概述

Webex Calling 当前支持两个版本的本地网关:

  • 本地网关

  • Webex 政府版本地网关

关键考虑因素

  • 在开始之前,请了解 Webex Calling 的基于场所的公共交换电话网络 (PSTN) 和本地网关 (LGW) 要求。请参阅 Cisco 首选架构Webex Calling 获取更多信息。

  • 本文假设已设置专用的本地网关平台,不存在语音配置。如果您修改现有的 PSTN 网关或 CUBE Enterprise 部署以用作 Webex Calling 的本地网关功能,请仔细注意配置。确保您所做的更改不会中断现有的呼叫流程和功能。

这些过程包含命令参考文档的链接,您可以在其中了解有关各个命令选项的更多信息。除非另有说明,所有命令参考链接均转至 Webex 托管网关命令参考 (在这种情况下,命令链接转至 Cisco IOS 语音命令参考)。您可以在 Cisco Unified Border Element 命令参考中访问所有这些指南。

有关受支持的第三方 SBC 的信息,请参阅相应的产品参考文档。

配置本地网关

有两个选项来为中继配置本地网关Webex Calling 网关:

  • 基于注册的中继

  • 基于证书的中继

使用 基于注册的本地网关基于证书的本地网关 下的任务流为您的 Webex Calling 中继配置本地网关。

有关不同中继类型的更多信息,请参阅 开始使用本地网关 。使用命令行界面 (CLI) 在本地网关本身上执行以下步骤。我们使用会话发起协议 (SIP) 和传输层安全性 (TLS) 传输来保护中继线,并使用安全实时协议 (SRTP) 来保护本地网关和 Webex Calling 之间的媒体。

关键考虑因素

Webex 政府版本地网关不支持以下内容:

  • STUN/ICE-Lite 用于媒体路径优化

  • 传真(T.38)

为 Webex for Government 配置本地网关

要在 Webex for Government 中为 Webex Calling 中继配置本地网关,请使用以下选项:

  • 基于证书的中继

使用 基于证书的本地网关 下的任务流为您的 Webex Calling 中继配置本地网关。有关如何配置基于证书的本地网关的更多详细信息,请参阅 配置基于证书的 Webex Calling 中继

必须配置符合 FIPS 标准的 GCM 密码才能支持 Webex for Government 的本地网关。如果不是,则呼叫建立失败。有关配置详细信息,请参阅 配置基于证书的 Webex Calling 中继

Webex for Government 不支持基于注册的本地网关。

设计概述

本节介绍如何使用注册 SIP 中继将 Cisco Unified Border Element (CUBE) 配置为 Webex Calling 的本地网关。本文档的第一部分说明如何配置简单的 PSTN 网关。在这种情况下,来自 PSTN 的所有呼叫都会路由到 Webex Calling,并且来自 Webex Calling 的所有呼叫都会路由到 PSTN。下图突出显示了此解决方案以及将遵循的高级呼叫路由配置。

在本设计中,采用了以下主要配置:

  • 语音类租户: 用于创建中继特定的配置。

  • 语音类 uri: 用于对 SIP 消息进行分类,以选择入站拨号对等体。

  • 入站拨号对等体: 处理入站 SIP 消息并使用拨号对等组确定出站路由。

  • 拨号对等组: 定义用于前向呼叫路由的出站拨号对等体。

  • 出站拨号对等体: 处理出站 SIP 消息并将其路由到所需目标。

呼叫路由 from/to 公共交换电话网 to/from Webex Calling 配置解决方案

虽然 IP 和 SIP 已成为 PSTN 中继的默认协议,但 TDM(时分复用)ISDN 电路仍被广泛使用,并受 Webex Calling 中继支持。为了实现具有 TDM-IP 呼叫流的本地网关的 IP 路径媒体优化,目前需要使用双程呼叫路由流程。此方法通过在 Webex Calling 和 PSTN 中继之间引入一组内部环回拨号对等体来修改上面显示的呼叫路由配置,如下图所示。

Webex Calling 和 PSTN 中继之间的一组内部环回拨号对等体的呼叫路由配置

将本地 Cisco Unified Communications Manager 解决方案与 Webex Calling 连接时,您可以使用简单的 PSTN 网关配置作为构建下图所示解决方案的基准。在这种情况下,统一通信管理器提供所有 PSTN 和 Webex Calling 呼叫的集中路由和处理。

解决方案图显示 Unified Communications Manager 提供所有 PSTN 和 Webex Calling 呼叫的集中路由和处理

在本文档中,使用下图所示的主机名、IP 地址和接口。

呼叫路由配置解决方案中使用的主机名、IP 地址和接口

使用本文档其余部分中的配置指南完成本地网关配置,如下所示:

  • 步骤 1:配置路由器基线连接和安全性

  • 步骤 2:配置 Webex Calling 中继

    根据您所需的体系结构,请遵循以下任一操作:

  • 步骤 3:使用 SIP PSTN 中继配置本地网关

  • 步骤 4:配置具有现有 Unified CM 环境的本地网关

    或:

  • 步骤 3:使用 TDM PSTN 中继配置本地网关

配置连接和安全性

基线配置

将您的 Cisco 路由器准备为 Webex Calling 的本地网关的第一步是构建一个保护您的平台并建立连接的基准配置。

  • 所有基于注册的本地网关部署都需要 Cisco IOS XE 17.6.1a 或更高版本。建议使用 Cisco IOS 17.12.2 或更高版本。有关推荐的版本,请参阅 Cisco Software Research 页面。搜索平台并选择 建议的 版本之一。

    • ISR4000系列路由器必须配置统一通信和安全技术许可证。

    • 配备语音卡或 DSP 的 Catalyst Edge 8000 系列路由器需要 DNA Advantage 许可。没有语音卡或 DSP 的路由器至少需要 DNA Essentials 许可。

  • 为您的平台构建符合您的业务政策的基线配置。特别是配置并验证以下内容:

    • NTP

    • Acl

    • 用户身份验证和远程访问

    • DNS

    • IP 路由

    • IP 地址

  • 通往 Webex Calling 的网络必须使用 IPv4 地址。

  • 将 Cisco 根 CA 捆绑包上传到本地网关。

配置

1

确保为任何第 3 层接口分配有效且可路由的 IP 地址,例如:


interface GigabitEthernet0/0/0
  description Interface facing PSTN and/or CUCM
  ip address 10.80.13.12 255.255.255.0
!
interface GigabitEthernet0/0/1
  description Interface facing Webex Calling (Private address)
  ip address 192.51.100.1 255.255.255.240

2

使用对称加密保护路由器上的注册和 STUN 凭证。配置主加密密钥和加密类型如下:


key config-key password-encrypt YourPassword
password encryption aes

3

创建占位符 PKI 信任点。

需要此信任点稍后配置 TLS。对于基于注册的中继,此信任点不需要证书 - 而基于证书的中继则需要证书。


crypto pki trustpoint EmptyTP 
 revocation-check none
4

使用以下配置命令启用 TLS1.2 排他性并指定默认信任点。更新传输参数以确保注册的可靠安全连接:

如果在租户 200 中配置的主机名包含在从出站代理接收的证书的 CN 或 SAN 字段中,则 cn-san-validate server 命令可确保本地网关允许连接。

  1. tcp-retry count 设置为 1000(5 毫秒的倍数 = 5秒)。

  2. timer connection established 命令允许您调整 LGW 在考虑下一个可用选项之前等待与代理建立连接的时间。此计时器的默认值为 20 秒,最短时间为 5 秒。从较低的值开始,然后根据需要增加以适应网络条件。


sip-ua
 timers connection establish tls 5
 transport tcp tls v1.2
 crypto signaling default trustpoint EmptyTP cn-san-validate server
 tcp-retry 1000

5

安装 Cisco 根 CA 捆绑包,其中包括 Webex Calling 使用的 IdenTrust Commercial Root CA1 证书。使用 crypto pki trustpool import clean url 命令从指定的 URL 下载根 CA 包,并清除当前 CA 信任池,然后安装新的证书包:

如果您需要使用代理通过 HTTPS 访问互联网,请在导入 CA 包之前添加以下配置:

ip http 客户端代理服务器 yourproxy.com 代理端口 80

ip http client source-interface GigabitEthernet0/0/1 
crypto pki trustpool import clean url https://www.cisco.com/security/pki/trs/ios_core.p7b
配置基于 Webex Calling 注册的中继
1

为控制中心中的现有位置创建基于注册的 PSTN 中继线。记下创建中继后提供的中继信息。图中突出显示的详细信息用于本指南的配置步骤。有关更多信息,请参阅 为 Webex Calling 配置中继线、路由组和拨号计划

PSTN 中继已注册
2

输入以下命令将 CUBE 配置为 Webex Calling 本地网关:

 
voice service voip
 ip address trusted list
  ipv4 x.x.x.x y.y.y.y
 mode border-element
 media statistics
 media bulk-stats 
 allow-connections sip to sip
 no supplementary-service sip refer  
 stun
  stun flowdata agent-id 1 boot-count 4
  stun flowdata shared-secret 0 Password123$
 sip
  asymmetric payload full
  early-offer forced

以下是配置字段的说明:


ip address trusted list
 ipv4 x.x.x.x y.y.y.y

  • 为了防止电话诈骗,可信地址列表定义了本地网关期望合法 VoIP 呼叫的主机和网络列表。

  • 默认情况下,本地网关会阻止来自不在其信任列表中的 IP 地址的所有传入 VoIP 消息。默认情况下,具有“会话目标 IP”或服务器组 IP 地址的静态配置的拨号对等体是受信任的。不需要将这些 IP 地址添加到受信任列表。

  • 配置本地网关时,将区域 Webex Calling 数据中心的 IP 子网添加到列表中。有关更多信息,请参阅 Webex Calling 的端口参考信息。另外,添加统一通信管理器服务器(如果使用)和 PSTN 中继网关的地址范围。

    如果您的 LGW 位于具有受限锥形 NAT 的防火墙后面,您可能希望在面向 Webex Calling 的界面上禁用 IP 地址受信任列表。防火墙已保护您免受未经请求的入站网络语音。禁用操作会降低您的长期 配置开销,因为我们无法保证 Webex Calling 同伴的地址保持不变,并且您在任何情况下都必须为这些同事配置防火墙。

模式边框元素

在平台上启用 Cisco Unified Border Element (CUBE) 功能。

媒体统计

在本地网关上启用媒体监控。

媒体批量统计

允许控制飞机对数据飞机进行投票,从而批量呼叫统计信息。

有关这些命令的更多信息,请参阅 Media

allow-connections sip to sip

启用 CUBE 基本 SIP 背靠背用户代理功能。有关更多信息,请参阅 允许连接

默认情况下,启用 T.38 传真传输。有关详细信息,请参阅 fax protocol t38 (voice-service)

击晕

全局启用 STUN(通过 NAT 的 UDP 会话遍历)。

  • 本地网关上的 STUN 绑定功能允许通过协商的媒体路径发送本地生成的 STUN 请求。这有助于打开防火墙上的针孔。

有关更多信息,请参阅 stun flowdata agent-idstun flowdata shared-secret

非对称有效载荷已满

为 DTMF 和动态编解码器有效载荷配置 SIP 非对称有效载荷支持。有关详细信息,请参阅 非对称有效载荷

early-offer forced

强制本地网关在初始 INVITE 消息中发送 SDP 信息,而不是等待邻近对等方的确认。有关此命令的更多信息,请参阅 early-offer

3

配置 语音类编解码器100 仅允许所有中继线使用G.711编解码器。这种简单的方法适合大多数部署。如果需要,可以将发起系统和终止系统支持的其他编解码器类型添加到列表中。

本指南支持涉及使用 DSP 模块进行 转码 的更复杂的解决方案,但不包括在本指南中。 


voice class codec 100
 codec preference 1 g711ulaw
 codec preference 2 g711alaw

以下是配置字段的说明:

语音类编解码器 100

用于仅允许 SIP 中继呼叫的首选编解码器。有关详细信息,请参阅 语音类编解码器

4

配置 voice class stun-usage 100 以在 Webex Calling 中继上启用 ICE。


voice class stun-usage 100 
 stun usage firewall-traversal flowdata
 stun usage ice lite

以下是配置字段的说明:

冰精简版使用眩晕

用于为所有面向 Webex Calling 的拨号对等方启用 ICE-Lite,以尽可能进行媒体优化。有关更多信息,请参阅 voice class stun usagestun usage ice lite

只要有可能,就会协商媒体优化。如果通话需要云媒体服务(例如录音),则无法优化媒体。

5

为 Webex 流量配置媒体加密策略。


voice class srtp-crypto 100
 crypto 1 AES_CM_128_HMAC_SHA1_80

以下是配置字段的说明:

语音类 srtp-crypto 100

指定 SHA1_80 作为提供和答复消息中的 SDP 中 SRTP 密码套件 CUBE 提供的唯一信息。Webex Calling 仅支持 SHA1_80。有关更多信息,请参阅 voice class srtp-crypto

6

配置一种模式,根据目标中继参数识别对本地网关中继的呼叫: 


voice class uri 100 sip
 pattern dtg=dallas1463285401_lgu

以下是配置字段的说明:

语音类 uri 100 sip

定义一个模式来将传入的 SIP 邀请与传入的中继拨号对等体进行匹配。输入此模式时,请使用 dtg=,后跟 Trunk OTG/DTG 创建中继时控制中心提供的值。有关详细信息,请参阅 voice class uri

7

配置 sip profile 100,它将用于在 SIP 消息发送到 Webex Calling 之前对其进行修改。


voice class sip-profiles 100
 rule 10 request ANY sip-header SIP-Req-URI modify "sips:" "sip:"
 rule 20 request ANY sip-header To modify "" "" 
 rule 50 response ANY sip-header To modify "" ";otg=dallas1463285401_lgu>"
 rule 90 request ANY sip-header P-Asserted-Identity modify "sips:" "sip:"

以下是配置字段的说明:

  • 规则 10 至 70 和 90

    确保用于呼叫信令的 SIP 标头使用 SIP,而不是 Webex 代理所需的 SIPs 方案。配置 CUBE 以使用 SIP 可确保使用安全注册。

  • 规则80

    修改 From 标头以包含中继组 OTG/DTG 来自控制中心的标识符,用于唯一标识企业内的本地网关站点。

美国或加拿大的 PSTN 提供商可以提供垃圾电话和欺诈电话的来电显示验证,并在 Webex Calling 中的垃圾电话或欺诈电话指示 文章中提到了附加配置。

8

配置 Webex Calling 中继:

  1. 创建 语音类租户 100 来定义和分组 Webex Calling 中继所需的配置。具体来说,之前在 Control Hub 中提供的中继注册详细信息将在此步骤中使用,如下所述。与此租户关联的拨号对等体稍后将继承这些配置。

    为了本指南的目的,以下示例使用了步骤 1 中所示的值(以粗体显示)。将这些替换为您的配置中的中继的值。

    
voice class tenant 100
  registrar dns:98027369.us10.bcld.webex.com scheme sips expires 240 refresh-ratio 50 tcp tls
  credentials number Dallas1171197921_LGU username Dallas1463285401_LGU password 0 9Wt[M6ifY+ realm BroadWorks
  authentication username Dallas1463285401_LGU password 0 9Wt[M6ifY+ realm BroadWorks
  authentication username Dallas1463285401_LGU password 0 9Wt[M6ifY+ realm 98027369.us10.bcld.webex.com
  no remote-party-id
  sip-server dns:98027369.us10.bcld.webex.com
  connection-reuse
  srtp-crypto 100
  session transport tcp tls 
  no session refresh
  url sips 
  error-passthru
  rel1xx disable
  asserted-id pai 
  bind control source-interface GigabitEthernet0/0/1
  bind media source-interface GigabitEthernet0/0/1
  no pass-thru content custom-sdp 
  sip-profiles 100 
  outbound-proxy dns:dfw04.sipconnect-us.bcld.webex.com  
  privacy-policy passthru

    以下是配置字段的说明:

    语音类租户 100

    定义一组仅用于 Webex Calling 中继的配置参数。有关详细信息,请参阅 voice class tenant

    注册商 dns:98027369.us10.bcld.webex.com 方案 SIPS 过期时间 240 刷新率 50 tcp tls

    注册设置为每隔两分钟刷新一次(240 秒的 50%)的本地网关的 Registrar 服务器。有关详细信息,请参阅 注册商

    确保您在此处使用来自控制中心的注册域值。

    凭证编号 Dallas1171197921_LGU 用户名 Dallas1463285401_LGU 密码 0 9Wt[M6ifY+ 领域 BroadWorks

    用于中继注册验证的凭证。有关更多信息,请参阅 凭证(SIP UA)

    确保使用 Line/Port 主机、身份验证用户名和身份验证密码值分别来自此处的控制中心。

    身份验证用户名 Dallas1171197921_LGU 密码 0 9Wt[M6ifY+ 领域 BroadWorks
    身份验证用户名 Dallas1171197921_LGU 密码 0 9Wt[M6ifY+ 领域 98027369.us10.bcld.webex.com

    呼叫的验证质询。有关更多信息,请参阅 authentication (dial-peer)

    确保您在此处分别使用来自控制中心的身份验证用户名、身份验证密码和注册商域值。

    no remote-party-id

    禁用 SIP Remote-Party-ID (RPID) 标头,因为 Webex Calling 支持 PAI,它是使用 asserted-id pai启用的。有关更多信息,请参阅 remote-party-id

    sip服务器dns: us25.sipconnect.bcld.webex.com

    配置中继的目标 SIP 服务器。使用创建中继时控制中心提供的 Edge 代理 SRV 地址。

    connection-reuse

    使用相同的永久连接进行注册和呼叫处理。有关更多信息,请参阅 connection-reuse

    srtp-加密 100

    配置 SRTP 呼叫线路(连接)的首选密码套件(在步骤5). 有关详细信息,请参阅 voice class srtp-crypto.

    session transport tcp tls

    将传输设置为 TLS。有关更多信息,请参阅 session-transport

    无会话刷新

    禁用 CUBE 和 Webex 之间的通话的 SIP 会话刷新。有关详细信息,请参阅 会话刷新

    url sips

    SRV查询必须是访问 SBC 支持的 SIP;所有其他消息都由 sip-profile 200 更改为 SIP。

    error-passthru

    指定 SIP 错误响应传递功能。有关详细信息,请参阅 error-passthru

    rel1xx 禁用

    禁用 Webex Calling 中继的可靠临时响应。有关更多信息,请参阅 rel1xx

    asserted-id pai

    (可选)打开 P-Asserted-Identity 标头处理并控制如何将其用于 Webex Calling 中继。

    Webex Calling 在发往本地网关的出站呼叫 INVITE 中包含 P-Asserted-Identity (PAI) 标头。

    如果配置了此命令,则 PAI 标头中的呼叫者信息将用于填充传出的 From 和 PAI/Remote-Party-ID 标头。

    如果未配置此命令,则使用来自 From 标头的呼叫者信息来填充传出的 From 和 PAI/Remote-Party-ID 标头。

    有关更多信息,请参阅 asserted-id

    绑定控制源接口 GigabitEthernet0/0/1

    配置发送到 Webex Calling 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    绑定媒体源接口 GigabitEthernet0/0/1

    配置发送到 WebexCalling 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    no pass-thru content custom-sdp

    租户下的缺省命令。有关此命令的更多信息,请参阅 pass-thru content

    sip 配置文件 100

    将 SIP 更改为 SIP 并修改 Line/Port 对于 sip-profiles 100中定义的 INVITE 和 REGISTER 消息。有关详细信息,请参阅 voice class sip-profiles

    出站代理 dns:dfw04.sipconnect-us.bcld.webex.com

    Webex Calling访问 SBC。插入创建中继时控制中心提供的出站代理地址。有关更多信息,请参阅 outbound-proxy

    privacy-policy passthru

    配置中继的隐私标头策略选项,以将收到的消息中的隐私值传递到下一个呼叫支路。有关详细信息,请参阅 隐私政策

  2. 配置 Webex Calling 中继拨号对等体。 

    
dial-peer voice 100 voip
 description Inbound/Outbound Webex Calling
 max-conn 250
 destination-pattern BAD.BAD
 session protocol sipv2
 session target sip-server
 incoming uri request 100
 voice-class codec 100
 dtmf-relay rtp-nte
 voice-class stun-usage 100
 no voice-class sip localhost
 voice-class sip tenant 100
 srtp
 no vad

    以下是配置字段的说明:

    
dial-peer voice 100 voip
  description Inbound/Outbound Webex Calling

    定义网络语音 100 标记的拨号对等项,并提供了有意义的描述,用于简化管理和故障诊断。

    最大连接数 250

    限制 LGW 和 Webex Calling 之间并发入站和出站呼叫的数量。对于注册中继,配置的最大值应为 250。如果这对您的部署更合适,则用户可以使用较低的值。有关本地网关并发呼叫限制的更多信息,请参阅 本地网关入门 文档。

    目标模式 BAD.BAD

    使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。有关更多信息,请参阅 目标模式(接口)

    session protocol sipv2

    指定拨号对等 100 处理 SIP 呼叫段。有关更多信息,请参阅 会话协议(拨号对等体)

    session target sip-server

    表示租户 100 中定义的 SIP 服务器被继承并用于来自此拨号对等体的呼叫的目的地。有关更多信息,请参阅 session target (voip dial peer)

    传入 uri 请求 100

    指定用于将 VoIP 拨号对等体与来电的统一资源标识符 (URI) 进行匹配的语音类别。有关详细信息,请参阅 传入 uri

    语音类编解码器 100

    配置拨号对等体使用通用编解码器过滤器列表 100。有关详细信息,请参阅 voice-class codec

    voice-class stun-usage 100

    允许本地网关上本地生成的 STUN 请求通过协商的媒体路径发送。STUN 有助于为媒体流量打开防火墙针孔。有关更多信息,请参阅 voice-class stun-usage

    no voice-class sip localhost

    禁用在传出消息的“来自”、“呼叫-ID”和“远程方-ID”标头中代替 DNS 本地主机名。

    语音类 SIP 租户 100

    拨号对等体继承了全局和租户 100 中配置的所有参数。参数可能会在拨号对等体级别被覆盖。

    srtp

    为呼叫段启用 SRTP。

    no vad

    禁用语音活动检测。

定义租户 100 并配置 SIP VoIP 拨号对等体后,网关将启动与 Webex Calling 的 TLS 连接。此时,访问 SBC 向本地网关出示其证书。本地网关使用之前更新的 CA 根包验证 Webex Calling 访问 SBC 证书。如果证书被识别,则会在本地网关和 Webex Calling 访问 SBC 之间建立持久 TLS 会话。然后,本地网关可以使用此安全连接向 Webex 访问 SBC 注册。当注册受到身份验证挑战时:

  • 响应中使用 credentials 配置中的 usernamepasswordrealm 参数。

  • sip profile 100中的修改规则用于将SIPS URL转换回SIP。

当从访问 SBC 收到 200 OK 时,注册成功。

Webex Calling 与本地网关的身份验证和注册流程图

使用 SIP PSTN 中继配置本地网关

构建了面向上述 Webex Calling 的中继后,使用以下配置创建面向基于 SIP 的 PSTN 提供商的非加密中继:

如果您的服务提供商提供安全的 PSTN 中继,您可以按照上面详述的 Webex Calling 中继的类似配置进行操作。CUBE 支持安全呼叫路由。

如果您使用 TDM / ISDN PSTN 中继,跳至下一部分 使用 TDM PSTN 中继配置本地网关

要在 Cisco TDM-SIP 网关上为 PSTN 呼叫支线配置 TDM 接口,请参阅 配置 ISDN PRI

1

配置以下语音类 uri 来识别来自 PSTN 中继的入站呼叫:


voice class uri 200 sip
  host ipv4:192.168.80.13

以下是配置字段的说明:

语音类 uri 200 sip

定义一个模式来将传入的 SIP 邀请与传入的中继拨号对等体进行匹配。输入此模式时,请使用您的 IP PSTN 网关的 IP 地址。有关详细信息,请参阅 voice class uri

2

配置以下 IP PSTN 拨号对等体:


dial-peer voice 200 voip
 description Inbound/Outbound IP PSTN trunk
 destination-pattern BAD.BAD
 session protocol sipv2
 session target ipv4:192.168.80.13
 incoming uri via 200
 voice-class sip asserted-id pai
 voice-class sip bind control source-interface GigabitEthernet0/0/0 
 voice-class sip bind media source-interface  GigabitEthernet0/0/0 
 voice-class codec 100
 dtmf-relay rtp-nte 
 no vad

以下是配置字段的说明:


dial-peer voice 200 voip
 description Inbound/Outbound IP PSTN trunk

定义一个带有标签 200 的 VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。有关详细信息,请参阅 dial-peer voice。

目标模式 BAD.BAD

使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。有关更多信息,请参阅 目标模式(接口)

session protocol sipv2

指定此拨号对等体处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

会话目标 ipv4: 192.168.80.13

指定发送到 PSTN 提供商的呼叫的目标地址。这可以是 IP 地址或 DNS 主机名。有关更多信息,请参阅 会话目标(VoIP 拨号对等体)

传入 uri 通过 200

指定用于使用 INVITE VIA 标头 URI 来匹配此拨号对等体的来电的语音类。有关详细信息,请参阅 传入 URL

语音类 SIP 断言 ID PAI

(可选)打开 P-Asserted-Identity 标头处理并控制如何将其用于 PSTN 中继。如果使用此命令,则从传入拨号对等体提供的呼叫方身份将用于传出的 From 和 P-Asserted-Identity 标头。如果不使用此命令,则从传入拨号对等体提供的呼叫方身份将用于传出的 From 和 Remote-Party-ID 标头。有关详细信息,请参阅 voice-class sip asserted-id

绑定控制源接口 GigabitEthernet0/0/0

配置发送到 PSTN 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

绑定媒体源接口 GigabitEthernet0/0/0

配置发送到 PSTN 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

语音类编解码器 100

配置拨号对等体以使用通用编解码器过滤器列表 100。有关详细信息,请参阅 voice-class codec

dtmf-relay rtp-nte

将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

no vad

禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

3

如果您将本地网关配置为仅在 Webex Calling 和 PSTN 之间路由呼叫,请添加以下呼叫路由配置。如果您使用统一通信管理器平台配置本地网关,请跳至下一部分。

  1. 创建拨号对等组以将呼叫路由至 Webex Calling 或 PSTN。定义 DPG 100,其出站拨号对等体为 100,指向 Webex Calling。DPG 100 适用于来自 PSTN 的呼入拨号对等体。类似地,定义 DPG 200,其出站拨号对等体为 200,指向 PSTN。DPG 200 适用于来自 Webex 的呼入拨号对等体。

    
voice class dpg 100 
 description Route calls to Webex Calling 
 dial-peer 100 
voice class dpg 200 
 description Route calls to PSTN 
 dial-peer 200

