De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u Zone-Based Firewall (ZBFW) kunt configureren in combinatie met Cisco Unified Border Element (CUBE) Enterprise.
Er zijn geen specifieke vereisten van toepassing op dit document.
- Cisco router met Cisco IOS® XE 17.10.1a
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
- CUBE Enterprise- en ZBFW-colocatie werden niet ondersteund op Cisco IOS XE tot 16.7.1+
- CUBE Enterprise ondersteunt alleen CUBE + ZBFW RTP-RTP-mediastromen. Zie: CSCwe66293
- Dit document is niet van toepassing op CUBE Media Proxy, CUBE Service Provider, MGCP of SCCP-gateways, Cisco SRST of ESR-gateways, H323-gateways of andere analoge/TDM-spraakgateways.
- Zie voor TDM/Analog Voice Gateways en ZBFW het volgende document: https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/213550-troubleshoot-one-way-audio-problems-in-f.html
De voorbeeldconfiguratie illustreert twee logische netwerksegmentaties die binnen en buiten worden genoemd.
BINNENKANT bevat één IP-netwerk en BUITENZIJDE bevat twee IP-netwerken.
Layer 3-netwerktopologie
Endpoint_A - Network A - Gig1 - CUBE - Gig3 - Network B - CUCM
\_ Network C - Endpoint_B
Layer 7 Call Flow
Call Direction =======================================>
Endpoint_A > SIP > CUBE > SIP > CUCM > SIP > Endpoint_B
Layer 7 Media Flow
Endpoint_A <> RTP <> CUBE <> RTP <> Endpoint_B
Met de volgende 3 kogels in gedachten kunnen de volgende zones worden toegevoegd overlayed op onze L3-netwerktopologie waar:
_______OUTSIDE_______ ______INSIDE______
| | | |
Endpoint_A - Network A - Gig1 - CUBE - Gig3 - Network B - CUCM
| \_ Network C - Endpoint_B
SELF
Daarna kunnen we logisch de vier unidirectionele zone-paartoewijzingen maken die we nodig hebben voor verkeersstromen door CUBE+ZBFW:
Bron | Bestemming | Gebruik |
BUITEN | ZELF | Inkomende SIP- en RTP-media van Endpoint A |
ZELF | BINNENKANT | Uitgaande SIP- en RTP-media van CUBE naar CUCM en Endpoint B. |
BINNENKANT | ZELF | Inkomende SIP- en RTP-media van CUCM en Endpoint B. |
ZELF | BUITEN | Uitgaande SIP- en RTP-media van CUBE naar Endpoint A. |
Met deze concepten in gedachten kunnen we ZBFW op de Cisco IOS XE-router configureren als CUBE.
We moeten twee veiligheidszones instellen: BINNEN en BUITEN. Zelf hoeft niet te worden gedefinieerd, omdat het standaard is.
!
zone security INSIDE
zone security OUTSIDE
!
Om te controleren welk verkeer we moeten configureren methodes voor de router om aan te passen en toe te laten.
Om dit te doen zullen we een uitgebreide toegangslijst, class-map en beleidskaart maken die ons verkeer inspecteren.
Voor eenvoud zullen we een beleid maken voor elke zone die zowel inkomend als uitgaand verkeer in kaart brengt.
Merk op dat configuraties zoals match protocol sip en match protocol sip-tls kunnen worden gebruikt, maar voor illustratieve doeleinden zijn de IP/poorten geconfigureerd
BUITEN UITGEBREIDE TOEGANGSLIJST, KLASSENKAART, BELEIDSKAART
! Define Access List with ACLs for OUTSIDE interface
ip access-list extended TRUSTED-ACL-OUT
10 remark Match SIP TCP/UDP 5060 and TCP TLS 5061
11 permit tcp 192.168.1.0 0.0.0.255 any range 5060 5061
12 permit tcp any 192.168.1.0 0.0.0.255 range 5060 5061
13 permit udp 192.168.1.0 0.0.0.255 any eq 5060
14 permit udp any 192.168.1.0 0.0.0.255 eq 5060
!
20 remark Match RTP Port Range, IOS-XE and Remote Endpoints
21 permit udp 192.168.1.0 0.0.0.255 any range 8000 48198
22 permit udp any 192.168.1.0 0.0.0.255 range 8000 48198
!
! Tie ACL with Class Map
class-map type inspect match-any TRUSTED-CLASS-OUT
match access-group name TRUSTED-ACL-OUT
!
