VoIP_voIPOptions
As seções a seguir fornecem informações sobre configurações de VoIP:
• Configurando recursos de VoIP da SonicWALL
For general information on VoIP, see Visão geral de VoIP.
Configurando recursos de VoIP da SonicWALL
Configurar o dispositivo de segurança de rede da Dell SonicWALL para construções de implantações de VoIP na configuração básica da rede na interface de gerenciamento da Dell SonicWALL. Esta seção pressupõe que o dispositivo de segurança de rede da Dell SonicWALL está configurado para seu ambiente de rede.
Interfaces com suporte
Os dispositivos de VoIP são suportados em zonas de SonicOS a seguir:
• Zonas confiáveis (LAN, VPN)
• Zonas não confiáveis (WAN)
• Zonas públicas (DMZ)
• Zonas sem fio (WLAN)
– Gerenciamento de largura de banda
– Configurando a largura de banda na Interface de WAN
– Configurando regras de acesso de VoIP
• Configurando a criação de log do VoIP
O SonicOS inclui as definições de configuração de VoIP na página VoIP > Configurações. Esta página está dividida em três seções de definições de configuração: Configurações gerais, Configurações de SIP e Configurações de H.323.
Habilitar NAT consistente
Para habilitar NAT consistente, selecione a opção Habilitar NAT consistente e clique em Aceitar. Esta opção está habilitada, por padrão.
A NAT consistente aumenta a política NAT padrão para fornecer uma maior compatibilidade com aplicativos ponto a ponto que exigem um endereço IP para se conectar, como o VoIP. Ela usa um método de hash MD5 para atribuir de forma consistente o mesmo endereço IP público mapeado e par de Portas UDP a cada endereço IP privado interno e um par de portas.
Por exemplo, a NAT pode converter os endereços IP (LAN) privados e os pares de portas IP, 192.116.168.10/50650 e 192.116.168.20/50655 em pares de portas/IP (WAN) públicas da seguinte forma:
|
Com a NAT consistente habilitada, todas as solicitações posteriores do host 192.116.168.10 ou 192.116.168.20 que usem as mesmas portas ilustradas anteriormente resultam no uso dos mesmos pares de portas e endereços convertidos. Sem a NAT consistente, a porta e provavelmente o endereço IP são alterados a cada solicitação.
Observação Habilitar a NAT consistente causa uma ligeira diminuição na segurança global, devido ao aumento da previsibilidade dos pares de portas e endereços. A maioria dos aplicativos baseados em UDP são compatíveis com a NAT tradicional. Portanto, não habilite a NAT consistente a menos que sua rede use aplicativos que a solicitem.
Por padrão, os clientes SIP usam seu endereço IP privado nas mensagens de SDP (Session Definition Protocol) do SIP que são enviadas ao proxy SIP. Se o proxy SIP estiver localizado no lado (WAN) público do firewall e os clientes SIP estiverem localizados no lado (LAN) privado do firewall, as mensagens de SDP não serão traduzidas e o proxy SIP não poderá alcançar os clientes SIP.
Selecionar Habilitar transformações de SIP transforma mensagens de SIP entre LAN (confiável) e WAN/DMZ (não confiável). Será necessário verificar esta configuração ao desejar que o firewall faça a transformação de SIP. Se o proxy SIP estiver localizado no lado (WAN) público do firewall e os clientes SIP estiverem no lado de LAN, por padrão, os clientes SIP incorporarão/usarão seu endereço IP privado nas mensagens de SDP (SIP/Session Definition Protocol) enviadas ao proxy SIP, portanto, essas mensagens não serão alteradas e o proxy SIP não saberá como voltar ao cliente atrás do firewall. Selecionar Habilitar transformações de SIP permite que o firewall percorra cada mensagem de SIP e altere o endereço IP privado e a porta atribuída. Habilitar transformação de SIP também controla e abre as portas RTP/RTCP que precisam ser abertas para que as chamadas de sessão de SIP ocorra. O NAT traduz os endereços da camada três, mas não os endereços de camada sete SIP/SDP, o motivo pelo qual é necessário selecionar Habilitar transformações de SIP para transformar as mensagens de SIP.
