시작하기 전에

  • 탐지된 취약성으로 인해 Webex Calling은 2024년 9월 1일 사이트 지속 가능 솔루션에서 사용하는 RSAES-PKCS1-v1_5 암호화 체계를 제거합니다. 이 날짜 이후 RSAES-OAEP 암호화 체계는 필수입니다.

    이 암호화 체계로 계속 작동하려면 사이트 지속 가능 게이트웨이를 2024년 9월 1일 전에 Cisco IOS XE Dublin 17.12.3으로 업그레이드하십시오. 이 업그레이드 후 새로운 암호화 체계를 사용하려면 구성 변경이 필요하지 않습니다.

기본적으로 Webex Calling 엔드포인트는 활성 모드에서 작동하여 SIP 등록 및 통화 제어를 위해 Webex 클라우드에 연결합니다. 그러나 Webex에 대한 네트워크 연결이 끊어지면 엔드포인트는 자동으로 지속 가능 모드로 전환되고 등록은 로컬 네트워크 내에서 지속 가능 게이트웨이로 돌아갑니다. 엔드포인트가 지속 가능 모드에 있는 동안 지속 가능 게이트웨이는 해당 엔드포인트에 대한 기본 백업 통화 서비스를 제공합니다. Webex에 대한 네트워크 연결이 재개되면 통화 제어 및 등록은 Webex 클라우드로 되돌아갑니다.

엔드포인트가 지속 가능 모드에 있는 동안 다음 통화를 실행할 수 있습니다.

  • 지원되는 Webex Calling 엔드포인트 간의 내부 통화(내부 통화)

  • 외부 번호 및 E 공급자에 대한 로컬 PSTN 회로 또는 SIP 트렁크를 사용하는 외부 통화(수신 및 발신)

다음 이미지는 Webex에 대한 연결이 끊어지고 Webex 사이트의 엔드포인트가 지속 가능 모드에서 작동하는 네트워크 실패 시나리오를 보여줍니다. 이미지에서 지속 가능 게이트웨이는 Webex에 대한 연결을 요구하지 않고 두 개의 사이트 내 엔드포인트 간에 내부 통화를 라우팅합니다. 이 경우 지속 가능 게이트웨이는 로컬 PSTN 연결로 구성됩니다. 결과적으로, 지속 가능 모드의 사이트 내 엔드포인트는 외부 번호 및 E 공급자에 대한 수신 및 발신 통화에 대해 PSTN을 사용할 수 있습니다.

지속 가능 모드의 Webex Calling 엔드포인트

이 기능을 사용하려면 로컬 네트워크에서 Cisco IOS XE 라우터를 지속 가능 게이트웨이로 구성해야 합니다. 지속 가능 게이트웨이는 해당 위치의 엔드포인트에 대해 Webex 클라우드에서 매일 통화 정보를 동기화합니다. 엔드포인트가 지속 가능 모드로 전환되는 경우 게이트웨이는 이 정보를 사용하여 SIP 등록을 인계하고 기본 통화 서비스를 제공할 수 있습니다.

다음 조건이 지속 가능 게이트웨이에 적용됩니다.

  • Webex 클라우드에는 장치 구성 파일에 지속 가능 게이트웨이 IP 주소, 호스트 이름 및 포트가 포함됩니다. 결과적으로 엔드포인트는 Webex에 대한 연결이 끊기는 경우 등록을 위해 지속 가능 게이트웨이로 연결할 수 있습니다.

  • Webex 클라우드와 지속 가능 게이트웨이 간의 일일 통화 데이터 동기화에는 등록된 사용자에 대한 인증 정보가 포함됩니다. 따라서 엔드포인트는 지속 가능 모드에서 작동하는 동안에도 보안 등록을 유지할 수 있습니다. 동기화에는 해당 사용자에 대한 라우팅 정보도 포함됩니다.

  • 지속 가능 게이트웨이는 Webex가 제공하는 라우팅 정보를 사용하여 내부 통화를 자동으로 라우팅할 수 있습니다. PSTN 트렁크 구성을 지속 가능 게이트웨이에 추가하여 외부 통화를 제공합니다.

  • 사이트 지속 가능성을 배포하는 각 사이트에는 로컬 네트워크 내에서 지속 가능 게이트웨이가 필요합니다.

  • 등록 및 통화 제어는 Webex 네트워크 연결이 최소 30초 동안 재개되면 모두 Webex 클라우드로 되돌립니다.

기능 지원

지원되는 기능 및 구성 요소

다음 표에서는 지원되는 기능에 대한 정보를 제공합니다.

표 1. 지원되는 통화 기능
기능 코멘트
Intrasite 확장 통화

지속 가능 게이트웨이에서 필요한 특정 라우팅 구성이 없어도 자동으로 지원됩니다.

