Голосовая связь и система унифицированных коммуникаций : ????? Cisco Expressway

Пример конфигурации: Мобильный и Удаленный доступ через Скоростную автомагистраль/VCS в Мультидоменных Развертываниях

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (9 ноября 2015) | Отзыв

Введение

Этот документ описывает, как настроить сервер Video Communication Server (VCS) Cisco TelePresence для Мобильного удаленного доступа (MRA), когда используются составные домены.

MRA, установленный, когда существует только один домен, является относительно прямым, и можно выполнить действия, которые задокументированы в руководство по развертыванию. Когда развертывания включают составные домены, это становится более сложным. Этот документ не является руководством по конфигурации, но он описывает важные аспекты, когда включены составные домены. Основная конфигурация задокументирована в Руководство по развертыванию сервера Video Communication Server (VCS) Cisco TelePresence.

Внесенный Кристофом Ван Койлли и Филипом Смеунинксом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Используйте информацию, которая описана в этом разделе для настройки VCS.

Схема сети

Вот краткий обзор других доменов:

  • domain1 - Это - Граничный домен, который используется клиентом для обнаружения местоположения Граничного сервера и через который это обнаруживает Сервис пользовательских данных (UDS).

  • domain2 и domain3 - Это используется для обнаружения сервера.

  • domain4 - Это - Мгновенный обмен сообщениями и Присутствие (IM&P) домен, который используется Расширяемой Платформой Связи (XCP) и Расширяемым Протоколом Обмена сообщениями и Присутствия (XMPP) трафик.

Зона прохождения

Зона прохождения состоит из Сервера прохождения (expresswayE), расположенный в De-Militarized Zone (DMZ) и Клиенте прохождения (expresswayC), расположенный в сети:

Сервер прохождения

Сервер прохождения расположен в зональной конфигурации на Скоростной автомагистрали E:

Клиент прохождения

Клиент прохождения расположен в зональной конфигурации на C Скоростной автомагистрали:

Домен голосовых сервисов

Пользователь всегда входит с userid@domain4, поскольку не должно быть никакого различия в пользовательском опыте когда внутри или снаружи. Это означает, что, если domain1 отличается от domain4, необходимо настроить домен голосовых сервисов в клиенте Jabber. Это вызвано тем, что доменная часть входа в систему используется для обнаружения Периферийных сетевых услуг Совместной работы с помощью Сервиса (SRV) рекордные поиски.

Клиент выполняет запрос записи SRV Системы доменных имен (DNS) для _collab-края. _ tls. <домен>. Это подразумевает, что, когда домен из ID регистрационной информации пользователя для входа отличается, чем домен от Скоростной автомагистрали E, необходимо использовать конфигурацию домена голосового сервиса. Jabber использует эту конфигурацию для обнаружения Края Совместной работы и UDS.

Существуют составные опции, которые можно использовать для выполнения этой задачи:

  1. Добавьте это в качестве параметра при установке Jabber через Интерфейс мультимедийных служб (MSI):
    msiexec /i CiscoJabberSetup.msi VOICE_SERVICES_DOMAIN=domain1 CLEAR=1
  2. Перейдите к %APPDATA %> Cisco> Унифицированная связь> Jabber> CSF> Config и создайте этот jabber-config-user.xml файл в каталоге:
    <?xml version="1.0" encoding="utf-8"?>
    <config version ="1.0">
    <Policies> <VoiceServicesDomain>domain1</VoiceServicesDomain>
    </Policies>
    </config>

    Примечание: Этот метод экспериментален только и не официально поддерживаемый Cisco.

  3. Отредактируйте файл jabber-config.xml. Это требует, чтобы клиент вошел внутренне сначала. Генератор Файла config Jabber может использоваться для этого:
    <Policies>
    <VoiceServicesDomain>domain1</VoiceServicesDomain>
    </Policies>
  4. Кроме того, мобильные клиенты Jabber могут быть настроены с Доменом Голосовых сервисов передняя сторона, таким образом, они не должны входить внутренне сначала. Это объяснено в Развертываниях и Руководстве по установке в Сервисной главе Обнаружения. Необходимо создать URL конфигурации, который должен нажать пользователь:
    ciscojabber://provision?ServicesDomain=domain4&VoiceServicesDomain=domain1

Примечание: Это требуется, чтобы использовать домен голосовых сервисов, потому что необходимо гарантировать выполнение поиска для Граничных записей SRV Совместной работы для внешнего домена (domain1).

Записи DNS

В этом разделе описываются параметры конфигурации для внешних записей и записей Internal DN.

Внешний

Введите EntryРешения к
Запись SRV_collab-край. _ tls domain1ExpresswayE.domain1
ЗаписьExpresswayE.domain1IP-адрес ExpresswayE

Следует отметить, что:

  • Записи SRV возвращают Полное доменное имя (FQDN) и не IP-адрес.

  • FQDN, который возвращен записями SRV, должен совпасть с фактическим FQDN Скоростной-автомагистрали-E, или цель записи SRV является CNAME и точками псевдонима к серверу в том же домене как Скоростная-автомагистраль-E (идентификатор ошибки Cisco в состоянии ожидания CSCuo82526).

Это требуется, потому что Скоростная-автомагистраль-E устанавливает cookie у клиента с его собственным доменом (domain1), и если это не совпадает с доменом, который возвращен FQDN, клиент не принимает это. Идентификатор ошибки Cisco CSCuo83458 открыт как усовершенствование для этого сценария.

Внутренний

Введите EntryРешения к
Запись SRV_cisco-uds. TCP  /*. domain1cucm.domain3
Записьcucm.domain3IP-адрес CUCM

Поскольку домен голосовых сервисов установлен в domain1, Jabber встраивает domain1 в преобразованный URL для Граничного обнаружения конфигурации Совместной работы (получите edge_config). После того, как полученный, C скоростной автомагистрали выполняет SRV запрос записи UDS для domain1 и возвращает записи в 200 ОК сообщение.

Введите EntryРешения к
SRV_cisco-uds. TCP  /*. domain4cucm.domain3
Записьcucm.domain3IP-адрес CUCM

Когда клиент является сетевым, SRV, обнаружение записи UDS требуется для domain4.

Домены SIP на C скоростной автомагистрали

Необходимо добавить эти домены Протокола SIP на C скоростной автомагистрали и включить им для MRA:

ИМЯ ХОСТА/IP-АДРЕС Серверы CUCM

При настройке серверов Cisco Unified Communications Manager (CUCM) существует два сценария:

  • Если C скоростной автомагистрали (domain2) настроен с тем же доменом как сервер CUCM (domain3), можно настроить серверы CUCM (System> Server) с:

    • IP-адрес
    • Имя хоста
    • FQDN

  • Если C скоростной автомагистрали (domain2) настроен с другим доменом, чем сервер CUCM (domain3), то необходимо настроить серверы CUCM с:

    • IP-адрес
    • FQDN

Это требуется, потому что, когда C скоростной автомагистрали обнаруживает, серверы CUCM и имя хоста возвращены, это выполняет Поиск DNS для имени хоста domain2, которое не работает, если domain2 и domain3 являются другими.

Сертификаты

Кроме общих требований сертификата, несколько вещей должны быть добавлены к Подчиненным альтернативным названиям (SAN) сертификатов:

  • C скоростной автомагистрали

    • Псевдонимы узла чата, которые настроены на Серверах IM&P, должны быть добавлены. Это только требуется для Унифицированной связи развертывания федерации XMPP, которые намереваются использовать и Transport Layer Security (TLS) и чат группы. Это добавлено автоматически к Запросу подписи сертификата (CSR), если он уже обнаружил серверы IM&P.

    • Названия, в формате FQDN, всех телефонных профилей безопасности в CUCM, которые настроены для зашифрованного TLS и используются для устройств, которые требуют удаленного доступа, должны быть добавлены.

      Примечание: Когда Центр сертификации (CA) не позволяет синтаксис имени хоста в SAN, формат FQDN только требуется.

  • Скоростная-автомагистраль-E

    • Должны быть добавлены все домены, которые настроены для Унифицированной связи (domain1 и domain4).

      Примечание: Для клиентов Jabber FQDN Скоростной-автомагистрали-E достаточен, поскольку они могут совпасть с доменом от FQDN. Это еще не поддерживается оконечными точками Класса трафика (TC); следовательно рекомендация добавить их. Если вы не хотите получать всплывающее на клиентской стороне для Jabber, domain4 необходим.

    • Псевдонимы узла чата, которые настроены на Серверах IM&P, должны быть добавлены. Это только требуется для Унифицированной связи развертывания федерации XMPP, которые намереваются использовать и TLS и чат группы. Они могут быть скопированы с CSR, который генерируется на C скоростной автомагистрали.

Сдвоенный NIC

Когда двойные сетевые интерфейсные платы (NIC) используются, этот раздел описывает параметры конфигурации.

Два интерфейса

При настройке Скоростной-автомагистрали-E для использования интерфейсов сдвоенной сети важно гарантировать, что оба интерфейса настраиваются и используются.

То, когда сдвоенная сеть Использования взаимодействует, настроено со значением Да, Скоростная-автомагистраль-E только слушает на внутреннем интерфейсе для связи XMPP с C скоростной автомагистрали. Таким образом необходимо гарантировать, что этот интерфейс настроен и работает правильно.

Один интерфейс - открытый IP - адрес

Когда только один интерфейс используется, и вы настраиваете Скоростную-автомагистраль-E с открытым IP - адресом, никакие специальные вопросы не должны быть взяты.

Один интерфейс - закрытый IP - адрес

Когда только один интерфейс используется, и вы настраиваете Скоростную-автомагистраль-E с закрытым IP - адресом, необходимо настроить статическую трансляцию сетевых адресов (NAT) адрес также:

В этой ситуации важно гарантировать что:

  • C скоростной автомагистрали позволен межсетевым экраном передать трафик к открытому IP - адресу. Это известно как отражение NAT.

  • Зона Клиента прохождения на C скоростной автомагистрали настроена с адресом партнера (peer), который совпадает со статическим NAT адресом на Скоростной-автомагистрали-E, которая является 20.20.20.20 в этом случае.

Совет: Дополнительные сведения о развертываниях сложной сети доступны в Приложении 4 Базовой конфигурации Сервера Передачи видеоданных Cisco TelePresence (Контроль со Скоростной автомагистралью) Руководство по развертыванию.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

 Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Зона прохождения

Когда адрес партнера (peer) настроен как IP-адрес, или адрес партнера (peer) не совпадает с Общим именем (CN), вы видите это в журналах:

Event="Outbound TLS Negotiation Error" Service="SIP" Src-ip="10.48.80.161"
Src-port="25697" Dst-ip="10.48.36.171" Dst-port="7001" Detail="Peer's TLS
certificate identity was unacceptable"
Protocol="TLS" Common-name="10.48.36.171"

Когда пароль является неправильным, вы видите это в журналах Скоростной-автомагистрали-E:

Module="network.ldap" Level="INFO": Detail="Authentication credential found in
directory for identity: traversal"


Module="developer.nomodule" Level="WARN" CodeLocation="ppcmains/sip/sipproxy/
SipProxyAuthentication.cpp(686)" Method="SipProxyAuthentication::
checkDigestSAResponse" Thread="0x7f2485cb0700": calculated response does not
match supplied response, calculatedResponse=769c8f488f71eebdf28b61ab1dc9f5e9
,
response=319a0bb365decf98c1bb7b3ce350f6ec

Event="Authentication Failed" Service="SIP" Src-ip="10.48.80.161"
Src-port="25723" Detail="Incorrect authentication credential for user"
Protocol="TLS" Method="OPTIONS" Level="1"

Сдвоенный NIC

Когда Сдвоенный NIC включен, но второй интерфейс не используется или связывается, C скоростной автомагистрали не может соединиться со Скоростной-автомагистралью-E для связи XMPP на порту 7400, и журналы C скоростной автомагистрали показывают это:

xwayc XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,843" ThreadID=
"139747212576512" Module="Jabber" Level="INFO " CodeLocation="mio.c:1109"
Detail="Connecting on fd 28 to host '10.48.36.171', port 7400"xwayc

XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,847" ThreadID="139747212576512"
Module="Jabber" Level="ERROR" CodeLocation="mio.c:1121" Detail="Unable to
connect to host '10.48.36.171', port 7400
:(111) Connection refused"

xwayc XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,847" ThreadID=
"139747406935808" Module="Jabber" Level="ERROR" CodeLocation=
"base_connection.cpp:104" Detail="Failed to connect to component
jabberd-port-1.expresswayc-vngtp-lab"

DNS

Когда FQDN, который возвращен поиском записи SRV для Края Совместной работы, не совпадает с FQDN, который настроен на Скоростной-автомагистрали-E, журналы Jabber показывают эту ошибку:

WARNING [9134000] - [csf.edge][executeEdgeConfigRequest] XAuth Cookie expiration
time is invalid or not available. Attempting to Failover
.

DEBUG [9134000] - [csf.edge][executeEdgeConfigRequest]Failed to retrieve
EdgeConfig with error:INTERNAL_ERROR

В журналах диагностики для Скоростной-автомагистрали-E вы видите, для которого домена cookie установлен в сообщении HTTPS:

Set-Cookie: X-Auth=1e1111e1-dddb-49e9-ad0d-ab34526e2b00; Expires=Fri,
09 May 2014 20:21:31 GMT; Domain=.vngtp.lab; Path=/; Secure

Домены SIP

Когда требуемые домены SIP не добавлены на C скоростной автомагистрали, Скоростная-автомагистраль-E не принимает сообщения для этого домена, и в журналах диагностики вы видите 403 Запрещенных сообщения, которые передаются клиенту:

ExpresswayE traffic_server[15550]:
Module="network.http.trafficserver" Level="DEBUG": Detail="Sending Response"
Txn-id="2" Dst-ip="10.48.79.80" Dst-port="50314"
HTTPMSG:
|HTTP/1.1 403 Forbidden
Date: Wed, 21 May 2014 14:31:18 GMT
Connection: close
Server: CE_E
Content-Length: 0

ExpresswayE traffic_server[15550]: Event="Sending HTTP error response"
Status="403" Reason="Forbidden"
Dst-ip="10.48.79.80" Dst-port="50314"

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 117811