Обзор ActiveControl

ActiveControl— это решение для связи информации о конференции между облаком Webex и локальной конференцией. До выхода этого решения пользователям приложения Webex, участвующим в групповых вызовах, уже отображалась информация о других присоединившихся участниках, о выступающем и докладчике.

Сведения о конференции из облака в локальную конференцию передаются через компонент шлюза XCCP. Функция шлюза состоит в преобразовании этой информации между обеими сторонами, чтобы (в сценариях вызовов с облаком Webex и локальными компонентами) обеспечить одинаковый доступ облаку Webex и локальным средам к информации о конференции.

Сценарии использования ActiveControl

ActiveControl обеспечивает преимущества для пользователей локальных конечных точек с последним программным обеспечением CE или клиентов Jabber для звонка на номер системы или получения обратного вызова на совещаниях, проводимых в Webex.

В этом сценарии шлюз XCCP преобразует информацию о совещании (список участников) для локальной конечной точки или клиента Jabber.

Архитектура ActiveControl

В верхней части диаграммы слева направо отображается безопасное локальное соединение с облаком Webex. И в этом примере два пользователя облака (один в Webex, другой в Webex Meetings) присоединяются к совещанию.

В нижней части показана конечная точка комнаты для совещаний, которая зарегистрирована в Unified CM и кластере узлов сетки видео, куда может поступать мультимедиа совещания.

Сохраняется история работы со списком участников; пользователь обращается к списку на конечной точке, и список выглядит так же, как в Webex или Webex Meetings.

Настройка ActiveControl

Прежде чем начать

Если решение ActiveControl содержит в потоке совещаний узел сетки видео, nj единственным работающим сценарием для является конечная точка, зарегистрированная в Unified CM. В настоящий момент любая конечная точка, зарегистрированная непосредственно в Expressway, не будет работать с сеткой видео.

На приведенном ниже рисунке описаны действия по настройке ActiveControl для локально зарегистрированных устройств, присоединяющихся к совещаниям в облаке. Некоторые действия рассмотрены непосредственно в этой статье, другие описаны в отдельной документации.

Безопасные облачные совещания Требования для ActiveControl Настройка Expressway Шифрование конечных точек Expressway Шифрование конечных точек Expressway Безопасные совещания на основе сетки видео Проверка работы совещаний на защищенной конечной точке

Требования для ActiveControl

В этой таблице перечислены необходимые компоненты и поддерживаемые версии для ActiveControl Кроме того, существует требование сквозного шифрования, чтобы обеспечить безопасную передачу информации о совещании из облака в локальную систему. В документации по настройке описаны все необходимые действия, но обратите внимание на требования безопасности , приведенные в этой таблице.


 

Если предстоит окно технического обслуживания и планируется модернизация, рекомендуется модернизировать локальные компоненты до последнего доступного выпуска в целях поддержания безопасности, применения исправлений ошибок и простоты использования.

Таблица 1. Требования для ActiveControl

Компонент

Требования

Cisco Unified Communications Manager

сетка видео Cisco Webex

Минимально: выпуск 11.5(1) или более поздний в смешанном режиме безопасности.

Рекомендуется: выпуск 12.5(1) SU1 или более поздний для поддержки небезопасных конечных точек, зарегистрированных для доступа с мобильных устройств и удаленного доступа (MRA). Смешанный режим безопасности Unified CM не требуется.

Узлы сетки видео, зарегистрированные в облаке, защищенные протоколом TLS SIP и настроенные в соответствии с инструкциями в руководстве по развертыванию по адресу https://www.cisco.com/go/video-mesh.

Cisco Expressway-C или E

Минимальные требования: выпуск X8.11.4 или последующие. Дополнительную информацию см. в разделе Важная информация в примечаниях к выпуску Expressway X8.11.4.

Рекомендуется: выпуск X12.5 или более поздний для устройств MRA, настроенных в режиме небезопасного устройства Unified CM.


 

Сетка видео в данный момент не поддерживает защищенные магистрали SIP для устройств, зарегистрированных для управления вызовами непосредственно в Expressway.

Конечные точки CE (серии SX, DX, MX)

CE 9.6 или более поздней версии, безопасная зарегистрированная на одной из указанных выше платформ управления вызовами

Cisco Jabber

Выпуск 12.5 или более поздний

Шифрование

Версии до 12.5. Весь путь вызова от конечной точки в облако должен быть защищен с помощью TLS 1.2.

Версия 12.5 и последующие версии. TLS между конечной точкой и Unified CM не требуется.

Unified CM

Эти действия гарантируют, что устройства будут надежно зарегистрированы в Unified CM, а носитель будет зашифрован.

1

Настройте поддержку iX в Unified CM, следуя указаниям в разделе Включение поддержки iX в Cisco Unified Communications Managerруководства по развертыванию ActiveControl.

2

Настройте профили безопасности устройства.


 

Этот этап не требуется при использовании Unified CM и Expressway версий 12.5.

Cisco Unified Communications Manager группирует настройки безопасности (такие как режим безопасности устройства) для типа устройства и протокола в профили безопасности, что позволяет назначить единый профиль безопасности для нескольких устройств. Настроенные параметры применяются к телефону при выборе профиля безопасности в окне конфигурации телефона.

  1. В службе администрирования Cisco Unified CM перейдите Устройство > Телефон и найдите конечную точку, как описано в разделе Настройка телефонов в Руководстве по настройке системы Cisco Unified Communications Manager.

  2. Для конечной точки в разделе Информация о протоколе установите для параметра Профиль безопасности устройства безопасный профиль SIP, например Универсальный шаблон устройства – профиль безопасности шифрования, не зависящий от модели.

  3. Сохраните изменения на конечной точке.

    Дополнительные сведения см. в разделе Настройка профиля безопасности телефона в руководстве по безопасности для Cisco Unified Communications Manager.

3

Настройте служебный параметр для отображения пиктограммы защищенного вызова.

  1. Перейдите к Система > Параметры службы, выберите сервер Unified CM и службу Cisco CallManager.

  2. Прокрутите до раздела Параметры кластера (функция политики безопасного состояния вызова), затем измените значение для служебного параметра Обязательное поле политики отображения пиктограммы безопасного вызова на Обязательное шифрование для всех носителей, кроме BFCP.

Это изменение необходимо для отображения пиктограммы блокировки на конечных точках CE. Для получения дополнительной информации щелкните название служебного параметра, чтобы просмотреть онлайн-справку.

Выполните приведенные ниже действия на конечных точках, чтобы установить безопасное соединение TLS.


Эти этапы не требуются при использовании Unified CM и Expressway версий 12.5.

1

В административном интерфейсе конечной точки перейдите в раздел SIP и убедитесь, что выбраны указанные ниже настройки.

Таблица 2. Конфигурация конечной точки

Поле

Настройка

ANAT

Вкл

DefaultTransport

Tls

Линия

Конфиденциально

ListenPort

Off

PreferredIPMedia

PreferredIPSignaling

IPv4

Адрес прокси-сервера

Введите IP-адрес издателя Unified CM, на котором зарегистрировано устройство.

TlsVerify

Вкл

Тип

Cisco

2

Сохраните внесенные изменения.

3

В разделе Безопасность проверьте, установлены ли сертификаты Unified CM.

Expressway

Выполните приведенные ниже действия, чтобы настроить зону между Expressway, где зарегистрировано устройство, и сопрягаемой зоной Expressway, которая подключается к облаку.

1

В разделе Расширенные настройки для зоны между управлением вызовами Expressway и парой Expressway убдетиесь в том, что параметр Режим фильтрации SIP UDP/IX установлен на значение по умолчанию Выкл.

2

Установите для параметра Профиль зоны значение Пользовательский и сохраните внесенные изменения.

Выполните приведенные ниже действия на конечных точках, зарегистрированных Expressway, чтобы установить безопасное соединение TLS.

1

В административном интерфейсе конечной точки перейдите в раздел SIP и убедитесь, что выбраны указанные ниже настройки.

Таблица 3. Конфигурация конечной точки

Поле

Настройка

ANAT

Off

DefaultTransport

Tls

Линия

Конфиденциально

ListenPort

Вкл

MinimumTLSVersion

TLSv1.0

PreferredIPMedia

PreferredIPSignaling

IPv4

Адрес прокси-сервера

Введите IP-адрес Expressway, на котором зарегистрировано устройство.

TlsVerify

Off

Тип

Зимнее время

2

Сохраните внесенные изменения.

Безопасные облачные совещания

Выполните описанные ниже действия, чтобы создать профиль SIP с включенным протоколом iX и защищенным трафиком от Unified CM к Expressway.

1

Настройте профиль SIP для этой магистрали со приведенными ниже параметрами.

  • Для параметра Поддержка Early Offer для голосовых вызовов и видеозвонков установите значение Best Effort (без необходимости MTP).

  • Установите флажок Разрешить мультимедиа приложения iX. (Это было выполнено на предыдущем этапе поддержки iX).

2

Для магистрали SIP примените созданный вами профиль SIP.

3

В разделе Назначение введите IP-адрес Expressway-C или полное доменное имя в поле Адрес назначения и укажите 5061 как Порт назначения.

Дальнейшие действия

  • Для работы соединения TLS необходимо произвести обмен сертификатами между Unified CM и Expressway либо для обоих серверов сертификаты должны быть подписаны одним центром сертификации. Дополнительную информацию см. в разделе Настройка доверия сертификатов между Unified CM и Expressway в руководстве по развертыванию Cisco Expressway и CUCM с помощью магистрали SIP.

  • На сервере Expressway-C (следующий этап после Unified CM) в разделе Расширенные настройки для зоны между Expressway и Unified CM убедитесь в том, что для параметра Режим фильтрации SIP UDP/IX установлено значение по умолчанию Выкл. Дополнительную информацию см. в разделе Фильтрация iX в Cisco VCS в руководстве по развертыванию ActiveControl.

Безопасные совещания на основе сетки видео

Если в вашей организации развернута сетка видео, можно защитить узлы сетки видео для кластеров, зарегистрированных в облаке.

Настройте шифрование, следуя указаниям в руководстве по развертыванию по адресу https://www.cisco.com/go/video-mesh.

Проверка работы совещаний на защищенной конечной точке

Выполните описанные ниже действия, чтобы проверить правильность регистрации конечных точек и работы совещаний.

1

Присоединитесь к совещанию с помощью защищенной конечной точки.

2

Убедитесь, что на устройстве отображается список пользователей совещания.

В этом примере показано, как выглядит список совещаний на конечной точке с сенсорной панелью.

3

Во время совещания доступ к информации о конференции Webex можно получить в разделе Подробности вызова.

4

Убедитесь в том, что в разделе шифрования для параметра Тип отображается AES-128, а для параметра СостояниеВкл.