    以下是配置字段的说明:

    拨号对等体 100

    将出站拨号对等体与拨号对等体组关联。有关更多信息,请参阅 voice-class dpg

  2. 应用拨号对等组将呼叫从 Webex 路由到 PSTN,以及从 PSTN 路由到 Webex: 

    
dial-peer voice 100
 destination dpg 200
dial-peer voice 200
 destination dpg 100

    以下是配置字段的说明:

    目的地 dpg 200

    指定应使用哪个拨号对等体组以及拨号对等体来处理拨入拨号对等体的呼叫。

    您的本地网关配置到此结束。如果这是第一次配置 CUBE 功能,请保存配置并重新加载平台。

使用 TDM PSTN 中继配置本地网关

构建了通向 Webex Calling 的中继后,使用以下配置为您的 PSTN 服务创建具有环回呼叫路由的 TDM 中继,以便在 Webex 呼叫支路上进行媒体优化。

如果您不需要 IP 媒体优化,请按照 SIP PSTN 中继的配置步骤进行操作。使用语音端口和 POTS 拨号对等体(如步骤 2 和 3 所示)代替 PSTN VoIP 拨号对等体。

1

环回拨号对等体配置使用拨号对等体组和呼叫路由标签来确保呼叫在 Webex 和 PSTN 之间正确传递,而不会创建呼叫路由环路。配置用于添加和删除呼叫路由标签的以下转换规则:


voice translation-rule 100 
 rule 1 /^\+/ /A2A/ 

voice translation-profile 100 
 translate called 100 

voice translation-rule 200 
 rule 1 /^/ /A1A/ 

voice translation-profile 200 
 translate called 200 

voice translation-rule 11 
 rule 1 /^A1A/ // 

voice translation-profile 11 
 translate called 11 

voice translation-rule 12 
 rule 1 /^A2A44/ /0/
 rule 2/^A2A/ /00/

voice translation-profile 12 
 translate called 12

以下是配置字段的说明:

语音翻译规则

使用规则中定义的正则表达式来添加或删除呼叫路由标签。使用十进制数字(“A”)可以提高故障排除的清晰度。

在此配置中,由转换配置文件 100 添加的标签用于通过环回拨号对等体将呼叫从 Webex Calling 引导至 PSTN。类似地,translation-profile 200 添加的标签用于将呼叫从 PSTN 引导至 Webex Calling。翻译配置文件 11 和 12 分别在将呼叫传送到 Webex 和 PSTN 中继之前删除这些标签。

本示例假设来自 Webex Calling 的被叫号码显示在 +E.164 格式。规则 100 删除了前导 + 维护有效的被叫号码。然后,规则 12 在移除标签时添加国内或国际路由数字。使用适合您当地 ISDN 国家拨号计划的数字。

如果 Webex Calling 以国家格式显示号码,则调整规则 100 和 12 以分别添加和删除路由标签。

有关更多信息,请参阅 voice translation-profilevoice translation-rule

2

根据所使用的中继类型和协议的要求配置TDM语音接口端口。有关详细信息,请参阅 配置 ISDN PRI。例如,安装在设备 NIM 插槽 2 中的主速率 ISDN 接口的基本配置可能包括以下内容:


card type e1 0 2 
isdn switch-type primary-net5 
controller E1 0/2/0 
 pri-group timeslots 1-31
3

配置以下 TDM PSTN 拨号对等体:


dial-peer voice 200 pots 
 description Inbound/Outbound PRI PSTN trunk 
 destination-pattern BAD.BAD 
 translation-profile incoming 200 
 direct-inward-dial 
 port 0/2/0:15

以下是配置字段的说明: 


dial-peer voice 200 pots
 description Inbound/Outbound PRI PSTN trunk

定义一个带有标签 200 的 VoIP 拨号对等体,并提供有意义的描述,以便于管理和故障排除。有关更多信息,请参阅 dial-peer voice

目标模式 BAD.BAD

使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。有关更多信息,请参阅 目标模式(接口)

翻译配置文件传入 200

分配将向来电被叫号码添加呼叫路由标签的转换配置文件。

直接拨入

无需提供二次拨号音即可路由呼叫。有关详细信息,请参阅 direct-inward-dial

港口 0/2/0:15

与此拨号对等体关联的物理语音端口。

4

要为具有 TDM-IP 呼叫流的本地网关启用 IP 路径的媒体优化,您可以通过在 Webex Calling 和 PSTN 中继之间引入一组内部环回拨号对等体来修改呼叫路由。配置以下环回拨号对等体。在这种情况下,所有来电将首先路由到拨号对等体 10,然后根据应用的路由标签从那里路由到拨号对等体 11 或 12。删除路由标签后,呼叫将使用拨号对等组路由到出站中继。


dial-peer voice 10 voip
 description Outbound loop-around leg
 destination-pattern BAD.BAD
 session protocol sipv2
 session target ipv4:192.168.80.14
 voice-class sip bind control source-interface GigabitEthernet0/0/0
 voice-class sip bind media source-interface GigabitEthernet0/0/0
 dtmf-relay rtp-nte
 codec g711alaw
 no vad 

dial-peer voice 11 voip
 description Inbound loop-around leg towards Webex
 translation-profile incoming 11
 session protocol sipv2
 incoming called-number A1AT
 voice-class sip bind control source-interface GigabitEthernet0/0/0
 voice-class sip bind media source-interface GigabitEthernet0/0/0
 dtmf-relay rtp-nte
 codec g711alaw
 no vad 

dial-peer voice 12 voip
 description Inbound loop-around leg towards PSTN
 translation-profile incoming 12
 session protocol sipv2
 incoming called-number A2AT
 voice-class sip bind control source-interface GigabitEthernet0/0/0
 voice-class sip bind media source-interface GigabitEthernet0/0/0
 dtmf-relay rtp-nte
 codec g711alaw 
 no vad

