Страница 1 из 3
Cisco и аутентификация
Добавлено: 30 ноя 2010, 14:54
vlrk
Подскажите пожалуйста, как правильно запретить гостевые SIP соединения в случае использования Cisco, поскольку Cisco
Call Manager не поддерживают аутентификацию
Сейчас в sip.conf установлено allowguest=yes, но если запретить, т.е. вместо "yes" прописать "no" - то через Cisco не позвонить...
Есть какие-нибудь обходные решения?
Re: Cisco и аутентификация
Добавлено: 30 ноя 2010, 16:03
ded
Есть.
В установках транка на Астериске, для ССМ в пире указать
insecure=invite
canreinvite=no
Re: Cisco и аутентификация
Добавлено: 30 ноя 2010, 20:46
vlrk
ded, большое спасибо, работает!!!
Re: Cisco и аутентификация
Добавлено: 01 дек 2010, 08:47
vlrk
ded, погорячился я от усталости, не работает...
Т.е., с софтфона я могу позвонить на номер с нашей АТС, а обратно - нет...
Re: Cisco и аутентификация
Добавлено: 01 дек 2010, 10:31
ded
Неинформативно.
Софтфон подключен к Астериску? А наша АТС это что? Call Manager?
Включите sip debug на пир Call Manager в Астериске и посмотрите пакет INVITE и ответ на него.
Re: Cisco и аутентификация
Добавлено: 01 дек 2010, 10:58
vlrk
ded, конфигурация у нас такая:
Есть "железная" АТС Definity, к ней по Е1 подключена Cisco.
Софтон стоит у меня на рабочем компе, X-lite 4.0, зарегистрирован на Астериске.
Если не ставить запреты на Allow Anonymous Inbound SIP Calls и Allow SIP Guests, то всё работает в обе стороны.
В случае запрета - звонки с Definity на Asterisk не проходят
Re: Cisco и аутентификация
Добавлено: 01 дек 2010, 11:38
ded
Понятно.
На пире CUCM7 в Астериске (или какой там у вас) добавить
context=from-internal (или какой там у вас) если вызов прямо на внутренний номер, или
context=from-trunk если вызов по DID снаружи
Если Е1 на Cisco шлюзе, то Call Manager вообще не нужен. Можно сделать регистрацию шлюза на Астериске через SIP-UA и звонок передавать через
dial-peer voice 1000 voip
destination-pattern 1.. (или какой там у вас)
session protocol sipv2
session target не ipv4: а sip-server (указанный в секции sip-ua)
dtmf-relay rtp-nte
codec g711alaw
fax rate 9600
fax protocol pass-through g711alaw
no vad
Re: Cisco и аутентификация
Добавлено: 02 дек 2010, 14:43
vlrk
ded, посмотрите пожалуйста на конфиг нашей Cisco
cisco-2621#wr t
Building configuration...
Current configuration : 2319 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-2621
!
boot-start-marker
boot system tftp://10.10.37.88/c2600-ipvoice-mz.123-9.bin
boot-end-marker
!
!
voice-card 1
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa session-id common
ip subnet-zero
ip cef
!
!
!
no ftp-server write-enable
isdn switch-type primary-5ess
!
!
!
voice service voip
sip
!
!
!
!
!
!
!
!
!
!
!
controller E1 1/0
pri-group timeslots 1-3,16
description ATS
!
!
!
interface FastEthernet0/0
ip address 10.50.132.11 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.10.37.10 255.255.255.0
duplex auto
speed auto
!
interface Serial1/0:15
no ip address
isdn switch-type primary-5ess
isdn incoming-voice voice
isdn send-alerting
isdn sending-complete
no keepalive
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.37.1
no ip http server
!
access-list 111 permit ip any any
!
!
voice-port 1/0:15
cptone RU
!
!
!
!
!
dial-peer voice 5 voip
destination-pattern 395.
session protocol sipv2
session target ipv4:10.40.45.144
session transport udp
codec g711ulaw
no vad
!
dial-peer voice 29 pots
destination-pattern 6...
direct-inward-dial
port 1/0:15
forward-digits all
!
dial-peer voice 4 voip
destination-pattern 396.
session target ipv4:10.40.45.144
session transport udp
codec g711ulaw
no vad
!
dial-peer voice 30 pots
destination-pattern 56763481
direct-inward-dial
port 1/0:15
forward-digits all
!
dial-peer voice 31 pots
destination-pattern 5891111132..
direct-inward-dial
port 1/0:15
forward-digits all
!
dial-peer voice 32 pots
destination-pattern 8...
direct-inward-dial
port 1/0:15
forward-digits all
!
dial-peer voice 33 pots
destination-pattern 7...
direct-inward-dial
port 1/0:15
forward-digits all
!
dial-peer voice 34 pots
destination-pattern 9....
direct-inward-dial
port 1/0:15
forward-digits all
!
sip-ua
sip-server ipv4:10.40.45.144
!
!
line con 0
speed 115200
line aux 0
line vty 0 4
password 7 045802150C2E
!
!
end
cisco-2621#
На Ваш взляд - там всё нормально?
Re: Cisco и аутентификация
Добавлено: 02 дек 2010, 15:56
ded
Нет, на мой взгляд не всё нормально.
pri-group timeslots 1-3,16 - вы используете всего 3 таймслота из 31? Отчего так? Это может быть только из-за крайней бедности, когда совсем нет PVDM кроме какой нить PVDM-4
isdn switch-type primary-5ess - откуда американская сигнализация то? У вас американская АТС?
Стандартное значение почти для всех promary-net5
Но можно АТС-ку по QSIG подключать, тогда не только CallerID num но и names будут бегать.
isdn switch-type primary-qsig
Re: Cisco и аутентификация
Добавлено: 02 дек 2010, 21:55
ded
И ещё: если используете sip-ua то не надо
session protocol sipv2
session target ipv4:10.40.45.144
а надо session target sip-server
И проверьте - есть ли команды в sip-ua
To configure a Cisco IOS Session Initiation Protocol (SIP) time-division multiplexing (TDM) gateway ... to send a SIP registration message when in the UP state, use the credentials command in SIP UA configuration mode.
credentials {dhcp | number number username username} password [0 | 7] password realm realm
authenticate
Версии 12.4(11)XJ и выше.
Пример
Код: Выделить всё
!
sip-ua
credentials username 0690281 password 7 XXX realm voip.sip.mobi
credentials username 0690282 password 7 YYY realm voip.sip.mobi
authentication username 0690283 password 7 XXX realm voip.sip.mobi
no remote-party-id
registrar dns:voip.eutelia.it expires 3600
sip-server dns:voip.sip.mobi
В примере зарегистрированы два юзера 0690281 и 0690282 на одном прокси сервере.