在WebRTC的双NIC设置中为Expressway配置ASA防火墙

简介

本文档介绍在Expressway部署中为WebRTC流启用双NIC的ASA防火墙的配置步骤。

先决条件

要求

Cisco 建议您了解以下主题：

• 了解Cisco ASA（思科自适应安全设备）防火墙
• Expressway服务器的管理知识
• CMS（思科会议服务器）管理知识
• 了解Cisco CMS WebRTC应用
• 网络地址转换 (NAT)
• 围绕 NAT 使用中继遍历 (TURN)

使用的组件

本文档不限于特定的软件和硬件版本，但必须满足软件版本最低要求。

• Expressway 服务器
• CMS 服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Expressway 从 X8.9.2 版本起添加了 WebRTC 代理支持，使场外用户能够浏览到思科会议服务器 Web 网桥。 

外部客户端和访客可以管理或加入CMS coSpaces，而无需支持的Web浏览器以外的任何软件。支持的浏览器列表可在此找到。 

Expressway-E服务器可配置单网络接口或双网络接口（因此具有一对面向内部和外部的NIC）。 在早期的Expressway版本中，不要求使用带静态NAT的双NIC。当Expressway上的WebRTC功能被提出时，它开始要求配置静态NAT，即使在Expressway-E服务器上启用了双NIC的情况下也是如此。Expressway软件版本X12.5.3计划包含代码的返工的逻辑，几乎所有配置方案中都取消了此要求。有关详细信息，请参阅增强请求CSCve37570。

注：当采用静态NAT的双NIC配置的Expressway-E用作WebRTC流量的TURN服务器，且唯一的工作介质路径是CMS和WebRTC客户端上的中继候选时，TURN服务器将RTP数据包以物理方式发送到自己的静态NAT IP地址。因此，必须在外部防火墙上配置NAT反射。 

警告：在同一NAT后激活多个TURN服务器的Expressway-E集群的部署仍需要配置NAT反射。 

技术说明

如果您想了解有关ICE、TURN和STUN流程的更多信息，请观看思科生活演示ICE/TURN/STUN教程 — BRKCOL-2986

本课程提供有关使用中继NAT(TURN)和交互式连接建立(ICE)的穿越的技术背景和见解。 它解释了协作产品组合中如何使用这些功能，并对移动和远程访问(MRA)中的使用案例给予了一些额外关注。 本课程的参与者了解了为什么需要TURN以及ICE如何找到最佳媒体路径。讨论了故障排除指南，并演示了可维护性工具和最佳实践。

配置

本章概述在启用双NIC的Expressway-E服务器场景中配置ASA防火墙上NAT反射的所需步骤。从防火墙返回到Expressway的返回流量（反射后）的源地址为请求来源的服务器的公有IP地址（与TURN权限匹配）。 

注意：防火墙通常不信任具有相同源和目标IP地址的数据包。您必须配置外部防火墙以允许对Expressway-E的公有IP地址进行NAT反射。

网络图

此映像提供连接流及其CMS WebRTC的Web代理所需端口的示例：

此参考摘自Expressway版本X12.5的Cisco Expressway IP端口使用指南。

Cisco ASA防火墙的配置步骤

这些步骤提供了8.3版及更高版本的Cisco ASA防火墙上所需的配置步骤。 

步骤1.创建两个对象 — 第一个对象用于Expressway E的私有IP地址，第二个对象用于Expressway E的公有IP地址。运行以下命令： 

ASA(config)#object network expressway-private
ASA(config-network-object)# host x.x.x.x
ASA(config)#object network expressway-public
ASA(config-network-object)# host y.y.y.y

步骤2.确定Expressway-E连接到的接口的名称 — 例如DMZ-expressway。

步骤3.配置手动静态NAT，其目的是将Expressway流量从其私有IP地址转换为其公有IP地址，然后（在转换后）再次将其发回Expressway-E。 运行命令并替换部署的实际值：  

ASA(config)# nat (DMZ-expressway, DMZ-expressway)source static expressway-private expressway-public destination static expressway-public expressway private

步骤4.通过在连接到Expressway E的接口上添加访问列表（或向已配置的访问列表添加一行），允许流量返回：

access-list access-list-name-on-DMZ-expressway line 1 permit IP any expressway-private

验证 

完成配置后，可以直接使用呼叫尝试对其进行测试，或使用packet-tracer命令进行测试。

packet-tracer命令的示例用法：

packet-tracer input interface-name tcp expressway-private-ip 1234 expressway-public-ip destination-port

将突出显示的参数替换为部署中的适当信息。如果配置成功，packet-tracer命令将返回以下输出： 

input-interface: DMZ-expressway
input-status: up
input-line-status: up
output-interface: DMZ-expressway
output-status: up
output-line-status: up
Action: allow

故障排除

当前没有可用于此配置的特定故障排除信息。

相关信息

• 技术支持和文档 - Cisco Systems
• ASA命令参考指南
• CMS文档
• Expressway文档
• ASA NAT配置和Expressway E双网络接口实施建议
• 在ASA上为VCS Expressway网真设备配置NAT反射
• 通过 Expressway 配置 CMS WebRTC 代理