Router Teldat
Session Initiation Protocol
(SIP)
Doc. DM766 Rev. 10.71
Noviembre, 2007
ÍNDICE
Capítulo 1 Introducción ...1
1. Introducción ... 2
1.1. Protocolo de señalización SIP... 2
1.2. Funcionalidad disponible en el router ... 5
Capítulo 2 Configuración...6
1. Acceso al menú de configuración ... 7
2. Comandos de configuración del menú SIP ... 8
2.1. [NO] APPLICATION ... 8
a) APPLICATION ADDRESS ... 8
b) APPLICATION GATEWAY... 8
c) APPLICATION PORT... 8
d) APPLICATION SERVER DEFAULT ... 8
e) APPLICATION SERVER MESSAGE-FILTERING... 8
f) APPLICATION SERVER LOCAL-IP-REGISTRATIONS... 9
2.2. [NO] CONTACT-ADDRESS ... 9
2.3. [NO] CRYPTO ... 9
a) CRYPTO CLIENT CERTIFICATE DONT-VERIFY... 9
b) CRYPTO SERVER CERTIFICATE DONT-VERIFY ... 9
c) CRYPTO SIGNALING DEFAULT CA <ca-name>... 10
d) CRYPTO SIGNALING DEFAULT CIPHERS... 12
e) CRYPTO SIGNALING DEFAULT USER <cert-name>... 12
f) CRYPTO SSLV2 ... 14
2.4. [NO] KEEP-ALIVE... 15
2.5. [NO] IP-TOS... 15
2.6. [NO] MAP-CAUSE ... 15
a) MAP-CAUSE SIP <Q.850 cause> sip <sip cause> ... 16
b) MAP-CAUSE SIP <sip cause> PSTN <Q.850 cause> ... 16
2.7. [NO] MAX-EXPIRES ... 16 2.8. [NO] MAX-FORWARDS ... 16 2.9. [NO] PASSWORD ... 17 2.10. [NO] PROXY... 17 2.11. [NO] REALM ... 18 2.12. [NO] REGISTER ... 18 2.13. [NO] REGISTRAR ... 18 2.14. [NO] RPORT ... 18 2.15. [NO] STUN... 18 2.16. [NO] TCP-MSS ... 19 2.17. [NO] TIMERS ... 19 a) TIMERS B ... 19 b) TIMERS D... 19 c) TIMERS F ... 19 d) TIMERS H... 19 e) TIMERS J ... 20 f) TIMERS KEEPALIVE ... 20 g) TIMERS NO-ANSWER... 20 h) TIMERS REGISTER... 20 i) TIMERS T1... 20 j) TIMERS T2... 21 k) TIMERS T4... 21 l) TIMERS USE-T2-INVITE ... 21
a) TRANSPORT UDP... 21
b) TRANSPORT TCP ... 22
c) TRANSPORT TLS ... 22
Capítulo 3 Monitorización ...23
1. Acceso al menú de monitorización... 24
2. Comandos de monitorización... 25 2.1. CLEAR ... 25 a) CLEAR SIP-STATISTICS ... 25 b) CLEAR UA-STATISTICS ... 25 2.2. LIST ... 25 a) LIST ALL... 25 b) LIST BACK-TO-BACK... 25 c) LIST REGISTERED-USERS ... 26 d) LIST SIP-STATISTICS ... 26 e) LIST SSL-SESSIONS ... 26 f) LIST UA-STATISTICS... 26 2.3. EXIT ... 26
Capítulo 4 Ejemplo...27
1. Servidor SIP en modo emergencia ... 28
2. Servidor SIP con cifrado TLS y SRTP... 31
3. Gateway SIP... 35
Anexo A ...44
Capítulo 1
Introducción
1.
Introducción
1.1.
Protocolo de señalización SIP
SIP (Session Initiation Protocol) es un protocolo de señalización cuya función principal es crear, modificar y terminar sesiones a través de redes IP. Para ello permite localizar a los usuarios e intercambiar información de los medios implicados en la sesión. Es totalmente independiente del tipo de sesión a establecer, por lo que puede ser usado para iniciar conversaciones de voz, videoconferencias, aplicaciones compartidas, etc. También es independiente del protocolo de transporte (UDP, TCP, TLS/TCP) y del protocolo usado para negociar los parámetros de la sesión, que por defecto es SDP (Session Description Protocol). Al ser un protocolo muy genérico y versátil, se pueden implementar numerosas aplicaciones y funcionalidades.
El IETF (Internet Engineering Task Force) estandarizó el protocolo mediante la RFC 2543 en una primera versión 1.0, pasando más tarde a la actual versión 2.0 descrita en la RFC 3261. En esta última RFC se describe el funcionamiento básico del protocolo, citando para algunos aspectos concretos otras RFCs acompañantes RFC 3262-3265. Además, en el documento original está prevista la ampliación del protocolo mediante nuevas RFCs, lo que ha permitido la aparición de numerosas extensiones que van aumentando las funcionalidades y posibilidades del protocolo.
SIP es un protocolo textual cuya sintaxis se describe mediante notación ABNF. Tiene mucha similitud con el protocolo HTTP. Los mensajes SIP pueden ser de dos tipos: peticiones o métodos (requests), y respuestas (responses). Una transacción SIP está formada por una petición y una o varias respuestas. Las entidades SIP incorporan una máquina de estados para cada transacción de forma que se producen retransmisiones cuando el protocolo de transporte usado no es fiable (UDP) y vencen los temporizadores de reenvío del protocolo.
Los métodos definidos en la norma básica son INVITE, ACK, CANCEL, BYE, REGISTER y OPTIONS. INVITE y ACK son un caso aparte ya que forman parte de una transacción especial usada para iniciar una sesión y que está formada por la petición INVITE, una o varias respuestas a esta, y el método ACK que no recibe respuesta y termina la transacción. De esta manera se consigue una transacción más fiable al necesitar un intercambio de 3 mensajes. Diversas RFCs extienden la norma básica definiendo nuevos métodos para aplicaciones de presencia, mensajería instantánea, transferencia de sesión, indicación de mensajes nuevos en buzón de voz, etc. Algunos de estos métodos son: REFER, NOTIFY, SUBSCRIBE, MESSAGE y UPDATE.
Mediante INVITE/ACK se inicia una sesión, BYE se usa para terminar sesiones, CANCEL permite cancelar una transacción en curso (en realidad sólo se aplica a la transacción inicial de INVITE), REGISTER es un mensaje para indicar la localización del usuario registrándose en un servidor, y OPTIONS es una transacción que no tiene ningún efecto aparte de averiguar los métodos y extensiones soportados por una entidad SIP determinada, que aparecen en su respuesta.
Las respuestas tienen un código de 3 dígitos, que coincide con los usados en HTTP, y que dependiendo del primer dígito del código tiene un significado distinto. Se pueden dividir en respuestas provisionales (1xx) y finales (2xx-6xx). Una transacción está formada por ninguna o varias respuestas provisionales y una sola respuesta final. Los tipos de respuesta en función del primer dígito son:
1xx: respuestas provisionales, dan información pero no finalizan una transacción. 2xx: respuestas de éxito, indican que la petición ha tenido éxito.
3xx: respuestas de redirección, la petición no ha tenido éxito pero redirigen a otra dirección. 4xx: respuestas de error del cliente que hizo la petición.
5xx: respuestas de error del servidor que atiende la petición. 6xx: respuestas de error globales a toda la red.
En un escenario SIP se definen las siguientes entidades:
- UA (User Agent): Son los agentes de usuario entre los que se establecen sesiones. Pueden actual como UAC (User Agent Client) cuando mandan peticiones o como UAS (User Agent Server) cuando mandan respuestas a peticiones recibidas.
- Registrar: Es la entidad que recibe peticiones de tipo REGISTER. Estas peticiones las mandan los UAs para asociar su dirección SIP pública conocida ([email protected]) a la dirección SIP actual concreta ([email protected]:XXXX). El Registrar actualiza una base de datos de usuarios registrados llamada Location Server.
- Location Server: Esta entidad es una base de datos con información de los usuarios registrados. Es una entidad lógica que no se comunica mediante SIP. Se puede implementar como una base de datos en memoria, una base de datos externa accesible mediante lenguaje SQL, LDAP, etc. Es actualizada por el Registrar y consultada por un Servidor SIP para encaminar los mensajes a la localización actual de los usuarios.
- Proxy Server: Es el Servidor SIP más habitual. Recibe una petición SIP y la reenvía a la entidad destinataria. Para ello consulta el Location Server, o la envía según una conducta programada que puede depender del usuario llamado, la hora del día, etc... Puede mantener distintos niveles de contexto según sea stateless (no mantiene información entre mensajes),
stateful (implementa máquina de estados para cada transacción) o call stateful (se mantiene en el camino de señalización durante toda la sesión).
- Redirect Server: Es el Servidor SIP más simple. En vez de reenviar los mensajes a la entidad adecuada siempre responde con una respuesta especial de redirección, indicando la dirección adecuada a la que hay que enviar la petición. El UA que recibe este mensaje de redirección debe repetir la petición enviándola a la URL a la que ha sido redirigido.
- Back-to-Back User Agent (B2BUA): Es también un Servidor SIP, formada por dos UA. Uno recibe la llamada como si fuera para él, e inicia otra sesión con el destino mediante otra instancia de UA. Desde el punto de vista de la señalización, ambos extremos de la llamada ven como interlocutor al B2BUA que es el que se encarga de generar en una sesión la señalización recibida en la otra sesión. Se podría pensar en su funcionamiento como una pasarela SIP-SIP. Esta entidad permite un mayor control sobre las sesiones ya que a diferencia de los servidores comentados el B2B, puede generar espontáneamente peticiones SIP hacia los dos extremos permitiendo, por ejemplo, terminar una sesión.
Muchas veces un mismo equipo agrupa varias de las entidades anteriormente descritas. la función de Registrar suele estar en el mismo equipo que actúa como Servidor SIP.
Las URLs SIP pueden ser de dos tipos:
- sip:usuario@host:port;tag1=value1;tag2=value2;... Dirección SIP normal. Host puede ser tanto un nombre de dominio genérico como el nombre de dominio de un equipo concreto o incluso una dirección IP. Los parámetros adicionales permite especificar información adicional como por ejemplo el protocolo de transporte.
- sips:usuario@host:port;tag1=value1;tag2=value2;... Dirección SIP segura. Se asegura el uso de TLS (Transport Layer Secure) entre el dominio origen y destino.
En el siguiente esquema se puede ver un ejemplo de inicio de sesión entre dos extremos. En este caso Marta tiene un teléfono software en su PC y quiere iniciar una conversación con Paco. El teléfono manda una petición INVITE a su servidor SIP, en este caso un Proxy. Éste lo reenvía a el proxy servidor del dominio destino (sevilla.com), que es distinto del de Marta (cuenca.com). El proxy consulta su Location Server y averigua la localización de Paco, redirigiéndole el INVITE. Cada servidor intermedio genera una respuesta 100 Trying para parar las retransmisiones del INVITE. El teléfono de Paco manda una respuesta provisional informando de que está sonando que es reenviada hasta el teléfono de Marta, que dará la indicación oportuna. Finalmente Paco descuelga, momento en el que su teléfono envía la respuesta final 200 OK. Cuando le llega la respuesta a Marta, su teléfono manda el método ACK que termina la transacción. En este ejemplo este método se envía directamente al otro extremo sin pasar por los servidores porque en la respuesta Paco le habrá pasado a Marta su dirección de contacto, aunque también los servidores pueden obligar a que todos los mensajes pasen por ellos.
cuenca.com . . . sevilla.com . proxy proxy . . . Marta . . . Paco softphone SIP Phone | | | | | INVITE F1 | | | |--->| INVITE F2 | | | 100 Trying F3 |--->| INVITE F4 | |<---| 100 Trying F5 |--->| | |<--- | 180 Ringing F6 | | | 180 Ringing F7 |<---| | 180 Ringing F8 |<---| 200 OK F9 | |<---| 200 OK F10 |<---| | 200 OK F11 |<---| | |<---| | | | ACK F12 | |--->| | Media Session | |<================================================>| | BYE F13 | |<---| | 200 OK F14 | |--->| | |
En el cuerpo de los mensajes de inicio de sesión, se negocian todos los detalles de los medios que se van a usan en la sesión: número de conexiones, tipo (audio, video, aplicación, ...), ips y puertos, codecs, ... Esta negociación es independiente de SIP y se podría hacer en cualquier protocolo aunque en la práctica se hace en SDP (RFC 2327) que es el previsto por SIP como protocolo por defecto para ello y que están obligados a entender todos los UAs. Lo que si se define en SIP es un modelo de negociación llamado oferta/respuesta. Este método consiste en que un UA manda una oferta con los medios que quiere usar en la sesión, especificando tipo de medios, codecs y las ips y puertos en que espera recibir los datos para cada medio y el otro UA responde con un subconjunto de esos medios y codecs que él puede soportar para esa sesión y las ips y puertos correspondientes en que espera recibir los datos. El uso de SDP para la negociación en SIP está descrito en la RFC 3264.
Para terminar con el ejemplo, la sesión terminaría cuando uno cualquiera de los agentes en la sesión manda una petición de BYE.
1.2.
Funcionalidad disponible en el router
El equipo tiene integrado un Servidor SIP Back-to-Back, un User Agent (cuando actúa como gateway de voz), un Registrar y un Location Server. Esto le permite actuar como una centralita de llamadas SIP autónoma, como pieza de una red SIP más extensa con otros servidores SIP externos, o incluso como centralita de emergencia capaz de sustituir a un servidor externo ante una caída del servicio y proporcionar una funcionalidad básica para mantener el sistema de telefonía IP funcionando.
Para ello se pueden configurar dos modos de funcionamiento que no son excluyentes: servidor y gateway:
En cualquier modo de funcionamiento es posible configurar un proxy SIP externo, que puede estar asociado a la funcionalidad de supervisión de nivel de servicio ofrecida por la red denominada Network Service Level Advisor (NSLA, Dm 754), que utiliza la información obtenida por el Network Service Monitor (NSM, Dm 749). De esta forma, el servidor estará activo sólo si el correspondiente advisor de NSLA está activo.
Los transportes soportados son UDP, TCP y TLS (sobre TCP).
Ante llamadas entrantes SIP se consulta el plan de numeración configurado en el menú Telephony (Telefonía Sobre IP, Dm 722) y que está basado en dial-peers como unidad básica de configuración.
- Servidor:
En este modo el equipo admite registros de usuarios y crea dial-peers dinámicos que permiten establecer llamadas con los teléfonos registrados. El comportamiento ante los registros cambia dependiendo de si existe o no un proxy SIP activo. Si hay proxy SIP, el registro se reenvía a éste y su respuesta de vuelta al usuario. Si no hay proxy, el propio equipo actúa como Registrar y responde al registro.
Cuando el equipo reenvía los registros al proxy SIP configurado, la dirección de contacto registrada en el servidor es la propia de los teléfonos de forma que el proxy establece las llamadas directamente hacia los teléfonos sin pasar por el equipo. Este es el comportamiento deseable y más habitual, sin embargo, se puede cambiar mediante el comando application server local-ip-registrations que hace que los registros se reenvíen sustituyendo la ip/puerto de los teléfonos por la del equipo. En esta situación se pueden producir bucles en las llamadas si se tiene un dial-peer para enviar todas las llamadas al proxy ya que la llamada vuelve al equipo. Esto se puede solucionar configurando un plan de numeración más avanzado haciendo uso de los comandos dial-plan y incoming acc-list del menú de los dial-peers.
Si una llamada entrante SIP tiene por destino otro dial-peer SIP, el equipo actúa como Back-to-Back entre los dos dial-peers. Si no encuentra dial-peer de salida y hay proxy SIP activo, se establece la llamada a través del proxy. Este último comportamiento se puede evitar configurando el comando call application outgoing-match force del menú tlphy que hace que la llamada que no encuentra dial-peer saliente falle.
Cuando el proxy SIP externo está inactivo todos los dial-peers con target sip-proxy están inactivos también.
- Gateway:
El equipo es capaz de actuar como gateway SIP, recibiendo llamadas SIP y encaminandolas a cualquier de sus interfaces VOIP, o encaminando llamadas recibidas por cualquier interfaz VOIP hacía un dial-peer SIP. Además, si hay un proxy SIP o registrar configurado, el equipo registra los dial-peers de tipo voice-port o group en este.
Capítulo 2
Configuración
1.
Acceso al menú de configuración
Los comandos de configuración del protocolo SIP han de ser introducidos en el menú de configuración asociado al SIP (SIP Config>). Para acceder a dicho menú se emplea el comando
protocol sip en el menú de configuración general (Config>).
Config>protocol sip SIP Config>
Si se desea que los comandos tomen efecto inmediatamente sin necesidad de reiniciar el router se debe acceder a la configuración a través del menú de configuración general dinámica (Config$).
Config$protocol sip SIP Config$
2.
Comandos de configuración del menú SIP
2.1.
[NO] APPLICATION
a) APPLICATION ADDRESS
Configura la dirección IP que utiliza el protocolo SIP para enviar y recibir mensajes de señalización. Si no se configura ninguna se utiliza la IP interna del equipo.
Sintaxis:
SIP Config$[no] application address <a.b.c.d> Ipv4 format
b) APPLICATION GATEWAY
Activa el gateway SIP de tal forma que se puedan establecer llamadas entre interfaces VOIP del equipo y dial-peers SIP.
Sintaxis:
SIP Config$[no] application gateway
c) APPLICATION PORT
Configura tanto el puerto TCP como el UDP sobre el que escucha el servidor SIP del equipo. El puerto por defecto es el 5060. El servidor TLS escucha en el siguiente puerto al configurado, por defecto el 5061.
Sintaxis:
SIP Config$[no] application port <1..65535> Value in the specified range
d) APPLICATION SERVER DEFAULT
Activa el servidor SIP con su comportamiento por defecto, el comando contrario no application server default termina el servidor SIP y elimina todas las llamadas si se ejecuta desde la configuración dinámica. El funcionamiento en este caso está descrito en el apartado 1.2 del Capítulo 1.
Sintaxis:
SIP Config$[no] application server default
e) APPLICATION SERVER MESSAGE-FILTERING
Modifica el comportamiento del servidor SIP del equipo de forma que al reenviar mensajes SIP del origen al destino se eliminan algunos parámetros de señalización no reconocidos en lugar de copiar cabeceras directamente. Esto puede ayudar a hacer compatibles dos equipos externos de distintos fabricantes que de otra forma no se entenderían. El comando no application server message-filtering
deshabilita este comportamiento.
