音声とユニファイド コミュニケーション : Cisco TelePresence Video Communication Server(VCS)

CUCM および VC または高速道路設定例間の RTP を保護して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco ビデオ コミュニケーション サーバ(VC)と Cisco Unified 通信マネージャ(CUCM)間のセキュア リアルタイムトランスポートプロトコル (RTP)を設定する方法を記述されています。

著者:Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • CUCM
  • Cisco VC か Cisco 高速道路

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • CUCM
  • Cisco VC か Cisco 高速道路

: この技術情報は説明の為に示されるところ Cisco 高速道路製品を(以外)使用しますが、配備が Cisco VC を使用する場合情報はまた適用します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

条件

  • CUCM と高速道路の間でルーティングされる Session Initiation Protocol (SIP)呼び出し
  • メディア暗号化は高速道路C と CUCM 間のベストエフォート型/オプションのです

説明

CUCM と VCS/Expressway の間でルーティングされる SIP 呼び出しのための最もよい努力メディア暗号化の設定のために報告される問題がずっとあります。 よくあるミスコンフィギュレーションはベストエフォートによって暗号化される呼び出しの失敗を引き起こすセキュア リアルタイムトランスポートプロトコル(SRTP)によって CUCM と高速道路間の転送するがセキュアのとき暗号化されたメディアのシグナリングに、影響を与えます。

転送するがセキュアではない場合、メディア暗号化信号を送ることは立ち聞きする人によって読むことができます。 この場合、メディア暗号化 シグナル情報は Session Description Protocol (SDP)から除去されます。 ただし、(受け取ると期待するため)保護されていない接続に信号を送るメディア暗号化を送信 するために CUCM を設定することは可能性のあるであり。 呼び出しが CUCM へルーティングされたトランク側またはライン側であるかどうか 2 つの方法の 1 つのこのミスコンフィギュレーションを、依存回避できます。

トランク側およびライン側の例

トランク側: SIP トランクは高速道路の方の CUCM で設定されます。 対応した隣接ゾーンは CUCM の方の高速道路で設定されます。 VCS 登録済みの(高速道路はレジストラではないですが、VC はあります)エンドポイントに CUCM 登録済みのエンドポイントを呼出してほしかった場合トランクを必要とします。 もう一つの例は配備で相互に作用する H.323 を有効に することです。

ライン側: ライン側の呼び出しは CUCM に、ないトランクによって直接行きます。 すべての登録およびコール制御が CUCM によって提供される場合、配備は高速道路にトランクを必要としないかもしれません。 たとえば、高速道路がモービルおよびリモートアクセス(MRA)のために全く配置されれば、それライン側が外部エンドポイントから CUCM に呼出すプロキシ。

軽減戦略

CUCM と高速道路間に SIP トランクがある場合、CUCM の正規化スクリプトはベストエフォート型暗号化 コールが拒否されないように SDP を適切に書き換えます。 このスクリプトは CUCM の以降のリリースによって自動的にインストールされています、ベストエフォートによって暗号化される呼び出しを拒否してもらえば CUCM のバージョンのための VC INTEROP 最新のスクリプトをダウンロードし、インストールすることを Cisco は推奨します。

コールがライン側 CUCM に行く場合、CUCM はメディア暗号化がオプションである場合 x Cisco srtp フォールバック ヘッダを見ると期待します。 CUCM がこのヘッダを見ない場合、コールが暗号化必須であると考慮します。 このヘッダのためのサポートはバージョン X8.2 の高速道路に追加されました、従って Cisco は MRA (コラボレーション エッジ)のための X8.2 またはそれ以降を推奨します。

設定

ライン側の設定

[CUCM] <--ベストエフォート--> [高速道路C] <--必須--> [高速道路E] <--必須--> [エンドポイント]

高速道路C からの CUCM にライン側の呼び出しのベストエフォート型暗号化を有効に するため:

  • サポートされた配備/ソリューションを使用して下さい(たとえば、MRA)
  • CUCM のミックス モード セキュリティを使用して下さい
  • その高速道路および各パーティの認証に署名する CUCM 信頼を互い確認して下さい(認証局 (CA)は他のパーティによって信頼する必要があります)
  • 高速道路のバージョン X8.2 またはそれ以降を使用して下さい
  • 保護します設定 される デバイスセキュリティ モードでの CUCM の電話プロファイルを、認証されるか、または暗号化される使用して下さいトランスポート タイプは-これらのモードのための…です Transport Layer Security (TLS)

