Gestion du trafic VoIP avec le pare-feu PIX

Documents pareils
Les réseaux /24 et x0.0/29 sont considérés comme publics

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Exemple de configuration d'asa avec WebVPN et authentification unique à l'aide d'asdm et de NTLMv1

comment paramétrer une connexion ADSL sur un modemrouteur

QoS sur les exemples de configuration de Cisco ASA

Introduction. Adresses

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Mise en service d un routeur cisco

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Configuration de WINS, DNS et DHCP sur les serveurs d'accès

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

C a h p a i p tre e 4 Archi h t i ectur u e e t S i S g i n g a n li l s i atio i n o n SI S P

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Guide de compatibilité des routeurs avec le service Flexfone

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Travaux pratiques : collecte et analyse de données NetFlow

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Devoir Surveillé de Sécurité des Réseaux

Exercice : configuration de base de DHCP et NAT

Rappels réseaux TCP/IP

MAUREY SIMON PICARD FABIEN LP SARI

Projet de sécurité d un SI Groupe défense

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Présentation et portée du cours : CCNA Exploration v4.0

Voix sur IP. Généralités. Paramètres. IPv4 H323 / SIP. Matériel constructeur. Asterisk

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN

LABO TELEPHONIE. Etude et réalisation de la Téléphonie sur IP (VoIP) avec Cisco Call Manager et Asterisk

VOIP : Un exemple en Afrique

Présentation et portée du cours : CCNA Exploration v4.0

Internet Protocol. «La couche IP du réseau Internet»

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Présentation du modèle OSI(Open Systems Interconnection)

(In)sécurité de la Voix sur IP [VoIP]

La VOIP :Les protocoles H.323 et SIP

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

SSH, le shell sécurisé

G amme Voix sur IP. Tous les appareils VoIP ZyXEL supportent SIP, proposant ainsi une alternative à H.323.

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

La Plate-forme utilisée :

Administration UNIX. Le réseau

Déploiement sécuritaire de la téléphonie IP

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Conception et mise en place d'une architecture de sécurité des services Intranet / Internet. Equipe Firewalling

Réunion du 1er Avril VoIP : théorie et réalité opérationnelle. info@ipercom.com

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :


TP 2 : ANALYSE DE TRAMES VOIP

GNS 3 Travaux pratiques

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

U.E. ARES - TD+TME n 1

Services Réseaux - Couche Application. TODARO Cédric

La ToIP/VoIP. Voix et téléphonie sur IP - Convergence voix et données

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Le protocole TCP. Services de TCP

Configuration du matériel Cisco. Florian Duraffourg

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Partie 2 (Service de téléphonie simple) :

La qualité de service (QoS)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

ManageEngine VQManager connaître la qualité de la voix

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Travaux pratiques IPv6

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Résolution des problèmes de voix hachée du QoS

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Configuration des VLAN

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

Interconnexion de serveurs Asterisk avec IAX

Configuration réseau Basique

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Téléphonie Cisco. - CME Manager Express = Logiciel dans un routeur, version simplifiée du call manager.

Travaux pratiques : Configuration de base d une route statique

Travaux pratiques Gestion des fichiers de configuration de périphérique via TFTP, Flash et USB

Cisco CCVP. Configuration de CUCM

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Configuration du driver SIP dans ALERT. V2

IPFilter. IPFilter IPFILTER: IN/OUT/FORWARD? IPFilter: chaîne FORWARD? Exemple: IPFilter: syntaxe de base

Supervision de réseau

SensOrLabs. a protocol validation platform for the IoT. Dominique Barthel, Quentin Lampin IMT/OLPS/BIZZ/MIS Apr 7th 2014, ST, CEA, LIG

Chap.9: SNMP: Simple Network Management Protocol

Programme formation pfsense Mars 2011 Cript Bretagne

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Documentation support technique

pare - feu généralités et iptables

Module 8. Protection des postes de travail Windows 7

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Couche Transport TCP et UDP

Transcription:

Gestion du trafic VoIP avec le pare-feu PIX Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configurez Diagramme du réseau Configurations Vérifiez Vérifiez H.323 Vérifiez le SIP Dépannez Dépannage des commandes Informations connexes Introduction Dans cette configuration d'échantillon, un Pare-feu PIX est configuré afin de permettre la traversée de deux protocoles différents de la voix sur ip (VoIP) H.323, et le Protocole SIP (Session Initiation Protocol). Étant donné que des protocoles VoIP se composent de la signalisation et de l'adresse IP/des combinaisons de ports, il y a un certain nombre de questions avec le VoIP et les traductions d'adresses réseau (NAT). Le protocole de fixup de Pare-feu PIX aborde ces questions. Conditions préalables Conditions requises Aucune spécification déterminée n'est requise pour ce document. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Version du logiciel PIX 6.3.1 ½ du  de Cisco 2651XM IOSà  12.3(3) Version 2.16.1 186 de l'adaptateur de téléphone analogique de Cisco (ATA) Remarque: Pour le Pare-feu PIX (avec le protocole de passerelle [ALG] ou de fixup) d'application-couche VoIP, ces des combinaisons de version/caractéristique sont prises en charge : Version 5.2 De supports version 2, enregistrement et état (RAS), et NAT H.323 (aucun TAPOTEMENT) Versions 6.0 et 6.1 Ajoute le SIP avec NAT (aucun TAPOTEMENT), le Skinny Client Control Protocol (SCCP) avec support NAT (aucun TAPOTEMENT), et aucun de Protocole MGCP (Media Gateway Control Protocol) Version 6.2 Soutien de TAPOTEMENT H.323 de version 2 et de SIP. Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section. Diagramme du réseau Ce document utilise la configuration réseau suivante : Configurations Ce document utilise les configurations suivantes : Pare-feu Cisco PIX Cisco 2651 Cisco ATA 186 Pare-feu Cisco PIX PIX Version 6.3(1) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 --- Fixup protocol required for H.323. fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 --- Fixup protocol required for SIP. fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq h323 --- Permits inbound H.323 calls. access-list 101 permit tcp host 100.1.1.2 host 100.1.1.5 eq 5060 --- Permits inbound SIP calls. pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 100.1.1.1 255.255.255.0 ip address inside 192.168.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm

pdm history enable arp timeout 14400 static (inside,outside) 100.1.1.5 192.168.0.2 netmask 255.255.255.255 0 0 --- Static used to demonstrate NAT. access-group 101 in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end pixfirewall# Cisco 2651 version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Gateway boot-start-marker boot-end-marker no aaa new-model ip subnet-zero no voice hpi capture buffer no voice hpi capture destination interface FastEthernet0/0 ip address 100.1.1.2 255.255.255.0 duplex auto speed auto interface FastEthernet0/1 no ip address shutdown duplex auto speed auto no ip http server ip classless voice-port 1/0/0 voice-port 1/0/1 voice-port 1/1/0 voice-port 1/1/1 dial-peer voice 1111 voip destination-pattern 1111 session target ipv4:100.1.1.5 codec g711ulaw

--- H.323 dial-peer dial-peer voice 2222 pots destination-pattern 2222 port 1/0/0 dial-peer voice 3333 voip destination-pattern 3333 session protocol sipv2 session target ipv4:100.1.1.5 codec g711ulaw --- SIP dial-peer line con 0 line aux 0 line vty 0 4 end Gateway# Cisco ATA 186 Remarque: Cette configuration ATA 186 s'applique pour les appels sortants qui utilisent le SIP. Pour H.323 appelle les besoins de champ d'usesip d'être changé à 0 et à l'adresse IP du 2651XM (100.1.1.2) changé de GkOrProxy au gisement de passerelle. Vérifiez Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration. L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'oit pour afficher une analyse de la sortie de la commande show.

show xlate Affiche la traduction qui a lieu. Vérifiez H.323 pixfirewall#show xlate 1 in use, 1 most used Global 100.1.1.5 Local 192.168.0.2 --- Translation in place Employez ces commandes afin de vérifier H.323 : brief de show call active voice Affiche le contenu de la table d'appel actif. Les informations présentées incluent des temps d'appel, des pairs de cadran, des connexions, des paramètres de qualité de service, et la manipulation de passerelle du jitter. exposition h225 Appels d'affichages qui passent par le Pare-feu PIX. détail de show conn Affiche le NAT des adresses de signalisation et de medias VoIP. C'est la sortie de la commande brief de show call active voice. Gateway#show call active voice brief Telephony call-legs: 1 SIP call-legs: 0 H323 call-legs: 1 MGCP call-legs: 0 Multicast call-legs: 0 Total call-legs: 2 2828 : 1574769hs.1 +142 pid:1111 Answer 1111 active dur 00:00:06 tx:159/24803 rx:343/54880 IP 100.1.1.5:16384 rtt:0ms pl:3860/0ms lost:0/1/0 delay:64/64/65ms g711ulaw 2828 : 1574770hs.1 +141 pid:2222 Originate 2222 active dur 00:00:06 tx:343/54880 rx:167/26083 Tele 1/0/0 (48): tx:8200/3290/0ms g711ulaw noise:-50 acom:13 i/0:-42/-55 dbm C'est la sortie de la commande de l' exposition h225. pixfirewall#show h225 Total H.323 Calls: 1 1 Concurrent Call(s) for Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720 1. CRV 5735 Local: 192.168.0.2/16230 Foreign: 100.1.1.2/1720 --- This output indicates that there is currently one active --- H.323 call going through the PIX Firewall between the local --- endpoint 192.168.0.2 and foreign host 100.1.1.2. For these --- particular endpoints, there is one concurrent call between them, --- with a Call Reference Value (CRV) for that call of 5735. C'est la sortie de la commande de détail de show conn. pixfirewall#show conn detail 7 in use, 12 most used Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN, B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN, G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete, k - Skinny media, M - SMTP data, m - SIP media, O - outbound data, P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN, R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN, s - awaiting outside SYN, T - SIP, t - SIP transient, U - up UDP outside:100.1.1.2/17047 inside:192.168.0.2/16385 flags H UDP outside:100.1.1.2/17046 inside:192.168.0.2/16384 flags H TCP outside:100.1.1.2/1720 inside:192.168.0.2/14785 flags UIOh UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags Hi TCP outside:100.1.1.2/11012 inside:192.168.0.2/14793 flags UIO TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags ssiaa TCP outside:100.1.1.2/11012 inside:192.168.0.2/0 flags ssiaa Vérifiez le SIP

