Cisco Unified Border Element(SP Edition)コンフィギュレーション ガイド:統合モデル
Cisco Unified Border Element (SP Edition)での隣接の実装
Cisco Unified Border Element(SP Edition)での隣接の実装
発行日;2012/07/12 | 英語版ドキュメント(2012/03/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Unified Border Element(SP Edition)での隣接の実装

内容

隣接を実装するための前提条件

制約事項

隣接の実装について

SIP 隣接の共通特性

導入時の SIP 隣接について

メディア ルーティングへの隣接の影響

隣接の実装方法

force-signaling-peer 隣接の設定

SIP 隣接の設定

隣接グループへの SIP 隣接の割り当て

隣接実装の設定例

SIP 隣接の設定:例

SIP UAS 障害検出

SIP UAS 障害検出:例

SIP アウトバウンド フラッド保護

SIP アウトバウンド フラッド保護:例

SIP Over TLS

隣接でのセキュリティ設定

SIP Over TLS の概要

ユーザ エージェント サーバ側の処理

ルーティング処理

ユーザ エージェント クライアント側の処理

インターフェイス単位で設定可能な双方向 TLS 認証

設定可能な双方向 TLS 認証の制限事項と制約事項

Record-Route ヘッダーの TLS トランスポート パラメータ

Cisco Unified Border Element(SP Edition)での SIP Over TLS の設定

SIP Over TLS の設定例

SIP Over TLS の確認

信頼できる暗号化されていない隣接での SIPS URI から SIP URI への変換のイネーブル化

SIP ピアのアベイラビリティの検出

SIP ピアのアベイラビリティ検出に関する制約事項

SIP ピアのアベイラビリティ検出の設定

冗長ピア アドレス

冗長ピア アドレスの制約事項

冗長ピア アドレスの設定

冗長ピア アドレスの例

冗長ピア アドレスの確認

Cisco Unified Border Element(SP Edition)での隣接の実装

アカウントと隣接は、シグナリングの制御に使用される主要オブジェクトです。アカウントは、Cisco Unified Border Element(SP Edition)が相互動作する Signaling Border Element(SBE)上のリモート構成とのサービス関係を表します。ユーザは各アカウント内に 1 つ以上のシグナリング隣接を定義し、Cisco Unified Border Element(SP Edition)とその構成内にあるデバイスを接続します。アカウントは次の用途に使用されます。

お客様別のアドミッション コントロールの定義

ルーティング ポリシーの設定

課金レコードの構成

隣接は、リモート コール エージェントとのシグナリング関係を表します。各外部コール エージェントに隣接が 1 つ定義されます。隣接は、アドミッション コントロールやルーティング ポリシーに加え、プロトコル固有のパラメータの定義にも使用されます。各隣接は 1 つのアカウントに属しています。

各着信コールは 1 つの隣接と組み合わせられ、各発信コールは 2 つ目の隣接を通じてルーティングされます。隣接は、メディア ゲートウェイ ロケーションと関連付けることもできるため、特定のコール レッグに最適な virtual Data Border Element(vDBE)を選択できます。通常、Cisco Unified Border Element(SP Edition)には内部ネットワークを表すアカウントが少なくとも 1 つあります。

各隣接を隣接グループに割り当てて、インターフェイス単位で機能をイネーブルにしたりディセーブルにしたりすることができます。たとえば、リンクが狭帯域であることがわかっているお客様に対しては、すべての隣接で、広帯域幅の機能をオフにできます。

ここでは、SIP Over Transport Layer Security(TLS)機能についても説明します。これは、発信側から着信側のドメインへのすべての SIP メッセージを伝送するための、セキュアで暗号化されたトランスポートを提供する暗号化機能です。


) Cisco Unified Border Element(SP Edition)は、以前は Integrated Session Border Controller と呼ばれており、このマニュアルでは通常 Session Border Controller(SBC; セッション ボーダー コントローラ)と呼びます。



) Cisco IOS XE Release 2.4 では、 この機能は統合モデルだけでサポートされます。


本章で使用されているコマンドの詳細な説明については、次の場所にある『 Cisco Unified Border Element (SP Edition) Command Reference: Unified Model 』を参照してください。

http://www.cisco.com/en/US/docs/ios/sbc/command/reference/sbcu_book.html

すべての Cisco IOS コマンドの詳細については、http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、Cisco IOS マスター コマンド リストを参照してください。

隣接および SIP Over TLS の実装の機能履歴

 

リリース
変更内容

Cisco IOS XE Release 2.4

この機能と SIP over TLS が、統合モデルのサポートとともに Cisco IOS XRに追加されました。

Cisco IOS XE Release 2.6

次の機能が追加されました。

インターフェイス単位で設定可能な双方向 TLS 認証。

Record-Route ヘッダーの TLS トランスポート パラメータ。

Cisco IOS XE Release 3.1S

冗長ピア アドレス機能が追加されました。

Cisco IOS XE Release 3.2S

SIP ピアのアベイラビリティ検出機能が追加されました。

公開キー インフラストラクチャ(PKI)ハイ アベイラビリティ(HA)のサポートが追加されました。

隣接を実装するための前提条件

隣接の実装に必要な前提条件は次のとおりです。

隣接を実装する前に、Cisco Unified Border Element(SP Edition)を設定しておく必要があります。

制約事項

H.323 隣接は、Cisco IOS XE Release 2.4 以前ではサポートされません。

隣接の実装について

隣接を使用することによって、SBE とその他の Voice over IP(VoIP)デバイスの間のコール シグナリングが可能となります。Cisco Unified Border Element(SP Edition)は、Session Initiation Protocol(SIP; セッション開始プロトコル)のネットワーク導入で隣接をサポートしています。

SIP ネットワークでは、デバイスはユーザ エージェント、プロキシ、ソフトスイッチ、Back-to-Back User Agent(B2BUA)のいずれかです。SIP 隣接を設定した場合、SBE はその SIP ネットワーク内の B2BUA として機能します。

隣接は、トランキングと加入者シグナリングの両方の関係を表すことができます。隣接の役割は、ネットワーク トポロジと設定によって決まります。

隣接は、シグナリング ポート設定行で指定された UDP ソケットまたは TCP ソケットからパケットを受け取ります。SIP のデフォルトはポート 5060 です。隣接からパケットを送出する場合、使用するトランスポートは preferred-transport [tcp | udp] コマンドを使用して指定します。デフォルトでは UDP が使用されます。入力隣接と出力隣接の間には依存関係がないことに注意してください。ある隣接でシグナリングに TCP を使用し、別の隣接で UDP を使用することができます。

隣接の実装に関する詳細は、次の各項を参照してください。

SIP 隣接の共通特性

導入時の SIP 隣接について

メディア ルーティングへの隣接の影響

SIP 隣接の共通特性

SIP の隣接には、次のような共通の特性があります。

隣接は名前で区別されます。Cisco Unified Border Element(SP Edition)ポリシーは、名前によって隣接を簡単に参照できます。

各隣接には、着信コールの確立用のローカル アドレスとポートがあります。

隣接には、ピア アドレスとポートがあります。これは、発信コールの窓口です。SIP の場合、これが当てはまるのは、その隣接に「force-signaling-peer」オプションが設定されている場合だけです。

隣接は、ルーティング ポリシーによる決定の結果として出力されます。つまり、コールのルーティング フェーズの結果、そのコールの発信隣接が選択されます。通常、隣接の選択は、宛先電話番号のプレフィクスに基づいて実行されます。ただし、送信元の隣接をルーティングの入力として使用する方法でも 2 つの隣接をつなぐことができます。

導入時の SIP 隣接について

図 1 に、次のような簡単な SIP ネットワークを示します。

SIP 加入者は SIP プロキシに登録します。SIP プロキシはすべての加入者の Single Point Of Contact(SPOC; 単一窓口)として機能します。

ソフトスイッチは、SIP ネットワークと Public Switched Telephone Network(PSTN; 公衆電話回線網)の間のゲートウェイです。

ソフトスイッチのルーティング ポリシーによって、各 SIP プロキシに特定の電話番号プレフィクスが割り当てられます。これにより、PSTN ネットワークからのコールはプロキシを通じて特定の加入者にルーティングされます (他の導入モデルでは、プロキシを介さずに加入者が直接ソフトスイッチに登録する場合もあります)。

図 1 SIP ネットワーク

 

図 2 は、SIP ネットワーク内の 2 箇所に Cisco Unified Border Element(SP Edition)が導入されている例です。それぞれに隣接が指定されています。各隣接によって、次のように 1 つ以上の隣接デバイスへのコールが確立されます。

ADJ_SIP1A によって、SBC1 とソフトスイッチの間のコールが確立されます。

ADJ_SIP1B によって、SBC1 とプロキシの間のコールが確立されます。

ADJ_SIP2A によって、SBC2 とプロキシの間のコールが確立されます。

ADJ_SIP_SUBSCRIBERS によって、SBC2 と加入者の間のコールが確立されます。

SBC2 の場合、SIP 登録は SBC を通じてルーティングされます。ADJ_SIP_SUBSCRIBERS で受信された登録は、ADJ_SIP2A を通じてプロキシにルーティングされます。

加入者と非加入者の隣接の主な相違点は、次のとおりです。

非加入者の隣接には、設定済みの単一窓口、つまりその隣接のピア アドレスがあります。

加入者の隣接には、単一窓口はなく、代わりに登録を受け入れるように設定されます。

SIP 登録には、各登録に対する適切な発信隣接を決めるルーティング ポリシーが必要です。このポリシーは、コール ルーティング ポリシーと同様に機能します。手順については、 「Cisco Unified Border Element(SP Edition)ポリシーの実装」 モジュールを参照してください。

図 2 SIP ネットワーク導入時の隣接

 

 

メディア ルーティングへの隣接の影響

分散 Cisco Unified Border Element(SP Edition)導入の場合、各隣接には メディア ロケーション が設定されます。メディア ロケーションは、隣接を通じて確立されたコールのメディア トラフィック リレーに適した Data Border Element(DBE)を選択するために使用される ID です。

同一の隣接または異なる隣接を通じてコールがルーティングされる場合、メディアが DBE を迂回することもあります。このメディア バイパス機能を使用すると、メディア パケットは Cisco Unified Border Element(SP Edition)を迂回できるようになり、エンドポイント間での直接通信が可能となります。その場合、コール シグナリングの実行後、メディア パケットは、SBC の DBE コンポーネントを通過せず、直接やり取りされます。シグナリング パケットは、通常どおり SBC を通過します。

この設定は隣接単位で行われ、異なる隣接間のメディア バイパスの設定が可能です。メディア バイパスの設定は、隣接の設定でイネーブルにします。メディア バイパスは、2 つのエンドポイントが同じサブネット上にあり、DBE がネットワーク上の他の場所にあるような場合に便利な機能です。

図 3図 4 は隣接の設定によるメディア ルーティングの制御方法を示しています。この例では、次のようになります。

隣接 A はピア 1 に接続します。

隣接 B はピア 2a と 2b に接続します。

隣接 C はピア 3 に接続します。

隣接 A と B にはメディア ロケーション 1 が設定されています。つまり、これらの隣接を通じてルーティングされるコールには、メディア用の同じ DBE(または DBE セット)が使用されます。隣接 C にはメディア ロケーション 2 が設定されています。

図 3 隣接の設定によるメディア ルーティングの制御

 

ピア 1 - ピア 3、ピア 1 - ピア 2a、ピア 2a - ピア 2b という 3 つのコールについて考えてみます。これらのコールのメディアは、図 4 に示すようにルーティングされます。

最初のコールは、メディア ロケーションの異なる 2 つの隣接を通ります。メディアは 2 つの DBE を通じてリレーされます。

第 2 のコールは、同じメディア ロケーションの 2 つの隣接を通ります。メディアは単一の DBE を通じてリレーされます。

第 3 のコールは、メディア バイパスがイネーブルに設定されている単一の隣接を通ります。メディアは DBE を介さずに、2 つのピア間で直接送信されます。

図 4 3 つのコールのメディア ルーティング:ピア 1 - ピア 3、ピア 1 - ピア 2a、ピア 2a - ピア 2b

 

隣接の実装方法

隣接は、シグナリングの制御に使用される主要オブジェクトです。ユーザは 1 つ以上のシグナリング隣接を定義し、Cisco Unified Border Element(SP Edition)とその構成内のデバイスを接続します。各着信コールは隣接と組み合わされ、各発信コールは隣接を通じてルーティングされます。隣接は、適切なアカウントにアタッチされます。隣接をメディア ゲートウェイ DBE ロケーションと関連付けることによって、各コール レッグのメディア ルーティングに最適な DBE を選択するように設定できます。


) Cisco Unified Border Element(SP Edition)のデフォルトの動作では、INVITE 要求は、Request URI で指定されたデバイスにルーティングされます。要求をシグナリング ピアにルーティングする必要がある場合は、発信隣接に対して force-signaling-peer コマンドを設定することで、「force-next-hop」動作をイネーブルにする必要があります。


次の項では、実装要件に応じて SIP 隣接を実装する方法について説明します。

「force-signaling-peer 隣接の設定」

「SIP 隣接の設定」

「隣接グループへの SIP 隣接の割り当て」

force-signaling-peer 隣接の設定

この作業では、force-signaling-peer 隣接を設定します。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. force-signaling-peer

6. attach

7. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc umsbc-node10

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip 2651XM-5

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、SIP 隣接名を定義します。

ステップ 5

force-signaling-peer

 

Router(config-sbc-sbe-adj-sip)# force-signaling-peer

SIP メッセージが設定したシグナリング ピアに送信されるようにします。

ステップ 6

attach

 

Router(config-sbc-sbe-adj-sip)# attach

隣接をアタッチします。

ステップ 7

exit

 

Router(config-sbc-sbe-adj-sip)# exit

sip モードを終了し、 sbe モードに戻ります。

SIP 隣接の設定

隣接の変更は、隣接がアタッチ解除されている場合にだけ実行できます。隣接を変更する前に、no attach コマンドで隣接をアタッチ解除する必要があります。コールがアクティブな場合や、ping イネーブル機能が動作している場合、隣接はダウン ステートのままになります。このステートの間、既存のコールは解放されず、新しいコールは受け付けられません。すべてのコールが終了するまで隣接はアタッチ解除ステートになりません。隣接がアタッチ解除ステートになるまで、隣接をアタッチできません。

隣接上のアクティブなコールが終了するまで待つためのオプションを上書きする場合は、次のコマンドを使用してすぐに隣接をアタッチ解除できます。

no attach force abort:強制的なアタッチ解除を実行し、終了をシグナリングせずにコールを解放します。

no attach force normal:強制的なアタッチ解除を実行し、コールを適切に解放します。

隣接のステートを確認するには、show sbc sbe adjacencies コマンドを使用します。


注意 隣接は、ステータスがアタッチ解除の場合にだけ変更できます。隣接を変更する前に、まず no attach コマンドを使用します。


) SIP 継承プロファイルの User-Network Interface(UNI; ユーザネットワーク インターフェイス)登録サポートでは、デフォルト値、preset-access 値、preset-core 値のいずれかを使用できます。特定のピア隣接設定なしに、これらの隣接に対してデフォルト値を使用する場合、SBE コンフィギュレーション モード(config-sbc-sbe)の sip inherit profile preset-standard-non-ims コマンドはデフォルトで隣接に適用され、UNI 登録サポートがこのデフォルト設定に対してイネーブルになります。preset-access 値または preset-core 値を設定する場合、加入者に面する隣接に対して inherit profile preset-p-cscf-access コマンドを使用し、SIP プロキシに面する隣接に対して inherit profile preset-p-cscf-core コマンドを使用します。他の組み合わせを使用する場合(たとえば、着信隣接と発信隣接の両方が preset-core として設定されている場合、将来のメッセージのシグナリング パス上にあるようにするため、Cisco Unified Border Element(SP Edition)は登録情報を格納せず、Contact: ヘッダーを書き換えません)。


この作業では、2 つのセッション開始プロトコル(SIP)隣接を設定します。最初の隣接は、ゲートウェイまたはエンドポイントに設定されます。2 番めの隣接はプロキシまたはソフトスイッチに設定されます。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. sip inherit profile {preset-ibcf-ext-untrusted | preset-ibcf-external | preset-ibcf-internal | preset-p-cscf-access | preset-p-cscf-core | preset-standard-non-ims}

5. adjacency sip adjacency-name

6. signaling-address ipv4 ipv4_IP_address

7. signaling-port port_num

8. remote-address ipv4 ipv4_IP_address/prefix

9. signaling-peer peer_address

10. signaling-peer-port port_num

11. account account-name

12. registration rewrite-register

13. attach

14. exit

15. adjacency sip adjacency-name

16. inherit profile { preset-access | preset-core | preset-ibcf-ext-untrusted | preset-ibcf-external | preset-ibcf-internal | preset-p-cscf-access | preset-p-cscf-core | preset-peering | preset-standard-non-ims}

17. signaling-address ipv4 ipv4_IP_address

18. signaling-port port_num

19. remote-address ipv4 ipv4_IP_address/prefix

20. fast-register disable

21. signaling-peer peer_name

22. signaling-peer-port port_num

23. account account-name

24. registration target address host_address

25. registration target port port_num

26. attach

27. exit

28. end

29. show

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

Router

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

sip inherit profile {preset-ibcf-ext-untrusted | preset-ibcf-external | preset-ibcf-internal | preset-p-cscf-access | preset-p-cscf-core | preset-standard-non-ims}

 

Router(config-sbc-sbe)# sip inherit profile preset-standard-non-ims

すべての隣接に対してグローバル デフォルト継承プロファイルを設定します。

ステップ 5

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 6

signaling-address ipv4 ipv4_IP_address

 

Router(config-sbc-sbe-adj-sip)# signaling-address ipv4 88.88.141.3

SIP 隣接のローカル IPv4 シグナリング アドレスを指定します。

ステップ 7

signaling-port port_num

 

Router(config-sbc-sbe-adj-sip)# signaling-port 5060

SIP 隣接のローカル シグナリング ポートを指定します。

ステップ 8

remote-address ipv4 ipv4_IP_address/prefix

 

Router(config-sbc-sbe-adj-sip)# remote-address ipv4 10.10.121.0/24

隣接を通じてコンタクトされる一連のリモート シグナリング ピアを、特定の IP アドレス プレフィクスを持つものに限定します。

ステップ 9

signaling-peer peer_address

 

Router(config-sbc-sbe-adj-sip)# signaling-peer 10.10.121.10

SIP 隣接が使用するリモート シグナリング ピアを指定します。

ステップ 10

signaling-peer-port port_num

 

Router(config-sbc-sbe-adj-sip)# signaling-peer-port 5060

SIP 隣接が使用するリモート シグナリング ピア ポートを指定します。

ステップ 11

account account_name

 

Router(config-sbc-sbe-adj-sip)# account iosgw

SIP 隣接を SBE のアカウントに所属しているものとして定義します。

ステップ 12

registration rewrite-register

 

Router(config-sbc-sbe-adj-sip)# registration rewrite-register

SIP REGISTER 要求の書き換えを設定します。

ステップ 13

attach

 

Router(config-sbc-sbe-adj-sip)# attach

隣接をアタッチします。

ステップ 14

exit

 

Router(config-sbc-sbe-adj-sip)# exit

adj-sip モードを終了し、 sbe モードに戻ります。

ステップ 15

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipPROXY

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 16

inherit profile {preset-access | preset-core | preset-ibcf-ext-untrusted | preset-ibcf-external | preset-ibcf-internal | preset-p-cscf-access | preset-p-cscf-core | preset-peering | preset-standard-non-ims}

 

Router(config-sbc-sbe-adj-sip)# inherit profile preset-standard-non-ims

SIP 隣接の継承プロファイルを設定します。

ステップ 17

signaling-address ipv4 ipv4_IP_address

 

Router(config-sbc-sbe-adj-sip)# signaling-address ipv4 88.88.141.11

SIP 隣接のローカル IPv4 シグナリング アドレスを指定します。

ステップ 18

signaling-port port_num

 

Router(config-sbc-sbe-adj-sip)# signaling-port 5060

SIP 隣接のローカル シグナリング ポートを指定します。

ステップ 19

remote-address ipv4 ipv4_IP_address/prefix

 

Router(config-sbc-sbe-adj-sip)# remote-address ipv4 200.200.200.0/24

隣接を通じてコンタクトされる一連のリモート シグナリング ピアを、特定の IP アドレス プレフィクスを持つものに限定します。

ステップ 20

fast-register disable

 

Router(config-sbc-sbe-adj-sip)# fast-register disable

SIP 隣接に対する高速レジスタ サポートをディセーブルにします。

ステップ 21

signaling-peer peer_address

 

Router(config-sbc-sbe-adj-sip)# signaling-peer 200.200.200.98

SIP 隣接が使用するリモート シグナリング ピアを指定します。

ステップ 22

signaling-peer-port port_num

 

Router(config-sbc-sbe-adj-sip)# signaling-peer-port 5060

SIP 隣接が使用するリモート シグナリング ピア ポートを指定します。

ステップ 23

account account_name

 

Router(config-sbc-sbe-adj-sip)# account COREvlan

SIP 隣接を SBE のアカウントに所属しているものとして定義します。

ステップ 24

registration target address host_address

 

Router(config-sbc-sbe-adj-sip)# registration target address 200.200.200.98

アウトバウンド SIP REGISTER 要求の書き換え時に使用するアドレスを設定します。

ステップ 25

registration target port port_num

 

Router(config-sbc-sbe-adj-sip)# registration target port 5060

アウトバウンド SIP REGISTER 要求の書き換え時に使用するポートを設定します。

ステップ 26

attach

 

Router(config-sbc-sbe-adj-sip)# attach

隣接をアタッチします。

ステップ 27

exit

 

Router(config-sbc-sbe-adj-sip)# exit

adj-sip モードを終了し、 sbe モードに戻ります。

ステップ 28

end

 

Router(config-sbc-sbe)# end

sbe モードを終了し、特権 EXEC モードに戻ります。

ステップ 29

show

 

Router# show

設定内容を表示します。

隣接グループへの SIP 隣接の割り当て

SIP 隣接を隣接グループに割り当てる手順は、次のとおりです。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. group adjacency-group-name

6. end

7. show

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

group adjacency-group-name

 

Router(config-sbc-sbe-adj-sip)# group InternetEth0

SIP 隣接を隣接グループに割り当てます。

グループ名を定義するには、 adjacency-group-name 引数を使用します。

ステップ 6

end

 

Router(config-sbc-sbe-adj-sip)# end

adj-sip モードを終了して sbe モードに戻り、特権 EXEC モードに戻ります。

ステップ 7

show

 

Router# show

設定内容を表示します。

隣接実装の設定例

ここでは、次の設定例について説明します。

「SIP 隣接の設定:例」

SIP 隣接の設定:例

次に、2 つの SIP 隣接の設定例を示します。最初の隣接は、ゲートウェイまたはエンドポイントに設定されます。2 番めの隣接はプロキシまたはソフトスイッチに設定されます。

1. SBE をアクティブにします。

sbc sip-signal
sbe
activate
exit

2. DBE をアクティブにします。

sbc mySbc dbe
media-address ipv4 88.88.141.2
activate
exit

3. SIP 隣接を作成します。

sbc sip-signal
sbe

4. ゲートウェイまたはエンドポイントの SIP 隣接を作成します。

adjacency sip sipGW
signaling-address ipv4 88.88.141.3
signaling-port 5060
remote-address ipv4 10.10.121.0/24
signaling-peer 10.10.121.10
signaling-peer-port 5060
account iosgw
registration rewrite-register
attach
exit
!
!

5. プロキシまたはソフトスイッチの SIP 隣接を作成します。

adjacency sip sipPROXY
signaling-address ipv4 88.88.141.11
signaling-port 5060
remote-address ipv4 200.200.200.0/24
fast-register disable
signaling-peer 200.200.200.98
signaling-peer-port 5060
account COREvlan
registration target address 200.200.200.98
registration target port 5060
attach

SIP UAS 障害検出

User Agent Server(UAS; ユーザ エージェント サーバ)は、SIP 要求に対する応答を生成する論理的なエンティティです。UAS 障害検出は、SIP 隣接上のシグナリング ピアとして指定された SIP ネットワーク エンティティのステートを定期的に監視するために使用します。SIP OPTIONS メッセージは、これらのネットワーク エンティティに ping メカニズムとして送信され、デバイスからの応答が期待されます。デバイスから応答を受信しない場合、到達不能と見なされ、ルーティング計算から除外されます。代替デバイスを通じてルーティングできないコールには、すぐに 604 Does Not Exist Anywhere メッセージが応答されます。

Cisco Unified Border Element(SP Edition)は、デフォルトでは、受信された OPTION ping に応答する UAS として動作します。SIP UAS 障害検出を使用すると、Cisco Unified Border Element(SP Edition)は、SIP OPTIONS メッセージを、SIP 隣接宛先アドレスで指定されたデバイスに送信できます。受け入れ可能な応答を SIP トランザクション タイムアウト期間内に受信した場合、ルーティング テーブルが更新され、デバイスはルーティング可能と見なされます。

受け入れ可能な応答を SIP トランザクション タイムアウト期間内に受信しなかった場合、ping 失敗となります。ping-fail-count 障害が発生した場合、デバイスは到達不能と見なされます。シグナリング ピアは、ルーティングに関してはオフラインと見なされます。Cisco Unified Border Element(SP Edition)は、指定された頻度で ping を送信します。


) SBC に、OPTION ping がイネーブルになっている TCP ベースの隣接があり、TCP 接続を確立できる有効なピアがその隣接にない場合、その隣接は「no attach」ステートになっている必要があります。これにより、OPTIONS ping メッセージを送信するために存在しないピアへの TCP 接続の設定を SBC が試行しなくなります。


