Tráfego voip do punho com o PIX Firewall



Documentos relacionados
PIX 6.x: IPsec dinâmico entre um IOS Router estaticamente endereçado e o PIX Firewall dinamicamente endereçado com exemplo da configuração de NAT

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Conexões de permissão PPTP/L2TP com o PIX/ASA/FWSM

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Configurando o firewall PIX e clientes VPN utilizando PPTP, MPPE e IPSec.

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

ASA 8.3 e mais atrasado: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Afastamento de IDS PIX usando o Cisco IDS UNIX Director

ASA 8.3 e mais atrasado: Acesso de servidor do correio (S TP) no exemplo de configuração da rede interna

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

Configurando o PPTP através da PAT para um Microsoft PPTP Server

ASA 8.3 e mais atrasado: Acesso de servidor do correio (S TP) no exemplo de configuração da rede externa

Conexão de BRI com PRI usando dados sobre voz

ASA/PIX: Ferramenta de segurança a um exemplo de configuração do túnel IPSec de LAN para LAN do IOS Router

PIX/ASA 7.x e mais tarde: Conectando redes internas múltiplas com o exemplo de configuração do Internet

Túnel do IPSec VPN PIX/ASA (versão 7.x e mais recente) com exemplo de configuração da tradução de endereço de rede

S TP e inspeção de conexões ESMTP com exemplo de configuração do Cisco IOS Firewall

Redistribua redes conectadas no OSPF com palavras-chave de subrede

Exemplo de configuração para remoção de números AS privados em BGP

Configurando a Classe de Restrições (COR)

Configurando um túnel GRE sobre o IPsec com OSPF

Configurando um túnel GRE sobre o IPsec com OSPF

Configurando IPSec entre três roteadores usando endereços privados

Configurando IPSec de IOS para IOS usando criptografia de AES

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

RADIUS avançado para clientes PPP de discagem

Configurando o PIX Firewall e VPN Clients Usando PPTP, MPPE e IPSec

ASA 8.x: Cisco ASA no modo de contexto múltiplo sincronizado com o exemplo de configuração do servidor de NTP

Configurando a autenticação radius por meio de Cisco cache engine

Exemplo de Configuração do Unified Border Element (CUBE) com o Cisco Unified Communications Manager (CUCM)

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Negociação de Identificador de Ponto Final de Terminal ISDN BRI

Configuração do IPv6 da amostra para o BGP com os dois provedores de serviços diferentes (hospedagem múltipla)

Configurando o IPsec entre o hub e os PIX Remotos com cliente VPN e autenticação estendida

O ASA 8.4(x) conecta uma única rede interna ao exemplo de configuração do Internet

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

Configurando um roteador como uma ALMOFADA para o XOT a um host assíncrono

SIP-TLS entre o gateway do SORVO IO e o exemplo da configuração do CallManager

PIX/ASA e cliente VPN para os Internet públicas VPN em um exemplo de configuração da vara

PIX, TACACS+, e configurações de exemplo RADIUS: 4.4.x

Roteador de três interfaces sem configuração do Cisco IOS Firewall NAT

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Configurar o ASA para redes internas duplas

PIX/ASA 7.x: Adicionar/remova uma rede em um exemplo existente da configuração de túnel L2L VPN

Configuração do Cisco 1417 ADSL Bridge with NAT

Chave manual do IPsec entre o exemplo de configuração do Roteadores

ASA/PIX: IP Estático que endereça para o cliente do IPSec VPN com CLI e exemplo da configuração ASDM

Exemplo de Configuração de BGP com Dois Provedores de Serviço Diferentes (Hospedagem Múltipla)

Como configurar o Microsoft NetMeeting com os Cisco IOS Gateways

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Utilizando NAT em redes sobrepostas

Client e configuração Nenhum-MODE

PIX/ASA 7.x: Exemplo de Configuração de Serviços de Habilitação de VoIP (SIP, MGCP, H323, SCCP)

IPsec entre o PIX e o Cisco VPN Client que usa o exemplo de configuração dos certificados smartcard

Configurando o balanceamento de carga do servidor FTP utilizando IOS SLB

Configurando o VPN multiponto dinâmico usando o GRE sobre o IPsec com EIGRP, NAT, e CBAC

PIX/ASA 7.x e mais tarde: Obstrua o tráfego peer-to-peer (P2P) e das mensagens instantâneas (IM) usando o exemplo da configuração MPF

Gateway H.320 ao fluxo de chamadas do vídeo do porteiro de H.323

Configuração automática CUCM para gateways SCCP

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

PANCADINHA dinâmica ASA 8.3(x) com dois redes internas e exemplos de configuração do Internet

VoIP com sinalização associada a canal (CAS)

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Configurando um Cisco 1700/2600/3600 ADSL WIC para Suportar Clientes PPPoE, Terminando em um Cisco 6400 UAC

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Multilink PPP em roteadores back-to-back com interfaces seriais múltiplas

Exemplo de configuração da transmissão de DHCP ASA

Traçando chamadas VoIP de partida aos portos de voz digitais específicos

Edições da característica do CallerID do CallManager

Configurando Perfis de discagem para construir uma ponte sobre usando o ISDN

DMVPN e Easy VPN Server com exemplo de configuração dos perfis ISAKMP

Elemento unificado da beira (CUBO) com exemplo de configuração do gerente das comunicações unificadas de Cisco (CUCM)

PIX/ASA: Execute o DNS Doctoring com o comando static e o exemplo de configuração de três relações NAT

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Conexão de VPN com o exemplo de configuração Zona-baseado do roteador de firewall

VG224 registro do gateway de voz SCCP com exemplo de configuração CME

Cliente de Anyconnect ao ASA com uso do DHCP para a atribuição de endereço

Roteador e cliente VPN para Internet públicas em um exemplo de configuração da vara

PIX/ASA 7.x: Permita/comunicação do desabilitação entre relações

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

X.25 para conversão de TCP

Característica da prevenção de fraude na tarifa de ligações na versão do IOS 15.1(2)T

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Matriz de Compatibilidade de Segurança da Camada 2 e Camada 3 do Controller de LAN Wireless

Configuração do gateway dial peer de H.323 para a Redundância do servidor do CallManager da Cisco

Como configurar um roteador Cisco atrás de um Cable Modem de terceiros

Configurando o hub and spoke do roteador para roteador do IPsec

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Roteador Wireless de 1800 ISR com exemplo de configuração interno DHCP e de autenticação aberta

Utilizando os comandos nat, global, static, conduit, e access-list e Redirecionamento (Encaminhamento) de Porta em PIX

Configurando ACLs de IP Comumente Utilizadas

Exemplo de configuração unificado do apoio do elemento ENUM da beira

Configurando IPS TCP Reset usando IME

Transcrição:

Tráfego voip do punho com o PIX Firewall Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configurar Diagrama de Rede Configurações Verificar Verifique H.323 Verifique o SORVO Troubleshooting Comandos para Troubleshooting Informações Relacionadas Introdução Nesta configuração de exemplo, um PIX Firewall é configurado a fim permitir o traversal da Voz dois diferente sobre protocolos IP (VoIP) H.323, e o Session Initiation Protocol (SIP). Como os protocolos VoIP são compostos de sinalização e combinações de portas e endereços IP, ocorrem vários problemas com o VoIP e a Tradução de Endereço de Rede (NAT). O protocolo de reparo do PIX Firewall aborda esses problemas. Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: PIX Software Release 6.3.1 Cisco 2651XM IOS 12.3(3) Versão 2.16.1 186 do analog telephone adaptor de Cisco (ATA) Nota: Para o PIX Firewall (com o [ALG] ou o fixup protocol da gateway de camada de aplicativo de VoIP), este a versão/combinações de recursos é apoiada: Versão 5.2 Versão 2, registo e estado (RAS), e NAT de H.323 dos apoios (nenhuma PANCADINHA) Versão 6.0 e 6.1 Adiciona o SORVO com NAT (nenhuma PANCADINHA), protocolo skinny client control (SCCP) com NAT (nenhuma PANCADINHA), e nenhum apoio do Media Gateway Control Protocol (MGCP) Versão 6.2 Apoio da PANCADINHA para a versão 2 e o SORVO de H.323. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Configurar Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Diagrama de Rede Este documento utiliza a seguinte configuração de rede: Configurações Este documento utiliza as seguintes configurações: Cisco PIX Firewall Cisco 2651 Cisco ATA 186 Cisco PIX Firewall PIX Version 6.3(1) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 --- Fixup protocol required for H.323. fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 --- Fixup protocol required for SIP. fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq h323 --- Permits inbound H.323 calls. access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq 5060 --- Permits inbound SIP calls. pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 100.1.1.1 255.255.255.0 ip address inside 192.168.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400

static (inside,outside) 100.1.1.5 192.168.0.2 netmask 255.255.255.255 0 0 --- Static used to demonstrate NAT. access-group 101 in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end pixfirewall# Cisco 2651 version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Gateway boot-start-marker boot-end-marker no aaa new-model ip subnet-zero no voice hpi capture buffer no voice hpi capture destination interface FastEthernet0/0 ip address 100.1.1.2 255.255.255.0 duplex auto speed auto interface FastEthernet0/1 no ip address shutdown duplex auto speed auto no ip http server ip classless voice-port 1/0/0 voice-port 1/0/1 voice-port 1/1/0 voice-port 1/1/1 dial-peer voice 1111 voip destination-pattern 1111 session target ipv4:100.1.1.5 codec g711ulaw

--- H.323 dial-peer dial-peer voice 2222 pots destination-pattern 2222 port 1/0/0 dial-peer voice 3333 voip destination-pattern 3333 session protocol sipv2 session target ipv4:100.1.1.5 codec g711ulaw --- SIP dial-peer line con 0 line aux 0 line vty 0 4 end Gateway# Cisco ATA 186 Nota: Esta configuração ATA186 aplica-se para as chamadas feitas que usam o SORVO. Para H.323 chama as necessidades do campo de UseSIP de ser mudado a 0 e ao endereço IP de Um ou Mais Servidores Cisco ICM NT do 2651XM (100.1.1.2) mudado de GkOrProxy ao campo do gateway. Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. xlate da mostra Indica a tradução que ocorre.

Verifique H.323 pixfirewall#show xlate 1 in use, 1 most used Global 100.1.1.5 Local 192.168.0.2 --- Translation in place Use estes comandos a fim verificar H.323: show call ative voice brief Indica os índices da tabela de chamada ativa. As informações apresentadas incluem horas de chamada, correspondentes de discagem, conexões, qualidade de parâmetros de serviço e manejo de gateway de tremulação. mostra h225 Atendimentos dos indicadores que atravessam o PIX Firewall. detalhe do show conn Indica o NAT dos endereços da sinalização voip e dos media. Esta é a saída do comando show call ative voice brief. Gateway#show call active voice brief Telephony call-legs: 1 SIP call-legs: 0 H323 call-legs: 1 MGCP call-legs: 0 Multicast call-legs: 0 Total call-legs: 2 2828 : 1574769hs.1 +142 pid:1111 Answer 1111 active dur 00:00:06 tx:159/24803 rx:343/54880 IP 100.1.1.5:16384 rtt:0ms pl:3860/0ms lost:0/1/0 delay:64/64/65ms g711ulaw 2828 : 1574770hs.1 +141 pid:2222 Originate 2222 active dur 00:00:06 tx:343/54880 rx:167/26083 Tele 1/0/0 (48): tx:8200/3290/0ms g711ulaw noise:-50 acom:13 i/0:-42/-55 dbm Esta é a saída do comando h225 da mostra. pixfirewall#show h225 Total H.323 Calls: 1 1 Concurrent Call(s) for Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720 1. CRV 5735 Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720 --- This output indicates that there is currently one active --- H.323 call going through the PIX Firewall between the local --- endpoint 192.168.0.2 and foreign host 100.1.1.2. For these --- particular endpoints, there is one concurrent call between them, --- with a Call Reference Value (CRV) for that call of 5735. Esta é a saída do comando detail do show conn. pixfirewall#show conn detail 7 in use, 12 most used Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN, B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN, G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete, k - Skinny media, M - SMTP data, m - SIP media, O - outbound data, P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN, R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN, s - awaiting outside SYN, T - SIP, t - SIP transient, U - up UDP outside:100.1.1.2/17047 inside:192.168.0.2/16385 flags H UDP outside:100.1.1.2/17046 inside:192.168.0.2/16384 flags H TCP outside:100.1.1.2/1720 inside:192.168.0.2/14785 flags UIOh UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags Hi TCP outside:100.1.1.2/11012 inside:192.168.0.2/14793 flags UIO TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags ssiaa TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags ssiaa Verifique o SORVO