以下是配置字段的说明: 


dial-peer voice 10 voip
 description Outbound loop-around leg

定义 VoIP 拨号对等体并提供有意义的描述,以便于管理和故障排除。有关更多信息,请参阅 dial-peer voice

翻译配置文件传入 11

应用先前定义的转换配置文件,在传递到出站中继之前删除呼叫路由标签。

目标模式 BAD.BAD

使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。有关更多信息,请参阅 目标模式(接口)

session protocol sipv2

指定此拨号对等体处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

会话目标 ipv4: 192.168.80.14

指定本地路由器接口地址作为环回的呼叫目标。有关更多信息,请参阅 session target (voip dial peer)

绑定控制源接口 GigabitEthernet0/0/0

配置通过环回发送的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

绑定媒体源接口 GigabitEthernet0/0/0

配置通过环回发送的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

dtmf-relay rtp-nte

将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

编解码器 g711alaw

强制所有 PSTN 呼叫使用 G.711。选择 a-law 或 u-law 来匹配您的 ISDN 服务所使用的压扩方法。

no vad

禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

5

添加以下呼叫路由配置:

  1. 创建拨号对等组,通过环回在 PSTN 和 Webex 中继之间路由呼叫。

    
voice class dpg 100
 description Route calls to Webex Calling
 dial-peer 100
voice class dpg 200
 description Route calls to PSTN
 dial-peer 200
voice class dpg 10
 description Route calls to Loopback
 dial-peer 10

    以下是配置字段的说明:

    拨号对等体 100

    将出站拨号对等体与拨号对等体组关联。有关更多信息,请参阅 voice-class dpg

  2. 应用拨号对等组来路由呼叫。

    
dial-peer voice 100
 destination dpg 10
dial-peer voice 200
 destination dpg 10
dial-peer voice 11
 destination dpg 100
dial-peer voice 12
 destination dpg 200

    以下是配置字段的说明:

    目的地 dpg 200

    指定应使用哪个拨号对等体组以及拨号对等体来处理拨入拨号对等体的呼叫。

您的本地网关配置到此结束。如果这是第一次配置 CUBE 功能,请保存配置并重新加载平台。
配置具有现有 Unified CM 环境的本地网关

可以修改前面部分中的 PSTN-Webex Calling 配置,以包含到 Cisco Unified Communications Manager (UCM) 集群的附加中继。在这种情况下,所有呼叫都通过 Unified CM 路由。来自端口 5060 上的 UCM 的呼叫被路由到 PSTN,来自端口 5065 的呼叫被路由到 Webex Calling。可以添加以下增量配置来包含此调用场景。

在 Unified CM 中创建 Webex Calling 中继时,请确保将 SIP 中继安全配置文件设置中的传入端口配置为 5065。这允许端口 5065 上的传入消息,并在向本地网关发送消息时使用此值填充 VIA 标头。

输入 SIP 中继安全配置文件信息
1

配置以下语音类 URI:

  1. 使用 SIP VIA 端口将 Unified CM 分类为 Webex 呼叫:

    
voice class uri 300 sip
 pattern :5065

  2. 通过端口使用 SIP 将 Unified CM 分类为 PSTN 呼叫:

    
voice class uri 400 sip
 pattern 192\.168\.80\.6[0-5]:5060

    使用描述原始源地址和端口号的一个或多个模式对从 UCM 到 PSTN 中继的传入消息进行分类。如果需要,可以使用正则表达式来定义匹配模式。

    在上面的例子中,使用正则表达式匹配 192.168.80.60 到 65 范围内的任何 IP 地址和端口号 5060。

2

配置以下 DNS 记录以指定到 Unified CM 主机的 SRV 路由:

IOS XE 使用这些记录在本地确定目标 UCM 主机和端口。使用此配置,不需要在 DNS 系统中配置记录。如果您更喜欢使用自己的 DNS,则不需要这些本地配置。


ip host ucmpub.mydomain.com 192.168.80.60
ip host ucmsub1.mydomain.com 192.168.80.61
ip host ucmsub2.mydomain.com 192.168.80.62
ip host ucmsub3.mydomain.com 192.168.80.63
ip host ucmsub4.mydomain.com 192.168.80.64
ip host ucmsub5.mydomain.com 192.168.80.65
ip host _sip._udp.wxtocucm.io srv 0 1 5065 ucmpub.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub1.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub2.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub3.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub4.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub5.mydomain.com
ip host _sip._udp.pstntocucm.io srv 0 1 5060 ucmpub.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub1.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub2.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub3.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub4.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub5.mydomain.com

以下是配置字段的说明:

以下命令创建 DNS SRV 资源记录。为每个 UCM 主机和中继创建一条记录:

IP 主机 _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub5.mydomain.com

_sip._udp.pstntocucm.io: SRV 资源记录名称

2: SRV资源记录优先级

1: SRV资源记录权重

5060: 此资源记录中目标主机使用的端口号

ucmsub5.mydomain.com: 资源记录目标主机

要解析资源记录目标主机名,请创建本地 DNS A 记录。例如:

ip 主机 ucmsub5.mydomain.com 192.168.80.65

IP 主机: 在本地 IOS XE 数据库中创建记录。

ucmsub5.mydomain.com: A 记录主机名。

192.168.80.65: 主机 IP 地址。

创建 SRV 资源记录和 A 记录以反映您的 UCM 环境和首选呼叫分配策略。

3

配置以下拨号对等体:

