отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Поиск и устранение неисправностей в прокси для телефона ASA и распространенные проблемы

”:

 

Цель

Прокси для телефона многофункционального устройства безопасности Cisco ASA — это новый продукт, заменяющий Cisco Unified Phone Proxy. Эта страница должна помочь найти и устранить неисправности, связанные с функцией прокси для телефона, на межсетевом экране.

 

Описание

Функция прокси для телефона Cisco ASA позволяет устанавливать непосредственную связь между телефонами и ASA по защищенным каналам; эти защищенные каналы связи заканчиваются непосредственно в межсетевом экране, который выполняет функцию "прокси" для голосовой связи между телефоном и диспетчером CallManager.

Эта функция обеспечивает безопасную голосовую связь для телефонов, установленных на месте эксплуатации, избавляя от необходимости использовать отдельное устройство для шифрования трафика, передаваемого в диспетчер CallManager.

 

Документация

Руководство по настройке ASA 8.0 — функция прокси для телефона

ASA Phone Proxy sample configuration in 8.0

Официальная документация по поиску и устранению неисправностей прокси для телефона

 

Лицензирование

Чтобы определить количество удаленных телефонов, которые могут подключиться к прокси для телефона, воспользуйтесь командой show version. Запишите значение, указанное в строке UC Proxy Sessions (Количество сеансов прокси UC):

PhoneProxyASA#show version

Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 5.2(4)
....
UC Proxy Sessions            : 2        

Это общее число сеансов прокси TLS, которые могут быть установлены одновременно. Например, если в кластере есть только один диспетчер CUCM, общее число телефонов, которые можно зарегистрировать через прокси для телефона, равно 2. При наличии в кластере резервного и основного диспетчера CUCM, зарегистрировать можно только 1 телефон, поскольку телефон будет также инициировать подключение TLS к резервному CUCM, используя тем самым одно из подключений TLS. Дополнительные сведения о лицензировании см. по адресу http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/unified_comm.html#wp1139894.

Чтобы определить подключенные телефоны, воспользуйтесь командой show tls-proxy session. Если срок действия лицензии истечет, в системный журнал будет добавлена нижеследующая запись:

 

%ASA-4-446002: Denied TLS Proxy session from outside:10.10.10.2/49572 to 
inside:192.168.1.2/2000, licensed UC Proxy session limit of 20 exceeded

 

Обратите внимание, что в случае отключения пользователей с последующим быстрым переподключением с другого IP-адреса межсетевой экран может функционировать ненадлежащим образом из-за ошибки CSCsu11361.

 

Настройка телефона и соответствующие задачи

 

Настройка TFTP-сервера

  • Чтобы настроить на телефоне TFTP-сервер, выполните следующие действия.
  1. Нажмите кнопку Settings (Настройки).
  2. Выберите 3 — Network Configuration (3 — Сетевая конфигурация).
  3. Нажмите "* * #", чтобы разблокировать телефон. Значок замка, отображающийся в верхнем правом углу, сменится значком с открытым замком.
  4. Убедитесь, что для опции 24 Alternate TFTP (24 альтернативный TFTP) (на более старых моделях телефона это может быть опция 32) установлено значение YES (ДА).
  5. Зaдайте правильный адрес TFTP-сервера в опции 8 TFTP Server 1 (8 TFTP-сервер 1).

 

Удаление файла списка доверия сертификатов (CTL) на телефоне

  1. Нажмите кнопку Settings (Настройки).
  2. Выберите Security Configuration (Настройка безопасности) (в зависимости от модели телефона это может быть опция 4 или 6).
  3. Разблокируйте телефон, нажав "* * #".
  4. Перейдите вниз по списку к пункту CTL file (Файл CTL) и нажмите кнопку Select (Выбрать).
  5. Нажмите кнопку Erase (Стереть) (возможно, сначала нужно будет нажать кнопку More (Дополнительно)).

 

Просмотрите сообщения о состоянии на телефоне.

  1. Нажмите кнопку Settings (Настройки).
  2. Перейдите вниз по списку к пункту Status (Состояние) и нажмите кнопку Select (Выбрать).
  3. Нажмите кнопку Select (Выбрать) для первой опции Status Messages (Сообщения о состоянии).

 

Отладка, поиск и устранение неисправностей

 

Пошаговая практическая инструкция по процессу регистрации телефона

Это пошаговая практическая инструкция, в которой объясняются все операции по подключению телефона к прокси-серверу.

  1. Происходит включение телефона и попытка получить IP-адрес по протоколу DHCP.
  2. Если в телефоне отсутствует файл списка доверия сертификатов (CTL), он попытается загрузить его с TFTP-сервера.  
    • При отправке телефоном TFTP-запроса на получение файла CTL система ASA отправляет собственный файл списка доверия сертификатов, созданный на межсетевом экране. Следовательно, в действительности на внутренний диспетчер CallManager не отправляется и не переадресовывается ни один пакет. Все они "подменяются" системой ASA.
    • Если в телефоне содержится "старый" файл CTL, загруженный из другого диспетчера CallManager, возможно, следующий шаг выполнить не удастся, если новый файл CTL не был подписан с помощью ключей SAST из "старого" файла CTL. Следовательно, если новый файл CTL был подписан с помощью других ключей SAST, телефон отклонит его и выдаст ошибку CTL File Not Authorized (Файл CTL не авторизован). Чтобы загрузить новый правильный файл CTL, необходимо очитстить старый файл списка доверия сертификатов (CTL).
  3. Затем телефон считает запись TFTP-сервера в конфигурационном файле и отправит запрос на файл SEPxxxxxxxxxxx.cfg.xml, где x соответствует MAC-адресу телефона
  4. Система ASA проверяет этот TFTP-запрос и извлекает конфигурационный файл из диспетчера CallManager в собственную память. Затем она вносит изменения в этот конфигурационный файл перед отправкой его на телефон. В ходе этого процесса в качестве IP-адреса источника TFTP-пакетов, отправляемых в диспетчер CallManager системой ASA, будет указан IP-адрес телефона, а не внутреннего интерфейса межсетевого экрана. Это важно, поскольку трафик, возвращаемый диспетчером CallManager на телефон, должен пройти через ASA. После получения файла система ASA вносит в него следующие изменения перед отправкой на телефон.  
    • Ищет запись securityDeviceMode и задает для нее значение "3", включив тем самым шифрование.
    • Меняет остальные параметры безопасности в соответствии с настройками ASA. См. команду no disable service-settings в разделе настройки экземпляра phone-proxy.
    • Выполняет трансляцию сетевых адресов (NAT) в IP-адреса CUCM и CAPF в случае их наличия.
    • Перезаписывает значение proxyServerURL, если оно настроено.
    • Создает список контроля доступа (ACL), позволяющий телефону инициировать подключение TLS к CUCM.
    • Создает правило app-redirect для перенаправления с телефона на CUCM, если телефон настроен как незащищенный.
  5. Телефон получает измененный файл конфигурации и пытается установить новое защищенное подключение по протоколу TCP к глобальному IP-адресу диспетчера CallManager (настроенному при трансляции на межсетевой экран). В случае использования протокола SCCP (Skinny) это подключение осуществляется через TCP-порт 2443. В случае SIP — через порт 5061.  
    • На этом этапе важно отметить, что, когда трафик, исходящий из телефона, достигает диспетчера CallManager, в качестве IP-адреса источника указывается IP-адрес телефона. Следовательно, крайне важно, чтобы трафик из CallManager возвращался на телефон через ASA. В противном случае при регистрации произойдет сбой.
  6. Во время квитирования по протоколу TLS в прокси-сервере TLS происходит извлечение MAC-адреса из сертификата, представленного телефоном, и проверка наличия этого MAC-адреса, поступившего с IP-адреса телефона, в числе защищенных телефонов базы данных прокси-сервера телефона. Содержание базы данных защищенных телефонов можно просмотреть с помощью команды show phone-proxy secure-phones. Если в базе данных защищенных телефонов есть соответствующая запись, то квитирование TLS продолжается, в противном случае прокси-сервер TLS отклонит его, и регистрация данного телефона будет невозможна.
  7. Система ASA устанавливает подключение Skinny без шифрования к диспетчеру CallManager для каждого подключенного телефона, ЕСЛИ этот телефон настроен как незащищенный. Если он настроен как телефон с шифрованием и безопасным профилем, подключение между ASA и CUCM также будет зашифрованным. Между ASA и каждым подключенным телефоном устанавливается зашифрованное соединение.
  8. Затем удаленный защищенный телефон начинает отправлять пакеты SRTP на адрес подключения передающей среды ASA. Затем система ASA расшифрует пакеты SRTP и отправит их как пакеты RTP, если другая ветвь подключения к другому телефону не защищена. Аналогично, получающий телефон отправляет пакеты SRTP или RTP по адресу подключения передающей среды ASA, а система ASA зашифровывает или расшифровывает пакеты и отправляет их в виде пакетов SRTP на удаленный защищенный телефон.