Employez ces commandes afin de vérifier le SIP. brief de show call active voice Affiche le contenu de la table d'appel actif. Les informations présentées incluent des temps d'appel, des pairs de cadran, des connexions, des paramètres de qualité de service, et la manipulation de passerelle du jitter. détail de show conn Affiche le NAT des adresses de signalisation et de medias VoIP. sip d'exposition Affiche un appel actif de SIP. C'est la sortie de la commande brief de show call active voice. Gateway#show call active voice brief Telephony call-legs: 1 SIP call-legs: 1 H323 call-legs: 0 MGCP call-legs: 0 Multicast call-legs: 0 Total call-legs: 2 1210 : 1589226hs.1 +133 pid:1111 Answer 1111 active dur 00:00:13 tx:344/53687 rx:639/102001 IP 100.1.1.5:16384 rtt:0ms pl:11420/0ms lost:0/1/0 delay:45/45/65ms g711ulaw 1210 : 1589227hs.1 +132 pid:2222 Originate 2222 active dur 00:00:13 tx:639/102001 rx:344/53687 Tele 1/0/0 (50): tx:14760/6780/0ms g711ulaw noise:-49 acom:13 i/0:-45/-50 dbm C'est la sortie de la commande de sip d'exposition. pixfirewall#show sip Total: 1 call-id 648032863@192.168.0.2 state Active, idle 0:00:58 C'est la sortie de la commande de détail de show conn. pixfirewall#show conn detail 7 in use, 12 most used Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN, B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN, G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete, k - Skinny media, M - SMTP data, m - SIP media, O - outbound data, P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN, R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN, s - awaiting outside SYN, T - SIP, t - SIP transient, U - up UDP outside:100.1.1.2/5060 inside:192.168.0.2/0 flags ti UDP outside:100.1.1.2/0 inside:192.168.0.2/5060 flags Tti UDP outside:100.1.1.2/0 inside:192.168.0.2/16384 flags mi UDP outside:100.1.1.2/5060 inside:192.168.0.2/5060 flags Tt UDP outside:100.1.1.2/17490 inside:192.168.0.2/16384 flags m UDP outside:100.1.1.2/17491 inside:192.168.0.2/0 flags m UDP outside:100.1.1.2/17490 inside:192.168.0.2/0 flags mi Dépannez Dépannage des commandes L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'oit pour afficher une analyse de la sortie de la commande show. Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage. Utilisez ces commandes de débogage de dépanner le PIX. mettez au point le sip Affiche les messages SIP générés des passerelles. mettez au point le h323 h225 asn1 Affiche le message H.225 généré des passerelles. mettez au point Affiche le trafic qui est chiffré. Employez ces commandes de débogage afin de dépanner la passerelle de Cisco IOS.

debug voip ccapi inout Affiche les exécutions d'établissement d'appel et de désinstallation exécutées sur les tronçons d'appel de téléphonie et de réseau. debug h225 asn1 Affiche le contenu ASN.1 de n'importe quel message H.225 envoyé ou reçu. Référez-vous au dépannage de Cisco ATA 186 pour des détails sur l'élimination des imperfections ATA 186. Informations connexes Demandes de commentaires (RFC) Exemples et notes techniques de configuration 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 18 octobre 2016 http://www.cisco.com/cisco/web/support/ca/fr/109/1095/1095884_voippix.html

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back