Cisco Cisco Expressway

This deployment consists of:

 

■

DMZ subnet 1 – 10.0.10.0/24, containing:

 

—

the internal interface of Firewall A – 10.0.10.1

 

—

the LAN2 interface of the Expressway-E – 10.0.10.2

 

■

DMZ subnet 2 – 10.0.20.0/24, containing:

 

—

the external interface of Firewall B – 10.0.20.1

 

—

the LAN1 interface of the Expressway-E – 10.0.20.2

 

■

LAN subnet – 10.0.30.0/24, containing:

 

—

the internal interface of Firewall B – 10.0.30.1

 

—

the LAN1 interface of the Expressway-C – 10.0.30.2

 

■

Firewall A is the ouward-facing firewall; it is configured with a NAT IP (public IP) of 64.100.0.10 which is statically 
NATed to 10.0.10.2 (the LAN2 interface address of the Expressway-E)

 

■

Firewall B is the internally-facing firewall

 

■

Expressway-E LAN1 has static NAT mode disabled

 

■

Expressway-E LAN2 has static NAT mode enabled with Static NAT address 64.100.0.10

 

■

Expressway-C has a traversal client zone pointing to 10.0.20.2 (LAN1 of the Expressway-E)

With the above deployment, there is no regular routing between the 10.0.20.0/24 and 10.0.10.0/24 subnets. The 
Expressway-E bridges these subnets and acts as a proxy for SIP/H.323 signaling and RTP /RTCP media.

Static Routes Towards the Internal Network

With a deployment like 

, you would typically configure the 

private address of the external firewall (10.0.10.1 in the diagram) as the default gateway of the Expressway-E. Traffic that 
has no more specific route is sent out from either Expressway-E interface to 10.0.10.1.

 

■

If the internal firewall (B) is doing NAT for traffic from the internal network (subnet 10.0.30.0 in diagram) to LAN1 
of the Expressway-E (for example traversal client traffic from Expressway-C), that traffic is recognized as being 
from the same subnet (10.0.20.0 in diagram) as it reaches LAN1 of the Expressway-E. The Expressway-E will 
therefore be able to reply to this traffic through its LAN1 interface.

 

■

If the internal firewall (B) is not doing NAT for traffic from the internal network  (subnet 10.0.30.0 in diagram) to 
LAN1 of the Expressway-E (for example traversal client traffic from Expressway-C), that traffic still has the 
originating IP address (for example, 10.0.30.2 for traffic from Expressway-C in the diagram). You must create a 
static route towards that source from LAN1 on the Expressway-E, or the return traffic will go to the default gateway 
(10.0.10.1). You can do this on the web UI (System > Network interfaces > Static routes) or using 

 at the CLI. 

If the Expressway-E needs to communicate with other devices behind the internal firewall  (eg. for reaching 
network services such as NTP, DNS, LDAP/AD and syslog servers), you also need to add static routes from 
Expressway-E LAN1 to those devices/subnets.

In this particular example, we want to tell the Expressway-E that it can reach the 10.0.30.0/24 subnet behind the 
10.0.20.1 firewall (router), which is reachable via the LAN1 interface. This is accomplished using the following 

 syntax:

In this example, the 

 parameter could also be set to 

 as the gateway address (10.0.20.1) is only reachable 

via LAN1.

45

Cisco Expressway-E and Expressway-C - Basic Configuration  Deployment Guide