Configuración de la señalización SIP segura en Contact Center Enterprise

Opciones de descarga

  • PDF     (1.7 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.6 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de noviembre de 2022
ID del documento:218434

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describe cómo proteger la señalización del protocolo de inicio de sesión (SIP) en el flujo de llamadas completo de Contact Center Enterprise (CCE).

    Prerequisites

    La generación y la importación de certificados no están incluidas en el ámbito de este documento, por lo que se deben crear e importar certificados para Cisco Unified Communication Manager (CUCM), el servidor de llamadas de Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVVB) y Cisco Unified Border Element (CUBE) en los componentes respectivos. Si utiliza certificados autofirmados, el intercambio de certificados debe realizarse entre los diferentes componentes.

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • CCE
    • CVP
    • CUBO
    • CUCM
    • CVVB

    Componentes Utilizados

    La información de este documento se basa en Package Contact Center Enterprise (PCCE), CVP, CVB y CUCM versión 12.6, pero también es aplicable a las versiones anteriores.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    El siguiente diagrama muestra los componentes implicados en la señalización SIP en el flujo de llamadas completo del centro de contacto. Cuando el sistema recibe una llamada de voz, primero se realiza a través del gateway de entrada o CUBE, así que inicie configuraciones SIP seguras en CUBE. A continuación, configure CVP, CVB y CUCM.

    Inbound SIP Call Flow

    Tarea 1. Configuración segura de CUBE

    En esta tarea, configure CUBE para proteger los mensajes del protocolo SIP.

    Configuraciones necesarias:

    • Configuración de un punto de confianza predeterminado para el agente de usuario SIP (UA)
    • Modificar los pares de marcado para utilizar la seguridad de la capa de transporte (TLS)

    Pasos:

    1. Abra una sesión de Secure Shell (SSH) en CUBE.
    2. Ejecute estos comandos para que la pila SIP utilice el certificado de la autoridad certificadora (CA) del CUBE. CUBE establece una conexión SIP TLS desde/hacia CUCM (198.18.133.3) y CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Ejecute estos comandos para habilitar TLS en el par de marcado saliente para CVP. En este ejemplo, la etiqueta dial-peer 6000 se utiliza para rutear llamadas a CVP.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    Tarea 2. Configuración segura de CVP

    En esta tarea, configure el servidor de llamadas CVP para proteger los mensajes del protocolo SIP (SIP TLS).

    Pasos:

    1. Inicie sesión enUCCE Web Administration.
    2. Desplácese hasta  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    Según sus configuraciones, tiene grupos de servidores SIP configurados para CUCM, CVB y CUBE. Debe establecer los puertos SIP seguros en 5061 para todos ellos. En este ejemplo, se utilizan estos grupos de servidores SIP:

    • cucm1.dcloud.cisco.com para CUCM
    • vvb1.dcloud.cisco.com para CVVB
    • cube1.dcloud.cisco.com  para CUBE
    1. Haga clic en  cucm1.dcloud.cisco.com  y luego en el  Members  , que muestra los detalles de la configuración del grupo de servidores SIP. Set SecurePort a 5061 y haga clic en  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. Haga clic en vvb1.dcloud.cisco.com y luego en el  Members  ficha. Establezca SecurePort en 5061 y haga clic en  Save.

    Setting Secure SIP Port for VVB Server Group

    Tarea 3. Configuración segura de CVB

    En esta tarea, configure CVB para proteger los mensajes del protocolo SIP (SIP TLS).

    Pasos:

    1. Inicie sesión en  Cisco VVB Administration  página.
    2. Desplácese hasta  System > System Parameters.

    VVB System Parameters

    1. En el  Security Parameters  sección, elija  Enable  para TLS(SIP) . Mantener  Supported TLS(SIP) version  como  TLSv1.2.

    VVB Security Parameters

    1. Haga clic en Update (Actualizar). Haga clic en Ok cuando se le solicite reiniciar el motor CVB.

    Update Security Parameters

    1. Estos cambios requieren que se reinicie el motor Cisco VB. Para reiniciar el motor VB, navegue hasta Cisco VVB Serviceability haga clic en  Go.

    Cisco VVB Serviceability

    1. Desplácese hasta  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Elegir Engine y haga clic en  Restart.

    Control Center - Network Services

    Tarea 4. Configuración segura de CUCM

    Para proteger los mensajes SIP en CUCM, realice las siguientes configuraciones:

    • Establecer el modo de seguridad de CUCM en modo mixto
    • Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP
    • Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas
    • Comunicación de dispositivos de agentes seguros con CUCM

    Establecer el modo de seguridad de CUCM en modo mixto

    CUCM admite dos modos de seguridad:

    • Modo no seguro (modo predeterminado)
    • Modo mixto (modo seguro)

    Pasos:

    1. Para establecer el modo de seguridad en Mixed Mode, inicie sesión en  Cisco Unified CM Administration  interfaz.

    CUCM Administration Interface

    1. Después de iniciar sesión correctamente en CUCM, vaya a  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Debajo del Security Parameters Sección, comprobar si  Cluster Security Mode se establece en  0.

    CUCM Security Parameters

    1. Si el modo de seguridad de clúster se establece en 0, significa que el modo de seguridad de clúster se establece en no seguro. Debe habilitar el modo mixto desde CLI.
    2. Abra una sesión SSH en CUCM.
    3. Después de haber iniciado sesión correctamente en CUCM a través de SSH, ejecute este comando: utils ctl set-cluster mixed-mode
    1. Tipo y y haga clic en Intro cuando se le solicite. Este comando establece el modo de seguridad del clúster en modo mixto.

    CUCM SSH Console

    1. Para que los cambios surtan efecto, reinicie  Cisco CallManager  y  Cisco CTIManager  servicios.
    2. Para reiniciar los servicios, navegue e inicie sesión en Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Después de iniciar sesión correctamente, vaya a  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Elija el servidor y haga clic en  Go.

    Select Server

    1. Debajo de los servicios CM, seleccione Cisco CallManager  haga clic en  Restart  en la parte superior de la página.

    Restarting Cisco Call Manager Services

    1. Confirme el mensaje emergente y haga clic en  OK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Tras un reinicio correcto de  Cisco CallManager, elija Cisco  CTIManager  haga clic en Restart botón para reiniciar  Cisco CTIManager  servicio.

    Restarting Cisco CTI Manager Service

    1. Confirme el mensaje emergente y haga clic en  OK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después de que los servicios se reinicien correctamente, verifique que el modo de seguridad del clúster esté configurado en modo mixto, navegue hasta la administración de CUCM como se explicó en el paso 5. luego, verifique el  Cluster Security Mode. Ahora debe configurarse en  1.

    Cluster Security Mode is to the Value of '1'

    Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP

    Pasos:

    1. Inicie sesión en  CUCM administration  interfaz.
    2. Después de iniciar sesión correctamente en CUCM, vaya a System > Security > SIP Trunk Security Profile  para crear un perfil de seguridad de dispositivo para CUBE.

    CUCM SIP Trunk Security Profile

    1. En la parte superior izquierda, haga clic en  Add New  para agregar un nuevo perfil.

    Add New CUCM SIP Trunk Security Profile

    1. Configurar SIP Trunk Security Profile como se muestra en esta imagen, haga clic en  Save  en la parte inferior izquierda de la página para  Save  de ti.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Asegúrese de establecer el  Secure Certificate Subject or Subject Alternate Name  al nombre común (CN) del certificado de CUBE, ya que debe coincidir.

    6. Haga clic  Copy  y cambiar el Name a  SecureSipTLSforCVP y el Secure Certificate Subject al CN del certificado del servidor de llamadas CVP, ya que debe coincidir. Haga clic en Save botón.

    Add CUCM SIP Trunk Security Profile for CVP

    Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas

    Pasos:

    1. En la página Administración de CUCM, desplácese hasta  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Busque el troncal CUBE. En este ejemplo, el nombre de troncal de CUBE es  vCube . Haga clic en  Find.

    Find SIP Trunks on CUCM for CUBE

    1. Haga clic en vCUBE para abrir la página de configuración del troncal de vCUBE.
    2. Desplácese hasta SIP Information y cambiar la sección  Destination Port  5061.
    3. Cambiar SIP Trunk Security Profile a  SecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. Haga clic en Save luego Rest con el fin de  Save y aplicar cambios.

    Save Configuration


    Info Message

    1. Desplácese hasta  Device > Trunky busque el troncal CVP. En este ejemplo, el nombre del troncal de CVP es  cvp-SIP-Trunk . Haga clic en  Find.

    CUCM Trunk Configuration for CVP

    1. Haga clic en CVP-SIP-Trunk para abrir la página de configuración del trunk de CVP.
    2. Desplácese hasta SIP Information sección y cambiar  Destination Port  a  5061 .
    3. Cambiar  SIP Trunk Security Profile  SecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. Haga clic en  Save luego Rest con el fin de save y aplicar cambios.

    SIP Trunk Configuration for CVP

    Save Configuration

    Comunicación de dispositivos de agentes seguros con CUCM

    Para habilitar las funciones de seguridad para un dispositivo, debe instalar un certificado de importancia local (LSC) y asignar un perfil de seguridad a ese dispositivo. El LSC posee la clave pública para el terminal, que está firmada por la clave privada de la función proxy de autoridad certificadora (CAPF). No está instalado en los teléfonos de forma predeterminada.

    Pasos:

    1. Inicie sesión en Cisco Unified Serviceability Interface.
    2. Desplácese hasta  Tools > Service Activation.

    Info Message

    1. Elija el servidor de CUCM y haga clic en  Go .

    CUCM Service Activation

    1. Cheque Cisco Certificate Authority Proxy Function y haga clic en  Save para activar el servicio. Haga clic en Ok para confirmar.

    Select Server

    1. Asegúrese de que el servicio está activado y, a continuación, navegue hasta  Cisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Después de iniciar sesión correctamente en la administración de CUCM, vaya a  System > Security > Phone Security Profile  para crear un perfil de seguridad de dispositivo para el dispositivo del agente.

    CUCM Administration

    1. Busque los perfiles de seguridad correspondientes al tipo de dispositivo del agente. En este ejemplo, se utiliza un teléfono basado en software, así que elija  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile . Haga clic en CopyPhone Security Profile para copiar este perfil.

    Copy Existing Phone Security Profile

    1. Cambie el nombre del perfil a  Cisco Unified Client Services Framework - Secure Profile, cambie los parámetros como se muestra en esta imagen y haga clic en  Save en la parte superior izquierda de la página.

    Add New Phone Security Profile

    1. Después de crear correctamente el perfil de dispositivo de teléfono, vaya a  Device > Phone.

    Phone Configuration

    1. Haga clic en Find para enumerar todos los teléfonos disponibles, haga clic en teléfono del agente.
    2. Se abre la página Configuración del teléfono del agente. Buscar Certification Authority Proxy Function (CAPF) Information sección. Para instalar LSC, configure Certificate Operation a Install/Upgrade y Operation Completes by en cualquier fecha futura.

    Setting CAPF Parameters

    1. Buscar Protocol Specific Information sección. Cambiar Device Security Profile a  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Haga clic en  Save en la parte superior izquierda de la página. Asegúrese de que los cambios se han guardado correctamente y haga clic en  Reset.

    Save Configuration

    1. Se abre una ventana emergente, haga clic en  Reset  para confirmar la acción.

    Phone Reset

    1. Una vez que el dispositivo agente se registre de nuevo en CUCM, actualice la página actual y verifique que el LSC se haya instalado correctamente. Cheque Certification Authority Proxy Function (CAPF) Information sección, Certificate Operation se debe establecer en  No Pending Operation,y Certificate Operation Status se establece en  Upgrade Success .

    CAPF Information is Updated

    1. Consulte Pasos. 7-13 para proteger otros dispositivos de agentes que desee utilizar para proteger SIP con CUCM.

    Verificación

    Para validar que la señalización SIP está asegurada correctamente, siga estos pasos:

    1. Abra la sesión SSH en vCUBE, ejecute el comando show sip-ua connections tcp tls detail , y confirme que no hay ninguna conexión TLS establecida actualmente con CVP (198.18.133.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    Nota: En este momento, solo se ha activado una sesión TLS activa con CUCM para las opciones SIP en CUCM (198.18.133.3). Si no están activadas las opciones SIP, no existe ninguna conexión SIP TLS.

    1. Inicie sesión en CVP e inicie Wireshark.
    2. Realice una llamada de prueba al número del centro de contacto.
    3. Navegue hasta la sesión de CVP; en Wireshark, ejecute este filtro para verificar la señalización SIP con CUBE:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    Verifique: ¿Está establecida la conexión SIP sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUBE son seguras.

    5. Compruebe la conexión SIP TLS entre CVP y CVB. En la misma sesión de Wireshark, ejecute este filtro:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    Verifique: ¿Está establecida la conexión SIP sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CVB están aseguradas.

    6. También puede verificar la conexión SIP TLS con CVP desde CUBE. Navegue hasta la sesión SSH de vCUBE y ejecute este comando para verificar las señales SIP seguras:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    Compruebe: ¿Está establecida la conexión SIP sobre TLS con CVP? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUBE son seguras.

    7. En este momento, la llamada está activa y se oye Música en espera (MOH), ya que no hay ningún agente disponible para contestar la llamada.

    8. Haga que el agente esté disponible para contestar la llamada.

    .Make Agent Ready on Finesse Agent Desktop

    9. El agente se reserva y la llamada se dirige a él. Haga clic en Answer para contestar la llamada.

    Answer Incoming Call on Finesse Desktop


    10. La llamada se conecta con el agente.

    11. Para verificar las señales SIP entre CVP y CUCM, navegue hasta la sesión de CVP y ejecute este filtro en Wireshark:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    Comprobar: ¿todas las comunicaciones SIP con CUCM (198.18.133.3) sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUCM son seguras.

    Troubleshoot

    Si no se establece TLS, ejecute estos comandos en CUBE para habilitar debug TLS para resolver problemas:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    23-Nov-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mohamed Mohasseb
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos