De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u Session Initiation Protocol (SIP)-signalering kunt beveiligen in CCE (Contact Center Enterprise) - uitgebreide gespreksstroom.
Het genereren en importeren van certificaten valt buiten het bereik van dit document, dus certificaten voor Cisco Unified Communications Manager (CUCM), Customer Voice Portal (CVP), Call Server, Cisco Virtual Voice Browser (CVVB) en Cisco Unified Border Element (CUBE) moeten worden gemaakt en geïmporteerd in de respectieve componenten. Als u zelfondertekende certificaten gebruikt, moet de certificaatuitwisseling tussen verschillende componenten plaatsvinden.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op Package Contact Center Enterprise (PCCE), CVP, CVVB en CUCM versie 12.6, maar het is ook van toepassing op de eerdere versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Het volgende diagram toont de componenten betrokken bij SIP signalering in de uitgebreide gespreksstroom van het contactcentrum. Wanneer een spraakoproep naar het systeem komt, komt eerst via de toegangsgateway of CUBE, dus start beveiligde SIP-configuraties op CUBE. Configureer vervolgens CVP, CVVB en CUCM.
In deze taak, vorm CUBE om de SIP protocolberichten te beveiligen.
Vereiste configuraties:
Stappen:
conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit
In deze taak, vorm de CVP gespreksserver om de SIP protocolberichten (SIP TLS) te beveiligen.
Stappen:
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
Op basis van uw configuraties hebt u SIP-servergroepen geconfigureerd voor CUCM, CVVB en CUBE. U moet beveiligde SIP-poorten instellen op 5061 voor alle poorten. In dit voorbeeld worden deze SIP-servergroepen gebruikt:
cucm1.dcloud.cisco.com
voor CUCMvvb1.dcloud.cisco.com
voor CVVBcube1.dcloud.cisco.com
voor CUBEcucm1.dcloud.cisco.com
en vervolgens in de Members
tabblad, waarin de details van de configuratie van de SIP-servergroep worden weergegeven. instellen SecurePort
in 5061
en klik op Save
.
vvb1.dcloud.cisco.com
en vervolgens in de Members
tabblad. Secure-poort instellen op 5061
en klik op Save
.
Bij deze taak moet u CVVB configureren om de SIP-protocolberichten (SIP TLS) te beveiligen.
Stappen:
Cisco VVB Administration
pagina.System > System Parameters
.
Security Parameters
sectie, kies Enable
voor TLS(SIP)
. behouden Supported TLS(SIP) version
als TLSv1.2
.
Ok
wanneer deze wordt gevraagd de CVVB-motor te starten.Cisco VVB Serviceability
klik vervolgens op Go
.
Tools > Control Center – Network Services
.
Engine
en klik op Restart
.
Voer de volgende configuraties uit om SIP-berichten op CUCM te beveiligen:
CUCM ondersteunt twee beveiligingsmodi:
Stappen:
Cisco Unified CM Administration
interface.
System > Enterprise Parameters
.
Security Parameters
Sectie, controleer of Cluster Security Mode
is ingesteld op 0
.utils ctl set-cluster mixed-mode
y
en klik op Enter wanneer hierom wordt gevraagd. Met deze opdracht wordt de clusterbeveiligingsmodus op gemengde modus ingesteld.Cisco CallManager
en Cisco CTIManager
diensten.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.
Go
.Cisco CallManager
klik vervolgens op Restart
knop boven op de pagina.
OK
. Wacht tot de service opnieuw is gestart.
Cisco CallManager
, kies Cisco CTIManager
klik vervolgens op Restart
knop om opnieuw te starten Cisco CTIManager
de dienst.
OK
. Wacht tot de service opnieuw is gestart.
Cluster Security Mode
. Nu moet het worden ingesteld op 1
.
Stappen:
CUCM administration
interface.System > Security > SIP Trunk Security Profile
om een beveiligingsprofiel voor een apparaat te maken voor CUBE.
Add New
om een nieuw profiel toe te voegen.SIP Trunk Security Profile
zoals in deze afbeelding, klik dan op Save
linksonder op de pagina naar Save
het.
5. Zorg ervoor dat de Secure Certificate Subject or Subject Alternate Name
de algemene benaming (GN) van het CUBE-certificaat, zoals deze moet overeenstemmen.
6. Klik op Copy
en wijzigt u de Name
in SecureSipTLSforCVP
en de Secure Certificate Subject
CVP call server certificaat zoals het moet overeenkomen. Klik
knop.Save
Stappen:
Device > Trunk
.
vCube
. Klik Find
.
SIP Information
sectie, en wijzigt u de Destination Port
in 5061
.SIP Trunk Security Profile
in SecureSIPTLSForCube
.
Save
dan Rest
teneinde Save
en wijzigingen toepassen.
Device > Trunk
, en zoeken naar CVP-trunk. In dit voorbeeld is de CVP-trunknaam cvp-SIP-Trunk
. Klik Find
.
CVP-SIP-Trunk
zo opent u de CVP trunkconfiguratiepagina.SIP Information
sectie, en verandering Destination Port
in 5061
.SIP Trunk Security Profile
in SecureSIPTLSForCvp
.
Save
dan Rest
teneinde save
en wijzigingen toepassen.
Om de beveiligingsfuncties voor een apparaat in te schakelen, moet u een LSC (Local Significant Certificate) installeren en een beveiligingsprofiel aan dat apparaat toewijzen. LSC bezit de openbare sleutel voor het eindpunt, dat door de privé sleutel van de Functie van de Autoriteit van het Certificaat (CAPF) wordt ondertekend. Het wordt niet geïnstalleerd op telefoons door gebrek.
Stappen:
Cisco Unified Serviceability Interface
.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
en klik op Save
om de service te activeren. Klik Ok
om te bevestigen.
Cisco Unified CM Administration
.
System > Security > Phone Security Profile
om een beveiligingsprofiel voor het agent-apparaat te maken.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Klik Copy
om dit profiel te kopiëren.
Cisco Unified Client Services Framework - Secure Profile
Wijzig de parameters zoals in deze afbeelding, en klik vervolgens op Save
bovenaan links van de pagina.
Device > Phone
.
Find
om van alle beschikbare telefoons een lijst te maken, klik dan op de telefoon van de agent.Certification Authority Proxy Function (CAPF) Information
doorsnede. Zo installeert u LSC Certificate Operation
in Install/Upgrade
en Operation Completes by
naar een latere datum.
Protocol Specific Information
doorsnede. Wijzigen Device Security Profile
in Cisco Unified Client Services Framework – Secure Profile
.
Save
bovenaan links van de pagina. Zorg ervoor dat de wijzigingen zijn opgeslagen en klik op Reset
.
Reset
om de actie te bevestigen.
Certification Authority Proxy Function (CAPF) Information
doorsnede, Certificate Operation
moet worden ingesteld op No Pending Operation
, en Certificate Operation Status
is ingesteld op Upgrade Success
.
Voer de volgende stappen uit om te controleren of SIP-signalering goed is beveiligd:
show sip-ua connections tcp tls detail
, en bevestig dat er op dit moment geen TLS-verbinding is ingesteld met CVP (198.18.13.13).Opmerking: op dit moment is slechts één actieve TLS-sessie met CUCM, voor SIP-opties, ingeschakeld op CUCM (198.18.13.3). Als geen SIP-opties zijn ingeschakeld, bestaat er geen SIP TLS-verbinding.
ip.addr == 198.18.133.226 && tls && tcp.port==5061
Controleren: is SIP via TLS-verbinding ingesteld? Als dat het geval is, bevestigt de uitvoer de SIP-signalen tussen CVP en CUBE.
5. Controleer de SIP TLS-verbinding tussen CVP en CVVB. Voer in dezelfde Wireshark-sessie dit filter uit:
ip.addr == 198.18.133.143 && tls && tcp.port==5061
Controleren: is SIP via TLS-verbinding ingesteld? Zo ja, dan bevestigt de output SIP-signalen tussen CVP en CVVB beveiligd zijn.
6. U kunt ook de SIP TLS-verbinding met CVP via CUBE verifiëren. Navigeer naar de vCUBE SSH-sessie en voer deze opdracht uit om beveiligde sip-signalen te controleren:show sip-ua connections tcp tls detail
Controleren: is de SIP-over-TLS-verbinding ingesteld met CVP? Als dat het geval is, bevestigt de uitvoer de SIP-signalen tussen CVP en CUBE.
7. Op dit moment is de oproep actief en hoor je Muziek op de wachtrij (MOH) omdat er geen agent beschikbaar is om de oproep te beantwoorden.
8. Maak de agent beschikbaar om de vraag te beantwoorden.
.
9. Agent wordt gereserveerd en de oproep wordt naar hem/haar verstuurd. Klik Answer
om het gesprek te beantwoorden.
10. De oproep maakt verbinding met de agent.
1. Om de SIP-signalen tussen CVP en CUCM te verifiëren, navigeert u naar de CVP-sessie en voert u dit filter uit in Wireshark:ip.addr == 198.18.133.3 && tls && tcp.port==5061
Controle: Zijn alle SIP-communicatie met CUCM (198.18.13.3) via TLS? Als ja, de output bevestigt SIP signalen tussen CVP en CUCM worden beveiligd.
Als TLS niet is ingesteld, voert u deze opdrachten uit op CUBE om debug van TLS in te schakelen voor probleemoplossing:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
23-Nov-2022 |
Eerste vrijgave |