ASA 5500防火墙中的SIP检查是否仅针对端口5060上的stream量启用是否正确? 有一些提示,虽然不是100%明确的,思科文档 – http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation -firewalls / 82446-enable-voip-config.html#sip 。
当我的IP PBXconfiguration为接收来自另一个端口(不超过5060)的入站呼叫时,我无法使audio工作。我使用的IP PBX是带有内置SBC的SIP代理,并要求入站stream量应发送到端口5080. IP PBX和ITSP之间的stream量通过ASA 5505防火墙(这是上一代)。
入站呼叫连接,但我有单向audio。 RTP不从外部stream向内部。 (外拨电话没有问题,所有的双向audio都可以使用 – 但是它们是通过目的端口5060发送的)。 如果由于不同的端口5080,ASA不启动SIP检查,这是有意义的。
但是真的是这样吗? 如果是这样的话,我可以在哪个地方configurationASA应该查找哪个SIP端口? 还是有任何解决方法? (我可以打开所有的入站RTP端口…但我想避免这种情况)
为了使这一点更加清晰 – 实际上,ITSP将端口5060上的入站呼叫尽职地发送到ASA。我的静态NAT规则将端口从5060转换为5080.根据思科文档,SIP检查在IP头被重写之前完成“sip检查”应该看到端口5060.有没有人有这个决定性的答案? 我自己testing不同的场景有麻烦,因为PBX根本不允许5060,所以我没有机会做反testing。
您可以随时更改触发检查的条件。
为此,您需要创build一个class级地图和一个政策地图 。
首先进入您的configurationterminal并创buildclass级地图 ;
asa(config)# class-map SIP_5080 asa(config-cmap)# match port tcp eq 5080 asa(config-cmap)# exit 然后创build一个策略地图 ;
asa(config)# policy-map SIP_Policy asa(config-pmap)# class SIP_5080 asa(config-pmap-c)# inspect sip asa(config-pmap-c)# exit
最后,将策略映射分配给一个接口 ;
asa(config)# service-policy SIP_Policy interface [name of your interface]