Configurazione della segnalazione SIP protetta in Contact Center Enterprise

Opzioni per il download

  • PDF     (1.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.6 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:22 novembre 2022
ID documento:218434

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come proteggere la segnalazione SIP (Session Initiation Protocol) nel flusso di chiamate completo di Contact Center Enterprise (CCE).

    Prerequisiti

    La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), server di chiamata Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • CCE
    • CVP
    • CUBO
    • CUCM
    • CVB

    Componenti usati

    Le informazioni fornite in questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Il diagramma successivo mostra i componenti coinvolti nella segnalazione SIP nel flusso chiamate completo del contact center. Quando una chiamata vocale arriva al sistema, prima viene tramite il gateway in entrata o CUBE, quindi avviare configurazioni SIP sicure su CUBE. Quindi, configurare CVP, CVB e CUCM.

    Inbound SIP Call Flow

    Attività 1. Configurazione protetta CUBE

    In questa attività configurare CUBE per proteggere i messaggi del protocollo SIP.

    Configurazioni richieste:

    • Configurare un trust point predefinito per l'agente utente SIP
    • Modificare i peer di composizione in modo che utilizzino TLS (Transport Layer Security)

    Passaggi:

    1. Aprire la sessione SSH (Secure Shell) in CUBE.
    2. Eseguire questi comandi per fare in modo che lo stack SIP utilizzi il certificato CA (Certification Authority) del CUBE. CUBE stabilisce una connessione SIP TLS da/a CUCM (198.18.133.3) e CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Eseguire questi comandi per abilitare TLS sul dial peer in uscita verso CVP. Nell'esempio, il dial-peer tag 6000 viene utilizzato per indirizzare le chiamate a CVP.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    Attività 2. Configurazione sicura CVP

    In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).

    Passaggi:

    1. Accedi aUCCE Web Administration.
    2. Passa a  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    In base alle configurazioni configurate, sono presenti gruppi di server SIP configurati per CUCM, CVB e CUBE. Per tutte le porte SIP protette, è necessario impostarle su 5061. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:

    • cucm1.dcloud.cisco.com per CUCM
    • vvb1.dcloud.cisco.com per CVB
    • cube1.dcloud.cisco.com  per CUBE
    1. Clic  cucm1.dcloud.cisco.com  e quindi nella  Members  che mostra i dettagli della configurazione del gruppo di server SIP. Imposta SecurePort a 5061 e fare clic su  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. Clic vvb1.dcloud.cisco.com e quindi nella  Members  scheda. Imposta SecurePort su 5061 e fare clic su  Save.

    Setting Secure SIP Port for VVB Server Group

    Attività 3. Configurazione sicura CVB

    In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS).

    Passaggi:

    1. Accedi a  Cisco VVB Administration  pagina.
    2. Passa a  System > System Parameters.

    VVB System Parameters

    1. Nella scheda  Security Parameters  , scegliere  Enable  per TLS(SIP) . Mantieni  Supported TLS(SIP) version  come  TLSv1.2.

    VVB Security Parameters

    1. Fare clic su Aggiorna. Clic Ok quando viene richiesto di riavviare il motore CVB.

    Update Security Parameters

    1. Queste modifiche richiedono il riavvio del motore Cisco VB. Per riavviare il motore VB, passare alla sezione Cisco VVB Serviceability quindi fare clic su  Go.

    Cisco VVB Serviceability

    1. Passa a  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Scegli Engine e fare clic su  Restart.

    Control Center - Network Services

    Attività 4. Configurazione sicura CUCM

    Per proteggere i messaggi SIP su CUCM, effettuare le seguenti configurazioni:

    • Impostare la modalità di protezione CUCM sulla modalità mista
    • Configurare i profili di sicurezza trunk SIP per CUBE e CVP
    • Associa profili di sicurezza trunk SIP ai rispettivi trunk SIP
    • Comunicazione dei dispositivi degli agenti sicuri con CUCM

    Impostare la modalità di protezione CUCM sulla modalità mista

    CUCM supporta due modalità di protezione:

    • Modalità non protetta (modalità predefinita)
    • Modalità mista (modalità protetta)

    Passaggi:

    1. Per impostare la modalità di protezione su Modalità mista, accedere a  Cisco Unified CM Administration  interfaccia.

    CUCM Administration Interface

    1. Dopo aver eseguito correttamente l'accesso a CUCM, passare a  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Al di sotto del Security Parameters Sezione, controlla se  Cluster Security Mode è impostato su  0.

    CUCM Security Parameters

    1. Se la modalità di protezione del cluster è impostata su 0, significa che la modalità di protezione del cluster è impostata su non protetta. è necessario abilitare la modalità mista dalla CLI.
    2. Aprire una sessione SSH su CUCM.
    3. Dopo aver eseguito correttamente il login a CUCM tramite SSH, eseguire questo comando: utils ctl set-cluster mixed-mode
    1. Tipo y e fare clic su Invio quando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.

    CUCM SSH Console

    1. Per rendere effettive le modifiche, riavviare  Cisco CallManager  e  Cisco CTIManager  servizi.
    2. Per riavviare i servizi, spostarsi e accedere a Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Dopo aver eseguito correttamente l'accesso, passare a  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Scegliere il server, quindi fare clic su  Go.

    Select Server

    1. Sotto i servizi di CM, scegliere Cisco CallManager  quindi fare clic su  Restart  nella parte superiore della pagina.

    Restarting Cisco Call Manager Services

    1. Confermare il messaggio e fare clic su  OK. Attendere il riavvio del servizio.

    Info Message

    1. Dopo il corretto riavvio di  Cisco CallManager, scegliere Cisco  CTIManager  quindi fare clic su Restart pulsante per il riavvio  Cisco CTIManager  servizio.

    Restarting Cisco CTI Manager Service

    1. Confermare il messaggio e fare clic su  OK. Attendere il riavvio del servizio.

    Info Message

    1. Dopo il riavvio corretto dei servizi, verificare che la modalità di protezione del cluster sia impostata sulla modalità mista, passare all'amministrazione CUCM come illustrato al passo 5, quindi controllare la  Cluster Security Mode. Ora deve essere impostato su  1.

    Cluster Security Mode is to the Value of '1'

    Configurare i profili di sicurezza trunk SIP per CUBE e CVP

    Passaggi:

    1. Accedi a  CUCM administration  interfaccia.
    2. Dopo aver eseguito correttamente l'accesso a CUCM, passare a System > Security > SIP Trunk Security Profile  per creare un profilo di sicurezza del dispositivo per CUBE.

    CUCM SIP Trunk Security Profile

    1. In alto a sinistra, fare clic su  Add New  per aggiungere un nuovo profilo.

    Add New CUCM SIP Trunk Security Profile

    1. Configurazione SIP Trunk Security Profile come mostrato nell'immagine, quindi fare clic su  Save  in basso a sinistra per  Save  e'.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Assicurarsi di impostare  Secure Certificate Subject or Subject Alternate Name  al nome comune (CN) del certificato CUBE in quanto deve corrispondere.

    6. Fare clic su  Copy  e modificare il Name a  SecureSipTLSforCVP e Secure Certificate Subject al CN del certificato del server di chiamata CVP come deve corrispondere. Clic Save pulsante.

    Add CUCM SIP Trunk Security Profile for CVP

    Associa profili di sicurezza trunk SIP ai rispettivi trunk SIP

    Passaggi:

    1. Nella pagina Amministrazione CUCM, passare a  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Cerca il trunk CUBE. In questo esempio, il nome del trunk CUBE è  vCube . Clic  Find.

    Find SIP Trunks on CUCM for CUBE

    1. Fare clic su vCUBE per aprire la pagina di configurazione del trunk vCUBE.
    2. Scorri fino a SIP Information e modificare la  Destination Port  5061.
    3. Cambia SIP Trunk Security Profile a  SecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. Clic Save quindi Rest per  Save e applicare le modifiche.

    Save Configuration


    Info Message

    1. Passa a  Device > Trunke cercare CVP trunk. In questo esempio, il nome del trunk CVP è  cvp-SIP-Trunk . Clic  Find.

    CUCM Trunk Configuration for CVP

    1. Clic CVP-SIP-Trunk per aprire la pagina di configurazione di CVP trunk.
    2. Scorri fino a SIP Information e modifica  Destination Port  a  5061 .
    3. Cambia  SIP Trunk Security Profile  SecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. Clic  Save quindi Rest per save e applicare le modifiche.

    SIP Trunk Configuration for CVP

    Save Configuration

    Comunicazione dei dispositivi degli agenti sicuri con CUCM

    Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare un profilo di protezione al dispositivo. Il servizio LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF (Certificate Authority Proxy Function). Per impostazione predefinita, non è installato sui telefoni.

    Passaggi:

    1. Accedi a Cisco Unified Serviceability Interface.
    2. Passa a  Tools > Service Activation.

    Info Message

    1. Scegliere il server CUCM e fare clic su  Go .

    CUCM Service Activation

    1. Assegno Cisco Certificate Authority Proxy Function e fare clic su  Save per attivare il servizio. Clic Ok per confermare.

    Select Server

    1. Verificare che il servizio sia attivato, quindi passare a  Cisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Dopo aver eseguito correttamente l'accesso all'amministrazione CUCM, passare a  System > Security > Phone Security Profile  per creare un profilo di sicurezza per il dispositivo agente.

    CUCM Administration

    1. Individuare i profili di sicurezza corrispondenti al tipo di dispositivo agente. In questo esempio, viene utilizzato un telefono fisso, quindi scegliere  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile . Clic CopyPhone Security Profile per copiare il profilo.

    Copy Existing Phone Security Profile

    1. Rinomina il profilo in  Cisco Unified Client Services Framework - Secure Profile, modificare i parametri come mostrato nell'immagine, quindi fare clic su  Save in alto a sinistra nella pagina.

    Add New Phone Security Profile

    1. Dopo aver creato correttamente il profilo del dispositivo telefonico, passare a  Device > Phone.

    Phone Configuration

    1. Clic Find per elencare tutti i telefoni disponibili, fare clic su telefono agente.
    2. Verrà visualizzata la pagina Configurazione telefono agente. Cerca Certification Authority Proxy Function (CAPF) Information sezione. Per installare LSC, impostare Certificate Operation a Install/Upgrade e Operation Completes by a qualsiasi data futura.

    Setting CAPF Parameters

    1. Cerca Protocol Specific Information sezione. Cambia Device Security Profile a  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Clic  Save in alto a sinistra nella pagina. Assicurarsi che le modifiche siano state salvate correttamente e fare clic su  Reset.

    Save Configuration

    1. Viene visualizzata una finestra popup, fare clic su  Reset  per confermare l'azione.

    Phone Reset

    1. Una volta che il dispositivo agente si è registrato nuovamente con CUCM, aggiornare la pagina corrente e verificare che LSC sia installato correttamente. Assegno Certification Authority Proxy Function (CAPF) Information sezione, Certificate Operation deve essere impostato su  No Pending Operation,e Certificate Operation Status è impostato su  Upgrade Success .

    CAPF Information is Updated

    1. Fare riferimento alla sezione Passi. 7-13 per proteggere altri agenti e dispositivi che si desidera utilizzare per proteggere il SIP con CUCM.

    Verifica

    Per verificare che la segnalazione SIP sia protetta correttamente, procedere come segue:

    1. Aprire la sessione SSH su vCUBE, eseguire il comando show sip-ua connections tcp tls detail e confermare che al momento non vi è alcuna connessione TLS stabilita con CVP (198.18.133.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    Nota: al momento, solo una sessione TLS attiva con CUCM, per le opzioni SIP è abilitata su CUCM (198.18.13.3). Se non è attivata alcuna opzione SIP, non esiste alcuna connessione SIP TLS.

    1. Accedere a CVP e avviare Wireshark.
    2. Effettua una chiamata di prova al numero del contact center.
    3. Passare alla sessione CVP; su Wireshark, eseguire questo filtro per controllare la segnalazione SIP con CUBE:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    Verifica: la connessione SIP over TLS è stata stabilita? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.

    5. Controllare la connessione SIP TLS tra CVP e CVB. Nella stessa sessione di Wireshark, eseguire questo filtro:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    Verifica: la connessione SIP over TLS è stata stabilita? In caso affermativo, l'uscita conferma che i segnali SIP tra CVP e CVB sono protetti.

    6. È inoltre possibile verificare la connessione SIP TLS con CVP da CUBE. Passare alla sessione SSH vCUBE ed eseguire questo comando per controllare i segnali sip sicuri:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    Verifica: la connessione SIP over TLS è stabilita con CVP? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUBE sono protetti.

    7. Al momento, la chiamata è attiva e si ascolta Music on Hold (MOH) poiché non è disponibile alcun agente per rispondere alla chiamata.

    8. Rendere disponibile l'agente per rispondere alla chiamata.

    .Make Agent Ready on Finesse Agent Desktop

    9. L'agente viene riservato e la chiamata viene indirizzata a lui/lei. Clic Answer per rispondere alla chiamata.

    Answer Incoming Call on Finesse Desktop


    10. La chiamata si connette all'agente.

    11. Per verificare i segnali SIP tra CVP e CUCM, passare alla sessione CVP ed eseguire questo filtro in Wireshark:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    Controllare: tutte le comunicazioni SIP con CUCM (198.18.133.3) over TLS? In caso affermativo, l'output conferma che i segnali SIP tra CVP e CUCM sono protetti.

    Risoluzione dei problemi

    Se TLS non viene stabilito, eseguire questi comandi su CUBE per abilitare il debug TLS alla risoluzione dei problemi:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    23-Nov-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Mohamed Mohasseb
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti