ASPF/ALG使用限制和注意事项

ASPF/ALG使用限制和注意事项
硬件依赖
所有型号均支持ASPF/ALG功能。

License支持
ASPF/ALG功能不受License控制。

和NAT结合的使用限制
（1）对于DNS协议，ALG功能仅在配置了服务器映射的情况下生效。且当服务器位于内网，客户端位于外网时，配置的服务器映射必须勾选“允许服务器使用公网地址上网”（通过命令行配置NAT Server时不能带no-reverse参数），否则ALG功能不生效。
（2）ALG和源NAT策略结合使用时，如果配置了多通道协议如ftp等的ALG功能，则源NAT策略中不建议指定相应的服务匹配条件，否则可能导致无法正常通信。
由于数据通道的端口信息是动态协商出来的，如果源NAT策略中指定了服务，可能会导致数据报文无法命中源NAT策略，从而导致无法正常通信。
（3）对于目的NAT，ALG功能仅支持静态目的NAT。且当配置了H323/FTP/SQLNET协议的ALG功能时，由于这些协议有重定向功能，会在FW上生成源为any目的为自身的Server-map表，目的端口号在10000～65535中随机选择，可能会影响其他协议的目的NAT功能，需要将其他协议的目的NAT中的端口号配置为10000以下。
例如：服务器1私网地址为192.168.1.1，服务器2为H323服务器，私网地址为192.168.1.2，均使用公网地址1.1.1.1对外提供服务，为了保证服务器能正常提供服务，在FW上配置了两个目的NAT，将1.1.1.1:10000映射为192.168.1.1:10000（目的NAT1），将1.1.1.1:1719映射为192.168.1.2:1719（目的NAT2）。
开启了H323协议的ALG功能后，H323服务器服务过程中，会在FW上生成Server-map表。如果分配的端口号也为10000，则会生成如下Server-map表：any—>1.1.1.1:10000[192.168.1.2:10000]。由于Server-map表的优先级高于目的NAT，则会导致目的NAT1失效。
（4）网络中有VoIP业务时，需要配置ALG，FW仅支持如下场景：
服务器在公网，客户端在私网。私网的客户端通过源NAT访问公网服务器。这种场景下不支持NO-PAT方式的源NAT。
服务器在私网，客户端在公网。公网的客户端通过NAT Server访问私网服务器。
（5）自定义协议的ALG功能不支持NAT64场景、NAT66场景和DS-Lite场景。
（6）H.323客户端在点对点呼叫时，不支持如下场景：
H.323服务器在IPv6网络，客户端1和客户端2分别在IPv4和IPv6网络中。两个客户端之间流量互访需要经过NAT64转换。FW连接客户端1，H.323服务器和NAT64设备。FW开启了H.323协议的ALG功能后，客户端1呼叫客户端2时，FW上生成目的Server-map表。流量命中Server-map表，目的地址被转换为IPv6地址，FW连接NAT64的设备为IPv4地址，两者地址类型不同，FW会丢包。  H.323服务器在IPv4网络，客户端1和客户端2分别在IPv6和IPv4网络中。两个客户端之间流量互访需要经过NAT64转换。FW连接客户端1，H.323服务器和NAT64设备。FW开启了H.323协议的ALG功能后，客户端1呼叫客户端2时，FW上生成目的Server-map表。流量命中Server-map表，目的地址被转换为IPv4地址，FW连接NAT64的设备为IPv6地址，两者地址类型不同，FW会丢包。
（7）DNS ALG与NAT Server结合使用时，建议不要同时限制NAT Server的端口和协议，否则会导致DNS ALG地址转换失败。

其他使用限制
（1）当前，FW仅支持RFC标准SIP协议的ASPF/ALG，但不支持扩展SIP协议（SIP-I和SIP-T）和GB标准等其他SIP协议的ASPF/ALG。
（2）TCP分段的报文不支持ASPF/ALG。  （3）对于分片报文，ASPF/ALG仅支持对SIP分片报文的处理。SIP分片报文需要重组后再进行ASPF/ALG处理，如果重组后的SIP报文大小超过2048字节（USG6110E, USG6307E/6311E/6311E-POE/6331E, USG6510E/6510E-POE/6510E-DK/6530E）或者9500字节（USG6306E/6308E/6312E/6322E/6332E/6350E/6360E/6380E, USG6515E/6550E/6560E/6580E、USG6000E-E03/6000E-E07, USG6106E, USG6301E-C/6302E-C, USG6303E, USG6303E-C, USG6305E/6306E-B/6308E-B/6309E/6315E/6318E-B/6325E/6335E/6338E-B/6355E/6358E-B/6365E/6378E-B/6385E/6388E-B/6398E-B, USG6501E-C/6502E-C/6503E-C, USG6520E-K/6525E/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K, USG6605E-B、USG6391E/6610E/6620E, USG6395E/6615E/6620E-K/6625E, USG6630E/6650E, USG6635E/6640E-K/6655E、USG6680E, USG6712E/6716E），则会被直接转发，不会进行ASPF/ALG处理。
（4）对于SIP、H323和MGCP这几种协议，如果通信方所在的安全区域在3个及以上，则ASPF/ALG功能不生效。 （5）通过Web配置的SIP协议的ASPF/ALG功能仅对基于UDP协议的SIP流量和TLS加密的SIP流量生效，基于TCP协议的SIP流量的ASPF/ALG功能只能通过detect [ ipv6 ] sip tcp 命令配置。
（6）对于某些协议，只在特定的场景下才需要配置ASPF/ALG功能，其他场景不建议配置，避免产生不必要的性能占用。
对于DNS协议，ALG功能仅在配置了服务器映射的场景下生效。
对于PPTP协议，ALG功能仅在配置了允许端口转换的NAT场景下生效。

注意事项
（1）ASPF和ALG功能使用相同的配置，开启其中一个，另一个功能同时生效。
（2）不使用特定协议的ASPF/ALG功能时请及时关闭。比如：对于H.323、SIP和MGCP协议，通常对应的业务流量大，开启ASPF/ALG功能可能会导致性能下降，性能下降比例与业务量有关。对于QQ协议，由于QQ协议使用常见的8000端口，开启ASPF/ALG功能的情况下，可能出现很多非QQ协议报文进入ASPF/ALG处理流程，造成不必要的性能占用。
（3）对于SIP协议，如果网络中存在其他NAT穿越设备，则FW上不需要开启SIP的ALG功能，否则可能导致业务不通。
（4）NAT64场景下，FW默认对FTP/RTSP/SIP/H.323协议流量进行ALG处理，无需配置。FW默认新增对H.323协议流量进行ALG处理，无需配置。且对于SIP协议，只支持对基于TCP和UDP的SIP流量处理。
（5）修改ASPF/ALG配置（如关闭ASPF/ALG功能）后，为了保证配置立即生效，需要在诊断视图下使用reset firewall server-map或reset firewall ipv6 server-map命令清除相应的Server-map表项。清除Server-map表时，需要先清除对应的会话，否则Server-map表无法清除干净。