Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
www.juniper.net
Nmero de pieza: 530-017772-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii Convenciones del documento ........................................................................ vii Convenciones de la interfaz de usuario web ........................................... viii Convenciones de interfaz de lnea de comandos .................................... viii Convenciones de nomenclatura y conjuntos de caracteres ....................... ix Convenciones para las ilustraciones .......................................................... x Asistencia y documentacin tcnica................................................................ xi Captulo 1 Puerta de enlace en la capa de aplicacin H.323 1
Vista general .................................................................................................... 1 Ejemplos .......................................................................................................... 2 Ejemplo: Equipo selector en la zona Trust ................................................. 2 Ejemplo: Equipo selector en la zona Untrust.............................................. 3 Ejemplo: Llamadas salientes con NAT ....................................................... 5 Ejemplo: Llamadas entrantes con NAT ......................................................8 Ejemplo: Equipo selector en la zona Untrust con NAT ............................. 10 Captulo 2 Puerta de enlace de la capa de aplicacin del protocolo de inicio de sesin 13 Vista general .................................................................................................. 13 Mtodos de peticin del protocolo SIP ..................................................... 14 Clases de respuestas SIP .......................................................................... 16 Puerta de enlace en la capa de aplicacin SIP.......................................... 17 Sesiones con protocolo de descripcin de sesiones ................................. 18 Creacin de ojos de aguja ........................................................................ 20 Tiempo de espera por inactividad de la sesin ........................................ 21 Proteccin contra ataques SIP .................................................................22 Ejemplo: SIP Protect Deny ................................................................ 22 Ejemplo: Tiempos de espera por inactividad de sealizacin o de medios ..............................................................................................23 Ejemplo: Proteccin contra inundaciones UDP ................................. 23 Ejemplo: Mximo de conexiones SIP ................................................ 24 SIP con traduccin de direcciones de red (NAT) ............................................. 24 Llamadas salientes................................................................................... 25 Llamadas entrantes ................................................................................. 25 Llamadas reenviadas ............................................................................... 26 Terminacin de la llamada ...................................................................... 26 Mensajes de llamada Re-INVITE .............................................................. 26 Temporizadores de sesiones de llamadas ................................................ 26 Cancelacin de la llamada ....................................................................... 27 Bifurcacin ..............................................................................................27 Mensajes SIP ........................................................................................... 27 Encabezados SIP ..................................................................................... 28
CONTENIDO
iii
Cuerpo SIP............................................................................................... 29 Supuesto de NAT con el protocolo SIP ..................................................... 30 Ejemplos ........................................................................................................ 31 Soporte de llamadas SIP entrantes utilizando el registrador SIP............... 32 Ejemplo: Llamada entrante (DIP de interfaz)..................................... 33 Ejemplo: Llamada entrante (conjunto de DIP) ................................... 36 Ejemplo: Llamada entrante con MIP ................................................. 38 Ejemplo: Proxy en la zona privada....................................................40 Ejemplo: Proxy en la zona pblica ....................................................43 Ejemplo: Zona triple, proxy en DMZ ................................................. 45 Ejemplo: Untrust intrazonal .............................................................. 49 Ejemplo: Trust intrazonal .................................................................. 52 Ejemplo: VPN de malla completa para SIP ........................................ 55 Administracin del ancho de banda para servicios de VoIP ..................... 65 Captulo 3 Puerta de enlace en la capa de aplicacin de protocolo de control de la puerta de medios
67
Vista general .................................................................................................. 67 Seguridad de MGCP........................................................................................ 68 Protocolo MGCP ............................................................................................. 68 Entidades en MGCP ................................................................................. 69 Punto final ........................................................................................ 69 Conexin .......................................................................................... 69 Llamada ............................................................................................ 69 Agente de llamada ............................................................................ 70 Comandos ............................................................................................... 70 Cdigos de respuesta............................................................................... 73 Ejemplos ........................................................................................................ 74 Puerta de enlace en las residencias de los abonados: agente de llamada en el ISP............................................................................................ 74 Servicio alojado en ISP ............................................................................ 77 Captulo 4 Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
83
Vista general .................................................................................................. 83 Seguridad del SCCP........................................................................................ 84 Protocolo SCCP ..............................................................................................85 Componentes del SCCP ........................................................................... 85 Cliente del SCCP ............................................................................... 85 Gestor de llamadas............................................................................ 85 Clster ..............................................................................................85 Transacciones con SCCP.......................................................................... 86 Inicializacin del cliente .................................................................... 86 Registro del cliente............................................................................ 86 Establecimiento de la llamada........................................................... 87 Configuracin de medios .................................................................. 87 Mensaje de control del SCCP y flujo del RTP............................................ 88 Mensajes del SCCP .................................................................................. 89 Ejemplos ........................................................................................................ 89 Ejemplo: Gestor de llamadas/servidor TFTP en la zona Trust ............ 90 Ejemplo: Gestor de llamadas/servidor TFTP en la zona Untrust......... 92 Ejemplo: Zona triple, gestor de llamadas/servidor TFTP en DMZ....... 94
iv
CONTENIDO
CONTENIDO
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust ........................................................................................... 98 Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Untrust .....................................................................................102 Ejemplo: VPN de malla completa para el SCCP ...............................104 NDICE .......................................................................................................................IX-I
CONTENIDO
vi
CONTENIDO
vii
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Ayuda > Gua de configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
viii
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
ix
Internet
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Conmutador
Concentrador
xi
xii
Captulo 1
Vista general
La puerta de enlace en la capa de aplicacin (ALG) con protocolo H.323 permite asegurar la comunicacin de voz por IP (Voice-over-IP o VoIP) entre hosts terminales, como telfonos IP y dispositivos de multimedia. En estos sistemas de telefona, los equipos selectores (gatekeeper) gestionan el registro y la admisin de llamadas, as como el estado de las llamadas VoIP. Los equipos selectores pueden residir en dos zonas diferentes o en la misma zona.
Figura 2: Protocolo H.323
Equipo selector Permitir Equipo selector
Zona Trust
Permitir Punto final Punto final
Internet
Zona Untrust
NOTA:
En las ilustraciones de este captulo se utilizan telfonos IP con fines ilustrativos, aunque pueden configurarse otros hosts que utilicen el protocolo VoIP, como dispositivos multimedia de NetMeeting.
Vista general
Ejemplos
Esta seccin contiene los siguientes supuestos de configuraciones: Ejemplo: Equipo selector en la zona Trust en esta pgina Ejemplo: Equipo selector en la zona Untrust en la pgina 3 Ejemplo: Llamadas salientes con NAT en la pgina 5 Ejemplo: Llamadas entrantes con NAT en la pgina 8 Ejemplo: Equipo selector en la zona Untrust con NAT en la pgina 10
Zona Untrust
Internet Telfono IP de punto final 2.2.2.5
WebUI
1. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
2. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), IP_Phone Service: H.323 Action: Permit
Ejemplos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone Destination Address: Address Book Entry: (seleccione), Any Service: H.323 Action: Permit
CLI
1. Direccin
set policy from trust to untrust any IP_Phone h.323 permit set policy from untrust to trust IP_Phone any h.323 permit save
IP_Phones
IP_Phone 2.2.2.5/32
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
Ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Gatekeeper IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.10/32 Zone: Untrust
2. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), IP_Phone Service: H.323 Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone Destination Address: Address Book Entry: (seleccione), Any Service: H.323 Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Gatekeeper Service: H.323 Action: Permit
CLI
1. Direcciones
set address untrust IP_Phone 2.2.2.5/32 set address untrust gatekeeper 2.2.2.10/32
2. Directivas
set policy from trust to untrust set policy from trust to untrust set policy from untrust to trust set policy from untrust to trust save
any IP_Phone h.323 permit any gatekeeper h.323 permit IP_Phone any h.323 permit gatekeeper any h.323 permit
Ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
Ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Gatekeeper IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.25/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
3. Direcciones IP asignadas
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.25 Netmask: 255.255.255.255 Host IP Address: 10.1.1.25 Host Virtual Router Name: trust-vr
4. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), IP_Phone2 Service: H.323 Action: Permit
Ejemplos
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Gatekeeper Destination Address: Address Book Entry: (seleccione), IP_Phone2 Service: H.323 Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone2 Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.5) Service: H.323 Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone2 Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.25) Service: H.323 Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32 set address trust gatekeeper 10.1.1.25/32 set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadas
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5 set interface ethernet3 mip 1.1.1.25 host 10.1.1.25
4. Ruta
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit set policy from trust to untrust gatekeeper IP_Phone2 h.323 permit set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit set policy from untrust to trust IP_Phone2 mip (1.1.1.25) h.323 permit save
Ejemplos
El nombre del conjunto de DIP puede ser DIP(nm_id) para un DIP definido por el usuario o DIP (interface) cuando el conjunto de DIP utilice la misma direccin que una direccin IP de interfaz. Puede utilizar tales entradas de direcciones como direcciones de destino en directivas, junto con servicios H.323, SIP u otros protocolos VoIP (voz sobre IP) para admitir llamadas entrantes. En el ejemplo siguiente se utiliza DIP en una configuracin VoIP H.323. La palabra clave entrante ordena al dispositivo agregar las direcciones DIP y de interfaz a la zona global. WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Ejemplos
2.
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK:
ID: 5 IP Address Range: (seleccione), 1.1.1.12 ~ 1.1.1.150 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione) Incoming NAT: (seleccione)
3. Direcciones
Policy > Policy Elements > Addresses > List > New (for Trust): Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New (for Untrust): Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), Any Service: H.323 Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone2 Destination Address: Address Book Entry: (seleccione), DIP(5) Service: H.323 Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2. DIP con NAT entrante
3.
Direcciones
set address trust IP_Phones1 10.1.1.5/24 set address untrust IP_Phone2 2.2.2.5/32
4. Directivas
set policy from trust to untrust IP_Phones1 any h.323 nat src dip 5 permit set policy from untrust to trust IP_Phone2 dip(5) h.323 permit save
IP_Phone1 10.1.1.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
10
Ejemplos
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Gatekeeper IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.25/32 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: IP_Phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.5/32 Zone: Untrust
3. Direccin IP asignada
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5
4. Ruta
Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), IP_Phone2 Service: H.323 Action: Permit
Ejemplos
11
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone1 Destination Address: Address Book Entry: (seleccione), Gatekeeper Service: H.323 Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), IP_Phone2 Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.5) Service: H.323 Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Gatekeeper Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.5) Service: H.323 Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32 set address untrust gatekeeper 2.2.2.25/32 set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit set policy from trust to untrust IP_Phone1 gatekeeper h.323 permit set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit set policy from untrust to trust gatekeeper mip(1.1.1.5) h.323 permit save
12
Ejemplos
Captulo 2
Vista general
El protocolo de inicio de sesin (SIP) es un protocolo que sigue la norma del equipo de ingeniera para el desarrollo de Internet (IETF) en el que se define cmo iniciar, modificar y finalizar sesiones multimedia a travs de Internet. Estas sesiones pueden ser de conferencias, telefona o transferencias de datos multimedia, con prestaciones como la mensajera inmediata y la movilidad de aplicaciones en entornos de red. Los dispositivos de seguridad Juniper Networks admiten SIP como servicio y pueden monitorizar el trfico SIP, permitindolo o rechazndolo segn una directiva configurada por el usuario. SIP es un servicio predefinido en ScreenOS y utiliza el puerto 5060 como puerto de destino. La funcin principal de SIP es distribuir la informacin de la descripcin de la sesin y, durante sta, negociar y modificar sus parmetros. SIP tambin se utiliza para terminar una sesin multimedia. La informacin de la descripcin de la sesin se incluye en los mensajes INVITE y ACK e indica el tipo de multimedia de la sesin, por ejemplo, voz o vdeo. Aunque el SIP puede utilizar varios protocolos para describir la sesin, la ALG con SIP de Juniper Networks admite el protocolo de descripcin de sesiones (SDP).
Vista general
13
El SDP proporciona la informacin necesaria para que un sistema pueda incorporarse a una sesin multimedia. SDP puede proporcionar datos como direcciones IP, nmeros de puerto, fechas y horas. Observe que la direccin IP y el nmero de puerto que figuran en el encabezado del protocolo SDP (los campos c= y m=, respectivamente) corresponden a la direccin y al puerto donde el cliente desea recibir las secuencias multimedia, y no representan la direccin IP y el nmero de puerto donde se origina la peticin SIP (aunque pueden coincidir). Para obtener ms informacin, consulte Sesiones con protocolo de descripcin de sesiones en la pgina 18. Los mensajes del protocolo SIP consisten en peticiones de un cliente a un servidor y en las correspondientes respuestas a esas peticiones enviadas por el servidor al cliente con el propsito de establecer una sesin (o llamada). Un agente de usuario (UA) es una aplicacin que se ejecuta en los puntos finales de la llamada y consta de dos partes: el cliente del agente de usuario (UAC), que enva peticiones SIP de parte del usuario; y un servidor del agente del usuario (UAS), que escucha las respuestas y notifica al usuario cuando llegan. Como ejemplos de UA pueden citarse los servidores proxy SIP y los telfonos.
14
Vista general
CANCEL: Un usuario puede enviar una peticin CANCEL para cancelar una peticin INVITE pendiente. Una peticin CANCEL no tiene ningn efecto si el servidor SIP que proces la peticin INVITE envi una respuesta final a dicho INVITE antes de recibir la peticin CANCEL. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. REGISTER: Un usuario enva una peticin REGISTER a un servidor de registro registrar SIP para informarle de la ubicacin actual del usuario. El servidor de registro SIP registra toda la informacin que recibe en las peticiones REGISTER y pone esta informacin a disposicin de cualquier servidor SIP que intente localizar a un usuario. En el modo NAT, las peticiones REGISTER se gestionan como sigue: Peticiones REGISTER procedentes de un cliente externo a un registrador interno: Cuando la ALG con SIP recibe la peticin REGISTER entrante traduce la direccin IP, si existe, en el Request-URI. Slo se permiten mensajes REGISTER entrantes a direcciones MIP o VIP. Para la respuesta saliente no se requiere traduccin. Peticiones REGISTER procedentes de un cliente interno a un registro externo: Cuando la ALG con SIP recibe la peticin REGISTER saliente, traduce las direcciones IP de los campos To:, From:, Via:, Call-ID: y Contact:. Para la respuesta entrante se realiza una traduccin inversa. Info: Utilizado para comunicar la informacin de seales durante la sesin a lo largo de la ruta de seales para la llamada. En el modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. Subscribe: Utilizado para solicitar el estado actual y actualizaciones de estado a un nodo remoto. En el modo NAT, la direccin Request-URI se transforma en una direccin IP privada si los mensajes proceden de la red externa y entran en la red interna. Las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn se muestra en la tabla en Tabla 2 en la pgina 28. Notify: Se enva para informar a abonados sobre cambios en el estado al que estn suscritos. En el modo NAT, la direccin IP en el campo de encabezado Peticin-URI: se transforma en una direccin IP privada si el mensaje procede de la red externa y entra en la red interna. La direccin IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. Refer: Se utiliza para enviar al destinatario (identificado por Request-URI) a un tercero mediante la informacin de contacto proporcionada en la peticin. En el modo NAT, la direccin Request-URI se transforma en una direccin IP privada si el mensaje procede de la red externa y entra en la red interna. Las direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, and Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28.
Vista general
15
Por ejemplo, si el usuario A de una red privada establece una referencia para el usuario B, que se encuentra en una red pblica, hacia el usuario C, que tambin pertenece a la red privada, la ALG con SIP asigna una nueva direccin IP y nmero de puerto al usuario C para que el usuario B pueda ponerse en contacto con l. Sin embargo, si el usuario C est registrado con un registrador, su asignacin de puerto se almacena en la tabla NAT de ALG y se reutiliza para realizar la traduccin. Update: Se utiliza para abrir un ojo de aguja para informacin SDP nueva o actualizada. Los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se modifican segn consta en la Tabla 2 en la pgina 28. 1Cdigos de respuesta xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx: Utilizados para indicar el estado de una transaccin. Los campos de encabezado se modifican segn consta en la Tabla 2 en la pgina 28.
Cdigo de respuesta-Motivo
100 Trying (Intentando) 182 Queued (En cola)
Cdigo de respuesta-Motivo
180 Ringing (Llamando) 183 Session progress (Progreso de la sesin) 202 Accepted (Aceptado) 301 Moved permanently (Movido permanentemente) 380 Alternative service (Servicio alternativo)
Cdigo de respuesta-Motivo
181 Call is being forwarded (Reenviando llamada)
xito Redireccin
200 OK 300 Multiple choices (Varias opciones) 305 Use proxy (Utilizar proxy)
16
Vista general
Clase
Cdigo de respuesta-Motivo
Cdigo de respuesta-Motivo
401 Unauthorized (No autorizado) 404 Not found (No encontrado)
Cdigo de respuesta-Motivo
402 Payment required (Requiere pago) 405 Method not allowed (Mtodo no permitido) 408 Request time-out (Peticin caducada) 411 Length required (Requiere longitud)
Error del cliente 400 Bad request (Peticin incorrecta) 403 Forbidden (Prohibido)
406 Not acceptable (No aceptable) 407 Proxy authentication required (Requiere autenticacin del proxy) 409 Conflict (Conflicto) 413 Request entity too large (Tamao de la peticin excesivo) 420 Bad extension (Extensin incorrecta) 482 Loop detected (Detectado bucle) 485 Ambiguous (Ambiguo) 488 Not acceptable here (No aceptable aqu) Error del servidor 500 Server internal error (Error interno del servidor) 502 Service unavailable (Servicio no disponible) Fallo global 501 Not implemented (No implementado) 504 Gateway time-out (Puerta de enlace caducada) 410 Gone (Ausente)
414 Request-URL too large (URL de 415 Unsupported media type (Tipo la peticin demasiado grande) de medio incompatible) 480 Temporarily not available (Temporalmente no disponible) 483 Too many hops (Demasiado saltos) 486 Busy here (Ocupado aqu) 481 Call leg/transaction does not exist (Tramo de la llamada o transaccin inexistente) 484 Address incomplete (Direccin incompleta) 487 Request canceled (Peticin cancelada)
502 Bad gateway (Puerta de enlace incorrecta) 505 SIP version not supported (Versin de SIP incompatible) 604 Does not exist anywhere (No existe en ninguna parte)
600 Busy everywhere (Ocupado en 603 Decline (Declinar) todas partes) 606 Not acceptable (No aceptable)
Vista general
17
NOTA:
Por ojo de aguja se entiende la apertura limitada de un puerto para permitir trfico exclusivo. La ALG con SIP supervisa las transacciones SIP y crea y administra dinmicamente los ojos de aguja basndose en la informacin que extrae de esas transacciones. ALG con SIP de Juniper Networks admite todos los mtodos y respuestas del protocolo SIP (consulte Mtodos de peticin del protocolo SIP en la pgina 14 y Clases de respuestas SIP en la pgina 16). Puede permitir a las transacciones SIP atravesar el cortafuegos de Juniper Networks creando una directiva esttica que permita el servicio SIP. Esta directiva habilita el dispositivo de seguridad para que intercepte trfico SIP y ejecute una de las siguientes acciones: permitir o denegar el trfico o habilitar la ALG con SIP para abrir ojos de aguja por los que entregar la secuencia multimedia. La ALG con SIP slo necesita abrir ojos de aguja para las peticiones y respuestas SIP que contienen informacin multimedia (SDP). En cuanto a los mensajes SIP que no contienen SDP, el dispositivo de seguridad simplemente los deja pasar. La ALG con SIP intercepta los mensajes SIP que contienen SDP y, utilizando un analizador sintctico, extrae la informacin que requiere para crear ojos de aguja. La ALG con SIP examina la porcin SDP del paquete y un analizador sintctico extrae datos tales como direcciones IP y nmeros de puerto, que la ALG con SIP registra en una tabla de ojos de aguja. La ALG con SIP utiliza las direcciones IP y los nmeros de puerto registrados en la tabla de ojos de aguja para abrir nuevos ojos de aguja que permitan a las secuencias multimedia atravesar el dispositivo de seguridad.
NOTA:
Los dispositivos de seguridad Juniper Networks no admiten SDP encriptado. Si un dispositivo de seguridad recibe un mensaje SIP con el SDP encriptado, la ALG con SIP permite que pase a travs del cortafuegos, pero genera un mensaje del registro y le informa al usuario de que no puede procesar el paquete. Si SDP est encriptado, la ALG con SIP no puede extraer la informacin que necesita para abrir ojos de aguja. Consecuentemente, el contenido multimedia descrito en el SDP no puede atravesar el dispositivo de seguridad.
NOTA:
En la descripcin de la sesin SDP, la informacin a nivel del medio comienza con el campo m=.
18
Vista general
De los muchos campos presentes en la descripcin SDP, dos son particularmente tiles para la ALG con SIP porque contienen la informacin de la capa de transporte. Ambos campos son los siguientes: c= para informacin de la conexin Este campo puede aparecer a nivel de sesin o de medio. Se muestra en este formato: c=<tipo de red><tipo de direccin><direccin de conexin> Actualmente, el dispositivo de seguridad admite solamente IN (abreviatura de Internet) como tipo de red, IP4 como tipo de direccin y una direccin IP o nombre de dominio de unidifusin como direccin IP de destino (conexin).
NOTA:
Generalmente, la direccin IP de destino tambin puede ser una direccin IP multidifusin, pero por el momento ScreenOS no admite multidifusin con SIP. Si la direccin IP de destino es una direccin IP unicast, la ALG con SIP crea ojos de aguja usando la direccin IP y los nmeros de puerto especificados en el campo de descripcin de medios m=. m= para anuncio de medio Este campo aparece a nivel de medios y contiene la descripcin del medio. Se muestra en este formato: m=<medio><puerto><transporte><lista formatos> Actualmente, el dispositivo de seguridad admite solamente audio como medio y RTP como protocolo de transporte de la capa de aplicacin. El nmero de puerto indica el destino de la secuencia de medios (y no su origen). La lista de formatos (fmt list) proporciona informacin sobre el protocolo de la capa de aplicacin utilizado por el medio. En esta versin de ScreenOS, el dispositivo de seguridad abre puertos solamente para RTP y RTCP. Cada sesin RTP tiene una sesin de protocolo de control del transporte en tiempo real (RTCP) correspondiente. Por lo tanto, siempre que una secuencia multimedia utilice RTP, la ALG con SIP debe reservar puertos (crear ojos de aguja) tanto para el trfico RTP como para el RTCP. De forma predeterminada, el nmero de puerto para RTCP es el siguiente al del puerto RTP.
NOTA:
Generalmente, la direccin IP de destino tambin puede ser una direccin IP multidifusin, pero por el momento ScreenOS no admite multidifusin con SIP.
Vista general
19
20
Vista general
Cliente A 1.1.1.1
Zona Trust
Dispositivo de seguridad
Proxy SIP
Zona Untrust
Cliente B 2.2.2.2
1.El cliente A enva una peticin INVITE destinada al Cliente B al proxy SIP a travs del puerto 5060 en el dispositivo de seguridad (SDP 1.1.1.1:2000) 5. El proxy SIP transmite la respuesta de "Ringing" (llamando) del Cliente B al Cliente A a travs del puerto 5060 en el dispositivo de seguridad 8. El proxy SIP transmite una respuesta 200 OK del Cliente B al Cliente A a travs del dispositivo de seguridad 9. El Cliente A enva una respuesta ACK destinada al Cliente B al proxy SIP a travs del puerto 5060 en el dispositivo de seguridad
2. Por SDP, la ALG con SIP crea un ojo de aguja para 1.1.1.1: 2000
3. El proxy SIP transmite la peticin INVITE al Cliente B 4. El Cliente B contesta al proxy SIP con una respuesta "Ringing" (llamando)
7. Por SDP, la ALG con SIP crea un ojo de aguja para 2.2.2.2: 3000
6. El Cliente B enva una respuesta 200 OK al proxy SIP en respuesta a la peticin INVITE (SDP: 2.2.2.2: 3000)
10. El proxy SIP transmite la respuesta ACK al Cliente B Ojo de aguja 1 11. El Cliente B enva el trfico de medios (RTP/RTCP) al Cliente A a travs del ojo de aguja 1
12. El Cliente A enva el trfico de medios (RTP/RTCP) al Cliente B a travs del ojo de aguja 2
Ojo de aguja 2
NOTA:
La ALG con SIP no crea ojos de aguja para el trfico RTP y RTCP cuando la direccin IP de destino es 0.0.0.0 (ya que indica que la sesin est retenida). Para poner una sesin en estado retenido (on hold), por ejemplo, durante una comunicacin telefnica, un usuario (Usuario A) enva al otro usuario (Usuario B) un mensaje SIP en el cual la direccin IP de destino es 0.0.0.0. De este modo se indica al Usuario B que no enve ningn medio hasta nuevo aviso. Si an as el Usuario B enva algn medio, el dispositivo de seguridad descarta los paquetes.
Vista general
21
Existen dos tipos de tiempo de espera por inactividad que determinan la duracin de un grupo: Tiempo de espera por inactividad de sealizacin: Este parmetro indica el tiempo mximo (en segundos) que una llamada puede seguir activa sin que se sealice trfico SIP. Cada vez que se genera un mensaje SIP durante una llamada, este tiempo de espera se restablece. El ajuste predeterminado es de 43200 segundos (12 horas). Tiempo de espera por inactividad de medios: Este parmetro indica el tiempo mximo (en segundos) que una llamada puede permanecer activa sin que se produzca trfico de medios (RTP o RTCP) dentro de un grupo. Cada vez que se genera un paquete RTP o RTCP durante una llamada, este tiempo de espera se restablece. El ajuste predeterminado es de 120 segundos. Si cualquiera de estos tiempos de espera caduca, el dispositivo de seguridad elimina todas las sesiones de esa llamada en su tabla, terminando de ese modo la llamada.
22
Vista general
NOTA:
Para establecer tiempos de espera para sealizaciones SIP e inactividad de medios, debe utilizar la CLI. CLI
set alg sip signaling-inactivity-timeout 30000 set alg sip media-inactivity-timeout 90 save
NOTA:
Este ejemplo utiliza un comando general de ScreenOS, y no es necesariamente especfico de SIP. Si desea ms informacin acerca de la proteccin contra inundacin UDP y cmo determinar la configuracin efectiva, consulte Inundaciones UDP en la pgina 4-51. WebUI Security > Screening > Screen: Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust UDP Flood Protection (seleccione)
>Destination IP: Escriba lo siguiente, luego haga clic en la flecha Atrs de su explorador para regresar a la pgina de configuracin de la pantalla:
Destination IP: 1.1.1.5 Threshold: 80000 Add: (seleccione)
CLI
set zone untrust screen udp-flood dst-ip 1.1.1.5 threshold 80000 save
Vista general
23
NOTA:
Este ejemplo utiliza un comando general de ScreenOS, y no es necesariamente especfico de SIP. Para obtener ms informacin sobre lmites de sesiones basados en orgenes y cmo determinar los ajustes ms eficaces, consulte Lmites a la cantidad de sesiones segn sus orgenes y destinos en la pgina 4-30. WebUI Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic en OK:
Source IP Based Session Limit: (seleccione) Threshold: 20 Sessions
CLI
set zone untrust screen limit-session source-ip-based 20 save
24
Cuando se enva un mensaje INVITE a travs del cortafuegos, la ALG con SIP recoge informacin del encabezado del mensaje en una tabla de llamadas, que utiliza para reenviar los mensajes subsiguientes al punto de destino correcto. Cuando llega un mensaje nuevo, por ejemplo un ACK o un 200 OK, la ALG compara los campos From:, To: y Call-ID: con la tabla de llamadas para identificar el contexto de llamada del mensaje. Si llega un nuevo mensaje INVITE que coincida con la llamada existente, ALG lo procesa como REINVITE. Cuando llega un mensaje con informacin del SDP, ALG asigna puertos y crea una asignacin NAT entre ellos y los puertos en el SDP. Dado que el SDP requiere puertos consecutivos para los canales del protocolo en tiempo real (Real Time Protocol o RTP) y del protocolo de control en tiempo real (Real Time Control Protocol o RTCP), ALG proporciona puertos pares-impares consecutivos. Si no encuentra ningn par de puertos, descarta el mensaje SIP.
Llamadas salientes
Cuando una llamada SIP se inicia mediante un mensaje de peticin SIP desde la red interna hacia la red externa, NAT reemplaza las direcciones IP y los nmeros de puerto en el SDP y crea un enlace para asignar las direcciones IP y los nmeros de puerto al cortafuegos de Juniper Networks. los campos de encabezado de SIP Via:, Contact:, Route:, y Record-Route:, si estn presentes, tambin se vinculan a la direccin IP del cortafuegos. ALG almacena estas asignaciones para utilizarlas en retransmisiones y para los mensajes de respuesta SIP. A continuacin, la ALG con SIP abre ojos de aguja en el cortafuegos para permitir el paso de medios a travs del dispositivo de seguridad por los puertos dinmicamente asignados, negociados basndose en la informacin del SDP y de los campos de encabezado Via:, Contact: y Record- -Route: Los ojos de aguja tambin permiten que los paquetes entrantes alcancen los campos Contact:, Via: y Record-Route:, direcciones IP y puertos. Al procesar el trfico de retorno, la ALG vuelve a insertar los campos SIP originales Contact:, Via:, Route: y Record-Route: en los paquetes.
Llamadas entrantes
Las llamadas entrantes se inician desde la red pblica hacia direcciones IP pblicas asignadas (MIP) o hacia direcciones IP de interfaces del dispositivo de seguridad. Las MIP son direcciones IP configuradas estticamente que apuntan a hosts internos; las direcciones IP de interfaz son registradas dinmicamente por la ALG mientras supervisa los mensajes REGISTER enviados por hosts internos al registrador SIP. (Para obtener ms informacin, consulte Ejemplos en la pgina 31). Cuando el dispositivo de seguridad recibe un paquete SIP entrante, genera una sesin y reenva la carga de datos del paquete a la ALG con SIP. El ALG examina el mensaje de peticin SIP (inicialmente un INVITE) y, basndose en la informacin del SDP, abre las puertas para los medios salientes. Cuando llega un mensaje de respuesta OK 200, la ALG con SIP aplica NAT a las direcciones y puertos IP y abre ojos de aguja en la direccin de salida. (Las puertas abiertas tienen un plazo de vida corto y caducan si no se recibe rpidamente un mensaje de respuesta 200 OK).
25
Cuando llega una respuesta OK 200, el proxy SIP examina la informacin SDP y lee las direcciones IP y nmeros de puerto de cada sesin de medios. La ALG con SIP del dispositivo de seguridad aplica NAT a las direcciones y nmeros de puerto, abre ojos de aguja para el trfico saliente y restablece el tiempo de espera para las puertas en la direccin de entrada. Cuando llega la seal ACK de 200 OK, tambin atraviesa la ALG con SIP. Si el mensaje contiene informacin del SDP, la ALG con SIP garantiza que las direcciones IP y los nmeros de puerto no sean cambiados con respecto al anterior INVITE; si lo son, la ALG elimina los ojos de aguja antiguos y crea otros nuevos para permitir el paso de los medios. La ALG supervisa tambin los campos de SIP Via:, Contact:, y Record-Route: y abre nuevos ojos de aguja si detecta que estos campos han cambiado.
Llamadas reenviadas
Una llamada es reenviada cuando, por ejemplo, el usuario A externo a la red llama al usuario B dentro de la red y ste reenva la llamada al usuario C fuera de la red. La ALG con SIP procesa la seal INVITE del usuario A como llamada entrante normal. Pero cuando la ALG examina la llamada reenviada desde B a C, que se encuentra fuera de la red, y detecta que B y C se pueden alcanzar a travs de la misma interfaz, no abre ojos de aguja en el cortafuegos, ya que los medios podrn fluir directamente entre el usuario A y el usuario C.
Terminacin de la llamada
El mensaje BYE se utiliza para terminar una llamada. Cuando el dispositivo de seguridad recibe un mensaje BYE, traduce los campos del encabezado igual que hace con cualquier otro mensaje, pero debido a que los mensajes BYE debe ser confirmados por el receptor con 200 OK, la ALG retrasa el desmantelamiento de la llamada durante cinco segundos para dar tiempo a que se transmita el 200 OK.
26
Como medida preventiva, la ALG con SIP utiliza valores de tiempo de espera estrictos para definir el tiempo mximo que una llamada puede existir. Esto garantiza que el dispositivo de seguridad est protegido en los siguientes casos: El sistema final se viene abajo durante una llamada y el mensaje BYE no se recibe nunca. Usuarios malvolos nunca envan un BYE para intentar atacar una ALG con SIP. Implementaciones deficientes del proxy SIP que no pueden procesar Record-Route y nunca envan un mensaje BYE. Fallos de red impiden la recepcin de un mensaje BYE.
Cancelacin de la llamada
Cualquier interlocutor puede cancelar una llamada enviando un mensaje CANCEL. En el momento de recibir un mensaje CANCEL, la ALG con SIP cierra los ojos de aguja (que haya abiertos) en todo el cortafuegos y libera los enlaces de direcciones. Antes de liberar los recursos, la ALG retrasa el envejecimiento del canal de control durante unos cinco segundos para dar tiempo a que pase la seal 200 OK final. La llamada se termina cuando expira el tiempo de espera de cinco segundos, tanto si llega una respuesta 487 como si llega una 200.
Bifurcacin
La bifurcacin permite a un proxy SIP enviar un mismo mensaje INVITE a mltiples destinos simultneamente. Cuando llegan los diferentes mensajes de respuesta 200 OK para esa nica llamada, la ALG con SIP analiza pero actualiza la informacin de la llamada con el mensaje primer mensaje 200 OK que recibe.
Mensajes SIP
El formato de un mensaje SIP consta de una seccin de encabezado SIP y del cuerpo SIP. En mensajes de peticin, la primera lnea de la seccin de encabezado es la lnea de peticin, que incluye el tipo de mtodo, Request-URI y la versin del protocolo. En mensajes de respuesta, la primera lnea es la lnea de estado, que contiene un cdigo de estado. Los encabezados SIP contienen las direcciones IP y nmeros de puerto utilizados para la sealizacin. El cuerpo SIP, separado de la seccin de encabezado por una lnea en blanco, est reservado para la informacin de descripcin de la sesin, que es opcional. Actualmente, los dispositivos de seguridad Juniper Networks slo admiten el protocolo SDP. El cuerpo SIP contiene las direcciones IP y los nmeros de puerto utilizados para transportar los medios. En el modo NAT, el dispositivo de seguridad traduce la informacin de los encabezados SIP para ocultar la informacin a la red exterior. NAT se aplica a la informacin del cuerpo SIP para asignar recursos, es decir, nmeros de puerto en los que se recibirn los medios.
27
Encabezados SIP
En el siguiente ejemplo de mensaje de peticin SIP, NAT reemplaza las direcciones IP en los campos del encabezado, mostrados en negrita, para ocultarlos a la red exterior.
INVITE bob@10.150.20.5 SIP/2.0 Via: SIP/2.0/UDP 10.150.20.3:5434 From: alice@10.150.20.3 To: bob@10.150.20.5 Call-ID: a12abcde@10.150.20.3 Contact: alice@10.150.20.3:5434 Route: <sip:netscreen@10.150.20.3:5060> Record-Route: <sip:netscreen@10.150.20.3:5060>
El mtodo aplicado para traducir la direccin IP depende del tipo y de la direccin del mensaje, que puede ser uno de los siguientes: Peticin entrante Respuesta saliente Peticin saliente Respuesta entrante La Tabla 2 muestra cmo se aplica NAT en cada uno de estos casos. Observe que, para varios de los campos de encabezado, la ALG necesita saber algo ms que la mera procedencia interior o exterior de los mensajes. Tambin necesita saber qu cliente inici la llamada y si el mensaje es una peticin o una respuesta.
