Алг в роутере что это такое

Обновлено: 27.04.2024

Шлюзы прикладного уровня (ALG) управляют определенными протоколами, перехватывая трафик, проходящий через устройство безопасности. После анализа трафика ALG выделяет ресурсы для безопасного прохождения трафика. По умолчанию все ALG включены на защитном устройстве. В ситуациях, когда устройство безопасности получает чрезмерное количество злонамеренного или случайного трафика определенного типа, вы можете отключить связанный с ним ALG.

Вы можете включить или отключить следующие протоколы ALG:

H.323 — три ALG обрабатывают определенные задачи для трафика H.323. Чтобы отключить H.323 на защитном устройстве, необходимо отключить следующие ALG:

H.245 — этот ALG представляет собой протокол управляющей сигнализации, используемый для обмена сообщениями между конечными точками H.323.

Q.931 — этот ALG представляет собой протокол уровня 3, используемый для установления, обслуживания и завершения вызовов цифровой сети с интеграцией служб (ISDN) между конечными точками H.323.

RAS — ALG Registration, Admission, and Status (RAS) используется для регистрации, управления допуском, изменения полосы пропускания, проверки статуса и выполнения процедур отключения между конечными точками H.323 и привратниками.

MSRPC — ALG удаленного вызова процедур Microsoft (MS-RPC) позволяет программе, работающей на одном хосте, вызывать процедуры в программе, работающей на другом хосте. Из-за большого количества служб RPC и необходимости широковещательной рассылки транспортный адрес службы RPC динамически согласовывается на основе универсального уникального идентификатора (UUID) служебной программы.

RTSP. Протокол потоковой передачи в реальном времени (RTSP) управляет доставкой одного или нескольких синхронизированных потоков мультимедиа, например аудио и видео.

SIP. Протокол инициации сеанса (SIP) – это стандартный протокол инженерной группы Интернета (IETF) для инициирования, изменения и завершения мультимедийных сеансов (например, конференц-связи, телефонии или мультимедиа) через Интернет. SIP используется для распространения описания сеанса, согласования и изменения параметров существующего сеанса, а также для завершения мультимедийного сеанса.

SQL — SQL ALG обрабатывает SQL, систему управления реляционными базами данных.

SUNRPC. Удаленный вызов процедур Sun (SUNRPC) позволяет программе, работающей на одном хосте, вызывать процедуры из программы, работающей на другом хосте. Из-за большого количества служб RPC и необходимости широковещательной рассылки транспортный адрес службы RPC динамически согласовывается на основе номера программы и номера версии службы.

MGCP. Протокол управления медиашлюзом (MGCP) поддерживается на устройствах безопасности в режимах Route, Transparent и Network Address Translation (NAT). MGCP — это текстовый протокол прикладного уровня, используемый для установления соединения и управления им. MGCP основан на архитектуре управления вызовами ведущий-ведомый. Контроллер медиа-шлюза (агент вызова) обеспечивает интеллектуальное управление вызовами, а медиа-шлюзы выполняют инструкции от агента вызова.

PPTP — протокол двухточечного туннелирования (PPTP) обеспечивает безопасность IP на сетевом уровне. PPTP состоит из управляющего соединения и туннеля данных. Управляющее соединение проходит через TCP и помогает в установлении и отключении вызовов, а туннель данных обрабатывает инкапсулированные пакеты протокола "точка-точка" (PPP), передаваемые по IP.

SCTP — протокол передачи управления потоком (SCTP) — это транспортный IP-протокол, существующий на том же уровне, что и UDP и TCP. В настоящее время SCTP предоставляет функции транспортного уровня интернет-приложениям. Он предоставляет надежный транспортный сервис, поддерживающий передачу данных по сети последовательно и без ошибок. Вы можете настроить устройство безопасности для выполнения динамической проверки всего трафика SCTP без глубокой проверки. Если вы включите проверку трафика SCTP с отслеживанием состояния, SCTP ALG отбрасывает все аномальные пакеты SCTP.

Настройки Apple-iChat — Apple iChat ALG обеспечивает поддержку приложений iChat, открывая отверстия, которые позволяют текстовым, аудио- и видеовызовам проходить через устройства под управлением ScreenOS 6.1 или более поздней версии. Когда вы включаете функцию AppleiChat ALG, устройство открывает отверстия для настроенного времени ответа на вызов, чтобы установить аудио-/видео-сеанс iChat. Время ответа на вызов — это время, в течение которого устройство открывает отверстия для установления аудио/видео сеанса iChat. Значение по умолчанию для времени ответа на вызов составляет 32 секунды. Когда этот таймер истекает, устройство закрывает отверстия. Диапазон настройки времени ответа на вызов составляет от 20 до 90 секунд. Приложение iChat фрагментирует пакеты, отправляемые получателю, исходя из максимального размера сегмента (MSS) получателя. Значение MSS зависит от сетевой конфигурации приемника. Фрагментированный пакет повторно собирается в ALG для трансляции адреса. По умолчанию возможность повторной сборки отключена.

Настройки IPsec-NAT — вы можете установить время ожидания IPsec-NAT для запуска ESP с пулом DIP. Значение по умолчанию – 30.

В моем маршрутизаторе я видел в настройках ALG. Включены следующие настройки.

Я выполнил поиск в Google по каждому из этих терминов, но не могу понять, что они собой представляют.

Может ли кто-нибудь отменить эти условия и дать рекомендации о том, чего мне ожидать, если я их отключу?


1 Ответ 1

"ALG" здесь означает "Шлюз прикладного уровня". То есть модули брандмауэра, которые справляются с некоторыми особенностями этих протоколов.

В брандмауэре с отслеживанием состояния "состояние" обычно связано только с адресами и номерами портов. То есть вы отправляете пакет с порта X на порт Y сервера, и брандмауэр автоматически разрешает обратный вход. Однако некоторые протоколы используют дополнительные соединения — например, FTP в «активном» режиме делает сервер подключается обратно к вам через отдельный порт. Поэтому брандмауэру нужен модуль ALG, который отслеживает FTP-команды и автоматически добавляет необходимые правила. (Это включает автоматическую переадресацию портов при использовании NAT.)

Брандмауэры с включенным NAT преобразуют IP-адреса и порты TCP/UDP в соответствующие заголовки. Но некоторые протоколы также отправляют адрес клиента или сервера внутри самих пакетов — например, да, тот же FTP так делает (в активном режиме клиент отправляет свой адрес, в пассивном — сервер). ALG пытается соответствующим образом перезаписать эти FTP-команды.

Обычно при отсутствии соответствующего ALG некоторые соединения просто зависают посередине. Например, вы можете войти на FTP-сервер, но время ожидания истекает при попытке получить список файлов.

(Да, большинство из них перестают работать при включении шифрования, поскольку ALG больше не может заглянуть внутрь. Можно сказать, что ALG — это инструменты для маскировки проблем.)

Что касается того, что вы можете отключить: это действительно зависит от того, какие протоколы вы используете, и от того, имеет ли ALG вашего конкретного маршрутизатора приемлемое качество. (Были некоторые модели, которые полностью разрывали соединения, а не «исправляли» их.) Например, отключение поддержки H.323 (старый протокол VoIP) должно подойти.

SIP ALG расшифровывается как шлюз прикладного уровня и используется во многих коммерческих маршрутизаторах. Его цель — предотвратить некоторые проблемы, вызванные межсетевыми экранами маршрутизатора, путем проверки VoIP-трафика (пакетов) и, при необходимости, его изменения.

На многих маршрутизаторах функция SIP ALG включена по умолчанию.

Существуют различные решения для SIP-клиентов за NAT, некоторые из них на стороне клиента (STUN, TURN, ICE), другие на стороне сервера (Proxy RTP as RtpProxy, MediaProxy).

Вообще говоря, ALG обычно работает на маршрутизаторе или шлюзе локальной сети на стороне клиента. В некоторых сценариях некоторые решения на стороне клиента недействительны, например, STUN с симметричным маршрутизатором NAT. Если прокси-сервер SIP не предоставляет решение NAT на стороне сервера, то можно использовать решение ALG.

ALG понимает протокол, используемый конкретными приложениями, которые он поддерживает (в данном случае SIP), и выполняет проверку пакетов протокола проходящего через него трафика. Маршрутизатор NAT со встроенной функцией SIP ALG может перезаписывать информацию в сообщениях SIP (заголовки SIP и тело SDP), делая возможным сигнальный и аудиотрафик между клиентом за NAT и конечной точкой SIP.

Как это может повлиять на VoIP?

Несмотря на то, что SIP ALG предназначен для помощи пользователям, у которых есть телефоны с частными IP-адресами (класс C 192.168.X.X), во многих случаях он плохо реализован и на самом деле создает больше проблем, чем решает. SIP ALG неожиданным образом модифицирует SIP-пакеты, повреждая их и делая нечитаемыми. Это может привести к непредвиденному поведению, например к тому, что телефоны не будут регистрироваться, а входящие вызовы не будут выполняться.

Поэтому, если у вас возникли проблемы, рекомендуем проверить настройки маршрутизатора и отключить SIP ALG, если он включен.

  • Отсутствие входящих вызовов: когда UA включен, он отправляет запрос REGISTER на прокси-сервер, чтобы быть локализуемым и принимать любые входящие вызовы. Этот РЕГИСТР модифицируется функцией ALG (в противном случае пользователь не будет доступен прокси-серверу, поскольку он указал частный IP-адрес в заголовке «Контакт» РЕГИСТРА). Обычные маршрутизаторы просто поддерживают «соединение» UDP открытым некоторое время (30-60 секунд), поэтому по истечении этого времени переадресация портов завершается, а входящие пакеты отбрасываются маршрутизатором. Многие прокси-серверы SIP поддерживают поддержку активности UDP, отправляя сообщения OPTIONS или NOTIFY на UA, но они делают это только тогда, когда UA обнаруживается как NAT во время регистрации. Маршрутизатор SIP ALG переписывает запрос REGISTER на прокси-сервер, не обнаруживает NAT и не поддерживает активность (поэтому входящие вызовы будут невозможны).
  • Нарушение сигнализации SIP. Многие распространенные маршрутизаторы со встроенным SIP ALG неправильно модифицируют заголовки SIP и тело SDP, нарушая работу SIP и делая связь просто невозможной.Некоторые из них делают полную замену, ища частный адрес во всех заголовках и теле SIP и заменяя их общедоступным сопоставленным адресом маршрутизатора (например, заменяя частный адрес, если он появляется в заголовке «Call-ID», что не имеет смысла вообще). Многие маршрутизаторы SIP ALG искажают SIP-сообщение при записи в него (т. е. пропускают точку с запятой «;» в параметрах заголовка). Запись неправильных значений порта больше 65536 также распространена на многих из этих маршрутизаторов.
  • Запрещает решения на стороне сервера. Даже если вам не нужно решение NAT на стороне клиента (ваш прокси-сервер SIP предоставляет вам решение NAT сервера), если на вашем маршрутизаторе включена функция SIP ALG, которая прерывает передачу сигналов SIP, связь будет установлена. с вашим прокси невозможно.
Я отключил SIP ALG, но проблемы все еще возникают.

Если у вас по-прежнему возникают проблемы после отключения SIP ALG, проверьте конфигурацию брандмауэра.

Я не могу отключить SIP-ALG? Как обойти любые сетевые поставщики, нарушившие реализацию SIP ALG
  • Включите TLS на конечных точках SIP. VoiceHost поддерживает протокол TLS, который маскирует передачу сигналов SIP от посторонних глаз функций ALG.
  • Включите IPv6 на конечных точках SIP. Практически это нереальный вариант для пользователей, которым требуется мобильность, но для статических местоположений это снимает требование (должно поддерживаться вашим интернет-провайдером). Большинство интернет-провайдеров не полностью поддерживают чистый IPv6.
  • Смените маршрутизатор. Очевидно, что это последнее средство, если ничего не помогает.
Как отключить SIP ALG?
Маршрутизаторы Asus

Отключите параметр SIP Passthrough в Advanced Settings / WAN -> NAT Passthrough.
Если на вашем маршрутизаторе нет этой опции, SIP ALG может быть отключен через Telnet.

nvram get nf_sip
(должно быть возвращено "1")

nvram set nf_sip=0
nvram commit
Перезагрузка

Коробка AVM Fritz!

SIP ALG нельзя отключить. (См. выше, как это обойти)

Брандмауэры Barracuda
Миллиард

Перейдите к веб-интерфейсу
-> Выберите Конфигурация
-> Выберите NAT
-> Выберите ALG
-> Отключить SIP ALG

BT (домашние концентраторы)
Серия Cisco RV
(RV082, RV016, RV042, RV042G, RV325)
D-Link
DD-WRT
ДрайТек

Устройства DrayTek Vigor 2760, эту опцию можно найти в обычном интерфейсе Сеть -> NAT -> ALG.

Если на вашем устройстве нет веб-интерфейса, вам понадобится клиент telnet.

Вам будет предложено ввести имя пользователя и/или пароль. Это те же учетные данные, которые используются для доступа к веб-интерфейсу маршрутизатора.

После этого введите следующие команды:

На Draytek Vigor2750 и Vigor2130 вместо этого используйте следующие команды:

kmodule_ctl nf_nat_sip отключить
kmodule_ctl nf_conntrack_sip отключить

Перейдите к веб-интерфейсу
Нажмите «Настройки».
Введите необходимые имя пользователя и пароль, затем нажмите Войти.
Примечание. Имя пользователя и пароль по умолчанию — admin.
Нажмите раскрывающееся меню «Безопасность».
Нажмите Настройки SIP ALG.
Снимите флажок Включить SIP ALG.
Нажмите «Применить».

Фортинет

Отключение SIP ALG в профиле VoIP
SIP включен по умолчанию в профиле VoIP. Если вы просто используете профиль VoIP для SCCP, вы можете использовать следующую команду, чтобы отключить SIP в профиле VoIP.

настроить профиль voip
редактировать VoIP_Pro_2
настроить sip
установить статус отключить
конец

Хуавэй
  1. Vodafone/Huawei (HHG2500)
  2. TalkTalk / Huawei (HG633)
  3. EE / Huawei (E5330)
можжевельник

Введите следующее в интерфейсе командной строки:
Чтобы проверить, включено ли в настоящее время или отключено, запустите show security alg status | match sip
Чтобы отключить запуск:

настроить
установить алгоритм безопасности sip отключить
зафиксировать

Линксис:

Проверьте параметр SIP ALG на вкладке "Администрирование" в разделе "Дополнительно".
Также следует отключить параметр SPI Firewall.

Микротик
Нетгир

Найдите флажок "SIP ALG" в настройках "WAN".

В разделе «Фильтрация NAT» снимите флажок «SIP ALG».
Сканирование портов и защита от DoS-атак также должны быть отключены.
Отключите STUN в настройках VoIP-телефона.

опенврт
PfSense
Брандмауэр SonicWALL
Быстрое касание

Чтобы отключить SIP ALG, вам нужно подключиться к маршрутизатору Speedtouch через telnet и ввести следующее:

-> отвязать соединение application=SIP port=5060
-> сохранить все

ОбсуждениеОбсуждение

2017/18 См. Huawei (HG633)

  1. Перейти к веб-интерфейсу
  2. Выберите в меню "Переадресация портов".
  3. Снимите флажок SIP-ALG в разделе ALG внизу страницы.
Техниколор / Томпсон
TG588 TG589 TG582 DWA0120
Помидор
TP-Link
Шлюзы UBEE
Повсеместно

Используйте дерево конфигурации, если оно поддерживается: система -> conntrack -> модули -> sip -> отключить

Кроме того, вы можете подключиться к устройству по протоколу SSH и выполнить следующие команды:

настроить
установить системные модули conntrack sip отключить
зафиксировать
сохранить
выйти

Девственный суперхаб
Водафон
Вятта/Парча:

Введите следующее в CLI

настроить
установить системные модули conntrack sip отключить
зафиксировать
сохранить
выйти

Брандмауэр Watchguard
ZyXEL

В разделе «Сеть» или «Дополнительно» -> «ALG» снимите флажки с параметров «Включить SIP ALG» и «Включить преобразование SIP».
Для отключения SIP ALG на некоторых других маршрутизаторах Zyxel необходимо использовать команды Telnet.

Что такое SIP ALG и почему его нужно отключить Это

SIP является одним из краеугольных камней VoIP для бизнеса; он нужен вам для совершения звонков, поскольку он создает и поддерживает соединения с другой стороной. С ним вам не нужно громоздкое оборудование для исходящих и входящих вызовов; все делается с помощью простых компьютеров, оконечных устройств SIP (телефонов SIP и VoIP и связанных устройств связи) и Интернета.

Вызовы по протоколу SIP позволяют общаться с клиентами и коллегами по всему миру со значительно меньшими затратами по сравнению с другими технологиями. Фактически, пользователи технологии VoIP экономят до 5000 долларов в год за счет перехода. Тем не менее, вам необходимо качество звука при вызове, и одним из первых шагов, которые вам нужно сделать, чтобы убедиться в этом, является отключение SIP ALG на вашем маршрутизаторе.

Что такое SIP ALG?

SIP ALG — это шлюз прикладного уровня протокола инициации сеанса. Эта технология, которую также называют шлюзом уровня приложений, доступна на большинстве коммерческих маршрутизаторов и помогает пользователям более надежно инициировать SIP-вызовы, даже находясь за локальной сетью с защищенной конфигурацией брандмауэра. ALG — это инструмент преобразования сетевых адресов (NAT), который изменяет частные IP-адреса и порты на общедоступные IP-адреса и порты.

SIP ALG действует как независимая программа встроенного ПО для предотвращения проблем, связанных с брандмауэром на маршрутизаторе. Он проверяет SDP-часть пакетов данных и модифицирует их, чтобы они правильно отправлялись. Помните, что все VoIP преобразуют аудиоданные (голос) в пакеты, которые затем отправляются по сети, поэтому теоретически это должно обеспечивать качество связи.

К сожалению, эта технология часто приводит к снижению качества вызовов SIP из-за многопроцессорного характера SIP и деликатности пакетов данных. Вот почему многие ведущие провайдеры SIP советуют вам отключить эту функцию на вашем маршрутизаторе.

Как взаимодействуют SIP и ALG


Чтобы понять, почему SIP ALG так проблематичен для современных систем SIP-телефонии, взгляните на процесс, состоящий из пяти шагов, когда вы пытаетесь совершить SIP-звонок. SIP помогает открывать и завершать соединения для передачи данных, но при вызове SIP между ними есть несколько промежуточных шагов. Вот пять самых важных:

  1. Этап приглашения. Это происходит, когда вы обращаетесь к другому абоненту, чтобы инициировать вызов. Приглашение начинается на вашей стороне.
  2. Этап ответа на приглашение: когда происходит соединение, ответ отправляется обратно на исходный номеронабиратель.
  3. Этап ответа. Этап ответа – это подтверждение входящего вызова, а не сам вызов. Эта часть процесса также инициируется принимающей стороной.
  4. Этап подтверждения. Это окончательное подтверждение установления соединения. Это отправлено с вашей стороны (отправителя).
  5. Этап звонка. Когда эти четыре шага выполнены, начинается собственно звонок. Это двустороннее соединение.

Хотя это может показаться длительным и сложным процессом, при котором данные отправляются в обе стороны, на это уходит всего несколько секунд. Проблема с этим с точки зрения подключения заключается в том, что процесс подключения, состоящий из пяти частей, означает повышенную вероятность потери пакетов, когда ALG изменяет данные по мере их отправки/получения.

Почему следует отключить ALG?

Во время современных исходящих и входящих VoIP-вызовов SIP изменение пакетов данных с помощью ALG проблематично, особенно с учетом того, насколько плохо эта служба реализована на большинстве коммерческих маршрутизаторов. Служба ALG предназначена для обеспечения более четкого соединения, но, поскольку она беспорядочно изменяет пакеты данных, часто бывает наоборот.

Каждый раз, когда система подтверждает и подтверждает попытку подключения, ALG изменяет отправляемые SIP-пакеты. Это связано с тем, что переключение с частных IP-адресов и портов на общедоступные выполняется с помощью сценариев. Использование сценариев очень рискованно — иногда в процессе перевода важные части сообщения теряются.Это по-разному повлияет на вызовы VoIP:

  • Неудачные регистрации. Если во время вызова требуется несколько подтверждений, в случае сбоя какого-либо из них соединение не будет установлено. Это называется неудачной регистрацией, что часто является прямым результатом работы SIP ALG в фоновом режиме.
  • Одностороннее аудио. Вы слышите собеседника, но он не слышит вас? Эти односторонние аудиовызовы SIP обычно являются результатом либо плохих настроек брандмауэра, либо ALG, изменяющего пакеты таким образом, что звук теряется на одном конце вызова.
  • Провалы в качестве звонка. Когда пакеты теряются во время любого интернет-звонка, вы начинаете слышать статические помехи, прерывания передачи звука или эхо. Изменение вызова ухудшает качество данных во время передачи или получения.
  • Потерянные соединения. С помощью этой службы маршрутизатора вы можете легко потерять вызов. Когда данные потеряны и их невозможно восстановить, их легко отключить.

При вызове SIP больше шансов неправильно изменить пакеты данных неожиданным образом, что отрицательно скажется на ваших вызовах. К счастью, отключение службы маршрутизатора обычно легко выполняется в веб-интерфейсе маршрутизатора. Если эта функция недоступна на вашем устройстве, вам следует подумать о приобретении нового маршрутизатора.

Как отключить SIP ALG на маршрутизаторе

Войти в интерфейс маршрутизатора почти всегда очень просто. Каждый маршрутизатор имеет IP-адрес интерфейса маршрутизатора, напечатанный на наклейке, которая также включает информацию для входа в систему по умолчанию, чтобы вы могли изменять настройки через браузер. По умолчанию многие производители устанавливают информацию для входа в систему как «admin» для пользователя и «password» для доступа, хотя некоторым может не требоваться пароль. Для коммерческих маршрутизаторов вы можете изменить эту информацию для входа на что-то более безопасное.

К сожалению, не все марки маршрутизаторов позволяют легко отключить эту функцию, поэтому давайте поможем вам понять некоторые распространенные методы для самых популярных производителей маршрутизаторов в мире. Важно отметить, что у Cisco более сложный процесс, поскольку вам потребуется доступ к командной строке для изменения настроек маршрутизатора.

  • Нажмите WAN.
  • Нажмите "Проход через NAT".
  • Нажмите на раскрывающееся меню, чтобы отключить сквозную передачу SIP.
  • Нажмите "Применить".
  • Нажмите "Расширенные настройки".
  • Нажмите NAT
  • Нажмите ALG
  • Снимите флажок "SIP включен".
  • Нажмите "Сохранить/Применить".
  • Нажмите "Дополнительно".
  • Нажмите "Настройка WAN".
  • Установите флажок "Отключить SIP ALG".
  • Нажмите "Применить".
  • Нажмите "Дополнительно".
  • Нажмите "Настройки брандмауэра".
  • Снимите флажок "Включить SPI".
  • Измените фильтрацию конечной точки UDP и TCP на независимую от конечной точки
  • Снимите флажок SIP в разделе "Конфигурация (ALG)".
  • Нажмите "Сохранить настройки".
  • Нажмите ALG.
  • Снимите флажок с протокола инициации сеанса (SIP)
    Снимите флажок с Netmeeting (H.323)
  • Нажмите "Сохранить статус".
  • Войдите в терминал маршрутизатора через telnet, SSH или последовательную консоль.
  • Введите "включить"
  • Введите настроить терминал
  • Введите no IP nat service sip UDP port 5060
  • Для TCP также введите no IP nat service sip TCP port 5060
  • Нажмите "Дополнительно".
  • Снимите флажок SIP ALG.
  • Нажмите "Приложения и игры".
  • Нажмите "Активация порта".
  • Введите TCP в поле приложения
  • Введите 5060 в полях "Триггер" и "Диапазон переадресации".
  • Нажмите "Включить".
  • Нажмите на вкладку "Интернет".
  • Перейдите к пункту «Переадресация портов» и нажмите
  • Снимите флажок с поля «Включить SIP ALG».
  • Нажмите "Сохранить".
  • Выберите Конфигурация, Брандмауэр.
  • Нажмите "Правило глобальной политики".
  • Нажмите "Выбор действий правила", "Проверка протокола".
  • Снимите флажок в поле SIP
  • Нажмите "Применить".
  • Нажмите "Сохранить".
  • В разделе "Дополнительно" нажмите "Параметры".
  • Снимите флажок SIP

После внесения любого из этих изменений рекомендуется перезагрузить маршрутизатор, чтобы изменения вступили в силу. После внесения изменений вы должны испытывать меньше проблем с качеством вызовов на SIP-соединениях по сравнению с тем, когда ALG управляла ссылками.

Другие способы улучшения SIP-вызовов

Есть причина, по которой большинство провайдеров IP-телефонии советуют вам отключить эту функцию. он просто не предназначен для работы современных SIP-вызовов через локальные и размещенные системы АТС. Отключение SIP ALG поможет повысить качество ваших звонков, но это далеко не единственный шаг, который вы должны предпринять для повышения качества звонков. Если у вас часто возникают звонки с посредственным звуком или статическими помехами, подумайте об обновлении вашего интернет-плана у вашего интернет-провайдера; VoIP зависит от скорости вашего соединения, поэтому потратьте немного больше, чтобы предотвратить потерю пакетов.

Кроме того, не каждый маршрутизатор подходит для звонков через Интернет. Подумайте о приобретении маршрутизатора, оптимизированного для трафика VoIP, — помните, что ALG может быть включен по умолчанию. Качество обслуживания (QoS) также является полезной функцией, поскольку она поможет вам расставить приоритеты SIP-трафика на уровне устройства. Это практически обеспечит высокое качество звонков. Кроме того, рассмотрите один из лучших маршрутизаторов SOHO, так как они полезны для SIP-звонков или онлайн-совещаний.

Качество звонка является неотъемлемой частью этого типа связи, поэтому ознакомьтесь с нашей разбивкой по ведущим поставщикам SIP-транкинга. Мы расскажем об основных функциях, плюсах и минусах, а также планируем структуры многих лидеров рынка.

Отключение учебника SIP ALG - обновлено

Итак, вы настроили свою систему VoIP-телефонии, но у вас есть сброшенные вызовы, нет входящих вызовов или ваш телефон продолжает звонить после того, как вы снимаете трубку.

Хорошей новостью является то, что вы сможете мгновенно решить проблемы с передачей голоса по IP, как только отключите SIP ALG.

В этом обновленном руководстве мы объясним, почему SIP ALG необходимо отключить, и дадим советы по оптимизации вашей сети для телефонной службы VoIP.

Это руководство идеально подходит как для новичков, так и для опытных пользователей. Начнем!

Что такое SIP ALG?

SIP ALG — это функция, присутствующая в большинстве сетевых маршрутизаторов и работающая как функция брандмауэра. Он состоит из двух разных технологий, описанных ниже:

  • Протокол инициации сеанса (SIP) – базовая служба, обеспечивающая работу всех телефонов, приложений и устройств с передачей голоса по Интернет-протоколу (VoIP). SIP управляет регистрацией устройств, поддерживает присутствие вызова и контролирует звук вызова. Узнайте больше о SIP в нашем подробном обзоре здесь.
  • Шлюз прикладного уровня (ALG). Маршрутизаторы сегментируют вашего интернет-провайдера и вашу внутреннюю сеть с помощью процесса, известного как преобразование сетевых адресов (NAT). ALG действует как прокси, переписывая адреса назначения в пакетах данных для улучшения связи.

Если вам нужно больше информации, посмотрите наше 2-минутное видео ниже, в котором объясняется, почему SIP ALG и почему вы можете захотеть его отключить.

Проблема с SIP ALG заключается в перезаписи пакетов. SIP ALG может быть полезен для смягчения последствий нескольких NAT, но не помогает подавляющему большинству. Давайте более подробно рассмотрим, что происходит с этими пакетами данных.

Примеры модифицированного пакета (SIP ALG).

На диаграмме выше показано, что шлюз прикладного уровня изменяет общедоступные IP-адреса назначения в SIP-пакетах. Некоторые коммерческие маршрутизаторы достаточно умны, чтобы самостоятельно проверять SIP-сообщения и не трогать частные IP-адреса.

Современные офисные АТС, конференц-связь и даже аудио- и видеоконференции используют SIP. Протоколы сигнализации, такие как SDP, RTP и RTSP, сталкиваются с одними и теми же проблемами, поскольку являются подмножеством пакетов SIP.

Признаки того, что SIP ALG влияет на вызовы VoIP

Существует несколько категорий признаков, по которым SIP ALG может повлиять на VoIP-телефон. Это не всегда очевидно, особенно потому, что эти проблемы часто происходят незаметно, без ведома пользователей.

  • Односторонний звук (только один человек может слышать другого)
  • Телефоны не звонят, когда звонят.
  • Вызовы сбрасываются после установления соединения.
  • Вызовы перенаправляются прямо на голосовую почту по неизвестной причине

Происходит потеря части трафика VoIP между телефоном и поставщиком услуг VoIP. Это прерывание происходит из-за брандмауэров маршрутизатора. Этот трафик необходим для поддержания доступности телефона и выбора правильных аудиокодеков.

Многие маршрутизаторы по умолчанию включают SIP ALG в прошивке своего устройства. Благодаря легкому и простому веб-интерфейсу просто установите или снимите флажок. На фото ниже пример:

Пример, показывающий, как отключить шлюз прикладного уровня SIP (TP-Link)

Как отключить SIP ALG?

Чтобы отключить SIP ALG, вам необходимо войти в свой маршрутизатор. Ваш маршрутизатор также может работать как модем для некоторых широкополосных шлюзов. К популярным брендам маршрутизаторов относятся Cisco, Linksys, Netgear, D-Link, Asus и TP-Link.

Мы составили список самых популярных маршрутизаторов и добавили ссылки для отключения шлюза прикладного уровня, который может мешать вызовам VoIP.

В большинстве случаев вам потребуется войти в маршрутизатор с паролем администратора. Посмотрите в его настройках безопасности, снимите флажок SIP ALG, сохраните и перезагрузите маршрутизатор. Для более сложных корпоративных брандмауэров может потребоваться дополнительная настройка, например переадресация портов.

  1. Выберите «Дополнительно», нажмите «Да», чтобы принять предупреждение, затем нажмите «ALG’s».
  2. Убедитесь, что SIP ALG отключен, сняв флажок.
  3. Нажмите "Применить".
  4. Выберите «Дополнительно», нажмите «Да», чтобы принять предупреждение, затем нажмите «Удаленное администрирование».
  5. Установите флажок, чтобы разрешить входящие эхо-запросы WAN ICMP (для traceroute и ping), затем нажмите «Применить».
  6. Дополнительную информацию можно найти в этой статье службы поддержки.
    1. В разделе "Брандмауэр" выберите "Брандмауэр/ACL".
    2. Нажмите "Настройки ALG".
    3. Снимите флажок SIP ALG.
    4. Нажмите "Применить".

    Если вы используете терминал, введите следующую команду:
    no ip firewall alg sip

    1. Перейдите к IP-адресу шлюза (192.168.0.1).
      Имя пользователя: admin Пароль: Motorola
    2. Перейдите к разделу "Дополнительно", затем "Параметры".
    3. Снимите флажок SIP.
    4. Нажмите "Применить".

    Аррис BGW210

    1. Перейдите по адресу 192.168.1.254.
      Пройдите аутентификацию без имени пользователя и используйте пароль, указанный на наклейке устройства.
    2. В разделе "Брандмауэр" нажмите "Расширенный брандмауэр".
    3. Выключите параметр Set SIP ALG.
    4. Отключите пересылку заголовка аутентификации.
    5. Отключите пересылку заголовков ESP.
    6. Нажмите "Сохранить".
      1. В разделе "Дополнительные параметры" нажмите WAN.
      2. Перейдите на вкладку NAT Passthrough.
      3. Измените настройку SIP Passthrough на «Отключить».
      4. Нажмите "Применить".

      Шлюз U-Verse Pace 5268AC
      Этот широкополосный шлюз не поддерживает отключение SIP ALG. Мы рекомендуем настроить шлюз для работы только в качестве модема, а не маршрутизатора (режим моста). Вам нужно будет использовать другой маршрутизатор, поддерживающий отключение SIP ALG.

      Маршрутизаторы Cisco общего и корпоративного класса:
      нет службы ip nat sip tcp порт 5060
      нет службы ip nat sip udp порт 5060< /p>

      Маршрутизаторы Cisco PIX:
      протокол без исправления sip 5060
      протокол без исправления sip udp 5060

      Маршрутизаторы Cisco ASA:
      Найдите «Проверка класса_по умолчанию» в разделе «Карта политик global_policy». Выполните эту команду: не проверять sip

      1. Нажмите "Дополнительные настройки".
      2. Найдите конфигурацию шлюза уровня приложения (ALG).
      3. Снимите флажок с параметра SIP.
      4. Нажмите "Сохранить".

      DIR-655:

      Linksys Smart Wi-Fi (серия E):

      1. В левой части экрана нажмите "Подключение".
      2. Перейдите на вкладку "Администрирование".
      3. В разделе "Шлюз прикладного уровня" убедитесь, что SIP не отмечен.
      4. Нажмите «Применить» или «Сохранить».

      Старые модели Linksys:

      1. Перейдите в раздел "Дополнительно" на странице администратора.
      2. Отключите функцию SIP ALG.

      Маршрутизаторы Linksys BEFSR41:

      1. Нажмите Приложения и игры на странице администратора.
      2. Нажмите "Запуск порта".
      3. Введите «TCP» в качестве приложения.
      4. Введите «5060» в поля «Начальный порт» и «Конечный порт» в полях «Диапазон срабатывания» и «Диапазон переадресации».
      5. Отметьте «Включить».
      6. Нажмите "Сохранить и перезагрузить".
      1. Используйте программное обеспечение Winbox компании.
      2. Перейдите к IP, затем к Брандмауэру.
      3. Перейдите на вкладку "Порты службы" и отключите ее через графический интерфейс.
      4. Вы также можете запустить эту команду из терминала:
        /ip firewall service-port disable sip

      Для маршрутизаторов Netgear с интерфейсом Genie:

      1. Выберите вкладку "Дополнительно" вверху.
      2. Разверните меню настроек в левой части экрана.
      3. Нажмите "Настройка WAN".
      4. Установите флажок "Отключить SIP ALG".

      Другие маршрутизаторы Netgear:

      1. В разделе "Безопасность/брандмауэр" нажмите "Дополнительные параметры".
      2. Отключить SIP ALG.
      3. Найдите «Лимит сеанса» в разделе «Безопасность/брандмауэр».
      4. Увеличьте время ожидания UDP до 300 сек.
        1. В разделе «Настройка системы» в левой части экрана нажмите VoIP.
        2. Отметьте «Включить согласованный NAT».
        3. Снимите флажок "Включить преобразование SIP".
        4. Нажмите "Принять".
        5. Чтобы увеличить время ожидания UDP, перейдите к настройкам брандмауэра, а затем — к защите от флуда.
        6. Перейдите на вкладку UDP и измените время ожидания соединения UDP по умолчанию на 300 секунд.
        7. Нажмите кнопку «Принять», чтобы сохранить изменения. Дополнительную информацию можно найти в этой статье службы поддержки.

        Новые маршрутизаторы TP-Link (серия Archer):

        1. Перейдите на вкладку "Дополнительно".
        2. Разверните меню "Переадресация NAT" в левой части экрана.
        3. Снимите флажки SIP ALG, RTSP ALG и H323 ALG.
        4. Нажмите "Сохранить".

        Старые маршрутизаторы TP-Link:

        1. Используйте клиент Telnet из командной строки.
        2. Примените следующую команду:
          ip nat service sip sw off
          1. Перейдите в раздел "Дополнительно", затем "Параметры".
          2. Снимите флажки SIP и RTSP.
          3. Нажмите "Применить".

          Шлюз безопасности UniFi

          1. Войдите в свой шлюз безопасности UniFi.
          2. Нажмите "Маршрутизация и брандмауэр" слева.
          3. Перейдите на вкладку "Брандмауэр" вверху и выберите "Настройки" в подменю.
          4. Выключите H.323 и SIP.
          5. Нажмите кнопку "Применить изменения".

          Пограничные маршрутизаторы (ER-x)

          1. Доступ к административному интерфейсу маршрутизатора, как правило, по адресу 192.168.1.1.
          2. Используйте дерево конфигурации или интерфейс командной строки, чтобы отключить SIP ALG.

          Дерево конфигурации:

          1. Выберите дерево конфигурации в правом верхнем углу.
          2. Развернуть систему, conntrack, модули и sip.
          3. Нажмите на значок плюса рядом, чтобы отключить.
          4. Нажмите кнопку «Предварительный просмотр».
          5. Нажмите "Применить".

          Интерфейс командной строки:

          1. В административном интерфейсе выберите CLI, расположенный в правом верхнем углу экрана.
          2. Здесь мы также можем увеличить время ожидания UDP.
          3. Введите эти команды в терминал:
            настроить
            установить системный модуль conntrack sip отключить
            установить тайм-аут системного соединения udp stream 300
            установить системный тайм-аут conntrack udp other 300
            зафиксировать
            сохранить< br />выход

          G1100

          Этот широкополосный шлюз не поддерживает отключение SIP ALG. Мы рекомендуем настроить шлюз для работы только в качестве модема, а не маршрутизатора. Вам нужно будет использовать другой маршрутизатор, поддерживающий отключение SIP ALG.

          ZyXEL ZyWALL/USG60:

          1. Нажмите «Конфигурация» и разверните «Настройки сети».
          2. Нажмите ALG слева.
          3. Снимите все флажки справа:
            1. Снимите флажок Включить SIP ALG.
            2. Снимите флажок «Включить преобразование SIP».

            ZyXEL C1000Z/C1100Z (CenturyLink):

            1. Нажмите "Расширенная настройка".
            2. Нажмите SIP ALG слева.
            3. Переключите параметр SIP ALG на Отключить.
            4. Нажмите "Применить".

            ZyXEL P600:

            1. Telnet подключитесь к маршрутизатору (192.168.1.1) и введите пароль.
            2. Пароль по умолчанию — 1234. Введите «24» и нажмите клавишу ввода.
            3. Затем «8» и нажмите клавишу ввода.
            4. Укажите следующую команду:
              ip nat service sip active 0
            5. По завершении нажмите Enter.

            Зачем отключать SIP ALG?

            Согласно здравому смыслу, шлюз уровня приложений должен быть включен. В конце концов, многие потребительские и коммерческие маршрутизаторы по умолчанию даже включают SIP ALG.

            Как функция большинства широкополосных маршрутизаторов, SIP ALG была введена с добрыми намерениями в ответ на ограничения преобразования сетевых адресов. К сожалению, это мешает встроенной функциональности протоколов IP и сигнализации. С современными приложениями VoIP в этом больше нет необходимости.

            Поскольку ALG существуют на прикладном уровне модели OSI, они не учитывают дейтаграммы в транспортных протоколах, таких как UDP или TCP. Протоколы сигнализации VoIP решают эти распространенные проблемы, включая общедоступный и частный IP-адреса в каждый пакет.

            Некоторые маршрутизаторы пытаются повысить безопасность, прерывая открытые соединения в брандмауэре. Названный "отверстием в брандмауэре", это означает, что трафик может работать на мгновение, но когда прокси-сервер SIP отбрасывает пакеты, это может повлиять на вызовы VoIP после того, как вы их установили.

            Визуализация расположения SIP ALG на сетевой диаграмме.

            Вы должны отключить SIP ALG, потому что это:

            • Прерывает SIP-трафик, например вызовы и приложения для конференций.
            • Влияет на восприятие надежности настольных телефонов и приложений VoIP.
            • Не требуется при использовании облачных провайдеров VoIP.

            Почти для всех пользователей VoIP с виртуальной телефонной системой рекомендуется полностью отключить SIP ALG.

            Единственная причина, по которой вы должны включить SIP ALG, — это инструкции производителя вашего маршрутизатора или провайдера VoIP. Учитывая известность VoIP и шлюзов прикладного уровня, они предоставят правильные настройки для работы с вашим провайдером VoIP.

            Рекомендации по обеспечению надежной работы VoIP

            Передача голоса по Интернет-протоколу (VoIP) требует соблюдения нескольких основных правил для оптимальных телефонных звонков. Короче говоря, это пропускная способность, задержка и стабильность.Следуйте этим советам, чтобы улучшить качество входящих и исходящих вызовов и улучшить связь для вашей команды.

            1) Выберите интернет-провайдера с высокой пропускной способностью и подходящим оборудованием.

            В рамках надежной архитектуры VoIP вам потребуется достаточно места для использования сети. Использование гигабитных коммутаторов и маршрутизаторов устранит любые внутренние узкие места. Помните, что у вас, вероятно, есть много компьютеров, телефонов и телевизоров, которые также потребляют пропускную способность. Стремитесь использовать только 80 % выделенной пропускной способности.

            2) По возможности используйте проводные соединения Ethernet.

            Беспроводные соединения чувствительны к помехам, которые могут привести к потере пакетов и дрожанию. Задержка и потеря пакетов обычно незаметны при обычном просмотре, но могут повлиять на вызовы VoIP, особенно на стационарных телефонах VoIP. При использовании Wi-Fi убедитесь, что у вас сильный сигнал, и отключите SIP ALG на беспроводном маршрутизаторе.

            3) Увеличьте время ожидания UDP.

            Большинство телефонных систем VoIP подключаются с использованием протокола пользовательских дейтаграмм (UDP), что обеспечивает более высокую пропускную способность и меньшую нагрузку на соединения. Однако это может стоить надежности. Установите время ожидания UDP на 150 секунд. Если вы обнаружите, что ваши сетевые маршруты часто перегружаются, рассмотрите возможность переключения настройки VoIP на протокол управления передачей (TCP). Эта настройка повысит надежность вашего VoIP. Для получения дополнительных указаний обратитесь к своему поставщику услуг VoIP.

            4) Настройте теги виртуальной локальной сети (VLAN) для SIP-устройств.

            Приблизительно после 15 пользователей мы рекомендуем реализовать приоритезацию сети с помощью качества обслуживания (QoS). Маркировка VLAN позволяет установить приоритет данных VoIP над второстепенным трафиком. Это сведет к минимуму потерю пакетов и повысит общую безопасность VoIP.

            5) Следите за обновлениями прошивки.

            Применяйте активный подход к проверке наличия исправлений встроенного ПО производителя вашего маршрутизатора. Иногда они могут возвращать настройки, но исправляют проблемы с безопасностью и производительностью. Возможно, вам придется проконсультироваться с поставщиком, чтобы загрузить обновления с его FTP-сервера или передать образы программного обеспечения через интерфейс командной строки (CLI) для коммерческих маршрутизаторов.

            Выбор подходящей телефонной службы VoIP

            Отключение SIP ALG может решить многие проблемы при выполнении вызовов с помощью VoIP. Многие технические специалисты часто упускают из виду это простое решение. Его, несомненно, стоит настроить, чтобы повысить общую надежность и производительность службы виртуального телефона.

            Вероятно, вы читаете эту статью, потому что ваша телефонная система работает неправильно. Это случается с лучшими из нас. Вместо того, чтобы пытаться исправить это самостоятельно, вы можете поговорить с одним из наших экспертов по VoIP.

            Nextiva уже более 15 лет предоставляет компаниям лучший выбор коммерческих телефонных услуг. В отличие от телефонных и кабельных компаний, мы обслуживаем только бизнес. Возможно, мы предоставляем лучшую оперативную поддержку, поэтому мы называем ее Amazing Service®.

            Читайте также: