C8 v=0 o=- 25678 753849 IN IP4 128.96.41.1 s=- c=IN IP4 128.96.41.1 t=0 0 m=audio 3456 RTP/AVP 96 a=rtpmap:96 G726-32/8000
Los rangos de códigos de respuesta se definen de la siguiente manera:
000 — 099 indicar un reconocimiento de respuesta.
100 a 199— indicar una respuesta provisional.
200 a 299 indican una finalización correcta (respuesta final).
400 — 499 indican un error transitorio (respuesta final).
500 - 599 indican un error permanente (respuesta final).
Consulte el RFC 3661 para obtener información detallada sobre los códigos de respuesta.
Una respuesta a un comando se envía a la dirección de origen del comando, no a la entidad notificada actual. Una puerta de enlace de medios puede recibir comandos MGCP de varias direcciones de red simultáneamente y enviar respuestas a las direcciones de red correspondientes. Sin embargo, envía todos los comandos MGCP a su entidad notificada actual.
Descripción general de la configuración de MGCP ALG
El Protocolo de control de puerta de enlace de medios (MGCP ALG) está habilitado de forma predeterminada en el dispositivo; no es necesario realizar ninguna acción para habilitarlo. Sin embargo, puede optar por ajustar las operaciones de MGCP ALG mediante las siguientes instrucciones:
Libere el ancho de banda cuando las llamadas no finalicen correctamente. Vea ejemplo: Configuración de la duración de la llamada MGCP ALG.
Controle cuánto tiempo puede permanecer activa una llamada sin tráfico de medios. Vea el ejemplo: Establecer tiempo de espera de medios inactivos MGCP ALG.
Rastree y despeje el tráfico de señales cuando se abaste el tiempo de espera. Vea el ejemplo: Establecer tiempo de espera de transacción MGCP ALG.
Proteja la puerta de enlace de medios de ataques de inundación de denegación de servicio (DoS). Vea el ejemplo: Configurar la protección contra ataques MGCP ALG DoS.
Habilite que los mensajes desconocidos pasen cuando la sesión está en el modo de traducción de direcciones de red (TDR) y en el modo de ruta. Vea ejemplo: Permitir tipos de mensajes MGCP ALG desconocidos.
Ejemplo: Configurar puertas de enlace de medios en los hogares de los suscriptores mediante MGCP ALG
En este ejemplo, se muestra cómo configurar puertas de enlace de medios en los hogares de los suscriptores mediante ALG MGCP.
Requisitos
Antes de empezar:
Configurar zonas. Vea ejemplo: Creación de zonas de seguridad.
Configure direcciones e interfaces. Consulte Ejemplo: Configurar libretas de direcciones y conjuntos de direcciones.
Configure políticas de seguridad. Consulte Descripción general de la configuración de las políticas de seguridad.
Visión general
Cuando un proveedor de servicios de cable ofrece servicios de MGCP a suscriptores residenciales, localiza el dispositivo y el agente de llamada de Juniper Networks en sus instalaciones e instala un decodificador en el hogar de cada suscriptor. Los decodificadores actúan como puertas de enlace para las residencias.
Después de crear zonas (external_subscriber para el cliente y internal_ca para el proveedor de servicios), configura direcciones, luego interfaces y, por último, políticas para permitir la señalización entre puntos de conexión. Tenga en cuenta que aunque las puertas de enlace suelen residir en diferentes zonas, lo que requiere políticas para el tráfico de medios, en este ejemplo, ambas puertas de enlace se encuentran en la misma subred. Tenga en cuenta también que, dado que el tráfico RTP entre las puertas de enlace nunca pasa por el dispositivo, no se necesita ninguna política para los medios. Véase la figura 1.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone external-subscriber host-inbound-traffic system-services all set security zones security-zone external-subscriber host-inbound-traffic protocols all set security zones security-zone internal-ca host-inbound-traffic system-services all set security zones security-zone internal-ca host-inbound-traffic protocols all set interfaces ge-0/0/1 unit 0 family inet address 2.2.2.1/24 set interfaces ge-0/0/0 unit 0 family inet set security zones security-zone external-subscriber interfaces ge-0/0/0 set security zones security-zone internal-ca interfaces ge-0/0/1 set security address-book book1 address ca-agent 110.1.1.101/32 set security address-book book1 attach zone internal-ca set security address-book book2 address subscriber-subnet 2.2.2.1/24 set security address-book book2 attach zone external-subscriber set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match source-address ca-agent-1 set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match destination-address subscriber-subnet set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers match application junos-mgcp set security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers then permit set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match source-address subscriber-subnet set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match destination-address ca-agent-1 set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca match application junos-mgcp set security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca then permit set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match source-address any set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match destination-address any set security policies from-zone internal-ca to-zone internal-ca policy intra-ca match application any set security policies from-zone internal-ca to-zone internal-ca policy intra-ca then permit set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match source-address any set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match destination-address any set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber match application any set security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar puertas de enlace de medios en los hogares de los suscriptores mediante MGCP ALG:
Cree zonas de seguridad para el cliente y el proveedor de servicios.
[edit security zones security-zone external-subscriber] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all [edit security zones security-zone internal-ca] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all
Configure interfaces para las zonas.
[edit] user@host# edit security zones security-zone external-subscriber interfaces ge-0/0/0 user@host# set interfaces ge-0/0/0 unit 0 family inet user@host# set security zones security-zone internal-ca interfaces ge-0/0/1 user@host# set interfaces ge-0/0/1 unit 0 family inet address 2.2.2.1/24
Configure las libretas de direcciones y adjunte zonas a ellas.
[edit security address-book book1] user@host# set address ca-agent 110.1.1.101/32 user@host# set attach zone internal-ca
[edit security address-book book2] user@host# set address subscriber-subnet 2.2.2.1/24 user@host# set attach zone external-subscriber
Configure políticas para el tráfico desde la zona interna hasta la externa.
[edit security policies from-zone internal-ca to-zone external-subscriber policy ca-to-subscribers] user@host# edit match source-address ca-agent-1 user@host# set match destination-address subscriber-subnet user@host# set match application junos-mgcp user@host# set then permit
Configure políticas para el tráfico desde la zona externa a la interna.
[edit security policies from-zone external-subscriber to-zone internal-ca policy subscriber-to-ca] user@host# edit match source-address subscriber-subnet user@host# set match destination-address ca-agent-1 user@host# set match application junos-mgcp user@host# set then permit
Configure políticas para el tráfico entre dos zonas internas.
[edit security policies from-zone internal-ca to-zone internal-ca policy intra-ca] user@host# edit match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
Configure políticas para el tráfico entre dos zonas externas.
[edit security policies from-zone external-subscriber to-zone external-subscriber policy intra-subscriber] user@host# edit match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
from-zone internal-ca to-zone external-subscriber {
policy ca-to-subscribers {
match {
source-address ca-agent-1;
destination-address subscriber-subnet;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone external-subscriber to-zone internal-ca {
policy subscriber-to-ca {
match {
source-address subscriber-subnet;
destination-address ca-agent-1;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone internal-ca to-zone internal-ca {
policy intra-ca {
match {
ssource-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone external-subscriber to-zone external-subscriber {
policy intra-subscriber {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
- Verificar las ALG MGCP
- Verificar las llamadas de MGCP ALG
- Verificar puntos de conexión MGCP ALG
- Verificar contadores MGCP ALG
Verificar las ALG MGCP
Propósito
Verifique las opciones de verificación DE MGCP ALG.
Acción
Desde el modo operativo, ingrese el show security alg mgcp ? comando.
user@host> show security alg mgcp ? Possible completions: calls Show MGCP calls counters Show MGCP counters endpoints Show MGCP endpoints
Significado
El resultado muestra una lista de todos los parámetros de verificación MGCP. Compruebe la siguiente información:
Todas las llamadas de MGCP
Contadores para todas las llamadas de MGCP
Información sobre todos los puntos de conexión de MGCP
Verificar las llamadas de MGCP ALG
Propósito
Verifique la información de las llamadas de MGCP activas.
Acción
Desde el modo operativo, ingrese el show security alg mgcp calls comando.
user@host> show security alg mgcp calls
Endpoint@GW Zone Call ID RM Group
d001@101.50.10.1 Trust 10d55b81140e0f76 512
Connection Id> 0
Local SDP> o: 101.50.10.1 x_o: 101.50.10.1
c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
Remote SDP> c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Endpoint@GW Zone Call ID RM Group
d001@3.3.3.5 Untrust 3a104e9b41a7c4c9 511
Connection Id> 0
Local SDP> o: 3.3.3.5 x_o: 3.3.3.5
c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Remote SDP> c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
Significado
El resultado muestra información de todas las llamadas MGCP. Compruebe la siguiente información:
Extremo
Zona
Identificador de llamada
Grupo de administrador de recursos
Verificar puntos de conexión MGCP ALG
Propósito
Verifique la información acerca de los puntos de conexión de MGCP.
