Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
経由で接続するときの一方向オーディオを体験 SIP - Knowledge Base - Palo Alto Networks

経由で接続するときの一方向オーディオを体験 SIP

84802
Created On 04/27/19 14:35 PM - Last Modified 03/26/21 17:39 PM


Symptom


(セッション開始プロトコル)を介して接続するときに一方向のオーディオ SIP を体験。

Environment


PAN-OS

Cause


SIP (セッション開始プロトコル) を使用すると、2 つのエンドポイントが互いにメディア セッションを確立できます。 これはアプリケーション層シグナリングプロトコルです。

プロトコルの主な信号機能は次のとおりです: –
終点の場所。
– セッションを確立する意欲を決定するエンド ポイントに連絡します。
– セッションを確立するためのメディア情報の交換。
既存のメディア セッションの変更。
既存のメディア セッションの破棄。

SIPすべてのホップで、コール レッグと呼ばれます。 



SIP電話機は内部サーバ ( 、 CUCM CME ) に登録され、サポートされているコーデックの内線番号に関連するすべての設定を取得します。 すべてのサイトは、 ISDN パブリック テレフォニー ネットワークに接続できるプロバイダーからの T1 および E1 SIP 接続を持ちます。 一般的な設定は次のようになります:

電話 user1==>(登録済)===>===>===>===> CUCM CUBE Firewall ISP SBC===> > sBccs===> VOIP VOIP サーバー==>user2

呼び出し元はメッセージを介して呼び出しを INVITE 開始し、プロキシ サーバーは呼び出し元 (user1) に代わって接続を開始します。

次に SIP 、呼び出しフロー:



INVITEMessage: INVITE メッセージは、サーバーに送信される呼び出し元によって生成されます。  プロキシ サーバーは、接続を確立する必要があります。 INVITEヘッダーには、一意の呼び出し ID を含む、呼び出し元と発信側の情報が含まれます。 ここでは、明確化のための2つの新しい用語があります: 早期ハンドオフと遅延ハンドオフ.

早期ハンドオフ: 上の図では INVITE SDP 、(セッション記述プロトコル)ペイロードなしでメッセージを見ることができます。 最も一般的な設定は、 SDP メッセージをペイロードで開始 INVITE することです。 SDPメッセージ内にペイロードが表示されると INVITE 、これは早期ハンドオフと見なされます。

SDPには、2 つのエンドポイント間で使用されるメディアタイプとメディアの情報が含まれます。 SDPメディア IP アドレス、 RTP ポート番号、コーデックの種類 ( G .711、 G .729 ) などの情報

も含まれています。遅延ハンドオフ:メッセージにペイロードが表示されない場合 SDP INVITE 、その設定は遅延ハンドオフです。 次に、呼び出された側は、まず、発信者がネゴシエートするために独自のメディア情報を送信する必要があります。

ペイロードを含む INVITE メッセージの例 SDP は以下のとおりです:

INVITE sip:calling_to@10.101.5.120 SIP /2.0
From: "Called_id" <sip:Caller@10.101.6.120>; tag=35b8d8a74ca0f4e34e0adfa7_F10.101.6.120
To: sip:Calling_to@10.101.5.120
Call- ID : f_169eac17a017b0a4e0adfa8_I@10.101.6.120
CSeq: 15 INVITE
Via: SIP /2.0/ UDP 1 0.101.6.120;ブランチ=z9hG4bKf_169eac12baa17054e0adfb3_I
コンテンツ長: 306
最大転送: 70
連絡先: sip:Caller@10.101.6.120;transport=udp
コンテンツタイプ: アプリケーション/sdp
ユーザー エージェント: Avaya SIP ソフトフォン
サポート: 置換

SDP:


v=0 o=sip:caller@10.101.6.120 1 16 IN IP4 10.101.6.120
s=sip: caller@10.101.6.120
c= IN IP4 10.101.6.120
t=0
0 m=オーディオ 5000 RTP / 0 8 AVP 18 4 120
a=rtpmap:0 PCMU/8000/1
a=rtpmap:8 PCMA /8000/1
a=rtpmap:18 G729/8000/1
a=fmtp:18 annexb=no
a=rtpmap:4 G723/8000/1
a=rtpmap:120 電話イベント/8 0000/1

SDPペイロード:

c= IN IP4 10.101.6.120 ===> IP オーディオ パケットの交換のために発信側が使用するアドレス
は、m=audio 5000 RTP / 0 8 AVP 18 4 120============> RTP 呼び出し側によってユーザーになるポート番号です。 NAT レイヤ 7 パケット (招待と) に対して行う責任 SDP があります。

SIP ALG
ALG </sip:Caller@10.101.6.120> パロアルトネットワークスファイアウォールは ALG パケットに対して実行可能 SIP であり、この機能を有効にするために追加の設定を行う必要はありません。 firewallトラフィックがアプリケーションとして識別されると SIP すぐに、デコーダを呼び出 ALG してレイヤ 7 を実行 NAT します。 パロアルトネットワークスファイアウォールのようなファイアウォールは、メディア情報を取り、ピンホールまたはメディアパケットを許可する「セッションを予測」を開きます。


Resolution


ISSUE:
この機能を無効にした場合 firewall firewall に、(オブジェクト > アプリケーション > SIP > ALG )に入り、トラフィックのアプリケーション オーバーライドを構成すると、問題が発生することがあります SIP 。 アプリをオーバーライドすると firewall 、レイヤ 7 の可視性が失われ、レイヤ 7 を実行できなくなります NAT 。

有効にすることが重要なのはなぜ ALG ですか。
すべての電話には RFC 1918 プライベート アドレスが割り当てられます IP 。 電話がパケット メディア アドレスを開始すると SDP RTP IP 、プライベート アドレスにもな IP ります。 電話機が NAT 認識デバイスでない場合、または ALG ネットワークに実行デバイスがない場合、レイヤ 7 パケットは IP 宛先電話機に到達したときにプライベート アドレスを持ちます。 すべてのシグナリングが完了し、実際の /Audio パケットを送信しようとすると RTP 、宛先は IP パケットで受信したプライベート アドレスに送信 SDP され、 IP パブリック インターネットではルーティングされたアドレスではありません。 それが私たちが VOIP 呼び出しで一方向のオーディオを持っている主な理由です。

あなたが必要としない場所 ALG ?
お使いの携帯電話が NAT 認識電話であるか、または有効なデバイスである他のデバイスが途中にある場合 ALG 。 これは、ネットワークで実行しているときにも表示され、その ALG firewall ALG 結果、パケットが二重に設定されます NAT 。 これは、遅延や他の問題の間で呼び出しを落とすなどのいくつかの問題を作成する可能性があります。


Additional Information


が firewall 行っているかどうかを確認するには ALG 、 オブジェクト > アプリケーション > SIP > に移動 ALG します。
「はい」を有効にするように設定する必要があります。

電話と (セッション ボーダー コントローラ)の間でパケット キャプチャを行 ISP SBC います。 常に以下のようにフィルタを置くことを忘れないでください
NOTE: : 顧客は、によって提供される IP のアドレスについて知っておく必要があります SBC ISP . policyこれらの2つのアドレスへの通信を可能にする必要がありますセキュリティが必要です IP 。

インデックス1:
Src IP – 通話先 IP 電話アドレス
Dst IP – SBC ( ISP 通常はフェールオーバー/負荷分散用に 2 つの異なるアドレスになります) によって提供される IP アドレス IP インデックス

2:
逆のインデックス

3:
src IP : 通話電話 IP アドレス
Dst : IP 0.0.0.0

インデックス 4:
Src IP : 0.0.0.0
Dst : 電話 IP IP アドレスを呼び出します。

PCAP を取った後、すべての SIP / SDP 聞き取った IP NAT IP がアドレスに変更されている必要があります送信ステージ PCAP を確認する必要があります。 また、PCAP のヘッダーを確認するために、発信者名、受信者名、内線番号 SIP を取得することも重要です。

以下は、 が実行されているかどうかを確認するために実行できるコマンド firewall です ALG 。

appinfo2ip を表示>

コールドロップ、片方向オーディオに問題がある場合は、フロー基本、appid 基本、ctd 基本、PCAP を最小限にして収集する必要があります。


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLooCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language