De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u verkeer in realtime transportprotocol (SRTP) kunt beveiligen in uitgebreide gespreksstroom van contactcenters (CCE).
Het genereren en importeren van certificaten valt buiten het bereik van dit document, dus certificaten voor Cisco Unified Communications Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVVB) en Cisco Unified Border Element (CUBE) moeten worden gemaakt en geïmporteerd in de respectieve componenten. Als u zelfondertekende certificaten gebruikt, moet de certificaatuitwisseling tussen verschillende componenten plaatsvinden.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op Package Contact Center Enterprise (PCCE), CVP, CVVB en CUCM versie 12.6, maar is ook van toepassing op de vorige versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Opmerking: in het contactcentrum moet een uitgebreide gespreksstroom worden ingeschakeld om beveiligde RTP mogelijk te maken, moeten beveiligde SIP-signalen zijn ingeschakeld. Daarom maken configuraties in dit document zowel beveiligde SIP als SRTP mogelijk.
Het volgende diagram toont de componenten die bij SIP-signalen en RTP in de uitgebreide gespreksstroom van het contactcentrum zijn betrokken. Wanneer een spraakoproep naar het systeem komt, komt het eerst via de toegangsgateway of CUBE, dus start de configuraties op CUBE. Configureer vervolgens CVP, CVVB en CUCM.
In deze taak vormt u CUBE om SIP-protocolberichten en RTP te beveiligen.
Vereiste configuraties:
Stappen:
Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit
In deze taak, vorm de CVP gespreksserver om de SIP protocolberichten (SIP TLS) te beveiligen.
Stappen:
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
Op basis van uw configuraties hebt u SIP-servergroepen geconfigureerd voor CUCM, CVVB en CUBE. U moet beveiligde SIP-poorten instellen op 5061 voor alle poorten. In dit voorbeeld worden deze SIP-servergroepen gebruikt:
cucm1.dcloud.cisco.com
voor CUCMvvb1.dcloud.cisco.com
voor CVVBcube1.dcloud.cisco.com
voor CUBEcucm1.dcloud.cisco.com
en vervolgens in de Members
tabblad dat de details van de SIP-servergroepconfiguraties weergeeft. instellen SecurePort
in 5061
en klik op
Save
.
vvb1.dcloud.cisco.com
en vervolgens in de Members
tabblad stelt u de SecurePort
in 5061
en klik op Save
.
Bij deze taak moet u CVVB configureren om de SIP-protocolberichten (SIP TLS) en SRTP te beveiligen.
Stappen:
Cisco VVB Admin
pagina.System > System Parameters
.
Security Parameters
sectie, kies Enable
voor TLS (SIP)
. Bewaar de Supported TLS(SIP) version as TLSv1.2
en kiezen Enable
voor SRTP
.
Update
. Klik Ok
wanneer de CVVB-motor opnieuw wordt gestart.
Cisco VVB Serviceability
klikt u vervolgens op Go
.
Tools > Control Center – Network Services
.
Engine
en klik op Restart
.
Voer deze configuraties uit om SIP-berichten en RTP op CUCM te beveiligen:
CUCM ondersteunt twee beveiligingsmodi:
Stappen:
System > Enterprise Parameters
.
Security Parameters
sectie, controleer of Cluster Security Mode
is ingesteld op 0
.
Utils ctl set-cluster gemengde modus
y
en klik op Enter
wanneer hierom wordt gevraagd. Met deze opdracht wordt de clusterbeveiligingsmodus op gemengde modus ingesteld.
Cisco CallManager
en de Cisco CTIManager
diensten.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.Go
.
Cisco CallManager
klikt u vervolgens op Restart
knop boven aan de pagina.
OK
. Wacht tot de service opnieuw is gestart.
Cisco CallManager
, kiest u de Cisco CTIManager
klik vervolgens op Restart
knop om opnieuw te starten Cisco CTIManager
de dienst.
OK
. Wacht tot de service opnieuw is gestart.
Cluster Security Mode
. Nu moet het worden ingesteld op 1
.
