目录
简介
先决条件
要求
使用的组件
规则
在15.1(2)T以前的行为
在15.1(2)T和之后的版本的行为
如何TOLLFRAUD_APP阻塞您的呼叫如何识别
如何返回到Pre−15.1(2)T行为
简介
新特性在CiscoIOS软件版本15.1(2)T介绍防护装置防御toll−fraud的发生在语音网关(VGWs)的安装与CiscoIOS。开始与IOS根据此版本和新的版本IOS的15.1(2)T,toll−fraud预防设置是思科IOS−basedVGWs默认行为。
本文目的是提高对新特性的理解,作为升级对此版本将要求更多的配置許可语音呼叫特定类型置和路由到完成。很重要的注意事项是,升级到15.1(2)T将阻塞所有呼入VoIP呼叫建立,直到VGW适当地配置委托这些来源。所有规划升级到有此功能的版本必须含额外步骤来配置可信任的VoIP主机再升级以后,为了所有呼叫可以成功路由,另外,two−stage拨号在此版本中默认不再启用。
先决条件
要求
本文假设读者已有在语音网关配置的运行知识,以及关于怎样分析语音呼叫失败的基本知识。
使用的组件
本文説明适用于CiscoIOS语音网关,将含集成服务路由器的配置(ISR)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco技术提示规则。
在15.1(2)T前的行为
对于在15.1(2)T前的所有IOS版本,IOS语音网关的默认行为是接受从所有来源的呼叫建立。只要语音服务运行在路由器上,默认配置将对待从所有源IP地址的一个呼叫建立作为正規和可信的源设置为一个呼叫. 并且,FXO端口和在ISDN电路呼入呼叫将显示secondary−dial音呼入呼叫的,允许two−stage拨号。这里假定适当的入站dial−peer被匹配。
在15.1(2)T和以后的版本的行为
从15.1(2)T开始,路由器的默认行为是不信任从VoIP来源的一个呼叫建立。此功能添加一个内部的应用程序名为TOLLFRAUD_APP到默认的呼叫控制堆叠,这样来检查呼叫建立的源IP在路由呼叫之前。如果源IP在配置里不匹配一个明确条目作为可信的VoIP来源,则这个呼叫被拒绝。
注意:如果你有dial−peers配置会话目标,从那些IP的呼叫将接受,即使没有配置的委托列表。
在启动顺序期间,当启动与toll−fraud预防应用程序时的一个IOS版本,当启动时,这台打印设备的console控制将会输出以下字段:
Following voice commandis enabled:
voice service voip
ip address trusted authenticate
The command enables the ip addressauthentication
on incoming H.323 or SIP trunk calls for tollfraud
prevention supports.
Please use "show ip address trustedlist" command
to display a list of valid ip addresses forincoming
H.323 or SIP trunk calls.
Additional valid ip addresses can be added viathe
following command line:
voice service voip
ip address trusted list
ipv4 []
路由器自动地添加定义作为在一VoIPdial−peer的一个ipv4目标对可信的源列表。你能观察这个命令的行为输出的是:
Router#show ipaddress trusted list
IP Address TrustedAuthentication
Administration State: UP
Operation State: UP
IP Address Trusted CallBlock Cause: call-reject (21)
VoIP Dial-peer IPv4Session Targets:
Peer Tag Oper State Session Target
-------- ---------- --------------
3000 UP ipv4:203.0.113.100
1001 UP ipv4:192.0.2.100
如果TOLLFRAUD_APP阻塞您的呼叫如何识别
如果TOLLFRAUD_APP拒绝呼叫,它创建一个Q.850断开原因值为21,代表呼叫被拒绝。debugvoip ccapi inout这个命令可以被用来识别原因值。
另外,voice IEC Syslog可以启用进一步验证是否是由于toll-fraud预防导致呼叫失败的。此配置,经常是方便的排除故障失败的始发地从网关方面,将打印出呼叫拒绝的原因归结于长途电话欺骗。CCAPI和VoiceIEC输出在此debug输出被展示:
%VOICE_IEC-3-GW:Application Framework Core: Internal Error (Toll fraud call rejected):
IEC=1.1.228.3.31.0 oncallID 3 GUID=F146D6B0539C11DF800CA596C4C2D7EF
000183: *Apr 3014:38:57.251: //3/F146D6B0800C/CCAPI/ccCallSetContext:
Context=0x49EC9978
000184: *Apr 3014:38:57.251: //3/F146D6B0800C/CCAPI/cc_process_call_setup_ind:
>>>>CCAPI handed cid 3 with tag1002 to app "_ManagedAppProcess_TOLLFRAUD_APP"
000185: *Apr 3014:38:57.251: //3/F146D6B0800C/CCAPI/ccCallDisconnect:
Cause Value=21, Tag=0x0, CallEntry(Previous Disconnect Cause=0, Disconnect Cause=0)
这个Q.850断开值为阻止呼叫被返回,也可能从默认值21变为以下命令:
voice service voip
ip address trusted call-block cause
如何返回到Pre−15.1(2)T行为
源IP地址信任列表
在此信任的地址toll−fraud预防功能实现前,有三种方式返回到语音网关上一个行为。所有这些配置要求运行在15.1(2)T版本,以便您能做配置更改。
1. 请明确地启用那些源IP地址,那些你会想要添加到合法VoIP呼叫的信任列表中。100个条目可以被定义。此下配置可以接受从主机203.0.113.100/32来的呼叫,以及从网络192.0.2.0/24来的呼叫。从其他主机来的呼叫被拒绝。这是从语音安全的角度看推荐的方法。
voice service voip
ip address trusted list
ipv4 203.0.113.100 255.255.255.255
ipv4 192.0.2.0 255.255.255.0
2. 配置路由器接受的从所有源IP地址呼入的呼叫设定。
voiceservice voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0
3. 完全关闭toll−fraud预防应用程序。
voiceservice voip
no ip address trusted authenticate
Two−Stage正在拨号
如果two−stage拨号被要求,以下命令可以被配置用于返回的行为去匹配之前的版本。
对于入站ISDN的呼叫:
voice service pots
no direct-inward-dial isdn
对于入站FXO的呼叫:
voice-port
secondary dialtone
