简介
本文档介绍如何保护联系中心企业版(CCE)综合呼叫流中的实时传输协议(SRTP)流量。
先决条件
证书生成和导入不在本文档的讨论范围之内,因此必须创建思科统一通信管理器(CUCM)、客户语音门户(CVP)呼叫服务器、思科虚拟语音浏览器(CVVB)和思科统一边界元素(CUBE)的证书并将其导入到各自的组件中。如果使用自签名证书,则必须在不同组件之间执行证书交换。
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于Package Contact Center Enterprise(PCCE)、CVP、CVVB和CUCM版本12.6,但它也适用于以前的版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
注意:在联系中心综合呼叫流程中,为了启用安全RTP,必须启用安全SIP信号。因此,本文档中的配置同时启用安全SIP和SRTP。
下图显示了联系中心综合呼叫流程中涉及SIP信号和RTP的组件。当语音呼叫进入系统时,首先通过入口网关或CUBE,因此在CUBE上开始配置。接下来,配置CVP、CVVB和CUCM。

任务 1:CUBE安全配置
在本任务中,您将配置CUBE以保护SIP协议消息和RTP。
所需的配置:
- 为SIP UA配置默认信任点
- 修改拨号对等体以使用TLS和SRTP
步骤:
- 打开到CUBE的SSH会话。
- 运行这些命令以使SIP堆栈使用CUBE的CA证书。CUBE建立从/到CUCM(198.18.133.3)和CVP(198.18.133.13)的SIP TLS连接:
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- 运行这些命令以启用对CVP的传出拨号对等体上的TLS。在本示例中,拨号对等体标记6000用于将呼叫路由到CVP:
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

任务 2:CVP安全配置
在本任务中,配置CVP呼叫服务器以保护SIP协议消息(SIP TLS)。
步骤:
- 登录至
UCCE Web Administration
。
- 导航至
Call Settings > Route Settings > SIP Server Group
。

根据您的配置,您已为CUCM、CVVB和CUBE配置了SIP服务器组。您需要将所有安全SIP端口设置为5061。在本示例中,使用以下SIP服务器组:
cucm1.dcloud.cisco.com
对于CUCM
vvb1.dcloud.cisco.com
适用于CVVB
cube1.dcloud.cisco.com
对于CUBE
- 单击
cucm1.dcloud.cisco.com
,然后在显示Members
SIP服务器组配置详细信息的选项卡中单击。设置SecurePort
为5061
,然后单
Save
击。

- 单击
vvb1.dcloud.cisco.com
,然后在选Members
项卡中将设置SecurePort
,5061
然后单Save
。

任务 3:CVVB安全配置
在本任务中,配置CVVB以保护SIP协议消息(SIP TLS)和SRTP。
步骤:
- 打开页
Cisco VVB Admin
面。
- 导航至
System > System Parameters
。

- 在部分
Security Parameters
,选择Enable
用于TLS (SIP)
。保留Supported TLS(SIP) version as TLSv1.2
并选Enable
择SRTP
。

- 单击。
Update
当系统提示重新启动CVVB引擎时Ok
,单击。

- 这些更改需要重新启动Cisco VVB引擎。要重新启动VVB引擎,请导航至
Cisco VVB Serviceability
,然后点击Go
。

- 导航至
Tools > Control Center – Network Services
。

- 选择
Engine
,然后单击Restart
。

任务 4:CUCM安全配置
要保护CUCM上的SIP消息和RTP,请执行以下配置:
- 将CUCM安全模式设置为混合模式
- 为CUBE和CVP配置SIP中继安全配置文件
- 将SIP中继安全配置文件关联到各自的SIP中继并启用SRTP
- 安全代理与CUCM的设备通信
将CUCM安全模式设置为混合模式
CUCM支持两种安全模式:
步骤:
- 登录到CUCM管理界面。

- 登录到CUCM时,可以导航至
System > Enterprise Parameters
。

- 在
Security Parameters
部分,检查是否Cluster Security Mode
设置为0
。

- 如果Cluster Security Mode设置为0,则表示集群安全模式设置为non-secure。您需要从CLI启用混合模式。
- 打开到CUCM的SSH会话。
- 成功通过SSH登录CUCM后,请运行以下命令:
utils ctl set-cluster mixed-mode
- 键入
y
,并在出现提示Enter
时单击。此命令将集群安全模式设置为混合模式。

- 要使更改生效,请重新启动
Cisco CallManager
和服务Cisco CTIManager
。
- 要重新启动服务,请导航并登录
Cisco Unified Serviceability
。

- 成功登录后,导航至
Tools > Control Center – Feature Services
。

- 选择服务器,然后单击
Go
。

- 在CM服务下,选择
Cisco CallManager
,然后Restart
点击页面顶部的按钮。

- 确认弹出消息,然后点击
OK
。等待服务成功重新启动。

- 成功重新启动后
Cisco CallManager
,选择Cisco CTIManager
,然后单Restart
击按钮重启 Cisco CTIManager
服务。

- 确认弹出消息,然后点击
OK
。等待服务成功重新启动。

- 成功重新启动服务后,为了验证集群安全模式是否设置为混合模式,请按照步骤5中的说明导航到CUCM管理,然后检
Cluster Security Mode
查。现在,必须将其设置为1
。

为CUBE和CVP配置SIP中继安全配置文件
步骤:
- 登录到CUCM管理界面。
- 成功登录CUCM后,导航至
System > Security > SIP Trunk Security Profile
,以便为CUBE创建设备安全配置文件。

- 在左上角,单击Add New添加新配置文件。

- 配
SIP Trunk Security Profile
置为此图像,然Save
后点击页面左下角。

5.确保将CUBE证Secure Certificate Subject or Subject Alternate Name
书的公用名(CN)设置为,因为它必须匹配。
6.单击Copy
按钮,然后将Name
更改为SecureSipTLSforCVP
。更Secure Certificate Subject
改为CVP呼叫服务器证书的CN,因为它必须匹配。单击Save
按钮。

将SIP中继安全配置文件关联到各自的SIP中继并启用SRTP
步骤:
- 在CUCM Administration页面上,导航至
Device > Trunk
。

- 搜索CUBE中继。在本示例中,CUBE中继名称为
vCube
,然后点击Find
。

- 单击
vCUBE
,打开vCUBE中继配置页面。
- 在
Device Information
部分,选中SRTP Allowed
复选框以启用SRTP。

- 向下滚动到
SIP Information
部分,然后将Destination Port
更改为5061
。
- 更
SIP Trunk Security Profile
改为SecureSIPTLSForCube
。

- 单击
Save
,然后单击Rest
save
并应用更改。


- 导航到
Device > Trunk
,搜索CVP中继,在本例中,CVP中继名称为cvp-SIP-Trunk
。单击。Find

- 单击
CVP-SIP-Trunk
,打开CVP中继配置页面。
- 在
Device Information
部分,选中SRTP Allowed
复选框以启用SRTP。

- 向下滚动到
SIP Information
部分,将更Destination Port
改为5061
。
- 更
SIP Trunk Security Profile
改为SecureSIPTLSForCvp
。

- 单击
Save
然后Rest
,save
应用更改。

安全代理与CUCM的设备通信
要启用设备的安全功能,必须安装本地重要证书(LSC)并将安全配置文件分配给该设备。LSC拥有终端的公钥,该公钥由CUCM CAPF私钥签名。默认情况下,它不会安装在电话上。
步骤:
- 登录接口
Cisco Unified Serviceability
。
- 导航至
Tools > Service Activation
。

- 选择CUCM服务器并单击
Go
。

- 选中
Cisco Certificate Authority Proxy Function
,然后单Save
击以激活服务。点击Ok
,确认。

- 确保服务已激活,然后导航至CUCM管理。

- 成功登录CUCM管理后,导航至
System > Security > Phone Security Profile
,为代理设备创建设备安全配置文件。

- 查找与您的座席设备类型对应的安全配置文件。在本例中,使用软件电话,因此选择
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
。单击复制图标
以便复制此配置文件。

- 将配置文件重命名为
Cisco Unified Client Services Framework - Secure Profile
。按照此图像中的内容更改参数,然后单击 Save
在页面左上角。

- 成功创建电话设备配置文件后,导航至
Device > Phone
。

- 点击
Find
,列出所有可用电话,然后点击“座席电话”。
- 座席电话配置页面打开。查找
Certification Authority Proxy Function (CAPF) Information
部分。要安装LSC,请将Certificate Operation
设置为Install/Upgrade
,并Operation Completes by
设置为未来的任何日期。

- 查
Protocol Specific Information
找部分并将Device Security Profile
更改为Cisco Unified Client Services Framework – Secure Profile
。

- 单击页面左上角的
Save
。确保更改已成功保存,然后单击Reset
。

- 此时将打开一个弹出窗口,单击
Reset
以确认此操作。

- 代理设备再次向CUCM注册后,刷新当前页面并验证LSC是否安装成功。Check
Certification Authority Proxy Function (CAPF) Information
section,必Certificate Operation
须设置为No Pending Operation
,Certificate Operation Status
设置为 Upgrade Success
.

- 请参阅第步中的相同步骤。7 - 13,用于保护您想通过CUCM使用安全SIP和RTP的其他代理的设备。
验证
要验证RTP是否受到适当保护,请执行以下步骤:
- 向联系中心发出测试呼叫,并监听IVR提示。
- 同时,打开到vCUBE的SSH会话,并运行以下命令:
show call active voice brief

提示:检查SRTP是否on
在CUBE和VVB(198.18.133.143)之间。 如果是,这可以确认CUBE和VVB之间的RTP流量是安全的。
- 让座席可以应答呼叫。
.
- 座席将被保留,呼叫将被路由至座席。应答呼叫。
- 呼叫连接到座席。返回vCUBE SSH会话,并运行以下命令:
show call active voice brief

提示:检查SRTP是否在CUBE和座席的电话(198.18.133.75)之间on
。 如果是,这可以确认CUBE和代理之间的RTP流量是安全的。
- 此外,一旦呼叫连接,座席设备上会显示安全锁.这还证实RTP流量是安全的。

要验证SIP信号是否正确安全,请参阅配置安全SIP信令文章。