 

 

Общие проблемы

 

Проблемы регистрации телефона

 

Сертификаты, установленные производителем (Manufacturing Installed Certificates (MIC)), не загружены в ASA

Если сертификаты MIC не были установлены на ASA, а на подключенном телефоне используется сертификат MIC (а не сертификат LSC), в системном журнале отображаются следующие записи:

 

Aug 29 2008 09:03:30: %ASA-6-725001: Starting SSL handshake with client 
outside:192.168.254.254/50272 for TLSv1 session.
Aug 29 2008 09:03:30: %ASA-7-725010: Device supports the following 4 cipher(s).
Aug 29 2008 09:03:30: %ASA-7-725011: Cipher[1] : RC4-SHA
Aug 29 2008 09:03:30: %ASA-7-725011: Cipher[2] : AES128-SHA
Aug 29 2008 09:03:30: %ASA-7-725011: Cipher[3] : AES256-SHA
Aug 29 2008 09:03:30: %ASA-7-725011: Cipher[4] : DES-CBC3-SHA
Aug 29 2008 09:03:30: %ASA-7-725008: SSL client outside:192.168.254.254/50272 proposes the
following 2 cipher(s).
Aug 29 2008 09:03:30: %ASA-7-725011: Cipher[1] : AES256-SHA
Aug 29 2008 09:03:30: %ASA-7-725011: Cipher[2] : AES128-SHA
Aug 29 2008 09:03:30: %ASA-7-725012: Device chooses cipher : AES128-SHA for the SSL
session with client outside:192.168.254.254/50272
Aug 29 2008 09:03:32: %ASA-7-725014: SSL lib error. Function: SSL3_READ_BYTES Reason: ssl
handshake failure
Aug 29 2008 09:03:32: %ASA-7-717025: Validating certificate chain containing 1
certificate(s).
Aug 29 2008 09:03:32: %ASA-7-717029: Identified client certificate within certificate
chain. serial number: 19567F78000000281D45, subject name:
cn=CP-7942G-SEP001DA23EA450,ou=EVVBU,o=Cisco Systems Inc..
Aug 29 2008 09:03:32: %ASA-3-717009: Certificate validation failed. No suitable
trustpoints found to validate certificate serial number: 19567F78000000281D45, subject
name: cn=CP-7942G-SEP001DA23EA450,ou=EVVBU,o=Cisco Systems Inc..
Aug 29 2008 09:03:32: %ASA-3-717027: Certificate chain failed validation. No suitable
trustpoint was found to validate chain.
Aug 29 2008 09:03:32: %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_CERTIFICATE
Reason: no certificate returned
Aug 29 2008 09:03:32: %ASA-6-725006: Device failed SSL handshake with outside
client:192.168.254.254/50272
Aug 29 2008 09:03:32: %ASA-6-302014: Teardown TCP connection 797 for
outside:192.168.254.254/50272 to inside:10.55.151.140/2000 duration 0:00:01 bytes 623 Flow
closed by inspection

 

На телефоне не установлен сертификат

Признак: телефон загружает конфигурацию TFTP, но затем ему не удается подключиться к порту межсетевого экрана через защищенный порт 2443. Вместо этого он подключается к порту через незащищенный порт 2000 (незащищенный порт). Если на телефоне не установлен сертификат, он будет игнорировать запись в конфигурационном файле о необходимости использования шифрования, и будет подключаться как незащищенный. Если внешний список контроля доступа (ACL) допускает входящие подключения к порту 2000, телефон может быть зарегистрирован в диспетчере CallManager только в незащищенном режиме. Если входящий порт 2000 заблокирован, телефону не удастся пройти регистрацию, и он просто считает строку Opening x.x.x.x (Открытие x.x.x.x). В сообщениях о состоянии на телефоне будет просто сказано о том, что конфигурационный файл загружен, и больше ничего. В записях отладки TFTP будет указано, что список доверия сертификатов (CTL) и конфигурационный файл успешно загружены.

 

PP: 172.18.254.73/51783 requesting CTLSEP0007EBF0EE54.tlv
PP: Created entry for secure device outside:172.18.254.73, MAC 0007.ebf0.ee54, current count 1, list count 3
PP: opened 0x32b3cfea
PP: Data Block 1 forwarded from 14.36.107.90/46309 to 172.18.254.73/51783 ingress ifc outside
PP: Received ACK Block 1 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.73/51783
PP: Received ACK Block 2 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.73/51783
PP: Received ACK Block 3 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.73/51783
PP: Received ACK Block 4 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.73/51783
PP: Received ACK Block 5 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 6 forwarded to 172.18.254.73/51783
PP: Received ACK Block 6 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 7 forwarded to 172.18.254.73/51783
PP: Received ACK Block 7 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 8 forwarded to 172.18.254.73/51783
PP: Received ACK Block 8 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: Data Block 9 forwarded to 172.18.254.73/51783
PP: Received ACK Block 9 from outside:172.18.254.73/51783 to inside:172.18.124.230
PP: TFTP session complete, all data sent
PP: 172.18.254.73/51784 requesting SEP0007EBF0EE54.cnf.xml.sgn
PP: opened 0x32b48326
PP: Received Data Block 1 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 1
PP: Acked Block #1 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 2 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 2
PP: Acked Block #2 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 3 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 3
PP: Acked Block #3 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 4 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 4
PP: Acked Block #4 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 5 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 5
PP: Acked Block #5 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 6 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 6
PP: Acked Block #6 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 7 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 7
PP: Acked Block #7 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Received Data Block 8 from inside:172.18.124.230/32815 to outside:172.18.254.73/51784
        Received Block 8
PP: Acked Block #8 from 172.18.124.241/33423 to 172.18.124.230/32815
PP: Added ACL for 172.18.254.73 to outside:14.36.107.90/2443
PP: Applied Application Redirect rule for 172.18.254.73/2000 to 14.36.107.90, secure port 2443
PP: Added ACL for 172.18.254.73 to outside:14.36.107.90/59699
PP: Applied Application Redirect rule for 172.18.254.73/3804 to 14.36.107.90, secure port 59699
PP: Modifying to encrypted mode.
PP: Modifying to TLS as the transport layer protocol.
PP: Data Block 1 forwarded from 14.36.107.90/9694 to 172.18.254.73/51784
PP: Received ACK Block 1 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.73/51784
PP: Received ACK Block 2 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.73/51784
PP: Received ACK Block 3 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.73/51784
PP: Received ACK Block 4 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.73/51784
PP: Received ACK Block 5 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 6 forwarded to 172.18.254.73/51784
PP: Received ACK Block 6 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 7 forwarded to 172.18.254.73/51784
PP: Received ACK Block 7 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: Data Block 8 forwarded to 172.18.254.73/51784
PP: Received ACK Block 8 from outside:172.18.254.73/51784 to inside:172.18.124.230
PP: TFTP session complete, all data sent

В записях системного журнала будут просто отображаться подключения по протоколу TFTP и последующее подключение по каналу Skinny к порту 2000.

