Cisco ASA 5500 - 5060 以外的 SIP 埠
ASA 5500 防火牆中的 SIP 檢查僅針對埠 5060 上的流量啟動是否正確?在 Cisco Docs - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation上有一些暗示,雖然不是 100% 確定的-firewalls/82446-enable-voip-config.html#sip。
當我的 IP PBX 配置為在 5060 以外的另一個埠上接收入站呼叫時,我無法讓音頻正常工作。我使用的 IP PBX 是具有內置 SBC 的 SIP 代理,它要求將入站流量發送到埠5080. IP PBX 和 ITSP 之間的流量通過 ASA 5505 防火牆(這是老一代)。
呼入電話確實連接,但我有單向音頻。RTP 不會從外部流向內部。(出站呼叫沒有問題,使用 2 路音頻一切正常 - 但它們是通過目標埠 5060 發送的)。如果 ASA 由於埠 5080 不同而無法啟動 SIP 檢查,這將是有意義的。
但真的是這樣嗎?如果是這樣,我可以在某處配置 ASA 應該尋找的 SIP 埠嗎?或者有什麼解決方法嗎?(我可能可以打開所有入站 RTP 埠……但我想避免這種情況)
為了更清楚地說明這一點-實際上,ITSP 在埠 5060 上盡職地向 ASA 發送入站呼叫。我的靜態 NAT 規則將埠從 5060 轉換為 5080。根據 Cisco 文件,SIP 檢查是在 IP 標頭被重寫之前完成的,所以“sip 檢查”應該看到埠 5060。有人對此有決定性的答案嗎?我自己無法測試不同的場景,因為 PBX 根本不允許 5060,所以我沒有機會進行反測試。
您可以隨時更改觸發檢查的條件。
為此,您需要創建一個class-map和一個policy-map。
首先進入您的配置終端並創建class-map;
asa(config)# class-map SIP_5080 asa(config-cmap)# match port tcp eq 5080 asa(config-cmap)# exit
然後創建一個策略映射;
asa(config)# policy-map SIP_Policy asa(config-pmap)# class SIP_5080 asa(config-pmap-c)# inspect sip asa(config-pmap-c)# exit
最後,將策略映射分配給介面;
asa(config)# service-policy SIP_Policy interface [name of your interface]