您是否需要启用 ALG 功能才能在 Juniper 防火墙上对 H323 流量进行 NAT ?

您是否需要启用 ALG 功能才能在 Juniper 防火墙上对 H323 流量进行 NAT ?

如果禁用 ALG 功能(最终禁用 H323 流量检查功能),您是否可以对 H323 流量进行 NAT,或者是否需要该功能才能对此类流量进行 NAT?

答案1

不,没有必要。事实上,去年我不得不禁用它,以便让一些 Polycom HDX 设备通过 NAT 正常工作。在我看来,这会增加一些工作量,因为您需要打开额外的高端口,但仍然如此。建议保持它处于打开状态,除非您遇到以下 KB 文章中的问题。或者另一种方法是打开 H323 流量使用的实际端口(不使用内置的 H323 服务,而是通过创建自定义服务,并在必要时打开高端口)。

实际上有一篇 Juniper KB 文章对此进行了描述:

http://kb.juniper.net/InfoCenter/index?page=content&id=KB7407&actp=search&viewlocale=en_US&searchid=1379081132614

摘要:SIP、H.323、RTSP 连接不起作用,并且信任接口配置为 NAT 模式(基于接口的 NAT)

问题或目标:环境:

SIP
H.323
RTSP

如果配置了基于接口的 NAT,则任何使用 SIP、H.323 或 RTSP 的应用程序都将无法正常工作。ALG 不会在有效负载中正确转换 IP。

解决方案:

这些 VoIP 应用程序只有在使用基于策略的 NAT 时才能正常运行。这也会影响 IPSec VPN。

为了解决此问题,强烈建议在 SIP、H.323 和 RTSP 流量通过的策略上使用基于策略的 NAT(策略内的源网络地址转换)。通常,当使用基于策略的 NAT 时,信任或源接口会更改为路由模式,并且所有策略(需要进行 NAT 的策略)都配置为使用基于策略的 NAT。但是,只要 SIP、H.323 通过策略并在策略上启用了 NAT,信任或源接口仍保持 NAT 模式也是可以的。

相关内容