단, 대체 번호 및 가상 내선 번호는 내부 내선 번호 통화에서 지원되지 않습니다.

사이트 간 및 PSTN 통화(인바운드 및 아웃바운드)Telco 회로 또는 SIP 트렁크에 기반한 PSTN 통화.
E 통화 처리

E <UNK> 통화에는 PSTN 회로 또는 SIP 트렁크가 필요합니다.

발신 통화는 정의된 ERL(Emergency Response Location)에 대해 특정 등록된 ELIN(Emergency Location Identification Number)을 사용합니다. 긴급 작업자가 연결이 끊긴 통화를 반환하는 경우, 지속 가능 게이트웨이는 통화를 긴급 번호라는 마지막 장치로 안내합니다.

통화 대기 및 재시작

지원됨

대기 중 음악을 사용하는 경우 MOH 파일로 지속 가능 게이트웨이를 수동으로 프로비저닝합니다.
참석한 통화 전송 지원됨
비공개 통화 전송 지원됨
인바운드 발신자 ID (이름)지원됨
인바운드 발신자 ID(이름 및 번호)지원됨
지점 간 화상 통화지원됨
3방향 통화지원되지 않음
회선 공유 기능(Shared Call Appearance)Webex 앱 및 데스크 폰에서 지원됩니다.

기능이 구성되면 다음 지원되는 엔드포인트에 대해 사이트 지속 가능성을 사용할 수 있습니다.

표 2. 지원되는 엔드포인트 모델
유형모델최소 버전
다중 플랫폼(MPP) 펌웨어가 있는 Cisco IP 전화기

6821, 6841, 6851, 6861, 6861 와이파이, 6871

7811, 7821, 7841, 7861

8811, 8841, 8851, 8861

8845(오디오 전용), 8865(오디오 전용)

멀티플랫폼(MPP) 펌웨어가 지원되는 Cisco IP 전화기에 대한 자세한 정보는 다음을 참조하십시오.

12.0(1)

Cisco Webex 앱Windows, Mac

43.2

다음 표에서는 지속 가능 게이트웨이로 구성할 수 있는 Cisco IOS XE 라우터에 대한 세부 정보를 제공합니다. 이 표는 각 플랫폼이 지원하는 최대 엔드포인트 수와 최소 IOS XE 버전에 대한 정보도 제공합니다.

표 3. 지원되는 플랫폼 모델
모델최대 엔드포인트 등록최소 버전
통합 서비스 라우터 432150

Cisco IOS XE Dublin 17.12.3 이상 릴리즈

통합 서비스 라우터 4331100
통합 서비스 라우터 4351700
통합 서비스 라우터 44311200
통합 서비스 라우터 4451-X2000
통합 서비스 라우터 44612000
촉매 가장자리 8200L-1N-4T1500
촉매 가장자리 8200-1N-4T2500
촉매 가장자리 8300-1N1S-6T2500
촉매 가장자리 8300-2N2S-6T2500
촉매 가장자리 8300-1N1S-4T2X2500
촉매 가장자리 8300-2N2S-4T2X2500
촉매 가장자리 8000V 소프트웨어 작은 윤곽500
촉매 가장자리 8000V 소프트웨어 매체 윤곽1000
촉매 가장자리 8000V 소프트웨어 큰 윤곽2000
지속 가능 게이트웨이에 대한 포트 참조 정보
표 4. 지속 가능 게이트웨이에 대한 포트 참조 정보

연결 목적

소스 주소

소스 포트

프로토콜

대상 주소

대상 포트

SIP TLS(지속 가능 게이트웨이에 대한 통화 시그널링)

장치

5060-5080

TLS

지속 가능 게이트웨이

8933

SRTP(지속 가능 게이트웨이에 대한 통화 미디어)

장치

19560-19660

UDP

지속 가능 게이트웨이

8000-14198 (UDP를 통한 SRTP)

PSTN 게이트웨이(SIP)에 대한 통화 시그널링

지속 가능 게이트웨이

임시

TCP 또는 UDP

ITSP PSTN 게이트웨이

5060

PSTN 게이트웨이에 대한 통화 미디어 (SRTP)

지속 가능 게이트웨이

8000-48198

UDP

ITSP PSTN 게이트웨이

임시

시간 동기화(NTP)

지속 가능 게이트웨이

임시

UDP

NTP 서버

123

이름 확인(DNS)

지속 가능 게이트웨이

임시

UDP

DNS 서버

53

클라우드 관리

커넥터

임시

HTTPS

Webex 서비스

443, 8433

클라우드 모드에 대한 운영 지침은 Webex Calling 도움말 문서에 대한 포트 참조 정보를 참조하십시오.

Cisco IOS XE 라우터에서 포트 설정 값을 사용자 정의할 수 있습니다. 이 표는 기본값을 사용하여 안내를 제공합니다.

Unified SRST를 통한 콜로케이션

지속 가능 게이트웨이는 동일한 게이트웨이에서 Webex 지속 가능 구성 및 Unified SRST 구성의 콜로케이션을 지원합니다. 게이트웨이는 Webex Calling 엔드포인트 및 Unified Communications Manager에 등록하는 엔드포인트 모두에 대해 지속 가능성을 지원할 수 있습니다. 콜로케이션을 구성하려면:

콜로케이션에 대한 통화 라우팅 고려 사항

콜로케이션 시나리오에 대한 통화 라우팅을 구성할 때 다음을 고려하십시오.

  • 지속 가능 게이트웨이는 통화의 두 엔드포인트가 지속 가능 게이트웨이에 등록되는 경우 내부 통화를 자동으로 라우팅합니다. 내부 통화는 등록된 클라이언트(SRST 또는 Webex Calling) 간에 자동으로 라우팅됩니다.

  • 다른 통화 제어 시스템에 대한 연결이 유지되는 동안 한 통화 제어 시스템에 대한 연결이 다운되는 상황이 발생할 수 있습니다. 결과적으로, 한 개의 엔드포인트 세트는 지속 가능 게이트웨이에 등록되고, 동일한 사이트의 다른 엔드포인트 세트는 기본 통화 제어에 등록됩니다. 이 경우 두 엔드포인트 세트 간의 통화를 SIP 트렁크 또는 PSTN 회로로 라우팅해야 할 수 있습니다.

  • 외부 통화 및 E 통화는 SIP 트렁크 또는 PSTN 회로로 라우팅될 수 있습니다.

제한 사항 및 제한 사항

  • PSTN(Public Switched Telephone Network) 서비스 가용성은 네트워크 중단 중에 사용할 수 있는 SIP 트렁크 또는 PSTN 회로에 따라 달라집니다.

  • 4G 및 5G 연결이 있는 장치(예: 모바일 또는 태블릿용 Webex 앱)는 중단 중에도 여전히 Webex Calling에 등록할 수 있습니다. 결과적으로, 중단 중에 동일한 사이트 위치에서 다른 번호로 전화할 수 없습니다.

  • 다이얼링 패턴은 지속 가능 모드와 활성 모드에서 다르게 작동할 수 있습니다.

  • 이 기능은 지속 가능 게이트웨이로 폴백 중에 통화 보존을 지원하지 않습니다. 그러나 클라우드 서비스에 대한 연결이 다시 설정되면 통화가 유지됩니다.

  • 중단이 발생하면 장치가 지속 가능 게이트웨이에 성공적으로 등록하는 데 몇 분이 걸릴 수 있습니다.

  • 지속 가능 게이트웨이는 IPv4 주소를 사용해야 합니다. IPv6은 지원되지 않습니다.

  • Control Hub에서 주문형 동기화 상태 업데이트는 최대 30분이 소요될 수 있습니다.

  • Cisco Webex 멀티콜 창은 릴리즈 43.2에서 지원되지 않습니다. 멀티콜 창을 사용하고 있는 경우, 지속 가능 모드에서 비활성화하고 기본 응용프로그램을 사용하여 전화를 걸거나 받습니다.

  • 음성 서비스 voip 구성 모드에서 SIP 바인드 명령을 구성하지 마십시오. 이는 지속 가능 게이트웨이가 있는 MPP 전화기의 등록 실패로 이어집니다.

지속 가능 모드에 있는 동안:

  • 지정보류, 지정보류 해제, 참여, 당겨받기, 그룹 당겨받기 및 통화 당겨받기 버튼과 같은 MPP 소프트키는 지원되지 않습니다. 그러나 그들은 비활성화된 것처럼 보이지 않습니다.

  • 공유된 회선으로 실행된 통화는 모든 장치에서 벨이 울릴 수 있습니다. 그러나 원격 회선 상태 모니터링, 보류, 재시작, 동기화된 DND 및 통화 착신 전환 설정과 같은 다른 공유 회선 기능은 사용할 수 없습니다.

  • 전화회의 또는 3방향 통화를 사용할 수 없습니다.

  • 발신, 수신 및 부재 중 통화의 로컬 통화 기록은 MPP 전화기에서 사용할 수 없습니다.

기능 구성

사이트 지속 가능 구성 작업 흐름

기존의 Webex Calling 위치에 대해 사이트 지속 가능성을 추가하려면 다음 작업을 완료하십시오. Webex 클라우드에 대한 연결이 끊기는 경우, 로컬 네트워크의 지속 가능 게이트웨이는 해당 위치의 엔드포인트에 대한 백업 통화 제어를 제공할 수 있습니다.

시작하기 전에

새로운 게이트웨이를 구축하여 지속 가능 게이트웨이로 작동해야 하는 경우, Webex 문서 Cisco IOS 관리되는 게이트웨이를 Webex 클라우드에 등록 을 참조하여 게이트웨이를 Control Hub에 추가합니다.

