Cisco Unified Border Element(SP Edition)コンフィギュレーション ガイド:統合モデル
SIP 認証
SIP 認証
発行日;2012/07/12 | 英語版ドキュメント(2012/03/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

SIP 認証

内容

セッション開始プロトコル(SIP)発信認証

SIP 発信認証を実装するための前提条件

SIP 発信認証の実装上の制約事項

SIP 発信認証について

Cisco Unified Border Element(SP Edition)での発信認証の設定

リモート装置に対する Cisco Unified Border Element(SP Edition)の認証

SIP 発信認証の設定方法

show コマンドの例

SIP 着信認証

SIP 着信認証の実装の前提条件

SIP 着信認証の実装に関する制約事項

SIP 着信認証について

ローカル着信認証

リモート着信認証

発信認証との相互関係

着信認証の障害モード

SIP 着信認証の設定方法

show コマンドの例

SIP 認証の相互運用性

SIP 認証の相互運用性に関する制約事項

SIP 認証の相互運用性に関する情報

SIP 要求

Call-ID の生成

From タグの生成

CSeq シーケンス番号の生成

パススルー認証

SIP 認証

Cisco Unified Border Element(SP Edition)は、Session Initiation Protocol(SIP; セッション開始プロトコル)認証をサポートします。


) Cisco IOS XE Release 2.4 では、この機能は統合モデルだけでサポートされます。


Cisco Unified Border Element(SP Edition)は、以前は Integrated Session Border Controller と呼ばれており、このマニュアルでは通常 Session Border Controller(SBC; セッション ボーダー コントローラ)と呼びます。

本章で使用されているコマンドの詳細な説明については、次の場所にある『 Cisco Unified Border Element (SP Edition) Command Reference: Unified Model 』を参照してください。

http://www.cisco.com/en/US/docs/ios/sbc/command/reference/sbcu_book.html

すべての Cisco IOS コマンドの詳細については、http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、Cisco IOS マスター コマンド リストを参照してください。

SIP 認証の機能履歴

 

リリース
変更内容

Cisco IOS XE Release 2.4

SIP 証明書のサポートが、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータに導入されました。

Cisco IOS XE Release 2.5

SIP INVITE 認証の相互運用性のサポートが、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータに導入されました。

Cisco IOS XE Release 2.6

送信の out-of-dialogue 要求に関する SIP INVITE 認証の相互運用性のサポート(Call-ID の INVITE 要求、From および To のダイアログ タグ、CSeq シーケンス番号と同じ生成スキームを使用)が、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータに導入されました。

内容

このモジュールの構成は次のとおりです。

「セッション開始プロトコル(SIP)発信認証」

「SIP 着信認証」

「SIP 認証の相互運用性」

セッション開始プロトコル(SIP)発信認証

ネットワーク エンティティ同士が SIP を使用して通信する場合は、一方のエンティティが他方に対してチャレンジをおこない、相手が自分のネットワークに SIP シグナリングを送信することが許可されているかどうか判断する必要がよくあります。SIP 認証モデルは、RFC 2617 に記述されているように、HTTP ダイジェスト認証に基づいています。

パスワードが暗号化されずに送信される基本認証の使用は、SIP では許可されません。

ここでは、次の項目について説明します。

「SIP 発信認証を実装するための前提条件」

「SIP 発信認証の実装上の制約事項」

「SIP 発信認証について」

「SIP 発信認証の設定方法」

「show コマンドの例」

SIP 発信認証を実装するための前提条件

SIP 発信認証を実装するためには、次の前提条件が必要です。

1 つ以上の認証領域を指定する前に、SIP 隣接を設定する。

Cisco Unified Border Element(SP Edition)で自己認証に使用できる一組のドメイン(レルム)を設定する。これらの各ドメインによりチャレンジが行われたときに提供するユーザ名とパスワードを設定する。この設定は隣接ごとに行う。


) 隣接ごとに複数のレルムを設定でき、使用できるメモリ容量を考慮しなければ、レルムの数に制限はありません。同じユーザ名とパスワードを使用して異なるレルムを設定できます。また、各レルムは異なるユーザ名とパスワードを使用して異なる隣接に設定できます。ただし、1 つのレルムは隣接ごとに 1 回しか設定できません。


SIP 発信認証の実装上の制約事項

次に、SIP 発信認証に適用される制約事項を示します。

既存の認証レルムと同じドメイン名で認証レルムを設定しようとした場合、Cisco Unified Border Element(SP Edition)はこれを拒否します。この制約事項は隣接単位で有効となります。同じドメイン名の認証レルムを複数の隣接に設定できます。


) 現行のコマンド ライン インターフェイス(CLI)では、ユーザが同じ隣接に同じドメインで 2 つの認証レルムを設定することを禁止しています。これが試行された場合は、CLI は、2 番めの認証レルムの設定を最初の認証レルムの再設定と解釈し、適宜ユーザの認定証を更新します。


各認証レルムは、隣接ごとに 1 つのユーザ名とパスワードしか設定できません。

Cisco Unified Border Element(SP Edition)での発信認証の設定

SIP 隣接を設定する場合に、ユーザが 1 つ以上の認証レルムを指定できます。各認証レルムは 1 つのリモート ドメインを表し、Cisco Unified Border Element(SP Edition)はそこから隣接の認証チャレンジを受信します。認証レルムを構成する場合は、Cisco Unified Border Element(SP Edition)がそのレルムで自己認証に使用する正しいユーザ名とパスワードをユーザが指定する必要があります。Cisco Unified Border Element(SP Edition)は、各隣接のすべての有効な認証レルムを格納します。

リモート装置に対する Cisco Unified Border Element(SP Edition)の認証

Cisco Unified Border Element(SP Edition)は送信済みの要求と関連付けられる SIP 401 または 407 応答を受信すると、添付されている認証チャレンジを確認します。Cisco Unified Border Element(SP Edition)は、隣接で認証チャレンジを受信した場合、その隣接に設定されている認証レルムの 1 つと一致する認証チャレンジにはすべて応答します。設定されている認証レルムと一致しない認証チャレンジは、オリジナルの要求を受信した、その隣接の SBC のシグナリング ピアにそのまま渡されます。

認証チャレンジに対する応答を生成するために、Cisco Unified Border Element(SP Edition)は次の処理を実行します。

1. まず、発信隣接に設定されている認証レルムのリストを使用して、チャレンジのレルム パラメータを検索します。

2. 次に、該当する認証レルムのパスワードを見つけ、このパスワードとチャレンジに含まれているナンス パラメータとを組み合わせ、そのハッシュを作成して認証応答を生成します。

3. チャレンジ側が auth-int の保護品質を要求している場合、Cisco Unified Border Element(SP Edition)はメッセージ本体全体のハッシュを生成し、応答に含めます。

4. Cisco Unified Border Element(SP Edition)は、次のパラメータ値を含む Authorization(または Proxy-Authorization)ヘッダーを作成します(RFC 2617 に準拠)。

チャレンジに含まれているナンス。

チャレンジに含まれているレルム。

Digest-URI をチャレンジ要求の SIP URI に設定。

Message-QOP を auth に設定。

前述のように計算された応答。

該当する認証レルムに指定されたユーザ名。

チャレンジに opaque パラメータが含まれていた場合、応答時に変更されずに戻されます。

チャレンジに qop-directive パラメータが含まれる場合、このナンスを元に計算した応答を使用して、要求を送信した回数を nonce-count パラメータに設定します。

Cisco Unified Border Element(SP Edition)が応答すべきチャレンジに、ドメイン パラメータが含まれている必要がないことに注意してください。このパラメータは、Cisco Unified Border Element(SP Edition)が最も頻繁に受信するチャレンジのタイプである Proxy-Authenticate チャレンジでは使用されません。ドメイン パラメータが含まれていた場合は、Cisco Unified Border Element(SP Edition)はこれを無視します。

5. 最後に、Cisco Unified Border Element(SP Edition)は計算した応答と受信したナンスを、認証レルムの他のデータとともに格納します。これにより、Cisco Unified Border Element(SP Edition)は同じナンスを持つこのレルムからの以降のチャレンジに対して迅速に応答できます。応答を格納するためのリソースが不足した場合でも、Cisco Unified Border Element(SP Edition)はそのまま続行します。次回このレルムから認証チャレンジを受信したときに、Cisco Unified Border Element(SP Edition)は応答を再計算する必要があります。Cisco Unified Border Element(SP Edition)が保存した応答を再利用する場合には、ナンス応答ペアと一緒に格納されているナンス カウントを更新します。これにより、Cisco Unified Border Element(SP Edition)は認証応答の nonce-count フィールドに正しく入力できます。

SIP 発信認証の設定方法

ここでは、SIP 発信認証の設定手順について説明します。この手順により、ユーザは隣接に対して 1 つ以上の認証レルムを追加または削除できます。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. authentication-realm inbound domain | outbound domain username password

6. end

7. show sbc sbc-name sbe adjacency adjacency-name authentication-realms

8. show sbc service-name sbe all-authentication-realms

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC の Signaling Border Element(SBE)機能のモードを開始します。

ステップ 4

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip test

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 5

authentication-realm { inbound domain| outbound domain username password}

 

Router(config-sbc-sbe-adj-sip)# authentication-realm outbound example.com usersbc passwrdsbc

特定の隣接の特定のドメインに一組の発信認証認定証を設定します。このコマンドは、隣接を接続する前または後に実行することができます。

このコマンドの no バージョンを使用すると、特定の隣接の認証レルムの設定を解除します。

inbound:着信認証レルムの指定。

outbound:発信認証レルムの指定。

domain:認証認定証が有効である対象ドメイン名。

username:特定のドメインで SBC を識別するユーザ名。

password:特定のドメインでユーザ名を認証するためのパスワード。

ステップ 6

end

 

Router(config-sbc-sbe-adj-sip)# end

adj-sip モードを終了し、特権 EXEC モードに戻ります。

ステップ 7

show sbc sbc-name sbe adjacency adjacency-name authentication-realms

 

Router# show sbc mySbc sbe adjacency SipToIsp42 authentication-realms

特定の SIP 隣接に対して現在設定されているすべての認証レルムを表示します。

ステップ 8

show sbc service-name sbe all-authentication-realms

 

Router# show sbc mySbc sbe all-authentication-realms

すべての SIP 隣接に対して現在設定されているすべての認証レルムを表示します。

show コマンドの例

Router# show sbc mySbc sbe adjacency SipToIsp42 authentication-realms
 
Configured authentication realms
--------------------------------
Domain Username Password
Example.com usersbc passwordsbc
 
 
Router# show sbc mySbc sbe all-authentication-realms
 
Configured authentication realms
--------------------------------
Adjacency: SipToIsp42
Domain Username Password Example.com usersbc passwordsbc
Remote.com usersbc sbcpassword
 
Adjacency: SipToIsp50
Domain Username Password
Example.com user2sbc password2sbc
Other.com sbcuser sbcsbcsbc

SIP 着信認証

Cisco Unified Border Element(SP Edition)は着信した Session Initiation Protocol(SIP; セッション開始プロトコル)要求に対するチャレンジを行うために、SIP 着信認証をローカル モードとリモート モードの 2 つのモードでサポートしています。Cisco Unified Border Element(SP Edition)を設定する際には、Remote Authentication Dial-In User Service(RADIUS)サーバ側のサポートのレベルに応じた認証モードを選択する必要があります。RADIUS サーバが draft-sterman-aaa-sip-00 to 01 だけに準拠している場合、ローカル モードを選択します。RADIUS サーバが RFC 4590 だけに準拠している場合、リモート認証モードを使用します。


) この機能は任意であり、インバウンド要求に対してチャレンジを行わないように Cisco Unified Border Element(SP Edition)を設定することができます。


