Guía de configuración de controlador de la frontera de la sesión de los Cisco 7600 Series Router
Implementar el Traversal del Firewall SBC y el NAT
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 234 KB | Inglés (28 Abril 2008) | Comentarios

Contenidos

Implementar el Traversal del Firewall SBC y el NAT

Contenido

Requisitos previos para implementar el Traversal del Firewall y el NAT

Información sobre el Traversal del Firewall y el NAT

Implementar el Traversal del Firewall y el NAT

Cambio del estatus NAT

Soporte del mensaje del PING del SORBO

Configurar el soporte del mensaje del ping

Ejemplos de Configuración


Implementar el Traversal del Firewall SBC y el NAT


La voz sobre IP de los permisos del regulador de la frontera de la sesión (SBC) (VoIP) señalización y media que se recibirán de y dirigidos a un dispositivo detrás de un Firewall y de un NAT (traductor de dirección de red) en la frontera de una red adyacente, sin requerir el dispositivo o el Firewall que se actualizarán. En resumen, el SBC alcanza esto reescribiendo los IP Addresses y los puertos en las encabezados de la señalización de llamada y los bloques del protocolo session description (SDP) asociados a estos mensajes. El SBC no soporta las opciones para mantener los agujeritos abiertos. En lugar, el SBC registra los mensajes para señalar el mantenimiento del agujerito y los paquetes del Real-Time Protocol (RTP) para los media.

El SBC soporta la extensión del Session Initiation Protocol (SIP) para la encaminamiento simétrica de la respuesta (RFC 3581). (No hay actualmente soporte para H.323.)


Observepara la versión 3.0.0 SBC de ACE y posterior, esta característica se soporta en el modelo unificado y el modelo distribuido.


Para una descripción completa de los comandos usados en este capítulo, refiera al capítulo 39, “los comandos controller de la frontera de la sesión de Cisco.” Para localizar la documentación para otros comandos que aparecen en este capítulo, utilizan el índice principal de referencia de comandos, o buscan en línea.

Historial de la característica para implementar el Traversal del Firewall SBC y el NAT

Versión
Modificación

Versión 3.1.00 SBC de ACE

El soporte fue agregado para los mensajes del PING del SORBO.

Versión 3.0.00 SBC de ACE

Esta característica fue introducida en los Cisco 7600 Series Router junto con el soporte para el modelo unificado SBC.


Contenido

Este capítulo contiene las secciones siguientes:

Requisitos previos para implementar el Traversal del Firewall y el NAT

Información sobre el Traversal del Firewall y el NAT

Implementar el Traversal del Firewall y el NAT

Soporte del mensaje del PING del SORBO

Requisitos previos para implementar el Traversal del Firewall y el NAT

Los requisitos previos siguientes se requieren implementar el traversal del Firewall SBC y el NAT:

En el módulo del motor del control de la aplicación (ACE), usted debe ser Usuario administrador para ingresar los comandos SBC. Para más información, vea la guía de administración del módulo del motor del control de la aplicación en
/en/US/docs/interfaces_modules/services_modules/ace/v3.00_A2/configuration/administration/guide/ace_adgd.pdf

Antes de implementar el traversal del Firewall y el NAT, el SBC debe ser creado ya. Vea los procedimientos descritos en el capítulo 2, “los requisitos previos de la configuración de ACE para el SBC”.

Las adyacencias deben ser configuradas antes de implementar el traversal del Firewall y el NAT. Vea los procedimientos descritos en el módulo de las adyacencias SBC que implementa.

Información sobre el Traversal del Firewall y el NAT

La señalización VoIP y los media de los permisos SBC que se recibirán de y dirigidos a un dispositivo detrás de un Firewall y de un NAT en la frontera de una red adyacente, sin requerir el dispositivo o el Firewall que se actualizarán. En resumen, el SBC alcanza esto reescribiendo los IP Addresses y los puertos en las encabezados de la señalización de llamada y los bloques SDP asociados a estos mensajes.

Los Firewall evitan que el tráfico no deseado ingresar, o se vaya, una red realizando la filtración de paquete básico. Los Firewall filtran los paquetes puramente examinando los encabezados de paquete, y no analizan ni entienden el payload de los paquetes. Por lo tanto, no filtran hacia fuera todos los tipos de tráfico no deseado. Por ejemplo, los Firewall no realizan el control de admisión de llamadas — la aplicación SBC hace.

