Introduzione
Questo documento descrive come proteggere il traffico SRTP (Real-time Transport Protocol) nel flusso completo delle chiamate di Contact Center Enterprise (CCE).
Prerequisiti
La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
Componenti usati
Le informazioni di questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Nota: Nel flusso di chiamata completo del contact center, per abilitare il RTP sicuro, è necessario abilitare i segnali SIP sicuri. Pertanto, le configurazioni descritte in questo documento consentono sia il SIP sicuro che l'SRTP.
Il diagramma seguente mostra i componenti coinvolti nei segnali SIP e RTP nel flusso di chiamata completo del contact center. Quando una chiamata vocale arriva al sistema, viene prima effettuata tramite il gateway in entrata o CUBE, quindi avviare le configurazioni su CUBE. Quindi, configurare CVP, CVB e CUCM.

Attività 1: Configurazione protetta CUBE
In questa attività, è possibile configurare CUBE per proteggere i messaggi del protocollo SIP e il protocollo RTP.
Configurazioni richieste:
- Configurare un trust point predefinito per l'interfaccia utente SIP
- Modificare i peer di composizione per l'utilizzo di TLS e SRTP
Passaggi:
- Aprire una sessione SSH in CUBE.
- Eseguire questi comandi per fare in modo che lo stack SIP utilizzi il certificato CA del CUBO. CUBE stabilisce la connessione SIP TLS da/a CUCM (198.18.133.3) e CVP (198.18.133.13):
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- Eseguire questi comandi per abilitare TLS sul dial peer in uscita verso CVP. Nell'esempio, il dial-peer tag 6000 viene usato per indirizzare le chiamate a CVP:
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

Attività 2: Configurazione sicura CVP
In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).
Passaggi:
- Accedere a
UCCE Web Administration
.
- Passare a
Call Settings > Route Settings > SIP Server Group
.

In base alle configurazioni, sono stati configurati i gruppi di server SIP per CUCM, CVB e CUBE. È necessario impostare le porte SIP sicure su 5061 per tutte le porte. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:
cucm1.dcloud.cisco.com
per CUCM
vvb1.dcloud.cisco.com
per CVB
cube1.dcloud.cisco.com
per CUBE
- Fare clic su
cucm1.dcloud.cisco.com
e quindi nellaMembers
scheda contenente i dettagli delle configurazioni dei gruppi di server SIP. Impostate suSecurePort
5061
e fate clic su
Save
.

- Fare clic su
vvb1.dcloud.cisco.com
, quindi nellaMembers
scheda, impostareSecurePort
su5061
e fare clic suSave
.

Attività 3: Configurazione sicura CVB
In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS) e SRTP.
Passaggi:
- Aprire la
Cisco VVB Admin
pagina.
- Passare a
System > System Parameters
.

- Nella
Security Parameters
sezione, scegliereEnable
perTLS (SIP)
. Mantenere ilSupported TLS(SIP) version as TLSv1.2
e scegliereEnable
perSRTP
.

- Fare clic su .
Update
Fare clic suOk
quando richiesto per riavviare il motore CVB.

- Queste modifiche richiedono il riavvio del motore Cisco VB. Per riavviare il motore VB, passare alla
Cisco VVB Serviceability
, quindi fare clic suGo
.

- Passare a
Tools > Control Center – Network Services
.

- Selezionate
Engine
e fate clic suRestart
.

Attività 4: Configurazione sicura CUCM
Per proteggere i messaggi SIP e RTP su CUCM, eseguire le seguenti configurazioni:
- Impostare la modalità di protezione CUCM sulla modalità mista
- Configurare i profili di sicurezza trunk SIP per CUBE e CVP
- Associare i profili di sicurezza trunk SIP ai rispettivi trunk SIP e abilitare SRTP
- Comunicazione dei dispositivi degli agenti di sicurezza con CUCM
Impostare la modalità di protezione CUCM sulla modalità mista
CUCM supporta due modalità di protezione:
- Modalità non protetta (modalità predefinita)
- Modalità mista (modalità protetta)
Passaggi:
- Accedere all'interfaccia di amministrazione CUCM.

- Quando si accede a CUCM, è possibile passare a
System > Enterprise Parameters
.

- Sotto la sezione,
Security Parameters
verificare se l'impostazioneCluster Security Mode
è0
.

- Se la modalità di protezione del cluster è impostata su 0, significa che la modalità di protezione del cluster è impostata su non protetta. è necessario abilitare la modalità mista dalla CLI.
- Aprire una sessione SSH su CUCM.
- Dopo aver eseguito correttamente l'accesso a CUCM tramite SSH, eseguire questo comando:
utils ctl set-cluster mixed-mode
- Digitate
y
e fate clic suEnter
quando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.

- Per rendere effettive le modifiche, riavviare
Cisco CallManager
e i servizi diCisco CTIManager
.
- Per riavviare i servizi, spostarsi e accedere a
Cisco Unified Serviceability
.

- Dopo aver eseguito correttamente l'accesso, passare a
Tools > Control Center – Feature Services
.

- Scegliere il server e fare clic su
Go
.

- Sotto Servizi CM, scegliere il pulsante
Cisco CallManager
, quindi fare clicRestart
sul pulsante nella parte superiore della pagina.

- Confermare il messaggio popup e fare clic su
OK
. Attendere il riavvio del servizio.

- Una volta riavviato correttamente di
Cisco CallManager
, scegliere ilCisco CTIManager
pulsante e fare clic sulRestart
pulsante per riavviare Cisco CTIManager
servizio.

- Confermare il messaggio popup e fare clic su
OK
. Attendere il riavvio del servizio.

- Dopo il riavvio corretto dei servizi, per verificare che la modalità di protezione del cluster sia impostata su mista, passare all'amministrazione di CUCM come spiegato al passo 5. e quindi controllare la
Cluster Security Mode
. Ora deve essere impostato su1
.

Configurare i profili di sicurezza trunk SIP per CUBE e CVP
Passaggi:
- Accedere all'interfaccia di amministrazione CUCM.
- Dopo aver eseguito correttamente l'accesso a CUCM, passare a
System > Security > SIP Trunk Security Profile
per creare un profilo di sicurezza del dispositivo per CUBE.

- In alto a sinistra, fare clic su Add New (Aggiungi nuovo) per aggiungere un nuovo profilo.

- Configura
SIP Trunk Security Profile
come immagine e fai clicSave
in basso a sinistra nella pagina.

5. Assicurarsi di impostare ilSecure Certificate Subject or Subject Alternate Name
nome comune (CN) del certificato CUBE come deve corrispondere.
6. Fare clic sulCopy
pulsante e modificare ilName
inSecureSipTLSforCVP
. ModificareSecure Certificate Subject
il CN del certificato del server di chiamata CVP in modo che corrisponda. Fare clic suSave
pulsante.

Associazione dei profili di sicurezza trunk SIP ai rispettivi trunk SIP e abilitazione SRTP
Passaggi:
- Nella pagina Amministrazione CUCM, passare a
Device > Trunk
.

- Cerca il trunk CUBE. In questo esempio, il nome del trunk CUBE è
vCube
, quindi fare clic suFind
.

- Fare clic su
vCUBE
per aprire la pagina di configurazione del trunk vCUBE.
- Nella
Device Information
sezione, selezionare la casellaSRTP Allowed
di controllo per abilitare SRTP.

- Scorrere verso il basso fino alla
SIP Information
sezione e modificare laDestination Port
in5061
.
- Cambiare
SIP Trunk Security Profile
inSecureSIPTLSForCube
.

- Fare clic su
Save
quindiRest
per applicare save
le modifiche.


- Passare a
Device > Trunk
, cercare CVP trunk, in questo esempio il nome del CVP trunk ècvp-SIP-Trunk
. Fare clic su .Find

- Fare clic su
CVP-SIP-Trunk
per aprire la pagina di configurazione del trunk CVP.
- Nella
Device Information
sezione, selezionareSRTP Allowed
la casella di controllo per abilitare SRTP.

- Scorrere verso il basso fino alla
SIP Information
sezione, modificare laDestination Port
in5061
.
- Cambiare
SIP Trunk Security Profile
inSecureSIPTLSForCvp
.

- Fare clic su
Save
quindiRest
per applicare save
le modifiche.

Comunicazione dei dispositivi degli agenti sicuri con CUCM
Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare il profilo di protezione al dispositivo. LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF CUCM. Per impostazione predefinita, non è installato sui telefoni.
Passaggi:
- Accedere all'
Cisco Unified Serviceability
interfaccia.
- Passare a
Tools > Service Activation
.

- Scegliere il server CUCM e fare clic su
Go
.

- Selezionare
Cisco Certificate Authority Proxy Function
e fare clic suSave
per attivare il servizio. Fare clic perOk
confermare.

- Assicurarsi che il servizio sia attivato, quindi passare all'amministrazione CUCM.

- Dopo aver eseguito correttamente l'accesso all'amministrazione CUCM, passare a
System > Security > Phone Security Profile
per creare un profilo di sicurezza per il dispositivo agente.

- Individuare il profilo di sicurezza corrispondente al tipo di dispositivo dell'agente. In questo esempio, viene usato un soft phone, quindi scegliere
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Fare clic sull'icona Copia
per copiare il profilo.

- Rinominare il profilo in
Cisco Unified Client Services Framework - Secure Profile
. Modificare i parametri come in questa immagine, quindi fare clic su Save
in alto a sinistra nella pagina.

- Dopo aver creato correttamente il profilo del dispositivo telefonico, passare a
Device > Phone
.

- Fare clic su
Find
per elencare tutti i telefoni disponibili, quindi fare clic su Telefono agente.
- Verrà visualizzata la pagina Configurazione telefono agente. Trova
Certification Authority Proxy Function (CAPF) Information
sezione. Per installare LSC, impostareCertificate Operation
suInstall/Upgrade
e su una data futuraOperation Completes by
.

- Trovare la sezione
Protocol Specific Information
e modificare ilDevice Security Profile
inCisco Unified Client Services Framework – Secure Profile
.

- Fare clic su
Save
nell'angolo superiore sinistro della pagina. Assicurarsi che le modifiche siano state salvate correttamente, quindi fare clic suReset
.

- Viene visualizzata una finestra popup. Fare clic
Reset
per confermare l'azione.

- Una volta che il dispositivo agente si è registrato nuovamente con CUCM, aggiornare la pagina corrente e verificare che LSC sia installato correttamente. Check
Certification Authority Proxy Function (CAPF) Information
,Certificate Operation
deve essere impostato suNo Pending Operation
eCertificate Operation Status
su Upgrade Success
.

- Fare riferimento agli stessi passaggi del passaggio. 7 - 13 per proteggere i dispositivi di altri agenti che si desidera utilizzare con SIP e RTP sicuri con CUCM.
Verifica
Per verificare che il protocollo RTP sia protetto in modo appropriato, effettuare le seguenti operazioni:
- Effettuare una chiamata di prova al contact center e ascoltare il prompt IVR.
- Allo stesso tempo, aprire la sessione SSH su vCUBE ed eseguire questo comando:
show call active voice brief

Suggerimento: Verificare se l'SRTP è compresoon
tra CUBE e VVB (198.18.133.143). In caso affermativo, ciò conferma che il traffico RTP tra CUBE e VB è sicuro.
- Rendere disponibile un agente per rispondere alla chiamata.
.
- L'agente viene riservato e la chiamata viene instradata all'agente. Risponda alla chiamata.
- La chiamata viene connessa all'agente. Tornare alla sessione SSH vCUBE ed eseguire questo comando:
show call active voice brief

Suggerimento: Controllare se l'SRTP si trovaon
tra CUBE e i telefoni degli agenti (198.18.133.75). In caso affermativo, viene confermato che il traffico RTP tra CUBE e l'agente è sicuro.
- Inoltre, una volta connessa la chiamata, sul dispositivo agente viene visualizzato un blocco di sicurezza. Ciò conferma anche che il traffico RTP è sicuro.

Per verificare che i segnali SIP siano protetti correttamente, fare riferimento all'articolo Configure Secure SIP Signaling.