Cisco IP Phone 流量研究(穿越防火墙处理方法) 教主

来源:本站原创 网络技术 超过671 views围观 0条评论

Cisco IP Phone 初始化过程抓包分析:

1.初始初期的一些二层流量 (PVSTP EAP CDP)

3969641596567235161[1]

2.DHCP流量

3969641596567235162[1]

3.TFTP流量:

4845591724074504609[1]

4.SCCP (Skinny流量)

4845591724074504610[1]

5.通话阶段的RTP:

5429370825788692278[1]

穿越ASA防火墙处理(由低到高):

************************普通IP Phone需要放的流量*************************

access-list out extended permit udp any host CallCenter地址 eq bootps (DHCP)
access-list out extended permit udp any host CallCenter地址 eq tftp (TFTP)
access-list out extended permit tcp any host CallCenter地址 eq 2000 (Skinny)

************************软电话测试需要额外放行的流量**********************
access-list out extended permit tcp any host CallCenter地址 eq 6970
access-list out extended permit tcp any host CallCenter地址 eq 8080

注意需要监控的协议:

policy-map global_policy
class inspection_default
  inspect skinny

  inspect tftp

注意:监控的好处就在于不用放行RTP流量,RTP的端口范围很大,如果要放行会有很大的安全漏洞

如果要放行RTP,可以使用如下ACL:

permit udp any any range 16384 32767

穿越IOS防火墙(CBAC)处理:

ip inspect name gz.voice tftp
ip inspect name gz.voice skinny

ip access-list extended PermitOnlyVoiceTraffic
permit udp object-group Voice.IP host CallCenter地址 eq tftp
permit tcp object-group Voice.IP host CallCenter地址 eq 2000
permit tcp object-group Voice.IP host CallCenter地址 eq 6970

ip access-list extended deny.any.traffic
deny   ip any any

interface Virtual-Template100 type tunnel
description For-Voice-Traffic
ip unnumbered Loopback0
ip access-group PermitOnlyVoiceTraffic in
ip access-group deny.any.traffic out

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=174转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!