ASA/PIX: Permitir que o tráfego de rede acesse o Microsoft Media Server (MMS) / Fluxo de vídeo do exemplo de configuração da Internet

Opções de download

  • PDF     (242.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (129.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (116.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de maio de 2009
ID do documento:100308

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar o Adaptive Security Appliance (ASA) para permitir que o cliente ou usuário da Internet acesse o Microsoft Media Server (MMS) ou streaming de vídeo na rede interna do ASA.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Configuração básica do ASA

  • O MMS está configurado e funciona corretamente

Componentes Utilizados

As informações neste documento são baseadas no Cisco ASA que executa o Software versão 7.x e posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produtos Relacionados

As informações neste documento também se aplicam ao Cisco PIX Firewall que executa o Software Versão 7.x e posterior.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de firewall para Windows Media Services 9 Series

Usar protocolos de mídia de transmissão

O Microsoft® Windows Media® Services 9 Series usa dois protocolos de mídia de transmissão para fornecer conteúdo como um fluxo unicast aos clientes:

  • RTSP (Real Time Streaming Protocol, protocolo de fluxo contínuo em tempo real)

  • Protocolo Microsoft Media Server (MMS)

Esses protocolos suportam ações de controle de cliente como, por exemplo, parar, pausar, rebobinar e arquivos Windows Media indexados fast-forward.

O RTSP é um protocolo da camada de aplicação criado especificamente para fornecer fornecimento controlado de dados em tempo real, como conteúdo de áudio e vídeo. Você pode usar o RTSP para transmitir conteúdo para computadores que executam o Windows Media Player 9 Series ou posterior, para clientes que usam o controle AtiveX® do Windows Media Player 9 Series ou para outros computadores que executam o Windows Media Services 9 Series. O RTSP trabalha em conjunto com o Real-Time Transport Protocol (RTP) para formatar pacotes de conteúdo multimídia e negociar o protocolo de camada de transporte mais eficiente, seja o UDP (User Datagram Protocol) ou o TCP (Transport Control Protocol), para usar quando você entrega o fluxo aos clientes. Você pode implementar o RTSP através do plug-in do protocolo de controle de servidor RTSP do WMS no Windows Media Services Administrator. Este plug-in está ativado por padrão.

O MMS é um protocolo proprietário da camada de aplicação que foi desenvolvido para versões anteriores do Windows Media Services. Você pode usar o MMS para transmitir conteúdo para computadores que executam o Windows Media Player para Windows® XP ou anterior. Você pode implementar o MMS através do plug-in do Protocolo de Controle de Servidor do WMS no Windows Media Services Administrator. Este plug-in está ativado por padrão.

Usar HTTP

Se as portas no firewall não puderem ser abertas, o Windows Media® Services poderá transmitir conteúdo com HTTP pela porta 80. O HTTP pode ser usado para entregar fluxos para todas as versões do Windows Media Player. Você pode implementar o HTTP por meio do plug-in do Protocolo de Controle de Servidor HTTP do WMS no Administrador do Windows Media Services. Este plug-in não está ativado por padrão. Se outro serviço, como o Internet Information Services (IIS), usar a porta 80 no mesmo endereço IP, você não poderá ativar o plug-in.

O HTTP também pode ser usado para estes:

  • Distribuir fluxos entre servidores Windows Media

  • Conteúdo de origem de um codificador Windows Media

  • Baixar listas de reprodução geradas dinamicamente de um servidor Web

Os plug-ins da fonte de dados devem ser configurados no Windows Media Services Administrator para suportar esses cenários adicionais de transmissão HTTP.

Sobre a sobreposição de protocolos

Se os clientes que suportam RTSP se conectarem a um servidor que executa o Windows Media® Services com um moniker de URL RTSP (por exemplo, rtsp://) ou um moniker de URL do MMS (por exemplo, mms://), o servidor usará a transferência de protocolo para transmitir o conteúdo ao cliente para fornecer uma experiência de transmissão ideal. A transferência automática de protocolo de RTSP/MMS para RTSP com transporte baseado em UDP ou TCP (RTSPU ou RTSPT) ou mesmo HTTP (se o plug-in do WMS HTTP Server Control Protocol estiver ativado) pode ocorrer quando o servidor tenta negociar o melhor protocolo e fornecer uma experiência de transmissão ideal para o cliente. Os clientes que suportam RTSP incluem o Windows Media Player 9 Series ou posterior ou outros players que usam o controle AtiveX do Windows Media Player 9 Series.

As versões anteriores do Windows Media Player, como o Windows Media Player para Windows XP, não suportam o protocolo RTSP, mas o protocolo MMS fornece suporte de transferência de protocolo para esses clientes. Assim, quando uma versão anterior do Player tenta se conectar ao servidor com um moniker de URL MMS, pode ocorrer a transferência automática de protocolo de MMS para MMS com transporte baseado em UDP ou TCP (MMSU ou MMST), ou mesmo HTTP (se o plug-in do WMS HTTP Server Control Protocol estiver ativado), à medida que o servidor tenta negociar o melhor protocolo e fornecer uma experiência de transmissão ideal para esses clientes.

Para garantir que seu conteúdo esteja disponível para todos os clientes que se conectam ao servidor, as portas no firewall devem ser abertas para todos os protocolos de conexão que podem ser usados na transferência do protocolo.

Você pode forçar o servidor Windows Media a usar um protocolo específico se identificar o protocolo a ser usado no arquivo de anúncio (por exemplo, rtspu://server/publishing_point/file). Para proporcionar uma experiência de transmissão otimizada para todas as versões de clientes, recomendamos que a URL use o protocolo MMS geral. Se os clientes se conectarem ao seu fluxo com um URL com um moniker de URL do MMS, qualquer rollover de protocolo necessário ocorre automaticamente. Lembre-se de que os usuários podem desabilitar os protocolos de fluxo contínuo nas configurações de propriedade do Windows Media Player. Se um usuário desabilitar um protocolo, ele será ignorado na sobreposição. Por exemplo, se HTTP estiver desabilitado, os URLs não serão retornados para HTTP.

Alocar portas para Windows Media Services

A maioria dos firewalls é usada para controlar o "tráfego de entrada" no servidor; eles geralmente não controlam o "tráfego de saída" para os clientes. As portas no firewall para tráfego de saída podem ser fechadas se uma política de segurança mais rigorosa for implementada na rede do servidor. Esta seção descreve a alocação de porta padrão para o Windows Media® Services para o tráfego de entrada e saída (mostrado como "Entrada" e "Saída" nas tabelas) para que você possa configurar todas as portas conforme necessário.

Em alguns cenários, o tráfego de saída pode ser direcionado a uma porta em um intervalo de portas disponíveis. Os intervalos de portas mostrados nas tabelas indicam todo o intervalo de portas disponíveis, mas você pode alocar menos portas dentro do intervalo de portas. Quando você decide quantas portas abrir, equilibre a segurança com acessibilidade e abre apenas portas suficientes para permitir que todos os clientes façam uma conexão. Primeiro, determine quantas portas você espera usar para o Windows Media Services e, em seguida, abra 10% a mais para considerar a sobreposição com outros programas. Depois de estabelecer esse número, monitore o tráfego para determinar se é necessário fazer ajustes.

As restrições de intervalo de portas afetam potencialmente todos os aplicativos RPC (Remote Procedure Call, chamada de procedimento remoto) e DCOM (Distributed Component Object Model, Modelo de objeto de componente distribuído) que compartilham o sistema, não apenas os Windows Media Services. Se o intervalo de portas alocado não for amplo o suficiente, os serviços da concorrência como o IIS podem falhar com erros aleatórios. O intervalo de portas deve ser capaz de acomodar todos os aplicativos de sistema em potencial que usam serviços RPC, COM ou DCOM.

Para facilitar a configuração do firewall, você pode configurar cada plug-in do protocolo de controle de servidor (RTSP, MMS e HTTP) no Windows Media Services Administrator para usar uma porta específica. Se o administrador de rede já tiver aberto uma série de portas para uso pelo servidor Windows Media, você poderá alocar essas portas aos protocolos de controle de acordo. Caso contrário, você pode solicitar ao administrador da rede que abra as portas padrão para cada protocolo. Se não for possível abrir portas no firewall, o Windows Media Services poderá transmitir conteúdo com o protocolo HTTP pela porta 80.