Use estes comandos a fim verificar o SORVO. show call ative voice brief Indica os índices da tabela de chamada ativa. As informações apresentadas incluem horas de chamada, correspondentes de discagem, conexões, qualidade de parâmetros de serviço e manejo de gateway de tremulação. detalhe do show conn Indica o NAT dos endereços da sinalização voip e dos media. sorvo da mostra Indica um atendimento ativo do SORVO. Esta é a saída do comando show call ative voice brief. Gateway#show call active voice brief Telephony call-legs: 1 SIP call-legs: 1 H323 call-legs: 0 MGCP call-legs: 0 Multicast call-legs: 0 Total call-legs: 2 1210 : 1589226hs.1 +133 pid:1111 Answer 1111 active dur 00:00:13 tx:344/53687 rx:639/102001 IP 100.1.1.5:16384 rtt:0ms pl:11420/0ms lost:0/1/0 delay:45/45/65ms g711ulaw 1210 : 1589227hs.1 +132 pid:2222 Originate 2222 active dur 00:00:13 tx:639/102001 rx:344/53687 Tele 1/0/0 (50): tx:14760/6780/0ms g711ulaw noise:-49 acom:13 i/0:-45/-50 dbm Esta é a saída do comando do sorvo da mostra. pixfirewall#show sip Total: 1 call-id 648032863@192.168.0.2 state Active, idle 0:00:58 Esta é a saída do comando detail do show conn. pixfirewall#show conn detail 7 in use, 12 most used Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN, B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN, G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete, k - Skinny media, M - SMTP data, m - SIP media, O - outbound data, P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN, R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN, s - awaiting outside SYN, T - SIP, t - SIP transient, U - up UDP outside:100.1.1.2/5060 inside:192.168.0.2/0 flags ti UDP outside:100.1.1.2/0 inside:192.168.0.2/5060 flags Tti UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags mi UDP outside:100.1.1.2/5060 inside:192.168.0.2/5060 flags Tt UDP outside:100.1.1.2/17490 inside:192.168.0.2/16384 flags m UDP outside:100.1.1.2/17491 inside:192.168.0.2/0 flags m UDP outside:100.1.1.2/17490 inside:192.168.0.2/0 flags mi Troubleshooting Comandos para Troubleshooting A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug. Use estes comandos debug pesquisar defeitos o PIX. debugar o sorvo Indica as mensagens do SORVO geradas dos gateways. debugar o asn1 h323 h225 Indica a mensagem H.225 gerada dos gateways. debugar Indica o tráfego que é cifrado. Use estes comandos debug a fim pesquisar defeitos o Cisco IOS gateway. debugar o inout do ccapi do voip Indica as operações da configuração de chamada e desconexão executadas nos trechos de chamada

da telefonia e da rede. debugar o asn1 h225 Indica os índices ASN.1 de toda a mensagem H.225 enviada ou recebida. Refira o Cisco ATA 186 que pesquisa defeitos para detalhes na eliminação de erros ATA186. Informações Relacionadas Solicitações de Comentários (RFCs) Exemplos de Configuração e Notas Técnicas 1992-2015 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 19 Setembro 2015 http://www.cisco.com/cisco/web/support/br/104/1048/1048216_voippix.html

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback