تكوين ASA nat والتوصيات الخاصة بتنفيذ واجهات شبكة Expressway-E المزدوجة
المحتويات
المقدمة
يوضح هذا المستند كيفية تنفيذ تكوين ترجمة عنوان الشبكة (NAT) المطلوب في جهاز الأمان القابل للتكيف (ASA) من Cisco لتنفيذ واجهات الشبكة المزدوجة Expressway-E.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
-
التكوين الأساسي ل Cisco ASA وتكوين NAT
-
التكوين الأساسي ل Cisco Expressway-E و Expressway-C
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
أجهزة سلسلة Cisco ASA 5500 و 5500-X التي تشغل الإصدار 8.0 من البرنامج والإصدارات الأحدث.
-
الإصدار X8. 0 من Cisco Expressway والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
بحكم التصميم، يمكن وضع Cisco Expressway-E إما في منطقة مجردة من السلاح (DMZ) أو باستخدام واجهة واجهة على الإنترنت، بينما تكون قادرة على الاتصال ب Cisco Expressway-C في شبكة خاصة. عندما يتم وضع Cisco Expressway-E في منطقة DMZ، فهذه هي الميزات الإضافية:
- في السيناريو الأكثر شيوعا، تتم إدارة Cisco Expressway-E بواسطة الشبكة الخاصة. عندما يكون Expressway-E من Cisco في DMZ، يمكن إستخدام جدار حماية محيط (خارجي) لحظر الوصول غير المرغوب فيه إلى Expressway من الشبكات الخارجية عبر طلبات بروتوكول نقل النص التشعبي الآمن (HTTPS) أو طبقة الأمان (SSH).
- وإذا لم تسمح المنطقة المجردة من السلاح (DMZ) بالتوصلات المباشرة بين الشبكات الداخلية والخارجية، يلزم توفر خوادم مخصصة لمعالجة حركة مرور البيانات التي تجتاز المنطقة المجردة من السلاح. يمكن أن يعمل Expressway من Cisco كخادم وكيل لبروتوكول بدء جلسة العمل (SIP) و/أو حركة مرور الصوت والفيديو للطراز H.323. في هذه الحالة، يمكنك إستخدام خيار واجهات الشبكة المزدوجة الذي يسمح ExpressWay من Cisco بأن يكون لديك عنوانا IP مختلفين، واحد لحركة مرور البيانات من/إلى جدار الحماية الخارجي، وواحد لحركة مرور البيانات من/إلى جدار الحماية الداخلي.
- يمنع هذا الإعداد الاتصالات المباشرة من الشبكة الخارجية إلى الشبكة الداخلية. يؤدي ذلك إلى تحسين أمان الشبكة الداخلية بشكل عام.
ExpressWay C و E - واجهات الشبكة المزدوجة/تنفيذ بطاقة واجهة الشبكة (NIC) المزدوجة
تظهر هذه الصورة مثالا لنشر Expressway-E مع واجهات شبكة مزدوجة و NAT ثابت. يعمل Expressway-C كعميل للمرور العابر. هناك حائطان للحريق (Fw A و FWB). بشكل نموذجي، في تكوين DMZ هذا، لا يمكن أن يقوم FW A بتوجيه حركة المرور إلى FW B، وتتطلب أجهزة مثل Expressway-E التحقق من حركة المرور وإعادة توجيهها من الشبكة الفرعية FW A إلى الشبكة الفرعية FW B (والعكس صحيح).
يتكون هذا النشر من هذه المكونات.