 

Sep 19 2008 15:19:03: %ASA-7-609001: Built local-host outside:172.18.254.73
Sep 19 2008 15:19:03: %ASA-6-305011: Built dynamic UDP translation from
outside:172.18.254.73/51783 to inside:172.18.124.241/41910
Sep 19 2008 15:19:03: %ASA-6-302015: Built inbound UDP connection 25958 for
outside:172.18.254.73/51783 (172.18.124.241/41910) to inside:172.18.124.230/69 (14.36.107.90/69)
Sep 19 2008 15:19:03: %ASA-6-305011: Built dynamic UDP translation from
inside:172.18.124.230/39638 to outside:14.36.107.90/46309
Sep 19 2008 15:19:03: %ASA-6-302015: Built inbound UDP connection 25959 for
outside:172.18.254.73/51783 (172.18.124.241/41910) to inside:172.18.124.230/39638 (14.36.107.90/46309)
Sep 19 2008 15:19:04: %ASA-6-305012: Teardown dynamic UDP translation from
inside:172.18.124.230/32813 to outside:14.36.107.90/62674 duration 0:02:30
Sep 19 2008 15:19:05: %ASA-6-305011: Built dynamic UDP translation from
outside:172.18.254.73/51784 to inside:172.18.124.241/33423
Sep 19 2008 15:19:05: %ASA-6-302015: Built inbound UDP connection 25960 for
outside:172.18.254.73/51784 (172.18.124.241/33423) to inside:172.18.124.230/69 (14.36.107.90/69)
Sep 19 2008 15:19:05: %ASA-6-302015: Built inbound UDP connection 25961 for
outside:172.18.254.73/51784 (172.18.124.241/33423) to inside:172.18.124.230/32815 (14.36.107.90/9694)
Sep 19 2008 15:19:05: %ASA-6-305011: Built dynamic TCP translation from
inside:172.18.124.230/3804 to outside:14.36.107.90/59699
Sep 19 2008 15:19:06: %ASA-2-106001: Inbound TCP connection denied from
172.18.254.73/51989 to 14.36.107.90/2000 flags SYN  on interface outside
Sep 19 2008 15:19:07: %ASA-2-106001: Inbound TCP connection denied from
172.18.254.73/51989 to 14.36.107.90/2000 flags SYN  on interface outside

 

 

Трафик, поступающий на телефон из диспетчера CallManager, не проходит через ASA, что приводит к сбою подключения по TFTP.

Трафик, возвращающийся из диспетчера CallManager на телефон, должен проходить через ASA. В противном случае происходит сбой процесса регистрации из-за асимметричной маршрутизации.

В этой ситуации файл списка доверия сертификатов (CTL) будет загружаться телефоном надлежащим образом, поскольку он получает его непосредственно из системы ASA (и в этом процессе диспетчер CallManager еще не участвует). Как только на телефоне появляется файл CTL, он отправляет TFTP-запрос диспетчеру CallManager. Этот пакет TFTP-запроса будет отправлен с реального внешнего IP-адреса телефона. В ответ на этот запрос диспетчер CallManager отправит запрашиваемые данные TFTP, используя в качестве пункта назначения фактический IP-адрес телефона. Сеть должна направить возвращаемые диспетчером CallManager пакеты назад на телефон через межсетевой экран. Если пакеты не проходят через систему ASA, при поступлении на телефон они сбрасываются. В зависимости от местонахождения ASA в сети, устранение этой проблемы может потребовать внесения определенных дополнительных изменений в систему маршрутизации (возможно, даже существенных). Один из обходных путей заключается в выполнении преобразования NAT/PAT на входе для всего трафика телефона при его попадании в сеть, однако это может создать другие проблемы (особенно, если включена функция nat-control; если она включена, и настроено какое-либо внешнее преобразование NAT/PAT, нужно настроить внешнее преобразование NAT для всего входящего трафика).

На приведенном ниже рисунке показано, в чем состоит суть проблемы.

 

Phone_proxy_bad_routing.jpg

 

Здесь приведены результаты выполнения команды debug phone-proxy tftp при подключении удаленного телефона к прокси для телефона в системе ASA. Сеть не выполняет маршрутизацию трафика из диспетчера CallManager на телефон через ASA и, следовательно, при передаче конфигурационного файла по протоколу TFTP происходит сбой. Телефон будет осуществлять попытки загрузить файл снова и снова.

 

PP: 172.18.254.73/52361 requesting CTLSEP0007EBF0EE54.tlv
PP: opened 0x116804ea
PP: Data Block 1 forwarded from 14.36.107.90/8554 to 172.18.254.73/52361 ingress ifc outside
PP: Received ACK Block 1 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.73/52361
PP: Received ACK Block 2 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.73/52361
PP: Received ACK Block 3 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.73/52361
PP: Received ACK Block 4 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.73/52361
PP: Received ACK Block 5 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 6 forwarded to 172.18.254.73/52361
PP: Received ACK Block 6 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 7 forwarded to 172.18.254.73/52361
PP: Received ACK Block 7 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 8 forwarded to 172.18.254.73/52361
PP: Received ACK Block 8 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: Data Block 9 forwarded to 172.18.254.73/52361
PP: Received ACK Block 9 from outside:172.18.254.73/52361 to inside:172.18.124.230
PP: TFTP session complete, all data sent
PP: 172.18.254.73/52362 requesting SEP0007EBF0EE54.cnf.xml.sgn
PP: opened 0x116974f6
PP: 172.18.254.73/52363 requesting SEP0007EBF0EE54.cnf.xml.sgn
PP: opened 0x116a21e2
PP: 172.18.254.73/52364 requesting SEP0007EBF0EE54.cnf.xml.sgn
PP: opened 0x116b06ae

Телефон продолжит запрашивать конфигурационный файл, но все попытки будут безуспешными. Добавление внешнего PAT на этом удаленном телефоне позволит решить проблему (в данном случае трансляция адреса порта (PAT) выполняется для всего внешнего трафика, который поступает на межсетевой экран):

 

PhoneProxyASA(config)# nat (outside) 55 0 0 outside
PhoneProxyASA(config)# global (inside) 55 interface

 

или 

 

Hиже приведен пример, как осуществить трансляцию адресов порта (PAT) во внешней сети только для трафика, предназначенного для диспетчера внутренней сети, 

 

PhoneProxyASA(config)#object-group service CUCM-PROXY-PORTS 
PhoneProxyASA(config-service)#service-object udp eq tftp
                              service-object udp range 1024 65535
                              service-object tcp eq 2443
                              service-object tcp eq 5061
                              service-object tcp eq 3804

PhoneProxyASA(config)#access-list cucm-traffic extended permit object-group
CUCM-PROXY-PORTS any host 172.18.124.230

PhoneProxyASA(config)#nat (outside) 55 access-list cucm-traffic outside
PhoneProxyASA(config)#global (inside) 55 interface

 

где 172.18.124.230 — преобразованный адрес диспетчера внутренней сети; 

 

или

 

PhoneProxyASA(config)# nat (outside) 55 172.18.254.73 255.255.255.255 outside
PhoneProxyASA(config)# global (inside) 55 interface

где 172.18.254.73 — IP-адрес телефона внешней сети;

 

или

 

Для версии 8.3 и предыдущих версий формат конфигурации NAT изменился. Для NAT на основе политик было внедрено двойное преобразование NAT. Ниже показано, как функционирует двойное преобразование NAT, при котором выполняется динамическое преобразование PAT любого трафика, предназначенного для общего IP-адреса CUCM. При этом для источника выполняется преобразование во внутренний IP-адрес ASA, а для места назначения — преобразование общего IP-адреса CUCM в соответствующий частный IP-адрес.

 

PhoneProxyASA(config)# object network obj-cucm-public
PhoneProxyASA(config-network-object)# host <cucm-public-ip-address>

PhoneProxyASA(config)# object network obj-cucm-private
PhoneProxyASA(config-network-object)# host <cucm-private-ip-address>

PhoneProxyASA(config)# nat (outside,inside) source dynamic any interface destination static obj-cucm-public obj-cucm-private

 

В кластер CallManager входит несколько устройств, а ASA настраивается только для одного из них

Если в кластер CallManager входит несколько устройств (TFTP-сервер, Publisher, Subscriber и т. п.), для каждого отдельного устройства необходимы статические преобразования, записи ctl-file и центр сертификации.

