簡介
本文描述如何在Contact Center Enterprise(CCE)中保護即時傳輸協定(SRTP)流量的綜合呼叫流。
必要條件
憑證產生和匯入不在本檔案的範圍之內,因此必須建立思科整合通訊管理員(CUCM)、客戶語音入口網站(CVP)通話伺服器、思科虛擬語音瀏覽器(CVVB)和思科整合邊界元件(CUBE)的憑證,並將其匯入到各自的元件。如果使用自簽名證書,則必須在不同元件之間執行證書交換。
需求
思科建議您瞭解以下主題:
採用元件
本檔案中的資訊是根據套件客服中心企業版(PCCE)、CVP、CVVB和CUCM版本12.6,但也適用於之前的版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
附註:在聯絡中心綜合呼叫流程中,為了啟用安全RTP,必須啟用安全SIP訊號。因此,本文檔中的配置同時啟用安全SIP和SRTP。
下圖顯示了在聯絡中心綜合呼叫流程中參與SIP訊號和RTP的元件。當語音呼叫進入系統時,首先通過入口網關或CUBE,因此在CUBE上啟動配置。接下來,配置CVP、CVVB和CUCM。

任務1:CUBE安全配置
在本任務中,您將CUBE配置為保護SIP協定消息和RTP。
必需的配置:
- 為SIP UA配置預設信任點
- 修改撥號對等體以使用TLS和SRTP
步驟:
- 開啟到CUBE的SSH會話。
- 運行這些命令以使SIP堆疊使用CUBE的CA證書。CUBE建立從/到CUCM(198.18.133.3)和CVP(198.18.133.13)的SIP TLS連線:
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- 運行這些命令以在傳出撥號對等體上啟用CVP。在此示例中,撥號對等標籤6000用於將呼叫路由到CVP:
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

任務2:CVP安全配置
在此任務中,配置CVP呼叫伺服器以保護SIP協定消息(SIP TLS)。
步驟:
- 登入到
UCCE Web Administration
。
- 導航至
Call Settings > Route Settings > SIP Server Group
。

根據您的配置,您已為CUCM、CVVB和CUBE配置了SIP伺服器組。您需要將所有安全SIP埠設定為5061。在本示例中,使用以下SIP伺服器組:
cucm1.dcloud.cisco.com
對於CUCM
vvb1.dcloud.cisco.com
適用於CVVB
cube1.dcloud.cisco.com
對於CUBE
- 按一下
cucm1.dcloud.cisco.com
,然後在顯示Members
SIP伺服器組配置詳細資訊的頁籤中按一下。將SecurePort
設定為5061
,然後按一下
Save
。

- 按一下
vvb1.dcloud.cisco.com
,然後在選Members
項卡中將SecurePort
設定為5061
,然後按一下Save
。

任務3:CVVB安全配置
在此任務中,配置CVVB以保護SIP協定消息(SIP TLS)和SRTP。
步驟:
- 開啟頁
Cisco VVB Admin
面。
- 導航至
System > System Parameters
。

- 在
Security Parameters
部分中,選擇Enable
用於TLS (SIP)
。保留Supported TLS(SIP) version as TLSv1.2
並選Enable
擇SRTP
。

- 按一下
Update
。當系統提示重新啟動CVVB引擎時,按一下Ok
。

- 這些更改需要重新啟動Cisco VVB引擎。要重新啟動VVB引擎,請導航至
Cisco VVB Serviceability
,然後按一下Go
。

- 導航至
Tools > Control Center – Network Services
。

- 選擇
Engine
,然後按一下Restart
。

任務4:CUCM安全配置
要保護CUCM上的SIP消息和RTP,請執行以下配置:
- 將CUCM安全模式設定為混合模式
- 為CUBE和CVP配置SIP中繼安全配置檔案
- 將SIP中繼安全配置檔案關聯到各自的SIP中繼並啟用SRTP
- 安全代理與CUCM的裝置通訊
將CUCM安全模式設定為混合模式
CUCM支援兩種安全模式:
步驟:
- 登入到CUCM管理介面。

- 登入到CUCM時,可以導航到
System > Enterprise Parameters
。

- 在
Security Parameters
部分下,檢查是否Cluster Security Mode
設定為0
。

- 如果「群集安全模式」設定為0,則表示群集安全模式設定為非安全。您需要從CLI啟用混合模式。
- 開啟與CUCM的SSH會話。
- 通過SSH成功登入到CUCM後,請運行以下命令:
utils ctl set-cluster mixed-mode
- 輸入
y
,並在系統提示時按一下Enter
。此命令將群集安全模式設定為混合模式。

- 要使更改生效,請重新啟動
Cisco CallManager
和Cisco CTIManager
服務。
- 若要重新啟動服務,請導航並登入到
Cisco Unified Serviceability
。

- 成功登入後,導航至
Tools > Control Center – Feature Services
。

- 選擇伺服器,然後按一下
Go
。

- 在CM服務下,選擇
Cisco CallManager
,然後單Restart
擊頁面頂部的按鈕。

- 確認彈出消息,然後按一下
OK
。等待服務成功重新啟動。

- 成功重新啟動後
Cisco CallManager
,選擇Cisco CTIManager
,然後按一下Restart
按鈕重新啟動 Cisco CTIManager
服務。

- 確認彈出消息,然後按一下
OK
。等待服務成功重新啟動。

- 成功重新啟動服務後,若要驗證群集安全模式是否設定為混合模式,請按照步驟5中的說明導航到CUCM管理,然後檢查
Cluster Security Mode
。現在,必須將其設定為1
。