Syntax:
f) APPLICATION SERVER LOCAL-IP-REGISTRATIONS
Modifica el comportamiento del servidor SIP del equipo de forma que al reenviar los registros recibidos hacia el proxy configurado sustituye la dirección de contacto de los teléfonos por la de la aplicación SIP del equipo. De esta forma, para el proxy externo las extensiones están localizadas en el equipo, que recibe la señalización de las llamadas entrantes hacia los teléfonos. El comando no application server local-ip-registrations desconfigura este comportamiento de forma que los registros llegan al servidor con su contacto original, de forma que las llamadas entrantes desde el proxy externo se señalizan directamente hacia ellos sin pasar por el equipo, que es el funcionamiento por defecto.
Sintaxis:
SIP Config$[no] application server local-ip-registrations
2.2.
[NO] CONTACT-ADDRESS
Permite configurar el host que se emplea en el contact-address de los mensajes SIP enviados por el router. Se puede especificar una IP o un nombre de dominio.
Sintaxis:
SIP Config$[no] contact-address <word> Text
2.3.
[NO] CRYPTO
Mediante este comando se configuran los parámetros relativos al cifrado TLS, estos parámetros son utilizados cuando el modo de transporte de una llamada es TLS. Para poder usar el transporte TLS, el equipo debe tener configurado un certificado de usuario mediante el comando crypto signaling default user.
a) CRYPTO CLIENT CERTIFICATE DONT-VERIFY
Si esta opción esta activa, cuando el equipo actúa como cliente no verifica si el certificado X509 del servidor está firmado por una autoridad de certificación de confianza. Por defecto esta opción no está activa y sí se comprueba que el certificado del servidor está firmado por una autoridad de confianza.
Sintaxis:
SIP Config$[no] crypto client certificate dont-verify
b) CRYPTO SERVER CERTIFICATE DONT-VERIFY
Si se configura este comando, cuando el equipo actúa como servidor no se pide certificado X509 al cliente conectado, por lo que no se autentifica a los clientes. Por defecto este comportamiento no está activo y sí se pide certificado a los clientes y se comprueba que está firmado por una autoridad certificadora de confianza.
Sintaxis:
c) CRYPTO SIGNALING DEFAULT CA <ca-name>
Configura las autoridades certificadoras de confianza para las sesiones TLS establecidas por el protocolo SIP. Se pueden configurar varios certificados de distintas autoridades de certificación. Los certificados deben estar previamente cargados en el equipo.
La autoridad de certificación permite validar certificados de equipos que se comuniquen con el router mediante TLS, bien sea en modo cliente o en modo servidor.
Para cargar un certificado en base64 en el equipo, desde el menú de certificados de ipsec se puede ejecutar certificate <certname> base64 e introducir el certificado. Eso generaría una configuración en ipsec como la del ejemplo. Para más detalle consultar el apartado Certificados del Capítulo 2 del manual Dm739-IPSEC.
Sintaxis:
SIP Config$[no] crypto signaling default ca <ca-name>
Ejemplo:
Se carga un certificado raíz de ejemplo de Teldat mediante el comando certificate <name> base64 en el menú protocolip>ipsec>cert.
CERTIFICATES config$certificate TELDATCA.CER base64 Introduce the Certificate (Base 64 format)
Enter <cr> to escape ---BEGIN CERTIFICATE--- MIIEmzCCA4OgAwIBAgIJAIjCeKBqciDFMA0GCSqGSIb3DQEBBAUAMIGPMQswCQYD VQQGEwJTUDEPMA0GA1UECBMGTWFkcmlkMRQwEgYDVQQHEwtUcmVzIENhbnRvczEU MBIGA1UEChMLVGVsZGF0IFMuQS4xGzAZBgNVBAsTEklQIFRlbGVwaG9ueSBHcm91 cDEmMCQGA1UEAxMdVGVkYXQgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMDcw NjExMTUxNDE2WhcNMTcwNjA4MTUxNDE2WjCBjzELMAkGA1UEBhMCU1AxDzANBgNV BAgTBk1hZHJpZDEUMBIGA1UEBxMLVHJlcyBDYW50b3MxFDASBgNVBAoTC1RlbGRh dCBTLkEuMRswGQYDVQQLExJJUCBUZWxlcGhvbnkgR3JvdXAxJjAkBgNVBAMTHVRl ZGF0IENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEAmSRtZ9wHCksPAzkdMvqYyUAnOecJWw/Aai67TObXhi/a4w5T Onbf8LKjsGWamksMU6p7iv7n4rd6Kqyr1q/S1yP9XfENiVfsmu3dq9ehkipg5ixw E16xAdpGXJpdob8zOkUwiKaJib8LsTE38upaA2iV++bQSIMKcma4rnlPW1wn9jAJ mMwTMKCT7vT7OfcEIVzB7P1RW9phTMmQsSTTg7SMlRxTN0c2WW216aLOO5qRwvt4 xzcoXRVYbm2aBj7LucjsOrgoEdscmga8kK7PYdetxqti1n6RfjP2BXmAUrKh91c3 61fazv+pNxpKSL0hQ8Gb+hUxPyjZJTTW+Zih+wIDAQABo4H3MIH0MB0GA1UdDgQW BBQsJNVrUzOnr7Rxj4FfdiBLKOSv9DCBxAYDVR0jBIG8MIG5gBQsJNVrUzOnr7Rx j4FfdiBLKOSv9KGBlaSBkjCBjzELMAkGA1UEBhMCU1AxDzANBgNVBAgTBk1hZHJp ZDEUMBIGA1UEBxMLVHJlcyBDYW50b3MxFDASBgNVBAoTC1RlbGRhdCBTLkEuMRsw GQYDVQQLExJJUCBUZWxlcGhvbnkgR3JvdXAxJjAkBgNVBAMTHVRlZGF0IENlcnRp ZmljYXRpb24gQXV0aG9yaXR5ggkAiMJ4oGpyIMUwDAYDVR0TBAUwAwEB/zANBgkq hkiG9w0BAQQFAAOCAQEAR16Gjs16Sqz04v/RJeRb+fcbKvAgzO3sWpUyYwzU/j6L 7R5XVbgimX4FQ3qxnrNeYXCTtZAM8yMWKpnX1d9ZDgGqZsOV0NrjlSGAYk3yvdM5 cNEXQpLDkKhjN8ageD48yNWpBTzbTDk/jQXCfktF3L93qpB/W76taC54bb1LojHs kcPXB4pzgN7QGct/wVyg2KNcMaQITmOesY+Qqt8T0QxZomsn8ldz6c7HAoRurmnB x/SCdpqfwMMnS7ap/5y+uPNuROw3ib8GWWqq6I3/bUqxgkgEwWD8OdkYHKNJV5h8 0zJjXH5/jqf1hmwKV07QQ+WxENxdtc6FB3Idmgj33w== ---END CERTIFICATE---
Los datos del certificado se pueden ver mediante el comando list loaded-certificates en ese mismo menú. Si se ha cargado desde la configuración estática hay que salvar y reiniciar para que se cargue el certificado en memoria.
CERTIFICATES config$list loaded-certificates --- TELDATCA.CER (from config) Subject:
CN (Common Name ): Tedat Certification Authority OU (Organizational Unit): IP Telephony Group
O (Organization Name ): Teldat S.A. L (Locality ): Tres Cantos S (State or Province ): Madrid C (Country Name ): SP Issuer: A:TELDATCA.CER CERTIFICATES config$
Esto ha generado la siguiente configuración en el menú de certificados. Esta configuración se puede usar directamente en cualquier otro equipo sin tener que cargar de nuevo el certificado en base64.
protocol ip
; -- Internet protocol user configuration – Ipsec
; -- IPSec user configuration -- Cert
; -- Cert user configuration -- file new TELDATCA.CER
file add 0x3082049B30820383A00302010202090088C278A06A7220C5300D06092A864886 file add 0xF70D010104050030818F310B3009060355040613025350310F300D0603550408 file add 0x13064D6164726964311430120603550407130B547265732043616E746F733114 file add 0x3012060355040A130B54656C64617420532E412E311B3019060355040B131249 file add 0x502054656C6570686F6E792047726F7570312630240603550403131D54656461 file add 0x742043657274696669636174696F6E20417574686F72697479301E170D303730 file add 0x3631313135313431365A170D3137303630383135313431365A30818F310B3009 file add 0x060355040613025350310F300D060355040813064D6164726964311430120603 file add 0x550407130B547265732043616E746F7331143012060355040A130B54656C6461 file add 0x7420532E412E311B3019060355040B131249502054656C6570686F6E79204772 file add 0x6F7570312630240603550403131D54656461742043657274696669636174696F file add 0x6E20417574686F7269747930820122300D06092A864886F70D01010105000382 file add 0x010F003082010A028201010099246D67DC070A4B0F03391D32FA98C9402739E7 file add 0x095B0FC06A2EBB4CE6D7862FDAE30E533A76DFF0B2A3B0659A9A4B0C53AA7B8A file add 0xFEE7E2B77A2AACABD6AFD2D723FD5DF10D8957EC9AEDDDABD7A1922A60E62C70 file add 0x135EB101DA465C9A5DA1BF333A453088A68989BF0BB13137F2EA5A036895FBE6 file add 0xD048830A7266B8AE794F5B5C27F6300998CC1330A093EEF4FB39F704215CC1EC file add 0xFD515BDA614CC990B124D383B48C951C53374736596DB5E9A2CE3B9A91C2FB78 file add 0xC737285D15586E6D9A063ECBB9C8EC3AB82811DB1C9A06BC90AECF61D7ADC6AB file add 0x62D67E917E33F605798052B2A1F75737EB57DACEFFA9371A4A48BD2143C19BFA file add 0x15313F28D92534D6F998A1FB0203010001A381F73081F4301D0603551D0E0416 file add 0x04142C24D56B5333A7AFB4718F815F76204B28E4AFF43081C40603551D230481 file add 0xBC3081B980142C24D56B5333A7AFB4718F815F76204B28E4AFF4A18195A48192 file add 0x30818F310B3009060355040613025350310F300D060355040813064D61647269 file add 0x64311430120603550407130B547265732043616E746F7331143012060355040A file add 0x130B54656C64617420532E412E311B3019060355040B131249502054656C6570 file add 0x686F6E792047726F7570312630240603550403131D5465646174204365727469 file add 0x6669636174696F6E20417574686F7269747982090088C278A06A7220C5300C06 file add 0x03551D13040530030101FF300D06092A864886F70D0101040500038201010047 file add 0x5E868ECD7A4AACF4E2FFD125E45BF9F71B2AF020CCEDEC5A9532630CD4FE3E8B file add 0xED1E5755B822997E05437AB19EB35E617093B5900CF323162A99D7D5DF590E01 file add 0xAA66C395D0DAE3952180624DF2BDD33970D1174292C390A86337C6A0783E3CC8 file add 0xD5A9053CDB4C393F8D05C27E4B45DCBF77AA907F5BBEAD682E786DBD4BA231EC file add 0x91C3D7078A7380DED019CB7FC15CA0D8A35C31A4084E639EB18F90AADF13D10C file add 0x59A26B27F25773E9CEC702846EAE69C1C7F482769A9FC0C3274BB6A9FF9CBEB8 file add 0xF36E44EC3789BF06596AAAE88DFF6D4AB1824804C160FC39D9181CA34957987C file end 0xD332635C7E7F8EA7F5866C0A574ED043E5B110DC5DB5CE8507721D9A08F7DF ;
certificate TELDATCA.CER load exit
; exit ; exit
Ya sólo falta configurar este certificado como una autoridad certificadora de confianza para las conexiones TLS del protocolo SIP.
protocol sip
crypto signaling default ca TELDATCA.CER exit
d) CRYPTO SIGNALING DEFAULT CIPHERS
Configura los algoritmos de cifrado y autentificación que son negociados en las conexiones TLS. El formato de la cadena es el mismo que el utilizado por openssl. Para ver el formato y ejemplos visitar: http://www.openssl.org/docs/apps/ciphers.html .
Sintaxis:
SIP Config$[no] crypto signaling default ciphers <string>
e) CRYPTO SIGNALING DEFAULT USER <cert-name>
Configura el certificado utilizado por el equipo cuando este se comporta como servidor de conexiones TLS. También se utiliza si el equipo se comporta como cliente y el servidor al que se conecta le solicita un certificado. El certificado debe estar cargado previamente en el equipo y tener clave privada asociada.
Para generar una clave privada y cargar el certificado firmado en el equipo consultar el manual
Dm739-IPSEC.
Sintaxis:
SIP Config$[no] crypto signaling default user <cert-name>
Ejemplo:
Se genera una clave privada y un CSR (Certificate Signing Request):
IPSec config>key rsa generate user.csr 512 RSA Key Generation.
Please, wait for a few seconds. RSA Key Generation done. Checking..OK
Key Generation Process Finished. Generate CSR?
(Yes/No)? y
Common Name : []? Sample User Certificate Country : []? SP
Locality : []? Tres Cantos State or Province : []? Madrid Organization : []? Teldat S.A. Organizational Unit: []? IP Telephony Group E-mail : []?
RSA Signature(MD5/SHA1/MD2): [md5]? Save in file(Yes/No)? y
File Name: []? sample.csr File Name: [A:USER.CSR]? y CSR saved.
Do not forget to save RSA keys. IPSec config>
Al mostrar la configuración se puede ver la clave privada generada cifrada y listando el fichero user.csr se tiene el CSR que nos debe firmar la autoridad certificadora:
IPSec config>sho conf
; Showing Menu and Submenus Configuration for access-level 15 ... ; ATLAS NOE Router 2 226 Version 10.7.7
key rsa file add 0x341DC332F23BD75492E8583A82F10A8CFCA4349F531563EF key rsa file add 0xCA002248A79CFCFE24FBBCE0FA9C3BF99B02C316C9C5EB44 key rsa file add 0xA2630B28F04183766A79C93BD967380425955159D32B7035 key rsa file add 0x448A8DB2954FA8E53132CDAFE7365FED6BAE5CA55ED8809E key rsa file add 0x89191F4762B0850603BE8A61AFD3CC786EC5ED1EB08F191C key rsa file add 0xCF7B8FD6AF0C37BDF33BEC201C6B58B1FAC419DF8F68F525 key rsa file add 0x31F285C22AD9896587FE9095A8355C6F35075CDFAE7E2485 key rsa file add 0x6E75FC669194A00DED45B8AFDF3B99B6A162F7FE14B0F3B8 key rsa file add 0xDC0E4D442F9EC916D05F161BABA2D3D803AABADF64A8E6EC key rsa file add 0x1CBD2973DC158D77A872B75FE4E99277E877E49C117FC6D9 key rsa file add 0xC8E29F6D1D84030B955E1A6A15E2F15386CA5F6598148876 key rsa file add 0x0C27B15CF5D812C2922706CF25C7D42DE09DCB4330125C2B key rsa file add 0x911BC4C084B9ADE1D6D5B7DDDDD030692F2EC9E66E0E7D74 key rsa file add 0x782F99AC347A1BCAC42CEBCEF011F1D25646465BED83ABE9 key rsa file add 0xBCC82DFBE5BA79E4D024AA7F6AB05D03101335AD37882784 key rsa file add 0xF5F01429118037178894D1823871D8F498F9B2B5C1EB488D key rsa file add 0x9D6349C59E11A617F5622FFC33D8D6272D7C13C6F9B494CE key rsa file add 0x3148B09CB12A6B438EC87E272FBC4A0C629CD9DDCAC1B9A3 key rsa file add 0x8DFEC5C76588A09F6417A94ACF76313C89198FE0D7B5E1B2 key rsa file add 0x02249303A5A3731A0162B207950C41E18A3952DC84415084 key rsa file add 0x41E09EF3908BD169243C9A611D1EA318FCEF7A2BD0378108 key rsa file add 0xFD2E886FE114EAFBB1F18892F67FEA2173D8F05B5ED54B67 key rsa file add 0x0D649530B2392230C9AA2D9974777147DFBCCD2067222A11 key rsa file add 0x8C49A3D60E22901AC5103313CE5CC0B9FA1A2F1607BC55EE key rsa file add 0xA6EB05FB527E786CD4529F1388F6E66AFBFA41234902488E key rsa file end 0xB4303ABF65069D25D17145D8695CBD88EC0C92EECC210B36 IPSec config>
IPSec config>ex IP config>ex
Config>file type a:user.csr
---BEGIN CERTIFICATE REQUEST---
MIIBRDCB7wIBADCBiTEgMB4GA1UEAxMXU2FtcGxlIFVzZXIgQ2VydGlmaWNhdGUx CzAJBgNVBAYTAlNQMRQwEgYDVQQHEwtUcmVzIENhbnRvczEPMA0GA1UECBMGTWFk cmlkMRQwEgYDVQQKEwtUZWxkYXQgUy5BLjEbMBkGA1UECxMSSVAgVGVsZXBob255 IEdyb3VwMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANflczMh4//+vDYBHSrzou5N LamVxi4GStHWJatFHdsKfiYU7S6DKjgmB9Acyi2haH+bydDqD2pMDCPMvfyURjEC AwEAAaAAMA0GCSqGSIb3DQEBBAUAA0EAEzLTh/ZwLKM2J9IyEeYqCevSFm/zye53 bz1R58go44cpLWgT9YL3kZoKrKAqevWdNRyjHKuwZmt+XoHaRVkSog==
---END CERTIFICATE REQUEST---
Una vez que la autoridad de certificación firma el CSR, el resultado es el certificado de usuario que se puede cargar en el router de forma similar al ejemplo anterior. Ya solo falta configurar el certificado para que lo use SIP como el certificado de usuario. La configuración final es la siguiente, que se puede usar directamente en otro equipo sin seguir todo el proceso:
protocol ip
; -- Internet protocol user configuration -- ipsec
; -- IPSec user configuration --
key rsa file add 0x341DC332F23BD75492E8583A82F10A8CFCA4349F531563EF key rsa file add 0xCA002248A79CFCFE24FBBCE0FA9C3BF99B02C316C9C5EB44 key rsa file add 0xA2630B28F04183766A79C93BD967380425955159D32B7035 key rsa file add 0x448A8DB2954FA8E53132CDAFE7365FED6BAE5CA55ED8809E key rsa file add 0x89191F4762B0850603BE8A61AFD3CC786EC5ED1EB08F191C key rsa file add 0xCF7B8FD6AF0C37BDF33BEC201C6B58B1FAC419DF8F68F525 key rsa file add 0x31F285C22AD9896587FE9095A8355C6F35075CDFAE7E2485 key rsa file add 0x6E75FC669194A00DED45B8AFDF3B99B6A162F7FE14B0F3B8 key rsa file add 0xDC0E4D442F9EC916D05F161BABA2D3D803AABADF64A8E6EC key rsa file add 0x1CBD2973DC158D77A872B75FE4E99277E877E49C117FC6D9 key rsa file add 0xC8E29F6D1D84030B955E1A6A15E2F15386CA5F6598148876 key rsa file add 0x0C27B15CF5D812C2922706CF25C7D42DE09DCB4330125C2B key rsa file add 0x911BC4C084B9ADE1D6D5B7DDDDD030692F2EC9E66E0E7D74
key rsa file add 0x782F99AC347A1BCAC42CEBCEF011F1D25646465BED83ABE9 key rsa file add 0xBCC82DFBE5BA79E4D024AA7F6AB05D03101335AD37882784 key rsa file add 0xF5F01429118037178894D1823871D8F498F9B2B5C1EB488D key rsa file add 0x9D6349C59E11A617F5622FFC33D8D6272D7C13C6F9B494CE key rsa file add 0x3148B09CB12A6B438EC87E272FBC4A0C629CD9DDCAC1B9A3 key rsa file add 0x8DFEC5C76588A09F6417A94ACF76313C89198FE0D7B5E1B2 key rsa file add 0x02249303A5A3731A0162B207950C41E18A3952DC84415084 key rsa file add 0x41E09EF3908BD169243C9A611D1EA318FCEF7A2BD0378108 key rsa file add 0xFD2E886FE114EAFBB1F18892F67FEA2173D8F05B5ED54B67 key rsa file add 0x0D649530B2392230C9AA2D9974777147DFBCCD2067222A11 key rsa file add 0x8C49A3D60E22901AC5103313CE5CC0B9FA1A2F1607BC55EE key rsa file add 0xA6EB05FB527E786CD4529F1388F6E66AFBFA41234902488E key rsa file end 0xB4303ABF65069D25D17145D8695CBD88EC0C92EECC210B36 cert
; -- Cert user configuration -- file new USER.CER
