Voix : Routage des appels/Plan de composition

Caractéristique de prévention de Contournement-fraude dans la release 15.1(2)T IOS

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (29 juillet 2010) | Commentaires


Contenu


Introduction

Une nouvelle caractéristique a été introduite dans la version de logiciel 15.1(2)T de Cisco IOS® pour garder contre l'incidence de la contournement-fraude sur des Passerelles voix (VGWs) installées avec le Cisco IOS. Commençant par IOS 15.1(2)T et plus nouvelles releases de l'IOS basés sur cette version, les configurations de prévention de contournement-fraude sont le comportement par défaut de Cisco VGWs basé sur IOS.

Le but de ce document est de soulever la connaissance de cette nouvelle caractéristique, comme l'évolution à cette release exigera de la configuration supplémentaire de permettre certains types des communications voix à placer et d'artère à la fin. Il est important de noter que l'évolution à 15.1(2)T bloquera tous les établissements d'appel d'arrivée VoIP jusqu'à ce que le VGW soit correctement configuré pour faire confiance à ces sources. Tous les plans à améliorer aux releases avec cette configuration doivent inclure des étapes supplémentaires pour configurer ont fait confiance à des hôtes VoIP après la mise à jour pour que les appels conduisent avec succès. Supplémentaire, la composition à deux étages n'est plus activée par défaut avec cette release.

Conditions préalables

Conditions requises

Ce document suppose que le lecteur a déjà des connaissances pratiques sur la configuration de passerelle de Voix, aussi bien que la connaissance fondamentale sur la façon dont mettre au point des pannes de communication voix.

Composants utilisés

Le document discute les configurations qui appliquent au Cisco IOS les Passerelles voix, qui incluraient les Integrated Services Router (ISR).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Comportement avant 15.1(2)T

Pour tout l'IOS libère avant 15.1(2)T, le comportement par défaut pour des Passerelles voix IOS est de recevoir des établissements d'appel de toutes les sources. Tant que les services vocaux s'exécutent sur le routeur, la configuration par défaut traitera un établissement d'appel de toute adresse IP source comme légitime et source sûre pour placer un appeler pour. En outre, les ports FXO et les faire appel d'arrivée aux circuits RNIS présenteront la tonalité de secondaire-cadran pour des appels d'arrivée, tenant compte de la composition à deux étages. Ceci suppose qu'un homologue de numérotation en entrée approprié est apparié.

Comportement avec 15.1(2)T et versions ultérieures

Commençant par 15.1(2)T, le comportement par défaut du routeur est de ne pas faire confiance à un établissement d'appel d'une source VoIP. Cette caractéristique ajoute une application interne nommée TOLLFRAUD_APP à la pile par défaut de Contrôle d'appel, qui vérifie le source ip de l'établissement d'appel avant de conduire l'appel. Si le source ip n'apparie pas une entrée explicite dans la configuration comme source de confiance VoIP, l'appel est rejeté.

Remarque: Si vous avez des cadran-pairs configurés avec la cible de session, des appels de ces IPS seront reçus même s'il n'y a aucune liste de confiance configurée.

En amorçant une version d'IOS avec l'application de prévention de contournement-fraude, ceci est imprimé à la console du périphérique pendant la séquence de démarrage :

Following voice command is enabled:                     
   voice service voip                                    
    ip address trusted authenticate                      
                                                         
 The command enables the ip address authentication       
 on incoming H.323 or SIP trunk calls for toll fraud     
 prevention supports.                                    
                                                         
 Please use "show ip address trusted list" command       
 to display a list of valid ip addresses for incoming    
 H.323 or SIP trunk calls.                               
                                                         
 Additional valid ip addresses can be added via the      
 following command line:                                 
   voice service voip                                    
    ip address trusted list                              
     ipv4 <ipv4-address> [<ipv4 network-mask>]           

Le routeur ajoute automatiquement toutes les destinations qui sont définies comme cible d'ipv4 dans un homologue de numérotation VoIP à la liste de source sûre. Vous pouvez observer ce comportement avec la sortie de cette commande :

Router#show ip address trusted list
IP Address Trusted Authentication
 Administration State: UP
 Operation State:      UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer Tag        Oper State      Session Target
--------        ----------      --------------
3000            UP              ipv4:203.0.113.100
1001            UP              ipv4:192.0.2.100

Comment identifier si TOLLFRAUD_APP bloque votre appel

Si le TOLLFRAUD_APP rejette l'appel, il génère une valeur de cause du débranchement Q.850 de 21, qui représente le « appel rejeté ». La commande de debug voip ccapi inout peut être exécutée pour identifier la valeur de cause.