Stappen:
System > Security > SIP Trunk Security Profile
om een beveiligingsprofiel voor een apparaat te maken voor CUBE.
SIP Trunk Security Profile
als deze afbeelding en klik vervolgens op Save
onderaan links op de pagina.
5. Zorg ervoor dat de Secure Certificate Subject or Subject Alternate Name
de algemene benaming (GN) van het CUBE-certificaat, zoals deze moet overeenstemmen.
6. Klik op Copy
en wijzigt u de Name
in SecureSipTLSforCVP
. Wijzigen Secure Certificate Subject
CVP call server certificaat zoals het moet overeenkomen. Klik Save
knop.
Stappen:
Device > Trunk
.
vCube
klikt u vervolgens op Find
.
vCUBE
om de vCUBE trunkconfiguratiepagina te openen.Device Information
sectie, controleer de SRTP Allowed
controledoos om SRTP toe te laten.
SIP Information
sectie, en wijzigt u de Destination Port
in 5061
.SIP Trunk Security Profile
in SecureSIPTLSForCube
.
Save
dan Rest
in save
en wijzigingen toepassen.
Device > Trunk
, zoek naar CVP trunk, in dit voorbeeld CVP trunknaam is cvp-SIP-Trunk
. Klik Find
.
CVP-SIP-Trunk
om de CVP configuratie pagina te openen.Device Information
sectie, controle SRTP Allowed
controledoos om SRTP toe te laten.
SIP Information
sectie wijzigt u de Destination Port
in 5061
.SIP Trunk Security Profile
in SecureSIPTLSForCvp
.
Save
dan Rest
in save
en wijzigingen toepassen.
Om de beveiligingsfuncties voor een apparaat in te schakelen, moet u een LSC (Local Significant Certificate) installeren en het beveiligingsprofiel aan dat apparaat toewijzen. LSC bezit de openbare sleutel voor het eindpunt, dat door de private sleutel van CUCM CAPF wordt ondertekend. Het wordt niet geïnstalleerd op telefoons door gebrek.
Stappen:
Cisco Unified Serviceability
interface.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
en klik op Save
om de service te activeren. Klik Ok
om te bevestigen.
System > Security > Phone Security Profile
om een beveiligingsprofiel voor het agent-apparaat te maken.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Klik op pictogram kopiëren om dit profiel te kopiëren.
Cisco Unified Client Services Framework - Secure Profile
. CVerander de parameters zoals in dit beeld dan klik Save
bovenaan links van de pagina.
Device > Phone
.
Find
om van alle beschikbare telefoons een lijst te maken en klik dan op de telefoon van de agent.Certification Authority Proxy Function (CAPF) Information
doorsnede. Zo installeert u LSC Certificate Operation
in Install/Upgrade
en Operation Completes by
naar een latere datum.
Protocol Specific Information
doorsnede en wijzig de Device Security Profile
in Cisco Unified Client Services Framework – Secure Profile
.
Save
bovenaan links van de pagina. Zorg ervoor dat de wijzigingen zijn opgeslagen en klik vervolgens op Reset
.
Reset
om de actie te bevestigen.
Certification Authority Proxy Function (CAPF) Information
doorsnede, Certificate Operation
moet worden ingesteld op No Pending Operation
en Certificate Operation Status
is ingesteld op Upgrade Success
.
Voer de volgende stappen uit om te controleren of RTP goed is beveiligd:
show call active voice brief
Tip: controleer of de SRTP is on
tussen CUBE en VVB (198.18.13.143). Als ja, dit bevestigt RTP verkeer tussen CUBE en VVB is veilig.
show call active voice brief
Tip: controleer of de SRTP is on
tussen CUBE en de telefoons van de agenten (198.18.133.75). Als ja, bevestigt dit RTP-verkeer tussen CUBE en Agent is veilig.
Om te bevestigen dat de SIP-signalen goed zijn beveiligd, raadpleegt u artikel Secure SIP-signalering configureren.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
21-Dec-2022 |
Eerste vrijgave |