Configuración de la señalización SIP segura en Contact Center Enterprise

Opciones de descarga

  • PDF     (1.7 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.6 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de noviembre de 2022
ID del documento:218434

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describe cómo proteger la señalización del protocolo de inicio de sesión (SIP) en el flujo de llamadas completo de Contact Center Enterprise (CCE).

    Prerequisites

    La generación y la importación de certificados no están incluidas en el ámbito de este documento, por lo que se deben crear e importar certificados para Cisco Unified Communication Manager (CUCM), el servidor de llamadas de Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVVB) y Cisco Unified Border Element (CUBE) en los componentes respectivos. Si utiliza certificados autofirmados, el intercambio de certificados debe realizarse entre los diferentes componentes.

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • CCE
    • CVP
    • CUBO
    • CUCM
    • CVVB

    Componentes Utilizados

    La información de este documento se basa en Package Contact Center Enterprise (PCCE), CVP, CVB y CUCM versión 12.6, pero también es aplicable a las versiones anteriores.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    El siguiente diagrama muestra los componentes implicados en la señalización SIP en el flujo de llamadas completo del centro de contacto. Cuando el sistema recibe una llamada de voz, primero se realiza a través del gateway de entrada o CUBE, así que inicie configuraciones SIP seguras en CUBE. A continuación, configure CVP, CVB y CUCM.

    Inbound SIP Call Flow

    Tarea 1. Configuración segura de CUBE

    En esta tarea, configure CUBE para proteger los mensajes del protocolo SIP.

    Configuraciones necesarias:

    • Configuración de un punto de confianza predeterminado para el agente de usuario SIP (UA)
    • Modificar los pares de marcado para utilizar la seguridad de la capa de transporte (TLS)

    Pasos:

    1. Abra una sesión de Secure Shell (SSH) en CUBE.
    2. Ejecute estos comandos para que la pila SIP utilice el certificado de la autoridad certificadora (CA) del CUBE. CUBE establece una conexión SIP TLS desde/hacia CUCM (198.18.133.3) y CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Ejecute estos comandos para habilitar TLS en el par de marcado saliente para CVP. En este ejemplo, la etiqueta dial-peer 6000 se utiliza para rutear llamadas a CVP.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    Tarea 2. Configuración segura de CVP

    En esta tarea, configure el servidor de llamadas CVP para proteger los mensajes del protocolo SIP (SIP TLS).

    Pasos:

    1. Inicie sesión enUCCE Web Administration.
    2. Vaya a   Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    Según sus configuraciones, tiene grupos de servidores SIP configurados para CUCM, CVB y CUBE. Debe establecer los puertos SIP seguros en 5061 para todos ellos. En este ejemplo, se utilizan estos grupos de servidores SIP:

    • cucm1.dcloud.cisco.com para CUCM
    • vvb1.dcloud.cisco.com para CVVB
    • cube1.dcloud.cisco.com  para CUBE
    1. Haga cliccucm1.dcloud.cisco.comy, a continuación, en laMembersficha, que muestra los detalles de la configuración del grupo de servidores SIP. EstablezcaSecurePorten5061y haga clic en  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. Haga clicvvb1.dcloud.cisco.comen y, a continuación, en laMembersficha. Establezca SecurePort en5061y haga clic enSave.

    Setting Secure SIP Port for VVB Server Group

    Tarea 3. Configuración segura de CVB

    En esta tarea, configure CVB para proteger los mensajes del protocolo SIP (SIP TLS).

    Pasos:

    1. Inicie sesión en la  Cisco VVB Administration  página.
    2. Vaya a .System > System Parameters

    VVB System Parameters

    1. En laSecurity Parameterssección, elijaEnablepara TLS(SIP). Mantener Supported TLS(SIP) versioncomoTLSv1.2.

    VVB Security Parameters

    1. Haga clic en Update (Actualizar). Haga clic enOkcuando se le solicite reiniciar el motor CVB.

    Update Security Parameters

    1. Estos cambios requieren que se reinicie el motor Cisco VB. Para reiniciar el motor VB, navegue hastaCisco VVB Serviceabilityy haga clic enGo.

    Cisco VVB Serviceability

    1. Vaya a   Tools > Control Center – Network Services.

    Control Center - Network Services

    1. ElijaEnginey haga clic enRestart.

    Control Center - Network Services

    Tarea 4. Configuración segura de CUCM

    Para proteger los mensajes SIP en CUCM, realice las siguientes configuraciones:

    • Establecer el modo de seguridad de CUCM en modo mixto
    • Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP
    • Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas
    • Comunicación de dispositivos de agentes seguros con CUCM

    Establecer el modo de seguridad de CUCM en modo mixto

    CUCM admite dos modos de seguridad:

    • Modo no seguro (modo predeterminado)
    • Modo mixto (modo seguro)

    Pasos:

    1. Para establecer el modo de seguridad en Mixed Mode, inicie sesión en laCisco Unified CM Administrationinterfaz.

    CUCM Administration Interface

    1. Después de iniciar sesión correctamente en CUCM, vaya aSystem > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Debajo de la Security Parameters sección, compruebe siCluster Security Modeestá establecido en0.

    CUCM Security Parameters

    1. Si el modo de seguridad de clúster se establece en 0, significa que el modo de seguridad de clúster se establece en no seguro. Debe habilitar el modo mixto desde CLI.
    2. Abra una sesión SSH en CUCM.
    3. Después de haber iniciado sesión correctamente en CUCM a través de SSH, ejecute este comando: utils ctl set-cluster mixed-mode
    1. Escribayy haga clic en Intro cuando se le solicite. Este comando establece el modo de seguridad del clúster en modo mixto.

    CUCM SSH Console

    1. Para que los cambios surtan efecto, reinicieCisco CallManageryCisco CTIManagerservicios.
    2. Para reiniciar los servicios, navegue e inicie sesión en Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Después de iniciar sesión correctamente, vaya aTools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Elija el servidor y haga clic enGo.

    Select Server

    1. Debajo de los servicios de CM, seleccione y, a Cisco CallManager  continuación, haga clic en elRestartbotón situado en la parte superior de la página.

    Restarting Cisco Call Manager Services

    1. Confirme el mensaje emergente y haga clic enOK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después de reiniciar correctamente elCisco CallManager, seleccione CiscoCTIManagery haga clic enRestartel botón para reiniciar elCisco CTIManagerservicio.

    Restarting Cisco CTI Manager Service

    1. Confirme el mensaje emergente y haga clic enOK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después de que los servicios se reinicien correctamente, verifique que el modo de seguridad del clúster esté configurado en modo mixto, navegue hasta la administración de CUCM como se explicó en el paso 5. luego verifique elCluster Security Mode. Ahora debe configurarse en1.

    Cluster Security Mode is to the Value of '1'

    Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP

    Pasos:

    1. Inicie sesión en laCUCM administrationinterfaz.
    2. Después de iniciar sesión correctamente en CUCM, navegue hasta para crear un perfil de seguridad System > Security > SIP Trunk Security Profile  de dispositivo para CUBE.

    CUCM SIP Trunk Security Profile

    1. En la parte superior izquierda, haga clicAdd Newpara agregar un nuevo perfil.

    Add New CUCM SIP Trunk Security Profile

    1. ConfigureSIP Trunk Security ProfileSavecomo se muestra en esta imagen y, a continuación, haga clic en la parte inferior izquierda de la página paraSaveconfigurarlo.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Asegúrese de establecer elSecure Certificate Subject or Subject Alternate Nameen el nombre común (CN) del certificado de CUBE, ya que debe coincidir.

    6. Haga clic en el botónCopyy cambieNameaSecureSipTLSforCVP y Secure Certificate Subject a la CN del certificado del servidor de llamadas CVP, ya que debe coincidir. Haga clic en elSavebotón.

    Add CUCM SIP Trunk Security Profile for CVP

    Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas

    Pasos:

    1. En la página Administración de CUCM, desplácese aDevice > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Busque el troncal CUBE. En este ejemplo, el nombre del troncal de CUBE es vCube. Haga clic enFind.

    Find SIP Trunks on CUCM for CUBE

    1. Haga clic en vCUBE para abrir la página de configuración del troncal de vCUBE.
    2. Desplácese hacia abajo hastaSIP Informationla sección y cambie elDestination Porta 5061.
    3. CambieSIP Trunk Security ProfileaSecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. Haga clic enSaveentoncesRestparaSavey aplicar los cambios.

    Save Configuration


    Info Message

    1. Desplácese hastaDevice > Trunkel enlace troncal CVP y busque este enlace. En este ejemplo, el nombre del troncal de CVP es cvp-SIP-Trunk. Haga clic enFind.

    CUCM Trunk Configuration for CVP

    1. Haga clicCVP-SIP-Trunkpara abrir la página de configuración del troncal CVP.
    2. Desplácese hasta laSIP Informationsección y cambieDestination Porta 5061.
    3. CambieSIP Trunk Security ProfileaSecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. Haga clic enSaveentoncesRestpara save y aplicar los cambios.

    SIP Trunk Configuration for CVP

    Save Configuration

    Comunicación de dispositivos de agentes seguros con CUCM

    Para habilitar las funciones de seguridad para un dispositivo, debe instalar un certificado de importancia local (LSC) y asignar un perfil de seguridad a ese dispositivo. El LSC posee la clave pública para el terminal, que está firmada por la clave privada de la función proxy de autoridad certificadora (CAPF). No está instalado en los teléfonos de forma predeterminada.

    Pasos:

    1. Inicie sesión enCisco Unified Serviceability Interface.
    2. Vaya a   Tools > Service Activation.

    Info Message

    1. Elija el servidor de CUCM y haga clic en  Go .

    CUCM Service Activation

    1. MarqueCisco Certificate Authority Proxy Functiony haga clicSavepara activar el servicio. Haga clicOkpara confirmar.

    Select Server

    1. Asegúrese de que el servicio está activado y, a continuación, vaya aCisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Después de haber iniciado sesión correctamente en la administración de CUCM, navegue hastaSystem > Security > Phone Security Profilepara crear un perfil de seguridad de dispositivo para el dispositivo del agente.

    CUCM Administration

    1. Busque los perfiles de seguridad correspondientes al tipo de dispositivo del agente. En este ejemplo, se utiliza un teléfono basado en software, así que elija Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Haga clic en CopyPhone Security Profile para copiar este perfil.

    Copy Existing Phone Security Profile

    1. Cambie el nombre del perfil aCisco Unified Client Services Framework - Secure Profile, cambie los parámetros como se muestra en esta imagen y, a continuación, haga clicSaveen en la parte superior izquierda de la página.

    Add New Phone Security Profile

    1. Después de crear correctamente el perfil de dispositivo de teléfono, vaya aDevice > Phone.

    Phone Configuration

    1. Haga clicFindpara enumerar todos los teléfonos disponibles, luego haga clic en teléfono del agente.
    2. Se abre la página Configuración del teléfono del agente. BuscarCertification Authority Proxy Function (CAPF) Informationsección. Para instalar LSC, establezcaCertificate OperationenInstall/UpgradeyOperation Completes byen cualquier fecha futura.

    Setting CAPF Parameters

    1. BuscarProtocol Specific Informationsección. CambieDevice Security ProfileaCisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Haga clicSaveen en la parte superior izquierda de la página. Asegúrese de que los cambios se han guardado correctamente y haga clic enReset.

    Save Configuration

    1. Se abrirá una ventana emergente, haga clic enResetpara confirmar la acción.

    Phone Reset

    1. Una vez que el dispositivo agente se registre de nuevo en CUCM, actualice la página actual y verifique que el LSC se haya instalado correctamente. La sección CheckCertification Authority Proxy Function (CAPF) InformationCertificate Operationdebe establecerse enNo Pending OperationyCertificate Operation StatusenUpgrade Success.

    CAPF Information is Updated

    1. Consulte Pasos. 7-13 para proteger otros dispositivos de agentes que desee utilizar para proteger SIP con CUCM.

    Verificación

    Para validar que la señalización SIP está asegurada correctamente, siga estos pasos:

    1. Abra la sesión SSH en vCUBE, ejecute el comandoshow sip-ua connections tcp tls detaily confirme que no hay una conexión TLS establecida en este momento con CVP (198.18.133.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    Nota: En este momento, solo se habilita una sesión TLS activa con CUCM para las opciones SIP en CUCM (198.18.133.3). Si no están activadas las opciones SIP, no existe ninguna conexión SIP TLS.

    1. Inicie sesión en CVP e inicie Wireshark.
    2. Realice una llamada de prueba al número del centro de contacto.
    3. Vaya a la sesión de CVP; en Wireshark, ejecute este filtro para verificar la señalización SIP con CUBE:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    Comprobar: ¿Está establecida la conexión SIP sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUBE están aseguradas.

    5. Compruebe la conexión SIP TLS entre CVP y CVB. En la misma sesión de Wireshark, ejecute este filtro:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    Comprobar: ¿Está establecida la conexión SIP sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CVB están aseguradas.

    6. También puede verificar la conexión SIP TLS con CVP desde CUBE. Navegue hasta la sesión SSH de vCUBE y ejecute este comando para verificar las señales SIP seguras:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    Comprobar: ¿Está establecida la conexión SIP sobre TLS con CVP? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUBE están aseguradas.

    7. En este momento, la llamada está activa y se oye Música en espera (MOH), ya que no hay ningún agente disponible para contestar la llamada.

    8. Haga que el agente esté disponible para contestar la llamada.

    .Make Agent Ready on Finesse Agent Desktop

    9. El agente se reserva y la llamada se dirige a él. Haga clicAnswerpara contestar la llamada.

    Answer Incoming Call on Finesse Desktop


    10. La llamada se conecta con el agente.

    11. Para verificar las señales SIP entre CVP y CUCM, navegue hasta la sesión de CVP y ejecute este filtro en Wireshark:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    Comprobar: ¿Están todas las comunicaciones SIP con CUCM (198.18.133.3) sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUCM son seguras.

    Troubleshoot

    Si no se establece TLS, ejecute estos comandos en CUBE para habilitar debug TLS para resolver problemas:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    23-Nov-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mohamed Mohasseb
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos