Ví dụ giả sử ở đây, chúng ta có 1 tổng đài IP PBX nội bộ chạy local ở back-office. Mong muốn các User, client sử dụng Internet ở ngoài back-office. Mà không phải NAT tổng đài ra Public, tránh bị tấn công từ ngoài Internet.
Giải Pháp: Sử dụng SBC (Session Border Controller) để thỏa mãn mong muốn trên. Ở đây ta sử dụng thiết bị Dinstar SBC1000, mô hình như sau:
Tổng đài sẽ kết nối trunk peer với SBC local. SBC có nhiệm vụ sẽ hứng các đăng ký từ ngoài Internet để routing đến tổng đài và chiều ngược lại.
1. Mô hình kết nối
Yêu cầu:
- Cần trang bị thiết bị Dinstar SBC1000
- 1 IP tĩnh NAT ra Internet cho SBC
2. Chuẩn bị
Đầu tiên, ta kết nối nguồn điện và 1 dây mạng kết nối trực tiếp đến cổng Admin (như hình dưới), đặt địa chỉ IP trên cổng Ethernet của máy tính là 192.168.11.x/24, trừ địa chỉ IP 192.168.11.1 là của thiết bị ( ví dụ: 192.168.11.2)
2.1, Đăng nhập
Truy cập web GUI trên trình duyệt:
User name: admin
Password: admin@123# (default)
Nhập capcha
Sau khi đăng nhập ta có giao diện sau:
2.2, Đặt IP address
Đặt địa chỉ IP cho thiết bị, ở đây bạn sử dụng cổng GEO như sau:
Vào System (1) => Network (2) chọn edit (3)
Đặt thông số địa chỉ IP, các thông số trong khung bên dưới
Lưu ý:
IP local này cần được NAT (in,out) cho 1 IP tĩnh. Thông số NAT trên Router như sau:
- One port UDP SIP register Public: 7001 (có thể thay đổi theo kịch bản )
- Range port UDP : từ 10000 đến 65000
Tiếp theo, cho phép cổng GEO truy cập vào web GUI, SSH và ping, như sau:
Chọn Security => Access Control, bật allow Web Server, SSH, Ping IPV4 cho cổng GE0
Sau đó restart lại thiết bị. Sau khi restart, ta có thể truy cập thiết bị từ mạng LAN thông qua cổng GE0 (GE0 phải được kết nối với mạng LAN của office) hoặc là quyền quản trị (kết nối từ cổng Admin, kết nối như trên).
3. Cấu hình Trunk, Routing đến đài
3.1, Access network
Trước tiên, ta cần tạo access register từ Internet. Vào Service (1) -> Access Network (2) > Add (3)
Sau khi xuất hiện bảng add Access Network, ta nhập các thông số sau:
- Name: tên Trunk
- Description: mô tả
- Port: port đăng ký public (lúc này tiến hành NAT port 7001)
Vì đăng ký từ mặt ngoài internet nên ta sẽ thay đổi port register mặc định 5060 để có thể tăng cường bảo mật.
Bấm chọn Advance sẽ hiển thị thêm thông tin
- Mục Near-end NAT, chọn Static
- NAT IP: IP public cần NAT
- SIP NAT port: port đăng ký public
- Domain Filter (option): nếu cần thêm bảo mật, ta sẽ thêm 1 domain ảo để làm outbound proxy
Các thông số còn lại để mặc định, sau đó nhấn Save lưu lại.
Sau đó Save lại và Apply config
3.2, Core SIP Trunk
Tiếp theo tạo Core SIP Trunk với tổng đài. Vào Service (1)-> Core SIP Trunk (2)-> Add (3)
Bảng thông báo Add Core SIP Trunk thêm các thông số sau:
- Name: Tên Trunk
- Desciption: mô tả
- Port: port giao tiếp với tổng đài (default port: 5060)
- Remote IP: Port: IP kết nối tới tổng đài + port (ví dụ: 172.16.1.71:5060)
Sau đó Submit để lưu lại
3.3, Routing
Chọn Routing cho các client đăng ký từ Internet về tổng đài thông qua SBC. Chọn Service (1) -> Routing Profile (2) -> Call Routing (3) -> Add (4)
Bảng thông báo Add Call Routing hiện lên:
- Description: mô tả – Source: Access Network
- Register from Outsite (Internet)
- Destination: Core SIP Trunk – trunk tổng đài
Sau đó nhân Save để lưu lại
Tiếp theo: tạo routing ngược lại, từ trong tổng đài đi ra client:
Chọn Add thêm lần 2, bảng Add Call Routing hiện lên, ta điền như sau:
- Description: Mô tả
- Source: Core SIP Trunk – trunk tổng đài
- Destination: Access Network – register from Outsite (Internet)
Sau đó nhân Save lại.
Apply config vừa tạo
3.4, Kết nối từ tổng đài nội bộ IP PBX
Ta vào đài nội bộ IP PBX, tạo 1 SIP trunk tới SBC (ở đây mình sử dụng tổng đài Asterisk)
Kiểm tra kết quả, trạng thái Trunk OK
Lúc này đã hoàn tất routing
Trên đây là phần hướng dẫn Routing Dinstar SBC1000.
Chúc các bạn thành công!