Tabla 2: Mensaje de solicitud con NAT Tipo de mensaje
Peticin entrante (de pblica a privada)
Campos
To: From: Call-ID: Via: Request-URI: Contact: Record-Route: Route:
Accin
Reemplazar direccin ALG por direccin local Ninguna Ninguna Ninguna Reemplazar direccin ALG por direccin local Ninguna Ninguna Ninguna Reemplazar direccin ALG por direccin local Ninguna Ninguna Ninguna N/A Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Ninguna
28
Tipo de mensaje
Peticin saliente (de privada a pblica)
Campos
To: From: Call-ID: Via: Request-URI: Contact: Record-Route: Route:
Accin
Ninguna Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Ninguna Reemplazar direccin local por direccin ALG Reemplazar direccin local por direccin ALG Reemplazar direccin ALG por direccin local Ninguna Reemplazar direccin ALG por direccin local Reemplazar direccin ALG por direccin local Reemplazar direccin ALG por direccin local N/A Ninguna Reemplazar direccin ALG por direccin local Reemplazar direccin ALG por direccin local
Cuerpo SIP
La informacin SDP en el cuerpo SIP contiene direcciones IP que ALG utiliza para crear canales para la secuencia de medios. La traduccin de la seccin SDP tambin asigna recursos, es decir, nmeros de puerto para enviar y recibir los medios. El siguiente extracto de una seccin SDP muestra los campos que se traducen para la asignacin de recursos.
o=user 2344234 55234434 IN IP4 10.150.20.3 c=IN IP4 10.150.20.3 m=audio 43249 RTP/AVP 0
Los mensajes SIP pueden contener ms de una secuencia de medios. El concepto es similar a adjuntar varios archivos a un mensaje de correo electrnico. Por ejemplo, un mensaje INVITE enviado desde un cliente SIP a un servidor SIP puede tener los siguientes campos:
c=IN IP4 10.123.33.4 m=audio 33445 RTP/AVP 0 c=IN IP4 10.123.33.4 m=audio 33447 RTP/AVP 0 c=IN IP4 10.123.33.4 m=audio 33449 RTP/AVP 0
Los dispositivos de seguridad Juniper Networks admiten hasta seis canales SDP negociados para cada direccin, hasta un total de 12 canales por llamada. Para obtener ms informacin, consulte Sesiones con protocolo de descripcin de sesiones en la pgina 18.
29
5.5.5.2
6.6.6.1 Red externa INVITE Sip: ph2@ 6.6.6.6 SIP/2.0 Via: SIP/2.0/UDP 6.6.6.1:5060 Call-ID: a1234@6.6.6.1 From: ph1@6.6.6.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 V=0 o=ph1 3123 1234 IP IP4 6.6.6.1 o=IN IPv4 6.6.6.1 m=audio 52002 RTP/AVP 0
INVITE Sip: ph2@ 6.6.6.6 SIP/2.0 Via: SIP/2.0/UDP 5.5.5.1:5060 Call-ID: a1234@5.5.5.1 From: ph1@5.5.5.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 V=0 o=ph1 3123 1234 IP IP4 5.5.5.1 o=IN IPv4 5.5.5.1 m=audio 62002 RTP/AVP 0
Ojo de aguja de los medios 5.5.5.1 45002/45003 Cualquier IP 6.6.6.1 52002/52003 Cualquier puerto Ojo de aguja Via/Contact 5.5.5.1 5060 6.6.6.1 1234 Cualquier IP Cualquier puerto
30
SIP ph1 5.5.5.1 Red interna SIP/2.0 200 OK Via: SIP/2.0/UDP 5.5.5.1:5060 Call-ID: a1234@5.5.5.1 From: ph1@5.5.5.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 V=0 o=ph2 5454 565642 IP IP4 6.6.6.2 c=IN IP4 6.6.6.2 m=audio 62002 RTP/AVP 0
5.5.5.2
6.6.6.1 Red externa SIP/2.0 200 OK Via: SIP/2.0/UDP 6.6.6.1:1234 Call-ID: a1234@6.6.6.1 From: ph1@6.6.6.1 To: ph2@6.6.6.2 CSeq 1 INVITE Content-type: application/sdp Content-Length: 98 Contact SIP: 6.6.6.6:5060 V=0 o=ph2 5454 565642 IP IP4 6.6.6.2 c=IN IP4 6.6.6.2 m=audio 62002 RTP/AVP 0
Ojo de aguja de los medios Cualquier IP 6.6.6.2 Cualquier 62002/62003 puerto Ojo de aguja Via/Contact Cualquier IP Cualquier puerto 6.6.6.2 5060
Ejemplos
Esta seccin contiene los siguientes ejemplos de supuestos: Soporte de llamadas SIP entrantes utilizando el registrador SIP en la pgina 32 Ejemplo: Llamada entrante con MIP en la pgina 38 Ejemplo: Proxy en la zona privada en la pgina 40 Ejemplo: Proxy en la zona pblica en la pgina 43 Ejemplo: Zona triple, proxy en DMZ en la pgina 45 Ejemplo: Untrust intrazonal en la pgina 49 Ejemplo: Trust intrazonal en la pgina 52 Ejemplo: VPN de malla completa para SIP en la pgina 55
31
Ejemplos
NOTA:
El soporte de llamadas entrantes usando DIP de interfaz o un rango DIP slo se admite para los servicios SIP y H.323. Para llamadas entrantes, actualmente los dispositivos de seguridad slo admiten UDP y TCP. Hoy por hoy tampoco se admite la resolucin de nombres de dominio, por lo que las URI deben contener direcciones IP, segn se muestra en la Figura 11.
32
Ejemplos
5.5.5.1 : 1234
6.6.6.1 : 5555
3600
Dispositivo de seguridad SIP ph1 5.5.5.1 6.6.6.1 Red externa Agregar entrada a la tabla de DIP entrante
Registrador 6.6.6.2
REGISTER sip:6.6.6.2 SIP/2.0 From: ph1@6.6.6.1 To: ph1@6.6.6.1 CSeq 1 INVITE Contact <sip: 6.6.6.1:5555> Expires: 7200
200 OK From: ph1@5.5.5.1 To: ph1@5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234> Expires: 3600
200 OK From: ph1@6.6.6.1 To: ph1@6.6.6.1 CSeq 1 INVITE Contact <sip: 6.6.6.1:5555> Expires: 3600
Ejemplos
33
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
34
Ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
3. DIP con NAT entrante
Network > Interface > Edit (para ethernet3) > DIP > New: Seleccione la opcin NAT entrante y haga clic en OK.
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), phone1 Destination Address Address Book Entry: (seleccione), any Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), Any Destination Address Address Book Entry: (seleccione), DIP(ethernet3) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address untrust proxy 1.1.1.3/24
3. DIP con NAT entrante
Ejemplos
35
4.
Directivas
set policy from trust to untrust phone1 any sip nat src permit set policy from untrust to trust any dip(ethernet3) sip permit save
phone1 10.1.1.3
Conjunto de DIP en ethernet3 1.1.1.20 ->1.1.1.40 phone2 1.1.1.4 Servidor proxy 1.1.1.3
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
36
Ejemplos
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
3. Conjunto de DIP con NAT entrante
Network > Interface > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK:
ID: 5 IP Address Range: (seleccione), 1.1.1.20 ~ 1.1.1.40 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione) Incoming NAT: (seleccione)
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), phone1 Destination Address Address Book Entry: (seleccione), Any Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): 5 (1.1.1.20-1.1.1.40)/port-xlate
Ejemplos
37
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), Any Destination Address Address Book Entry: (seleccione), DIP(5) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address untrust proxy 1.1.1.3/24
3. Conjunto de DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.20 1.1.1.40 incoming set dip sticky
4. Directivas
set policy from trust to untrust phone1 any sip nat src dip 5 permit set policy from untrust to trust any dip(5) sip permit save
38
Ejemplos
Trust
Dispositivo de seguridad LAN
Untrust
Internet
Servidor proxy
phone1 10.1.1.3
phone2 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Ejemplos
39
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
3. MIP
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.3 Netmask: 255.255.255.255 Host IP Address: 10.1.1.3
4. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), any Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.3) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address untrust proxy 1.1.1.3/24
3. MIP
set policy from untrust to trust any mip(1.1.1.3) sip permit save
40
Ejemplos
phone1 10.1.1.3
phone2 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.4/24 Zone: Trust 41
Ejemplos
3.
MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.2 Netmask: 255.255.255.255 Host IP Address: 10.1.1.4 Host Virtual Router Name: trust-vr
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), any Destination Address: Address Book Entry: (seleccione), phone2 Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone2 Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.2) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address trust proxy 10.1.1.4/24
3. MIP
set policy from trust to untrust any phone2 sip nat src permit set policy from untrust to trust phone2 mip(1.1.1.2) sip permit save
42
Ejemplos
Trust
LAN
Untrust
Internet
phone1 10.1.1.3
phone2 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Ejemplos
43
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
3. DIP de interfaz
Network > Interface > Edit (para ethernet3) > DIP: Seleccione la casilla de verificacin Incoming NAT.
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) phone1 Destination Address: Address Book Entry: (seleccione) Any Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), DIP(ethernet3) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
44
Ejemplos
2.
Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address untrust proxy 1.1.1.3/24
3. DIP de interfaz
set policy from trust to untrust phone1 any sip nat src permit set policy from untrust to trust any dip(ethernet3) sip permit save
ethernet3 1.1.1.1/24
ethernet2 2.2.2.2/24
DMZ
Dispositivo de seguridad ethernet1 10.1.1.1/24 Dispositivo virtual MIP en ethernet2 2.2.2.3-> 10.1.1.3 LAN phone1 10.1.1.3 Trust
Ejemplos
45
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.4/24 Zone: DMZ
3. MIP
Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 2.2.2.3 Netmask: 255.255.255.255 Host IP Address: 10.1.1.3 46
Ejemplos
4.
Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone1 Destination Address: Address Book Entry: (seleccione), proxy Service: SIP Action: Permit
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), proxy Destination Address: Address Book Entry: (seleccione), phone2 Service: SIP Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone2 Destination Address: Address Book Entry: (seleccione), phone1 Service: SIP Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone2 Destination Address: Address Book Entry: (seleccione), proxy Service: SIP Action: Permit
Policies > (From: DMZ, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), proxy Destination Address: Address Book Entry: (seleccione), MIP(2.2.2.3) Service: SIP Action: Permit
Ejemplos
47
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), phone1 Destination Address: Address Book Entry: (seleccione), phone2 Service: SIP Action: Permit
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route set interface ethernet2 zone dmz set interface ethernet2 ip 2.2.2.2/24 set interface ethernet2 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address untrust phone2 1.1.1.4/24 set address dmz proxy 2.2.2.4
3. MIP
set policy from trust to dmz phone1 proxy sip nat src permit set policy from dmz to untrust proxy phone2 sip permit set policy from untrust to trust phone2 phone1 sip permit set policy from untrust to dmz phone2 proxy sip permit set policy from dmz to trust proxy mip(2.2.2.3) sip permit set policy from trust to untrust phone1 phone2 sip nat src permit save
48
Ejemplos
Internet
ethernet4 1.1.1.1./24
ethernet3 1.1.2.1/24
Loopback 1 1.1.4.1/24
Ejemplos
49
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: loopback.1 Zone: Untrust (trust-vr) IP Address/Netmask: 1.1.4.1/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/32 Zone: Untrust
50
Ejemplos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.2.4/32 Zone: Untrust
3. Grupo de bucle invertido
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
As member of loopback group: (select), loopback.1 Zone Name: Untrust
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en OK:
As member of loopback group: (select), loopback.1 Zone Name: Untrust
4. MIP
Network > Interfaces > Edit (para loopback.1) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.4.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
5. Bloqueo
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK:
Block Intra-Zone Traffic: (anule la seleccin)
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), proxy Destination Address: Address Book Entry: (seleccione), Any Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
Ejemplos
51
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), MIP(1.1.4.5) Service: SIP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.2.1/24 set interface ethernet3 route set interface ethernet4 zone untrust set interface ethernet4 ip 1.1.1.1/24 set interface ethernet4 route set interface loopback.1 zone untrust set interface loopback.1 ip 1.1.4.1/24 set interface loopback.1 route
2. Direcciones
set address trust proxy 10.1.1.5/32 set address untrust phone1 1.1.1.4/32 set address untrust phone2 1.1.2.4/32
3. Grupo de bucle invertido
set interface ethernet3 loopback-group loopback.1 set interface ethernet4 loopback-group loopback.1
4. MIP
set policy from trust to untrust proxy any sip nat src permit set policy from untrust to trust any mip(1.1.4.5) sip permit save
52
Ejemplos
Trust
Dispositivo de seguridad
Untrust
Internet
LAN
phone2 10.1.2.2
ethernet2 10.1.2.1/24
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.3.3.3/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Ejemplos
53
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.2.2/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: proxy IP Address/Domain Name: IP/Netmask: (seleccione), 3.3.3.4/24 Zone: Untrust
3. DIP con NAT entrante
Network > Interface > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK:
Incoming NAT: (seleccione)
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), proxy Service: SIP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione) proxy Destination Address Address Book Entry: (seleccione) Any Service: SIP Action: Permit
> Advanced: Introduzca los siguientes datos, luego haga clic en Return para establecer las opciones avanzadas:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
54
Ejemplos
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.1.2.1/24 set interface ethernet2 nat set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24 set address trust phone2 10.1.2.2/24 set address untrust proxy 3.3.3.4/24
3. DIP de interfaz
set policy from trust to untrust any proxy sip nat src permit set policy from untrust to trust proxy dip(ethernet3) sip permit save
NOTA:
Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles por lo menos tres interfaces configurables independientemente.
