forum.opennet.ru - "dial-peer - как ограничить доступ" (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"dial-peer - как ограничить доступ"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"dial-peer - как ограничить доступ"
Сообщение от bda (ok) on 11-Мрт-08, 02:01
Коллеги, подскажите пожалуйста, как можно ограничить доступ к конкретному диал-пиру? АЦЛом - почему-то нельзя... попробовал прикрутить aaa-лист: voice class aaa 100 authentication method VOIP-AUTH dial-peer voice 10 voip permission orig description inbound-sip-calls huntstop voice-class aaa 100 session protocol sipv2 incoming called-number .T no vad Не отрабатывает.... Что можно придумать?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

dial-peer - как ограничить доступ, Alex., 11:23 , 11-Мрт-08, (1)

dial-peer - как ограничить доступ, bda, 15:34 , 11-Мрт-08, (2)

dial-peer - как ограничить доступ, Alex., 11:29 , 12-Мрт-08, (3)

dial-peer - как ограничить доступ, bda, 23:45 , 12-Мрт-08, (4)

dial-peer - как ограничить доступ, Alex., 12:16 , 13-Мрт-08, (5)

dial-peer - как ограничить доступ, bda_ext, 16:36 , 13-Мрт-08, (6)
dial-peer - как ограничить доступ, bda_ext, 17:06 , 13-Мрт-08, (7)

dial-peer - как ограничить доступ, Alex., 20:01 , 13-Мрт-08, (8)

dial-peer - как ограничить доступ, bda, 22:27 , 13-Мрт-08, (9)

dial-peer - как ограничить доступ, Alex., 11:53 , 14-Мрт-08, (10)

dial-peer - как ограничить доступ, Alexandr, 15:45 , 16-Мрт-08, (12)

dial-peer - как ограничить доступ, Alexandr, 15:42 , 16-Мрт-08, (11)

dial-peer - как ограничить доступ, bda, 18:26 , 16-Мрт-08, (13)

dial-peer - как ограничить доступ, Ranger99, 19:43 , 16-Мрт-08, (14)

dial-peer - как ограничить доступ, bda, 00:07 , 17-Мрт-08, (15)

dial-peer - как ограничить доступ, Alexandr, 20:48 , 22-Мрт-08, (16)

dial-peer - как ограничить доступ, Alexandr, 21:41 , 12-Май-08, (17)

Сообщения по теме [Сортировка по времени | RSS]

1. "dial-peer - как ограничить доступ"

Сообщение от Alex. on 11-Мрт-08, 11:23

Посмотрите на возможность использование
ip source group & translate profile & carrier id.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "dial-peer - как ограничить доступ"

Сообщение от bda (ok) on 11-Мрт-08, 15:34

>Посмотрите на возможность использование
>ip source group & translate profile & carrier id.
ip source group - прикручивается только к ip circuit [carrier id], которая в свою очередь работает только на h323-секции voice service voip...
Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас понял...
PS А не пробовал ли кто возможность мачить URI? Его вроде тоже можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication method, voice-class aaa ? Как ее использовать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "dial-peer - как ограничить доступ"

Сообщение от Alex. on 12-Мрт-08, 11:29

Sorry, имелось ввиду voice source-group & profile:
http://www.cisco.com/en/US/docs/ios/voice/command/reference/...
voice source-group <>
access-list <>
carrier-id target <>
translation-profile incoming <>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "dial-peer - как ограничить доступ"

Сообщение от bda (ok) on 12-Мрт-08, 23:45

>Sorry, имелось ввиду voice source-group & profile:
>http://www.cisco.com/en/US/docs/ios/voice/command/reference/...
>
>voice source-group <>
> access-list <>
> carrier-id target <>
> translation-profile incoming <>
Вы можете несколько конкретнее пример привести? Что-то я никак не  соображу как его к сиповскому диалпиру приладить...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "dial-peer - как ограничить доступ"

Сообщение от Alex. on 13-Мрт-08, 12:16

voice source-group test1
access-list 10
!carrier-id target <>
translation-profile incoming test2
!
voice translation-profile test2
translate called 20
!
Примероно так, translate-rule проверьте дополнительно,
возможно ошибки.
voice translation-rule 20
rule 1 /^8107/ /0020#7/ type any unknown
rule 2 /^810/ /0020/ type any unknown
rule 3 /^82/ /00207496/ type any unknown
rule 4 /^8/ /00207/ type any unknown
rule 5 /^/ /00207495/ type any unknown
!
access-list 10 permit 10.10.10.10
!
dial-peer voice 10 voip
description inbound-sip-calls
huntstop
voice-class aaa 100
session protocol sipv2
incoming called-number 0020.T
no vad
max-con 20
dtmf-relay rtp-nte
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "dial-peer - как ограничить доступ"

Сообщение от bda_ext on 13-Мрт-08, 16:36

>[оверквотинг удален]
>dial-peer voice 10 voip
>description inbound-sip-calls
>huntstop
>voice-class aaa 100
>session protocol sipv2
>incoming called-number 0020.T
>no vad
>max-con 20
>dtmf-relay rtp-nte
>!
Спасибо большое за детальный пример... Вопрос, а какая функция у конструкции "carrier-id target"?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "dial-peer - как ограничить доступ"

Сообщение от bda_ext on 13-Мрт-08, 17:06

>[оверквотинг удален]
>dial-peer voice 10 voip
>description inbound-sip-calls
>huntstop
>voice-class aaa 100
>session protocol sipv2
>incoming called-number 0020.T
>no vad
>max-con 20
>dtmf-relay rtp-nte
>!
Кстати, не очень понятно, когда начинает отрабатывать  voice source-group test1, ведь он никак не привязан к диалпиру?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "dial-peer - как ограничить доступ"

Сообщение от Alex. on 13-Мрт-08, 20:01

Начинает работать по acees-list и далее изменение
called number и/или carrier-id. Приведённый пример добавляет префикс к номеру.
Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше
изменять dest carrir-id.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "dial-peer - как ограничить доступ"

Сообщение от bda (ok) on 13-Мрт-08, 22:27

>Начинает работать по acees-list и далее изменение
>called number и/или carrier-id. Приведённый пример добавляет префикс к номеру.
>Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше
>изменять dest carrir-id.
Прошу прощения, но понимаю так: voice translation-rule 20 привязан к voice translation-profile test2, который в свою очередь привязан к voice source-group test1.
Но эта группа не привязана никуда?! Как она начинает срабатывать? Большая просьба пояснить детальнее...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "dial-peer - как ограничить доступ"

Сообщение от Alex. on 14-Мрт-08, 11:53

Для "попадания" используется стандартный access-list,
номер которого устанавливается в voice source-group.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "dial-peer - как ограничить доступ"

Сообщение от Alexandr (??) on 16-Мрт-08, 15:45

>Для "попадания" используется стандартный access-list,
>номер которого устанавливается в voice source-group.
У меня не получилась нормальная работа нескольких source-group которые бы срабатывали только по access-list (чтобы в дальнейшем добавлять разные префиксы)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "dial-peer - как ограничить доступ"

Сообщение от Alexandr (??) on 16-Мрт-08, 15:42

>[оверквотинг удален]
>
>ip source group - прикручивается только к ip circuit [carrier id], которая
>в свою очередь работает только на h323-секции voice service voip...
>
>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас
>понял...
>
>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже
>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication
>method, voice-class aaa ? Как ее использовать?
Dial-peer по URL нормально срабатывает.
Но в качестве защиты это слаб подходит - URL можно написать любой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "dial-peer - как ограничить доступ"

Сообщение от bda (ok) on 16-Мрт-08, 18:26

>[оверквотинг удален]
>>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас
>>понял...
>>
>>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже
>>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication
>>method, voice-class aaa ? Как ее использовать?
>
>Dial-peer по URL нормально срабатывает.
>Но в качестве защиты это слаб подходит - URL можно написать любой.
>
Тогда что получается, что кроме сурс групп - ничего не подходит? Или есть еще какие варианты?
PS Просто странно, т.к. эта самая сурс группа, никак не привязана к диалприру, что вызывает сомнение ее работы...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "dial-peer - как ограничить доступ"

Сообщение от Ranger99 (??) on 16-Мрт-08, 19:43

>Тогда что получается, что кроме сурс групп -
>ничего не подходит? Или
>есть еще какие варианты?
Application на диал-пир и уже в нем проверять source ip.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "dial-peer - как ограничить доступ"

Сообщение от bda (ok) on 17-Мрт-08, 00:07

>>Тогда что получается, что кроме сурс групп -
>>ничего не подходит? Или
>>есть еще какие варианты?
>
>Application на диал-пир и уже в нем проверять source ip.
Сорри, что voice xml скрипты я еще н осилил...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "dial-peer - как ограничить доступ"

Сообщение от Alexandr (??) on 22-Мрт-08, 20:48

Так, что? Получается CISCO не умеет по source IP address маршрутизировать звонки?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "dial-peer - как ограничить доступ"

Сообщение от Alexandr (??) on 12-Май-08, 21:41

Маршрутизировать звонки на Cisco можно на основе IP адреса используя voice source group.
Надо для каждой группы создать свой access-list с ip адресами источников и translation profile для подстановки префиксов.
voice source group будет вместо входящего dial-peer'a.
Дальше строим исходящие dial-peer'ы по префиксам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "dial-peer - как ограничить доступ"
Сообщение от Alex. on 11-Мрт-08, 11:23
Посмотрите на возможность использование ip source group & translate profile & carrier id.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "dial-peer - как ограничить доступ"
	Сообщение от bda (ok) on 11-Мрт-08, 15:34
	>Посмотрите на возможность использование >ip source group & translate profile & carrier id. ip source group - прикручивается только к ip circuit [carrier id], которая в свою очередь работает только на h323-секции voice service voip... Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас понял... PS А не пробовал ли кто возможность мачить URI? Его вроде тоже можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication method, voice-class aaa ? Как ее использовать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "dial-peer - как ограничить доступ"
	Сообщение от Alex. on 12-Мрт-08, 11:29
	Sorry, имелось ввиду voice source-group & profile: http://www.cisco.com/en/US/docs/ios/voice/command/reference/... voice source-group <> access-list <> carrier-id target <> translation-profile incoming <>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "dial-peer - как ограничить доступ"
	Сообщение от bda (ok) on 12-Мрт-08, 23:45
	>Sorry, имелось ввиду voice source-group & profile: >http://www.cisco.com/en/US/docs/ios/voice/command/reference/... > >voice source-group <> > access-list <> > carrier-id target <> > translation-profile incoming <> Вы можете несколько конкретнее пример привести? Что-то я никак не соображу как его к сиповскому диалпиру приладить...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "dial-peer - как ограничить доступ"
	Сообщение от Alex. on 13-Мрт-08, 12:16
	voice source-group test1 access-list 10 !carrier-id target <> translation-profile incoming test2 ! voice translation-profile test2 translate called 20 ! Примероно так, translate-rule проверьте дополнительно, возможно ошибки. voice translation-rule 20 rule 1 /^8107/ /0020#7/ type any unknown rule 2 /^810/ /0020/ type any unknown rule 3 /^82/ /00207496/ type any unknown rule 4 /^8/ /00207/ type any unknown rule 5 /^/ /00207495/ type any unknown ! access-list 10 permit 10.10.10.10 ! dial-peer voice 10 voip description inbound-sip-calls huntstop voice-class aaa 100 session protocol sipv2 incoming called-number 0020.T no vad max-con 20 dtmf-relay rtp-nte !
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "dial-peer - как ограничить доступ"
	Сообщение от bda_ext on 13-Мрт-08, 16:36
	>[оверквотинг удален] >dial-peer voice 10 voip >description inbound-sip-calls >huntstop >voice-class aaa 100 >session protocol sipv2 >incoming called-number 0020.T >no vad >max-con 20 >dtmf-relay rtp-nte >! Спасибо большое за детальный пример... Вопрос, а какая функция у конструкции "carrier-id target"?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "dial-peer - как ограничить доступ"
	Сообщение от bda_ext on 13-Мрт-08, 17:06
	>[оверквотинг удален] >dial-peer voice 10 voip >description inbound-sip-calls >huntstop >voice-class aaa 100 >session protocol sipv2 >incoming called-number 0020.T >no vad >max-con 20 >dtmf-relay rtp-nte >! Кстати, не очень понятно, когда начинает отрабатывать voice source-group test1, ведь он никак не привязан к диалпиру?!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "dial-peer - как ограничить доступ"
	Сообщение от Alex. on 13-Мрт-08, 20:01
	Начинает работать по acees-list и далее изменение called number и/или carrier-id. Приведённый пример добавляет префикс к номеру. Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше изменять dest carrir-id.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "dial-peer - как ограничить доступ"
	Сообщение от bda (ok) on 13-Мрт-08, 22:27
	>Начинает работать по acees-list и далее изменение >called number и/или carrier-id. Приведённый пример добавляет префикс к номеру. >Так удобнее делать на 5350, где смешаны voip/pots. Для ip2ip лучше >изменять dest carrir-id. Прошу прощения, но понимаю так: voice translation-rule 20 привязан к voice translation-profile test2, который в свою очередь привязан к voice source-group test1. Но эта группа не привязана никуда?! Как она начинает срабатывать? Большая просьба пояснить детальнее...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "dial-peer - как ограничить доступ"
	Сообщение от Alex. on 14-Мрт-08, 11:53
	Для "попадания" используется стандартный access-list, номер которого устанавливается в voice source-group.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "dial-peer - как ограничить доступ"
	Сообщение от Alexandr (??) on 16-Мрт-08, 15:45
	>Для "попадания" используется стандартный access-list, >номер которого устанавливается в voice source-group. У меня не получилась нормальная работа нескольких source-group которые бы срабатывали только по access-list (чтобы в дальнейшем добавлять разные префиксы)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "dial-peer - как ограничить доступ"
	Сообщение от Alexandr (??) on 16-Мрт-08, 15:42
	>[оверквотинг удален] > >ip source group - прикручивается только к ip circuit [carrier id], которая >в свою очередь работает только на h323-секции voice service voip... > >Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас >понял... > >PS А не пробовал ли кто возможность мачить URI? Его вроде тоже >можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication >method, voice-class aaa ? Как ее использовать? Dial-peer по URL нормально срабатывает. Но в качестве защиты это слаб подходит - URL можно написать любой.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "dial-peer - как ограничить доступ"
	Сообщение от bda (ok) on 16-Мрт-08, 18:26
	>[оверквотинг удален] >>Неужели никак закрыть диал-пир невозможно? Поправьте меня, пожалуйста, если не верно вас >>понял... >> >>PS А не пробовал ли кто возможность мачить URI? Его вроде тоже >>можно вешать на диалпирах? Да и вообще, зачем существкет возможность authentication >>method, voice-class aaa ? Как ее использовать? > >Dial-peer по URL нормально срабатывает. >Но в качестве защиты это слаб подходит - URL можно написать любой. > Тогда что получается, что кроме сурс групп - ничего не подходит? Или есть еще какие варианты? PS Просто странно, т.к. эта самая сурс группа, никак не привязана к диалприру, что вызывает сомнение ее работы...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "dial-peer - как ограничить доступ"
	Сообщение от Ranger99 (??) on 16-Мрт-08, 19:43
	>Тогда что получается, что кроме сурс групп - >ничего не подходит? Или >есть еще какие варианты? Application на диал-пир и уже в нем проверять source ip.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "dial-peer - как ограничить доступ"
	Сообщение от bda (ok) on 17-Мрт-08, 00:07
	>>Тогда что получается, что кроме сурс групп - >>ничего не подходит? Или >>есть еще какие варианты? > >Application на диал-пир и уже в нем проверять source ip. Сорри, что voice xml скрипты я еще н осилил...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "dial-peer - как ограничить доступ"
	Сообщение от Alexandr (??) on 22-Мрт-08, 20:48
	Так, что? Получается CISCO не умеет по source IP address маршрутизировать звонки?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "dial-peer - как ограничить доступ"
	Сообщение от Alexandr (??) on 12-Май-08, 21:41
	Маршрутизировать звонки на Cisco можно на основе IP адреса используя voice source group. Надо для каждой группы создать свой access-list с ip адресами источников и translation profile для подстановки префиксов. voice source group будет вместо входящего dial-peer'a. Дальше строим исходящие dial-peer'ы по префиксам.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]