Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
PIX - Gestion du trafic VoIP
ccnp_cch
2
Sommaire • Configuration • Vérification • Résolution de problèmes
• Introduction - Composants utilisés • Configuration - Schéma du réseau - Configurations • Vérification - Vérification H Vérification SIP • Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch
3
Introduction Configuration ccnp_cch
Dans cet exemple de configuration, un pare-feu PIX est configuré pour permettre la traversée de deux protocoles VoIP (Voice over IP), H323 et SIP (Session Initiation Pro- tocol). Du fait que les protocoles VoIP sont constitués de combinaisons de signalisa- tion et d'adresses/ports, il y a un certain nombre de problèmes entre NAT (Network Address Translation) et VoIP (Voice over IP). le protocol fixup du pare-feu résoud ces problèmes. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes : ● PIX Software Release 6.3.1 ● Cisco 2651XM IOS® 12.3(3) ● Cisco Analog Telephone Adaptor (ATA) 186 version Note: Pour le Pare-feu PIX (avec ALG VoIP (Application−Layer Gateway ou le protocole fixup), ces combinaisons version/fonctionnalités sont supportées: ● Version 5.2 Support de H.323 version 2, RAS (Registration and Status) et NAT (pas de PAT) ● Version 6.0 and 6.1 Ajoute SIP avec NAT (pas de PAT), SCCP (Skinny Client Control Protocol avec NAT (pas de PAT), et pas de support MGCP ( Media Gateway Control Protocol). ● Version 6.2 Support de PAT pour H.323 version 2 et SIP. Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau 1111 2222 Cisco ATA186 PIX 2651XM 2222 ccnp_cch /24
4
Configurations ccnp_cch Pare-feu PIX PIX Version 6.3(1)
interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol h323 h fixup protocol h323 ras 1718−1719 !−−− Protocole Fixup requis pour H.323. fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 !−−− Protocole Fixup requis pour SIP. fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access−list 101 permit tcp host host eq h323 !−−− Permet les appels H.323 entrants. access−list 101 permit tcp host host eq 5060 !−−− Permet les appels SIP entrants. pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside ip address inside ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 static (inside,outside) netmask !−−− Traduction NAT Statique. access−group 101 in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute ccnp_cch
5
ccnp_cch aaa−server TACACS+ protocol tacacs+
aaa−server RADIUS protocol radius aaa−server LOCAL protocol local no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:d41d8cd98f00b204e ecf8427e : end pixfirewall# Cisco 2651XM version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption ! hostname Gateway boot−start−marker boot−end−marker no aaa new−model ip subnet−zero no voice hpi capture buffer no voice hpi capture destination interface FastEthernet0/0 ip address duplex auto speed auto interface FastEthernet0/1 no ip address shutdown no ip http server ip classless ccnp_cch
6
ccnp_cch ! voice−port 1/0/0 voice−port 1/0/1 voice−port 1/1/0
dial−peer voice 1111 voip destination−pattern 1111 session target ipv4: codec g711ulaw !−−− Extrémité H.323 dial−peer voice 2222 pots destination−pattern 2222 port 1/0/0 dial−peer voice 3333 voip destination−pattern 3333 session protocol sipv2 !−−− Extrémité SIP line con 0 line aux 0 line vty 0 4 end Gateway# ccnp_cch
7
Cisco ATA 186 Note: Cette configuration ATA 186 s'applique pour des appels sortant utilisant SIP. Pour des appels H.323 le champ UseSIP doit être mis à 0 et l'adresse IP du 2651XM ( ) passée du champ GkOrProxy vers le champ Gateway. ccnp_cch
8
Vérification ccnp_cch
Cette section fournit des informations que vous pouvez utiliser pour confirmer que vo- tre configuration fonctionne correctement. ● show xlate Affiche les traductions actives sur le pare-feu. pixfirewall#show xlate 1 in use, 1 most used Global Local !−−− Traduction active in place Vérification H.323 Utilisez ces commandes pour vérifier H.323 : ● show call active voice brief Affiche les communications actives. Les informations affichées comprennent des indications de temps, les extrémités, les connexions, les paramètres de qualité de service et le traitement de la gigue par la passerelle. ● show h225 Affiche les appels qui passent à travers le pare-feu. ● show conn detail Affiche les informations NAT pour les adresses de signalisation VoIP et pour le média. Ceci est la sortie de la commande show call active voice brief. Gateway#show call active voice brief Telephony call−legs: 1 SIP call−legs: 0 H323 call−legs: 1 MGCP call−legs: 0 Multicast call−legs: 0 Total call−legs: 2 2828 : hs pid:1111 Answer 1111 active dur 00:00:06 tx:159/24803 rx:343/54880 IP :16384 rtt:0ms pl:3860/0ms lost:0/1/0 delay:64/64/65ms g711ulaw 2828 : hs pid:2222 Originate 2222 active dur 00:00:06 tx:343/54880 rx:167/26083 Tele 1/0/0 (48): tx:8200/3290/0ms g711ulaw noise:−50 acom:13 i/0:−42/−55 dBm Ceci est la sortie de la commande show h225. pixfirewall#show h225 Total H.323 Calls: 1 1 Concurrent Call(s) for Local: /16230 Foreign: /1720 1. CRV 5735 !−−− Cette sortie indique qu'il y a une communication H.323 active !−−− passant à travers le PIX entre le point local et !−−− l'extrémité distante Pour ces extrémités particu- !−−− lières, il y a une communication en cours avec une valeur !−−− CRV(Call Reference Value) égale à 5735 pour cet appel. ccnp_cch
9
Vérification SIP ccnp_cch
Cette sortie est celle de la commande show conn detail. pixfirewall#show conn detail 7 in use, 12 most used Flags: A − awaiting inside ACK to SYN, a − awaiting outside ACK to SYN, B − initial SYN from outside, C − CTIQBE media, D − DNS, d − dump, E − outside back connection, F − outside FIN, f − inside FIN, G − group, g − MGCP, H − H.323, h − H.225.0, I − inbound data, i − incomplete, k − Skinny media, M − SMTP data, m − SIP media, O − outbound data, P − inside back connection, q − SQL*Net data, R − outside acknowledged FIN, R − UDP RPC, r − inside acknowledged FIN, S − awaiting inside SYN, s − awaiting outside SYN, T − SIP, t − SIP transient, U − up UDP outside: /17047 inside: /16385 flags H UDP outside: /17046 inside: /16384 flags H TCP outside: /1720 inside: /14785 flags UIOh UDP outside: /0 inside: /16384 flags Hi TCP outside: /11012 inside: /14793 flags UIO TCP outside: /11012 inside: /0 flags sSiaA Vérification SIP Utilisez ces commandes pour vérifier SIP : ● show call active voice brief Affiche les communications actives. Les informations affichées comprennent des indications de temps, les extrémités, les connexions, les paramètres de qualité de service et le traitement de la gigue par la passerelle. ● show conn detail Affiche les informations NAT pour les adresses de signalisation VoIP et pour le média. ● show sip Affiche les communications SIP actives. Ceci est la sortie de la commande show call active voice brief. Gateway#show call active voice brief Telephony call−legs: 1 SIP call−legs: 1 H323 call−legs: 0 MGCP call−legs: 0 Multicast call−legs: 0 Total call−legs: 2 1210 : hs pid:1111 Answer 1111 active dur 00:00:13 tx:344/53687 rx:639/102001 IP :16384 rtt:0ms pl:11420/0ms lost:0/1/0 delay:45/45/65ms g711ulaw 1210 : hs pid:2222 Originate 2222 active dur 00:00:13 tx:639/ rx:344/53687 Tele 1/0/0 (50): tx:14760/6780/0ms g711ulaw noise:−49 acom:13 i/0:−45/−50 dBm Ceci est la sortie de la commande show sip. ccnp_cch
10
Résolution de problèmes
Ceci est la sortie de la commande show sip. pixfirewall#show sip Total: 1 call−id state Active, idle 0:00:58 Cette sortie est celle de la commande show conn detail. pixfirewall#show conn detail 7 in use, 12 most used Flags: A − awaiting inside ACK to SYN, a − awaiting outside ACK to SYN, B − initial SYN from outside, C − CTIQBE media, D − DNS, d − dump, E − outside back connection, F − outside FIN, f − inside FIN, G − group, g − MGCP, H − H.323, h − H.225.0, I − inbound data, i − incomplete, k − Skinny media, M − SMTP data, m − SIP media, O − outbound data, P − inside back connection, q − SQL*Net data, R − outside acknowledged FIN, R − UDP RPC, r − inside acknowledged FIN, S − awaiting inside SYN, s − awaiting outside SYN, T − SIP, t − SIP transient, U − up UDP outside: /5060 inside: /0 flags ti UDP outside: /0 inside: /5060 flags Tti UDP outside: /0 inside: /16384 flags mi UDP outside: /5060 inside: /5060 flags Tt UDP outside: /17490 inside: /16384 flags m UDP outside: /17491 inside: /0 flags m UDP outside: /17490 inside: /0 flags mi Résolution de problèmes Dans cette section sont présentées des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes Utilisez ces commandes debug pour résoudre des problèmes avec le PIX. ● debug sip Affiche les messages SIP générés à partir des passerelles. ● debug h323 h225 asn1 Affiche le message H.225 généré à partir des passerelles. Utilisez ces commandes debug pour résoudre des problèmes avec l'IOS Cisco de la passerelle. ● debug voip ccapi inout Affiche les établissements et les libérations de communi- cations sur les parties téléphonie et réseau. ● debug h225 asn1 Affiche le contenu ASN.1 de tout message H.225 émis ou reçu. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.