Vorbereitungen

  • Aufgrund der erkannten Schwachstellen wird Webex Calling das RSAES-PKCS1-v1 _ 5-Verschlüsselungsschema, das von der Site Survivability-Lösung am 1. September 2024 verwendet wird, verwerfen. Nach diesem Datum ist das RSAES-OAEP-Verschlüsselungsschema obligatorisch.

    Um den weiteren Betrieb mit diesem Verschlüsselungsschema sicherzustellen, aktualisieren Sie Ihre Site Survivability Gateways vor dem 1. September 2024 auf Cisco IOS XE Dublin 17.12.3. Für die Verwendung des neuen Verschlüsselungsschemas nach diesem Upgrade sind keine Konfigurationsänderungen erforderlich.

Standardmäßig arbeiten Webex Calling-Endpunkte im aktiven Modus und stellen eine Verbindung zur Webex-Cloud für die SIP-Registrierung und Anrufsteuerung her. Wenn die Netzwerkverbindung zu Webex jedoch unterbrochen wird, wechseln Endpunkte automatisch in den Survivability-Modus und Registrierungen greifen auf das Survivability Gateway innerhalb des lokalen Netzwerks zurück. Während sich Endpunkte im Survivability-Modus befinden, bietet das Survivability Gateway einen grundlegenden Backup-Anrufdienst für diese Endpunkte. Nachdem die Netzwerkverbindung zu Webex fortgesetzt wurde, werden die Anrufsteuerung und die Registrierungen in die Webex-Cloud zurückgesetzt.

Während sich Endpunkte im Survivability-Modus befinden, können Sie die folgenden Anrufe tätigen:

  • Interne Anrufe (intrasite) zwischen unterstützten Webex Calling-Endpunkten

  • Externe Anrufe (eingehend und ausgehend) über eine lokale PSTN-Schaltung oder einen SIP-Trunk an externe Nummern und E911-Anbieter

Das folgende Bild zeigt ein Szenario für einen Netzwerkausfall, bei dem die Verbindung zu Webex unterbrochen ist und Endpunkte auf der Webex-Site im Survivability-Modus arbeiten. Im Bild leitet das Survivability Gateway einen internen Anruf zwischen zwei lokalen Endpunkten weiter, ohne dass eine Verbindung mit Webex erforderlich ist. In diesem Fall ist das Survivability Gateway mit einer lokalen PSTN-Verbindung konfiguriert. Daher können lokale Endpunkte im Survivability-Modus das PSTN für eingehende und ausgehende Anrufe an externe Nummern und E911-Anbieter verwenden.

Webex Calling-Endpunkte im Survivability-Modus

Um diese Funktion verwenden zu können, müssen Sie einen Cisco IOS XE-Router im lokalen Netzwerk als Survivability Gateway konfigurieren. Das Survivability Gateway synchronisiert täglich Anrufinformationen aus der Webex-Cloud für Endpunkte an diesem Standort. Wenn die Endpunkte in den Survivability-Modus wechseln, kann das Gateway diese Informationen verwenden, um SIP-Registrierungen zu übernehmen und grundlegende Anrufdienste bereitzustellen.

Für das Survivability Gateway gelten die folgenden Bedingungen:

  • Die Webex-Cloud enthält die IP-Adresse des Survivability-Gateways, den Hostnamen und den Port in der Gerätekonfigurationsdatei. Infolgedessen können Endpunkte das Survivability Gateway zur Registrierung kontaktieren, wenn die Verbindung zu Webex unterbrochen wird.

  • Die tägliche Anrufdatensynchronisierung zwischen der Webex-Cloud und dem Survivability Gateway umfasst Authentifizierungsinformationen für registrierte Benutzer. Daher können Endpunkte auch im Survivability-Modus sichere Registrierungen aufrechterhalten. Die Synchronisierung umfasst auch Routing-Informationen für diese Benutzer.

  • Das Survivability-Gateway kann interne Anrufe mithilfe der von Webex bereitgestellten Routing-Informationen automatisch weiterleiten. Fügen Sie dem Survivability Gateway eine PSTN-Trunk-Konfiguration hinzu, um externe Anrufe bereitzustellen.

  • Für jeden Standort, der die Site-Survivability bereitstellt, ist ein Survivability-Gateway innerhalb des lokalen Netzwerks erforderlich.

  • Registrierungen und Anrufsteuerung werden beide in die Webex-Cloud zurückgesetzt, sobald die Webex-Netzwerkverbindung mindestens 30 Sekunden lang fortgesetzt wird.

Funktionsunterstützung

Unterstützte Funktionen und Komponenten

Die folgende Tabelle enthält Informationen zu unterstützten Funktionen.

Tabelle 1. Unterstützte Anruffunktionen
Funktion Kommentare
Anrufe über Intrasite-Anschlüsse

Wird automatisch unterstützt, ohne dass eine bestimmte Routing-Konfiguration auf dem Survivability Gateway erforderlich ist.

Alternative Nummern und virtuelle Anschlüsse werden bei Anrufen über Intrasite-Anschlüsse jedoch nicht unterstützt.

