语音 : 呼叫路由/拨号方案

在IOS版本15.1(2)T的欺骗预防功能

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 5 月 5 日) | 反馈


目录


简介

新特性在Cisco IOS�软件版本15.1(2)T介绍防护装置防御长话欺骗的发生在语音网关(VGWs)的安装与Cisco IOS。开始与IOS根据此版本和新的版本IOS的15.1(2)T,欺骗预防设置是基于Cisco IOS的VGWs默认行为。

本文目的将培养此新特性的感知,和升级对此版本将要求更多的配置允许语音呼叫特定类型被放置和路由到完成。请注意升级对15.1(2)T将阻塞所有呼入VoIP呼叫建立,直到VGW适当地配置委托这些来源。所有规划升级到有此功能的版本必须包括额外步骤在升级以后配置委托VoIP主机为了呼叫能成功路由。默认情况下另外,两阶段拨号用此版本不再启用。

先决条件

要求

本文假设,读者已经有在语音网关配置的运行知识,以及关于怎样的基本的知识调试语音呼叫失败。

使用的组件

本文讨论适用于Cisco IOS语音网关,将包括集成服务路由器的配置(ISR)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

在15.1(2)T前的行为

对于在15.1(2)T前的所有IOS版本, IOS语音网关的默认行为是接受从所有来源的呼叫建立。只要语音服务在路由器运作,默认配置将对待从所有源IP地址的一个呼叫建立作为合法和可信的源设置一召集为。并且, FXO端口和呼入呼叫在ISDN电路将提交二次拨号音呼入呼叫的,允许两阶段拨号。这假设一适当的呼入拨号对端匹配。

行为用15.1(2)T及以后版本

开始与15.1(2)T,路由器的默认行为是不委托从VoIP来源的一个呼叫建立。此功能添加名为TOLLFRAUD_APP的一内部应用程序到默认呼叫控制堆叠,在路由呼叫前检查呼叫建立来源IP。如果来源IP在配置里不匹配一个明确条目作为委托VoIP来源,呼叫拒绝。

注意: 如果有用session target配置的dial-peer,从那些IP的呼叫将接受,即使没有配置的委托列表。

在启动顺序期间,当启动与欺骗预防应用程序时的一个IOS版本,这打印对设备控制台:

Following voice command is enabled:                     
   voice service voip                                    
    ip address trusted authenticate                      
                                                         
 The command enables the ip address authentication       
 on incoming H.323 or SIP trunk calls for toll fraud     
 prevention supports.                                    
                                                         
 Please use "show ip address trusted list" command       
 to display a list of valid ip addresses for incoming    
 H.323 or SIP trunk calls.                               
                                                         
 Additional valid ip addresses can be added via the      
 following command line:                                 
   voice service voip                                    
    ip address trusted list                              
     ipv4 <ipv4-address> [<ipv4 network-mask>]           

路由器自动地添加定义作为在VoIP拨号对等体的一个ipv4目标可信的源来源列表的所有目的地。您能观察与此命令输出的此行为:

Router#show ip address trusted list
IP Address Trusted Authentication
 Administration State: UP
 Operation State:      UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer Tag        Oper State      Session Target
--------        ----------      --------------
3000            UP              ipv4:203.0.113.100
1001            UP              ipv4:192.0.2.100

如何识别,如果TOLLFRAUD_APP阻塞您的呼叫

如果TOLLFRAUD_APP拒绝呼叫,创造Q.850断开原因值为21,代表“呼叫被拒绝’。debug voip ccapi inout命令可以运行识别原因值。

另外,如果呼叫失败是欺骗预防的结果,语音iec Syslog可以启用进一步验证。此配置,经常是方便的排除故障失败的始发地从网关方面,将打印呼叫拒绝的归结于长途电话欺骗。CCAPI和语音IEC输出在此debug输出中被展示:

%VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): 
IEC=1.1.228.3.31.0 on callID 3 GUID=F146D6B0539C11DF800CA596C4C2D7EF 
000183: *Apr 30 14:38:57.251: //3/F146D6B0800C/CCAPI/ccCallSetContext: 
   Context=0x49EC9978 
000184: *Apr 30 14:38:57.251: //3/F146D6B0800C/CCAPI/cc_process_call_setup_ind: 
   >>>>CCAPI handed cid 3 with tag 1002 to app "_ManagedAppProcess_TOLLFRAUD_APP" 
000185: *Apr 30 14:38:57.251: //3/F146D6B0800C/CCAPI/ccCallDisconnect: 
   Cause Value=21, Tag=0x0, Call Entry(Previous Disconnect Cause=0, Disconnect Cause=0)

Disconnect值的Q.850为阻止呼叫返回可能从默认21也更改用此命令:

voice service voip
 ip address trusted call-block cause <q850 cause-code>

如何返回到Pre-15.1(2)T行为

源IP地址托拉斯列表

在此信任的地址欺骗预防功能实现前,有三种方式返回到语音网关上一个行为。所有这些配置要求您已经运行15.1(2)T为了您能做配置更改。

  1. 请明确地启用您会想要添加对合法VoIP呼叫的委托列表的那些IP原地址。100个条目可以定义。此下面的配置接受呼叫从那些主机203.0.113.100/32,以及从网络192.0.2.0/24。从其他主机的呼叫建立拒绝。这是推荐的方法从语音安全的角度。

    voice service voip
     ip address trusted list
      ipv4 203.0.113.100 255.255.255.255
      ipv4 192.0.2.0 255.255.255.0
  2. 配置路由器接受从所有IP原地址的呼入呼叫设置。

    voice service voip
     ip address trusted list
      ipv4 0.0.0.0 0.0.0.0
  3. 禁用欺骗预防应用程序完全。

    voice service voip
     no ip address trusted authenticate

两阶段拨号

如果两阶段拨号要求,下列可以配置返回行为匹配上一个版本。

入站ISDN呼叫:

voice service pots
 no direct-inward-dial isdn

入站FXO呼叫:

voice-port <fxo-port>
 secondary dialtone

请与Cisco技术支持中心联系

如果完成所有故障排除步骤并且需要进一步协助,或者,如果有关于此故障排除技术文件的任何另外问题,由这些方法之一请与Cisco Systems技术支持中心(TAC)联系

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 112083