أستكشاف أخطاء الوسائط وإصلاحها للاستدعاءات عبر Expressway عند تشغيل فحص SIP
المحتويات
المقدمة
يوضح هذا المستند كيفية تعطيل فحص بروتوكول بدء جلسة العمل (SIP) على جدران الحماية الخاصة بجهاز الأمان القابل للتكيف (ASA).
معلومات أساسية
الغرض من فحص SIP هو توفير ترجمة العنوان في رأس SIP ونصبه للسماح بالفتح الديناميكي للمنافذ في وقت إرسال إشارات SIP. يعد فحص SIP طبقة إضافية من الحماية لا تعرض عناوين IP الداخلية للشبكة الخارجية عند إجراء مكالمات من داخل الشبكة إلى الإنترنت. على سبيل المثال، في مكالمة بين أعمال وأعمال من جهاز مسجل إلى مدير الاتصالات الموحدة (CUCM) من خلال Expressway-C وإلى طلب Expressway-E لمجال مختلف، تتم ترجمة عنوان IP الخاص في رأس SIP إلى IP الخاص بجدار الحماية الخاص بك. يمكن أن تظهر أعراض كثيرة مع ASA الذي يفحص إرسال إشارات SIP، مما يؤدي إلى إنشاء حالات فشل في الاتصال وصوت أو فيديو أحادي الإتجاه.
فشل الوسائط للمكالمات عبر الطرق السريعة عند تشغيل فحص SIP
لكي يتمكن الطرف المتصل من تحديد مكان إرسال الوسائط إليه، فإنه يرسل ما يتوقع إستلامه في بروتوكول وصف الجلسة (SDP) في وقت تفاوض SIP لكل من الصوت والفيديو. في سيناريو "عرض مبكر"، فإنه يرسل وسائط تستند إلى ما تلقاه في ال 200 OK كما هو موضح في الصورة.
عند تشغيل فحص SIP بواسطة ASA، يقوم ASA بإدراج عنوان IP الخاص به إما في المعلمة c الخاصة ب SDP (معلومات الاتصال لإرجاع المكالمات إلى) أو رأس SIP. هنا مثال على ما تبدو عليه المكالمة الفاشلة عند تشغيل فحص SIP:
SIP INVITE:
|INVITE sip:7777777@domain SIP/2.0
Via: SIP/2.0/TCP *EP IP*:5060
Call-ID: faece8b2178da3bb
CSeq: 100 INVITE
Contact: <sip:User@domain;
From: "User" <sip:User@domain >;tag=074200d824ee88dd
To: <sip:7777777@domain>
Max-Forwards: 15
Allow: INVITE,ACK,CANCEL,BYE,INFO,OPTIONS,REFER,NOTIFY
User-Agent: TANDBERG/775 (MCX 4.8.12.18951) - Windows
Supported: replaces,timer,gruu
Session-Expires: 1800
Content-Type: application/sdp
Content-Length: 1961
هنا يدخل جدار الحماية عنوان IP العام الخاص به ويستبدل المجال في رأس رسالة الإقرار (ACK):
SIP ACK:
|ACK sip:7777777@*Firewall IP 5062;transport=tcp SIP/2.0
Via: SIP/2.0/TLS +Far End IP*:7001
Call-ID: faece8b2178da3bb
CSeq: 100 ACK
From: "User" <sip:User@domain>;tag=074200d824ee88dd
To: <sip:7778400@domain>;tag=1837386~f30f6167-11a6-4211-aed0-632da1f33f58-61124999
Max-Forwards: 68
Allow: INVITE,ACK,CANCEL,BYE,INFO,OPTIONS,REFER,NOTIFY
User-Agent: TANDBERG/775 (MCX 4.8.12.18951) - Windows
Supported: replaces,100rel,timer,gruu
Content-Length: 0
إذا تم إدراج عنوان IP العام لجدار الحماية في أي مكان ضمن عملية إرسال إشارات SIP هذه، فستفشل المكالمات. كما قد لا يتم إرسال ACK مرة أخرى من "عميل وكيل المستخدم" إذا تم تشغيل فحص SIP، مما يؤدي إلى فشل المكالمة.
الحل
لتعطيل فحص SIP على جدار حماية ASA:
الخطوة 1. أدخل إلى CLI الخاص ب ASA.
الخطوة 2. قم بتشغيل الأمر show run policy-map.
الخطوة 3. تحقق من أن فحص SIP يقع ضمن قائمة السياسات العامة لخريطة السياسة كما هو موضح في الصورة.
الخطوة 4. إن يكون، ركضت هذا أمر:
CubeASA1# policy-map global_policy
CubeASA1# class inspection_default
CubeASA1# لا يوجد فحص SIP
معلومات ذات صلة
- لا يوصى باستخدام فحص SIP على جدار حماية ASA (الصفحة 74)؛ https://www.cisco.com/c/dam/en/us/td/docs/telepresence/infrastructure/vcs/config_guide/X8-11/Cisco-VCS-Basic-Configuration-Control-with-Expressway-Deployment-Guide-X8-11-4.pdf
- يمكن العثور على مزيد من المعلومات حول تضمين SIP هنا، https://www.cisco.com/c/en/us/td/docs/security/asa/asa99/configuration/firewall/asa-99-firewall-config/inspect-voicevideo.pdf
- الدعم التقني والمستندات - Cisco Systems
التعليقات