在Contact Center Enterprise中配置安全RTP

下载选项

  • PDF     (1.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 12 月 21 日
文档 ID:220123

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何保护联系中心企业版(CCE)综合呼叫流中的实时传输协议(SRTP)流量。

    先决条件

    证书生成和导入不在本文档的讨论范围之内,因此必须创建思科统一通信管理器(CUCM)、客户语音门户(CVP)呼叫服务器、思科虚拟语音浏览器(CVVB)和思科统一边界元素(CUBE)的证书并将其导入到各自的组件中。如果使用自签名证书,则必须在不同组件之间执行证书交换。

    要求

    Cisco 建议您了解以下主题:

    • CCE
    • CVP
    • CUBE
    • CUCM
    • CVVB

    使用的组件

    本文档中的信息基于Package Contact Center Enterprise(PCCE)、CVP、CVVB和CUCM版本12.6,但它也适用于以前的版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    注意:在联系中心综合呼叫流程中,为了启用安全RTP,必须启用安全SIP信号。因此,本文档中的配置同时启用安全SIP和SRTP。

    下图显示了联系中心综合呼叫流程中涉及SIP信号和RTP的组件。当语音呼叫进入系统时,首先通过入口网关或CUBE,因此在CUBE上开始配置。接下来,配置CVP、CVVB和CUCM。

    Inbound SIP and RTP Call Flow

    任务1:CUBE安全配置

    在本任务中,您将配置CUBE以保护SIP协议消息和RTP。

    所需的配置:

    • 为SIP UA配置默认信任点
    • 修改拨号对等体以使用TLS和SRTP

    步骤:

    1. 打开到CUBE的SSH会话。
    1. 运行这些命令以使SIP堆栈使用CUBE的CA证书。CUBE建立从/到CUCM(198.18.133.3)和CVP(198.18.133.13)的SIP TLS连接:

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. 运行这些命令以启用对CVP的传出拨号对等体上的TLS。在本示例中,拨号对等体标记6000用于将呼叫路由到CVP:

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    任务2:CVP安全配置

    在本任务中,配置CVP呼叫服务器以保护SIP协议消息(SIP TLS)。

    步骤:

    1. 登录  UCCE Web Administration.
    2. 导航至  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal

    根据您的配置,您已为CUCM、CVVB和CUBE配置了SIP服务器组。您需要将所有安全SIP端口设置为5061。 在本示例中,使用以下SIP服务器组:

    • cucm1.dcloud.cisco.com 对于CUCM
    • vvb1.dcloud.cisco.com 适用于CVVB
    • cube1.dcloud.cisco.com  对于CUBE
    1. 点击  cucm1.dcloud.cisco.com,然后在  Members  选项卡显示SIP服务器组配置的详细信息。设置 SecurePort 到  5061 并点击 Save.

    Setting secure SIP Port for CUCM Server Group

    1. 点击 vvb1.dcloud.cisco.com 然后在  Members  选项卡,设置  SecurePort 到 5061  并点击  Save.

    Setting secure SIP Port for VVB Server Group

    任务3:CVVB安全配置

    在本任务中,配置CVVB以保护SIP协议消息(SIP TLS)和SRTP。

    步骤:

    1. 打开 Cisco VVB Admin   页码.
    2. 导航至  System > System Parameters.

    VVB System Parameters

    1. 在  Security Parameters 部分,选择 Enable 对于  TLS (SIP) .保留 Supported TLS(SIP) version as TLSv1.2  选择  Enable  对于  SRTP.

    VVB Security Parameters

    1. 点击  Update.点击  Ok 提示重新启动CVVB引擎时。

    Update Security Parameters

    1. 这些更改需要重新启动Cisco VVB引擎。要重新启动VVB引擎,请导航至  Cisco VVB Serviceability ,然后单击  Go.

    Cisco VVB Serviceability

    1. 导航至  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. 选择  Engine 并点击  Restart.

    Restarting CVVB Engine Services

    任务4:CUCM安全配置

    要保护CUCM上的SIP消息和RTP,请执行以下配置:

    • 将CUCM安全模式设置为混合模式
    • 为CUBE和CVP配置SIP中继安全配置文件
    • 将SIP中继安全配置文件关联到各自的SIP中继并启用SRTP
    • 安全代理与CUCM的设备通信

    将CUCM安全模式设置为混合模式

    CUCM支持两种安全模式:

    • 非安全模式(默认模式)
    • 混合模式(安全模式)

    步骤:

    1. 登录到CUCM管理界面。

    CUCM Administration Interface

    1. 登录到CUCM时,可以导航到  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. 在  Security Parameters 部分,检查是否 Cluster Security Mode 设置为  0.

    CUCM Security Parameters

    1. 如果Cluster Security Mode设置为0,则表示集群安全模式设置为non-secure。您需要从CLI启用混合模式。
    2. 打开到CUCM的SSH会话。
    3. 成功通过SSH登录CUCM后,请运行以下命令:

    utils ctl set-cluster mixed-mode

    1. 类型 y 并点击 Enter 系统提示时。此命令将集群安全模式设置为混合模式。

    CUCM SSH Console

    1. 要使更改生效,请重新启动 Cisco CallManager 和  Cisco CTIManager 服务。
    2. 要重新启动服务,请导航并登录  Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. 成功登录后,导航至  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. 选择服务器,然后单击  Go.

    Select Server

    1. 在CM服务下,选择 Cisco CallManager ,然后单击  Restart  按钮。

    Restarting Cisco CallManager Service

    1. 确认弹出消息,然后单击  OK.等待服务成功重新启动。

    Info Message

    1. 在成功重新启动  Cisco CallManager,选择  Cisco CTIManager ??然后单击  Restart 按钮重启  Cisco CTIManager 服务。

    Restarting Cisco CTI Manager Service

    1. 确认弹出消息,然后单击  OK.等待服务成功重新启动。

    Info Message

    1. 成功重新启动服务后,为了验证集群安全模式是否设置为混合模式,请按照步骤5中的说明导航到CUCM管理,然后检查  Cluster Security Mode.现在必须设置为  1.

    Cluster Security Mode is to the Value of '1'

    为CUBE和CVP配置SIP中继安全配置文件

    步骤:

    1. 登录到CUCM管理界面。
    2. 成功登录CUCM后,导航至  System > Security > SIP Trunk Security Profile 以便为CUBE创建设备安全配置文件。

    CUCM SIP Trunk Security Profile

    1. 在左上角,单击Add New添加新配置文件。

    Add a New CUCM SIP Trunk Security Profile

    1. 配置  SIP Trunk Security Profile  作为此图像,然后单击  Save  在页面左下角。

    Add CUCM SIP Trunk Security Profile for CUBE

    5.确保已设置  Secure Certificate Subject or Subject Alternate Name  CUBE证书的公用名(CN),因为它必须匹配。

    6.单击  Copy  按钮并更改  Name 到  SecureSipTLSforCVP.Change(更改)  Secure Certificate Subject  CVP呼叫服务器证书的CN,因为它必须匹配。点击  Save  按钮。

    Add CUCM SIP Trunk Security Profile for CVP

    将SIP中继安全配置文件关联到各自的SIP中继并启用SRTP

    步骤:

    1. 在CUCM Administration页面上,导航至  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. 搜索CUBE中继。在本示例中,CUBE中继名称为  vCube ,然后单击  Find.

    Find SIP Trunks on CUCM for CUBE

    1. 点击  vCUBE 打开vCUBE中继配置页面。
    2. 在  Device Information 部分,请检查 SRTP Allowed 复选框以启用SRTP。

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. 向下滚动到 SIP Information 部分,并更改  Destination Port 到  5061.
    2. Change(更改)  SIP Trunk Security Profile 到  SecureSIPTLSForCube.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. 点击  Save 然后  Rest 到 save 并应用更改。

    Save Configuration

    Info Message

    1. 导航至  Device > Trunk,搜索CVP中继,在本示例中,CVP中继名称为  cvp-SIP-Trunk.点击  Find.

    Find SIP Trunks on CUCM for CVP

    1. 点击  CVP-SIP-Trunk 打开CVP中继配置页面。
    2. 在  Device Information 部分,检查  SRTP Allowed 复选框以启用SRTP。

    Enable SRTP on SIP Trunk Configuration for CVP

    1. 向下滚动到  SIP Information 部分,更改  Destination Port 到  5061.
    2. Change(更改)  SIP Trunk Security Profile 到  SecureSIPTLSForCvp.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. 点击  Save  然后  Rest 到 save 并应用更改。

    Save Configuration Info Message

    安全代理与CUCM的设备通信

    要启用设备的安全功能,必须安装本地重要证书(LSC)并将安全配置文件分配给该设备。LSC拥有终端的公钥,该公钥由CUCM CAPF私钥签名。默认情况下,它不会安装在电话上。


    步骤:

    1. 登录到  Cisco Unified Serviceability 接口.
    2. 导航至  Tools > Service Activation.

    CUCM Service Activation

    1. 选择CUCM服务器并单击  Go.

    Select Server

    1. 检查  Cisco Certificate Authority Proxy Function 并点击  Save  激活服务。点击  Ok 确认。

    Activate Cisco Certificate Authority Proxy Function Service

    1. 确保服务已激活,然后导航至CUCM管理。

    CUCM Administration

    1. 成功登录CUCM管理后,导航至  System > Security > Phone Security Profile 为代理设备创建设备安全配置文件。

    Phone Security Profile

    1. 查找与您的座席设备类型对应的安全配置文件。在本示例中,使用软件电话,因此选择  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile点击复制图标Copy Icon 以便复制此配置文件。

    Copy Existing Phone Security Profile

    1. 将配置文件重命名为  Cisco Unified Client Services Framework - Secure Profile.  C更改此图像中的参数,然后单击  Save  在页面左上角。

    Add a New Phone Security Profile

    1. 成功创建电话设备配置文件后,导航至  Device > Phone.

    Phone Configuration

    1. 点击  Find 要列出所有可用电话,请点击“座席电话”。
    2. 座席电话配置页面打开。查找  Certification Authority Proxy Function (CAPF) Information 部分。要安装LSC,请设置  Certificate Operation 到  Install/Upgrade 和  Operation Completes by 到任何未来日期。

    Setting CAPF Parameters

    1. 查找  Protocol Specific Information 部分并更改  Device Security Profile 到  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. 点击  Save 在页面左上角。确保更改已成功保存,然后单击  Reset.

    Save Configuration

    1. 系统将打开一个弹出窗口,单击  Reset  确认操作。

    Phone Reset

    1. 代理设备再次向CUCM注册后,刷新当前页面并验证LSC是否安装成功。检查  Certification Authority Proxy Function (CAPF) Information 部分,  Certificate Operation 必须设置为  No Pending Operation 和  Certificate Operation Status 设置为  Upgrade Success.

    CAPF Information is Updated

    1. 请参阅第步中的相同步骤。7 - 13,用于保护您想通过CUCM使用安全SIP和RTP的其他代理的设备。

    验证

    要验证RTP是否受到适当保护,请执行以下步骤:

    1. 向联系中心发出测试呼叫,并监听IVR提示。
    2. 同时,打开到vCUBE的SSH会话,并运行以下命令:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    提示:检查SRTP是否 on 在CUBE和VVB之间(198.18.133.143)。如果是,这可以确认CUBE和VVB之间的RTP流量是安全的。

    1. 让座席可以应答呼叫。
      .Make Agent Ready on Finesse Agent Desktop
    2. 座席将被保留,呼叫将被路由至座席。应答呼叫。
    3. 呼叫连接到座席。返回vCUBE SSH会话,并运行以下命令:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    提示:检查SRTP是否 on 在CUBE和座席的电话(198.18.133.75)之间。如果是,这可以确认CUBE和代理之间的RTP流量是安全的。

    1. 此外,一旦呼叫连接,座席设备上会显示安全锁.这还证实RTP流量是安全的。

    Secure Lock Appears, Confirm SRTP is Established

    要验证SIP信号是否正确安全,请参阅配置安全SIP信令文章。

    修订历史记录

    版本 发布日期 备注
    1.0
    21-Dec-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • Mohamed Mohasseb
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品