Inleiding
Dit document beschrijft de configuratiestappen voor ASA Firewall in een Uitdrukbaan met dubbele NIC voor WebRTC flow.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Kennis van Cisco ASA (Cisco adaptieve security applicatie) firewalls
- Administratieve kennis van snelwegservers
- Administratieve kennis van CMS (Cisco Meeting Server)
- Begrip van de Cisco CMS WebexRTC-toepassing
- Netwerkadresomzetting (NAT)
- Verplaatsing met Relay rondom NAT (TURN)
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardwareversies, maar aan de minimumvereisten voor softwareversie moet worden voldaan.
- Snelheidsserver
- CMS-server
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
Ondersteuning van WebexRTC-proxy is toegevoegd aan Expressie van versie X8.9.2, waardoor gebruikers buiten het gebouw kunnen bladeren naar een Cisco Meeting Server-webbrug.
Externe klanten en gasten kunnen CMS co-ruimtes beheren of aansluiten zonder dat zij andere software nodig hebben dan een ondersteunde webbrowser. U vindt hier een lijst met ondersteunde browsers.
De Expressway-E-server kan worden geconfigureerd met één of twee netwerkinterfaces (daarom hebben ze een paar interne en extern gerichte NIC's). In de eerdere expressway-versies was het niet verplicht om een dubbele NIC met statische NAT te hebben. Wanneer de WebexRTC-functie met Expressway werd verhoogd, begon het te eisen dat een statische NAT werd geconfigureerd, zelfs in het scenario van enabled NIC met statische NAT op de Expressway-E-server. De voornemens is om een nieuw werk van de logica van de code te bevatten, waardoor deze verwijdert wordt behoefte in bijna alle configuratiescenario's. Raadpleeg een verbeteringsverzoek om CSCve37570 voor meer informatie.
Opmerking: wanneer Expressway-E in dubbele NIC-configuratie met statische NAT wordt gebruikt als TURN-server voor het WebexRTC-verkeer en het enige werkmediapad de relais-kandidaat op zowel CMS als de WebexRTC-client is, stuurt de TURN-server RTP-pakketten fysiek naar zijn eigen statische NAT IP-adres. Dat is de reden dat NAT-reflectie moet worden geconfigureerd op de externe firewall.
Voorzichtig: Voor de inzet van Expressway-E-cluster met meerdere TURN-servers die achter dezelfde NAT zijn geactiveerd, moet NAT-reflectie nog worden geconfigureerd.
Technische opmerking
Als u meer wilt weten over de ICE-, TURN- en STUN-processen, let dan op de Cisco Life-presentatie ICE / TURN / STUN Tutorial - BRKCOL-2986
Deze sessie biedt technische achtergrond en inzichten in Traversal met behulp van Relay NAT (TURN) en Interactive Connectivity Setup (ICE). Het legt uit hoe deze in de Collaboration Portfolio worden gebruikt met wat extra aandacht voor de gebruikerscase in Mobile en Remote Access (MRA). Deelnemers aan deze sessie leerden waarom TURN nodig is en hoe ICE de optimale mediastad vindt. Er werd gediscussieerd over de begeleiding van probleemoplossing en de beschikbare gereedschappen voor nuttigheid en optimale werkwijzen werden gedemonstreerd.
Configureren
Dit hoofdstuk beschrijft de gewenste stappen om NAT-reflectie op de ASA firewall in het scenario van Expressway-E-server te configureren met enabled dual-NIC. Terugkeer verkeer dat van de firewall op de expressway (na reflectie) komt als bronadres het openbare IP-adres van de server, waar het verzoek afkomstig is (om de TURN-permissies aan te passen).
Opmerking: Firewalls wantrouwen meestal pakketten die hetzelfde bron- en doeladres hebben. U moet uw externe firewall configureren om NAT-reflectie toe te staan voor het openbare IP-adres van de expressway-E.
Netwerkdiagram
Dit beeld geeft een voorbeeld van een algemene WebRTC-stroom, in Snelheidsscenario met enabled dubbele NIC:
Dit beeld geeft een voorbeeld van connecties, flow en de benodigde poorten voor Web Proxy voor CMS Webex:
Deze verwijzing is afkomstig uit de Cisco Service Guide voor gebruik van snelwegen op IP-telefoon voor versie X12.5.
Configuratiestappen voor de Cisco ASA-firewall
Deze stappen bieden de gewenste configuratiestappen op Cisco ASA Firewall voor versie 8.3 en hoger.
Stap 1. Maak twee objecten - het eerste is voor het privé IP-adres van de snelweg-E en het tweede is voor het openbare IP-adres van de snelweg-E. Start de opdrachten:
ASA(config)#object network expressway-private
ASA(config-network-object)# host x.x.x.x
ASA(config)#object network expressway-public
ASA(config-network-object)# host y.y.y.y
Stap 2. Identificeer de naam van de interface waarop de snelweg-E is aangesloten, bijvoorbeeld, DMZ-snelweg.
Stap 3. Het configureren van een handmatige statische NAT met als doel het vertalen van het snelwegverkeer vanaf zijn privéadres naar zijn openbare IP-adres en dan het opnieuw naar de expressway-E sturen (nadat dit is vertaald). Start de opdracht en vervang de eigenlijke waarden van uw toepassing:
ASA(config)# nat (DMZ-expressway, DMZ-expressway)source static expressway-private expressway-public destination static expressway-public expressway private
Stap 4. Geef het verkeer toe om terug te keren door een toegangslijst toe te voegen (of door een lijn toe te voegen aan een reeds gevormde toegangslijst) op de interface, die met de snelweg-E wordt verbonden:
access-list access-list-name-on-DMZ-expressway line 1 permit IP any expressway-private
Verifiëren
Nadat de configuratie is voltooid, kan deze direct worden getest met een aanroep, of met de opdracht pakkettracer.
Voorbeeld gebruik van de pakkettracer opdracht:
Packet-tracer ingang interface-naam tcp snelweg-privé-ip 1234 snelweg-openbaar-ip bestemming-poort
Vervang de gemarkeerde parameters met de juiste informatie uit uw plaatsing. Als de configuratie geslaagd is, keert de opdracht Packet-tracer deze uitvoer terug:
input-interface: DMZ-expressway
input-status: up
input-line-status: up
output-interface: DMZ-expressway
output-status: up
output-line-status: up
Action: allow
Problemen oplossen
Er is momenteel geen specifieke informatie over probleemoplossing beschikbaar voor deze configuratie.
Gerelateerde informatie