在聯絡中心企業版中配置安全SIP信令
目錄
簡介
本文說明如何在Contact Center Enterprise(CCE)綜合呼叫流程中保護會話初始協定(SIP)信令。
必要條件
憑證產生和匯入不在本檔案的範圍之內,因此必須建立思科整合通訊管理員(CUCM)、客戶語音入口網站(CVP)通話伺服器、思科虛擬語音瀏覽器(CVVB)和思科整合邊界元件(CUBE)的憑證,並將其匯入到各自的元件。如果使用自簽名證書,則必須在不同元件之間執行證書交換。
需求
思科建議您瞭解以下主題:
- CCE
- CVP
- 立方體
- CUCM
- CVVB
採用元件
本檔案中的資訊是根據套件客服中心企業版(PCCE)、CVP、CVVB和CUCM版本12.6,但也適用於之前的版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
下圖顯示了在聯絡中心綜合呼叫流程中參與SIP信令的元件。當語音呼叫進入系統時,首先通過入口網關或CUBE,因此在CUBE上開始安全SIP配置。接下來,配置CVP、CVVB和CUCM。
任務1. CUBE安全配置
在此任務中,配置CUBE以保護SIP協定消息。
必需的配置:
- 為SIP使用者代理(UA)配置預設信任點
- 修改撥號對等體以使用傳輸層安全(TLS)
步驟:
- 開啟與CUBE的安全殼層(SSH)會話。
- 運行這些命令以使SIP堆疊使用CUBE的證書頒發機構(CA)證書。CUBE建立與CUCM(198.18.133.3)和CVP(198.18.133.13)之間的SIP TLS連線。
conf t
sip-ua
transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit
- 運行這些命令以在傳出撥號對等體上啟用CVP。在此示例中,撥號對等標籤6000用於將呼叫路由到CVP。
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
exit
任務2. CVP安全配置
在此任務中,配置CVP呼叫伺服器以保護SIP協定消息(SIP TLS)。
步驟:
- 登入到
UCCE Web Administration。 - 導航至
Call Settings > Route Settings > SIP Server Group.
根據您的配置,您為CUCM、CVVB和CUBE配置了SIP伺服器組。您需要將所有安全SIP埠設定為5061。在此示例中,使用以下SIP伺服器組:
cucm1.dcloud.cisco.com對於CUCMvvb1.dcloud.cisco.com適用於CVVBcube1.dcloud.cisco.com對於CUBE
- 按一下
cucm1.dcloud.cisco.com,然後在Members頁籤中顯示SIP伺服器組配置的詳細資訊。將SecurePort設定為5061,然後按一下Save.
- 按一下
vvb1.dcloud.cisco.com,然後在頁籤Members中。將SecurePort設定為5061,然後按一下Save。
任務3. CVVB安全配置
在此任務中,配置CVVB以保護SIP協定消息(SIP TLS)。
步驟:
- 登入頁
Cisco VVB Administration - 導航至
System > System Parameters。
- 在
Security Parameters部分,選擇EnableforTLS(SIP)。保Supported TLS(SIP) version留為TLSv1.2。
- 按一下「Update」。當系統提示重新啟動CVVB引擎時,按一下
Ok。
- 這些更改需要重新啟動Cisco VVB引擎。若要重新啟動VVB引擎,請導航至
Cisco VVB Serviceability,然後按一下Go。
- 導航至
Tools > Control Center – Network Services.
- 選擇
Engine,然後按一下Restart。
任務4. CUCM安全配置
要保護CUCM上的SIP消息,請執行以下配置:
- 將CUCM安全模式設定為混合模式
- 為CUBE和CVP配置SIP中繼安全配置檔案
- 將SIP中繼安全配置檔案關聯到各自的SIP中繼
- 安全代理與CUCM的裝置通訊
將CUCM安全模式設定為混合模式
CUCM支援兩種安全模式:
- 非安全模式(預設模式)
- 混合模式(安全模式)
步驟:
- 若要將安全模式設定為混合模式,請登入到
Cisco Unified CM Administration介面。
- 成功登入到CUCM後,導航至
System > Enterprise Parameters。
- 在Section下
Security ParametersCluster Security Mode設定為0。
- 如果群集安全模式設定為0,則表示群集安全模式設定為非安全。您需要從CLI啟用混合模式。
- 開啟與CUCM的SSH會話。
- 通過SSH成功登入到CUCM後,請運行以下命令:
utils ctl set-cluster mixed-mode
- 輸入
y,並在系統提示時按一下Enter。此命令將群集安全模式設定為混合模式。
- 要使更改生效,請重新啟動
Cisco CallManager和服Cisco CTIManager務。 - 要重新啟動服務,請導航並登入到
Cisco Unified Serviceability
- 成功登入後,導航至
Tools > Control Center – Feature Services。
- 選擇伺服器,然後按一下
Go。
- 在CM服務下方,選擇
Cisco CallManagerRestart按一下頁面頂部的按鈕。
- 確認彈出消息,然後按一下
OK。等待服務成功重新啟動。
- 成功重新啟動後
Cisco CallManager,選擇CiscoCTIManager,然後單Restart擊按鈕重新Cisco CTIManager服務。
- 確認彈出消息,然後按一下
OK。等待服務成功重新啟動。
- 服務成功重新啟動後,驗證群集安全模式是否設定為混合模式,按照步驟5中的說明導航到CUCM管理。然後檢查
Cluster Security Mode。現在,必須將其設定為1。
為CUBE和CVP配置SIP中繼安全配置檔案
步驟:
- 登入到接
CUCM administration口。 - 成功登入到CUCM後,導航到
System > Security > SIP Trunk Security Profile
- 在左上角,按一下
Add New以新增新配置檔案。
- 如
SIP Trunk Security Profile下圖所示配置,然Save後按一下頁面左下角的Save位置。
