この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Unified CME で電話料金詐欺防止を設定するための前提条件は次のとおりです。
Cisco Unified CME 8.1 以降のバージョン。
Cisco IOS リリース 15.1(2)T。
Unified CME 12.6 以降のバージョン。
Cisco IOS XE Gibraltar リリース 16.11.1a 以降。
Unified CME リリース 12.6 では、Unified CME の SIP 回線側でセキュリティを強化することにより、既存の電話不正使用防止機能が強化されています。 この機能強化により、SIP 回線側の権限のないユーザによる潜在的な通話料金詐欺から Unified CME システムが保護されます。
SIP 回線を介した安全な通話を実現する Unified CME の Toll Fraud Prevention の主な機能は次のとおりです。
SIP 回線からのすべての REGISTER メッセージが処理されます。
セカンダリ CME が有効な場合、SIP 回線からの REFER メッセージはプライマリ CME でのみ処理されます (Refer-To: urn:X-cisco-remotecc:token-registration)。
エンドポイントから Unified CME にトリガーされるすべての SIP 回線メッセージが認証されます。
エンドポイントの IP アドレスが IP アドレス信頼リストに含まれていない場合、通話は Unified CME 経由で行われません。
Unified CME 12.6 以降の電話料金詐欺防止の詳細については、 Unified CME の SIP 回線側における通話料詐欺防止 を参照してください。
 (注) |
Unified CME 8.1 ~ 12.5 リリースでは、通話料金詐欺防止は SIP トランク経由の通話のセキュリティ保護のみに制限されていました。 SIP トランク経由の通話料金詐欺防止の詳細については、通話料金詐欺防止のための信頼できる IP アドレス リストの構成を参照してください。 |
Unified CME 12.6 は、Unified CME の SIP 回線側に対してセキュリティと通話料詐欺防止を強化します。 IP アドレス信頼認証 構成は、回線側からの不正な呼び出しをブロックします。 したがって、通話料金詐欺防止機能は、回線側の不正ユーザから Unified CME 12.6 以降を保護します。
Unified CME 12.6 での通話料金詐欺防止の設定の一環として、すべての回線側エンドポイントを Unified CME に登録する必要があります。 Unified CME 12.6 の通話料金詐欺防止の設定は以下のとおりです。
CLI コマンド ip address trusted authentication は、Unified CME ではデフォルトで有効になっています。 このコマンドは、Unified CME システムでセキュリティが有効になっていることを確認します。
次のように、 iptrust-list 設定モードで信頼できる電話機の IP アドレスまたはサブネットを入力することにより、Unified CME エンドポイントを信頼できるものとして手動で設定できます。
Router (conf-voi-serv)#ip address trusted list
Router(cfg-iptrust-list)#ipv4 192.168.10.11
次のようにして、Unified CME エンドポイントの手動で追加された IP アドレスを確認できます。
Router(cfg-iptrust-list)#do show run | s voice service voip
voice service voip
ip address trusted list
ipv4 192.168.10.30
ipv4 192.168.10.31
ipv4 192.168.10.32
ipv4 192.168.10.33
media bulk-stats
CLI コマンド ip address trusted list は、登録されているすべてのディレクトリ番号からの着信呼の IP アドレスを一覧表示します。 このコマンドは、 voice service voip 設定モードで設定されます。
show ip address trusted list CLI コマンドは、信頼できる IP アドレスのリストを表示します。 信頼できる IP アドレスは次のリストに表示されます。
ダイヤル ピア (トランク側のみに適用): ダイヤル ピア設定モードで設定されている電話機の IP アドレスの詳細を提供します。
構成された IP アドレスの信頼リスト: 信頼されている手動で構成された IP アドレスの詳細を提供します。
動的 IP アドレス信頼リスト: 登録された電話の IP アドレスの詳細を提供します。 このリストは、Unified CME 12.6 リリースで導入されました。
サーバ グループ: サーバ グループ設定モードで設定されている電話機の IP アドレスの詳細を提供します。
Router>enable
Router#show ip address trusted list
IP Address Trusted Authentication
Administration State: UP
