Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Предупреждение

Игнорирование OPTIONS по умолчанию включено

Информация

Если к user-interface привязан sip profile с включенным игнорированием OPTIONS, то при получении OPTIONS от зарегистрированных абонентов ESBC будет обрабатывать эти запросы и отвечать 200 OK.

Если OPTIONS приходят не с зарегистрированных абонентов, то такие запросы игнорируются.

...

Использование медиапрофилей позволяет гибко управлять типом медиаданных путем фильтрации медиасекций в SDP, транскодированием аудио и видео, шифрованием RTP-потока, контролем сессии по наличию RTP-потока.

...

Блок кода
vesbc# configure 
vesbc(config)# esbc

#Содать#СоЗдать медиапрофиль для транка TRUNK_2: 
vesbc(config-esbc)# media profile FOR_TRUNK_2

#Запретить использование всех видео кодеков:
vesbc(config-esbc-media-profile)# no codec allow H26
vesbc(config-esbc-media-profile)# no codec allow H261
vesbc(config-esbc-media-profile)# no codec allow H263
vesbc(config-esbc-media-profile)# no codec allow VP
vesbc(config-esbc-media-profile)# exit

#Привязать медиапрофиль к транку:
vesbc(config-esbc)# trunk sip TRUNK_2
vesbc(config-esbc-trunk-sip)# media profile FOR_TRUNK_2 
vesbc(config-esbc-trunk-sip)# do commit
vesbc(config-esbc-trunk-sip)# do confirm

...

Блок кода
vesbc# configure 
vesbc(config)# esbc

# Содать#Создать медиапрофиль для транка TRUNK_1: 
vesbc(config-esbc)# media profile FOR_TRUNK_1

# Запретить#Запретить использование кодеков G729 и G726: 
vesbc(config-esbc-media-profile)# no codec allow G729/
vesbc(config-esbc-media-profile)# no codec allow G72
vesbc(config-esbc-media-profile)# exit

##Привязать Привязать медиапрофиль к транку:
vesbc(config-esbc)# trunk sip TRUNK_1
vesbc(config-esbc-trunk-sip)# media profile FOR_TRUNK_1 
vesbc(config-esbc-trunk-sip)# do commit
vesbc(config-esbc-trunk-sip)# do confirm

...

Блок кода
vesbc# configure 
vesbc(config)# esbc

#Содать#Создать медиапрофиль для использования в обоих транках: 
vesbc(config-esbc)# media profile FOR_TRUNKS

#Добавить паттерн для кодека QCELP:
vesbc(config-esbc-media-profile)#codec allow QCELP
vesbc(config-esbc-media-profile)# exit

#Привязать медиапрофиль к обоим транкам:
vesbc(config-esbc)# trunk sip TRUNK_1
vesbc(config-esbc-trunk-sip)# media profile FOR_TRUNKS
vesbc(config-esbc-trunk-sip)# exit
vesbc(config-esbc)# trunk sip TRUNK_2
vesbc(config-esbc-trunk-sip)# media profile FOR_TRUNKS
vesbc(config-esbc-trunk-sip)# exit
vesbc(config-esbc)# do commit
vesbc(config-esbc)# do confirm

...

Блок кода
vesbc# configure 
vesbc(config)# esbc

# Содать#Создать медиапрофиль для транка TRUNK_1:
vesbc(config-esbc)# media profile FOR_TRUNK_1

##Удалить Удалить все паттерны :
vesbc(config-esbc-media-profile)# no codec allow all

##Добавить Добавить паттерн только для кодека PCMA:
vesbc(config-esbc-media-profile)# codec allow PCMA 8
vesbc(config-esbc-media-profile)# exit

# Привязать#Привязать медиапрофиль к транку:
vesbc(config-esbc)# trunk sip TRUNK_1
vesbc(config-esbc-trunk-sip)# media profile FOR_TRUNK_1 
vesbc(config-esbc-trunk-sip)# do commit
vesbc(config-esbc-trunk-sip)# do confirm

...

В транке TRUNK_1 используется медиапрофиль FOR_TRUNK_1, в котором разрешены кодеки PCMA и PCMU для проксирования, и не указаны кодеки, разрешенные для транскодирования. 

В транке TRUNK_2 используется медиапрофиль FOR_TRUNK_2, в котором также кодеки PCMA и PCMU разрешены для проксирования, и кодек G729 разрешен для транскодирования.

...

При создании паттерна можно использовать регулярные выражения PCRE. 

Scroll Pagebreak

Пример настройки флуд-фильтров

Блок кода
languagec#
#Создание абонентских интерфейсов:
vesbc# configure 
vesbc(config)# esbc 
vesbc(config-esbc)# user-interface sip UI_1
vesbc(config-esbc-user-interface-sip)# sip transport TRANSPORT_UI_1
vesbc(config-esbc-user-interface-sip)# media resource 0 MEDIA_UI_1
vesbc(config-esbc-user-interface-sip)# route-table TO_SSW
vesbc(config-esbc-user-interface-sip)# exit
vesbc(config-esbc)# user-interface sip UI_2
vesbc(config-esbc-user-interface-sip)# sip transport TRANSPORT_UI_2
vesbc(config-esbc-user-interface-sip)# media resource 0 MEDIA_UI_2
vesbc(config-esbc-user-interface-sip)# route-table TO_SSW
vesbc(config-esbc-user-interface-sip)# exit
vesbc(config-esbc)# user-interface sip UI_3
vesbc(config-esbc-user-interface-sip)# sip transport TRANSPORT_UI_3
vesbc(config-esbc-user-interface-sip)# media resource 0 MEDIA_UI_3
vesbc(config-esbc-user-interface-sip)# route-table TO_SSW
vesbc(config-esbc-user-interface-sip)# exit

#Создание флуд-фильтра:
vesbc# configure 
vesbc(config)# esbc 
vesbc(config-esbc)# flood filter FLOOD_FILTER
vesbc(config-esbc-flood-filter)# pattern 0 7543546
vesbc(config-esbc-flood-filter)# pattern 1 flood
vesbc(config-esbc-flood-filter)# exit

#Привязка флуд-фильтра к профилю безопасности:
vesbc(config-esbc)# security profile SECURITY_PROFILE
vesbc(config-esbc-security-profile)# flood filter 0 FLOOD_FILTER
vesbc(config-esbc-security-profile)# exit

#Привязка профиля безопасности с флуд-фильтром ко всем абонентским интерфейсам:
vesbc(config-esbc)# general
vesbc(config-esbc-general)# security profile user-interface SECURITY_PROFILE

#Применение и подтверждение изменений:
vesbc(config-esbc-general)# do commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
vesbc(config-esbc-general)# do confirm
Configuration has been confirmed. Commit timer canceled.

...

Информация

Для того чтобы фильтр применялся ко всем сообщениям, а не только к инициирующим запросам, необходимо включить опцию apply-to-created.

Scroll Pagebreak

Фильтрация клиентских приложений

...

Блок кода
languagec#
vesbc#
vesbc# configure 
vesbc(config)# esbc
vesbc(config-esbc)# security profile SECURITY_PROFILE

#Сбор ошибок по AOR:
vesbc(config-esbc-security-profile)# check aor 
vesbc(config-esbc-security-profile)# exit

#Привязка профиля безопасности к абонентскому интерфейсу:
vesbc(config-esbc)# user-interface sip ABONENTS
vesbc(config-esbc-user-interface-sip)# security profile SECURITY_PROFILE

#Применение и подтверждение изменений:
vesbc(config-esbc-user-interface-sip)# do commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
vesbc(config-esbc-user-interface-sip)# do confirm
Configuration has been confirmed. Commit timer canceled.

...

Если в профиле безопасности, привязанному к абонентскому интерфейсу, отключена блокировка по AOR, то через определенное количество запросов заблокируется только IP-адрес, и запросы с него больше обрабатываться не будут.

Информация
IP black-list:
------------------------------------------------------------------------------------------------
IP address        BanBan reason         AOR      AOR         Blocking     Time of blocking      
                                         error     error    timeout   timeout                             
                                          count   count       in minutes                          
---------------   ----------------   ------   ---------   ----------   --------------------  
192.168.80.134    PACKETPACKET FLOODING             0           1440         2025-07-30 11:38:44  

...

Информация
AOR black-list:
--------------------------------------------------------------------------------------------
AOR                       Ban   Ban reason         AOR         Forgive      Time of blocking         
                                               errorerror       time in                              
                                               countcount       minutes                               
-------------------------   ----------------   ---------   ----------   --------------------    
123@anonymous.invalid       ACCOUNT HACKING      8181          60           2025-07-30 11:49:41    

Блокировка по AOR срабатывает раньше, чем блокировка по адресу, поэтому адрес не успеет попасть в черный список. 

Scroll Pagebreak

Пример включения блокировки по User-Agent:

...

Если в профиле безопасности, привязанному к абонентскому интерфейсу, отключена блокировка по User-Agent, то через определенное количество запросов заблокируются только IP-адреса, и запросы с них больше обрабатываться не будут:

Информация
IP black-list:
-----------------------------------------------------------------------------------------------
IP address        BanBan reason         AOR AOR     AOR AOR       Blocking   Blocking     Time of blocking      
                                         error  error     timeout   timeout                            
                                          count       in in minutes                        
---------------   ----------------   ----   -------   ----------   --------------------  
192.168.80.132    PACKETPACKET FLOODING            0         1440   1440         2025-07-31 04:51:53  
192.168.80.133    PACKETPACKET FLOODING            0         1440   1440         2025-07-31 04:52:22  
192.168.80.134    PACKETPACKET FLOODING            0         1440   1440         2025-07-31 04:52:46
192.168.80.136    PACKETPACKET FLOODING            0           1440 1440         2025-07-31 04:53:11    
192.168.80.137    PACKETPACKET FLOODING            0         1440   1440         2025-07-31 04:54:30  

Если к абонентскому интерфейсу привязан профиль безопасности со включенной блокировкой по User-Agent, то через какое-то время в чёрный список помимо IP-адресов добавится ещё и User-Agent.
Все запросы с любого адреса, в котором будет заблокированный User-Agent, обрабатываться не будут:

Информация
IP black-list:
--------------------------------------------------------------------------------------------------------------
IP address        BanBan reason         AOR     AOR AOR         Blocking Blocking     Time of blocking      
                                              error       timeout                            
                                              count       in in minutes                        
---------------   ----------------   -----   ---------   ----------   --------------------  
192.168.80.132    PACKETPACKET FLOODING             0           1440         2025-07-31 04:54:23  
192.168.80.133    PACKETPACKET FLOODING             0           1440         2025-07-31 04:54:52  
192.168.80.134    PACKETPACKET FLOODING             0           1440         2025-07-31 04:55:16
192.168.80.136    PACKETPACKET FLOODING             0           1440         2025-07-31 04:55:41    
192.168.80.137    PACKETPACKET FLOODING             0           1440         2025-07-31 04:56:00  

User-agent black-list:
--------------------------------------------------------------------------------------------
UA                          BanBan reason         UA UA error    Forgive      Time of blocking       
     
                                         count       time in                             
   
                                                    minutes    minutes                             
-------------------------   ----------------   ---------   ----------   --------------------    
sipflood                    ACCOUNT HACKING    138         60           2025-07-31 04:56:07  

Объединение ошибок по IP-адресу

...