URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15724
[ Назад ]

Исходное сообщение
"dial-peer - как ограничить доступ"

Отправлено bda , 11-Мрт-08 02:01 
Коллеги, подскажите пожалуйста, как можно ограничить доступ к конкретному диал-пиру? АЦЛом - почему-то нельзя... попробовал прикрутить aaa-лист:

voice class aaa 100
authentication method VOIP-AUTH

dial-peer voice 10 voip
permission orig
description inbound-sip-calls
huntstop
voice-class aaa 100
session protocol sipv2
incoming called-number .T
no vad  

Не отрабатывает....

Что можно придумать?


Содержание

Сообщения в этом обсуждении
"dial-peer - как ограничить доступ"
Отправлено Alex. , 11-Мрт-08 11:23 
Посмотрите на возможность использование
ip source group & translate profile & carrier id.

"dial-peer - как ограничить доступ"
Отправлено bda , 11-Мрт-08 15:34 
>Посмотрите на возможность использование
>ip source group & translate profile & carrier id.

ip source group - прикручивается только к ip circuit [carrier id], которая в свою очередь работает только на h323-секции voice service voip...

Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас понял...

PS А не пробовал ли кто возможность мачить URI? Его вроде тоже можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication method, voice-class aaa ? Как ее использовать?


"dial-peer - как ограничить доступ"
Отправлено Alex. , 12-Мрт-08 11:29 
Sorry, имелось ввиду voice source-group & profile:
http://www.cisco.com/en/US/docs/ios/voice/command/reference/...

voice source-group <>
access-list <>
carrier-id target <>
translation-profile incoming <>


"dial-peer - как ограничить доступ"
Отправлено bda , 12-Мрт-08 23:45 
>Sorry, имелось ввиду voice source-group & profile:
>http://www.cisco.com/en/US/docs/ios/voice/command/reference/...
>
>voice source-group <>
> access-list <>
> carrier-id target <>
> translation-profile incoming <>

Вы можете несколько конкретнее пример привести? Что-то я никак не  соображу как его к сиповскому диалпиру приладить...


"dial-peer - как ограничить доступ"
Отправлено Alex. , 13-Мрт-08 12:16 
voice source-group test1
access-list 10
!carrier-id target <>
translation-profile incoming test2
!
voice translation-profile test2
translate called 20
!
Примероно так, translate-rule проверьте дополнительно,
возможно ошибки.

voice translation-rule 20
rule 1 /^8107/ /0020#7/ type any unknown
rule 2 /^810/ /0020/ type any unknown
rule 3 /^82/ /00207496/ type any unknown
rule 4 /^8/ /00207/ type any unknown
rule 5 /^/ /00207495/ type any unknown
!
access-list 10 permit 10.10.10.10
!
dial-peer voice 10 voip
description inbound-sip-calls
huntstop
voice-class aaa 100
session protocol sipv2
incoming called-number 0020.T
no vad  
max-con 20
dtmf-relay rtp-nte
!


"dial-peer - как ограничить доступ"
Отправлено bda_ext , 13-Мрт-08 16:36 
>[оверквотинг удален]
>dial-peer voice 10 voip
>description inbound-sip-calls
>huntstop
>voice-class aaa 100
>session protocol sipv2
>incoming called-number 0020.T
>no vad
>max-con 20
>dtmf-relay rtp-nte
>!

Спасибо большое за детальный пример... Вопрос, а какая функция у конструкции "carrier-id target"?



"dial-peer - как ограничить доступ"
Отправлено bda_ext , 13-Мрт-08 17:06 
>[оверквотинг удален]
>dial-peer voice 10 voip
>description inbound-sip-calls
>huntstop
>voice-class aaa 100
>session protocol sipv2
>incoming called-number 0020.T
>no vad
>max-con 20
>dtmf-relay rtp-nte
>!

Кстати, не очень понятно, когда начинает отрабатывать  voice source-group test1, ведь он никак не привязан к диалпиру?!


"dial-peer - как ограничить доступ"
Отправлено Alex. , 13-Мрт-08 20:01 
Начинает работать по acees-list и далее изменение
called number и/или carrier-id. Приведённый пример добавляет префикс к номеру.
Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше
изменять dest carrir-id.

"dial-peer - как ограничить доступ"
Отправлено bda , 13-Мрт-08 22:27 
>Начинает работать по acees-list и далее изменение
>called number и/или carrier-id. Приведённый пример добавляет префикс к номеру.
>Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше
>изменять dest carrir-id.

Прошу прощения, но понимаю так: voice translation-rule 20 привязан к voice translation-profile test2, который в свою очередь привязан к voice source-group test1.

Но эта группа не привязана никуда?! Как она начинает срабатывать? Большая просьба пояснить детальнее...


"dial-peer - как ограничить доступ"
Отправлено Alex. , 14-Мрт-08 11:53 
Для "попадания" используется стандартный access-list,
номер которого устанавливается в voice source-group.

"dial-peer - как ограничить доступ"
Отправлено Alexandr , 16-Мрт-08 15:45 
>Для "попадания" используется стандартный access-list,
>номер которого устанавливается в voice source-group.

У меня не получилась нормальная работа нескольких source-group которые бы срабатывали только по access-list (чтобы в дальнейшем добавлять разные префиксы)


"dial-peer - как ограничить доступ"
Отправлено Alexandr , 16-Мрт-08 15:42 
>[оверквотинг удален]
>
>ip source group - прикручивается только к ip circuit [carrier id], которая
>в свою очередь работает только на h323-секции voice service voip...
>
>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас
>понял...
>
>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже
>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication
>method, voice-class aaa ? Как ее использовать?

Dial-peer по URL нормально срабатывает.
Но в качестве защиты это слаб подходит - URL можно написать любой.


"dial-peer - как ограничить доступ"
Отправлено bda , 16-Мрт-08 18:26 
>[оверквотинг удален]
>>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас
>>понял...
>>
>>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже
>>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication
>>method, voice-class aaa ? Как ее использовать?
>
>Dial-peer по URL нормально срабатывает.
>Но в качестве защиты это слаб подходит - URL можно написать любой.
>

Тогда что получается, что кроме сурс групп - ничего не подходит? Или есть еще какие варианты?

PS Просто странно, т.к. эта самая сурс группа, никак не привязана к диалприру, что вызывает сомнение ее работы...


"dial-peer - как ограничить доступ"
Отправлено Ranger99 , 16-Мрт-08 19:43 
>Тогда что получается, что кроме сурс групп -
>ничего не подходит? Или
>есть еще какие варианты?

Application на диал-пир и уже в нем проверять source ip.


"dial-peer - как ограничить доступ"
Отправлено bda , 17-Мрт-08 00:07 
>>Тогда что получается, что кроме сурс групп -
>>ничего не подходит? Или
>>есть еще какие варианты?
>
>Application на диал-пир и уже в нем проверять source ip.

Сорри, что voice xml скрипты я еще н осилил...


"dial-peer - как ограничить доступ"
Отправлено Alexandr , 22-Мрт-08 20:48 
Так, что? Получается CISCO не умеет по source IP address маршрутизировать звонки?

"dial-peer - как ограничить доступ"
Отправлено Alexandr , 12-Май-08 21:41 
Маршрутизировать звонки на Cisco можно на основе IP адреса используя voice source group.
Надо для каждой группы создать свой access-list с ip адресами источников и translation profile для подстановки префиксов.
voice source group будет вместо входящего dial-peer'a.
Дальше строим исходящие dial-peer'ы по префиксам.