本地网关配置任务流程

有两个选项可用于为您的Webex Calling干线:

  • 基于注册的干线

  • 基于证书的干线

使用下面的任务流程基于注册的本地网关或基于证书的本地网关为您的Webex Calling干线。 请参阅配置Webex Calling的干线、路由组和拨号方案有关不同干线类型的更多信息。 使用命令行界面 (CLI) 在本地网关上执行以下步骤。 我们使用会话发起协议 (SIP)和传输层安全(TLS) 传输来保护干线,使用安全实时协议 (SRTP) 来保护本地网关和Webex Calling 。

准备工作

  • 了解以下站点的内建公共交换电话网络 (PSTN) 和本地网关 (LGW) 要求: Webex Calling 。 请参阅Cisco首选的Webex Calling架构了解更多信息。

  • 本文假设已存在专用的本地网关平台,且不存在语音配置。 如果修改现有PSTN 网关或本地网关企业部署以用作本地网关功能Webex Calling ,然后仔细注意配置。 确保您所做的更改不会中断现有呼叫流程和功能。

  • 在 Control Hub 中创建干线并将其分配到位置。 请参阅配置Webex Calling的干线、路由组和拨号方案了解更多信息。


这些过程包含指向命令参考文档的链接,您可以在其中了解有关各个命令选项的更多信息。 所有命令参考链接都转至Webex 托管网关命令参考除非另有说明(在这种情况下,命令链接转至Cisco IOS语音命令参考)。 您可以在Cisco Unified Border Element上访问所有这些指南命令参考

有关第三方 SBC 的信息,请参阅各自的产品参考文档。

准备工作

  • 确保根据组织的策略和程序设置以下基准平台配置:

    • NTP

    • ACL

    • 启用密码

    • 主密码

    • IP 路由

    • IP 地址等

  • 所有本地网关部署都需要Cisco IOS XE 16.12 或 IOS-XE 17.3 的最低受支持版本。


只有 CUBE 支持基于注册的本地网关;不支持第三方提供的其他 SBC。

1

确保您分配的任何第 3 层接口都具有有效且可路由的 IP 地址:

interface GigabitEthernet0/0/0
description Interface facing PSTN and/or CUCM
ip address 192.168.80.14 255.255.255.0!
interface GigabitEthernet0/0/1
description Interface facing Webex Calling
ip address 192.168.43.197 255.255.255.0
2

在使用凭证和共享密码之前,使用以下命令预配置密码的主键。 您可以使用 AES 密码和用户定义的主密钥对类型 6 密码进行加密。

conf t
key config-key password-encrypt Password123
password encryption aes
3

配置 IP 名称服务器以启用 DNS 查找和 ping 以确保可访问该服务器。 本地网关使用 DNS 解析Webex Calling代理地址:

conf t
Enter configuration commands, one per line.  End with CNTL/Z.
ip name-server 8.8.8.8
end
4

启用 TLS 1.2 排他性和缺省占位符信任点:

  1. 创建占位符 PKI 信任点并调用它样本TP

  2. 将信任点分配为下的缺省信令信任点SIP-UA


     
    • 确保一个cn-san-validate 服务器仅当您在 上配置的出站代理服务器建立本地网关连接租户 200 (稍后说明)与从服务器收到的 CN-SAN 列表匹配。

    • 要使 TLS 正常工作,您需要加密信任点。 尽管您不需要为连接设置本地客户端证书(例如 mTLS)。

  3. 启用 v1.2 排他性以禁用 TLS v1.0 和 v1.1。

  4. 将 tcp 重试次数设置为 1000(5 毫秒的倍数 = 5 秒)。

  5. 设置计时器连接以建立 TLS<wait-timer in="" sec=""> 。 范围为 5–20 秒,默认值为 20 秒。 (LGW 需要 20 秒检测到 TLS连接失败,然后尝试与下一个可用的Webex Calling访问 SBC。 CLI 允许管理员更改该值以适应网络状况并使用 Access SBC 更快地检测连接失败)。


     

    Cisco IOS XE 17.3.2 及更高版本适用。

configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
crypto pki trustpoint sampleTP
revocation-check crl
exit

sip-ua
crypto signaling default trustpoint sampleTP cn-san-validate server
transport tcp tls v1.2
tcp-retry 1000
end
5

更新本地网关信任池:

缺省的 trustpool 捆绑包不包含在建立 TLS 连接期间验证服务器端证书所需的“DigiCert 根 CA”或“IdenTrust 商业”证书,以Webex Calling 。

下载最新的“Cisco可信核心根捆绑包”http://www.cisco.com/security/pki/以更新 trustpool 捆绑包。

  1. 检查 DigiCert Room CA 和 IdenTrust 商业证书是否存在:

    show crypto pki trustpool | include DigiCert
  2. 如果 DigiCert Room CA 和 IdenTrust 商业证书不存在,请按如下方式更新:

    configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    crypto pki trustpool import clean url http://www.cisco.com/security/pki/trs/ios_core.p7b
    Reading file from http://www.cisco.com/security/pki/trs/ios_core.p7b
    Loading http://www.cisco.com/security/pki/trs/ios_core.p7b 
    % PEM files import succeeded.
    end
    

     

    或者,您可以下载证书捆绑包,然后从本地服务器或本地网关闪存安装。

    例如:

    crypto pki trustpool import clean url flash:ios_core.p7b
  3. 验证:

    show crypto pki trustpool | include DigiCert
    cn=DigiCert Global Root CA
    o=DigiCert Inc
    cn=DigiCert Global Root CA
    o=DigiCert Inc
    
    show crypto pki trustpool | include IdenTrust Commercial
    cn=IdenTrust Commercial Root CA 1
    cn=IdenTrust Commercial Root CA 1

准备工作

确保完成 Control Hub 中的步骤以创建位置并为该位置添加干线。 在以下示例中,您将从 Control Hub 获取信息。

1

输入以下命令以打开本地网关应用程序,请参阅Cisco Webex Calling的端口参考信息有关必须添加到信任列表的最新 IP 子网:

configure terminal 
voice service voip
ip address trusted list
ipv4 x.x.x.x y.y.y.y
exit
allow-connections sip to sip
media statistics
media bulk-stats
no supplementary-service sip refer
no supplementary-service sip handle-replaces
fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none
stun
stun flowdata agent-id 1 boot-count 4
stun flowdata shared-secret 0 Password123$
sip
g729 annexb-all
early-offer forced
asymmetric payload full
end

以下是配置字段的说明:

预防收费欺诈

voice service voip
ip address trusted list
ipv4 x.x.x.x y.y.y.y
  • 启用本地网关预期来自其的合法网络语音呼叫的实体的源 IP 地址,例如Webex Calling对等机、 Unified CM节点和 IP PSTN。

  • 缺省情况下,LGW 会阻止来自不在其受信任列表中的 IP 地址的所有呼入网络语音呼叫设置。 缺省情况下,来自具有“会话目标 IP”的拨号对等机或服务器组的 IP 地址受信任,无需在此处填充。

  • 列表中的 IP 地址必须与根据区域列出的 IP 子网匹配Webex Calling连接的数据中心。 有关更多信息,请参阅 Webex Calling 的端口参考信息


     

    如果您的 LGW 位于使用受限制的锥形 NAT 的防火墙之后,您可能希望在面向 Webex Calling 的接口上禁用 IP 地址受信任列表。 防火墙已保护您免受未经请求的入站网络语音的侵害。 禁用操作可减少您的长期配置开销,因为我们不保证Webex Calling对等机保持不变,在任何情况下您都必须为对等机配置防火墙。

  • 在其他接口上配置其他 IP 地址,例如: 确保将Unified CM地址添加到内向接口。

  • IP 地址必须与主机 IP 和 outbound-proxy 解析为 租户 200。

  • 有关如何使用IP 地址受信任列表来防止收费欺诈的更多信息,请参阅受信任IP 地址

voice service voip
 media statistics 
 media bulk-stats 

媒体

  • 媒体统计

    在本地网关上启用媒体监控。

  • 媒体批量统计

    允许控制平面轮询数据平面以获取批量呼叫统计。

  • 有关这些命令的更多信息,请参阅媒体Cisco IOS语音命令参考 - K 至 R

SIP 到 SIP 基本功能

allow-connections sip to sip
  • 允许 SIP 到 SIP 连接。

  • 默认情况下, Cisco IOS或 IOS XE 语音设备不允许传入 VoIP 分支作为 VoIP 传出。

  • 有关此命令的更多信息,请参阅允许连接

补充服务

no supplementary-service sip refer
no supplementary-service sip handle-replaces

禁用 REFER 并使用对等对话 ID 替换替换标头中的对话 ID。 有关更多信息,请参阅补充服务 SIP

传真协议

fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none

为传真传输启用 T.38,尽管传真流量不会加密。 有关此命令的更多信息,请参阅传真协议 t38(语音服务)

启用全局眩晕

stun
stun flowdata agent-id 1 boot-count 4
stun flowdata shared-secret 0 Password123$
  • 当您将呼叫转移到Webex Calling用户(例如,被叫方和主叫方均为Webex Calling订阅者,并且如果您将媒体锚定在Webex Calling SBC),则媒体无法流到本地网关,因为针孔没有打开。

  • 本地网关上的 stun 绑定功能允许本地生成的 stun 请求通过协商的媒体路径发送。 击晕有助于打开防火墙上的针孔。

  • Stun 密码是本地网关发送 stun 消息的前提条件。 您可以配置基于Cisco IOS/IOS XE 的防火墙,以动态检查密码和打开针孔(例如,无需明确的进出规则)。 但对于本地网关部署,您需要静态配置防火墙以根据Webex Calling SBC 子网。 因此,防火墙必须将 SBC 子网视为任何入站 UDP 数据包,这样会触发针孔开放,而不明确查看数据包内容。

有关更多信息,请参阅stun flowdata 代理-idstun flowdata 共享密钥

G729

sip
g729 annexb-all

允许 G729 的所有变体。 有关更多信息,请参阅g729 Annexb-全部。

SIP

early-offer forced

强制本地网关在初始 INVITE 消息中发送 SDP 信息,而不是等待来自相邻对等机的确认。 有关此命令的更多信息,请参阅提前报价

2

配置“SIP 配置文件 200”。

voice class sip-profiles 200
rule 9 request ANY sip-header SIP-Req-URI modify "sips:(.*)" "sip:\1"
rule 10 request ANY sip-header To modify "<sips:(.*)" "<sip:\1"
rule 11 request ANY sip-header From modify "<sips:(.*)" "<sip:\1"
rule 12 request ANY sip-header Contact modify "<sips:(.*)>" "<sip:\1;transport=tls>" 
rule 13 response ANY sip-header To modify "<sips:(.*)" "<sip:\1"
rule 14 response ANY sip-header From modify "<sips:(.*)" "<sip:\1"
rule 15 response ANY sip-header Contact modify "<sips:(.*)" "<sip:\1"
rule 20 request ANY sip-header From modify ">" ";otg=hussain2572_lgu>"
rule 30 request ANY sip-header P-Asserted-Identity modify "sips:(.*)" "sip:\1"

以下是配置字段的说明:

  • 规则 9

    确保将标头列为 “SIP-Req-URI” 而非 “SIP-Req-URL”

    该规则在 SIP URI 和 SIP URL 之间转换,因为Webex Calling不支持在请求/响应消息中使用 SIP URI,但在 SRV 查询中需要它们,例如: _sips._tcp.<outbound-proxy>.
  • 第 20 条

    修改从标头以包含来自 Control Hub 的中继组OTG/DTG 参数,以便唯一标识企业内的本地网关站点。

  • 将 SIP 配置文件应用到所有面向流量的语音类租户 200(稍后讨论) Webex Calling 。 有关更多信息,请参阅语音类 SIP 配置文件

    有关规则命令的更多信息,请参阅规则(语音翻译规则)Cisco IOS语音命令参考 - K 至 R

3

配置编解码器配置文件、眩晕定义和 SRTP 加密套件。

voice class codec 99
codec preference 1 g711ulaw
codec preference 2 g711alaw 
exit
voice class srtp-crypto 200
crypto 1 AES_CM_128_HMAC_SHA1_80
exit
voice class stun-usage 200
stun usage firewall-traversal flowdata
stun usage ice lite
exit

以下是配置字段的说明:

  • 语音类编解码器 99

    允许将 g711(mu 和 a-law)编解码器用于会话。 对所有拨号对等体应用 stun。 有关更多信息,请参阅语音类编解码器

  • 语音类 srtp-crypto 200
    voice class srtp-crypto 200
    crypto 1 AES_CM_128_HMAC_SHA1_80

    指定 SHA1_ 80 作为本地网关在提供和应答中的 SDP 中提供的唯一 SRTP 密码套件。 Webex Calling 仅支持 SHA180。_ 有关语音课程命令的更多信息,请参阅语音类 srtp-crypto

  • 适用语音类租户 200 (稍后讨论)面对 - Webex Calling 。

  • 语音类 stun-usage 200
    voice class stun-usage 200
    stun usage firewall-traversal flowdata
    stun usage ice lite

    定义眩晕的用法。 对所有人应用眩晕Webex Calling -面对(2XX 标记)拨号对等机,以避免在Unified CM电话将呼叫前转到另一个设备时出现单向音频Webex Calling电话。 请参阅stun 使用情况防火墙-遍历流数据眩晕使用 Ice lite


 

如果 ITSP SBC 和本地网关上的锚定媒体位于 NAT 之后,则等待来自 ITSP 的入站媒体流。 您可以在面向 ITSP 的拨号对等机上应用 stun 命令。


 

对于利用媒体路径优化的呼叫流,您需要使用 stun 使用 ice-lite。

4

将 Control Hub 参数映射到本地网关配置。

添加Webex Calling作为本地网关内的租户。 您需要配置才能在 下注册本地网关语音类租户 200 。 您必须从 Control Hub 的“中继信息”页面获取该配置的元素,如下图所示。 以下示例显示映射到相应本地网关 CLI 的字段。

申请租户200给所有的Webex Calling面对拨号对等体( tag)。2xx 语音类租户功能允许对SIP 干线参数进行分组和配置,否则这些工作需要在语音服务 VoIP 和 sip-ua 下完成。 当您配置租户并将其应用到拨号对等体时,以下优先顺序将应用于本地网关配置:

  • 拨号对等方配置

  • 租户配置

  • 全局配置(语音服务 VoIP/sip-ua)

5

配置语音类租户 200启用从本地网关到的干线注册Webex Calling基于从 Control Hub 获得的参数:


 

以下命令行和参数仅为示例。 将这些参数用于您自己的部署。

voice class tenant 200
  registrar dns:40462196.cisco-bcld.com scheme sips expires 240 refresh-ratio 50 tcp tls
  credentials number Hussain6346_LGU username Hussain2572_LGU password 0 meX7]~)VmF realm BroadWorks
  authentication username Hussain2572_LGU password 0 meX7]~)VmF realm BroadWorks
  authentication username Hussain2572_LGU password 0 meX7]~)VmF realm 40462196.cisco-bcld.com
  no remote-party-id
  sip-server dns:40462196.cisco-bcld.com
  connection-reuse
  srtp-crypto 200
  session transport tcp tls 
  url sips 
  error-passthru
  asserted-id pai 
  bind control source-interface GigabitEthernet0/0/1
  bind media source-interface GigabitEthernet0/0/1
  no pass-thru content custom-sdp 
  sip-profiles 200 
  outbound-proxy dns:la01.sipconnect-us10.cisco-bcld.com  
  privacy-policy passthru

以下是配置字段的说明:

voice class tenant 200

为 SIP 干线上的多个租户启用特定的全局配置,从而为租户提供差异化服务。 有关更多信息,请参阅语音类租户

registrar dns:40462196.cisco-bcld.com scheme sips expires 240 refresh-ratio 50 tcp tls

本地网关的注册服务器,其注册设置为每两分钟(240 秒的 50%)刷新一次。 有关更多信息,请参阅注册商Cisco IOS语音命令参考 - K 至 R

credentials number Hussain6346_LGU username Hussain2572_LGU password 0 meX71]~)Vmf realm BroadWorks__

用于中继注册质询的凭证。 有关更多信息,请参阅凭证 (SIP UA)Cisco IOS语音命令参考 - A 至 C

authentication username Hussain2572_LGU password 0 meX71]~)Vmf realm BroadWorks_
authentication username Hussain2572_LGU password 0 meX71]~)Vmf realm 40462196.cisco-bcld.com_

呼叫的验证质询。 有关更多信息,请参阅验证(拨号对等)Cisco IOS语音命令参考 - A 至 C

no remote-party-id

禁用 SIP Remote-Party-ID (RPID) 标头,因为 Webex Calling 支持 PAI,该功能是使用 CIO asserted-id pai(如下所示)启用的。 有关更多信息,请参阅远程方 idCisco IOS语音命令参考 - K 至 R

connection-reuse

使用相同的永久连接进行注册和呼叫处理。 有关更多信息,请参阅连接复用

srtp-crypto 200

定义语音类 srtp-crypto 200指定 SHA1_ 80(在步骤 3 中指定)。 有关更多信息,请参阅语音类 srtp-crypto。

session transport tcp tls

将传输设置为 TLS。 有关更多信息,请参阅会话传输

url sips

SRV 查询必须是 access SBC 支持的 SIP;所有其他消息都由 sip-profile 200 更改为 SIP。

error-passthru

指定 SIP 错误响应直通功能。 有关更多信息,请参阅错误直通

asserted-id pai

在本地网关中开启 PAI 处理。 有关更多信息,请参阅断言 id

bind control source-interface GigabitEthernet0/0/1

为信令源接口配置的源IP 地址Webex Calling 。

bind media source-interface GigabitEthernet0/0/1

配置面向的媒体源接口的源IP 地址Webex Calling 。 有关绑定命令的更多信息,请参阅绑定Cisco IOS语音命令参考 - A 至 C

no pass-thru content custom-sdp

租户下的缺省命令。 有关此命令的更多信息,请参阅传递内容

sip-profiles 200

将 SIPS 更改为 SIP,并如 voice class sip-profiles 200 中所定义那样修改 INVITE 和 REGISTER 消息的“线路/端口”。 有关更多信息,请参阅语音类 SIP 配置文件

outbound-proxy dns:la01.sipconnect-us10.cisco-bcld.com

Webex Calling访问 SBC。 有关更多信息,请参阅出站代理

privacy-policy passthru

从传入分支到传出分支以透明方式传递隐私标头值。 有关更多信息,请参阅隐私权策略Cisco IOS语音命令参考 - K 至 R

定义租户后200并配置 SIP 网络语音拨号对等体,网关然后发起 TLS 连接,向Webex Calling ,此时访问 SBC 会将其证书提供给本地网关。 本地网关验证Webex Calling使用先前更新的 CA 根捆绑包访问 SBC 证书。 在本地网关与Webex Calling访问 SBC。 然后,本地网关向受到质询的访问 SBC 发送 REGISTER 。 注册 AOR 是 number@domain。 该号码取自凭证“number”参数和“registrar dns:”中的域:<fqdn> 。” 当注册受到质疑时:

  • 使用用户名、密码和领域从参数凭证以构建标头和 SIP 配置文件 200。

  • 将 SIPS url 转换回 SIP。

当您从 access SBC 收到 200 OK 时,注册成功。

此部署需要在本地网关上进行以下配置:

  1. 语音类租户- 为面向 ITSP 的拨号对等体创建其他租户,与租户 200 类似您创建的Webex Calling面对拨号对等体。

  2. 语音类 URI - 您可以为终止在本地网关上的各种干线定义主机 IP 地址/端口模式:

    • Webex Calling至 LGW

    • LGW 上的 PSTN SIP 干线终端

  3. 出站拨号对等体— 您可以将出站呼叫段从 LGW 路由到 ITSP SIP 干线,以及Webex Calling 。

  4. 语音类 DPG - 您可以从入站拨号对等体调用 以定位到出站拨号对等体。

  5. 入站拨号对等体—您可以接受来自 ITSP 和Webex Calling 。

将配置用于合作伙伴托管的本地网关设置或客户站点网关,如下图所示。

1

配置以下语音类租户:

  1. 应用语音类租户100发送到所有面向 IP PSTN 的出站拨号对等机。

    voice class tenant 100 
    session transport udp
    url sip
    error-passthru
    bind control source-interface GigabitEthernet0/0/0
    bind media source-interface GigabitEthernet0/0/0
    no pass-thru content custom-sdp
    
  2. 应用语音类租户300从 IP PSTN 到所有入站拨号对等机。

    voice class tenant 300 
    bind control source-interface GigabitEthernet0/0/0
    bind media source-interface GigabitEthernet0/0/0
    no pass-thru content custom-sdp
    
2

配置以下语音类 uri:

  1. 定义 ITSP 的主机 IP 地址:

    voice class uri 100 sip
      host ipv4:192.168.80.13
    
  2. 定义模式以基于 Control Hub 的中继组OTG 或 DTG 参数唯一标识企业内的本地网关站点:

    voice class uri 200 sip
     pattern dtg=hussain2572.lgu
    

     

    本地网关当前不支持下划线“_ " 在匹配模式中。 解决方法:您可以使用一个点“.”。 (匹配任意内容)来匹配“_”。

    Received
    INVITE sip:+16785550123@198.18.1.226:5061;transport=tls;dtg=hussain2572_lgu SIP/2.0
    Via: SIP/2.0/TLS 199.59.70.30:8934;branch=z9hG4bK2hokad30fg14d0358060.1
    pattern :8934
    
3

配置以下出站拨号对等方:

  1. 朝向 IP PSTN 的出站拨号对等方:

    dial-peer voice 101 voip 
    description Outgoing dial-peer to IP PSTN
    destination-pattern BAD.BAD
    session protocol sipv2
    session target ipv4:192.168.80.13
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class sip tenant 100
    no vad

    以下是配置字段的说明:

    dial-peer voice 101 voip
     description Outgoing dial-peer to PSTN
    

    定义了一个标记为101并给出了有意义的说明,以便于管理和故障排除。

    destination-pattern BAD.BAD

    允许选择拨号对等体101 。 但是,您可以使用 dpg 语句从入站拨号对等体直接调用此传出拨号对等体,从而绕过数字模式匹配条件。 您正在使用基于目标模式 CLI 允许的字母数字数字的任意模式。

    session protocol sipv2

    指定拨号对等体101处理SIP 呼叫段。

    session target ipv4:192.168.80.13

    指示发送呼叫分支段的目标的目标IPv4 地址。 在本例中,为 ITSP 的 IP 地址。

    voice-class codec 99

    表示将用于此拨号对等方的编解码器首选项列表 99 用于此拨号对等方。

    dtmf-relay rtp-nte

    将 RTP-NTE (RFC2833) 定义为此呼叫支线上预期的 DTMF 功能。

    voice-class sip tenant 100

    拨号对等体从租户继承所有参数100除非在拨号对等体本身下定义了相同的参数。

    no vad

    禁用语音活动检测。

  2. 出站拨号对等机向Webex Calling (您要更新出站拨号对等机,使其充当入站拨号对等机: Webex Calling以及配置指南后面的内容)。

    dial-peer voice 200201 voip
     description Inbound/Outbound Webex Calling
    destination-pattern BAD.BAD
    session protocol sipv2
    session target sip-server
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class stun-usage 200
    no voice-class sip localhost
    voice-class sip tenant 200
    srtp
    no vad
    

    命令说明:

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling

    定义了一个标记为200201并提供了有意义的说明,以便于管理和故障排除

    session target sip-server

    表示全局 SIP 服务器是从该拨号对等方发起的呼叫的目的地。 Webex Calling中定义的服务器租户 200为拨号对等体继承200201 。

    voice-class stun-usage 200

    允许在本地网关上本地生成的眩晕请求通过协商的媒体路径发送。 Stun 有助于打开防火墙上的针孔。

    no voice-class sip localhost

    禁用使用 DNS 本地主持人名称替换传出邮件的发件人、呼叫 ID 和 Remote-Party-ID 标头中的物理IP 地址的功能。

    voice-class sip tenant 200

    拨号对等体从租户继承所有参数200 (LGW <--> Webex Calling Trunk),除非您在拨号对等体本身下定义相同的参数。

    srtp

    为呼叫分支段启用 SRTP。

    no vad

    禁用语音活动检测。

4

配置以下拨号对等组 (dpg):

  1. 定义拨号对等方组 100。 出站拨号对等方 101 是调用拨号对等方组 100 的任何呼入拨号对等方的目标。 我们申请DPG 100到传入拨号对等体 200201 Webex Calling --> LGW --> PSTN路径。

    voice class dpg 100
    description Incoming WxC(DP200201) to IP PSTN(DP101)
    dial-peer 101 preference 1
    
  2. 定义拨号对等方组 200 (带有出站拨号对等方 200201)作为 PSTN --> LGW --> Webex Calling 路径的目标。 应用 DPG 200到传入拨号对等体100您稍后定义的 。

    voice class dpg 200
    description Incoming IP PSTN(DP100) to Webex Calling(DP200201)
    dial-peer 200201 preference 1
    
5

配置以下入站拨号对等方:

  1. 呼入 IP PSTN 呼叫支线的入站拨号对等方:

    dial-peer voice 100 voip
    description Incoming dial-peer from PSTN
    session protocol sipv2
    destination dpg 200
    incoming uri via 100
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class sip tenant 300
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 100 voip
    description Incoming dial-peer from PSTN

    定义了一个标记为100并给出了有意义的说明,以便于管理和故障排除。

    session protocol sipv2

    指定拨号对等体100处理SIP 呼叫段。

    incoming uri via 100

    指定语音类 uri 100匹配从 IP PSTN 到 VIA 标头的主机IP 地址上的本地网关的所有传入流量。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 200

    指定拨号对等体组200以选择出站拨号对等成员。 有关设置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    voice-class sip tenant 300

    拨号对等体从租户继承所有参数300除非在拨号对等体本身下定义了相同的参数。

    no vad

    禁用语音活动检测。

  2. 呼入 Webex Calling 呼叫支线的入站拨号对等方:

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling
    max-conn 250
    destination dpg 100
    incoming uri request 200
     

    以下是配置字段的说明:

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling

    更新标记为 的网络语音拨号对等体200201并给出了有意义的说明,以便于管理和故障排除。

    incoming uri request 200

    指定语音类 uri 200匹配以下来源的所有传入流量Webex Calling在请求 URI 中的唯一 dtg 模式上发送到 LGW,唯一标识企业内和Webex Calling生态系统。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 100

    指定拨号对等体组100以选择出站拨号对等成员。 有关设置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    max-conn 250

    将 LGW 和Webex Calling ,假设单个拨号对等体面对Webex Calling本文中定义的入站和出站呼叫。 有关涉及本地网关的并发呼叫限制的更多信息,请参阅文档从Unified CM过渡到Webex Calling

PSTN 到 Webex Calling

将本地网关上的所有传入 IP PSTN 呼叫分支与拨号对等体匹配100为带有 IP PSTN 的IP 地址的 VIA 标头定义匹配条件。 DPG 200调用传出拨号对等体200201 ,即Webex Calling服务器作为目标。

Webex Calling 到 PSTN

匹配所有传入的Webex Calling使用拨号对等体的本地网关上的呼叫分支200201使用此本地网关部署独有的中继组OTG/DTG 参数定义 REQUEST URI 标头模式的匹配条件。 DPG 100调用传出拨号对等体101 ,将 IP PSTN IP 地址作为目标位置。

此部署需要在本地网关上进行以下配置:

  1. 语音类租户- 您可为面向Unified CM和 ITSP 的拨号对等体创建更多租户,类似于租户 200您创建的Webex Calling面对拨号对等体。

  2. 语音类 URI - 您可以通过以下方式为在 LGW 上终止的各种干线定义主机 IP 地址/端口模式:

    • 用于 PSTN 目标的Unified CM到 LGW

    • Unified CM到 LGW,用于Webex Calling目的地

    • Webex Calling至 LGW 目的地

    • LGW 上的 PSTN SIP 干线终端

  3. 语音类服务器-组- 您可以将来自以下位置的出站干线的 IP 地址/端口作为目标:

    • LGW 到Unified CM

    • LGW 至Webex Calling

    • LGW 到 PSTN SIP 干线

  4. 出站拨号对等体- 您可以路由来自以下位置的出站呼叫段:

    • LGW 到Unified CM

    • ITSP SIP 干线

    • Webex Calling

  5. 语音类 DPG - 您可以从入站拨号对等体调用 来对目标出站拨号对等体进行调用。

  6. 入站拨号对等机 -您可以接受来自Unified CM、ITSP 和Webex Calling 。

1

配置以下语音类租户:

  1. 应用语音类租户100在所有面向Unified CM和 IP PSTN 的出站拨号对等机上:

    voice class tenant 100 
    session transport udp
    url sip
    error-passthru
    bind control source-interface GigabitEthernet0/0/0
    bind media source-interface GigabitEthernet0/0/0
    no pass-thru content custom-sdp
    
  2. 应用语音类租户300在来自Unified CM和 IP PSTN 的所有入站拨号对等机上:

    voice class tenant 300 
    bind control source-interface GigabitEthernet0/0/0
    bind media source-interface GigabitEthernet0/0/0
    no pass-thru content custom-sdp
    
2

配置以下语音类 uri:

  1. 定义 ITSP 的主机 IP 地址:

    voice class uri 100 sip
      host ipv4:192.168.80.13
    
  2. 定义模式以基于 Control Hub 的中继组OTG/DTG 参数唯一标识企业内的本地网关站点:

    voice class uri 200 sip
    pattern dtg=hussain2572.lgu
    

     

    本地网关当前不支持下划线“_ " 在匹配模式中。 解决方法:使用点“。” (匹配任意内容)来匹配“_”。

    Received
    INVITE sip:+16785550123@198.18.1.226:5061;transport=tls;dtg=hussain2572_lgu SIP/2.0
    Via: SIP/2.0/TLS 199.59.70.30:8934;branch=z9hG4bK2hokad30fg14d0358060.1
    pattern :8934
    
  3. 为 Webex Calling 中继定义 Unified CM 信令 VIA 端口:

    voice class uri 300 sip
    pattern :5065
    
  4. 定义 PSTN 干线的Unified CM源信令 IP 和 VIA 端口:

    voice class uri 302 sip
    pattern 192.168.80.60:5060
    
3

配置以下语音类服务器组:

  1. 定义 Unified Unified CM 组1(5 个节点)的Unified CM干线的目标主机IP 地址和端口号。 Unified CM 将端口 5065 用于 Webex Calling 中继上的入站流量 (Webex Calling <-> LGW --> Unified CM)。

    voice class server-group 301
    ipv4 192.168.80.60 port 5065
    
  2. 定义 Unified Unified CM 组2 的Unified CM干线的目标主机IP 地址和端口号(如果适用):

    voice class server-group 303
    ipv4 192.168.80.60 port 5065
    
  3. 定义 Unified Unified CM 组1(5 个节点)的Unified CM干线的目标主机IP 地址。 Unified CM 将缺省端口 5060 用于 PSTN 中继上的入站流量。 如果未指定端口号,可以使用缺省的 5060 端口。 (PSTN <-> LGW --> Unified CM)

    voice class server-group 305
    ipv4 192.168.80.60
    
  4. 定义 Unified Unified CM 组2 的Unified CM干线的目标主机IP 地址(如果适用)。

    voice class server-group 307 
    ipv4 192.168.80.60
    
4

配置以下出站拨号对等方:

  1. 朝向 IP PSTN 的出站拨号对等方:

    dial-peer voice 101 voip 
    description Outgoing dial-peer to IP PSTN
    destination-pattern BAD.BAD
    session protocol sipv2
    session target ipv4:192.168.80.13
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class sip tenant 100
    no vad
    
    以下是配置字段的说明:
    dial-peer voice 101 voip
    description Outgoing dial-peer to PSTN

    定义了一个标记为101并提供了有意义的说明以便于管理和故障排除。

    destination-pattern BAD.BAD

    允许选择拨号对等体101 。 但是,您使用 dpg 语句从入站拨号对等体直接调用传出拨号对等体,这会绕过数字模式匹配条件。 您正在使用基于目标模式 CLI 允许的字母数字数字的任意模式。

    session protocol sipv2

    指定拨号对等体101处理SIP 呼叫段。

    session target ipv4:192.168.80.13

    指示发送呼叫分支段的目标的目标IPv4 地址。 (在本例中为 ITSP 的IP 地址。)

    voice-class codec 99

    指示编解码器首选项列表99用于此拨号对等机。

    voice-class sip tenant 100

    拨号对等体从租户继承所有参数300除非您在拨号对等体本身下定义相同的参数。

  2. 出站拨号对等机向Webex Calling (更新出站拨号对等机以充当入站拨号对等机: Webex Calling ):

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling
    destination-pattern BAD.BAD
    session protocol sipv2
    session target sip-server
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class stun-usage 200
    no voice-class sip localhost
    voice-class sip tenant 200
    srtp
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling

    定义了一个标记为200201并给出了有意义的说明,以便于管理和故障排除。

    session target sip-server

    指示全球 SIP 服务器是来自拨号对等体的呼叫的目标200201 。 Webex Calling中定义的服务器租户 200为拨号对等体继承200201 。

    voice-class stun-usage 200

    允许本地生成的眩晕请求通过协商的媒体路径发送。 Stun 有助于打开防火墙上的针孔。

    no voice-class sip localhost

    禁用使用 DNS 本地主持人名称替换传出邮件的发件人、呼叫 ID 和 Remote-Party-ID 标头中的物理IP 地址的功能。

    voice-class sip tenant 200

    拨号对等体从租户继承所有参数200 (LGW <--> Webex Calling trunk),除非您在拨号对等体本身下定义相同的参数。

    srtp

    为呼叫分支段启用 SRTP。

  3. 到 Unified CM 的出站拨号对等体Webex Calling干线:

    dial-peer voice 301 voip
    description Outgoing dial-peer to CUCM-Group-1 for 
    inbound from Webex Calling - Nodes 1 to 5
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 301
    voice-class codec 99
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    voice-class sip tenant 100
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 301 voip
    description Outgoing dial-peer to CUCM-Group-1 for 
    inbound from Webex Calling – Nodes 1 to 5

    定义了一个标记为301并给出了有意义的说明,以便于管理和故障排除。

    session server-group 301

    您指向的不是拨号对等体中的会话目标 IP,而是指向目标服务器组 (拨号对等体 301 的服务器组 301 ) 以定义多个目标 UCM 节点,尽管该示例仅显示一个节点。

    出站拨号对等体中的服务器组

    通过 DPG 中的多个拨号对等体和拨号对等体服务器组中的多个服务器,您可以在所有Unified CM呼叫处理订户之间实现呼叫的随机分布,或者基于定义的首选项进行寻线。 每个服务器组可以有最多五台服务器(带有或不带端口的 IPv4/v6)。 如果使用五个以上的呼叫处理订户,则仅需要第二个拨号对等机和第二个服务器组。

    有关更多信息,请参阅出站拨号对等机中的服务器组Cisco Unified Border Element配置指南 - Cisco IOS XE 17.6 及更高版本

  4. 指向 Unified CM 的第二个出站拨号对等体Webex Calling干线(如果您的Unified CM节点超过 5 个):

    dial-peer voice 303 voip
    description Outgoing dial-peer to CUCM-Group-2 
    for inbound from Webex Calling - Nodes 6 to 10
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 303
    voice-class codec 99
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    voice-class sip tenant 100
    no vad
  5. 朝向 Unified CM 的 PSTN 中继的出站拨号对等方:

    dial-peer voice 305 voip
    description Outgoing dial-peer to CUCM-Group-1for inbound from PSTN - Nodes 1 to 5
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 305
    voice-class codec 99 
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    voice-class sip tenant 100
    no vad
    
  6. 如果您的Unified CM节点超过 5 个,则指向 Unified CM 的 PSTN 干线的第二个出站拨号对等体:

    dial-peer voice 307 voip
    description Outgoing dial-peer to CUCM-Group-2 for inbound from PSTN - Nodes 6 to 10
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 307
    voice-class codec 99  
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    voice-class sip tenant 100
    no vad
    
5

配置以下 DPG:

  1. 定义 DPG 100。 出站拨号对等方 101 是调用拨号对等方组 100 的任何呼入拨号对等方的目标。 我们申请DPG 100到稍后定义的传入拨号对等体 302 Unified CM --> LGW --> PSTN路径:

    voice class dpg 100
    dial-peer 101 preference 1
    
  2. 定义 DPG 200 (带有出站拨号对等方 200201)作为 Unified CM --> LGW --> Webex Calling 路径的目标:

    voice class dpg 200
    dial-peer 200201 preference 1
    
  3. 定义 DPG 300 以用于出站拨号对等方 301 或 303(针对 Webex Calling --> LGW --> Unified CM 路径):

    voice class dpg 300
    dial-peer 301 preference 1
    dial-peer 303 preference 1
    
  4. 定义 DPG 302 以用于出站拨号对等方 305 或 307(针对 PSTN --> LGW --> Unified CM 路径):

    voice class dpg 302
    dial-peer 305 preference 1
    dial-peer 307 preference 1
    
6

配置以下入站拨号对等方:

  1. 呼入 IP PSTN 呼叫支线的入站拨号对等方:

    dial-peer voice 100 voip
    description Incoming dial-peer from PSTN
    session protocol sipv2
    destination dpg 302
    incoming uri via 100
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class sip tenant 300
    no vad
    
    以下是配置字段的说明:
    dial-peer voice 100 voip
    description Incoming dial-peer from PSTN

    定义了一个标记为100并给出了有意义的说明,以便于管理和故障排除。

    session protocol sipv2

    指定拨号对等体100处理SIP 呼叫段。

    incoming uri via 100

    指定语音类 uri 100到 VIA 标头的主机IP 地址上从Unified CM到 LGW 的所有传入流量。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 302

    指定拨号对等体组302以选择出站拨号对等机。 有关设置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    voice-class sip tenant 300

    拨号对等体从租户继承所有参数300除非您在拨号对等体本身下定义相同的参数。

  2. 呼入 Webex Calling 呼叫支线的入站拨号对等方:

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling
    max-conn 250
    destination dpg 300
    incoming uri request 200
     

    以下是配置字段的说明:

    dial-peer voice 200201 voip
    description Inbound/Outbound Webex Calling

    更新标记为 的网络语音拨号对等体200201并给出了有意义的说明,以便于管理和故障排除。

    incoming uri request 200

    指定语音类 uri 200到请求 URI 中唯一 dtg 模式上从Unified CM到 LGW 的所有传入流量,唯一标识企业内和中的本地网关站点Webex Calling生态系统。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 300

    指定拨号对等体组300以选择出站拨号对等机。 有关设置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    最大连接数250

    将 LGW 和 Webex Calling 之间的并发呼叫数限制为 250(假设单个拨号对等方对应 Webex Calling 入站和出站呼叫,如本指南中定义)。 有关涉及本地网关的并发呼叫限制的更多详细信息,请参阅文档从Unified CM过渡到Webex Calling

  3. 以 Webex Calling 作为目的地的呼入 Unified CM 呼叫支线的入站拨号对等方:

    dial-peer voice 300 voip
    description Incoming dial-peer from CUCM for Webex Calling
    session protocol sipv2
    destination dpg 200
    incoming uri via 300
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class sip tenant 300
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 300 voip
    description Incoming dial-peer from CUCM for Webex Calling

    定义了一个标记为301并给出了有意义的说明,以便于管理和故障排除。

    incoming uri via 300

    指定语音类 URI 300到通过源端口 (5065) 从Unified CM到 LGW 的所有传入流量。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 200

    指定拨号对等体组200以选择出站拨号对等机。 有关设置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    voice-class sip tenant 300

    拨号对等体从租户继承所有参数300除非您在拨号对等体本身下定义相同的参数。

  4. 以 PSTN 作为目的地的呼入 Unified CM 呼叫支线的入站拨号对等方:

    dial-peer voice 302 voip
    description Incoming dial-peer from CUCM for PSTN
    session protocol sipv2
    destination dpg 100
    incoming uri via 302
    voice-class codec 99
    dtmf-relay rtp-nte
    voice-class sip tenant 300
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 302 voip
    description Incoming dial-peer from CUCM for PSTN

    定义了一个标记为301并给出了有意义的说明,以便于管理和故障排除。

    incoming uri via 302

    指定语音类 uri 302到通过源端口 (5065) 从Unified CM到 LGW 的所有传入流量。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 100

    指定拨号对等体组100以选择出站拨号对等机。 有关设置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    voice-class sip tenant 300

    拨号对等体从租户继承所有参数300除非您在拨号对等体本身下定义相同的参数。

IP PSTN 到Unified CM PSTN 干线

Webex Calling平台到Unified CM Webex Calling干线

Unified CM PSTN 干线到 IP PSTN

Unified CM Webex Calling干线到Webex Calling平台

诊断签名 (DS) 可主动检测基于 IOS XE 的本地网关中常见的问题,并生成事件的电子邮件、系统日志或终端消息通知。 也可以安装 DS 自动收集诊断数据,并将收集到的数据转移到 Cisco TAC 案例,从而加快解决时间。

诊断签名 (DS) 是 XML 文件,其中包含有关问题触发事件的信息,以及为通知、诊断和补救问题而应采取的操作。您可以使用系统日志消息、SNMP 事件并通过对特定 show 命令输出的定期监控来定义问题检测逻辑。

操作类型包括收集 show 命令输出:

  • 生成整合的日志文件

  • 将文件上传到用户提供的网络位置,例如 HTTPS、SCP、FTP 服务器

TAC 工程师创作 DS 文件并对其进行数字签名以确保完整性。 每个 DS 文件都有系统分配的唯一数字标识。 诊断签名查找工具(DSLT) 是查找适用签名以监控和解决各种问题的单一来源。

准备工作:

  • 请勿编辑从以下位置下载的 DS 文件: DSLT 。 您修改的文件由于完整性检查错误而导致安装失败。

  • 本地网关发送电子邮件通知所需的简单邮件传输协议 (SMTP) 服务器。

  • 如果希望使用安全SMTP 服务器来发送电子邮件通知,请确保本地网关运行 IOS XE 17.6.1 或更高版本。

必要条件

运行 IOS XE 17.3.2 或更高版本的本地网关

  1. 缺省情况下诊断签名处于启用状态。

  2. 配置要用于在设备运行Cisco IOS XE 17.3.2 或更高版本时发送主动通知的安全电子邮件服务器。

    configure terminal 
    call-home  
    mail-server <username>:<pwd>@<email server> priority 1 secure tls 
    end 
  3. 配置环境变量ds_email与管理员的电子邮件地址向您通知。

    configure terminal 
    call-home  
    diagnostic-signature 
    environment ds_email <email address> 
    end 

运行 16.11.1 或更高版本的本地网关

  1. 诊断签名在默认启用

  2. 将电子邮件服务器配置为当设备运行的版本低于 17.3.2 时发送主动通知。

    configure terminal 
    call-home  
    mail-server <email server> priority 1 
    end 
  3. 使用要接收通知的管理员电子邮件地址配置环境变量 ds_email

    configure terminal 
    call-home  
    diagnostic-signature 
    environment ds_email <email address>
    end 

运行 16.9.x 版本的本地网关

  1. 输入以下命令以启用诊断签名。

    configure terminal 
    call-home reporting contact-email-addr sch-smart-licensing@cisco.com  
    end  
  2. 将电子邮件服务器配置为当设备运行的版本低于 17.3.2 时发送主动通知。

    configure terminal 
    call-home  
    mail-server  <email server> priority 1 
    end 
  3. 使用要接收通知的管理员电子邮件地址配置环境变量 ds_email

    configure terminal 
    call-home  
    diagnostic-signature 
    environment ds_email <email address> 
    end 

下面是在Cisco IOS XE 17.3.2 上运行的本地网关的配置示例,用于将主动通知发送到tacfaststart@gmail.com使用 Gmail 作为安全SMTP 服务器:

call-home  
mail-server tacfaststart:password@smtp.gmail.com priority 1 secure tls 
diagnostic-signature 
environment ds_email "tacfaststart@gmail.com" 

在Cisco IOS XE 软件上运行的本地网关不是典型的支持 OAuth 的基于 Web 的 Gmail 客户端,因此我们必须配置特定的 Gmail 帐户设置并提供特定权限以正确处理来自设备的电子邮件:

  1. 转至 管理 Google 帐户 > 安全性,然后开启访问安全性较低的应用程序设置。

  2. 当您收到来自 Gmail 的电子邮件,内容为“Google 已阻止他人使用非 Google 应用程序登录您的帐户”时,请回答“是,是我本人”。

安装诊断签名以进行主动监控

监控高 CPU 利用率

此 DS 使用 SNMP OID 1.3.6.1.4.1.9.2.1.56 跟踪 5 秒的 CPU 利用率。 当利用率达到 75% 或更高时,它将禁用所有调试并卸载本地网关中安装的所有诊断签名。 请根据以下步骤安装签名。

  1. 确保使用命令启用 SNMP显示 snmp 。 如果不启用,则配置“snmp-server manager”命令。

    show snmp 
    %SNMP agent not enabled 
    
    config t 
    snmp-server manager 
    end 
    
    show snmp 
    Chassis: ABCDEFGHIGK 
    149655 SNMP packets input 
        0 Bad SNMP version errors 
        1 Unknown community name 
        0 Illegal operation for community name supplied 
        0 Encoding errors 
        37763 Number of requested variables 
        2 Number of altered variables 
        34560 Get-request PDUs 
        138 Get-next PDUs 
        2 Set-request PDUs 
        0 Input queue packet drops (Maximum queue size 1000) 
    158277 SNMP packets output 
        0 Too big errors (Maximum packet size 1500) 
        20 No such name errors 
        0 Bad values errors 
        0 General errors 
        7998 Response PDUs 
        10280 Trap PDUs 
    Packets currently in SNMP process input queue: 0 
    SNMP global trap: enabled 
    
  2. 使用下列诊断签名查找工具中的下拉选项下载 DS 64224:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    带有电子邮件通知的高 CPU 利用率。

  3. 将 DS XML 文件复制到本地网关 flash 中。

    LocalGateway# copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash: 

    以下示例显示如何将文件从 FTP 服务器复制到本地网关。

    copy ftp://user:pwd@192.0.2.12/DS_64224.xml bootflash: 
    Accessing ftp://*:*@ 192.0.2.12/DS_64224.xml...! 
    [OK - 3571/4096 bytes] 
    3571 bytes copied in 0.064 secs (55797 bytes/sec) 
    
  4. 在本地网关中安装 DS XML 文件。

    call-home diagnostic-signature load DS_64224.xml 
    Load file DS_64224.xml success 
  5. 验证已使用 show call-home diagnostic-signature 成功安装签名。 状态栏中应该存在“已注册”值。

    show call-home diagnostic-signature  
    Current diagnostic-signature settings: 
    Diagnostic-signature: enabled 
    Profile: CiscoTAC-1 (status: ACTIVE) 
    Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
    Environment variable: 
    ds_email: username@gmail.com 

    Download DSes:

    DS ID

    DS Name

    Revision

    状态

    Last Update (GMT+00:00)

    64224

    DS_LGW_CPU_MON75

    0.0.10

    已注册

    2020-11-07 22:05:33


    触发后,此签名将卸载包括本身在内的所有正在运行的 DS。 如有必要,请重新安装 DS 64224 以继续监控本地网关上的高 CPU 利用率。

监控SIP 干线注册

此 DS 每 60 秒检查一次带有Webex Calling云的本地网关 SIP 干线的注销情况。 一旦检测到注销事件,它将生成电子邮件和系统日志通知,并在发生两次注销事件后自行卸载。 请根据以下步骤安装签名。

  1. 使用下列诊断签名查找工具中的下拉选项下载 DS 64117:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    SIP-SIP

    问题类型

    带有电子邮件通知的 SIP 干线注销。

  2. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@<server name or ip>/DS_64117.xml bootflash: 
  3. 在本地网关中安装 DS XML 文件。

    call-home diagnostic-signature load DS_64117.xml 
    Load file DS_64117.xml success 
    LocalGateway#  
  4. 使用显示 call-home 诊断签名以验证签名是否成功安装。 状态列的值必须为“已注册”。

监控异常呼叫断开

该 DS 每 10 分钟使用一次 SNMP 轮询,检测 SIP 错误代码为 403、488 和 503 的异常呼叫断开连接。  如果自上次投票以来,错误计数增量大于或等于 5,它将生成系统日志和电子邮件通知。 请根据以下步骤安装签名。

  1. 检查是否已使用 show snmp 命令启用 SNMP。 如果 SNMP 未处于启用状态,请配置“snmp-server manager”命令。

    show snmp 
    %SNMP agent not enabled 
     
    
    config t 
    snmp-server manager 
    end 
    
    show snmp 
    Chassis: ABCDEFGHIGK 
    149655 SNMP packets input 
        0 Bad SNMP version errors 
        1 Unknown community name 
        0 Illegal operation for community name supplied 
        0 Encoding errors 
        37763 Number of requested variables 
        2 Number of altered variables 
        34560 Get-request PDUs 
        138 Get-next PDUs 
        2 Set-request PDUs 
        0 Input queue packet drops (Maximum queue size 1000) 
    158277 SNMP packets output 
        0 Too big errors (Maximum packet size 1500) 
        20 No such name errors 
        0 Bad values errors 
        0 General errors 
        7998 Response PDUs 
        10280 Trap PDUs 
    Packets currently in SNMP process input queue: 0 
    SNMP global trap: enabled 
    
  2. 使用诊断签名查找工具中的下列选项下载 DS 65221:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    使用电子邮件和系统日志通知检测 SIP 异常呼叫断开连接。

  3. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@<server name or ip>/DS_65221.xml bootflash:
  4. 在本地网关中安装 DS XML 文件。

    call-home diagnostic-signature load DS_65221.xml 
    Load file DS_65221.xml success 
    
  5. 使用显示 call-home 诊断签名以验证是否已使用 成功安装签名。 状态列的值必须为“已注册”。

安装诊断签名以解决问题

使用诊断签名 (DS) 快速解决问题。 Cisco TAC工程师创作了多个签名,可启用对给定问题进行故障诊断、检测问题发生、收集正确的诊断数据并将数据自动传输到Cisco TAC案例所需的必要调试。 诊断签名 (DS) 无需手动检查问题是否发生,并且可以更轻松地解决间歇性和暂时性问题。

您可以使用诊断签名查找工具以查找适用的签名并安装它们以自行解决给定的问题,或者您可以安装 TAC 工程师推荐的签名,作为支持服务的一部分。

以下示例说明了如何查找和安装 DS 以检测是否存在“%VOICE_IEC-3-GW: CCAPI: Internal Error (call spike threshold): IEC=1.1.181.1.29.0" 系统日志,并使用以下步骤自动收集诊断数据:

  1. 配置其他 DS 环境变量ds_fsurl_prefix即收集的诊断数据上传到的Cisco TAC文件服务器路径 (cxd.cisco.com)。 文件路径中的用户名是案例编号,密码是文件上传令牌,可从支持案例管理器在以下命令中。 如果需要,可以在“支持案例管理器”的附件部分中生成文件上传令牌。

    configure terminal 
    call-home  
    diagnostic-signature 
    LocalGateway(cfg-call-home-diag-sign)environment ds_fsurl_prefix "scp://<case number>:<file upload token>@cxd.cisco.com"  
    end 

    例如:

    call-home  
    diagnostic-signature 
    environment ds_fsurl_prefix " environment ds_fsurl_prefix "scp://612345678:abcdefghijklmnop@cxd.cisco.com"  
  2. 确保使用以下命令启用 SNMP显示 snmp 。 如果 SNMP 未处于启用状态,请配置“snmp-server manager”命令。

    show snmp 
    %SNMP agent not enabled 
     
     
    config t 
    snmp-server manager 
    end 
  3. 确保安装高 CPU 监控 DS 64224 作为主动措施,在 CPU 利用率高时禁用所有调试和诊断签名。 使用诊断签名查找工具中的下列选项下载 DS 64224:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    带有电子邮件通知的高 CPU 利用率。

  4. 使用诊断签名查找工具中的下列选项下载 DS 65095:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    系统日志

    问题类型

    系统日志 - %VOICE_IEC-3-GW: CCAPI: Internal Error (Call spike threshold): IEC=1.1.181.1.29.0

  5. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash: 
    copy ftp://username:password@<server name or ip>/DS_65095.xml bootflash: 
  6. 安装 DS 64224 以监控 CPU 占用率是否过高,然后在本地网关中安装 DS 65095 XML 文件。

    call-home diagnostic-signature load DS_64224.xml 
    Load file DS_64224.xml success 
     
    call-home diagnostic-signature load DS_65095.xml 
    Load file DS_65095.xml success 
    
  7. 验证已使用 show call-home diagnostic-signature 成功安装签名。 状态列的值必须为“已注册”。

    show call-home diagnostic-signature  
    Current diagnostic-signature settings: 
    Diagnostic-signature: enabled 
    Profile: CiscoTAC-1 (status: ACTIVE) 
    Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
    Environment variable: 
               ds_email: username@gmail.com 
               ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com 

    Downloaded DSes:

    DS ID

    DS Name

    Revision

    状态

    Last Update (GMT+00:00)

    64224

    0:07:45

    DS_LGW_CPU_MON75

    0.0.10

    已注册

    2020-11-08

    65095

    0:12:53

    DS_LGW_IEC_Call_spike_threshold

    0.0.12

    已注册

    2020-11-08

验证诊断签名执行

在以下命令中,将命令的“状态”列显示 call-home 诊断签名更改为“正在运行”,同时本地网关执行签名中定义的操作。 的输出显示 call-home 诊断签名统计信息是验证诊断签名是否检测到相关事件并执行操作的最佳方法。 “已触发/最大/卸载”列指示给定签名触发事件的次数、为检测事件而定义的最大数量以及签名在检测到最大数量的触发事件后是否自行卸载。

show call-home diagnostic-signature  
Current diagnostic-signature settings: 
Diagnostic-signature: enabled 
Profile: CiscoTAC-1 (status: ACTIVE) 
Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
Environment variable: 
           ds_email: carunach@cisco.com 
           ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com 

Downloaded DSes:

DS ID

DS Name

Revision

状态

Last Update (GMT+00:00)

64224

DS_LGW_CPU_MON75

0.0.10

已注册

2020/11/8 0:07:45

65095

DS_LGW_IEC_Call_spike_threshold

0.0.12

正在运行

2020/11/8 0:12:53

显示 call-home 诊断签名统计信息

DS ID

DS Name

Triggered/Max/Deinstall

Average Run Time (seconds)

Max Run Time (seconds)

64224

DS_LGW_CPU_MON75

0/0/N

0.000

0.000

65095

DS_LGW_IEC_Call_spike_threshold

1/20/Y

23.053

23.053

在诊断签名执行期间发送的通知电子邮件包含关键信息,例如问题类型、设备详细信息、软件版本、运行配置以及与对给定问题进行故障诊断相关的 show 命令输出。

卸载诊断签名

用于故障诊断的诊断签名通常定义为在检测到某些问题发生后卸载。 如果要手动卸载签名,请从显示 call-home 诊断签名并运行以下命令:

call-home diagnostic-signature deinstall <DS ID> 

例如:

call-home diagnostic-signature deinstall 64224 

基于在部署中常见的问题,系统会定期将新签名添加到诊断签名查找工具中。 TAC 当前不支持新建自定义签名的请求。

准备工作

  • 确保根据组织的策略和程序设置以下基准平台配置:

    • NTP

    • ACL

    • 启用密码

    • 主密码

    • IP 路由

    • IP 地址等

  • 所有本地网关部署都需要受支持的最低 IOS XE 17.6 发行版。

1

确保为任何第 3 层接口分配有效且可路由的 IP 地址:

interface GigabitEthernet0/0/0
 description Interface facing PSTN and/or CUCM
 ip address 192.168.80.14 255.255.255.0
!
interface GigabitEthernet0/0/1
 description Interface facing Webex Calling
 ip address 198.51.100.1 255.0.0.0

 
接口朝向Webex Calling必须能够从外部访问 。

 

您只能使用本地网关的 FQDN/SRV 配置 Control Hub。 确保 FQDN 解析为接口 IP。

2

在密码用作凭证和共享密码之前,使用以下命令预配置密码的主键。 类型 6 密码使用 AES 密码和用户定义的主密钥加密。

conf t
key config-key password-encrypt Password123
password encryption aes
3

配置 IP 名称服务器以启用 DNS 查找。 ping IP 名称服务器并确保服务器可访问。 本地网关必须解析Webex Calling使用此 DNS 的代理地址:

conf t
Enter configuration commands, one per line. End with CNTL/Z. 
ip name-server 8.8.8.8
end
4

启用 TLS 1.2 排他性和缺省占位符 Trustpoint:


 
  • 必须识别已签名且受信任的CA 证书。

  • SIP 请求消息的联系人标头 URI 中的域(例如: 邀请,选项)必须存在于 SAN 证书中,才能建立 TLS 连接。

  1. 使用以下命令创建与根证书的证书长度匹配的 RSA 密钥:

    crypto key generate rsa general-keys exportable label my-cube modulus 4096
  2. 使用以下命令创建信任点以保存 CA 签名的证书:

    crypto pki trustpoint CUBE_CA_CERT
     enrollment terminal pem
     serial-number none
     subject-name CN=my-cube.domain.com (This has to match the DNS hostname through which this router is reachable)
     revocation-check none
     rsakeypair TestRSAkey !(this has to match the RSA key you just created)
  3. 使用以下命令生成证书签名请求 (CSR):

    crypto pki enroll CUBE_CA_CERT

     
    • 使用此 CSR 可从受支持的证书颁发机构之一请求证书。

    • 确保您在 Control Hub 上配置的中继目标(FQDN 或 SRV)存在于证书的 SAN 中。

5

如果根证书具有中间 CA,则执行以下命令:


 

如果没有中间证书颁发机构,请跳至后续步骤。

crypto pki trustpoint Root_CA_CERT
 enrollment terminal
 revocation-check none
!
crypto pki authenticate Root_CA_CERT
<paste root CA X.64 based certificate here >

crypto pki trustpoint Intermediate_CA
 enrollment terminal
 chain-validation continue Root_CA_CERT
 revocation-check none
!
crypto pki authenticate Intermediate_CA
<paste Intermediate CA X.64 based certificate here >

crypto pki authenticate CUBE_CA_CERT 
<paste Intermediate CA X.64 based certificate here >


crypto pki import CUBE_CA_CERT certificate
<paste CUBE  CA X.64 based certificate here >
6

创建信任点以保存根证书。 如果没有中间 CA,请执行以下命令:

crypto pki trustpoint Root_CA_CERT
enrollment terminal
revocation-check none
!
crypto pki authenticate Root_CA_CERT
<paste root CA X.64 based certificate here >

crypto pki authenticate CUBE_CA_CERT 
<paste root  CA X.64 based certificate here >

crypto pki import CUBE_CA_CERT certificate
<paste CUBE  CA X.64 based certificate here >

7

配置 SIP-UA 以使用您创建的信任点。

configure terminal
sip-ua
crypto signaling default trustpoint CUBE_CA_CERT
transport tcp tls v1.2

准备工作

  • 网络走向Webex Calling必须使用公共IPv4 地址。 完全限定域名 (FQDN) 或服务记录 (SRV) 地址必须解析为互联网上的公共IPv4 地址。

  • 外部接口上的所有 SIP 和媒体端口必须可从互联网访问。 端口不得位于网络地址转换 (NAT) 之后。 确保更新企业网络组件上的防火墙。

  • 在本地网关上安装已签名的证书。

    • Certificate Authority(CA) 必须按中所述对证书签名对Cisco Webex音频和视频平台的呼叫支持哪些根证书颁发机构?

    • 从 Control Hub 选择的 FQDN 必须是证书的通用名称 (CN) 或使用者备用名称 (SAN)。 例如:

      • 如果从组织的 Control Hub 配置的干线将 london.lgw.cisco.com:5061 作为本地网关的 FQDN,则 CN 或 SAN 的证书中必须包含 london.lgw.cisco.com。 

      • 如果从组织的 Control Hub 配置的干线将 london.lgw.cisco.com 作为本地网关的 SRV 地址,则 CN 或 SAN 的证书中必须包含 london.lgw.cisco.com。 SRV 地址解析为(CNAME、A 记录或 IP 地址)的记录在 SAN 中是可选的。

      • 在用于干线的 FQDN 或 SRV 示例中,来自本地网关的所有新 SIP 对话的联系人地址的 SIP 地址的主机部分必须包含 london.lgw.cisco.com。 请参阅,第 5 步以进行配置。

  • 确保为客户端和服务器使用的证书签名。

  • 如中所述,将信任捆绑包上传到本地网关对Cisco Webex音频和视频平台的呼叫支持哪些根证书颁发机构?

1

输入以下命令以打开本地网关应用程序(请参阅Cisco Webex Calling的端口参考信息获取要添加为信任列表的最新 IP 子网):

configure terminal
voice service voip
ip address trusted list
ipv4 x.x.x.x y.y.y.y
allow-connections sip to sip
no supplementary-service sip refer
no supplementary-service sip handle-replaces
fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none 
sip 
early-offer forced
asymmetric payload full

以下是配置字段的说明:

预防收费欺诈

voice service voip
ip address trusted list
ipv4 x.x.x.x y.y.y.y
  • 启用本地网关预期来自其的合法网络语音呼叫的实体的源 IP 地址: Webex Calling同行。

  • 默认情况下,本地网关阻止来自不在其受信任列表中的 IP 地址的所有传入 VoIP 呼叫设置。 缺省情况下,来自具有“会话目标 IP”的拨号对等机或服务器组的 IP 地址受信任,此处不会填充。

  • 此列表中的 IP 地址必须与根据区域提供的 IP 子网匹配。 Webex Calling客户连接的数据中心。 请参阅Webex Calling的端口参考信息了解更多信息。

  • 有关如何使用IP 地址受信任列表来防止收费欺诈的更多信息,请参阅受信任IP 地址

SIP 到 SIP 基本功能

allow-connections sip to sip
  • 允许 SIP 到 SIP 连接。

  • 默认情况下, Cisco IOS或 IOS XE 语音设备不允许传入 VoIP 分支作为 VoIP 传出。

  • 有关此命令的更多信息,请参阅允许连接

传真协议

fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none

为传真传输启用 T.38,尽管传真流量未加密。 有关此命令的更多信息,请参阅传真协议 t38(语音服务)

SIP

early-offer forced

强制本地网关在初始 INVITE 消息中发送 SDP 信息,而不是等待来自相邻对等机的确认。 有关此命令的更多信息,请参阅提前报价

asymmetric payload full

为 DTMF 和动态编解码器负载配置会话发起协议 (SIP)非对称负载支持。 有关此命令的更多信息,请参阅传递内容。

2

配置“语音类编解码器 100”。

voice class codec 100
codec preference 1 opus
codec preference 2 g711ulaw
codec preference 3 g711alaw

以下是配置字段的说明:

语音类编解码器 100

为会话允许使用 opus 和 g711(mu 和 a-law)编解码器。 将首选编解码器应用到所有拨号对等体。 有关更多信息,请参阅语音类编解码器

3

配置“voice class stun-usage 100”以启用 ICE。

voice class stun-usage 100 
stun usage ice lite

以下是配置字段的说明:

语音类 stun-usage 100

定义眩晕的用法。 对所有人应用眩晕Webex Calling - 面向拨号对等方,以避免在Unified CM电话将呼叫前转到另一个电话时无法播放音频Webex Calling电话。 请参阅语音类 stun 用法Cisco IOS语音命令 - T 至 Z眩晕使用 Ice lite

4

配置命令以限制支持的加密。

voice class srtp-crypto 100
 crypto 1 AES_CM_128_HMAC_SHA1_80

以下是配置字段的说明:

语音类 srtp-crypto 100
指定 SHA1_ 80 作为本地网关在提供和应答中的 SDP 中提供的唯一 SRTP 密码套件。 Webex Calling 仅支持 SHA180。_
有关更多信息,请参阅语音类 srtp-crypto
5

(对于使用公共 IP地址的 CUBE,请执行此步骤。) 配置“SIP 配置文件 100”。 在示例中, IP 地址是为本地网关选择的 FQDN,“172.xxx”是指向Webex Calling :

voice class sip-profiles 100
rule 10 request ANY sip-header Contact modify "192.65.79.21" "cube1.abc.lgwtrunking.com" 
rule 20 response ANY sip-header Contact modify "192.65.79.21" "cube1.abc.lgwtrunking.com" 
 

以下是配置字段的说明:

规则 10 至规则 20

确保将请求和响应消息的“联系人”标头中的本地网关IP 地址替换为 FQDN。 这是对用作给定站点中的干线的本地网关进行验证的必要条件。 Webex Calling位置。


 

如果已为 CUBE 配置了公共 IP地址,请跳过下一步。

6

(对于静态 NAT 后的 CUBE,请执行此步骤。) 为静态 NAT 配置 CUBE(可选)。 在此示例中,cube1.abc.lgwtrunking.com 是为本地网关选择的 FQDN,“10.80.13.12”是指向Webex Calling的 CUBE 接口IP 地址,“192.65.79.20”是 NAT公共 IP地址。

如果 CUBE 部署为使用静态 NAT,则需要以下入站和出站SIP 配置文件配置,以在 SIP 请求和响应中将专用 IP地址修改为 NAT公共 IP地址。

到Webex Calling的出站消息的 SIP 配置文件

voice class sip-profiles 200
 rule 10 request ANY sip-header Contact modify "@.*:" "@cube1.abc.lgwtrunking.com:"
 rule 11 response ANY sip-header Contact modify "@.*:" "@cube1.abc.lgwtrunking.com:"
 rule 20 response ANY sdp-header Audio-Attribute modify "a=candidate:1 1(.*) 10.80.13.12 (.*)" "a=candidate:1 1\1 192.65.79.20 \2"
 rule 30 response ANY sdp-header Audio-Attribute modify "a=candidate:1 2(.*) 10.80.13.12 (.*)" "a=candidate:1 2\1 192.65.79.20 \2"
 rule 40 response ANY sdp-header Audio-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 41 request ANY sdp-header Audio-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 50 request ANY sdp-header Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 51 response ANY sdp-header Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 60 response ANY sdp-header Session-Owner modify "(.*) IN IP4 10.80.13.12" "\1 IN IP4 192.65.79.20"
 rule 61 request ANY sdp-header Session-Owner modify "(.*) IN IP4 10.80.13.12" "\1 IN IP4 192.65.79.20"
 rule 80 request ANY sdp-header Audio-Attribute modify "a=rtcp:(.*) IN IP4 10.80.13.12" "a=rtcp:\1 IN IP4 192.65.79.20"
 rule 81 response ANY sdp-header Audio-Attribute modify "a=rtcp:(.*) IN IP4 10.80.13.12" "a=rtcp:\1 IN IP4 192.65.79.20"
 rule 91 request ANY sdp-header Audio-Attribute modify "a=candidate:1 1(.*) 10.80.13.12 (.*)" "a=candidate:1 1\1 192.65.79.20 \2"
 rule 93 request ANY sdp-header Audio-Attribute modify "a=candidate:1 2(.*) 10.80.13.12 (.*)" "a=candidate:1 2\1 192.65.79.20 \2"
来自Webex Calling的入站消息的 SIP 配置文件

voice class sip-profiles 201
 rule 10 response ANY sdp-header Video-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 20 response ANY sip-header Contact modify "@.*:" "@cube1.abc.lgwtrunking.com:"
 rule 30 response ANY sdp-header Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 40 response ANY sdp-header Audio-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 60 response ANY sdp-header Session-Owner modify "(.*) IN IP4 10.80.13.12" "\1 IN IP4 192.65.79.20"
 rule 70 response ANY sdp-header Audio-Attribute modify "a=candidate:1 1(.*) 10.80.13.12 (.*)" "a=candidate:1 1\1 192.65.79.20 \2"
 rule 80 response ANY sdp-header Audio-Attribute modify "a=candidate:1 2(.*) 10.80.13.12 (.*)" "a=candidate:1 2\1 192.65.79.20 \2"
 rule 90 response ANY sdp-header Audio-Attribute modify "a=rtcp:(.*) IN IP4 10.80.13.12" "a=rtcp:\1 IN IP4 192.65.79.20"

有关更多信息,请参阅语音类 SIP 配置文件

有关更多信息,请参阅规则(语音翻译规则)在Cisco IOS语音命令参考 - K 至 R 。

7

配置以下出站拨号对等方:

  1. 配置第一个出站拨号对等机Webex Calling 。


     

    在 Control Hub 中创建干线并将其分配到位置。 请参阅配置Webex Calling的干线、路由组和拨号方案了解更多信息。

    dial-peer voice 101 voip
    description OutBound Webex Calling
    session protocol sipv2
    session target dns:<insert us01.sipconnect.bcld.webex.com>
    session transport tcp tls
    destination e164-pattern-map 2002
    voice-class codec 100
    voice-class stun-usage 100
    voice-class sip rel1xx disable
    voice-class sip asserted-id pai
    voice-class sip profiles 100
    voice-class sip tenant 200
    voice-class sip options-keepalive profile 100
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    srtp
    no vad
    !

    以下是配置字段的说明:

    
    dial-peer voice 101 voip
       description OutBound Webex Calling

    定义了一个标记为101并给出了有意义的说明,以便于管理和故障排除。 请参阅拨号对等体语音了解更多信息。

    session protocol sipv2

    指定拨号对等体101处理SIP 呼叫段。 请参阅会话协议(拨号对等)Cisco IOS语音命令参考 - S 命令了解更多信息。

    会话目标 dns: <insert us01.sipconnect.bcld.webex.com="">

    指示 Control Hub 中发送呼叫分支段的目标的目标 FQDN 地址。 请参阅会话目标(网络语音拨号对等体)Cisco IOS语音命令参考 - S 命令了解更多信息。


     

    开始于Cisco IOS XE Cupertino 17.9.1a支持上述目标 SRV 地址配置。

    session transport tcp tls

    SIP 拨号对等机使用 TCP 传输层协议上的传输传输层安全(TLS)。

    目标 e164-模式图2002 年

    此命令用于将 E.164 模式映射链接到拨号对等体。 2002 年定义了目标 E.164 模式映射。

    语音类编解码器 100

    指示编解码器首选项列表100用于拨号对等体101 。 请参阅语音类编解码器了解更多信息。

    语音类 SIP 档案100

    如果 CUBE 配置了静态 NAT,则映射出站SIP 配置文件200。

    voice-class sip tenant 200

    我们建议您使用带有中继拨号对等体的租户,其中每个中继都有自己的侦听端口、TLS 证书和 CN 或 SAN 验证列表。 在这里,与租户关联的 tls-profile 包含用于接受或创建新连接的信任点,并具有用于验证传入连接的 CN 或 SAN 列表。

    语音类 SIP 选项-保持连接档案100

    此命令用于使用特定配置文件 (100) 监控一组 SIP 服务器或终端。

  2. 将租户配置为Webex Calling。

    
    voice class tenant 200
      tls-profile 100
      listen-port secure 5061
      no remote-party-id
      srtp-crypto 200
      localhost dns:cube1.abc.lgwtrunking.com
      session transport tcp tls
      no session refresh
      error-passthru
      bind control source-interface GigabitEthernet0/0/2
      bind media source-interface GigabitEthernet0/0/2
      no pass-thru content custom-sdp
      privacy-policy passthru
    !

    以下是配置字段的说明:

    voice class tenant 200

    我们建议您使用带有中继拨号对等体的租户,其中每个中继都有自己的侦听端口、TLS 证书和 CN 或 SAN 验证列表。 在这里,与租户关联的 tls-profile 包含用于接受或创建新连接的信任点,并具有用于验证传入连接的 CN 或 SAN 列表。

  3. 配置 SIP 选项配置文件。

    
    voice class sip-options-keepalive 100
     description keepalive webex_mTLS
     up-interval 5
     !

    以下是配置字段的说明:

    语音类 SIP-选项-保持连接100

    配置保持连接配置文件并进入语音类配置模式。 您可以配置当与端点的信号连接处于正常或断开状态时,向拨号对等体端点发送 SIP OODO ping 的时间(以秒为单位)。

    此保持连接配置文件从配置为 Webex 的拨号对等体触发。

    要确保联系标头包含 SBC完全限定域名,使用以下配置文件。 规则 30、40 和 50 仅在 CUBE 配置了静态 NAT 时才需要。

    在此示例中,cube1.abc.lgwtrunking.com 是为本地网关选择的 FQDN,“10.80.13.12”是指向Webex Calling的 CUBE 接口IP 地址,“192.65.79.22”是 NAT公共 IP地址:

    
    voice class sip-profiles 115
     rule 10 request OPTIONS sip-header Contact modify "<sip:.*:" "<sip:cube1.abc.lgwtrunking.com:" 
     rule 30 request ANY sip-header Via modify "SIP(.*) 10.80.13.12(.*)" "SIP\1 192.65.79.22\2"
     rule 40 response ANY sdp-header Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.22"
     rule 50 response ANY sdp-header Audio-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.22"
    !
    voice class sip-options-keepalive 100
     description Keepalive Webex calling
     up-interval 5
     transport tcp tls
     sip-profiles 115
8

基于拨号对等体创建拨号对等体组: Webex Calling在主动/主动模型中。


 

此配置适用于除在新加坡位置配置的干线外的所有区域。 请参阅第 8 步获取更多信息。

  1. 定义 DPG 100使用出站拨号对等体101 , 102 , 103 , 104朝Webex Calling 。 应用 DPG 100到传入拨号对等体100以定义 PSTN 或Unified CM。

voice class dpg 100
dial-peer 101 preference 1 
以下是配置字段的说明:
dial-peer 101 preference 1 

将出站拨号对等体与拨号对等体组关联100并配置拨号对等体101 , 102 , 103 ,以及104具有相同的首选项。 请参阅拨号对等体语音了解更多信息。

9

配置从Webex Calling 。 传入匹配基于 URI 请求。

voice class uri 120 sip 
pattern cube.domain.com 
dial-peer voice 110 voip 
session protocol sipv2
session transport tcp tls
destination dpg 300
incoming uri request 120
voice-class codec 100
voice-class stun-usage 100 
voice-class sip profiles 100 
voice-class sip srtp-crypto 100
voice-class sip bind control source-interface GigabitEthernet 0/0/1 
voice-class sip bind media source-interface GigabitEthernet 0/0/1 
srtp
!

以下是配置字段的说明:

语音类 uri 120啜饮

定义收到呼叫的匹配模式: Webex Calling 。 请参阅语音类 uri sip 首选项在Cisco IOS语音命令引用到 Z了解更多信息。

session transport tcp tls

将传输设置为 TLS。 请参阅会话传输了解更多信息。

destination dpg 300

指定拨号对等体组120以选择出站拨号对等机。 请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z有关拨号对等组的详细信息。

incoming uri request 200

匹配以下来源的所有传入流量: Webex Calling到请求 URI 中唯一 DTG 模式上的本地网关,唯一标识企业内和Webex Calling生态系统。 请参阅传入 uri Cisco IOS语音命令参考 - D 至 I了解更多信息。

语音类 SIP 档案100

如果 CUBE 配置了静态 NAT,则映射入站 sip 配置文件 201。

语音类 srtp-crypto 100

配置 SRTP呼叫分支(连接)的首选密码套件。 请参阅语音类 srtp-crypto了解更多信息。

bind control source-interface GigabitEthernet0/0/1

为信令源接口配置的源IP 地址Webex Calling 。 请参阅绑定Cisco IOS语音命令参考 - A 至 C有关如何使用绑定的更多信息。

bind media source-interface GigabitEthernet0/0/1

配置面向的媒体源接口的源IP 地址Webex Calling 。

此部署需要在本地网关上进行以下配置:

  1. 语音类 URI - 您可以为终止在本地网关上的各种干线定义主机 IP 地址/端口模式:

    • Webex Calling至 LGW

    • LGW 上的 PSTN SIP 干线终端

  2. 出站拨号对等体- 您可以将出站呼叫段从 LGW 路由到互联网电话服务提供商(ITSP) 的SIP 干线和Webex Calling 。

  3. 语音类 DPG - 您可以从入站拨号对等体调用 来对目标出站拨号对等体进行调用。

  4. 入站拨号对等体—您可以接受来自 ITSP 和Webex Calling 。

将配置用于合作伙伴托管的本地网关设置或本地客户站点网关。 请参阅以下内容:

1

配置以下语音类 uri:

  1. 定义 ITSP 的主机 IP 地址:

    voice class uri 100 sip
      host ipv4:192.168.80.13
    
  2. 定义模式以唯一标识企业内的本地网关站点。 使用本地网关主机名作为统一资源标识符 (URI) 匹配模式。

    voice class uri 200 sip
    pattern cube.domain.com
    

     

    本地网关当前不支持下划线“_ " 在匹配模式中。 解决方法:使用点“。” (匹配任意内容)来匹配“_”。

    Received
    INVITE sip:+6531239003@awscube1a.var1-sg.lgwtrunking.com:5061;transport=tls;dtg=awscube1a.var1-sg.lgwtrunking.com SIP/2.0 
2

配置以下出站拨号对等方:

  1. 朝向 IP PSTN 的出站拨号对等方:

    dial-peer voice 121 voip
    description Outgoing dial-peer to IP PSTN
    destination-pattern BAD.BAD
    session protocol sipv2
    session target ipv4:192.168.80.13 
    voice-class codec 100
    dtmf-relay rtp-nte 
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 121 voip
     description Outgoing dial-peer to PSTN
    

    定义了一个标记为121并给出了有意义的说明,以便于管理和故障排除。 有关更多信息,请参阅拨号对等体语音。

    destination-pattern BAD.BAD

    允许选择拨号对等体121 。 但是,您可以使用 DPG 语句从入站拨号对等体直接调用此传出拨号对等体,从而绕过数字模式匹配条件。 您正在使用基于目标模式 CLI 允许的字母数字数字的任意模式。 有关更多信息,请参阅目标模式(接口)Cisco IOS语音命令参考 - D 至 I

    session protocol sipv2

    指定拨号对等体121处理SIP 呼叫段。 有关更多信息,请参阅会话协议(拨号对等)Cisco IOS语音命令参考 - S 命令

    session target ipv4:192.168.80.13

    指示发送呼叫分支段的目标的目标IPv4 地址。 此处的会话目标是 ITSP 的IP 地址。 有关更多信息,请参阅会话目标(网络语音拨号对等成员)Cisco IOS语音命令参考 - S 命令

    voice-class codec 100.

    指示编解码器首选项列表100用于拨号对等体121 。 有关更多信息,请参阅语音类编解码器

    dtmf-relay rtp-nte

    将 RTP-NTE (RFC2833) 定义为呼叫分支段上预期的 DTMF 功能。 有关更多信息,请参阅DTMF 中继(IP 语音)

    no vad

    禁用语音活动检测。 有关更多信息,请参阅vad(拨号对等机)Cisco IOS语音命令参考 - T 至 Z

  2. 出站拨号对等机向Webex Calling 。 查看其他程序配置基于证书的中继本文中。

3

配置以下拨号对等组 (DPG):

  1. 定义拨号对等体组120 。 出站拨号对等体121的目标是Webex Calling --> LGW --> PSTN。 应用 DPG 120到传入拨号对等体110对于Webex Calling --> LGW --> PSTN路径。

    voice class dpg 120
    description Incoming IP PSTN to Webex Calling
    dial-peer 110 

     

    必须配置 DPG 120到入站拨号对等机从Webex Calling 。 有关更多信息,请参阅程序中的第 9 步配置基于证书的中继本文中。

4

配置以下入站拨号对等方:

  1. 呼入 IP PSTN 呼叫支线的入站拨号对等方:

    dial-peer voice 122 voip
    description Incoming dial-peer from PSTN 
    session protocol sipv2
    destination dpg 100 
    incoming uri via 100 
    voice-class codec 100 
    dtmf-relay rtp-nte
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 122 voip
    description Incoming dial-peer from PSTN

    定义了一个标记为122并给出了有意义的说明,以便于管理和故障排除。 有关更多信息,请参阅拨号对等体语音

    session protocol sipv2

    指定拨号对等体122处理SIP 呼叫段。 请参阅会话协议(拨号对等)Cisco IOS语音命令参考 - S 命令了解更多信息。

    incoming uri via 100

    为带有 IP PSTN 的IP 地址的 VIA 标头定义匹配条件。 匹配具有拨号对等体的本地网关上的所有传入 IP PSTN 呼叫分支122 。 有关更多信息,请参阅传入 urlCisco IOS语音命令参考 - D 至 I

    destination dpg 100

    绕过具有目标 DPG 的本地网关中的经典出站拨号对等机匹配条件100 。 使用目标 DPG 中定义的拨号对等体设置去电分支100 ,即拨号对等体101 , 102 , 103 , 104 。 有关配置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - D 至 I

    no vad

    禁用语音活动检测。 有关更多信息,请参阅vad(拨号对等机)Cisco IOS语音命令参考 - T 至 Z

  2. 呼入 Webex Calling 呼叫支线的入站拨号对等方:

PSTN 至Webex Calling :

将本地网关上的所有传入 IP PSTN 呼叫分支与拨号对等体匹配122为带有 IP PSTN 的IP 地址的 VIA 标头定义匹配条件。 DPG 100调用传出拨号对等体101 , 102 , 103 , 104 ,即Webex Calling服务器作为目标。

Webex Calling到 PSTN:

匹配所有传入的Webex Calling使用拨号对等体的本地网关上的呼叫分支110定义具有本地网关主机名的 REQUEST URI 标头模式的匹配条件,对本地网关部署而言是唯一的。 DPG 120调用传出拨号对等体121 ,将 IP PSTN IP 地址作为目标位置。

此部署需要在本地网关上进行以下配置:

  1. 语音类 URI - 您可以通过以下方式为终止在 LGW 上的各种干线定义主机 IP 地址/端口模式:

    • 用于 PSTN 目标的Unified CM到 LGW

    • Unified CM到 LGW,用于Webex Calling目的地

    • Webex Calling至 LGW 目的地

    • LGW 目标上的 PSTN SIP 干线终止

  2. 语音类服务器-组- 您可以将来自以下位置的出站干线的 IP 地址或端口作为目标:

    • LGW 到Unified CM

    • LGW 至Webex Calling

    • LGW 到 PSTN SIP 干线

  3. 出站拨号对等体- 您可以路由来自以下位置的出站呼叫段:

    • LGW 到Unified CM

    • 互联网电话服务提供商(ITSP) SIP 干线

    • Webex Calling

  4. 语音类 dpg - 您可以将目标定为从入站拨号对等体调用出站拨号对等体。

  5. 入站拨号对等机 -您可以接受来自Unified CM、ITSP 和Webex Calling 。

1

配置以下语音类 URI:

  1. 定义 ITSP 的主机 IP (IP) 地址:

    voice class uri 100 sip
    host ipv4:192.168.80.13
    
  2. 定义模式以唯一标识企业内的本地网关站点。 使用本地网关主机名作为必需的统一资源标识符 (URI) 匹配模式。

    voice class uri 200 sip
    pattern cube.domain.com

     

    本地网关当前不支持下划线“_ " 在匹配模式中。 解决方法,我们使用一个点“.”。 (匹配任意内容)来匹配“_”。

    Received
    INVITE sip:+6531239003@awscube1a.var1-sg.lgwtrunking.com:5061;transport=tls;dtg=awscube1a.var1-sg.lgwtrunking.com SIP/2.0 
  3. 为 Webex Calling 中继定义 Unified CM 信令 VIA 端口:

    voice class uri 300 sip
    pattern :5065
    
  4. 定义 PSTN 干线的Unified CM源信令 IP 和 VIA 端口:

    voice class uri 302 sip
    pattern 192.168.80.60:5060
    
2

配置以下语音类服务器组:

  1. 定义 Unified Unified CM 组1(5 个节点)的Unified CM干线的目标主机IP 地址和端口号。 Unified CM 将端口 5065 用于 Webex Calling 中继上的入站流量 (Webex Calling <-> LGW --> Unified CM)。

    voice class server-group 301
    ipv4 192.168.80.60 port 5065
    
  2. 为 Unified CM 组 2 定义 Unified CM 中继的目标主机 IP 地址和端口号(如果适用):

    voice class server-group 303
    ipv4 192.168.80.60 port 5065
    
  3. 为 Unified CM 组 1(5 个节点)定义 Unified CM 中继的目标主机 IP 地址。 Unified CM 将缺省端口 5060 用于 PSTN 中继上的入站流量。 如果不指定端口号,则使用缺省的 5060 端口。 (PSTN <-> LGW --> Unified CM)

    voice class server-group 305
    ipv4 192.168.80.60
    
  4. 为 Unified CM 组 2 定义 Unified CM 中继的目标主机 IP 地址(如果适用)。

    voice class server-group 307
    ipv4 192.168.80.60
    
3

配置以下出站拨号对等方:

  1. 朝向 IP PSTN 的出站拨号对等方:

    dial-peer voice 121 voip 
    description Outgoing dial-peer to IP PSTN
    destination-pattern BAD.BAD
    session protocol sipv2
    session target ipv4:192.168.80.13
    voice-class codec 100
    dtmf-relay rtp-nte
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 121 voip
    description Outgoing dial-peer to PSTN

    定义了一个标记为121并给出了有意义的说明,以便于管理和故障排除。 有关更多信息,请参阅拨号对等体语音

    destination-pattern BAD.BAD

    允许选择拨号对等体121 。 但是,我们使用 DPG 语句从入站拨号对等体直接调用此传出拨号对等体,并绕过数字模式匹配条件。 我们使用基于目标模式 CLI 允许的字母数字数字的任意模式。 有关更多信息,请参阅目标模式(接口)Cisco IOS语音命令参考 - D 至 I

    这个 session protocol sipv2 部分指定拨号对等体 121处理SIP 呼叫段。 有关更多信息,请参阅会话协议(拨号对等)Cisco IOS语音命令参考 - S 命令

    session target ipv4:192.168.80.13

    提供目标的目标IPv4 地址以发送呼叫分支。 (在本例中为 ITSP 的IP 地址。) 有关更多信息,请参阅会话目标(网络语音拨号对等成员)。Cisco IOS语音命令参考 - S 命令

    voice-class codec 100

    指示编解码器首选项列表100用于拨号对等体121

    有关更多信息,请参阅语音类编解码器

  2. 出站拨号对等机向Webex Calling :

    dial-peer voice 200201 voip
    description Outgoing dial-peer to Webex Calling
    destination-pattern BAD.BAD
    session protocol sipv2
    session target dns:<insert peering1 address from Control Hub>:5062
    session transport tcp tls
    voice-class sip rel1xx disable
    voice-class codec 100  
    voice-class stun-usage 100
    voice-class sip profiles 100
    voice-class sip srtp-crypto 100
    voice-class sip options-keepalive
    voice-class sip bind control source-interface GigabitEthernet 0/0/1
    voice-class sip bind media source-interface GigabitEthernet 0/0/1
    dtmf-relay rtp-nte
    srtp
    !
    
    dial-peer voice 200202 voip
    description Outgoing dial-peer to Webex Calling
    destination-pattern BAD.BAD
    session protocol sipv2
    session target dns:<insert peering2 address from Control Hub>:5062
    session transport tcp tls
    voice-class sip rel1xx disable
    voice-class codec 100  
    voice-class stun-usage 100
    voice-class sip profiles 100
    voice-class sip srtp-crypto 100
    voice-class sip options-keepalive
    voice-class sip bind control source-interface GigabitEthernet 0/0/1
    voice-class sip bind media source-interface GigabitEthernet 0/0/1
    dtmf-relay rtp-nte
    srtp
    !
    
    dial-peer voice 200203 voip
    description Outgoing dial-peer to Webex Calling
    destination-pattern BAD.BAD
    session protocol sipv2
    session target dns:<insert peering3 address from Control Hub>:5062
    session transport tcp tls
    voice-class sip rel1xx disable
    voice-class codec 100  
    voice-class stun-usage 100
    voice-class sip profiles 100
    voice-class sip srtp-crypto 100
    voice-class sip options-keepalive
    voice-class sip bind control source-interface GigabitEthernet 0/0/1
    voice-class sip bind media source-interface GigabitEthernet 0/0/1
    dtmf-relay rtp-nte
    srtp
    !
    
    dial-peer voice 200204 voip
    description Outgoing dial-peer to Webex Calling
    destination-pattern BAD.BAD
    session protocol sipv2
    session target dns:<insert peering4 address from Control Hub>:5062
    session transport tcp tls
    voice-class sip rel1xx disable
    voice-class codec 100  
    voice-class stun-usage 100
    voice-class sip profiles 100
    voice-class sip srtp-crypto 100
    voice-class sip options-keepalive
    voice-class sip bind control source-interface GigabitEthernet 0/0/1
    voice-class sip bind media source-interface GigabitEthernet 0/0/1
    dtmf-relay rtp-nte
    srtp
    !
    

    以下是配置字段的说明:

    dial-peer voice 200201 voip
    description Outgoing dial-peer to Webex Calling

    定义了一个标记为200201、200202、200203、200204并给出了有意义的说明,以便于管理和故障排除。

    voice-class stun-usage 100

    通过协商的媒体路径发送本地生成的眩晕请求。 Stun 打开了防火墙上的针孔。

    srtp

    为呼叫分支段启用 SRTP。

  3. 到 Unified CM 的出站拨号对等体Webex Calling干线:

    dial-peer voice 301 voip
    description Outgoing dial-peer to CUCM-Group-1 for inbound from Webex Calling - Nodes 1 to 5
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 301
    voice-class codec 100
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 301 voip
    description Outgoing dial-peer to CUCM-Group-1 for inbound from Webex Calling – Nodes 1 to 5

    定义了一个标记为301并给出了有意义的说明,以便于管理和故障排除。

    session server-group 301

    定义多个Unified CM节点的会话目标(拨号对等体 301 的服务器组 301 ),尽管该示例仅显示一个节点。

    出站拨号对等机中的服务器组

    通过 DPG 中的多个拨号对等体和拨号对等体服务器组中的多个服务器,在所有Unified CM呼叫处理订阅者上实现呼叫的随机分布,或者基于定义的首选项进行寻线。 每个服务器组可以有最多五台服务器(带有或不带端口的 IPv4/v6)。 对于五个以上的呼叫处理订户,您只能使用第二个拨号对等机和第二个服务器组。

    有关更多信息,请参阅出站拨号对等机中的服务器组Cisco Cisco IOS XE 17.5 之前的Cisco Unified Border Element配置指南

  4. 指向 Unified CM 的第二个出站拨号对等体Webex Calling干线(如果您的Unified CM节点超过 5 个):

    dial-peer voice 303 voip
    description Outgoing dial-peer to CUCM-Group-2 for inbound from Webex Calling - Nodes 6 to 10
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 303
    voice-class codec 100
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    no vad
  5. 朝向 Unified CM 的 PSTN 中继的出站拨号对等方:

    dial-peer voice 305 voip
    description Outgoing dial-peer to CUCM-Group-1 for inbound from PSTN - Nodes 1 to 5
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 305
    voice-class codec 100 
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    no vad
    
  6. 如果您的Unified CM节点超过 5 个,则指向 Unified CM 的 PSTN 干线的第二个出站拨号对等体:

    dial-peer voice 307 voip
    description Outgoing dial-peer to CUCM-Group-2 for inbound from PSTN - Nodes 6 to 10
    destination-pattern BAD.BAD
    session protocol sipv2
    session server-group 307
    voice-class codec 100  
    voice-class sip bind control source-interface GigabitEthernet 0/0/2
    voice-class sip bind media source-interface GigabitEthernet 0/0/2
    dtmf-relay rtp-nte
    no vad
    
4

为向Webex Calling的呼叫配置以下拨号对等组 (DPG):

  1. 定义 DPG 121 。 出站拨号对等体121是任何调用 DPG 的传入拨号对等体的目标121 。 应用 DPG 121到传入拨号对等体302稍后定义Unified CM --> LGW --> PSTN路径:

    voice class dpg 121
    dial-peer 121 preference 1
    
  2. 定义 DPG 100使用出站拨号对等体200201、200202、200203、200204作为目标Unified CM --> LGW --> Webex Calling路径:


     

    确保首选项更改基于所配置的本地网关的位置。 请参阅程序中的第 7 步和第 8 步配置基于证书的中继了解更多信息。

    voice class dpg 100
    dial-peer 200201 preference 1
    dial-peer 200202 preference 1
    dial-peer 200203 preference 1
    dial-peer 200204 preference 1
    
  3. 定义 DPG 300 以用于出站拨号对等方 301 或 303(针对 Webex Calling --> LGW --> Unified CM 路径):

    voice class dpg 300
    dial-peer 301 preference 1
    dial-peer 303 preference 1
    
  4. 定义 DPG 302 以用于出站拨号对等方 305 或 307(针对 PSTN --> LGW --> Unified CM 路径):

    voice class dpg 302
    dial-peer 305 preference 1
    dial-peer 307 preference 1
    
5

配置以下入站拨号对等方:

  1. 呼入 IP PSTN 呼叫支线的入站拨号对等方:

    dial-peer voice 100 voip
    description Incoming dial-peer from PSTN
    session protocol sipv2
    destination dpg 302
    incoming uri via 100
    voice-class codec 100
    dtmf-relay rtp-nte
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 100 voip
    description Incoming dial-peer from PSTN

    定义了一个标记为100并给出了有意义的说明,以便于管理和故障排除。

    session protocol sipv2

    指定拨号对等体100处理SIP 呼叫段。

    incoming uri via 100

    指定语音类 uri 100以匹配从 IP PSTN 到传入 VIA 标头的主机IP 地址上的本地网关的所有传入流量。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 302

    指定拨号对等体组302以选择出站拨号对等成员。 有关配置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z
  2. 呼入 Webex Calling 呼叫支线的入站拨号对等方:

    dial-peer voice 110 voip
    description Incoming dial-peer from Webex Calling  
    session protocol sipv2 
    session transport tcp tls 
    destination dpg 300 
    incoming uri request 120  
    voice-class codec 100 
    voice-class stun-usage 100 
    voice-class sip profiles 100 
    voice-class sip srtp-crypto 100 
    voice-class sip bind control source-interface GigabitEthernet 0/0/1 
    voice-class sip bind media source-interface GigabitEthernet 0/0/1 
    srtp 
    !
     

    以下是配置字段的说明:

    dial-peer voice 110 voip
    description Incoming dial-peer from Webex Calling

    更新标记为 的网络语音拨号对等体110并给出了有意义的说明,以便于管理和故障排除。

    destination dpg 300

    指定拨号对等体组120以选择出站拨号对等成员。 有关配置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

    Voice class srtp-crypto 100

    配置 SRTP呼叫分支(连接)的首选密码套件。 有关更多信息,请参阅语音类 srtp-crypto

    bind control source-interface GigabitEthernet0/0/1

    为信令源接口配置的源IP 地址Webex Calling 。

    有关 bind 命令的更多信息,请参阅绑定

    bind media source-interface GigabitEthernet0/0/1

    配置面向的媒体源接口的源IP 地址Webex Calling 。

  3. 以 Webex Calling 作为目的地的呼入 Unified CM 呼叫支线的入站拨号对等方:

    dial-peer voice 300 voip
    description Incoming dial-peer from CUCM for Webex Calling
    session protocol sipv2
    destination dpg 100
    incoming uri via 300
    voice-class codec 100
    dtmf-relay rtp-nte
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 300 voip
    description Incoming dial-peer from CUCM for Webex Calling

    定义了一个标记为300并给出了有意义的说明,以便于管理和故障排除。 有关更多信息,请参阅拨号对等体语音

    incoming uri via 300

    指定语音类 URI 300到通过源端口 (5065) 从Unified CM到 LGW 的所有传入流量。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 100

    指定拨号对等体组200以选择出站拨号对等成员。 有关配置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z

  4. 以 PSTN 作为目的地的呼入 Unified CM 呼叫支线的入站拨号对等方:

    dial-peer voice 302 voip
    description Incoming dial-peer from CUCM for PSTN
    session protocol sipv2
    destination dpg 100
    incoming uri via 302
    voice-class codec 100
    dtmf-relay rtp-nte
    no vad
    

    以下是配置字段的说明:

    dial-peer voice 302 voip
    description Incoming dial-peer from CUCM for PSTN

    定义了一个标记为302并给出了有意义的说明,以便于管理和故障排除。 有关更多信息,请参阅拨号对等体语音

    incoming uri via 302

    指定语音类 URI 300匹配从Unified CM到 VIA 端口上 PSTN 目标的本地网关的所有传入流量。 您可以将 5060 端口用作标准 SIP 端口。 有关更多信息,请参阅传入 uriCisco IOS语音命令参考 - D 至 I

    destination dpg 100

    指定拨号对等体组100以选择出站拨号对等成员。 有关配置拨号对等组的更多信息,请参阅语音类 dpgCisco IOS语音命令参考 - T 至 Z有关配置拨号对等组的更多信息。

诊断签名 (DS) 可主动检测基于Cisco IOS XE 的本地网关中常见的问题,并生成事件的电子邮件、系统日志或终端消息通知。 也可以安装 DS 自动收集诊断数据,并将收集到的数据转移到 Cisco TAC 案例,从而加快解决时间。

诊断签名 (DS) 是 XML 文件,其中包含有关问题触发事件和操作的信息,以及用于通知、诊断和补救问题的操作。 使用系统日志消息、SNMP 事件并通过对特定 show 命令输出的定期监控来定义问题检测逻辑。 操作类型包括:

  • 收集 show 命令输出

  • 生成整合的日志文件

  • 将文件上传到用户提供的网络位置,例如 HTTPS、SCP、FTP 服务器

TAC 工程师创作 DS 文件并对其进行数字签名以确保完整性。 每个 DS 文件都有系统分配的唯一数字标识。 诊断签名查找工具(DSLT) 是查找适用签名以监控和解决各种问题的单一来源。

准备工作:

  • 请勿编辑从以下位置下载的 DS 文件: DSLT 。 您修改的文件由于完整性检查错误而导致安装失败。

  • 本地网关发送电子邮件通知所需的简单邮件传输协议 (SMTP) 服务器。

  • 如果希望使用安全SMTP 服务器来发送电子邮件通知,请确保本地网关运行 IOS XE 17.6.1 或更高版本。

必要条件

运行 IOS XE 17.6.1 或更高版本的本地网关

  1. 缺省情况下诊断签名处于启用状态。

  2. 配置用于在设备运行 IOS XE 17.6.1 或更高版本时发送主动通知的安全电子邮件服务器。
    
    configure terminal 
    call-home  
    mail-server <username>:<pwd>@<email server> priority 1 secure tls 
    end 
  3. 配置环境变量ds_email与管理员的电子邮件地址向您通知。

    
    configure terminal 
    call-home  
    diagnostic-signature 
    LocalGateway(cfg-call-home-diag-sign)environment ds_email <email address> 
    end 

运行 17.6.1 版本的本地网关

  1. 输入以下命令可启用“诊断签名”。

    configure terminal 
    call-home reporting contact-email-addr sch-smart-licensing@cisco.com  
    end  
  2. 配置电子邮件服务器以在设备运行 17.6.1 之前的版本时发送主动通知。

    configure terminal 
    call-home  
    mail-server  <email server> priority 1 
    end 
  3. 配置环境变量以及您通知的管理员的电子邮件地址ds_email

    
    configure terminal 
    call-home  
    diagnostic-signature 
    LocalGateway(cfg-call-home-diag-sign)environment ds_email <email address> 
    end 

下面是在Cisco IOS XE 17.6.1 上运行的本地网关的配置示例,用于将主动通知发送到tacfaststart@gmail.com使用 Gmail 作为安全SMTP 服务器:


call-home
mail-server tacfaststart:password@smtp.gmail.com priority 1 secure tls
diagnostic-signature
environment ds_email "tacfaststart@gmail.com"

在Cisco IOS XE 软件上运行的本地网关不是典型的支持 OAuth 的基于 Web 的 Gmail 客户端。 要正确处理来自设备的电子邮件,必须配置特定的 Gmail 帐户设置并提供特定权限:

  1. 转至 管理 Google 帐户 > 安全性,然后开启访问安全性较低的应用程序设置。

  2. 当您收到来自 Gmail 的电子邮件,内容为“Google 已阻止他人使用非 Google 应用程序登录您的帐户”时,请回答“是,是我本人”。

安装诊断签名以进行主动监控

监控高 CPU 利用率

此 DS 使用 SNMP OID 1.3.6.1.4.1.9.2.1.56 跟踪 5 秒的 CPU 利用率。 当利用率达到 75% 或更高时,它将禁用所有调试并卸载您在本地网关中安装的所有诊断签名。 请根据以下步骤安装签名。

  1. 确保使用以下命令启用 SNMP显示 snmp 。 如果 SNMP 未启用,则配置“snmp-server manager”命令。

    
    show snmp 
    %SNMP agent not enabled  
    
    config t 
    snmp-server manager 
    end  
    
    show snmp 
    Chassis: ABCDEFGHIGK 
    149655 SNMP packets input 
        0 Bad SNMP version errors 
        1 Unknown community name 
        0 Illegal operation for community name supplied 
        0 Encoding errors 
        37763 Number of requested variables 
        2 Number of altered variables 
        34560 Get-request PDUs 
        138 Get-next PDUs 
        2 Set-request PDUs 
        0 Input queue packet drops (Maximum queue size 1000) 
    158277 SNMP packets output 
        0 Too big errors (Maximum packet size 1500) 
        20 No such name errors 
        0 Bad values errors 
        0 General errors 
        7998 Response PDUs 
        10280 Trap PDUs 
    Packets currently in SNMP process input queue: 0 
    SNMP global trap: enabled 
    
  2. 使用下列诊断签名查找工具中的下拉选项下载 DS 64224:

    copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    “电子邮件通知”的 CPU 占用率过高

  3. 将 DS XML 文件复制到本地网关 flash 中。

    copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash:

    以下示例显示如何将文件从 FTP 服务器复制到本地网关。

    copy ftp://user:pwd@192.0.2.12/DS_64224.xml bootflash: 
    Accessing ftp://*:*@ 192.0.2.12/DS_64224.xml...! 
    [OK - 3571/4096 bytes] 
    3571 bytes copied in 0.064 secs (55797 bytes/sec) 
    
  4. 在本地网关中安装 DS XML 文件。

    
    call-home diagnostic-signature load DS_64224.xml 
    Load file DS_64224.xml success  
  5. 使用显示 call-home 诊断签名命令以验证是否已成功安装签名。 状态列的值必须为“已注册”。

    
    show call-home diagnostic-signature  
    Current diagnostic-signature settings: 
     Diagnostic-signature: enabled 
     Profile: CiscoTAC-1 (status: ACTIVE) 
     Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
     Environment variable: 
               ds_email: username@gmail.com 

    Download DSes:

    DS ID

    DS Name

    Revision

    状态

    Last Update (GMT+00:00)

    64224

    DS_LGW_CPU_MON75

    0.0.10

    已注册

    2020-11-07 22:05:33


    触发后,此签名将卸载包括本身在内的所有正在运行的 DS。 如有必要,请重新安装 DS 64224 以继续监控本地网关上的高 CPU 利用率。

监控异常呼叫断开

该 DS 每 10 分钟使用一次 SNMP 轮询,检测 SIP 错误代码为 403、488 和 503 的异常呼叫断开连接。  如果自上次投票以来,错误计数增量大于或等于 5,它将生成系统日志和电子邮件通知。 请根据以下步骤安装签名。

  1. 确保使用以下命令启用 SNMP显示 snmp 。 如果 SNMP 未启用,请配置“snmp-server manager”命令。

    show snmp 
    %SNMP agent not enabled  
    
    config t 
    snmp-server manager 
    end  
    
    show snmp 
    Chassis: ABCDEFGHIGK 
    149655 SNMP packets input 
        0 Bad SNMP version errors 
        1 Unknown community name 
        0 Illegal operation for community name supplied 
        0 Encoding errors 
        37763 Number of requested variables 
        2 Number of altered variables 
        34560 Get-request PDUs 
        138 Get-next PDUs 
        2 Set-request PDUs 
        0 Input queue packet drops (Maximum queue size 1000) 
    158277 SNMP packets output 
        0 Too big errors (Maximum packet size 1500) 
        20 No such name errors 
        0 Bad values errors 
        0 General errors 
        7998 Response PDUs 
        10280 Trap PDUs 
    Packets currently in SNMP process input queue: 0 
    SNMP global trap: enabled 
  2. 使用诊断签名查找工具中的下列选项下载 DS 65221:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    使用电子邮件和系统日志通知检测 SIP 异常呼叫断开连接。

  3. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@<server name or ip>/DS_65221.xml bootflash:
  4. 在本地网关中安装 DS XML 文件。

    
    call-home diagnostic-signature load DS_65221.xml 
    Load file DS_65221.xml success 
  5. 使用命令显示 call-home 诊断签名以验证是否已成功安装签名。 状态栏中应该存在“已注册”值。

安装诊断签名以解决问题

您还可以使用诊断签名 (DS) 来快速解决问题。 Cisco TAC工程师创作了多个签名,可启用对给定问题进行故障诊断、检测问题发生、收集正确的诊断数据并将数据自动传输到Cisco TAC案例所需的必要调试。 无需手动检查问题发生次数,并可轻松对间歇性和暂时性问题进行故障诊断。

您可以使用诊断签名查找工具以查找适用的签名并安装它们以自行解决给定的问题,或者您可以安装 TAC 工程师推荐的签名,作为支持服务的一部分。

以下示例说明了如何查找和安装 DS 以检测是否存在“%VOICE_IEC-3-GW: CCAPI: Internal Error (call spike threshold): IEC=1.1.181.1.29.0" 系统日志,并使用以下步骤自动收集诊断数据:

  1. 配置其他 DS 环境变量ds_fsurl_prefix作为Cisco TAC文件服务器路径 (cxd.cisco.com),以上传诊断数据。 文件路径中的用户名是案例编号,密码是文件上传令牌,可从支持案例管理器如下所示。 文件上传令牌可以在附件根据需要,在 Support Case Manager 中添加。

    
    configure terminal 
    call-home  
    diagnostic-signature 
    LocalGateway(cfg-call-home-diag-sign)environment ds_fsurl_prefix "scp://<case number>:<file upload token>@cxd.cisco.com"  
    end 

    例如:

    
    call-home  
    diagnostic-signature 
    environment ds_fsurl_prefix " environment ds_fsurl_prefix "scp://612345678:abcdefghijklmnop@cxd.cisco.com"  
  2. 确保使用以下命令启用 SNMP显示 snmp 。 如果 SNMP 未启用,请配置“snmp-server manager”命令。

    
    show snmp 
    %SNMP agent not enabled 
     
    config t 
    snmp-server manager 
    end 
  3. 我们建议安装高 CPU 监控 DS 64224 作为主动措施,在 CPU 利用率高时禁用所有调试和诊断签名。 使用诊断签名查找工具中的下列选项下载 DS 64224:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    带有电子邮件通知的高 CPU 利用率。

  4. 使用诊断签名查找工具中的下列选项下载 DS 65095:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    系统日志

    问题类型

    系统日志 - %VOICE_IEC-3-GW: CCAPI: Internal Error (Call spike threshold): IEC=1.1.181.1.29.0

  5. 将 DS XML 文件复制到本地网关。

    
    copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash: 
    copy ftp://username:password@<server name or ip>/DS_65095.xml bootflash: 
  6. 安装 DS 64224 以监控 CPU 占用率是否过高,然后在本地网关中安装 DS 65095 XML 文件。

    
    call-home diagnostic-signature load DS_64224.xml 
    Load file DS_64224.xml success 
    call-home diagnostic-signature load DS_65095.xml 
    Load file DS_65095.xml success 
    
  7. 验证已使用 show call-home diagnostic-signature 成功安装签名。 状态栏中应该存在“已注册”值。

    
    show call-home diagnostic-signature  
    Current diagnostic-signature settings: 
     Diagnostic-signature: enabled 
     Profile: CiscoTAC-1 (status: ACTIVE) 
     Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
     Environment variable: 
               ds_email: username@gmail.com 
               ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com 

    Downloaded DSes:

    DS ID

    DS Name

    Revision

    状态

    Last Update (GMT+00:00)

    64224

    0:07:45

    DS_LGW_CPU_MON75

    0.0.10

    已注册

    2020-11-08:00:07:45

    65095

    0:12:53

    DS_LGW_IEC_Call_spike_threshold

    0.0.12

    已注册

    2020-11-08:0:12:53

验证诊断签名执行

在以下命令中,将命令的“状态”列显示 call-home 诊断签名更改为“正在运行”,同时本地网关执行签名中定义的操作。 的输出显示 call-home 诊断签名统计信息是验证诊断签名是否检测到相关事件并执行操作的最佳方式。 “已触发/最大/卸载”列指示给定签名触发事件的次数、为检测事件而定义的最大数量以及签名在检测到最大数量的触发事件后是否自行卸载。

show call-home diagnostic-signature  
Current diagnostic-signature settings: 
 Diagnostic-signature: enabled 
 Profile: CiscoTAC-1 (status: ACTIVE) 
 Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
 Environment variable: 
           ds_email: carunach@cisco.com 
           ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com 

Downloaded DSes:

DS ID

DS Name

Revision

状态

Last Update (GMT+00:00)

64224

DS_LGW_CPU_MON75

0.0.10

已注册

2020/11/8 0:07:45

65095

DS_LGW_IEC_Call_spike_threshold

0.0.12

正在运行

2020/11/8 0:12:53

显示 call-home 诊断签名统计信息

DS ID

DS Name

Triggered/Max/Deinstall

Average Run Time (seconds)

Max Run Time (seconds)

64224

DS_LGW_CPU_MON75

0/0/N

0.000

0.000

65095

DS_LGW_IEC_Call_spike_threshold

1/20/Y

23.053

23.053

在诊断签名执行期间发送的通知电子邮件包含与解决给定问题相关的关键信息,例如问题类型、设备详细信息、软件版本、运行配置和 show 命令输出。

卸载诊断签名

使用诊断签名进行故障诊断,通常定义为在检测到某些问题发生后进行卸载。 如果希望手动卸载签名,请从显示 call-home 诊断签名并运行以下命令:

call-home diagnostic-signature deinstall <DS ID> 

例如:

call-home diagnostic-signature deinstall 64224 

基于在部署中观察到的问题,系统会定期将新签名添加到诊断签名查找工具中。 TAC 当前不支持新建自定义签名的请求。