トランク側 設定

  • サポートされた配備/ソリューションを使用して下さい
  • CUCM のミックス モード セキュリティを使用して下さい
  • その高速道路および CUCM 信頼を互い確認して下さい(各パーティの認証に署名する CA は他のパーティによって信頼する必要があります)
  • 暗号化モードとして最もよい努力および隣接ゾーンの転送するとして高速道路から CUCM に TLS を選択して下さい(これらの値はライン側のケースで自動的に事前に読み込まれます)
  • SIP トランク セキュリティプロファイルの受信および送信 転送するとして TLS を選択して下さい
  • CUCM からの高速道路に SIP トランクで(注意文を参照して下さい)許可される SRTP をチェックして下さい
  • をチェックし、CUCM のバージョンのための正しい正規化スクリプトおよび高速道路必要ならば適用して下さい

注意: SRTP によって許可されるチェックボックスをチェックする場合、Cisco はキーおよび他のセキュリティに関する情報がコールネゴシエーションの間に露出されて得ないように暗号化された TLS プロファイルを使用することを強く推奨します。 非セキュア プロファイルを使用する場合、SRTP はまだはたらきます。 ただし、キーはシグナリングおよびトレースで露出されます。 そのケースでは、トランクの CUCM と宛先側間のネットワークのセキュリティを確保して下さい。

メディア暗号化 オプション

なし

暗号化は許可されません。 暗号化を必要とする呼び出しはセキュアである場合もないので失敗する必要があります。 CUCM および高速道路はこのケースのためのシグナリングで一貫しています。

CUCM および高速道路は両方 SDP でメディアを記述するために m=RTP/AVP を使用します。 暗号属性がありません(SDP のメディア セクションの a=crypto…行無し)。

Mandatory

メディア暗号化が必要となります。 非暗号化呼び出しは常に失敗する必要があります; フォールバックが割り当てられません。 CUCM および高速道路はこのケースのためのシグナリングで一貫しています。

CUCM および高速道路は両方 SDP でメディアを記述するために m=RTP/SAVP を使用します。 SDP に暗号属性があります(SDP のメディア セクションの a=crypto…行)。

ベスト エフォート

暗号化することができる呼び出しは暗号化されます。 暗号化が確立することができない場合呼び出しは非暗号化メディアに戻って下るかもしれないし、必要があります。 CUCM および高速道路はこの場合矛盾しています。

高速道路は転送するが伝送制御 プロトコル(TCP)または User Datagram Protocol (UDP; ユーザ データグラム プロトコル)である場合暗号化を常に拒否します。 メディア暗号化がほしいと思う場合 CUCM と高速道路間の転送するを保護して下さい。

SDP (CUCM としてそれを書きます): 暗号化されたメディアは m=RTP/SAVP および a=crypto 行が SDP に書かれていると同時に記述されています。 これはメディア暗号化のための正しいシグナリングですが、転送するがセキュアではない場合暗号行は読解可能です。

CUCM が x Cisco srtp フォールバック ヘッダを見る場合、コールが非暗号化に戻って下るようにします。 このヘッダが不在である場合、CUCM はコールが暗号化を必要とすることを仮定します(フォールバックを許可しません)。

X8.2 現在で、高速道路は最もよい努力を CUCM がライン側のケースでするのと同じ方法します。

SDP (高速道路としてトランク側を書きます): 暗号化されたメディアは m=RTP/AVP および a=crypto 行が SDP に書かれていると同時に記述されています。

ただし a=crypto 行が不在である可能性があることを、2 が推論しましたあります:

  1. 高速道路の SIP プロキシに/からの転送する ホップがセキュアのとき、プロキシは安全でないホップの公開からそれらを防ぐために暗号行を除去します。
  2. 返事パーティは信号を送るか、または暗号化をしないことをために暗号行をできないことに除去します。

CUCM の正しい SIP 正規化スクリプトの使用はこの問題を軽減します。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

関連読み取り

関連 RFC


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118877