シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

CPL: VCS-E で特定のドメインからの SIP コールのみ受信する方法

 

 

はじめに

 

本ドキュメントでは、VCS-E もしくは Expressway-E において、インターネット側からの SIP コールの受信について、特定のドメインを持つ送信元からのみ許容する方法を紹介します。CPL (Call Processing Language) で特定のドメインのみ許容するように設定します。

 

CPL の作成

 

以下の CPL は、VCE-E がインターネット側から Default Zone で example.com のドメインを持つ SIP-URI から受信する SIP コールのみ許容し、他の SIP コールは 403 エラーレスポンスで拒否する例となります。テキストエディタで記載し、ファイルに保存します。

1 つ目の unauthenticated-origin (認証されていないユーザ) には、正規表現で送信元 SIP-URI のドメインを下記のように記載します。宛先も制限する場合は、destination (宛先) に正規表現で適切な値を設定します。

2 つ目の unauthenticated-origin と destination には、それぞれ任意の認証されていないユーザ、任意の宛先を記載し、1 つ目の条件に引っかからなかったコールを 403 で拒否します。

 

<?xml version="1.0" encoding="UTF-8" ?>
<cpl xmlns="urn:ietf:params:xml:ns:cpl" xmlns:taa="http://www.tandberg.net/cpl-extensions" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:cpl cpl.xsd">
	<taa:routed>
		<taa:rule-switch>
			<taa:rule unauthenticated-origin=".*@example\.com" destination=".*">
				<proxy/>
			</taa:rule>
<!-- Reject call with reason 403 (SIP Forbidden Code) and message --> <taa:rule unauthenticated-origin=".*" destination=".*"> <reject status="403" reason="Rejected by policy"/> </taa:rule> </taa:rule-switch> </taa:routed> </cpl>

 

CPL の適用

 

1. VCS-E の Web UI にログインし、Configuration > Call Policy > Configuration に進みます。

2. Call Policy ModeLocal Policy に設定します。

3. Select the new policy file から、先程作成した CPL を選択し、Upload file をクリックします。

4. Show call policy file をクリックして、CPL がアップロードされているか確認します。

 

CPL の処理順序

 

CPL の処理は、VCS のコールルーティングのうち、Transform の後、Search Rules の前で行われます。

  • 1) Authentication
  • 2) Transforms
  • 3) SIP Routes
  • 4) Admin Policy (CPL) <--
  • 5) User Policy (FindMe)
  • 6) Search rules

 

その他

 

セキュリティの観点上、外部からの攻撃を考慮して、VCS-E や Expressway-E では SIP UDP を無効にすることが推奨されています。

 

Configuration > Protocol > SIP

UDP modeOff に設定

 

参考ドキュメント

 

バージョン履歴
改訂番号
2/2
最終更新:
‎08-29-2017 06:26 PM
更新者:
 
ラベル(1)
寄稿者: