簡介
本文說明如何在Contact Center Enterprise(CCE)綜合呼叫流程中保護會話初始協定(SIP)信令。
必要條件
憑證產生和匯入不在本檔案的範圍之內,因此必須建立思科整合通訊管理員(CUCM)、客戶語音入口網站(CVP)通話伺服器、思科虛擬語音瀏覽器(CVVB)和思科整合邊界元件(CUBE)的憑證,並將其匯入到各自的元件。如果使用自簽名證書,則必須在不同元件之間執行證書交換。
需求
思科建議您瞭解以下主題:
採用元件
本檔案中的資訊是根據套件客服中心企業版(PCCE)、CVP、CVVB和CUCM版本12.6,但也適用於之前的版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
下圖顯示了在聯絡中心綜合呼叫流程中參與SIP信令的元件。當語音呼叫進入系統時,首先通過入口網關或CUBE,因此在CUBE上開始安全SIP配置。接下來,配置CVP、CVVB和CUCM。

任務1. CUBE安全配置
在此任務中,配置CUBE以保護SIP協定消息。
必需的配置:
- 為SIP使用者代理(UA)配置預設信任點
- 修改撥號對等體以使用傳輸層安全(TLS)
步驟:
- 開啟與CUBE的安全殼層(SSH)會話。
- 運行這些命令以使SIP堆疊使用CUBE的證書頒發機構(CA)證書。CUBE建立與CUCM(198.18.133.3)和CVP(198.18.133.13)之間的SIP TLS連線。
conf t
sip-ua
transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- 運行這些命令以在傳出撥號對等體上啟用CVP。在此示例中,撥號對等標籤6000用於將呼叫路由到CVP。
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
exit

任務2. CVP安全配置
在此任務中,配置CVP呼叫伺服器以保護SIP協定消息(SIP TLS)。
步驟:
- 登入到
UCCE Web Administration
。
- 導航至
Call Settings > Route Settings > SIP Server Group
.

根據您的配置,您為CUCM、CVVB和CUBE配置了SIP伺服器組。您需要將所有安全SIP埠設定為5061。在此示例中,使用以下SIP伺服器組:
cucm1.dcloud.cisco.com
對於CUCM
vvb1.dcloud.cisco.com
適用於CVVB
cube1.dcloud.cisco.com
對於CUBE
- 按一下
cucm1.dcloud.cisco.com
,然後在Members
頁籤中顯示SIP伺服器組配置的詳細資訊。將SecurePort
設定為5061
,然後按一下 Save
.

- 按一下
vvb1.dcloud.cisco.com
,然後在頁籤Members
中。將SecurePort設定為5061
,然後按一下Save
。

任務3. CVVB安全配置
在此任務中,配置CVVB以保護SIP協定消息(SIP TLS)。
步驟:
- 登入頁
Cisco VVB Administration
面。
- 導航至
System > System Parameters
。

- 在
Security Parameters
部分,選擇Enable
forTLS(SIP)
。保Supported TLS(SIP) version
留為TLSv1.2
。

- 按一下「Update」。當系統提示重新啟動CVVB引擎時,按一下
Ok
。

- 這些更改需要重新啟動Cisco VVB引擎。若要重新啟動VVB引擎,請導航至
Cisco VVB Serviceability
,然後按一下Go
。

- 導航至
Tools > Control Center – Network Services
.

- 選擇
Engine
,然後按一下Restart
。

任務4. CUCM安全配置
要保護CUCM上的SIP消息,請執行以下配置:
- 將CUCM安全模式設定為混合模式
- 為CUBE和CVP配置SIP中繼安全配置檔案
- 將SIP中繼安全配置檔案關聯到各自的SIP中繼
- 安全代理與CUCM的裝置通訊
將CUCM安全模式設定為混合模式
CUCM支援兩種安全模式:
步驟:
- 若要將安全模式設定為混合模式,請登入到
Cisco Unified CM Administration
介面。

- 成功登入到CUCM後,導航至
System > Enterprise Parameters
。

- 在Section下
Security Parameters
方,檢查是否Cluster Security Mode
設定為0
。

- 如果群集安全模式設定為0,則表示群集安全模式設定為非安全。您需要從CLI啟用混合模式。
- 開啟與CUCM的SSH會話。
- 通過SSH成功登入到CUCM後,請運行以下命令:
utils ctl set-cluster mixed-mode
- 輸入
y
,並在系統提示時按一下Enter。此命令將群集安全模式設定為混合模式。

- 要使更改生效,請重新啟動
Cisco CallManager
和服Cisco CTIManager
務。
- 要重新啟動服務,請導航並登入到
Cisco Unified Serviceability
.

- 成功登入後,導航至
Tools > Control Center – Feature Services
。

- 選擇伺服器,然後按一下
Go
。

- 在CM服務下方,選擇
Cisco CallManager
然後Restart
按一下頁面頂部的按鈕。

- 確認彈出消息,然後按一下
OK
。等待服務成功重新啟動。

- 成功重新啟動後
Cisco CallManager
,選擇CiscoCTIManager
,然後單Restart
擊按鈕重新Cisco CTIManager
服務。

- 確認彈出消息,然後按一下
OK
。等待服務成功重新啟動。

- 服務成功重新啟動後,驗證群集安全模式是否設定為混合模式,按照步驟5中的說明導航到CUCM管理。然後檢查
Cluster Security Mode
。現在,必須將其設定為1
。

為CUBE和CVP配置SIP中繼安全配置檔案
步驟:
- 登入到接
CUCM administration
口。
- 成功登入到CUCM後,導航到
System > Security > SIP Trunk Security Profile
為CUBE建立裝置安全配置檔案。

- 在左上角,按一下
Add New
以新增新配置檔案。

- 如
SIP Trunk Security Profile
下圖所示配置,然Save
後按一下頁面左下角的Save
位置。

5.確保將CUBE證書Secure Certificate Subject or Subject Alternate Name
設定為公共名稱(CN),因為它必須匹配。
6.按一下Copy
按鈕,將Name
SecureSipTLSforCVP
更改為,將Secure Certificate Subject
更改為CVP呼叫伺服器證書的CN,因為它必須匹配。按一下Save
按鈕。

將SIP中繼安全配置檔案關聯到各自的SIP中繼
步驟:
- 在CUCM管理頁面上,導航至
Device > Trunk
。

- 搜尋CUBE中繼。在此示例中,CUBE中繼名稱為
vCube
。按一下Find
。

- 按一下vCUBE以開啟vCUBE中繼配置頁。
- 向下滾動
SIP Information
節,然後將更Destination Port
改為5061
。
SIP Trunk Security Profile
更改為SecureSIPTLSForCube
。

- 按一下
Save
,然Rest
,即可進Save
行並套用變更。


- 導航到
Device > Trunk
,然後搜尋CVP中繼。在本示例中,CVP中繼名稱為cvp-SIP-Trunk
。按一下Find
。

- 按一下
CVP-SIP-Trunk
,開啟CVP中繼配置頁面。
- 向下滾動
SIP Information
節,然後更Destination Port
改為5061
。
- 更
SIP Trunk Security Profile
改為SecureSIPTLSForCvp
。

- 按一下
Save
,然後Rest
,即可進save
行並套用變更。


安全代理與CUCM的裝置通訊
要為裝置啟用安全功能,必須安裝本地重要證書(LSC)並為該裝置分配安全配置檔案。LSC擁有端點的公鑰,該公鑰由憑證授權代理功能(CAPF)私鑰簽署。預設情況下,它不會安裝在電話上。
步驟:
- 登入到
Cisco Unified Serviceability Interface
。
- 導航至
Tools > Service Activation
.

- 選擇CUCM伺服器並按一下
Go
.

- 選中
Cisco Certificate Authority Proxy Function
,然後按一下Save
,啟用該服務。按一下Ok
,確認。

- 確保服務已啟用,然後導航至
Cisco Unified CM Administration
。

- 成功登入到CUCM管理後,導航至
System > Security > Phone Security Profile
,為代理裝置建立裝置安全配置檔案。

- 查詢與您的代理裝置型別對應的安全配置檔案。在本示例中,使用的是軟體電話,因此選擇
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
。按一下 Copy
以便複製此配置檔案。

- 將配置檔案重新命名為
Cisco Unified Client Services Framework - Secure Profile
,更改引數,如下圖所示,然後按一下Save
(位於頁面的左上角)。

- 成功建立電話裝置配置檔案後,導航至
Device > Phone
。

- 按一下
Find
,列出所有可用電話,然後按一下「Agent Phone(座席電話)」。
- 座席電話配置頁面開啟。查詢
Certification Authority Proxy Function (CAPF) Information
部分。若要安裝LSC,請將Certificate Operation
設定為Install/Upgrade
,然後設定為Operation Completes by
任何將來的日期。

- 查詢
Protocol Specific Information
部分。Device Security Profile
更改為Cisco Unified Client Services Framework – Secure Profile
。

- 單擊
Save
(位於頁面的左上角)。確保更改已成功儲存,然後按一下Reset
。

- 此時將開啟一個彈出視窗,按一下
Reset
以確認操作。

- 代理裝置再次向CUCM註冊後,請刷新當前頁面並驗證LSC是否安裝成功。Check
Certification Authority Proxy Function (CAPF) Information
sectionCertificate Operation
,必須設定為No Pending Operation
,並且Certificate Operation Status
設定為Upgrade Success
。

- 請參閱步驟。7-13,以保護要用於通過CUCM保護SIP的其他代理裝置。
驗證
要驗證SIP信令是否正確安全,請執行以下步驟:
- 開啟到vCUBE的SSH會話,運行命令
show sip-ua connections tcp tls detail
,並確認當前未使用CVP(198.18.133.13)建立TLS連線。

附註:此時,在CUCM(198.18.133.3)上僅啟用一個具有CUCM的SIP選項的活動TLS會話。 如果未啟用SIP選項,則不存在SIP TLS連線。
- 登入到CVP並啟動Wireshark。
- 向聯絡中心號碼發出測試呼叫。
- 導航到CVP會話;在Wireshark上,運行此過濾器以檢查使用CUBE的SIP信令:
ip.addr == 198.18.133.226 && tls && tcp.port==5061

檢查:是否已建立SIP over TLS連線?如果是,則輸出確認CVP和CUBE之間的SIP訊號是安全的。
5.檢查CVP和CVVB之間的SIP TLS連線。在同一Wireshark會話中,運行此過濾器:
ip.addr == 198.18.133.143 && tls && tcp.port==5061

檢查:是否已建立SIP over TLS連線?如果是,則輸出確認CVP和CVVB之間的SIP訊號是安全的。
6.您還可以通過CUBE驗證與CVP的SIP TLS連線。導航到vCUBE SSH會話,然後運行此命令以檢查安全sip訊號:
show sip-ua connections tcp tls detail

檢查:SIP over TLS是否與CVP建立連線?如果是,則輸出確認CVP和CUBE之間的SIP訊號是安全的。
7.此時,呼叫處於活動狀態,並且您聽到「通話等待音樂」(MOH),因為沒有可以應答呼叫的座席。
8.使座席可以應答呼叫。
.
9.座席將被保留,並且呼叫將被轉接給他/她。按一下Answer
,接聽電話。

10.呼叫連線到座席。
11.為了驗證CVP和CUCM之間的SIP訊號,請導航到CVP會話,然後在Wireshark中運行此過濾器:
ip.addr == 198.18.133.3 && tls && tcp.port==5061

檢查:是否所有與CUCM(198.18.133.3)的SIP通訊均通過TLS?如果是,則輸出確認CVP和CUCM之間的SIP訊號是安全的。
疑難排解
如果未建立TLS,請在CUBE上運行以下命令以啟用debug TLS進行故障排除:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states