SIP UAS 障害検出を設定するには、次の手順を使用します。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. ping-enable

6. ping-interval interval

7. ping-lifetime duration

8. ping-fail-count fail-count

9. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

ping-enable

 

Router(config-sbc-sbe-adj-sip)# ping-enable

SIP OPTIONS ping を隣接に送信することにより、そのリモート ピアをポーリングするよう隣接を設定し、ping オプション サブモードを開始します。

ステップ 6

ping-interval interval

 

Router(config-sbc-sbe-adj-sip-ping)# ping-interval 100

リモート ピアに送信される SIP OPTIONS ping の間隔を設定します。

ステップ 7

ping-lifetime duration

 

Router(config-sbc-sbe-adj-sip-ping)# ping-lifetime 100

隣接に対するオプション ping の応答を SBC が待つ期間を設定します。

ステップ 8

ping-fail-count fail-count

 

Router(config-sbc-sbe-adj-sip-ping)# ping-fail-count 10

ping が連続して何回失敗したら隣接ピアを使用不能と見なすかを設定します。

ステップ 9

exit

 

Router(config-sbc-sbe-adj-sip)# exit

adj-sip モードを終了し、 sbe モードに戻ります。

SIP UAS 障害検出:例

次の設定例で、ping は 3 つの隣接それぞれでイネーブルになっています。コールが重み付きでランダムに 3 つの隣接に分散されるように、ラウンド ロビン コール ポリシーが設定されています。1 つの UAS が到達不能な場合、コールは残り 2 つの隣接の間で分散されます。

sbc mySBC
sbe
adjacency sip CallMgrA
signaling-address ipv4 88.103.29.100
remote-address ipv4 200.200.200.0 255.255.255.0
signaling-peer 200.200.200.118
ping-enable
ping-interval 5
ping-fail-count 3
ping-lifetime 32
attach
 
adjacency sip CallMgrB
signaling-address ipv4 88.103.29.100
remote-address ipv4 200.200.200.0 255.255.255.0
signaling-peer 200.200.200.200.117
ping-enable
ping-interval 5
ping-fail-count 3
ping-lifetime 32
attach
 
adjacency sip CallMgrC
signaling-address ipv4 88.103.29.100
remote-address ipv4 200.200.200.0 255.255.255.0
signaling-peer 200.200.200.200.115
ping-enable
ping-interval 5
ping-fail-count 3
ping-lifetime 32
attach
call-policy-set 1
first-call-routing-table DestAddr
rtg-dst-address-table DestAddr
entry 1
action next-table RoundRobin
match-address 12
prefix
rtg-round-robin-table RoundRobin
entry 1
action complete
dst-adjacency CallMgrB
entry 2
action complete
dst-adjacency CallMgrC
entry 3
action complete
dst-adjacency CallMgrA
complete
active-call-policy-set 1

SIP アウトバウンド フラッド保護

SIP アウトバウンド フラッド保護は、他のネットワーク エレメントを、異常な状況での過剰な有効トラフィックから保護します。たとえば、隣接するネットワーク エレメントが障害になった場合に生成される BYE メッセージのフラッドから保護します。

SIP アウトバウンド フラッド保護は、送信される要求メッセージの最大速度を設定し、送信される要求メッセージがこの最大速度を超えないようにします。制限に達すると、要求の送信は失敗するか廃棄されます。

SIP アウトバウンド フラッド保護は、通常の CAC ポリシー メカニズムに対する追加機能であり、CAC ポリシーを置き換えるものではありません。CAC ポリシーを使用すると、たとえば、設定可能な範囲での INVITE 要求のレート制限など、コールを詳細に制御できます。SIP アウトバウンド フラッド保護は、要求の送信に対する単純な全体のレート制限機能を提供することを目的としており、現在 CAC ポリシーに関係しない要求(BYE 要求など)で特に便利です。

フラッド保護は、次の状況で必要になることがあります。

隣接ネットワーク エレメントの終了:隣接ネットワーク エレメントが終了する場合(正常終了またはエラーによる終了)、Cisco Unified Border Element(SP Edition)はこのエレメントを使用していたコールが使用不能であることをほぼ同時に検出し、コールの解放を試みます。アクティブなコールが多数あると、BYE 要求が大量に生成されます(通常はコールあたり 2 つの BYE)。

これらの BYE メッセージによって他のネットワーク シグナリング エレメントが一時的に過負荷にならないように、一部の BYE 要求を Cisco Unified Border Element(SP Edition)で廃棄または失敗させるのが望ましい場合があります。

Cisco Unified Border Element(SP Edition)での設定のローカルな削除:SIP 隣接が通常の非アクティブ化モードを使用して設定解除される場合、その隣接を使用しているすべてのアクティブなコールに対し、コールが破棄される前に BYE 要求が送信されます。

この場合も、他のネットワーク エレメントが過負荷にならないように、送信要求の速度を制限するのが望ましい場合があります。

SIP アウトバウンド フラッド保護を設定する手順は次のとおりです。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. outbound-flood-rate rate

6. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

outbound-flood-rate rate

 

Router(config-sbc-sbe-adj-sip)# outbound-flood-rate 1000

この隣接上でのアウトバウンド要求信号の最大速度を設定します(ACK/PRACK 要求を除きます)。単位は信号/秒です。

ステップ 6

exit

 

Router(config-sbc-sbe-adj-sip)# exit

adj-sip モードを終了し、 sbe モードに戻ります。

SIP アウトバウンド フラッド保護:例

次の設定例は、アウトバウンド フラッド速度を 100 要求信号/秒に設定します。

sbc mySBC
sbe
adjacency sip CallMgrA
signaling-address ipv4 88.103.29.100
remote-address ipv4 200.200.200.0 255.255.255.0
signaling-peer 200.200.200.118
outbound-flood rate 100
attach

SIP Over TLS

ここでは、SIP over Transport Layer Security(TLS)の概念について説明します。ここでは、次の項目について説明します。

「隣接でのセキュリティ設定」

「SIP Over TLS の概要」

「ユーザ エージェント サーバ側の処理」

「ルーティング処理」

「ユーザ エージェント クライアント側の処理」

「インターフェイス単位で設定可能な双方向 TLS 認証」

「Record-Route ヘッダーの TLS トランスポート パラメータ」

「Cisco Unified Border Element(SP Edition)での SIP Over TLS の設定」

「SIP Over TLS の設定例」

「SIP Over TLS の確認」

「信頼できる暗号化されていない隣接での SIPS URI から SIP URI への変換のイネーブル化」

隣接でのセキュリティ設定

次のオプションを使用して、SIP 隣接にクライアントおよびサーバのセキュリティ サポートを個別に設定できます。

untrusted:この隣接はいかなる手段によってもセキュリティ保護されていません。この隣接からはセキュアでないコール(SIPS URI 宛てではないコール)だけが発信できます。

untrusted-encrypted:隣接が信頼できず SSL/TLS 暗号化が使用されることを示します。

trusted-encrypted:この隣接では、セキュリティを保証するために暗号化されたシグナリングが使用されます。暗号化には、ルータのデフォルトの証明書とキーが使用されます。この隣接からはセキュアなコール(SIPS URI へのコール)だけが発信できます。

trusted-unencrypted:この隣接でのすべてのメッセージにセキュアなシグナリングを保証するために、暗号化以外のメカニズムが使用されます。たとえば、1 つの信頼できる物理リンクというメカニズムが使用される場合があります。この隣接からは、セキュアなコールもセキュアでないコールも発信されます。この設定により、暗号化をサポートしていないエンドポイントがセキュアな SIP コールに参加できます。

SIP Over TLS の概要

SIP Over Transport Layer Security(TLS)暗号化は、すべての SIP メッセージを発信側から着信側のドメインに伝送するセキュアな暗号化転送を提供します。これにより、要求は着信側に安全に送信されます。

Cisco Unified Border Element(SP Edition)は、SIP Over TLS に対して次のサポートを提供します。

セキュリティ保護された SIP コールは Cisco Unified Border Element(SP Edition)を通過できます。

SIP 隣接は、暗号化または別のメカニズム(たとえば、1 つの信頼される物理層リンクまたは信頼できるネットワークとのインターフェイス)によりセキュリティ保護できます。

暗号化がサポートされていないときにリモート ピアが暗号化を使用しようとすると、インバウンド接続およびアウトバウンド接続はすぐに閉じられます。

暗号化が必要なときにリモート ピアが暗号化を使用しない場合、インバウンド接続およびアウトバウンド接続はすぐに閉じられます。

特定の SIP 隣接に設定されたセキュリティ サポートのレベルを表示するには、 show sbc sbc-name sbe adjacencies adj name detail コマンドを使用します。

