打开SIP检测时,排除Expressway呼叫的介质故障

下载选项

  • PDF     (263.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (157.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (108.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 4 月 3 日
文档 ID:214282

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在自适应安全设备(ASA)防火墙上禁用会话初始协议(SIP)检查。

    背景信息

    SIP检查的目的是在SIP报头和正文中提供地址转换,以便在SIP信令时允许动态打开端口。SIP检测是一种额外的保护层,当您从网络内部呼叫互联网时,它不会向外部网络暴露内部IP。例如,在从通过Expressway-C注册到Cisco Unified Communications Manager(CUCM)的设备到Expressway-E拨号到不同域的企业到企业呼叫中,SIP报头中的私有IP地址将转换为防火墙的IP。许多症状可能来自检查SIP信令的ASA,导致呼叫失败和一音频或视频。 

    打开SIP检测时Expressway呼叫的媒体故障

    为了使主叫方解密将媒体发送到何处,它会发送在音频和视频的SIP协商时在会话描述协议(SDP)中预期接收的内容。在Early Offer场景中,它根据在200 OK时收到的内容发送媒体,如图所示。

    当ASA打开SIP检查时,ASA会在SDP的c参数(返回呼叫的连接信息)或SIP报头中插入其IP地址。以下是启用SIP检测时失败呼叫的示例:

    SIP INVITE:

    |INVITE sip:7777777@domain SIP/2.0

    Via: SIP/2.0/TCP *EP IP*:5060

    Call-ID: faece8b2178da3bb

    CSeq: 100 INVITE

    Contact: <sip:User@domain;

    From: "User" <sip:User@domain >;tag=074200d824ee88dd

    To: <sip:7777777@domain>

    Max-Forwards: 15

    Allow: INVITE,ACK,CANCEL,BYE,INFO,OPTIONS,REFER,NOTIFY

    User-Agent: TANDBERG/775 (MCX 4.8.12.18951) - Windows

    Supported: replaces,timer,gruu

    Session-Expires: 1800

    Content-Type: application/sdp

    Content-Length: 1961

    在此,防火墙插入其自己的公有IP地址并替换确认(ACK)消息报头中的域:

    SIP ACK:

    |ACK sip:7777777@*Firewall IP 5062;transport=tcp SIP/2.0

    Via: SIP/2.0/TLS +Far End IP*:7001

    Call-ID: faece8b2178da3bb

    CSeq: 100 ACK

    From: "User" <sip:User@domain>;tag=074200d824ee88dd

    To: <sip:7778400@domain>;tag=1837386~f30f6167-11a6-4211-aed0-632da1f33f58-61124999

    Max-Forwards: 68

    Allow: INVITE,ACK,CANCEL,BYE,INFO,OPTIONS,REFER,NOTIFY

    User-Agent: TANDBERG/775 (MCX 4.8.12.18951) - Windows

    Supported: replaces,100rel,timer,gruu

    Content-Length: 0

    如果防火墙的公有IP地址插入此SIP信令进程中的任何位置,则呼叫失败。如果SIP检测打开,则也不会从用户代理客户端发回ACK,从而导致呼叫失败。

    解决方案

    要在ASA防火墙上禁用SIP检测,请执行以下操作:

    步骤1.登录ASA的CLI。

    步骤2.运行命令show run policy-map

    步骤3.验证检查sip是否在策略映射全局策略列表下,如图所示。


    步骤4.如果是,请运行以下命令:

    CubeASA1# policy-map global_policy

    CubeASA1#类inspection_default

    CubeASA1# no inspect sip

    相关信息

    TAC Authored

    由思科工程师提供

    • Michael Kazour
      Cisco TAC Engineer
    • Michael Pearson
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品