Назад | Перейти на главную страницу

Cisco ASA 5500 - порты SIP, кроме 5060

Верно ли, что проверка SIP в межсетевых экранах ASA 5500 включается только для трафика на порте 5060? На это есть намек, хотя и не на 100% окончательный, в Cisco Docs - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/82446-enable-voip-config.html#sip.

У меня проблемы с воспроизведением звука, когда моя IP-АТС настроена на прием входящих вызовов на порт, отличный от 5060. Я использую IP-АТС, это прокси-сервер SIP со встроенным SBC, и он требует, чтобы входящий трафик отправлялся на порт. 5080. Трафик между IP-АТС и ITSP проходит через межсетевой экран ASA 5505 (старшее поколение).

Входящие вызовы подключаются, но у меня есть односторонний звук. RTP не передается от внешнего к внутреннему. (Исходящие вызовы не проблема, все в порядке с двусторонним аудио, но они отправляются через порт назначения 5060). Это имеет смысл, если ASA не запускает проверку SIP из-за другого порта 5080.

Но так ли это на самом деле? И если это так, могу ли я где-нибудь настроить, какой порт SIP должен искать ASA? Или есть обходной путь? (Я, вероятно, смогу открыть все входящие порты RTP ... но я бы хотел этого избежать)

Для большей ясности - на самом деле ITSP послушно отправляет входящие вызовы в ASA через порт 5060. Мое статическое правило NAT выполняет преобразование порта с 5060 на 5080. Согласно документам Cisco, проверка SIP выполняется ДО того, как заголовок IP будет перезаписан, поэтому "sip inspect" ДОЛЖЕН увидеть порт 5060. Есть ли у кого-нибудь на этот счет однозначный ответ? У меня возникают проблемы с тестированием различных сценариев самостоятельно, потому что УАТС просто не поддерживает 5060, поэтому у меня нет возможности провести встречный тест.

Вы всегда можете изменить условия, при которых будет выполняться проверка.

Для этого вам нужно создать карта классов и карта политики.

Сначала войдите в свой конфигурационный терминал и создайте карта классов;

asa(config)# class-map SIP_5080
asa(config-cmap)# match port tcp eq 5080
asa(config-cmap)# exit

Затем создайте карта политики;

asa(config)# policy-map SIP_Policy
asa(config-pmap)# class SIP_5080
asa(config-pmap-c)# inspect sip
asa(config-pmap-c)# exit

Наконец, назначьте карта политики чтобы интерфейс;

asa(config)# service-policy SIP_Policy interface [name of your interface]