El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
En este documento se describe cómo proteger la señalización del protocolo de inicio de sesión (SIP) en el flujo de llamadas completo de Contact Center Enterprise (CCE).
La generación y la importación de certificados no están incluidas en el ámbito de este documento, por lo que se deben crear e importar certificados para Cisco Unified Communication Manager (CUCM), el servidor de llamadas de Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVVB) y Cisco Unified Border Element (CUBE) en los componentes respectivos. Si utiliza certificados autofirmados, el intercambio de certificados debe realizarse entre los diferentes componentes.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información de este documento se basa en Package Contact Center Enterprise (PCCE), CVP, CVB y CUCM versión 12.6, pero también es aplicable a las versiones anteriores.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El siguiente diagrama muestra los componentes implicados en la señalización SIP en el flujo de llamadas completo del centro de contacto. Cuando el sistema recibe una llamada de voz, primero se realiza a través del gateway de entrada o CUBE, así que inicie configuraciones SIP seguras en CUBE. A continuación, configure CVP, CVB y CUCM.
En esta tarea, configure CUBE para proteger los mensajes del protocolo SIP.
Configuraciones necesarias:
Pasos:
conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit
En esta tarea, configure el servidor de llamadas CVP para proteger los mensajes del protocolo SIP (SIP TLS).
Pasos:
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
Según sus configuraciones, tiene grupos de servidores SIP configurados para CUCM, CVB y CUBE. Debe establecer los puertos SIP seguros en 5061 para todos ellos. En este ejemplo, se utilizan estos grupos de servidores SIP:
cucm1.dcloud.cisco.com
para CUCMvvb1.dcloud.cisco.com
para CVVBcube1.dcloud.cisco.com
para CUBEcucm1.dcloud.cisco.com
y luego en el Members
, que muestra los detalles de la configuración del grupo de servidores SIP. Set SecurePort
a 5061
y haga clic en Save
.
vvb1.dcloud.cisco.com
y luego en el Members
ficha. Establezca SecurePort en 5061
y haga clic en Save
.
En esta tarea, configure CVB para proteger los mensajes del protocolo SIP (SIP TLS).
Pasos:
Cisco VVB Administration
página.System > System Parameters
.
Security Parameters
sección, elija Enable
para TLS(SIP)
. Mantener Supported TLS(SIP) version
como TLSv1.2
.
Ok
cuando se le solicite reiniciar el motor CVB.Cisco VVB Serviceability
haga clic en Go
.
Tools > Control Center – Network Services
.
Engine
y haga clic en Restart
.
Para proteger los mensajes SIP en CUCM, realice las siguientes configuraciones:
CUCM admite dos modos de seguridad:
Pasos:
Cisco Unified CM Administration
interfaz.
System > Enterprise Parameters
.
Security Parameters
Sección, comprobar si Cluster Security Mode
se establece en 0
.utils ctl set-cluster mixed-mode
y
y haga clic en Intro cuando se le solicite. Este comando establece el modo de seguridad del clúster en modo mixto.Cisco CallManager
y Cisco CTIManager
servicios.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.
Go
.Cisco CallManager
haga clic en Restart
en la parte superior de la página.
OK
. Espere a que el servicio se reinicie correctamente.
Cisco CallManager
, elija Cisco CTIManager
haga clic en Restart
botón para reiniciar Cisco CTIManager
servicio.
OK
. Espere a que el servicio se reinicie correctamente.
Cluster Security Mode
. Ahora debe configurarse en 1
.
Pasos:
CUCM administration
interfaz.System > Security > SIP Trunk Security Profile
para crear un perfil de seguridad de dispositivo para CUBE.
Add New
para agregar un nuevo perfil.SIP Trunk Security Profile
como se muestra en esta imagen, haga clic en Save
en la parte inferior izquierda de la página para Save
de ti.
5. Asegúrese de establecer el Secure Certificate Subject or Subject Alternate Name
al nombre común (CN) del certificado de CUBE, ya que debe coincidir.
6. Haga clic Copy
y cambiar el Name
a SecureSipTLSforCVP
y el Secure Certificate Subject
al CN del certificado del servidor de llamadas CVP, ya que debe coincidir. Haga clic en
botón.Save
Pasos:
Device > Trunk
.
vCube
. Haga clic en Find
.
SIP Information
y cambiar la sección Destination Port
a 5061
.SIP Trunk Security Profile
a SecureSIPTLSForCube
.
Save
luego Rest
con el fin de Save
y aplicar cambios.
Device > Trunk
y busque el troncal CVP. En este ejemplo, el nombre del troncal de CVP es cvp-SIP-Trunk
. Haga clic en Find
.
CVP-SIP-Trunk
para abrir la página de configuración del trunk de CVP.SIP Information
sección y cambiar Destination Port
a 5061
.SIP Trunk Security Profile
a SecureSIPTLSForCvp
.
Save
luego Rest
con el fin de save
y aplicar cambios.
Para habilitar las funciones de seguridad para un dispositivo, debe instalar un certificado de importancia local (LSC) y asignar un perfil de seguridad a ese dispositivo. El LSC posee la clave pública para el terminal, que está firmada por la clave privada de la función proxy de autoridad certificadora (CAPF). No está instalado en los teléfonos de forma predeterminada.
Pasos:
Cisco Unified Serviceability Interface
.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
y haga clic en Save
para activar el servicio. Haga clic en Ok
para confirmar.
Cisco Unified CM Administration
.
System > Security > Phone Security Profile
para crear un perfil de seguridad de dispositivo para el dispositivo del agente.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Haga clic en Copy
para copiar este perfil.
Cisco Unified Client Services Framework - Secure Profile
, cambie los parámetros como se muestra en esta imagen y haga clic en Save
en la parte superior izquierda de la página.
Device > Phone
.
Find
para enumerar todos los teléfonos disponibles, haga clic en teléfono del agente.Certification Authority Proxy Function (CAPF) Information
sección. Para instalar LSC, configure Certificate Operation
a Install/Upgrade
y Operation Completes by
en cualquier fecha futura.
Protocol Specific Information
sección. Cambiar Device Security Profile
a Cisco Unified Client Services Framework – Secure Profile
.
Save
en la parte superior izquierda de la página. Asegúrese de que los cambios se han guardado correctamente y haga clic en Reset
.
Reset
para confirmar la acción.
Certification Authority Proxy Function (CAPF) Information
sección, Certificate Operation
se debe establecer en No Pending Operation
,y Certificate Operation Status
se establece en Upgrade Success
.
Para validar que la señalización SIP está asegurada correctamente, siga estos pasos:
show sip-ua connections tcp tls detail
, y confirme que no hay ninguna conexión TLS establecida actualmente con CVP (198.18.133.13).Nota: En este momento, solo se ha activado una sesión TLS activa con CUCM para las opciones SIP en CUCM (198.18.133.3). Si no están activadas las opciones SIP, no existe ninguna conexión SIP TLS.
ip.addr == 198.18.133.226 && tls && tcp.port==5061
Verifique: ¿Está establecida la conexión SIP sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUBE son seguras.
5. Compruebe la conexión SIP TLS entre CVP y CVB. En la misma sesión de Wireshark, ejecute este filtro:
ip.addr == 198.18.133.143 && tls && tcp.port==5061
Verifique: ¿Está establecida la conexión SIP sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CVB están aseguradas.
6. También puede verificar la conexión SIP TLS con CVP desde CUBE. Navegue hasta la sesión SSH de vCUBE y ejecute este comando para verificar las señales SIP seguras:show sip-ua connections tcp tls detail
Compruebe: ¿Está establecida la conexión SIP sobre TLS con CVP? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUBE son seguras.
7. En este momento, la llamada está activa y se oye Música en espera (MOH), ya que no hay ningún agente disponible para contestar la llamada.
8. Haga que el agente esté disponible para contestar la llamada.
.
9. El agente se reserva y la llamada se dirige a él. Haga clic en Answer
para contestar la llamada.
10. La llamada se conecta con el agente.
11. Para verificar las señales SIP entre CVP y CUCM, navegue hasta la sesión de CVP y ejecute este filtro en Wireshark:ip.addr == 198.18.133.3 && tls && tcp.port==5061
Comprobar: ¿todas las comunicaciones SIP con CUCM (198.18.133.3) sobre TLS? Si la respuesta es sí, la salida confirma que las señales SIP entre CVP y CUCM son seguras.
Si no se establece TLS, ejecute estos comandos en CUBE para habilitar debug TLS para resolver problemas:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
23-Nov-2022 |
Versión inicial |