Unified Communications Licenses

Лицензия дает возможность использования следующего функционала:

  • Phone proxy;
  • TLS proxy;
  • Presence federation proxy.

Функция Phone proxy позволяет терминировать на ASA SRTP/TLS сессии. Технология позволяет IP-телефонам создавать SRTP/TLS-туннели между пользовательским телефоном в удалённой локации и фаерволам ASA, который установлен в офисе компании. Данный функционал использует защищённые соединения между ASA и телефоном в случае, если IP АТС не поддерживает функций шифрования вообще. Также эта технология позволяет между IP-телефоном и ASA устанавливать безопасные соединения, тем самым снижая нагрузку, связанную с шифрованием, с самой IP АТС.

Phone Proxy работает совместно с IP АТС Cisco UCM. Cisco UCM может быть настроено в режимах nonsecure mode или mixed mode. Вне зависимости от режима Cisco UCM, удалённые телефоны, поддерживающие шифрования, могут быть установлены в режим шифрования (encrypted mode). Сессии TLS (сигнализация) и SRTP (передача медиа-данных) при этом терминируются на ASA. МСЭ выполняет инспекцию сигнальных протоколов SCCP или SIP, выполняет функцию NAT для пакетов. Если Cisco UCM работает в nonsecure mode, межсетевой экран ASA выполняет следующие функции:

  • конвертирует TLS в TCP;
  • конвертирует SRTP в RTP.

Функция Presence federation proxy, осуществляет функции TLS proxy для сессий между Сisco Unified Presence servers и Cisco/Microsoft Presence servers. Данные сервера предназначены для сбора и предоставления информации о текущих статусах пользователей («доступен», «нет на месте» и т.д.). Использование межсетевого экрана ASA в качестве Secure Presence Federation Proxy позволит осуществлять инспекцию трафика между соответствующими Presence-серверами и применять правила политики безопасности для SIP-сессий между ними.

Лицензии различаются по количеству одновременных сессий от 24 до 10000, при этом не зависит от модели ASA. Следует учесть, что для каждой модели ASA существует ограничение по возможным одновременным TLS-сессиям. Примерами лицензий являются:

  • ASA-UC-24
  • ASA-UC-50
  • ASA-UC-100 и т. д.

Существуют также лицензии типа IME (Intercompany Media Engine), они являются опцией для UC лицензии и позволяют организовывать безопасную связь между компаниями или филиалами организации, использующими Cisco UCM. Реализация данной технологии подразумевает использование трёх основных компонентом – CUCM, CU-IME сервер и МСЭ ASA. Данная технология позволяет динамически открывать доступ на МСЭ для совершения звонков между двумя IP АТС через публичную сеть Интернет в случае, если предварительно данный звонок осуществлялся через ТфОП (PSTN).

Для реализации технологии IME, ASA должна выполнять две функции:

  • Проверка ticket;
  • Fallback to PSTN.

Проверка ticket. Технология IME использует механизм «tickets and passwords» для защиты от несанкционированных звонков. Чтобы разрешить звонки через Интернет от незнакомой компании, сначала должен быть успешно осуществлён и зарегистрирован на IME Server звонок от этой же компании, но через PSTN. При успешной регистрации IME Server создаёт описание компании – ticket, - разрешающее осуществлять звонки уже через Интернет. Ticket формируется на IME Server и передаётся на ASA. Исходя из информации в ticket ASA разрешает, либо запрещает те или иные звонки через Интернет. IME Server и ASA разделяют общий password для того, чтобы ASA получала tickets только от доверенного IME Server.

Fallback to PSTN. Технология IME осуществляет переключение звонков из Интернет обратно на PSTN в зависимости от качества обслуживания. Для реализации данной функции МСЭ ASA должен осуществлять мониторинг RTP трафика и отправлять информацию о QoS на IME Server для принятия решения о переводе звонка на PSTN. Лицензии IME существуют для каждой модели ASA и бывают типа K8 и К9. Для лицензий типа K8 нет ограничений на правила ввоза, но количество одновременных TLS-сессий ограничивается 1000. Примерами лицензий являются: ASA5505-ME-K8, ASA5505-ME-K9, ASA5510-ME-K8, ASA5510-ME-K9 и т. д.


Добавлено: Декабрь 11, 2017
|
Категории: FAQ