Guía de configuración de controlador de la frontera de la sesión de los Cisco 7600 Series Router
Autenticación entrante del SORBO
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 196 KB | Inglés (28 Abril 2008) | Comentarios

Contenidos

Autenticación entrante del SORBO

Contenido

Requisitos previos para implementar la autenticación entrante SIP

Restricciones para implementar la autenticación entrante SIP

Información sobre la autenticación entrante del SORBO

Autenticación entrante local

Autenticación entrante remota

Interacción con la autenticación de salida

Modos de la falla para la autenticación entrante

Parámetros inaceptables

Rechazo del pedido de acceso

Memoria insuficiente

Ninguna coincidencia en el reino de la autenticación

Ninguna coincidencia en el nonce

Nonce medido el tiempo hacia fuera

Ningunos servidores de RADIUS aceptables

Cómo configurar la autenticación entrante del SORBO

Ejemplos de los comandos show


Autenticación entrante del SORBO


Los soportes del regulador de la frontera de la sesión (SBC) dos modos de autenticación entrante del Session Initiation Protocol (SIP) para desafiar el SORBO entrante piden: local y telecontrol. Usted debe seleccionar al modo de autenticación configurar el SBC según el nivel de soporte presente en los servidores del Remote Authentication Dial-In User Service (RADIUS). Si los servidores de RADIUS son obedientes con solamente draft-sterman-aaa-sip-00 a 01, después seleccione el modo local. Si los servidores de RADIUS son obedientes con solamente el RFC 4590, después utilice el modo de la autenticación remota.


Observeesta característica es opcional y usted puede configurar el SBC para no desafiar las peticiones entrantes.



Observepara la versión 3.0.00 SBC de ACE, esta característica se soporta en el modelo unificado solamente.


Ofrezca el historial para la autenticación entrante del SORBO

Versión
Modificación

Versión 3.0.00 SBC de ACE

Esta característica fue introducida en el Cisco 7600 Series Router junto con el soporte para el modelo unificado SBC.


Contenido

Este módulo contiene las secciones siguientes:

Requisitos previos para implementar la autenticación entrante SIP

Restricciones para implementar la autenticación entrante SIP

Información sobre la autenticación entrante del SORBO

Cómo configurar la autenticación entrante del SORBO

Ejemplos de los comandos show

Requisitos previos para implementar la autenticación entrante SIP

Los requisitos previos siguientes se requieren implementar la autenticación entrante SIP:

Configure una adyacencia del SORBO con el modo de autenticación previsto antes de que usted configure el SBC para autenticar las llamadas entrantes.

Configure al servidor de RADIUS para especificar qué modo de autenticación entrante se selecciona.

Restricciones para implementar la autenticación entrante SIP

Las restricciones y las limitaciones siguientes se aplican para implementar la autenticación entrante SIP:

El SBC soporta solamente un reino entrante de la autenticación por la adyacencia.

El SBC no marca la validez del nonces generada por un servidor de RADIUS; el servidor de RADIUS debe ser configurado para realizar este control.

El SBC no señala a un grupo de servidor de RADIUS determinado en una adyacencia para la autenticación entrante.

Puesto que la confianza-transferencia de las llamadas no ocurre entre la autenticación entrante, la autenticación de salida, y las conexiones del Transport Layer Security (TLS), una autenticación entrante acertada no se asegura de que el SBC marque la llamada como seguro ni implementa la autenticación de salida. Los usuarios pueden, sin embargo, configurar la autenticación entrante, la autenticación de salida, y TLS independientemente en la misma adyacencia.

Información sobre la autenticación entrante del SORBO

Esta sección contiene las siguientes subsecciones:

Autenticación entrante local

Autenticación entrante remota

Interacción con la autenticación de salida

Modos de la falla para la autenticación entrante

Autenticación entrante local

Cuando está configurado para realizar la autenticación entrante local, el SBC es responsable de desafiar una petición desautorizada del peer remoto primero. Por lo tanto, para poder desafiar la petición del peer remoto, la adyacencia se debe configurar ya con un reino de la autenticación. Después de que el peer remoto haya validado la petición, se remite al servidor de RADIUS, que entonces decide si permitir que la llamada pase a través o no.

