Cisco-Asa

Cisco ASA 5500 - 5060 以外的 SIP 埠

  • September 5, 2014

ASA 5500 防火牆中的 SIP 檢查僅針對埠 5060 上的流量啟動是否正確?在 Cisco Docs - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation上有一些暗示,雖然不是 100% 確定的-firewalls/82446-enable-voip-config.html#sip

當我的 IP PBX 配置為在 5060 以外的另一個埠上接收入站呼叫時,我無法讓音頻正常工作。我使用的 IP PBX 是具有內置 SBC 的 SIP 代理,它要求將入站流量發送到埠5080. IP PBX 和 ITSP 之間的流量通過 ASA 5505 防火牆(這是老一代)。

呼入電話確實連接,但我有單向音頻。RTP 不會從外部流向內部。(出站呼叫沒有問題,使用 2 路音頻一切正常 - 但它們是通過目標埠 5060 發送的)。如果 ASA 由於埠 5080 不同而無法啟動 SIP 檢查,這將是有意義的。

但真的是這樣嗎?如果是這樣,我可以在某處配置 ASA 應該尋找的 SIP 埠嗎?或者有什麼解決方法嗎?(我可能可以打開所有入站 RTP 埠……但我想避免這種情況)

為了更清楚地說明這一點-實際上,ITSP 在埠 5060 上盡職地向 ASA 發送入站呼叫。我的靜態 NAT 規則將埠從 5060 轉換為 5080。根據 Cisco 文件,SIP 檢查是在 IP 標頭被重寫之前完成的,所以“sip 檢查”應該看到埠 5060。有人對此有決定性的答案嗎?我自己無法測試不同的場景,因為 PBX 根本不允許 5060,所以我沒有機會進行反測試。

您可以隨時更改觸發檢查的條件。

為此,您需要創建一個class-map和一個policy-map

首先進入您的配置終端並創建class-map

asa(config)# class-map SIP_5080
asa(config-cmap)# match port tcp eq 5080
asa(config-cmap)# exit

然後創建一個策略映射

asa(config)# policy-map SIP_Policy
asa(config-pmap)# class SIP_5080
asa(config-pmap-c)# inspect sip
asa(config-pmap-c)# exit

最後,將策略映射分配給介面

asa(config)# service-policy SIP_Policy interface [name of your interface]

引用自:https://serverfault.com/questions/626501