Standortübergreifende und PSTN-Anrufe (eingehend und ausgehend)PSTN-Anrufe basierend auf einer Telefonverbindung oder einem SIP-Trunk.
E911-Anrufverarbeitung

Für E911-Anrufe ist eine PSTN-Schaltung oder ein SIP-Trunk erforderlich.

Ausgehende Anrufe verwenden eine bestimmte registrierte Emergency Location Identification Number (ELIN) für einen definierten Emergency Response Location (ERL). Wenn der Notfalloperator einen getrennten Anruf zurückgibt, leitet das Survivability-Gateway den Anruf an das letzte Gerät weiter, das die Notrufnummer angerufen hat.

Anruf halten und wieder aufnehmen

Unterstützt

Wenn Sie die Warteschleifenmusik verwenden, stellen Sie das Survivability-Gateway manuell mit einer MOH-Datei bereit.
Anrufübergabe mit Anrufverteilung Unterstützt
Übergabe ohne Rückfrage Unterstützt
ID des eingehenden Anrufers (Name)Unterstützt
ID des eingehenden Anrufers (Name und Nummer)Unterstützt
Punkt-zu-Punkt-VideoanrufUnterstützt
Drei-Wege-AnrufeNicht unterstützt
Darstellung freigegebener AnrufeUnterstützt mit der Webex-App und dem Schreibtischtelefon.

Wenn die Funktion konfiguriert ist, ist die Site-Survivability für die folgenden unterstützten Endpunkte verfügbar.

Tabelle 2: Unterstützte Endpunktmodelle
EingabeModelleMindestversion
Cisco IP-Telefon mit Multiplattform-Firmware (MPP)

6821, 6841, 6851, 6861, 6861 Wi-Fi, 6871

7811, 7821, 7841, 7861

8811, 8841, 8851, 8861

8845 (nur Audio), 8865 (nur Audio)

Weitere Informationen zu unterstützten Cisco IP-Telefonen mit Multiplattform-Firmware (MPP) finden Sie unter:

12.0(1)

Cisco Webex-AppWindows, Mac

43.2

Die folgende Tabelle enthält Details zu Cisco IOS XE-Routern, die als Survivability Gateway konfiguriert werden können. Die Tabelle enthält auch Informationen über die maximale Anzahl von Endpunkten, die jede Plattform unterstützt, und die minimale IOS XE-Version.

Tabelle 3. Unterstützte Plattformmodelle
ModellMaximale EndpunktregistrierungMindestversion
Integrierter Dienstrouter 432150

Cisco IOS XE Dublin 17.12.3 oder neuere Versionen

Integrierter Dienstrouter 4331100
Integrierter Dienstrouter 4351700
Router für integrierte Dienste 44311200
Integrierter Services Router 4451-X2000
Router für integrierte Dienste 44612000
Katalysatorkante 8200L-1N-4T1500
Katalysatorkante 8200-1N-4T2500
Katalysatorkante 8300-1N1S-6T2500
Katalysator-Edge 8300-2N2S-6T2500
Katalysator Edge 8300-1N1S-4T2X2500
Katalysator Edge 8300-2N2S-4T2X2500
Catalyst Edge 8000V Software kleine Konfiguration500
Catalyst Edge 8000V Software mittlere Konfiguration1000
Catalyst Edge 8000V Software große Konfiguration2000
Port-Referenzinformationen für Survivability Gateway
Tabelle 4. Port-Referenzinformationen für Survivability Gateway

Zweck der Verbindung:

Quelladressen

Quellports

Protokoll

Zieladressen

Zielports

Anrufsignalisierung an Survivability Gateway (SIP TLS)

Geräte

5060-5080

TLS

Survivability-Gateway

8933

Anrufmedien an Survivability Gateway (SRTP)

Geräte

19560-19660

UDP

Survivability-Gateway

8000-14198 (SRTP über UDP)

Anrufsignalisierung an PSTN-Gateway (SIP)

Survivability-Gateway

Vorübergehend

TCP oder UDP

Ihr ITSP-PSTN-Gateway

5060

Anrufmedien an PSTN-Gateway (SRTP)

Survivability-Gateway

8000-48198

UDP

Ihr ITSP-PSTN-Gateway

Vorübergehend

Zeitsynchronisierung (NTP)

Survivability-Gateway

Vorübergehend

UDP

NTP-Server

123

Namensauflösung (DNS)

Survivability-Gateway

Vorübergehend

UDP

DNS-Server

53

Cloudverwaltung

Konnektor

Vorübergehend

HTTPS

Webex-Dienste

443, 8433

Betriebsanleitungen zum Cloud-Modus finden Sie im Hilfeartikel „Port-Referenzinformationen für Webex Calling“.

Sie können die Porteinstellungswerte in Cisco IOS XE-Routern anpassen. Diese Tabelle verwendet Standardwerte, um Anweisungen zu geben.