Supplémentaire, le voice iec syslog peut être activé vérifier plus loin si l'échec d'appel est un résultat de la prévention de contournement-fraude. Cette configuration, qui est souvent pratique pour dépanner l'origine de la panne d'un point de vue de passerelle, imprimera que l'appel est dû rejeté à la fraude d'appel interurbain. La sortie CCAPI et de Voix IEC est expliquée dans cette sortie de débogage :

%VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): 
IEC=1.1.228.3.31.0 on callID 3 GUID=F146D6B0539C11DF800CA596C4C2D7EF 
000183: *Apr 30 14:38:57.251: //3/F146D6B0800C/CCAPI/ccCallSetContext: 
   Context=0x49EC9978 
000184: *Apr 30 14:38:57.251: //3/F146D6B0800C/CCAPI/cc_process_call_setup_ind: 
   >>>>CCAPI handed cid 3 with tag 1002 to app "_ManagedAppProcess_TOLLFRAUD_APP" 
000185: *Apr 30 14:38:57.251: //3/F146D6B0800C/CCAPI/ccCallDisconnect: 
   Cause Value=21, Tag=0x0, Call Entry(Previous Disconnect Cause=0, Disconnect Cause=0)

La valeur du débranchement Q.850 qui est retournée pour des appels bloqués peut également être changée du par défaut de 21 avec cette commande :

voice service voip
 ip address trusted call-block cause <q850 cause-code>

Comment retourner au comportement Pre-15.1(2)T

Liste de confiance d'adresse IP source

Il y a trois manières de retourner au comportement précédent des Passerelles voix avant que cette caractéristique de prévention de contournement-fraude d'adresse de confiance ait été mise en application. Toutes ces configurations exigent que vous exécutez déjà 15.1(2)T afin que vous puissiez pour apporter la modification de configuration.

  1. Activez explicitement ces adresses IP de source dont vous voudriez ajouter à la liste de confiance pour des appels légitimes VoIP. Jusqu'à 100 entrées peuvent être définies. Cette configuration ci-dessous reçoit des appels des ces l'hôte 203.0.113.100/32, aussi bien que du réseau 192.0.2.0/24. Des établissements d'appel de tous autres hôtes sont rejetés. C'est la méthode recommandée d'un point de vue de sécurité voix.

    voice service voip
     ip address trusted list
      ipv4 203.0.113.100 255.255.255.255
      ipv4 192.0.2.0 255.255.255.0
  2. Configurez le routeur pour recevoir des installations d'appel entrant de toutes les adresses IP de source.

    voice service voip
     ip address trusted list
      ipv4 0.0.0.0 0.0.0.0
  3. Désactivez l'application de prévention de contournement-fraude complètement.

    voice service voip
     no ip address trusted authenticate

Composition à deux étages

Si la composition à deux étages est exigée, ce qui suit peut être configuré pour renvoyer le comportement pour apparier les releases précédentes.

Pour des appels d'arrivée RNIS :

voice service pots
 no direct-inward-dial isdn

Pour des appels d'arrivée FXO :

voice-port <fxo-port>
 secondary dialtone

Entrez en contact avec le centre d'assistance technique Cisco

Si vous vous êtes terminé toutes les étapes de dépannage et avez besoin davantage de d'assistance, ou si vous avez toute autre question concernant ce document technique de dépannage, entrez en contact avec le centre d'assistance technique de Cisco Systems (TAC) par une de ces méthodes :

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 112083