Esta é a alocação de porta de firewall padrão para o Windows Media Services para fornecer um fluxo unicast:

Protocolo de aplicação Protocolo Porta Descrição
RTSP TCP 554 (Entrada/Saída) Usado para aceitar conexões de cliente RTSP de entrada e para entregar pacotes de dados a clientes que estão transmitindo com RTSPT.
RTSP UDP 5004 (Saída) Usado para entregar pacotes de dados a clientes que estão transmitindo com RTSPU.
RTSP UDP 5005 (Entrada/Saída) Usado para receber informações de perda de pacotes dos clientes e fornecer informações de sincronização aos clientes que estão transmitindo com RTSPU.
MMS TCP 1755 (Entrada/Saída) Usado para aceitar conexões de cliente MMS de entrada e para entregar pacotes de dados a clientes que estão transmitindo com MMST.
MMS UDP 1755 (Entrada/Saída) Usado para receber informações de perda de pacotes de clientes e fornecer informações de sincronização para clientes que estão transmitindo com MMSU.
MMS UDP 1024-5000 (Saída) Usado para entregar pacotes de dados a clientes que estão transmitindo com MMSU. Abra somente o número necessário de portas.
HTTP TCP 80 (Entrada/Saída) Usado para aceitar conexões de cliente HTTP de entrada e para entregar pacotes de dados aos clientes que estão transmitindo com HTTP.

Para garantir que seu conteúdo esteja disponível para todas as versões do cliente que se conectam ao servidor, abra todas as portas descritas na tabela para todos os protocolos de conexão que podem ser usados na transferência do protocolo. Se você executar o Windows Media Services em um computador que executa o Windows Server™ 2003 Service Pack 1 (SP1), deverá adicionar o programa Windows Media Services (wmserver.exe) como uma exceção no Firewall do Windows para abrir as portas de entrada padrão para transmissão unicast, em vez de abrir portas no firewall manualmente.

Observação: consulte o site leavingcisco.com da Microsoft para saber mais sobre a configuração do firewall MMS.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

ASAMMS-1.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918 que foram usados em um ambiente de laboratório.

Configurações

Este documento utiliza as seguintes configurações:

Configuração do ASA 
CiscoASA#Show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!

!--- Output suppressed

access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit udp any host
 192.168.1.5 eq 1755

!--- Command to open the MMS udp port

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq 1755

!--- Command to open the MMS tcp port

access-list outside_access_in extended permit udp any host
 192.168.1.5 eq 5005

!--- Command to open the RTSP udp port

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq www

!--- Command to open the HTTP port

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq rtsp

!--- Command to open the RTSP tcp port


!--- Output suppressed

static (inside,outside) 192.168.1.5 10.1.1.5 netmask
 255.255.255.255

!--- Translates the mapped IP 192.168.1.5 to the translated IP 10.1.1.5 of the MMS.

access-group outside_access_in in interface outside

!--- Output suppressed

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

!--- RTSP inspection is enabled by default

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • Show access-list — Exibe as ACLs configuradas no ASA/PIX

    ciscoASA#show access-list
access-list outside_access_in; 6 elements
access-list outside_access_in line 1 extended permit 
   icmp any any (hitcnt=0) 0x71af81e1
access-list outside_access_in line 2 extended permit 
   udp any host 192.168.1.5 eq 1755 (hitcnt=0) 0x4
2606263
access-list outside_access_in line 3 extended permit 
   tcp any host 192.168.1.5 eq 1755 (hitcnt=0) 0xa
0161e75
access-list outside_access_in line 4 extended permit 
   udp any host 192.168.1.5 eq 5005 (hitcnt=0) 0x3
90e9949
access-list outside_access_in line 5 extended permit 
   tcp any host 192.168.1.5 eq www (hitcnt=0) 0xe5
db0efc
access-list outside_access_in line 6 extended permit 
   tcp any host 192.168.1.5 eq rtsp (hitcnt=0) 0x5
6fa336f

  • Show nat — Exibe políticas e contadores NAT.

    ciscoASA(config)#show nat
NAT policies on Interface inside:
  match ip inside host 10.1.1.5 outside any
    static translation to 192.168.1.5
    translate_hits = 0, untranslate_hits = 0

Transmissão de vídeoSolução de problemas

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Inspecionar RTSP é uma configuração padrão no ASA. Ele interrompe o tráfego do MMS, pois o Security Appliance não pode executar NAT em mensagens RTSP porque os endereços IP incorporados estão contidos nos arquivos SDP como parte das mensagens HTTP ou RTSP. Os pacotes podem ser fragmentados e o Security Appliance não pode executar o NAT em pacotes fragmentados.

Solução: Esse problema pode ser resolvido se você desabilitar a inspeção RTSP para esse tráfego MMS específico, como mostrado:

access-list rtsp-acl extended deny tcp 
   any host 192.168.1.5 eq 554
access-list rtsp-acl extended permit tcp any any eq 554
class-map rtsp-traffic
match access-list rtsp-acl
policy-map global_policy
class inspection_default
no inspect rtsp
class rtsp-traffic
inspect rtsp

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos