تكوين إشارات SIP الآمنة في Contact Center Enterprise

خيارات التنزيل

  • PDF     (1.8 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.6 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٢ نوفمبر ٢٠٢٢
معرّف المستند:218434

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تأمين تدفق المكالمات الشامل لبروتوكول بدء جلسة عمل (SIP) في Contact Center Enterprise (CCE).

    المتطلبات الأساسية

    وخارج نطاق إنشاء الشهادات واستيرادها من هذا المستند، لذلك يجب إنشاء شهادات مدير الاتصالات الموحدة (CUCM) من Cisco وخادم المكالمات الخاص ب Customer Voice Portal (CVP) والمستعرض الصوتي الظاهري (CVB) من Cisco وعنصر الحدود الموحدة (CUBE) من Cisco واستيرادها إلى المكونات المعنية. إذا كنت تستخدم شهادات موقعة ذاتيا، فإن تبادل الشهادات يجب أن يتم بين مكونات مختلفة.

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • CCE
    • CVP
    • مكعب
    • CUCM
    • CVB

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى الإصدار 12.6 من Package Contact Center Enterprise (PCCE) و CVP و CVB و CVB، ولكنها تنطبق أيضا على الإصدارات السابقة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    يعرض المخطط التالي المكونات المشاركة في إرسال إشارات SIP في تدفق المكالمات الشامل لمركز الاتصال. عندما تصل مكالمة صوتية إلى النظام، تأتي أولا من خلال بوابة الدخول أو المكعب، لذلك قم بتشغيل تكوينات SIP الآمنة على CUBE. بعد ذلك، قم بتكوين CVP و CVB و CUCM.

    Inbound SIP Call Flow

    المهمة 1. التكوين الآمن للمكعب

    في هذه المهمة، قم بتكوين CUBE لتأمين رسائل بروتوكول SIP.

    التكوينات المطلوبة:

    • تكوين TrustPoint افتراضي لوكيل مستخدم SIP (UA)
    • تعديل أقران الطلب لاستخدام أمان طبقة النقل (TLS)

    الخطوات:

    1. فتح جلسة عمل Secure Shell (SSH) إلى المكعب.
    2. قم بتشغيل هذه الأوامر لجعل مكدس SIP يستخدم شهادة المرجع المصدق (CA) الخاصة بالمكعب. ينشئ المكعب اتصال SIP TLS من/إلى CUCM (198.18.133.3) و CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. قم بتشغيل هذه الأوامر لتمكين TLS على نظير الطلب الصادر إلى CVP. في هذا المثال، يتم إستخدام علامة نظير الطلب 6000 لتوجيه المكالمات إلى CVP.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    المهمة 2. التكوين الآمن ل CVP

    في هذه المهمة، قم بتكوين خادم مكالمات CVP لتأمين رسائل بروتوكول SIP (SIP TLS).

    الخطوات:

    1. سجل الدخول إلىUCCE Web Administration.
    2. انتقل إلى  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    استنادا إلى التكوينات الخاصة بك، لديك مجموعات خوادم SIP تم تكوينها ل CUCM و CVB و CUBE. أنت تحتاج أن يثبت يأمن SIP ميناء إلى 5061 لكل منهم. في هذا المثال، يتم إستخدام مجموعات خوادم SIP التالية:

    • cucm1.dcloud.cisco.com ل CUCM
    • vvb1.dcloud.cisco.com ل CVB
    • cube1.dcloud.cisco.com  ل CUBE
    1. انقرcucm1.dcloud.cisco.comثم فيMembersعلامة التبويب، التي تظهر تفاصيل تكوين مجموعة خوادم SIP. ضبطSecurePortإلى5061وانقر  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. انقرvvb1.dcloud.cisco.comثم فيMembersعلامة التبويب. اضبط SecurePort على5061وانقرSave.

    Setting Secure SIP Port for VVB Server Group

    المهمة 3. التكوين الآمن ل CVB

    في هذه المهمة، قم بتكوين CVB لتأمين رسائل بروتوكول SIP (SIP TLS).

    الخطوات:

    1. سجل الدخول إلى  Cisco VVB Administration  الطبق.
    2. انتقل إلىSystem > System Parameters.

    VVB System Parameters

    1. فيSecurity Parametersالقسم، أختر EnableTLS(SIP). احتفظSupported TLS(SIP) versionبTLSv1.2.

    VVB Security Parameters

    1. طقطقة تحديث. انقرOkعندما يطلب منك إعادة تشغيل محرك CVB.

