Beveiligde SIP-signalering configureren in contactcenters onderneming

Downloadopties

  • PDF     (1.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 november 2022
Document-id:218434

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Session Initiation Protocol (SIP)-signalering kunt beveiligen in CCE (Contact Center Enterprise) - uitgebreide gespreksstroom.

    Voorwaarden

    Het genereren en importeren van certificaten valt buiten het bereik van dit document, dus certificaten voor Cisco Unified Communications Manager (CUCM), Customer Voice Portal (CVP), Call Server, Cisco Virtual Voice Browser (CVVB) en Cisco Unified Border Element (CUBE) moeten worden gemaakt en geïmporteerd in de respectieve componenten. Als u zelfondertekende certificaten gebruikt, moet de certificaatuitwisseling tussen verschillende componenten plaatsvinden.

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • CCE
    • CVP
    • KUBUS
    • CUCM
    • CVVB

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Package Contact Center Enterprise (PCCE), CVP, CVVB en CUCM versie 12.6, maar het is ook van toepassing op de eerdere versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Het volgende diagram toont de componenten betrokken bij SIP signalering in de uitgebreide gespreksstroom van het contactcentrum. Wanneer een spraakoproep naar het systeem komt, komt eerst via de toegangsgateway of CUBE, dus start beveiligde SIP-configuraties op CUBE. Configureer vervolgens CVP, CVVB en CUCM.

    Inbound SIP Call Flow

    Taak 1. CUBE Secure-configuratie

    In deze taak, vorm CUBE om de SIP protocolberichten te beveiligen.

    Vereiste configuraties:

    • Configureer een standaard trustpoint voor de SIP User Agent (UA)
    • Wijzig de dial-peers om Transport Layer Security (TLS) te gebruiken

    Stappen:

    1. Open Secure Shell-sessie (SSH) voor CUBE.
    2. Voer deze opdrachten uit om de SIP-stack te laten gebruikmaken van het certificaat van de certificeringsinstantie (CA) van de CUBE. CUBE maakt een SIP TLS-verbinding van/naar CUCM (198.18.133.3) en CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Voer deze opdrachten uit om TLS op de uitgaande dial-peer in te schakelen voor CVP. In dit voorbeeld, wijzerplaat-peer markering 6000 wordt gebruikt om vraag aan CVP te leiden.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    Taak 2. CVP beveiligde configuratie

    In deze taak, vorm de CVP gespreksserver om de SIP protocolberichten (SIP TLS) te beveiligen.

    Stappen:

    1. Inloggen opUCCE Web Administration.
    2. Naar navigeren  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    Op basis van uw configuraties hebt u SIP-servergroepen geconfigureerd voor CUCM, CVVB en CUBE. U moet beveiligde SIP-poorten instellen op 5061 voor alle poorten. In dit voorbeeld worden deze SIP-servergroepen gebruikt:

    • cucm1.dcloud.cisco.com voor CUCM
    • vvb1.dcloud.cisco.com voor CVVB
    • cube1.dcloud.cisco.com  voor CUBE
    1. Klik  cucm1.dcloud.cisco.com  en vervolgens in de  Members  tabblad, waarin de details van de configuratie van de SIP-servergroep worden weergegeven. instellen SecurePort in 5061 en klik op  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. Klik vvb1.dcloud.cisco.com en vervolgens in de  Members  tabblad. Secure-poort instellen op 5061 en klik op  Save.

    Setting Secure SIP Port for VVB Server Group

    Taak 3. CVVB beveiligde configuratie

    Bij deze taak moet u CVVB configureren om de SIP-protocolberichten (SIP TLS) te beveiligen.

    Stappen:

    1. Inloggen op  Cisco VVB Administration  pagina.
    2. Naar navigeren  System > System Parameters.

    VVB System Parameters

    1. In het  Security Parameters  sectie, kies  Enable  voor TLS(SIP) . behouden  Supported TLS(SIP) version  als  TLSv1.2.

    VVB Security Parameters

    1. Klik op Bijwerken. Klik Ok wanneer deze wordt gevraagd de CVVB-motor te starten.

    Update Security Parameters

    1. Deze veranderingen vereisen een nieuw begin van de motor van Cisco VVB. Om de VVB-motor opnieuw op te starten, navigeer naar Cisco VVB Serviceability klik vervolgens op  Go.

    Cisco VVB Serviceability

    1. Naar navigeren  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Kiezen Engine en klik op  Restart.

    Control Center - Network Services

    Taak 4. CUCM Secure-configuratie

    Voer de volgende configuraties uit om SIP-berichten op CUCM te beveiligen:

    • CUM security modus instellen op gemengde modus
    • SIP Trunk-beveiligingsprofielen voor CUBE en CVP configureren
    • Koppel SIP Trunk-beveiligingsprofielen aan respectieve SIP-trunks
    • Apparaatcommunicatie van beveiligde agents met CUCM

    CUM security modus instellen op gemengde modus

    CUCM ondersteunt twee beveiligingsmodi:

    • Niet-beveiligde modus (standaardmodus)
    • Gemengde modus (beveiligde modus)

    Stappen:

    1. Log in op om de beveiligingsmodus in te stellen op Gemengde modus  Cisco Unified CM Administration  interface.

    CUCM Administration Interface

    1. Nadat u met succes bent aangemeld bij CUCM, navigeer naar  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Onder de Security Parameters Sectie, controleer of  Cluster Security Mode is ingesteld op  0.

    CUCM Security Parameters

    1. Als Cluster Security Mode is ingesteld op 0, betekent dit dat de clusterbeveiligingsmodus is ingesteld op niet-veilig. U moet de gemengde modus van CLI inschakelen.
    2. Open een SSH-sessie voor de CUCM.
    3. Nadat u met succes aan CUCM via SSH hebt geregistreerd, voer deze opdracht uit: utils ctl set-cluster mixed-mode
    1. Type y en klik op Enter wanneer hierom wordt gevraagd. Met deze opdracht wordt de clusterbeveiligingsmodus op gemengde modus ingesteld.

    CUCM SSH Console

    1. De wijzigingen worden pas van kracht na het opnieuw opstarten  Cisco CallManager  en  Cisco CTIManager  diensten.
    2. Om de services opnieuw te starten, navigeer en log in op Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Nadat u met succes bent aangemeld, navigeer naar  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Kies de server en klik op  Go.

    Select Server

    1. Onder de CM diensten, kies Cisco CallManager  klik vervolgens op  Restart  knop boven op de pagina.

    Restarting Cisco Call Manager Services

    1. Bevestig het pop-upbericht en klik op  OK. Wacht tot de service opnieuw is gestart.

    Info Message

    1. Na een succesvolle herstart van  Cisco CallManager, kies Cisco  CTIManager  klik vervolgens op Restart knop om opnieuw te starten  Cisco CTIManager  de dienst.

    Restarting Cisco CTI Manager Service

    1. Bevestig het pop-upbericht en klik op  OK. Wacht tot de service opnieuw is gestart.

    Info Message

    1. Nadat de services met succes opnieuw zijn gestart, controleert u of de clusterbeveiligingsmodus is ingesteld op gemengde modus, navigeert u naar CUCM-beheer zoals uitgelegd in stap 5. Controleer vervolgens het  Cluster Security Mode. Nu moet het worden ingesteld op  1.

    Cluster Security Mode is to the Value of '1'

    SIP Trunk-beveiligingsprofielen voor CUBE en CVP configureren

    Stappen:

    1. Inloggen op  CUCM administration  interface.
    2. Na succesvolle aanmelding bij CUCM, navigeer naar System > Security > SIP Trunk Security Profile  om een beveiligingsprofiel voor een apparaat te maken voor CUBE.

