注意: 除非下面列出的条件正在使用, 否则客户无需修改防火墙策略.
问题:通常需要防火墙作为一个 ALG 来创建 SIP 会话的针孔, 并提供地址转换功能. "Sip"应用程序 ID 创建无缝地允许函数的议定书 》,当它遇到防火墙这种针孔。当沟通在一个区域 (源) 中使用静态 NAT 发出交通注定要在另一个区域 (目标) 的 SIP 服务器的 SIP 服务器,防火墙将创建一个针孔,因此允许在目标区域内使用 SIP 通信与主机SIP 服务器在源区。例如,SIP 服务器 P.Q.R.S 在源区静态 NAT ed 到 D.E.F.G:5060,急件 SIP 注册消息到外部 SIP 服务器 A.B.C.D:5060 在目标区域。这个结果在防火墙创建接受传入的连接,从 D.E.F.G:5060 向目标区域中主机的一个小孔。
分辨率: "sip 主干" 应用程序 ID 在与应用程序重写结合使用时, 将禁用创建这样的针孔. 此应用程序 ID 是已知的 SIP 服务器之间使用。必须指定这些服务器的源和目标地址,与他们的 SIP 通信中重写到新"sip 中继"应用程序 id。此外,由于缺乏一个针孔,要求管理员来配置安全策略规则,允许在相反的方向这些服务器之间的通信。这允许 SIP 服务器彼此,沟通和针孔没有阻止防火墙接受在目标区域内的其他主机的入站的连接。
要求︰
- SIP 注册或代理是静态试验通过防火墙
- 在环境中正在使用 SIP 中继
- 内容数据库版本 518 或更高
注意,切换到 sip 中继需要清除活动的所有 SIP 通信,所以过程中将会对用户造成中断。 我们推荐小时执行这些更改后调度停电或维护窗口。 此外,udp/5060 以外的任何端口正在使用您的 SIP 服务器将需要相应地将添加到新政策。
如何实现:
1) 创建一个允许 udp/5060 以及正在利用此应用程序在您的环境中的任何其他端口上的 sip 中继通信的规则的应用程序重写策略。 这项政策可以范围被有限的只能通过指定源和目标 IP 地址,以及区域匹配所需的 SIP 通信。
2) 创建块"sip"应用程序的安全策略。
3) 创建一个包含 udp/5060,以及您的 SIP 服务器所需的任何其他端口的服务对象。
4) 创建安全策略允许"sip 中继"应用程序的前面步骤中创建的统治之下。 这项政策应范围被有限的只能通过指定源和目标 IP 地址,以及区域匹配所需的 SIP 通信。
5) 创建一个静态的双向源 NAT 政策。
6) 承诺的政策。
7) 清除 CLI 中的所有当前 sip 会话 (注意: 此命令将中断所有活动的 sip 通信):
> 清除所有筛选应用 sip 会话
8) 清除应用程序缓存从 CLI:
> 清除 appinfo2ip