请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 872|回复: 1

ASA H.323检测【原创翻译】

[复制链接]
发表于 2020-3-30 22:13:49 | 显示全部楼层 |阅读模式
H.323 检测
H.323 检测支持RAS、H.225 和H.245,这项检测功能会转换所有嵌入式IP 地址和端口。H.323 检测
执行状态跟踪和过滤,并且可以激活很多检测功能。H.323 检测支持电话号码过滤、动态T.120 控
制、H.245 隧道控制、HSI 组、协议状态跟踪、H.323 呼叫持续时间限制和音频/视频控制。
默认情况下,H.323 检测已启用。仅在需要非默认处理的情况下,才需要配置这项检测。


H.323 工作原理
H.323 协议集合总共最多可以使用两个TCP 连接和四到八个UDP 连接。FastConnect 仅使用一个TCP
连接,且RAS 使用单个UDP 连接用于注册、准入和状态。
首先,H.323 客户端可以使用TCP 端口1720 与H.323 服务器之间初步建立TCP 连接,以请求建立
Q.931 呼叫。在呼叫建立过程中,H.323 终端向客户端提供用于H.245 TCP 连接的端口号。在使用
H.323 网守的环境中,初始数据包使用UDP 进行传输。
H.323 检测会监控Q.931 TCP 连接,以确定H.245 端口号。如果H.323 终端使用的不是FastConnect,
ASA 将基于H.225 消息的检测动态分配H.245 连接。使用RAS 时,也可以动态分配H.225 连接。
在每个H.245 消息中,H.323 终端交换用于后续UDP 数据流的端口号。H.323 检测会检测H.245 消
息来标识这些端口,并动态创建用于媒体交换的连接。RTP 使用协商的端口号,而RTCP 使用下一
个更高的端口号。
H.323 控制信道处理H.225、H.245 和H.323 RAS。H.323 检测使用以下端口。
• 1718 - 网守发现UDP 端口
• 1719 - RAS UDP 端口
• 1720 - TCP 控制端口
要实现RAS 信令,必须允许已知H.323 端口1719 的流量。此外,要实现H.225 呼叫信令,必须允
许已知H.323 端口1720 的流量;但是,H.245 信令端口要在H.225 信令中的终端之间协商。使用
H.323 网守时,ASA 将基于ACF 和RCF 消息的检测打开H.225 连接。
检测H.225 消息后,ASA 将打开H.245 通道,然后也会检测通过H.245 通道发送的流量。通过ASA
传递的所有H.245 消息均会接受H.245 应用检测,即转换嵌入的IP 地址并打开H.245 消息中协商的
媒体通道。
每个具有通过H.323 检测的数据包的UDP 连接都将被标记为H.323 连接,且每个连接均按照使用
timeout 命令配置的H.323 超时值设置超时值。

H.323 检测的局限性
H.323 检测已经过测试,受思科统一通信管理器(CUCM) 7.0 支持。CUCM 8.0 及更高版本不支持这
项检测。H.323 检测可能适用于其他版本和产品。
以下是H.323 应用检测的某些已知问题和局限性:

•支持PAT,但扩展PAT 或每会话PAT 除外。
•静态PAT 可能无法正确转换H.323 消息内嵌入到可选字段中的IP 地址。如果遇到这种问题,
请勿对H.323 使用静态PAT。
•不支持同一安全级别接口之间的NAT。
•不支持NAT64。

配置 H.323 检测策略映射
如果默认检测行为不能满足网络要求,可以创建H.323 检测策略映射以自定义H.323 检测操作。
步骤 1 (可选)执行以下步骤创建H.323 检测类映射。
类映射可组合多个流量匹配。或者,您也可以直接在策略映射中标识match 命令。创建类映射与直
接在检测策略映射中定义流量匹配之间的差别在于,前一种做法可以创建更复杂的匹配条件,并且
可以重复使用类映射。
要指定不应匹配类映射的流量,请使用match not 命令。例如,如果match not 命令指定了字符串
“example.com”,则包含“example.com”的任何流量均与该类映射不匹配。
对于在此类映射中标识的流量,可以在检测策略映射中指定要对流量执行的操作。
如果要对每个match 命令执行不同的操作,应该直接在策略映射中标识流量。
a) 创建类映射:class-map type inspect h323 [match-all | match-any] class_map_name
其中,class_map_name 是类映射的名称。match-all 关键字为默认值,指定流量必须匹配所有条
件,才能匹配类映射。match-any 关键字指定如果流量匹配至少一个条件,则匹配类映射。CLI
将进入类映射配置模式,可以在该模式下输入一个或多个match 命令。
b) (可选)添加类映射说明:description string
其中,string 是对类映射的说明(最多可包含200 个字符)。
c) 使用以下其中一个match 命令指定要对其执行操作的流量。如果使用match not 命令,将会对不
匹配match not 命令中的条件的所有流量应用操作。
• match [not] called-party regex {regex_name | class class_name} - 将被叫方与指定的正则表达
式或正则表达式类进行匹配。
• match [not] calling-party regex {regex_name | class class_name} - 将主叫方与指定的正则表达
式或正则表达式类进行匹配。
• match [not] media-type {audio | data | video} - 匹配媒体类型。

