Configuración de la reflexión NAT en ASA para los dispositivos de VCS Expressway TelePresence

Introducción

Este documento describe cómo implementar una configuración de reflexión de traducción de direcciones de red (NAT) en los Cisco Adaptive Security Appliances para escenarios especiales de Cisco TelePresence que requieren este tipo de configuración de NAT en el firewall. 

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Configuración básica de NAT de Cisco ASA (dispositivo de seguridad adaptable).

• Control Cisco TelePresence Video Communication Server (VCS) y configuración básica de VCS Expressway.

Nota: Este documento está pensado para utilizarse únicamente cuando no se pueda utilizar el método de implementación recomendado de VCS-Expressway o Expressway-Edge con ambas interfaces NIC en DMZ diferentes. Para obtener más información sobre la implementación recomendada mediante NIC duales, consulte el siguiente enlace en la página 60: Guía de implementación de Cisco TelePresence Video Communication Server Basic Configuration (Control con Expressway)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Dispositivos Cisco ASA serie 5500 y 5500-X que ejecutan la versión de software 8.3 y posteriores.

• Cisco VCS versión X8.x y posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Nota: En todo el documento, los dispositivos VCS se denominan VCS Expressway y VCS Control. Sin embargo, la misma configuración se aplica a los dispositivos Expressway-E y Expressway-C. 

Antecedentes

Según la documentación de Cisco TelePresence, hay dos tipos de escenarios de TelePresence en los que se requiere la configuración de reflexión NAT en los FW para permitir que VCS Control se comunique con VCS Expressway a través de la dirección IP pública de VCS Expressway.

La primera situación implica una única zona desmilitarizada (DMZ) de subred que utiliza una única interfaz LAN de VCS Expressway y la segunda situación implica una DMZ de firewall de 3 puertos que utiliza una única interfaz LAN de VCS Expressway.

Consejo: Para obtener más detalles sobre la implementación de TelePresence, consulte la guía de implementación de Cisco TelePresence Video Communication Server Basic Configuration (Control con Expressway).

Topologías de Cisco no recomendadas para la implementación de VCS C y E

Es importante tener en cuenta que Cisco NO recomienda las siguientes topologías. La metodología de implementación recomendada para una frontera de VCS Expressway o Expressway es utilizar dos DMZ diferentes con Expressway con una NIC en cada DMZ. Esta guía está diseñada para utilizarse en entornos en los que no se puede utilizar el método de implementación recomendado.

DMZ de subred única con interfaz LAN Expressway de VCS única

En esta situación, el firewall A puede enrutar el tráfico al firewall B (y viceversa). VCS Expressway permite que el tráfico de vídeo pase a través del firewall B sin que se reduzca el flujo de tráfico del firewall B desde las interfaces externas a las internas. VCS Expressway también gestiona FW traversal en su lado público.

A continuación se muestra un ejemplo de este escenario:

Esta implementación utiliza estos componentes:

• Una única subred DMZ (10.0.10.0/24) que contiene:
  
  • La interfaz interna de FW A (10.0.10.1)
  • La interfaz externa de FW B (10.0.10.2)
  • La interfaz LAN1 de VCS Expressway (10.0.10.3)
• Una subred LAN (10.0.30.0/24) que contiene:
  
  • La interfaz interna de FW B (10.0.30.1)
  • La interfaz LAN1 del control VCS (10.0.30.2)
  • La interfaz de red de Cisco TelePresence Management Server (TMS) (10.0.30.3)

Se ha configurado una NAT uno a uno estática en el firewall A, que realiza la NAT para la dirección pública 64.100.0.10 a la dirección IP LAN1 de VCS Expressway. El modo NAT estático se ha habilitado para la interfaz LAN1 en VCS Expressway, con una dirección IP NAT estática de 64.100.0.10.

Nota: Debe introducir el nombre de dominio completamente calificado (FQDN) de VCS Expressway en la zona de cliente transversal seguro (dirección de par) de VCS Control tal y como se ve desde fuera de la red. La razón de esto es que en el modo NAT estático, VCS Expressway solicita que la señalización entrante y el tráfico de medios se envíen a su FQDN externo en lugar de a su nombre privado. Esto también significa que el firewall externo debe permitir el tráfico del control de VCS al FQDN externo de VCS Expressway. Esto se conoce como reflexión NAT y es posible que no sea compatible con todos los tipos de FW.

En este ejemplo, el FW B debe permitir la reflexión NAT del tráfico que proviene del control VCS y que está destinado a la dirección IP externa (64.100.0.10) de VCS Expressway. La zona transversal del control VCS debe tener 64.100.0.10 como dirección de peer (después de la conversión de FQDN a IP).

VCS Expressway debe configurarse con una puerta de enlace predeterminada de 10.0.10.1. Si se requieren rutas estáticas en este escenario depende de las capacidades y los valores de FW A y FW B. La comunicación del control VCS con VCS Expressway se produce a través de la dirección IP 64.100.0.10 de VCS Expressway; y es posible que el tráfico de retorno de VCS Expressway al control VCS tenga que pasar a través del gateway predeterminado.

VCS Expressway se puede agregar a Cisco TMS con la dirección IP 10.0.10.3 (o con la dirección IP 64.100.0.10, si FW B lo permite), ya que la comunicación de administración de Cisco TMS no se ve afectada por la configuración del modo NAT estático en VCS Expressway.

FW DMZ de 3 puertos con interfaz LAN Expressway VCS única

A continuación se muestra un ejemplo de este escenario:

En esta implementación, se utiliza un FW de 3 puertos para crear:

• Una subred DMZ (10.0.10.0/24) que contiene:
  
  • La interfaz DMZ de FW A (10.0.10.1)
  • La interfaz LAN1 de VCS Expressway (10.0.10.2)
• Una subred LAN (10.0.30.0/24) que contiene:
  
  • La interfaz LAN de FW A (10.0.30.1)
  • La interfaz LAN1 del control VCS (10.0.30.2)
  • La interfaz de red de Cisco TMS (10.0.30.3)

Se ha configurado una NAT uno a uno estática en el firewall A, que realiza la NAT de la dirección IP pública 64.100.0.10 a la dirección IP LAN1 de VCS Expressway. El modo NAT estático se ha habilitado para la interfaz LAN1 en VCS Expressway, con una dirección IP NAT estática de 64.100.0.10.

VCS Expressway debe configurarse con una puerta de enlace predeterminada de 10.0.10.1. Dado que esta puerta de enlace debe utilizarse para todo el tráfico que sale de VCS Expressway, no se requieren rutas estáticas en este tipo de implementación.

La zona de cliente transversal en el control VCS debe configurarse con una dirección de peer que coincida con la dirección NAT estática de VCS Expressway (64.100.0.10 en este ejemplo) por las mismas razones que las descritas en el escenario anterior.

Nota: Esto significa que el FW A debe permitir el tráfico del control VCS con una dirección IP de destino de 64.100.0.10. Esto también se conoce como reflexión NAT, y debe tenerse en cuenta que esto no es compatible con todos los tipos de FW.

VCS Expressway se puede agregar a Cisco TMS con la dirección IP 10.0.10.2 (o con la dirección IP 64.100.0.10, si FW A lo permite), ya que la comunicación de administración de Cisco TMS no se ve afectada por la configuración del modo NAT estático en VCS Expressway.

Configurar

En esta sección se describe cómo configurar la reflexión NAT en ASA para los dos escenarios de implementación de VCS C y E diferentes.

DMZ de subred única con interfaz LAN Expressway de VCS única

Para el primer escenario, debe aplicar esta configuración de reflexión NAT en el FW A para permitir la comunicación desde el control VCS (10.0.30.2) que está destinado a la dirección IP externa (64.100.0.10) de VCS Expressway:

En este ejemplo, la dirección IP de VCS Control es 10.0.30.2/24, y la dirección IP de VCS Expressway es 10.0.10.3/24.

Si supone que la dirección IP 10.0.30.2 de control de VCS permanece cuando se mueve de la interfaz interna a la interfaz externa de FW B cuando se busca VCS Expressway con la dirección IP de destino 64.100.0.10, la configuración de reflexión NAT que debe implementar en FW B se muestra en estos ejemplos.

Ejemplo de ASA versiones 8.3 y posteriores:

object network obj-10.0.30.2
 host 10.0.30.2

object network obj-10.0.10.3
 host 10.0.10.3

object network obj-64.100.0.10
 host 64.100.0.10

nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination static
 obj-64.100.0.10 obj-10.0.10.3

NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Ejemplo de ASA versiones 8.2 y anteriores:

access-list IN-OUT-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,outside) 10.0.30.2 access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.0.10.3 host 10.0.30.2
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE

Nota: El objetivo principal de esta configuración de reflexión de NAT es permitir que VCS Control pueda alcanzar VCS Expressway, pero utilizando la dirección IP pública de VCS Expressway en lugar de su dirección IP privada. Si la dirección IP de origen del control VCS se cambia durante esta traducción NAT con una configuración NAT doble en lugar de la configuración NAT sugerida que se muestra, lo que hace que VCS Expressway vea el tráfico de su propia dirección IP pública, los servicios telefónicos para los dispositivos MRA no se activarán. No se trata de una implementación compatible según la sección 3 de la siguiente sección de recomendaciones.

FW DMZ de 3 puertos con interfaz LAN Expressway VCS única

Para el segundo escenario, debe aplicar esta configuración de reflexión NAT en el FW A para permitir la reflexión NAT del tráfico entrante desde el VCS Control 10.0.30.2 que está destinado a la dirección IP externa (64.100.0.10) de VCS Expressway:

En este ejemplo, la dirección IP de VCS Control es 10.0.30.2/24, y la dirección IP de VCS Expressway es 10.0.10.2/24.

Si supone que la dirección IP 10.0.30.2 de VCS Control permanece cuando se mueve desde el interior a la interfaz DMZ de FW A cuando se busca VCS Expressway con la dirección IP de destino 64.100.0.10, la configuración de reflexión NAT que debe implementar en FW A se muestra en estos ejemplos.

Ejemplo de ASA versiones 8.3 y posteriores:

object network obj-10.0.30.2
 host 10.0.30.2

object network obj-10.0.10.2
 host 10.0.10.2

object network obj-64.100.0.10
 host 64.100.0.10

nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination static
 obj-64.100.0.10 obj-10.0.10.2

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the DMZ interface is being redirected.
WARNING: Users may not be able to access any service enabled on the DMZ interface.

Ejemplo de ASA versiones 8.2 y anteriores:

access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,DMZ) 10.0.30.2 access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.30.2
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE

Nota: El objetivo principal de esta configuración de reflexión NAT es permitir que VCS Control pueda alcanzar la autopista VCS, pero con la dirección IP pública de VCS Expressway en lugar de su dirección IP privada. Si la dirección IP de origen del control VCS se cambia durante esta traducción NAT con una configuración NAT doble en lugar de la configuración NAT sugerida que se muestra, lo que hace que VCS Expressway vea el tráfico de su propia dirección IP pública, los servicios telefónicos para los dispositivos MRA no se activarán. No se trata de una implementación compatible, como se indica en la sección 3 de la sección de recomendaciones que aparece a continuación.

Verificación 

Esta sección proporciona los resultados del rastreador de paquetes que puede ver en el ASA para confirmar que la configuración de reflexión NAT funciona según sea necesario en los escenarios de implementación de VCS C y E.

DMZ de subred única con interfaz LAN Expressway de VCS única

Aquí está el resultado del rastreador de paquetes FW B para las versiones 8.3 y posteriores de ASA:

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80 

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.3
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/80 to 10.0.10.3/80

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.3
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.30.2/1234

Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.3
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 2, packet dispatched to next module
 
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Aquí está el resultado del rastreador de paquetes FW B para las versiones 8.2 y anteriores de ASA: 

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80 

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip outside host 10.0.10.3 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/0 to 10.0.10.3/0 using netmask 255.255.255.255

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config: 
static (inside,outside) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 outside host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.30.2/0 using netmask 255.255.255.255

Phase: 4
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 outside host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip outside host 10.0.10.3 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip outside host 10.0.10.3 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8 
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 1166, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

FW DMZ de 3 puertos con interfaz LAN Expressway VCS única

A continuación se muestra la salida del rastreador de paquetes FW A para las versiones 8.3 y posteriores de ASA:

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/80 to 10.0.10.2/80

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.2
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.30.2/1234

Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.2
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 7, packet dispatched to next module
 
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Aquí está el resultado del rastreador de paquetes FW A para ASA Versiones 8.2 y anteriores: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip DMZ host 10.0.10.2 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config: 
static (inside,DMZ) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 DMZ host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.30.2/0 using netmask 255.255.255.255

Phase: 4
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,DMZ) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 DMZ host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip DMZ host 10.0.10.2 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip DMZ host 10.0.10.2 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8 
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 1166, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Troubleshoot

Puede configurar capturas de paquetes en las interfaces ASA para confirmar la traducción NAT cuando los paquetes ingresan y salen de las interfaces FW involucradas.

Captura de paquetes aplicada para el escenario "FW DMZ de 3 puertos con interfaz LAN de Expressway de VCS único"

FW-A# sh cap
capture capin type raw-data interface inside [Capturing - 5735 bytes] 
  match ip host 10.0.30.2 host 64.100.0.10 
capture capdmz type raw-data interface DMZ [Capturing - 5735 bytes] 
  match ip host 10.0.10.2 host 10.0.30.2 
FW-A# sh cap capin

71 packets captured
   1: 22:21:37.095270 10.0.30.2 > 64.100.0.10: icmp: echo request 
   2: 22:21:37.100672 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   3: 22:21:37.101313 10.0.30.2 > 64.100.0.10: icmp: echo request 
   4: 22:21:37.114373 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   5: 22:21:37.157371 10.0.30.2 > 64.100.0.10: icmp: echo request 
   6: 22:21:37.174429 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   7: 22:21:39.234164 10.0.30.2 > 64.100.0.10: icmp: echo request 
   8: 22:21:39.238528 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   9: 22:21:39.261110 10.0.30.2 > 64.100.0.10: icmp: echo request 
  10: 22:21:39.270234 64.100.0.10 > 10.0.30.2: icmp: echo reply 
  11: 22:21:47.170614 10.0.30.2.38953 > 64.100.0.10.23: S 1841210281:1841210281(0) 
win 4128 <mss 536> 
  12: 22:21:47.198933 64.100.0.10.23 > 10.0.30.2.38953: S 3354834096:3354834096(0) 
ack 1841210282 win 4128 <mss 536> 
  13: 22:21:47.235186 10.0.30.2.38953 > 64.100.0.10.23: . ack 3354834097 
win 4128 
  14: 22:21:47.242815 64.100.0.10.23 > 10.0.30.2.38953: P 3354834097:3354834109(12) 
ack 1841210282 win 4128 
  15: 22:21:47.243014 10.0.30.2.38953 > 64.100.0.10.23: P 1841210282:1841210294(12) 
ack 3354834097 win 4128 
  16: 22:21:47.243258 10.0.30.2.38953 > 64.100.0.10.23: . ack 3354834097 
win 4128 
  17: 22:21:47.261094 64.100.0.10.23 > 10.0.30.2.38953: P 3354834109:3354834151(42) 
ack 1841210282 win 4128 
  18: 22:21:47.280411 64.100.0.10.23 > 10.0.30.2.38953: P 3354834151:3354834154(3) 
ack 1841210294 win 4116 
  19: 22:21:47.280625 64.100.0.10.23 > 10.0.30.2.38953: P 3354834154:3354834157(3) 
ack 1841210294 win 4116 
  20: 22:21:47.280838 64.100.0.10.23 > 10.0.30.2.38953: P 3354834157:3354834163(6) 
ack 1841210294 win 4116 
  21: 22:21:47.281082 10.0.30.2.38953 > 64.100.0.10.23: P 1841210294:1841210297(3) 
ack 3354834109 win 4116 
  22: 22:21:47.281296 10.0.30.2.38953 > 64.100.0.10.23: P 1841210297:1841210300(3) 
ack 3354834109 win 4116 

FW-A# sh cap capdmz

71 packets captured
   1: 22:21:37.095621 10.0.30.2 > 10.0.10.2: icmp: echo request 
   2: 22:21:37.100626 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   3: 22:21:37.101343 10.0.30.2 > 10.0.10.2: icmp: echo request 
   4: 22:21:37.114297 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   5: 22:21:37.157920 10.0.30.2 > 10.0.10.2: icmp: echo request 
   6: 22:21:37.174353 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   7: 22:21:39.234713 10.0.30.2 > 10.0.10.2: icmp: echo request 
   8: 22:21:39.238452 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   9: 22:21:39.261659 10.0.30.2 > 10.0.10.2: icmp: echo request 
  10: 22:21:39.270158 10.0.10.2 > 10.0.30.2: icmp: echo reply 
  11: 22:21:47.170950 10.0.30.2.38953 > 10.0.10.2.23: S 2196345248:2196345248(0) 
win 4128 <mss 536> 
  12: 22:21:47.198903 10.0.10.2.23 > 10.0.30.2.38953: S 1814294604:1814294604(0) 
ack 2196345249 win 4128 <mss 536> 
  13: 22:21:47.235263 10.0.30.2.38953 > 10.0.10.2.23: . ack 1814294605 win 4128 
  14: 22:21:47.242754 10.0.10.2.23 > 10.0.30.2.38953: P 1814294605:1814294617(12) 
ack 2196345249 win 4128 
  15: 22:21:47.243105 10.0.30.2.38953 > 10.0.10.2.23: P 2196345249:2196345261(12) 
ack 1814294605 win 4128 
  16: 22:21:47.243319 10.0.30.2.38953 > 10.0.10.2.23: . ack 1814294605 win 4128 
  17: 22:21:47.260988 10.0.10.2.23 > 10.0.30.2.38953: P 1814294617:1814294659(42) 
ack 2196345249 win 4128 
  18: 22:21:47.280335 10.0.10.2.23 > 10.0.30.2.38953: P 1814294659:1814294662(3) 
ack 2196345261 win 4116 
  19: 22:21:47.280564 10.0.10.2.23 > 10.0.30.2.38953: P 1814294662:1814294665(3) 
ack 2196345261 win 4116 
  20: 22:21:47.280777 10.0.10.2.23 > 10.0.30.2.38953: P 1814294665:1814294671(6) 
ack 2196345261 win 4116 
  21: 22:21:47.281143 10.0.30.2.38953 > 10.0.10.2.23: P 2196345261:2196345264(3) 
ack 1814294617 win 4116 
  22: 22:21:47.281357 10.0.30.2.38953 > 10.0.10.2.23: P 2196345264:2196345267(3) 
ack 1814294617 win 4116 

Captura de paquetes aplicada para el escenario "Single Subnet DMZ with Single VCS Expressway LAN Interface"

FW-B# sh cap
capture capin type raw-data interface inside [Capturing - 5815 bytes] 
  match ip host 10.0.30.2 host 64.100.0.10 
capture capout type raw-data interface outside [Capturing - 5815 bytes] 
  match ip host 10.0.10.3 host 10.0.30.2 

FW-B# sh cap capin

72 packets captured
   1: 22:30:06.783681 10.0.30.2 > 64.100.0.10: icmp: echo request 
   2: 22:30:06.847856 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   3: 22:30:06.877624 10.0.30.2 > 64.100.0.10: icmp: echo request 
   4: 22:30:06.900710 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   5: 22:30:06.971598 10.0.30.2 > 64.100.0.10: icmp: echo request 
   6: 22:30:06.999551 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   7: 22:30:07.075649 10.0.30.2 > 64.100.0.10: icmp: echo request 
   8: 22:30:07.134499 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   9: 22:30:07.156409 10.0.30.2 > 64.100.0.10: icmp: echo request 
  10: 22:30:07.177496 64.100.0.10 > 10.0.30.2: icmp: echo reply 
  11: 22:30:13.802525 10.0.30.2.41596 > 64.100.0.10.23: S 1119515693:1119515693(0) 
win 4128 <mss 536> 
  12: 22:30:13.861100 64.100.0.10.23 > 10.0.30.2.41596: S 2006020203:2006020203(0) 
ack 1119515694 win 4128 <mss 536> 
  13: 22:30:13.935864 10.0.30.2.41596 > 64.100.0.10.23: . ack 2006020204 win 4128 
  14: 22:30:13.946804 10.0.30.2.41596 > 64.100.0.10.23: P 1119515694:1119515706(12) 
ack 2006020204 win 4128 
  15: 22:30:13.952679 10.0.30.2.41596 > 64.100.0.10.23: . ack 2006020204 win 4128 
  16: 22:30:14.013686 64.100.0.10.23 > 10.0.30.2.41596: P 2006020204:2006020216(12) 
ack 1119515706 win 4116 
  17: 22:30:14.035352 64.100.0.10.23 > 10.0.30.2.41596: P 2006020216:2006020256(40) 
ack 1119515706 win 4116 
  18: 22:30:14.045758 64.100.0.10.23 > 10.0.30.2.41596: P 2006020256:2006020259(3) 
ack 1119515706 win 4116 
  19: 22:30:14.046781 64.100.0.10.23 > 10.0.30.2.41596: P 2006020259:2006020262(3) 
ack 1119515706 win 4116 
  20: 22:30:14.047788 64.100.0.10.23 > 10.0.30.2.41596: P 2006020262:2006020268(6) 
ack 1119515706 win 4116 
  21: 22:30:14.052151 10.0.30.2.41596 > 64.100.0.10.23: P 1119515706:1119515709(3) 
ack 2006020256 win 4076 
  22: 22:30:14.089183 10.0.30.2.41596 > 64.100.0.10.23: P 1119515709:1119515712(3) 
ack 2006020256 win 4076 


ASA1# show cap capout

72 packets captured
   1: 22:30:06.784871 10.0.30.2 > 10.0.10.3: icmp: echo request 
   2: 22:30:06.847688 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   3: 22:30:06.878769 10.0.30.2 > 10.0.10.3: icmp: echo request 
   4: 22:30:06.900557 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   5: 22:30:06.972758 10.0.30.2 > 10.0.10.3: icmp: echo request 
   6: 22:30:06.999399 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   7: 22:30:07.076808 10.0.30.2 > 10.0.10.3: icmp: echo request 
   8: 22:30:07.134422 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   9: 22:30:07.156959 10.0.30.2 > 10.0.10.3: icmp: echo request 
  10: 22:30:07.177420 10.0.10.3 > 10.0.30.2: icmp: echo reply 
  11: 22:30:13.803104 10.0.30.2.41596 > 10.0.10.3.23: S 2599614130:2599614130(0) 
win 4128 <mss 536> 
  12: 22:30:13.860947 10.0.10.3.23 > 10.0.30.2.41596: S 4158597009:4158597009(0) 
ack 2599614131 win 4128 <mss 536> 
  13: 22:30:13.936017 10.0.30.2.41596 > 10.0.10.3.23: . ack 4158597010 win 4128 
  14: 22:30:13.946941 10.0.30.2.41596 > 10.0.10.3.23: P 2599614131:2599614143(12) 
ack 4158597010 win 4128 
  15: 22:30:13.952801 10.0.30.2.41596 > 10.0.10.3.23: . ack 4158597010 win 4128 
  16: 22:30:14.013488 10.0.10.3.23 > 10.0.30.2.41596: P 4158597010:4158597022(12) 
ack 2599614143 win 4116 
  17: 22:30:14.035108 10.0.10.3.23 > 10.0.30.2.41596: P 4158597022:4158597062(40) 
ack 2599614143 win 4116 
  18: 22:30:14.045377 10.0.10.3.23 > 10.0.30.2.41596: P 4158597062:4158597065(3) 
ack 2599614143 win 4116 
  19: 22:30:14.046384 10.0.10.3.23 > 10.0.30.2.41596: P 4158597065:4158597068(3) 
ack 2599614143 win 4116 
  20: 22:30:14.047406 10.0.10.3.23 > 10.0.30.2.41596: P 4158597068:4158597074(6) 
ack 2599614143 win 4116 
  21: 22:30:14.052395 10.0.30.2.41596 > 10.0.10.3.23: P 2599614143:2599614146(3) 
ack 4158597062 win 4076 
  22: 22:30:14.089427 10.0.30.2.41596 > 10.0.10.3.23: P 2599614146:2599614149(3) 
ack 4158597062 win 4076 

Recomendaciones

1. Evite la implementación de cualquier topología no admitida

Por ejemplo, si tiene VCS Control y VCS Expressway conectados detrás de la interfaz interna de ASA, tal como se muestra en esta situación:

Este tipo de implementación requiere que la dirección IP de control de VCS se traduzca a la dirección IP interna del ASA para forzar que el tráfico de retorno regrese al ASA para evitar problemas de ruta asimétrica para la reflexión de NAT.

Nota: Si la dirección IP de origen del control VCS se cambia durante esta traducción NAT con una configuración NAT doble en lugar de la configuración de reflexión NAT sugerida, VCS Expressway verá el tráfico de su propia dirección IP pública, los servicios telefónicos para los dispositivos MRA no se activarán. No se trata de una implementación compatible, como se indica en la sección 3 de la sección de recomendaciones que aparece a continuación.

Dicho esto, se recomienda implementar VCS Expressway como una implementación de interfaces de red duales de Expressway-E en lugar de la NIC única con reflexión NAT.

2. Asegúrese de que la inspección de SIP/H.323 esté completamente inhabilitada en los firewalls involucrados

Se recomienda deshabilitar la inspección H.323 y SIP en los firewalls que gestionan el tráfico de red hacia o desde Expressway-E. Cuando está habilitada, la inspección de SIP/H.323 suele afectar negativamente a la funcionalidad transversal de firewall/NAT integrada de Expressway.

Este es un ejemplo de cómo inhabilitar las inspecciones de SIP y H.323 en ASA.

policy-map global_policy
 class inspection_default
  no inspect h323 h225 
  no inspect h323 ras 
  no inspect sip  

3. Asegúrese de que su implementación real de Expressway cumpla con los siguientes requisitos sugeridos por los desarrolladores de Cisco telepresence

• No se admite la configuración NAT entre Expressway-C y Expressway-E.

• No se admite cuando Expressway-C y Expressway-E obtienen NAT en la misma dirección IP pública, por ejemplo:
        Expressway-C está configurado con la dirección IP 10.1.1.1
        Expressway-E tiene una sola NIC configurada con la dirección IP 10.2.2.1 y una NAT estática se configura en el firewall con la dirección IP pública 64.100.0.10
        Entonces Expressway-C no puede ser NATted a la misma dirección pública 64.100.0.10

Implementación recomendada de VCS Expressway

La implementación recomendada para VCS Expressway en lugar de VCS Expressway con la configuración de reflexión NAT es la implementación de interfaces de red duales/VCS Expressway de NIC duales. Para obtener más información, consulte el siguiente enlace.

Configuración de NAT de ASA y recomendaciones para la implementación de interfaces de red duales de Expressway-E.

Información Relacionada

• Configuración de NAT de ASA y recomendaciones para la implementación de interfaces de red duales de Expressway-E

• Guía de implementación de Cisco TelePresence Video Communication Server Basic Configuration (Control con Expressway)

• Uso del puerto IP de Cisco Expressway para firewall transversal

• Colocación de Cisco VCS Expressway en una DMZ en lugar de en la Internet pública