المقدمة
يوضح هذا المستند كيفية تأمين حركة مرور بيانات بروتوكول نقل الوقت الفعلي (SRTP) في تدفق المكالمات الشامل لمركز الاتصال (CCE).
المتطلبات الأساسية
وخارج نطاق إنشاء الشهادات واستيرادها من هذا المستند، لذلك يجب إنشاء الشهادات الخاصة ب Cisco Unified Communications Manager (CUCM) و Customer Voice Portal (CVP) Call Server و Cisco Virtual Voice Browser (CVB) و Cisco Unified Border Element (CUBE) واستيرادها إلى المكونات المعنية. إذا كنت تستخدم شهادات موقعة ذاتيا، فإن تبادل الشهادات يجب أن يتم بين مكونات مختلفة.
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدار 12.6 من Package Contact Center Enterprise (PCCE) و CVP و CVB و CVB، ولكنها تنطبق أيضا على الإصدارات السابقة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
ملاحظة: في تدفق المكالمات الشامل بمركز الاتصال، لتمكين بروتوكول RTP الآمن، يجب تمكين إشارات SIP الآمنة. لذلك، تتيح التكوينات الواردة في هذا المستند كلا من SIP الآمن و SRTP.
يوضح المخطط التالي المكونات المستخدمة في إشارات SIP و RTP في تدفق المكالمات الشامل لمركز الاتصال. عندما تأتي مكالمة صوتية إلى النظام، فإنها تأتي أولا من خلال بوابة الدخول أو المكعب، لذلك قم بتشغيل التكوينات على المكعب. بعد ذلك، قم بتكوين CVP و CVB و CUCM.
المهمة 1: التكوين الآمن للمكعب
في هذه المهمة، تقوم بتكوين CUBE لتأمين رسائل بروتوكول SIP و RTP.
التكوينات المطلوبة:
- تكوين TrustPoint افتراضي ل SIP UA
- تعديل نظائر الطلب لاستخدام TLS و SRTP
الخطوات:
- افتح جلسة SSH إلى المكعب.
- قم بتشغيل هذه الأوامر لجعل مكدس SIP يستخدم شهادة CA الخاصة بالمكعب. ينشئ المكعب اتصال SIP TLS من/إلى CUCM (198.18.133.3) و CVP (198.18.133.13):
Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
- قم بتشغيل هذه الأوامر لتمكين TLS على نظير الطلب الصادر إلى CVP. في هذا المثال، يتم إستخدام علامة نظير الطلب 6000 لتوجيه المكالمات إلى CVP:
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit
المهمة 2: التكوين الآمن ل CVP
في هذه المهمة، قم بتكوين خادم مكالمات CVP لتأمين رسائل بروتوكول SIP (SIP TLS).
الخطوات:
- تسجيل الدخول إلى
UCCE Web Administration
.
- انتقل إلى
Call Settings > Route Settings > SIP Server Group
.
استنادا إلى التكوينات الخاصة بك، لديك مجموعات خوادم SIP تم تكوينها ل CUCM و CVB و CUBE. أنت تحتاج أن يثبت يأمن SIP ميناء إلى 5061 لكل منهم. في هذا المثال، يتم إستخدام مجموعات خوادم SIP التالية:
cucm1.dcloud.cisco.com
ل CUCM
vvb1.dcloud.cisco.com
ل CVB
cube1.dcloud.cisco.com
ل CUBE
- انقر
cucm1.dcloud.cisco.com
، ثم في Members
علامة التبويب التي تظهر تفاصيل تكوينات مجموعة خوادم SIP. مجموعة SecurePort
إلى 5061
وانقر فوق
Save
.
- انقر
vvb1.dcloud.cisco.com
ومن ثم في Members
علامة التبويب، تعيين SecurePort
إلى 5061
وانقر فوق Save
.
المهمة 3: التكوين الآمن ل CVB
في هذه المهمة، قم بتكوين CVB لتأمين رسائل بروتوكول SIP (SIP TLS) و SRTP.
الخطوات:
- فتح
Cisco VVB Admin
صفحة.
- انتقل إلى
System > System Parameters
.
- على
Security Parameters
مقطع، إختيار Enable
من أجل TLS (SIP)
. حافظ على Supported TLS(SIP) version as TLSv1.2
وتختار Enable
من أجل SRTP
.
- انقر
Update
. انقر Ok
عند المطالبة بإعادة تشغيل محرك CVB.
- تتطلب هذه التغييرات إعادة تشغيل محرك Cisco VVB. لإعادة تشغيل محرك VB، انتقل إلى
Cisco VVB Serviceability
، ثم انقر Go
.
- انتقل إلى
Tools > Control Center – Network Services
.
- نختار
Engine
وانقر فوق Restart
.
المهمة 4: التكوين الآمن ل CUCM
لتأمين رسائل SIP و RTP على CUCM، قم بإجراء التكوينات التالية:
- تعيين وضع أمان CUCM على الوضع المختلط
- تكوين ملفات تعريف أمان خط اتصال SIP ل CUBE و CVP
- إقران ملفات تعريف أمان خط اتصال SIP بشبكات SIP الخاصة وتمكين SRTP
- اتصال جهاز "الوكلاء الأمنين" ب CUCM
تعيين وضع أمان CUCM على الوضع المختلط
يدعم CUCM وضعي أمان:
- الوضع غير الآمن (الوضع الافتراضي)
- الوضع المختلط (الوضع الآمن)
الخطوات:
- سجل الدخول إلى واجهة إدارة CUCM.
- عندما تقوم بتسجيل الدخول إلى CUCM، يمكنك الانتقال إلى
System > Enterprise Parameters
.
- تحت
Security Parameters
المقطع، تحقق مما إذا كان Cluster Security Mode
تم تعيينه على 0
.
- إذا تم تعيين "وضع أمان نظام المجموعة" على 0، فهذا يعني تعيين وضع أمان نظام المجموعة على وضع غير آمن. تحتاج إلى تمكين الوضع المختلط من CLI.
- افتح جلسة SSH إلى CUCM.
- عند تسجيل الدخول الناجح إلى CUCM عبر SSH، قم بتشغيل هذا الأمر:
الوضع المختلط لنظام المجموعة CTL
- النوع
y
وانقر فوق Enter
عندما يطلب منك. يقوم هذا الأمر بتعيين وضع أمان نظام المجموعة إلى الوضع المختلط.
- لكي تصبح التغييرات نافذة المفعول، قم بإعادة تشغيل
Cisco CallManager
و Cisco CTIManager
الخدمات.
- لإعادة تشغيل الخدمات، قم بالتنقل وتسجيل الدخول إلى
Cisco Unified Serviceability
.
- بعد تسجيل الدخول الناجح، انتقل إلى
Tools > Control Center – Feature Services
.
- أختر الخادم ثم انقر فوق
Go
.
- تحت خدمات CM، أختر
Cisco CallManager
، ثم انقر Restart
زر أعلى الصفحة.
- تأكيد الرسالة المنبثقة والنقر
OK
. انتظر حتى يتم إعادة تشغيل الخدمة بنجاح.
- بعد إعادة التشغيل الناجحة
Cisco CallManager
، اختار Cisco CTIManager
ثم انقر Restart
زر إعادة التشغيل Cisco CTIManager
الخدمه.
- تأكيد الرسالة المنبثقة والنقر
OK
. انتظر حتى يتم إعادة تشغيل الخدمة بنجاح.
- بعد إعادة تشغيل الخدمات الناجحة، للتحقق من تعيين وضع أمان نظام المجموعة على الوضع المختلط، انتقل إلى إدارة CUCM كما هو موضح في الخطوة 5. ثم تحقق من
Cluster Security Mode
. والآن يجب تعيينها على 1
.
تكوين ملفات تعريف أمان خط اتصال SIP ل CUBE و CVP
الخطوات:
- سجل الدخول إلى واجهة إدارة CUCM.
- بعد تسجيل الدخول الناجح إلى CUCM، انتقل إلى
System > Security > SIP Trunk Security Profile
لإنشاء ملف تعريف أمان للجهاز ل CUBE.
- في أعلى اليسار، انقر على إضافة جديد لإضافة ملف تخصيص جديد.
- التكوين
SIP Trunk Security Profile
على أنها هذه الصورة ثم انقر Save
في أسفل يسار الصفحة.
5. تأكد من تعيين Secure Certificate Subject or Subject Alternate Name
إلى الاسم الشائع (CN) لشهادة CUBE كما يجب أن تتطابق.
6. انقر فوق Copy
زر وتغيير Name
إلى SecureSipTLSforCVP
. تغيير Secure Certificate Subject
إلى CN الخاص بشهادة خادم الاتصال ب CVP كما يجب أن تطابق. انقر Save
زر.
إقران ملفات تعريف أمان خط اتصال SIP بشبكات SIP ذات الصلة وتمكين SRTP
الخطوات:
- في صفحة إدارة CUCM، انتقل إلى
Device > Trunk
.
- البحث عن خط اتصال المكعب. في هذا المثال، اسم خط اتصال المكعب هو
vCube
، ثم انقر Find
.
- انقر
vCUBE
لفتح صفحة تكوين خط اتصال vCUBE.
- في
Device Information
المقطع، تحقق من SRTP Allowed
خانة الاختيار لتمكين SRTP.
- تمرير لأسفل إلى
SIP Information
قسم، وتغيير Destination Port
إلى 5061
.
- تغيير
SIP Trunk Security Profile
إلى SecureSIPTLSForCube
.
- انقر
Save
ثم Rest
إلى save
وتطبيق التغييرات.
- انتقل إلى
Device > Trunk
، للبحث عن خط اتصال CVP، في هذا المثال، اسم خط اتصال CVP هو cvp-SIP-Trunk
. انقر Find
.
- انقر
CVP-SIP-Trunk
لفتح صفحة تكوين خط اتصال CVP.
- في
Device Information
مقطع، تحقق SRTP Allowed
خانة الاختيار لتمكين SRTP.
- تمرير لأسفل إلى
SIP Information
القسم، قم بتغيير Destination Port
إلى 5061
.
- تغيير
SIP Trunk Security Profile
إلى SecureSIPTLSForCvp
.
- انقر
Save
ثم Rest
إلى save
وتطبيق التغييرات.
اتصال جهاز "الوكلاء الأمنين" ب CUCM
لتمكين ميزات الأمان للجهاز، يجب عليك تثبيت شهادة ذات أهمية محلية (LSC) وتعيين ملف تعريف الأمان لذلك الجهاز. يحتوي LSC على المفتاح العام لنقطة النهاية، والذي تم التوقيع عليه من قبل المفتاح الخاص CUCM CAPF. وهو غير مثبت على الهواتف بشكل افتراضي.
الخطوات:
- تسجيل الدخول إلى
Cisco Unified Serviceability
الواجهة.
- انتقل إلى
Tools > Service Activation
.
- أختر خادم CUCM وانقر
Go
.
- فحص
Cisco Certificate Authority Proxy Function
وانقر فوق Save
لتنشيط الخدمة. انقر Ok
للتأكيد.
- تأكد من تنشيط الخدمة ثم انتقل إلى إدارة CUCM.
- بعد تسجيل الدخول الناجح إلى إدارة CUCM، انتقل إلى
System > Security > Phone Security Profile
لإنشاء ملف تعريف أمان للجهاز الوكيل.
- ابحث عن ملف تعريف الأمان الخاص بنوع جهاز الوكيل الخاص بك. في هذا المثال، يتم إستخدام هاتف ناعم، لذا أختر
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. انقر أيقونة نسخ لنسخ ملف التعريف هذا.
- إعادة تسمية ملف التعريف إلى
Cisco Unified Client Services Framework - Secure Profile
. Cقم بتغيير المعاملات كما في هذه الصورة ثم انقر فوق Save
في أعلى يسار الصفحة.
- بعد الإنشاء الناجح لملف تعريف جهاز الهاتف، انتقل إلى
Device > Phone
.
- انقر
Find
لسرد جميع الهواتف المتوفرة، انقر فوق هاتف الوكيل.
- يتم فتح صفحة تكوين هاتف الوكيل. بحث
Certification Authority Proxy Function (CAPF) Information
قسم. لتثبيت LSC، قم بتعيين Certificate Operation
إلى Install/Upgrade
و Operation Completes by
إلى أي تاريخ في المستقبل.
- بحث
Protocol Specific Information
القسم وتغيير Device Security Profile
إلى Cisco Unified Client Services Framework – Secure Profile
.
- انقر
Save
في أعلى يسار الصفحة. تأكد من حفظ التغييرات بنجاح، ثم انقر فوق Reset
.
- تفتح نافذة منبثقة، انقر
Reset
لتأكيد الإجراء.
- بعد تسجيل جهاز الوكيل مرة أخرى باستخدام CUCM، قم بتحديث الصفحة الحالية وتحقق من تثبيت LSC بنجاح. فحص
Certification Authority Proxy Function (CAPF) Information
قسم، Certificate Operation
يجب تعيينها إلى No Pending Operation
و Certificate Operation Status
تم تعيينه على Upgrade Success
.
- ارجع إلى الخطوات نفسها من الخطوة. 7 - 13 لتأمين أجهزة العملاء الآخرين التي تريد إستخدام SIP الآمن و RTP مع CUCM.
التحقق من الصحة
للتحقق من صحة RTP مؤمن بشكل صحيح، قم بتنفيذ الخطوات التالية:
- قم بإجراء مكالمة إختبار لمركز الاتصال، واستمع إلى مطالبة IVR.
- في نفس الوقت، افتح جلسة SSH إلى vCUBE، وقم بتشغيل الأمر التالي:
show call active voice brief
تلميح: تحقق مما إذا كان SRTP on
بين المكعب و VVB (198.18.133.143). إذا كانت نعم، فهذا يؤكد أن حركة مرور RTP آمنة بين المكعب و VVB.
- أجعل وكيلا متوفرا للرد على المكالمة.
.
- يتم حجز العميل ويتم توجيه المكالمة إلى العميل. أجب على المكالمة.
- يتم الاتصال بالوكيل. ارجع إلى جلسة SSH الخاصة بالمكعب vCUBE، ثم قم بتشغيل الأمر التالي:
show call active voice brief
تلميح: تحقق مما إذا كان SRTP on
بين CUBE وهواتف العملاء (198.18.133.75). إذا كانت نعم، فهذا يؤكد أن حركة مرور RTP آمنة بين المكعب والوكيل.
- أيضا، بمجرد اتصال المكالمة، يتم عرض قفل أمان على جهاز الوكيل. هذا أيضا يؤكد ال RTP حركة مرور يكون أمن.
للتحقق من تأمين إشارات SIP بشكل صحيح، ارجع إلى تكوين مقالة إرسال إشارات SIP الآمنة.