Cisco ASA SIP/RTP 检查问题

网络工程 思科 思科 防火墙 网络电话
2021-07-30 19:43:44

我有以下场景:

[VoIP phone]--------[ASA 5550]----------[SIP Server]
  • VoIP 电话:10.0.0.10
  • SIP 服务器:公网地址

问题:

  1. 在上述情况下,我是否需要10000-20000在 ASA 上指定或打开 RTP 端口范围,或者pinhole当 VoIP 电话启动与 SIP 服务器的连接时,ASA 是否会使用方法?

  2. 防火墙如何处理 UDP 端口统计信息?因为在 TCP 中我们知道它是有状态的,但是防火墙如何理解它从内部到外部发起的 UDP 流量以保持该端口打开双向流量?

  3. 如果我启用SIP Inspection它会在SDP检查后自动打开 RTP 媒体端口INVITE吗?

  4. 如果SIP Inspection在这种情况下我不启用,我是否需要打开完整的 RTP 端口范围以允许外部到内部流量?

1个回答

假设您的 VOIP 电话在远程站点上,并且您通过 VPN(IKEv1 或 IKEv2)连接连接到防火墙。您的终端能够在某些端口 5060、5061 或任何其他端口上访问 SIP 服务器,并成功向 SIP 服务器注册自己。

然后,我认为您不需要为 SIP 和 RTP 消息明确打开端口,因为 ASA 会自动创建必要的针孔。

其它你可能感兴趣的问题
上一篇瞻博网络虚拟路由器上的流量整形 下一篇隧道 RA vpn 中的 IKEv2 客户端身份验证