Comment ça marche


 

Les fonctionnalités de la passerelle de survivabilité de Webex Calling sont disponibles avec la version Cisco IOS XE Cupertino 17.9.3a et à partir de Cisco IOS XE Dublin 17.11.1.


 
  • Effectuez la mise à niveau de vos passerelles de survivabilité Webex Calling vers Cisco IOS XE Dublin 17.12.2 ou versions ultérieures pour un chiffrement de sécurité amélioré. Si Cisco IOS XE n'est pas mis à niveau, la passerelle de survivabilité perdra sa connectivité au Cloud Webex lorsque le chiffrement de sécurité amélioré sera activé.

  • RSA1_5 est vulnérable à plusieurs types d'attaques cryptographiques. Par conséquent, RSA_OAEP (RSA PKCS#1 v2.1 OAEP) a remplacé RSA1_5 (RSA PKCS#1 v1.5) comme algorithme de chiffrement utilisé pour la communication entre la passerelle de survivabilité et le Cloud Webex. La migration vers RSA_OAEP permet de préserver l’intégrité et la confidentialité des communications chiffrées.

Par défaut, les points de terminaison Webex Calling fonctionnent en mode actif, se connectant au cloud Webex pour l'enregistrement SIP et le contrôle des appels. Cependant, si la connexion réseau à Webex est interrompue, les points de terminaison basculent automatiquement en mode Survivabilité et les inscriptions reviennent à la passerelle Survivabilité au sein du réseau local. Lorsque les points de terminaison sont en mode Survivabilité, la passerelle de survie fournit un service d'appel de sauvegarde de base pour ces points de terminaison. Une fois la connexion réseau à Webex rétablie, le contrôle des appels et les inscriptions sont rétablis dans le cloud Webex.

Lorsque les points de terminaison sont en mode Survie, vous pouvez passer les appels suivants :

  • Appels internes (intrasite) entre les points de terminaison Webex Calling pris en charge

  • Appels externes (entrants et sortants) à l'aide d'un circuit RTCP local ou d'une trunk SIP vers des numéros externes et des fournisseurs E911

L'image suivante montre un scénario de défaillance du réseau dans lequel la connexion à Webex est interrompue et les points de terminaison du site Webex fonctionnent en mode Survie. Dans l'image, la passerelle de survie achemine un appel interne entre deux points de terminaison sur site sans nécessiter de connexion à Webex. Dans ce cas, la Survivability Gateway est configurée avec une connexion PSTN locale . Par conséquent, les points de terminaison sur site en mode Survivabilité peuvent utiliser le RTCP pour les appels entrants et sortants vers des numéros externes et des fournisseurs E911.

Points de terminaison Webex Calling en mode de survivabilité

Pour utiliser cette fonctionnalité, vous devez configurer un routeur Cisco IOS XE sur le réseau local en tant que passerelle de survie. La Survivability Gateway synchronise quotidiennement les informations d'appel à partir du cloud Webex pour les points de terminaison à cet emplacement. Si les points de terminaison passent en mode de survie, la passerelle peut utiliser ces informations pour prendre en charge les enregistrements SIP et fournir des services d'appel de base.

Les conditions suivantes s’appliquent à la Survivability Gateway :

  • Le cloud Webex inclut l' adresse IP de la passerelle de survie , le nom d'hôte et le port dans le fichier de configuration du périphérique . Par conséquent, les points de terminaison peuvent contacter la passerelle de survie pour l'enregistrement si la connexion à Webex est interrompue.

  • La synchronisation quotidienne des données d'appel entre le cloud Webex et la passerelle de survie inclut les informations d'authentification pour les utilisateurs enregistrés. Par conséquent, les points de terminaison peuvent conserver des enregistrements sécurisés, même lorsqu'ils fonctionnent en mode Survivabilité. La synchronisation inclut également des informations de routage pour ces utilisateurs.

  • La passerelle de survie peut acheminer automatiquement les appels internes à l'aide des informations de routage fournies par Webex. Ajoutez une configuration de ligne réseau RTCP à la passerelle de survie pour fournir des appels externes.

  • Chaque site qui déploie la capacité de survie du site nécessite une passerelle de capacité de survie au sein du réseau local.

  • Les inscriptions et le contrôle des appels reviennent tous les deux au cloud Webex une fois que la connexion réseau Webex est rétablie pendant au moins 30 secondes.

Prise en charge des fonctionnalités

Le tableau suivant fournit des informations sur les fonctionnalités prises en charge.

Tableau 1. Fonctionnalités d’appel prises en charge
Pour certaines des fonctions ci-dessous, vous devez obtenir une tonalité avant de saisir le code.Commentaires
Appel de poste intrasite

Pris en charge automatiquement sans aucune configuration de routage spécifique requise sur la passerelle de survie.

Cependant, les numéros secondaires et les postes virtuels ne sont pas pris en charge avec les appels de poste intrasite.

Appels intersites et RTCP (entrants et sortants)Appel RTCP basé sur un circuit telco ou une trunk SIP.
Gestion des appels E911

Les appels E911 nécessitent un circuit RTCP ou une trunk SIP.

Les appels sortants utilisent un numéro d'identification d'emplacement d'urgence (ELIN) enregistré spécifique pour un emplacement d'intervention d'urgence (ERL) défini. Si l'opérateur d'urgence renvoie un appel déconnecté, Survivability Gateway dirige l'appel vers le dernier périphérique qui a appelé le numéro d'urgence.