file add 0x308203DB308202C3A003020102020101300D06092A864886F70D010104050030 file add 0x818F310B3009060355040613025350310F300D060355040813064D6164726964 file add 0x311430120603550407130B547265732043616E746F7331143012060355040A13 file add 0x0B54656C64617420532E412E311B3019060355040B131249502054656C657068 file add 0x6F6E792047726F7570312630240603550403131D546564617420436572746966 file add 0x69636174696F6E20417574686F72697479301E170D3037303631313135323731 file add 0x335A170D3137303630383135323731335A3073310B3009060355040613025350 file add 0x310F300D060355040813064D616472696431143012060355040A130B54656C64 file add 0x617420532E412E311B3019060355040B131249502054656C6570686F6E792047 file add 0x726F75703120301E0603550403131753616D706C652055736572204365727469 file add 0x666963617465305C300D06092A864886F70D0101010500034B003048024100D7 file add 0xE5733321E3FFFEBC36011D2AF3A2EE4D2DA995C62E064AD1D625AB451DDB0A7E file add 0x2614ED2E832A382607D01CCA2DA1687F9BC9D0EA0F6A4C0C23CCBDFC94463102 file add 0x03010001A38201233082011F30090603551D1304023000302C06096086480186 file add 0xF842010D041F161D4F70656E53534C2047656E65726174656420436572746966 file add 0x6963617465301D0603551D0E0416041423F7EC38E8281BE6E95D1C4D09DFB04D file add 0x53909A1F3081C40603551D230481BC3081B980142C24D56B5333A7AFB4718F81 file add 0x5F76204B28E4AFF4A18195A4819230818F310B3009060355040613025350310F file add 0x300D060355040813064D6164726964311430120603550407130B547265732043 file add 0x616E746F7331143012060355040A130B54656C64617420532E412E311B301906 file add 0x0355040B131249502054656C6570686F6E792047726F75703126302406035504 file add 0x03131D54656461742043657274696669636174696F6E20417574686F72697479 file add 0x82090088C278A06A7220C5300D06092A864886F70D010104050003820101007A file add 0xABF460D76CEECA2C4B6AE2203F9A1546B6DC646DC54F3D92D8EE57371496AA89 file add 0x170A6BF836D7A40BD608480B73D53F8C38B27C110532B1B2B8E0967F3BB67DA3 file add 0x7503EB26B08417D17246190E1D0584F325C1CA691748730AF1B1B9EB6E8F06B6 file add 0x85F8A4600927F5F68E08D042DEBE97E62500C3D4AE19A3302B085FF572D0E5C8 file add 0x68C56B6D1923EE9E33A50222A9D48A0515B44C2D324C6CDFB8E1B0F3D5E56FC1 file add 0xEF618B5898E613E4EFC194D782B8241C1267523A6D8A02449D6AA07A609D4279 file add 0x1739E27DA61804160075C9617E8D5C585A8F0E0400DD2650FC372EE8F7B22F3D file end 0xEEA5B7701DD27E44870E49F1486930B28E6D45874AA62D3F4F1BEFA4EAEF84 ;
certificate USER.CER load exit ; exit ; Exit ; protocol sip
crypto signaling default user USER.CER exit
f) CRYPTO SSLV2
Permite aceptar conexiones SSL versión 2. Si no se habilita, únicamente se admiten conexiones TLSv1.
Sintaxis:
2.4.
[NO] KEEP-ALIVE
Cuando el equipo tiene una llamada establecida se envía periódicamente una petición para comprobar si el otro extremo tiene también activa dicha llamada. Si fallan dos sondeos consecutivos la llamada es liberada. Mediante este comando se configura el tipo de petición para utilizar en este proceso.
Se permiten enviar tres tipos de paquetes para comprobar si la llamada está activa: INFO, OPTIONS ó UPDATE, siendo INFO el valor por defecto. También se permite deshabilitar el mecanismo de keep-alive mediante el comando KEEP-ALIVE NONE.
Sintaxis:
SIP Config$[no] keep-alive ? none Disable keep-alive info Use info SIP packets options Use options SIP packets update Use update SIP packets
2.5.
[NO] IP-TOS
Este comando permite configurar el TOS de los paquetes SIP enviados por el equipo. Se configura el byte completo de TOS mediante su valor en hexadecimal. El valor por defecto es 0.
Sintaxis:
SIP Config$ip-tos ?
<hex 0x0..0xff> Hexadecimal value in the specified range
2.6.
[NO] MAP-CAUSE
Permite configurar la conversion entre las causas de liberación usadas en los puertos de telefonía convencional del equipo (causas Q.850) y los códigos de respuesta SIP. Por defecto se convierten las causas más comunes siguiendo las recomendaciones de la RFC 3398 Integrated Services Digital Network (ISDN) User Part (ISUP) to Session Initiation Protocol (SIP) Mapping. A continuación se listan las tablas de conversión por defecto en ambos sentidos.
Conversión de Q.850 a SIP:
Causa Q.850 Código de respuesta SIP
l Unallocated (unassigned) number 404 Not found
17 User busy 486 Busy here
18 No user responding 408 Request timeout
19 No answer from user 480 Temporarily unavailable
21 Call rejected 403 Forbidden
28 Address incomplete 484 Address incomplete
31 Normal, unspecified 480 Temporarily unavailable
34 No circuit/channel available 503 Service unavailable 38 Network out of order 503 Service unavailable
88 Incompatible destination 503 Service unavailable 102 Recovery on timer expiry 408 Request timeout
Conversión de SIP a Q.850:
Código de respuesta SIP Causa Q.850
403 Forbidden 21 Call rejected
404 Not found l Unallocated (unassigned) number
408 Request timeout 102 Recovery on timer expiry
480 Temporarily unavailable 18 No user responding
484 Address incomplete 28 Address incomplete
486 Busy here 17 User busy
600 Busy Everywhere 17 User busy
603 Decline 21 Call rejected
604 Does Not Exist Anywhere l Unallocated (unassigned) number
Resto de causas no listadas 31 Normal, unspecified
a) MAP-CAUSE SIP <Q.850 cause> sip <sip cause>
Configura el código SIP al que se debe convertir la causa de liberación Q.850 indicada.
Sintaxis:
SIP Config$[no] map-cause pstn <1..127> sip <400..699>
b) MAP-CAUSE SIP <sip cause> PSTN <Q.850 cause>
Configura la causa Q.850 a la que convertir un código de error SIP determinado.
Sintaxis:
SIP Config$[no] map-cause sip <400..699> pstn <1..127>
2.7.
[NO] MAX-EXPIRES
Mediante este comando se configura el tiempo máximo en segundos que un UA puede registrarse en la base de datos de usuarios registrados del equipo. Este tiempo solo es aplicable cuando el router está funcionando como Registrar, respondiendo a los registros. Esto ocurre como servidor, cuando el proxy configurado no está disponible. El valor por defecto es de 3600 segundos.
Sintaxis:
SIP Config$[no] max-expires <1..65535> Value in the specified range
2.8.
[NO] MAX-FORWARDS
Mediante este comando se configura el valor del campo max-forwards de los mensajes SIP enviados por el router. Dicho campo define el número máximo de saltos que puede dar un paquete SIP antes de descartarse. El valor por defecto es de 70.
Sintaxis:
SIP Config$[no] max-forwards <1..200> Value in the specified range
2.9.
[NO] PASSWORD
Password que utiliza el protocolo SIP cuando se le requiere autenticación. Si hay configurada una password en el dial-peer utiliza esa, pero si no hay configurada password en el dial-peer utiliza esta password global.
Sintaxis:
SIP Config$[no] password <string>
2.10.
[NO] PROXY
Mediante este comando se configura un servidor sip externo. El equipo usará este servidor para establecer llamadas cuando estas tengan como dial-peer saliente alguno configurado con target sip-proxy o, con el modo servidor activo, cuando una llamada SIP entrante no encuentre un dial-peer saliente. También se usará el proxy para enviarle registros cuando no hay configurado un registrar. Se puede configurar más de un proxy, en este caso el equipo usará el primero que esté activo.
Sintaxis:
SIP Config$[no] proxy <proxy-id>
default Set this entry to its default values track Track this entry
nsla-advisor Set the nsla advisor to track registrations Track sip phone registrations port Specify the port the host is listening to transport Set the transport protocol of this proxy udp Use UDP to communicate with this proxy tcp Use TCP to communicate with this proxy tls Use TLS to communicate with this proxy
system Use global sip configuration to communicate with this proxy
proxy-id IP o nombre de dominio del proxy.
default Pone todos los valores asociados a esta entrada a sus valores por defecto.
track nsla-advisor El proxy está activo solo si la entrada nsla asociada está activa.
track registrations El proxy se da por caído si los registros SIP que envía el equipo al proxy no obtienen respuesta.
Si se configuran los dos tipos de track simultáneamente, el proxy se da por caído ante el fallo de cualquiera de ellos. Se aplica un AND lógico del resultado de cada track.
port Puerto al que hay que enviar los mensajes SIP destinados a este proxy.
transport udp El proxy utiliza el protocolo de transporte udp.
transport tcp El proxy utiliza el protocolo de transporte tcp.
transport tls El proxy utiliza el protocolo de transporte tls.
transport system El proxy utiliza el protocolo de transporte configurado a nivel global de protocolo SIP mediante el comando transport.
2.11.
[NO] REALM
Configura el dominio SIP usado por el router. Si no se configura se utiliza el comando REGISTRAR, y si no el proxy activo.
Sintaxis:
SIP Config$[no] realm <word> Text
2.12.
[NO] REGISTER
Cuando actúa como server, envía las peticiones de registro de usuarios al registrar, o al proxy activo si no hay registrar configurado. Si está habilitado el gateway registra los dial-peers de tipo voice-port o group también.
Sintaxis:
SIP Config$[no] register Enable SIP registration of peer numbers
2.13.
[NO] REGISTRAR
Configura la dirección IP o el nombre de dominio del registrar SIP donde enviar los mensajes de Registrar. Si no se configura ninguno, los mensajes son enviados al proxy activo. Si tampoco hay proxy, en modo server el propio router actua como Registrar.
Sintaxis:
SIP Config$[no] registrar <word> Set ip address or dns name for this host
2.14.
[NO] RPORT
Habilita la funcionalidad rport descrita en la RFC3581. Las respuestas SIP se envían de vuelta al puerto desde el que llegan los mensajes SIP en lugar de al puerto presente en la cabecera SIP Via. Este funcionamiento puede ser útil en caso de presencia de NAT en la red. El comando no rport deshabilita la funcionalidad. Por defecto está deshabilitada.
Sintaxis:
SIP Config$[no] rport Use SIP rport defined in RFC3581
2.15.
[NO] STUN
Configura el uso del protocolo STUN en las llamadas SIP. Como parámetro hay que indicar el dominio STUN que debe ser configurado previamente.
Sintaxis:
SIP Config$[no] stun <id> Value in the specified range
2.16.
[NO] TCP-MSS
Mediante este comando se permite configurar el tamaño maximo de segmento para conexiones TCP en bytes. El valor por defecto es 1280 bytes.
Sintaxis:
SIP Config$[no] tcp-mss <536..65535> Value in the specified range
2.17.
[NO] TIMERS
Mediante este comando se configuran diversos timers que afectan al funcionamiento del protocolo SIP.
a) TIMERS B
Configura el máximo tiempo que espera el equipo entre el inicio de una transacción de INVITE y la recepción de una respuesta del extremo remoto. Si pasa este tiempo sin recibir respuesta, la llamada falla. Se configura en segundos. El valor por defecto es 32 veces el valor del timer T1, por lo tanto con todos los timers por defecto será 16 segundos.
Sintaxis:
SIP Config$[no] timers b <1s..1m4s> Time value
b) TIMERS D
Es el tiempo que una transacción INVITE de cliente completada correctamente para la cual ya se ha enviado el ACK espera para pasar al estado terminado.
Se configura en segundos. El valor por defecto es de 32 segundos.
Sintaxis:
SIP Config$[no] timers d <16s..1m> Time value
c) TIMERS F
Configura el máximo tiempo que espera el equipo entre el inicio de una transacción no INVITE (ej. REGISTER) y la recepción de una respuesta del extremo remoto. Si pasa este tiempo sin recibir respuesta, la transacción falla. Se configura en segundos. El valor por defecto es 32 veces el valor del timer T1, por lo tanto con todos los timers por defecto es de 16 segundos.
Sintaxis:
SIP Config$[no] timers f <1s..1m4s> Time value
d) TIMERS H
Es el tiempo que una transacción INVITE de servidor retransmite la respuesta final mientras no reciba el ACK de la transacción cliente.
Se configura en segundos. El valor por defecto es 64*T1 segundos, por lo tanto con todos los timers por defecto es de 32 segundos.
Sintaxis:
SIP Config$[no] timers h <1s..1m4s> Time value
e) TIMERS J
Es el tiempo que una transacción no INVITE de servidor espera para pasar al estado terminado. En este tiempo retransmite la respuesta si le llega una retransmisión del mensaje inicial.
Se configura en segundos. El valor por defecto es 64*T1 segundos, por lo tanto con todos los timers por defecto es de 32 segundos.
Sintaxis:
SIP Config$[no] timers j <1s..1m4s> Time value
f) TIMERS KEEPALIVE
Define el tiempo entre dos paquetes de keep-alive. El tiempo por defecto es de 1 hora.
Sintaxis:
SIP Config$[no] timers keep-alive <30s.. 1d> Time value
g) TIMERS NO-ANSWER
Configura el tiempo que el protocolo SIP espera una respuesta definitiva a una transacción tras haber obtenido ya una respuesta provisional. En el caso típico de una transacción INVITE es el tiempo máximo que estará sonando el teléfono sin que el usuario llamado conteste.
Se configura en segundos. El valor por defecto es de 180 segundos.
Sintaxis:
SIP Config$[no] timers no-answer <1s..5m> Time value
h) TIMERS REGISTER
Define el tiempo entre registros cuando se registran los dial-peers tipo voice-port o group en el Registrar o en el proxy activo si no hay Registrar configurado.
Se configura en segundos. El tiempo por defecto es de 3600 segundos.
Sintaxis:
SIP Config$[no] timers register Set register expiry time
i) TIMERS T1
Define el tiempo mínimo que espera el protocolo SIP a recibir una respuesta antes de reenviar la petición. Cada vez que se reenvía una petición el tiempo de espera base T1 se duplica, hasta alcanzar el valor máximo de T2.
Sintaxis:
SIP Config$[no] timers t1 <1..20> Timer value in 1/10secs.
j) TIMERS T2
Define el tiempo máximo que espera el protocolo SIP a recibir una respuesta antes de reenviar la petición. Cada vez que se reenvía una petición el tiempo de espera base T1 se duplica, hasta alcanzar el valor máximo de T2.
Se configura en segundos. El valor por defecto es de 4 segundos.
Sintaxis:
SIP Config$[no] timers t2 <1s..10s> Time value
k) TIMERS T4
Es el tiempo que una transacción completada correctamente, una vez que ya ha recibido el ACK, espera antes de pasar a estado terminado. Aplica para todas las transacciones excepto la transacción INVITE cliente en cuyo caso se usa el timer D.
Se configura en segundos. El valor por defecto es de 5 segundos.
Sintaxis:
SIP Config$[no] timers t4 <1s..10s> Time value
l) TIMERS USE-T2-INVITE
Cambia el comportamiento de la transacción cliente de INVITE de forma que el intervalo de retransmisión nunca sea mayor que el tiempo T2. El comportamiento normal es que el intervalo entre retransmisiones se duplica en cada retransmisión. T2 es el intervalo máximo entre retransmisiones para transacciones distintas de INVITE según la norma RFC3261. Configurando este comando se usa T2 como límite también en las transacciones INVITE.
Sintaxis:
SIP Config$[no] timers use-t2-invite Use T2 (max retransmision interval) for INVITE
2.18.
[NO] TRANSPORT
Permite seleccionar el tipo de transporte que emplea SIP para las llamadas y registros salientes si los dialpeers o configuraciones de proxy no indican otro tipo de transporte. Los protocolos soportados son TCP, UDP y TSL. El protocolo por defecto es UDP, pero el servidor acepta los tres modos de transporte. Para aceptar conexiones TLS debe tener configurado un certificado de usuario mediante el comando crypto signaling default user.
a) TRANSPORT UDP
El protocolo utilizado es UDP.
Sintaxis:
b) TRANSPORT TCP El protocolo utilizado es TCP.
Sintaxis:
SIP Config$protocol tcp
c) TRANSPORT TLS
El protocolo utilizado es TLS sobre TCP. Para aceptar conexiones TLS debe tener configurado un certificado de usuario mediante el comando crypto signaling default user.
Sintaxis:
Capítulo 3
Monitorización
1.
Acceso al menú de monitorización
Los comandos de monitorización del protocolo SIP han de ser introducidos en el menú de monitorización asociado al SIP (SIP+). Para acceder a dicho menú se emplea el comando
PROTOCOL SIP en el menú de monitorización general (+).
+protocol sip SIP Mon SIP Mon+
Una vez que se ha accedido al menú de monitorización del protocolo SIP, se pueden introducir los comandos que se describen a continuación.
2.
Comandos de monitorización
2.1.
CLEAR
a) CLEAR SIP-STATISTICS
Pone todos los contadores relativos a los paquetes SIP a cero.
Sintaxis:
SIP Mon+clear sip-statistics
b) CLEAR UA-STATISTICS
Pone todos los contadores relativos a las llamadas SIP a cero.
Sintaxis:
SIP Mon+clear ua-statistics
2.2.
LIST
Lista información sobre el protocolo SIP.
a) LIST ALL
Lista todo lo relativo al protocolo SIP.
Sintaxis:
SIP Mon+list all
Ejemplo:
SIP Mon+list all
b) LIST BACK-TO-BACK
Lista la información relativa a la funcionalidad back-to-back, en concreto el proxy activo si lo hay y las transacciones back-to-back existentes así como su estado.
Sintaxis:
SIP Mon+list back-to-back
En el siguiente ejemplo se puede observar el proxy configurado que esta activo, así como una llamada back-to-back establecida.
Ejemplo:
SIP Mon+list back-to-back
Active proxy: sipserver.id.teldat.es
Leg Id: 876 State: 12 - Leg Id: 877 State: 12 SIP Mon+
c) LIST REGISTERED-USERS
Muestra todos los usuarios registrados en el router así como el tiempo restante de registro.
Sintaxis:
SIP Mon+list registered-users
Ejemplo:
En el siguiente ejemplo se puede observar que hay dos usuarios registrados, el 1202 y el 1201 pertenecientes al dominio asterisk.id.teldat.es, para cada uno de ellos se muestra su dirección de contacto actual y el tiempo que falta para que el registro expire.
SIP Mon+list registered-users
Dumping registered users, time since last purge 12 Locations for Registered User [email protected]: [email protected]:5060 ttl:28
Locations for Registered User [email protected]: [email protected]:5061 ttl:8
SIP Mon+
d) LIST SIP-STATISTICS
Muestra información sobre los paquetes SIP recibidos/enviados.
Sintaxis:
SIP Mon+list sip-statistics
Ejemplo:
SIP Mon+list sip-statistics
e) LIST SSL-SESSIONS
Muestra información sobre las sesiones ssl activas de SIP.
Sintaxis:
SIP Mon+list ssl-sessions
f) LIST UA-STATISTICS
Muestra información sobre las llamadas recibidas/realizadas.
Sintaxis:
SIP Mon+list ua-statistics
Ejemplo:
SIP Mon+list ua-statistics
2.3.
EXIT
Permite volver al menú de monitorización general.
Sintaxis:
Capítulo 4
Ejemplo
1.
Servidor SIP en modo emergencia
Una compañía desea instalar teléfonos SIP en todas sus oficinas de tal forma que las llamadas entre sus sucursales y la central, entre dos de sus sucursales, o entre sus sucursales y cualquier teléfono exterior sean encaminadas a través de un servidor central SIP, con dns id.teldat.es.
La compañía también desea que en caso de caída de la conexión IP entre la sucursal y la central o de retardo excesivo, los teléfonos SIP se mantengan operativos para poder realizar llamadas internas entre teléfonos de la propia sucursal, y que las llamadas externas se encaminen a través de una línea externa que está conectada a un gateway de voz. Dicho gateway realiza la conversión SIP-POTS.
A continuación se incluye un diagrama donde se representa una sucursal y la oficina central:
Para monitorizar la calidad de la conexión IP se configura una sonda nsm que monitoriza el retardo entre el GW-1 y el GW-2, si este retardo supera los 300 milisegundos se considera al proxy inalcanzable y se activa el “dial-peer” que encamina todas las llamadas externas por el GW-VOZ, dichas llamadas externas tienen el patron 9... o 6..., correspondientes a números fijos y móviles respectivamente. Cuando este “dial-peer” no está activo, las llamadas externas no encuentran ningún “dial-peer” de salida por lo que son enviadas al proxy.
Configuración:
A continuación se presenta la configuración del equipo GW-1, dicho equipo actúa de respaldo ante la caída del servidor central.
No se detalla la configuración de la línea WAN ya que esto depende del tipo de interfaz que se utilice (Frame-Relay, ADSL, etc.), es importante tener en cuenta que en dicha configuración se debe habilitar reserva de ancho de banda para asegurarnos que tanto el tráfico SIP como el tráfico que genera la sonda para medir la calidad de la conexión son tratados de manera preferente.
Se deben configurar dos dial-peers, el primero está activo únicamente cuando el proxy SIP se caiga y se encarga de desviar las llamadas externas por el GW-VOZ.
El segundo dial-peer tiene como target el proxy SIP por lo que únicamente está activo cuando lo esté el proxy, y se encarga de encaminar al proxy todas las llamadas entre dos teléfonos de la LAN (números con el patrón 12..).
Nótese que si este dial-peer no estuviera presente, las llamadas entre dos teléfonos de la LAN nunca se encaminarían al proxy aunque este estuviese activo, sino que sería el propio GW-1 el que haría de servidor Back-To-Back . Si este es el comportamiento que se desea basta eliminar dicho dial-peer.
; Showing System Configuration ... ; ATLAS Router 2 153 Version 10.7.9 log-command-errors no configuration telephony ; -- Telephony configuration – dial-peer 1 sip destination-pattern 6... destination-pattern 9... target ipv4 172.24.100.131 track nsla 1 exit ; dial-peer 3 sip destination-pattern 12.. target sip-proxy exit exit ; network ethernet0/0
; -- Ethernet Interface User Configuration -- ip address 172.24.100.133 255.255.255.248 ;
exit ;
protocol ip
; -- Internet protocol user configuration -- internal-ip-address 172.24.100.133 ; exit ; protocol sip ; application address 172.24.100.133 application server default
proxy id.teldat.es default
proxy id.teldat.es track nsla-advisor 2 ;
realm id.teldat.es exit
;
feature dns
; -- DNS resolver user configuration -- server 172.24.51.36
no cache enable exit
feature nsm
; -- Network Service Monitor configuration -- operation 1
; -- NSM Operation configuration -- type echo ipicmp 172.24.75.23 frequency 5
timeout 1000 exit
;
schedule 1 start-time now exit
;
feature nsla
; -- Feature Network Service Level Advisor -- enable
;
filter 1 nsm-op 1 rtt
filter 1 significant-samples 1 filter 1 activation threshold 300 filter 1 activation sensibility 80 filter 1 activation stabilization-time 25 filter 1 deactivation threshold 200 filter 1 deactivation sensibility 80 filter 1 deactivation stabilization-time 25 ;
alarm 1 filter-id 1 ;
advisor 1 alarm-id 1 ;
advisor 2 not alarm-id 1 ; exit ; dump-command-errors end ; --- end ---
2.
Servidor SIP con cifrado TLS y SRTP
En el ejemplo anterior se desea utilizar cifrado TLS/SRTP para cifrar las conversaciones entre los teléfonos y los media gateways. Para ello se configura el modo de transporte como tls y se cargan dos certificados, el teldatca.cer y el user.cer.
El teldatca.cer es el certificado de la autoridad de certificación de teldat y se utiliza para verificar que los certificados que envían los equipos que se quieren conectar al router mediante TLS están permitidos. Dichos certificados deben estar firmados por la autoridad de certificación teldatca.cer.
El user.cer es el certificado de usuario utilizado por el router cuando un cliente o un servidor TLS solicitan que se autentifique, dicho certificado esta firmado por la autoridad de certificación teldatca.cer. En dichos clientes/servidores debe estar configurado el certificado teldatca.cer como perteneciente a una autoridad de certificación válida para que reconozcan el certificado user.cer como válido.
Además se configura srtp en modo fallback, para que si no se consigue establecer la conversación por srtp la conversación se establezca sin cifrado.