الشبكة الفرعية DMZ 1 - 10.0.10.0/24
- حفظ واجهة داخلية - 10.0.10.1
- واجهة Expressway-E LAN2 - 10.0.10.2
الشبكة الفرعية DMZ 2 - 10.0.20.0/24
- الواجهة الخارجية FW B - 10.0.20.1
- واجهة Expressway-E LAN1 - 10.0.20.2
شبكة LAN الفرعية - 10.0.30.0/24
- الواجهة الداخلية FW B - 10.0.30.1
- واجهة Expressway-C LAN1 - 10.0.30.2
- واجهة شبكة خادم Cisco TelePresence Management Suite (TMS) - 10.0.30.3
تفاصيل هذا التطبيق:
- FW A هو جدار الحماية الخارجي أو المحيط، ويتم تكوينه باستخدام NAT IP (IP العام) من 64.100.0.10 والذي تتم ترجمته بشكل ثابت إلى 10.0.10.2 (واجهة Expressway-E LAN2)
- FW B هو جدار الحماية الداخلي
- Expressway-E LAN1 يتلقى ساكن إستاتيكي nat أسلوب يعجز
- Expressway-E LAN2 يتلقى ساكن إستاتيكي nat أسلوب يمكن مع ساكن إستاتيكي nat عنوان 64.100.0.10
- يحتوي Expressway-C على منطقة عميل متقاطعة تشير إلى 10.0.20.2 (واجهة Expressway-E LAN1)
- لا يوجد توجيه بين الشبكات الفرعية 10.0.20.0/24 و 10.0.10.0/24. تعمل Expressway-E على جسر هذه الشبكات الفرعية وتعمل كوكيل لوسائط إرسال إشارات SIP/H.323 وبروتوكول النقل في الوقت الفعلي (RTP) / بروتوكول التحكم في بروتوكول RTP (RTCP).
- تحتوي Cisco TMS على Expressway-E تم تكوينه باستخدام عنوان IP 10.0.20.2
المتطلبات/القيود
الشبكات الفرعية غير المتداخلة
إذا تم تكوين Expressway-E لاستخدام كلا واجهات LAN، فيجب تحديد موقع واجهات LAN1 و LAN2 في الشبكات الفرعية غير المتراكبة لضمان إرسال حركة مرور البيانات إلى الواجهة الصحيحة.
تجميع
عند تجميع أجهزة Expressway باستخدام خيار الشبكة المتقدمة الذي تم تكوينه، يلزم تكوين كل نظير نظام مجموعة باستخدام عنوان واجهة LAN1 الخاص به. in addition، مجموعة ينبغي كنت شكلت على قارن أن لا يتلقى ساكن إستاتيكي nat أسلوب يمكن. لذلك، من المستحسن أن يستعمل أنت LAN2 كالقارن خارجي، على أي أنت يستطيع طبقت وشكلت NAT ساكن إستاتيكي حيثما أمكن.
إعدادات واجهة LAN الخارجية
إعدادات تكوين واجهة شبكة LAN الخارجية على التحكم في صفحة تكوين IP التي تستخدم واجهة الشبكة المحولة باستخدام الارسال حول NAT (TURN). في تكوين واجهة شبكة Expressway-E مزدوجة، يتم تعيين ذلك عادة على واجهة Expressway-E الخارجية للشبكة المحلية (LAN).
المسارات الثابتة
يجب تكوين ExpressWay-E باستخدام عنوان عبارة افتراضي بقيمة 10.0.10.1 لهذا السيناريو. هذا يعني أن كل حركة مرور يرسل عبر LAN2، افتراضيا، أرسلت إلى العنوان 10.0.10.1.
إذا ترجم FW B حركة مرور البيانات المرسلة من الشبكة الفرعية 10.0.30.0/24 إلى واجهة Expressway-E LAN1 (على سبيل المثال، حركة مرور عميل العبور Expressway-C أو حركة مرور إدارة خادم TMS)، تظهر حركة المرور هذه لأنها تأتي من الواجهة الخارجية FWB (10.0.20.1) حيث إنها تصل إلى شبكة Expressway-E LAN1. وبعد ذلك، يمكن ل Expressway-E الرد على حركة المرور هذه عبر واجهة LAN1 الخاصة بها نظرا لوجود المصدر الظاهري لحركة المرور هذه على الشبكة الفرعية نفسها.
إذا تم تمكين NAT على المحول FW B، فستظهر حركة المرور التي يتم إرسالها من Expressway-C إلى Expressway-E LAN1 بأنها تأتي من 10.0.30.2. إذا لم يكن Expressway لديه مسار ثابت مضاف للشبكة الفرعية 10.0.30.0/24، فإنه يرسل الردود الخاصة بحركة المرور هذه إلى العبارة الافتراضية (10.0.10.1) خارج الشبكة المحلية (LAN2)، نظرا لأنه لا يعلم أن الشبكة الفرعية 10.0.30.0/24 موجودة خلف جدار الحماية الداخلي (FW B). لذلك، يلزم إضافة مسار ثابت، قم بتشغيل أمر واجهة سطر الأوامر xCommand RouteAdd CLI من خلال جلسة SSH إلى Expressway.
في هذا المثال الخاص، يجب أن يعرف Expressway-E أنه يمكنه الوصول إلى الشبكة الفرعية 10.0.30.0/24 الموجودة خلف الشبكة الفرعية FW B، والتي يمكن الوصول إليها عبر واجهة LAN1. للقيام بذلك، قم بتشغيل الأمر:
xCommand RouteAdd Address: 10.0.30.0 PrefixLength: 24 Gateway: 10.0.20.1 Interface: LAN1
في هذا المثال، يمكن أيضا تعيين معلمة الواجهة على تلقائي نظرا لأن عنوان البوابة (10.0.20.1) هو فقط القابل للوصول عبر LAN1.
إذا لم يتم تمكين NAT على FW B ويحتاج Expressway-E إلى الاتصال بالأجهزة في الشبكات الفرعية (بخلاف 10.0.30.0/24) التي تقع أيضا خلف FW B، فيجب إضافة المسارات الثابتة لهذه الأجهزة/الشبكات الفرعية.
يتم وصف الأمر xCommand RouteAdd وصياغة الجملة بالتفصيل الكامل في دليل مسؤول VCS.
التكوين
يصف هذا قسم كيف أن يشكل الساكن إستاتيكي NAT مطلوب ل ال expressway-E مزدوج شبكة قارن تنفيذ على ال ASA. تم تضمين بعض توصيات تكوين إطار سياسة معياري ASA الإضافية (MPF) لمعالجة حركة مرور SIP/H323.
Expressway C و E - واجهات شبكة مزدوجة/تنفيذ بطاقة واجهة الشبكة (NIC) المزدوجة
في هذا المثال، تعيين عنوان IP هو التالي.
عنوان بروتوكول الإنترنت Expressway-C: 10.0.30.2/24
Expressway-C default-gateway: 10.0.30.1 (FW-B)
عناوين IP الخاصة ب Expressway-E:
على الشبكة المحلية LAN2: 10.0.10.2/24
على الشبكة المحلية LAN1: 10.0.20.2/24
Expressway-E default-gateway: 10.0.10.1 (FW-A)
عنوان TMS IP: 10.0.30.3/24
تكوين FW-A
الخطوة 1. تشكيل ساكن إستاتيكي nat ل ال Expressway-E.
كما هو موضح في قسم معلومات الخلفية في هذا المستند، يحتوي FW-A على ترجمة NAT ثابتة للسماح بالوصول إلى Expressway-E من الإنترنت باستخدام عنوان IP العام 64.100.0.10. هذا الأخير من NATed إلى Expressway-E LAN2 عنوان 10.0.10.2/24. بعد ذلك، هذا هو المطلوب FW-A ساكن إستاتيكي nat.
لإصدارات ASA 8.3 والإصدارات الأحدث:
! To use PAT with specific ports range: object network obj-10.0.10.2
host 10.0.10.2
object service obj-udp_3478-3483 service udp source range 3478 3483 object service obj-udp_24000-29999 service udp source range 24000 29999 object service obj-udp_36002-59999 service udp source range 36002 59999 object service obj-tcp_5222 service tcp source eq 5222 object service obj-tcp_8443 service tcp source eq 8443 object service obj-tcp_5061 service tcp source eq 5061 object service obj-udp_5061 service udp source eq 5061 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_3478-3483 obj-udp_3478-3483 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_24000-29999 obj-udp_24000-29999 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_36002-59999 obj-udp_36002-59999 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_5222 obj-tcp_5222 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_8443 obj-tcp_8443 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_5061 obj-tcp_5061 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_5061 obj-udp_5061 OR ! To use with static one-to-one NAT: object network obj-10.0.10.2 nat (inside,outside) static interface
لإصدارات ASA 8.2 والإصدارات الأقدم:
! Static PAT for a Range of Ports is Not Possible - A configuration line is required per port. This example shows only when Static one-to-one NAT is used. static (inside,outside) interface 10.0.10.2 netmask 255.255.255.255
الخطوة 2. يسمح تكوين قائمة التحكم في الوصول (ACL) بالمنافذ المطلوبة من الإنترنت إلى Expressway-E.
وفقا للاتصالات الموحدة: من Expressway (DMZ) إلى وثائق الإنترنت العامة، يتم توضيح قائمة منافذ TCP و UDP التي يتطلب Expressway-E السماح بها في FW-A، كما هو موضح في الصورة:
هذا هو تكوين قائمة التحكم في الوصول (ACL) المطلوب كما هو وارد في الواجهة الخارجية بنظام FW-A.
لإصدارات ASA 8.3 والإصدارات الأحدث:
access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222 access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443 access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 access-list outside-in extended permit udp any host 10.0.10.2 lt 3484 access-list outside-in extended permit udp any host 10.0.10.2 gt 23999 access-list outside-in extended permit udp any host 10.0.10.2 lt 30000 access-list outside-in extended permit udp any host 10.0.10.2 gt 36001 access-list outside-in extended permit udp any host 10.0.10.2 lt 60000 access-list outside-in extended permit udp any host 10.0.10.2 eq 5061 access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061 access-group outside-in in interface outside
لإصدارات ASA 8.2 والإصدارات الأقدم:
access-list outside-in extended permit tcp any host 64.100.0.10 eq 5222 access-list outside-in extended permit tcp any host 64.100.0.10 eq 8443 access-list outside-in extended permit udp any host 64.100.0.10 gt 3477 access-list outside-in extended permit udp any host 64.100.0.10 lt 3484 access-list outside-in extended permit udp any host 64.100.0.10 gt 23999 access-list outside-in extended permit udp any host 64.100.0.10 lt 30000 access-list outside-in extended permit udp any host 64.100.0.10 gt 36001 access-list outside-in extended permit udp any host 64.100.0.10 lt 60000 access-list outside-in extended permit udp any host 64.100.0.10 eq 5061 access-list outside-in extended permit tcp any host 64.100.0.10 eq 5061 access-group outside-in in interface outside
تكوين FW-B
كما هو موضح في قسم معلومات الخلفية في هذا المستند، قد يتطلب FW B تكوين NAT أو PAT ديناميكي للسماح بترجمة الشبكة الفرعية الداخلية 10.0.30.0/24 إلى عنوان IP 10.0.20.1 عندما تنتقل إلى الواجهة الخارجية من FW B.
لإصدارات ASA 8.3 والإصدارات الأحدث:
object network obj-10.0.30.0 subnet 10.0.30.0 255.255.255.0 nat (inside,outside) dynamic interface
لإصدارات ASA 8.2 والإصدارات الأقدم:
nat (inside) 1 10.0.30.0 255.255.255.0 global (outside) 1 interface
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يمكن إستخدام تعقب الحزمة على ASA لتأكيد أن ترجمة Expressway-E الثابتة ل NAT تعمل كما هو مطلوب.
Packet Tracer إلى إختبار 64.100.0.10 في TCP/5222
FW-A#packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5222 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/5222 to 10.0.10.2/5222 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 13, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
Packet Tracer إلى إختبار 64.100.0.10 في TCP/8443
FW-A# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 8443 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/8443 to 10.0.10.2/8443 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 14, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
Packet Tracer إلى إختبار 64.100.0.10 في TCP/5061
FW-1# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5061 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/5061 to 10.0.10.2/5061 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 15, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
Packet Tracer إلى إختبار 64.100.0.10 في UDP/24000
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 24000 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/24000 to 10.0.10.2/24000 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 16, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
Packet Tracer إلى إختبار 64.100.0.10 في UDP/36002
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 36002 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/36002 to 10.0.10.2/36002 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 17, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
استكشاف الأخطاء وإصلاحها
الخطوة 1. مقارنة مجموعات الحزم.
يمكن التقاط الحزم في كل من واجهات مدخل ومخرج ASA.
FW-A# sh cap capture capout interface outside match ip host 64.100.0.100 host 64.100.0.10 capture capin interface inside match ip host 64.100.0.100 host 10.0.10.2
حزم التقاط ل 64.100.0.10 في TCP/5222:
FW-A# sh cap capout 2 packets captured 1: 21:39:33.646954 64.100.0.100.21144 > 64.100.0.10.5222: S 4178032747:4178032747(0) win 4128 <mss 1460> 2: 21:39:35.577652 64.100.0.100.21144 > 64.100.0.10.5222: S 4178032747:4178032747(0) win 4128 <mss 1460> 2 packets shown FW-A# sh cap capin 2 packets captured 1: 21:39:33.647290 64.100.0.100.21144 > 10.0.10.2.5222: S 646610520:646610520(0) win 4128 <mss 1380> 2: 21:39:35.577683 64.100.0.100.21144 > 10.0.10.2.5222: S 646610520:646610520(0) win 4128 <mss 1380> 2 packets shown
حزم التقاط ل 64.100.0.10 في TCP/5061:
FW-A# sh cap capout 2 packets captured 1: 21:42:14.920576 64.100.0.100.50820 > 64.100.0.10.5061: S 2023539318:2023539318(0) win 4128 <mss 1460> 2: 21:42:16.992380 64.100.0.100.50820 > 64.100.0.10.5061: S 2023539318:2023539318(0) win 4128 <mss 1460> 2 packets shown
FW-A# sh cap capin 2 packets captured 1: 21:42:14.920866 64.100.0.100.50820 > 10.0.10.2.5061: S 2082904361:2082904361(0) win 4128 <mss 1380> 2: 21:42:16.992410 64.100.0.100.50820 > 10.0.10.2.5061: S 2082904361:2082904361(0) win 4128 <mss 1380> 2 packets shown
الخطوة 2. فحص لقطات حزمة إسقاط مسار الأمان السريع (ASP).
يتم التقاط عمليات إسقاط الحزمة بواسطة ASA بواسطة التقاط ASA ASP. على قبض الخيار all، كل الأسباب المحتملة لما أسقط ال ASA ربط. ويمكن تضييق نطاق ذلك إذا كان هناك أي سبب مشكوك فيه. للحصول على قائمة بالأسباب التي يستخدمها ASA لتصنيف هذه عمليات الإسقاط، قم بتشغيل الأمر show asp drop.
capture asp type asp-drop all
show cap asp
OR
show cap asp | i 64.100.0.10
show cap asp | i 10.0.10.2
التوصيات
تأكد من أن فحص SIP/H.323 معطل تماما على جدران الحماية المعنية.
يوصى بشدة بتعطيل فحص SIP و H.323 على جدران الحماية التي تتعامل مع حركة مرور الشبكة من أو إلى Expressway-E. عند تمكين هذا الخيار، غالبا ما يؤثر فحص SIP/H.323 سلبا على وظيفة إجتياز جدار الحماية/NAT المدمج في Expressway.
هذا مثال على كيفية تعطيل عمليات تفتيش SIP و H.323 على ASA:
policy-map global_policy class inspection_default no inspect h323 h225 no inspect h323 ras no inspect sip
تنفيذ ExpressWay بديل VCS
هناك حل بديل لتنفيذ تقنية Expressway-E مع واجهات شبكة مزدوجة/بطاقة واجهة شبكة (NIC) مزدوجة، وهو تنفيذ تقنية Expressway-E ولكن بتكوين انعكاس لبطاقة واجهة شبكة (NIC) واحدة وبطاقة واجهة الشبكة (NAT) على جدران الحماية. يوضح الارتباط التالي تفاصيل إضافية حول هذا التنفيذ قم بتكوين انعكاس NAT على ASA لأجهزة TelePresence عبر الطريق السريع VCS.
التعليقات