Configuración del “Dual NIC” en Cisco VCS Expressway

Blog

Apr 6, 2012 4:45 PM
Apr 6th, 2012

El objetivo de este post es dar una visión general de la configuración de la segunda interface de red (Dual NIC) del VCS Expressway.

El VCS Expressway soporta la opción “Dual NIC”. La cual habilita una interface LAN secundaria (Interna), esta provee una capa extra de seguridad de tal manera que toda la comunicación del servidor Expressway es ruteada entre las dos interfaces (Interna a Externa y viceversa). La configuración del “Dual NIC” está diseñada para ambiente de alta seguridad en donde el VCS Expressway se localiza en una zona DMZ entre dos firewalls separados en diferentes segmentos de la red. En tales ambientes los routers prevén que los dispositivos en la red interna puedan rutear trafico IP a Internet directamente, en cambio el trafico de red pasa a través de un Proxy tal como el VCS.

Existen diferentes tipos favorables de configuraciones de red o escenarios del “Dual NIC” (no cubiertos aquí) que resultan útiles. Para estos puedes consultar a tu Cisco account SE para referencias respecto a diferentes escenarios de red o configuración.

Requerimientos:

Los siguientes puntos son necesarios para poder habilitar la opción “Dual NIC” en el VCS Expressway:

  • VCS Expressway con versión de Software X5.0 o superior.
  • El “Option KEY” del “Dual NIC” (el “Option Key” se debe instalar en el VCS Expressway para poder configurarse. Revisa en la página de “Status” del VCS cuales opciones están instaladas).
  • 2 direcciones IP para el VCS:
    • Externa / Dirección de IP Publica (preferentemente se asigna a LAN1).
    • Interna / Dirección IP DMZ (preferentemente se asigna a LAN2).
  • Dirección IP del Gateway para la interface LAN1 (Externa, IP pública).
  • Ruta estática para la interface LAN2

Si no existe un NAT entre el VCS Control y la interface LAN2 (Interna) del VCS Expressway se requerirá de la dirección de Gateway y el “Prefixlenght” (bit-mask) del VCS Control.

  • Cable serial y una terminal por ejemplo Windows HyperTerminal.

Configuración de la Interface:

Desde el Shell de la Terminal los siguientes comandos son necesarios para completar la configuración:

  • * xcom routeadd - te permite definir una ruta estática para la interface interna
  • xcom routedelete - te permite borrar una ruta estática

RouteDelete <Route ID>

Donde <RouteID> es el numero después de ‘IP Route’ en los detalles de ruta

  • xcon ip route - muestra la configuración de la ruta de una interface dada

Ejemplo:

xConfiguration IP Route 1 Address: "172.4.96.0"

xConfiguration IP Route 1 PrefixLength: 24

xConfiguration IP Route 1 Gateway: "10.23.72.2"

xConfiguration IP Route 1 Interface: LAN2

*nota: una ruta estática solo es requerida cuando el VCS Control y el VCS Expressway se encuentran en la misma red y la comunicación entre los dos no se realice mediante un Gateway. En esta situación la ruta estática le informa a la interface LAN2 (o interna) del VCS Expressway la dirección del Gateway que utilizara para comunicarse con el VCS Control. En situaciones donde el VCS Control rutee trafico a través de un Gateway, las rutas estáticas son innecesarias, dado que el VCS Expressway utilizara la dirección del Gateway como la ruta hacia el VCS Control.

Escenario 1:

Este escenario ilustra una situación típica en donde el VCS Expressway se encuentra en una DMZ y la red privada esta “NATEADA” (sic) o “NAT’d” en ingles. En esta situación el tráfico del segmento de la red interna hacia el VCS Expressway aparecerá en la configuración del NAT Gateway/firewall (172.4.96.1). Aquí no se requiere una ruta estática para la interface LAN2, dado que esta ruteara el trafico a través de la dirección del Gateway de la configuración NAT router/firewall.

Untitled.png

Escenario 2:

En este escenario la red privada no es ruteable desde el VCS Expressway, así que la IP de la red privada (172.x.y.z) no se puede alcanzar por el Expressway. Para que el Expressway pueda rutear el tráfico de regreso al segmento de red interna, es necesario definir una ruta estática que le indique a la interface LAN2 la dirección del Gateway que debe utilizar para alcanzar el segmento de la red interna.

Untitled2.png

Consideraciones importantes:

La administración del VCS se puede llevar a cabo desde cualquiera de las dos interfaces (LAN1 y LAN2). Si se quisiera bloquear la administración desde Internet público, el firewall debe bloquear los puertos de administración de tráfico (Telnet, SSH, HTTP, HTTPS, etc.)

Otros Documentos:

Cisco Video Communication Command Reference:

http://www.cisco.com/en/US/docs/telepresence/infrastructure/vcs/admin_guide/Cisco_VCS_Command_Reference_X6.pdf

Average Rating: 0 (0 ratings)

Actions

Login or Register to take actions

This Blog

Posted April 6, 2012 at 4:45 PM
Stats:
Comments:0 Avg. Rating:0
Views:936   
Shares:0