Resolución de problemas de fallo de medios para llamadas a través de Expressway cuando se activa la inspección SIP

Opciones de descarga

  • PDF     (171.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (168.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (122.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de abril de 2019
ID del documento:214282

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo deshabilitar la inspección del protocolo de inicio de sesión (SIP) en los firewalls Adaptive Security Appliance (ASA).

    Antecedentes

    El propósito de la inspección de SIP es proporcionar la traducción de direcciones en el encabezado y cuerpo de SIP para permitir la apertura dinámica de puertos en el momento de la señalización SIP. La inspección SIP es una capa adicional de protección que no expone las IP internas a la red externa cuando realiza llamadas desde dentro de la red a Internet. Por ejemplo, en una llamada de empresa a empresa desde un dispositivo registrado a Cisco Unified Communications Manager (CUCM) a través de Expressway-C y a Expressway-E marcando un dominio diferente, esa dirección IP privada en el encabezado SIP se traduce a la IP del firewall. Pueden surgir muchos síntomas con ASA que inspeccionan la señalización SIP, crean fallos de llamadas y audio o vídeo unidireccional. 

    Fallo de medios para llamadas a través de Expressway cuando se activa la inspección SIP

    Para que la parte que llama pueda decidir a dónde enviar los medios, envía lo que espera recibir en un protocolo de descripción de sesión (SDP) en el momento de la negociación SIP para audio y vídeo. En un escenario de oferta anticipada, envía medios basados en lo que recibió en 200 OK, como se muestra en la imagen.

    Cuando una ASA enciende la inspección de SIP, el ASA inserta su dirección IP en el parámetro c de la SDP (información de conexión para devolver llamadas a) o en el encabezado SIP. A continuación se muestra un ejemplo de cómo se ve una llamada fallida cuando se activa la inspección SIP:

    SIP INVITE:

    |INVITE sip:7777777@domain SIP/2.0

    Via: SIP/2.0/TCP *EP IP*:5060

    Call-ID: faece8b2178da3bb

    CSeq: 100 INVITE

    Contact: <sip:User@domain;

    From: "User" <sip:User@domain >;tag=074200d824ee88dd

    To: <sip:7777777@domain>

    Max-Forwards: 15

    Allow: INVITE,ACK,CANCEL,BYE,INFO,OPTIONS,REFER,NOTIFY

    User-Agent: TANDBERG/775 (MCX 4.8.12.18951) - Windows

    Supported: replaces,timer,gruu

    Session-Expires: 1800

    Content-Type: application/sdp

    Content-Length: 1961

    Aquí el firewall inserta su propia dirección IP pública y reemplaza el dominio en el encabezado del mensaje de reconocimiento (ACK):

    SIP ACK:

    |ACK sip:7777777@*Firewall IP 5062;transport=tcp SIP/2.0

    Via: SIP/2.0/TLS +Far End IP*:7001

    Call-ID: faece8b2178da3bb

    CSeq: 100 ACK

    From: "User" <sip:User@domain>;tag=074200d824ee88dd

    To: <sip:7778400@domain>;tag=1837386~f30f6167-11a6-4211-aed0-632da1f33f58-61124999

    Max-Forwards: 68

    Allow: INVITE,ACK,CANCEL,BYE,INFO,OPTIONS,REFER,NOTIFY

    User-Agent: TANDBERG/775 (MCX 4.8.12.18951) - Windows

    Supported: replaces,100rel,timer,gruu

    Content-Length: 0

    Si la dirección IP pública del firewall se inserta en cualquier lugar dentro de este proceso de señalización SIP, las llamadas fallan. Tampoco puede haber ningún ACK enviado de vuelta desde el Cliente de agente de usuario si se activa la inspección SIP, lo que da como resultado una falla de llamada.

    Solución

    Para inhabilitar la inspección SIP en un firewall ASA:

    Paso 1. Inicie sesión en la CLI del ASA.

    Paso 2. Ejecute el comando show run policy-map.

    Paso 3. Verifique que inspect sip esté en la lista de políticas globales del mapa de políticas como se muestra en la imagen.


    Paso 4. Si es así, ejecute estos comandos:

    CubeASA1# policy-map global_policy

    CubeASA1# class inspection_default

    CubeASA1# sin inspección sip

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Michael Kazour
      Cisco TAC Engineer
    • Michael Pearson
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos