Принцип работы


 

Функции шлюза устойчивости Webex Calling доступны в выпуске Cisco IOS XE Cupertino 17.9.3a и Cisco IOS XE Dublin 17.11.1.


 
  • Модернизируйте шлюзы устойчивости Webex Calling до выпуска Cisco IOS XE Dublin 17.12.2 или более поздней версии для расширенного шифрования безопасности. Если модернизация Cisco IOS XE не будет выполнена, шлюз устойчивости потеряет подключение к облаку Webex после включения расширенного шифрования безопасности.

  • RSA1_5 подвержен нескольким типам криптографических атак. Таким образом, RSA_OAEP (RSA PKCS#1 v2.1 OAEP) заменила RSA1_5 (RSA PKCS#1 v1.5) в качестве алгоритма шифрования, используемого для связи между шлюзом устойчивости и облаком Webex. Переход на RSA_OAEP помогает сохранить целостность и конфиденциальность зашифрованной связи.

По умолчанию конечные точки Webex Calling работают в активном режиме, подключаясь к облаку Webex для регистрации SIP и управление вызовами. Однако, если сетевое соединение с Webex прерывается, конечные точки автоматически переключаются в режим живучести, а регистрации возвращаются к шлюзу обеспечения живучести в локальной сети. В то время как конечные точки находятся в режиме живучести, шлюз обеспечения живучести предоставляет базовую службу резервного копирования для этих конечных точек. После возобновления сетевое соединение к Webex управление вызовами и регистрация возвращаются в облако Webex .

Пока конечные точки находятся в режиме живучести, вы можете выполнять следующие вызовы:

  • Внутренний вызов (внутрисайтовый) между поддерживаемыми конечными точками Webex Calling

  • Внешние вызовы (входящие и исходящие) с использованием локальной сети PSTN или SIP-магистраль на внешние номера и провайдеров E911

На следующем изображении показан сценарий сбоя сети, при котором соединение с Webex разорвано, а конечные точки на веб- веб-сайт Webex работают в режиме живучести. На изображении шлюз обеспечения отказоустойчивости направляет внутренний вызов между двумя конечными точками на объекте, не требуя подключения к Webex. В этом случае шлюз отказоустойчивости настроен с использованием локального подключение к PSTN. В результате локальные конечные точки в режиме живучести могут использовать PSTN для входящих и исходящих вызовов на внешние номера и провайдеров E911.

Терминальные устройства Webex Calling в режиме устойчивости

Для использования этой функции необходимо настроить Cisco IOS XE в локальной сети в качестве шлюза обеспечения отказоустойчивости. Шлюз Survivability Gateway ежедневно синхронизирует информацию о вызовах из облака Webex для конечных точек в этом месте. Если конечные точки переключаются в режим живучести, шлюз может использовать эту информацию для выполнения регистраций SIP и предоставления базовых услуг вызова.

К шлюзу обеспечения живучести применяются следующие условия:

  • Облако Webex включает IP-адрес шлюза обеспечения отказоустойчивости, имя хоста и порт в файле конфигурация устройства . В результате конечные точки могут обращаться к шлюзу обеспечения отказоустойчивости для регистрации в случае разрыва соединения с Webex .

  • Ежедневная синхронизация данных о вызовах между облаком Webex и шлюзом Survivability Gateway включает информацию об аутентификации для зарегистрированных пользователей. В результате конечные точки могут поддерживать безопасную регистрацию даже во время работы в режиме живучести. Синхронизация также включает информацию о маршрутизации для этих пользователей.

  • Шлюз обеспечения отказоустойчивости может автоматически маршрутизировать внутренние вызовы, используя информацию о маршрутизации, которую предоставляет Webex . Добавьте конфигурацию магистрали PSTN в шлюз обеспечения отказоустойчивости, чтобы обеспечить внешние вызовы.

  • Каждому сайту, на котором применяется функция обеспечения живучести, требуется шлюз обеспечения живучести в локальной сети.

  • Регистрация и управление вызовами возвращаются в облако Webex после возобновления сетевое соединение Webex не менее чем на 30 секунд.

Поддержка функций

В следующей таблице представлена информация о поддерживаемых функциях.

Таблица 1. Поддерживаемые функции вызовов
ФункцияКомментарии
Вызов внутреннего абонента

Поддерживается автоматически без специальной конфигурации маршрутизации на шлюзе Survivability Gateway.

Однако альтернативные номера и виртуальные добавочные номера не поддерживаются при вызове внутреннего абонента.

Вызовы между сайтами и PSTN (входящие и исходящие)Вызов PSTN на основе телефонной сети или SIP-магистраль.
E911 Обработка вызовов

Для вызова E911 требуется канал PSTN или SIP-магистраль.

Для исходящих вызовов используется определенный зарегистрированный идентификационный номер местоположения в экстренных случаях (ELIN) для определенного местоположения экстренного реагирования (ERL). Если оператор службы экстренной помощи возвращает отключенный вызов, шлюз обеспечения живучести направляет вызов на последнее устройство, которое экстренный номер.

удержание и возобновление вызова;

Поддержка


 
Если вы используете музыку на удержании, подготовьте шлюз Survivability Gateway вручную с помощью файла MOH.
Посещенный перевод вызоваПоддержка
Слепой перевод вызоваПоддержка
Идентификатор вызывающего абонента для входящих вызовов (имя)Поддержка
Идентификатор входящего идентификатор (имя и номер)Поддержка
Видеозвонок точка-точкаПоддержка
Трехсторонний вызовНе поддерживается
Совместное появление вызововПоддерживается приложением Webex и настольным телефоном.

Когда функция настроена, живучесть сайта доступна для следующих поддерживаемых конечных точек.

Таблица 2. Поддерживаемые модели оконечных устройств
ТипМоделиМинимальные требования к версии
Cisco IP Phone с многоплатформенным (MPP) микропрограммным обеспечением

6821, 6841, 6851, 6861, 6861 Wi-Fi, 6871

7811, 7821, 7841, 7861

8811, 8841, 8851, 8861

8845 (только аудио), 8865 (только аудио)

Дополнительные сведения о поддерживаемых телефонах Cisco IP с многоплатформенным микропрограммным обеспечением (MPP) см.

12,0 (1)

Приложение Cisco WebexWindows, Mac

43,2

В следующей таблице приведены сведения о Cisco IOS XE, которые можно настроить в качестве шлюза обеспечения отказоустойчивости. В таблице также представлена информация о максимальное число оконечных устройств, поддерживаемых каждой платформой, и минимальной версии IOS XE.

Таблица 3. Поддерживаемые модели платформ
МодельМаксимальное количество регистраций конечных точекМинимальные требования к версии
Маршрутизатор с интегрированными сервисами 432150Cisco IOS XE Cupertino 17.9.3a

 

Эта функция не поддерживается в Cisco IOS XE Dublin 17.10.1a.

Маршрутизатор с интегрированными сервисами 4331100
Маршрутизатор с интегрированными сервисами 4351700
Маршрутизатор с интегрированными сервисами 44311200
Маршрутизатор с интегрированными сервисами 4451-X2000 г.
Маршрутизатор с интегрированными сервисами 44612000 г.
Catalyst Edge 8200L-1N-4T1500
Catalyst Edge 8200-1N-4T2500
Catalyst Edge 8300-1N1S-6T2500
Catalyst Edge 8300-2N2S-6T2500
Catalyst Edge 8300-1N1S-4T2X2500
Catalyst Edge 8300-2N2S-4T2X2500
Программное обеспечение Catalyst Edge 8000V в небольшой конфигурации500
Программное обеспечение Catalyst Edge 8000V средней конфигурации1000
Программное обеспечение Catalyst Edge 8000V, большая конфигурация2000 г.
Таблица 4. Справочная информация о портах для шлюза устойчивости

Цель соединения

Адреса источника

Порты источника

Protocol

Адреса назначения

Порты назначения

Передача сигналов вызова на шлюз устойчивости (SIP TLS)

Устройства

5060–5080

TLS

Шлюз системы повышения выживаемости

8933

Мультимедиа вызова на шлюз устойчивости (SRTP)

Устройства

19560–19660

UDP

Шлюз системы повышения выживаемости

8000-14198 (SRTP через UDP)

Передача сигналов вызова на шлюз PSTN (SIP)

Шлюз системы повышения выживаемости

Временный

TCP или UDP

Ваш шлюз PSTN ITSP

5060

Передача мультимедиа во время вызова на шлюз PSTN (SRTP)

Шлюз системы повышения выживаемости

8000-48198

UDP

Ваш шлюз PSTN ITSP

Временный

Синхронизация времени (NTP)

Шлюз системы повышения выживаемости

Временный

UDP

сервер NTP

123

Разрешение имен (DNS)

Шлюз системы повышения выживаемости

Временный

UDP

DNS-сервер

53

управление облаком

Соединитель

Временный

HTTPS

Службы Webex

443, 8433


 

Руководство по эксплуатации облачного режима см. в статье справки по портам для Webex Calling .

Значения настройки портов можно настроить на маршрутизаторах Cisco IOS XE. В этой таблице используются значения по умолчанию для предоставления рекомендаций.

Шлюз живучести поддерживает размещение конфигурации живучести Webex и унифицированной конфигурации SRST на одном и том же шлюзе. Шлюз может поддерживать отказоустойчивость как для конечных точек Webex Calling , так и для конечных точек, которые регистрируются в Unified Communications Manager. Чтобы настроить размещение:

Рекомендации в отношении маршрутизации вызовов в контексте совместного размещения

При настройке маршрутизация вызова для сценариев совместного размещения учитывайте следующее:

  • Шлюз живучести автоматически направляет внутренние вызовы при условии, что обе конечные точки в вызове зарегистрированы на шлюзе живучести. Внутренние вызовы автоматически маршрутизируются между любыми зарегистрированными клиентами (SRST или Webex Calling).

  • Возможна ситуация, когда соединение с одной системой управление вызовами прерывается, в то время как соединение с другой системой управление вызовами остается активным. В результате один набор конечных точек регистрируется на шлюзе обеспечения живучести, а другой набор конечных точек на том же сайте регистрируется для управление вызовами. В этом случае может потребоваться маршрутизация вызовов между двумя наборами конечных точек в SIP-магистраль или канал PSTN.

  • Внешние вызовы и вызовы E911 могут быть перенаправлены на SIP-магистраль или канал PSTN.

  • Доступность услуги коммутируемой телефонной сети общего пользования (PSTN) зависит от соединительных линий SIP или каналов PSTN, доступных во время сбоя сети.

  • Устройства с возможностью подключения 4G и 5G (например, приложение Webex для мобильных устройств или планшетов) могут по-прежнему регистрироваться в Webex Calling во время простоев. В результате они не смогут звонить на другие номера с того же места нахождения во время простоя.

  • Шаблоны набора могут работать иначе в режиме живучести, чем в активном.

  • Эта функция не поддерживает сохранение состояния вызова во время возврата к шлюзу обеспечения живучести. Однако вызовы сохраняются при восстановлении подключения к облачной службе.

  • При возникновении сбоя может потребоваться несколько минут для успешной регистрации устройств на шлюзе обеспечения отказоустойчивости.

  • Шлюз живучести должен использовать адрес IPv4. IPv6 не поддерживается.

  • Обновление состояния синхронизации по запросу в Control Hub может занять до 30 минут.

  • Многофункциональное окно Cisco Webex не поддерживается в выпуске 43.2. При использовании многофункционального окна отключите его в режиме устойчивости и используйте главное приложение для совершения или приема вызовов.

  • Не настраивайте команду привязки SIP в режиме конфигурации голосовой службы передачи голоса по IP. Это приводит к сбою регистрации телефонов MPP с шлюзом устойчивости.

В режиме живучести:

  • Программные клавиши MPP, такие как кнопки парковки, снятия парковки, вмешательства, перехвата, перехвата групп и извлечения вызова, не поддерживаются. Однако они не являются отключенными.

  • Звонки по линиям общего доступа могут поступать на всех устройствах. Однако другие функции общей линии, такие как мониторинг состояния удаленной линии, удержание, возобновление, синхронизация режима «Не беспокоить» и настройки переадресации вызовов, недоступны.

  • Конференц-связь или трехсторонние вызовы недоступны.

  • История локальных вызовов, совершенных, а также пропущенных вызовов недоступна для телефонов MPP.

настройка функции

Выполните следующие задачи, чтобы добавить живучесть сайта для существующего местоположения Webex Calling . В случае разрыва соединения с облаком Webex шлюз обеспечения отказоустойчивости в локальной сети может обеспечить резервное управление вызовами для конечных точек в этом месте.

Перед началом работы

Если вам необходимо подготовить новый шлюз для работы в качестве шлюза обеспечения отказоустойчивости, см. Статью Webex Регистрация управляемых шлюзов Cisco IOS в облако Webex , чтобы добавить шлюз в Control Hub.

ЭтапыКоманда или действиеЦель

1.

Назначить службу устойчивости шлюзу

В Control Hub назначьте Шлюз живучести сервис к шлюзу.

2.

Скачать шаблон конфигурации

Загрузите шаблон конфигурации из Control Hub. Этот шаблон понадобится вам при настройке командной строки шлюза.

3.

Настройка лицензирования

Настройте лицензии для шлюза живучести.

4.

Настройка сертификатов в Cisco IOS XE

Настройте сертификаты для шлюза живучести.

5

Настройка шлюза в качестве шлюза устойчивости

Используйте загруженный ранее шаблон конфигурации в качестве руководства по настройке командной строки шлюза. Завершите все обязательные конфигурации, которые есть в шаблоне.

Используйте эту процедуру в Control Hub, чтобы назначить существующий шлюз в качестве шлюза обеспечения отказоустойчивости.

Перед началом работы

Если шлюз не существует в Control Hub, см. Регистрация шлюзов Cisco IOS в Webex Calling , чтобы добавить новый экземпляр шлюза.
1.

Войдите в Control Hub в https://admin.webex.com.

Если вы являетесь партнерской организацией, запускается Partner Hub. Чтобы открыть Control Hub, щелкните значок Заказчик просмотрите в Partner Hub и выберите подходящего клиента или выберите Моя организация , чтобы открыть настройки Control Hub для партнерской организации.

2.

В Control Hub в разделе УСЛУГИ , щелкните Вызов а затем щелкните Управляемые шлюзы таб.

В представлении Управляемые шлюзы отображается список шлюзов, которыми вы управляете через Control Hub. В Сервисное обслуживание В столбце отображается текущее назначение службы.
3.

Для шлюза, который вы хотите назначить шлюзом живучести, выберите один из следующих вариантов в зависимости от значения параметра Сервисное обслуживание поле:

  • Не назначено (пустое значение): щелкните Назначить службу и переходите к следующему шагу.

  • Шлюз живучести —Если вы хотите изменить настройки IP -адреса существующего шлюза, перейдите в Редактировать свойства шлюза живучести . В противном случае перейдите к следующей процедуре в потоке.

4.

В раскрывающемся списке тип службы выберите Шлюз живучести и заполните следующие поля:

  • Место нахождения - В раскрывающемся списке выберите местоположение.

  • Имя хоста - Введите полное доменное имя (FQDN), используемое при создании сертификата для шлюза. Это может быть имя, включенное в поле альтернативного имени субъекта сертификата (SAN). Полное доменное имя и IP-адрес используются только для установления безопасное соединение со шлюзом. Следовательно, его необязательно заполнять в DNS.

  • IP -адрес —В формате IPv4 введите IP-адрес шлюза обеспечения отказоустойчивости. Устройства регистрируются по этому адресу во время работы в режиме живучести.

5

Щелкните Назначить.

(Необязательно) Отмена назначения службы живучести —Если вы хотите удалить шлюз живучести из шлюза, перейдите к Отмена назначения служб управляемого шлюза .
Загрузите шаблон конфигурации из Control Hub. Этот шаблон понадобится вам при настройке командной строки шлюза.
1.

Войдите в Control Hub в https://admin.webex.com.

Если вы являетесь партнерской организацией, запускается Partner Hub. Чтобы открыть Control Hub, щелкните значок Заказчик просмотрите в Partner Hub и выберите подходящего клиента или выберите Моя организация , чтобы открыть настройки Control Hub для партнерской организации.

2.

В Control Hub в разделе УСЛУГИ , щелкните Вызов а затем щелкните Управляемые шлюзы таб.

3.

Щелкните соответствующий шлюз живучести.

4.

Щелкните Скачать шаблон конфигурации и скачайте шаблон на свой компьютер или ноутбук.

Убедитесь, что у вас есть соответствующие лицензии на платформу для вашего шлюза. Настройте лицензии с помощью команд, подходящих для вашей платформы.
1.

Войдите в режим глобальной конфигурации на маршрутизаторе:

enable
 configure terminal
2.

Настройте лицензии с помощью команд, применимых только к вашей конкретной платформе.

  • Для серии Cisco ISR 4000:

    license boot level uck9
     license boot level securityk9
    
  • Для пограничных платформ Cisco Catalyst 8300 и 8200 используйте лицензию на функцию DNA Network Advantage или более высокую и введите требуемый уровень пропускной способности. В следующем примере используется двунаправленная пропускная способность шифрования 25 Мбит / с. Выберите подходящий уровень для ожидаемого количества вызовов.

    license boot level network-advantage addon dna-advantage
     platform hardware throughput crypto 25M
    
  • Для программного обеспечения Cisco Catalyst 8000V Edge используйте лицензию на функцию DNA Network Essentials или лучше и введите требуемый уровень пропускной способности. В следующем примере используется пропускная способность 1 Гбит / с. Выберите подходящий уровень для ожидаемого количества вызовов.

    license boot level network-essentials addon dna-essentials
     platform hardware throughput level MB 1000
    

 
При настройке пропускной способности выше 250 Мбит / с вам потребуется лицензия на платформу HSEC.

Настроить сертификаты

Выполните следующие шаги, чтобы запросить и создать сертификаты для шлюза обеспечения отказоустойчивости. Используйте сертификаты, подписанные общеизвестным центром сертификации.


 

Платформа шлюза устойчивости поддерживает только общеизвестные сертификаты ЦС. Для шлюза устойчивости нельзя использовать частные или корпоративные сертификаты ЦС.

Список корневых центров сертификации, поддерживаемых для Webex Calling, см. в разделе Какие корневые центры сертификации поддерживаются для вызовов на платформы аудио и видео Cisco Webex?.

Платформа шлюза устойчивости не поддерживает групповой сертификат.

Запустите команды из кода примера, чтобы выполнить шаги. Дополнительную информацию об этих командах, а также дополнительные параметры конфигурации см. в главе «Поддержка TLS SIP» руководства по настройке унифицированного пограничного элемента Cisco.

1.

Войдите в режим глобальной конфигурации, выполнив следующие команды:

enable
 configure terminal
2.

Создайте закрытый ключ RSA , выполнив следующую команду. Модуль закрытого ключа должен быть не менее 2048 бит.

crypto key generate rsa general-keys label webex-sgw exportable modulus 2048
3.

Настройте точку доверия для хранения сертификата шлюза обеспечения отказоустойчивости. полное доменное имя шлюза (fqdn) должно использовать то же значение, которое вы использовали при назначении службы обеспечения живучести шлюзу.

crypto pki trustpoint webex-sgw 
 enrollment terminal 
 fqdn <gateway_fqdn> 
 subject-name cn=<gateway_fqdn>
 subject-alt-name <gateway_fqdn>
 revocation-check crl 
 rsakeypair webex-sgw

 

В связи с известными ограничениями необходимо обязательно сохранять одинаковую метку для пары ключей RSA и точки доверия. Например, webex-sgw — этикетка, используемая для обоих точка доверия crypto pki и crypto key generate rsa general-keys label в конфигурации образца.

4.

Создайте запрос на подпись сертификата, запустив crypto pki enroll webex-sgw.

При появлении запроса введите yes.

После отображения CSR на экране используйте Блокнот, чтобы скопировать сертификат в файл, который можно отправить в поддерживаемый центр сертификации (ЦС).


 

Если поставщику подписи сертификатов требуется CSR в формате PEM (Privacy Enhanced Mail), добавьте верхний и нижний колонтитулы перед отправкой. Пример.

-----BEGIN CERTIFICATE REQUEST-----
 <Insert CSR here>
 -----END CERTIFICATE REQUEST-----
5

После того, как ЦС выдаст вам сертификат, запустите crypto pki authenticate webex-sgw команда для аутентификации сертификата. Вы можете запустить эту команду из любого exec или config режим.

При появлении запроса вставьте в терминал содержимое сертификат ЦС, выдавшего базовый 64 CER / PEM (не сертификат устройства).

6

Импортируйте подписанный сертификат хоста в точку доверия с помощью crypto pki import webex-sgw сертификатная команда.

При появлении запроса вставьте в терминал сертификат CER / PEM с базой 64.

7.

Убедитесь, что сертификат ЦС доступен:


 

Решение Webex Calling поддерживает только общеизвестные центры сертификации. Частные или корпоративные сертификаты ЦС не поддерживаются.

  1. Найдите общее имя корневого ЦС, запустив show crypto pki certificates webex-sgw | begin CA Cert. Ищите эмитента cn= <value>.

  2. Выполните команду show crypto pki trustpool | include cn= и проверьте, установлен ли этот сертификат ЦС вместе с пакетом ЦС Cisco . Если вы видите свой ЦС, перейдите к шагу 9.

  3. Если вы не видите свой сертификат, выполните следующую команду, чтобы установить расширенный пакет ЦС IOS.

    crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios_union.p7b
  4. Повторите эти подэтапы, чтобы определить, доступен ли теперь сертификат ЦС . После повторения подшагов:

    Если сертификат недоступен, перейдите к шагу 8. Если сертификат доступен, переходите к шагу 9.

8

Если сертификат корневого центра сертификации не включен в пакет, приобретите сертификат и импортируйте его в новую точку доверия.


 

Выполните этот шаг, если общеизвестный корневой сертификат ЦС недоступен для шлюза Cisco IOS XE.

crypto pki trustpoint <CA name>
 enrollment terminal
 revocation-check crl
 crypto pki authenticate <CA name>

При появлении запроса вставьте содержимое сертификата CER / PEM base 64 в терминал.

9

Используя режим конфигурации, укажите точку доверия по умолчанию, версию TLS и значения по умолчанию SIP-UA с помощью следующих команд.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Сертификаты ЦС и пары ключей можно импортировать в виде пакета, используя формат PKCS12 (.pfx или .p12). Пакет можно импортировать с локальной файловой системы или удаленного сервера. PKCS12 - это специальный тип формата сертификата. Он связывает всю цепочку сертификатов от корневого сертификата через сертификат удостоверения вместе с парой ключей RSA. То есть импортируемый пакет PKCS12 будет включать пару ключей, сертификаты организатора и промежуточные сертификаты. Импортируйте пакет PKCS12 для следующих сценариев:

  • Экспорт из другого маршрутизатора Cisco IOS XE и импорт в маршрутизатор шлюза устойчивости

  • Создание пакета PKCS12 вне маршрутизатора Cisco IOS XE с помощью OpenSSL

Выполните следующие действия, чтобы создать, экспортировать и импортировать сертификаты и пары ключей для маршрутизатора шлюза устойчивости.

1.

(Необязательно) Экспортируйте пакет PKCS12, необходимый для маршрутизатора шлюза устойчивости.

crypto pki export webex-sgw pkcs12 terminal password xyz123

 

Этот шаг применим только при экспорте с другого маршрутизатора Cisco IOS XE.

2.

(Необязательно) Создайте пакет PKCS12 с помощью OpenSSL.

  1. Убедитесь, что OpenSSL установлен в системе, на которой запущен этот процесс. Для пользователей Mac OSX и GNU/Linux она установлена по умолчанию.

  2. Переключитесь в каталог, в котором хранятся ключи, сертификаты и файлы цепочки.

    В Windows: По умолчанию утилиты устанавливаются в C:\Openssl\bin. Откройте командную строку в этом местоположении.

    На Mac OSX/Linux: Откройте окно терминала в каталоге, необходимом для создания сертификата PKCS12.

  3. В каталоге сохраните файлы закрытого ключа (privateKey.key), сертификата удостоверения (certificate.crt) и цепочки сертификатов корневого центра сертификации (CACert.crt).

    Объедините закрытый ключ, сертификат удостоверения и цепочку сертификатов корневого центра сертификации в файл PKCS12. Введите парольную фразу для защиты сертификата PKCS12.

    console> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    При использовании OpenSSL версии 3.0 или более поздней для создания файла PKCS12 для Cisco IOS XE версии, предшествующей 17.12.1, включите в команду следующие два аргумента: -Legacy -descert.


     

    Укажите пароль при использовании OpenSSL для создания файла PKCS12.


 

Этот шаг применим только в случае создания пакета PKCS12 вне Cisco IOS XE с помощью OpenSSL.

3.

Импортируйте пакет файлов в формате PKCS12.

crypto pki import <trustpoint name> pkcs12 <certificate file location> password <file password>

Ниже приведен пример конфигурации команды и сведения о настраиваемых параметрах.

crypto pki import webex-sgw pkcs12 bootflash:certificate.pfx password xyz123
  • <trustpoint name=""> —Имя точки доверия, созданной при использовании этой команды (например, webex-sgw).

  • <certificate file="" location=""> — локальный или сетевой URL, указывающий на файл сертификата (например, bootflash:certificate.pfx)

  • <file password=""> — пароль, используемый при создании файла PKCS12 (например, xyz123).


 

crypto pki import , автоматически создает точку доверия для размещения сертификата.

4.

Используя режим конфигурации, укажите точку доверия по умолчанию, версию TLS и значения по умолчанию SIP-UA с помощью следующих команд.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Настройка шлюза устойчивости

Используйте загруженный ранее шаблон конфигурации в качестве руководства по настройке командной строки шлюза. Заполните обязательные конфигурации в шаблоне.

Следующие шаги содержат примеры команд с объяснением команд. Измените настройки в соответствии с вашим развертыванием. Угловые скобки (например, <settings>) определите параметры, в которых следует ввести значения, применимые к вашему развертыванию. Различные <tag> В настройках используются числовые значения для идентификации и назначения наборов конфигураций.


 
  • Если не указано иное, это решение требует, чтобы вы выполнили все настройки в этой процедуре.

  • При применении настроек из шаблона замените %tokens% перед копированием на шлюз.

  • Для получения дополнительной информации о командах см. Справочник команд управляемого шлюза Webex . Используйте это руководство, если описание команды не отсылает вас к другому документу.

1.

Войдите в режим глобальной конфигурации.

enable
 configure terminal

где:

  • enable —Включение привилегированного режима EXEC.

  • configure terminal —Включение режима глобальной конфигурации.

2.

Выполните настройки голосовой службы:

voice service voip
 ip address trusted list
    ipv4 <ip_address> <subnet_mask>
    ipv4 <ip_address> <subnet_mask>
  allow-connections sip to sip
  supplementary-service media-renegotiate
  no supplementary-service sip refer
  trace
  sip
   asymmetric payload full
   registrar server
  

Описание команд

  • ip address trusted list — определяет список незарегистрированных адресов, от которых шлюз устойчивости должен принимать SIP-сообщения. Например, адрес однорангового узла SIP-магистраль .

  • <ip_address> и <subnet_mask> представляют собой доверенные диапазоны адресов. Вам не нужно вводить подсети, подключенные напрямую, поскольку шлюз обеспечения отказоустойчивости доверяет им автоматически.

  • allow-connections sip to sip —Разрешает соединения SIP - SIP в сети передача голоса по IP .

  • no supplementary-service sip refer —Отключить метод REFER для дополнительных услуг переадресация вызова и перевод вызова . Webex Calling не использует эти методы.

  • sip- переход в режим настройки SIP службы.

  • registrar server —Включите регистратор SIP , чтобы разрешить клиентам Webex Calling регистрироваться на шлюзе.

  • asymmetric payload full- включение видеозвонков в режиме живучести.

3.

Включите живучесть на роутере:

voice register global
 mode webex-sgw
 max-dn 50
 max-pool 50
 exit
 

Описание команд

  • voice register global- вход в режим глобальной регистрации голоса.

  • mode webex-sgw —Включение режима живучести вызовов Webex Calling и телефонии удаленного сайта для конечных точек Unified Communications Manager.


     

    После конфигурация режима webex-sgw , шлюз устойчивости прослушивает порт 8933 для входящих безопасных соединений от конечных точек.

  • max-dn- Ограничивает количество каталожных номеров, которые может обрабатывать маршрутизатор. Для этого решения всегда настраивайте максимальное значение, доступное для вашей платформы.

  • max-pool- устанавливает максимальное число устройств, которые могут быть зарегистрированы на шлюзе. Установите это значение на максимальное значение, допускаемое вашей платформой, как описано в таблице 3.

4.

Настройте NTP серверы:

ntp server <ip_address_of_primary_NTP_server>
 ntp server <ip_address_of_secondary_NTP_server>
5

(Необязательно). Настройте общие разрешения на вызовы класса ограничения:

dial-peer cor custom
 name Wx_calling_Internal
 name Wx_calling_Toll-free
 name Wx_calling_National
 name Wx_calling_International
 name Wx_calling_Operator_Assistance
 name Wx_calling_Chargeable_Directory_Assistance
 name Wx_calling_Special_Services1
 name Wx_calling_Special_Services2
 name Wx_calling_Premium_Services1
 name Wx_calling_Premium_Services2

В предыдущем примере создается набор настраиваемых классов ограничений с именами категорий (например, Wx_calling_International). Дополнительные сведения об использовании класса ограничений для точек вызова см. В разделе «Класс ограничений» в Руководство по настройке точки вызова, Cisco IOS версии 15M & T .

6

Настройте список предпочтительных кодеков. Например, в следующем списке в качестве предпочтительного кодека указывается g711ulaw, за которым следует g711alaw.

voice class codec 1
 codec preference 1 g711ulaw
 codec preference 2 g711alaw

Описание команд

  • voice class codec 1 входит в режим настройки голосового класса для группы кодеков 1.

  • codec preference определяет предпочтительные кодеки для этой группы кодеков.

7.

Настройте пулы голосовых регистров по умолчанию для каждого местоположения:

voice register pool 1
 id network 0.0.0.0 mask 0.0.0.0
 dtmf-relay rtp-nte
 voice-class codec 1

Описание команд

  • voice register pool 1- входит в режим конфигурации пула реестров для устройств SIP в этом пуле.

  • id network и mask определить SIP-устройство или набор сетевых устройств, которые используют этот пул. Используйте адреса и маски, применимые к вашему развертыванию. Адрес 0.0.0.0 позволяет устройствам из любого места регистрироваться (если адреса устройств находятся в списке разрешений).

  • id extension-number- пул применяется к пользователю Webex Calling с добавочным номером 1234. Используйте соответствующие расширения для вашей сети.

  • dtmf-relay определяет rtp-nte способ отправки цифр DTMF . В этом примере передача данных в режиме реального времени (RTP) с типом полезной нагрузки именованного телефонного события (NTE).

  • voice-class codec 1- назначает группу кодеков 1 этому пулу.

8

Настроить экстренный вызов:

voice emergency response location 1
 elin 1 <number>
 subnet 1 <ip-group> <subnet-mask>

 voice emergency response location 2
 elin 1 <number>
 subnet 1 <ip-group> <subnet-mask>

 voice emergency response zone 1
 location 1
 location 2

 voice class e164-pattern-map 301
 voice class e164-pattern-map 351

Описание команд

  • voice emergency response location 1 —Создает группу местоположений экстренного реагирования 1 для расширенной службы 911. Последующая команда создает группу местоположений 2 для аварийного реагирования.

  • elin 1 <number>- Назначает elin местоположению аварийного реагирования. Для этого elin <number> часть определяет номер номер PSTN для замены добавочного номера вызывающего абонента службы экстренной помощи (например, 14085550100).

  • subnet 1 <ip-group> <subnet-mask>- Определяет группу подсети вместе с конкретным адресом подсети для этого местоположения аварийного реагирования. Используйте эту команду для идентификации сети вызывающего абонента по IP-адрес и маска подсети. Например: subnet 1 192.168.100.0 /26.

  • voice emergency response zone 1- Определяет зону аварийного реагирования.

  • location 1 (and 2)- Назначает места аварийного реагирования 1 и 2 этой зоне аварийного реагирования.

  • voice class e164-pattern-map 301 (and 351)- Идентифицирует карты 301 и 351 шаблона e164 для этого голосового класса. Карту можно использовать для определения планов набора и идентификаторов местоположение для вызова экстренной службы .


 
Если наложение WiFi не совпадает с точным соответствием IP -подсетям, то для экстренных вызовов для кочевых устройств может не быть правильного сопоставления ELIN .
9

Настройте точки вызова для PSTN. Пример конфигурации адресуемой точки вызова см. в примерах подключения к PSTN.

10

Необязательно. Включите музыку при удержании для маршрутизатора. Во флеш-памяти маршрутизатора необходимо сохранить музыкальный файл в формате G.711. Файл может быть в формат файла.au или .wav, но формат файла должен содержать 8-битные данные с частотой 8 кГц (например, формат данных ITU-T A-law или mu-law).

call-manager-fallback
 moh enable-g711 "bootflash:<MOH_filename>"

Описание команд

  • call-manager-fallback- вход в режим настройки SRST .

  • moh enable-g711 "bootflash:<MOH_filename>" —Включение одноадресной передачи музыки при удержании с использованием G.711. Также предоставляет каталог и имя файла аудио (например, bootflash:music-on-hold.au). Имя файла не может превышать 128 символов.

Необязательно. Выполняйте эту процедуру только в том случае, если вы хотите выполнить немедленную синхронизацию по запросу. Эта процедура не является обязательной, поскольку облако Webex автоматически синхронизирует данные о вызовах со шлюзом Survivability Gateway.

1.

Войдите в Control Hub в https://admin.webex.com.

Если вы являетесь партнерской организацией, запускается Partner Hub. Чтобы открыть Control Hub, щелкните значок Заказчик просмотрите в Центре партнеров и выберите подходящего клиента или выберите Моя организация , чтобы открыть настройки Control Hub для партнерской организации.

2.

В Control Hub в разделе УСЛУГИ , щелкните Вызов а затем щелкните Управляемые шлюзы таб.

3.

Щелкните соответствующий шлюз живучести, чтобы открыть Служба живучести представление для этого шлюза.

4.

Щелкните значок Синхронизировать кнопку.

5

Нажмите Отправить.

Синхронизация может занять до 10 минут.
Используйте эту необязательную процедуру только в том случае, если вы хотите изменить настройки существующего шлюза живучести.
1.

Войдите в Control Hub в https://admin.webex.com.

Если вы являетесь партнерской организацией, запускается Partner Hub. Чтобы открыть Control Hub, щелкните значок Заказчик просмотрите в Partner Hub и выберите подходящего клиента или выберите Моя организация , чтобы открыть настройки Control Hub для партнерской организации.

2.

В Control Hub в разделе УСЛУГИ , щелкните Вызов а затем щелкните Управляемые шлюзы таб.

3.

Щелкните соответствующий шлюз живучести, чтобы открыть Служба живучести представление для этого шлюза.

4.

Щелкните значок Редактировать и обновите настройки для следующих параметров.

  • Имя хоста —Используйте имя организатора или полное доменное имя сертификата, чтобы установить соединение TLS с клиентами и IP -адресом.

  • IP -адрес —В формате IPv4 введите IP-адрес шлюза, на котором регистрируются устройства во время работы в режиме живучести.

5

Нажмите Отправить.


 
Если вы хотите удалить шлюз Survivability Gateway из Control Hub, отмените назначение Шлюз живучести обслуживание в первую очередь. Подробнее см. Назначение служб управляемым шлюзам .

Примеры конфигурации

Для внешнего вызова настройте подключение к PSTN. В этом разделе описаны некоторые параметры и приведены примеры конфигураций. Два основных варианта:

  • Подключение карты голосового интерфейса (VIC) к PSTN

  • SIP-магистраль к шлюз PSTN

Подключение платы голосового интерфейса к PSTN

Вы можете установить карту голосового интерфейса (VIC) на маршрутизатор и настроить подключение порта к PSTN.

SIP-магистраль к шлюз PSTN

Можно настроить соединение SIP-магистрали , указывающее на шлюз PSTN. Чтобы настроить магистральное соединение на шлюзе, используйте конфигурацию голосового класса. Ниже приведен пример конфигурации.

voice class tenant 300 
  sip-server ipv4:<ip_address>:<port>
  session transport udp 
  bind all source-interface GigabitEthernet0/0/1 
 

Конфигурация адресуемой точки вызова

Для магистральных соединений настройте входящие и исходящие точки вызова для магистрального соединения. Конфигурация зависит от ваших требований. Для получения подробной сведения о конфигурации см. Руководство по настройке точки вызова, Cisco IOS версии 15M & T .

Ниже приведены примеры конфигураций:

Исходящие адресуемые адресуемые точки вызова к PSTN с помощью UDP и RTP

dial-peer voice 300 voip 
 description outbound to PSTN 
 destination-pattern +1[2-9]..[2-9]......$ 
 translation-profile outgoing 300
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 session target sip-server
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Входящая адресуемая точка вызова из PSTN с использованием UDP с RTP

voice class uri 350 sip 
 host ipv4:<ip_address> 
 !
dial-peer voice 190 voip 
 description inbound from PSTN 
 translation-profile incoming 350 
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Переводы номеров

Для соединений PSTN может потребоваться использование правил преобразования для преобразования внутренних добавочных номеров в номер E.164 , который может маршрутизировать PSTN. Ниже приведены примеры конфигураций:

Из правила трансляции PSTN с не + E164

voice translation-rule 350 
 rule 1 /^\([2-9].........\)/ /+1\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

Из правила перевода телефонной системы с +E164

voice translation-rule 300 
 rule 1 /^\+1\(.*\)/ /\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

В следующем примере содержится пример конфигурации вызова службы экстренной помощи.


 
Если наложение WiFi не совпадает с точным соответствием IP -подсетям, то для экстренных вызовов для кочевых устройств может не быть правильного сопоставления ELIN .

Места экстренного реагирования (ERL)


voice emergency response location 1
 elin 1 14085550100
 subnet 1 192.168.100.0 /26
 !
voice emergency response location 2
 elin 1 14085550111
 subnet 1 192.168.100.64 /26
 !
voice emergency response zone 1
 location 1 
 location 2 

Исходящие узлы набора


voice class e164-pattern-map 301
 description Emergency services numbers
  e164 911
  e164 988
 !
voice class e164-pattern-map 351
 description Emergency ELINs
  e164 14085550100
  e164 14085550111
 !
dial-peer voice 301 pots
 description Outbound dial-peer for E911 call
 emergency response zone 1
 destination-pattern 911
 !
 dial-peer voice 301 pots
 description Inbound dial-peer for E911 call
 emergency response callback
 incoming called e164-pattern-map 351
 direct-inward-dial