Аптеки
Использование IP - телефонии помогает снизить расходы на связь. Грамотная оптимизация сетевой инфраструктуры помогает упростить ее администрирование.
Крупная аптечная сеть
Задача
Снизить расходы на телефонную и Интернет-связь в аптечных пунктах, предложить оптимизацию сетевой инфраструктуры.
Процесс
В аптечной сети (более 1000 аптечных пунктов по Москве и области) была установлена IP-телефония на базе Cisco CM 9.4 и Linksys SPA-112, что позволило в 2 раза снизить ежемесячные расходы на связь, так как внедрение IP-телефонии позволило отказаться от договоров с поставщиками телефонной стационарной связи, а также позволило бесплатно общаться внутренним абонентам друг с другом. Помимо этого, объединив все исходящие звонки в один транк, добились снижения тарифов от основного поставщика телефонной связи в связи с увеличением количества минут в месяц, которые до внедрения IP-телефонии распределялись между десятками поставщиков стационарной связи в аптечных пунктах.
IP-телефония установлена поверх VPN-каналов, работающих на Cisco Router 8xx, Mikrotik hEx и hEx Lite с использованием протокола динамической маршрутизации OSPF. Терминирующие роутеры для VPN – 3945e с HSEC, средняя дневная нагрузка шифрованного трафика – 350Мбит/сек. Пограничные маршрутизаторы держат корпоративную AS с сетью /24, VPN-туннели строятся к PI-адресам IPv4. Аплинки – eBGP с вышестоящими провайдерами с full-view. Межсетевой экран с глубокой инспекцией (DNS query inspect) – две ASA5540 в режиме Active/Standby. Внедрена система белых листов для разграничения доступа в Интернет на базе ASA5540 для аптечных пунктов.
Результат
Внедрение IP-телефонии позволило сэкономить 50% средства от изначальных платежей на связь. Для упрощения администрирования сети внедрен протокол OSPF. Настроена удобная система фильтрации нежелательного Интернет-трафика.
Фармацевтическая сеть
Задача
Снизить затраты на телефонную связь в большом количестве территориально распределенных небольших офисах, устранить потенциальные единые точки отказа в сервисе телефонной связи.
Процесс
У заказчика в качестве центральной АТС развернут кластер CUCM 7.5 в режиме pub+sub (1+1), IP-телефония полностью на оборудовании Cisco. Border-элемент – Cisco 2811 с dsp-модулем и функционалом CUBE. Телефоны и VOIP-шлюзы подключены к CUCM, выступающей в роли центральной АТС с четырехзначным dial-plan’ом ZXXX, где Z – внутренний номер региона места нахождения телефона.
Резервирование подключения к поставщикам телефонной связи реализовано через разные preference на бордере 2811:
dial-peer voice 105 voip description <<<< Moscow City Calls to Provider1 >>>> translation-profile outgoing CUT0_ONLY destination-pattern 0849[579].......$ session protocol sipv2 session target ipv4:172.24.17.209 session transport udp voice-class sip transport switch udp tcp dtmf-relay rtp-nte codec g711alaw no vad preference 1 dial-peer voice 106 voip description <<<< Moscow City Calls to Provider2 >>>> translation-profile outgoing CUT0_BEELINE destination-pattern 0849[579].......$ no notify redirect ip2ip session protocol sipv2 session target ipv4:192.168.217.16 voice-class sip transport switch udp tcp dtmf-relay rtp-nte codec g711alaw no vad preference 2Таким образом, при недоступности первого оператора связи, звонки по маскам 8495XXXXXXX, 8497XXXXXXX, 8499XXXXXXX отправляются на второго оператора связи. Узкие места телефонии обведены красным на схеме.

Подключение к провайдеру SIP-телефонии организовано через Интернет-канал, который не зарезервирован – подключение через 1 маршрутизатор, при выходе из строя которого Интернет-подключение, а с ним и подключение к провайдеру SIP-телефонии, будет утеряно.
Вторым узким местом обозначен линк между кластером CUCM и центральным коммутатором 3750. Подключение обоих АТС было произведено к одному коммутатору, при выходе из строя которого весь сервис телефонии был бы невозможен.
И, наконец, узким местом обозначен SIP-транк между АТС (CUCM) и SIP-шлюзом (Cisco 2811) и сам SIP-шлюз. Маршрутизация всех звонков происходила через отправку звонков только на один шлюз (2811), при выходе из строя которого вся внешняя входящая и исходящая связь также прекращалась.
Было принято решение обеспечить резервирование Интернет-канала путём добавления ещё одного маршрутизатора, внедрить iBGP между двумя пограничными маршрутизаторами с установлением eBGP-соседства с Интернет-провайдерами.
Для повышения надежности соединения pub и sub серверов телефонии они были подключены к разным коммутаторам Cisco 3750, а 3750 между собой объединены в единый стек, таким образом IP-адрес шлюза по умолчанию для CUCM остался прежним.
Третье узкое место устранено внедрением находящимся у заказчика в холодном резерве CUBE-маршрутизатором 2811 с dsp-модулем и созданием ещё одного SIP-транка на CUCM.
На самих CUBE dial-peer’ы также распределяют звонки согласно preference, пытаясь отправить звонок через наиболее выгодного для данного звонка оператора связи. Для снижения стоимости звонков на CUCM был внедрен сервис TEHO путём запроса def-кодов у оператора Билайна.
Таким образом, сотрудник, набирая любой номер, автоматически звонит через наиболее дешевого провайдера телефонии. АТС получает запрос на звонок на номер, выбирает через destination-pattern наиболее подходящий транк (в качестве которого прописан наиболее дешевый провайдер для данного направления звонка) и отправляет звонок на него. Для снижения стоимости исходящих звонков на мобильные номера были приобретены GSM-шлюзы, и при звонке на номера операторов мобильной связи подставлялись, АТС отправляет звонки на GSM-шлюзы соответствующего звонку оператора мобильной связи. Оптимизированная схема телефонии:
Результат
Более чем в 5 раз снижены затраты на звонки в офисах с помощью внедрения GSM-шлюзов и логики TEHO (отправка звонка на наиболее выгодный шлюз по маске набранного номера). Спроектирована и реализована отказоустойчивая сетевая схема с использованием аппаратного и программного резервирования.
Фармацевтическая компания
Задача
В связи с переездом в новый офис настроить IP-телефонию для офисных сотрудников и 200 аптечных пунктов. Спроектировать сетевую архитектуру, построить масштабируемую сеть передачи данных
Процесс
В качестве пограничных маршрутизаторов было принято решение приобрести маршрутизаторы Cisco ISR 4331. Каждый маршрутизатор по протоколу eBGP связан с отдельным провайдером Интернета, а по iBGP обменивается информацией друг с другом. На роль IGP был выбран EIGRP в связи с тем, что вся сетевая архитектура центрального офиса принципиально построена на базе оборудования Cisco. Преимуществом EIGRP является простота настройки, поддержки и мониторинга процесса сходимости сети.
Аптечные пункты подключены к центральному офису как через IPVPN-облака ряда провайдеров, так и поверх сети Интернет с использованием VPN на базе Mikrotik hEx lite и Juniper SRX100. В некоторых аптеках установлена Cisco C881. Для объединения «филиальных» сетей в единую сеть был использован протокол IPSEC в транспортном режиме, терминирование которого происходит на PI IPv4 адресе, распределенном по HSRP между двумя пограничными маршрутизаторами.
Для построения телефонной инфраструктуры был выбран Asterisk. Преимуществом Asterisk перед другими решениями является бесплатность дистрибутива и большое коммунити, поэтому это программное обеспечение уже было опробовано в самых разных сценариях установки. Asterisk в целях создания отказоустойчивости был установлен как виртуальная машина на гипервизор KVM QEMU на Centos 7. Кстати говоря, в популярной книге «Asterisk: The Future of Telephony (авт. Jim Van Meggelen, Leif Madsen, Jared Smitb) отмечается, что выбор ОС для Asterisk дело вкуса.
Создание виртуальной машины для Астериск на базе Centos 7:
virt-install -n AstOfVirtual1 \ --noautoconsole \ --network=bridge:br0 \ --ram 2048 --arch=x86_64 \ --vcpus=1 --cpu host --check-cpu \ --disk path=/images/AstOfVirtual1-disk1.img,size=100 \ --cdrom /var/distr/CentOS-7-x86_64-Minimal-1708.iso \ --graphics vnc,listen=0.0.0.0,password=После чего следует включить автозагрузку только что созданной виртуальной машины:\ --os-type linux --os-variant=rhel7 --boot cdrom,hd,menu=on
virsh autostart AstOfVirtual1
Мгновенно после этих команд виртуальная машина начнет грузиться с указанным ISO. Чтобы подключиться к её виртуальному "монитору", надо скачать vnclient. Подключиться к гипервизору (IP-адреса сервера, на котором поднимаем виртуальную машину), указав через двойное двоеточие порт 5900 для свежей виртуальной машины. Посмотреть реально используемой порт tightVNC для конкретной машины можно с помощью команды virsh vncdisplay название ВМ (названия которых можно увидеть через virsh list --all) если увидим :0 - это 5900 :1 - 5901 :2 - 5902 и т.д. Для того, чтобы исключить возможность совершения звонков за счёт компании, сервер с Asterisk был отключен от Интернет для всех хостов, кроме непосредственно IP-адресов соответствующих серверов провайдеров SIP-телефонии. Подключения к Asterisk изнутри компании возможно только по внутренним адресам. На публичные интерфейсы пограничных роутеров повешены антиспуфинговые (RFC1918) ACL.
Результат
Спроектирована и настроена сеть передачи данных для всей компании. С помощью системы мониторинга Zabbix настроен контроль ключевых параметров инфраструктуры. С нуля создана и сдана в работу телефония в связке Centos-Asterisk, конечными устройствами служат программы Softphone и IP-телефоны. Доступ к корпоративным телефонам из дома построен с использованием безопасной связи VPN IPSEC (Cisco Easy VPN).
Стомалогические сети
Для стоматологических сетей актуальны возможности IP -телефонии, систем видеонаблюдения, организации Wifi.
Сеть стоматологий
Задача
Организовать видеонаблюдение залов приёма посетителей в стоматологических центрах, предоставить услугу WiFi ожидающим клиентам.
Процесс
В стоматологическую сеть по всей стране установлены система видеонаблюдения Zorq ZQ-IPC1-DHO-36FU и ZQ-IPC2-DHS-28FU с подключением к локальным видеорегистраторам и записью архивных данных. В крупных центрах внедрили WiFi для ожидающих клиентов на базе оборудования Cisco AIR CT5508-HA-K9 (в failover режиме) и точками доступа LWAPP Cisco AIR-CAP2702E-x-K9.
Результат
Организовано видеонаблюдение объектов с хранением видеоархива в течение 30 дней. В Москве, Воронеже и Краснодаре заключен контракт на обслуживание ИТ-инфраструктуры в стоматологиях с сервисом «подменный компьютер в день обращения». Установлен WiFi на базе Cisco для клиентов.
Гостиницы
Организация Wifi, СКУД и системы видеонаблюдения
Гостиничный комплекс
Задача
Подготовить и реализовать проект по видеонаблюдению в гостевых залах гостиницы, установить WiFi для постояльцев.
Процесс
Для воронежской гостиницы установлена современная WiFi-сеть на базе оборудования Cisco AIR-AP1242AG-A-K9 и контроллером Cisco AIR-CT5508-12-K9. Была проведена радиоразведка для определения мест, наиболее подходящих для установки точек доступа, внедрена система выдачи паролей для клиентов на ресепшене (пароль через смс). Пограничные маршрутизаторы – Cisco 3945e (HSEC). Регистрация всех интернет-запросов клиентов записывается на специальный сервер и хранится 6 месяцев.
Результат
Настроена и сдана в эксплуатацию система видеонаблюдения залов и сервис WiFi в соответствии с законом об обработке и хранении ПД. Заключен контракт на полное ИТ-обслуживание системы.
Интернет-провайдер
Системы мониторинга.
Интернет-провайдер
Задача
Сделать удобную систему мониторинга для службы техподдержки с SMS-информированием об авариях.
Процесс
Для решения задачи было решено использовать возможности протокола SNMP на сетевых устройствах с подключением к системе мониторина Zabbix. Топология сети предоставляет собой ряд соединенных между собой звёзд, где центром звезды служит агрегирующий сектор высокопроизводительный коммутатор с поддержкой STP.
Значение Location, доступное для записи и считывания по SNMP, установлено у каждого коммутатора по долготе и широте места установки. Для наглядного отображения коммутаторов они были отображены на картах Яндекса с использованием API Яндекса:
Для удобного снятия отчётов и последующей аналитики, коммутаторы поделены на две разные группы – в разрезе по моделям и по улицам. Каждый коммутатор по SNMP отдаёт ряд ключевых параметров, таких как загрузка RAM, CPU, интерфейсов и пр:
Автоматическое резервное копирование конфигураций сетевых устройств настроено с помощью утилиты RANCID с помощью подключемого модуля dllogin и dlrancid.
Для того, чтобы файл логов был актуальный и был небольшого размера, для постоянно работающего RANCID’а была установлена ротация логов с помощью консольного скрипта, вызываемого crontab: каждый день в 23 часа 30 минут все логи старше 30 дней удаляются
30 23 * * * /usr/bin/find /usr/local/rancid/var/logs -type f -mtime +30 -exec rm {} \;
Результат
Внедрена и сдана в эксплуатацию система мониторинга на базе Zabbix с отображением свитчей в режиме реального времени на картах Яндекса. Настроена система автоматического резервного копирования на базе ПО Rancid.
Туристические компании
IP-Телефония.
Туристический оператор
Задача
Запретить доступ до некоторых сайтов группе пользователей через Cisco ASA
Процесс
Весь интернет-трафик от сотрудникам в филиалах турфирмы перенаправляется через центральный межсетевой экран Cisco ASA через защищенную сеть поверх провайдера IPVPN-связи. Так как сменить DNS у клиентов нет технической возможности, то было принято решение центральном межсетевом экране Cisco ASA 5520 настроить инспекцию DNS-запросов от клиентов для блокирования доступа к запрещенным ресурсам Настроено правило выборки трафика для минимизации нагрузки на МСЭ:
access-list DNS_FROM_CLIENTS_MPF_ACL extended permit udp host 10.77.6.5 any eq 53Создаём class-map с указанием на отобранный трафик:
class-map DNS_FROM_CLIENTS_CMAP match access-list DNS_FROM_CLIENTS_MPF_ACLСоздаём список DNS-имен для запрета в регексах:
regex S1-RGX “\.site1\.com” regex S2-RGX “\.site2\.com”Создаём class-map с перечнем регексов для запрета
class-map type regex match-any SITES-CLS match regex S1-RGX match regex S2-RGXСоздаём policy-map с указанием, что при обнаружении такого запроса его следует отбросить, а попытка об этом записать в журнал:
policy-map type inspect dns SB_DNS_PMAP parameters match domain-name regex class SITES-CLS message-length maximum 512 drop logОбъединяем всё: создаём policy-map, в котором указываем на class-map, ссылающийся на отбор трафика, а также привязываем policy-map внутри class-map для поиска и блокировки запрещенных DNS-запросов:
policy-map INSIDE_PMAP_ST class DNS_FROM_CLIENTS_CMAP inspect dns SB_DNS_PMAPИ наконец применяем этот policy-map на тот интерфейс, на который приходят DNS-запросы от клиентов:
service-policy INSIDE_PMAP_ST interface INSIDE250LANДля повышения надежности центральной МСЭ настроена A/S failover-схема:
failover failover lan unit secondary failover lan interface StFlFailover GigabitEthernet0/3 failover keyfailover mac address GigabitEthernet0/0 0001.0000.1111 0001.0000.2222 failover link StFlFailover GigabitEthernet0/3 failover interface ip StFlFailover 10.250.249.254 255.255.255.252 standby 10.250.249.253
Результат
Настроена система фильтрации трафика для клиента. Проведено обучение специалистов заказчика по управлению системой. Предложен ряд дополнительных рекомендаций по повышению надежности инфраструктуры.
ФГУП
IP-телефония.
Федеральное государственное унитарное предприятие (с филиалами)
Задача
Объединить более 200 филиалов по стране в единую сеть (VPN), разграничить на сетевом уровне доступ к общим ресурсам в соответствии с политикой информационной безопасности, внедрить IP-телефонию в ряде филиалов.
Процесс
На каждый филиал были приобретены маршрутизаторы Juniper J2320-JB-SC-TAA с поддержкой протокола динамической маршрутизации OSPF и функционалом Security Zones. Была разработана типовая карта подключения интерфейсов пограничного маршрутизатора:
Для предотвращения попадания нежелательного трафика из недоверенных сетей была разработка политика безопасности. Все каналы связи филиальных маршрутизаторов поделены на 4 типа – «Недоверенные», «IPVPN», «LAN», «Серверы управления».
Каждая зона безопасности соответствует одному типу каналов связи. Каждый интерфейс принадлежит одной из зон безопасности.
zones { security-zone untrust-szone { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0;
Прохождение трафика между зонами регламентируется в соответствии с политиками безопасности зон. Так, реализован функционал statefull firewall при обращении от зоны «LAN» до зоны «untrust»
policies { from-zone LAN-szone to-zone untrust-szone { policy FROM-LAN-TO-UNTRUST-policy { match { source-address [ LOCAL-NETWORK ]; destination-address any; application any; } then { permit; } } }Таким образом, разрешено прохождение только явно запрошенного трафика из зоны untrust в зону LAN.
Каждый филиальный маршрутизатор и сервер подключены к серверу мониторинга Zabbix, который отслеживает все ключевые параметры устройств.
Для подключения к уже существующим АТС в филиалах были внедрены шлюзы Mediant, настроены правила маршрутизации звонков:
IP2IPRouting 1 = -1, *, *, 8*, *, 0, 1, -1, -1, 10.x.x.3, 5060, 0, 0; IP2IPRouting 2 = -1, *, *, *, *, 0, 0, -1, -1, 10.x.x.2, 5070, -1, 0;
Для тех филиалов, в которых размещается отдельно VOIP-оборудование, настроена зона безопасности VOIP:
from-zone LAN-szone to-zone VOIP-szone { policy FROM-LAN-TO-VOIP-policy { match { source-address LOCAL-NETWORK; destination-address IP-GW-OBJECT; application [ junos-sip junos-http junos-ping ]; } then { permit; from-zone VOIP-szone to-zone LAN-szone { policy FROM-VOIP-TO-LAN-policy { match { source-address IP-GW-OBJECT; destination-address LOCAL-NETWORK; application [ junos-sip junos-http junos-ping ]; } then { permit;
Результат
Филиалы объединены с помощью протокола OSPF, работающего на оборудовании Juniper. Управление сетевым доступом может осуществлять инженер из центрального офиса. Настроена IP-телефония. Настроена и проведено обучения по системе мониторинга Zabbix для специалистов заказчика.
Рестораны
Эквайринг, rkeeper, видеонаблюдение.
Московская сеть ресторанов
Задача
Предложить и реализовать проект по оптимизации существующей ИТ-инфраструктуры в ресторанах Москвы и МО. Обеспечить бесперебойную работу эквайринга.
Процесс
В сеть ресторанов (50 ресторанов по Москве и области) были установлены роутеры Mikrotik hEx с резервированием Интернет-канала (основной проводной интернет, резерв – SIM-карта, переключение на резерв и обратно автоматически с помощью IP SLA трекинга). В ресторанах установлены тонкие клиенты NComputing M300 с подключением к ферме RDP на базе Windows 2012R2.
Результат
Закупка тонких клиентов позволило сэкономить 50% на стоимости станций по сравнению с обычными персональными ПК. Значительно повышена надежность работы компьютерного парка вследствие создания единой точки управления всеми пользовательскими рабочими столами. По итогам выполненных работ по ИТ-инфраструктуре также заключен контракт на обслуживание кассового оборудования.
Проекты, инфестиции.
IP-Телефония.
Инвестиционная компания в сфере возобновляемых источников энергии
Задача
Внедрить IP-телефонию Cisco в офис на 30 человек.
Процесс
Для голосового маршрутизатора в офис до 30 человек был выбран маршрутизатор CISCO2901-V/K9 (с PVDM-модулем PVDM3-16 для транскодинга), что позволило не только подключить IP-телефонию, но и решить вопрос с маршрутизатором Интернет, так как функционал IOS’а позволяет реализовать NAT (PAT).
Для внутреннего диалплана был выбран трёхзначный диалпан 1XX, начиная с номера 100.
ephone-template 7 network-locale 1 user-locale 1 ephone-dn 1 number 100 no-reg primary description Petrov A. name Petrov A. ephone 1 device-security-mode none mac-address C859.F1D6.100E ephone-template 7 type 7962 button 1:1Прописаны настройки CMe:
telephony-service max-ephones 30 max-dn 30 ip source-address 172.30.254.1 port 2000 max-redirect 5 cnf-file location flash: cnf-file perphone user-locale 1 RU network-locale 1 RU load 7915-12 B015-1-0-4-2 load 7937 apps37sccp.1-4-5-7.bin load 6921 SCCP69xx.9-3-3-2-SR1.loads time-zone 34 time-format 24 date-format dd-mm-yy max-conferences 4 gain -6 moh music-on-hold.au multicast moh 239.1.1.1 port 16389 route 172.30.254.1 transfer-system full-consult transfer-pattern .T directory entry 1 101 name Sidorova E create cnf-files version-stamp Jun 01 2016 00:00:00
Максимальным количеством телефонов было установлено значение 30 в соответствии с реальными требованиями офиса для минимизации нагрузки на CMe.
Подключение к провайдеру телефонии организовано через SIP:
sip-ua authentication username 74950010101@sip.beeline.ru password 7 AAAAAAAAAAAAAA realm sip.beeline.ru no remote-party-id retry invite 3 retry register 10 registrar 1 dns:sip.beeline.ru expires 180 sip-server dns:sip.beeline.ru Для того, чтобы CMe смог обратиться к SIP-серверу по DNS-имени, прописан ряд DNS-серверов: ip name-server 87.245.190.122 ip name-server 87.245.145.6 ip name-server 8.8.8.8 ip name-server 8.8.4.4 В новых версиях CMe необходимо добавить в доверенные (trusted) листы IP-адреса SIP-серверов провайдера: voice service voip ip address trusted list ipv4 1.1.1.2 ipv4 1.1.1.3 Для корректной трансляции входящих и исходящих номеров сделаны translation-paterrn’ы: voice translation-profile OUTSIDE_CALLER_ID translate calling 20 translate called 2 voice translation-rule 2 rule 1 /^0/ // … … voice translation-rule 20 rule 1 /.*/ /74950010101/ Правило 2 отрезает 0 у номера Б (called, вызываемый номер) при отправке звонка провайдера, а правило 20 устанавливает номером А (calling, вызывающий номер) собственный городской номер в одиннадцатизначном формате, принятом у оператора связи. Для загрузки соответствующих прошивок на IP-телефоны прописаны пути для встроенного в CMe tftp-server’а. tftp-server flash:BOOT69xx.0-0-0-14.zz.sgn alias BOOT69xx.0-0-0-14.zz.sgn tftp-server flash:DSP69xx.12-4-122-02-121029.zz.sgn alias DSP69xx.12-4-122-02-121029.zz.sgn tftp-server flash:SCCP69xx.9-3-3-2-SR1.zz.sgn tftp-server flash:apps37sccp.1-4-5-7.bin alias apps37sccp.1-4-5-7.bin tftp-server flash:B015-1-0-4-2.SBN alias B015-1-0-4-2.SBN tftp-server flash:/locale/ru-be-sccp.jar alias Russian_Russia/be-sccp.jar tftp-server flash:/locale/ru-gp-sccp.jar alias Russian_Russia/gp-sccp.jar tftp-server flash:/locale/ru-ipc-sccp.jar alias Russian_Russia/ipc-sccp.jar tftp-server flash:/locale/ru-mk-sccp.jar alias Russian_Russia/mk-sccp.jar tftp-server flash:/locale/ru-tc-sccp.jar alias Russian_Russia/tc-sccp.jar tftp-server flash:/locale/ru-td-sccp.jar alias Russian_Russia/td-sccp.jar tftp-server flash:/locale/7921-dictionary.xml alias Russian_Russia/7921-dictionary.xml tftp-server flash:/locale/7921-kate.utf-8.xml alias Russian_Russia/7921-kate.utf-8.xml tftp-server flash:/locale/7921-kate.xml alias Russian_Russia/7921-kate.xml tftp-server flash:/locale/7921-font.dat alias Russian_Russia/7921-font.dat tftp-server flash:/locale/g3-tones.xml alias Russian_Federation/g3-tones.xml tftp-server flash:/locale/ru-rtl-sccp.jar alias Russian_Russia/rtl-sccp.jar Для маршрутизации исходящих звонков по направлениям звонков установлены dial-peer’ы: dial-peer voice 225 voip description <<<< MATCH FREE-MOBILE NUMBER AND OUTGOING TO SIP >>>> translation-profile outgoing OUTSIDE_CALLER_ID destination-pattern 08800.......$ no notify redirect ip2ip session protocol sipv2 session target sip-server session transport udp incoming called-number 08800.......$ voice-class sip transport switch udp tcp voice-class sip profiles 100 dtmf-relay rtp-nte codec g711alaw no vad Каждый исходящий dial-peer привязан к translation-pattern’у, который производит подмену номеров. На внешний интерфейс установлен стандартный антиспуфинговый ACL: deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 224.0.0.0 31.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip host 0.0.0.0any deny ip host 255.255.255.255 any permit ip any host Для синхронизации времени настроен NTP-клиент: ntp master 1 ntp server 194.190.168.1 prefer ntp server pool.ntp.org
Результат
Настроена и сдана в эксплуатацию IP-телефония на базе Cisco Call Manager Express. Заключен договор на обслуживание ИТ-инфраструктуры.