Los Firewall, sin embargo, tienen valores porque filtran eficientemente hacia fuera las categorías grandes de tráfico no deseado, dejando los dispositivos que reconoce la aplicación tales como SBCs con mucho menos trabajo para hacer. Un firewall externo filtra los paquetes de la red externa, pero permite que todos los paquetes de una red interna pasen con sin filtro. Un Firewall interno filtra los paquetes de la red interna, pero permite que todos los paquetes de la red externa pasen con sin filtro (puesto que han pasado ya el firewall externo).

Los Firewall por abandono no validan los paquetes de la red, sino se configuran con las reglas que permiten que seleccionen y que validen ciertos paquetes. Por lo tanto, los paquetes se admiten (o de) a la red basada en la Configuración explícita, y no en la configuración predeterminada.

La aplicación SBC también incorpora la función NAT. Los NAT separan una red en los espacios de la dirección distintos. El componente NAT del SBC separa el espacio de dirección de red interna del espacio de la dirección de la red externa. El NAT mantiene una tabla de asignaciones de {dirección externa, puerto} a {dirección interna, puerto} y vice versa. La tabla es una tabla del dual-índice, así que una asignación determinada se puede mirar encima de dado la información de direccionamiento interna o externa. El NAT utiliza esta tabla para reescribir las encabezados de los paquetes IP esos él adelante.

Al recibir un paquete del IP de la red externa, el NAT mira en su tabla para la dirección destino y el puerto del paquete (que será un direccionamiento del espacio de dirección externa). Si se encuentra una asignación, después la encabezado de dirección destino en el paquete del IP se cambia para contener a la dirección interna correspondiente y para virar hacia el lado de babor de la tabla, y el paquete se remite hacia la red interna. Si no se encuentra ninguna asignación, se desecha el paquete.

Al recibir un paquete del IP de la red interna, el NAT mira en su tabla para la dirección de origen y el puerto del paquete (que será un direccionamiento del espacio de dirección interna). Si se encuentra una asignación, después la encabezado de dirección de origen en el paquete del IP se cambia para contener a la dirección externa correspondiente y para virar hacia el lado de babor de la tabla, y el paquete se remite hacia la red externa. Si no se encuentra ninguna asignación, después se crea una nueva asignación: el NAT afecta un aparato dinámicamente una nuevos dirección externa y puerto del espacio de dirección externa para el paquete (y todos los paquetes futuros de este tuple de la dirección de origen y del puerto).

El SBC no soporta las opciones para mantener los agujeritos abiertos. En lugar, el SBC registra los mensajes para señalar el mantenimiento y los paquetes RTP del agujerito para los media. La clave a solucionar este problema es el hecho de que el NAT del cliente tiene que abrir los agujeritos para permitir que el teléfono del IP envíe los paquetes y los paquetes de medios de la señalización a la red pública, y el Firewall del cliente tiene que permitir estos paquetes a través.

La señalización entrante y los media de la red pública se pueden por lo tanto hacer para atravesar el Firewall y el NAT del cliente dirigiéndolos en el direccionamiento del agujerito y para virar hacia el lado de babor en el lado de la red pública del NAT del cliente. Los agujeritos para señalar y los media tienen diversos cursos de la vida.

El agujerito de la señalización, una vez que está creado, se reutiliza para toda la señalización de llamada.

El agujerito de los media se crea de nuevo para cada secuencia de medios, porque los puertos de origen y de destino de la secuencia de medios se afectan un aparato dinámicamente por la llamada.

El agujerito de la señalización se crea idealmente cuando viene el teléfono del IP primero en línea, y entonces mantenido abierto hasta el teléfono va off-liné otra vez. Se crean los agujeritos de los media crearon cuando el SORBO invita llega el SBC.

El cuadro 15-1 ilustra el trayecto de datos para el soporte del traversal del Firewall y del NAT con el SBC.

Cuadro Traversal del Firewall de 15-1 y NAT

Implementar el Traversal del Firewall y el NAT

Esta tarea implementa el traversal del Firewall y el NAT.

PASOS SUMARIOS


Observesi la adyacencia fue asociado previamente, no attach el comando se debe publicar antes nat-enable.


1. configure

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. nat force-on

6. signaling-address ipv4 ipv4_IP_address

7. signaling-port port_num

8. remote-address ipv4 ipv4_IP_address/prefix

9.signaling-peer []gk peer_name

10. signaling-peer-port port_num

11. attach

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure

Example:

host1/Admin# configure

Habilita el modo de configuración global.

Paso 2 

sbc service-name

Example:

host1/Admin(config)# sbc mysbc

Ingresa el modo de un servicio SBC.

Utilice el argumento del servicio-nombre para definir el nombre del servicio.

Paso 3 

sbe

Example:

host1/Admin(config-sbc)# sbe

Ingresa el modo de una entidad SBE dentro de un servicio SBC.

Paso 4 

adjacency sip adjacency-name

Example:

host1/Admin(config-sbc-sbe)# adjacency sip SIP_7301_1

Ingresa el modo de una adyacencia SBE SIP.

Utilice el argumento del adyacencia-nombre para definir el nombre del servicio.

Paso 5 

nat force-on

Example:

host1/Admin(config-sbc-sbe-adj-sip)# nat force-on

Fija la adyacencia del SORBO para asumir que todos los puntos finales están detrás de un dispositivo NAT

Paso 6 

signaling-address ipv4 ipv4_IP_address

Example:

host1/Admin(config-sbc-sbe-adj-sip)# signaling-address ipv4 10.1.0.2

Especifica el IPv4 local que señala el direccionamiento de la adyacencia del SORBO.

Paso 7 

signaling-port port_num

Example:

host1/Admin(config-sbc-sbe-adj-sip)# signaling-port 5000

Especifica el puerto local de la señalización de la adyacencia del SORBO.

Paso 8 

remote-address ipv4 ipv4_IP_address/prefix

Example:

host1/Admin(config-sbc-sbe--adj-sip)# remote-address ipv4 1.2.3.0/24

Restringe el conjunto de los pares remotos de la señalización entrados en contacto sobre la adyacencia a ésos con el prefijo dado de la dirección IP.

Paso 9 

signaling-peer [gk] peer_name

Example:

host1/Admin(config-sbc-sbe-adj-sip)# signaling-peer athene

Especifica al par remoto de la señalización para que la adyacencia del SORBO utilice.

Paso 10 

signaling-peer-port port_num

Example:

host1/Admin(config-sbc-sbe--adj-sip)# signaling-peer-port 123

Especifica el puerto remoto del señalización-par para que la adyacencia utilice.

Paso 11 

attach

Example:

host1/Admin(config-sbc-sbe-adj-sip)# attach

Asocia la adyacencia.

Cambio del estatus NAT

Cuando usted cambia el estatus NAT, el cambio no se hace eficaz inmediatamente. Usted debe completar un ciclo la adyacencia tal y como se muestra en de esta tarea.

PASOS SUMARIOS

1. configure

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. no attach

6. nat force-off

7. attach

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure

Example:

host1/Admin# configure

Habilita el modo de configuración global.

Paso 2 

sbc service-name

Example:

host1/Admin(config)# sbc mysbc

Ingresa el modo de un servicio SBC.

Utilice el argumento del servicio-nombre para definir el nombre del servicio.

Paso 3 

sbe

Example:

host1/Admin(config-sbc)# sbe

Ingresa el modo de una entidad SBE dentro de un servicio SBC.

Paso 4 

adjacency sip adjacency-name

Example:

host1/Admin(config-sbc-sbe)# adjacency sip SIP_7301_1

Ingresa el modo de una adyacencia SBE SIP.

Utilice el argumento del adyacencia-nombre para definir el nombre del servicio.

Paso 5 

no attach

Example:

host1/Admin(config-sbc-sbe-adj-sip)# no attach

Separa la adyacencia de una cuenta en un SBE.

Paso 6 

nat force-off

Example:

host1/Admin(config-sbc-sbe-adj-sip)# nat force-on

Fija la adyacencia del SORBO para asumir que los puntos finales no están detrás de un dispositivo NAT.

Paso 7 

attach

Example:

host1/Admin(config-sbc-sbe-adj-sip)# attach

Asocia la adyacencia.

Soporte del mensaje del PING del SORBO

La versión 3.1.0 agrega el soporte para los mensajes del PING del SORBO definidos en el Traversal Midcom-inconsciente del borrador IETF NAT/Firewall.

Si el soporte del mensaje del PING del SORBO se habilita con el comando del ping-soporte del sorbo, después en el recibo de un mensaje del PING del SORBO, el SBC vuelve una respuesta de 200 AUTORIZACIONES que contenga dos encabezados usadas para detectar las configuraciones del NAT para el lado emisor: vía la encabezado y la encabezado del contacto.

Ambas encabezados proporcionan la dirección IP y el puerto que recibieron el mensaje del PING. Abajo está un ejemplo de un mensaje del PING y de su respuesta correspondiente de 200 AUTORIZACIONES.

PING sip:7075160418@lgdacom.net SIP/2.0
From: <sip:7075160418@lgdacom.net>;tag=db2000-647ba8c0-13c4-386d43b7-42d6ea8a-386d43b7
To: <sip:7075160418@lgdacom.net>
Call-ID: db2000-647ba8c0-13c4-386d43b7-6769ff65-386d43b7@lgdacom.net
CSeq: 1 PING
Via: SIP/2.0/UDP 192.168.123.100:5060;branch=z9hG4bK-386d43b7-6ad08603-2972814
Max-Forwards: 70
Supported: replaces, 100rel
Proxy-Require: com.nortelnetworks.firewall
Contact: <sip:7075160418@192.168.123.100>
Content-Length: 0

SIP/2.0 200 OK
Via: SIP/2.0/UDP 
192.168.123.100:5060;branch=z9hG4bK-386d43b7-6ad08603-2972814;received=10.0.200.111;rport=
5060
From: <sip:7075160418@lgdacom.net>;tag=db2000-647ba8c0-13c4-386d43b7-42d6ea8a-386d43b7
To: <sip:7075160418@lgdacom.net>;tag=sbc-zfgjyuts-4935681
Call-ID: db2000-647ba8c0-13c4-386d43b7-6769ff65-386d43b7@lgdacom.net
CSeq: 1 PING
Contact: <sip:pong@10.0.200.111:5060;transport=UDP>
Content-Length: 0

Configurar el soporte del mensaje del ping

Cuando usted cambia el estatus NAT, el cambio se hace eficaz inmediatamente. Soporte del mensaje del ping de la configuración como se muestra abajo.

PASOS SUMARIOS

1. configure

2. sbc service-name

3. sbe

4. sip ping-support

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure

Example:

host1/Admin# configure

Habilita el modo de configuración global.

Paso 2 

sbc service-name

Example:

host1/Admin(config)# sbc mysbc

Ingresa el modo de un servicio SBC.

Utilice el argumento del servicio-nombre para definir el nombre del servicio.

Paso 3 

sbe

Example:

host1/Admin(config-sbc)# sbe

Ingresa el modo de una entidad SBE dentro de un servicio SBC.

Paso 4 

sip ping-support

Example:

host1/Admin(config-sbc-sbe)# sip ping-support

Soporte del ping del SORBO de las configuraciones.

Ejemplos de Configuración

El siguiente ejemplo implementa el traversal del Firewall y el NAT:

host1/Admin# configure
host1/Admin(config)# sbc mySbc 
host1/Admin(config-sbc)# sbe
Router/Admin(config-sbc-sbe)# adjacency sip SIP_7301_1
Router/Admin(config-sbc-sbe-adj-sip)# nat force-on
Router/Admin(config-sbc-sbe-adj-sip)# signaling-address ipv4 88.88.121.102 
Router/Admin(config-sbc-sbe-adj-sip)# signaling-port 5060 
Router/Admin(config-sbc-sbe-adj-sip)# remote-address ipv4 10.10.111.0/24 
Router/Admin(config-sbc-sbe-adj-sip)# signaling-peer 10.10.111.41 
Router/Admin(config-sbc-sbe-adj-sip)# signaling-peer-port 5060 
Router/Admin(config-sbc-sbe-adj-sip)# attach

El siguiente ejemplo cambia el estatus NAT.

host1/Admin# configure
host1/Admin(config)# sbc mySbc 
host1/Admin(config-sbc)# sbe 
Router/Admin(config-sbc-sbe)# adjacency sip SIP_7301_1
Router/Admin(config-sbc-sbe-adj-sip)# no attach
Router/Admin(config-sbc-sbe-adj-sip)# nat force-off
Router/Admin(config-sbc-sbe-adj-sip)# attach

El siguiente ejemplo muestra cómo configurar el soporte del ping del SORBO:

host1/Admin# config
host1/Admin(config)# sbc mySbc 
host1/Admin(config-sbc)# sbe 

host1/Admin(config-sbc-sbe)# sip ping-support