Colocation mit Unified SRST

Das Survivability-Gateway unterstützt die Zusammenlegung einer Webex Survivability-Konfiguration und einer Unified SRST-Konfiguration auf demselben Gateway. Das Gateway kann die Survivability sowohl für Webex Calling-Endpunkte als auch für Endpunkte unterstützen, die sich bei Unified Communications Manager registrieren. So konfigurieren Sie Colocation:

  • Konfigurieren Sie die Unified SRST-Unterstützung für Endpunkte, die sich bei Unified Communications Manager registrieren. Informationen zur Konfiguration finden Sie unter Cisco Unified SRST – Administratorhandbuch .

  • Befolgen Sie auf demselben Gateway den Ablauf der Site-Survivability-Konfigurationsaufgabe in diesem Artikel, um das Gateway mit Site-Survivability für Webex Calling-Endpunkte zu konfigurieren.

Überlegungen zur Anrufweiterleitung bei Colocation

Berücksichtigen Sie Folgendes, wenn Sie die Anrufverteilung für Colocation-Szenarien konfigurieren:

  • Das Survivability-Gateway leitet interne Anrufe automatisch weiter, vorausgesetzt, dass beide Endpunkte im Anruf beim Survivability-Gateway registriert sind. Interne Anrufe werden automatisch zwischen registrierten Clients (SRST oder Webex Calling) weitergeleitet.

  • Es ist möglich, dass die Verbindung zu einem Anrufsteuerungssystem ausfällt, während die Verbindung zu dem anderen Anrufsteuerungssystem weiterhin aktiv ist. Daher wird eine Gruppe von Endpunkten am Survivability Gateway registriert, während eine andere Gruppe von Endpunkten am selben Standort für die primäre Anrufsteuerung registriert wird. In diesem Fall müssen Sie Anrufe möglicherweise zwischen den beiden Endpunkten an einen SIP-Übertragungsweg oder eine PSTN-Schaltung weiterleiten.

  • Externe Anrufe und E911-Anrufe können an einen SIP-Übertragungsweg oder eine PSTN-Schaltung weitergeleitet werden.

Einschränkungen und Einschränkungen

  • Die Verfügbarkeit von PSTN-Diensten (Public Switched Telephone Network) hängt von den SIP-Übertragungswegen oder PSTN-Schaltungen ab, die während eines Netzwerkausfalls verfügbar sind.

  • Geräte mit 4G- und 5G-Konnektivität (z. B. Webex-App für Mobilgeräte oder Tablets) können sich bei Ausfällen weiterhin bei Webex Calling registrieren. Daher können andere Nummern während eines Ausfalls nicht vom selben Standort aus angerufen werden.

  • Wählmuster können im Survivability-Modus anders funktionieren als im Aktivmodus.

  • Diese Funktion unterstützt die Beibehaltung von Anrufen bei einem Fallback auf das Survivability Gateway nicht. Anrufe werden jedoch beibehalten, wenn die Konnektivität zum Cloud-Dienst wiederhergestellt wird.

  • Wenn ein Ausfall auftritt, kann es einige Minuten dauern, bis die Geräte erfolgreich am Survivability Gateway registriert wurden.

  • Das Survivability-Gateway muss eine IPv4-Adresse verwenden. IPv6 wird nicht unterstützt.

  • Eine Aktualisierung des Status einer On-Demand-Synchronisierung im Control Hub kann bis zu 30 Minuten dauern.

  • Das Cisco Webex-Multicall-Fenster wird in Version 43.2 nicht unterstützt. Wenn Sie ein Multicall-Fenster verwenden, deaktivieren Sie es im Survivability-Modus und verwenden Sie die Hauptanwendung, um Anrufe zu tätigen oder zu empfangen.

  • Konfigurieren Sie den SIP-Bindungsbefehl nicht im VoIP-Konfigurationsmodus des Sprachdiensts. Dies führt zu einem Registrierungsfehler bei MPP-Telefonen mit Survivability Gateway.

Im Survivability-Modus:

  • MPP-Softkeys wie „Parken“, „Entparken“, „Aufschalten“, „Annehmen“, „Gruppenannahme“ und „Anruf abziehen“ werden nicht unterstützt. Sie erscheinen jedoch nicht deaktiviert.

  • Anrufe an gemeinsam genutzte Leitungen können auf allen Geräten klingeln. Andere Funktionen für gemeinsam genutzte Leitungen wie Remote-Leitungsstatus-Überwachung, Halten, Fortsetzen, synchronisierte Ruhefunktion und Anrufweiterleitungseinstellungen sind jedoch nicht verfügbar.

  • Konferenzen oder Drei-Wege-Anrufe sind nicht verfügbar.

  • Das lokale Anrufprotokoll für getätigte, angenommene und verpasste Anrufe ist für MPP-Telefone nicht verfügbar.

Funktionskonfiguration

Ablauf der Konfigurationsaufgabe für die Survivability der Site

Führen Sie die folgenden Aufgaben aus, um die Site-Survivability für einen vorhandenen Webex Calling-Standort hinzuzufügen. Wenn die Verbindung zur Webex-Cloud unterbrochen wird, kann ein Survivability-Gateway im lokalen Netzwerk eine Backup-Anrufsteuerung für Endpunkte an diesem Standort bereitstellen.

Vorbereitungen

Wenn Sie ein neues Gateway bereitstellen müssen, das als Survivability Gateway fungieren soll, lesen Sie den Webex-Artikel Registrieren Sie Cisco IOS Managed Gateways in Webex Cloud , um das Gateway zu Control Hub hinzuzufügen.

SchritteBefehl oder AktionZiel

1

Survivability-Dienst einem Gateway zuweisen

Weisen Sie in Control Hub den Dienst Survivability Gateway einem Gateway zu.

2

Konfigurationsvorlage herunterladen

Laden Sie die Konfigurationsvorlage von Control Hub herunter. Sie benötigen die Vorlage, wenn Sie die Gateway-Befehlszeile konfigurieren.

3

Lizenzierung konfigurieren

Konfigurieren Sie Lizenzen für das Survivability Gateway.

4

Zertifikate auf Cisco IOS XE konfigurieren

Konfigurieren Sie Zertifikate für das Survivability-Gateway.

5

Gateway als Survivability-Gateway konfigurieren

Verwenden Sie die Konfigurationsvorlage, die Sie zuvor heruntergeladen haben, als Leitfaden zum Konfigurieren der Gateway-Befehlszeile. Schließen Sie alle obligatorischen Konfigurationen in der Vorlage ab.

Survivability-Dienst einem Gateway zuweisen
Verwenden Sie dieses Verfahren in Control Hub, um ein vorhandenes Gateway als Survivability Gateway zuzuweisen.

Vorbereitungen

Wenn das Gateway nicht in Control Hub vorhanden ist, finden Sie weitere Informationen unter Cisco IOS Gateways zu Webex Calling registrieren , um eine neue Gateway-Instanz hinzuzufügen.
1

Melden Sie sich bei Control Hub an unter https://admin.webex.com.

Wenn Sie eine Partnerorganisation sind, wird Partner Hub gestartet. Klicken Sie zum Öffnen von Control Hub auf die Ansicht Kunde in Partner Hub, und wählen Sie den entsprechenden Kunden aus, oder wählen Sie Meine Organisation aus, um die Control Hub-Einstellungen für die Partnerorganisation zu öffnen.

2

Klicken Sie in Control Hub unter SERVICES auf Calling und anschließend auf die Registerkarte Verwaltete Gateways .

In der Ansicht „Verwaltete Gateways“ wird die Liste der Gateways angezeigt, die Sie über Control Hub verwalten. In der Spalte Dienst wird die aktuelle Dienstzuweisung angezeigt.
3

Wählen Sie für das Gateway, das Sie als Survivability Gateway zuweisen möchten, basierend auf dem Wert des Felds Dienst eine der folgenden Optionen aus:

  • Nicht zugewiesen (leerer Wert) – Klicken Sie auf Dienst zuweisen und fahren Sie mit dem nächsten Schritt fort.

  • Survivability Gateway – Wenn Sie vorhandene Gateway-IP-Einstellungen bearbeiten möchten, gehen Sie zu Survivability Gateway-Eigenschaften bearbeiten . Gehen Sie andernfalls zum nächsten Vorgang im Flow.

4

Wählen Sie in der Dropdown-Liste Servicetyp die Option Survivability Gateway aus, und füllen Sie die folgenden Felder aus:

  • Standort – Wählen Sie in der Dropdown-Liste einen Standort aus.

  • Hostname – Geben Sie den vollständig qualifizierten Domänennamen (FQDN) ein, der beim Erstellen des Zertifikats für das Gateway verwendet wird. Es kann sich um einen Namen handeln, der im Feld "Subject Alternate Name" (SAN) des Zertifikats enthalten ist. Der FQDN und die IP-Adresse werden nur zum Herstellen einer sicheren Verbindung mit dem Gateway verwendet. Daher ist es nicht zwingend erforderlich, sie in DNS einzugeben.

  • IP-Adresse : Geben Sie im IPv4-Format die IP-Adresse des Survivability-Gateways ein. Geräte werden im Survivability-Modus für diese Adresse registriert.

5

Klicken Sie auf Zuweisen.

(Optional) Zuweisung des Survivability-Dienstes aufheben – Wenn Sie das Survivability Gateway von einem Gateway entfernen möchten, gehen Sie zu Zuweisung der Dienste eines verwalteten Gateways aufheben .
Konfigurationsvorlage herunterladen
Laden Sie die Konfigurationsvorlage von Control Hub herunter. Sie benötigen die Vorlage, wenn Sie die Gateway-Befehlszeile konfigurieren.
1

Melden Sie sich bei Control Hub an unter https://admin.webex.com.

Wenn Sie eine Partnerorganisation sind, wird Partner Hub gestartet. Klicken Sie zum Öffnen von Control Hub auf die Ansicht Kunde in Partner Hub, und wählen Sie den entsprechenden Kunden aus, oder wählen Sie Meine Organisation aus, um die Control Hub-Einstellungen für die Partnerorganisation zu öffnen.

2

Klicken Sie in Control Hub unter SERVICES auf Calling und anschließend auf die Registerkarte Verwaltete Gateways .

3

Klicken Sie auf das entsprechende Survivability Gateway.

4

Klicken Sie auf Konfigurationsvorlage herunterladen und laden Sie die Vorlage auf Ihren Desktop oder Laptop herunter.

Lizenzierung konfigurieren
Stellen Sie sicher, dass Sie über die entsprechenden Plattformlizenzen für Ihr Gateway verfügen. Konfigurieren Sie Lizenzen mithilfe der Befehle, die für Ihre Plattform geeignet sind.
1

Geben Sie den globalen Konfigurationsmodus auf dem Router ein:

Terminal konfigurieren aktivieren
2

Konfigurieren Sie Lizenzen mit den Befehlen, die nur für Ihre spezifische Plattform gelten.

  • Für die Cisco ISR 4000-Serie:

    Lizenz Boot Level uck9 Lizenz Boot Level securityk9

  • Verwenden Sie für Edge-Plattformen der Cisco Catalyst 8300- und 8200-Serie die DNA Network Advantage-Funktionslizenz oder besser, und geben Sie den erforderlichen Durchsatz ein. Das folgende Beispiel verwendet einen bidirektionalen Krypto-Durchsatz von 25Mbit/s. Wählen Sie den geeigneten Pegel für die Anzahl der Anrufe aus, die Sie vorhersehen.

    Lizenz Boot-Level Netzwerk-Vorteil Addon dna Vorteil Plattform Hardware-Durchsatz Krypto 25M

  • Verwenden Sie für Cisco Catalyst 8000V Edge Software die DNA Network Essentials-Funktionslizenz oder geben Sie den erforderlichen Durchsatz ein. Das folgende Beispiel verwendet einen Durchsatz von 1 Gbit/s. Wählen Sie den geeigneten Pegel für die Anzahl der Anrufe aus, die Sie vorhersehen.

    Lizenz Boot Level Netzwerk-essentials Addon dna essentials Plattform Hardware Durchsatz Level MB 1000
Wenn Sie den Durchsatz höher als 250Mbp konfigurieren, benötigen Sie eine HSEC-Plattformlizenz.

Zertifikate konfigurieren

Zertifikate auf Cisco IOS XE konfigurieren

Complete the following steps to request and create certificates for the Survivability Gateway. Use certificates signed by a publicly known Certificate Authority.

Survivability Gateway platform only supports publicly known CA certificates. Private or enterprise CA certificates can’t be used for Survivability Gateway.

For a list of root certificate authorities that are supported for Webex Calling, see What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms?.

Survivability Gateway platform doesn’t support the wildcard certificate.

Run the commands from the sample code to complete the steps. For additional information on these commands, along with more configuration options, see the “ SIP TLS Support” chapter in the Cisco Unified Border Element Configuration Guide.

1

Enter global configuration mode by running the following commands:

enable configure terminal
2

Generate the RSA private key by running the following command. The private key modulus must be at least 2048 bits.

crypto key generate rsa general-keys label webex-sgw exportable modulus 2048
3

Configure a trustpoint to hold the Survivability Gateway certificate. The gateway fully qualified domain name (fqdn) must use the same value that you used when assigning the survivability service to the gateway.

crypto pki trustpoint webex-sgw enrollment terminal fqdn <gateway_fqdn> subject-name cn=<gateway_fqdn> subject-alt-name <gateway_fqdn> revocation-check crl rsakeypair webex-sgw
4

Generate a Certificate Signing Request by running the crypto pki enroll webex-sgw command.

When prompted, enter yes.

After the CSR displays on screen, use Notepad to copy the certificate to a file that you can send to a supported certificate authority (CA).

If your certificate signing provider requires a CSR in PEM (Privacy Enhanced Mail) format, add a header and footer before submitting. Beispiel: 

-----BEGIN CERTIFICATE REQUEST----- <Insert CSR here> -----END CERTIFICATE REQUEST-----
5

After the CA issues you a certificate, run the crypto pki authenticate webex-sgw command to authenticate the certificate. You can run this command from either exec or config mode.

When prompted, paste the base 64 CER/PEM issuing CA certificate contents (not the device certificate) into the terminal.

6

Import the signed host certificate to the trustpoint using the crypto pki import webex-sgw certificate command.

When prompted, paste the base 64 CER/PEM certificate into the terminal.

7

Check that the root CA certificate is available:

Only publicly known certificate authorities are supported with the Webex Calling solution. Private or enterprise CA certificates aren’t supported.

  1. Find the root CA common name by running show crypto pki certificates webex-sgw | begin CA Cert. Look for the issuer cn= <value>.

  2. Run the show crypto pki trustpool | include cn= command and check whether this root CA certificate is installed with the Cisco CA bundle. If you see your CA, skip to step 9.

  3. If you don't see your certificate, run the following command to install the extended IOS CA bundle.

    crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios_union.p7b

  4. Repeat these substeps to determine if the root CA certificate is now available. After you repeat the substeps:

    If the certificate isn’t available, go to step 8. If the certificate is available, go to step 9.

8

If your root CA certificate isn’t included in the bundle, acquire the certificate and import it to a new trustpoint.

Perform this step if a publicly known CA root certificate isn’t available with your Cisco IOS XE gateway.

crypto pki trustpoint <CA name> enrollment terminal revocation-check crl crypto pki authenticate <CA name>

When prompted, paste the base 64 CER/PEM certificate contents into the terminal.

9

Using configuration mode, specify the default trust point, TLS version and SIP-UA defaults with the following commands.

sip-ua no remote-party-id retry invite 2 transport tcp tls v1.2 crypto signaling default trustpoint webex-sgw handle-replaces
Import certificates along with keypairs

You can import CA certificates and keypairs as a bundle using the PKCS12 format (.pfx or .p12). You can import the bundle from a local file system or a remote server. PKCS12 is a special type of certificate format. It bundles the entire certificate chain from the root certificate through the identity certificate, along with the RSA keypair. That is, the PKCS12 bundle you import would include the keypair, host certificates, and intermediate certificates. Import a PKCS12 bundle for the following scenarios:

  • Export from another Cisco IOS XE router and import into your Survivability Gateway router

  • Generation of the PKCS12 bundle outside Cisco IOS XE router using OpenSSL

Complete the following steps to create, export, and import certificates and keypairs for your Survivability Gateway router.

1

(Optional) Export the PKCS12 bundle required for your Survivability Gateway router.

crypto pki export webex-sgw pkcs12 terminal password xyz123

This step is applicable only if you export from another Cisco IOS XE router.

2

(Optional) Create a PKCS12 bundle using OpenSSL.

  1. Verify that the OpenSSL is installed on the system that this process is run on. For Mac OSX and GNU/Linux users, it’s installed by default.

  2. Switch to the directory where your keys, certificate, and chain files are stored.

    Unter Windows: By default, the utilities are installed in C:\Openssl\bin. Open a command prompt in this location.

    On Mac OSX/Linux: Open the Terminal window in the directory needed to create the PKCS12 certificate.

  3. In the directory, save the private key (privateKey.key), identity certificate (certificate.crt), and root CA certificate chain (CACert.crt) files.

    Combine the private key, identity certificate, and the root CA certificate chain into a PKCS12 file. Enter a passphrase to protect your PKCS12 certificate.

    console> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    Provide a password when using OpenSSL to generate the PKCS12 file.

This step is applicable only if you generate a PKCS12 bundle outside Cisco IOS XE using OpenSSL.

3

Import the file bundle in PKCS12 format.

crypto pki import <trustpoint name> pkcs12 <certificate file location> password <file password>

The following is a sample configuration for the command and details regarding the configurable parameters: 

crypto pki import webex-sgw pkcs12 bootflash:certificate.pfx password xyz123

  • <trustpoint name>—Name of the trustpoint that is created when using this command (For example, webex-sgw).

  • <certificate file location>—Local or network URL pointing to the certificate file (For example, bootflash:certificate.pfx)

  • <file password>—The password that's used when creating the PKCS12 file (For example, xyz123).

The crypto pki import command automatically builds the trustpoint to accommodate the certificate.

4

Using configuration mode, specify the default trust point, TLS version and SIP-UA defaults with the following commands.

sip-ua no remote-party-id retry invite 2 transport tcp tls v1.2 crypto signaling default trustpoint webex-sgw handle-replaces

Configure Survivability Gateway

Configure gateway as a survivability gateway

Use the configuration template that you downloaded earlier as a guide to configuring the gateway command line. Complete the mandatory configurations in the template.

The following steps contain sample commands along with an explanation of the commands. Edit the settings to fit your deployment. The angled brackets (for example, <settings>) identify settings where you should enter values that apply to your deployment. The various <tag> settings use numerical values to identify and assign sets of configurations.

  • Unless stated otherwise, this solution requires that you complete all the configurations in this procedure.

  • When applying settings from the template, replace %tokens% with your preferred values before you copy to the gateway.

  • For more information on the commands, see Webex Managed Gateway Command Reference. Use this guide unless the command description refers you to a different document.

1

Enter into global configuration mode.

enable configure terminal

Hierbei gilt:

  • enable—Enables privileged EXEC mode.

  • configure terminal—Enables global configuration mode.

2

Perform the voice service configurations:

voice service voip ip address trusted list ipv4 <ip_address> <subnet_mask> ipv4 <ip_address> <subnet_mask> allow-connections sip to sip supplementary-service media-renegotiate no supplementary-service sip refer trace sip asymmetric payload full registrar server

Erläuterung der Befehle:

  • ip address trusted list—Defines a list of nonregistering addresses that the Survivability Gateway must accept SIP messages from. For example, a SIP trunk peer address.

  • <ip_address> and <subnet_mask> represent trusted address ranges. You don't need to enter directly connected subnets as the Survivability Gateway trusts them automatically.

  • allow-connections sip to sip—Allows SIP to SIP connections in a VoIP network.

  • no supplementary-service sip refer—Disable REFER method for call forward and call transfer supplementary services. Webex Calling doesn’t use these methods.

  • sip—Enters service SIP configuration mode.

  • registrar server—Enable the SIP registrar to allow Webex Calling clients to register to the gateway.

  • asymmetric payload full—Enables video calling in survivability mode.

3

Enable Survivability on the router:

voice register global mode webex-sgw max-dn 50 max-pool 50 exit

Erläuterung der Befehle:

  • voice register global—Enters global voice registration mode.

  • mode webex-sgw—Enables Webex Calling Survivability mode and Survivable Remote Site Telephony for Unified Communications Manager endpoints.

    After mode webex-sgw configuration, Survivability Gateway listens on port 8933 for incoming secure connections from endpoints.

  • max-dn—Limits the number of directory numbers that the router can handle. For this solution, always configure the maximum value available for your platform.

  • max-pool—Sets the maximum number of devices that can register to the gateway. Set this value to the maximum that your platform allows, as described in Table 3.

4

Configure NTP servers:

ntp server <ip_address_of_primary_NTP_server> ntp server <ip_address_of_secondary_NTP_server>

5

(Optional). Configure general Class of Restriction call permissions:

dial-peer cor custom name Wx_calling_Internal name Wx_calling_Toll-free name Wx_calling_National name Wx_calling_International name Wx_calling_Operator_Assistance name Wx_calling_Chargeable_Directory_Assistance name Wx_calling_Special_Services1 name Wx_calling_Special_Services2 name Wx_calling_Premium_Services1 name Wx_calling_Premium_Services2

The preceding example creates a set of custom class of restriction named categories (for example, Wx_calling_International). For details on how to use Class of Restrictions with dial peers, see "Class of Restrictions" in Dial Peer Configuration Guide, Cisco IOS Release 15M&T.

6

Configure a list of preferred codecs. For example, the following list specifies g711ulaw as the preferred codec, followed by g711alaw.

voice class codec 1 codec preference 1 g711ulaw codec preference 2 g711alaw

Erläuterung der Befehle:

  • voice class codec 1 enters voice-class configuration mode for the codec group 1.

  • codec preference identifies the preferred codecs for this codec group.

7

Configure default voice register pools per location:

voice register pool 1 id network 0.0.0.0 mask 0.0.0.0 dtmf-relay rtp-nte voice-class codec 1

Erläuterung der Befehle:

  • voice register pool 1—Enters voice register pool configuration mode for SIP devices in this pool.

  • id network and mask identify a SIP device, or set of network devices that use this pool. Use the addresses and masks that apply to your deployment. The address 0.0.0.0 allows devices from anywhere to register (if the device addresses are in the permit list).

  • id extension-number—The pool applies to the Webex Calling user at extension 1234 specifically. Use the appropriate extensions for your network.

  • dtmf-relay specifies the rtp-nte method for sending DTMF digits. In this example, Real-Time Transport (RTP) with Named phone event (NTE) payload type.

  • voice-class codec 1—Assigns codec group 1 to this pool.

8

Configure emergency calling:

voice emergency response location 1 elin 1 <number> subnet 1 <ip-group> <subnet-mask> voice emergency response location 2 elin 1 <number> subnet 1 <ip-group> <subnet-mask> voice emergency response zone 1 location 1 location 2 voice class e164-pattern-map 301 voice class e164-pattern-map 351

Erläuterung der Befehle:

  • voice emergency response location 1—Creates emergency response location group 1 for the enhanced 911 service. A subsequent command creates emergency response location group 2.

  • elin 1 <number>—Assigns an elin to the emergency response location. For this elin, the <number> portion defines a PSTN number to replace the extension of the 911 caller (for example, 14085550100).

  • subnet 1 <ip-group> <subnet-mask>—Defines a subnet group along with a specific subnet address for this emergency response location. Use this command to identify the caller network via an IP address and subnet mask. For example, subnet 1 192.168.100.0 /26.

  • voice emergency response zone 1—Defines an emergency response zone.

  • location 1 (and 2)—Assigns emergency response locations 1 and 2 to this emergency response zone.

  • voice class e164-pattern-map 301 (and 351)—Identifies e164 pattern maps 301 and 351 for this voice class. You can use the map to define dial plans and emergency location identifiers.

If the WiFi overlay doesn't match to IP subnets accurately, then emergency calling for nomadic devices may not have the correct ELIN mapping.
9

Configure dial peers for the PSTN. For an example of the dial peer configuration, see PSTN connection examples.

10

Optional. Enable Music on Hold for the router. You must store a music file in the router flash memory in G.711 format. The file can be in .au or .wav file format, but the file format must contain 8-bit 8-kHz data (for example, ITU-T A-law or mu-law data format).

call-manager-fallback moh enable-g711 "bootflash:<MOH_filename>"

Erläuterung der Befehle:

  • call-manager-fallback—Enters SRST configuration mode.

  • moh enable-g711 "bootflash:<MOH_filename>"—Enables unicast Music on Hold using G.711. Also provides the directory and audio filename (for example, bootflash:music-on-hold.au). The filename can’t exceed 128 characters.

Complete on-demand sync

Optional. Complete this procedure only if you want to complete an immediate on-demand sync. This procedure isn’t mandatory as the Webex cloud syncs call data to the Survivability Gateway once per day, automatically.

1

Melden Sie sich bei Control Hub an unter https://admin.webex.com.

If you’re a partner organization, Partner Hub launches. To open Control Hub, click the Customer view in Partner Hub and select the applicable customer or select My Organization to open Control Hub settings for the partner organization.

2

In Control Hub, under SERVICES, click Calling and then click the Managed Gateways tab.

3

Click on the applicable Survivability Gateway to open the Survivability Service view for that gateway.

4

Click the Sync button.

5

Klicken Sie auf Senden.

It may take up to 10 minutes to complete the sync.
Edit Survivability Gateway properties
Use this optional procedure only if you want to edit settings for an existing Survivability Gateway.
1

Melden Sie sich bei Control Hub an unter https://admin.webex.com.

If you’re a partner organization, Partner Hub launches. To open Control Hub, click the Customer view in Partner Hub and select the applicable customer, or select My Organization to open Control Hub settings for the partner organization.

2

In Control Hub, under SERVICES, click Calling and then click the Managed Gateways tab.

3

Click on the applicable Survivability Gateway to open the Survivability Service view for that gateway.

4

Click the Edit button and update settings for the following.

  • Host Name—Use the host name or Fully Qualified Domain Name of the certificate to establish the TLS connection with clients and IP Address.

  • IP Address—In IPv4 format, enter the IP address of the gateway to which devices register while operating in Survivability mode.

5

Klicken Sie auf Senden.

If you want to delete a Survivability Gateway from Control Hub, unassign the Survivability Gateway service first. For more details, see Assign Services to Managed Gateways.

Configuration examples

PSTN connection examples

For external calling, configure a connection to the PSTN. This topic outlines some of the options and provides sample configurations. The two main options are:

  • Voice Interface Card (VIC) connection to PSTN

  • SIP trunk to PSTN gateway

Voice interface card connection to PSTN

You can install a Voice Interface Card (VIC) on the router and configure a port connection to the PSTN.

SIP trunk to PSTN gateway

You can configure a SIP trunk connection that points to a PSTN gateway. To configure the trunk connection on the gateway, use the voice-class-tenant configuration. Following is a sample configuration. 

voice class tenant 300 sip-server ipv4:<ip_address>:<port> session transport udp bind all source-interface GigabitEthernet0/0/1

Dial peer configuration

For trunk connections, configure inbound and outbound dial peers for the trunk connection. The configuration depends on your requirements. For detailed configuration information, see Dial Peer Configuration Guide, Cisco IOS Release 15M&T.

Following are sample configurations:

Outbound dial-peers to the PSTN with UDP and RTP

dial-peer voice 300 voip description outbound to PSTN destination-pattern +1[2-9]..[2-9]......$ translation-profile outgoing 300 rtp payload-type comfort-noise 13 session protocol sipv2 session target sip-server voice-class codec 1 voice-class sip tenant 300 dtmf-relay rtp-nte no vad

Inbound dial-peer from the PSTN using UDP with RTP

voice class uri 350 sip host ipv4:<ip_address> ! dial-peer voice 190 voip description inbound from PSTN translation-profile incoming 350 rtp payload-type comfort-noise 13 session protocol sipv2 voice-class codec 1 voice-class sip tenant 300 dtmf-relay rtp-nte no vad

Number translations

For PSTN connections, you may need to use translation rules to translate internal extensions to an E.164 number that the PSTN can route. Following are sample configurations:

From PSTN translation rule with non +E164 

voice translation-rule 350 rule 1 /^\([2-9].........\)/ /+1\1/ voice translation-profile 300 translate calling 300 translate called 300

From phone system translation rule with +E164 

voice translation-rule 300 rule 1 /^\+1\(.*\)/ /\1/ voice translation-profile 300 translate calling 300 translate called 300
Emergency calling example

The following example contains an example of an emergency calling configuration.

If the WiFi overlay doesn't match to IP subnets accurately, then emergency calling for nomadic devices may not have a correct ELIN mapping.

Emergency response locations (ERLs)

 voice emergency response location 1 elin 1 14085550100 subnet 1 192.168.100.0 /26 ! voice emergency response location 2 elin 1 14085550111 subnet 1 192.168.100.64 /26 ! voice emergency response zone 1 location 1 location 2

Outgoing dial peers

 voice class e164-pattern-map 301 description Emergency services numbers e164 911 e164 988 ! voice class e164-pattern-map 351 description Emergency ELINs e164 14085550100 e164 14085550111 ! dial-peer voice 301 pots description Outbound dial-peer for E911 call emergency response zone 1 destination e164-pattern-map 301 ! dial-peer voice 301 pots description Inbound dial-peer for E911 call emergency response callback incoming called e164-pattern-map 351 direct-inward-dial