Cisco Cisco TelePresence Video Communication Server Expressway

If the VCS is configured to use 

 it will authenticate incoming SIP registration and 

INVITE requests. If the VCS then forwards the request on to a neighbor zone such as another VCS, that 
receiving system will also authenticate the request. In this scenario the message has to be authenticated at 
every hop.

To simplify this so that a device’s credentials only have to be authenticated once (at the first hop), and to 
reduce the number of SIP messages in your network, you can configure neighbor zones to use the 
Authentication trust mode setting.

This is then used in conjunction with the zone's authentication policy to control whether pre-authenticated 
SIP messages received from that zone are trusted and are subsequently treated as authenticated or 
unauthenticated within the VCS. Pre-authenticated SIP requests are identified by the presence of a P-
Asserted-Identity field in the SIP message header as defined by 

The Authentication trust mode settings are:

 

n 

On: pre-authenticated messages are trusted without further challenge and subsequently treated as 
authenticated within the VCS. Unauthenticated messages are challenged if the Authentication policy is 
set to Check credentials.

 

n 

Off: any existing authenticated indicators (the P-Asserted-Identity header) are removed from the message. 
Messages from a local domain are challenged if the Authentication policy is set to Check credentials.

Note:

 

n 

We recommend that you enable authentication trust only if the neighbor zone is part of a network of trusted 
SIP servers.

 

n 

Authentication trust is automatically implied between traversal server and traversal client zones.

Device Authentication on Cisco VCS Deployment Guide (VCS X8.1)

Page 11 of 55

Authentication policy