安全 : Cisco PIX 500 系列安全设备

使用 PIX 防火墙处理 VoIP 流量

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

在此配置示例中, PIX防火墙配置为了允许两份不同的VoIP协议穿越— H.323和会话初始化协议(SIP)。由于这样的事实VoIP协议由信令和IP地址/端口组合做成,有与VoIP和Network Address Translations (NAT)的一定数量的问题。PIX防火墙修正协议解决这些问题。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • PIX软件版本6.3.1

  • 思科2651XM IOS� 12.3(3)

  • Cisco模拟电话适配器(ATA) 186版本2.16.1

注意: 对于PIX防火墙(与VoIP应用层网关[ALG]或修正协议),这些支持版本/功能组合:

  • 版本5.2 —支持H.323版本2、注册和状态(RAS)和NAT (没有PAT)

  • 版本6.0和6.1 —不添加与NAT (没有PAT)的与NAT (没有PAT)的SIP,小型客户机控制协议(SCCP)和介质网关控制协议(MGCP)支持

  • 版本6.2 — H.323版本2和SIP的PAT支持。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/48583/voippix-1.gif

配置

本文档使用以下配置:

Cisco PIX 防火墙
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719 

!--- Fixup protocol required for H.323.

fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060     
fixup protocol sip udp 5060

!--- Fixup protocol required for SIP.

fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq h323

!--- Permits inbound H.323 calls.


access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq 5060


!--- Permits inbound SIP calls.

pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 100.1.1.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
static (inside,outside) 100.1.1.5 192.168.0.2 netmask 255.255.255.255 0 0


!--- Static used to demonstrate NAT.

access-group 101 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
pixfirewall#

Cisco 2651
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
interface FastEthernet0/0
ip address 100.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
no ip http server
ip classless
!
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
dial-peer voice 1111 voip
destination-pattern 1111
session target ipv4:100.1.1.5
codec g711ulaw
!

!--- H.323 dial-peer

dial-peer voice 2222 pots
destination-pattern 2222
port 1/0/0
!
dial-peer voice 3333 voip
destination-pattern 3333
session protocol sipv2
session target ipv4:100.1.1.5
codec g711ulaw
!

!--- SIP dial-peer

!
line con 0
line aux 0
line vty 0 4
!
!
!
end

Gateway#

Cisco ATA 186

注意: 此ATA 186配置为使用SIP的呼出呼叫适用。对于H.323呼叫UseSIP字段需要更改到0和从GkOrProxy (100.1.1.2)的更改的IP地址2651XM到网关字段

/image/gif/paws/48583/voippix-2.jpg

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show xlate —显示发生的转换。

    pixfirewall#show xlate
    1 in use, 1 most used
    Global 100.1.1.5 Local 192.168.0.2
    
    !--- Translation in place
    
    

验证H.323

请使用这些命令为了验证H.323 :

  • show call active voice brief —显示激活呼叫表的内容。被提交的信息包括呼叫时间、拨号对端、连接、服务质量参数和抖动网关处理。

  • 显示h225 —显示通过PIX防火墙的呼叫。

  • show conn详细信息—显示VoIP信令和媒体地址NAT。

这是输出show call active voice brief命令

Gateway#show call active voice brief

Telephony call-legs: 1
SIP call-legs: 0
H323 call-legs: 1
MGCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
2828 : 1574769hs.1 +142 pid:1111 Answer 1111 active
dur 00:00:06 tx:159/24803 rx:343/54880
IP 100.1.1.5:16384 rtt:0ms pl:3860/0ms lost:0/1/0 delay:64/64/65ms g711ulaw

2828 : 1574770hs.1 +141 pid:2222 Originate 2222 active
dur 00:00:06 tx:343/54880 rx:167/26083
Tele 1/0/0 (48): tx:8200/3290/0ms g711ulaw noise:-50 acom:13 i/0:-42/-55 dBm

这是输出show h225命令

pixfirewall#show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720
1. CRV 5735
Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720


!--- This output indicates that there is currently one active 
!--- H.323 call going through the PIX Firewall between the local 
!--- endpoint 192.168.0.2 and foreign host 100.1.1.2. For these 
!--- particular endpoints, there is one concurrent call between them, 
!--- with a Call Reference Value (CRV) for that call of 5735. 

这是detail命令的show conn的输出。

pixfirewall#show conn detail
7 in use, 12 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media, O - outbound data,
P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
UDP outside:100.1.1.2/17047 inside:192.168.0.2/16385 flags H
UDP outside:100.1.1.2/17046 inside:192.168.0.2/16384 flags H
TCP outside:100.1.1.2/1720 inside:192.168.0.2/14785 flags UIOh
UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags Hi
TCP outside:100.1.1.2/11012 inside:192.168.0.2/14793 flags UIO
TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags sSiaA
TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags sSiaA

验证SIP

请使用这些命令为了验证SIP。

  • show call active voice brief —显示激活呼叫表的内容。被提交的信息包括呼叫时间、拨号对端、连接、服务质量参数和抖动网关处理。

  • show conn详细信息—显示VoIP信令和媒体地址NAT。

  • 显示sip —显示激活SIP呼叫。

这是输出show call active voice brief命令

Gateway#show call active voice brief

Telephony call-legs: 1
SIP call-legs: 1
H323 call-legs: 0
MGCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
1210 : 1589226hs.1 +133 pid:1111 Answer 1111 active
dur 00:00:13 tx:344/53687 rx:639/102001
IP 100.1.1.5:16384 rtt:0ms pl:11420/0ms lost:0/1/0 delay:45/45/65ms g711ulaw

1210 : 1589227hs.1 +132 pid:2222 Originate 2222 active
dur 00:00:13 tx:639/102001 rx:344/53687
Tele 1/0/0 (50): tx:14760/6780/0ms g711ulaw noise:-49 acom:13 i/0:-45/-50 dBm

这是输出show sip命令

pixfirewall#show sip
Total: 1
call-id 648032863@192.168.0.2
state Active, idle 0:00:58

这是detail命令的show conn的输出。

pixfirewall#show conn detail
7 in use, 12 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media, O - outbound data,
P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
UDP outside:100.1.1.2/5060 inside:192.168.0.2/0 flags ti
UDP outside:100.1.1.2/0 inside:192.168.0.2/5060 flags Tti
UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags mi
UDP outside:100.1.1.2/5060 inside:192.168.0.2/5060 flags Tt
UDP outside:100.1.1.2/17490 inside:192.168.0.2/16384 flags m
UDP outside:100.1.1.2/17491 inside:192.168.0.2/0 flags m
UDP outside:100.1.1.2/17490 inside:192.168.0.2/0 flags mi

故障排除

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

请使用这些调试指令排除故障PIX。

  • 调试sip —显示从网关生成的SIP消息。

  • 调试h323 h225 asn1 —显示从网关生成的H.225消息。

  • 调试—显示加密的流量。

请使用这些调试指令为了排除故障Cisco IOS网关。

  • debug voip ccapi inout —显示在电话和网络呼叫段执行的呼叫建立及拆线操作。

  • debug h225 asn1 —显示接收所有H.225发送的消息ASN.1的内容或。

参考排除故障关于在ATA 186调试的详细信息的Cisco ATA 186

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 48583