Инспекция SIP на Cisco ASA ну или SIP ALG

 Для того чтоб SIP АТС, будучи за Inside интерфейсом, могла работать с внешней АТС за Outside интерфейсом, необходимо чтобы ASA после трансляции адресов заменила некоторые поля в пакете SIP и SDP.

 В принципе это работает из коробки, так как по умолчанию этот функционал включен:

policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect icmp error
  inspect ipsec-pass-thru 

 Он включается строкой  inspect sip в policy-map.

Это может быть и не дефолтная политика а та которая применяться к интерфейсу но это уже не по умолчанию.

Так вот работает это только с не шифрованным SIP (то либо UDP либо TCP SIP без TLS)

Но возникла проблема что в случае порта не 5060 (у меня был 5160) ничего не происходит.

Проверить можно пакет трейсером.

Если вы не видите там чтото типа:

Phase: 10
Type: INSPECT
Subtype: inspect-sip
Result: ALLOW 

То сделайте отдельный class-map, пример:

class-map SIP_5160
 match port udp eq 5160

 А в policy-map сделайте так:

policy-map global_policy
 class class_sip_tcp
  inspect sip

Еще раз проверьте пакет трейсером ну и можно повесить capture на inside и outside и сравнить что заменила ASA