Ejemplos
55
Trust eth2/8-10.1.3.1
tnel 1 6.6.6.6 Untrust eth2/1: 1.1.1.1 Enrutador de puerta de enlace a central: 1.1.1.1 A sucursal: 3.3.3.3 Untrust eth3 3.3.3.3 interfaz tunnel.1 sin numerar
Central
tnel 2 7.7.7.7 Untrust eth2/2 1.1.2.1 Enrutador de puerta de enlace a central: 1.1.2.1 A sucursal: 2.2.2.2 Untrust eth3 2.2.2.2
VPN 1
VPN 2
Sucursal 1
VPN 3
Sucursal-2
Untrust eth4-4.4.4.4
Untrust eth4-5.5.5.5
Enrutador de puerta de enlace A sucursal-1: 4.4.4.4 A sucursal-2: 5.5.5.5 phone1 10.1.1.3 interfaz tunnel.3 sin numerar
Network > Interfaces > Edit (para ethernet2/1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.2.1/24
56
Ejemplos
Network > Interfaces > Edit (para ethernet2/8): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.3.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 1 Zone (VR): Untrust IP Address/Netmask: 6.6.6.6/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 2 Zone (VR): Untrust IP Address/Netmask: 7.7.7.7/24
2. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Proxy IPv4/Netmask: 10.1.3.3/32 Zone: Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-branch-1 Security Level: Standard IPvc4/v6 Address/Hostname: 3.3.3.3 Preshare Key: netscreen Outgoing Interface: ethernet2/1
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-branch-1
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to: (seleccione) Tunnel Interface, tunnel.1
Ejemplos
57
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-branch-2 Security Level: Standard IPvc4/v6 Address/Hostname: 2.2.2.2 Preshare Key: netscreen Outgoing Interface: ethernet2/2
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-branch-2
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to: (seleccione) Tunnel Interface, tunnel.2
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24 interface (seleccione): tunnel.1
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0/24 interface (seleccione): tunnel.2
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Proxy Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SIP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: Proxy Service: SIP Action: Permit
58
Ejemplos
set set set set set set set set set set set
2.
interface ethernet2/1 zone untrust interface ethernet2/1 ip 1.1.1.1/24 interface ethernet2/2 zone untrust interface ethernet2/2 ip 1.1.2.1/24 interface ethernet2/8 zone trust interface ethernet3/8 ip 10.1.3.1/24 interface ethernet2/8 route interface tunnel.1 zone untrust interface tunnel.1 ip 6.6.6.6/24 interface tunnel.2 zone untrust interface tunnel.2 ip 7.7.7.7/24
Direccin
set ike gateway to-branch-1 address 3.3.3.3 main outgoing-interface ethernet2/1 preshare netscreen sec-level standard set ike gateway to-branch-2 address 2.2.2.2 main outgoing-interface ethernet2/2 preshare netscreen sec-level standard set vpn vpn_branch-1 gateway to-branch-1 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-1 id 1 bind interface tunnel.1 set vpn vpn-branch-2 gateway to-branch-2 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-2 id 2 bind interface tunnel.2
4. Enrutamiento
set route 10.1.2.0/24 interface tunnel.2 set route 10.1.1.0/24 interface tunnel.1
5. Directivas
set policy from untrust to trust any proxy sip permit set policy from trust to untrust proxy any sip permit save
WebUI (Sucursal 1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.3.3.3/24
Ejemplos
59
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 2 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet3
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 3 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet4
2. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone1 IPv4/Netmask: 10.1.1.3/32 Zone: V1-Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-central Security Level: Standard IPvc4/v6 Address/Hostname: 1.1.2.1 Preshare Key: netscreen Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-central
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.1
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-ns50 Security Level: Standard IPvc4/v6 Address/Hostname: 5.5.5.5 Preshare Key: netscreen Outgoing Interface: ethernet4
60
Ejemplos
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-ns50
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.3
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0/24 interface (seleccione): tunnel.3
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.3.0/24 interface (seleccione): tunnel.1
5. Directivas
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: phone2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SIP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: phone2 Service: SIP Action: Permit
CLI (Sucursal 1)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet4 zone untrust set interface ethernet4 ip 4.4.4.4/24 set interface tunnel.2 zone untrust set interface tunnel.2 ip unnumbered interface ethernet3 set interface tunnel.3 zone untrust set interface tunnel.3 ip unnumbered interface ethernet4
2. Direccin
Ejemplos
61
3.
VPN
set ike gateway to-central address 1.1.1.1 main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 5.5.5.5 main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral bind interface tunnel.1 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 bind interface tunnel.3
4. Rutas
set route 10.1.2.0/24 interface tunnel.3 set route 10.1.3.0/24 interface tunnel.1
5. Directivas
set policy from trust to untrust phone1 any sip permit set policy from untrust to trust any phone1 sip permit save
WebUI (Sucursal 2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 2 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet3
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 3 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet4
62
Ejemplos
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: phone2 IPv4/Netmask: 10.1.2.3/32 Zone: Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-central Security Level: Standard IPvc4/v6 Address/Hostname: 1.1.2.1 Preshare Key: netscreen Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-central
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.2
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-ns50 Security Level: Standard IPvc4/v6 Address/Hostname: 4.4.4.4 Preshare Key: netscreen Outgoing Interface: ethernet4
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-ns50
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.3
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.3.0/24 interface (seleccione): tunnel.2
Ejemplos
63
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24 interface (seleccione): tunnel.3
5. Directivas
Policies > (From: Trust, To: Untrust) Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: phone2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SIP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: phone2 Service: SIP Action: Permit
CLI (Sucursal 2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface ethernet4 zone untrust set interface ethernet4 ip 4.4.4.4/24 set interface tunnel.2 zone untrust set interface tunnel.2 ip unnumbered interface ethernet3 set interface tunnel.3 zone untrust set interface tunnel.3 ip unnumbered interface ethernet4
2. Direccin
set ike gateway to-central address 1.1.2.1 Main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 4.4.4.4Main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral id 4 bind interface tunnel.2 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
set route 10.1.3.0/24 interface tunnel.2 set route 10.1.1.0/24 interface tunnel.3
5. Directivas
set policy from trust to untrust phone2 any sip permit set policy from untrust to trust any phone2 sip permit save
64
Ejemplos
Ejemplos
65
El lado izquierdo de la Figura 21 muestra la utilizacin del ancho de banda con esos ajustes y una utilizacin elevada de trfico de oficina y un nivel de utilizacin bajo de VoIP atravesando la interfaz. Si el trfico VoIP necesitase repentinamente ms ancho de banda, no podra conseguirla a menos que su prioridad fuese superior a la de los servicios del trfico de la oficina. El lado derecho de la Figura 21 muestra el grado de utilizacin del ancho de banda en las mismas circunstancias que cuando el trfico de VoIP tiene prioridad superior y el trfico de la oficina tiene una prioridad inferior. Para obtener ms informacin sobre niveles de configuracin de ancho de banda y de la prioridad, consulte Asignacin de trfico en la pgina 2-195.
Figura 21: Ajustes de nivel de prioridad
Ajustes de ancho de banda garantizado y mximo Aadiendo los ajustes de nivel de prioridad
VoIP
Trfico de VoIP
mbw 1024 kbps
Trfico de la oficina
Trfico de la oficina
Trfico de la oficina
66
Ejemplos
Captulo 3
Vista general
El protocolo de control de la puerta de medios (MGCP) se admite en los dispositivos de seguridad en modo de ruta, modo transparente y modo de traduccin de direcciones de red (NAT). MGCP es un protocolo de la capa de aplicacin basado en texto que se utiliza para establecer y controlar llamadas. MGCP se basa en una arquitectura de control de llamadas maestro-esclavo en el que el controlador de la puerta de medios, por medio del agente de llamada, mantiene inteligencia de control de las llamadas, mientras que las puertas de medios siguen las instrucciones del agente de llamadas. La ALG con MGCP realiza los siguiente procedimientos: Realiza la inspeccin de la carga de la trama de sealizacin de VoIP. La carga de la trama del paquete de sealizacin VoIP entrante se inspecciona completamente segn las normas RFC relacionadas y las normas de cada fabricante. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea. Realiza la inspeccin de la carga de la trama de sealizacin de MGCP. La carga del paquete de sealizacin de MGCP entrante se inspecciona completamente segn la norma RFC 3435. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea.
Vista general
67
Ofrece procesamiento del estado. Invoca las mquinas de estado basadas en el protocolo VoIP para procesar la informacin analizada. Cualquier paquete que est fuera de estado o fuera de transaccin se identifica y se maneja apropiadamente. Ejecuta la traduccin de direcciones de red (NAT). Cualquier informacin de puerto y direccin IP incrustada en la carga de trama se convierte apropiadamente con base en la informacin de enrutamiento existente y la topologa de la red y se reemplaza, si es necesario, con el nmero de puerto y direccin IP traducida. Maneja ojos de aguja para trfico de VoIP. Para mantener la red VoIP segura, ALG identifica la informacin del puerto y direccin IP utilizada para medios o sealizacin y crea de forma dinmica cualquier ojo de aguja que sea necesario y lo cierra durante el establecimiento de la llamada.
Seguridad de MGCP
MGCP ALG incluye las siguientes caractersticas de seguridad: Proteccin contra ataques de rechazo de servicio (DoS).ALG realiza una inspeccin de estado a nivel del paquete de UDP, a nivel de transaccin y a nivel de la llamada. Se procesan los paquetes de MGCP que coinciden con el formato de mensaje RFC 3435, el estado de la transaccin y el estado de la llamada. Se descartan todos los dems. Cumplimiento de las directivas de cortafuegos entre el controlador de la puerta y la puerta (directivas de sealizacin). Cumplimiento de las directivas de cortafuegos entre las puertas de enlace (directivas de medios). Control de inundaciones de mensajes MGCP por puerta. Si hay una puerta que no funciona bien o est pirateada, no se interrumpir la red completa de VoIP. Al combinarla con el control de inundacin por cada puerta de enlace, el dao se reduce a la puerta de enlace afectada. Control de inundaciones de conexin MGCP por puerta. Cambio y conmutacin por error sin fisuras si las llamadas, incluidas las llamadas en curso, se conmutan al cortafuegos que est en espera por si se producen fallos del sistema.
Protocolo MGCP
El MGCP es un protocolo de la capa de aplicacin basado en texto que se utiliza para establecer y controlar llamadas. El protocolo se basa en una arquitectura de control de llamadas maestro/esclavo: El controlador de la puerta de medios (agente de llamada) mantiene la inteligencia de control de la llamada y las puertas de medios siguen las instrucciones del agente de llamada.
68
Seguridad de MGCP
Entidades en MGCP
Hay cuatro entidades bsicas en MGCP: Punto final en la pgina 69 Conexin en la pgina 69 Llamada en la pgina 69 Agente de llamada en la pgina 70
Punto final
Una puerta de medios (MG) es una coleccin de puntos finales. Un punto final puede ser una lnea analgica, una troncal o cualquier otro punto de acceso. Un punto final se denomina de la siguiente manera:
nombre-punto-final-local@nombre-dominio
Conexin
Las conexiones se crean en cada punto final por medio de una MG durante el establecimiento de llamadas. Una llamada VoIP tpica implica dos conexiones: Una llamada compleja, por ejemplo una llamada de terceros o llamada de conferencia, podra requerir ms conexiones. El controlador de la puerta de medios (MGC) puede instruir a las puertas de medios para crear, modificar, eliminar y auditar una conexin. La identificacin de la conexin representa a una conexin. La MG crea dicha conexin cuando se le solicita que lo haga. La ID de conexin se presenta como una cadena hexadecimal, con una longitud mxima de 32 caracteres.
Llamada
La identificacin de la llamada representa la llamada. MGC crea dicha identificacin al establecer una nueva llamada. La identificacin de la llamada es una cadena hexadecimal con una longitud mxima de 32 caracteres. La identificacin de la llamada es nica dentro de MGC. Dos o ms conexiones pueden tener la misma identificacin de llamada, siempre que pertenezcan a la misma llamada.
Protocolo MGCP
69
Agente de llamada
El protocolo MGCP admite uno o ms agentes de llamada (tambin llamados controladores de la puerta de medios) para mejorar la fiabilidad en la red VoIP. A continuacin se incluyen dos ejemplos de nombres de agentes de llamada:
AgenteLlamada@voipCA.mi_red.com voipCA.mi_red.com
Diversas direcciones de red se pueden asociar bajo un nombre de dominio en el sistema de nombres de dominios (DNS). Al dar seguimiento al tiempo de vida (TTL) de lo datos de consulta/respuesta del DNS e implementar la retransmisin a travs de direcciones de red alternas, se logra la conmutacin y cambio en caso de fallo en el MGCP. El concepto de entidad notificada es esencial en MGCP. La entidad notificada para un punto final es el agente de llamada que actualmente controla ese punto final. Un punto final debe enviar cualquier comando MGCP a su entidad notificada. Sin embargo, distintos agentes de llamadas podran enviar comandos MGCP a este punto final. La entidad notificada se establece en un valor provisional en el arranque, pero podra cambiar si un agente de llamada utiliza un parmetro de entidad notificada incluido en el mensaje MGCP. Si la entidad notificada para un punto final est vaca o no se ha establecido explcitamente, su valor se predetermina en la direccin de origen del ltimo comando MGCP no auditado satisfactoriamente que se recibi para ese puno final.
Comandos
El protocolo MGCP define nueve comandos para controlar los puntos finales y las conexiones. Todos los comandos estn compuestos de un encabezado del comando, seguido opcionalmente por la informacin del protocolo de descripcin de sesin (SDP). Un encabezado de comando tiene los siguientes elementos: Una lnea de comando: Verbo de comando + identificacin de la transaccin + identificacin del punto final + versin de MGCP. Lneas de cero o ms parmetros, compuestas de un nombre de parmetro, seguido de un valor del parmetro. La Tabla 3 enumera los comandos MGCP admitidos, con una descripcin de cada uno, la sintaxis del comando y ejemplos. Consulte RFC 2234 para obtener una explicacin completa de la sintaxis del comando.
70
Protocolo MGCP
Descripcin
Ejemplos
EPCF 2012 wxx/T2@mi_red.com MGCP 1.0 B: e:mu
EndpointConfiguration: ReturnCode utilizado por un agente de [PackageList] llamada para informar EndpointConfiguration sobre una puerta de (EndpointId, caractersticas de [BearerInformation]) codificacin (a-law o mu-law) que se espera recibir en el lado de la lnea correspondiente al punto final. CreateConnection: utilizado por un agente de llamada para indicarle a la puerta que cree una conexin con un punto final dentro de la puerta. ReturnCode, [ConnectionId,] [SpecificEndPointId,] [LocalConnectionDescriptor,] [SecondEndPointId,] [SecondConnectionId,][Pac kageList] CreateConnection (CallId, EndpointId, [NotifiedEntity,] [LocalConnectionOption,] Mode, [{RemoteConnectionDescriptor | SecondEndpointId},] [encapsulated RQNT,] [encapsulated EPCF])
CRCX
CRCX 1205 aaln/1@gw-25.att.net MGCP 1.0 C: A3C47F21456789F0 L: p:10, a:PCMU M: sendrecv X: 0123456789AD R: L/hd S: L/rg v=0 o=- 25678 753849 IN IP4 128.96.41.1 s=c=IN IP4 128.96.41.1 t=0 0 m=audio 3456 RTP/AVP 0
MDCX
ModifyConnection: ReturnCode, utilizado por un agente de [LocalConnectionDescriptor,] [PackageList] llamada para indicarle a una puerta que cambie ModifyConnection (CallId, los parmetros de una EndpointId, ConnectionId, conexin existente. [NotifiedEntity,] [LocalConnectionOption,] [Mode,] [RemoteConnectionDescriptor,] [encapsulated RQNT,] [encapsulated EPCF])
MDCX 1210 aaln/1@rgw-25.att.net MGCP 1.0 C: A3C47F21456789F0 I: FDE234C8 M: recvonly X: 0123456789AE R: L/hu S: G/rt v=0 o=- 4723891 7428910 IN IP4 128.96.63.25 s=c=IN IP4 128.96.63.25 t=0 0 m=audio 3456 RTP/AVP 0 Ejemplo 1: MGC -> MG DLCX 9210 aaln/1@rgw-25.att.net MGCP 1.0 C: A3C47F21456789F0 I: FDE234C8 Ejemplo 2: MG -> MGC DLCX 9310 aaln/1@rgw-25.att.net MGCP 1.0 C: A3C47F21456789F0 I: FDE234C8 E: 900 - Hardware error P: PS=1245, OS=62345, PR=780, OR=45123, PL=10, JI=27, LA=48
DLCX
DeleteConnection: ReturnCode, utilizado por un agente de ConnectionParameters, [PackageList] llamada para indicarle a una puerta que elimine DeleteConnection (CallId, EndpointId, una conexin existente. ConnectionId, Una puerta puede utilizar [NotifiedEntity,] el comando [encapsulated RQNT,] DeleteConnection para [encapsulated EPCF]) liberar una conexin que ya no puede mantenerse.
Protocolo MGCP
71
Descripcin
Un agente de llamada utiliza el comando NotificationRequest para indicarle a una MG que supervise cierto(s) evento(s) o seal(es) de un punto final especfico.
Ejemplos
RQNT 1205 aaln/1@rgw-25.att.net MGCP 1.0 N: ca-new@callagent-ca.att.net X: 0123456789AA R: L/hd(A, E(S(L/dl),R(L/oc,L/hu,D/[0-9#*T](D)))) D: (0T|00T|xx|91xxxxxxxxxx|9011x.T) S: T: G/ft
NTFY
Notify: lo utiliza una puerta de enlace para informarle al agente de llamada cuando se produce algn(os) evento(s) o seal(es) solicitada. AuditEndpoint: lo utiliza un agente de llamada para revisar el estado del punto final.
AUEP
Ejemplo 1: AUEP 1201 aaln/1@rgw-25.att.net MGCP 1.0 F: A, R,D,S,X,N,I,T,O Ejemplo 2: AUEP 1200 *@rgw-25.att.net MGCP 1.0
72
Protocolo MGCP
Descripcin
AuditConnection: lo utiliza el agente de llamada para recopilar los parmetros que se aplicaron a una conexin.
Ejemplos
AUCX 3003 aaln/1@rgw-25.att.net MGCP 1.0 I: 32F345E2 F: C,N,L,M,LC,P
RSIP
RestartInProgress: lo ReturnCode, [NotifiedEntity,] utiliza una puerta de enlace para notificar a un [PackageList] agente de llamada de que RestartInProgress (EndpointId, uno o varios puntos RestartMethod, [RestartDelay,] finales dejan de funcionar o vuelven a entrar en [ReasonCode]) funcionamiento.
Cdigos de respuesta
Cada comando que enva el agente de llamada o la puerta de enlace, sea exitoso o no, requiere un cdigo de respuesta. El cdigo de respuesta se encuentra en el encabezado del mensaje de respuesta y, opcionalmente, tambin puede incluir la informacin de descripcin de la sesin. El encabezado de respuesta est compuesto de una lnea de respuesta, seguida cero o ms lneas de parmetros, cada una con una letra del nombre del parmetro seguida por su valor. El encabezado de respuesta se compone de un cdigo de respuesta de tres dgitos, ID de transaccin y, opcionalmente, tambin puede incluir un comentario. El encabezado de respuesta en el mensaje de respuesta siguiente muestra el cdigo de respuesta 200 (finalizacin exitosa), seguido por la ID 1204 y el comentario: OK:
200 1204 OK I: FDE234C8 v=0 o=- 25678 753849 IN IP4 128.96.41.1 s=c=IN IP4 128.96.41.1 t=0 0 m=audio 3456 RTP/AVP 96 a=rtpmap:96 G726-32/8000
Los rango de cdigos de respuesta se definen de la siguiente forma: 000 099: indica un reconocimiento de respuesta. 100 199: indica una respuesta provisional. 200 299: indica una finalizacin exitosa (respuesta final).
Protocolo MGCP
73
400 499: indica un error transitorio (respuesta final). 500 599: indica un error permanente (respuesta final). Consulte RFC 3661 si desea informacin detallada sobre los cdigos de respuesta. La respuesta a un comando se enva a la direccin de origen del comando, no a la entidad notificada actualmente. Una puerta de enlace de medios puede recibir comandos MGCP de varias direcciones de red simultneamente y devolver respuestas a las direcciones de red correspondientes. Sin embargo, enva todos los comandos MGCP a su entidad notificada actual.
Ejemplos
Esta seccin incluye los siguientes supuestos de configuraciones: Puerta de enlace en las residencias de los abonados: agente de llamada en el ISP en esta pgina Servicio alojado en ISP en la pgina 77
74
Ejemplos
Untrust
IAD
IAD Dispositivo de seguridad Ethernet3 2.2.2.0/24 Red del proveedor de servicio de cable Ethernet 4 10.1.1.2 IAD IAD
Telfono IP
Telfono IP
Telfono IP
Trust
Agente de llamada
Telfono IP
WebUI
1. Zonas
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: untrust_subscriber
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: trust_ca
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: SubscriberSubNet Comment: Nuestra red de abonados IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.0/24 Zone: untrust-subscriber
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: call_agent1 Comment: Nuestro agente de llamada No. 1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.101/32 Zone: trust_ca
Ejemplos
75
3.
Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: untrust_subscriber Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.0/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: trust_ca Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.101/32 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
4. Directivas
Policies > (From: trust-ca, To: untrust_subscriber) New: Introduzca los siguientes datos y haga clic en OK:
Name: Pol-CA-To-Subscribers Source Address Address Book Entry: (seleccione), call_agent1 Destination Address Address Book Entry: (seleccione), SubscriberSubNet Service: MGCP-UA Action: Permit
Policies > (From: untrust_subscriber, To: trust-ca) New: Introduzca los siguientes datos y haga clic en OK:
Name: Pol-Subscribers-To-CA Source Address Address Book Entry: (seleccione), SubscriberSubNet Destination Address Address Book Entry: (seleccione), call_agent1 Service: MGCP-UA Action: Permit
CLI
1. Zonas
set address untrust_subscriber SubscriberSubNet 2.2.2.0 255.255.255.0 Our subscribers' network set address trust_ca call_agent1 10.1.1.101 255.255.255.255 Our No. 1 call agent
76
Ejemplos
3.
Interfaces
set interface ethernet3 zone untrust_subscriber Our subscribers network set interface ethernet3 ip 2.2.2.0/24 set interface ethernet3 route set interface ethernet4 zone trust_ca Our No. 1 call agent set interface ethernet4 ip 10.1.1.2/24 set interface ethernet4 route
4. Directivas
set policy name Pol-CA-TO-Subscribers from trust_ca to untrust_subscriber call_agent1 SubscriberSubNet mgcp-ua permit set policy name Pol-Subscribers-To-CA from untrust_subscriber to trust_ca SubscriberSubNet call_agent1 mgcp-ca permit
Ejemplos
77
Eth5 - 10.1.1.2 Dispositivo de seguridad Red ISP Eth4 - 2.2.2.10 Eth6 - 3.3.3.10 Telfono IP
WebUI
1. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: sf_gw Comment: gateway en Asia IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.201/32 zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: asia_gw Comment: gateway in sf IP Address/Domain Name: IP/Netmask: (seleccione), 3.3.3.110/32 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: west_ca Comment: ca en la costa oeste IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.101/32 zone: DMZ
78
Ejemplos
2.
Interfaces
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.10/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.2/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet6): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.3.3.10/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
3. MIP
Network > Interfaces > Edit (para ethernet6) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 3.3.3.101 Netmask: 255.255.255.255 Host IP Address: 10.1.1.101 Host Virtual Router Name: trust-vr
4. Directivas
Policies > (From: DMZ To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), west_ca Destination Address Address Book Entry: (seleccione), asia_gw Service: MGCP-UA Action: Permit
Policies > (From: Untrust To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), asia_gw Destination Address Address Book Entry: (seleccione), west_ca Service: MGCP-UA Action: Permit
Ejemplos
79
Policies > (From: Trust To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), sf_gw Destination Address Address Book Entry: (seleccione), west_ca Service: MGCP-UA Action: Permit
Policies > (From: DMZ To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), west_ca Destination Address Address Book Entry: (seleccione), sf_gw Service: MGCP-UA Action: Permit
Policies > (From: Trust To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), sf_gw Destination Address Address Book Entry: (seleccione), asia_gw Service: MGCP-UA Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) DIP on: None (utilizar la IP de la interfaz de salida)
CLI
1. Direcciones
set address trust sf_gw 2.2.2.201/32 gateway in s.f. set address untrust asia_gw 3.3.3.110/32 gateway in asia set address dmz west_ca 10.1.1.101/32 ca in west coast
2. Interfaces
set interface ethernet4 ip 2.2.2.10/24 set interface ethernet4 route set interface ethernet4 zone trust set interface ethernet5 ip 10.1.1.2/24 set interface ethernet5 route set interface ethernet5 zone dmz set interface ethernet6 ip 3.3.3.10/24 set interface ethernet6 zone untrust
3. Direccin IP asignada
set interface ethernet6 mip 3.3.3.101 host 10.1.1.101 netmask 255.255.255.255 vrouter trust-vr 80
Ejemplos
4.
Directivas
set policy from dmz to untrust west_ca asia_gw mgcp-ua permit set policy from untrust to dmz asia_gw mip(3.3.3.101) mgcp-ca permit set policy from trust to dmz sf_gw west_ca mgcp-ca permit set policy from dmz to trust west_ca sf_gw mgcp-ua permit set policy from trust to untrust sf_gw asia_gw mgcp-ua nat src permit
Ejemplos
81
82
Ejemplos
Captulo 4
Vista general
El protocolo Skinny de control de clientes (SCCP) se admite en dispositivos de seguridad en los modos de ruta, transparente y de traduccin de direcciones de red (NAT). El SCCP es un protocolo de la capa de aplicacin basado en binarios que se utiliza para configurar y controlar el protocolo de voz por Internet (VoIP). En la arquitectura del SCCP, un proxy H.323 de Cisco conocido como el gestor de llamadas hace la mayor parte del procesamiento. Los telfonos IP, tambin denominados estaciones finales, ejecutan el cliente Skinny y se conectan a un gestor de llamadas primario (y tambin a uno secundario si est disponible) sobre TCP en el puerto 2000 y se registran con el gestor de llamadas primario. Luego esta conexin se utiliza para establecer las llamadas que entran o salen del cliente. La ALG con SCCP admite lo siguiente: Flujo de llamada de un cliente Skinny a otro cliente Skinny a travs del gestor de llamadas. Conmutacin por error sin fisuras: conmuta todas las llamadas en proceso hacia el cortafuegos en espera durante los fallos del primario. Inspeccin de la carga de la trama de sealizacin de VoIP: inspecciona completamente la carga de paquetes de sealizacin VoIP entrantes segn las normas RFC y de cada fabricante que se apliquen. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea.
Vista general
83
Inspeccin de la carga de la trama de sealizacin del SCCP: inspecciona completamente la carga de paquetes de sealizacin del SCCP entrantes de acuerdo con RFC 3435. Si se descubre algn ataque de paquetes malformados, la ALG los bloquea. Procesamiento del estado: activa las mquinas de estado con protocolo VoIP correspondientes para procesar la informacin analizada. Cualquier paquete que est fuera de estado o fuera de transaccin se identifica y se maneja apropiadamente. Traduccin de direcciones de red (NAT): traduce cualquier direccin de IP incorporada y la informacin de puerto en la carga, con base en la informacin de enrutamiento y la topologa de la red, la direccin de IP traducida y el nmero de puerto, si fuera necesario. Creacin y administracin de ojos de aguja para trfico de VoIP: identifica la direccin de IP y la informacin de puerto utilizada para medios o sealizacin y abre en forma dinmica (y cierra) los ojos de aguja para secuenciar los medios de forma segura.
84
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Protocolo SCCP
Las siguientes secciones dan una breve vista general del SCCP y su funcionamiento: Componentes del SCCP en esta pgina Transacciones con SCCP en la pgina 86 Mensajes del SCCP en la pgina 89
Gestor de llamadas
El gestor de llamadas es un servidor H.323 de Cisco con control general de toda la comunicacin y dispositivos en la red VoIP con SCCP. Sus funciones incluyen definir, supervisar y controlar grupos del SCCP, regiones de nmeros y planes de rutas; proporcionar inicializacin, admisin y registro de dispositivos en la red; proporcionar una base de datos redundantes que contenga direcciones, nmeros de telfono y formatos de nmeros, e iniciar el contacto con los dispositivos llamados o sus agentes para establecer sesiones lgicas en las que pueda fluir la comunicacin de voz.
Clster
Un clster es un conjnto de clientes del SCCP y un gestor de llamadas. El gestor de llamadas en el clster tiene conocimiento sobre todos los clientes del SCCP en el clster. En un clster puede haber ms de un gestor de llamadas para tener un respaldo. El comportamiento del gestor de llamadas vara en cada una de las siguientes situaciones de un clster: Dentro del clster, en el cual el gestor de llamadas conoce a cada cliente del SCCP y la llamada es entre clientes del SCCP del mismo clster. Entre clsteres, en la cual el gestor de llamadas necesita comunicarse con otro gestor de llamadas usando H.323 para establecer llamadas.
Protocolo SCCP
85
Las llamadas entre clsteres que usan el equipo selector para el control de admisin y la resolucin de direccin. El comportamiento del gestor de llamadas tambin vara con las llamadas entre un cliente del SCCP y un telfono en una red conmutada de telfonos pblica (PSTN) y con las llamadas entre un cliente del SCCP y un telfono en otro dominio administrativo que utiliza H.323.
86
Protocolo SCCP
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
La Tabla 4 muestra los mensajes del SCCP e inicia los mensajes que son de inters para el dispositivo de seguridad.
Tabla 4: Mensajes de registro del SCCP Del cliente
RegisterMessage IPortMessage RegisterAckMessage CapabilitiesRequest CapabilitiesResMessage ButtonTemplateReqMessage ButtonTemplateResMessage SoftKeyTemplateReqMessage SoftKeyTemplateResMessage LineStatReqMessage LineStatMessage
b b b
b b
Establecimiento de la llamada
El gestor de llamadas siempre maneja el establecimiento de la llamada de telfono IP a telfono IP utilizando el SCCP. Los mensajes para el establecimiento de la llamada se envan al gestor de llamadas, desde donde se devuelven mensajes correspondientes al estado de la llamada. El gestor de llamadas enva al cliente el mensaje de configuracin de medios si tiene xito el establecimiento de la llamada y una directiva en el dispositivo de seguridad permite la llamada.
Configuracin de medios
El gestor de llamadas enva la direccin IP y el nmero de puerto del interlocutor que recibe la llamada al interlocutor que hace la llamada. El gestor de llamadas enva la direccin IP de medios y el nmero de puerto del interlocutor que hace la llamada al interlocutor que recibe la llamada. Los medios se transmiten directamente entre los clientes despus de la configuracin de medios. Cuando termina la llamada, el gestor de llamadas recibe la informacin y termina las secuencias de medios. En ningn momento durante este proceso el gestor de llamadas entrega al cliente la funcin de establecimiento de la llamada. Los medios pasan directamente entre los clientes a travs de RTP/UDP/IP.
Protocolo SCCP
87
Telfono1 OffHook CallState(offhook, ln 1, CID 16777332) keypadbutton CallState(Proceed, ln 1, CID 16777332) CallInfo(Outbound, ln 1, 2001->2002, Orig: 2002. CID16777332) CallState(Ringout, ln 1, CID 16777332) CallInfo(Outbound, ln 1, 2001->2002, CID16777332)
Gestor de llamadas
Telfono2
OpenRcvChn1(PPID 16778561, CnfrId: 0) CallState(Connected, ln 1, CID 16777332) CallInfo(outboundcall, ln 1, 2001->2002, CID16777332) OpenRcvChnAck1(PPID 16778561, IP:10.10.10.10/Port:24038) StartMediaX(PPID 16778561, IP:10.10.10.20/Port:30198), CnffId:0
CallState(OnHook, ln 1, CID 16777332) CloseRcvChn1(PPID 16778561, CnfrId:0) StopMediaX(PPID 16778561, CnffId:0) CallState(Terminate, ln 1, CID 16777332) CloseRcvChn1(PPID 16778577, CnfrId:0) StopMediaX(PPID 16778577, CnffId:0)
88
Protocolo SCCP
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Range
0x00000001 0x00000002 0x00000020 0x00000022
Range
0x00000001 0x00000002 0x00000020 0x00000022 0x00000106
Tabla 7: Mensajes del gestor de llamadas 4.0 y Post Skinny 6.2 Mensaje
#define STATION_REGISTER_TOKEN_REQ_MESSAGE #define STATION_MEDIA_TRANSMISSION_FAILURE #define STATION_OPEN_MULTIMEDIA_RECEIVE_CHANNEL_ACK
Range
0x00000029 0x0000002A 0x00000031
Range
0x00000131 0x00000132 0x00000133 0x00000136
Ejemplos
Esta seccin contiene los siguientes ejemplos de supuestos: Ejemplo: Gestor de llamadas/servidor TFTP en la zona Trust en la pgina 90 Ejemplo: Gestor de llamadas/servidor TFTP en la zona Untrust en la pgina 92 Ejemplo: Zona triple, gestor de llamadas/servidor TFTP en DMZ en la pgina 94
Ejemplos
89
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Trust en la pgina 98 Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la zona Untrust en la pgina 102 Ejemplo: VPN de malla completa para el SCCP en la pgina 104
Telfono1 10.1.1.3
Telfono2 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
90
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: CM-TFTP_Server IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.4/24 Zone: Trust
3. MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.2 Netmask: 255.255.255.255 Host IP Address: 10.1.1.4 Host Virtual Router Name: trust-vr
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), any Destination Address: Address Book Entry: (seleccione), Telfono2 Service: SCCP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Telfono2
Ejemplos
91
Destination Address: Address Book Entry: (seleccione), MIP(1.1.1.2) Service: SCCP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address untrust Telfono2 1.1.1.4/24 set address trust cm-tftp_server 10.1.1.4/24
3. MIP
set policy from trust to untrust any Telfono2 sccp nat src permit set policy from untrust to trust Telfono2 mip(1.1.1.2) sccp permit save NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
Trust
Untrust
Dispositivo de seguridad
Internet
LAN
Telfono1 10.1.1.3
Telfono2 1.1.1.4
92
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Interface Mode: Route
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: CM/TFTP Server IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.3/24 Zone: Untrust
3. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address Address Book Entry: (seleccione), Telfono1 Destination Address Address Book Entry: (seleccione), any Service: SCCP Action: Permit
Ejemplos
93
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: (seleccione) (DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address untrust Telfono2 1.1.1.4/24 set address untrust cm-tftp_server 1.1.1.3/24
3. Directivas
set policy from trust to untrust Telfono1 any sccp nat src permit save NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
94
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Untrust
Telfono2 1.1.1.4
Internet
Servidor CM/TFTP 2.2.2.4 ethernet2 2.2.2.2/24
ethernet3 1.1.1.1/24
DMZ
LAN
Telfono1 10.1.1.3
Trust WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Ejemplos
95
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/24 Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: CM-TFTP_Server IP Address/Domain Name: IP/Netmask: (seleccione), 2.2.2.4/24 Zone: DMZ
3. Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Telfono1 Destination Address: Address Book Entry: (seleccione), CM-TFTP_Server Service: SCCP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Telfono2 Destination Address: Address Book Entry: (seleccione), CM-TFTP_Server Service: SCCP Action: Permit
96
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Telfono1 Destination Address: Address Book Entry: (seleccione), Telfono2 Service: SCCP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface ethernet3 route set interface ethernet2 zone dmz set interface ethernet2 ip 2.2.2.2/24 set interface ethernet2 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address untrust Telfono2 1.1.1.4/24 set address dmz cm-tftp_server 2.2.2.4
3. Directivas
set policy from trust to dmz Telfono1 cm-tftp_server sccp nat src permit set policy from untrust to dmz Telfono2 cm-tftp_server sccp permit set policy from trust to untrust Telfono1 Telfono2 sccp nat src permit save NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
Ejemplos
97
Untrust
Telfono1 1.1.1.4 Telfono2 1.1.2.4
Internet
ethernet4 1.1.1.1/24
ethernet3 1.1.2.1/24
loopback 1 1.1.4.1/24
Dispositivo de seguridad
MIP en loopback 1 1.1.4.5 -> 10.1.1.5
ehternet1 10.1.1.1/24
LAN
Trust
98
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: loopback.1 Zone: Untrust (trust-vr) IP Address/Netmask: 1.1.4.1/24
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: CM-TFTP_Server IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.5/32 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono1 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.4/32 Zone: Untrust
Ejemplos
99
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono2 IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.2.4/32 Zone: Untrust
3. Grupo de bucle invertido
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
As member of loopback group: (seleccione), loopback.1 Zone Name: Untrust
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en OK:
As member of loopback group: (seleccione), loopback.1 Zone Name: Untrust
4. MIP
Network > Interfaces > Edit (para loopback.1) > MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.4.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
5. Bloqueo
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK:
Block Intra-Zone Traffic: (anule la seleccin)
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), CM-TFTP_Server Destination Address: Address Book Entry: (seleccione), Any Service: SCCP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
100
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), MIP(1.1.4.5) Service: SCCP Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.2.1/24 set interface ethernet3 route set interface ethernet4 zone untrust set interface ethernet4 ip 1.1.1.1/24 set interface ethernet4 route set interface loopback.1 zone untrust set interface loopback.1 ip 1.1.4.1/24 set interface loopback.1 route
2. Direcciones
set address trust cm-tftp_server 10.1.1.5/32 set address untrust Telfono1 1.1.1.4/32 set address untrust Telfono2 1.1.2.4/32
3. Grupo de bucle invertido
set interface ethernet3 loopback-group loopback.1 set interface ethernet4 loopback-group loopback.1
4. MIP
set policy from trust to untrust cm/tftp_server any sccp nat src permit set policy from untrust to trust any mip(1.1.4.5) sccp permit save NOTA:
Aunque en este ejemplo desactiv el bloqueo en la zona Untrust para permitir la comunicacin interzonal, puede lograr lo mismo mediante la siguiente directiva:
set policy from untrust to untrust any any sccp permit
Tenga en cuenta que siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
Ejemplos
101
Untrust Internet
Telfono2 10.1.2.2
ethernet2 10.1.2.1/24
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.3.3.3/24
102
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.3/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono2 IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.2.2/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: CM/TFTP Server IP Address/Domain Name: IP/Netmask: (seleccione), 3.3.3.4/24 Zone: Untrust
3. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione) CM/TFTP Server Service: SCCP Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT: Source Translation: Enable (DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.1.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet3 route
2. Direcciones
set address trust Telfono1 10.1.1.3/24 set address trust Telfono2 10.1.2.2/24 set address untrust cm-tftp_server 3.3.3.4/24 103
Ejemplos
3.
Directivas
set policy from trust to untrust any cm-tftp_server sccp nat src permit save NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any.
NOTA:
Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles por lo menos tres interfaces configurables independientemente.
104
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Trust eth2/8-10.1.3.1
tunnel.1 6.6.6.6 Untrust eth2/1: 1.1.1.1 Enrutador de puerta de enlace a central: 1.1.1.1 sucursal: 3.3.3.3 Untrust eth3 3.3.3.3 interfaz tunnel.1 sin numerar
Central
tunnel.2 7.7.7.7 Untrust eth2/2-1.1.2.1 Enrutador de puerta de enlace a central: 1.1.2.1 sucursal: 2.2.2.2 Untrust eth3-2.2.2.2
VPN 1
VPN 2
Sucursal 1
VPN 3
Sucursal 2
Untrust eth4-4.4.4.4
Untrust eth4-5.5.5.5
Enrutador de puerta de enlace A sucursal 1: 4.4.4.4 A sucursal 2: 5.5.5.5 interfaz tunnel.3 sin numerar
NOTA:
Siempre es ms seguro especificar explcitamente un servicio, como se muestra en esta configuracin de ejemplo, que utilizar la palabra clave que permite designar cualquier servicio: any. WebUI (para la central)
1. Interfaces
Network > Interfaces > Edit (para ethernet2/1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
Ejemplos
105
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > Edit (para ethernet2/8): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.3.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 1 Zone (VR): Untrust IP Address/Netmask: 6.6.6.6/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 2 Zone (VR): Untrust IP Address/Netmask: 7.7.7.7/24
2. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: CM/TFTP Server IPv4/Netmask: 10.1.3.3/32 Zone: Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-branch-1 Security Level: Standard IPvc4/v6 Address/Hostname: 3.3.3.3 Preshare Key: netscreen Outgoing Interface: ethernet2/1
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-branch-1
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Bind to: (seleccione) Tunnel Interface, tunnel.1
106
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-branch-2 Security Level: Standard IPvc4/v6 Address/Hostname: 2.2.2.2 Preshare Key: netscreen Outgoing Interface: ethernet2/2
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-branch-2
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Bind to: (seleccione) Tunnel Interface, tunnel.2
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24 interface (seleccione): tunnel.1
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0/24 interface (seleccione): tunnel.2
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: CM/TFTP Server Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SCCP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: CM/TFTP Server Service: SCCP Action: Permit
Ejemplos
107
set set set set set set set set set set set
2.
interface ethernet2/1 zone untrust interface ethernet2/1 ip 1.1.1.1/24 interface ethernet2/2 zone untrust interface ethernet2/2 ip 1.1.2.1/24 interface ethernet2/8 zone trust interface ethernet3/8 ip 10.1.3.1/24 interface ethernet2/8 route interface tunnel.1 zone untrust interface tunnel.1 ip 6.6.6.6/24 interface tunnel.2 zone untrust interface tunnel.2 ip 7.7.7.7/24
Direccin
set ike gateway to-branch-1 address 3.3.3.3 main outgoing-interface ethernet2/1 preshare netscreen sec-level standard set ike gateway to-branch-2 address 2.2.2.2 main outgoing-interface ethernet2/2 presharenetscreen sec-level standard set vpn vpn_branch-1 gateway to-branch-1 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-1 id 1 bind interface tunnel.1 set vpn vpn-branch-2 gateway to-branch-2 no-reply tunnel idletime 0 sec-level standard set vpn vpn-branch-2 id 2 bind interface tunnel.2
4. Enrutamiento
set route 10.1.2.0/24 interface tunnel.2 set route 10.1.1.0/24 interface tunnel.1
5. Directivas
set policy from trust to untrust cm-tftp_server any sccp permit set policy from untrust to trust any cm-tftp_server sccp permit save
WebUI (Sucursal 1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 3.3.3.3/24
108
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 2 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet3
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 3 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet4
2. Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono1 IPv4/Netmask: 10.1.1.3/32 Zone: V1-Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-central Security Level: Standard IPvc4/v6 Address/Hostname: 1.1.2.1 Preshare Key: netscreen Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-central
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.1
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-ns50 Security Level: Standard IPvc4/v6 Address/Hostname: 5.5.5.5 Preshare Key: netscreen Outgoing Interface: ethernet4
Ejemplos
109
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-ns50
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.3
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.2.0/24 interface (seleccione): tunnel.3
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.3.0/24 interface (seleccione): tunnel.1
5. Directivas
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Telfono2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SCCP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: Telfono2 Service: SCCP Action: Permit
CLI (Sucursal 1)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface ethernet4 zone untrust set interface ethernet4 ip 4.4.4.4/24 set interface tunnel.2 zone untrust set interface tunnel.2 ip unnumbered interface ethernet3 set interface tunnel.3 zone untrust set interface tunnel.3 ip unnumbered interface ethernet4
2. Direccin
110
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
3.
VPN
set ike gateway to-central address 1.1.1.1 main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 5.5.5.5 main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral bind interface tunnel.1 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 bind interface tunnel.3
4. Rutas
set route 10.1.2.0/24 interface tunnel.3 set route 10.1.3.0/24 interface tunnel.1
5. Directivas
set policy from trust to untrust Telfono1 any sccp permit set policy from untrust to trust any Telfono1 sccp permit save
WebUI (Sucursal 2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply:
Zone: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.2.1/24 Introduzca los siguientes datos y haga clic en OK: Interface Mode: route
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 2 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet3
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply:
Tunnel Interface Name: 3 Zone (VR): Untrust Unnumbered (seleccione) Interface: ethernet4
Ejemplos
111
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: Telfono2 IPv4/Netmask: 10.1.2.3/32 Zone: Trust
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-central Security Level: Standard IPvc4/v6 Address/Hostname: 1.1.2.1 Preshare Key: netscreen Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-central
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.2
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: to-ns50 Security Level: Standard IPvc4/v6 Address/Hostname: 4.4.4.4 Preshare Key: netscreen Outgoing Interface: ethernet4
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn-ns50
Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de la puerta de enlace:
Bind to (seleccione): Tunnel Interface, tunnel.3
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.3.0/24 interface (seleccione): tunnel.2
112
Ejemplos
Captulo 4: Puerta de enlace en la capa de aplicacin del protocolo Skinny de control de clientes
Network > Routing > Destination > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24 interface (seleccione): tunnel.3
5. Directivas
Policies > (From: Trust, To: Untrust) Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Telfono2 Destination Address (seleccione) Address Book Entry: Any-IPv4 Service: SCCP Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address (seleccione) Address Book Entry: Any-IPv4 Destination Address (seleccione) Address Book Entry: Telfono2 Service: SCCP Action: Permit
CLI (Sucursal 2)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet1 route set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface ethernet4 zone untrust set interface ethernet4 ip 4.4.4.4/24 set interface tunnel.2 zone untrust set interface tunnel.2 ip unnumbered interface ethernet3 set interface tunnel.3 zone untrust set interface tunnel.3 ip unnumbered interface ethernet4
2. Direccin
set ike gateway to-central address 1.1.1.1 Main outgoing-interface ethernet3 preshare netscreen sec-level standard set ike gateway to-ns50 address 4.4.4.4 Main outgoing-interface ethernet4 preshare netscreen sec-level standard set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard set vpn vpncentral id 4 bind interface tunnel.2 set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
set route 10.1.3.0/24 interface tunnel.1 set route 10.1.2.0/24 interface tunnel.3
Ejemplos
113
5.
Directivas
set policy from trust to untrust Telfono2 any sccp permit set policy from untrust to trust any Telfono2 sccp permit save
114
Ejemplos
ndice
A
ALG ..................................................................................17 SIP .............................................................................13 SIP NAT ....................................................................24
T
Tiempo de espera SIP por inactividad .........................................................21 por inactividad de la sesin ...................................21 por inactividad de medios ................................22, 23 por inactividad de sealizacin .......................22, 23
G
gatekeeper (equipos selectores) .....................................1
V L
libro de servicio, grupos de servicios (WebUI) ...........66 voz sobre IP administracin del ancho de banda ......................65
O
ojos de aguja ..................................................................20
S
SDP .......................................................................... 18 a 19 sesiones multimedia, SIP ..............................................14 SIP ALG .....................................................................17, 21 anuncios de medios ................................................19 cdigos de respuesta ..............................................16 definido ....................................................................13 informacin de la conexin ...................................19 mensajes ..................................................................14 mtodos de peticin ...............................................14 ojos de aguja ............................................................18 RTCP .........................................................................19 RTP ...........................................................................19 SDP ................................................................... 18 a 19 sealizacin .............................................................17 sesiones multimedia ...............................................14 SIP NAT configuracin de llamadas ...............................24, 30 definido ....................................................................24 DIP, utilizar entrante...............................................32 entrante, con MIP..............................................36, 38 proxy en DMZ ..........................................................45 proxy en zona privada......................................40, 90 proxy en zona pblica ............................................43 trust intrazonal ........................................................52 untrust intrazonal ....................................................98 untrust intrazone .....................................................49 utilizar DIP de interfaz ............................................33 utilizar un rango DIP ...............................................36 VPN, con uso de malla completa ..................55, 104
NDICE
IX-I
IX-II
NDICE