ここでは、次の項目について説明します。

「SIP 着信認証の実装の前提条件」

「SIP 発信認証の実装上の制約事項」

「SIP 着信認証について」

「SIP 着信認証の設定方法」

「show コマンドの例」

SIP 着信認証の実装の前提条件

SIP 着信認証を実装するための前提条件を示します。

インバウンド コールを認証するように Cisco Unified Border Element(SP Edition)を設定する前に、SIP 隣接を必要な認証モードに設定します。

RADIUS サーバを設定して、選択する着信認証のモードを指定します。

SIP 着信認証の実装に関する制約事項

次に、SIP 着信認証の実装に適用される制約事項を示します。

Cisco Unified Border Element(SP Edition)は、隣接ごとに 1 つの着信認証レルムだけをサポートします。

Cisco Unified Border Element(SP Edition)は、RADIUS サーバにより生成されるナンスの有効性をチェックしません。RADIUS サーバでこのチェックを実行するように設定する必要があります。

Cisco Unified Border Element(SP Edition)は、隣接上で着信認証用の特定の RADIUS サーバ グループを指定しません。

着信認証、発信認証、および Transport Layer Security(TLS)接続の間でコールの信頼移動は発生しないため、着信認証が成功しても Cisco Unified Border Element(SP Edition)がそのコールをセキュアであるとマークするとは限らず、発信認証を実装しません。ただし、ユーザは同じ隣接に着信認証、発信認証、および TLS を個別に設定できます。

SIP 着信認証について

ここでは、次の項目について説明します。

「ローカル着信認証」

「リモート着信認証」

「発信認証との相互関係」

「着信認証の障害モード」

ローカル着信認証

ローカル着信認証を実行するように設定されている場合、Cisco Unified Border Element(SP Edition)はまず、リモート ピアからの未許可の要求に対してチャレンジを行います。そのため、リモート ピアからの要求に対してチャレンジを行うには、隣接での認証レルムの設定が完了している必要があります。リモート ピアが要求を確認した後、要求は RADIUS サーバに転送され、コールを通過させるかどうかがここで決定されます。

リモート着信認証

リモート着信認証を実行するように設定されている場合、Cisco Unified Border Element(SP Edition)は RADIUS サーバに依存してリモート ピアからの許可された要求に対するチャレンジを行います。Cisco Unified Border Element(SP Edition)は RADIUS サーバが生成したチャレンジ要求をリモート ピアに転送します。また、リモート ピアの認証要求を RADIUS サーバに転送します。

発信認証との相互関係

隣接に着信認証が設定されている場合に、インバウンド要求が正常認証されると、その隣接のレルムと一致する許可(Authorization)ヘッダーが除去され、アウトバウンド信号に伝搬されません。ただし、他のレルムの許可ヘッダーはアウトバウンド要求にパススルーされます。

着信認証の障害モード

着信認証が設定されている場合、(標準の SIP 信号障害モードの他に)次の障害モードが発生することがあります。

受け入れ不能なパラメータ

エンドポイントまたは RADIUS サーバが auth または auth-int 以外の保護品質に関するパラメータを指定した場合、インバウンド要求は拒否され、403 応答が生成されます。同様に、MD5 および MD5-sess 以外のアルゴリズムが使用された場合、Cisco Unified Border Element(SP Edition)は 403 応答を生成します。

アクセス要求の拒否

RADIUS サーバが Access-Request 信号に対して Access-Reject 応答で拒否した場合、Cisco Unified Border Element(SP Edition)403 応答をエンドポイントに返します。

メモリ不足

Cisco Unified Border Element(SP Edition)に着信認証要求を処理するための十分なメモリがない場合、要求を拒否して 503 応答を返します。

認証レルムの不一致

隣接の設定に含まれる認証レルムを指定した認証ヘッダーがピアから返されない場合、Cisco Unified Border Element(SP Edition)は 401 応答で要求に対して再チャレンジを行います。

ナンスの不一致

ピアのナンスが Cisco Unified Border Element(SP Edition)の生成したものと一致しない場合、Cisco Unified Border Element(SP Edition)は認証要求を拒否して 403 応答を送信します。

