Beveiligde RTP configureren in Contact Center Enterprise

Downloadopties

  • PDF     (1.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:21 december 2022
Document-id:220123

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u het Real-time Transport Protocol (SRTP)-verkeer kunt beveiligen in de uitgebreide oproepstroom van het Contact Center Enterprise (CCE).

    Voorwaarden

    Het genereren en importeren van certificaten valt buiten het bereik van dit document, dus certificaten voor Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVVB) en Cisco Unified Border Element (CUBE) moeten worden gemaakt en geïmporteerd in de respectieve componenten. Als u zelf ondertekende certificaten gebruikt, moet certificaatuitwisseling tussen verschillende componenten worden uitgevoerd.

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • CCE
    • CVP
    • KUBUS
    • CUCM
    • CVVB

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Package Contact Center Enterprise (PCCE), CVP, CVVB en CUCM versie 12.6, maar is ook van toepassing op de vorige versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Opmerking: In het contactcenter moet een uitgebreide gespreksstroom zijn ingeschakeld om veilige RTP-signalen mogelijk te maken. Configuraties in dit document maken daarom zowel beveiligde SIP als SRTP mogelijk.

    Het volgende diagram toont de componenten die betrokken zijn bij SIP-signalen en RTP in de uitgebreide oproepstroom van het contactcentrum. Wanneer een spraakoproep naar het systeem komt, komt deze eerst via de ingangsgateway of CUBE, dus start de configuraties op CUBE. Configureer vervolgens CVP, CVVB en CUCM.

    Inbound SIP and RTP Call Flow

    Taak 1: CUBE Secure Configuration

    In deze taak configureert u CUBE om SIP-protocolberichten en RTP te beveiligen.

    Vereiste configuraties:

    • Een standaard Trustpoint configureren voor de SIP UA
    • Wijzig de inbelpeers om TLS en SRTP te gebruiken

    Stappen:

    1. Open een SSH-sessie naar CUBE.
    1. Voer deze opdrachten uit zodat de SIP-stapel het CA-certificaat van de CUBE gebruikt. CUBE legt SIP TLS-verbinding van/naar CUCM (198.18.133.3) en CVP (198.18.133.13):

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Voer deze opdrachten uit om TLS in te schakelen op de uitgaande kiesschijf peer to CVP. In dit voorbeeld wordt dial-peer tag 6000 gebruikt om oproepen naar CVP te routeren:

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    Taak 2: CVP Secure Configuration

    Configureer in deze taak de CVP-oproepserver om de SIP-protocolberichten (SIP TLS) te beveiligen.

    Stappen:

    1. Log in op deUCCE Web Administrationwebsite.
    2. Navigeer naarCall Settings > Route Settings > SIP Server GroupEuropa.

    SIP Server Group Configuration on CCE Admin Portal

    Op basis van uw configuraties hebt u SIP-servergroepen geconfigureerd voor CUCM, CVVB en CUBE. U moet voor alle SIP-poorten 5061 instellen. In dit voorbeeld worden deze SIP-servergroepen gebruikt:

    • cucm1.dcloud.cisco.com voor CUCM
    • vvb1.dcloud.cisco.com voor CVVB
    • cube1.dcloud.cisco.com  voor CUBE
    1. Klik opcucm1.dcloud.cisco.comen vervolgens op hetMemberstabblad dat de details van de groepsconfiguraties van de SIP-server weergeeft. StelSecurePortin op5061en klikSaveop.

    Setting secure SIP Port for CUCM Server Group

    1. Klik op en vervolgensvvb1.dcloud.cisco.comop hetMemberstabblad, stel hetSecurePortin op5061en klik opSave.

    Setting secure SIP Port for VVB Server Group

    Taak 3: CVVB Secure Configuration

    In deze taak configureert u CVVB om de SIP-protocolberichten (SIP TLS) en SRTP te beveiligen.