    Update Security Parameters

    1. تتطلب هذه التغييرات إعادة تشغيل محرك Cisco VVB. لإعادة تشغيل محرك VVB، انتقل إلىCisco VVB Serviceabilityثم انقرGo.

    Cisco VVB Serviceability

    1. انتقل إلى  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. أخترEngineوانقر فوقRestart.

    Control Center - Network Services

    المهمة 4. التكوين الآمن ل CUCM

    لتأمين رسائل SIP على CUCM، قم بإجراء التكوينات التالية:

    • تعيين وضع أمان CUCM على الوضع المختلط
    • تكوين ملفات تعريف أمان خط اتصال SIP ل CUBE و CVP
    • إقران ملفات تعريف أمان خط اتصال SIP بشبكات SIP المقابلة
    • اتصال جهاز "الوكلاء الأمنين" ب CUCM

    تعيين وضع أمان CUCM على الوضع المختلط

    يدعم CUCM وضعي أمان:

    • الوضع غير الآمن (الوضع الافتراضي)
    • الوضع المختلط (الوضع الآمن)

    الخطوات:

    1. لتعيين وضع الأمان على الوضع المختلط، قم بتسجيل الدخول إلىCisco Unified CM Administrationالواجهة.

    CUCM Administration Interface

    1. بعد تسجيل الدخول بنجاح إلى CUCM، انتقل إلىSystem > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. تحت Security Parameters القسم، تحقق مما إذا كانCluster Security Modeمضبوطا على0.

    CUCM Security Parameters

    1. في حالة تعيين "وضع أمان نظام المجموعة" على أنه 0، فهذا يعني تعيين وضع أمان نظام المجموعة على وضع غير آمن. تحتاج إلى تمكين الوضع المختلط من CLI.
    2. افتح جلسة SSH إلى CUCM.
    3. بعد تسجيل الدخول بنجاح إلى CUCM عبر SSH، قم بتشغيل هذا الأمر: utils ctl set-cluster mixed-mode
    1. اكتبyوانقر فوق إدخال عند طلبها. يقوم هذا الأمر بتعيين وضع أمان نظام المجموعة إلى الوضع المختلط.

    CUCM SSH Console

    1. لكي تصبح التغييرات نافذة المفعول، قم بإعادة التشغيلCisco CallManagerوالخدماتCisco CTIManager.
    2. لإعادة تشغيل الخدمات، قم بالتنقل وتسجيل الدخول إلى Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. بعد تسجيل الدخول بنجاح، انتقل إلىTools > Control Center – Feature Services.

    Control Center - Feature Services

    1. أختر الخادم ثم انقرGo.

    Select Server

    1. تحت خدمات CM، أختر Cisco CallManager  ثم انقرRestartفوق الزر الموجود أعلى الصفحة.

    Restarting Cisco Call Manager Services

    1. قم بتأكيد الرسالة المنبثقة وانقرOK. انتظر حتى يتم إعادة تشغيل الخدمة بنجاح.

    Info Message

    1. بعد إعادة التشغيل الناجحة لCisco CallManager، أختر CiscoCTIManagerثم انقرRestartفوق الزر لإعادة تشغيلCisco CTIManagerالخدمة.

    Restarting Cisco CTI Manager Service

    1. قم بتأكيد الرسالة المنبثقة وانقرOK. انتظر حتى يتم إعادة تشغيل الخدمة بنجاح.

    Info Message

    1. بعد إعادة تشغيل الخدمات بنجاح، تحقق من تعيين وضع أمان نظام المجموعة على الوضع المختلط، انتقل إلى إدارة CUCM كما هو موضح في الخطوة 5. ثم تحقق منCluster Security Mode. والآن يجب تعيينها على1.

    Cluster Security Mode is to the Value of '1'

    تكوين ملفات تعريف أمان خط اتصال SIP ل CUBE و CVP

    الخطوات:

    1. سجل الدخول إلىCUCM administrationالواجهة.
    2. بعد تسجيل الدخول الناجح إلى CUCM، انتقل إلى System > Security > SIP Trunk Security Profile  لإنشاء ملف تعريف أمان جهاز ل CUBE.

    CUCM SIP Trunk Security Profile

    1. في أعلى اليسار، انقرAdd Newلإضافة توصيف جديد.