Mise en attente et reprise d’un appel

Pris en charge


 
Si vous utilisez la musique d'attente, provisionnez la passerelle de survie manuellement avec un fichier MOH.
Transfert d'appel assistéPris en charge
Transfert d'appel en aveuglePris en charge
Identification de l’appelant entrant (Nom)Pris en charge
ID de l’appelant entrant (Nom et numéro)Pris en charge
Appel vidéo point à pointPris en charge
Conférence à troisNon pris en charge
Apparence partagée des appelsPris en charge avec l’application Webex et le téléphone de bureau.

Lorsque la fonctionnalité est configurée, la capacité de survie du site est disponible pour les points de terminaison pris en charge suivants.

Tableau 2. Modèles de terminaux pris en charge
TypeModèlesMinimum Version
Micrologiciel du téléphone IP Cisco avec multiplateforme (MPP)

6821, 6841, 6851, 6861, 6861 Wi-Fi, 6871

7811, 7821, 7841, 7861

8811, 8841, 8851, 8861

8845 (audio uniquement), 8865 (audio uniquement)

Pour plus d'informations sur les téléphones IP Cisco pris en charge avec le micrologiciel multiplateforme (MPP), voir :

12.0(1)

Cisco Webex AppWindows, Mac

43.2

Le tableau suivant fournit des détails sur les routeurs Cisco IOS XE qui peuvent être configurés en tant que passerelle de survie. Le tableau fournit également des informations sur le nombre maximum de points de terminaison pris en charge par chaque plate-forme et la version minimale d'IOS XE.

Tableau 3. Modèles de plateforme pris en charge
ModèleNombre maximal d'enregistrements de points de terminaisonMinimum Version
Routeur à services intégrés 432150Cisco IOS XE Cupertino 17.9.3a

 

Cette fonctionnalité n'est pas prise en charge sur Cisco IOS XE Dublin 17.10.1a.

Routeur à services intégrés 4331100
Routeur à services intégrés 4351700
Routeur à services intégrés 44311200
Routeur à services intégrés 4451-X2000
Routeur à services intégrés 44612000
Catalyst Edge 8200L-1N-4T1 500
Catalyst Edge 8200-1N-4T2 500
Catalyst Edge 8300-1N1S-6T2 500
Catalyst Edge 8300-2N2S-6T2 500
Catalyst Edge 8300-1N1S-4T2X2 500
Catalyst Edge 8300-2N2S-4T2X2 500
Petite configuration du logiciel Catalyst Edge 8000V500
Configuration du support logiciel Catalyst Edge 8000V1 000
Configuration étendue du logiciel Catalyst Edge 8000V2000
Tableau 4. Informations de référence du port pour la passerelle de survivabilité

Objet de la connexion

Adresses sources

Ports source

Protocole

Adresses de destination

Ports de destination

Signalisation d’appel vers la passerelle de survivabilité (SIP TLS)

Périphériques

5060-5080

TLS

Passerelle de survivabilité

8933

Média d'appel vers la passerelle de survivabilité (SRTP)

Périphériques

19560-19660

UDP

Passerelle de survivabilité

8000-14198 (SRTP sur UDP)

Signalisation d’appel vers la passerelle RTCP (SIP)

Passerelle de survivabilité

Éphémère

TCP ou UDP

Votre passerelle RTCP ITSP

5060

Média d’appel vers la passerelle PSTN (SRTP)

Passerelle de survivabilité

8000 À 48198

UDP

Votre passerelle RTCP ITSP

Éphémère

Synchronisation horaire (NTP)

Passerelle de survivabilité

Éphémère

UDP

Serveur NTP

123

Résolution du nom (DNS)

Passerelle de survivabilité

Éphémère

UDP

Serveur DNS

53

Gestion du Cloud

Connecteur

Éphémère

HTTPS

Services Webex

443, 8433


 

Pour des instructions opérationnelles sur le mode Cloud, reportez-vous à l’article d’aide Informations de référence des ports pour Webex Calling.

Vous pouvez personnaliser les valeurs des paramètres de port sur les routeurs Cisco IOS XE. Ce tableau utilise des valeurs par défaut pour fournir des conseils.

Survivability Gateway prend en charge la colocation d'une configuration Webex Survivability et d'une configuration Unified SRST sur la même passerelle. La passerelle peut prendre en charge la capacité de survie à la fois pour les points de terminaison Webex Calling et pour les points de terminaison qui s’enregistrent auprès de Unified Communications Manager. Pour configurer la colocation :

Considérations relatives au routage des appels pour la colocation

Tenez compte des éléments suivants lors de la configuration du routage des appels pour les scénarios de colocation :

  • La passerelle de survie achemine les appels internes automatiquement à condition que les deux points de terminaison de l'appel soient enregistrés sur la passerelle de survie. Les appels internes sont automatiquement acheminés entre tous les clients enregistrés (SRST ou Webex Calling).

  • Il est possible que la connexion à un système de contrôle d'appel tombe en panne alors que la connexion à l'autre système de contrôle d'appel reste active. Par conséquent, un ensemble de points de terminaison s'enregistre auprès de la passerelle de survie tandis qu'un autre ensemble de points de terminaison sur le même site s'enregistre auprès du contrôle d'appel principal. Dans ce cas, vous devrez peut-être acheminer les appels entre les deux ensembles de points de terminaison vers une trunk SIP ou un circuit RTCP.