! Tie Class Map with Policy and inspect
policy-map type inspect TRUSTED-POLICY-OUT
class type inspect TRUSTED-CLASS-OUT
inspect
class class-default
drop log
!
Binnen Uitgebreide Toegangslijst, Klasse Kaart, Beleidskaart
!
ip access-list extended TRUSTED-ACL-IN
1 remark SSH, NTP, DNS
2 permit tcp any any eq 22
3 permit udp any any eq 123
4 permit udp any any eq 53
!
10 remark Match SIP TCP/UDP 5060 and TCP TLS 5061
11 permit tcp 192.168.2.0 0.0.0.255 any range 5060 5061
12 permit tcp any 192.168.2.0 0.0.0.255 range 5060 5061
13 permit udp 192.168.2.0 0.0.0.255 any eq 5060
14 permit udp any 192.168.2.0 0.0.0.255 eq 5060
!
20 remark Match RTP Port Range, IOS-XE and Remote Endpoints
21 permit udp 192.168.2.0 0.0.0.255 any range 8000 48198
22 permit udp any 192.168.2.0 0.0.0.255 range 8000 48198
23 permit udp 192.168.3.0 0.0.0.31 any range 8000 48198
24 permit udp any 192.168.3.0 0.0.0.31 range 8000 48198
!
class-map type inspect match-any TRUSTED-CLASS-IN
match access-group name TRUSTED-ACL-IN
!
policy-map type inspect TRUSTED-POLICY-IN
class type inspect TRUSTED-CLASS-IN
inspect
class class-default
drop log
!
Daarna moeten we de vier zone-paar toewijzingen eerder in de tabel besproken.
Deze zone-paren verwijzen naar een dienstenbeleid dat de beleidsplannen die we eerder hebben gemaakt.
! INSIDE <> SELF
zone-pair security IN-SELF source INSIDE destination self
service-policy type inspect TRUSTED-POLICY-IN
zone-pair security SELF-IN source self destination INSIDE
service-policy type inspect TRUSTED-POLICY-IN
!
! OUTSIDE <> SELF
zone-pair security OUT-SELF source OUTSIDE destination self
service-policy type inspect TRUSTED-POLICY-OUT
zone-pair security SELF-OUT source self destination OUTSIDE
service-policy type inspect TRUSTED-POLICY-OUT
!
! Assign Zones to interfaces
int gig1
zone-member security INSIDE
!
int gig3
zone-member security OUTSIDE
!
Op dit punt zal een vraag van Endpoint B aan CUBE die voor CUCM wordt bestemd de volgende opeenvolging aanhalen:
Router# show zone-pair security
Zone-pair name IN-SELF 2
Source-Zone INSIDE Destination-Zone self
service-policy TRUSTED-POLICY-IN
Zone-pair name OUT-SELF 4
Source-Zone OUTSIDE Destination-Zone self
service-policy TRUSTED-POLICY-OUT
Zone-pair name SELF-IN 5
Source-Zone self Destination-Zone INSIDE
service-policy TRUSTED-POLICY-IN
Zone-pair name SELF-OUT 6
Source-Zone self Destination-Zone OUTSIDE
service-policy TRUSTED-POLICY-OUT
Router# show zone-pair security source INSIDE destination self
Zone-pair name IN-SELF 2
Source-Zone INSIDE Destination-Zone self
service-policy TRUSTED-POLICY-IN
Router# show call active voice com | i NA|VRF <callID> A/O FAX T<sec> Codec type Peer Address IP R:<ip>:<udp> VRF 467 ANS T2 g711ulaw VOIP Psipp 192.168.1.48:16384 NA 468 ORG T2 g711ulaw VOIP P8675309 192.168.3.59:16386 NA
Router# show voip rtp con | i NA|VRF No. CallId dstCallId LocalRTP RmtRTP LocalIP RemoteIP MPSS VRF 1 467 468 8120 16384 192.168.1.12 192.168.1.48 NO NA 2 468 467 8122 16386 192.168.2.58 192.168.3.59 NO NA
Router# show call active voice br | i dur dur 00:00:03 tx:107/24156 rx:109/24592 dscp:0 media:0 audio tos:0xB8 video tos:0x0 dur 00:00:03 tx:109/24592 rx:107/24156 dscp:0 media:0 audio tos:0xB8 video tos:0x0
Router# show sip-ua connections tcp detail Total active connections : 2 [..truncated..] Remote-Agent:192.168.3.52, Connections-Count:1 Remote-Port Conn-Id Conn-State WriteQ-Size Local-Address Tenant =========== ======= =========== =========== ====================================== ====== 5060 51 Established 0 192.168.2.58:51875 0 Remote-Agent:192.168.1.48, Connections-Count:1 Remote-Port Conn-Id Conn-State WriteQ-Size Local-Address Tenant =========== ======= =========== =========== ====================================== ====== 33821 50 Established 0 192.168.1.12:5060 0
[..truncated..]
Router# show policy-firewall sessions platform --show platform hardware qfp active feature firewall datapath scb any any any any any all any -- [s=session i=imprecise channel c=control channel d=data channel u=utd inspect A/D=appfw action allow/deny] Session ID:0x000000A8 192.168.2.58 51875 192.168.3.52 5060 proto 6 (-global-:0:-global-:0) (0x16:sip) [sc] +-Session ID:0x000000AA 192.168.2.58 0 192.168.3.52 5060 proto 6 (-global-:0:-global-:0) (0x16:sip) [icD] +-Session ID:0x000000A9 192.168.3.52 0 192.168.2.58 5060 proto 6 (-global-:0:-global-:0) (0x16:sip) [icD] Session ID:0x000000AC 192.168.3.59 16386 192.168.2.58 8122 proto 17 (-global-:0:-global-:0) (0x2:udp) [sc] Session ID:0x000000AD 192.168.1.48 16384 192.168.1.12 8120 proto 17 (-global-:0:-global-:0) (0x3a:sip rtp data) [sd] Session ID:0x000000A6 192.168.1.48 33821 192.168.1.12 5060 proto 6 (-global-:0:-global-:0) (0x16:sip) [sc] +-Session ID:0x000000AE 192.168.1.48 16385 192.168.1.12 8121 proto 17 (-global-:0:-global-:0) (0x3a:sip rtp data) [id] +-Session ID:0x000000AD 192.168.1.48 16384 192.168.1.12 8120 proto 17 (-global-:0:-global-:0) (0x3a:sip rtp data) [sd] +-Session ID:0x000000AB 192.168.1.48 0 192.168.1.12 5060 proto 6 (-global-:0:-global-:0) (0x16:sip) [ic] +-Session ID:0x000000A7 192.168.1.12 0 192.168.1.48 5060 proto 6 (-global-:0:-global-:0) (0x16:sip) [ic]
Router# show policy-map type inspect zone-pair sessions | i Zone-pair|Session ID Zone-pair: IN-SELF Session ID 0x000000AD (192.168.1.48:16384)=>(192.168.1.12:8120) sip-RTP-data SIS_OPEN Session ID 0x000000A6 (192.168.1.48:33821)=>(192.168.1.12:5060) sip SIS_OPEN Session ID 0x000000A7 (192.168.1.12:0)=>(192.168.1.48:5060) sip SIS_PREGEN Session ID 0x000000AE (192.168.1.48:16385)=>(192.168.1.12:8121) sip-RTP-data SIS_PREGEN Session ID 0x000000AB (192.168.1.48:0)=>(192.168.1.12:5060) sip SIS_PREGEN Zone-pair: OUT-SELF Session ID 0x000000AC (192.168.3.59:16386)=>(192.168.2.58:8122) udp SIS_OPEN Zone-pair: SELF-IN Zone-pair: SELF-OUT Session ID 0x000000A8 (192.168.2.58:51875)=>(192.168.3.52:5060) sip SIS_OPEN Session ID 0x000000AA (192.168.2.58:0)=>(192.168.3.52:5060) sip SIS_PREGEN Session ID 0x000000A9 (192.168.3.52:0)=>(192.168.2.58:5060) sip SIS_PREGEN
In dit document vindt u problemen met de op Cisco IOS XE-zone gebaseerde firewall:
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/117721-technote-iosfirewall-00.html
De volgende configuratie zal de servicemotor die door CUBE LTI wordt gebruikt in kaart brengen aan de BINNENzone voor ZBFW-doeleinden.
!
interface Service-Engine0/4/0
zone-member security INSIDE
!
Gelijkaardige logica voor service-engine zone-pair mapping kan worden gebruikt voor op hardware PVDM/DSP gebaseerde SCCP Media Resources en de SCCP Bind Interface, maar dit onderwerp valt buiten het bereik van dit document.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
10-Apr-2023 |
Eerste vrijgave |