為CUBE和CVP配置SIP中繼安全配置檔案
步驟:
- 登入到CUCM管理介面。
- 成功登入到CUCM後,導航至
System > Security > SIP Trunk Security Profile
,以便為CUBE建立裝置安全配置檔案。

- 在左上角,按一下Add New新增新配置檔案。

- 設
SIP Trunk Security Profile
定為此映像,然Save
後單擊頁面左下角。

5.確保將CUBE證書Secure Certificate Subject or Subject Alternate Name
設定為公共名稱(CN),因為它必須匹配。
6.按一下Copy
按鈕並將Name
更改為SecureSipTLSforCVP
。更改Secure Certificate Subject
為CVP呼叫伺服器證書的CN,因為它必須匹配。按一下Save
按鈕。

將SIP中繼安全配置檔案關聯到各自的SIP中繼並啟用SRTP
步驟:
- 在CUCM管理頁面上,導航至
Device > Trunk
。

- 搜尋CUBE中繼。在此示例中,CUBE中繼名稱為
vCube
,然後按一下Find
。

- 按一下
vCUBE
,開啟vCUBE中繼配置頁。
- 在
Device Information
部分,選中SRTP Allowed
覈取方塊以啟用SRTP。

- 向下滾動至
SIP Information
節,然後將更Destination Port
改為5061
。
SIP Trunk Security Profile
更改為SecureSIPTLSForCube
。

- 按一下
Save
,然後按一下Rest
save
並應用更改。


- 導航到
Device > Trunk
,搜尋CVP中繼,在此示例中,CVP中繼名稱為cvp-SIP-Trunk
。按一下Find
。

- 按一下
CVP-SIP-Trunk
,開啟CVP中繼配置頁面。
- 在
Device Information
部分,選中SRTP Allowed
覈取方塊以啟用SRTP。

- 向下滾動到
SIP Information
部分,將Destination Port
更改為5061
。
SIP Trunk Security Profile
更改為SecureSIPTLSForCvp
。

- 按一下
Save
,Rest
然後save
應用更改。

安全代理與CUCM的裝置通訊
要為裝置啟用安全功能,必須安裝本地重要證書(LSC)並將安全配置檔案分配給該裝置。LSC擁有終端的公鑰,該公鑰由CUCM CAPF私鑰簽名。預設情況下,它不會安裝在電話上。
步驟:
- 登入到接口
Cisco Unified Serviceability
。
- 導航至
Tools > Service Activation
。

- 選擇CUCM伺服器並按一下
Go
。

- 選中
Cisco Certificate Authority Proxy Function
,然後按一下Save
啟用該服務。按一下Ok
,確認。

- 確保服務已啟用,然後導航至CUCM管理。

- 成功登入到CUCM管理後,導航至
System > Security > Phone Security Profile
,為代理裝置建立裝置安全配置檔案。

- 查詢與您的代理裝置型別對應的安全配置檔案。在本示例中,使用的是軟體電話,因此選擇
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
。單擊「複製」圖示
以便複製此配置檔案。

- 將配置檔案重新命名為
Cisco Unified Client Services Framework - Secure Profile
。請更改此影象中的引數,然後按一下 Save
在頁面的左上角。

- 成功建立電話裝置配置檔案後,導航至
Device > Phone
。

- 按一下
Find
「列出所有可用電話」,然後按一下「座席電話」。
- 座席電話配置頁面開啟。查詢
Certification Authority Proxy Function (CAPF) Information
部分。若要安裝LSC,請將Certificate Operation
設定為Install/Upgrade
,然後設定為Operation Completes by
任何將來的日期。

- 查詢
Protocol Specific Information
部分,然後將Device Security Profile
更改為Cisco Unified Client Services Framework – Secure Profile
。

- 單擊
Save
(位於頁面的左上角)。確保更改已成功儲存,然後按一下Reset
。

- 此時將開啟一個彈出視窗,按一下
Reset
以確認操作。

- 代理裝置再次向CUCM註冊後,請刷新當前頁面並驗證LSC是否安裝成功。Check
Certification Authority Proxy Function (CAPF) Information
section, Certificate Operation
must be set to No Pending Operation
and isCertificate Operation Status
set to Upgrade Success
.

- 請參閱步驟中的相同步驟。7 - 13,保護您想在CUCM中使用安全SIP和RTP的其他代理裝置。
驗證
為了驗證RTP是否正確受到保護,請執行以下步驟:
- 向聯絡中心發出測試呼叫,並監聽IVR提示。
- 同時,開啟到vCUBE的SSH會話,並運行以下命令:
show call active voice brief

提示:檢查SRTP是否在CUBE和VVB(198.18.133.143)之間on
。 如果是,這可以確認CUBE和VVB之間的RTP流量是安全的。
- 使座席可以應答呼叫。
.
- 座席將被保留,呼叫將被路由至座席。接聽電話。
- 呼叫連線到座席。返回vCUBE SSH會話,並運行以下命令:
show call active voice brief

提示:檢查SRTP是否on
在CUBE和座席的電話(198.18.133.75)之間。 如果是,這可以確認CUBE和代理之間的RTP流量是安全的。
- 此外,一旦呼叫被連線,安全鎖就會顯示在代理裝置上.這也確認了RTP流量是安全的。

要驗證SIP訊號是否正確安全,請參閱配置安全SIP信令文章。