  • Les appels externes et les appels E911 peuvent être acheminés vers une trunk SIP ou un circuit RTCP.

  • La disponibilité du service de réseau téléphonique public commuté (RTCP) dépend des lignes réseau SIP ou des circuits RTCP disponibles pendant une panne de réseau.

  • Les périphériques dotés d'une connectivité 4G et 5G (par exemple, l'application Webex pour mobile ou tablette) peuvent toujours être en mesure de s'inscrire à Webex Calling pendant les pannes. Par conséquent, ils pourraient ne pas être en mesure d'appeler d'autres numéros à partir du même emplacement du site pendant une panne.

  • Les schémas de numérotation peuvent fonctionner différemment en mode Survie et en mode Actif.

  • Cette fonctionnalité ne prend pas en charge la conservation des appels lors d'un retour à la passerelle de survie. Cependant, les appels sont conservés lorsque la connectivité au service Cloud est rétablie.

  • Lorsqu'une panne se produit, l'enregistrement des périphériques auprès de la passerelle de survie peut prendre quelques minutes.

  • La passerelle de survie doit utiliser une adresse IPv4. IPv6 n'est pas pris en charge.

  • Une mise à jour du statut de la synchronisation à la demande dans le Control Hub peut prendre jusqu’à 30 minutes.

  • La fenêtre multicolore Cisco Webex n'est pas prise en charge dans la version 43.2. Si vous utilisez une fenêtre multicall, désactivez-la en mode de survivabilité et utilisez l'application principale pour passer ou recevoir des appels.

  • Ne configurez pas la commande de liaison SIP en mode de configuration voip du service vocal. Cela conduit à l'échec d'enregistrement des téléphones MPP avec la passerelle de survivabilité.

En mode Survie :

  • Les touches programmables MPP telles que Park, Unpark, Barge, Pickup, Group Pickup et Call Pull ne sont pas prises en charge. Cependant, ils ne semblent pas désactivés.

  • Les appels passés vers des lignes partagées peuvent sonner sur tous les périphériques. Cependant, d’autres fonctionnalités de ligne partagée telles que la surveillance de l’état de la ligne distante, la mise en attente, la reprise, la fonction NPD synchronisée et les paramètres de renvoi d’appel ne sont pas disponibles.

  • La conférence ou l’appel à trois n’est pas disponible.

  • L’historique local des appels passés, reçus et manqués n’est pas disponible pour les téléphones MPP.

Configuration des fonctionnalités

Effectuez les tâches suivantes pour ajouter la capacité de survie du site pour un emplacement Webex Calling existant. Si la connexion au cloud Webex est interrompue, une passerelle de survie dans le réseau local peut fournir un contrôle d'appel de secours pour les points de terminaison à cet emplacement.

Avant de commencer

Si vous devez configurer une nouvelle passerelle pour qu'elle agisse en tant que passerelle de capacité de survie, reportez-vous à l'article Webex Inscrire les passerelles gérées Cisco IOS à Cloud Webex pour ajouter la passerelle à Control Hub.

ÉtapesCommande ou ActionObjet

1

Attribuer un service de survivabilité à une passerelle

Dans Control Hub, attribuez le Passerelle de capacité de survie service à une passerelle.

2

Télécharger le modèle de configuration

Téléchargez le modèle de configuration à partir du Control Hub. Vous aurez besoin du modèle lorsque vous configurerez la ligne de commande de la passerelle.

3

Configurer les licences

Configurez les licences pour Survivability Gateway.

4

Configurer les certificats sur Cisco IOS XE

Configurez les certificats pour la passerelle de survie.

5

Configurer la passerelle en tant que passerelle de survivabilité

Utilisez le modèle de configuration que vous avez téléchargé précédemment comme guide pour configurer la ligne de commande de la passerelle. Complétez toutes les configurations obligatoires qui sont dans le modèle.

Utilisez cette procédure dans Control Hub pour affecter une passerelle existante en tant que passerelle de survie.

Avant de commencer

Si la passerelle n'existe pas dans Control Hub, voir Inscrire les passerelles Cisco IOS à Webex Calling pour ajouter une nouvelle instance de passerelle.
1

Connectez-vous au Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub démarre. Pour ouvrir Control Hub, cliquez sur le Client afficher dans Partner Hub et sélectionnez le client applicable, ou sélectionnez Mon organisation pour ouvrir les paramètres Control Hub pour l’organisation partenaire.

2

Dans Control Hub, sous SERVICES , cliquez sur Appel puis cliquez sur le Passerelles gérées onglet.

La vue Passerelles gérées affiche la liste des passerelles que vous gérez via Control Hub. Le Services La colonne affiche l'affectation de service actuelle.
3

Pour la passerelle que vous souhaitez affecter en tant que passerelle de survie, choisissez l'une des options suivantes, en fonction de la valeur de Services champ :

  • Non affecté (valeur vide) : cliquez sur Attribuer un service et passez à l'étape suivante.

  • Passerelle de capacité de survie : si vous souhaitez modifier les paramètres IP de la passerelle existante, allez à Modifier les propriétés de la passerelle de survie . Sinon, passez à la procédure suivante du flux.

4

Dans la liste déroulante du type de service, sélectionnez Passerelle de capacité de survie et remplissez les champs suivants :

  • Emplacement : dans la liste déroulante, sélectionnez un emplacement.

  • Nom d'hôte : saisissez le nom de domaine complet (FQDN) utilisé lors de la création du certificat pour la passerelle. Il peut s'agir d'un nom inclus dans le champ Nom alternatif du sujet (SAN) du certificat. Le nom de domaine complet et l' adresse IP ne sont utilisés que pour établir une connexion sécurisée avec la passerelle. Par conséquent, il n'est pas obligatoire de le remplir dans le DNS.

  • Adresse IP : au format IPv4, saisissez l' adresse IP de la passerelle de survie. Les périphériques s'enregistrent à cette adresse lorsqu'ils fonctionnent en mode Survie.

5

Cliquez sur Attribuer.

(Facultatif) Annuler l’attribution du service de capacité de survie : si vous souhaitez supprimer la passerelle de survie d'une passerelle, allez à Annuler l'attribution des services d'une passerelle gérée .
Téléchargez le modèle de configuration à partir du Control Hub. Vous aurez besoin du modèle lorsque vous configurerez la ligne de commande de la passerelle.
1

Connectez-vous au Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub démarre. Pour ouvrir Control Hub, cliquez sur le Client afficher dans Partner Hub et sélectionnez le client applicable, ou sélectionnez Mon organisation pour ouvrir les paramètres Control Hub pour l’organisation partenaire.

2

Dans Control Hub, sous SERVICES , cliquez sur Appel puis cliquez sur le Passerelles gérées onglet.

3

Cliquez sur Survivability Gateway applicable.

4

Cliquez sur Télécharger le modèle de configuration et téléchargez le modèle sur votre ordinateur de bureau ou votre ordinateur portable.

Assurez-vous que vous disposez des licences de plate-forme appropriées pour votre passerelle. Configurez les licences à l'aide des commandes appropriées à votre plate-forme.
1

Entrez en mode de configuration globale sur le routeur :

enable
 configure terminal
2

Configurez les licences à l'aide des commandes qui s'appliquent uniquement à votre plate-forme spécifique.

  • Pour la gamme Cisco ISR 4000 :

    license boot level uck9
     license boot level securityk9
    
  • Pour les plates-formes de périphérie des gammes Cisco Catalyst 8300 et 8200, utilisez la licence de fonctionnalité DNA Network Advantage, ou une version supérieure, et saisissez le niveau de débit requis. L'exemple suivant utilise un débit de chiffrement bidirectionnel de 25 Mbits/s. Sélectionnez le niveau approprié pour le nombre d'appels que vous prévoyez.

    license boot level network-advantage addon dna-advantage
     platform hardware throughput crypto 25M
    
  • Pour le logiciel Cisco Catalyst 8000V Edge, utilisez la licence de fonctionnalité DNA Network Essentials, ou une version supérieure, et saisissez le niveau de débit requis. L'exemple suivant utilise un débit de 1 Gbit/s. Sélectionnez le niveau approprié pour le nombre d'appels que vous prévoyez.

    license boot level network-essentials addon dna-essentials
     platform hardware throughput level MB 1000
    

 
Lorsque vous configurez un débit supérieur à 250 Mbit/s, vous avez besoin d'une licence de plate-forme HSEC.

Configurer les certificats

Procédez comme suit pour demander et créer des certificats pour Survivability Gateway. Utiliser des certificats signés par une autorité de certification connue du public.


 

La plate-forme de passerelle de survivabilité ne prend en charge que les certificats d'autorité de certification publiquement connus. Les certificats d'autorité de certification privés ou d'entreprise ne peuvent pas être utilisés pour la passerelle de survivabilité.

Pour obtenir la liste des autorités de certification racine prises en charge pour Webex Calling, voir Quelles autorités de certification racine sont prises en charge pour les appels vers les plateformes audio et vidéo Cisco Webex ?.

La plate-forme de passerelle de survivabilité ne prend pas en charge le certificat générique.

Exécutez les commandes à partir de l'exemple de code pour terminer les étapes. Pour plus d'informations sur ces commandes, ainsi que d'autres options de configuration, consultez le chapitre « Prise en charge SIP TLS » dans le Guide de configuration de Cisco Unified Border Element.

1

Entrez en mode de configuration globale en exécutant les commandes suivantes :

enable
 configure terminal
2

Générez la clé privée RSA en exécutant la commande suivante. Le module de la clé privée doit être d'au moins 2048 bits.

crypto key generate rsa general-keys label webex-sgw exportable modulus 2048
3

Configurez un point de confiance pour contenir le certificat Survivability Gateway. Le nom de domaine complet (FQDN) complet de la passerelle (fqdn) doit utiliser la même valeur que celle que vous avez utilisée lors de l'attribution du service de capacité de survie à la passerelle.

crypto pki trustpoint webex-sgw 
 enrollment terminal 
 fqdn <gateway_fqdn> 
 subject-name cn=<gateway_fqdn>
 subject-alt-name <gateway_fqdn>
 revocation-check crl 
 rsakeypair webex-sgw

 

En raison d'une limite connue, il est obligatoire de conserver la même étiquette pour la paire de clés RSA et le trustpoint. Par exemple, webex-sgw est l'étiquette utilisée pour les deux trustpoint crypto pki et étiquette de génération de clés cryptographiques rsa general-keys dans la configuration des échantillons.

