Voz : Protocolo de inicio de sesión (SIP)

SIP-TLS entre el gateway del SORBO IOS y el ejemplo de la configuración del CallManager

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para el cifrado de la señalización del SORBO (SORBO sobre Transport Layer Security) entre un gateway del½ del¿Â del Cisco IOSï y el Cisco Unified CallManager.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco IOS Gateway: Cisco 2821, Cisco IOS Software Release12.4(15)T1 con el conjunto de características avanzado de los Enterprise Service

  • Cisco CallManager 5.1.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/98746/ios_ccm_sip_tls-1.gif

Configuraciones

En este documento, se utilizan estas configuraciones:

Descargue el certificado autofirmado del Cisco CallManager

Complete estos pasos:

  1. El registro en la página de administración unificada Cisco OS en el Cisco CallManager en el IP Address >/platform_gui/del <ccm de https://, y elige el Certificate Management (Administración de certificados) > la descarga Certificate/CTL de la Seguridad.

    /image/gif/paws/98746/ios_ccm_sip_tls-2.gif

  2. La descarga del tecleo posee el CERT.

    /image/gif/paws/98746/ios_ccm_sip_tls-3.gif

  3. CallManager del tecleo como el tipo del certificado existente.

    /image/gif/paws/98746/ios_ccm_sip_tls-4.gif

  4. Haga clic el nombre del certificado.

    /image/gif/paws/98746/ios_ccm_sip_tls-5.gif

  5. Haga clic en Continue (Continuar).

    ios_ccm_sip_tls-6.gif

  6. Haga clic con el botón derecho del ratón el link CallManager.pem, y Savelink selecto como para descargar el certificado.

    /image/gif/paws/98746/ios_ccm_sip_tls-7.gif

Configuración de gateway del SORBO del Cisco IOS

Configuración de gateway del SORBO IOS
maui-soho-01#


!--- Enable IP TCP MTU Path Discovery.


 ip tcp path-mtu-discovery 


!--- Configure NTP Server.


 ntp server 172.18.108.15 


!--- Upload the CCM Certificate to Cisco IOS Gateway.


crypto pki trustpoint CCM-Cert

 enrollment terminal

 revocation-check none

 
!--- Download the Cisco CallManager certificate, and paste 
 !--- the contents of the certificate, pem format.

 
Router(config)#crypto ca authenticate CCM-Cert 

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself 

-----BEGIN CERTIFICATE-----
MIICIjCCAYugAwIBAgIIS4xQN3bIZUowDQYJKoZIhvcNAQEFBQAwFzEVMBMGA1UE
AxMMUlRQTVMtQ0NNLTUxMB4XDTA3MDcyMzIzMjI0OVoXDTEyMDcyMzIzMjI0OVow
FzEVMBMGA1UEAxMMUlRQTVMtQ0NNLTUxMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB
iQKBgQD6HIRcgDXQmO/EWosnaMBaoqjzARIR0erx31uR9WOiaZqsgRY+Am5/E3FG
n1nJ/4NVmA45z1Q54vK0WULXgMBGANGHnBZFCNiJOiNeBfiEh1LGGMreVTLFqKB/
lNAMtTppc0AVyYFjAAcJtZfUGxolZCanY5TWfmlwGBMIDhnqQQIDAQABo3cwdTAL
BgNVHQ8EBAMCArwwJwYDVR0lBCAwHgYIKwYBBQUHAwEGCCsGAQUFBwMCBggrBgEF
BQcDBTAeBgNVHREEFzAVhhNzaXA6Q049UlRQTVMtQ0NNLTUxMB0GA1UdDgQWBBQr
pCXbwcRZ09AkO7V0HgHihiKpZzANBgkqhkiG9w0BAQUFAAOBgQAvNQqaVKKoZxUD
HCBIA292qZSsOht859FY3UJkWfGD+kjlGhjgjlxEQcaJOa7pDlorzH+HQIjFpcv6
1cl0tOdOrs2L6IAGd9e5DQ3qDwWxaB7TIsBPTkv9FLVURnKtJtVHbqjMd+AAtsDl
/DV5TbDUdre6Org1mn4uaMdrYzt1kQ==
-----END CERTIFICATE-----
 

Certificate has the following attributes:
       Fingerprint MD5: 1EF154E3 70E40379 1C7003B9 B29E111B 
      Fingerprint SHA1: CAFA0F83 B04B2E65 71104B73 64BF6AEB ABE9EED9
 

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
 


!--- Configure a trustpoint in order to generate the self-signed 
!--- certificate of the Gateway.


 

crypto pki trustpoint CCM-SIP-1
 enrollment selfsigned
 fqdn none
 subject-name CN=SIP-GW
 revocation-check none
 rsakeypair CCM-SIP-1
 

Router(config)#crypto ca enroll CCM-SIP-1 
% The fully-qualified domain name will not be included in the certificate
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
 


!— View the certificate in PEM format, and copy the Self-signed CA certificate
!--- (output starting from “----BEGIN” to “CERTIFICATE----“) to a file named SIP-GW.pem 
 

 

Router(config)#crypto pki export CCM-SIP-1 pem terminal 
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----
MIIBhDCCAS6gAwIBAgIBATANBgkqhkiG9w0BAQQFADARMQ8wDQYDVQQDEwZTSVAt
R1cwHhcNMDcwOTA1MjAwMTA3WhcNMjAwMTAxMDAwMDAwWjARMQ8wDQYDVQQDEwZT
SVAtR1cwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAzgvQDbs9BgdrxxXW1S/h4CZC
6JcMbBrhyO/VWOLWVe6BCFG+baJjUdYtyyvaMnlyeeVEh0/MuqCfsDo8TvJJKwID
AQABo3EwbzAPBgNVHRMBAf8EBTADAQH/MBwGA1UdEQQVMBOCEUYzNDAuMjguMjUt
MjgwMC0yMB8GA1UdIwQYMBaAFF6gnOpo7VY8BHL4mbSvwNxCKi62MB0GA1UdDgQW
BBReoJzqaO1WPARy+Jm0r8DcQioutjANBgkqhkiG9w0BAQQFAANBAHhnQS4EKcP6
IBVdtA4CM/74qCjhtsu/jciaIe90BXs56wrj7ZC4m1sIMzDAHfsl7dJlB2IOw9Sk
s980Np7dLJU=
-----END CERTIFICATE-----
 

% General Purpose Certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE----- 

 


!--- Configure the SIP stack in the Cisco IOS GW to use the self-signed 
!--- certificate of the router in order to establish a SIP TLS connection from/to 
!--- Cisco CallManager.


 
sip-ua 
 crypto signaling remote-addr 172.18.110.84 255.255.255.255 trustpoint CCM-SIP-1 strict-cipher
 


!--- Configure the T1 PRI.


 
controller T1 1/0/0
 framing esf
 linecode b8zs
 pri-group timeslots 1-24
 


!--- Configure the ISDN switch type and incoming-voice under the D-channel 
!--- interface.


 
interface Serial1/0/0:23
 no ip address
 encapsulation hdlc
 isdn switch-type primary-ni
 isdn incoming-voice voice
 no cdp enable
 


!--- Configure a POTS dial-peer that is used as an inbound dial-peer for calls 
!--- that come in across the T1 PRI line.


 
dial-peer voice 2 pots
 description PSTN PRI Circuit
 destination-pattern 9T
 incoming called-number .
 direct-inward-dial
 port 1/0/0:23
 


!--- Configure an outbound voip dial-peer in order to route calls to the 
!--- Cisco CallManager.


 
dial-peer voice 3 voip
 destination-pattern 75...
 session protocol sipv2
 session target ipv4:172.18.110.84:5061
 session transport tcp tls
 dtmf-relay rtp-nte
 codec g711ulaw 

El certificado del gateway del SORBO del Cisco IOS de la carga al Cisco Unified CallManager

Complete estos pasos:

  1. El registro en la página de administración unificada Cisco OS en el Cisco CallManager en el IP Address >/platform_gui/del <ccm de https://, y elige el Certificate Management (Administración de certificados) > la carga Certificate/CTL de la Seguridad.

    ios_ccm_sip_tls-8.gif

  2. CERT de la confianza de la carga del tecleo.

    /image/gif/paws/98746/ios_ccm_sip_tls-9.gif

  3. CallManager-confianza del tecleo.

    /image/gif/paws/98746/ios_ccm_sip_tls-10.gif

  4. Ingrese u hojee a la ubicación del certificado del Cisco IOS, del archivo the.pem, y de la carga del tecleo.

    /image/gif/paws/98746/ios_ccm_sip_tls-11.gif

  5. Verifique el resultado de la carga.

    ios_ccm_sip_tls-12.gif

SORBA la configuración del tronco en el Cisco CallManager

Complete estos pasos:

  1. El registro en Cisco unificó la página de administración OS en el CallManager en el >/ccmadmin/del IP Address del <ccm de https://. Configure un perfil de seguridad del trunk del SORBO:

    1. Elija el perfil de seguridad del perfil del > Security (Seguridad) del sistema > del trunk del SORBO.

    2. Haga clic el nuevo botón del agregar con los parámetros mostrados en esta figura:

      ios_ccm_sip_tls-13.gif

  2. Configure un trunk del SORBO:

    1. Elija el dispositivo > el trunk.

    2. Haga clic el nuevo botón del agregar.

    3. Seleccione el trunk del SORBO para el tipo de trunk, como se muestra:

      ios_ccm_sip_tls-14.gif

      ios_ccm_sip_tls-15.gif

  3. Configure a un patrón de ruta:

    1. Elija el ruteo de llamadas > la ruta/la caza > al patrón de ruta.

    2. Haga clic el nuevo botón del agregar, como se muestra:

      /image/gif/paws/98746/ios_ccm_sip_tls-16.gif

Verificación

Utilice esta sección para confirmar que su configuración trabaja correctamente en el gateway del SORBO del Cisco IOS.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilize el OIT para ver una análisis de la salida del comando show.

  • Muestre a certificado crypto del pki CCM-SIP-1 prolijo

    Router Self-Signed Certificate
    
      Status: Available
    
      Version: 3
    
      Certificate Serial Number: 0x1
    
      Certificate Usage: General Purpose
    
      Issuer: 
    
        cn=SIP-GW
    
      Subject:
    
        Name: SIP-GW
    
        cn=SIP-GW
    
      Validity Date: 
    
        start date: 16:01:07 EST Sep 5 2007
    
        end   date: 20:00:00 EST Dec 31 2019
    
      Subject Key Info:
    
        Public Key Algorithm: rsaEncryption
    
        RSA Public Key: (512 bit)
    
      Signature Algorithm: MD5 with RSA Encryption
    
      Fingerprint MD5: 3F9612FB C0E435F1 F445B5C4 0344E6A9 
    
      Fingerprint SHA1: E6520255 B799818F C1067042 1A7E2EE9 4DDFD0C8 
    
      X509v3 extensions:
    
        X509v3 Subject Key ID: 5EA09CEA 68ED563C 0472F899 B4AFC0DC 422A2EB6 
    
        X509v3 Basic Constraints:
    
            CA: TRUE
    
        X509v3 Subject Alternative Name:
    
            F340.28.25-2800-2
    
        X509v3 Authority Key ID: 5EA09CEA 68ED563C 0472F899 B4AFC0DC 422A2EB6 
    
        Authority Info Access:
    
      Associated Trustpoints: CCM-SIP-1
    
  • Muestre a certificado crypto del pki el CCM-CERT prolijo

    CA Certificate
    
      Status: Available
    
      Version: 3
    
      Certificate Serial Number: 0x4B8C503776C8654A
    
      Certificate Usage: General Purpose
    
      Issuer: 
    
        cn=RTPMS-CCM-51
    
      Subject: 
    
        cn=RTPMS-CCM-51
    
      Validity Date: 
    
        start date: 19:22:49 EST Jul 23 2007
    
        end   date: 19:22:49 EST Jul 23 2012
    
      Subject Key Info:
    