Operation State: UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 and IPv6 Session Targets:
Peer Tag Oper State Session Target
-------- ---------- --------------
4 UP ipv4:10.65.125.155
Configured IP Address Trusted List:
ipv4 192.168.20.1
ipv4 192.168.20.2 255.255.0.0
ipv4 192.168.20.3 255.255.0.0
ipv4 192.168.20.4 255.255.255.0
Dynamic IP Address Trusted List:
IP Address Subnet Mask Count Reason
--------------------------------- ------------ ----- ----------------
ipv4:8.55.22.36 1 Phone Registered
ipv4:192.168.10.12 2 Phone Registered
ipv6:2001:420:54FF:13::312:0 119 1 Phone Registered
ipv4:8.55.22.15 1 Phone Registered
CLI コマンド ip address trusted list は、Unified CME 上のすべての信頼できる IP 電話の IP アドレスに関する情報を提供します。 Unified CME 上の特定の IP 電話に固有の情報については、CLI コマンド show ip address trusted check を使用します。
Router#show ip address trusted check 8.55.0.139
ip[8.55.0.139] authentication is FAILED!
Router#show ip address trusted check 8.55.0.136
ip[8.55.0.136] authenticate is PASSED by dynamic TrustList
CLI コマンド silent-discard untrusted は、sip 設定モードで、信頼できないソースからの SIP 要求を破棄します。 このコマンドは、Unified CME ではデフォルトで有効になっています。
Unified CME 12.6 バージョンにアップグレードする場合、通話料金詐欺防止をサポートするための追加の設定を実行する必要はありません。 Unified CME で手動で設定された、または自動登録されたすべてのエンドポイントは、Unified CME IP アドレス信頼リストに追加されます。 信頼できる IP アドレスのリストは、CLI コマンド show ip address trusted list の出力で確認できます。
IP アドレスの信頼認証プロセスは、不正な通話をブロックし、不正なユーザによる潜在的な通話詐欺から Unified CME システムを保護します。 Unified CME では、 IP アドレス信頼認証 がデフォルトで有効になっています。 IP アドレス信頼認証が有効になっている場合、Unified CME は、着信 VoIP コールのリモート IP アドレスがシステムの IP address trusted list から正常に検証された場合にのみ、着信 VoIP(SIP/H.323)コールを受け入れます 。 IP アドレスの信頼認証が失敗した場合、着信 VoIP 通話はアプリケーションによってユーザー定義の原因コードで切断され、新しいアプリケーションの内部エラーコード 31 のメッセージ(TOLL_FRAUD_CALL_BLOCK)が記録されます。 構成情報については、着信 VoIP 通話の IP アドレス信頼認証を構成するを参照してください。
Unified CME は、着信 VoIP コールのリモート IP アドレスを検証するための IP address trusted list を維持します。 Unified CME は、信頼できる IP アドレスを IP address trusted list に自動的に追加するために、VoIP ダイヤルピアの IPv4 セッション ターゲットを保存します。IPv4 セッション ターゲットは、動作中の VoIP ダイヤルピアのステータスが「UP」の場合にのみ、信頼できる IP アドレスとして識別されます。 信頼できる IP アドレス リストには最大 100 個の IPv4 アドレスを定義できます。 信頼できる IP アドレス リストでは重複する IP アドレスは許可されません。 着信 VOIP 通話用に最大 100 個の信頼できる IP アドレスを手動で追加できます。 信頼できる IP アドレスを手動で追加する方法の詳細については、着信 VoIP 通話用の有効な IP アドレスを追加するを参照してください。
IP アドレスの信頼された認証の失敗の結果として通話がブロックされると、通話詳細レコード (CDR) 履歴レコードが生成されます。 新しい音声内部エラー コード (IEC) が CDR 履歴レコードに保存されます。 「voice iec syslog」オプションが有効になっている場合、音声 IEC エラー メッセージは syslog に記録されます。 以下は、IEC の通話料金詐欺の通話拒否の syslog 表示です。
*Aug 14 19:54:32.507: %VOICE_IEC-3-GW: Application Framework Core: Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on callID 3 GUID=AE5066C5883E11DE8026A96657501A09Unified CME が「ゲートウェイ」で定義され、「セッション ターゲット ras」を持つ VoIP ダイヤルピアが稼働中の UP ステータスにある場合は、 IP アドレス信頼リスト の認証を一時停止する必要があります。 着信 VoIP 通話ルーティングはゲートキーパーによって制御されます。表 1 に、さまざまなトリガー条件における管理状態と運用状態を示します。
|
トリガー条件 |
管理状態 |
操作状態 |
|---|---|---|
|
IP アドレス信頼認証 が有効になっている場合。 |
ダウン |
ダウン |
|
「ゲートウェイ」が定義され、セッションターゲットとして「ras」を持つ VoIP ダイヤルピアが「アップ」動作状態にある場合 |
アップ |
ダウン |
|
ip address trusted authenticate が有効で、「ゲートウェイ」が定義されていないか、セッションターゲットとして「RAS」を持つ VoIP ダイヤルピアが「アップ」動作状態になっていない場合 |
アップ |
アップ |
(注) |
潜在的な通話料詐欺の脅威を回避するために、Out-of-dialog REFER (OOD-R) を有効にする前に SIP 認証を有効にすることをお勧めします。 |
Cisco Unified CME 8.1 以降のバージョンでは、着信 ISDN コールの不正通話を防止するために direct-inward-dial isdn 機能が有効になっています。 選択した着信一般電話サービス (POTS) ダイヤルピアから direct-inward-dial オプションが無効になっている場合でも、着信 ISDN 一括ダイヤル呼び出しの着信番号は、発信ダイヤルピアとの照合に使用されます。 発信コールのセットアップに対して発信ダイヤルピアが選択されていない場合、着信 ISDN コールは原因コード「未割り当て番号 (1)」で切断されます。 設定情報については、 着信 ISDN 通話のダイレクトインダイヤルを設定する を参照してください。
Cisco Unified CME 8.1 以降のバージョンでは、一致する着信音声ダイヤルピアが選択されていない場合、不正な ISDN コールが切断されます。 Cisco Unified CME および音声ゲートウェイは、着信ダイヤルピアが選択されていない場合に、デフォルトの POTS ダイヤルピアの動作(2 段階ダイヤリング サービスを含む)を回避するために、 dial-peer no-match disconnect-cause コマンドを使用して着信 ISDN コールを切断します。
Cisco Unified CME 8.1 以降のバージョンでは、アナログまたはデジタル FXO ポートがオフフックになり、音声ポートから Private Line Automatic Ringdown(PLAR)接続が設定されていない場合に開始される 2 段階ダイヤリング サービスをブロックします。 その結果、着信アナログまたはデジタル FXO 呼び出しに対して発信ダイヤルピアは選択されず、ダイヤルされた数字は FXO 呼び出しから収集されません。 Cisco Unified CME および音声ゲートウェイは、原因コード「unassigned-number (1)」で FXO コールを切断します。 Cisco Unified CME は、FXO 音声ポートからデフォルトで no secondary dialtone コマンドを使用して、アナログまたはデジタル FXO ポート上の 2 段階ダイヤリング サービスをブロックします。 アナログおよびデジタル FXO ポートでの 2 段階ダイヤリングサービスのブロックの詳細については、アナログおよびデジタル FXO ポートのセカンダリ ダイヤル トーンをブロックするを参照してください。
制約事項 |
|
SIP 回線通話の場合は、Unified CME 12.6 以降のバージョン。
セキュアなトランクコールのための Unified CME 8.1 以降のバージョン。
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
有効化 例: |
特権 EXEC モードを有効にします。
|
||
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードに入ります。 |
||
|
ステップ 3 |
音声サービス VoIP 例: |
音声サービス VoIP 設定モードに入ります。 |
||
|
ステップ 4 |
ip address trusted authenticate 例: |
通話料詐欺防止をサポートするために、着信 H.323 または SIP トランク通話で IP アドレス認証を有効にします。 IP アドレス信頼リスト認証はデフォルトで有効になっています。 IP アドレス信頼リスト認証を無効にするには、「no ip address trusted list authenticate 」コマンドを使用します。 |
||
|
ステップ 5 |
ip-address trusted call-block cause code 例: |
IP アドレスの信頼済み認証への着信コールが拒否された場合に原因コードを発行します。
|
||
|
ステップ 6 |
end 例: |
特権 EXEC モードに戻ります。 |
||
|
ステップ 7 |
show ip address trusted list 例: |
着信 H.323 または SIP トランクコールの有効な IP アドレスのリストを確認し、着信コールを拒否する場合はコールブロックの原因を指定します。 |
ルータ #show ip address trusted list
IP Address Trusted Authentication
Administration State: UP
Operation State: UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 and IPv6 Session Targets:
Peer Tag Oper State Session Target
-------- ---------- --------------
4 UP ipv4:10.65.125.155
Configured IP Address Trusted List:
ipv4 192.168.10.20
ipv4 192.168.10.21
ipv4 192.168.10.22
Dynamic IP Address Trusted List:
ipv4 8.55.0.134 [1]
ipv4 8.55.0.136 [2]
ipv4 8.55.0.213 [1]
安全なトランク通話をサポートする Unified CME 8.1 以降。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
有効化 例: |
特権 EXEC モードを有効にします。
|
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードに入ります。 |
|
ステップ 3 |
音声サービス VoIP 例: |
音声サービス VoIP 設定モードに入ります。 |
|
ステップ 4 |
IP アドレス信頼リスト 例: |
IP アドレス信頼リスト モードに入り、有効な IP アドレスを手動で追加できるようになります。 |
|
ステップ 5 |
ipv4 { <ipv4 address > [ <network mask >] } 例: |
IP アドレス信頼リスト に最大 100 個の IPv4 アドレスを追加できます。 IP アドレス信頼リストでは重複した IP アドレスは許可されません。
|
|
ステップ 6 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 7 |
show ip address trusted list 例: |
着信 H.323 または SIP トランク通話の有効な IP アドレスのリストを表示します。 |
次の例は、信頼できる IP アドレスとして設定された 3 つの IP アドレスを示しています。
Router#IP アドレスの信頼リストを表示
IP Address Trusted Authentication
Administration State: UP
Operation State: UP
IP Address Trusted Call Block Cause: call-reject (21)
IP Address Trusted List:
ipv4 192.168.10.20
ipv4 192.168.10.21
ipv4 192.168.10.22着信 ISDN オーバーラップ ダイヤリング コールでは、直通ダイヤル ISDN はサポートされません。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
有効化 例: |
特権 EXEC モードを有効にします。
|
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードに入ります。 |
|
ステップ 3 |
voice service pots 例: |
音声電話サービス カプセル化タイプ (POTS) を使用して音声サービス設定モードに入ります。 |
|
ステップ 4 |
direct-inward-dial isdn 例: |
着信 ISDN 番号のダイレクトインダイヤル (DID) を有効にします。 着信 ISDN (一括ダイヤル) 通話は、数字が DID トランクから受信された場合と同じように処理されます。 呼び出し番号は発信ダイヤルピアを選択するために使用されます。 発信者にはダイヤルトーンは表示されません。 |
|
ステップ 5 |
exit 例: |
音声サービス POTS 設定モードを終了します。 |
!
voice service voip
ip address trusted list
ipv4 172.19.245.1
ipv4 172.19.247.1
ipv4 172.19.243.1
ipv4 171.19.245.1
ipv4 171.19.10.1
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
supplementary-service media-renegotiate
sip
registrar server expires max 120 min 120
!
!
dial-peer voice 1 voip
destination-pattern 5511...
session protocol sipv2
session target ipv4:1.3.45.1
incoming called-number 5522...
direct-inward-dial
dtmf-relay sip-notify
codec g711ulaw
!
dial-peer voice 100 pots
destination-pattern 91...
incoming called-number 2...
forward-digits 4
!| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
有効化 例: |
特権 EXEC モードを有効にします。
|
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードに入ります。 |
|
ステップ 3 |
音声ポート 例: |
音声ポート設定モードを開始します。
|
|
ステップ 4 |
no secondary dialtone 例: |
アナログおよびデジタル FXO ポートのセカンダリ ダイヤルトーンをブロックします。 |
|
ステップ 5 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 6 |
show run 例: |
特定の音声ポートでセカンダリ ダイヤル トーンが無効になっていることを確認します。 |
Router# conf t
Router(config)#voice-p 2/0/0
Router(config-voiceport)# no secondary dialtone
!
endRouter# show run | sec voice-port 2/0/0
Foreign Exchange Office 2/0/0 Slot is 2, Sub-unit is 0, Port is 0
Type of VoicePort is FXO
Operation State is DORMANT
Administrative State is UP
...
Secondary dialtone is disabled着信 VOIP 通話が IP アドレス信頼認証によって拒否されると、特定の内部エラー コード (IEC) 1.1.228.3.31.0 が通話履歴レコードに保存されます。 IEC サポートを使用して、失敗した通話または拒否された通話を監視できます。 拒否された通話を監視するには、次の手順に従います。
|
ステップ 1 |
IEC コードのテキスト説明を検索するには、 show voice iec description コマンドを使用します。 例: |
|
ステップ 2 |
voice statistics type iec コマンドを使用して、IEC 統計情報を表示します。 以下の例は、不正通話拒否エラー コードにより 2 件の通話が拒否されたことを示しています。 例: |
|
ステップ 3 |
IEC エラーのある通話が解放されたときに記録される syslog メッセージを確認するには、 enable IEC syslog コマンドを使用します。 例: |
|
ステップ 4 |
show call history voice last コマンドを使用して、着信 VOIP 通話の送信元アドレスを確認します。 例: |
|
ステップ 5 |
IEC は Radius Accounting Stop レコードの VSA に保存されます。 外部 RADIUS サーバを使用して拒否された通話を監視します。 例: |
|
ステップ 6 |
cCallHistoryIec MIB オブジェクトから IEC の詳細を取得します。 IEC の詳細については、以下を参照してください。 Cisco IOS 音声トラブルシューティングおよびモニタリング ガイド 例: |
次の表は、このモジュールで説明されている機能に関するリリース情報を示しています。 この表には、特定のソフトウェア リリース トレインで特定の機能のサポートを導入したソフトウェア リリースのみが記載されています。 特に明記されていない限り、そのソフトウェア リリース トレインの後続リリースでもその機能がサポートされます。
Cisco Feature Navigator を使用して、プラットフォームのサポートと Cisco ソフトウェア イメージのサポートに関する情報を検索します。 Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/に進みます。 Cisco.com のアカウントは必要ありません。|
機能名 |
Cisco Unified CME バージョン |
機能情報 |
|---|---|---|
|
Unified CME のラインサイドによる通話料詐欺防止 |
12.6 |
Unified CME の回線側エンドポイントに対する通話料詐欺防止サポートを導入しました。 |
|
Cisco Unified CME における通話料詐欺防止 |
8.1 |
通話料詐欺防止機能のサポートを導入しました。 |
フィードバック