 

 

Проблемы разрешения имен DNS в системе ASA

Если при определении диспетчера CallManager указывается его имя хоста (а не IP-адрес), при первом извлечении конфигурации TFTP система ASA попытается выполнить поиск по этому имени хоста, и эта попытка завершится неудачей. Результаты выполнения команды debug phone-proxy tftp будут следующими:

....
PP: Received Data Block 15 from vlan100:172.16.100.1/34248 to vlan96:172.16.96.16/49165
       Received Block 15
PP: Acked Block #15 from 172.16.96.16/49165 to 172.16.100.1/34248
PP: Received Data Block 16 from vlan100:172.16.100.1/34248 to vlan96:172.16.96.16/49165
       Received Block 16
PP: Acked Block #16 from 172.16.96.16/49165 to 172.16.100.1/34248
PP: Received Data Block 17 from vlan100:172.16.100.1/34248 to vlan96:172.16.96.16/49165
       Received Block 17
PP: Acked Block #17 from 172.16.96.16/49165 to 172.16.100.1/34248
PP: Received Data Block 18 from vlan100:172.16.100.1/34248 to vlan96:172.16.96.16/49165
       Received Block 18
PP: Acked Block #18 from 172.16.96.16/49165 to 172.16.100.1/34248
PP: Unable to get dns response for id 7
PP: Callback, error modifying config file
PP: Unable to CM name addr
PP: Callback required for parsing config file

Чтобы решить эту проблему, нужно настроить разрешение имен в системе ASA, чтобы можно было преобразовать имя диспетчера CallManager в соответствующий IP-адрес.

 

 

Сбой проверки сертификата из-за неправильного времени в системе ASA

Предлагаемый телефоном сертификат может быть отклонен, если в межсетевом экране установлена неправильная дата. Телефон может выдать сообщение об ошибке, указывающее на наличие проблем с TLS.

В системном журнале межсетевого экрана появятся следующие записи:

 

Jan 02 2005 22:22:38: %ASA-6-305011: Built dynamic TCP translation from 
outside:172.18.254.95/1072 to inside:172.18.124.241/3165
Jan 02 2005 22:22:38: %ASA-6-302013: Built inbound TCP connection 569 for
outside:172.18.254.95/1072 (172.18.124.241/3165) to inside:172.18.124.230/2000 (14.36.107.90/2443)
Jan 02 2005 22:22:38: %ASA-6-725001: Starting SSL handshake with client
outside:172.18.254.95/1072 for TLSv1 session.
Jan 02 2005 22:22:38: %ASA-7-725010: Device supports the following 4 cipher(s).
Jan 02 2005 22:22:38: %ASA-7-725011: Cipher[1] : RC4-SHA
Jan 02 2005 22:22:38: %ASA-7-725011: Cipher[2] : AES128-SHA
Jan 02 2005 22:22:38: %ASA-7-725011: Cipher[3] : AES256-SHA
Jan 02 2005 22:22:38: %ASA-7-725011: Cipher[4] : DES-CBC3-SHA
Jan 02 2005 22:22:38: %ASA-7-725008: SSL client outside:172.18.254.95/1072 proposes
the following 2 cipher(s).
Jan 02 2005 22:22:38: %ASA-7-725011: Cipher[1] : AES256-SHA
Jan 02 2005 22:22:38: %ASA-7-725011: Cipher[2] : AES128-SHA
Jan 02 2005 22:22:38: %ASA-7-725012: Device chooses cipher : AES128-SHA for the SSL
session with client outside:172.18.254.95/1072
Jan 02 2005 22:22:38: %ASA-7-111009: User 'enable_15' executed cmd: show logging
Jan 02 2005 22:22:40: %ASA-7-717025: Validating certificate chain containing 1
certificate(s).
Jan 02 2005 22:22:40: %ASA-7-717029: Identified client certificate within certificate
chain. serial number: 01, subject name: cn=SEP0007EBF0EE54.
Jan 02 2005 22:22:40: %ASA-7-717030: Found a suitable trustpoint capf_trustpoint to
validate certificate.
Jan 02 2005 22:22:40: %ASA-3-717009: Certificate validation failed. Certificate date
is out-of-range, serial number: 01, subject name: cn=SEP0007EBF0EE54.
Jan 02 2005 22:22:40: %ASA-3-717027: Certificate chain failed validation. Certificate
chain date is out-of-range.
Jan 02 2005 22:22:40: %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_CERTIFICATE
Reason: no certificate returned
Jan 02 2005 22:22:40: %ASA-6-725006: Device failed SSL handshake with outside
client:172.18.254.95/1072
Jan 02 2005 22:22:40: %ASA-6-302014: Teardown TCP connection 569 for
outside:172.18.254.95/1072 to inside:172.18.124.230/2000 duration 0:00:02 bytes 901 Flow closed by inspection

 

Проблемы со звуком во время телефонного разговора

 

Во время телефонного разговора слышен треск

Ознакомьтесь со сведениями об ошибке с идентификатором CSCsv86408.

 

Во время телефонного разговора на одном или на обоих концах не слышен голос

Наиболее вероятная причина этой проблемы — неправильная маршрутизация пакетов, вызванная одной из перечисленных ниже причин:

  1. Пакеты, отправляемые с телефона на MTA-адреса, вообще не доходят до межсетевого экрана. В этом случае, будут видны пакеты, собранные на межсетевом экране (на каждом его интерфейсе) со всего трафика, который отправляется с MTA, и на него. Если пакет не достигает межсетевого экрана, потребуется дополнительный поиск неисправностей для определения места, в котором они сбрасываются, и последующего устранения проблемы.
  2. Пакеты, отправленные с телефона на MTA-адрес, попадают в межсетевой экран и поступают на интерфейс X, однако трафик, поступающий на телефон из системы ASA, был отправлен через интерфейс Y. В этом случае, будут видны пакеты, собранные на межсетевом экране (на каждом его интерфейсе) со всего трафика, который отправляется с MTA, и на него. Если поступивший с телефона голосовой трафик попадает в межсетевой экран через интерфейс, отличный от интерфейса, через который межсетевой экран отправил его на телефон, система ASA сбрaсывает пакеты. Это происходит потому, что полученные с телефона UDP-пакеты не будут соответствовать подключению, установленному межсетевым экраном. Причина сбрасывания пакетов ASP — no matching conn (несоответствие подключению).

Соответствующий пример приведен ниже. Phone_proxy_one_way_audio.jpg

Обратите внимание, что в версию 8.2 и последующие версии будет добавлена новая функция, обеспечивающая поддержку адресов подключения передающей среды для каждого отдельного интерфейса. Это позволит решить проблему, описанную в данном примере.

Предположительно, эту проблему можно решить одним из следующих способов:

  • добавить статические маршруты внутри сети, чтобы трафик, предназначенный для MTA, направлялся на внутренний интерфейс межсетевого экрана;
  • добавить статический маршрут на смежном устройстве и распространить данные об этом маршруте с помощью протокола маршрутизации, применяемого внутри системы;
  • изменить таблицу маршрутизации межсетевого экрана, чтобы звуковой трафик отправлялся через тот интерфейс, через который он поступает. В приведенном выше примере на межсетевом экране был добавлен маршрут, который обеспечивает отправку трафика, предназначенного для адреса 10.99.22.3, через внешний интерфейс.

 

Проблемы с телефонными службами

Сервер каталогов и службы аутентификации не работают с системой CallManager 8.0

Теперь для предоставления таких HTTP-услуг, как каталоги и аутентификация, на телефоне с диспетчером CallManager 8.0 (CUCM 8.0) по умолчанию используются подключения HTTPS. На данный момент эти функции не поддерживаются при использовании функциональных возможностей прокси-сервера в прокси для телефона ASA.

 

Ознакомьтесь с данными о дефекте ASA CSCti62447

 

Причина неправильной работы

Теперь, чтобы телефоны могли установить защищенные подключения (HTTPS), они должны установить связь с системой хранения TVS в диспетчере CallManager. В данный момент прокси для телефона не поддерживает связь с хранилищем TVS, и, как следствие, попытка использовать защищенные услуги приведет к сбою.

 

Поток сообщений для TVS без прокси для телефона будет выглядеть следующим образом.

 

  1. Телефон загружает файл ITL (файл списка доверия сертификатов для идентификации) с сервера CUCM при загрузке телефона. ITL — это список серверов проверки доверия и их сертификатов.
  2. Телефон инициирует квитирование SSL с HTTPS-сервером для необходимой службы (например, службы каталогов)
  3. HTTPS-сервер отправляет на телефон свое приветствие и сертификат.
  4. Телефон создает подключение по протоколу SSL с одним из TVS-серверов к TCP-порту 2445. TVS-серверы — это обычные серверы CUCM.
  5. Телефон отправляет на TVS-сервер такой запрос: "Находится ли данный сертификат на сервер в системе хранения данных о доверии CUCM или он был подписан с помощью сертификата из системы хранения данных о доверии CUCM?"
  6. Если да, квитирование SSL с исходным HTTPS-сервером продолжается. Если нет, квитирование SSL завершается сбоем.

 

Эта функция позволяет использовать одну систему хранения данных о доверии на сервере CUCM для всех оконечных устройств IP-телефонии Она будет включена по умолчанию на всех телефонах 3-го поколения и более новых версиях телефонов под управлением микропрограммы телефона 9.X в диспетчере CUCM версии 8.X.

 

Обходной способ
Чтобы обеспечить возможность использования этой функции в текущей реализации прокси для телефона, нужно включить на телефоне принудительное использование протокола HTTP вместо протокола HTTPS. Прямого способа выполнить эту настройку не существует. Чтобы телефон использовал протокол HTTP вместо протокола HTTPS, задайте следующие настройки в диспетчере CallManager для удаленного прокси для телефона.

 

  • При настройке диспетчера CallManager (CCMAdmin > Device (Устройство) > Phone (Телефон)) укажите вручную URL-адреса телефонных служб другого типа (не HTTPS).  Необходимо указать в обоих полях (для обычного и защищенного адреса) URL-адреса типа HTTP.URLs.jpg

 

  • Убедитесь, что для параметра Services Provisioning (Предоставление услуги) диспетчера CallManager (CCMAdmin > Device (Устройство) > Phone (Телефон)) указано значение External (Внешнее) или Both (Оба). Это позволит использовать URL-адреса, которые будут указаны далее.

 

Настроив надлежащим образом диспетчер CallManager, настройте функциональную возможность "прокси-сервер" в файле конфигурации прокси для телефона ASA так, как обычно. Например:

 

phone-proxy ASA-phone-proxy
media-termination phone-proxy-mta
tftp-server ad
dress 192.168.0.11 interface Inside

tls-proxy ASA-tls-proxy
ctl-file ctl_phoneproxy_file
proxy-server address 192.168.0.11 interface Inside

 

 

Команды отображения show с примерами результатов выполнения

Эти команды show используются в контексте приведенной ниже схемы сети.

Phone_proxy_lab.jpeg

show phone-proxy secure-phones

Эта команда используется для отображения всех телефонов, которые в данный момент есть в базе данных защищенных телефонов прокси для телефона. Обратите внимание, если номер порта телефона — 0, это свидетельствует о том, что телефон не был зарегистрирован в диспетчере CUCM.

PhoneProxyASA# show phone-proxy secure-phones 
ASA-phone-proxy: 2 in use, 2 most used 

           Interface      IP Address  Port MAC            Timeout Idle
             outside   172.18.254.25 19931 0009.b7d0.eea7 0:05:00 0:00:11
             outside   172.18.254.73 50124 0007.ebf0.ee54 0:05:00 0:00:08
PhoneProxyASA#

 

show phone-proxy media-sessions

Эта команда используется для отображения всех активных в данный момент сеансов связи (вызовов), которые проходят через межсетевой экран. Если активные вызовы отсутствуют, результат выполнения команды будет пустым.

PhoneProxyASA# show phone-proxy media-sessions 
2 in use, 2 most used
Media-session: 14.36.107.91/26830 :: client ip 172.18.254.73/29836
  Lcl SRTP conn 14.36.107.91/26830 to 172.18.254.25/41282 tx_pkts 60 rx_pkts 61

Media-session: 14.36.107.91/29724 :: client ip 172.18.254.25/41282
  Lcl SRTP conn 14.36.107.91/29724 to 172.18.254.73/29836 tx_pkts 61 rx_pkts 61

PhoneProxyASA#

 

show tls-proxy sessions

Эта команда используется для отображения всех телефонов, подключение TLS которых в данный момент заканчивается на ASA.

PhoneProxyASA# show tls-proxy sessions 
3 in use (3 established), 7 most used
outside 172.18.254.95:1035 inside 172.18.124.230:2000 P:0xd5a407f0(ASA-tls-proxy) S:0xd5bd4738 byte 8392
outside 172.18.254.46:1143 inside 172.18.124.230:2000 P:0xd5a407f0(ASA-tls-proxy) S:0xd5bd7c90 byte 8572
outside 172.18.254.49:6136 inside 172.18.124.230:2000 P:0xd5a407f0(ASA-tls-proxy) S:0xd5bbac40 byte 6460

Точно такое же подключение будет указано в результатах выполнения команды show conn:

PhoneProxyASA# show conn
4 in use, 48 most used
TCP outside 172.18.124.241(172.18.254.95):1035 inside 172.18.124.230:2000, idle 0:00:27, bytes 16951, flags UIOB
TCP outside 172.18.124.241(172.18.254.49):6136 inside 172.18.124.230:2000, idle 0:00:13, bytes 13949, flags UIOB
TCP outside 172.18.124.241(172.18.254.46):1143 inside 172.18.124.230:2000, idle 0:00:04, bytes 17213, flags UIOB

 

show tls-proxy sessions detail

Эта команда используется для отображения подробных сведений о подключениях TLS. Если подключение к CUCM незашифровано, будет отражено состояние TCPOK, как указано ниже:

PhoneProxyASA# show tls-proxy sessions detail
outside 172.18.22.223:2658 DMZ 192.168.2.3:2000 P:0xd5f4fc20(mytls)
S:0xd6193430 byte 37124
  Client: State SSLOK  Cipher AES128-SHA Ch 0xd49090d8 TxQSize 0
LastTxLeft 0 Flags 0x31
  Server: State TCPOK  Cipher N/A        Ch 0xd4909118 TxQSize 0
LastTxLeft 0 Flags 0x8
show phone-proxy signaling-sessions
PhoneProxyASA# show phone-proxy signaling-sessions 
outside 172.18.254.25:19931 inside 172.18.124.230:2000
  Local Media (audio) conn: 172.18.254.25/22988 to 14.36.107.91/26830
    Local SRTP key set : Remote SRTP key set
  Remote Media (audio) conn: 14.36.107.91/26830 to 14.36.107.91/29724

outside 172.18.254.73:50124 inside 172.18.124.230:2000
  Local Media (audio) conn: 172.18.254.73/29836 to 14.36.107.91/29724
    Local SRTP key set : Remote SRTP key set
  Remote Media (audio) conn: 14.36.107.91/29724 to 14.36.107.91/26830

PhoneProxyASA#

 

show asp table classify domain app-redirect

Эта команда используется для отображения всех правил app-redirect, созданных с помощью функции прокси для телефона. Для каждого телефона, подключенного к CUCM, должна быть одна запись, ЕСЛИ телефон был настроен как незащищенный.