Dica Em geral, deve-se verificar a caixa Habilitar transformações de SIP, a menos que haja outra solução transversal de NAT que requer que esse recurso seja desativado. As transformações de SIP funcionam no modo bidirecional, significando que as mensagens são transformadas indo da LAN para a WAN e vice-versa.
Selecionar Permitir pacotes não SIP na porta de sinalização permite os aplicativos, como Apple iChat e MSN Messenger, que usam porta de sinalização de SIP para mensagens proprietárias adicionais. Habilitar esta caixa de seleção pode abrir a rede para ataques mal-intencionados causados pelo tráfego de SIP malformado ou inválido. Esta caixa de seleção está habilitada, por padrão.
A configuração Habilitar o suporte de SIP Back-to-Back User Agent (B2BUA) deverá ser habilitada quando o firewall puder ver ambos os trechos de uma chamada de voz (por exemplo, quando um telefone na LAN chamar outro telefone na LAN). Esta configuração deverá ser habilitada apenas quando o servidor proxy SIP estiver sendo usado como um B2BUA.
Dica Se não houver nenhuma possibilidade do firewall ver ambos os trechos de chamadas de voz (por exemplo, apenas quando as chamadas forem feitas e recebidas de telefones na WAN), a configuração Habilitar o suporte de SIP Back-to-Back User Agent (B2BUA) deverá ser desabilitada para evitar o uso desnecessário de CPU.
O Limite de tempo de inatividade de sinalização de SIP (segundos) e o Limite de tempo de inatividade de mídia de SIP (segundos) definem a quantidade de tempo que uma chamada pode ficar inativa (sem tráfegos trocados) antes que o firewall bloqueie o tráfego adicional. Uma chamada ficará inativa quando colocada em espera. O valor de tempo padrão de Tempo limite de inatividade de sinalização de SIP é 1800 segundos (30 minutos). O valor de tempo padrão do Tempo limite de inatividade de mídia de SIP é 120 segundos (2 minutos).
A configuração Porta de sinalização de SIP adicional (UDP) para transformações permite especificar uma porta UDP não padrão usada para transportar o tráfego de sinalização de SIP. Normalmente, o tráfego de sinalização de SIP é executado na porta UDP 5060. No entanto, vários serviços de VOIP comercial usam portas diferentes, como 1560. Usando essa configuração, o dispositivo de segurança executa transformação de SIP nessas portas não padrão.
Dica O serviço de VoIP da Vonage usa a porta UDP 5061.
Selecione Habilitar transformação de H.323 na seção Configurações de H.323 e clique em Aceitar para permitir inspeção de conteúdo do pacote de reconhecimento de protocolo H.323 estável e modificação pelo firewall. O firewall executa qualquer endereço IP dinâmico e mapeamento de porta de transporte nos pacotes de H.323, o que é necessário para a comunicação entre as partes de H.323 em redes/zonas confiáveis e não confiáveis. Desabilite a opção Habilitar transformação H.323 para ignorar o processamento específico de H.323 executado pelo firewall.
Selecione Apenas aceitar chamadas recebidas do Gatekeeper para garantir que todas as chamadas recebidas percorram o Gatekeeper para autenticação. O Gatekeeper recusará chamadas que falhem na autenticação.
O campo Tempo limite de inatividade de sinalização/mídia de H.323 (segundos) especifica o período de tempo que uma chamada pode ficar inativa antes que o firewall bloqueie o tráfego adicional. Uma chamada ficará inativa quando colocada em espera. O valor de tempo padrão de Tempo limite de inatividade de sinalização/mídia H.323 é 300 segundos (5 minutos).
O campo Endereço IP de Gatekeeper WAN/DMZ padrão tem um valor padrão de 0.0.0.0. Insira o endereço IP de Gatekeeper H.323 padrão neste campo para permitir que dispositivos H.323 baseados em LAN descubram o Gatekeeper usando o endereço de difusão seletiva 225.0.1.41. Se você não inserir um endereço IP, as mensagens de difusão seletiva descobertas de dispositivos H.323 baseados em LAN irão percorrer o tratamento de difusão seletiva configurado.
Um dos maiores desafios para VoIP é garantir a alta qualidade de voz em uma rede IP. O IP foi projetado principalmente para tráfego de dados assíncronos, o que pode tolerar atraso. VoIP, no entanto, é muito sensível a atraso e perda de pacotes. Gerenciamento de acesso e priorização de tráfego são requisitos importantes para assegurar comunicações de VoIP de alta qualidade e em tempo real.
O gerenciamento de largura de banda (BWM) integrado e recursos de qualidade de Serviço (QoS) da SonicWALL fornecem as ferramentas para gerenciar a confiabilidade e a qualidade das comunicações do VoIP.
Gerenciamento de largura de banda
Para obter informações sobre o Gerenciamento de Largura de Banda (BWM), consulte Configurações de firewall > BWM na página 677.
QoS abrange vários métodos destinados a fornecerem o desempenho e o comportamento de rede previsível. A previsão de rede é vital para VoIP e outros aplicativos de missão crítica. Nenhuma quantidade de largura de banda pode fornecer esse tipo de previsão, porque qualquer quantidade de largura de banda, por fim, será usada para sua capacidade em algum ponto em uma rede. Apenas QoS, quando configurado e implementado corretamente, pode gerenciar o tráfego corretamente e garantir os níveis de serviço de rede desejados.
O SonicOS inclui recursos de QoS que adicionam a capacidade de reconhecer, mapear, modificar e gerar o 802.1p padrão de mercado e designadores DSCP (Differentiated Services Code Points) CoS (Class of Service).
Configurando a largura de banda na Interface de WAN
As configurações de BWM começam habilitando o BWM na interface de WAN relevante e especificando a largura de banda disponível na interface em Kbps. Isso é executado na página Rede > Interfaces, selecionando o ícone Configurar para a interface de WAN e navegando até a guia Avançado:
O BWM de egresso e de ingresso pode ser habilitado em conjunto ou separadamente nas interfaces de WAN. Os valores de largura de banda diferentes podem ser inseridos para a largura de banda de entrada e saída para links assimétricos de suporte. As taxas de link até 100.000 Kbps (100Mbit) poderão ser declaradas na interface Fast Ethernet, enquanto as interfaces Gigabit Ethernet suportarem taxas de link até 1.000.000 (Gigabit). A largura de banda especificada deverá refletir a largura de banda real disponível para o link. Assinar o link (ou seja, declarar um valor maior que a largura de banda disponível) não é recomendado.
Depois que uma ou ambas as configurações de BWM estiverem habilitadas na interface de WAN e a largura de banda disponível tiver sido declarada, uma guia largura de banda aparecerá em Regras de acesso. Para obter mais informações, consulte Configurando regras de acesso de VoIP.
Para configurar o gerenciamento de largura de banda no dispositivo de segurança de rede da Dell SonicWALL:
1. Selecione Rede > Interfaces.
2. Clique no ícone Editar na coluna Configurar na linha WAN (X1) da tabela de Interfaces. A janela Editar interface é exibida.
3. Clique na guia Avançado.
4. Verifique Habilitar gerenciamento de largura de banda de egresso (saída) e insira a largura de banda disponível no campo Gerenciamento de largura de banda de egresso da interface disponível.
5. Verifique Habilitar gerenciamento de largura de banda de ingresso (entrada) e insira a largura de banda disponível no campo Gerenciamento de largura de banda de ingresso da interface disponível.
6. Clique em OK.
Configurando regras de acesso de VoIP
Por padrão, a inspeção de pacotes estável no firewall permite todas as comunicações a partir da LAN para a Internet e bloqueia todo o tráfego para a LAN a partir da Internet. É possível definir mais regras de acesso à rede para aumentar ou substituir regras de acesso padrão.
Se você estiver definindo o acesso de VoIP para que o cliente use um provedor de serviços de VoIP a partir da WAN, poderá configurar regras de acesso de rede entre a interface ou zonas de origem e de destino para permitir que clientes atrás do firewall enviem e recebam chamadas VoIP.
Dica Embora as regras personalizadas possam ser criadas para que permitam o tráfego IP de entrada, o firewall não desabilitará a proteção contra ataques de DoS (Denial of Service), como os ataques SYN Flood e Ping of Death.
Observação Deve-se selecionar Gerenciamento de largura de banda na página Rede > Interfaces para a interface de WAN antes de poder configurar o gerenciamento de largura de banda para as regras de acesso à rede.
Para adicionar regras de acesso para o tráfego de VoIP no dispositivo de segurança de rede da Dell SonicWALL:
1. Acesse a página Firewall > Regras de acesso.
2. Para Ver estilo, clique em Todas as regras.
3. Clique em Adicionar na parte inferior da tabela Regras de acesso. A janela Adicionar regra é exibida.
Na guia Geral, selecione Permitir na lista Ação para permitir o tráfego.
5. Selecione de/para zonas nos menus De zona e Para Zona.
6. Selecione o serviço ou o grupo de serviços afetados pela regra de acesso na lista Serviço.
– Para H.323, selecione um dos seguintes ou selecione Criar Novo grupo e adicione os seguintes serviços no grupo:
: •: Sinalização de chamada H.323
: •: Descoberta de Gatekeeper H.323
: •: RAS de Gatekeeper H.323
– Para SIP, selecione SIP
7. Selecione a origem do tráfego afetado pela regra de acesso na lista Origem. Selecionar Criar nova rede exibe a janela Adicionar objeto de endereço.
Se você desejar definir os endereços IP de origem afetados pela regra de acesso, como restringindo que determinados usuários acessem a Internet, selecione Intervalo no Tipo: menu suspenso. Insira o endereço IP mais baixo e mais alto no intervalo nos campos Iniciando endereço IP: e Encerrando endereço IP.
9. Selecione o destino do tráfego afetado pela regra de acesso na lista Destino. Selecionar Criar nova rede exibe a janela Adicionar objeto de endereço.
10. No menu Usuários permitidos, adicione o usuário ou o grupo de usuários afetados pela regra de acesso.
11. Selecione uma programação no menu Programação, se desejar permitir o acesso de VoIP apenas durante horários especificados. O cronograma padrão está Sempre ativo. É possível especificar objetos de programação na página Sistema > Programações.
12. Insira os comentários para ajudar a identificar a regra de acesso no campo Comentários.
13. Clique na guia Largura de banda.
14. Selecione Gerenciamento de largura de banda, e insira a Largura de banda garantida em Kbps.
15. Insira a quantidade máxima de largura de banda disponível para a Regra a qualquer momento no campo Máximo de largura de banda.
16. Atribua uma prioridade de 0 (mais alto) a 7 (mais baixo) na lista Prioridade de largura de banda. Para obter a qualidade de chamada VoIP mais alta, assegure-se de que o tráfego de VoIP receba prioridade ALTA.
Dica As regras que usam o Gerenciamento de largura de banda têm prioridade sobre regras sem gerenciamento de largura de banda.
Configurando a criação de log do VoIP
É possível habilitar a criação de logs de eventos de VoIP na página Log > Categorias. As entradas de log são exibidas na página Log > Ver.
Para habilitar a criação de logs:
1. Acesse Log > Categorias.
2. Selecione Categorias expandidas no menu Ver estilo na seção Categorias de log.
3. Localize a entrada VoIP (atividade VOIP H.323/RAS, H.323/H.225, H.323/H.245) na tabela.
4. Selecione Log para habilitar a exibição de eventos de log de VoIP na página Log > Ver.
5. Selecione Alertas para permitir o envio de alertas para a categoria.
6. Selecione Syslog para habilitar a captura de eventos de log no log do sistema do firewall.
7. Clique em Aceitar.
A página VoIP > Status de chamada fornece uma lista de chamadas VoIP atualmente ativas.
A tabela de status de chamada VoIP exibe as seguintes informações sobre a conexão VoIP ativa:
• IP do chamador
• ID do chamador
• IP do chamado
• ID do chamado
• Protocolo
• Largura de banda
• Hora de início
Os administradores podem ver as informações da pessoa que chamada e da pessoa chamada, bem como a duração da chamada e a largura de banda usada. As chamadas ativas H.323 e SIP são exibidas na página VoIP > Status de chamada.
As transformações de H.323 e de SIP devem ser habilitadas na página VoIP > Configurações para que as chamadas correspondentes sejam exibidas. Somente quando essas opções estão habilitadas o SonicOS inspeciona a carga de VoIP para rastrear o andamento da chamada.
Para redefinir as conexões para todas as chamadas ativas em andamento:
• Clique em Liberar tudo para remover todas as entradas de chamadas VoIP.