단계명령 또는 작업목적

1

게이트웨이에 지속 가능 서비스 지정

Control Hub에서 지속 가능 게이트웨이 서비스를 게이트웨이에 할당합니다.

2

구성 템플릿 다운로드

Control Hub에서 구성 템플릿을 다운로드합니다. 게이트웨이 명령줄을 구성할 때 템플릿이 필요합니다.

3

라이센싱 구성

지속 가능 게이트웨이에 대한 라이센스를 구성합니다.

4

Cisco IOS XE에서 인증서 구성

지속 가능 게이트웨이에 대한 인증서를 구성합니다.

5

게이트웨이를 지속 가능 게이트웨이로 구성

이전에 다운로드한 구성 템플릿을 가이드로 사용하여 게이트웨이 명령줄을 구성합니다. 템플릿에 있는 모든 필수 구성을 완료합니다.

게이트웨이에 지속 가능 서비스 지정
Control Hub에서 이 절차를 사용하여 기존 게이트웨이를 지속 가능 게이트웨이로 지정합니다.

시작하기 전에

게이트웨이가 Control Hub에 존재하지 않는 경우, Webex Calling에 Cisco IOS 게이트웨이 등록 을 참조하여 새 게이트웨이 인스턴스를 추가합니다.
1

https://admin.webex.com에서 Control Hub에 로그인합니다.

파트너 조직인 경우, Partner Hub가 시작됩니다. Control Hub를 열려면 Partner Hub에서 고객 보기를 클릭하고 해당 고객을 선택하거나, 내 조직 을 선택하여 파트너 조직에 대한 Control Hub 설정을 엽니다.

2

Control Hub의 서비스 아래에서 통화 를 클릭한 다음 관리되는 게이트웨이 탭을 클릭합니다.

관리되는 게이트웨이 보기는 Control Hub를 통해 관리하는 게이트웨이의 목록을 표시합니다. 서비스 열에는 현재 서비스 지정이 표시됩니다.
3

지속 가능 게이트웨이로 할당할 게이트웨이의 경우, 서비스 필드의 값에 따라 다음 중 하나를 선택합니다.

  • 지정 해제됨(비어 있는 값) - 서비스 지정 을 클릭하고 다음 단계로 이동합니다.

  • 지속 가능 게이트웨이 - 기존 게이트웨이 IP 설정을 편집하려면 지속 가능 게이트웨이 속성 편집으로 이동합니다. 그렇지 않으면 흐름의 다음 절차로 이동합니다.

4

서비스 유형 드롭다운에서 지속 가능 게이트웨이 를 선택하고 다음 필드를 완료합니다.

  • 위치—드롭다운에서 위치를 선택합니다.

  • 호스트 이름 - 게이트웨이에 대한 인증서를 만들 때 사용되는 FQDN(정규화된 도메인 이름)을 입력합니다. 인증서 제목 대체 이름 필드(SAN)에 포함된 이름일 수 있습니다. FQDN 및 IP 주소는 게이트웨이와 보안 연결을 설정하는 데에만 사용됩니다. 따라서 DNS에서 채워 넣어야 하는 것은 아닙니다.

  • IP 주소 - IPv4 형식으로 지속 가능 게이트웨이의 IP 주소를 입력합니다. 장치가 지속 가능 모드에서 작동하는 동안 이 주소에 등록됩니다.

5

지정을 클릭합니다.

(선택 사항) 지속 가능 서비스 지정 해제 - 게이트웨이에서 지속 가능 게이트웨이를 제거하려면 관리되는 게이트웨이의 서비스 지정 해제로 이동합니다.
구성 템플릿 다운로드
Control Hub에서 구성 템플릿을 다운로드합니다. 게이트웨이 명령줄을 구성할 때 템플릿이 필요합니다.
1

https://admin.webex.com에서 Control Hub에 로그인합니다.

파트너 조직인 경우, Partner Hub가 시작됩니다. Control Hub를 열려면 Partner Hub에서 고객 보기를 클릭하고 해당 고객을 선택하거나, 내 조직 을 선택하여 파트너 조직에 대한 Control Hub 설정을 엽니다.

2

Control Hub의 서비스 아래에서 통화 를 클릭한 다음 관리되는 게이트웨이 탭을 클릭합니다.

3

해당 지속 가능 게이트웨이를 클릭합니다.

4

구성 템플릿 다운로드 를 클릭하고 데스크탑 또는 노트북으로 템플릿을 다운로드합니다.

라이센싱 구성
게이트웨이에 적합한 플랫폼 라이센스가 있는지 확인하십시오. 플랫폼에 적합한 명령을 사용하여 라이센스를 구성합니다.
1

라우터에서 전역 구성 모드를 입력합니다.

터미널 구성 활성화
2

특정 플랫폼에만 적용되는 명령을 사용하여 라이센스를 구성합니다.

  • Cisco ISR 4000 시리즈의 경우:

    라이선스 부팅 수준 uck9 라이선스 부팅 수준 securityk9

  • Cisco Catalyst 8300 및 8200 Series Edge 플랫폼의 경우 DNA Network Advantage 기능 라이센스 이상을 사용하고 필요한 처리량 수준을 입력합니다. 다음 예제에서는 25Mbps 양방향 암호화 처리량을 사용합니다. 예상되는 통화 수에 대해 적절한 수준을 선택합니다.

    라이선스 부팅 레벨 네트워크-이점 애드온 DNA-이점 플랫폼 하드웨어 처리량 암호화 25M

  • Cisco Catalyst 8000V Edge 소프트웨어의 경우 DNA Network Essentials 기능 라이센스를 사용하거나, 더 나은 기능을 사용하여 필요한 처리량 수준을 입력합니다. 다음 예제에서는 1Gbps 처리량을 사용합니다. 예상되는 통화 수에 대해 적절한 수준을 선택합니다.

    라이선스 부팅 수준 network-essentials addon dna-essentials 플랫폼 하드웨어 처리량 수준 MB 1000
250Mbp보다 높은 처리량을 구성할 때 HSEC 플랫폼 라이센스가 필요합니다.

인증서 구성

Cisco IOS XE에서 인증서 구성

Complete the following steps to request and create certificates for the Survivability Gateway. Use certificates signed by a publicly known Certificate Authority.

Survivability Gateway platform only supports publicly known CA certificates. Private or enterprise CA certificates can’t be used for Survivability Gateway.

For a list of root certificate authorities that are supported for Webex Calling, see What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms?.

Survivability Gateway platform doesn’t support the wildcard certificate.

Run the commands from the sample code to complete the steps. For additional information on these commands, along with more configuration options, see the “ SIP TLS Support” chapter in the Cisco Unified Border Element Configuration Guide.

1

Enter global configuration mode by running the following commands:

enable configure terminal
2

Generate the RSA private key by running the following command. The private key modulus must be at least 2048 bits.

crypto key generate rsa general-keys label webex-sgw exportable modulus 2048
3

Configure a trustpoint to hold the Survivability Gateway certificate. The gateway fully qualified domain name (fqdn) must use the same value that you used when assigning the survivability service to the gateway.

crypto pki trustpoint webex-sgw enrollment terminal fqdn <gateway_fqdn> subject-name cn=<gateway_fqdn> subject-alt-name <gateway_fqdn> revocation-check crl rsakeypair webex-sgw
4

Generate a Certificate Signing Request by running the crypto pki enroll webex-sgw command.

When prompted, enter yes.

After the CSR displays on screen, use Notepad to copy the certificate to a file that you can send to a supported certificate authority (CA).

If your certificate signing provider requires a CSR in PEM (Privacy Enhanced Mail) format, add a header and footer before submitting. 예: 

-----BEGIN CERTIFICATE REQUEST----- <Insert CSR here> -----END CERTIFICATE REQUEST-----
5

After the CA issues you a certificate, run the crypto pki authenticate webex-sgw command to authenticate the certificate. You can run this command from either exec or config mode.

When prompted, paste the base 64 CER/PEM issuing CA certificate contents (not the device certificate) into the terminal.

6

Import the signed host certificate to the trustpoint using the crypto pki import webex-sgw certificate command.

When prompted, paste the base 64 CER/PEM certificate into the terminal.

7

Check that the root CA certificate is available:

Only publicly known certificate authorities are supported with the Webex Calling solution. Private or enterprise CA certificates aren’t supported.

  1. Find the root CA common name by running show crypto pki certificates webex-sgw | begin CA Cert. Look for the issuer cn= <value>.

  2. Run the show crypto pki trustpool | include cn= command and check whether this root CA certificate is installed with the Cisco CA bundle. If you see your CA, skip to step 9.

  3. If you don't see your certificate, run the following command to install the extended IOS CA bundle.

    crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios_union.p7b

  4. Repeat these substeps to determine if the root CA certificate is now available. After you repeat the substeps:

    If the certificate isn’t available, go to step 8. If the certificate is available, go to step 9.

8

If your root CA certificate isn’t included in the bundle, acquire the certificate and import it to a new trustpoint.

Perform this step if a publicly known CA root certificate isn’t available with your Cisco IOS XE gateway.

crypto pki trustpoint <CA name> enrollment terminal revocation-check crl crypto pki authenticate <CA name>

When prompted, paste the base 64 CER/PEM certificate contents into the terminal.