; Showing System Configuration ... ; ATLAS Router 2 153 Version 10.7.9 log-command-errors no configuration telephony ; -- Telephony configuration – srtp mode fallback dial-peer 1 sip destination-pattern 6... destination-pattern 9... target ipv4 172.24.100.131 track nsla 1 exit ; dial-peer 3 sip destination-pattern 12.. target sip-proxy exit exit ; network ethernet0/0
; -- Ethernet Interface User Configuration -- ip address 172.24.100.133 255.255.255.248 ;
exit ;
protocol ip
; -- Internet protocol user configuration -- internal-ip-address 172.24.100.133 ;
ipsec
; -- IPSec user configuration --
key rsa file add 0x341DC332F23BD75492E8583A82F10A8CFCA4349F531563EF key rsa file add 0xCA002248A79CFCFE24FBBCE0FA9C3BF99B02C316C9C5EB44 key rsa file add 0xA2630B28F04183766A79C93BD967380425955159D32B7035 key rsa file add 0x448A8DB2954FA8E53132CDAFE7365FED6BAE5CA55ED8809E
key rsa file add 0x89191F4762B0850603BE8A61AFD3CC786EC5ED1EB08F191C key rsa file add 0xCF7B8FD6AF0C37BDF33BEC201C6B58B1FAC419DF8F68F525 key rsa file add 0x31F285C22AD9896587FE9095A8355C6F35075CDFAE7E2485 key rsa file add 0x6E75FC669194A00DED45B8AFDF3B99B6A162F7FE14B0F3B8 key rsa file add 0xDC0E4D442F9EC916D05F161BABA2D3D803AABADF64A8E6EC key rsa file add 0x1CBD2973DC158D77A872B75FE4E99277E877E49C117FC6D9 key rsa file add 0xC8E29F6D1D84030B955E1A6A15E2F15386CA5F6598148876 key rsa file add 0x0C27B15CF5D812C2922706CF25C7D42DE09DCB4330125C2B key rsa file add 0x911BC4C084B9ADE1D6D5B7DDDDD030692F2EC9E66E0E7D74 key rsa file add 0x782F99AC347A1BCAC42CEBCEF011F1D25646465BED83ABE9 key rsa file add 0xBCC82DFBE5BA79E4D024AA7F6AB05D03101335AD37882784 key rsa file add 0xF5F01429118037178894D1823871D8F498F9B2B5C1EB488D key rsa file add 0x9D6349C59E11A617F5622FFC33D8D6272D7C13C6F9B494CE key rsa file add 0x3148B09CB12A6B438EC87E272FBC4A0C629CD9DDCAC1B9A3 key rsa file add 0x8DFEC5C76588A09F6417A94ACF76313C89198FE0D7B5E1B2 key rsa file add 0x02249303A5A3731A0162B207950C41E18A3952DC84415084 key rsa file add 0x41E09EF3908BD169243C9A611D1EA318FCEF7A2BD0378108 key rsa file add 0xFD2E886FE114EAFBB1F18892F67FEA2173D8F05B5ED54B67 key rsa file add 0x0D649530B2392230C9AA2D9974777147DFBCCD2067222A11 key rsa file add 0x8C49A3D60E22901AC5103313CE5CC0B9FA1A2F1607BC55EE key rsa file add 0xA6EB05FB527E786CD4529F1388F6E66AFBFA41234902488E key rsa file end 0xB4303ABF65069D25D17145D8695CBD88EC0C92EECC210B36 cert
; -- Cert user configuration -- file new SAMPLE.CER
file add 0x308203DB308202C3A003020102020101300D06092A864886F70D010104050030 file add 0x818F310B3009060355040613025350310F300D060355040813064D6164726964 file add 0x311430120603550407130B547265732043616E746F7331143012060355040A13 file add 0x0B54656C64617420532E412E311B3019060355040B131249502054656C657068 file add 0x6F6E792047726F7570312630240603550403131D546564617420436572746966 file add 0x69636174696F6E20417574686F72697479301E170D3037303631313135323731 file add 0x335A170D3137303630383135323731335A3073310B3009060355040613025350 file add 0x310F300D060355040813064D616472696431143012060355040A130B54656C64 file add 0x617420532E412E311B3019060355040B131249502054656C6570686F6E792047 file add 0x726F75703120301E0603550403131753616D706C652055736572204365727469 file add 0x666963617465305C300D06092A864886F70D0101010500034B003048024100D7 file add 0xE5733321E3FFFEBC36011D2AF3A2EE4D2DA995C62E064AD1D625AB451DDB0A7E file add 0x2614ED2E832A382607D01CCA2DA1687F9BC9D0EA0F6A4C0C23CCBDFC94463102 file add 0x03010001A38201233082011F30090603551D1304023000302C06096086480186 file add 0xF842010D041F161D4F70656E53534C2047656E65726174656420436572746966 file add 0x6963617465301D0603551D0E0416041423F7EC38E8281BE6E95D1C4D09DFB04D file add 0x53909A1F3081C40603551D230481BC3081B980142C24D56B5333A7AFB4718F81 file add 0x5F76204B28E4AFF4A18195A4819230818F310B3009060355040613025350310F file add 0x300D060355040813064D6164726964311430120603550407130B547265732043 file add 0x616E746F7331143012060355040A130B54656C64617420532E412E311B301906 file add 0x0355040B131249502054656C6570686F6E792047726F75703126302406035504 file add 0x03131D54656461742043657274696669636174696F6E20417574686F72697479 file add 0x82090088C278A06A7220C5300D06092A864886F70D010104050003820101007A file add 0xABF460D76CEECA2C4B6AE2203F9A1546B6DC646DC54F3D92D8EE57371496AA89 file add 0x170A6BF836D7A40BD608480B73D53F8C38B27C110532B1B2B8E0967F3BB67DA3 file add 0x7503EB26B08417D17246190E1D0584F325C1CA691748730AF1B1B9EB6E8F06B6 file add 0x85F8A4600927F5F68E08D042DEBE97E62500C3D4AE19A3302B085FF572D0E5C8 file add 0x68C56B6D1923EE9E33A50222A9D48A0515B44C2D324C6CDFB8E1B0F3D5E56FC1 file add 0xEF618B5898E613E4EFC194D782B8241C1267523A6D8A02449D6AA07A609D4279 file add 0x1739E27DA61804160075C9617E8D5C585A8F0E0400DD2650FC372EE8F7B22F3D file end 0xEEA5B7701DD27E44870E49F1486930B28E6D45874AA62D3F4F1BEFA4EAEF84 file new TELDATCA.CER
file add 0x3082049B30820383A00302010202090088C278A06A7220C5300D06092A864886 file add 0xF70D010104050030818F310B3009060355040613025350310F300D0603550408 file add 0x13064D6164726964311430120603550407130B547265732043616E746F733114 file add 0x3012060355040A130B54656C64617420532E412E311B3019060355040B131249 file add 0x502054656C6570686F6E792047726F7570312630240603550403131D54656461 file add 0x742043657274696669636174696F6E20417574686F72697479301E170D303730 file add 0x3631313135313431365A170D3137303630383135313431365A30818F310B3009 file add 0x060355040613025350310F300D060355040813064D6164726964311430120603 file add 0x550407130B547265732043616E746F7331143012060355040A130B54656C6461 file add 0x7420532E412E311B3019060355040B131249502054656C6570686F6E79204772 file add 0x6F7570312630240603550403131D54656461742043657274696669636174696F file add 0x6E20417574686F7269747930820122300D06092A864886F70D01010105000382 file add 0x010F003082010A028201010099246D67DC070A4B0F03391D32FA98C9402739E7 file add 0x095B0FC06A2EBB4CE6D7862FDAE30E533A76DFF0B2A3B0659A9A4B0C53AA7B8A
file add 0xFEE7E2B77A2AACABD6AFD2D723FD5DF10D8957EC9AEDDDABD7A1922A60E62C70 file add 0x135EB101DA465C9A5DA1BF333A453088A68989BF0BB13137F2EA5A036895FBE6 file add 0xD048830A7266B8AE794F5B5C27F6300998CC1330A093EEF4FB39F704215CC1EC file add 0xFD515BDA614CC990B124D383B48C951C53374736596DB5E9A2CE3B9A91C2FB78 file add 0xC737285D15586E6D9A063ECBB9C8EC3AB82811DB1C9A06BC90AECF61D7ADC6AB file add 0x62D67E917E33F605798052B2A1F75737EB57DACEFFA9371A4A48BD2143C19BFA file add 0x15313F28D92534D6F998A1FB0203010001A381F73081F4301D0603551D0E0416 file add 0x04142C24D56B5333A7AFB4718F815F76204B28E4AFF43081C40603551D230481 file add 0xBC3081B980142C24D56B5333A7AFB4718F815F76204B28E4AFF4A18195A48192 file add 0x30818F310B3009060355040613025350310F300D060355040813064D61647269 file add 0x64311430120603550407130B547265732043616E746F7331143012060355040A file add 0x130B54656C64617420532E412E311B3019060355040B131249502054656C6570 file add 0x686F6E792047726F7570312630240603550403131D5465646174204365727469 file add 0x6669636174696F6E20417574686F7269747982090088C278A06A7220C5300C06 file add 0x03551D13040530030101FF300D06092A864886F70D0101040500038201010047 file add 0x5E868ECD7A4AACF4E2FFD125E45BF9F71B2AF020CCEDEC5A9532630CD4FE3E8B file add 0xED1E5755B822997E05437AB19EB35E617093B5900CF323162A99D7D5DF590E01 file add 0xAA66C395D0DAE3952180624DF2BDD33970D1174292C390A86337C6A0783E3CC8 file add 0xD5A9053CDB4C393F8D05C27E4B45DCBF77AA907F5BBEAD682E786DBD4BA231EC file add 0x91C3D7078A7380DED019CB7FC15CA0D8A35C31A4084E639EB18F90AADF13D10C file add 0x59A26B27F25773E9CEC702846EAE69C1C7F482769A9FC0C3274BB6A9FF9CBEB8 file add 0xF36E44EC3789BF06596AAAE88DFF6D4AB1824804C160FC39D9181CA34957987C file end 0xD332635C7E7F8EA7F5866C0A574ED043E5B110DC5DB5CE8507721D9A08F7DF ;
certificate SAMPLE.CER load certificate TELDATCA.CER load exit ; exit ; exit ; protocol sip ; application address 172.24.100.133 application server default
proxy id.teldat.es default
proxy id.teldat.es track nsla-advisor 2 ;
crypto signaling default ca teldatca.cer crypto signaling default user sample.cer transport tls
realm id.teldat.es exit
;
feature dns
; -- DNS resolver user configuration -- server 172.24.51.36
no cache enable exit
;
feature nsm
; -- Network Service Monitor configuration -- operation 1
; -- NSM Operation configuration -- type echo ipicmp 172.24.75.23 frequency 5
timeout 1000 exit
;
schedule 1 start-time now exit
;
feature nsla
; -- Feature Network Service Level Advisor -- enable
;
filter 1 nsm-op 1 rtt
filter 1 significant-samples 1 filter 1 activation threshold 300 filter 1 activation sensibility 80
filter 1 activation stabilization-time 25 filter 1 deactivation threshold 200 filter 1 deactivation sensibility 80 filter 1 deactivation stabilization-time 25 ;
alarm 1 filter-id 1 ;
advisor 1 alarm-id 1 ;
advisor 2 not alarm-id 1 ; exit ; dump-command-errors end ; --- end ---