Voz y Comunicaciones unificadas : Cisco TelePresence Video Communication Server (VCS)

Asegure el RTP entre CUCM y VCS o el ejemplo de configuración de la autopista

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar un Real-Time Transport Protocol (RTP) seguro entre el video de Cisco Communication Server (Servidor de comunicación) (VCS) y el administrador unificado Cisco de la comunicación (CUCM).

Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • CUCM
  • Cisco VCS o autopista de Cisco

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • CUCM
  • Cisco VCS o autopista de Cisco

Nota: Este artículo utiliza los Productos de la autopista de Cisco con objeto de la explicación (a menos que donde expuesto), pero la información también se aplica si su despliegue utiliza Cisco VCS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Condiciones

  • Llamadas del Session Initiation Protocol (SIP) ruteadas entre CUCM y la autopista
  • El cifrado de los media es mejor esfuerzo/opcional entre la autopista-C y CUCM

Descripción

Ha habido dificultades señaladas para la configuración del mejor cifrado de los media de esfuerzo para las llamadas del SORBO que se rutean entre CUCM y VCS/Expressway. Las configuraciones erróneas más comunes afectan a la señalización de los media cifrados, vía el protocolo Real-Time Transport seguro (SRTP), que causa el error de llamadas cifradas mejor esfuerzo cuando el transporte entre CUCM y la autopista no es seguro.

Si el transporte no es seguro, después la señalización del cifrado de los media se podría leer por un eavesdropper. En este caso, la información de señalización del cifrado de los media se elimina del protocolo session description (SDP). Sin embargo, es posible configurar CUCM para enviar (y esperar recibir) el cifrado de los media que señala sobre una conexión sin garantía. Usted puede trabajar alrededor de este misconfiguration en una de dos maneras, dependiente sobre si las llamadas son lado troncal o lado de la línea ruteado a CUCM.

Ejemplos del lado troncal y del lado de la línea

Lado troncal: Un trunk del SORBO se configura en CUCM hacia la autopista. Una zona vecina correspondiente se configura en la autopista hacia CUCM. Usted necesitaría un trunk si usted quisiera que (la autopista no es secretario, pero VCS es) los puntos finales VCS-registradoes llamaran los puntos finales CUCM-registradoes. Otro ejemplo sería habilitar H.323 que intertrabaja en su despliegue.

Lado de la línea: Las llamadas del lado de la línea van directamente a CUCM, no vía un trunk. Si todo el registro y Control de llamadas es proporcionado por CUCM, su despliegue no pudo requerir un trunk a la autopista. Por ejemplo, si la autopista se despliega puramente para el móvil y el Acceso Remoto (MRA), él proxys que el lado de la línea llama de los puntos finales externos a CUCM.

Estrategia de la mitigación

Si hay un trunk del SORBO entre CUCM y la autopista, un script de la normalización en el CUCM reescribe el SDP apropiadamente para no rechazar la llamada del cifrado de mejor esfuerzo. Este script está instalado automáticamente con versiones posteriores de CUCM, pero si usted hace las llamadas cifradas mejor esfuerzo rechazar, Cisco recomienda que usted descarga y instala el último script del vcs-Interop para su versión de CUCM.

Si la llamada va lado de la línea a CUCM, después CUCM espera ver la encabezado del x-Cisco-SRTP-retraso si el cifrado de los media es opcional. Si CUCM no ve esta encabezado, considera la llamada ser cifrado-MANDATORY. El soporte para esta encabezado fue agregado a la autopista en la versión X8.2, así que Cisco recomienda X8.2 o más adelante para MRA (borde de la Colaboración).

Configurar

Configuración del lado de la línea

[CUCM] <--mejor esfuerzo--> [Expressway-C] <--obligatorio--> [Expressway-E] <--obligatorio--> [Endpoint]

Para habilitar el cifrado de mejor esfuerzo de las llamadas del lado de la línea de la autopista-C a CUCM:

  • Utilice un despliegue/una solución soportados (por ejemplo, MRA)
  • Utilice la Seguridad mezclada del modo en CUCM
  • Asegure esa autopista y la confianza CUCM (el Certificate Authority (CA) que firma los Certificados de cada partido se debe confiar en por el otro partido)
  • Utilice la versión X8.2 o más adelante de la autopista
  • Utilice asegura los perfiles del teléfono en CUCM, con el conjunto del modo de la seguridad del dispositivo autenticado o cifrado - para estos modos el tipo del transporte es Transport Layer Security (TLS)

Configuración del lado troncal

  • Utilice un despliegue/una solución soportados
  • Utilice la Seguridad mezclada del modo en CUCM
  • Asegure esa autopista y la confianza CUCM (CA que firma los Certificados de cada partido se debe confiar en por el otro partido)
  • Elija mejor esfuerzo como el modo de encripción y TLS como el transporte en la zona vecina de la autopista a CUCM (estos valores prepopulated automáticamente en el caso del lado de la línea)
  • Seleccione TLS como el transporte entrante y saliente en el perfil de seguridad del trunk del SORBO
  • Marque el SRTP permitido (véase la declaración de la precaución) en el trunk del SORBO de CUCM a la autopista
  • Marque para, y apliqúese en caso necesario, el script correcto de la normalización para sus versiones de CUCM y autopista

Precaución: Si usted marca la casilla de verificación permitida SRTP, Cisco recomienda fuertemente que usted utiliza un perfil cifrado de TLS de modo que las claves y la otra información relacionada con la seguridad no consiga expuestas durante las negociaciones de la llamada. Si usted utiliza un perfil NON-seguro, el SRTP todavía trabajará. Sin embargo, las claves serán expuestas en la señalización y las trazas. En ese caso, usted debe asegurar la Seguridad de la red entre CUCM y el lado de destino del trunk.

Opciones de encripción de los media

Ninguno

El cifrado no se permite. Llama que requiere el cifrado debe fallar porque no pueden ser seguros. CUCM y la autopista son constantes en la señalización para este caso.

CUCM y la autopista ambos utilizan m=RTP/AVP para describir los media en el SDP. No hay atributos crypto (ningunas líneas del a=crypto… en las secciones de los media del SDP).

Obligatorio

Se requiere el cifrado de los media. Las llamadas Unencrypted deben fallar siempre; no se permite ningún retraso. CUCM y la autopista son constantes en la señalización para este caso.

CUCM y la autopista ambos utilizan m=RTP/SAVP para describir los media en el SDP. El SDP tiene atributos crypto (las líneas del a=crypto… en las secciones de los media del SDP).

Mejor esfuerzo

Llama se cifra que se puede cifrar. Si el cifrado no puede ser establecido, las llamadas pudieron y deben recurrir a los media unencrypted. CUCM y la autopista son contrarios en este caso.

La autopista rechaza siempre el cifrado si el transporte es Transmission Control Protocol (TCP) o User Datagram Protocol (UDP). Usted debe asegurar el transporte entre CUCM y la autopista si usted quiere el cifrado de los media.

SDP (como CUCM lo escribe): Se describe el media cifrado mientras que las líneas m=RTP/SAVP y del a=crypto se escriben en el SDP. Ésta es la señalización correcta para el cifrado de los media, pero las líneas crypto son legibles si el transporte no es seguro.

Si CUCM ve la encabezado del x-Cisco-SRTP-retraso, permite que la llamada recurra a unencrypted. Si esta encabezado está ausente, CUCM asume que la llamada requiere el cifrado (no permite el retraso).

A partir de X8.2, la autopista hace mejor esfuerzo la misma manera que CUCM hace en el caso del lado de la línea.

SDP (como autopista escribe al lado troncal): Se describe el media cifrado mientras que las líneas m=RTP/AVP y del a=crypto se escriben en el SDP.

Sin embargo, hay dos razona que las líneas del a=crypto podrían estar ausentes:

  1. Cuando un salto del transporte a o desde el proxy del SORBO en la autopista no es seguro, el proxy elimina las líneas crypto para prevenirlas de la exposición en el salto unsecure.
  2. El partido de contestación elimina hacia fuera las líneas crypto para señalar que no puede ni hará el cifrado.

El uso del script correcto de la normalización del SORBO en CUCM atenúa este problema.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Lectura relacionada

RFC relacionados

  • SORBO DEL RFC 3261: Session Initiation Protocol
  • RFC 4566 SDP: Protocolo de Descripción de Sesiones
  • RFC 4568 SDP: Descripciones de la Seguridad


Document ID: 118877