סקירה כללית של ActiveControl

ActiveControl הוא פתרון המגשר על מידע שיחת ועידה בין ענן Webex לסביבה המקומית. לפני פתרון זה, משתמשי יישום Webex בשיחות מרובות משתתפים כבר ראו מידע על המשתתפים האחרים הנוכחים, מי מדבר כעת ומי מציג.

פרטי שיחת ועידה מהענן לסביבה מתרחשים דרך רכיב שער XCCP. הפונקציה של השער היא לתרגם את המידע הזה בין שני הצדדים, כך (בתרחישי שיחות המערבים גם את ענן Webex וגם את הרכיבים המקומיים), גם לענן יישום Webex וגם לסביבות מקומיות יש גישה דומה למידע שיחת ועידה.

יתרונות ActiveControl

ActiveControl מועיל למשתמשים המשתמשים בנקודות קצה מקומיות המפעילות תוכנת CE אחרונה או לקוחות Jabber כדי להתקשר אליהם או לקבל שיחה חוזרת מפגישה המתארחת ביישום Webex.

בתרחיש זה, שער XCCP מתרגם את פרטי הפגישה (רשימת משתתפים) אל נקודת הקצה המקומית או לקוח Jabber.

ארכיטקטורה עבור ActiveControl

מראש התרשים, משמאל לימין מציג את החיבור המקומי המאובטח לענן Webex, והדוגמה מציינת שני משתמשי ענן (אחד ביישום Webex ואחד ב-Webex Meetings) המצטרף לפגישה.

בתחתית מוצג נקודת קצה של חדר שיחות ועידה הרשומה ל-Unified CM ואשכול Video Mesh Node שבו מדיה של פגישות יכולה לנחות.

חוויית רשימת המשתתפים נלכדת; המשתמש ניגש לרשימה בנקודת הקצה עצמה והרשימה נראית אותו הדבר כפי שהייתה נראית ביישום Webex או ב-Webex Meetings.

הגדרת תצורת ActiveControl

לפני שתתחיל

כאשר פתרון ActiveControl כולל צומת Video Mesh בזרימת הפגישה, תרחיש העבודה היחיד הוא נקודת קצה הרשומה ל-Unified CM. נקודת קצה הרשומה ישירות ל-Expressway אינה עובדת עם Video Mesh בשלב זה.

האיור הבא מסכם את השלבים להגדרת ActiveControl עבור מכשירים רשומים מקומיים שמצטרפים לפגישה בענן. חלק מהשלבים מכוסים ישירות במאמר זה, חלקם מכוסים בתיעוד נפרד.

דרישות עבור ActiveControl

טבלה 1. דרישות עבור ActiveControl

רכיב

דרישות

Cisco Unified Communications Manager

רשת וידאו קצה

מינימום - מהדורה 11.5(1) או עדכנית יותר במצב אבטחה מעורב.

מומלץ—מהדורה 12.5(1) SU1 ומעלה כדי לתמוך בנקודות קצה שאינן מאובטחות הרשומות מקומית או באמצעות גישה ניידת ומרוחקת (MRA). מצב אבטחה מעורב של Unified CM אינו נדרש.

צמתי Video Mesh רשומים בענן, מאובטחים עם SIP TLS, ומוגדרים בהתאם לשלבים במדריך הפריסה ב-https://www.cisco.com/go/video-mesh.

Cisco Expressway-C או E

מינימום—שחרור X8.11.4 ואילך. עיין בסעיף מידע חשוב ב-Expressway X8.11.4 הערות מהדורה לקבלת מידע נוסף.

מומלץ—שחרר X12.5 ואילך עבור מכשירי MRA שהוגדרו עם מצב אבטחה של מכשירים לא מאובטח של Unified CM.

Video Mesh אינו תומך כרגע בענפי SIP trunk מאובטחים עבור מכשירים הרשומים ישירות ל-Expressway לבקרת שיחות.

מכשירי Webex: שולחן עבודה, חדר, MX וסדרת SX

CE 9.15 ואילך, או RoomOS 10.3 ואילך, כאשר נרשמו באופן מאובטח לאחת מפלטפורמות בקרת השיחות שלעיל.

Cisco Jabber

שחרור 12.5 ומעלה

הצפנה

במהדורות מוקדמות יותר מ-12.5 – יש לאבטח את נתיב השיחה כולו מנקודת הקצה לענן באמצעות TLS 1.2.

במהדורות 12.5 ואילך – TLS אינו נדרש בין נקודת הקצה ל-Unified CM.

משימות Unified CM

הגדר את Unified CM

שלבים אלה מבטיחים שמכשירים רשומים באופן מאובטח ל-Unified CM והמדיה מוצפנת.

1

קבע את התצורה של תמיכת iX ב-Unified CM על-ידי ביצוע השלבים בתמיכה של הפעלת תמיכת iX בקטע Cisco Unified Communications Manager של מדריך הפריסה של ActiveControl.

2

קבע את התצורה של פרופילי אבטחת המכשיר:

שלב זה אינו נדרש אם אתה משתמש במהדורות 12.5 של Unified CM ו-Expressway.

Cisco Unified Communications Manager מקבץ הגדרות הקשורות לאבטחה (כגון מצב אבטחת מכשיר) עבור סוג מכשיר ופרוטוקול בפרופילי אבטחה כדי לאפשר לך להקצות פרופיל אבטחה יחיד למכשירים מרובים. תחיל את ההגדרות המוגדרות בטלפון בעת בחירת פרופיל האבטחה בחלון התצורה של הטלפון.

  1. מ-Cisco Unified CM Administration, עבור אל התקןName >> טלפון ואז מצא את נקודת הקצה כמתואר הגדרת תצורת טלפונים ב- מדריך תצורת מערכת עבור Cisco Unified Communications Manager...

  2. עבור נקודת הקצה, תחת מידע ספציפי לפרוטוקול, הגדר את פרופיל אבטחת התקן לפרופיל SIP מאובטח, כגון תבנית מכשיר אוניברסלית - פרופיל אבטחת הצפנה עצמאי מודל.

  3. שמור את השינויים בנקודת הקצה.

    למידע נוסף, ראה הגדרת פרופיל אבטחת טלפון במדריך האבטחה של Cisco Unified Communications Manager.

3

הגדר את פרמטר השירות לתצוגת סמל שיחה מאובטחת:

  1. עבור אל מערכת > פרמטרי שירות, בחר את שרת Unified CM ואת שירות Cisco CallManager .

  2. גלול לפרמטרים Clusterwide (תכונה - מדיניות מצב מאובטחת שיחה), ולאחר מכן שנה את הערך עבור פרמטר שירות תצוגת סמל שיחה מאובטחת נדרש שדה עבור כל המדיה למעט BFCP חייב להיות מוצפן.

שינוי זה נדרש כדי שסמל המנעול יוצג בנקודות קצה של CE. למידע נוסף, לחץ על שם פרמטר השירות כדי להציג את העזרה המקוונת.

הצפן נקודות קצה הרשומות על-ידי Unified CM

בצע שלבים אלה על נקודות הקצה עצמם כדי להבטיח שחיבור TLS מאובטח נוצר.

שלבים אלה אינם נדרשים אם אתה משתמש ב-12.5 גרסאות של Unified CM ו-Expressway.

1

בממשק הניהול של נקודת הקצה, עבור אל SIP ואשר את ההגדרות הבאות:

טבלה 2. תצורת נקודת קצה

שדה

הגדרה

ענת

מופעל

ברירת מחדלTransport

טבלאותName

קו

פרטי

כתובת דואר אלקטרוני

כבוי

מועדף IPM

PreferredIPSignaling

IPv4

כתובת Proxy

הזן את כתובת ה-IP של Unified CM publisher שאליו נרשם המכשיר.

אימות TlsVerify

מופעל

סוג

Cisco

2

שמור את השינויים.

3

תחת אבטחה, ודא כי אישורי Unified CM מותקנים.