步骤 2 创建H.323 检测策略映射:policy-map type inspect h323 policy_map_name
其中,policy_map_name 是策略映射的名称。CLI 将进入策略映射配置模式。
步骤 3 (可选)添加策略映射说明:description string
步骤 4 要对匹配的流量应用操作,请执行以下步骤
可以在策略映射中指定多个class 或match 命令

a) 使用以下其中一种方法指定要对其执行操作的流量:
•如果您已创建H.323 类映射,请输入以下命令对其进行指定:class class_map_name
•对H.323 类映射使用上述match 命令之一,以直接在策略映射中指定流量。如果使用match
not 命令,将会对不匹配match not 命令中的条件的所有流量应用操作。
b) 通过输入下列命令之一,指定要对匹配的流量执行的操作:
• drop [log] - 丢弃数据包。对于媒体类型匹配,可以包括log 关键字以发送系统日志消息。
• drop-connection - 丢弃数据包并关闭连接。此选项适用于被叫方匹配或主叫方匹配。
• reset - 丢弃数据包、关闭连接并向服务器和/或客户端发送TCP 重置。此选项适用于被叫方
匹配或主叫方匹配。
步骤 5 要配置影响检测引擎的参数,请执行以下步骤:
a) 进入参数配置模式:
hostname(config-pmap)# parameters
hostname(config-pmap-p)#
b) 设置一个或多个参数。可以设置以下选项;使用命令的no 形式可禁用该选项:
• ras-rcf-pinholes enable - 启用H.323 终端之间的呼叫建立。如果网守在网络内部,可以在
H.323 终端之间启用呼叫建立。使用此选项可根据RegistrationRequest/RegistrationConfirm
(RRQ/RCF) 消息为呼叫打开针孔。由于这些RRQ/RCF 消息会进出网守,所以呼叫终端的IP
地址未知且ASA 会通过源IP 地址/端口0/0 打开针孔。默认情况下,此选项已禁用。
• timeout users time - 设置H.323 呼叫持续时间限制(格式为hh:mm:ss)。如果不想设置超
时,请指定00:00:00。超时范围是0:0:0 到1193:0:0。
• call-party-number - 在呼叫建立过程中强制发送主叫方号码。
• h245-tunnel-block action {drop-connection | log} - 强制阻止H.245 隧道。指定是要断开连接
还是仅记录连接。
• rtp-conformance [enforce-payloadtype] - 检查流经针孔的RTP 数据包的协议符合性。可选的
enforce-payloadtype 关键字基于信令交换将负载类型限制为音频或视频。
• state-checking {h225 | ras} - 启用状态检查验证。可以分别为H.225 和RAS 输入此命令来启
用状态检查。
early-message message_type - 是否允许指定类型的H.225 消息在H.225 SETUP 消息之前到达
可以按照H.460.18 允许facility 消息提前到达。
如果遇到呼叫建立问题(使用H.323/H.225 时连接会在完成之前被关闭),请使用此命令允
许消息提前到达。此外,请确保为H.323 RAS 和H.225 启用检测(默认情况下,它们处于
启用状态)。
步骤 6 可以在仍处于参数配置模式下时配置HSI 组。
a) 定义HSI 组并进入HSI 组配置模式:hsi-group id
其中id 为HSI 组ID。范围为0 至2147483647。
b) 使用以下IP 地址向HSI 组中添加HSI:hsi ip_address
每个HSI 组最多可以添加5 台主机。
c) 向HSI 组中添加终端:endpoint ip_address if_name
其中ip_address 为要添加的终端,if_name 为终端连接到ASA 使用的接口。每个HSI 组最多可以
添加10 个终端。

示例
以下示例显示如何配置电话号码过滤:
hostname(config)# regex caller 1 “5551234567”
hostname(config)# regex caller 2 “5552345678”
hostname(config)# regex caller 3 “5553456789”
hostname(config)# class-map type inspect h323 match-all h323_traffic
hostname(config-pmap-c)# match called-party regex caller1
hostname(config-pmap-c)# match calling-party regex caller2
hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# class h323_traffic
hostname(config-pmap-c)# drop




  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-4-10 19:46:32 | 显示全部楼层
写的详细。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-10-2 00:48 , Processed in 0.082020 second(s), 30 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表