Это корректно, который проверка SIP в ASA 5 500 брандмауэров только вталкивает для трафика в порте 5060? Существует некоторый намек на это, в то время как не категоричных 100%, на Cisco Документы - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/82446-enable-voip-config.html#sip.
Я испытываю затруднения для получения работы аудио, когда мой IP PBX настроен для получения входящих вызовов на другом порте, чем 5 060. IP PBX, который я использую, является прокси SIP со встроенным SBC и он требует, чтобы входящий трафик должен быть отправлен для портирования 5080. Трафик между IP, PBX и ITSP идут через брандмауэр ASA 5505 (это - старшее поколение).
Входящие вызовы действительно соединяются, но затем у меня есть одностороннее аудио. RTP не вытекает внешний к внутреннему. (Исходящие вызовы не являются никакой проблемой, всем штрафом с аудио с 2 путями - но они отправляются с целевым портом 5060). Это имело бы смысл, если ASA не запустит проверку SIP из-за другого порта 5080.
Но что действительно имеет место? И если это так, я могу настроить где-нибудь, какой порт SIP ASA должен искать? Или есть ли какое-либо обходное решение? (Я могу, вероятно, открыть все входящие порты RTP..., но я хотел бы избежать этого),
Для создания этого более ясным - на самом деле, ITSP отправляет входящие вызовы ASA покорно на порте 5060. Мое статическое правило NAT действительно портирует перевод от 5 060 до 5 080. По данным Cisco сделана проверка SIP документов, ПРЕЖДЕ ЧЕМ заголовок IP становится переписанным, таким образом, "глоток осматривает", ДОЛЖЕН видеть порт 5060. У кого-либо есть решающий ответ на этом? Я испытываю затруднения для тестирования различных сценариев сам, потому что PBX просто не позволяет 5060, таким образом, у меня нет шанса сделать противотест.
Вы всегда можете изменить условия, которые вызовут инспекцию.
Для этого вам нужно создать карту-класс и карту-полис.
Сначала заходите в терминал конфигурации и создайте класс-карту ;
asa(config)# class-map SIP_5080
asa(config-cmap)# match port tcp eq 5080
asa(config-cmap)# exit
Затем создайте полицейскую карту ;
asa(config)# policy-map SIP_Policy
asa(config-pmap)# class SIP_5080
asa(config-pmap-c)# inspect sip
asa(config-pmap-c)# exit
Наконец, назначьте полицейскую карту интерфейсу ;
asa(config)# service-policy SIP_Policy interface [name of your interface]