5.確保將CUBE證書Secure Certificate Subject or Subject Alternate Name設定為公共名稱(CN),因為它必須匹配。
6.按一下Copy按鈕,將NameSecureSipTLSforCVP 更改為,將Secure Certificate Subject 更改為CVP呼叫伺服器證書的CN,因為它必須匹配。按一下Save
將SIP中繼安全配置檔案關聯到各自的SIP中繼
步驟:
- 在CUCM管理頁面上,導航至
Device > Trunk。
- 搜尋CUBE中繼。在此示例中,CUBE中繼名稱為
vCube。按一下Find。
- 按一下vCUBE以開啟vCUBE中繼配置頁。
- 向下滾動
SIP Information節,然後將更Destination Port改為5061。 SIP Trunk Security Profile更改為SecureSIPTLSForCube。
- 按一下
SaveRest,即可進Save行並套用變更。
- 導航到
Device > Trunk,然後搜尋CVP中繼。在本示例中,CVP中繼名稱為cvp-SIP-Trunk。按一下Find。
- 按一下
CVP-SIP-Trunk,開啟CVP中繼配置頁面。 - 向下滾動
SIP Information節,然後更Destination Port改為5061。 - 更
SIP Trunk Security Profile改為SecureSIPTLSForCvp。
- 按一下
Save,然後Rest,即可進save行並套用變更。
安全代理與CUCM的裝置通訊
要為裝置啟用安全功能,必須安裝本地重要證書(LSC)並為該裝置分配安全配置檔案。LSC擁有端點的公鑰,該公鑰由憑證授權代理功能(CAPF)私鑰簽署。預設情況下,它不會安裝在電話上。
步驟:
- 登入到
Cisco Unified Serviceability Interface。 - 導航至
Tools > Service Activation.
- 選擇CUCM伺服器並按一下
Go.
- 選中
Cisco Certificate Authority Proxy Function,然後按一下Save,啟用該服務。按一下Ok,確認。
- 確保服務已啟用,然後導航至
Cisco Unified CM Administration。
- 成功登入到CUCM管理後,導航至
System > Security > Phone Security Profile,為代理裝置建立裝置安全配置檔案。
- 查詢與您的代理裝置型別對應的安全配置檔案。在本示例中,使用的是軟體電話,因此選擇
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile。按一下Copy
以便複製此配置檔案。
- 將配置檔案重新命名為
Cisco Unified Client Services Framework - Secure Profile,更改引數,如下圖所示,然後按一下Save(位於頁面的左上角)。
- 成功建立電話裝置配置檔案後,導航至
Device > Phone。
- 按一下
Find,列出所有可用電話,然後按一下「Agent Phone(座席電話)」。 - 座席電話配置頁面開啟。查詢
Certification Authority Proxy Function (CAPF) Information部分。若要安裝LSC,請將Certificate Operation設定為Install/Upgrade,然後設定為Operation Completes by任何將來的日期。
- 查詢
Protocol Specific Information部分。Device Security Profile更改為Cisco Unified Client Services Framework – Secure Profile。
- 單擊
Save(位於頁面的左上角)。確保更改已成功儲存,然後按一下Reset。
- 此時將開啟一個彈出視窗,按一下
Reset以確認操作。
- 代理裝置再次向CUCM註冊後,請刷新當前頁面並驗證LSC是否安裝成功。Check
Certification Authority Proxy Function (CAPF) InformationsectionCertificate Operation,必須設定為No Pending Operation,並且Certificate Operation Status設定為Upgrade Success。
- 請參閱步驟。7-13,以保護要用於通過CUCM保護SIP的其他代理裝置。
驗證
要驗證SIP信令是否正確安全,請執行以下步驟:
- 開啟到vCUBE的SSH會話,運行命令
show sip-ua connections tcp tls detail,並確認當前未使用CVP(198.18.133.13)建立TLS連線。
- 登入到CVP並啟動Wireshark。
- 向聯絡中心號碼發出測試呼叫。
- 導航到CVP會話;在Wireshark上,運行此過濾器以檢查使用CUBE的SIP信令:
ip.addr == 198.18.133.226 && tls && tcp.port==5061
5.檢查CVP和CVVB之間的SIP TLS連線。在同一Wireshark會話中,運行此過濾器:
ip.addr == 198.18.133.143 && tls && tcp.port==5061
6.您還可以通過CUBE驗證與CVP的SIP TLS連線。導航到vCUBE SSH會話,然後運行此命令以檢查安全sip訊號:show sip-ua connections tcp tls detail
7.此時,呼叫處於活動狀態,並且您聽到「通話等待音樂」(MOH),因為沒有可以應答呼叫的座席。
8.使座席可以應答呼叫。
.
9.座席將被保留,並且呼叫將被轉接給他/她。按一下Answer,接聽電話。
10.呼叫連線到座席。
11.為了驗證CVP和CUCM之間的SIP訊號,請導航到CVP會話,然後在Wireshark中運行此過濾器:ip.addr == 198.18.133.3 && tls && tcp.port==5061
疑難排解
如果未建立TLS,請在CUBE上運行以下命令以啟用debug TLS進行故障排除:
Debug ssl openssl errorsDebug ssl openssl msgDebug ssl openssl states
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Nov-2022
|
初始版本 |
意見