PhoneProxyASA# show asp table classify domain app-redirect

Interface _phone_proxy_ifc:

Interface inside:

Interface outside:
in  id=0xd5b85918, priority=12, domain=app-redirect, deny=false
     hits=1, user_data=0xd007, cs_id=0x0, flags=0x0, protocol=6
     src ip=172.18.254.73, mask=255.255.255.255, port=0
     dst ip=14.36.107.95, mask=255.255.255.255, port=2443, dscp=0x0
in  id=0xd59f0d10, priority=12, domain=app-redirect, deny=false
     hits=0, user_data=0xdc0e, cs_id=0x0, flags=0x0, protocol=6
     src ip=172.18.254.73, mask=255.255.255.255, port=0
     dst ip=14.36.107.95, mask=255.255.255.255, port=3804, dscp=0x0
in  id=0xd5ba9a28, priority=12, domain=app-redirect, deny=false
     hits=1, user_data=0xd007, cs_id=0x0, flags=0x0, protocol=6
     src ip=172.18.254.25, mask=255.255.255.255, port=0
     dst ip=14.36.107.95, mask=255.255.255.255, port=2443, dscp=0x0
in  id=0xd59d8f58, priority=12, domain=app-redirect, deny=false
     hits=0, user_data=0xdc0e, cs_id=0x0, flags=0x0, protocol=6
     src ip=172.18.254.25, mask=255.255.255.255, port=0
     dst ip=14.36.107.95, mask=255.255.255.255, port=3804, dscp=0x0

Interface identity:

Last clearing of hits counters: Never
PhoneProxyASA#

 

show asp table classify domain inspect-phone-proxy

Эта команда используется для отображения правила классификации при подаче всего TFTP-трафика, предназначенного для настроенного TFTP-сервера прокси для телефона, в механизм inspect-phone-proxy. Правила классификации должны обеспечивать отображение глобального адреса TFTP-сервера для определенного интерфейса. Если прокси для телефона применен глобально, для каждого интерфейса, за исключением того, в котором он находится, должно быть создано свое правило классификации. Это правило создается в процессе применения конфигурации прокси для телефона к политике обслуживания в MPF. Правила создаются на основе конфигурации преобразования, существующей в межсетевом экране. Следовательно, при настройке и применении прокси для телефона с последующей конфигурацией NAT, применение правила таблицы ASP будет некорректным (для диспетчера CallManager вместо ожидаемого глобального будет отображаться локальный IP-адрес). Поэтому сначала нужно убедиться в правильности настройки NAT, и лишь ЗАТЕМ применять MPF прокси для телефона к соответствующей политике обслуживания.

PhoneProxyASA#show asp table classify domain inspect-phone-proxy
Interface _phone_proxy_ifc:

Interface inside:

Interface outside:
in  id=0xd5ba1640, priority=73, domain=inspect-phone-proxy, deny=false
     hits=4200, user_data=0xd59beff8, cs_id=0x0, reverse, flags=0x0, protocol=17
     src ip=0.0.0.0, mask=0.0.0.0, port=0
     dst ip=14.36.107.95, mask=255.255.255.255, port=69, dscp=0x0
in  id=0xd59ca8b8, priority=73, domain=inspect-phone-proxy, deny=false
     hits=0, user_data=0xd48b62b0, cs_id=0x0, reverse, flags=0x0, protocol=17
     src ip=0.0.0.0, mask=0.0.0.0, port=0
     dst ip=14.36.107.95, mask=255.255.255.255, port=69, dscp=0x0

Interface identity:

Last clearing of hits counters: Never
PhoneProxyASA#

 

show conn | inc p

Эта команда используется для отображения всех подключений, которые проходят через конструкцию inspect-phone-proxy, проверяющую TFTP-трафик.

PhoneProxyASA# show conn | inc p
9 in use, 67 most used
UDP outside 172.18.254.25:8872 inside 172.18.124.230:32847, idle 0:00:02, bytes 4076, flags p-
UDP outside 172.18.254.25:62644 inside 172.18.124.230:39392, idle 0:00:03, bytes 4486, flags p-
TCP outside 172.18.124.241(172.18.254.25):29544 inside 172.18.124.230:2000, idle 0:00:01, bytes 894, flags UOB
UDP outside 172.18.254.25:8872 inside 172.18.124.230:69, idle 0:00:02, bytes 32, flags p-
UDP outside 172.18.254.25:62644 inside 172.18.124.230:69, idle 0:00:03, bytes 0, flags p-
TCP outside 172.18.124.241(172.18.254.73):50124 inside 172.18.124.230:2000, idle 0:00:14, bytes 22969, flags UIOB
PhoneProxyASA#

 

Записи в системном журнале

С функцией прокси для телефона связаны новые записи в системном журнале:

%ASA-4-446001 — достигнуто максимальное число настроенных сеансов прокси TLS.

%ASA-4-446001: Maximum TLS Proxy session limit of max_sess reached.

%ASA-4-446002 — истек срок действия лицензии.

%ASA-4-446002: Denied TLS Proxy session from outside:10.10.10.2/49572 to inside:192.168.1.2/2000, licensed UC Proxy session limit of 20 exceeded

Ниже приведен пример записей в системном журнале, которые добавляются, если телефон, подключенный к прокси для телефона, перезагружается и восстанавливает подключение.

%ASA-5-305011: Built dynamic UDP translation from outside:172.18.254.73/53011 to 
inside:172.18.124.241/60692
%ASA-6-302015: Built inbound UDP connection 4338 for outside:172.18.254.73/53011
(172.18.124.241/60692) to inside:172.18.124.230/69 (14.36.107.95/69)
%ASA-6-302015: Built inbound UDP connection 4339 for outside:172.18.254.73/53011
(172.18.124.241/60692) to inside:172.18.124.230/4677 (14.36.107.95/4677)
%ASA-7-111009: User 'enable_15' executed cmd: show logging
%ASA-6-305011: Built dynamic UDP translation from outside:172.18.254.73/53012 to
inside:172.18.124.241/63537
%ASA-6-302015: Built inbound UDP connection 4340 for outside:172.18.254.73/53012
(172.18.124.241/63537) to inside:172.18.124.230/69 (14.36.107.95/69)
%ASA-6-302015: Built inbound UDP connection 4341 for outside:172.18.254.73/53012
(172.18.124.241/63537) to inside:172.18.124.230/32851 (14.36.107.95/32851)
%ASA-6-305011: Built dynamic TCP translation from outside:172.18.254.73/50125 to
inside:172.18.124.241/37554
%ASA-6-302013: Built inbound TCP connection 4342 for outside:172.18.254.73/50125
(172.18.124.241/37554) to inside:172.18.124.230/2000 (14.36.107.95/2443)
%ASA-6-725001: Starting SSL handshake with client outside:172.18.254.73/50125 for TLSv1 session.
%ASA-7-725010: Device supports the following 4 cipher(s).
%ASA-7-725011: Cipher[1] : RC4-SHA
%ASA-7-725011: Cipher[2] : AES128-SHA
%ASA-7-725011: Cipher[3] : AES256-SHA
%ASA-7-725011: Cipher[4] : DES-CBC3-SHA
%ASA-7-725008: SSL client outside:172.18.254.73/50125 proposes the following 2 cipher(s).
%ASA-7-725011: Cipher[1] : AES256-SHA
%ASA-7-725011: Cipher[2] : AES128-SHA
%ASA-7-725012: Device chooses cipher : AES128-SHA for the SSL session with client
outside:172.18.254.73/50125
%ASA-7-717025: Validating certificate chain containing 1 certificate(s).
%ASA-7-717029: Identified client certificate within certificate chain.
serial number: 01, subject name: cn=SEP0007EBF0EE54.
%ASA-7-717030: Found a suitable trustpoint capf_trustpoint to validate certificate.
%ASA-6-717022: Certificate was successfully validated. serial number: 01,
subject name:  cn=SEP0007EBF0EE54.
%ASA-6-717028: Certificate chain was successfully validated with warning,
revocation status was not checked.
%ASA-6-725002: Device completed SSL handshake with client outside:172.18.254.73/50125
%ASA-6-305011: Built dynamic TCP translation from outside:172.18.254.73/52675
to inside:172.18.124.241/45909
%ASA-7-711002: Task ran for 8 msec, Process = Dispatch Unit, PC = 8172a27, Traceback =
%ASA-7-711002: Task ran for 8 msec, Process = Dispatch Unit, PC = 8172a27,
Traceback =   0x08172A27  0x0805E983
%ASA-6-305012: Teardown dynamic TCP translation from outside:172.18.254.73/50124 to
inside:172.18.124.241/51711 duration 1:41:06
%ASA-6-305011: Built dynamic UDP translation from outside:172.18.254.73/53013 to
inside:172.18.124.241/58122
%ASA-6-302015: Built inbound UDP connection 4343 for outside:172.18.254.73/53013
(172.18.124.241/58122) to inside:172.18.124.230/69 (14.36.107.95/69)
%ASA-6-302015: Built inbound UDP connection 4344 for outside:172.18.254.73/53013
(172.18.124.241/58122) to inside:172.18.124.230/32852 (14.36.107.95/32852)
%ASA-7-111009: User 'enable_15' executed cmd: show logging
%ASA-6-305011: Built dynamic UDP translation from outside:172.18.254.73/53014 to
inside:172.18.124.241/54570
%ASA-6-302015: Built inbound UDP connection 4345 for outside:172.18.254.73/53014
(172.18.124.241/54570) to inside:172.18.124.230/69 (14.36.107.95/69)
%ASA-6-302015: Built inbound UDP connection 4346 for outside:172.18.254.73/53014
(172.18.124.241/54570) to inside:172.18.124.230/32853 (14.36.107.95/32853)
%ASA-6-305011: Built dynamic UDP translation from outside:172.18.254.73/53015 to
inside:172.18.124.241/63316
%ASA-6-302015: Built inbound UDP connection 4347 for outside:172.18.254.73/53015
(172.18.124.241/63316) to inside:172.18.124.230/69 (14.36.107.95/69)
%ASA-6-302015: Built inbound UDP connection 4348 for outside:172.18.254.73/53015
(172.18.124.241/63316) to inside:172.18.124.230/32854 (14.36.107.95/32854)
%ASA-7-111009: User 'enable_15' executed cmd: show logging
%ASA-7-111009: User 'enable_15' executed cmd: show logging

