Firewall Fortinet / Fortigate (FortiOS 4.0)

 Firewall Fortinet / Fortigate (FortiOS 4.0)
Désactiver la fonctionnalité «SIP ALG»
1.
Ouvrir l’interface d’administration du firewall en ligne de commande (CLI).
2. Exécuter les commandes ci-dessous:
a.
b.
c.
d.
e.
config system settings
set sip-helper disable
set sip-nat-trace disable
end
reboot
3. Ouvrir le CLI et exécuter la suite des commandes :
a. config system session-helper
b. show
vous devez trouver dans la liste les entrées SIP, normalement c’est le numéro 12
c.
delete 12
c’est le numéro 12 par défaut ou le numéro correct de la liste (show)
4. Désactiver la gestion du flux RTP :
a.
b.
c.
d.
e.
config voip profile > edit default
config sip
set rtp disable
end
reboot
5. Si vous rencontrez toujours des problèmes, il faut désactiver les différents profils VoIP :
a. show voip profile
Repérer les profils VoIP
b. config voip profile
c. edit [VoIP_Pro_2]
Remplacer [VoIP_Pro_2] par le profil correct de la commande show
d. config sip
e. set status disable
f. end
Répéter les commandes au-dessus si d’autres profils VoIP sont présents
g. end
h. reboot
Gestion de la bande passante (QoS – Quality of Service)
L’activation de la gestion de la bande passante sur le firewall permettra de prioriser les paquets VoIP et limitera les
autres paquets, comme par exemple les emails, le streaming video, etc.
Les problèmes rencontrés, sans le paramétrage de la gestion de la bande passante, sont:
•
•
Hachure dans la conversation
Réception et émission des paquets voix en retard
Dans notre configuration, nous prenons comme exemple une société d’architecture comptant 10 employés ayant une
connexion internet VDSL 20’000 Kbps en téléchargement et 2’000 Kbps en envoi. Les employés peuvent recevoir et
envoyer des emails conséquents, regarder des vidéos sur youtube, surfer sur le web, etc.
Distribution de la bande passante:
Priorité et Applications
1
3
4
4
4
5
SIP (VoIP, environ 110 Kbps pour 1 appel)
Streaming Video
HTTP (web)
SMTP(emails envoi)
POP3 (emails réception)
FTP
Bande passante totale garantie
Bande passante garantie / maximale en Kbps
Reéception
Envoi
1200
1500
1200
1500
1000
2000
*
5500
1500
*
*
400
800
5500
15000
*
5500
15000
300
1000
18700 Kbps
1900 Kbps
Configuration de la bande passante pour la VoIP
Interface Web
1.
2.
3.
4.
5.
6.
7.
Aller sous «Firewall Objects» / «Traffic Shaping» / «Shared»
Saisir le nom «voip»
Sélectionner «Per Policy»
Saisir la valeur de «1500» Kbits dans «Maximum Bandwidth»
Saisir la valeur de «1200» Kbits dans «Guaranteed Bandwidth»
Sous «Traffic Priority» sélectionner la valeur «High»
Cliquer sur «OK»
Ligne de commande
•
•
•
config firewall shaper traffic-shaper
o edit voip
 set maximum-bandwidth 1500
 set guaranteed-bandwidth 1200
 set per-policy enable
 set priority high
end
reboot