発信者番号による ISDN 認証とコールバック

概要

発信者 ID に基づく認証では、ユーザ ID とパスワードだけでなく、ダイヤルしている場所にも基づいてリモート クライアントが認証されるため、セキュリティが向上します。

前提条件

要件

このドキュメントに関しては個別の前提条件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

最初に、このドキュメントでは、ダイヤラ ロータリー グループ インターフェイスではなく、ダイヤラ プロファイル インターフェイスで dialer caller コマンドを使用する場合の意味あいの違いについて説明します（コールバックに使用する場合を除きます）。

ダイヤラ ロータリー グループ インターフェイスの場合、このコマンドは、ISDN インターフェイスにおける isdn caller と類似したスクリーニング コマンドになります。ダイヤラ プロファイル インターフェイスの場合は、着信した Q.931 設定メッセージで提示される発番号に基づいて、着信コールを適切なダイヤラ プロファイルにバインドするメカニズムを提供します。物理インターフェイスで PPP 認証が設定されている場合は、提示された発番号とダイヤラ プロファイルにあるダイヤラの発信者番号の照合に失敗しても、必ずしもコールがバインド不可能として拒否されることにはなりません。また、この基準に基づいて、提示されたホスト名と設定されているダイヤラのリモート名の値を照合してバインドすることもできます。これは、提示された発番号に基づくバインディングが、バインドを正しく行うための唯一の基準ではないためです。バインディングとダイヤラ プロファイルの詳細については、『ダイヤラ プロファイル設定およびトラブルシューティング』を参照してください。

Cisco IOS®ソフトウェアリリース12.0(7)T以降では、物理インターフェイスからPPP認証を削除して、発信側番号のみに基づいてコールをスクリーニングできるようにします。この場合、ルータでダイヤラ 発信者の値と一致するものがないコールは、バインド不可能として拒否されます。また、これらのコールを適切に認証したい場合は、PAP または CHAP を使用して、ダイヤラ インターフェイスに PPP 認証を設定することもできます。

最初のコールは、発信者番号の認証に追加されたコールバック オプションのために拒否されます（応答がありません）。しかし、発番号に対するコールバックが開始されて、接続が行われます。コールバックは次の目的で行うことができます。

• 電話料金請求の整理統合と集中化

• 有料通話のコスト削減

• アクセス制御

この設定例では、dialer caller number[callback] コマンドを使用して、発信者番号のスクリーニングを設定する方法や、オプションでダイヤラ プロファイル DDR に対する ISDN の発信者番号コールバックをイネーブルにする方法について説明します。また、このコマンドを従来の DDR 用に使用することもできます。このコマンドは、発信者の PSTN 番号に基づいて ISDN コールを受け入れまたは拒否するよう Cisco IOS ソフトウェアを設定します。たとえば、dialer caller 1234 コマンドを実行すると、ルータが発信者番号 1234 の ISDN コールを受け入れるようになります。

注：この設定では、電話会社がルータまたはアクセスサーバに発信者ID情報を渡す必要があります。発信者番号のスクリーニングをイネーブルにしていても、発信者番号情報がルータに渡されなくては、コールは受け入れられません。

ISDN の発信者番号の認証とコールバックに必要な前提条件とその他のオプション機能の詳細については、『ISDN 発信者番号コールバックの設定』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注： このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を使用してください。

注：これらの設定は、関連する情報のみを表示するように省略されています。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

設定

このドキュメントでは、次の構成を使用します。

• ルータ 1

• ルータ 2

• Router 3

このシナリオでは、ルータ2と3の両方がルータ1へのDDRコールを開始します。ルータ1は、発信者IDのみに基づいてルータ2と3の両方を認証します。ルータ1はルータ2にコールバックするように設定されていますが、ルータ3にはコールバックしないように設定されています。

ヒント：設定の適切なセクションを選択して、発信者IDスクリーニングまたは発信者IDコールバック機能を設定します。両方は設定できません。たとえば、次の図は、コールバックにルータ2とルータ1の設定が必要であることを示しています。ただし、ルータ1は両方のタスクを実行するため、ルータ2に関連付けられたダイヤラインターフェイス設定のみを選択します（インターフェイスDialer 1で明確にマークされます）。

version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname Router1
!
isdn switch-type basic-net3
!
interface Loopback0
ip address 10.0.0.1 255.255.255.0
!
interface BRI0
no ip address
dialer pool-member 1

!--- BRI 0 is a member of dialer pool 1 which is defined !--- under interface Dialer 1.

isdn switch-type basic-net3
!
interface Dialer1

!--- DDR dialer interface to call Router 2.

description for Router2
ip unnumbered Loopback0
encapsulation ppp
dialer pool 1

!--- Interface BRI 0 is a member of dialer pool 1.

dialer enable-timeout 2

!--- The time (in seconds) to wait before initiating callback.

dialer string 6121  

!--- This number is used to call back Router 2.

dialer caller 6121 callback

!--- Permits calls from 6121 and initiates callback !--- to the same number.
 
dialer-group 1

!--- Use dialer-list 1 to define interesting traffic.

!
interface Dialer2

!--- This interface is used to authenticate calls from Router 3. !--- (Callback is NOT initiated to Router 3.)

description for Router3
ip unnumbered Loopback0
encapsulation ppp
dialer pool 1

!--- Interface BRI 0 is a member of dialer pool 1.

dialer caller 6101

!--- Permit calls from number 6101.

dialer-group 1

!--- Use dialer-list 1 to define interesting traffic.

!
dialer-list 1 protocol ip permit

!--- Define IP as interesting traffic.

version 12.1
service timestamps debug datetime msec
service timestamps log datetime ms
!
hostname Router2
!
isdn switch-type basic-net3
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
!
interface Dialer1
ip address 10.0.0.2 255.255.255.0
encapsulation ppp
dialer pool 1
dialer string 6122

!--- The number to dial for Router 1 !--- (which initiates a callback).

dialer caller 6122

!--- Accept calls from 6122 (Router 1).

dialer-group 1
no cdp enable
!
dialer-list 1 protocol ip permit

version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname Router3
!
isdn switch-type basic-net3
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
!
interface Dialer1
ip address 10.0.0.3 255.255.255.0
dialer pool 1
encapsulation ppp
dialer string 6122

!--- The number to dial for Router 1.

dialer-group 1
no cdp enable
!
dialer-list 1 protocol ip permit

注：クライアントルータは、ほとんどのコールバックシナリオでコールバックサーバにダイヤルします。その後、2 台のルータがコールバック パラメータをネゴシエートします。サーバがコールを接続解除し、コールバックを開始します。最初のコール接続解除からコールバックが行われるまでの間に、サーバからのコールバックを待っているにもかかわらず、発信側が数回続けて何度かサーバーにコールを行ってしまう可能性があります。これは、クライアント側では最初のコールが失敗したことを検出するものの、コールバック処理が実行中であることが分からないためです。これは通常の DDR の動作です。

クライアントがコールバック サーバに対して発信し続けるのを防ぐためには、発信側で dialer redial コマンドを発行します。このコマンドによって、コールバックの待機中に、サーバへ追加のコールを抑制します。コールの抑制は、事前に定義されたタイマーが時間切れになるまで続きます。たとえば、dialer redial のインターバルを 15 秒に設定すると、クライアントは再ダイヤルを開始するのに 15 秒間待機します。その時間内にコールバックが完了すれば、クライアントは再度ダイヤルする必要がなくなります。

dialer redial コマンドの詳細と実行方法については、『コールバック ダイヤル失敗後のリダイヤル タイマーの設定』を参照してください。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

アウトプット インタープリタ ツール（登録ユーザ専用）（OIT）は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

show コマンド

特定の show コマンドは、OIT でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。

• show isdn active：現在のコールに関する情報を表示します。現在の着信および発信の両方の ISDN コールに関する情報を示します。

• show users：ルータのアクティブ回線に関する情報を表示します。show caller コマンドも、使用している Cisco IOS のバージョンでサポートされていれば使用できます。

• show dialer：DDR 用に設定されたインターフェイスの一般的な診断情報を表示します。

show のサンプル出力

Router1#show isdn active

---------------------------------------------------------------------------
ISDN ACTIVE CALLS
---------------------------------------------------------------------------
Call  Calling   Called    Remote  Seconds Seconds Seconds Charges
Type  Number    Number    Name    Used    Left    Idle    Units/Currency
---------------------------------------------------------------------------
Out              6121     6121       24      96      23      0
In       6101             6101        7     113       6
---------------------------------------------------------------------------

1 つの着信コールと 1 つの発信コールが進行中である点に注意してください。発信コールは番号6121で、ルータ2に対応します。着信コールは6101からルータ3に対応します。また、PPP認証が設定されていないため、番号は名前ではなくリモート名フィールドでリモートルータを識別します。

Router1#show user

Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00
BR0:1                   Sync PPP             00:00:33   PPP: 10.0.0.2
BR0:2                   Sync PPP             00:00:15   PPP: 10.0.0.3
Interface  User      Mode                     Idle Peer Address

一方の B チャネルが Router 2 との接続に使用され、他方の B チャネルが Router 3 への接続に使用されていることに注意してください。IP アドレスが Router 2 と Router 3 で設定されたアドレスと一致していることを確認してください。

トラブルシュート

このセクションは、設定のトラブルシューティングを行う際に参照してください。

トラブルシューティングのためのコマンド

アウトプット インタープリタ ツール（登録ユーザ専用）（OIT）は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

注：debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

• debug dialer [events |パケット]

• debug isdn event

• debug isdn q931

• debug ppp negotiation：リンク制御プロトコル（LCP）認証およびネットワーク制御プロトコル（NCP）を含む PPP コンポーネントをネゴシエートしている場合の PPP トラフィックに関する情報を表示します。PPP ネゴシエーションが成功すると、最初に LCP ステートが開き、次に認証が行われ、そして最後に NCP のネゴシエーションが行われます。

ISDN の下位レイヤの問題が発生した場合は、『show isdn status コマンドを使用した BRI のトラブルシューティング』を参照してください。

デバッグの出力例

Router1#show debug
     Dial on demand: Dial on demand events debugging is on 
     PPP: PPP protocol negotiation debugging is on 
     ISDN: ISDN Q931 packets debugging is on

このセクションでは、Router 1 から得られたデバッグ出力を表示し、Router 2 が Router 1 に対して発信していることを示しています。この後、Router 1 は Router 2 へのコールバックを開始し、接続を確立します。

注：これらのデバッグ出力行の一部は、印刷用に複数の行に分割されています。

*Mar  1 04:50:34.782: ISDN BR0: RX <-  SETUP pd = 8  callref = 0x0B
*Mar  1 04:50:34.790:         Bearer Capability i = 0x8890
*Mar  1 04:50:34.798:         Channel ID i = 0x89
*Mar  1 04:50:34.802:         Calling Party Number i = 0xA1, '6121
',Plan:ISDN, Type:National

!--- Calling party information is provided by the switch.

*Mar  1 04:50:34.818:         Called Party Number i = 0xC1, '6122',Plan:ISDN,
   Type:Subscriber(local)

!--- Called party information is provided by the switch.

*Mar  1 04:50:34.838: ISDN BR0: Event: Received a DATA call from 6121 on
   B1at 64 Kb/s
*Mar  1 04:50:34.842: BR0:1 DDR: Caller id 6121 matched to profile  

!--- The ISDN call (from Router 2) is authenticated.

*Mar  1 04:50:34.842: Di1 DDR: Caller id Callback server starting to  6121

!--- Initiates callback to 6121.
 
*Mar  1 04:50:34.866: ISDN BR0: TX ->  RELEASE_COMP pd = 8  callref = 0x8B
*Mar  1 04:50:34.870:         Cause i = 0x8095 - Call rejected
*Mar  1 04:50:36.778: ISDN BR0: RX <-  SETUP pd = 8  callref = 0x0C
*Mar  1 04:50:36.786:         Bearer Capability i = 0x8890
*Mar  1 04:50:36.794:         Channel ID i = 0x89
*Mar  1 04:50:36.798:         Calling Party Number i = 0xA1, '6121',Plan:ISDN,
   Type:National
*Mar  1 04:50:36.814:         Called Party Number i = 0xC1, '6122',Plan:ISDN,
   Type:Subscriber(local)
*Mar  1 04:50:36.834: ISDN BR0: Event: Received a DATA call from 6121 on B1at
   64 Kb/s
*Mar  1 04:50:36.838: BR0:1 DDR: Caller id 6121 matched to profile
*Mar  1 04:50:36.838: Di1 DDR: callback to 6121 already started
*Mar  1 04:50:36.862: ISDN BR0: TX ->  RELEASE_COMP pd = 8  callref = 0x8C
*Mar  1 04:50:36.866:         Cause i = 0x8095 - Call rejected

!--- Reject call (then initiate callback).

*Mar  1 04:50:36.878: DDR: Callback timer expired

!--- The timer is configured with the dialer enable-timeout command.

*Mar  1 04:50:36.878: Di1 DDR: beginning callback to  6121
*Mar  1 04:50:36.882: BR0 DDR: rotor dialout [priority]
*Mar  1 04:50:36.882: BR0 DDR: Dialing cause Callback return call

!--- The dialing cause is callback.

*Mar  1 04:50:36.886: BR0 DDR: Attempting to dial 6121

!--- Dialing 6121 (Router 2).

*Mar  1 04:50:36.902: ISDN BR0: TX ->  SETUP pd = 8  callref = 0x0E
*Mar  1 04:50:36.906:         Bearer Capability i = 0x8890
*Mar  1 04:50:36.914:         Channel ID i = 0x83
*Mar  1 04:50:36.922:         Called Party Number i = 0x80, '6121',Plan:Unknown,
   Type:Unknown
*Mar  1 04:50:36.998: ISDN BR0: RX <-  CALL_PROC pd = 8  callref = 0x8E
*Mar  1 04:50:37.002:         Channel ID i = 0x89
*Mar  1 04:50:37.402: ISDN BR0: RX <-  CONNECT pd = 8  callref = 0x8E
*Mar  1 04:50:37.418: ISDN BR0: TX ->  CONNECT_ACK pd = 8  callref = 0x0E
*Mar  1 04:50:37.426: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up

!--- The interface is up.

*Mar  1 04:50:37.446: DDR: Freeing callback to  6121
*Mar  1 04:50:37.446: BRI0:1: interface must be fifo queue, force FIFO
*Mar  1 04:50:37.450: BR0:1 PPP: Phase is DOWN, Setup
*Mar  1 04:50:37.454: BR0:1 PPP: Treating connection as a callout
*Mar  1 04:50:37.454: BR0:1 PPP: Phase is ESTABLISHING, Active Open
*Mar  1 04:50:37.462: BR0:1 LCP: O CONFREQ [Closed] id 1 len 10
*Mar  1 04:50:37.462: BR0:1 LCP:    MagicNumber 0xE1288054 (0x0506E1288054)
*Mar  1 04:50:37.466: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1
*Mar  1 04:50:37.478: BR0:1 PPP: Treating connection as a callout
*Mar  1 04:50:37.486: BR0:1 LCP: I CONFREQ [REQsent] id 2 Len 10
*Mar  1 04:50:37.490: BR0:1 LCP:    MagicNumber 0x000F4499 (0x0506000F4499)
*Mar  1 04:50:37.494: BR0:1 LCP: O CONFACK [REQsent] id 2 Len 10
*Mar  1 04:50:37.498: BR0:1 LCP:    MagicNumber 0x000F4499 (0x0506000F4499)
*Mar  1 04:50:37.502: BR0:1 LCP: I CONFACK [ACKsent] id 1 Len 10
*Mar  1 04:50:37.506: BR0:1 LCP:    MagicNumber 0xE1288054 (0x0506E1288054)
*Mar  1 04:50:37.506: BR0:1 LCP: State is Open

!--- The LCP negotiation is complete.

*Mar  1 04:50:37.510: BR0:1 PPP: Phase is UP
*Mar  1 04:50:37.514: BR0:1 IPCP: O CONFREQ [Closed] id 1 Len 10
*Mar  1 04:50:37.518: BR0:1 IPCP:    Address 10.0.0.1 (0x03060A000001)
*Mar  1 04:50:37.522: BR0:1 IPCP: I CONFREQ [REQsent] id 2 Len 10
*Mar  1 04:50:37.526: BR0:1 IPCP:    Address 10.0.0.2 (0x03060A000002)
*Mar  1 04:50:37.530: BR0:1 IPCP: O CONFACK [REQsent] id 2 Len 10
*Mar  1 04:50:37.534: BR0:1 IPCP:    Address 10.0.0.2 (0x03060A000002)
*Mar  1 04:50:37.550: BR0:1 IPCP: I CONFACK [ACKsent] id 1 Len 10
*Mar  1 04:50:37.550: BR0:1 IPCP:    Address 10.0.0.1 (0x03060A000001)

!--- IPCP address negotiation.

*Mar  1 04:50:37.554: BR0:1 IPCP: State is Open
*Mar  1 04:50:37.562: BR0:1 DDR: dialer protocol up
*Mar  1 04:50:37.570: Di1 IPCP: Install route to 10.0.0.2

!--- Route to Router 2 is installed.

*Mar  1 04:50:38.510: %LINEPROTO-5-UPDOWN: Line protocol on InterfaceBRI0:1,
   changed state to up

このセクションのデバッグ出力は、Router 3 から Router 1 へのコールを示しています。Router 3 は発信者番号情報に基づいて認証を受け、Router 1 へ接続されます。コールバックは行われません。

*Mar  1 04:50:54.230: ISDN BR0: RX <-  SETUP pd = 8  callref = 0x0D

!--- Receive a call setup.

*Mar  1 04:50:54.238:         Bearer Capability i = 0x8890
*Mar  1 04:50:54.242:         Channel ID i = 0x8A
*Mar  1 04:50:54.250:         Calling Party Number i = 0xA1, '6101',Plan:ISDN,
   Type:National

!--- Calling party (Router 3) information is provided by the switch.

*Mar  1 04:50:54.266:         Called Party Number i = 0xC1, '6122',Plan:ISDN,
   Type:Subscriber(local)

!--- Called party (Router 1) information is provided by the switch.

*Mar  1 04:50:54.286: ISDN BR0: Event: Received a DATA call from 6101 on B2at
   64 Kb/s
*Mar  1 04:50:54.290: BR0:2 DDR: Caller id 6101 matched to profile 

!--- The ISDN call (from Router 3) is authenticated.

*Mar  1 04:50:54.290: BRI0:2: interface must be FIFO queue, force FIFO
*Mar  1 04:50:54.294: BR0:2 PPP: Phase is DOWN, Setup
*Mar  1 04:50:54.298: %DIALER-6-BIND: Interface BR0:2 bound to profile Di2

!--- The interface is bound to interface Dialer 2.

*Mar  1 04:50:54.314: ISDN BR0: TX ->  CALL_PROC pd = 8  callref = 0x8D
*Mar  1 04:50:54.318:         Channel ID i = 0x8A
*Mar  1 04:50:54.326: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up
*Mar  1 04:50:54.350: BR0:2 PPP: Treating connection as a callin
*Mar  1 04:50:54.354: BR0:2 PPP: Phase is ESTABLISHING, Passive Open
*Mar  1 04:50:54.354: BR0:2 LCP: State is Listen
*Mar  1 04:50:54.630: ISDN BR0: TX ->  CONNECT pd = 8  callref = 0x8D
*Mar  1 04:50:54.698: ISDN BR0: RX <-  CONNECT_ACK pd = 8  callref = 0x0D
*Mar  1 04:50:54.706:         Channel ID i = 0x8A
*Mar  1 04:50:54.766: BR0:2 LCP: I CONFREQ [Listen] id 31 Len 10
*Mar  1 04:50:54.770: BR0:2 LCP:    MagicNumber 0x099285FD (0x0506099285FD)
*Mar  1 04:50:54.774: BR0:2 LCP: O CONFREQ [Listen] id 1 Len 10
*Mar  1 04:50:54.778: BR0:2 LCP:    MagicNumber 0xE128C3F7 (0x0506E128C3F7)
*Mar  1 04:50:54.782: BR0:2 LCP: O CONFACK [Listen] id 31 Len 10
*Mar  1 04:50:54.786: BR0:2 LCP:    MagicNumber 0x099285FD (0x0506099285FD)
*Mar  1 04:50:54.790: BR0:2 LCP: I CONFACK [ACKsent] id 1 Len 10
*Mar  1 04:50:54.794: BR0:2 LCP:    MagicNumber 0xE128C3F7 (0x0506E128C3F7)
*Mar  1 04:50:54.798: BR0:2 LCP: State is Open

!--- LCP negotiation is complete.

*Mar  1 04:50:54.802: BR0:2 PPP: Phase is UP
*Mar  1 04:50:54.806: BR0:2 IPCP: O CONFREQ [Closed] id 1 Len 10
*Mar  1 04:50:54.810: BR0:2 IPCP:    Address 10.0.0.1 (0x03060A000001)
*Mar  1 04:50:54.814: BR0:2 IPCP: I CONFREQ [REQsent] id 17 Len 10
*Mar  1 04:50:54.818: BR0:2 IPCP:    Address 10.0.0.3 (0x03060A000003)
*Mar  1 04:50:54.822: BR0:2 IPCP: O CONFACK [REQsent] id 17 Len 10
*Mar  1 04:50:54.826: BR0:2 IPCP:    Address 10.0.0.3 (0x03060A000003)
*Mar  1 04:50:54.830: BR0:2 IPCP: I CONFACK [ACKsent] id 1 Len 10
*Mar  1 04:50:54.834: BR0:2 IPCP:    Address 10.0.0.1 (0x03060A000001)

!--- IPCP address negotiation is complete.

*Mar  1 04:50:54.834: BR0:2 IPCP: State is Open
*Mar  1 04:50:54.842: BR0:2 DDR: dialer protocol up
*Mar  1 04:50:54.850: Di2 IPCP: Install route to 10.0.0.3

!--- Route to Router 3 is installed.

*Mar  1 04:50:55.802: %LINEPROTO-5-UPDOWN: Line protocol on InterfaceBRI0:2,
   changed state to up

関連情報

• ISDN 発信者 ID コールバックの設定
• コールバック ダイヤル失敗後のリダイヤル タイマーの設定
• DDR ダイヤラ マップを使用する BRI 間ダイヤルアップの設定
• ダイヤラ プロファイルによる ISDN DDR 設定
• ISDN を経由した PPP コールバックの設定
• ダイヤル - アクセス - シスコシステムズ
• テクニカル サポートとドキュメント – Cisco Systems

更新履歴