Configuración de RTP seguro en Contact Center Enterprise

Opciones de descarga

  • PDF     (1.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:21 de diciembre de 2022
ID del documento:220123

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describe cómo proteger el tráfico del protocolo de transporte en tiempo real (SRTP) en el flujo de llamadas completo de Contact Center Enterprise (CCE).

    Prerequisites

    La generación e importación de certificados no están incluidas en el ámbito de este documento, por lo que se deben crear e importar certificados para Cisco Unified Communication Manager (CUCM), el servidor de llamadas del portal de voz del cliente (CVP), Cisco Virtual Voice Browser (CVVB) y Cisco Unified Border Element (CUBE) en los componentes respectivos. Si utiliza certificados autofirmados, el intercambio de certificados debe realizarse entre los diferentes componentes.

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • CCE
    • CVP
    • CUBO
    • CUCM
    • CVVB

    Componentes Utilizados

    La información de este documento se basa en Package Contact Center Enterprise (PCCE), CVP, CVB y CUCM versión 12.6, pero también es aplicable a las versiones anteriores.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Nota: En el flujo de llamadas completo del centro de contacto, para habilitar el RTP seguro, deben habilitarse las señales SIP seguras. Por lo tanto, las configuraciones en este documento habilitan tanto el SIP seguro como el SRTP.

    El siguiente diagrama muestra los componentes implicados en las señales SIP y RTP en el flujo de llamadas completo del centro de contacto. Cuando el sistema recibe una llamada de voz, primero se realiza a través del gateway de entrada o CUBE, por lo que debe iniciar las configuraciones en CUBE. A continuación, configure CVP, CVB y CUCM.

    Inbound SIP and RTP Call Flow

    Tarea 1: Configuración segura de CUBE

    En esta tarea, configure CUBE para proteger los mensajes del protocolo SIP y RTP.

    Configuraciones necesarias:

    • Configuración de un punto de confianza predeterminado para SIP UA
    • Modificar los pares de marcado para utilizar TLS y SRTP

    Pasos:

    1. Abra una sesión SSH en CUBE.
    1. Ejecute estos comandos para que la pila SIP utilice el certificado CA del CUBE. CUBE establece una conexión SIP TLS desde/hacia CUCM (198.18.133.3) y CVP (198.18.133.13):

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Ejecute estos comandos para habilitar TLS en el par de marcado saliente para CVP. En este ejemplo, la etiqueta dial-peer 6000 se utiliza para rutear llamadas a CVP:

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    Tarea 2: Configuración segura de CVP

    En esta tarea, configure el servidor de llamadas CVP para proteger los mensajes del protocolo SIP (SIP TLS).

    Pasos:

    1. Inicie sesión en elUCCE Web Administration.
    2. Vaya a .Call Settings > Route Settings > SIP Server Group

    SIP Server Group Configuration on CCE Admin Portal

    Según sus configuraciones, tiene grupos de servidores SIP configurados para CUCM, CVB y CUBE. Debe establecer los puertos SIP seguros en 5061 para todos ellos. En este ejemplo, se utilizan estos grupos de servidores SIP:

    • cucm1.dcloud.cisco.com para CUCM
    • vvb1.dcloud.cisco.com para CVVB
    • cube1.dcloud.cisco.com  para CUBE
    1. Haga clic encucm1.dcloud.cisco.comy, a continuación, en laMembersficha que muestra los detalles de las configuraciones de grupo de servidores SIP. EstablezcaSecurePorten5061y haga clic enSave.

    Setting secure SIP Port for CUCM Server Group

    1. Haga clicvvb1.dcloud.cisco.comen y, a continuación, en laMembersficha, establezca elSecurePorten5061y haga clic enSave.

    Setting secure SIP Port for VVB Server Group

    Tarea 3: Configuración segura de CVB

    En esta tarea, configure CVB para proteger los mensajes de protocolo SIP (SIP TLS) y SRTP.

    Pasos:

    1. Abra laCisco VVB Adminpágina.
    2. Vaya a .System > System Parameters

    VVB System Parameters

    1. En laSecurity Parameterssección, elijaEnableparaTLS (SIP) . Guarde el ySupported TLS(SIP) version as TLSv1.2elijaEnableparaSRTP.

    VVB Security Parameters

    1. Haga clic enUpdate. Haga clic enOkcuando se le solicite reiniciar el motor CVB.

    Update Security Parameters

    1. Estos cambios requieren que se reinicie el motor Cisco VB. Para reiniciar el motor VVB, navegue hasta laCisco VVB Serviceabilityy haga clic enGo.

    Cisco VVB Serviceability

    1. Vaya a .Tools > Control Center – Network Services

    Control Center - Network Services

    1. ElijaEnginey haga clic enRestart.

    Restarting CVVB Engine Services

    Tarea 4: Configuración segura de CUCM

    Para proteger los mensajes SIP y RTP en CUCM, realice estas configuraciones:

    • Establecer el modo de seguridad de CUCM en modo mixto
    • Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP
    • Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas y habilitar SRTP
    • Comunicación de dispositivos de agentes seguros con CUCM

    Establecer el modo de seguridad de CUCM en modo mixto

    CUCM admite dos modos de seguridad:

    • Modo no seguro (modo predeterminado)
    • Modo mixto (modo seguro)

    Pasos:

    1. Inicie sesión en la interfaz de administración de CUCM.

    CUCM Administration Interface

    1. Al iniciar sesión en CUCM, puede navegar hastaSystem > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. En laSecurity Parameterssección, compruebe si elCluster Security Modeestá establecido en0.

    CUCM Security Parameters

    1. Si el modo de seguridad de clúster está establecido en 0, significa que el modo de seguridad de clúster está establecido en no seguro. Debe habilitar el modo mixto desde CLI.
    2. Abra una sesión SSH en CUCM.
    3. Tras iniciar sesión correctamente en CUCM a través de SSH, ejecute este comando:

    utils ctl set-cluster xed-mode

    1. Escribayy haga clicEntercuando se le solicite. Este comando establece el modo de seguridad del clúster en modo mixto.

    CUCM SSH Console

    1. Para que los cambios surtan efecto, reinicie elCisco CallManagery losCisco CTIManagerservicios.
    2. Para reiniciar los servicios, navegue e inicie sesión enCisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Después de iniciar sesión correctamente, vaya aTools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Elija el servidor y haga clic enGo.

    Select Server

    1. Debajo de Servicios CM, elija elCisco CallManagery, a continuación, haga clic en el botónRestartsituado en la parte superior de la página.

    Restarting Cisco CallManager Service

    1. Confirme el mensaje emergente y haga clic enOK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después del reinicio correcto deCisco CallManager, seleccione el botónCisco CTIManagery haga clic enRestartpara reiniciar  Cisco CTIManager servicio.

    Restarting Cisco CTI Manager Service

    1. Confirme el mensaje emergente y haga clic enOK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después de reiniciar correctamente los servicios, para verificar que el modo de seguridad del clúster está configurado en modo mixto, navegue hasta la administración de CUCM como se explicó en el Paso 5 y luego verifique elCluster Security Mode. Ahora debe configurarse en1.

    Cluster Security Mode is to the Value of '1'

    Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP

    Pasos:

    1. Inicie sesión en la interfaz de administración de CUCM.
    2. Después de iniciar sesión correctamente en CUCM, navegue hastaSystem > Security > SIP Trunk Security Profilepara crear un perfil de seguridad de dispositivo para CUBE.

    CUCM SIP Trunk Security Profile

    1. En la parte superior izquierda, haga clic en Add New para agregar un nuevo perfil.

    Add a New CUCM SIP Trunk Security Profile

    1. ConfigureSIP Trunk Security ProfileSavecomo esta imagen y, a continuación, haga clic en la parte inferior izquierda de la página.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Asegúrese de establecer elSecure Certificate Subject or Subject Alternate Nameen el nombre común (CN) del certificado de CUBE, ya que debe coincidir.

    6. Haga clic en elCopybotón y cambie elNameaSecureSipTLSforCVP. CambieSecure Certificate Subjectal CN del certificado del servidor de llamadas CVP, ya que debe coincidir. Haga clic en elSave  botón.

    Add CUCM SIP Trunk Security Profile for CVP

    Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas y habilitar SRTP

    Pasos:

    1. En la página Administración de CUCM, desplácese aDevice > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Busque el troncal CUBE. En este ejemplo, el nombre del troncal de CUBE esvCubey, a continuación, haga clic enFind.

    Find SIP Trunks on CUCM for CUBE

    1. Haga clicvCUBEpara abrir la página de configuración del troncal de vCUBE.
    2. EnDevice Informationla sección, marque laSRTP Allowedcasilla de verificación para habilitar SRTP.

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. Desplácese hacia abajo hasta laSIP Informationsección y cambie elDestination Porta5061.
    2. CambieSIP Trunk Security ProfileaSecureSIPTLSForCube.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. Haga clic enSaveentoncesRestpara save y aplicar los cambios.

    Save Configuration

    Info Message

    1. Navegue hastaDevice > Trunk, busque el troncal de CVP; en este ejemplo, el nombre del troncal de CVP escvp-SIP-Trunk. Haga clic enFind.

    Find SIP Trunks on CUCM for CVP

    1. Haga clicCVP-SIP-Trunkpara abrir la página de configuración del troncal de CVP.
    2. En laDevice Informationsección, marqueSRTP Allowedla casilla de verificación para habilitar SRTP.

    Enable SRTP on SIP Trunk Configuration for CVP

    1. Desplácese hacia abajo hasta laSIP Informationsección, cambie elDestination Porta5061.
    2. CambieSIP Trunk Security ProfileaSecureSIPTLSForCvp.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. Haga clic enSaveentoncesRestpara save y aplicar los cambios.

    Save Configuration Info Message

    Comunicación de dispositivos de agentes seguros con CUCM

    Para habilitar las funciones de seguridad para un dispositivo, debe instalar un certificado de importancia local (LSC) y asignar el perfil de seguridad a ese dispositivo. El LSC posee la clave pública para el terminal, que está firmada por la clave privada CAPF de CUCM. No está instalado en los teléfonos de forma predeterminada.


    Pasos:

    1. Inicie sesión en laCisco Unified Serviceabilityinterfaz.
    2. Vaya a .Tools > Service Activation

    CUCM Service Activation

    1. Elija el servidor de CUCM y haga clic enGo.

    Select Server

    1. MarqueCisco Certificate Authority Proxy Functiony haga clicSave  para activar el servicio. Haga clicOkpara confirmar.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Asegúrese de que el servicio está activado y, a continuación, acceda a Administración de CUCM.

    CUCM Administration

    1. Después de iniciar sesión correctamente en la administración de CUCM, navegue hastaSystem > Security > Phone Security Profilepara crear un perfil de seguridad de dispositivo para el dispositivo del agente.

    Phone Security Profile

    1. Busque el perfil de seguridad correspondiente a su tipo de dispositivo de agente. En este ejemplo, se utiliza un teléfono basado en software, así que elijaCisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Haga clic en icono de copiaCopy Icon para copiar este perfil.

    Copy Existing Phone Security Profile

    1. Cambie el nombre del perfil aCisco Unified Client Services Framework - Secure Profile. Cambie los parámetros como en esta imagen y haga clic en  Save  en la parte superior izquierda de la página.

    Add a New Phone Security Profile

    1. Después de crear correctamente el perfil de dispositivo de teléfono, vaya aDevice > Phone.

    Phone Configuration

    1. Haga clicFindpara mostrar todos los teléfonos disponibles y, a continuación, haga clic en teléfono del agente.
    2. Se abre la página Configuración del teléfono del agente. BuscarCertification Authority Proxy Function (CAPF) Informationsección. Para instalar LSC, establezcaCertificate OperationenInstall/UpgradeyOperation Completes byen cualquier fecha futura.

    Setting CAPF Parameters

    1. BusqueProtocol Specific Informationla sección y cambie elDevice Security ProfileaCisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Haga clicSaveen en la parte superior izquierda de la página. Asegúrese de que los cambios se han guardado correctamente y haga clic enReset.

    Save Configuration

    1. Se abrirá una ventana emergente, haga clic enResetpara confirmar la acción.

    Phone Reset

    1. Una vez que el dispositivo agente se registre de nuevo en CUCM, actualice la página actual y verifique que el LSC se haya instalado correctamente. ComprobarCertification Authority Proxy Function (CAPF) Informationsección,Certificate Operationdebe establecerse enNo Pending OperationyCertificate Operation Statusen  Upgrade Success.

    CAPF Information is Updated

    1. Consulte los mismos pasos en el paso 1. 7 - 13 para proteger los dispositivos de otros agentes que desea utilizar SIP y RTP seguros con CUCM.

    Verificación

    Para validar que RTP está asegurado correctamente, siga estos pasos:

    1. Realice una llamada de prueba al centro de contacto y escuche el mensaje de IVR.
    2. Al mismo tiempo, abra la sesión SSH en vCUBE y ejecute este comando:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Consejo: Verifique si el SRTP estáonentre CUBE y VVB (198.18.133.143). Si la respuesta es sí, esto confirma que el tráfico RTP entre CUBE y VB es seguro.

    1. Hacer que un agente esté disponible para contestar la llamada.
      .Make Agent Ready on Finesse Agent Desktop
    2. El agente se reserva y la llamada se enruta al agente. Conteste la llamada.
    3. La llamada se conecta con el agente. Vuelva a la sesión SSH de vCUBE y ejecute este comando:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Consejo: Verifique si el SRTP estáonentre el CUBE y los teléfonos de los agentes (198.18.133.75). En caso afirmativo, esto confirma que el tráfico RTP entre CUBE y el agente es seguro.

    1. Además, una vez conectada la llamada, se muestra un bloqueo de seguridad en el dispositivo del agente. Esto también confirma que el tráfico RTP es seguro.

    Secure Lock Appears, Confirm SRTP is Established

    Para validar que las señales SIP están aseguradas correctamente, consulte el artículo Configure Secure SIP Signaling.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Dec-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mohamed Mohasseb
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos