Cómo configurar el 'sip-trunk' App-ID

Nota: los clientes no están obligados a modificar las directivas de cortafuegos a menos que se utilicen las condiciones indicadas a continuación.

Problema: los cortafuegos son típicamente requeridos para actuar como alg para crear agujeros para sesiones SIP y proporcionar capacidades de traducción de direcciones. El "sip" App-ID crea tales agujeros que el protocolo funcione perfectamente cuando se encuentra con el firewall. Cuando un servidor SIP comunicación usando NAT estática en una zona (fuente) emite el tráfico que está destinado a un servidor SIP en otra zona (destino), el firewall crea un pequeño agujero que permite, en consecuencia, un host que utiliza SIP dentro de zona de destino para comunicarse con el Servidor SIP en la zona de la fuente. Por ejemplo, un servidor SIP P.Q.R.S en la estática de la zona de fuente NAT-ed a D.E.F.G:5060, envía un registro SIP mensaje a un servidor SIP externo A.B.C.D:5060 en la zona de destino. Esto resulta en el firewall, creando un agujero de alfiler que acepte conexiones entrantes de hosts en la zona de destino dirigida a D.E.F.G:5060.

Resolución: el App-ID de "SIP-trunk" deshabilita la creación de un agujero de alfiler cuando se utiliza junto con un reemplazo de la aplicación. Esta App-ID está destinado a ser utilizado entre los conocidos servidores SIP. Se deben especificar las direcciones origen y destino de estos servidores, con su tráfico SIP que se reemplaza el nueva App-ID de "sip-trunk". Además, dada la falta de un pequeño agujero, los administradores deben configurar una regla de política de seguridad que permite el tráfico entre estos servidores en la dirección contraria. Esto permite que los servidores SIP para comunicarse con los demás, y la ausencia de la estenopeica impide que el firewall acepta conexiones entrantes de otros hosts dentro de la zona de destino.

Requisitos:

• Registro SIP Proxy es estáticamente coordinó a través del cortafuegos
• SIP trunking se está utilizando en el medio ambiente
• Versión de la base de datos contenido 518 o superior

Tenga en cuenta que cambiar a sip-trunk requiere borrar todo el tráfico activo de la SIP, por lo que el proceso será perjudicial para los usuarios.  Le recomendamos programar una ventana de mantenimiento o interrupción después de horas para implementar estos cambios.  También, los puertos que no sean de 5060/udp que están en uso por el servidor SIP tendrá que ser añadido a las nuevas políticas en consecuencia.

Cómo aplicar:

1) crear una política de aplicación reemplazar con una regla que permite el tráfico sip-trunk en 5060/udp, así como cualquier otros puertos que están siendo utilizados por esta aplicación en su entorno.  La política puede ser limitada en alcance a sólo coinciden con el tráfico SIP deseado especificando fuente y direcciones IP de destino, así como zonas.

2) crear una política de seguridad que bloquea la aplicación "sip".

3) crear un objeto de servicio que contiene 5060/udp, así como cualquier otros puertos requeridos por los servidores SIP.

4) crear políticas de seguridad por debajo de la regla que creó en el paso anterior que permite la aplicación de "sip-trunk".  Esta política debe limitarse en el ámbito a sólo coinciden con el tráfico SIP deseado especificando fuente y direcciones IP de destino, así como zonas.

5) crear estática fuente política NAT bidireccional.

6) comprometen política.

7) borrar todas las sesiones SIP actuales del CLI (Nota: este comando interrumpirá todo el tráfico SIP activo):

> Borrar sesión todos los sip de aplicación del filtro

8) borrar la caché de aplicación de la CLI:

> claro appinfo2ip