Configurer la réflexion NAT sur l’ASA pour les périphériques VCS Expressway TelePresence

Introduction

Ce document décrit comment implémenter une configuration de réflexion NAT (Network Address Translation) sur les dispositifs de sécurité adaptatifs Cisco pour des scénarios Cisco TelePresence spéciaux qui nécessitent ce type de configuration NAT sur le pare-feu. 

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Configuration NAT de base de Cisco ASA (Adaptive Security Appliance).

• Contrôle du serveur de communication vidéo Cisco TelePresence (VCS) et configuration de base de VCS Expressway.

Remarque : Ce document est destiné à être utilisé uniquement lorsque la méthode de déploiement recommandée d’un VCS-Expressway ou d’un Expressway-Edge avec les deux interfaces de carte réseau dans des DMZ différentes ne peut pas être utilisée. Pour plus d’informations sur le déploiement recommandé à l’aide de deux cartes réseau, consultez le lien suivant à la page 60 : Guide de déploiement du serveur Cisco TelePresence Video Communication Server Basic Configuration (Control with Expressway)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Appareils des gammes Cisco ASA 5500 et 5500-X qui exécutent les versions 8.3 et ultérieures du logiciel.

• Cisco VCS version X8.x et ultérieures.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Remarque : tout au long du document, les périphériques VCS sont appelés VCS Expressway et VCS Control. Toutefois, la même configuration s’applique aux périphériques Expressway-E et Expressway-C. 

Informations générales

Conformément à la documentation Cisco TelePresence, il existe deux types de scénarios TelePresence dans lesquels la configuration de la réflexion NAT est requise sur les pare-feu afin de permettre à VCS Control de communiquer avec VCS Expressway via l’adresse IP publique de VCS Expressway.

Le premier scénario implique une zone démilitarisée (DMZ) de sous-réseau unique qui utilise une interface LAN VCS Expressway unique, et le second scénario implique une DMZ FW 3 ports qui utilise une interface LAN VCS Expressway unique.

Conseil : Afin d'obtenir plus de détails sur l'implémentation de TelePresence, référez-vous au guide de déploiement Cisco TelePresence Video Communication Server Basic Configuration (Control with Expressway).

Topologies Cisco non recommandées pour l'implémentation VCS C et E

Il est important de noter que les topologies suivantes ne sont PAS recommandées par Cisco. La méthodologie de déploiement recommandée pour un VCS Expressway ou une périphérie Expressway consiste à utiliser deux DMZ différentes, l’Expressway ayant une carte réseau dans chacune des DMZ. Ce guide est conçu pour être utilisé dans des environnements où la méthode de déploiement recommandée ne peut pas être utilisée.

DMZ à sous-réseau unique avec interface LAN VCS Expressway unique

Dans ce scénario, le pare-feu A peut acheminer le trafic vers le pare-feu B (et vice versa). VCS Expressway permet au trafic vidéo d’être acheminé via FW B sans réduction du flux de trafic sur FW B de l’extérieur vers les interfaces internes. Le VCS Expressway gère également la traversée FW sur son côté public.

Voici un exemple de ce scénario :

Ce déploiement utilise les composants suivants :

• Une DMZ de sous-réseau unique (10.0.10.0/24) qui contient :
  
  • L'interface interne de FW A (10.0.10.1)
  • Interface externe de FW B (10.0.10.2)
  • L’interface LAN1 de VCS Expressway (10.0.10.3)
• Un sous-réseau LAN (10.0.30.0/24) qui contient :
  
  • Interface interne de FW B (10.0.30.1)
  • Interface LAN1 du contrôle VCS (10.0.30.2)
  • Interface réseau du serveur de gestion Cisco TelePresence (TMS) (10.0.30.3)

Une NAT statique un-à-un a été configurée sur le FW A, qui exécute la NAT pour l’adresse publique 64.100.0.10 à l’adresse IP LAN1 de VCS Expressway. Le mode NAT statique a été activé pour l’interface LAN1 sur VCS Expressway, avec une adresse IP NAT statique de 64.100.0.10.

Remarque : Vous devez entrer le nom de domaine complet (FQDN) de VCS Expressway dans la zone client de traversée sécurisée de VCS Control (adresse homologue) tel qu’il apparaît de l’extérieur du réseau. La raison en est qu’en mode NAT statique, VCS Expressway demande que la signalisation entrante et le trafic multimédia soient envoyés à son nom de domaine complet externe plutôt qu’à son nom privé. Cela signifie également que le pare-feu externe doit autoriser le trafic du contrôle VCS vers le nom de domaine complet externe VCS Expressway. Cette fonction est appelée réflexion NAT et peut ne pas être prise en charge par tous les types de pare-feu.

Dans cet exemple, FW B doit permettre la réflexion NAT du trafic provenant du contrôle VCS qui est destiné à l’adresse IP externe (64.100.0.10) de l’Expressway VCS. La zone de traversée sur le contrôle VCS doit avoir 64.100.0.10 comme adresse homologue (après la conversion FQDN en IP).

VCS Expressway doit être configuré avec une passerelle par défaut de 10.0.10.1. Le fait que les routes statiques soient requises dans ce scénario dépend des capacités et des paramètres de FW A et FW B. La communication entre le contrôle VCS et VCS Expressway s’effectue via l’adresse IP 64.100.0.10 de VCS Expressway ; et le trafic de retour de l’Expressway VCS vers le contrôle VCS pourrait devoir passer par la passerelle par défaut.

Le VCS Expressway peut être ajouté au Cisco TMS avec l’adresse IP 10.0.10.3 (ou avec l’adresse IP 64.100.0.10, si FW B le permet), puisque la communication de gestion du Cisco TMS n’est pas affectée par les paramètres du mode NAT statique sur le VCS Expressway.

DMZ FW 3 ports avec interface LAN VCS Expressway unique

Voici un exemple de ce scénario :

Dans ce déploiement, un pare-feu 3 ports est utilisé afin de créer :

• Un sous-réseau DMZ (10.0.10.0/24) qui contient :
  
  • Interface DMZ du FW A (10.0.10.1)
  • L’interface LAN1 de VCS Expressway (10.0.10.2)
• Un sous-réseau LAN (10.0.30.0/24) qui contient :
  
  • L'interface LAN de FW A (10.0.30.1)
  • Interface LAN1 du contrôle VCS (10.0.30.2)
  • L'interface réseau de Cisco TMS (10.0.30.3)

Une NAT statique un-à-un a été configurée sur le FW A, qui exécute la NAT de l’adresse IP publique 64.100.0.10 à l’adresse IP LAN1 de l’Expressway VCS. Le mode NAT statique a été activé pour l’interface LAN1 sur VCS Expressway, avec une adresse IP NAT statique de 64.100.0.10.

La passerelle VCS Expressway doit être configurée avec la passerelle par défaut 10.0.10.1. Cette passerelle devant être utilisée pour tout le trafic sortant de la passerelle VCS Expressway, aucune route statique n’est requise dans ce type de déploiement.

La zone de client traversant sur le contrôle VCS doit être configurée avec une adresse homologue qui correspond à l’adresse NAT statique de l’Expressway VCS (64.100.0.10 dans cet exemple) pour les mêmes raisons que celles décrites dans le scénario précédent.

Remarque : Cela signifie que le pare-feu A doit autoriser le trafic provenant du contrôle VCS avec une adresse IP de destination de 64.100.0.10. On parle également de réflexion NAT, et il convient de noter que ce n’est pas pris en charge par tous les types de pare-feu.

Le VCS Expressway peut être ajouté au Cisco TMS avec l’adresse IP 10.0.10.2 (ou avec l’adresse IP 64.100.0.10, si FW A le permet), puisque la communication de gestion du Cisco TMS n’est pas affectée par les paramètres du mode NAT statique sur le VCS Expressway.

Configurer

Cette section décrit comment configurer la réflexion NAT dans l'ASA pour les deux scénarios d'implémentation VCS C et E différents.

DMZ à sous-réseau unique avec interface LAN VCS Expressway unique

Pour le premier scénario, vous devez appliquer cette configuration de réflexion NAT sur le FW A afin de permettre la communication du contrôle VCS (10.0.30.2) qui est destiné à l’adresse IP externe (64.100.0.10) de l’Expressway VCS :

Dans cet exemple, l’adresse IP de contrôle VCS est 10.0.30.2/24, et l’adresse IP de VCS Expressway est 10.0.10.3/24.

Si vous supposez que l'adresse IP de contrôle VCS 10.0.30.2 reste quand elle se déplace de l'intérieur vers l'interface externe de FW B lors de la recherche de l'Expressway VCS avec l'adresse IP de destination 64.100.0.10, alors la configuration de réflexion NAT que vous devriez implémenter sur FW B est montrée dans ces exemples.

Exemple pour ASA versions 8.3 et ultérieures :

object network obj-10.0.30.2
 host 10.0.30.2

object network obj-10.0.10.3
 host 10.0.10.3

object network obj-64.100.0.10
 host 64.100.0.10

nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination static
 obj-64.100.0.10 obj-10.0.10.3

NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Exemple pour ASA versions 8.2 et antérieures :

access-list IN-OUT-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,outside) 10.0.30.2 access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.0.10.3 host 10.0.30.2
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE

Remarque : L'objectif principal de cette configuration de réflexion NAT est de permettre au contrôle VCS d'atteindre l'autoroute VCS, mais en utilisant l'adresse IP publique de l'autoroute VCS au lieu de son adresse IP privée. Si l’adresse IP source du contrôle VCS est modifiée au cours de cette traduction NAT avec une configuration NAT double au lieu de la configuration NAT suggérée qui vient d’être affichée, ce qui a pour résultat que VCS Expressway voit le trafic de sa propre adresse IP publique, alors les services téléphoniques pour les périphériques MRA ne seront pas activés. Ce déploiement n'est pas pris en charge, comme indiqué à la section 3 de la section Recommandations ci-dessous.

DMZ FW 3 ports avec interface LAN VCS Expressway unique

Pour le deuxième scénario, vous devez appliquer cette configuration de réflexion NAT sur le FW A afin de permettre la réflexion NAT du trafic entrant du contrôle VCS 10.0.30.2 qui est destiné à l’adresse IP externe (64.100.0.10) de l’Expressway VCS :

Dans cet exemple, l’adresse IP de contrôle VCS est 10.0.30.2/24, et l’adresse IP de VCS Expressway est 10.0.10.2/24.

Si vous supposez que l’adresse IP de contrôle VCS 10.0.30.2 reste quand elle se déplace de l’intérieur vers l’interface DMZ du commutateur FW A lors de la recherche de l’Expressway VCS avec l’adresse IP de destination 64.100.0.10, alors la configuration de réflexion NAT que vous devriez implémenter sur le commutateur FW A est montrée dans ces exemples.

Exemple pour ASA versions 8.3 et ultérieures :

object network obj-10.0.30.2
 host 10.0.30.2

object network obj-10.0.10.2
 host 10.0.10.2

object network obj-64.100.0.10
 host 64.100.0.10

nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination static
 obj-64.100.0.10 obj-10.0.10.2

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the DMZ interface is being redirected.
WARNING: Users may not be able to access any service enabled on the DMZ interface.

Exemple pour ASA versions 8.2 et antérieures :

access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,DMZ) 10.0.30.2 access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.30.2
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE

Remarque : L'objectif principal de cette configuration de réflexion NAT est de permettre au contrôle VCS d'atteindre l'autoroute VCS, mais avec l'adresse IP publique de l'autoroute VCS au lieu de son adresse IP privée. Si l’adresse IP source du contrôle VCS est modifiée au cours de cette traduction NAT avec une configuration NAT double au lieu de la configuration NAT suggérée qui vient d’être affichée, ce qui a pour résultat que VCS Expressway voit le trafic de sa propre adresse IP publique, alors les services téléphoniques pour les périphériques MRA ne seront pas activés. Ce déploiement n'est pas pris en charge, comme indiqué à la section 3 de la section Recommandations ci-dessous.

Vérifier 

Cette section fournit les sorties du traceur de paquets que vous pouvez voir dans l'ASA afin de confirmer que la configuration de réflexion NAT fonctionne comme nécessaire dans les scénarios d'implémentation VCS C et E.

DMZ à sous-réseau unique avec interface LAN VCS Expressway unique

Voici la sortie du traceur de paquets FW B pour ASA versions 8.3 et ultérieures :

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80 

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.3
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/80 to 10.0.10.3/80

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.3
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.30.2/1234

Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.3
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 2, packet dispatched to next module
 
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Voici le résultat du traceur de paquets FW B pour ASA versions 8.2 et antérieures : 

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80 

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip outside host 10.0.10.3 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/0 to 10.0.10.3/0 using netmask 255.255.255.255

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config: 
static (inside,outside) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 outside host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.30.2/0 using netmask 255.255.255.255

Phase: 4
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 outside host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip outside host 10.0.10.3 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip outside host 10.0.10.3 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8 
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 1166, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

DMZ FW 3 ports avec interface LAN VCS Expressway unique

Voici la sortie du traceur de paquets FW A pour ASA versions 8.3 et ultérieures :

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/80 to 10.0.10.2/80

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.2
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.30.2/1234

Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.30.2 destination
 static obj-64.100.0.10 obj-10.0.10.2
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 7, packet dispatched to next module
 
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Voici le résultat du traceur de paquets FW A pour ASA versions 8.2 et antérieures : 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip DMZ host 10.0.10.2 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config: 
static (inside,DMZ) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 DMZ host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.30.2/0 using netmask 255.255.255.255

Phase: 4
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,DMZ) 10.0.30.2 access-list IN-OUT-INTERFACE 
 match ip inside host 10.0.30.2 DMZ host 64.100.0.10
 static translation to 10.0.30.2
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip DMZ host 10.0.10.2 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list OUT-IN-INTERFACE 
 match ip DMZ host 10.0.10.2 inside host 10.0.30.2
 static translation to 64.100.0.10
 translate_hits = 0, untranslate_hits = 2
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8 
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 1166, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Dépannage

Vous pouvez configurer des captures de paquets sur les interfaces ASA afin de confirmer la traduction NAT lorsque les paquets entrent et sortent des interfaces FW impliquées.

Capture de paquets appliquée pour le scénario « DMZ FW 3 ports avec interface LAN Expressway VCS unique »

FW-A# sh cap
capture capin type raw-data interface inside [Capturing - 5735 bytes] 
  match ip host 10.0.30.2 host 64.100.0.10 
capture capdmz type raw-data interface DMZ [Capturing - 5735 bytes] 
  match ip host 10.0.10.2 host 10.0.30.2 
FW-A# sh cap capin

71 packets captured
   1: 22:21:37.095270 10.0.30.2 > 64.100.0.10: icmp: echo request 
   2: 22:21:37.100672 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   3: 22:21:37.101313 10.0.30.2 > 64.100.0.10: icmp: echo request 
   4: 22:21:37.114373 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   5: 22:21:37.157371 10.0.30.2 > 64.100.0.10: icmp: echo request 
   6: 22:21:37.174429 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   7: 22:21:39.234164 10.0.30.2 > 64.100.0.10: icmp: echo request 
   8: 22:21:39.238528 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   9: 22:21:39.261110 10.0.30.2 > 64.100.0.10: icmp: echo request 
  10: 22:21:39.270234 64.100.0.10 > 10.0.30.2: icmp: echo reply 
  11: 22:21:47.170614 10.0.30.2.38953 > 64.100.0.10.23: S 1841210281:1841210281(0) 
win 4128 <mss 536> 
  12: 22:21:47.198933 64.100.0.10.23 > 10.0.30.2.38953: S 3354834096:3354834096(0) 
ack 1841210282 win 4128 <mss 536> 
  13: 22:21:47.235186 10.0.30.2.38953 > 64.100.0.10.23: . ack 3354834097 
win 4128 
  14: 22:21:47.242815 64.100.0.10.23 > 10.0.30.2.38953: P 3354834097:3354834109(12) 
ack 1841210282 win 4128 
  15: 22:21:47.243014 10.0.30.2.38953 > 64.100.0.10.23: P 1841210282:1841210294(12) 
ack 3354834097 win 4128 
  16: 22:21:47.243258 10.0.30.2.38953 > 64.100.0.10.23: . ack 3354834097 
win 4128 
  17: 22:21:47.261094 64.100.0.10.23 > 10.0.30.2.38953: P 3354834109:3354834151(42) 
ack 1841210282 win 4128 
  18: 22:21:47.280411 64.100.0.10.23 > 10.0.30.2.38953: P 3354834151:3354834154(3) 
ack 1841210294 win 4116 
  19: 22:21:47.280625 64.100.0.10.23 > 10.0.30.2.38953: P 3354834154:3354834157(3) 
ack 1841210294 win 4116 
  20: 22:21:47.280838 64.100.0.10.23 > 10.0.30.2.38953: P 3354834157:3354834163(6) 
ack 1841210294 win 4116 
  21: 22:21:47.281082 10.0.30.2.38953 > 64.100.0.10.23: P 1841210294:1841210297(3) 
ack 3354834109 win 4116 
  22: 22:21:47.281296 10.0.30.2.38953 > 64.100.0.10.23: P 1841210297:1841210300(3) 
ack 3354834109 win 4116 

FW-A# sh cap capdmz

71 packets captured
   1: 22:21:37.095621 10.0.30.2 > 10.0.10.2: icmp: echo request 
   2: 22:21:37.100626 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   3: 22:21:37.101343 10.0.30.2 > 10.0.10.2: icmp: echo request 
   4: 22:21:37.114297 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   5: 22:21:37.157920 10.0.30.2 > 10.0.10.2: icmp: echo request 
   6: 22:21:37.174353 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   7: 22:21:39.234713 10.0.30.2 > 10.0.10.2: icmp: echo request 
   8: 22:21:39.238452 10.0.10.2 > 10.0.30.2: icmp: echo reply 
   9: 22:21:39.261659 10.0.30.2 > 10.0.10.2: icmp: echo request 
  10: 22:21:39.270158 10.0.10.2 > 10.0.30.2: icmp: echo reply 
  11: 22:21:47.170950 10.0.30.2.38953 > 10.0.10.2.23: S 2196345248:2196345248(0) 
win 4128 <mss 536> 
  12: 22:21:47.198903 10.0.10.2.23 > 10.0.30.2.38953: S 1814294604:1814294604(0) 
ack 2196345249 win 4128 <mss 536> 
  13: 22:21:47.235263 10.0.30.2.38953 > 10.0.10.2.23: . ack 1814294605 win 4128 
  14: 22:21:47.242754 10.0.10.2.23 > 10.0.30.2.38953: P 1814294605:1814294617(12) 
ack 2196345249 win 4128 
  15: 22:21:47.243105 10.0.30.2.38953 > 10.0.10.2.23: P 2196345249:2196345261(12) 
ack 1814294605 win 4128 
  16: 22:21:47.243319 10.0.30.2.38953 > 10.0.10.2.23: . ack 1814294605 win 4128 
  17: 22:21:47.260988 10.0.10.2.23 > 10.0.30.2.38953: P 1814294617:1814294659(42) 
ack 2196345249 win 4128 
  18: 22:21:47.280335 10.0.10.2.23 > 10.0.30.2.38953: P 1814294659:1814294662(3) 
ack 2196345261 win 4116 
  19: 22:21:47.280564 10.0.10.2.23 > 10.0.30.2.38953: P 1814294662:1814294665(3) 
ack 2196345261 win 4116 
  20: 22:21:47.280777 10.0.10.2.23 > 10.0.30.2.38953: P 1814294665:1814294671(6) 
ack 2196345261 win 4116 
  21: 22:21:47.281143 10.0.30.2.38953 > 10.0.10.2.23: P 2196345261:2196345264(3) 
ack 1814294617 win 4116 
  22: 22:21:47.281357 10.0.30.2.38953 > 10.0.10.2.23: P 2196345264:2196345267(3) 
ack 1814294617 win 4116 

Capture de paquets appliquée au scénario « DMZ de sous-réseau unique avec interface LAN Expressway VCS unique »

FW-B# sh cap
capture capin type raw-data interface inside [Capturing - 5815 bytes] 
  match ip host 10.0.30.2 host 64.100.0.10 
capture capout type raw-data interface outside [Capturing - 5815 bytes] 
  match ip host 10.0.10.3 host 10.0.30.2 

FW-B# sh cap capin

72 packets captured
   1: 22:30:06.783681 10.0.30.2 > 64.100.0.10: icmp: echo request 
   2: 22:30:06.847856 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   3: 22:30:06.877624 10.0.30.2 > 64.100.0.10: icmp: echo request 
   4: 22:30:06.900710 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   5: 22:30:06.971598 10.0.30.2 > 64.100.0.10: icmp: echo request 
   6: 22:30:06.999551 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   7: 22:30:07.075649 10.0.30.2 > 64.100.0.10: icmp: echo request 
   8: 22:30:07.134499 64.100.0.10 > 10.0.30.2: icmp: echo reply 
   9: 22:30:07.156409 10.0.30.2 > 64.100.0.10: icmp: echo request 
  10: 22:30:07.177496 64.100.0.10 > 10.0.30.2: icmp: echo reply 
  11: 22:30:13.802525 10.0.30.2.41596 > 64.100.0.10.23: S 1119515693:1119515693(0) 
win 4128 <mss 536> 
  12: 22:30:13.861100 64.100.0.10.23 > 10.0.30.2.41596: S 2006020203:2006020203(0) 
ack 1119515694 win 4128 <mss 536> 
  13: 22:30:13.935864 10.0.30.2.41596 > 64.100.0.10.23: . ack 2006020204 win 4128 
  14: 22:30:13.946804 10.0.30.2.41596 > 64.100.0.10.23: P 1119515694:1119515706(12) 
ack 2006020204 win 4128 
  15: 22:30:13.952679 10.0.30.2.41596 > 64.100.0.10.23: . ack 2006020204 win 4128 
  16: 22:30:14.013686 64.100.0.10.23 > 10.0.30.2.41596: P 2006020204:2006020216(12) 
ack 1119515706 win 4116 
  17: 22:30:14.035352 64.100.0.10.23 > 10.0.30.2.41596: P 2006020216:2006020256(40) 
ack 1119515706 win 4116 
  18: 22:30:14.045758 64.100.0.10.23 > 10.0.30.2.41596: P 2006020256:2006020259(3) 
ack 1119515706 win 4116 
  19: 22:30:14.046781 64.100.0.10.23 > 10.0.30.2.41596: P 2006020259:2006020262(3) 
ack 1119515706 win 4116 
  20: 22:30:14.047788 64.100.0.10.23 > 10.0.30.2.41596: P 2006020262:2006020268(6) 
ack 1119515706 win 4116 
  21: 22:30:14.052151 10.0.30.2.41596 > 64.100.0.10.23: P 1119515706:1119515709(3) 
ack 2006020256 win 4076 
  22: 22:30:14.089183 10.0.30.2.41596 > 64.100.0.10.23: P 1119515709:1119515712(3) 
ack 2006020256 win 4076 


ASA1# show cap capout

72 packets captured
   1: 22:30:06.784871 10.0.30.2 > 10.0.10.3: icmp: echo request 
   2: 22:30:06.847688 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   3: 22:30:06.878769 10.0.30.2 > 10.0.10.3: icmp: echo request 
   4: 22:30:06.900557 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   5: 22:30:06.972758 10.0.30.2 > 10.0.10.3: icmp: echo request 
   6: 22:30:06.999399 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   7: 22:30:07.076808 10.0.30.2 > 10.0.10.3: icmp: echo request 
   8: 22:30:07.134422 10.0.10.3 > 10.0.30.2: icmp: echo reply 
   9: 22:30:07.156959 10.0.30.2 > 10.0.10.3: icmp: echo request 
  10: 22:30:07.177420 10.0.10.3 > 10.0.30.2: icmp: echo reply 
  11: 22:30:13.803104 10.0.30.2.41596 > 10.0.10.3.23: S 2599614130:2599614130(0) 
win 4128 <mss 536> 
  12: 22:30:13.860947 10.0.10.3.23 > 10.0.30.2.41596: S 4158597009:4158597009(0) 
ack 2599614131 win 4128 <mss 536> 
  13: 22:30:13.936017 10.0.30.2.41596 > 10.0.10.3.23: . ack 4158597010 win 4128 
  14: 22:30:13.946941 10.0.30.2.41596 > 10.0.10.3.23: P 2599614131:2599614143(12) 
ack 4158597010 win 4128 
  15: 22:30:13.952801 10.0.30.2.41596 > 10.0.10.3.23: . ack 4158597010 win 4128 
  16: 22:30:14.013488 10.0.10.3.23 > 10.0.30.2.41596: P 4158597010:4158597022(12) 
ack 2599614143 win 4116 
  17: 22:30:14.035108 10.0.10.3.23 > 10.0.30.2.41596: P 4158597022:4158597062(40) 
ack 2599614143 win 4116 
  18: 22:30:14.045377 10.0.10.3.23 > 10.0.30.2.41596: P 4158597062:4158597065(3) 
ack 2599614143 win 4116 
  19: 22:30:14.046384 10.0.10.3.23 > 10.0.30.2.41596: P 4158597065:4158597068(3) 
ack 2599614143 win 4116 
  20: 22:30:14.047406 10.0.10.3.23 > 10.0.30.2.41596: P 4158597068:4158597074(6) 
ack 2599614143 win 4116 
  21: 22:30:14.052395 10.0.30.2.41596 > 10.0.10.3.23: P 2599614143:2599614146(3) 
ack 4158597062 win 4076 
  22: 22:30:14.089427 10.0.30.2.41596 > 10.0.10.3.23: P 2599614146:2599614149(3) 
ack 4158597062 win 4076 

Recommandations

1. Évitez la mise en oeuvre de toute topologie non prise en charge

Par exemple, si VCS Control et VCS Expressway sont tous deux connectés derrière l'interface ASA interne, comme illustré dans ce scénario :

Ce type de mise en oeuvre nécessite que l'adresse IP de contrôle VCS soit traduite en adresse IP interne de l'ASA afin de forcer le trafic de retour à revenir vers l'ASA pour éviter les problèmes de route asymétrique pour la réflexion NAT.

Remarque : si l’adresse IP source du contrôle VCS est modifiée pendant cette traduction NAT avec une configuration NAT double au lieu de la configuration de réflexion NAT suggérée, alors VCS Expressway verra le trafic de sa propre adresse IP publique, alors les services téléphoniques pour les périphériques MRA ne seront pas activés. Ce déploiement n'est pas pris en charge, comme indiqué à la section 3 de la section Recommandations ci-dessous.

Cela dit, il est fortement recommandé de mettre en oeuvre le VCS Expressway en tant qu’implémentation d’interfaces réseau doubles Expressway-E au lieu de la carte réseau unique avec réflexion NAT.

2. Assurez-vous que l'inspection SIP/H.323 est complètement désactivée sur les pare-feu concernés

Il est fortement recommandé de désactiver l’inspection SIP et H.323 sur les pare-feu qui gèrent le trafic réseau vers ou depuis un Expressway-E. Lorsqu’elle est activée, l’inspection SIP/H.323 a souvent un impact négatif sur la fonctionnalité de traversée NAT/pare-feu intégrée à Expressway.

Ceci est un exemple de la façon de désactiver les inspections SIP et H.323 sur l'ASA.

policy-map global_policy
 class inspection_default
  no inspect h323 h225 
  no inspect h323 ras 
  no inspect sip  

3. Assurez-vous que votre implémentation Expressway réelle est conforme aux exigences suivantes suggérées par les développeurs Cisco TelePresence

• La configuration NAT entre les Expressway-C et Expressway-E n’est pas prise en charge.

• Il n’est pas pris en charge lorsque les Expressway-C et Expressway-E obtiennent la même adresse IP publique NAT, par exemple :
        Expressway-C est configuré avec l’adresse IP 10.1.1.1
        Expressway-E a une seule carte réseau configurée avec l’adresse IP 10.2.2.1 et une NAT statique est configurée dans le pare-feu avec l’adresse IP publique 64.100.0.10
        L’Expressway-C ne peut pas être lié par NAT à la même adresse publique 64.100.0.10

Implémentation recommandée de VCS Expressway

L’implémentation recommandée pour le VCS Expressway au lieu du VCS Expressway avec la configuration de réflexion NAT est l’implémentation double interface réseau/double carte réseau VCS Expressway. Pour plus d’informations, veuillez vérifier le lien suivant.

Configuration et recommandations de la NAT ASA pour la mise en oeuvre des interfaces réseau doubles d’Expressway-E.

Informations connexes

• Configuration et recommandations de la NAT ASA pour la mise en oeuvre des interfaces réseau doubles Expressway-E

• Guide de déploiement du serveur de communication vidéo Cisco TelePresence Configuration de base (contrôle avec Expressway)

• Utilisation du port IP Cisco Expressway pour la traversée du pare-feu

• Placement d’un Cisco VCS Expressway dans une zone DMZ plutôt que dans l’Internet public