Коллеги, подскажите пожалуйста, как можно ограничить доступ к конкретному диал-пиру? АЦЛом - почему-то нельзя... попробовал прикрутить aaa-лист:voice class aaa 100
authentication method VOIP-AUTHdial-peer voice 10 voip
permission orig
description inbound-sip-calls
huntstop
voice-class aaa 100
session protocol sipv2
incoming called-number .T
no vadНе отрабатывает....
Что можно придумать?
Посмотрите на возможность использование
ip source group & translate profile & carrier id.
>Посмотрите на возможность использование
>ip source group & translate profile & carrier id.ip source group - прикручивается только к ip circuit [carrier id], которая в свою очередь работает только на h323-секции voice service voip...
Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас понял...
PS А не пробовал ли кто возможность мачить URI? Его вроде тоже можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication method, voice-class aaa ? Как ее использовать?
Sorry, имелось ввиду voice source-group & profile:
http://www.cisco.com/en/US/docs/ios/voice/command/reference/...voice source-group <>
access-list <>
carrier-id target <>
translation-profile incoming <>
>Sorry, имелось ввиду voice source-group & profile:
>http://www.cisco.com/en/US/docs/ios/voice/command/reference/...
>
>voice source-group <>
> access-list <>
> carrier-id target <>
> translation-profile incoming <>Вы можете несколько конкретнее пример привести? Что-то я никак не соображу как его к сиповскому диалпиру приладить...
voice source-group test1
access-list 10
!carrier-id target <>
translation-profile incoming test2
!
voice translation-profile test2
translate called 20
!
Примероно так, translate-rule проверьте дополнительно,
возможно ошибки.voice translation-rule 20
rule 1 /^8107/ /0020#7/ type any unknown
rule 2 /^810/ /0020/ type any unknown
rule 3 /^82/ /00207496/ type any unknown
rule 4 /^8/ /00207/ type any unknown
rule 5 /^/ /00207495/ type any unknown
!
access-list 10 permit 10.10.10.10
!
dial-peer voice 10 voip
description inbound-sip-calls
huntstop
voice-class aaa 100
session protocol sipv2
incoming called-number 0020.T
no vad
max-con 20
dtmf-relay rtp-nte
!
>[оверквотинг удален]
>dial-peer voice 10 voip
>description inbound-sip-calls
>huntstop
>voice-class aaa 100
>session protocol sipv2
>incoming called-number 0020.T
>no vad
>max-con 20
>dtmf-relay rtp-nte
>!Спасибо большое за детальный пример... Вопрос, а какая функция у конструкции "carrier-id target"?
>[оверквотинг удален]
>dial-peer voice 10 voip
>description inbound-sip-calls
>huntstop
>voice-class aaa 100
>session protocol sipv2
>incoming called-number 0020.T
>no vad
>max-con 20
>dtmf-relay rtp-nte
>!Кстати, не очень понятно, когда начинает отрабатывать voice source-group test1, ведь он никак не привязан к диалпиру?!
Начинает работать по acees-list и далее изменение
called number и/или carrier-id. Приведённый пример добавляет префикс к номеру.
Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше
изменять dest carrir-id.
>Начинает работать по acees-list и далее изменение
>called number и/или carrier-id. Приведённый пример добавляет префикс к номеру.
>Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше
>изменять dest carrir-id.Прошу прощения, но понимаю так: voice translation-rule 20 привязан к voice translation-profile test2, который в свою очередь привязан к voice source-group test1.
Но эта группа не привязана никуда?! Как она начинает срабатывать? Большая просьба пояснить детальнее...
Для "попадания" используется стандартный access-list,
номер которого устанавливается в voice source-group.
>Для "попадания" используется стандартный access-list,
>номер которого устанавливается в voice source-group.У меня не получилась нормальная работа нескольких source-group которые бы срабатывали только по access-list (чтобы в дальнейшем добавлять разные префиксы)
>[оверквотинг удален]
>
>ip source group - прикручивается только к ip circuit [carrier id], которая
>в свою очередь работает только на h323-секции voice service voip...
>
>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас
>понял...
>
>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже
>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication
>method, voice-class aaa ? Как ее использовать?Dial-peer по URL нормально срабатывает.
Но в качестве защиты это слаб подходит - URL можно написать любой.
>[оверквотинг удален]
>>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас
>>понял...
>>
>>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже
>>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication
>>method, voice-class aaa ? Как ее использовать?
>
>Dial-peer по URL нормально срабатывает.
>Но в качестве защиты это слаб подходит - URL можно написать любой.
>Тогда что получается, что кроме сурс групп - ничего не подходит? Или есть еще какие варианты?
PS Просто странно, т.к. эта самая сурс группа, никак не привязана к диалприру, что вызывает сомнение ее работы...
>Тогда что получается, что кроме сурс групп -
>ничего не подходит? Или
>есть еще какие варианты?Application на диал-пир и уже в нем проверять source ip.
>>Тогда что получается, что кроме сурс групп -
>>ничего не подходит? Или
>>есть еще какие варианты?
>
>Application на диал-пир и уже в нем проверять source ip.Сорри, что voice xml скрипты я еще н осилил...
Так, что? Получается CISCO не умеет по source IP address маршрутизировать звонки?
Маршрутизировать звонки на Cisco можно на основе IP адреса используя voice source group.
Надо для каждой группы создать свой access-list с ip адресами источников и translation profile для подстановки префиксов.
voice source group будет вместо входящего dial-peer'a.
Дальше строим исходящие dial-peer'ы по префиксам.