4

Générez une demande de signature de certificat en exécutant le crypto pki enroll webex-sgw commande.

Lorsque vous y êtes invité, saisissez yes.

Lorsque la CSR s'affiche à l'écran, utilisez le Bloc-notes pour copier le certificat dans un fichier que vous pouvez envoyer à une autorité de certification (CA) prise en charge.


 

Si votre fournisseur de signature de certificat requiert un CSR au format PEM (Privacy Enhanced Mail), ajoutez un en-tête et un pied de page avant de soumettre. Par exemple :

-----BEGIN CERTIFICATE REQUEST-----
 <Insert CSR here>
 -----END CERTIFICATE REQUEST-----
5

Une fois que l'autorité de certification vous a délivré un certificat, exécutez crypto pki authenticate webex-sgw pour authentifier le certificat. Vous pouvez exécuter cette commande à partir de exec ou config mode.

Lorsque vous y êtes invité, collez le contenu du certificat de l'autorité de certification émettrice CER/PEM de base 64 (pas le certificat du périphérique) dans le terminal.

6

Importez le certificat d'hôte signé vers le point de confiance à l'aide du crypto pki import webex-sgw commande de certificat.

Lorsque vous y êtes invité, collez le certificat CER/PEM de base 64 dans le terminal.

7

Vérifiez que le certificat CA racine est disponible :


 

Seules les autorités de certification connues du public sont prises en charge avec la solution Webex Calling. Les certificats CA privés ou d'entreprise ne sont pas pris en charge.

  1. Recherchez le nom commun de l’autorité de certification racine en exécutant show crypto pki certificates webex-sgw | begin CA Cert. Rechercher l’émetteur cn= <value>.

  2. Lancez le fichier d’installation show crypto pki trustpool | include cn= et vérifiez si ce certificat CA racine est installé avec l'ensemble Cisco CA. Si vous voyez votre autorité de certification, passez à l'étape 9.

  3. Si vous ne voyez pas votre certificat, exécutez la commande suivante pour installer l'ensemble de l'autorité de certification IOS étendue.

    crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios_union.p7b
  4. Répétez ces sous-étapes pour déterminer si le certificat de l'autorité de certification racine est maintenant disponible. Après avoir répété les sous-étapes :

    Si le certificat n’est pas disponible, passez à l’étape 8. Si le certificat est disponible, passez à l'étape 9.

8

Si votre certificat d'autorité de certification racine n'est pas inclus dans le bundle, achetez le certificat et importez-le vers un nouveau trustpoint.


 

Effectuez cette étape si un certificat racine d'autorité de certification publiquement connu n'est pas disponible avec votre passerelle Cisco IOS XE.

crypto pki trustpoint <CA name>
 enrollment terminal
 revocation-check crl
 crypto pki authenticate <CA name>

Lorsque vous y êtes invité, collez le contenu du certificat CER/PEM de base 64 dans le terminal.

9

En utilisant le mode de configuration, spécifiez le point de confiance par défaut, la version TLS et les valeurs par défaut SIP-UA avec les commandes suivantes.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Vous pouvez importer des certificats d'autorité de certification et des paires de clés en tant que bundle en utilisant le format PKCS12 (.pfx ou .p12). Vous pouvez importer le bundle à partir d'un système de fichiers local ou d'un serveur distant. PKCS12 est un type spécial de format de certificat. Il regroupe toute la chaîne de certificats du certificat racine au certificat d'identité, ainsi que la paire de clés RSA. Autrement dit, le bundle PKCS12 que vous importez comprendrait la paire de clés, les certificats hôtes et les certificats intermédiaires. Importer un bundle PKCS12 pour les scénarios suivants :

  • Exportez à partir d'un autre routeur Cisco IOS XE et importez-le dans votre routeur Survivability Gateway

  • Génération du bundle PKCS12 en dehors du routeur Cisco IOS XE en utilisant OpenSSL

Procédez comme suit pour créer, exporter et importer des certificats et des paires de clés pour votre routeur Passerelle de survivabilité.

1

(Facultatif) Exportez le bundle PKCS12 requis pour votre routeur de passerelle de survivabilité.

crypto pki export webex-sgw pkcs12 terminal password xyz123

 

Cette étape n'est applicable que si vous exportez à partir d'un autre routeur Cisco IOS XE.

2

(Facultatif) Créez un bundle PKCS12 en utilisant OpenSSL.

  1. Vérifiez que OpenSSL est installé sur le système sur lequel ce processus est exécuté. Pour les utilisateurs de Mac OSX et GNU/Linux, il est installé par défaut.

  2. Passez au répertoire dans lequel vos clés, certificats et fichiers de chaîne sont stockés.

    Sur Windows : Par défaut, les utilitaires sont installés dans C:\Openssl\bin. Ouvrez une invite de commande dans cet emplacement.

    Sur Mac OSX/Linux : Ouvrez la fenêtre Terminal dans le répertoire nécessaire pour créer le certificat PKCS12.

  3. Dans le répertoire, enregistrez les fichiers de la clé privée (privateKey.key), du certificat d'identité (certificate.crt) et de la chaîne de certificats de l'AC racine (CACert.crt).

    Combinez la clé privée, le certificat d'identité et la chaîne de certificats de l'autorité de certification racine dans un fichier PKCS12. Saisissez une phrase secrète pour protéger votre certificat PKCS12.

    console> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    Lorsque vous utilisez OpenSSL version 3.0 ou supérieure pour construire un fichier PKCS12 pour une version Cisco IOS XE antérieure à la version 17.12.1, incluez les deux arguments suivants dans la commande : -legacy -descert.


     

    Fournissez un mot de passe lorsque vous utilisez OpenSSL pour générer le fichier PKCS12.


 

Cette étape n'est applicable que si vous générez un bundle PKCS12 en dehors de Cisco IOS XE en utilisant OpenSSL.

3

Importer le bundle de fichiers au format PKCS12.

crypto pki import <trustpoint name> pkcs12 <certificate file location> password <file password>

Voici un exemple de configuration pour la commande et des détails concernant les paramètres configurables :

crypto pki import webex-sgw pkcs12 bootflash:certificate.pfx password xyz123
  • <trustpoint name=""> —Nom du point de confiance créé lors de l'utilisation de cette commande (par exemple, webex-sgw).

  • <certificate file="" location=""> —URL locale ou réseau pointant vers le fichier de certificat (par exemple, bootflash:certificate.pfx)

  • <file password=""> —Le mot de passe qui est utilisé lors de la création du fichier PKCS12 (par exemple, xyz123).


 

Le La commande crypto pki import construit automatiquement le trustpoint pour accueillir le certificat.

4

En utilisant le mode de configuration, spécifiez le point de confiance par défaut, la version TLS et les valeurs par défaut SIP-UA avec les commandes suivantes.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Configurer la passerelle de survivabilité

Utilisez le modèle de configuration que vous avez téléchargé précédemment comme guide pour configurer la ligne de commande de la passerelle. Complétez les configurations obligatoires dans le modèle.

Les étapes suivantes contiennent des exemples de commandes ainsi qu'une explication des commandes. Modifiez les paramètres pour les adapter à votre déploiement. Les crochets angulaires (par exemple, <settings>) identifiez les paramètres pour lesquels vous devez saisir des valeurs qui s’appliquent à votre déploiement. Les différents <tag> Les paramètres utilisent des valeurs numériques pour identifier et affecter des ensembles de configurations.


 
  • Sauf indication contraire, cette solution nécessite que vous effectuiez toutes les configurations dans cette procédure.

  • Lorsque vous appliquez les paramètres du modèle, remplacez %tokens% avec vos valeurs préférées avant de copier vers la passerelle.

  • Pour plus d’informations sur les commandes, voir Référence des commandes de la passerelle gérée Webex . Utilisez ce guide à moins que la description de la commande ne vous renvoie à un autre document.

1

Entrez en mode de configuration globale.

enable
 configure terminal

où :

  • enable: active le mode d'exécution privilégié.

  • configure terminal: active le mode de configuration globale.

2

Effectuez les configurations du service vocal :

voice service voip
 ip address trusted list
    ipv4 <ip_address> <subnet_mask>
    ipv4 <ip_address> <subnet_mask>
  allow-connections sip to sip
  supplementary-service media-renegotiate
  no supplementary-service sip refer
  trace
  sip
   asymmetric payload full
   registrar server
  

Explication des commandes :

  • ip address trusted list: définit une liste d'adresses de non-enregistrement à partir desquelles la passerelle de survivabilité doit accepter les messages SIP. Par exemple, une adresse d'homologue de trunk SIP .

  • <ip_address> et <subnet_mask> représentent des plages d'adresses de confiance. Vous n'avez pas besoin d'entrer les sous-réseaux directement connectés car la passerelle de survie les approuve automatiquement.

  • allow-connections sip to sip: autorise les connexions SIP à SIP dans un réseau VoIP.

  • no supplementary-service sip refer: désactive la méthode REFER pour les services supplémentaires de renvoi d'appel et de transfert d'appel. Webex Calling n’utilise pas ces méthodes.

  • sip: accède au mode de configuration SIP du service.

  • registrar server —Activez le registraire SIP pour permettre aux clients Webex Calling de s’inscrire sur la passerelle.

  • asymmetric payload full: active les appels vidéo en mode de survie.

3

Activer la capacité de survie sur le routeur :

voice register global
 mode webex-sgw
 max-dn 50
 max-pool 50
 exit
 

Explication des commandes :

  • voice register global: accède au mode d'enregistrement vocal global.

  • mode webex-sgw —Active le mode de survie de Webex Calling et la téléphonie sur site distant avec survie pour les points de terminaison Unified Communications Manager.


     

    Après configuration du mode webex-sgw, la passerelle de survivabilité écoute sur le port 8933 pour les connexions sécurisées entrantes à partir des terminaux.

  • max-dn: limite le nombre de numéros de répertoire que le routeur peut gérer. Pour cette solution, configurez toujours la valeur maximale disponible pour votre plate-forme.

  • max-pool: définit le nombre maximum de périphériques qui peuvent s'enregistrer sur la passerelle. Définissez cette valeur sur le maximum autorisé par votre plate-forme, comme décrit dans le tableau 3.

4

Configurer les serveurs NTP :

ntp server <ip_address_of_primary_NTP_server>
 ntp server <ip_address_of_secondary_NTP_server>
5

(Facultatif). Configurer les autorisations générales d'appel de classe de restriction :

dial-peer cor custom
 name Wx_calling_Internal
 name Wx_calling_Toll-free
 name Wx_calling_National
 name Wx_calling_International
 name Wx_calling_Operator_Assistance
 name Wx_calling_Chargeable_Directory_Assistance
 name Wx_calling_Special_Services1
 name Wx_calling_Special_Services2
 name Wx_calling_Premium_Services1
 name Wx_calling_Premium_Services2

L'exemple précédent crée un ensemble de classes personnalisées de restrictions nommées catégories (par exemple, Wx_calling_International). Pour plus d'informations sur l'utilisation de la classe de restrictions avec les homologues de numérotation, voir « Classe de restrictions » dans Guide de configuration des homologues de numérotation, Cisco IOS version 15M&T .

6

Configurez une liste de codecs préférés. Par exemple, la liste suivante spécifie g711ulaw comme codec préféré, suivi de g711alaw.

voice class codec 1
 codec preference 1 g711ulaw
 codec preference 2 g711alaw

Explication des commandes :

  • voice class codec 1 passe en mode de configuration de classe vocale pour le groupe de codecs 1.

  • codec preference identifie les codecs préférés pour ce groupe de codecs.

7

Configurez les pools de registres vocaux par défaut par emplacement :

voice register pool 1
 id network 0.0.0.0 mask 0.0.0.0
 dtmf-relay rtp-nte
 voice-class codec 1

Explication des commandes :

  • voice register pool 1: accède au mode de configuration du pool de registres vocaux pour les périphériques SIP de ce pool.

  • id network et mask identifier un périphérique SIP ou un ensemble de périphériques réseau qui utilisent ce pool. Utilisez les adresses et les masques qui s'appliquent à votre déploiement. L’adresse 0.0.0.0 permet aux périphériques de n'importe où de s'enregistrer (si les adresses des périphériques figurent dans la liste des autorisations).

  • id extension-number —Le pool s’applique spécifiquement à l’utilisateur Webex Calling au poste 1234. Utilisez les extensions appropriées pour votre réseau.

  • dtmf-relay spécifie le rtp-nte méthode d'envoi des chiffres DTMF. Dans cet exemple, Transport en temps réel (RTP) avec le type de charge utile d'événement téléphonique nommé (NTE).

  • voice-class codec 1: attribue le groupe de codecs 1 à ce pool.

8

Configurer les appels d'urgence :

voice emergency response location 1
 elin 1 <number>
 subnet 1 <ip-group> <subnet-mask>

 voice emergency response location 2
 elin 1 <number>
 subnet 1 <ip-group> <subnet-mask>

 voice emergency response zone 1
 location 1
 location 2

 voice class e164-pattern-map 301
 voice class e164-pattern-map 351

Explication des commandes :

  • voice emergency response location 1: crée le groupe d'emplacements d'intervention d'urgence 1 pour le service 911 amélioré. Une commande suivante crée le groupe d'emplacements d'intervention d'urgence 2.

  • elin 1 <number>: attribue un elin à l’emplacement de l’intervention d’urgence. Pour cette elin, le <number> définit un numéro RTCP pour remplacer le poste de l'appelant 911 (par exemple, 14085550100).

  • subnet 1 <ip-group> <subnet-mask>: définit un groupe de sous-réseaux ainsi qu'une adresse de sous-réseau spécifique pour cet emplacement d'intervention d'urgence. Utilisez cette commande pour identifier le réseau de l'appelant via une adresse IP et un masque de sous-réseau de sous-réseau. Par exemple, subnet 1 192.168.100.0 /26.

  • voice emergency response zone 1: définit une zone d'intervention d'urgence.

  • location 1 (and 2): attribue les emplacements d’intervention d’urgence 1 et 2 à cette zone d’intervention d’urgence.

  • voice class e164-pattern-map 301 (and 351): identifie les mappages de modèles e164 301 et 351 pour cette classe vocale. Vous pouvez utiliser la carte pour définir des plans de numérotation et des identifiants site d'urgence .


 
Si la superposition WiFi ne correspond pas avec précision aux sous-réseaux IP, les appels d'urgence pour les périphériques nomades peuvent ne pas avoir le mappage ELIN correct.
9

Configurez les homologues de numérotation pour le RTCP. Pour un exemple de configuration du pair de numérotation, voir Exemples de connexion RTCP.

10

Facultatif. Activez la musique d'attente pour le routeur. Vous devez stocker un fichier musical dans la mémoire flash du routeur au format G.711. Le fichier peut être au format .au ou .wav, mais le format de fichier doit contenir des données 8 bits à 8 kHz (par exemple, le format de données ITU-T A-law ou mu-law).

call-manager-fallback
 moh enable-g711 "bootflash:<MOH_filename>"

Explication des commandes :

  • call-manager-fallback: passe en mode de configuration SRST.

  • moh enable-g711 "bootflash:<MOH_filename>": active la monodiffusion de la musique d'attente à l'aide de G.711. Fournit également le répertoire et le nom de fichier audio (par exemple, bootflash:music-on-hold.au). Le nom de fichier ne peut pas dépasser 128 caractères.

Facultatif. Effectuez cette procédure uniquement si vous souhaitez effectuer une synchronisation à la demande immédiate. Cette procédure n’est pas obligatoire car le cloud Webex synchronise automatiquement les données d’appel avec la passerelle Survivability Gateway une fois par jour.