משימות Expressway

קבע תצורה של Expressway

בצע את השלבים הבאים כדי להגדיר את האזור בין Expressway שבו המכשיר רשום ואזור הזוגות במעלה הזרם של Expressway שמתחבר לענן.

1

תחת הגדרות מתקדמות עבור האזור בין בקרת השיחה של Expressway לבין צמד Expressway, ודא כי מצב סינון SIP UDP/IX מוגדר ככבוי , אפשרות ברירת המחדל.

2

הגדר פרופיל אזור מותאם אישית ולאחר מכן שמור את השינויים.

הצפן נקודות קצה רשומות של Expressway

בצע שלבים אלה על נקודות הקצה הרשומות של Expressway עצמן כדי להבטיח שחיבור TLS מאובטח ייווצר.

1

בממשק הניהול של נקודת הקצה, עבור אל SIP ואשר את ההגדרות הבאות:

טבלה 3. תצורת נקודת קצה

שדה

הגדרה

ענת

כבוי

ברירת מחדלTransport

טבלאותName

קו

פרטי

כתובת דואר אלקטרוני

מופעל

מינימום TLSVersion

TLSv1.0

מועדף IPM

PreferredIPSignaling

IPv4

כתובת Proxy

הזן את כתובת ה-IP של Expressway שאליו נרשם המכשיר.

אימות TlsVerify

כבוי

סוג

סטנדרטי

2

שמור את השינויים.

פגישות מאובטחות המבוססות על ענן

השתמש בשלבים אלה כדי ליצור פרופיל SIP עם תעבורה מופעלת ומאובטחת מ-Unified CM ל-Expressway.

1

קבע את התצורה של פרופיל SIP עבור ה-trunk הזה עם האפשרויות הבאות:

  • הגדר תמיכה ב-Early Offer עבור שיחות קול ווידאו למאמץ הטוב ביותר (אין צורך ב-MTP).

  • בדוק אפשר מדיית יישום iX. (זה נעשה בשלב התמיכה הקודם של iX).

2

עבור SIP trunk, החל את פרופיל ה-SIP שיצרת.

3

תחת יעד, הזן את כתובת ה-IP של Expressway-C או FQDN בכתובת היעד והזן 5061 עבור יציאת יעד.

מה הלאה?

  • כדי שחיבור TLS יפעל, יש להחליף אישורים בין Unified CM ל-Expressway או ששניהם יחתמו על ידי אותה רשות אישורים. ראה Ensure Certificate Trust Between Unified CM ו-Expressway ב-Cisco Expressway ו-CUCM באמצעות מדריך פריסה של SIP Trunk לקבלת מידע נוסף.

  • ב-Expressway-C (הקפיצה הבאה מ-Unified CM), תחת הגדרות מתקדמות עבור האזור בין Expressway ל-Unified CM, ודא שמצב סינון SIP UDP/IX מוגדר כבוי (הגדרת ברירת המחדל). ראה Filtering iX ב-Cisco VCS במדריך הפריסה של ActiveControl לקבלת מידע נוסף.

פגישות מאובטחות מבוססות Video Mesh

אם פרסת את Video Mesh בארגון שלך, באפשרותך לאבטח את צמתי Video Mesh עבור אשכולות שרשמת בענן.

קבע את התצורה של הצפנה על-ידי ביצוע השלבים במדריך הפריסה ב-https://www.cisco.com/go/video-mesh.

אמת את חוויית הפגישה בנקודת הקצה המאובטחת

השתמש בשלבים אלה כדי לוודא שנקודות הקצה רשומות בצורה מאובטחת והחוויה הנכונה של הפגישה מופיעה.

1

הצטרף לפגישה מנקודת הקצה המאובטחת.

2

ודא שרשימת תיקי הפגישות מופיעה במכשיר.

דוגמה זו מראה כיצד רשימת הפגישות נראית בנקודת קצה עם לוח מגע:

3

במהלך הפגישה, גש לפרטי שיחת הוועידה של Webex מתוך פרטי השיחה.

4

ודא שמקטע ההצפנה מציג את הסוג כ-AES-128 ואת המצב כ-On.