Firewall Fortinet / Fortigate (FortiOS 4.0)
Transcription
Firewall Fortinet / Fortigate (FortiOS 4.0)
Firewall Fortinet / Fortigate (FortiOS 4.0) Désactiver la fonctionnalité «SIP ALG» 1. Ouvrir l’interface d’administration du firewall en ligne de commande (CLI). 2. Exécuter les commandes ci-dessous: a. b. c. d. e. config system settings set sip-helper disable set sip-nat-trace disable end reboot 3. Ouvrir le CLI et exécuter la suite des commandes : a. config system session-helper b. show vous devez trouver dans la liste les entrées SIP, normalement c’est le numéro 12 c. delete 12 c’est le numéro 12 par défaut ou le numéro correct de la liste (show) 4. Désactiver la gestion du flux RTP : a. b. c. d. e. config voip profile > edit default config sip set rtp disable end reboot 5. Si vous rencontrez toujours des problèmes, il faut désactiver les différents profils VoIP : a. show voip profile Repérer les profils VoIP b. config voip profile c. edit [VoIP_Pro_2] Remplacer [VoIP_Pro_2] par le profil correct de la commande show d. config sip e. set status disable f. end Répéter les commandes au-dessus si d’autres profils VoIP sont présents g. end h. reboot Gestion de la bande passante (QoS – Quality of Service) L’activation de la gestion de la bande passante sur le firewall permettra de prioriser les paquets VoIP et limitera les autres paquets, comme par exemple les emails, le streaming video, etc. Les problèmes rencontrés, sans le paramétrage de la gestion de la bande passante, sont: • • Hachure dans la conversation Réception et émission des paquets voix en retard Dans notre configuration, nous prenons comme exemple une société d’architecture comptant 10 employés ayant une connexion internet VDSL 20’000 Kbps en téléchargement et 2’000 Kbps en envoi. Les employés peuvent recevoir et envoyer des emails conséquents, regarder des vidéos sur youtube, surfer sur le web, etc. Distribution de la bande passante: Priorité et Applications 1 3 4 4 4 5 SIP (VoIP, environ 110 Kbps pour 1 appel) Streaming Video HTTP (web) SMTP(emails envoi) POP3 (emails réception) FTP Bande passante totale garantie Bande passante garantie / maximale en Kbps Reéception Envoi 1200 1500 1200 1500 1000 2000 * 5500 1500 * * 400 800 5500 15000 * 5500 15000 300 1000 18700 Kbps 1900 Kbps Configuration de la bande passante pour la VoIP Interface Web 1. 2. 3. 4. 5. 6. 7. Aller sous «Firewall Objects» / «Traffic Shaping» / «Shared» Saisir le nom «voip» Sélectionner «Per Policy» Saisir la valeur de «1500» Kbits dans «Maximum Bandwidth» Saisir la valeur de «1200» Kbits dans «Guaranteed Bandwidth» Sous «Traffic Priority» sélectionner la valeur «High» Cliquer sur «OK» Ligne de commande • • • config firewall shaper traffic-shaper o edit voip set maximum-bandwidth 1500 set guaranteed-bandwidth 1200 set per-policy enable set priority high end reboot