ナンスのタイムアウト

ピアのナンスがタイムアウトした場合、Cisco Unified Border Element(SP Edition)は 401 応答と新しいナンスを送信することでナンスに対してチャレンジを行います。

受け入れ可能な RADIUS サーバの不在

隣接に設定されているモードをサポートする RADIUS サーバが存在しない場合、Cisco Unified Border Element(SP Edition)は認証要求に対して 501 応答で拒否し、ログを作成してユーザに設定の不整合を通知します。

SIP 着信認証の設定方法

ここでは、RADIUS サーバで SIP ローカル着信認証を設定する手順について説明します。

手順の概要

1. configure terminal

2. sbc service-name

3. sbe

4. radius [accounting client-name | authentication]

5. server server-name

6. address

7. mode local

8. key password

9. exit

10. activate

11. exit

12. adjacency sip adjacency-name

13. authentication-realm inbound realm

14. authentication mode local

15. authentication nonce timeout time

16. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

Router(config)# sbc mysbc

SBC サービスのモードを開始します。

service-name 引数を使用して、サービスの名前を定義します。

ステップ 3

sbe

 

Router(config-sbc)# sbe

SBC の Signaling Border Element(SBE)機能のモードを開始します。

ステップ 4

radius [accounting client-name | authentication]

 

Router(config-sbc-sbe)# radius authentication

RADIUS クライアントで認証設定を行うモードを開始します。

ステップ 5

server server-name

 

Router(config-sbc-sbe-auth)# server authserv

認証サーバを設定するモードを開始します。

ステップ 6

address ipv4 ipv4-address

 

Router(config-sbc-sbe-auth-ser)# address ipv4 200.200.200.122

認証サーバの IPv4 アドレスを指定します。

ステップ 7

mode {local|remote}

or

server server-name mode {local|remote}

 

Router(config-sbc-sbe-auth-ser)# mode local

RADIUS サーバでローカル着信認証を設定します。デフォルトでは、モードはリモートです。

ステップ 8

key password

 

Router(config-sbc-sbe-auth-ser)# key authpass1

 

認証サーバ キーを設定します。

ステップ 9

exit

 

Router(config-sbc-sbe-auth-ser)# exit

認証サーバを設定するモードを終了します。

ステップ 10

activate

 

Router(config-sbc-sbe-auth)# activate

RADIUS クライアントをアクティブ化します。

ステップ 11

exit

 

Router(config-sbc-sbe-auth)# exit

RADIUS クライアントを設定するモードを終了し、SBE モードを開始します。

ステップ 12

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip test

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 13

authentication-realm inbound realm

 

Router(config-sbc-sbe-adj-sip)# authentication-realm inbound cisco.com

指定された SIP 隣接の指定されたドメインに対する認証認定証のセットを設定します。

(注) これはローカル モードの必須パラメータです。

ステップ 14

authentication mode local

 

Router(config-sbc-sbe-adj-sip)# authentication mode local

SIP 隣接でローカル着信認証を設定します。SIP 隣接でリモート着信認証を設定するには、この値を remote に設定します。

ステップ 15

authentication nonce timeout time

 

Router(config-sbc-sbe-adj-sip)# authentication nonce timeout 10000

認証ナンス タイムアウトの値を秒単位で設定します。有効な値の範囲は 0 ~ 65535 秒です。デフォルト値は 300 秒です。

ステップ 16

exit

 
Router(config-sbc-sbe-adj-sip)# exit

adj-sip モードを終了し、SBE モードに戻ります。

show コマンドの例

Router# show sbc mySbc sbe adjacencies SipToIsp42 detail

SBC server mySbc
Adjacency SipToIsp42
Status: Attached
Signaling address: 10.2.0.122:5060
Signaling-peer: 200.200.200.179:8888
Force next hop: No
Account: core
Group: None
In Header Profile: Default
Out Header Profile: Default
In method profile: Default
Out method profile: Default
In UA option profile: Default
Out UA option profile: Default
In proxy option profile: Default
Priority set name: Default
Local-id: None
Rewrite REGISTER: Off
Target address: None
NAT Status: Auto-Detect
Reg-min-expiry: 3000 seconds
Fast-register: Enabled
Fast-register-int: 30 seconds
Authenticated mode: Local
Authenticated realm: Cisco.com
Authenticated nonce life time: 300 seconds
IMS visited NetID: NOne
Inherit profile: Default
Force next hop: No
Home network ID: None
UnEncrypt key data: None
SIPIpassthrough: No
Rewrite from domain: Yes
Rewrite to header: Yes
Media passthrough: No
Preferred transport: UDP
Hunting Triggers: Global Triggers
Redirect mode: Passthrough

SIP 認証の相互運用性

Cisco Unified Border Element(SP Edition)では、すべての SIP 要求の SIP 認証のために SIP デバイスとサードパーティのソフトスイッチ装置間の相互運用性がサポートされます。サポートされる相互運用性は dialog-creating INVITE 要求、および out-of-dialog REGISTER と SUBSCRIBE の要求にのみ適用されます。

INVITE 要求の SIP 認証の相互運用性のサポートが、Cisco IOS XE Release 2.5 で導入されました。Cisco Unified Border Element(SP Edition)は、インバンド要求メッセージ データを使用してアウトバウンド コール レッグに Call-ID、From および To のダイアログ タグ、CSeq シーケンス番号を生成する生成スキームを使用します。これにより、双方の一意性が確保され、他のチャレンジの結果として生成される要求に対して同じ値を保持します。

out-of-dialog 要求の SIP 認証の相互運用性のサポートが、Cisco IOS XE Release 2.6 で導入されました。INVITE 要求と同じ生成方式(インバウンド要求メッセージ データに基づく)が、out-of-dialog 要求にも実装されています。

Cisco Unified Border Element(SP Edition)は、次のように、INVITE の SIP 認証を処理するサードパーティ製のソフト スイッチ デバイスと相互運用されます。

許可された SIP 要求一致の Call-ID を初回要求の Call-ID と照合します。

許可された SIP 要求の To ヘッダーと From ヘッダーが、From ヘッダーのダイアログ タグを含め(該当する場合)、最初の要求の To ヘッダーと From ヘッダーに一致する必要があります。

許可された SIP の CSeq シーケンス番号は、最初の要求より大きい番号でなければなりません。

ここでは、次の項目について説明します。

「SIP 発信認証について」

「SIP 認証の相互運用性に関する情報」

SIP 認証の相互運用性に関する制約事項

Cisco Unified Border Element(SP Edition)で SIP 認証の相互運用性をサポートするために、次の制約事項が適用されます。

Cisco Unified Border Element(SP Edition)が次の相互運用性の要件を満たすのは、アップストリーム コール レッグから受信したシグナリングも同じ要件を満たす場合に限ります。

許可された SIP 要求一致の Call-ID を初回要求の Call-ID と照合します。

許可された SIP 要求の To ヘッダーと From ヘッダーが、From ヘッダーのダイアログ タグを含め(該当する場合)、最初の要求の To ヘッダーと From ヘッダーに一致する必要があります。

許可された SIP の CSeq シーケンス番号は、最初の要求より大きい番号でなければなりません。

Cisco Unified Border Element(SP Edition)は、受信したシグナリングの値のランダム性に依存しています。たとえば、発信側エンドポイントが十分にランダムではない値を生成すると、アウトバウンド コール レッグで SBC によって送信される値も十分にランダムではなくなります。ただし、SBC では、発信側によって生成される Call-ID と From タグからすべてのランダム性が使用され、さらにアップストリームとダウンストリームのシグナリング間での Call-ID とタグの衝突を回避するために処置が取られます。

特定の設定フィールドから Call-ID と To または From ヘッダー生成への入力が、最初の SIP 要求と、その隣接への後続の許可された SIP 要求の転送間に変更された場合は、2 つの要求のヘッダーは一致しません。これにより、ダウンストリーム シグナリング エンティティによってはコールの確立が失敗します。特に、次の点に注意してください。

隣接での local-id または signaling-address の設定は、Call-ID と From-tag の生成に影響を与えます。

ヘッダーの書き換え設定は、From ヘッダーと To ヘッダーに適用できます。相互運用性の要件を満たすには、この書き換えによって、連続する要求で同一の結果が生じる必要があります。

Cisco Unified Border Element(SP Edition)では、そのような設定変更を受け入れる前に、ユーザに警告が発行されません。

SIP 認証の相互運用性は、dialog-creating INVITE 要求と out-of-dialogue 要求に影響します。他のメソッドによる要求は影響を受けません。

相互運用性の要件を満たすには、最初の要求と許可された要求を異なる隣接からルーティングしないでください。

SIP 認証の相互運用性に関する情報

SIP 要求

SIP 要求は、単一のチャレンジまたは応答シーケンスの範囲内にあるメッセージを参照します。要求が受け入れられるまでにいくつかのシーケンスが存在する可能性がありますが、連続する要求の任意のペアのうち、最初のシーケンスが最初の要求と見なされ、2 番めのシーケンスが許可された要求と呼ばれます。

SIP 要求は、dialog-creating INVITE 要求と out-of-dialog 要求の両方を指します。

この章では SIP 要求について次の用語を使用します。

最初の要求:認証クレデンシャルが不十分な SIP 要求。「401 Unauthorized」または「407 Proxy Authentication Required」応答で認証要求されます。

許可された要求:401/407 チャレンジ応答の受信時に送信される、対応する後続の要求。この要求には、追加の許可またはプロキシ許可ヘッダーが含まれています。

Call-ID の生成

Cisco Unified Border Element(SP Edition)では、インバウンド要求の Call-ID と設定に基づいて、アウトバウンドの dialog-creating INVITE 要求と out-of-dialogue 要求の Call-ID 値が生成されます(REGISTERS や SUBSCRIBES など)。

生成される Call-ID 値は、受信した Call-ID の 32 文字の 16 進 MD5 ハッシュ、「@」文字、および SBC 自体を表す local-id ストリングで構成されます。

 
Call-ID: 4264330abc5106c8ab70ed3fd222b7b2@sbc.home.net

) local-id ストリングは、発信隣接の設定です。この設定が存在しない場合は、発信隣接の signaling-address の正規テキスト表現が使用されます。


From タグの生成

Cisco Unified Border Element(SP Edition)では、インバウンド要求の From タグと設定に基づいて、アウトバウンドの dialog-creating INVITE 要求と out-of-dialogue 要求の From ヘッダー ダイアログ タグが生成されます(REGISTERS や SUBSCRIBES など)。

生成される From タグ値は、SBC 自体を表す local-id ストリング、受信した From タグの 2 つの 8 文字の 16 進 MD5 ハッシュ、およびダイアログに関与する内部コンポーネントを識別する数値インデックスで構成されます。

 

From: "Fred" <sip:2222222@sbc.home.net>;tag=sbc.home.net+1+a27d9765+b7f0f7e1

 

local-id ストリングは、Call-ID の場合と同じ方法で設定から生成されます。

CSeq シーケンス番号の生成

Cisco Unified Border Element(SP Edition)は、受信したインバウンド要求のシーケンス番号と同じになるよう、アウトバウンドの dialog-creating INVITE 要求と out-of-dialogue 要求の CSeq ヘッダーで使用するためのシーケンス番号を選択します(REGISTERS や SUBSCRIBES など)。

Cisco Unified Border Element(SP Edition)は、ダイアログの現在のシーケンス番号を格納し、新しいトランザクションが作成されるたびに番号を増分することによって、同じダイアログでの後続のアウトバウンド要求のシーケンス番号を選択し続けます。

 
CSeq: 949005087 INVITE

パススルー認証

SBC では、認証確認とその応答のパススルーがサポートされます。これには設定は必要ありません。

SBC は、407 応答を通過させます。

SBC は必ずメッセージを変更し、これによって認証の整合性がなくなるため、チャレンジ応答では「auth-int」の Quality of Protection(QOP; 保護品質)は除去されます。これが提供される唯一の QOP である場合は、チャレンジは 403 Forbidden 戻りコードに変換されます。