Acción
Desde el modo operativo, ingrese el show security alg mgcp endpoints comando.
user@host> show security alg mgcp endpoints Gateway: 101.50.10.1 Zone: Trust IP: 101.50.10.1 -> 101.50.10.1 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0 Gateway: 3.3.3.5 Zone: Untrust IP: 3.3.3.5 -> 3.3.3.5 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0
Significado
El resultado muestra información de todos los puntos de conexión de MGCP. Compruebe la siguiente información:
Dirección IP de puerta de enlace y zona de ambos puntos de conexión
Identificador de punto de conexión, número de transacción, número de llamada y entidad notificada para cada puerta de enlace
Verificar contadores MGCP ALG
Propósito
Verifique la información de los contadores de MGCP.
Acción
Desde el modo operativo, ingrese el show security alg mgcp counters comando.
user@host> show security alg mgcp counters MGCP counters summary: Packets received :284 Packets dropped :0 Message received :284 Number of connections :4 Number of active connections :3 Number of calls :4 Number of active calls :3 Number of transactions :121 Number of active transactions:52 Number of re-transmission :68 MGCP Error Counters: Unknown-method :0 Decoding error :0 Transaction error :0 Call error :0 Connection error :0 Connection flood drop :0 Message flood drop :0 IP resolve error :0 NAT error :0 Resource manager error :0 MGCP Packet Counters: CRCX :4 MDCX :9 DLCX :2 AUEP :1 AUCX :0 NTFY :43 RSIP :79 EPCF :0 RQNT :51 000-199 :0 200-299 :95 300-999 :0
Significado
El resultado muestra información de todos los contadores MGCP. Compruebe la siguiente información:
Resumen de contadores de MGCP
Contadores de errores de MGCP
Contadores de paquetes MGCP
Ejemplo: Configuración del servicio alojado por ISP de tres zonas mediante MGCP ALG y TDR
En este ejemplo, se muestra cómo configurar una configuración de tres zonas mediante MGCP ALG y TDR.
Requisitos
Antes de comenzar, comprenda el soporte de TDR con MGCP ALG. Consulte Descripción del MGCP ALG.
Visión general
Normalmente, se usa una configuración de tres zonas cuando un ISP en una ubicación geográfica proporciona servicio a dos redes en diferentes ubicaciones geográficas.
En este ejemplo (véase la figura 2), un ISP ubicado en la costa oeste de EE. UU. proporciona el servicio de MGCP a clientes en redes separadas en Asia y San Francisco. Los clientes de Asia se encuentran en la zona asia-3 y cuentan con el soporte de la puerta de enlace asia-gw; Los clientes de San Francisco se encuentran en la zona sf-2 y son compatibles con la puerta de enlace sf-gw. Un agente de llamadas, west-ca, está en la ZDM. Las puertas de enlace y el agente de llamada se enumeran en la tabla 2, en la que se muestra la dirección IP, la interfaz y la zona correspondientes.
En este ejemplo, después de crear zonas y direcciones de configuración para las puertas de enlace y el agente de llamada, asociar las zonas a las interfaces y, a continuación, configurar TDR estático en el agente de llamada y TDR de origen para la comunicación desde un teléfono IP en la zona sf-2 a teléfonos en la zona asia-3. También se configura una política entre las zonas para permitir la comunicación.
Topología
La Figura 2 muestra un servicio alojado por ISP de tres zonas.
alojado por ISP de tres zonas
Gateway |
Dirección IP |
Interfaz |
Zona |
|---|---|---|---|
sf-gw |
192.168.3.201 |
ge-0/0/0 |
sf-2 |
asia-gw |
3.3.3.101 |
ge-0/0/1 |
asia-3 |
oeste-ca |
10.1.1.101 |
ge-0/0/2 |
DMZ |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.10/24 set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.10/24 set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.2/24 set security zones security-zone sf-2 interfaces ge-0/0/0.0 set security zones security-zone asia-3 interfaces ge-0/0/1.0 set security zones security-zone dmz interfaces ge-0/0/2.0 set security address-book book1 address sf-gw 192.168.3.201/32 set security address-book book1 attach zone sf-2 set security address-book book2 address asia-gw 3.3.3.101/32 set security address-book book2 attach zone asia-3 set security address-book book3 address west-ca 10.1.1.101/32 set security address-book book3 attach zone dmz set security nat source pool ip-phone-pool address 3.3.3.20/32 set security nat source rule-set phones from zone sf-2 set security nat source rule-set phones to zone asia-3 set security nat source rule-set phones rule phone1 match source-address 192.168.3.10/32 set security nat source rule-set phones rule phone1 match destination 3.3.3.101/32 set security nat source rule-set phones rule phone1 then source-nat pool ip-phone-pool set security nat static rule-set to-callagent from zone asia-3 set security nat static rule-set to-callagent rule phone1 match destination-address 3.3.3.101/32 set security nat static rule-set to-callagent rule phone1 then static-nat prefix 10.1.1.101/32 set security nat proxy-arp interface ge-0/0/1.0 address 3.3.3.101/32 set security nat proxy-arp interface ge-0/0/1.0 address 3.3.3.20/32 set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match source-address west-ca set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match destination-address asia-gw set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 match application junos-mgcp set security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3 then permit set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match source-address asia-gw set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match destination-address west-ca set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz match application junos-mgcp set security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz then permit set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match source-address sf-gw set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match destination-address west-ca set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz match application junos-mgcp set security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz then permit set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match source-address west-ca set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match destination-address sf-gw set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 match application junos-mgcp set security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2 then permit set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match source-address sf-gw set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match destination-address asia-gw set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 match application junos-mgcp set security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3 then permit set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match source-address asia-gw set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match destination sf-gw set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 match application junos-mgcp set security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2 then permit set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match source-address any set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match destination-address any set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 match application any set security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2 then permit set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match source-address any set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match destination-address any set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 match application any set security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3 then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una configuración de tres zonas mediante MGCP ALG y TDR:
Configure interfaces.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.3.10/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.10/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.1.1.2/24
Cree zonas de seguridad.
[edit security zones] user@host# set security-zone sf-2 interfaces ge-0/0/0 user@host# set security-zone asia-3 interfaces ge-0/0/1 user@host# set security-zone dmz interfaces ge-0/0/2
Cree libretas de direcciones y asigne zonas.
[edit security address-book book1] user@host# set address sf-gw 192.168.3.201/32 user@host# set attach zone sf-2
[edit security address-book book2] user@host# set address asia-gw 3.3.3.101/32 user@host# set attach zone asia-3
[edit security address-book book3] user@host# set address west-ca 10.1.1.101/32 user@host# set attach zone dmz
Cree un conjunto de reglas TDR estático y establezca las condiciones y acciones de coincidencia para él.
[edit security nat static rule-set to-callagent] user@host# set from zone asia-3 user@host# set rule phone1 match destination-address 3.3.3.101/32 user@host# set rule phone1 then static-nat prefix 10.1.1.101/32
Configure el ARP de proxy para la dirección
3.3.3.101/32en la interfazge-0/0/1.0.[edit security nat ] user@host# set proxy-arp interface ge-0/0/1.0 address 3.3.3.101/32
Cree un grupo TDR de origen.
[edit security nat] user@host# set source pool ip-phone-pool address 3.3.3.20/32
Cree un conjunto de reglas TDR de origen y establezca las condiciones y acciones de coincidencia para él.
[edit security nat source rule-set phones] user@host# set from zone sf-2 user@host# set to zone asia-3 user@host# set rule phone1 match source-address 192.168.3.10/32 user@host# set rule phone1 match destination-address 3.3.3.101/32 user@host# set rule phone1 then source-nat pool ip-phone-pool
Configure el ARP de proxy para la dirección
3.3.3.20/32en la interfazge-0/0/1.0.[edit security nat ] user@host# set proxy-arp interface ge-0/0/1.0 address 3.3.3.20/32
Configure una política para permitir el tráfico desde la ZDM a Asia.
[edit security policies from-zone dmz to-zone asia-3 policy pol-dmz-to-asia-3] user@host# set match source-address west-ca user@host# set match destination-address asia-gw user@host# set match application junos-mgcp user@host# set then permit
Configure una política para permitir el tráfico de Asia a la ZDM.
[edit security policies from-zone asia-3 to-zone dmz policy pol-asia-3-to-dmz] user@host# set match source-address asia-gw user@host# set match destination-address west-ca user@host# set match application junos-mgcp user@host# set then permit
Configure una política para permitir el tráfico de San Francisco a la ZDM.
[edit security policies from-zone sf-2 to-zone dmz policy pol-sf-2-to-dmz] user@host# set match source-address sf-gw user@host# set match destination-address west-ca user@host# set match application junos-mgcp user@host# set then permit
Configure una política para permitir el tráfico de la ZDM a San Francisco.
[edit security policies from-zone dmz to-zone sf-2 policy pol-dmz-to-sf-2] user@host# set match source-address west-ca user@host# set match destination-address sf-gw user@host# set match application junos-mgcp user@host# set then permit
Configure una política para permitir el tráfico de San Francisco a Asia.
[edit security policies from-zone sf-2 to-zone asia-3 policy pol-sf-2-to-asia-3] user@host# set match source-address sf-gw user@host# set match destination-address asia-gw user@host# set match application junos-mgcp user@host# set then permit
Configure una política para permitir el tráfico desde Asia a San Francisco.
[edit security policies from-zone asia-3 to-zone sf-2 policy pol-asia-3-to-sf-2] user@host# set match source-address asia-gw user@host# set match destination-address sf-gw user@host# set match application junos-mgcp user@host# set then permit
Configure una política para permitir el tráfico en dispositivos dentro de San Francisco.
[edit security policies from-zone sf-2 to-zone sf-2 policy pol-intra-sf-2] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
Configure una política para permitir el tráfico en dispositivos dentro de Asia.
[edit security policies from-zone asia-3 to-zone asia-3 policy pol-intra-asia-3] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set then permit
Resultados
Desde el modo de configuración, ingrese los comandos , show security zones, show security address-book, show security naty show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.3.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.10/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.1.1.2/24;
}
}
}
[edit]
user@host# show security zones
security-zone sf-2 {
interfaces {
ge-0/0/0.0;
}
}
security-zone asia-3 {
interfaces {
ge-0/0/1.0;
}
}
security-zone dmz {
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show security address-book
book1 {
address sf-gw 192.168.3.201/32;
attach {
zone sf-2;
}
}
book2 {
address asia-gw 3.3.3.101/32;
attach {
zone asia-3;
}
}
book3 {
address west-ca 10.1.1.101/32;
attach {
zone dmz;
}
}
[edit]
user@host# show security nat
source {
pool ip-phone-pool {
address {
3.3.3.20/32;
}
}
rule-set phones {
from zone sf-2;
to zone asia-3;
rule phone1 {
match {
source-address 192.168.3.10/32;
destination-address 3.3.3.101/32;
}
then {
source-nat {
pool {
ip-phone-pool;
}
}
}
}
}
}
static {
rule-set to-callagent {
from zone asia-3;
rule phone1 {
match {
destination-address 3.3.3.101/32;
}
then {
static-nat prefix 10.1.1.101/32;
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
3.3.3.101/32;
3.3.3.20/32;
}
}
}
[edit]
user@host# show security policies
from-zone dmz to-zone asia-3 {
policy pol-dmz-to-asia-3 {
match {
source-address west-ca;
destination-address asia-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone asia-3 to-zone dmz {
policy pol-asia-3-to-dmz {
match {
source-address asia-gw;
destination-address west-ca;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone sf-2 to-zone dmz {
policy pol-sf-2-to-dmz {
match {
source-address sf-gw;
destination-address west-ca;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone dmz to-zone sf-2 {
policy pol-dmz-to-sf-2 {
match {
source-address west-ca;
destination-address sf-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone sf-2 to-zone asia-3 {
policy pol-sf-2-to-asia-3 {
match {
source-address sf-gw;
destination-address asia-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone asia-3 to-zone sf-2 {
policy pol-asia-3-to-sf-2 {
match {
source-address asia-gw;
destination-address sf-gw;
application junos-mgcp;
}
then {
permit;
}
}
}
from-zone sf-2 to-zone sf-2 {
policy pol-intra-sf-2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone asia-3 to-zone asia-3 {
policy pol-intra-asia-3 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar MGCP ALG
- Verificar las llamadas de MGCP
- Verificar las estadísticas de MGCP ALG
- Verificar puntos de conexión de MGCP
Verificar MGCP ALG
Propósito
Compruebe si MGCP ALG está habilitado.
Acción
Desde el modo operativo, ingrese el show security alg status | match mgcp comando.
user@host> show security alg status | match mgcp
MGCP : Enabled
Significado
El resultado muestra el estado de MGCPALG de la siguiente manera:
Habilitado (Enabled): muestra que MGCP ALG está habilitado.
Deshabilitado(Deshabilitado): muestra que MGCP ALG está deshabilitado.
Verificar las llamadas de MGCP
Propósito
Compruebe las llamadas MGCP que están activas actualmente.
Acción
Desde el modo operativo, ingrese el show security alg mgcp calls comando.
user@host> show security alg mgcp calls
Endpoint@GW Zone Call ID RM Group
d001@101.50.10.1 Trust 10d55b81140e0f76 512
Connection Id> 0
Local SDP> o: 101.50.10.1 x_o: 101.50.10.1
c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
Remote SDP> c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Endpoint@GW Zone Call ID RM Group
d001@3.3.3.5 Untrust 3a104e9b41a7c4c9 511
Connection Id> 0
Local SDP> o: 3.3.3.5 x_o: 3.3.3.5
c: 3.3.3.5/16928 x_c: 3.3.3.5/16928
Remote SDP> c: 101.50.10.1/32206 x_c: 101.50.10.1/32206
Significado
El resultado muestra información de todas las llamadas MGCP. Compruebe la siguiente información:
Extremo
Zona
Identificador de llamada
Grupo de administrador de recursos
Verificar las estadísticas de MGCP ALG
Propósito
Verifique las estadísticas DE MGCP ALG.
Acción
Desde el modo operativo, ingrese el show security alg mgcp counters comando.
user@host> show security alg mgcp counters
MGCP counters summary: Packets received :284 Packets dropped :0 Message received :284 Number of connections :4 Number of active connections :3 Number of calls :4 Number of active calls :3 Number of transactions :121 Number of active transactions:52 Number of re-transmission :68 MGCP Error Counters: Unknown-method :0 Decoding error :0 Transaction error :0 Call error :0 Connection error :0 Connection flood drop :0 Message flood drop :0 IP resolve error :0 NAT error :0 Resource manager error :0 MGCP Packet Counters: CRCX :4 MDCX :9 DLCX :2 AUEP :1 AUCX :0 NTFY :43 RSIP :79 EPCF :0 RQNT :51 000-199 :0 200-299 :95 300-999 :0
Significado
El resultado muestra información de todos los contadores MGCP. Compruebe la siguiente información:
Resumen de contadores de MGCP
Contadores de errores de MGCP
Contadores de paquetes MGCP
Verificar puntos de conexión de MGCP
Propósito
Verifique los puntos de conexión de MGCP.
Acción
Desde el modo operativo, ingrese el show security alg mgcp endpoints comando.
user@host> show security alg mgcp endpoints
Gateway: 101.50.10.1 Zone: Trust IP: 101.50.10.1 -> 101.50.10.1 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0 Gateway: 3.3.3.5 Zone: Untrust IP: 3.3.3.5 -> 3.3.3.5 Endpoint Trans # Call # Notified Entity d001 1 1 0.0.0.0/0->0.0.0.0/0
Significado
El resultado muestra información de todos los puntos de conexión de MGCP. Compruebe la siguiente información:
Dirección IP de puerta de enlace y zona de ambos puntos de conexión
Identificador de punto de conexión, número de transacción, número de llamada y entidad notificada para cada puerta de enlace
Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG
La función de duración de la llamada le da control sobre la actividad de llamada del Protocolo de control de puerta de enlace de medios (MGCP) y le ayuda a administrar los recursos de red.
Por lo general, se enviará un mensaje de eliminación de conexión (DLCX) para eliminar una conexión. La puerta de enlace de capa de aplicación MCGP (ALG) la intercepta y elimina todas las sesiones de medios para esa conexión.
Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dos sesiones (o dos flujos de medios), una para el tráfico del Protocolo de transporte en tiempo real (RTP) y otra para la señalización del Protocolo de control en tiempo real (RTCP). Al administrar las sesiones, el dispositivo considera las sesiones de cada canal de voz como un solo grupo. La configuración de tiempo de espera y duración de llamada se aplica a un grupo en lugar de a cada sesión.
Los siguientes parámetros gobiernan la actividad de llamada de MGCP:
maximum-call-duration— Este parámetro establece la longitud máxima absoluta de una llamada. Cuando una llamada supera esta configuración de parámetro, MGCP ALG desgarra la llamada y libera las sesiones de medios. La configuración predeterminada es de 720 minutos y el intervalo es de 3 a 720 minutos. Esta configuración también libera el ancho de banda en los casos en que las llamadas no terminan correctamente.inactive-media-timeout— Este parámetro indica el tiempo máximo (en segundos) que una llamada puede permanecer activa sin tráfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, las puertas MGCP ALG abiertas para los medios se cierran. La configuración predeterminada es de 120 segundos y el intervalo es de 10 a 2550 segundos. Tenga en cuenta que tras el tiempo de espera, aunque se eliminan los recursos para medios (sesiones y pinholes), la llamada no termina.Nota:El
inactive-media-timeoutvalor debe ser menor que elmaximum-call-durationvalor.transaction-timeout— Una transacción es un comando y su respuesta obligatoria. Por ejemplo, un NTFY desde la puerta de enlace al agente de llamada o un 200 OK del agente de llamada a la puerta de enlace. El dispositivo Juniper Networks rastrea estas transacciones y las despeda cuando están fuera de tiempo. El intervalo de tiempo de espera para las transacciones de MGCP es de 3 a 50 segundos y el valor predeterminado es de 30 segundos.
Ejemplo: Configuración de la duración de la llamada MGCP ALG
En este ejemplo, se muestra cómo establecer la duración de la llamada para MGCP ALG.
Requisitos
Antes de comenzar, determine el tipo de parámetro utilizado para controlar la actividad de llamada de MGCP y administrar sus recursos de red. Consulte Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG.
Visión general
El maximum-call-duration parámetro controla la actividad de llamada de MGCP y establece la longitud máxima absoluta de una llamada. Cuando una llamada supera esta configuración de parámetro, MGCP ALG desgarra la llamada y libera las sesiones de medios. La configuración predeterminada es de 720 minutos y el intervalo es de 3 a 720 minutos. Esta configuración también libera el ancho de banda en los casos en que las llamadas no terminan correctamente. En este ejemplo, la duración de la llamada se establece en 600 minutos.
Configuración
Procedimiento
Configuración rápida de GUI
Procedimiento paso a paso
Para establecer la duración de la llamada para MGCP ALG:
Seleccione
Configure>Security>ALG.Seleccione la
MGCPpestaña.En el cuadro Duración máxima de la llamada, escriba
600.Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata.Si ha terminado de configurar el dispositivo, haga clic en
Commit Options>Commit.
Procedimiento paso a paso
Para establecer la duración de la llamada para MGCP ALG:
Configure la duración de la llamada MGCP ALG.
[edit] user@host# set security alg mgcp maximum-call-duration 600
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.
Ejemplo: Establecer tiempo de espera de medios inactivos MGCP ALG
En este ejemplo, se muestra cómo establecer el valor de tiempo de espera de medios inactivo para MGCP ALG.
Requisitos
Antes de comenzar, determine el tipo de parámetro utilizado para controlar la actividad de llamada de MGCP y administrar sus recursos de red. Consulte Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG.
Visión general
El inactive-media-timeout parámetro controla la actividad de llamada de MGCP e indica la duración máxima de tiempo (en segundos) que una llamada puede permanecer activa sin ningún medio (RTP o RTCP) tráfico dentro de un grupo. Cada vez que se produce un paquete RTP o RTCP dentro de una llamada, este tiempo de espera se restablece. Cuando el período de inactividad supera esta configuración, las puertas MGCP ALG abiertas para los medios se cierran. La configuración predeterminada es de 120 segundos y el intervalo es de 10 a 2550 segundos. Tenga en cuenta que tras el tiempo de espera, aunque se eliminan los recursos para medios (sesiones y pinholes), la llamada no termina. En este ejemplo, el tiempo de espera del medio inactivo se establece en 90 segundos.
Configuración
Procedimiento
Configuración rápida de GUI
Procedimiento paso a paso
Para establecer el tiempo de espera de medios inactivos para MGCP ALG:
Seleccione
Configure>Security>ALG.Seleccione la
MGCPpestaña.En el tiempo de espera del medio inactivo, escriba
90.Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata.Si ha terminado de configurar el dispositivo, haga clic en
Commit Options>Commit.
Procedimiento paso a paso
Para establecer el tiempo de espera de medios inactivos para MGCP ALG:
Configure el tiempo de espera de medios inactivos MGCP ALG.
[edit] user@host# set security alg mgcp inactive-media-timeout 90
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.
Ejemplo: Establecer tiempo de espera de transacción MGCP ALG
En este ejemplo, se muestra cómo establecer el tiempo de espera de la transacción para MGCP ALG.
Requisitos
Antes de comenzar, determine el tipo de parámetro utilizado para controlar la actividad de llamada de MGCP y administrar sus recursos de red. Consulte Descripción de la duración y los tiempos de espera de las llamadas MGCP ALG.
Visión general
El transaction-timeout parámetro controla la actividad de llamada de MGCP y es un mensaje de señalización; por ejemplo, un NTFY desde la puerta de enlace al agente de llamada o un OK 200 del agente de llamada a la puerta de enlace. El dispositivo de Juniper Networks rastrea estas transacciones y las borra cuando están fuera de tiempo. El intervalo de tiempo de espera para las transacciones de MGCP es de 3 a 50 segundos, y el valor predeterminado es de 30 segundos. En este ejemplo, el tiempo de espera de la transacción se establece en 20 segundos.
Configuración
Procedimiento
Configuración rápida de GUI
Procedimiento paso a paso
Para establecer el tiempo de espera de la transacción para MGCP ALG:
Seleccione
Configure>Security>ALG.Seleccione la
MGCPpestaña.En el tiempo de espera de transacciones, escriba
20.Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata.Si ha terminado de configurar el dispositivo, haga clic en
Commit Options>Commit.
Procedimiento paso a paso
Para establecer el tiempo de espera de la transacción para MGCP ALG:
Configure el valor de tiempo de espera de transacción MGCP ALG.
[edit] user@host# set security alg mgcp transaction-timeout 20
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.
Ejemplo: Configurar la protección contra ataques MGCP ALG DoS
En este ejemplo, se muestra cómo configurar la protección contra inundación de conexión para MGCP ALG.
Requisitos
Antes de comenzar, determine si proteger la puerta de enlace de medios MGCP de ataques de inundación DoS.
Visión general
Puede proteger la puerta de enlace de medios del Protocolo de control de puerta de enlace de medios (MGCP) de ataques de inundación de denegación de servicio (DoS) limitando la cantidad de mensajes y conexiones del servicio de acceso remoto (RAS) por segundo que intentará procesar.
Cuando configure la protección contra inundación de mensajes mgCP, la puerta de enlace de capa de aplicación (ALG) mgcp elimina cualquier mensaje que supere el umbral establecido. El intervalo es de 2 a 50 000 mensajes por segundo por puerta de enlace de medios y el valor predeterminado es de 1000 mensajes por segundo por puerta de enlace de medios.
Cuando configure la protección contra inundación de conexión MGCP, MGCP ALG elimina cualquier solicitud de conexión que supere el umbral establecido. Esto limita la velocidad de procesamiento de CreateConnection (CRCX) comandos, lo que limita indirectamente la creación de agujeros de pin. El intervalo es de 2 a 10 000 solicitudes de conexión por segundo por puerta de enlace de medios, el valor predeterminado es 200.
En este ejemplo, configure MGCP ALG para que elimine cualquier solicitud de mensaje que supere las 10 000 solicitudes por segundo y que elimine las solicitudes de conexión que superen los 4000 por segundo.
Configuración
Procedimiento
Configuración rápida de GUI
Procedimiento paso a paso
Para configurar la protección contra inundación de conexión para MGCP ALG:
Seleccione
Configure>Security>ALG.Seleccione la
MGCPpestaña.En el cuadro Umbral del guardián de la puerta de entrada de inundación del mensaje, escriba
10000.En el cuadro Umbral de inundación de conexión, escriba
4000.Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata.Si ha terminado de configurar el dispositivo, haga clic en
Commit Options>Commit.
Procedimiento paso a paso
Para configurar la protección contra inundación de conexión para MGCP ALG:
Configure el valor del umbral de inundación de conexión.
[edit] user@host# set security alg mgcp application-screen message-flood threshold 10000 user@host# set security alg mgcp application-screen connection-flood threshold 4000
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.
Ejemplo: Permitir tipos de mensajes ALG MGCP desconocidos
En este ejemplo, se muestra cómo configurar MGCP ALG para permitir tipos de mensajes MGCP desconocidos tanto en modo TDR como en modo de ruta.
Requisitos
Antes de comenzar, determine si desea adaptar los tipos de mensajes MGCP nuevos y desconocidos para el dispositivo.
Visión general
Para adaptarse al desarrollo en marcha del Protocolo de control de puerta de enlace de medios (MGCP), es posible que desee permitir tráfico que contenga nuevos tipos de mensajes MGCP. La función de tipo de mensaje MGCP desconocido le permite configurar el dispositivo de Juniper Networks para que acepte tráfico MGCP que contiene tipos de mensajes desconocidos tanto en el modo de traducción de direcciones de red (TDR) como en el modo de ruta.
Esta función le permite especificar cómo los mensajes MGCP no identificados son gestionados por el dispositivo de Juniper Networks. El valor predeterminado es soltar mensajes desconocidos (no compatibles). Los mensajes desconocidos pueden comprometer la seguridad. Sin embargo, en un entorno de prueba o producción seguro, este comando puede ser útil para resolver problemas de interoperabilidad con equipos de proveedores dispares. Permitir mensajes de MGCP desconocidos puede ayudarlo a que su red funcione para que luego pueda analizar su tráfico de voz sobre IP (VoIP) para determinar por qué se estaban perdiendo algunos mensajes.
Tenga en cuenta que este comando solo se aplica a los paquetes recibidos identificados como paquetes de VoIP compatibles. Si no se puede identificar un paquete, siempre se pierde. Si se identifica un paquete como protocolo compatible y ha configurado el dispositivo para permitir tipos de mensaje desconocidos, el mensaje se reenvía sin procesar.
Configuración
Procedimiento
Configuración rápida de GUI
Procedimiento paso a paso
Para configurar MGCP ALG para permitir tipos de mensajes desconocidos:
Seleccione
Configure>Security>ALG.Seleccione la
MGCPpestaña.Active la casilla de
Enable Permit NAT appliedverificación.Active la casilla de
Enable Permit routedverificación.Haga clic
OKpara comprobar la configuración y guardarla como configuración candidata.Si ha terminado de configurar el dispositivo, haga clic en
Commit Options>Commit.
Procedimiento paso a paso
Para configurar MGCP ALG para permitir tipos de mensajes desconocidos:
Permitir que los tipos de mensajes desconocidos pasen si la sesión está en modo TDR o en modo de ruta.
[edit] user@host# set security alg mgcp application-screen unknown-message permit-nat-applied permit-routed
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security alg mgcp comando.