    CUCM SIP Trunk Security Profile

    1. Klik linksboven op  Add New  om een nieuw profiel toe te voegen.

    Add New CUCM SIP Trunk Security Profile

    1. Configureren SIP Trunk Security Profile zoals in deze afbeelding, klik dan op  Save  linksonder op de pagina naar  Save  het.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Zorg ervoor dat de  Secure Certificate Subject or Subject Alternate Name  de algemene benaming (GN) van het CUBE-certificaat, zoals deze moet overeenstemmen.

    6. Klik op  Copy  en wijzigt u de Name in  SecureSipTLSforCVP en de Secure Certificate Subject CVP call server certificaat zoals het moet overeenkomen. Klik Save knop.

    Add CUCM SIP Trunk Security Profile for CVP

    Koppel SIP Trunk-beveiligingsprofielen aan respectieve SIP-trunks

    Stappen:

    1. Op de pagina CUCM-beheer navigeer u naar  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Zoek naar de CUBE trunk. In dit voorbeeld is de naam van de CUBE-trunk  vCube . Klik  Find.

    Find SIP Trunks on CUCM for CUBE

    1. Klik op vCUBE om de pagina met de trunkconfiguratie van vCUBE te openen.
    2. Scroll naar beneden SIP Information sectie, en wijzigt u de  Destination Port  in  5061.
    3. Wijzigen SIP Trunk Security Profile in  SecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. Klik Save dan Rest teneinde  Save en wijzigingen toepassen.

    Save Configuration


    Info Message

    1. Naar navigeren  Device > Trunk, en zoeken naar CVP-trunk. In dit voorbeeld is de CVP-trunknaam  cvp-SIP-Trunk . Klik  Find.

    CUCM Trunk Configuration for CVP

    1. Klik CVP-SIP-Trunk zo opent u de CVP trunkconfiguratiepagina.
    2. Scroll naar beneden SIP Information sectie, en verandering  Destination Port  in  5061 .
    3. Wijzigen  SIP Trunk Security Profile  in  SecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. Klik  Save dan Rest teneinde save en wijzigingen toepassen.

    SIP Trunk Configuration for CVP

    Save Configuration

    Apparaatcommunicatie van beveiligde agents met CUCM

    Om de beveiligingsfuncties voor een apparaat in te schakelen, moet u een LSC (Local Significant Certificate) installeren en een beveiligingsprofiel aan dat apparaat toewijzen. LSC bezit de openbare sleutel voor het eindpunt, dat door de privé sleutel van de Functie van de Autoriteit van het Certificaat (CAPF) wordt ondertekend. Het wordt niet geïnstalleerd op telefoons door gebrek.

    Stappen:

    1. Inloggen op Cisco Unified Serviceability Interface.
    2. Naar navigeren  Tools > Service Activation.

    Info Message

    1. Kies de CUCM-server en klik op  Go .

    CUCM Service Activation

    1. controleren Cisco Certificate Authority Proxy Function en klik op  Save om de service te activeren. Klik Ok om te bevestigen.

    Select Server

    1. Zorg ervoor dat de service is geactiveerd en navigeer vervolgens naar  Cisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Nadat u met succes bent aangemeld bij de CUCM-administratie, navigeer naar  System > Security > Phone Security Profile  om een beveiligingsprofiel voor het agent-apparaat te maken.

    CUCM Administration

    1. Zoek de beveiligingsprofielen die overeenkomen met het apparaattype van de agent. In dit voorbeeld, wordt een zachte telefoon gebruikt, dus kies  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile . Klik CopyPhone Security Profile om dit profiel te kopiëren.

    Copy Existing Phone Security Profile

    1. Hernoemen van het profiel naar  Cisco Unified Client Services Framework - Secure ProfileWijzig de parameters zoals in deze afbeelding, en klik vervolgens op  Save bovenaan links van de pagina.

    Add New Phone Security Profile

    1. Na de succesvolle creatie van het profiel van het telefoonapparaat, navigeer aan  Device > Phone.

    Phone Configuration

    1. Klik Find om van alle beschikbare telefoons een lijst te maken, klik dan op de telefoon van de agent.
    2. De pagina voor de telefoonconfiguratie van de agent wordt geopend. Zoeken Certification Authority Proxy Function (CAPF) Information doorsnede. Zo installeert u LSC Certificate Operation in Install/Upgrade en Operation Completes by naar een latere datum.

    Setting CAPF Parameters

    1. Zoeken Protocol Specific Information doorsnede. Wijzigen Device Security Profile in  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Klik  Save bovenaan links van de pagina. Zorg ervoor dat de wijzigingen zijn opgeslagen en klik op  Reset.

    Save Configuration

    1. Er wordt een pop-upvenster geopend. Klik op  Reset  om de actie te bevestigen.

    Phone Reset

    1. Nadat het agent-apparaat opnieuw met CUCM is geregistreerd, verfris u de huidige pagina en controleert u of de LSC met succes is geïnstalleerd. controleren Certification Authority Proxy Function (CAPF) Information doorsnede, Certificate Operation moet worden ingesteld op  No Pending Operation, en Certificate Operation Status is ingesteld op  Upgrade Success .

    CAPF Information is Updated

    1. Verwijs stappen. 7-13 om andere agenten apparaten te beveiligen die u wilt gebruiken om SIP met CUCM te beveiligen.

    Verifiëren

    Voer de volgende stappen uit om te controleren of SIP-signalering goed is beveiligd:

    1. Open SSH-sessie voor vCUBE en voer de opdracht uit show sip-ua connections tcp tls detail , en bevestig dat er op dit moment geen TLS-verbinding is ingesteld met CVP (198.18.13.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    Opmerking: op dit moment is slechts één actieve TLS-sessie met CUCM, voor SIP-opties, ingeschakeld op CUCM (198.18.13.3). Als geen SIP-opties zijn ingeschakeld, bestaat er geen SIP TLS-verbinding.

    1. Log in op CVP en start Wireshark.
    2. Maak een testvraag aan contactcenternummer.
    3. Navigeer naar de CVP-sessie; voer op Wireshark dit filter uit om SIP-signalering met CUBE te controleren:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    Controleren: is SIP via TLS-verbinding ingesteld? Als dat het geval is, bevestigt de uitvoer de SIP-signalen tussen CVP en CUBE.

    5. Controleer de SIP TLS-verbinding tussen CVP en CVVB. Voer in dezelfde Wireshark-sessie dit filter uit:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    Controleren: is SIP via TLS-verbinding ingesteld? Zo ja, dan bevestigt de output SIP-signalen tussen CVP en CVVB beveiligd zijn.

    6. U kunt ook de SIP TLS-verbinding met CVP via CUBE verifiëren. Navigeer naar de vCUBE SSH-sessie en voer deze opdracht uit om beveiligde sip-signalen te controleren:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    Controleren: is de SIP-over-TLS-verbinding ingesteld met CVP? Als dat het geval is, bevestigt de uitvoer de SIP-signalen tussen CVP en CUBE.

    7. Op dit moment is de oproep actief en hoor je Muziek op de wachtrij (MOH) omdat er geen agent beschikbaar is om de oproep te beantwoorden.

    8. Maak de agent beschikbaar om de vraag te beantwoorden.

    .Make Agent Ready on Finesse Agent Desktop

    9. Agent wordt gereserveerd en de oproep wordt naar hem/haar verstuurd. Klik Answer om het gesprek te beantwoorden.

    Answer Incoming Call on Finesse Desktop


    10. De oproep maakt verbinding met de agent.

    1. Om de SIP-signalen tussen CVP en CUCM te verifiëren, navigeert u naar de CVP-sessie en voert u dit filter uit in Wireshark:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    Controle: Zijn alle SIP-communicatie met CUCM (198.18.13.3) via TLS? Als ja, de output bevestigt SIP signalen tussen CVP en CUCM worden beveiligd.

    Problemen oplossen

    Als TLS niet is ingesteld, voert u deze opdrachten uit op CUBE om debug van TLS in te schakelen voor probleemoplossing:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    23-Nov-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Mohamed Mohasseb
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten