La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come proteggere il traffico SRTP (Real-time Transport Protocol) nel flusso completo delle chiamate di Contact Center Enterprise (CCE).
La generazione e l'importazione di certificati non rientrano nell'ambito del presente documento, pertanto è necessario creare e importare nei rispettivi componenti certificati per Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVB) e Cisco Unified Border Element (CUBE). Se si utilizzano certificati autofirmati, lo scambio di certificati deve essere eseguito tra componenti diversi.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni di questo documento si basano sulla versione 12.6 di Package Contact Center Enterprise (PCCE), CVP, CVB e CUCM, ma sono valide anche per le versioni precedenti.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nota: nel flusso chiamate completo del contact center, per abilitare il RTP sicuro, devono essere abilitati i segnali SIP sicuri. Pertanto, le configurazioni descritte in questo documento consentono sia il SIP sicuro che l'SRTP.
Il diagramma seguente mostra i componenti coinvolti nei segnali SIP e RTP nel flusso di chiamata completo del contact center. Quando una chiamata vocale arriva al sistema, viene prima effettuata tramite il gateway in entrata o CUBE, quindi avviare le configurazioni su CUBE. Quindi, configurare CVP, CVB e CUCM.
In questa attività, è possibile configurare CUBE per proteggere i messaggi del protocollo SIP e il protocollo RTP.
Configurazioni richieste:
Passaggi:
Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit
In questa attività, configurare il server di chiamata CVP per proteggere i messaggi del protocollo SIP (SIP TLS).
Passaggi:
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
In base alle configurazioni, sono stati configurati i gruppi di server SIP per CUCM, CVB e CUBE. Per tutte le porte SIP protette, è necessario impostarle su 5061. Nell'esempio vengono utilizzati i seguenti gruppi di server SIP:
cucm1.dcloud.cisco.com
per CUCMvvb1.dcloud.cisco.com
per CVBcube1.dcloud.cisco.com
per CUBEcucm1.dcloud.cisco.com
e quindi nella Members
che mostra i dettagli delle configurazioni dei gruppi di server SIP. Imposta SecurePort
a 5061
e fare clic su
Save
.
vvb1.dcloud.cisco.com
e quindi nella Members
, impostare la scheda SecurePort
a 5061
e fare clic su Save
.
In questa attività, configurare CVB per proteggere i messaggi del protocollo SIP (SIP TLS) e SRTP.
Passaggi:
Cisco VVB Admin
pagina.System > System Parameters
.
Security Parameters
, scegliere Enable
per TLS (SIP)
. Mantieni Supported TLS(SIP) version as TLSv1.2
e scegliere Enable
per SRTP
.
Update
. Clic Ok
quando viene richiesto di riavviare il motore CVB.
Cisco VVB Serviceability
, quindi scegliere Go
.
Tools > Control Center – Network Services
.
Engine
e fare clic su Restart
.
Per proteggere i messaggi SIP e RTP su CUCM, eseguire le seguenti configurazioni:
CUCM supporta due modalità di protezione:
Passaggi:
System > Enterprise Parameters
.
Security Parameters
, verificare se il Cluster Security Mode
è impostato su 0
.
utils ctl set-cluster mixed-mode
y
e fare clic su Enter
quando richiesto. Con questo comando viene impostata la modalità di protezione cluster su mista.
Cisco CallManager
e Cisco CTIManager
servizi.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.Go
.
Cisco CallManager
, quindi scegliere Restart
nella parte superiore della pagina.
OK
. Attendere il riavvio del servizio.
Cisco CallManager
, scegliere il Cisco CTIManager
quindi fare clic su Restart
pulsante per il riavvio Cisco CTIManager
servizio.
OK
. Attendere il riavvio del servizio.
Cluster Security Mode
. Ora deve essere impostato su 1
.
Passaggi:
System > Security > SIP Trunk Security Profile
per creare un profilo di sicurezza del dispositivo per CUBE.
SIP Trunk Security Profile
come questa immagine e fare clic su Save
in basso a sinistra.
5. Assicurarsi di impostare Secure Certificate Subject or Subject Alternate Name
al nome comune (CN) del certificato CUBE in quanto deve corrispondere.
6. Fare clic su Copy
e modificare il Name
a SecureSipTLSforCVP
. Cambia Secure Certificate Subject
al CN del certificato del server di chiamata CVP come deve corrispondere. Clic Save
pulsante.
Passaggi:
Device > Trunk
.
vCube
, quindi scegliere Find
.
vCUBE
per aprire la pagina di configurazione del trunk vCUBE.Device Information
, selezionare la SRTP Allowed
per abilitare SRTP.
SIP Information
e modificare la Destination Port
a 5061
.SIP Trunk Security Profile
a SecureSIPTLSForCube
.
Save
quindi Rest
a save
e applicare le modifiche.
Device > Trunk
, cercare CVP trunk, in questo esempio CVP trunk name è cvp-SIP-Trunk
. Clic Find
.
CVP-SIP-Trunk
per aprire la pagina di configurazione del trunk CVP.Device Information
sezione, controllo SRTP Allowed
per abilitare SRTP.
SIP Information
, modificare la Destination Port
a 5061
.SIP Trunk Security Profile
a SecureSIPTLSForCvp
.
Save
quindi Rest
a save
e applicare le modifiche.
Per abilitare le funzionalità di protezione per un dispositivo, è necessario installare un certificato LSC (Locally Significant Certificate) e assegnare il profilo di protezione al dispositivo. LSC possiede la chiave pubblica per l'endpoint, firmata dalla chiave privata CAPF CUCM. Per impostazione predefinita, non è installato sui telefoni.
Passaggi:
Cisco Unified Serviceability
interfaccia.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
e fare clic su Save
per attivare il servizio. Clic Ok
per confermare.
System > Security > Phone Security Profile
per creare un profilo di sicurezza per il dispositivo agente.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Fare clic sull'icona Copia per copiare il profilo.
Cisco Unified Client Services Framework - Secure Profile
. CModificare i parametri come in questa immagine, quindi fare clic su Save
in alto a sinistra nella pagina.
Device > Phone
.
Find
per elencare tutti i telefoni disponibili, quindi fare clic su telefono agente.Certification Authority Proxy Function (CAPF) Information
sezione. Per installare LSC, impostare Certificate Operation
a Install/Upgrade
e Operation Completes by
a qualsiasi data futura.
Protocol Specific Information
e modificare la Device Security Profile
a Cisco Unified Client Services Framework – Secure Profile
.
Save
in alto a sinistra nella pagina. Assicurarsi che le modifiche siano state salvate correttamente, quindi fare clic su Reset
.
Reset
per confermare l'azione.
Certification Authority Proxy Function (CAPF) Information
sezione, Certificate Operation
deve essere impostato su No Pending Operation
e Certificate Operation Status
è impostato su Upgrade Success
.
Per verificare che il protocollo RTP sia protetto in modo appropriato, effettuare le seguenti operazioni:
show call active voice brief
Suggerimento: verificare se l'SRTP è on
tra CUBE e VVB (198.18.133.143). In caso affermativo, ciò conferma che il traffico RTP tra CUBE e VB è sicuro.
show call active voice brief
Suggerimento: verificare se l'SRTP è on
tra i telefoni degli agenti (198.18.133.75). In caso affermativo, viene confermato che il traffico RTP tra CUBE e l'agente è sicuro.
Per verificare che i segnali SIP siano protetti correttamente, fare riferimento all'articolo Configure Secure SIP Signaling.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
21-Dec-2022 |
Versione iniziale |