Верно ли, что проверка SIP в межсетевых экранах ASA 5500 включается только для трафика на порте 5060? На это есть намек, хотя и не на 100% окончательный, в Cisco Docs - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/82446-enable-voip-config.html#sip.
У меня проблемы с воспроизведением звука, когда моя IP-АТС настроена на прием входящих вызовов на порт, отличный от 5060. Я использую IP-АТС, это прокси-сервер SIP со встроенным SBC, и он требует, чтобы входящий трафик отправлялся на порт. 5080. Трафик между IP-АТС и ITSP проходит через межсетевой экран ASA 5505 (старшее поколение).
Входящие вызовы подключаются, но у меня есть односторонний звук. RTP не передается от внешнего к внутреннему. (Исходящие вызовы не проблема, все в порядке с двусторонним аудио, но они отправляются через порт назначения 5060). Это имеет смысл, если ASA не запускает проверку SIP из-за другого порта 5080.
Но так ли это на самом деле? И если это так, могу ли я где-нибудь настроить, какой порт SIP должен искать ASA? Или есть обходной путь? (Я, вероятно, смогу открыть все входящие порты RTP ... но я бы хотел этого избежать)
Для большей ясности - на самом деле ITSP послушно отправляет входящие вызовы в ASA через порт 5060. Мое статическое правило NAT выполняет преобразование порта с 5060 на 5080. Согласно документам Cisco, проверка SIP выполняется ДО того, как заголовок IP будет перезаписан, поэтому "sip inspect" ДОЛЖЕН увидеть порт 5060. Есть ли у кого-нибудь на этот счет однозначный ответ? У меня возникают проблемы с тестированием различных сценариев самостоятельно, потому что УАТС просто не поддерживает 5060, поэтому у меня нет возможности провести встречный тест.
Вы всегда можете изменить условия, при которых будет выполняться проверка.
Для этого вам нужно создать карта классов и карта политики.
Сначала войдите в свой конфигурационный терминал и создайте карта классов;
asa(config)# class-map SIP_5080
asa(config-cmap)# match port tcp eq 5080
asa(config-cmap)# exit
Затем создайте карта политики;
asa(config)# policy-map SIP_Policy
asa(config-pmap)# class SIP_5080
asa(config-pmap-c)# inspect sip
asa(config-pmap-c)# exit
Наконец, назначьте карта политики чтобы интерфейс;
asa(config)# service-policy SIP_Policy interface [name of your interface]