Можете ли вы использовать NAT для трафика H323, если функции ALG отключены (в конечном итоге отключены возможности проверки трафика H323), или эта функция требуется для NAT такого трафика?
Нет, в этом нет необходимости. Фактически, мне пришлось отключить его в прошлом году, чтобы некоторые устройства Polycom HDX правильно работали через NAT. Это немного усложняет работу IMO, так как вам нужно открыть дополнительные высокие порты, но все же. Тем не менее, рекомендуется оставить его включенным, если у вас не возникнут проблемы, например, в статье базы знаний ниже. ИЛИ альтернативой является открытие фактических портов, используемых вашим трафиком H323 (не с использованием встроенной службы H323, а путем создания специальной службы с открытыми портами с высоким числом портов, а также при необходимости).
На самом деле есть статья в базе знаний Juniper, которая описывает это:
Сводка: SIP, H.323, RTSP-соединения не работают, а интерфейс доверия настроен в режиме NAT (NAT на основе интерфейса)
Проблема или цель: Окружающая среда:
SIP
H.323
RTSP
Любые приложения, использующие SIP, H.323 или RTSP, не будут работать должным образом, если настроен NAT на основе интерфейса. ALG не будет правильно переводить IP в полезную нагрузку.
Решение:
Эти приложения VoIP будут правильно работать только при использовании NAT на основе политик. Это также влияет на IPSec VPN.
Для решения этой проблемы настоятельно рекомендуется использовать NAT на основе политик (преобразование сетевых адресов источника в политике) в политиках, через которые проходит трафик SIP, H.323 и RTSP. Обычно, когда используется NAT на основе политик, доверительный или исходный интерфейс изменяется на режим маршрутизации, и все политики (которые должны быть NAT) настроены для использования NAT на основе политик. Однако вполне нормально, что доверительный или исходный интерфейс все еще остается в режиме NAT, пока SIP, H.323 проходят через политику с включенным NAT в политике.