Jump to content

Cisco as53xx. Защита VoIP интерфеса

Мартен
 Share

Recommended Posts

Мартен

Мартен

Posted
Posted

Доброе время суток!

Ситуация: есть циска 5350, шлюзует ВоИП трафик в ПОТС. Но, помимо этого, работает машрутизатором между несколькими виланами, соответственно, имеет много ip адресов на подинтерфесах.

VoIP SRC Interface привязан к Loopback'у.

Вопрос: как отучить заразу слушать порт 1720/tcp на всех физических интерфесах? как предотвратить соединения на 1720/tcp от нежелательных пользователей?

Сейчас решаю проблему так: на каджый физ. интерфейс вешаю ACL, который запрещает всем, кроме нужных клиентов, соединения с voip ip на циске. но при этом остается возможность позвонить на ip одного из подинтерфейсов. Звука не будет, но вызов пройдет... Это не есть гут...

--

Был совет высунуть loopback в отдельный VRF, между ним и другим loopback'ом роутера поднять туннель, на туннель повесить ACL. Но в такой схеме циска только смогла приземлить звонки, оригинация же не происходит хз почему..

Заранее спасибо за советы

ram_scan

ram_scan

Posted
Posted

Совет мимо, не запретишь... Я себе в свое время все мозги вдребезги этим делом разбил. Плюнул. Собсно ничего менять в конечном итоге и и не стал, нужда дополнительная заставила только гейткипер в прокси режиме воткнуть в это дело, и я кошака в конечном итоге за него спрятал, а от своих dot1q интерфейсов закрыл ACL'ями (благо их не шибко много). На гейткипере контролем доступа ситуацию и разруливаю. Все одно пока h323 сессия не начнется, rtp сессию стартовать нельзя, а начаться она может только при наличии регистрации точки на гейткипере, а регистрация или по логину/паролю, или по ip адресу. А левые пассажиры нехай на tcp/1720 коннектятся...

Мартен

Мартен

Posted
  • Author
Posted

В общем, функции маршрутизатора с нее надо снимать... Только пока в замен ничего нет...

А так вообще она неплохо рулит ip, netflow отдает, NAT делает, LLQ policy, GRE... Жалко деньги тратить на отдельный маршрутизатор, т.к. 53я запас ресурса имеет пока огого. Загрузка процессора средняя 20%. :(

Мартен

Мартен

Posted
  • Author
Posted

Да, надо добавить: с сипом такой засады нет, если привязываешь sip сервис к лупбэку, то сигнализация слушается только на лупбэке. Как и должно быть.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.