    Stappen:

    1. Open deCisco VVB Adminpagina.
    2. Navigeer naarSystem > System ParametersEuropa.

    VVB System Parameters

    1. Kies in hetSecurity Parametersgedeelte voorEnableTLS (SIP) . Bewaar deSupported TLS(SIP) version as TLSv1.2tijd en kiesEnablevoorSRTPjezelf.

    VVB Security Parameters

    1. Klik op de knop .Update KlikOkwanneer u wordt gevraagd de CVVB-engine opnieuw te starten.

    Update Security Parameters

    1. Deze veranderingen vereisen een herstart van de Cisco VVB-engine. Om de VVB-engine opnieuw te starten, navigeert u naar deCisco VVB Serviceability, en klikt u opGo.

    Cisco VVB Serviceability

    1. Navigeer naarTools > Control Center – Network ServicesEuropa.

    Control Center - Network Services

    1. KiesEngineen klikRestartop.

    Restarting CVVB Engine Services

    Taak 4: CUCM Secure Configuration

    Voer de volgende configuraties uit om SIP-berichten en RTP op CUCM te beveiligen:

    • CUCM-beveiligingsmodus instellen op Gemengde modus
    • SIP Trunk-beveiligingsprofielen configureren voor CUBE en CVP
    • Beveiligingsprofielen van SIP Trunk koppelen aan respectieve SIP-trunks en SRTP inschakelen
    • Apparaat voor beveiligde agents Communicatie met CUCM

    CUCM-beveiligingsmodus instellen op Gemengde modus

    CUCM ondersteunt twee beveiligingsmodi:

    • Niet-beveiligde modus (standaardmodus)
    • Gemengde modus (veilige modus)

    Stappen:

    1. Meld u aan bij de beheerinterface van de CUCM.

    CUCM Administration Interface

    1. Wanneer u zich aanmeldt bij de CUCM, kunt u navigeren naarSystem > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Controleer onder hetSecurity Parametersgedeelte of hetCluster Security Modeitem is ingesteld op0.

    CUCM Security Parameters

    1. Als de beveiligingsmodus voor clusters is ingesteld op 0, betekent dit dat de beveiligingsmodus voor clusters is ingesteld op niet-beveiligd. U moet de gemengde modus van CLI inschakelen.
    2. Open een SSH-sessie naar de CUCM.
    3. Voer na het succesvol aanmelden bij CUCM via SSH deze opdracht uit:

    CTL Set-Cluster mixed-mode gebruiken

    1. Typyen klikEnterwanneer u daarom wordt gevraagd. Met deze opdracht wordt de beveiligingsmodus voor het cluster ingesteld op de modus voor gemengd.

    CUCM SSH Console

    1. Om de wijzigingen van kracht te laten worden, start u de service en deCisco CallManagerCisco CTIManagerservices opnieuw op.
    2. Om de services opnieuw op te starten, navigeert u en logt u in bijCisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Na het succesvol inloggen, navigeert u naarTools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Kies de server en klik vervolgens opGo.

    Select Server

    1. Kies onder CM-services deCisco CallManager- en klik vervolgens op deRestartknop boven aan de pagina.

    Restarting Cisco CallManager Service

    1. Bevestig het pop-upbericht en klik opOK. Wacht tot de service opnieuw is gestart.

    Info Message

    1. Nadat de computer opnieuw is opgestart,Cisco CallManagerkiest u deCisco CTIManageren klikt u opRestartom opnieuw te starten  Cisco CTIManager service.

    Restarting Cisco CTI Manager Service

    1. Bevestig het pop-upbericht en klik opOK. Wacht tot de service opnieuw is gestart.

    Info Message

    1. Nadat de services opnieuw zijn opgestart, navigeert u naar CUCM-beheer zoals uitgelegd in stap 5 om te controleren of de clusterbeveiligingsmodus is ingesteld op de gemengde modus en controleert u vervolgens deCluster Security Mode. Nu moet het op1nul worden gezet.

    Cluster Security Mode is to the Value of '1'

    SIP Trunk-beveiligingsprofielen configureren voor CUBE en CVP

    Stappen:

    1. Meld u aan bij de beheerinterface van de CUCM.
    2. Nadat u zich succesvol hebt aangemeld bij CUCM, navigeert u naarSystem > Security > SIP Trunk Security Profileom een apparaatbeveiligingsprofiel voor CUBE te maken.

    CUCM SIP Trunk Security Profile

    1. Klik linksboven op Nieuw toevoegen om een nieuw profiel toe te voegen.

    Add a New CUCM SIP Trunk Security Profile

    1. ConfigureerSIP Trunk Security Profileals deze afbeelding en klik vervolgens linksonderSaveop de pagina.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Zorg ervoor dat deSecure Certificate Subject or Subject Alternate Namenaam wordt ingesteld op de gemeenschappelijke benaming (GN) van het certificaat CUBE, zoals deze moet overeenkomen.

    6. Klik op deCopyknop en wijzig deNameinSecureSipTLSforCVP. Wijzig de CN van het CVP-callservercertificaatSecure Certificate Subjectnaar mate dit moet overeenkomen. Klik op deSave  knop.

    Add CUCM SIP Trunk Security Profile for CVP

    Beveiligingsprofielen van SIP Trunk koppelen aan respectieve SIP-trunks en SRTP inschakelen

    Stappen:

    1. Navigeer op de pagina CUCM-beheer naarDevice > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Zoeken naar CUBE trunk. In dit voorbeeld is de naam van de CUBE-stamvCube, klik vervolgens opFind.

    Find SIP Trunks on CUCM for CUBE

    1. Klik hieropvCUBEom de configuratiepagina van de vCUBE-trunk te openen.
    2. Schakel in ditDevice Informationgedeelte het selectievakjeSRTP Allowedin om SRTP in te schakelen.

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. Scroll naar beneden naar hetSIP Informationgedeelte en verander hetDestination Portnaar5061.
    2. VeranderenSIP Trunk Security ProfilenaarSecureSIPTLSForCubeschool.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. KlikSavevervolgensRestop Wijzigingen save toepassen.

    Save Configuration

    Info Message

    1. Navigeer naarDevice > Trunk, zoek naar CVP trunk, in dit voorbeeld is de naam van de CVP trunkcvp-SIP-Trunk. Klik op de knop .Find

    Find SIP Trunks on CUCM for CVP

    1. Klik hieropCVP-SIP-Trunkom de configuratiepagina van de CVP-trunk te openen.
    2. Schakel in ditDevice Informationgedeelte het selectievakjeSRTP Allowedin om SRTP in te schakelen.

    Enable SRTP on SIP Trunk Configuration for CVP

    1. Scroll naar beneden naar hetSIP Informationgedeelte en verander deDestination Portnaar5061boven.
    2. VeranderenSIP Trunk Security ProfilenaarSecureSIPTLSForCvpschool.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. KlikSavevervolgensRestom de wijzigingen toe te passen save en.

    Save Configuration Info Message

    Apparaatcommunicatie van beveiligde agents met CUCM

    Om beveiligingsfuncties voor een apparaat in te schakelen, moet u een lokaal significant certificaat (LSC) installeren en het beveiligingsprofiel aan dat apparaat toewijzen. De LSC beschikt over de publieke sleutel voor het eindpunt, die is ondertekend door de CUCM CAPF private sleutel. Het is standaard niet geïnstalleerd op telefoons.


    Stappen:

    1. Log in op deCisco Unified Serviceabilityinterface.
    2. Navigeer naarTools > Service ActivationEuropa.

    CUCM Service Activation

    1. Kies de CUCM-server en klik opGo.

    Select Server

    1. ControleerCisco Certificate Authority Proxy Functionen klikSave  om de service te activeren. KlikOkom te bevestigen.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Zorg ervoor dat de service is geactiveerd en navigeer vervolgens naar CUCM-beheer.

    CUCM Administration

    1. Nadat u zich hebt aangemeld bij het CUCM-beheer, navigeert u naarSystem > Security > Phone Security Profileom een apparaatbeveiligingsprofiel voor het agentapparaat te maken.

    Phone Security Profile

    1. Zoek het beveiligingsprofiel dat overeenkomt met het apparaattype van uw agent. In dit voorbeeld wordt een zachte telefoon gebruikt, dus kiesCisco Unified Client Services Framework - Standard SIP Non-Secure ProfileKlik op kopieerpictogramCopy Icon om dit profiel te kopiëren.

    Copy Existing Phone Security Profile

    1. Wijzig de naam van het profiel inCisco Unified Client Services Framework - Secure Profile. Wijzig de parameters zoals in deze afbeelding en klik op  Save  linksboven op de pagina.

    Add a New Phone Security Profile

    1. Nadat het profiel van het telefoonapparaat is gemaakt, navigeert u naarDevice > Phone.

    Phone Configuration

    1. KlikFindom alle beschikbare telefoons weer te geven en klik vervolgens op Telefoon agent.
    2. De configuratiepagina van de telefoonagent wordt geopend. Zoeken naarCertification Authority Proxy Function (CAPF) Informationsectie. Om LSC te installeren, moet u dezeCertificate OperationopInstall/Upgradeen op een toekomstige datumOperation Completes byinstellen.

    Setting CAPF Parameters

    1. Zoek eenProtocol Specific Informationsectie en wijzig deDevice Security ProfilenaarCisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Klik linksbovenSaveop de pagina. Controleer of de wijzigingen zijn opgeslagen en klik opReset.

    Save Configuration

    1. Er wordt een pop-upvenster geopend. Klik hierop omResetde actie te bevestigen.

    Phone Reset

    1. Nadat het agentapparaat zich opnieuw heeft geregistreerd bij CUCM, moet u de huidige pagina vernieuwen en controleren of de LSC is geïnstalleerd. Selecteer hetCertification Authority Proxy Function (CAPF) Informationgedeelte,Certificate Operationmoet zijn ingesteld opNo Pending Operationen is ingesteldCertificate Operation Statusop  Upgrade Success.

    CAPF Information is Updated

    1. Zie dezelfde stappen uit Stap. 7 - 13 om apparaten van andere agenten te beveiligen die u wilt gebruiken beveiligde SIP en RTP met CUCM.

    Verifiëren

    Voer de volgende stappen uit om te controleren of RTP goed is beveiligd:

    1. Maak een testgesprek met het contactcentrum en luister naar de IVR-prompt.
    2. Open tegelijkertijd de SSH-sessie naar vCUBE en voer deze opdracht uit:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Tip: Controleer of de SRTP tussen CUBE en VVB ligton(198.18.133.143). Zo ja, dan bevestigt dit dat RTP-verkeer tussen CUBE en VVB veilig is.

    1. Maak een agent beschikbaar om de oproep te beantwoorden.
      .Make Agent Ready on Finesse Agent Desktop
    2. De agent wordt gereserveerd en het gesprek wordt naar de agent geleid. Beantwoord de oproep.
    3. De oproep wordt verbonden met de agent. Ga terug naar de vCUBE SSH-sessie en voer deze opdracht uit:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Tip: Controleer of de SRTP zichontussen CUBE en de telefoons van de agenten bevindt (198.18.133.75). Zo ja, dan bevestigt dit dat RTP-verkeer tussen CUBE en Agent veilig is.

    1. Zodra de oproep is verbonden, wordt ook een veiligheidsslot weergegeven op het agentapparaat. Dit bevestigt ook dat het RTP-verkeer veilig is.

    Secure Lock Appears, Confirm SRTP is Established

    Raadpleeg het artikel Beveiligde SIP-signalering configureren om te controleren of de SIP-signalen goed zijn beveiligd.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Dec-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Mohamed Mohasseb
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten