Panoramica su ActiveControl

ActiveControl è una soluzione che bridge le informazioni di conferenza tra il cloud Webex e la sede. Prima di questa soluzione, gli utenti dell'app Webex nelle chiamate con più partecipanti vedevano già le informazioni su cui sono presenti gli altri partecipanti, chi sta parlando e chi sta presentando.

Le informazioni della conferenza dal cloud alla sede vengono eseguita attraverso il componente gateway XCCP. La funzione del gateway è di convertire queste informazioni tra entrambi i lati, in modo che (in scenari di chiamata che prevedono l'accesso sia al cloud Webex che ai componenti locali), sia il cloud Webex che gli ambienti on-premise hanno accesso simile alle informazioni di conferenza.

Caso d'uso ActiveControl

ActiveControl offre agli utenti che utilizzano endpoint locali che eseguono software CE recenti o client Jabber di chiamare o ottenere una richiamata da una riunioneospitata daWebex.

In questo scenario, il gateway XCCP converte le informazioni del roster (elenco dei partecipanti) della riunione nell'endpoint locale o nel client Jabber.

Architettura per ActiveControl

Dalla parte superiore del diagramma, da sinistra a destra viene visualizzata la connessione locale sicura al cloud Webex e l'esempio indica due utenti cloud (uno in Webex , uno in Webex Meetings) che si uniscono alla riunione.

La parte inferiore mostra un endpoint sala conferenze attivo che è registrato su Unified CM e un cluster del nodo mesh video in cui il contenuto multimediale della riunione può attesi.

L'elenco dei partecipanti viene acquisito; l'utente accede all'elenco sull'endpoint stesso e l'elenco è uguale a quello presente in Webex o Webex Meetings.

Configura ActiveControl

Operazioni preliminari

Se la soluzione ActiveControl include un nodo mesh video nei flussi di riunioni, l'unico scenario funzionante per è un endpoint registrato in un Unified CM. Un endpoint registrato direttamente a Expressway endpoint non funziona con il mesh video in questo momento.

La seguente illustrazione riass dettagliatamente i passaggi per la configurazione di ActiveControl per dispositivi registrati locali che a partecipare a una riunione nel cloud. Alcune operazioni sono coperte direttamente in questo articolo, alcune sono coperte in documentazione separata.

Riunioni sicure basate su cloud Requisiti per ActiveControl Configura Expressway Crittografa Expressway endpoint Crittografa Expressway endpoint Riunioni sicure basate su mesh video Verifica dell'esperienza di riunione sull'endpoint sicuro

Requisiti per ActiveControl

Nella tabella vengono elencati i componenti richiesti e le versioni supportate per ActiveControl. Inoltre, esiste un requisito di crittografia end-to-end in modo che le informazioni della riunione siano trasmesse in modo sicuro dal cloud ai locali. La documentazione di configurazione guida l'utente attraverso queste operazioni, ma tenere presente i requisiti di sicurezza indicati in questa tabella.


 

Se si dispone di un finestra di manutenzione futura e si pianifica un aggiornamento, si consiglia di aggiornare i componenti locali all'ultima release disponibile per la sicurezza in corso, correzioni ai bug e facilità d'uso.

Tabella 1. Requisiti per ActiveControl

Componente

Requisiti

Cisco Unified Communications Manager

Mesh video Cisco WebEx

Minimo— Release 11.5(1) o successiva in modalità di sicurezza mista.

Consigliato —Release 12.5(1) SU1 o successiva per supportare endpoint non sicuri registrati in locale o suMobile e Remote Access (MRA). La modalità di sicurezza mista Unified CM non è richiesta.

Nodi mesh video registrati sul cloud, protetti con SIP TLS e configurati in base alla procedura nella guida alla distribuzione su https://www.cisco.com/go/video-mesh.

Cisco Expressway-C o E

Minimo—Release X8.11.4 o successiva. Per ulteriori informazioni, vedere la sezione "Importanti informazioni" nelle Expressway sulla versioneX8.11.4.

Consigliato — Release X12.5 o successiva per dispositivi MRA configurati con una modalità disicurezza dispositivo non sicuro Unified CM.


 

Il mesh video attualmente non supporta SIP Trunk sicuri per i dispositivi registrati direttamente Expressway per il controllo delle chiamate.

Endpoint CE (SX, DX, serie MX)

CE 9.6 o successivo, registrato in modo sicuro su una delle piattaforme di controllo chiamate precedenti

Cisco Jabber

Release 12.5 o successiva

Crittografia

Nelle release precedenti alla 12.5: l'intero percorso di chiamata dall'endpoint al cloud deve essereprotetto con TLS 1.2.

Nella release 12.5 e successive, non è richiesto il protocollo TLS tral'endpoint e Unified CM.

Unified CM

Queste operazioni assicurano che i dispositivi siano registrati in modo sicuro in Unified CM e che il contenuto multimediale sia crittografato.

1

Configurare il supporto iX in Unified CM seguendo la procedura nella sezione Abilitazione del supporto iX in Cisco Unified Communications Manager della Guida alla distribuzione ActiveControl.

2

Configurare i profili di sicurezza del dispositivo:


 

Questo passo non è richiesto se si stanno utilizzando le release 12.5 di Unified CM e Expressway.

Cisco Unified Communications Manager raggruppa le impostazioni relative alla sicurezza (ad esempio, la modalità di sicurezza del dispositivo) per un tipo di dispositivo e protocollo in profili di sicurezza e consente di assegnare un singolo profilo di sicurezza a più dispositivi. Le impostazioni configurate vengono applicate a un telefono quando si sceglie il profilo di sicurezza nella finestra Configurazione telefono.

  1. Da Cisco Unified AMMINISTRAZIONE CM, andare a Dispositivo > Telefono, quindi individuare l'endpoint come descritto in Configurazione dei telefoni nella Guida alla configurazione del sistema per Cisco Unified Communications Manager .

  2. Per l'endpoint, in Informazioni specifiche protocollo , impostare Profilo di sicurezza dispositivo su un profilo SIP sicuro, ad esempio Modello dispositivo universale - Profilo di sicurezza crittografia indipendente dal modello.

  3. Salvare le modifiche sull'endpoint.

3

Configurare il parametro di servizio per la visualizzazione dell'icona di chiamata sicura:

  1. Andare a Sistema > dei servizi , scegliere il server Unified CM e il servizio Cisco CallManager.

  2. Scorrere fino a Clusterwide Parameters (Feature - Call Secure Status Policy), quindi modificare il valore per il parametro Secure Call Icon Display Policy Required Field Service (Tutti i supporti tranne BFCP devono essere crittografati).

Questa modifica è richiesta per la visualizzazione dell'icona di blocco sugli endpoint CE. Per ulteriori informazioni, fare clic sul nome del parametro del servizio per visualizzare la Guida in linea.

Effettuare queste operazioni sugli endpoint per assicurarsi che viene stabilita la connessione TLS sicura.


Queste operazioni non sono richieste se si utilizzano le versioni 12.5 di Unified CM e Expressway.

1

Sull'interfaccia amministrativa dell'endpoint, andare a SIP e confermare le seguenti impostazioni:

Tabella 2. Configurazione endpoint

Campo

Impostazione

Anat

Attivato

Trasporto predefinito

Tls

Linea

Privato

Porta di ascolto

Disattivato

PreferitoIPMedia

Assegnazione Preferenziale

IPv4

Indirizzo proxy

Inserire l'indirizzo IP dell'editore Unified CM a cui il dispositivo è registrato.

TlsVerify

Attivato

Tipo

Cisco

2

Salvare le modifiche.

3

In Sicurezza, verificare che i certificati Unified CM siano installati.

Expressway

Attenersi a questa procedura per configurare la zona tra il Expressway sito in cui è registrato il dispositivo e la zona di accoppiamento Expressway upstream che si connette al cloud.

1

In Advanced settings (Impostazioni avanzate) per la zona tra il controllo delle chiamate Expressway e la coppia Expressway, assicurarsi che SIP UDP/IX filter mode (Modalità filtro SIP UDP/IX) sia impostata su Off (Disattivata), come opzione predefinita.

2

Impostare il profilo Zona su Personalizzato, quindi salvare le modifiche.

Effettuare queste operazioni sui Expressway registrati da soli per assicurarsi che viene stabilita la connessione TLS sicura.

1

Sull'interfaccia amministrativa dell'endpoint, andare a SIP e confermare le seguenti impostazioni:

Tabella 3. Configurazione endpoint

Campo

Impostazione

Anat

Disattivato

Trasporto predefinito

Tls

Linea

Privato

Porta di ascolto

Attivato

Versione minimaTLSVersion

TLSv1.0

PreferitoIPMedia

Assegnazione Preferenziale

IPv4

Indirizzo proxy

Inserire l'indirizzo IP del Expressway cui il dispositivo è registrato.

TlsVerify

Disattivato

Tipo

Standard

2

Salvare le modifiche.

Riunioni sicure basate su cloud

Utilizzare questa procedura per creare un profilo SIP con traffico iX abilitato e sicuro da Unified CM Expressway.

1

Configurare un profilo SIP per questo trunk con le seguenti opzioni:

  • Impostare il supporto dell'offerta anticipata per le chiamate vocali e video su Best Effort(non è necessario alcun MTP).

  • Selezionare Consenti supporto applicazione iX. (Questa operazione è stata effettuata nella fase di supporto iX precedente).

2

Per il SIP trunk, applicare il profilo SIP creato.

3

In Destination (Destinazione), inserire l'Expressway IP nome di dominio completo-C specificato in Destination Address (Indirizzo di destinazione) e inserire 5061 per Destination Port (Porta didestinazione).

Operazione successivi

  • Per il funzionamento della connessione TLS, i certificati tra Unified CM e Expressway devono essere smessi o entrambi devono disporre di certificati firmati dalla stessa autorità di certificazione. Per ulteriori informazioni, vedere "Verifica dell'attendibilità dei certificati tra Unified CM e Expressway" nella Guida alla distribuzione di Cisco Expressway e CUCM tramite Trunk SIP supporto.

  • In Expressway-C (hop successivo da Unified CM), in Impostazioni avanzate per la zona tra Expressway e Unified CM, assicurarsi che la modalità filtro SIP UDP/IX sia disattivata (impostazione predefinita). Per ulteriori informazioni, vedere "Filtraggio iX in Cisco VCS" nella Guida alla distribuzione di ActiveControl.

Riunioni sicure basate su mesh video

Se è stato distribuito mesh video nella propria organizzazione, è possibile proteggere i nodi mesh video per i cluster registrati nel cloud.

Configurare la crittografia seguendo la procedura nella guida alla distribuzione su https://www.cisco.com/go/video-mesh.

Verifica dell'esperienza di riunione sull'endpoint sicuro

Utilizzare questa procedura per verificare che gli endpoint siano registrati in modo sicuro e che venga visualizzata la riunione corretta.

1

Partecipa a una riunione dall'endpoint sicuro.

2

Verificare che l'elenco del roster della riunione sia visualizzato sul dispositivo.

Questo esempio mostra come appare l'elenco riunioni su un endpoint con un pannello touch:

3

Durante la riunione, accedere alle informazioni della conferenza Webex da Dettagli chiamata.

4

Verificare che la sezione Crittografia mostra il Tipo come AES-128 e lo Stato come Su .