1

Connectez-vous au Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub démarre. Pour ouvrir Control Hub, cliquez sur le Client afficher dans Partner Hub et sélectionnez le client approprié ou sélectionnez Mon organisation pour ouvrir les paramètres Control Hub pour l’organisation partenaire.

2

Dans Control Hub, sous SERVICES , cliquez sur Appel puis cliquez sur le Passerelles gérées onglet.

3

Cliquez sur Survivability Gateway applicable pour ouvrir le Service de survie vue pour cette passerelle.

4

Cliquez sur le Synchroniser bouton.

5

Cliquez sur Soumettre.

La synchronisation peut prendre jusqu'à 10 minutes.
Utilisez cette procédure facultative uniquement si vous souhaitez modifier les paramètres d'une passerelle de survie existante.
1

Connectez-vous au Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub démarre. Pour ouvrir Control Hub, cliquez sur le Client afficher dans Partner Hub et sélectionnez le client applicable, ou sélectionnez Mon organisation pour ouvrir les paramètres Control Hub pour l’organisation partenaire.

2

Dans Control Hub, sous SERVICES , cliquez sur Appel puis cliquez sur le Passerelles gérées onglet.

3

Cliquez sur Survivability Gateway applicable pour ouvrir le Service de survie vue pour cette passerelle.

4

Cliquez sur le Modifier et mettez à jour les paramètres des éléments suivants.

  • Nom d'hôte : utilisez le nom d'hôte ou le nom de domaine complet du certificat pour établir la connexion TLS avec les clients et l'adresse IP.

  • Adresse IP : au format IPv4, saisissez l' adresse IP de la passerelle sur laquelle les périphériques s'enregistrent lorsqu'ils fonctionnent en mode de survie.

5

Cliquez sur Soumettre.


 
Si vous souhaitez supprimer une passerelle de survie du Control Hub, désaffectez le Passerelle de capacité de survie service en premier. Pour plus de détails, voir Attribuer des services aux passerelles gérées .

Exemples de configuration

Pour les appels externes, configurez une connexion au RTCP. Cette rubrique décrit certaines des options et fournit des exemples de configurations. Les deux options principales sont :

  • Connexion de la carte d'interface vocale (VIC) au RTCP

  • trunk SIP vers passerelle PSTN

Connexion de la carte d’interface vocale au RTCP

Vous pouvez installer une carte d'interface vocale (VIC) sur le routeur et configurer une connexion de port au RTCP.

trunk SIP vers passerelle PSTN

Vous pouvez configurer une connexion par trunk SIP qui pointe vers une passerelle PSTN. Pour configurer la connexion de jonction sur la passerelle, utilisez la configuration de classe vocale-locataire. Voici un exemple de configuration.

voice class tenant 300 
  sip-server ipv4:<ip_address>:<port>
  session transport udp 
  bind all source-interface GigabitEthernet0/0/1 
 

Configuration du pair de numérotation

Pour les connexions de jonction, configurez les homologues de numérotation entrante et sortante pour la connexion de jonction. La configuration dépend de vos besoins. Pour obtenir des informations de configuration, voir Guide de configuration des homologues de numérotation, Cisco IOS version 15M&T .

Voici des exemples de configurations :

Pairs de numérotation sortants vers le RTCP avec UDP et RTP

dial-peer voice 300 voip 
 description outbound to PSTN 
 destination-pattern +1[2-9]..[2-9]......$ 
 translation-profile outgoing 300
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 session target sip-server
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Homologue de numérotation entrante à partir du RTCP en utilisant UDP avec RTP

voice class uri 350 sip 
 host ipv4:<ip_address> 
 !
dial-peer voice 190 voip 
 description inbound from PSTN 
 translation-profile incoming 350 
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Traductions des nombres

Pour les connexions RTCP, vous devrez peut-être utiliser des règles de traduction pour traduire les postes internes en un numéro E.164 que le RTCP peut acheminer. Voici des exemples de configurations :

À partir de la règle de traduction RTCP avec non +E164

voice translation-rule 350 
 rule 1 /^\([2-9].........\)/ /+1\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

À partir de la règle de traduction du système téléphonique avec +E164

voice translation-rule 300 
 rule 1 /^\+1\(.*\)/ /\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

L'exemple suivant contient un exemple de configuration d'appel d'urgence.


 
Si la superposition WiFi ne correspond pas avec précision aux sous-réseaux IP, les appels d'urgence pour les périphériques nomades peuvent ne pas avoir un mappage ELIN correct.

Emplacements d’intervention d’urgence (ERL)


voice emergency response location 1
 elin 1 14085550100
 subnet 1 192.168.100.0 /26
 !
voice emergency response location 2
 elin 1 14085550111
 subnet 1 192.168.100.64 /26
 !
voice emergency response zone 1
 location 1 
 location 2 

Pairs de numérotation sortants


voice class e164-pattern-map 301
 description Emergency services numbers
  e164 911
  e164 988
 !
voice class e164-pattern-map 351
 description Emergency ELINs
  e164 14085550100
  e164 14085550111
 !
dial-peer voice 301 pots
 description Outbound dial-peer for E911 call
 emergency response zone 1
 destination-pattern 911
 !
 dial-peer voice 301 pots
 description Inbound dial-peer for E911 call
 emergency response callback
 incoming called e164-pattern-map 351
 direct-inward-dial