        Public Key Algorithm: rsaEncryption
    
        RSA Public Key: (1024 bit)
    
      Signature Algorithm: SHA1 with RSA Encryption
    
      Fingerprint MD5: 1EF154E3 70E40379 1C7003B9 B29E111B 
    
      Fingerprint SHA1: CAFA0F83 B04B2E65 71104B73 64BF6AEB ABE9EED9 
    
      X509v3 extensions:
    
        X509v3 Key Usage: BC000000
    
          Digital Signature
    
          Key Encipherment
    
          Data Encipherment
    
          Key Agreement
    
          Key Cert Sign
    
        X509v3 Subject Key ID: 2BA425DB C1C459D3 D0243BB5 741E01E2 8622A967 
    
        X509v3 Subject Alternative Name:
    
        Authority Info Access:
    
      Associated Trustpoints: CCM-Cert
    
  • Muestre el detalle de los tls tcp de la conexión sorbo-UA

    Total active connections      : 2
    
    No. of send failures          : 0
    
    No. of remote closures        : 0
    
    No. of conn. failures         : 2
    
    No. of inactive conn. ageouts : 0
    
    Max. tls send msg queue size of 0, recorded for 0.0.0.0:0
    
    TLS client handshake failures : 2
    
    TLS server handshake failures : 0
    
     
    
    ---------Printing Detailed Connection Report---------
    
    Note:
    
     ** Tuples with no matching socket entry
    
        - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port>'
    
          to overcome this error condition
    
     ++ Tuples with mismatched address/port entry
    
        - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port> 
    	 
    	   id <connid>' to overcome this error condition
    
     
    
    Remote-Agent:172.18.110.84, Connections-Count:2
    
      Remote-Port Conn-Id Conn-State  WriteQ-Size
    
      =========== ======= =========== ===========
    
             5061       1 Established           0
    
            51180       2 Established           0
    
  • Muestre la descripción de la voz activa de la llamada
    11F0 : 7 8990160ms.1 +2670 pid:20001 Answer 7960 active
    
     dur 00:00:10 tx:483/83076 rx:510/81600
    
     Tele 1/0/0:23 (228) [1/0/0.1] tx:9660/9660/0ms g711ulaw noise:0 acom:0  i/0:0/0 dBm
    
     
    
    11F0 : 8 8990980ms.1 +1840 pid:3 Originate 75001 active
    
     dur 00:00:10 tx:483/1246360336 rx:513/82080
    
     IP 14.50.202.26:28232 SRTP: off rtt:0ms pl:4720/1ms lost:0/0/0 delay:0/0/0ms 
     
     g711ulaw TextRelay: off media inactive detected:n media contrl rcvd:n/a 
     
     timestamp:n/a long duration call detected:n long duration call 
     
     duration:n/a timestamp:n/a
    
     
    
    Telephony call-legs: 1
    
    SIP call-legs: 1
    
    H323 call-legs: 0
    
    Call agent controlled call-legs: 0
    
    SCCP call-legs: 0
    
    Multicast call-legs: 0
    
    Media call-legs: 0
    
    Total call-legs: 2
    

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Comandos de Debug

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilize el OIT para ver una análisis de la salida del comando show.

Configure el Cisco IOS Gateway para registrar los debugs en su memoria intermedia de registro y para inhabilitar la consola de registro.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Éstos son los comandos usados para configurar el gateway para salvar los debugs en memoria intermedia de registro:

  • service timestamps debug datetime msec

  • mantenga la secuencia

  • ninguna consola de registro

  • el registro mitigó el debug 5000000

  • borre el registro

Éstos son los comandos usados para hacer el debug de la configuración en este documento:

  • debug isdn q931

  • debug voip ccapi inout

  • ccsip todo del debug

  • errores del openssl SSL del debug

  • msg del openssl SSL del debug

  • estados del openssl SSL del debug


Información Relacionada


Document ID: 98746