信頼できない隣接で受信したコールは、安全に暗号化された発信隣接でルーティングされません。

暗号化によってセキュリティ保護された隣接は、デフォルトでは、ポート 5061 で受信します。このポートは、異なる値に設定される場合があります。

リモート ピアにより提供される証明書内の Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)は、要求を送信したドメインと照らし合わせてチェックされます。この 2 つが一致しない場合、信号は廃棄されます。

Advanced Encryption Standard(AES; 高度暗号化規格)128 ビット Secure Hash Algorithm(SHA)がサポートされています。

PKI HA は認証とトラストポイントの設定変更でスタンバイ ルータを更新します。

コールをルーティングまたは拒否する場合の主要なセキュリティ上のポイントは、次のとおりです。

SIPS URI へのコールはセキュアである必要があります。SIP URI へのコールは、セキュアである必要はありません。

信頼できる隣接で受信された信号は、セキュアであると見なされます。信頼できない隣接で受信された信号は、セキュアでないと見なされます。

信頼できない暗号化された隣接には、次のセキュリティ上のポイントが適用されます。

セキュアなコールは、どのタイプの信頼できない隣接でも受信できません。

Cisco Unified Border Element(SP Edition)では、セキュアでないコールを、信頼できない暗号化された隣接経由で受信できます。

Cisco Unified Border Element(SP Edition)は、信頼できない暗号化された隣接経由で受信したセキュアなコールを拒否します。

セキュアなコールは、信頼できない隣接にルーティングできません。

Cisco Unified Border Element(SP Edition)は、セキュアでないコールを、信頼できない暗号化された隣接経由でルーティングできます。

Cisco Unified Border Element(SP Edition)は、セキュアなコールを信頼できない暗号化された隣接経由でルーティングしません。

表 1 表 2 に、Cisco Unified Border Element(SP Edition)が、コール タイプ、信頼関係、暗号化に基づいてインバウンド コールとアウトバウンド コールを処理する方法の要約を示します。

表 1 インバウンド コール ポリシー

SIP コール タイプ
信頼できる隣接
信頼できない隣接
暗号化
非暗号化
暗号化
非暗号化

セキュアな SIP

許可

許可

拒否

拒否

セキュアでない SIP

許可

許可

許可

許可

表 2 アウトバウンド コール ポリシー

SIP コール タイプ
信頼できる隣接
信頼できない隣接
暗号化
非暗号化
暗号化
非暗号化

セキュアな SIP

許可

許可

拒否

拒否

セキュアでない SIP

許可

許可

許可

許可

表 3 表 4 に、Cisco Unified Border Element(SP Edition)が、登録タイプ、信頼関係、暗号化に基づいてインバウンド コールとアウトバウンド登録を処理する方法の要約を示します。

表 3 インバウンド登録ポリシー

SIP 登録タイプ
信頼できる隣接
信頼できない隣接
暗号化
非暗号化
暗号化
非暗号化

セキュアな SIP

許可

許可

拒否

拒否

セキュアでない SIP

許可

許可

許可

許可

表 4 アウトバウンド登録ポリシー

SIP 登録タイプ
信頼できる隣接
信頼できない隣接
暗号化
非暗号化
暗号化
非暗号化

セキュアな SIP

許可

許可または拒否(設定による)

拒否

拒否

セキュアでない SIP

許可

許可

許可

許可

SBC が、信頼できる暗号化されていない隣接にセキュア SIP(SIPS)の登録を転送できるためには、次のすべての条件を満たす必要があります。

送信元隣接は登録状態のトラッキングを指定する非 IP Multimedia Subsystem(non-IMS)または non-IMS アクセス隣接プロファイルが必要です。

宛先隣接に non-IMS 隣接プロファイルが必要です。

宛先隣接は、SIP URI の登録を受け入れるように設定する必要があります。この手順の説明は「信頼できる暗号化されていない隣接での SIPS URI から SIP URI への変換のイネーブル化」にあります。

SBC が次の条件を満たす信頼できる暗号化されない隣接にセキュアな登録を転送するときに、アウトバウンド登録は次のように変更されます。

To および From ヘッダーのフィールドの Address of Record(AoR)は、SIPS URI から SIP URI に変換されます。

Request URI は、SIPS URI から SIP URI に変換されます。Request URI が AoR と同じではない場合があることに注意してください。

Contact ヘッダーの URI は、SIPS から SIP に変換されます。

Record Route ヘッダーの URI は変更せずにパススルーされます。RFC 3261 によれば、Record Route ヘッダーが REGISTER メッセージ中に存在する場合、受信で無視する必要があります。

他の SIP ヘッダーの URI は変更せずにパススルーされます。


) SBC は AoR と連絡先の中に SIP URI と SIPS URI が混在する登録を拒否します。REGISTER 応答を受信すると、SBC は変更を逆に処理し、エンド ポイントに転送される応答中で SIPS URI を渡します。


次に、この機能の制約事項を示します。

SBC による SUBSCRIBE、NOTIFY、PUBLISH などの非 INVITE メッセージの処理に変更はありません。これらのメッセージの場合、SBC は SIPS URI と SIP URI に変換しません。

SBC は、着信隣接または発信隣接のいずれかが IMS プロファイルを持っているシナリオで、信頼される暗号化されない隣接への登録をサポートしません。

ユーザ エージェント サーバ側の処理

インバウンド要求は、2 つの点に基づいてマーキングされます。発信側が信頼できるかどうか、およびコールのターゲットがセキュアかどうかです。

発信側の信頼性は、次のように決定されます。

信頼できる隣接から着信した SIP 要求は、信頼できる要求としてマーキングされます。

信頼できない隣接から着信した SIP 要求は、信頼できない要求としてマーキングされます。

望ましいターゲットのセキュリティは、次のように決定されます。

SIPS URI への要求は、アウトバウンド セキュリティを必要とする要求としてマーキングされます。

SIP URI への要求は、アウトバウンド セキュリティを必要としない要求としてマーキングされます。

発信側が信頼できず、ターゲットがセキュリティを必要とする場合、インバウンド要求は拒否されます。その他の組み合わせは、いずれもルーティング処理に転送されます。

ルーティング処理

Routing Policy System(RPS; ルーティング ポリシー システム)ポリシーは、次のデフォルトの動作により、要求の次のルーティング先を決定します。

コールがアウトバウンド セキュリティを必要とする場合、RPS は信頼できる(trusted)発信隣接だけを考慮します。

コールがアウトバウンド セキュリティを必要としない場合、RPS は信頼できない(untrusted)発信隣接、または信頼できる暗号化されていない(trusted-unencrypted)発信隣接だけを考慮します。

RPS がコールに適切な発信隣接を見つけることができない場合、コールは拒否されます。

ユーザ エージェント クライアント側の処理

発信隣接では、当初の要求の URI スキームを保存し、コールの当初のターゲットが SIPS URI であった場合、コールが SIPS URI に送信されるように保証します。また、コールの当初のターゲットが SIP URI であった場合、コールは SIP URI に送信されます。

3xx クラスの応答およびターゲットリフレッシュの指示を受信すると、通信設定が検査されます。信頼できない隣接では、コールのターゲットは、SIPS ターゲットに再ルーティングできません。同様に、信頼できる隣接では、コールのターゲットは、SIP ターゲットに再ルーティングできません。リモート ピアがこれを試みた場合、コールは拒否されます。

インターフェイス単位で設定可能な双方向 TLS 認証

インターフェイス単位で設定可能な双方向 TLS 認証機能は、SIP over TLS コールで隣接単位に単方向または双方向 TLS 認証を設定する際に役立ちます。

SIP over TLS コールでは、SBC は TLS クライアント側または TLS サーバ側に存在することができます。この機能は、SBC が TLS サーバ側にある場合にだけ関連します。

TLS 接続のネゴシエート中、サーバ側は、サーバ認証を実行するためにクライアント側に証明書を送信します。サーバ認証後、サーバはクライアント認証のために、クライアントの証明書を要求することがあります。クライアント認証を使用しない場合、認証は単方向認証と呼ばれます。サーバとクライアントの両方が認証を必要とする場合、双方向認証と呼ばれます。

図 5は、メッセージ フローの図であり、TLS 接続のネゴシエーション プロセスを示しています。太字の線は、双方向認証がサーバ側でイネーブルの場合に必要なメッセージを表します。

図 5 双方向 TLS 認証のメッセージ フローの図

 

SBC が TLS クライアント側として機能する場合、クライアント証明書を実行するためにサーバ側と自動的にネゴシエートできます。しかし、SBC が TLS サーバ側として動作する場合、クライアント認証を行うために、クライアント側に CertificateRequest メッセージを送信してクライアント証明書を取得するかどうかを SBC が判別できるように、SBC を設定する必要があります。

双方向認証を設定するには tls mutual-authentication コマンドを使用します。

設定可能な双方向 TLS 認証の制限事項と制約事項

SIP 隣接の設定は隣接接続中に変更できません。

隣接のセキュリティ設定は、信頼できる暗号化または信頼できない暗号化であることが必要です。

同じローカル アドレスとポートを使用する複数の TLS に対応した隣接は同じ設定にする必要があります。それ以外の場合、設定は拒否され、エラー メッセージがコンソールに表示されます。

隣接単位のトラスト ポイントの設定はできません。SBC はグローバル トラスト ポイントを使用してピアの証明書を検証するためです。SBC はグローバル トラスト ポイントから一致する証明書を自動的に検索するため、この制限により、SBC での証明書の確認に制限は発生しません。

SBC は、SBC が TLS サーバ側の間、1 つの証明書のみをサポートします。各隣接に異なる証明書を設定することはできません。認証はプライマリ トラスト ポイントから取得されます。

証明書チェーンは SSO 設定同期冗長モードで同期されないため、TLS 認証がスタンバイに複製されません。着信 TLS コールは TLS 証明書の取得不能が理由で失敗することがあります。

Record-Route ヘッダーの TLS トランスポート パラメータ

この機能を使用すると、TLS を使用する際に、SBC-originated Contact ヘッダーおよび Record-Route ヘッダーに transport=tls パラメータを追加できます。この機能は、SBC の着信隣接のセキュリティが untrusted-encrypted に設定されている場合に適用できます。

transport=tls パラメータは、相互運用性のために RFC3261 で廃止されました。RFC3261 の実装では、発信者に対する 200(INVITE)の Contact および Record-Route ヘッダーは、 Contact: <sip:192.168.1.1:5060>, Record-Route: <sip:192.168.1.1:5060;lr> のように、トランスポート パラメータなしで SIP URI を使用します。このため、後続の mid-dialog 要求は(re-INVITE)は TLS の代わりに、SIP URI に基づいて TCP または UDP を使用して送信されます。SBC はポート上での TLS メッセージを予期しているため、コールはドロップされます。

図 6 に、SIP コールが TLS 上で受信され、コールがドロップされるメッセージ フローを示します。200OK(TLS)メッセージに応答する ACK が TCP または UDP を使用して SIP から SBC に送信されます。

図 6 SIP over TLS コール中のメッセージ フロー

 

コールのドロップを回避するために、発信者は transport=tls パラメータを追加することによって ACK で TLS トランスポートを使用することが強制されます。この機能は隣接単位で制御されます。

Contact および Record-Route ヘッダーの transport=tls パラメータを設定するには、config-sbc-sbe-adj-sip モードで header-name [contact [add [tls-param]] | from{ passthrough} | to{ passthrough} ] コマンドを使用します。

Cisco Unified Border Element(SP Edition)での SIP Over TLS の設定

ここでは、Cisco Unified Border Element(SP Edition)で SIP over TLS を設定する手順を示します。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. security trusted-encrypted

6. redirect-mode { pass-through | recurse}

7. authentication nonce

8. signaling-address ipv4 ipv4_IP_address

9. signaling-port port-num

10. remote-address ipv4 ip-address ip-mask

11. signaling-peer peer-name

12. signaling-peer-port port-num

13. dbe-location-id dbe-location-id

14. reg-min-expiry period

15. attach force [abort | normal]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

security trusted-encrypted

 

Router(config-sbc-sbe-adj-sip)# security trusted-encrypted

セッション開始プロトコル(SIP)隣接でトランスポートレベルのセキュリティを設定します。

ステップ 6

redirect-mode {pass-through | recurse}

 

Router(config-sbc-sbe-adj-sip)# redirect-mode recurse

SIP 隣接からの INVITE に対する 3xx 応答の受信についての SBC の動作を設定します。

ステップ 7

authentication nonce timeout

 

Router(config-sbe-adj-sip)# authentication nonce timeout 10

SIP 隣接の認証ナンス タイムアウトを設定します。

ステップ 8

signaling-address ipv4 ipv4_IP_address

 

Router(config-sbc-sbe-adj-sip)# signaling-address ipv4 10.10.10.10

SIP 隣接または H.323 隣接のローカル IPv4 シグナリング アドレスを定義します。

ステップ 9

signaling-port port-num

 

Router(config-sbc-sbe-adj-sip)# signaling-port 5000

SIP 隣接のシグナリング アドレスのローカル ポートを定義します。

ステップ 10

remote-address ipv4 ip-address ip-mask

 

Router(config-sbc-sbe-adj-sip)# remote-address ipv4 36.36.36.20 255.255.255.0

隣接を介して接続できるリモート シグナリング ピアのセットを指定の IP アドレス プレフィクスを持つ隣接に制限するように SIP 隣接を設定します。

ステップ 11

signaling-peer peer-name

 

Router(config-sbc-sbe-adj-sip)# signaling-peer 10.1.2.3

指定のリモート シグナリング ピアを使用するように SIP 隣接を設定します。

ステップ 12

signaling-peer-port port-num

 

Router(config-sbc-sbe-adj-sip)# signaling-peer-port 123

指定したリモート シグナリング ピアのポートを使用するように SIP 隣接を設定します。

ステップ 13

dbe-location-id dbe-location-id

 

Router(config-sbc-sbe-adj-sip)# dbe-location-id 1

メディアをルーティングするときに、指定したメディア ゲートウェイ DBE ロケーションを使用するように隣接を設定します。

ステップ 14

reg-min-expiry period

 

Router(config-sbc-sbe-adj-sip)# reg-min-expiry 300

SIP 隣接に対する最短登録期間を秒単位で設定します。

ステップ 15

attach force [abort | normal]

 

Router(config-sbc-sbe-adj-h323)# attach

隣接を SBE 上のアカウントにアタッチします。

SIP Over TLS の設定例

次に、SIP over TLS の設定例を示します。

crypto pki trustpoint CA
enrollment terminal
serial-number
subject-name ST=Some-State, C=AU, O=Internet Widgits Pty Ltd revocation-check none rsakeypair the_default !
!
crypto pki certificate chain CA
certificate 01
308201D7 30820140 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
46310B30 09060355 04061302 5553310C 300A0603 55040813 03525450 310B3009
06035504 07130253 4A310E30 0C060355 040A1305 43495343 4F310C30 0A060355
040B1303 53424330 1E170D30 39303230 35313030 3832385A 170D3130 30323035
31303038 32385A30 45311330 11060355 0408130A 536F6D65 2D537461 7465310B
30090603 55040613 02415531 21301F06 0355040A 1318496E 7465726E 65742057
69646769 74732050 7479204C 7464305C 300D0609 2A864886 F70D0101 01050003
4B003048 024100DC 18647810 B82F521B 40762B30 31646EB1 D567F0A6 E38DAD77
1C41D825 E5274FFC A1F59E98 DCDFA617 161EA4D4 DBDC06E9 E1142752 9212D34D
646E6B37 99D26502 03010001 A31A3018 30090603 551D1304 02300030 0B060355
1D0F0404 030205A0 300D0609 2A864886 F70D0101 04050003 81810084 7E9A479B
018F93F0 E683AA41 D3303705 6D89D44B 7798BD5F 15BCFAD5 EF55D72E 03365CD9
BBCD955E 3C6D78B3 8E8C0675 772A7DE2 BCFBD6DF 760F9683 F0AB6F62 A87D9AC1
AB2EA7E0 D831D33D 2F54582F 9E39F81D CBA33BD9 2466296C 4DCDAD0C 7D697AF7
797AFEAA 05C3021F A7E89044 EA1796DC F422C82E 2B3894F6 3B98A7
quit
certificate ca 00F2D75C678DC7F7F2
3082021A 30820183 A0030201 02020900 F2D75C67 8DC7F7F2 300D0609 2A864886
F70D0101 04050030 46310B30 09060355 04061302 5553310C 300A0603 55040813
03525450 310B3009 06035504 07130253 4A310E30 0C060355 040A1305 43495343
4F310C30 0A060355 040B1303 53424330 1E170D30 39303230 35303931 3032395A
170D3134 30323034 30393130 32395A30 46310B30 09060355 04061302 5553310C
300A0603 55040813 03525450 310B3009 06035504 07130253 4A310E30 0C060355
040A1305 43495343 4F310C30 0A060355 040B1303 53424330 819F300D 06092A86
4886F70D 01010105 0003818D 00308189 02818100 BD3DBEEE A8CB6C51 9E2BBEC4
35C2644F 92055B30 3543CA9D A1E1C0CB F59A2490 9296304D 43C19913 2A12EA80
BDC6A1E3 0C164059 2C0DF132 E4AFF260 E88F38DC F23E866C DAFDD1BD F888BE90
B74C49DA 4712E1E2 E249F444 FB3226B2 A5963DCD E75467B3 83669794 13BB8E7B
CAFE3830 85091839 9658999B C72395E1 07AB35D1 02030100 01A31030 0E300C06
03551D13 04053003 0101FF30 0D06092A 864886F7 0D010104 05000381 8100A7E5
662FDE66 01FC63BA 399D1D17 0336C35B F9D9AEAF 87DA9E05 6AD13B90 D11CB984
9B90FF8E 123F03B3 4E035D6B AC79D399 FF92A09C 2E62B759 E716D1D5 ABA46796
41BB570F 96B7EE47 FB779AD4 0C8790FC 15FC65D6 47F60BE4 EB498B63 6DC2FBD3
9DD51D82 0EB80125 D5A8F71B F7B61A63 5B601A6D FEFCAEB6 B33BF38B 9A10
quit
 

