更正 ACL 规则以打开 VoIP 的 UDP 端口

网络工程 思科 路由器 防火墙 网络电话
2021-07-17 19:18:46

我有当前的规则,试图为我的 VoIP 提供商打开端口 5060 和 10000-20000。我们在 Cisco 1921 路由器上。此 ACL 应用于面向 ISP 的路由器上的 WAN 端口。Nmap 端口扫描显示这些端口已关闭。

  1. 任何人都可以帮助验证我的 ACL 并在必要时更正我的规则吗?
  2. 我是否还需要出站 ACL 来打开端口,因为这是用于托管 VoIP PBX 的?
  3. Nmap 是否没有检测到开放端口,因为我不是 ACL 的特定主机?我尝试了一些不特定于公共 IP 的其他端口,Nmap 也显示为关闭。
  4. 如果我在路由器后面的 L3 交换机也需要 ACL 来打开位于 PC 和路由器之间的端口?

路由器配置

interface GigabitEthernet0/0
 description WAN
 ip address x.x.x.x 255.255.255.240
 ip access-group 101 in
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description LAN
 ip address 192.168.1.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
access-list 101 permit udp host x.x.x.x any eq 5060
access-list 101 permit udp host x.x.x.x any range 10000 20000

Nmap 端口扫描

Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-04 16:24 PST
Nmap scan report for
Host is up (0.022s latency).
PORT     STATE  SERVICE
5060/udp closed sip

Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-04 16:24 PST
Nmap scan report for 
Host is up (0.023s latency).
PORT      STATE  SERVICE
10000/udp closed ndmp


Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-04 16:24 PST
Nmap scan report for wsip-184-191-183-54.sd.sd.cox.net (184.191.183.54)
Host is up (0.026s latency).
PORT      STATE  SERVICE
20000/udp closed unknown
1个回答

您应该不需要出站 ACL,根据显示的配置,出站路径不受限制。

您引用了入站 ACL 的两行:

access-list 101 permit udp host x.x.x.x any eq 5060
access-list 101 permit udp host x.x.x.x any range 10000 20000

我假设外部 IP XXXX 可以访问任何内部 IP,使用 5060 或 10000-20000 作为内部目的地的端口

如果那是正确的,那很好(我从问题中不清楚)。但是,如果它是使用 5060 或 10000 到 20000的源端口(在外部服务器上)并且目标端口不相同,那么您需要类似的东西:

access-list 101 permit udp host x.x.x.x eq 5060 any
access-list 101 permit udp host x.x.x.x  range 10000 20000 any

另外,我会参考托管 PBX 关于 NAT 的说明,因为如果他们试图在没有事先联系的情况下访问您网络上的 VoIP 设备,则可能会出现问题。

其它你可能感兴趣的问题
上一篇IOS-XR - 如何在接口上监管带宽 下一篇列出没有给定属性的端口