Asa Firewall Configuration For Expresswa
Asa Firewall Configuration For Expresswa
Asa Firewall Configuration For Expresswa
Introduction
Ce document décrit les étapes de configuration du pare-feu ASA dans un déploiement
d’Expressway avec la double carte réseau activée pour le flux WebRTC.
Conditions préalables
Conditions requises
Components Used
Ce document n’est pas limité à des versions spécifiques du logiciel et du matériel; il faut toutefois
que les exigences en matière de version minimale du logiciel soient satisfaites.
● Serveur Expressway
● Serveur CMS
The information in this document was created from the devices in a specific lab environment. All of
the devices used in this document started with a cleared (default) configuration. Si votre réseau
est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Une prise en charge de proxy WebRTC a été ajoutée à Expressway de la version X8.9.2. Cela
permet aux utilisateurs hors lieux de naviguer vers un pont Web de serveur de réunion de Cisco.
Les clients externes et les invités peuvent gérer ou rejoindre les coSpaces de CMS sans avoir
besoin d'autre logiciel qu'un navigateur Web pris en charge. La liste des navigateurs pris en
charge se trouve ici.
Le serveur Expressway-E peut être configuré avec des interfaces réseau simples ou doubles (par
conséquent, avec une paire de cartes réseau orientées interne et externe). Dans les versions
précédentes d’Expressway, avoir une double carte réseau avec NAT statique n’était pas
obligatoire. Lorsque la fonction WebRTC sur Expressway a été activée, elle a commencé à
nécessiter la configuration d’une NAT statique, même dans le cas d’une double carte réseau
activée sur le serveur Expressway-E. La version X12.5.3 du logiciel Expressway devrait contenir
un remaniement de la logique du code, qui supprime cette exigence dans presque tous les
scénarios de configuration. Référez-vous à la demande d'amélioration CSCve37570 pour plus
d'informations.
Remarque : lorsque Expressway-E en configuration double NIC avec NAT statique est utilisé
comme serveur TURN pour le trafic WebRTC et que le seul chemin de support de travail est
le candidat de relais sur CMS et le client WebRTC, le serveur TURN envoie physiquement
des paquets RTP à sa propre adresse IP NAT statique. C'est pourquoi la réflexion NAT doit
être configurée sur le pare-feu externe.
Note technique
Si vous souhaitez en savoir plus sur les processus ICE, TURN et STUN, consultez la présentation
Cisco Life ICE / TURN / STUN Tutorial - BRKCOL-2986
Cette session fournit des informations techniques et des informations sur la technologie TURN
(Traversal Using Relay NAT) et ICE (Interactive Connectivity Establishment). Il explique comment
ils sont utilisés dans la gamme de solutions de collaboration, en prêtant une attention particulière
au cas d'utilisation des services d'accès mobile et à distance (MRA). Les participants à cette
session ont appris pourquoi TURN est nécessaire et comment ICE trouve le chemin multimédia
optimal. Les conseils de dépannage ont été discutés et les outils de maintenance disponibles ainsi
que les meilleures pratiques ont été démontrés.
Configuration
Ce chapitre décrit les étapes requises pour configurer la réflexion NAT sur le pare-feu ASA dans
le scénario de serveur Expressway-E avec double carte réseau activée. Le trafic de retour du
pare-feu vers l’Expressway (après réflexion) a comme adresse source l’adresse IP publique du
serveur d’où provient la demande (pour correspondre aux autorisations TURN).
Note: Les pare-feu méfient généralement les paquets qui ont la même adresse IP source et
de destination. Vous devez configurer votre pare-feu externe pour autoriser la réflexion NAT
pour l’adresse IP publique de l’Expressway-E.
Diagramme du réseau
Cette image fournit un exemple de flux WebRTC général, dans le scénario Expressway avec
double carte réseau activée :
Cette image fournit un exemple de flux de connexions et les ports requis pour elle Web Proxy pour
CMS WebRTC :