Cisco Unified Border Element(SP Edition)の設定例を示します。

Router# configure
Router(config)# sbc sbc-3
Router(config-sbc)# sbe
Router(config-sbc-sbe)# adjacency sip adj1
Router(config-sbc-sbe-adj-sip)# security trusted-encrypted
Router(config-sbc-sbe-adj-sip)# redirect-mode pass-through
Router(config-sbc-sbe-adj-sip)# authentication nonce timeout 300
Router(config-sbc-sbe-adj-sip)# signaling-address ipv4 10.130.10.25
Router(config-sbc-sbe-adj-sip)# signaling-port 5060
Router(config-sbc-sbe-adj-sip)# remote-address ipv4 10.74.49.145 255.255.255.255
Router(config-sbc-sbe-adj-sip)# signaling-peer 10.74.49.145
Router(config-sbc-sbe-adj-sip)# signaling-peer-port 5060
Router(config-sbc-sbe-adj-sip)# dbe-location-id 4294967295
Router(config-sbc-sbe-adj-sip)# reg-min-expiry 3000
Router(config-sbc-sbe-adj-h323)# attach

SIP Over TLS の確認

ノード上の証明書を確認するには、次のコマンドを使用します。

show crypto pki certificates:自身の証明書、Certification Authority(CA; 認証局)の証明書、Registration Authority(RA; 登録局)の証明書に関する情報を表示します。

show crypto key pubkey-chain rsa:公開キー コンフィギュレーション モードを開始します(他のデバイスの RSA 公開キーを手動で指定および表示できます)。

show crypto key mypubkey rsa:ルータの RSA 公開キーを表示します。

信頼できる暗号化されていない隣接での SIPS URI から SIP URI への変換のイネーブル化

信頼できる暗号化されていない隣接での SIPS URI から SIP URI への変換をイネーブルにするには、この項で説明されている手順を使用します。この手順を実行することは、信頼できる暗号化されていない隣接にセキュアな登録を転送するように SBC を設定するための要件の 1 つです。この機能の詳細については、「SIP Over TLS の概要」を参照してください。

手順の概要

1. configure terminal

2. sbc sbc-name

3. sbe

4. adjacency sip adjacency-name

5. security trusted-unencrypted

6. registration unencrypted-convert

7. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc sbc-name

 

Router(config)# sbc mysbc

SBC サービス モードを開始します。

sbc-name :SBC の名前。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBE コンフィギュレーション モードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name :隣接名。

ステップ 5

security trusted-unencrypted

 

Router(config-sbc-sbe-adj-sip)# security trusted-encrypted

隣接でトランスポート レベルのセキュリティを設定します。

ステップ 6

registration unencrypted-convert

 

Router(config-sbc-sbe-adj-sip)# registration unencrypted-convert

信頼できる暗号化されていない隣接で SIPS URI から SIP URI への変換をイネーブルにします。

ステップ 7

end

 

Router(config-sbc-sbe-adj-sip)# end

特権 EXEC モードに戻ります。

次の例では、SIPS URI から SIP URI への変換がイネーブルであることが、 show sbc adjacencies コマンドの出力により示されています。

Router# show sbc MySBC sbe adjacencies ADJ1 detail
SBC Service MySBC
Adjacency ADJ1 (SIP)
Status: Attached
Signaling address: 192.0.2.36.1:5060, VRF sidd_sipp1
IPsec server port: 0
Signaling-peer: 192.0.2.37.1:5060 (Default)
.
.
.
 
Media Bypass Tag List:
Tag 1: tag1
Tag 2: tag2
Media Bypass Max Out Data Length: 1024
Register unencrypted covert: Enabled

SIP ピアのアベイラビリティの検出

SBC は SIP ピアのアベイラビリティ検出(OPTIONS ping)機能をサポートします。SBC は、設定されたピアに定期的に OPTION 要求を送信します。ピアが一定の OPTION 要求に応答しないと、ピアは障害と宣言され、コールは他のピアを経由してルーティングされます。

ping 抑制がイネーブルで、ピア間のシグナリング トラフィック交換がアクティブな場合、輻輳を回避するため、ピアのアベイラビリティ検出用の OPTIONS ping は使用されません。

SIP ピアのアベイラビリティ検出に関する制約事項

SIP ピアのアベイラビリティ検出機能には次の制約があります。

OPTIONS 要求は SIP メソッドの輻輳応答コードを使用します。

ピアへの OPTIONS メッセージの数を減らした場合、障害になったピアを検出するために SBC が要する時間が大幅に増加します。

SIP ピアのアベイラビリティ検出の設定

SIP ピアのアベイラビリティ検出を設定するには、この項で説明されている手順を使用します。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. ping-enable

6. ping-bad-rsp-codes ranges

7. ping-suppression

8. exit

9. end

10. show sbc sbc-name sbe adjacencies adjacency-name Detail

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

ping-enable

 

Router(config-sbc-sbe-adj-sip)# ping-enable

SIP OPTION ping を隣接に送信することにより、そのリモート ピアをポーリングするよう隣接を設定し、ping オプション サブモードを開始します。

ステップ 6

ping-bad-rsp-codes ranges

 

Router(config-sbc-sbe-adj-sip-ping)# ping-bad-rsp-codes ranges 300,398

隣接に SIP OPTION ping を送信して、SIP 隣接の輻輳応答コードを設定します。

応答コード範囲を指定するには、 ranges 引数を使用します(範囲は 300 ~ 399 です)。

ステップ 7

ping-suppression options

 

Router(config-sbc-sbe-adj-sip-ping)# ping-suppression odd-request

(任意)必要に応じて、SIP 隣接で ping する SBC を設定します。

options には、ping の抑制に使用する、次のいずれかの文字列を指定します。

ood-request:out-of-dialog または dialog-creating 要求を受信すると、SBC はピアを到達可能と見なします(OPTIONS および REGISTER メッセージを除く)。

ood-response:out-of-dialog または dialog-creating 2xx 応答を受信すると、SBC はピアを到達可能と見なします(OPTIONS および REGISTER メッセージを除く)。

ind-request:in-dialog 要求を受信したときに SBC はピアを到達可能と見なします。

ind-response:in-dialog 2xx 応答を受信したときに SBC はピアを到達可能と見なします。

ステップ 8

exit

 

Router(config-sbc-sbe-adj-sip-ping)# exit

adj-sip-ping モードを終了し、adj-sip モードに移行します。

ステップ 9

end

 

Router(config-sbc-sbe)# end

SBE モードを終了し、特権 EXEC モードに戻ります。

ステップ 10

show sbc sbc-name sbe adjacencies adjacency-name detail

 

Router# show sbc mysbc sbe adjacencies sipGW detail

指定した隣接に関連する詳細を表示します。

次に、SIP OPTIONS ping を送信することで SIP 上の輻輳応答コードを設定する例を示します。

Router# configure terminal
Router(config)# sbc mySbc
Router(config-sbc)# sbe
Router(config-sbc-sbe)# adjacency sip SipAdj1
Router(config-sbc-sbe-adj-sip)# ping-enable
Router(config-sbc-sbe-adj-sip-ping)# ping-bad-rsp-codes ranges 300,398
Router(config-sbc-sbe-adj-sip-ping)# exit
Router(config-sbc-sbe-adj-sip)#

冗長ピア アドレス

ピア SIP デバイスで動作している場合、分離された VLAN 上(たとえば、地理的に離れたホスト)で冗長なホストを運用する場合、VLAN の障害の後に異なる IP アドレスからシグナリングを開始できる、PGW 2200 ソフトスイッチなどのピア SIP デバイスと SBC を相互運用する必要があることがあります。PGW 2200 ソフト スイッチなどのピア SIP デバイスには、VLAN とホストの冗長性の両方を含む次のハイ アベイラビリティ戦略があります。

標準のフェールオーバー シナリオでは、1 台のホストが障害になると、バックアップが処理を引き継ぎます。このバックアップは、SIP 通信用の仮想 IP アドレスも引き継ぎます。コールの状態が維持され、フェールオーバーは SBC にとって見えません。

VLAN で障害が発生した場合、SBC と相互運用する PGW 2200 ソフトスイッチは他の VLAN のインターフェイスの使用を開始します。VLAN 間で仮想 IP アドレスを移動できないため、SIP 通信の IP アドレスが変更されます。

一部のネットワークでは、プライマリおよびバックアップ ホストは地理的に冗長化され、VLAN を共有できません。したがって、ホスト間で仮想 IP アドレスを移動できないため、プライマリ インターフェイスに障害が発生した場合、SIP 通信に使用する IP アドレスが変わります。

図 7 に、冗長トポロジを示します。

図 7 冗長トポロジ

ピアの IP アドレスが変更された場合、対応するピア デバイスのコール状態が維持され、ダイアログ タグ、Contact ヘッダー、ルート セットなどの主要な SIP パラメータは変更されません。ただし、Contact ヘッダーに誤りがあり、新しいピア IP アドレスは含まれません。

冗長ピア アドレス機能を使用すると、そのピア デバイスの IP アドレスの変更が可能となり、SBC で次の機能がサポートされます。

冗長 IP アドレスからの着信 SIP メッセージを受け入れます。

SIP Contact ヘッダー(または他の SIP ヘッダー)で指定された IP アドレスとピアが使用する実際の IP アドレス間の不一致を無視します。

各ピア アドレスに ping してアクティブなアドレスを監視し、現在アクティブな IP アドレスにピア宛ての発信 SIP メッセージを送信します。

単一のリモート アドレス マスク内に含まれていない SIP ピア デバイスの複数の冗長 IP アドレスで SBC を設定できます。

隣接ごとに設定可能な次の動作モードがサポートされます。

現在のアドレスが障害になっていなくても、高プライオリティ アドレスがアクティブな場合、SBC はピアの IP アドレスを切り替えます。

現在アクティブでプライオリティが最も高いピア IP アドレスを選択して、各隣接の 現在の宛先 を選択し、障害になったことを検出するまでその宛先を使用し続け、障害になった時点で選択プロセスを繰り返します。

各ピア IP アドレスとのすべての通信に 1 つのローカル IP アドレス、ポート、および VPN を使用します。

冗長ピア アドレスの制約事項

冗長ピア アドレス機能には次の制約があります。

これは、シグナリング専用の機能です。

ピアの代替冗長アドレスは自動的に検出できないため、 ping-enable コマンドを使用して設定する必要があります。

隣接内のメイン ピア アドレスは、冗長ピア アドレスとして 1 ~ 6 の範囲の同じプライオリティ値を共有します。

単一のロード バランシング方式が提供されます。SBC は、すべての発信 SIP 要求に、プライオリティが最も高く設定されたアクティブ ピア IP アドレスを選択します。

高速登録要求の送信元アドレスは変更できません。

SIP 要求がピア アドレスに送信され、応答が受信されない場合、SBC はその後ピア アドレスが障害になったことを検出します。ただし、SIP 要求の宛先アドレスは変更されず、障害になったアドレスに再試行されます。新しい要求はアクティブなアドレスに送信されます。

特定の隣接に設定された宛先アドレスおよびポートはメッセージの編集の設定では使用できません。したがって、既存の signaling-peer および signaling-peer-port ヘッダー フィルタリング構文の宛先単位の同等構文はありません。

必要な場合にのみ ping を送信する最適化(ping 抑制)は、冗長ピアに面する隣接で設定できません。

冗長ピア アドレスの設定

冗長ピア アドレスを設定するには、この項で説明する手順を使用します。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. no attach

6. force-signaling-peer { all }

7. ping-enable

8. exit

9. redundant peer index

10. address address

11. port port

12. network { IPv4 address netmask | IPv6 address netmask }

13. priority priority

14. activate

15. exit

16. signaling-peer-switch { always | fail }

17. signaling-peer-priority priority

18. exit

19. end

20. show sbc sbc-name sbe adjacencies adjacency-name peers

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC サービス内で SBE エンティティのモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sipGW

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

no attach

 

Router(config-sbc-sbe-adj-sip)# no attach

SBE 上のアカウントから隣接を切断します。

(注) 隣接は、冗長ピアを追加または削除する前に切断する必要があります。

ステップ 6

force-signaling-peer { all }

 

Router(config-sbc-sbe-adj-sip)# force-signaling-peer all

SIP メッセージが設定したシグナリング ピアに送信されるようにします。

ステップ 7

ping-enable

 

Router(config-sbc-sbe-adj-sip)# ping-enable

SIP OPTIONS ping を隣接に送信することにより、そのリモート ピアをポーリングするよう隣接を設定し、ping オプション サブモードを開始します。

ステップ 8

exit

 

Router(config-sbc-sbe-adj-sip-ping)# exit

adj-sip-ping モードを終了し、 adj-sip モードに移行します。

ステップ 9

redundant peer index

 

Router(config-sbc-sbe-adj-sip)# redundant peer 1

SBE SIP 隣接ピアのモードを開始し、隣接の代替シグナリング ピアを設定します。1 から 5 までのピアのインデックス番号を指定できます。

ステップ 10

address address

 

Router(config-sbc-sbe-adj-sip-peer)# no address

冗長ピアとして機能する IP アドレスまたはホスト名を設定します。

ステップ 11

port port

 

Router(config-sbe-adj-sip-peer)# port 2

冗長ピアのポートを設定します。

(注) デフォルトでは、ポート 5060 が使用されます。

ステップ 12

network { IPv4 address netmask | IPv6 address netmask }

 

Router(config-sbc-sbe-adj-sip-peer)# network ipv4 33.33.36.2 255.255.255.0

冗長ピアの IPv4 または IPv6 ネットワークを設定します。

ステップ 13

priority priority

 

Router(config-sbc-sbe-adj-sip-peer)# priority 1

冗長ピアのプライオリティを設定します。範囲は 1 ~ 6 です。

ステップ 14t

activate

 

Router(config-sbc-sbe-adj-sip-peer)# activate

冗長シグナリング ピアをアクティブにします。

ステップ 15t

exit

 

Router(config-sbc-sbe-adj-sip-peer)# exit

adj-sip-peer モードを終了し、 adj-sip モードに移行します。

ステップ 16

signaling-peer-switch { always | fail }

 

Router(config-sbc-sbe-adj-sip)# signaling-peer-switch always

SIP 隣接を設定し、使用可能な宛先にシグナリング ピアを切り替えます。

ステップ 17

signaling-peer-priority priority

 

Router(config-sbc-sbe-adj-sip)# signaling-peer-priority 1

SIP 隣接のシグナリング ピアのプライオリティを設定します。範囲は 1 ~ 6 です。

ステップ 18

exit

 

Router(config-sbc-sbe-adj-sip)# exit

adj-sip モードを終了し、 sbe モードに戻ります。

ステップ 19

end

 

Router(config-sbc-sbe)# end

sbe モードを終了し、特権 EXEC モードに戻ります。

ステップ 20

show sbc sbc-name sbe adjacencies adjacency-name peers

 

Router# show sbc mysbc sbe adjacencies sipGW peers

指定した隣接の設定されているピアを一覧表示します。

冗長ピア アドレスの例

次に、冗長ピア アドレスの設定例を示します。

sbc mat
sbe
adjacency sip SIPPA
force-signaling-peer
signaling-peer-switch on-fail
inherit profile preset-access
signaling-address ipv4 1.0.0.10
statistics method summary
signaling-port 5068
remote-address ipv4 1.0.0.0 255.0.0.0
signaling-peer 1.0.0.3
signaling-peer-priority 6
signaling-peer-port 5068
registration rewrite-register
registration target address 1.0.0.3
registration target port 5068
redundant peer 1
network ipv4 5.5.5.5 255.255.255.255
address 5.5.5.5
priority 2
activate
redundant peer 2
network ipv4 22.22.22.22 255.255.255.255
address 22.22.22.22
port 2222
priority 3
ping-enable
attach

冗長ピア アドレスの確認

ピアを確認するには、次のコマンドを使用します。

show sbc sbe adjacencies detail :SIP 隣接の詳細設定が表示されます。

show sbc sbe adjacencies peer :隣接の設定されたピアを一覧表示します。

show sbc sbe all-peers :ピアの情報を表示します。