 

 

Отладочные записи с примером результатов выполнения

debug phone-proxy tftp

Эта отладочная команда используется для вывода данных о сеансе TFTP, для которого межсетевой экран выполняет функцию прокси.

PhoneProxyASA# debug phone-proxy tftp 
PhoneProxyASA# 
PhoneProxyASA# !- The phone is now rebooted
PhoneProxyASA#
PhoneProxyASA# PP: 172.18.254.25/37212 requesting CTLSEP0009B7D0EEA7.tlv
PP: opened 0x8685366
PP: Data Block 1 forwarded from 14.36.107.95/29840 to 172.18.254.25/37212 ingress ifc outside
PP: Received ACK Block 1 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.25/37212
PP: Received ACK Block 2 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.25/37212
PP: Received ACK Block 3 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.25/37212
PP: Received ACK Block 4 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.25/37212
PP: Received ACK Block 5 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 6 forwarded to 172.18.254.25/37212
PP: Received ACK Block 6 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 7 forwarded to 172.18.254.25/37212
PP: Received ACK Block 7 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 8 forwarded to 172.18.254.25/37212
PP: Received ACK Block 8 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: Data Block 9 forwarded to 172.18.254.25/37212
PP: Received ACK Block 9 from outside:172.18.254.25/37212 to inside:172.18.124.230
PP: TFTP session complete, all data sent
PP: 172.18.254.25/53261 requesting SEP0009B7D0EEA7.cnf.xml.sgn
PP: opened 0x8693dd2
PP: Received Data Block 1 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 1
PP: Acked Block #1 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 2 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 2
PP: Acked Block #2 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 3 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 3
PP: Acked Block #3 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 4 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 4
PP: Acked Block #4 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 5 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 5
PP: Acked Block #5 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 6 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 6
PP: Acked Block #6 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 7 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 7
PP: Acked Block #7 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Received Data Block 8 from inside:172.18.124.230/32851 to outside:172.18.254.25/53261
     Received Block 8
PP: Acked Block #8 from 172.18.124.241/49633 to 172.18.124.230/32851
PP: Modifying to encrypted mode.
PP: Modifying to TLS as the transport layer protocol.
PP: Data Block 1 forwarded from 14.36.107.95/32851 to 172.18.254.25/53261
PP: Received ACK Block 1 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.25/53261
PP: Received ACK Block 2 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.25/53261
PP: Received ACK Block 3 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.25/53261
PP: Received ACK Block 4 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.25/53261
PP: Received ACK Block 5 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 6 forwarded to 172.18.254.25/53261
PP: Received ACK Block 6 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 7 forwarded to 172.18.254.25/53261
PP: Received ACK Block 7 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: Data Block 8 forwarded to 172.18.254.25/53261
PP: Received ACK Block 8 from outside:172.18.254.25/53261 to inside:172.18.124.230
PP: TFTP session complete, all data sent
PP: Retrieved MAC 0009.b7d0.eea7 from subject-name cn=SEP0009B7D0EEA7, mac string 0009B7D0EEA7
PP: Found phone device d5b94218
PP: 172.18.254.25/14201 requesting SEP0009B7D0EEA7.cnf.xml.sgn
PP: opened 0x86abd3a
PP: Received Data Block 1 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 1
PP: Acked Block #1 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 2 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 2
PP: Acked Block #2 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 3 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 3
PP: Acked Block #3 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 4 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 4
PP: Acked Block #4 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 5 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 5
PP: Acked Block #5 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 6 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 6
PP: Acked Block #6 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 7 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 7
PP: Acked Block #7 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Received Data Block 8 from inside:172.18.124.230/32851 to outside:172.18.254.25/14201
     Received Block 8
PP: Acked Block #8 from 172.18.124.241/6550 to 172.18.124.230/32851
PP: Modifying to encrypted mode.
PP: Modifying to TLS as the transport layer protocol.
PP: 172.18.254.25/47823 requesting RINGLIST.XML.sgn
PP: opened 0x86bf8f6
PP: Data Block 1 forwarded from 14.36.107.95/32851 to 172.18.254.25/14201
PP: Received Data Block 1 from inside:172.18.124.230/32851 to outside:172.18.254.25/47823
     Received Block 1
PP: Acked Block #1 from 172.18.124.241/13065 to 172.18.124.230/32851
PP: Received Data Block 2 from inside:172.18.124.230/32851 to outside:172.18.254.25/47823
     Received Block 2
PP: Acked Block #2 from 172.18.124.241/13065 to 172.18.124.230/32851
PP: Received ACK Block 1 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.25/14201
PP: Received Data Block 3 from inside:172.18.124.230/32851 to outside:172.18.254.25/47823
     Received Block 3
PP: Acked Block #3 from 172.18.124.241/13065 to 172.18.124.230/32851
PP: Received Data Block 4 from inside:172.18.124.230/32851 to outside:172.18.254.25/47823
     Received Block 4
PP: Acked Block #4 from 172.18.124.241/13065 to 172.18.124.230/32851
PP: Received Data Block 5 from inside:172.18.124.230/32851 to outside:172.18.254.25/47823
     Received Block 5
PP: Acked Block #5 from 172.18.124.241/13065 to 172.18.124.230/32851
PP: Data Block 1 forwarded from 14.36.107.95/32851 to 172.18.254.25/47823
PP: Received ACK Block 2 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.25/14201
PP: Received ACK Block 1 from outside:172.18.254.25/47823 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.25/47823
PP: Received ACK Block 3 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.25/14201
PP: Received ACK Block 2 from outside:172.18.254.25/47823 to inside:172.18.124.230
PP: Data Block 3 forwarded to 172.18.254.25/47823
PP: Received ACK Block 4 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.25/14201
PP: Received ACK Block 3 from outside:172.18.254.25/47823 to inside:172.18.124.230
PP: Data Block 4 forwarded to 172.18.254.25/47823
PP: Received ACK Block 5 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 6 forwarded to 172.18.254.25/14201
PP: Received ACK Block 4 from outside:172.18.254.25/47823 to inside:172.18.124.230
PP: Data Block 5 forwarded to 172.18.254.25/47823
PP: Received ACK Block 6 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 7 forwarded to 172.18.254.25/14201
PP: Received ACK Block 5 from outside:172.18.254.25/47823 to inside:172.18.124.230
PP: TFTP session complete, all data sent
PP: Received ACK Block 7 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: Data Block 8 forwarded to 172.18.254.25/14201
PP: 172.18.254.25/56992 requesting DISTINCTIVERINGLIST.XML.sgn
PP: opened 0x86c9112
PP: Received ACK Block 8 from outside:172.18.254.25/14201 to inside:172.18.124.230
PP: TFTP session complete, all data sent
PP: Received Data Block 1 from inside:172.18.124.230/32851 to outside:172.18.254.25/56992
     Received Block 1
PP: Acked Block #1 from 172.18.124.241/62582 to 172.18.124.230/32851
PP: Received Data Block 2 from inside:172.18.124.230/32851 to outside:172.18.254.25/56992
     Received Block 2
PP: Acked Block #2 from 172.18.124.241/62582 to 172.18.124.230/32851
PP: Data Block 1 forwarded from 14.36.107.95/32851 to 172.18.254.25/56992
PP: Received ACK Block 1 from outside:172.18.254.25/56992 to inside:172.18.124.230
PP: Data Block 2 forwarded to 172.18.254.25/56992
PP: Received ACK Block 2 from outside:172.18.254.25/56992 to inside:172.18.124.230
PP: TFTP session complete, all data sent

