在Contact Center Enterprise中配置安全RTP

簡介

本文描述如何在Contact Center Enterprise(CCE)中保護即時傳輸協定(SRTP)流量的綜合呼叫流。

必要條件

憑證產生和匯入不在本檔案的範圍之內，因此必須建立思科整合通訊管理員(CUCM)、客戶語音入口網站(CVP)通話伺服器、思科虛擬語音瀏覽器(CVVB)和思科整合邊界元件(CUBE)的憑證，並將其匯入到各自的元件。如果使用自簽名證書，則必須在不同元件之間執行證書交換。

需求

思科建議您瞭解以下主題：

• CCE
• CVP
• 立方體
• CUCM
• CVVB

採用元件

本檔案中的資訊是根據套件客服中心企業版(PCCE)、CVP、CVVB和CUCM版本12.6，但也適用於之前的版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

附註：在聯絡中心綜合呼叫流程中，為了啟用安全RTP，必須啟用安全SIP訊號。因此，本文檔中的配置同時啟用安全SIP和SRTP。

下圖顯示了在聯絡中心綜合呼叫流程中參與SIP訊號和RTP的元件。當語音呼叫進入系統時，首先通過入口網關或CUBE，因此在CUBE上啟動配置。接下來，配置CVP、CVVB和CUCM。

任務1:CUBE安全配置

在本任務中，您將CUBE配置為保護SIP協定消息和RTP。

必需的配置：

• 為SIP UA配置預設信任點
• 修改撥號對等體以使用TLS和SRTP

步驟：

1. 開啟到CUBE的SSH會話。

2. 運行這些命令以使SIP堆疊使用CUBE的CA證書。CUBE建立從/到CUCM(198.18.133.3)和CVP(198.18.133.13)的SIP TLS連線：

Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. 運行這些命令以在傳出撥號對等體上啟用CVP。在此示例中，撥號對等標籤6000用於將呼叫路由到CVP:

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

任務2:CVP安全配置

在此任務中，配置CVP呼叫伺服器以保護SIP協定消息(SIP TLS)。

步驟：

1. 登入到UCCE Web Administration。
2. 導航至Call Settings > Route Settings > SIP Server Group。
   
   

根據您的配置，您已為CUCM、CVVB和CUBE配置了SIP伺服器組。您需要將所有安全SIP埠設定為5061。在本示例中，使用以下SIP伺服器組：

• cucm1.dcloud.cisco.com 對於CUCM
• vvb1.dcloud.cisco.com 適用於CVVB
• cube1.dcloud.cisco.com  對於CUBE

3. 按一下cucm1.dcloud.cisco.com，然後在顯示MembersSIP伺服器組配置詳細資訊的頁籤中按一下。將SecurePort設定為5061，然後按一下Save。
   
   

4. 按一下vvb1.dcloud.cisco.com，然後在選Members項卡中將SecurePort設定為5061，然後按一下Save。
   
   

任務3:CVVB安全配置

在此任務中，配置CVVB以保護SIP協定消息(SIP TLS)和SRTP。

步驟：

1. 開啟頁Cisco VVB Admin面。
2. 導航至System > System Parameters。
   
   

3. 在Security Parameters部分中，選擇Enable用於TLS (SIP) 。保留Supported TLS(SIP) version as TLSv1.2並選Enable擇SRTP。
   
   

4. 按一下Update。當系統提示重新啟動CVVB引擎時，按一下Ok。
   
   

5. 這些更改需要重新啟動Cisco VVB引擎。要重新啟動VVB引擎，請導航至Cisco VVB Serviceability，然後按一下Go。
   
   

6. 導航至Tools > Control Center – Network Services。
   
   

7. 選擇Engine，然後按一下Restart。
   
   

任務4:CUCM安全配置

要保護CUCM上的SIP消息和RTP，請執行以下配置：

• 將CUCM安全模式設定為混合模式
• 為CUBE和CVP配置SIP中繼安全配置檔案
• 將SIP中繼安全配置檔案關聯到各自的SIP中繼並啟用SRTP
• 安全代理與CUCM的裝置通訊

將CUCM安全模式設定為混合模式

CUCM支援兩種安全模式：

• 非安全模式（預設模式）
• 混合模式（安全模式）

步驟：

1. 登入到CUCM管理介面。
   
   

2. 登入到CUCM時，可以導航到System > Enterprise Parameters。
   
   

3. 在Security Parameters部分下，檢查是否Cluster Security Mode設定為0。
   
   

4. 如果「群集安全模式」設定為0，則表示群集安全模式設定為非安全。您需要從CLI啟用混合模式。
5. 開啟與CUCM的SSH會話。
6. 通過SSH成功登入到CUCM後，請運行以下命令：

utils ctl set-cluster mixed-mode

7. 輸入y，並在系統提示時按一下Enter。此命令將群集安全模式設定為混合模式。
   
   

8. 要使更改生效，請重新啟動Cisco CallManager和Cisco CTIManager服務。
9. 若要重新啟動服務，請導航並登入到Cisco Unified Serviceability。
   
   

10. 成功登入後，導航至Tools > Control Center – Feature Services。
    
    

11. 選擇伺服器，然後按一下Go。
    
    

12. 在CM服務下，選擇Cisco CallManager，然後單Restart擊頁面頂部的按鈕。
    
    

13. 確認彈出消息，然後按一下OK。等待服務成功重新啟動。
    
    

14. 成功重新啟動後Cisco CallManager，選擇Cisco CTIManager，然後按一下Restart按鈕重新啟動  Cisco CTIManager 服務。
    
    

15. 確認彈出消息，然後按一下OK。等待服務成功重新啟動。
    
    

16. 成功重新啟動服務後，若要驗證群集安全模式是否設定為混合模式，請按照步驟5中的說明導航到CUCM管理，然後檢查Cluster Security Mode。現在，必須將其設定為1。
    
    

為CUBE和CVP配置SIP中繼安全配置檔案

步驟：

1. 登入到CUCM管理介面。
2. 成功登入到CUCM後，導航至System > Security > SIP Trunk Security Profile，以便為CUBE建立裝置安全配置檔案。
   
   

3. 在左上角，按一下Add New新增新配置檔案。
   
   

4. 設SIP Trunk Security Profile定為此映像，然Save後單擊頁面左下角。
   
   

5.確保將CUBE證書Secure Certificate Subject or Subject Alternate Name設定為公共名稱(CN)，因為它必須匹配。

6.按一下Copy按鈕並將Name更改為SecureSipTLSforCVP。更改Secure Certificate Subject為CVP呼叫伺服器證書的CN，因為它必須匹配。按一下Save  按鈕。

將SIP中繼安全配置檔案關聯到各自的SIP中繼並啟用SRTP

步驟：

1. 在CUCM管理頁面上，導航至Device > Trunk。
   
   

2. 搜尋CUBE中繼。在此示例中，CUBE中繼名稱為vCube，然後按一下Find。
   
   

3. 按一下vCUBE，開啟vCUBE中繼配置頁。
4. 在Device Information部分，選中SRTP Allowed覈取方塊以啟用SRTP。
   
   

5. 向下滾動至SIP Information節，然後將更Destination Port改為5061。
6. SIP Trunk Security Profile更改為SecureSIPTLSForCube。
   
   

7. 按一下Save，然後按一下Restsave 並應用更改。
   
   

8. 導航到Device > Trunk，搜尋CVP中繼，在此示例中，CVP中繼名稱為cvp-SIP-Trunk。按一下Find。
   
   

9. 按一下CVP-SIP-Trunk，開啟CVP中繼配置頁面。
10. 在Device Information部分，選中SRTP Allowed覈取方塊以啟用SRTP。
    
    

11. 向下滾動到SIP Information部分，將Destination Port更改為5061。
12. SIP Trunk Security Profile更改為SecureSIPTLSForCvp。
    
    

13. 按一下Save,Rest然後save 應用更改。
    
    

安全代理與CUCM的裝置通訊

要為裝置啟用安全功能，必須安裝本地重要證書(LSC)並將安全配置檔案分配給該裝置。LSC擁有終端的公鑰，該公鑰由CUCM CAPF私鑰簽名。預設情況下，它不會安裝在電話上。

步驟：

1. 登入到接口Cisco Unified Serviceability。
2. 導航至Tools > Service Activation。
   
   

3. 選擇CUCM伺服器並按一下Go。
   
   

4. 選中Cisco Certificate Authority Proxy Function，然後按一下Save  啟用該服務。按一下Ok，確認。
   
   

5. 確保服務已啟用，然後導航至CUCM管理。
   
   

6. 成功登入到CUCM管理後，導航至System > Security > Phone Security Profile，為代理裝置建立裝置安全配置檔案。
   
   

7. 查詢與您的代理裝置型別對應的安全配置檔案。在本示例中，使用的是軟體電話，因此選擇Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile。單擊「複製」圖示 以便複製此配置檔案。
   
   

8. 將配置檔案重新命名為Cisco Unified Client Services Framework - Secure Profile。請更改此影象中的引數，然後按一下  Save  在頁面的左上角。
   
   

9. 成功建立電話裝置配置檔案後，導航至Device > Phone。
   
   

10. 按一下Find「列出所有可用電話」，然後按一下「座席電話」。
11. 座席電話配置頁面開啟。查詢Certification Authority Proxy Function (CAPF) Information部分。若要安裝LSC，請將Certificate Operation設定為Install/Upgrade，然後設定為Operation Completes by任何將來的日期。
    
    

12. 查詢Protocol Specific Information部分，然後將Device Security Profile更改為Cisco Unified Client Services Framework – Secure Profile。
    
    

13. 單擊Save（位於頁面的左上角）。確保更改已成功儲存，然後按一下Reset。
    
    

14. 此時將開啟一個彈出視窗，按一下Reset以確認操作。
    
    

15. 代理裝置再次向CUCM註冊後，請刷新當前頁面並驗證LSC是否安裝成功。CheckCertification Authority Proxy Function (CAPF) Information section， Certificate Operation must be set to No Pending Operation and isCertificate Operation Status set to  Upgrade Success.
    
    

16. 請參閱步驟中的相同步驟。7 - 13，保護您想在CUCM中使用安全SIP和RTP的其他代理裝置。

驗證

為了驗證RTP是否正確受到保護，請執行以下步驟：

1. 向聯絡中心發出測試呼叫，並監聽IVR提示。
2. 同時，開啟到vCUBE的SSH會話，並運行以下命令：
   show call active voice brief
   
   

提示：檢查SRTP是否在CUBE和VVB(198.18.133.143)之間on。 如果是，這可以確認CUBE和VVB之間的RTP流量是安全的。

3. 使座席可以應答呼叫。
   .
4. 座席將被保留，呼叫將被路由至座席。接聽電話。
5. 呼叫連線到座席。返回vCUBE SSH會話，並運行以下命令：
   show call active voice brief
   
   

提示：檢查SRTP是否on在CUBE和座席的電話(198.18.133.75)之間。 如果是，這可以確認CUBE和代理之間的RTP流量是安全的。

6. 此外，一旦呼叫被連線，安全鎖就會顯示在代理裝置上.這也確認了RTP流量是安全的。
   
   

要驗證SIP訊號是否正確安全，請參閱配置安全SIP信令文章。