9

Using configuration mode, specify the default trust point, TLS version and SIP-UA defaults with the following commands.

sip-ua no remote-party-id retry invite 2 transport tcp tls v1.2 crypto signaling default trustpoint webex-sgw handle-replaces
Import certificates along with keypairs

You can import CA certificates and keypairs as a bundle using the PKCS12 format (.pfx or .p12). You can import the bundle from a local file system or a remote server. PKCS12 is a special type of certificate format. It bundles the entire certificate chain from the root certificate through the identity certificate, along with the RSA keypair. That is, the PKCS12 bundle you import would include the keypair, host certificates, and intermediate certificates. Import a PKCS12 bundle for the following scenarios:

  • Export from another Cisco IOS XE router and import into your Survivability Gateway router

  • Generation of the PKCS12 bundle outside Cisco IOS XE router using OpenSSL

Complete the following steps to create, export, and import certificates and keypairs for your Survivability Gateway router.

1

(Optional) Export the PKCS12 bundle required for your Survivability Gateway router.

crypto pki export webex-sgw pkcs12 terminal password xyz123

This step is applicable only if you export from another Cisco IOS XE router.

2

(Optional) Create a PKCS12 bundle using OpenSSL.

  1. Verify that the OpenSSL is installed on the system that this process is run on. For Mac OSX and GNU/Linux users, it’s installed by default.

  2. Switch to the directory where your keys, certificate, and chain files are stored.

    Windows에서: By default, the utilities are installed in C:\Openssl\bin. Open a command prompt in this location.

    On Mac OSX/Linux: Open the Terminal window in the directory needed to create the PKCS12 certificate.

  3. In the directory, save the private key (privateKey.key), identity certificate (certificate.crt), and root CA certificate chain (CACert.crt) files.

    Combine the private key, identity certificate, and the root CA certificate chain into a PKCS12 file. Enter a passphrase to protect your PKCS12 certificate.

    console> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    Provide a password when using OpenSSL to generate the PKCS12 file.

This step is applicable only if you generate a PKCS12 bundle outside Cisco IOS XE using OpenSSL.

3

Import the file bundle in PKCS12 format.

crypto pki import <trustpoint name> pkcs12 <certificate file location> password <file password>

The following is a sample configuration for the command and details regarding the configurable parameters: 

crypto pki import webex-sgw pkcs12 bootflash:certificate.pfx password xyz123

  • <trustpoint name>—Name of the trustpoint that is created when using this command (For example, webex-sgw).

  • <certificate file location>—Local or network URL pointing to the certificate file (For example, bootflash:certificate.pfx)

  • <file password>—The password that's used when creating the PKCS12 file (For example, xyz123).

The crypto pki import command automatically builds the trustpoint to accommodate the certificate.

4

Using configuration mode, specify the default trust point, TLS version and SIP-UA defaults with the following commands.

sip-ua no remote-party-id retry invite 2 transport tcp tls v1.2 crypto signaling default trustpoint webex-sgw handle-replaces

Configure Survivability Gateway

Configure gateway as a survivability gateway

Use the configuration template that you downloaded earlier as a guide to configuring the gateway command line. Complete the mandatory configurations in the template.

The following steps contain sample commands along with an explanation of the commands. Edit the settings to fit your deployment. The angled brackets (for example, <settings>) identify settings where you should enter values that apply to your deployment. The various <tag> settings use numerical values to identify and assign sets of configurations.

  • Unless stated otherwise, this solution requires that you complete all the configurations in this procedure.

  • When applying settings from the template, replace %tokens% with your preferred values before you copy to the gateway.

  • For more information on the commands, see Webex Managed Gateway Command Reference. Use this guide unless the command description refers you to a different document.

1

Enter into global configuration mode.

enable configure terminal

장소:

  • enable—Enables privileged EXEC mode.

  • configure terminal—Enables global configuration mode.

2

Perform the voice service configurations:

voice service voip ip address trusted list ipv4 <ip_address> <subnet_mask> ipv4 <ip_address> <subnet_mask> allow-connections sip to sip supplementary-service media-renegotiate no supplementary-service sip refer trace sip asymmetric payload full registrar server

명령어 설명:

  • ip address trusted list—Defines a list of nonregistering addresses that the Survivability Gateway must accept SIP messages from. For example, a SIP trunk peer address.

  • <ip_address> and <subnet_mask> represent trusted address ranges. You don't need to enter directly connected subnets as the Survivability Gateway trusts them automatically.

  • allow-connections sip to sip—Allows SIP to SIP connections in a VoIP network.

  • no supplementary-service sip refer—Disable REFER method for call forward and call transfer supplementary services. Webex Calling doesn’t use these methods.

  • sip—Enters service SIP configuration mode.

  • registrar server—Enable the SIP registrar to allow Webex Calling clients to register to the gateway.

  • asymmetric payload full—Enables video calling in survivability mode.

3

Enable Survivability on the router:

voice register global mode webex-sgw max-dn 50 max-pool 50 exit

명령어 설명:

  • voice register global—Enters global voice registration mode.

  • mode webex-sgw—Enables Webex Calling Survivability mode and Survivable Remote Site Telephony for Unified Communications Manager endpoints.

    After mode webex-sgw configuration, Survivability Gateway listens on port 8933 for incoming secure connections from endpoints.

  • max-dn—Limits the number of directory numbers that the router can handle. For this solution, always configure the maximum value available for your platform.

  • max-pool—Sets the maximum number of devices that can register to the gateway. Set this value to the maximum that your platform allows, as described in Table 3.

4

Configure NTP servers:

ntp server <ip_address_of_primary_NTP_server> ntp server <ip_address_of_secondary_NTP_server>

5

(Optional). Configure general Class of Restriction call permissions:

dial-peer cor custom name Wx_calling_Internal name Wx_calling_Toll-free name Wx_calling_National name Wx_calling_International name Wx_calling_Operator_Assistance name Wx_calling_Chargeable_Directory_Assistance name Wx_calling_Special_Services1 name Wx_calling_Special_Services2 name Wx_calling_Premium_Services1 name Wx_calling_Premium_Services2

The preceding example creates a set of custom class of restriction named categories (for example, Wx_calling_International). For details on how to use Class of Restrictions with dial peers, see "Class of Restrictions" in Dial Peer Configuration Guide, Cisco IOS Release 15M&T.

6

Configure a list of preferred codecs. For example, the following list specifies g711ulaw as the preferred codec, followed by g711alaw.

voice class codec 1 codec preference 1 g711ulaw codec preference 2 g711alaw

명령어 설명:

  • voice class codec 1 enters voice-class configuration mode for the codec group 1.

  • codec preference identifies the preferred codecs for this codec group.

7

Configure default voice register pools per location:

voice register pool 1 id network 0.0.0.0 mask 0.0.0.0 dtmf-relay rtp-nte voice-class codec 1

명령어 설명:

  • voice register pool 1—Enters voice register pool configuration mode for SIP devices in this pool.

  • id network and mask identify a SIP device, or set of network devices that use this pool. Use the addresses and masks that apply to your deployment. The address 0.0.0.0 allows devices from anywhere to register (if the device addresses are in the permit list).

  • id extension-number—The pool applies to the Webex Calling user at extension 1234 specifically. Use the appropriate extensions for your network.

  • dtmf-relay specifies the rtp-nte method for sending DTMF digits. In this example, Real-Time Transport (RTP) with Named phone event (NTE) payload type.

  • voice-class codec 1—Assigns codec group 1 to this pool.

8

Configure emergency calling:

voice emergency response location 1 elin 1 <number> subnet 1 <ip-group> <subnet-mask> voice emergency response location 2 elin 1 <number> subnet 1 <ip-group> <subnet-mask> voice emergency response zone 1 location 1 location 2 voice class e164-pattern-map 301 voice class e164-pattern-map 351

명령어 설명:

  • voice emergency response location 1—Creates emergency response location group 1 for the enhanced 911 service. A subsequent command creates emergency response location group 2.

  • elin 1 <number>—Assigns an elin to the emergency response location. For this elin, the <number> portion defines a PSTN number to replace the extension of the 911 caller (for example, 14085550100).

  • subnet 1 <ip-group> <subnet-mask>—Defines a subnet group along with a specific subnet address for this emergency response location. Use this command to identify the caller network via an IP address and subnet mask. For example, subnet 1 192.168.100.0 /26.

  • voice emergency response zone 1—Defines an emergency response zone.

  • location 1 (and 2)—Assigns emergency response locations 1 and 2 to this emergency response zone.

  • voice class e164-pattern-map 301 (and 351)—Identifies e164 pattern maps 301 and 351 for this voice class. You can use the map to define dial plans and emergency location identifiers.

If the WiFi overlay doesn't match to IP subnets accurately, then emergency calling for nomadic devices may not have the correct ELIN mapping.
9

Configure dial peers for the PSTN. For an example of the dial peer configuration, see PSTN connection examples.

10

선택 사항. Enable Music on Hold for the router. You must store a music file in the router flash memory in G.711 format. The file can be in .au or .wav file format, but the file format must contain 8-bit 8-kHz data (for example, ITU-T A-law or mu-law data format).

call-manager-fallback moh enable-g711 "bootflash:<MOH_filename>"

명령어 설명:

  • call-manager-fallback—Enters SRST configuration mode.

  • moh enable-g711 "bootflash:<MOH_filename>"—Enables unicast Music on Hold using G.711. Also provides the directory and audio filename (for example, bootflash:music-on-hold.au). The filename can’t exceed 128 characters.

Complete on-demand sync

선택 사항. Complete this procedure only if you want to complete an immediate on-demand sync. This procedure isn’t mandatory as the Webex cloud syncs call data to the Survivability Gateway once per day, automatically.

1

https://admin.webex.com에서 Control Hub에 로그인합니다.

If you’re a partner organization, Partner Hub launches. To open Control Hub, click the Customer view in Partner Hub and select the applicable customer or select My Organization to open Control Hub settings for the partner organization.

2

In Control Hub, under SERVICES, click Calling and then click the Managed Gateways tab.

3

Click on the applicable Survivability Gateway to open the Survivability Service view for that gateway.

4

Click the Sync button.

5

제출을 클릭합니다.

It may take up to 10 minutes to complete the sync.
Edit Survivability Gateway properties
Use this optional procedure only if you want to edit settings for an existing Survivability Gateway.
1

https://admin.webex.com에서 Control Hub에 로그인합니다.

If you’re a partner organization, Partner Hub launches. To open Control Hub, click the Customer view in Partner Hub and select the applicable customer, or select My Organization to open Control Hub settings for the partner organization.

2

In Control Hub, under SERVICES, click Calling and then click the Managed Gateways tab.

3

Click on the applicable Survivability Gateway to open the Survivability Service view for that gateway.

4

Click the Edit button and update settings for the following.

  • Host Name—Use the host name or Fully Qualified Domain Name of the certificate to establish the TLS connection with clients and IP Address.

  • IP Address—In IPv4 format, enter the IP address of the gateway to which devices register while operating in Survivability mode.

5

제출을 클릭합니다.

If you want to delete a Survivability Gateway from Control Hub, unassign the Survivability Gateway service first. For more details, see Assign Services to Managed Gateways.

Configuration examples

PSTN connection examples

For external calling, configure a connection to the PSTN. This topic outlines some of the options and provides sample configurations. The two main options are:

  • Voice Interface Card (VIC) connection to PSTN

  • SIP trunk to PSTN gateway

Voice interface card connection to PSTN

You can install a Voice Interface Card (VIC) on the router and configure a port connection to the PSTN.

SIP trunk to PSTN gateway

You can configure a SIP trunk connection that points to a PSTN gateway. To configure the trunk connection on the gateway, use the voice-class-tenant configuration. Following is a sample configuration. 

voice class tenant 300 sip-server ipv4:<ip_address>:<port> session transport udp bind all source-interface GigabitEthernet0/0/1

Dial peer configuration

For trunk connections, configure inbound and outbound dial peers for the trunk connection. The configuration depends on your requirements. For detailed configuration information, see Dial Peer Configuration Guide, Cisco IOS Release 15M&T.

Following are sample configurations:

Outbound dial-peers to the PSTN with UDP and RTP

dial-peer voice 300 voip description outbound to PSTN destination-pattern +1[2-9]..[2-9]......$ translation-profile outgoing 300 rtp payload-type comfort-noise 13 session protocol sipv2 session target sip-server voice-class codec 1 voice-class sip tenant 300 dtmf-relay rtp-nte no vad

Inbound dial-peer from the PSTN using UDP with RTP

voice class uri 350 sip host ipv4:<ip_address> ! dial-peer voice 190 voip description inbound from PSTN translation-profile incoming 350 rtp payload-type comfort-noise 13 session protocol sipv2 voice-class codec 1 voice-class sip tenant 300 dtmf-relay rtp-nte no vad

Number translations

For PSTN connections, you may need to use translation rules to translate internal extensions to an E.164 number that the PSTN can route. Following are sample configurations:

From PSTN translation rule with non +E164 

voice translation-rule 350 rule 1 /^\([2-9].........\)/ /+1\1/ voice translation-profile 300 translate calling 300 translate called 300

From phone system translation rule with +E164 

voice translation-rule 300 rule 1 /^\+1\(.*\)/ /\1/ voice translation-profile 300 translate calling 300 translate called 300
Emergency calling example

The following example contains an example of an emergency calling configuration.

If the WiFi overlay doesn't match to IP subnets accurately, then emergency calling for nomadic devices may not have a correct ELIN mapping.

Emergency response locations (ERLs)

 voice emergency response location 1 elin 1 14085550100 subnet 1 192.168.100.0 /26 ! voice emergency response location 2 elin 1 14085550111 subnet 1 192.168.100.64 /26 ! voice emergency response zone 1 location 1 location 2

Outgoing dial peers

 voice class e164-pattern-map 301 description Emergency services numbers e164 911 e164 988 ! voice class e164-pattern-map 351 description Emergency ELINs e164 14085550100 e164 14085550111 ! dial-peer voice 301 pots description Outbound dial-peer for E911 call emergency response zone 1 destination e164-pattern-map 301 ! dial-peer voice 301 pots description Inbound dial-peer for E911 call emergency response callback incoming called e164-pattern-map 351 direct-inward-dial