PhoneProxyASA#

 

debug phone-proxy media
PhoneProxyASA# debug phone-proxy media
PhoneProxyASA#
PhoneProxyASA# !- A call is made from one phone to another
PhoneProxyASA#
PhoneProxyASA#
snp_client_sess_create: Creating client_sess 14.36.107.91/25752 172.18.254.73/24316
snp_media_sess_lock: locking media_sess 14.36.107.91/25752 1
Creating new media session in SNP 14.36.107.91/25752
Setting remote_side SRTP params in SNP 14.36.107.91/25752
SNP_SRTP::master_key and salt 1c9050bb8e388149b89b092e4dca2275 1c9050bb8e388149b89b092e4dca2275
snp_media_sess_lock: locking media_sess 14.36.107.91/25752 2
Rmt media is NULL 14.36.107.91/39012
Getting remote SRTP params in SNP 14.36.107.91/25752
snp_media_sess_lock: locking media_sess 14.36.107.91/25752 3
Remote SRTP params for 14.36.107.91/25752 already set
Setting local SRTP params in SNP 14.36.107.91/25752
SNP_SRTP::master_key and salt e8f9f25522578aff38d32d95895e40b4 e8f9f25522578aff38d32d95895e40b4
snp_client_sess_create: Creating client_sess 14.36.107.91/29668 172.18.254.25/17472
snp_media_sess_lock: locking media_sess 14.36.107.91/29668 1
Creating new media session in SNP 14.36.107.91/29668
Remote SRTP params for 14.36.107.91/25752 already set
Local SRTP params for 14.36.107.91/25752 already set
Setting remote_side SRTP params in SNP 14.36.107.91/29668
SNP_SRTP::master_key and salt e8f9f25522578aff38d32d95895e40b4 e8f9f25522578aff38d32d95895e40b4
snp_media_sess_lock: locking media_sess 14.36.107.91/25752 4
snp_media_sess_lock: locking media_sess 14.36.107.91/25752 5
snp_media_sess_lock: locking media_sess 14.36.107.91/29668 2
Getting remote SRTP params in SNP 14.36.107.91/29668
snp_media_sess_lock: locking media_sess 14.36.107.91/29668 3
Remote SRTP params for 14.36.107.91/29668 already set
Setting local SRTP params in SNP 14.36.107.91/29668
SNP_SRTP::master_key and salt 1c9050bb8e388149b89b092e4dca2275 1c9050bb8e388149b89b092e4dca2275
snp_media_sess_lock: locking media_sess 14.36.107.91/29668 4
snp_media_sess_lock: locking media_sess 14.36.107.91/29668 5
SNP_SRTP::Remote media_session found for 14.36.107.91/25752 lcl_ip/lcl_port 14.36.107.91/29668
SNP_SRTP::Setting rmt_pp_ip 14.36.107.91 for 14.36.107.91/25752
SNP_SRTP::Setting passthrough
SNP_SRTP::Setting client_port to sport 24316
SNP_SRTP::Remote media_session found for 14.36.107.91/29668 lcl_ip/lcl_port 14.36.107.91/25752
SNP_SRTP::Setting passthrough
SNP_SRTP::Setting client_port to sport 49114

PhoneProxyASA#
PhoneProxyASA# !- Call is now connected
PhoneProxyASA#
PhoneProxyASA# !- Call is hung up
PhoneProxyASA#
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/25752 4
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/25752 3
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/29668 4
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/29668 3
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/25752 2
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/25752 1
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/29668 2
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/29668 1
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/25752 0
snp_media_sess_release: releasing media_sess 14.36.107.91/25752
snp_media_sess_unlock: unlocking media_sess 14.36.107.91/29668 0
snp_media_sess_release: releasing media_sess 14.36.107.91/29668

PhoneProxyASA#

 

debug phone-proxy signaling
PhoneProxyASA# debug phone-proxy signaling 
PhoneProxyASA#
PhoneProxyASA#
PhoneProxyASA# ! One phone now calls another...
PhoneProxyASA#
PhoneProxyASA#
Inspect Skinny: generating SRTP key
PP_SIG:: Setting rmt SRTP params in pp_cl d5b943f8
PP_SIG::master_key and salt 013351f6a163735e469307253dfa4c11 013351f6a163735e469307253dfa4c11
Inspect Skinny: generating SRTP key
PP_SIG:: Setting rmt SRTP params in pp_cl d59db4d8
PP_SIG::master_key and salt 8704186bbb636c51079eb312e4d8d77d 8704186bbb636c51079eb312e4d8d77d
PP_SIG::pp_update_media_info: using conn's laddr 172.18.254.73/27754
PP_SIG::Updating lcl media info 172.18.254.73/27754
PP_SIG::Setting lcl_media_sess 14.36.107.91/29596
PP_SIG::Updating lcl PP media info 14.36.107.91/29596
PP_SIG:: calling np_media_sess_set_media_conns
PP_SIG::pp_update_media_info: Found media_sess 14.36.107.91/29596
Called np_nat_api_determine_location: 14.36.107.91/29596
PP_SIG::Updating rmt media info 14.36.107.91/29596
PP_SIG::Setting rmt_media_sess 14.36.107.91/29596
PP_SIG::Updating rmt PP media info 14.36.107.91/29596
PP_SIG:: Getting lcl SRTP params in pp_cl d59db4d8
PP_SIG::pp_update_media_info: using conn's laddr 172.18.254.25/20912
PP_SIG::Updating lcl media info 172.18.254.25/20912
PP_SIG::Setting lcl_media_sess 14.36.107.91/25654
PP_SIG::Updating lcl PP media info 14.36.107.91/25654
PP_SIG:: calling np_media_sess_set_media_conns
PP_SIG:: calling np_media_sess_set_media_conns
PP_SIG:: calling np_media_sess_set_media_conns
PP_SIG::pp_update_media_info: Found media_sess 14.36.107.91/25654
Called np_nat_api_determine_location: 14.36.107.91/25654
PP_SIG::Updating rmt media info 14.36.107.91/25654
PP_SIG::Setting rmt_media_sess 14.36.107.91/25654
PP_SIG::Updating rmt PP media info 14.36.107.91/25654
PP_SIG:: Getting lcl SRTP params in pp_cl d5b943f8
PP_SIG:: calling np_media_sess_set_media_conns
PP_SIG:: calling np_media_sess_set_media_conns
PhoneProxyASA#
PhoneProxyASA#
PhoneProxyASA#
PhoneProxyASA# !- Call is ended by called party
PhoneProxyASA#
PhoneProxyASA#
PP_SIG::pp_clear_lcl_media_ptr_values: calling media_sess_unlock on d59c35f8
PP_SIG::pp_clear_rmt_media_ptr_values: calling media_sess_unlock on d5b90218
PP_SIG::pp_clear_lcl_media_ptr_values: calling media_sess_unlock on d5b90218
PP_SIG::pp_clear_rmt_media_ptr_values: calling media_sess_unlock on d59c35f8

PhoneProxyASA#

 

История версий
Редакция №
2 из 2
Последнее обновление:
‎08-31-2017 03:58 AM
Автор обновления:
 
Метки (1)
Участники
Теги (2)