Experimentar audio de ida al conectarse a través de SIP
84802
Created On 04/27/19 14:35 PM - Last Modified 03/26/21 17:40 PM
Symptom
Experimentar audio unidireccional al conectarse a través de SIP (Protocolo de inicio de sesión).
Environment
PAN-OS
Cause
SIP (Protocolo de inicio de sesión) permite que dos puntos finales establezcan sesiones de medios entre sí. Este es un protocolo de señalización de capa de aplicación.
Las principales funciones de señalización del protocolo son las siguientes:
– Ubicación de un punto final.
– Ponerse en contacto con un punto final para determinar la voluntad de establecer una sesión.
– Intercambio de información multimedia para permitir el establecimiento de una sesión.
– Modificación de las sesiones de medios existentes.
– Desmontaje de las sesiones de medios existentes.
Un SIP en cada salto se conoce como una pierna de llamada.
El SIP teléfono se registra con el servidor interno ( , ) y obtiene toda la configuración relacionada con CUCM el número de CME extensión, que es códecs soportado. Cada sitio tendrá una conexión T1 y E1 ISDN del proveedor que puede conectarse a la red de telefonía SIP pública. La configuración común se parece a continuación:
Phone user1====>(Registered)====> CUCM ===> CUBE ===>(Palo Alto Networks Firewall )====> ISP SBC===>Dst VOIP gateway====> VOIP server====>user2
El llamador inicia la llamada a través de un INVITE mensaje, y el servidor proxy es responsable de iniciar una conexión en nombre del llamador (user1).
Aquí está el SIP flujo de llamadas:
INVITEEl mensaje: INVITE los mensajes son generados por el llamador, que se envía al servidor. El servidor proxy es responsable de iniciar una conexión. El INVITE encabezado tiene el llamador y la información de la parte que realiza la llamada, incluidos los identificadores de llamada únicos. Estas son dos nuevas terminologías para la aclaración: Entrega temprana y Entrega retrasada.
Entrega temprana: En la imagen anterior, puede ver el INVITE mensaje sin carga útil SDP (Protocolo de descripción de sesión). La configuración más común es iniciar una SDP carga útil con el INVITE mensaje. Cuando vea la SDP carga útil dentro del INVITE mensaje, se considera un traspaso anticipado.
Contiene SDP la información del tipo de medio y los medios utilizados entre los dos puntos de conexión. También SDP contiene la información de la dirección multimedia, el número de puerto, el tipo de IP RTP códec ( G .711, G .729 ) información y muchos más.
Entrega retrasada: Cuando no ve la SDP carga útil en el INVITE mensaje, esa configuración es un traspaso retrasado. A continuación, la parte llamada tiene que enviar primero su propia información de medios para que la persona que llama negocie.
A continuación se muestra un ejemplo de un INVITE mensaje con SDP carga útil:
INVITE sip:calling_to@10.101.5.120 SIP /2.0
From: "Called_id"; <sip:Caller@10.101.6.120> tag =35b8d8a74ca0f4e34e0adfa7_F10.101.6.120
Para: sip:Calling_to@10.101.5.120
Llamada- : ID f_169eac17a017b0a4e0adfa8_I@10.101.6.120
CSeq: 15 INVITE
Vía: SIP /2.10/ UDP 10.101.6.120;branch=z9hG4bKf_169eac12baa17054e0adfb3_I
Content-Length: 306
Max-Forwards: 70
Contacto: sip:Caller@10.101.6.120;transport=udp
Tipo de contenido: aplicación/sdp
User-Agent: Avaya SIP Softphone
Compatible:
SDPreemplaza:
v=0
o=sip:caller@10.101.6.120 1 16 IN IP4 10.101.6.120
s=sip:caller@10.101.6.120
c= IN IP4 10.101.6.120
t=0 0
m=audio 5000 RTP / AVP 0 8 18 4 120
a=rtpmap:0 PCMU /8000/1
a=rtpmap:8 PCMA /8000/1
a=rtpmap:18 G729/8000/1
a=fmtp:18 annexb=no
a=rtpmap:4 G723/8000/1
a=rtpmap:120 telephone-event/800 Carga
SDP útil:
c= IN IP4 10.101.6.120 ===> IP dirección que utilizará la parte que llama para el intercambio de los paquetes de audio
m=audio 5000 RTP / AVP 0 8 18 4 120 =======> número de RTP puerto que debe usar la parte que realiza la llamada.
SIP ALG:
ALG significa Application Layer Gateway, que es responsable de hacer en el paquete de la NAT capa 7 (invitar y SDP ).</sip:Caller@10.101.6.120> Los firewalls de Palo Alto Networks son capaces de realizar ALG en los SIP paquetes, y usted no tiene que hacer ninguna configuración adicional para habilitar esta característica. Tan pronto como el firewall tráfico identifique como SIP aplicación, invocará el ALG decodificador y realizará una capa NAT 7. Firewalls como Los firewalls de Palo Alto Networks tomarán la información multimedia y abrirán un agujero o "Predecir sesión" para permitir los paquetes multimedia.
Resolution
ISSUE:
Puede surgir un problema al deshabilitar esta característica firewall en el firewall (Objetos > aplicación > SIP ALG >) y configurar una invalidación de aplicación para el SIP tráfico. Después de hacer la aplicación invalidar el firewall perderá la visibilidad de la capa 7 y no será capaz de realizar la capa 7. NAT
¿Por qué es importante ALG habilitar?
A cada teléfono se le asigna una RFC dirección privada de 1918. IP Cuando el teléfono inicia la SDP dirección de medios de los paquetes también será una dirección RTP IP IP privada. Si el teléfono no es un NAT dispositivo consciente o no hay ningún dispositivo que funcione en la ALG red, después el paquete de la capa 7 tendrá la dirección privada IP cuando llegue al teléfono de destino. Después de toda la señalización hecha y tratan de enviar los paquetes /Audio reales RTP el destino lo enviará a una dirección privada que recibió en el paquete y no será una IP dirección SDP enrutada en Internet IP público. Esa es la razón principal por la que tendremos un audio de ida en las VOIP llamadas.
¿Dónde no ALG necesitas?
Si su teléfono es un NAT teléfono consciente o tiene algún otro dispositivo en el medio que es un dispositivo ALG habilitado. Esto también se puede ver cuando usted está haciendo ALG en la red y el está haciendo también , que hace que los paquetes sean un doble firewall ALG NAT . Esto podría crear algunos problemas como el retraso y las llamadas caídas entre otros problemas.
Additional Information
Para ver si firewall lo está ALG haciendo, puede ir a Aplicación de > objeto > SIP > ALG .
Debe establecerse para habilitar el "sí".
Tome las capturas de paquetes entre el teléfono y el ISP SBC (controlador del boarder de la sesión). Recuerde siempre poner los filtros como se muestra a continuación:
NOTE: Los clientes deben ser conscientes de la IP dirección de los SBC 's proporcionados por el ISP . Debe haber una seguridad policy que debería permitir la comunicación a esas 2 IP direcciones.
Índice 1:
Src IP – Dirección de teléfono de llamada IP
Dst – dirección IP proporcionada IP por el ( normalmente será SBC ISP 2 dirección diferente para el failover IP /load sharing ) Índice
2:
Vice Versa
Index 3:
src IP : Llamando a la dirección de teléfonos IP
Dst : IP 0.0.0.0
Índice 4:
Src IP : 0.0.0.0
Dst : Llamando a la dirección IP IP del teléfono.
Después de tomar los PCAP, usted tiene que marcar la etapa de transmisión PCAPs, que debe tener todo el SIP / oído cambiado a la SDP IP NAT IP dirección. También es importante tomar el nombre del llamador, el nombre del receptor, y el número de extensión para verificar el SIP encabezado en los PCAP.
A continuación se muestra un comando que puede ejecutar para verificar si el firewall está haciendo ALG .
> mostrar appinfo2ip
En caso de cualquier problema con la caída de llamada, audio unidireccional, es necesario recopilar flujo básico, appid básico, ctd básico, y PCAPs como mínimo.