思科协作|理解Toll Fraud(话费欺诈) 扩展15.1(2)T

yeslab官方

4月1日

YESLAB协作课程开课

全国独家

【课程对象】
对思科协作产品感兴趣或对语音视频相关产品有学习需求的工程师或学生；


【入学要求】
· 有数通路由交换基础NA为最佳
· 零基础的学员提前做好课程预习（课程家视频）
· 从事协作工作的相关工程师，可直接学习。
· 从事协作工作的相关工程师对整体架构和产品有深入了解的同学可以直接进入IE版本学习。

【课程目标】
完成所有课程学习，并按要求完成实验练习；
学完成后能够掌握：
1. 思科协作产品架构 – 协作产品解决方案部署中所需要的基础组件和核心组件如CUCM，Voice Gateway，CUCME ，IM&P等
2. 思科协作产品协议 – 协作产品通信协议详解
SIP 作为主流音视频通信协议，SIP通信流程和常见排错
H323 上一代音视频通信协议组，讲解标准通信流程和排错
SCCP 思科话机常用注册协议，通信过程和设备注册要点
MGCP 思科语音网关通信协议，与CUCM的交互
3. 思科协作产品配套功能支持 – 协作产品架构解决方案部署中不仅能提供基础组件通信，同时还有丰富的配套功能支持如：Mobility，SRST，AAR，CUBE，Auto Attendant等等，这些实施中常见的配置也需要掌握


Toll Fraud
在CME 4.3/7.0时代，早期H.323 / SIP Trunks toll fraud restrictions使用方法：

场景一和场景二

                               
登录/注册后可看大图

正常情况下CME2可以通过公网访问CME1相连的PSTN出局。但是这时候如果一台非法用户通过公网建立到CME1的连接之后也可以访问CME1相连的PSTN,倘若这是一个合法的用户通过VPN拨入到公司内部，然后通过CME1也可以访问到PSTN。
Configuration CME 1 interface serial 0/0
ip access−group 100 in
!
access−list 100 permit ip 10.1.1.2 255.255.255.255 any

如果非法的用户通过端口扫面H323(TCP 1720)和SIP(TCP 5060和UDP 5060)建立与CME1的H323或是SIP连接后也可以通过CME1相连的SIP VOIP SP出局访问到PSTN.假如Rogue IP PBX拨9011长途到CME-1.
方法一
Configuration CME 1 interface serial 0/0
ip access−group 100 in！
access−list 100 permit udp host 1.1.1.254 eq 5060 any !−−− 1.1.1.254 is SP SIP proxy
access−list 100 permit udp host 1.1.1.254 any eq 5060 access−list 100 permit udp any any range 16384 32767
方法二
这种恶意呼叫的流量是hairpin方式，因为出局到SIP VOIP SP的DIAL-PEER 9T通常也可以入向匹配，入向匹配
完成后又会进行出向匹配就导致发卡流量的产生。 dial−peer voice 1001 voip
permission term（origin/both/none）
通过指定Dial-peer只作为出向的CALL LEG匹配。
方法三
通过Translation BLOCK相应的入向呼叫 voice translation−rule 1000
rule 1 reject /^9011/
voice translation−profile BLOCK translate called 1000
dial−peer voice 1000 voip
15.1(2)T之后缺省打开了Toll Fraud的特性，这个特性会BLOCK 所有的VOIP 的呼叫建立。
RACK1_R3(config)#voice service voip
RACK1_R3(conf-voi-serv)#ip address trusted authenticate（缺省命令，默认看不到）

容许通过的呼叫
1.路由器会自动将VOIP DIAL-PEER
下Session target ipv4后的地址加入到Trust List.
dial-peer voice 2300 voip destination-pattern [23]...$ session protocol sipv2
session target ipv4:142.1.64.254 dial-peer voice 4220 voip destination-pattern 4220 session protocol sipv2
session target ipv4:142.102.66.253
show ip address trusted list
IP Address Trusted Authentication Administration State: UP Operation State: UP
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer TagOper StateSession Target
--------------------------------
2300UPipv4:142.1.64.254
4220UPipv4:142.102.66.253
IP Address Trusted List:

2.可以显式添加网段，最多只能定义100个条目
voice service voip
ip address trusted list
ipv4 203.0.113.100 255.255.255.255
ipv4 192.0.2.0 255.255.255.0
show ip address trusted list
IP Address Trusted Authentication Administration State: DOWN Operation State: DOWN
IP Address Trusted Call Block Cause: call-reject (21)
VoIP Dial-peer IPv4 Session Targets:
Peer TagOper StateSession Target
--------------------------------
IP Address Trusted List:
ipv4 203.0.113.100 255.255.255.255
ipv4 192.0.2.0 255.255.255.0
3.接收所有的IP作为源来发起呼叫建立
voice service voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0
voice service voip
no ip address trusted authenticate
4.排查：
1.Debug voip ccapi
CALL_ERROR; Avlist Set Is Failed
>>>>CCAPI handed cid 261 with tag 2300 to app "_ManagedAppProcess_TOLLFRAUD_APP" Aug 21 04:39:56.585: //261/3205BB800000/CCAPI/ccCallDisconnect:
Cause Value=21, Tag=0x0, Call Entry(Previous Disconnect Cause=0, Disconnect Cause=0)
2.使用保存在呼叫历史记录里的internal error code (IEC) 1.1.228.3.31.0来查看，可以公国IEC来监控呼叫failed 或是rejected
步骤1：查看(Toll fraud call rejected)代码的描述
Router# show voice iec description 1.1.228.3.31.0
IEC Version: 1
Entity: 1 (Gateway)
Category: 228 (User is denied access to this service)
Subsystem: 3 (Application Framework Core)
Error: 31 (Toll fraud call rejected)
Diagnostic Code: 0
步骤2：激活IEC的状态记录而后通过show命令可以查看Toll fraud 错误下的rejected次数。
Router(config)#voice statistics type iec Router#show voice statistics iec since-reboot Internal Error Code counters
----------------------------
Counters since reboot:
SUBSYSTEM Application Framework Core [subsystem code 3]
[errcode 31] Toll fraud call rejected 2
步骤3：激活IEC的syslog
Router (config)#voice iec syslog
如果有由于Toll fraud 原因REJECT的呼叫会有如下提示信息。
Feb 11 01:42:57.371: %VOICE_IEC-3-GW: Application Framework Core:
Internal Error (Toll fraud call rejected): IEC=1.1.228.3.31.0 on callID 288 GUID=DB3F10AC619711DCA7618593A790099E
也可以通过如下命令明细查看呗拒绝的源地址是什么
Router# show call history voice last 1
GENERIC: SetupTime=3306550 ms Index=6
...
InternalErrorCode=1.1.228.3.31.0
...
RemoteMediaIPAddress=1.5.14.13
TWO-Stage Dialing
15.1(2)T【Cisco Unified CME 8.1】之后缺省打开了DID的特性.

如果需要两阶段的拨号，需要在全局或FXO下打开两阶段拨号。

voice service pots

no direct-inward-dial isdn

For inbound FXO calls:

voice-port <fxo-port> secondary dialtone

网址：www.yeslab.net

                               
登录/注册后可看大图