【解決済】Netscreenのせいで、IP電話が不調になる！

最近のJuniperは、少しぶったるんでおりますねえ。（笑）
IE9で、NetscreenのGUIが開かない件をReportした前回の記事もそうですが、今回は、
Netscreenを新機種にReplacementしたら、CiscoのIP Phoneの使用に重大な不具合が生じた
と言う強力なバグです。

因みに、貴公子が今回、手掛けた環境は、Netscreen 550 (Screen OS 6.2.0r8) 。

【現象】
Replacement前（Netscreen200シリーズ。Screen OS5.0.ｘ）では、普通に使用できていたCisco IP電話ですが、Replacement後に、５分から10分程度の通話後に、通話断が、ほぼ必ず発生した。
（つまり、電話が切れてしまう。）

【調査】

どうも、非常に、有名な問題の様です。

http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/H-323-video-calls-using-the-ALG-and-routed-gatekeeper/td-p/52380 

http://comments.gmane.org/gmane.comp.hardware.netscreen.general/2060 
>I dont deal much with sip or h323, but I know the R&D guys here at
>Ericsson always request alg to be off on firewalls I manage.  It is
>worth a try.  If it doesnt work, you can always put it back.

日本語サイトにもありました。
http://superuser.blog75.fc2.com/blog-entry-78.html 
>NetScreenのScreenOSをアップグレードしたら、なにやらテレビ会議の通信に問題が出たらしい。


要は、NetscreenのBugの様です。
何も、Cisco IP Phoneだけではなく、ErissonやAvaya等でも発生している様で、USの技術者サイトでは、大騒ぎになっておりますねえ。
上記サイトを読む限り、Application Layer Gateway(ALG)をDisableにすれば良い様だが、
Backup資料が無い限り、信用しないのが貴公子の真骨頂なので（笑）、Juniperのサイトを探したら、ありました！！！


【Backup資料】
Juniper自身が、本問題を認識してた上で、H.323のALGをDisableする事を推奨しておりますねえ。
→　　http://kb.juniper.net/InfoCenter/index?page=content&id=KB7408&cat=FIREWALL_IPSEC_VPN&actp=LIST 

>At times, you may have to disable the ALG for VoIP in ScreenOS. Some VoIP phones produce >fragmented packets that are difficult for
>ScreenOS to handle.  As a workaround, disable the ALG for VoIP and
>communications should succeed. ScreenOS does a better job at handling fragmentation.

とっても率直ですねえ。
こういう風に、ミスを認める素直なところが、Juniperの良いところだし、信用できる点ですね。
MicrosoftやCitrixも見習ってほしい。（笑）



【技術資料】
因みに、ALGに関しては、Juniper Siteには、下記の説明があります。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB13530 

>An ALG implementation requires a ScreenOS gateway to inspect the application layer payload of a packet and understand the application control messages.
> An enabled ALG automatically kicks in and performs >application layer inspection and the dynamic opening/closing of TCP/UDP ports as well as the
>associated network/port address translation when a ScreenOS security policy that uses its associated service is >referenced with matching traffic.

要は、Application LevelでのPacket Inspectionを、ALGは行うと共に、TCP/UDPのポートを、Dynamicに（勝手に？）開閉する様です。

【所感】
出入りのSIは解決できませんでしたねえ。
技術力も、事務処理能力も高いSIですが、英語の壁で、USサイトで情報を漁れないのでしょうね！
まあ、IT技術に関する情報は質量共に、アメリカの方が一枚上手という事なのかも知れませんね。