Безопасность : Устройства защиты Cisco PIX серии 500

Обработка трафика VoIP с помощью сетевого экрана PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом примере конфигурации Межсетевой экран PIX настроен для разрешения пересечения двух другой Передачи голоса по IP (VoIP) протоколы — H.323 и Протокол SIP. Вследствие того, что протоколы VoIP составлены из сигнализации и комбинаций/port IP-адреса, существует много проблем с VoIP и Трансляциями сетевых адресов (NAT). Протокол FIXUP Межсетевого экрана PIX решает эти проблемы.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение PIX, выпуск 6.3(1)

  • Cisco 2651XM IOS� 12.3 (3)

  • Адаптер для аналоговых телефонов (ATA) Cisco 186 версий 2.16.1

Примечание: Для Межсетевого экрана PIX (со шлюзом уровня приложения [ALG] VoIP или протоколом FIXUP), они версия/комбинации признаков поддерживаются:

  • Версия 5.2 — Поддерживает версию 2 H.323, Регистрацию и статус (RAS) и NAT (никакой PAT)

  • Версия 6.0 и 6.1 — Добавляет SIP с NAT (никакой PAT), Skinny Client Control Protocol (SCCP) с NAT (никакой PAT) и никакая поддержка Протокола MGCP

  • Версия 6.2 — поддержка PAT версии 2 H.323 и SIP.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/48583/voippix-1.gif

Конфигурации

Эти конфигурации используются в данном документе:

Межсетевой экран Cisco PIX
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719 

!--- Fixup protocol required for H.323.

fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060     
fixup protocol sip udp 5060

!--- Fixup protocol required for SIP.

fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq h323

!--- Permits inbound H.323 calls.


access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq 5060


!--- Permits inbound SIP calls.

pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 100.1.1.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
static (inside,outside) 100.1.1.5 192.168.0.2 netmask 255.255.255.255 0 0


!--- Static used to demonstrate NAT.

access-group 101 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
pixfirewall#

Cisco 2651
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
interface FastEthernet0/0
ip address 100.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
no ip http server
ip classless
!
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
dial-peer voice 1111 voip
destination-pattern 1111
session target ipv4:100.1.1.5
codec g711ulaw
!

!--- H.323 dial-peer

dial-peer voice 2222 pots
destination-pattern 2222
port 1/0/0
!
dial-peer voice 3333 voip
destination-pattern 3333
session protocol sipv2
session target ipv4:100.1.1.5
codec g711ulaw
!

!--- SIP dial-peer

!
line con 0
line aux 0
line vty 0 4
!
!
!
end

Gateway#

Cisco ATA 186

Примечание: Эта конфигурация ATA 186 просит исходящие вызовы тот SIP использования. Поскольку H.323 звонит, поле UseSIP должно быть изменено на 0 и IP-адрес 2651XM (100.1.1.2) измененный от GkOrProxy до поля Gateway.

/image/gif/paws/48583/voippix-2.jpg

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show xlate трансляцию, которая имеет место.

    pixfirewall#show xlate
    1 in use, 1 most used
    Global 100.1.1.5 Local 192.168.0.2
    
    !--- Translation in place
    
    

Проверьте H.323

Используйте эти команды для подтверждения H.323:

  • show call active voice brief содержание таблицы активных вызовов. Выводятся такие данные, как время каждого вызова, адресуемые конечные точки вызовов, соединения, параметры качества обслуживания и обработка дрожания в шлюзе.

  • show h225 — Отображает вызовы, которые проходят через Межсетевой экран PIX.

  • show conn detail — Отображает NAT и VoIP передача сигналов и адресов сред.

Это - выходные данные команды show call active voice brief.

Gateway#show call active voice brief

Telephony call-legs: 1
SIP call-legs: 0
H323 call-legs: 1
MGCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
2828 : 1574769hs.1 +142 pid:1111 Answer 1111 active
dur 00:00:06 tx:159/24803 rx:343/54880
IP 100.1.1.5:16384 rtt:0ms pl:3860/0ms lost:0/1/0 delay:64/64/65ms g711ulaw

2828 : 1574770hs.1 +141 pid:2222 Originate 2222 active
dur 00:00:06 tx:343/54880 rx:167/26083
Tele 1/0/0 (48): tx:8200/3290/0ms g711ulaw noise:-50 acom:13 i/0:-42/-55 dBm

Это - выходные данные команды show h225.

pixfirewall#show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720
1. CRV 5735
Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720


!--- This output indicates that there is currently one active 
!--- H.323 call going through the PIX Firewall between the local 
!--- endpoint 192.168.0.2 and foreign host 100.1.1.2. For these 
!--- particular endpoints, there is one concurrent call between them, 
!--- with a Call Reference Value (CRV) for that call of 5735. 

Это - выходные данные команды show conn detail.

pixfirewall#show conn detail
7 in use, 12 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media, O - outbound data,
P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
UDP outside:100.1.1.2/17047 inside:192.168.0.2/16385 flags H
UDP outside:100.1.1.2/17046 inside:192.168.0.2/16384 flags H
TCP outside:100.1.1.2/1720 inside:192.168.0.2/14785 flags UIOh
UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags Hi
TCP outside:100.1.1.2/11012 inside:192.168.0.2/14793 flags UIO
TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags sSiaA
TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags sSiaA

Проверьте SIP

Используйте эти команды для подтверждения SIP.

  • show call active voice brief содержание таблицы активных вызовов. Выводятся такие данные, как время каждого вызова, адресуемые конечные точки вызовов, соединения, параметры качества обслуживания и обработка дрожания в шлюзе.

  • show conn detail — Отображает NAT и VoIP передача сигналов и адресов сред.

  • show sip — Отображает активный вызов SIP.

Это - выходные данные команды show call active voice brief.

Gateway#show call active voice brief

Telephony call-legs: 1
SIP call-legs: 1
H323 call-legs: 0
MGCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
1210 : 1589226hs.1 +133 pid:1111 Answer 1111 active
dur 00:00:13 tx:344/53687 rx:639/102001
IP 100.1.1.5:16384 rtt:0ms pl:11420/0ms lost:0/1/0 delay:45/45/65ms g711ulaw

1210 : 1589227hs.1 +132 pid:2222 Originate 2222 active
dur 00:00:13 tx:639/102001 rx:344/53687
Tele 1/0/0 (50): tx:14760/6780/0ms g711ulaw noise:-49 acom:13 i/0:-45/-50 dBm

Это - выходные данные команды show sip.

pixfirewall#show sip
Total: 1
call-id 648032863@192.168.0.2
state Active, idle 0:00:58

Это - выходные данные команды show conn detail.

pixfirewall#show conn detail
7 in use, 12 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete,
k - Skinny media, M - SMTP data, m - SIP media, O - outbound data,
P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
UDP outside:100.1.1.2/5060 inside:192.168.0.2/0 flags ti
UDP outside:100.1.1.2/0 inside:192.168.0.2/5060 flags Tti
UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags mi
UDP outside:100.1.1.2/5060 inside:192.168.0.2/5060 flags Tt
UDP outside:100.1.1.2/17490 inside:192.168.0.2/16384 flags m
UDP outside:100.1.1.2/17491 inside:192.168.0.2/0 flags m
UDP outside:100.1.1.2/17490 inside:192.168.0.2/0 flags mi

Устранение неполадок

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Используйте эти команды отладки для устранения проблем PIX.

  • sip отладки — Отображает сообщения SIP, генерируемые от шлюзов.

  • h225 asn1 h323 отладки — Отображает сообщение H.225, генерируемое от шлюзов.

  • отладка — Отображает трафик, который зашифрован.

Используйте эти команды отладки для устранения проблем шлюза Cisco IOS.

  • debug voip ccapi inout операции установки и разрыва вызова, выполненные и на вызовах в телефонии и на участках сетевого вызова.

  • debug h225 asn1 содержание ASN.1 любого сообщения H.225, передаваемого или полученного.

Обратитесь к Устранению проблем Cisco ATA 186 для подробных данных об отладке ATA 186.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 48583