Cisco IP Phone 流量研究(穿越防火墙处理方法)

Cisco IP Phone 初始化过程抓包分析:

1.初始初期的一些二层流量 (PVSTP EAP CDP)

Cisco IP Phone 流量研究(穿越防火墙处理方法)

2.DHCP流量

Cisco IP Phone 流量研究(穿越防火墙处理方法)

3.TFTP流量:

Cisco IP Phone 流量研究(穿越防火墙处理方法)

4.SCCP (Skinny流量)

Cisco IP Phone 流量研究(穿越防火墙处理方法)

5.通话阶段的RTP:

Cisco IP Phone 流量研究(穿越防火墙处理方法)

穿越ASA防火墙处理(由低到高):

************************普通IP Phone需要放的流量*************************

access-list out extended permit udp any host CallCenter地址 eq bootps (DHCP)

access-list out extended permit udp any host CallCenter地址 eq tftp (TFTP)

access-list out extended permit tcp any host CallCenter地址 eq 2000 (Skinny)

************************软电话测试需要额外放行的流量**********************

access-list out extended permit tcp any host CallCenter地址 eq 6970

access-list out extended permit tcp any host CallCenter地址 eq 8080

注意需要监控的协议:

policy-map global_policy

class inspection_default

inspect skinny

inspect tftp

注意:监控的好处就在于不用放行RTP流量,RTP的端口范围很大,如果要放行会有很大的安全漏洞

如果要放行RTP,可以使用如下ACL:

permit udp any any range 16384 32767

穿越IOS防火墙(CBAC)处理:

ip inspect name gz.voice tftp

ip inspect name gz.voice skinny

ip access-list extended PermitOnlyVoiceTraffic

permit udp object-group Voice.IP host CallCenter地址 eq tftp

permit tcp object-group Voice.IP host CallCenter地址 eq 2000

permit tcp object-group Voice.IP host CallCenter地址 eq 6970

ip access-list extended deny.any.traffic

deny ip any any

interface Virtual-Template100 type tunnel

description For-Voice-Traffic

ip unnumbered Loopback0

ip access-group PermitOnlyVoiceTraffic in

ip access-group deny.any.traffic out

本文转自Yeslab教主 51CTO博客,原文链接:http://blog.51cto.com/xrmjjz/683556

上一篇:现任明教教主CCNP Security Secure第九天 3-4部分共享(GETVPN组播rekey穿越防火墙)
下一篇:ASA防火墙与路由器R直连且直连能ping通