Autenticación entrante remota

Cuando está configurado para realizar la autenticación entrante remota, el SBC confía en el servidor de RADIUS para desafiar una petición autorizada del peer remoto. El SBC adelante la petición del desafío generada por el servidor de RADIUS al peer remoto, y también adelante el pedido de autenticación del peer remoto al servidor de RADIUS.

Interacción con la autenticación de salida

Si una adyacencia se configura para la autenticación entrante, después después de que autentique con éxito una petición entrante, las encabezados de la autorización que corresponden con el reino para esa adyacencia se eliminan hacia fuera y no se propagan a la señal saliente. Las encabezados de la autorización para otros reinos, sin embargo, se pasan a través a la petición saliente.

Modos de la falla para la autenticación entrante

Cuando se configura la autenticación entrante, los modos de la falla siguientes pueden ocurrir (además de los modos estándar de la falla de señal del SORBO):

Parámetros inaceptables

Si el punto final o el servidor de RADIUS especifica una calidad del parámetro de la protección con excepción de auth o auth-int, entonces la petición entrante se rechaza y se genera una respuesta 403. Semejantemente, el SBC genera una respuesta 403 cuando los algoritmos con excepción del MD5 y el MD5-sess se utilizan.

Rechazo del pedido de acceso

Si el servidor de RADIUS rechaza la señal de pedido de acceso con una respuesta del Access-Reject, el SBC envía una respuesta 403 al punto final.

Memoria insuficiente

Si el SBC no tiene memoria suficiente para procesar un pedido de autenticación entrante, rechaza la petición y envía una respuesta 503.

Ninguna coincidencia en el reino de la autenticación

Si el par no devuelve ninguna encabezados de autenticación que especifiquen el reino de la autenticación contenido en la configuración de la adyacencia, después los rechallenges SBC la petición con la respuesta 401.

Ninguna coincidencia en el nonce

Si el nonce del par no hace juego el que está generado por el SBC, después el SBC rechaza el pedido de autenticación y envía una respuesta 403.

Nonce medido el tiempo hacia fuera

Si el nonce del par ha medido el tiempo hacia fuera, después el SBC desafía el nonce enviando una respuesta 401 y un nuevo nonce.

Ningunos servidores de RADIUS aceptables

Si no hay servidor de RADIUS para soportar un modo configurado en la adyacencia, después el SBC rechaza el pedido de autenticación con una respuesta 501 y crea un registro para alertar al usuario de la configuración contraria.

Cómo configurar la autenticación entrante del SORBO

Esta sección contiene los pasos para configurar la autenticación entrante local del SORBO un servidor de RADIUS.

PASOS SUMARIOS

1. configure

2. sbc service-name

3. sbe

4.autenticación de RADIUS

5. activate

6.servidor server-name

7. address

8.modo local

9. key password

10. exit

11. exit

12. adjacency sip adjacency-name

13. reino entrante del autenticación-reino

14. authentication mode local

15. authentication nonce timeout time

16. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure

Example:

host1/Admin# configure

Habilita el modo de configuración global.

Paso 2 

sbc service-name

Example:

host1/Admin(config)# sbc mysbc

Ingresa el modo de un servicio SBC.

Utilice service-name el argumento para definir el nombre del servicio.

Paso 3 

sbe

Example:

host1/Admin(config-sbc)# sbe

Ingresa el modo de la función del elemento de la frontera de la señalización (SBE) del SBC.

Paso 4 

radius authentication

Example:

host1/Admin(config-sbc-sbe)# radius authentica- tion

Ingresa el modo para configurar a un cliente RADIUS para los fines de autenticación.

Paso 5 

activate

Example:

host1/Admin(config-sbc-sbe-auth)# activate

Activa al cliente RADIUS.

Paso 6 

server server-name

Example:

host1/Admin(config-sbc-sbe-auth)#server authserv

Ingresa el modo para configurar el servidor de autenticación.

Paso 7 

address ipv4 ipv4-address

Example:

host1/Admin(config-sbc-sbe-auth-ser)# address ipv4 200.200.200.122

Especifica el direccionamiento del IPv4 del servidor de autenticación.

Paso 8 

mode local

Example:

host1/Admin(config-sbc-sbe-auth-ser)#mode local

Configura al servidor de RADIUS para la autenticación entrante local. Por abandono, el modo es remoto.

Paso 9 

key password

Example:

host1/Admin(config-sbc-sbe-auth-ser)# key authpass1


Fija la clave del servidor de autenticación.

Paso 10 

exit

Example:

host1/Admin(config-sbc-sbe-auth-ser)# exit

Da salida al modo para configurar el servidor de autenticación.

Paso 11 

exit

Example:

host1/Admin(config-sbc-sbe-auth)# exit

Da salida al modo para configurar al cliente RADIUS y ingresa el modo SBE.

Paso 12 

adjacency sip adjacency-name

Example:

host1/Admin(config-sbc-sbe)# adjacency sip test

Ingresa el modo de una adyacencia SBE SIP.

Utilice adjacency-name el argumento para definir el nombre del servicio.

Paso 13 

authentication-realm inbound realm

Example:

host1/Admin(config-sbc-sbe)# authentica- tion-realm inbound cisco.com

Configura un conjunto de los credenciales de autenticación para un dominio especificado en la adyacencia especificada del SORBO.

Observeesto es un parámetro obligatorio para el modo local.

Paso 14 

authentication mode local

Example:

host1/Admin(config-sbc-sbe-adj-sip)# authentication mode local

Configura la adyacencia del SORBO para la autenticación entrante local. Para configurar la adyacencia del SORBO, para la autenticación entrante remota, fijó el valor a remote.

Paso 15 

authentication nonce timeout time

Example:

host1/Admin(config-sbc-sbe-adj-sip)# authentication nonce timeout 10000

Configura el valor del descanso del nonce de la autenticación en los segundos. El rango de los valores aceptables es 0 a 65535 segundos. El valor predeterminado es 300 segundos.

Paso 16 

exit

Example:
host1/Admin(config-sbc-sbe-adj-sip)# exit

Sale el modo y las devoluciones del ADJ-sorbo al modo SBE.

Ejemplos de los comandos show

host1/Admin# show services sbc mySbc sbe adjacencies SipToIsp42 detail
SBC server mySbc
Adjacency SipToIsp42 
Status:  Attached
Signaling address: 10.2.0.122:5060
Signaling-peer:    200.200.200.179:8888
Force next hop:   No
Account:   core
Group:     None
In Header Profile:    Default
Out Header Profile:   Default
In method profile:    Default
Out method profile:   Default
In UA option profile: Default
Out UA option profile:   Default
In proxy option profile: Default
Priority set name:       Default
Local-id:             None
Rewrite REGISTER:     Off
Target address:       None
NAT Status:           Auto-Detect
Reg-min-expiry:       3000 seconds
Fast-register:        Enabled
Fast-register-int:    30 seconds
Authenticated mode:   Local
Authenticated realm:  Cisco.com
Authenticated nonce life time: 300 seconds
IMS visited NetID:    NOne
Inherit profile:      Default
Force next hop:       No
Home network ID:      None
UnEncrypt key data:   None
SIPIpassthrough:      No
Rewrite from domain:  Yes
Rewrite to header:    Yes
Media passthrough:    No
Preferred transport:  UDP
Hunting Triggers:     Global Triggers
Redirect mode:        Passthrough