Cisco IP Phone 流量研究(穿越防火墻處理方法) 教主

來源:本站原創 網絡技術 超過757 views圍觀 0條評論

Cisco IP Phone 初始化過程抓包分析:

1.初始初期的一些二層流量 (PVSTP EAP CDP)

3969641596567235161[1]

2.DHCP流量

3969641596567235162[1]

3.TFTP流量:

4845591724074504609[1]

4.SCCP (Skinny流量)

4845591724074504610[1]

5.通話階段的RTP:

5429370825788692278[1]

穿越ASA防火墻處理(由低到高):

************************普通IP Phone需要放的流量*************************

access-list out extended permit udp any host CallCenter地址 eq bootps (DHCP)
access-list out extended permit udp any host CallCenter地址 eq tftp (TFTP)
access-list out extended permit tcp any host CallCenter地址 eq 2000 (Skinny)

************************軟電話測試需要額外放行的流量**********************
access-list out extended permit tcp any host CallCenter地址 eq 6970
access-list out extended permit tcp any host CallCenter地址 eq 8080

注意需要監控的協議:

policy-map global_policy
class inspection_default
  inspect skinny

  inspect tftp

注意:監控的好處就在于不用放行RTP流量,RTP的端口范圍很大,如果要放行會有很大的安全漏洞

如果要放行RTP,可以使用如下ACL:

permit udp any any range 16384 32767

穿越IOS防火墻(CBAC)處理:

ip inspect name gz.voice tftp
ip inspect name gz.voice skinny

ip access-list extended PermitOnlyVoiceTraffic
permit udp object-group Voice.IP host CallCenter地址 eq tftp
permit tcp object-group Voice.IP host CallCenter地址 eq 2000
permit tcp object-group Voice.IP host CallCenter地址 eq 6970

ip access-list extended deny.any.traffic
deny   ip any any

interface Virtual-Template100 type tunnel
description For-Voice-Traffic
ip unnumbered Loopback0
ip access-group PermitOnlyVoiceTraffic in
ip access-group deny.any.traffic out

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=174轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