    Add New CUCM SIP Trunk Security Profile

    1. قم بتكوينSIP Trunk Security Profileكما هو موضح في هذه الصورة ثم انقرSaveأسفل يسار الصفحةSaveعليه .

    Add CUCM SIP Trunk Security Profile for CUBE

    5. تأكد من تعيينSecure Certificate Subject or Subject Alternate Nameالاسم الشائع (CN) لشهادة CUBE كما يجب أن تكون مطابقة.

    6. انقر فوقCopyالزر وقم بتغييرNameإلىSecureSipTLSforCVP والشهادة Secure Certificate Subject إلى CN الخاصة بشهادة خادم الاتصال ل CVP كما يجب أن تتطابق. انقر فوقSaveالزر.

    Add CUCM SIP Trunk Security Profile for CVP

    إقران ملفات تعريف أمان خط اتصال SIP بشبكات SIP المقابلة

    الخطوات:

    1. في صفحة إدارة CUCM، انتقل إلىDevice > Trunk.

    CUCM Trunk Configuration for CUBE

    1. البحث عن خط اتصال المكعب. في هذا المثال، يكون اسم خط اتصال المكعب هو vCube. انقرFind.

    Find SIP Trunks on CUCM for CUBE

    1. انقر فوق vCUBE لفتح صفحة تكوين خط اتصال vCUBE.
    2. قم بالتمرير إلىSIP Informationالقسم، وقم بتغييرDestination Portإلى 5061.
    3. تغييرSIP Trunk Security ProfileإلىSecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. طقطقتSaveبعد ذلكRestin order toSaveوطبقت تغير.

    Save Configuration


    Info Message

    1. انتقل إلىDevice > Trunkخط اتصال CVP، وابحث عنه. في هذا المثال، يكون اسم خط اتصال CVP هو cvp-SIP-Trunk.انقرFind.

    CUCM Trunk Configuration for CVP

    1. انقرCVP-SIP-Trunkلفتح صفحة تكوين خط اتصال CVP.
    2. قم بالتمرير إلىSIP Informationالقسم، وقم بالتغييرDestination Portإلى 5061.
    3. تغييرSIP Trunk Security ProfileإلىSecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. طقطقتSaveبعد ذلكRestin order to save وطبقت تغير.

    SIP Trunk Configuration for CVP

    Save Configuration

    اتصال جهاز "الوكلاء الأمنين" ب CUCM

    لتمكين ميزات الأمان للجهاز، يجب تثبيت شهادة ذات أهمية محلية (LSC) وتعيين ملف تعريف أمان لذلك الجهاز. يحتوي LSC على المفتاح العام لنقطة النهاية، والذي تم توقيعه من قبل المفتاح الخاص لوظيفة وكيل المرجع المصدق (CAPF). وهو غير مثبت على الهواتف بشكل افتراضي.

    الخطوات:

    1. سجل الدخول إلىCisco Unified Serviceability Interface.
    2. انتقل إلى  Tools > Service Activation.

    Info Message

    1. أختر خادم CUCM وانقر  Go .

    CUCM Service Activation

    1. تحققCisco Certificate Authority Proxy Functionوانقر فوقSaveلتنشيط الخدمة. انقرOkللتأكيد.

    Select Server

    1. تأكد من تنشيط الخدمة ثم انتقل إلىCisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. بعد تسجيل دخولك إلى إدارة CUCM بنجاح، انتقل إلىSystem > Security > Phone Security Profileلإنشاء ملف تعريف أمان جهاز لجهاز العميل.

    CUCM Administration

    1. اعثر على توصيفات التأمين المتعلقة بنوع جهاز الوكيل. في هذا المثال، يتم إستخدام هاتف لين، لذا أختر Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile. انقر CopyPhone Security Profile لنسخ ملف التعريف هذا.

    Copy Existing Phone Security Profile

    1. قم بإعادة تسمية ملف التخصيص إلىCisco Unified Client Services Framework - Secure Profile، قم بتغيير المعلمات كما هو موضح في هذه الصورة، ثم انقرSaveفي أعلى يسار الصفحة.

    Add New Phone Security Profile

    1. بعد الإنشاء الناجح لملف تعريف جهاز الهاتف، انتقل إلىDevice > Phone.

    Phone Configuration

    1. انقر فوقFindلسرد جميع الهواتف المتوفرة، ثم انقر فوق هاتف الوكيل.
    2. يتم فتح صفحة تكوين هاتف الوكيل. بحث عنCertification Authority Proxy Function (CAPF) Informationقسم. من أجل تثبيت LSC، قمCertificate OperationبالتعيينInstall/UpgradeOperation Completes byإلى أي تاريخ مستقبلي.

    Setting CAPF Parameters

    1. بحث عنProtocol Specific Informationقسم. تغييرDevice Security ProfileإلىCisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. انقرSaveفي أعلى يسار الصفحة. تأكد من حفظ التغييرات بنجاح وانقر فوقReset.

    Save Configuration

    1. تفتح نافذة منبثقة، انقرResetلتأكيد العملية.

    Phone Reset

    1. بعد تسجيل جهاز الوكيل مرة أخرى باستخدام CUCM، قم بتحديث الصفحة الحالية وتحقق من تثبيت LSC بنجاح. تدقيقCertification Authority Proxy Function (CAPF) Informationقسم،Certificate Operationينبغي أن يكون ثبتت إلىNo Pending Operation،Certificate Operation Statusثبتت إلىUpgrade Success.

    CAPF Information is Updated

    1. أحلت steps. 7-13 لتأمين أجهزة العملاء الأخرى التي تريد إستخدامها لتأمين SIP باستخدام CUCM.

    التحقق من الصحة

    للتحقق من صحة إرسال إشارات SIP مؤمن بشكل صحيح، قم بتنفيذ الخطوات التالية:

    1. افتح جلسة SSH إلى vCUBE، وقم بتشغيل الأمرshow sip-ua connections tcp tls detail، وتأكد من عدم وجود اتصال TLS تم إنشاؤه في هذه اللحظة مع CVP (198.18.133.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    ملاحظة: في هذه اللحظة، يتم تمكين جلسة TLS نشطة واحدة فقط مع CUCM، لخيارات SIP على CUCM (198.18.133.3). في حالة عدم تمكين خيارات SIP، لا يوجد اتصال SIP TLS.

    1. سجل الدخول إلى CVP وابدأ Wireshark.
    2. إجراء مكالمة إختبار لرقم مركز الاتصال.
    3. انتقل إلى جلسة عمل CVP؛ على Wireshark، قم بتشغيل هذا المرشح للتحقق من إرسال إشارات SIP باستخدام CUBE:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    تحقق: هل تم إنشاء اتصال SIP عبر TLS؟ إذا كانت الإجابة بنعم، فإن الإخراج يؤكد تأمين إشارات SIP بين CVP و CUBE.

    5. تحقق من اتصال SIP TLS بين CVP و CVB. في نفس جلسة Wireshark، قم بتشغيل عامل التصفية هذا:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    تحقق: هل تم إنشاء اتصال SIP عبر TLS؟ إذا كانت الإجابة بنعم، فإن الإخراج يؤكد تأمين إشارات SIP بين CVP و CVB.

    6. يمكنك أيضا التحقق من اتصال SIP TLS ب CVP من CUBE. انتقل إلى جلسة SSH الخاصة ب vCUBE، وشغل هذا الأمر للتحقق من إشارات SIP الآمنة:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    تحقق: هل تم إنشاء اتصال SIP عبر TLS مع CVP؟ إذا كانت الإجابة بنعم، فإن الإخراج يؤكد تأمين إشارات SIP بين CVP و CUBE.

    7. في هذه اللحظة، يتم الاتصال بشكل نشط وتسمع الموسيقى قيد الانتظار (MoH) نظرا لعدم توفر وكيل للرد على المكالمة.

    8. أجعل الوكيل متوفرا للرد على المكالمة.

    .Make Agent Ready on Finesse Agent Desktop

    9. يتم حجز العميل ويتم توجيه المكالمة إليه. انقرAnswerللرد على المكالمة.

    Answer Incoming Call on Finesse Desktop


    10. يتصل الاتصال بالوكيل.

    11. للتحقق من إشارات SIP بين CVP و CUCM، انتقل إلى جلسة CVP، وشغل هذا المرشح في Wireshark:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    تحقق: هل جميع إتصالات SIP مع CUCM (198.18.133.3) عبر TLS؟ إذا كانت الإجابة بنعم، فإن المخرجات تؤكد أن إشارات SIP بين CVP و CUCM مؤمنة.

    استكشاف الأخطاء وإصلاحها

    إذا لم يتم إنشاء TLS، فقم بتشغيل هذه الأوامر على CUBE لتمكين تصحيح أخطاء TLS لاستكشاف الأخطاء وإصلاحها:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    23-Nov-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Mohamed Mohasseb
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات