コラボレーション エンドポイント : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX ファイアウォールでの VoIP トラフィックの処理

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定 例では 2 つの異なる Voice over IP (VoIP)プロトコルの走査— H.323、および Session Initiation Protocol (SIP)を可能にするために、PIXファイアウォールは設定されます。 VoIP プロトコルはシグナリングと、IP アドレスおよびポートの組み合わせで構成されているので、VoIP およびネットワークアドレス変換(NAT)に関して複数の問題があります。 これらの問題には、PIX Firewall フィックスアップ プロトコルで対応します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIXソフトウェアリリース 6.3.1

  • Cisco 2651XM IOS か。 12.3(3)

  • Cisco Analog telephone adaptor (ATA) 186 バージョン 2.16.1

PIXファイアウォールに関しては(VoIP アプリケーション層ゲートウェイ[ALG]またはフィックスアッププロトコルと)、これらのバージョン/機能の組合せはサポートされます:

  • バージョン 5.2 — H.323 バージョン 2、登録およびステータス(RAS)、および NAT (PAT 無し)サポートします

  • バージョン 6.0 および 6.1 — NAT (PAT 無し)の SIP、NAT (PAT 無し)の Skinny Client Control Protocol (SCCP)、および Media Gateway Control Protocol (MGCP) サポートを追加しません

  • バージョン 6.2 — H.323 バージョン 2 および SIP のための PAT サポート。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/48583/voippix-1.gif

設定

このドキュメントでは、次の設定を使用します。

Cisco PIX ファイアウォール
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719 

!--- Fixup protocol required for H.323.

fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060     
fixup protocol sip udp 5060

!--- Fixup protocol required for SIP.

fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq h323

!--- Permits inbound H.323 calls.


access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq 5060


!--- Permits inbound SIP calls.

pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 100.1.1.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
static (inside,outside) 100.1.1.5 192.168.0.2 netmask 255.255.255.255 0 0


!--- Static used to demonstrate NAT.

access-group 101 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
pixfirewall#

Cisco 2651
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
interface FastEthernet0/0
ip address 100.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
no ip http server
ip classless
!
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
dial-peer voice 1111 voip
destination-pattern 1111
session target ipv4:100.1.1.5
codec g711ulaw
!

!--- H.323 dial-peer

dial-peer voice 2222 pots
destination-pattern 2222
port 1/0/0
!
dial-peer voice 3333 voip
destination-pattern 3333
session protocol sipv2
session target ipv4:100.1.1.5
codec g711ulaw
!

!--- SIP dial-peer

!
line con 0
line aux 0
line vty 0 4
!
!
!
end

Gateway#

Cisco ATA 186

この ATA 186 設定は SIP を使用する送信コールに適用されます。 H.323 に関しては UseSIP フィールドを 2651XM の 0 および IP アドレスに呼出します(100.1.1.2) GkOrProxy から Gateway フィールドに変更される変更される必要があります。

/image/gif/paws/48583/voippix-2.jpg

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show xlate —起こる変換を表示する。

    pixfirewall#show xlate
    1 in use, 1 most used
    Global 100.1.1.5 Local 192.168.0.2
    
    !--- Translation in place
    
    

H.323 を確認して下さい

H.323 を確認するためにこれらのコマンドを使用して下さい:

  • show call active voice brief — アクティブコール テーブルのコンテンツを表示する。 表示される情報には、通話時間、ダイヤルピア、接続、サービス パラメータ品質、およびジッタのゲートウェイ処理などがあります。

  • show h225 — PIXファイアウォールを通過するコールを表示する。

  • show conn は detail — VoIP シグナリングおよびメディア アドレス両方の NAT を表示する。

これは show call active voice brief コマンドの出力です。

Gateway#show call active voice brief

Telephony call-legs: 1
SIP call-legs: 0
H323 call-legs: 1
MGCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
2828 : 1574769hs.1 +142 pid:1111 Answer 1111 active
dur 00:00:06 tx:159/24803 rx:343/54880
IP 100.1.1.5:16384 rtt:0ms pl:3860/0ms lost:0/1/0 delay:64/64/65ms g711ulaw

2828 : 1574770hs.1 +141 pid:2222 Originate 2222 active
dur 00:00:06 tx:343/54880 rx:167/26083
Tele 1/0/0 (48): tx:8200/3290/0ms g711ulaw noise:-50 acom:13 i/0:-42/-55 dBm

これは show h225 コマンドの出力です。

pixfirewall#show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720
1. CRV 5735
Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720


!--- This output indicates that there is currently one active 
!--- H.323 call going through the PIX Firewall between the local 
!--- endpoint 192.168.0.2 and foreign host 100.1.1.2. For these 
!--- particular endpoints, there is one concurrent call between them, 
!--- with a Call Reference Value (CRV) for that call of 5735. 

これは show conn detail コマンドの出力です。

pixfirewall#show conn detail
7 in use, 12 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media, O - outbound data,
P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
UDP outside:100.1.1.2/17047 inside:192.168.0.2/16385 flags H
UDP outside:100.1.1.2/17046 inside:192.168.0.2/16384 flags H
TCP outside:100.1.1.2/1720 inside:192.168.0.2/14785 flags UIOh
UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags Hi
TCP outside:100.1.1.2/11012 inside:192.168.0.2/14793 flags UIO
TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags sSiaA
TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags sSiaA

SIP を確認して下さい

SIP を確認するためにこれらのコマンドを使用して下さい。

  • show call active voice brief — アクティブコール テーブルのコンテンツを表示する。 表示される情報には、通話時間、ダイヤルピア、接続、サービス パラメータ品質、およびジッタのゲートウェイ処理などがあります。

  • show conn は detail — VoIP シグナリングおよびメディア アドレス両方の NAT を表示する。

  • show sip — アクティブ SIP コールを表示する。

これは show call active voice brief コマンドの出力です。

Gateway#show call active voice brief

Telephony call-legs: 1
SIP call-legs: 1
H323 call-legs: 0
MGCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
1210 : 1589226hs.1 +133 pid:1111 Answer 1111 active
dur 00:00:13 tx:344/53687 rx:639/102001
IP 100.1.1.5:16384 rtt:0ms pl:11420/0ms lost:0/1/0 delay:45/45/65ms g711ulaw

1210 : 1589227hs.1 +132 pid:2222 Originate 2222 active
dur 00:00:13 tx:639/102001 rx:344/53687
Tele 1/0/0 (50): tx:14760/6780/0ms g711ulaw noise:-49 acom:13 i/0:-45/-50 dBm

これは show sip コマンドの出力です。

pixfirewall#show sip
Total: 1
call-id 648032863@192.168.0.2
state Active, idle 0:00:58

これは show conn detail コマンドの出力です。

pixfirewall#show conn detail
7 in use, 12 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media, O - outbound data,
P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
UDP outside:100.1.1.2/5060 inside:192.168.0.2/0 flags ti
UDP outside:100.1.1.2/0 inside:192.168.0.2/5060 flags Tti
UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags mi
UDP outside:100.1.1.2/5060 inside:192.168.0.2/5060 flags Tt
UDP outside:100.1.1.2/17490 inside:192.168.0.2/16384 flags m
UDP outside:100.1.1.2/17491 inside:192.168.0.2/0 flags m
UDP outside:100.1.1.2/17490 inside:192.168.0.2/0 flags mi

トラブルシューティング

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

PIX を解決するこれらの debug コマンドを使用して下さい。

  • デバッグ一口—ゲートウェイから生成される SIP メッセージを表示する。

  • デバッグ h323 h225 asn1 —ゲートウェイから生成される H.225 メッセージを表示する。

  • debug — トラフィックを表示する暗号化される。

Cisco IOSゲートウェイを解決するためにこれらの debug コマンドを使用して下さい。

  • debug voip ccapi inout — テレフォニーおよびネットワーク コールレグ両方で実行された コール セットアップ および 中断 オペレーションを表示する。

  • debug h225 asn1 — 送信 されるか、または受け取ったあらゆる H.225 メッセージの抽象構文記法.1 コンテンツを表示する。

ATA 186 デバッグの詳細については解決する Cisco ATA 186 を参照して下さい。


関連情報


Document ID: 48583