Nat
您是否需要啟用 ALG 功能才能在瞻博網路防火牆上對 H323 流量進行 NAT?
如果禁用 ALG 功能(最終禁用 H323 流量檢查功能),您能否對 H323 流量進行 NAT,或者是否需要該功能才能對此類流量進行 NAT?
不,沒有必要。事實上,我去年不得不禁用它,才能讓一些 Polycom HDX 設備在 NAT 上正常工作。由於您需要打開額外的高埠,因此 IMO 的工作量更大,但仍然如此。除非您遇到以下知識庫文章中的問題,否則建議您繼續使用它。或者,另一種方法是打開 H323 流量使用的實際埠(不使用內置的 H323 服務,而是通過創建具有高埠開放和必要的自定義服務)。
實際上有一篇 Juniper 知識庫文章對其進行了描述:
摘要:SIP、H.323、RTSP 連接不工作且信任介面配置為 NAT 模式(基於介面的 NAT)
問題或目標: 環境:
SIP H.323 RTSP如果配置了基於介面的 NAT,任何使用 SIP、H.323 或 RTSP 的應用程序都將無法正常工作。ALG 不會在有效負載中正確轉換 IP。
解決方案:
這些 VoIP 應用程序只有在使用基於策略的 NAT 時才能正常執行。這也會影響 IPSec VPN。
要解決此問題,強烈建議對 SIP、H.323 和 RTSP 流量通過的策略使用基於策略的 NAT(策略內的源網路地址轉換)。通常,當使用基於策略的 NAT 時,信任或源介面會更改為路由模式,並且所有策略(需要進行 NAT 的)都配置為使用基於策略的 NAT。但是,信任或源介面仍保持在 NAT 模式是可以的,只要 SIP、H.323 通過策略並在策略上啟用 NAT。