  1. Unified CM 和 Webex Calling 之间的呼叫的拨号对等体:

    
dial-peer voice 300 voip
 description UCM-Webex Calling trunk
 destination-pattern BAD.BAD
 session protocol sipv2
 session target dns:wxtocucm.io
 incoming uri via 300
 voice-class codec 100
 voice-class sip bind control source-interface GigabitEthernet 0/0/0
 voice-class sip bind media source-interface GigabitEthernet 0/0/0
 dtmf-relay rtp-nte
 no vad

    以下是配置字段的说明:

    
dial-peer voice 300 voip
 description UCM-Webex Calling trunk

    定义一个带有标签 300 的VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。

    destination-pattern BAD.BAD

    使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。

    session protocol sipv2

    指定拨号对等体 300 处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

    会话目标 dns:wxtocucm.io

    通过 DNS SRV 解析定义多个 Unified CM 节点的会话目标。在这种情况下,本地定义的 SRV 记录 wxtocucm.io 用于引导呼叫。

    incoming uri via 300

    使用语音类 URI 300 将来自 Unified CM 的所有传入流量(使用源端口 5065)定向到此拨号对等体。有关详细信息,请参阅 传入 uri

    语音类编解码器 100

    指示与 Unified CM 之间的呼叫的编解码器过滤器列表。有关详细信息,请参阅 语音类编解码器

    绑定控制 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    绑定媒体 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    dtmf-relay rtp-nte

    将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

    no vad

    禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

  2. Unified CM 和 PSTN 之间的呼叫的拨号对等体:

    
dial-peer voice 400 voip
 description UCM-PSTN trunk
 destination-pattern BAD.BAD
 session protocol sipv2
 session target dns:pstntocucm.io
 incoming uri via 400
 voice-class codec 100 
 voice-class sip bind control source-interface GigabitEthernet 0/0/0
 voice-class sip bind media source-interface GigabitEthernet 0/0/0
 dtmf-relay rtp-nte
 no vad

    以下是配置字段的说明:

    
dial-peer voice 400 voip
 description UCM-PSTN trunk

    定义一个带有标签 400 的 VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。

    destination-pattern BAD.BAD

    使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。

    session protocol sipv2

    指定拨号对等体 400 处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

    会话目标 dns:pstntocucm.io

    通过 DNS SRV 解析定义多个 Unified CM 节点的会话目标。在这种情况下,本地定义的 SRV 记录 pstntocucm.io 用于引导呼叫。

    传入 uri 通过 400

    使用语音类 URI 400 将来自指定 Unified CM 主机(使用源端口 5060)的所有传入流量定向到此拨号对等体。有关详细信息,请参阅 传入 uri

    语音类编解码器 100

    指示与 Unified CM 之间的呼叫的编解码器过滤器列表。有关详细信息,请参阅 语音类编解码器

    绑定控制 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    绑定媒体 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    dtmf-relay rtp-nte

    将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

    no vad

    禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

4

使用以下配置添加呼叫路由:

  1. 创建拨号对等组以在 Unified CM 和 Webex Calling 之间路由呼叫。使用 出站拨号对等体 100 定义面向 Webex Calling 的 DPG 100。DPG 100 应用于来自 Unified CM 的相关呼入拨号对等体。类似地,定义 DPG 300,其出站拨号对等体为 300,指向 Unified CM。DPG 300 适用于来自 Webex 的呼入拨号对等体。

    
voice class dpg 100
 description Route calls to Webex Calling
 dial-peer 100
voice class dpg 300
 description Route calls to Unified CM Webex Calling trunk
 dial-peer 300

  2. 创建拨号对等组以在 Unified CM 和 PSTN 之间路由呼叫。使用 出站拨号对等体 200 定义 DPG 200 至 PSTN。DPG 200 应用于来自 Unified CM 的相关呼入拨号对等体。类似地,定义 DPG 400,其出站拨号对等体为 400,指向 Unified CM。DPG 400 适用于来自 PSTN 的呼入拨号对等体。

    
voice class dpg 200
 description Route calls to PSTN
 dial-peer 200
voice class dpg 400
 description Route calls to Unified CM PSTN trunk
 dial-peer 400

    以下是配置字段的说明:

    拨号对等体 100

    将出站拨号对等体与拨号对等体组关联。有关更多信息,请参阅 voice-class dpg

  3. 应用拨号对等组将呼叫从 Webex 路由到 Unified CM 以及从 Unified CM 路由到 Webex: 

    
dial-peer voice 100
 destination dpg 300
dial-peer voice 300
 destination dpg 100

    以下是配置字段的说明:

    目的地 dpg 300

    指定应使用哪个拨号对等体组以及拨号对等体来处理拨入拨号对等体的呼叫。

  4. 应用拨号对等体组将呼叫从 PSTN 路由到 Unified CM,以及从 Unified CM 路由到 PSTN:

    
dial-peer voice 200
 destination dpg 400
dial-peer voice 400
 destination dpg 200

    您的本地网关配置到此结束。如果这是第一次配置 CUBE 功能,请保存配置并重新加载平台。

使用诊断签名监控本地网关并排查

诊断签名 (DS) 主动检测基于 IOS XE 的本地网关中通常观察到的问题,并生成事件的电子邮件、系统日志或终端消息通知。您还可以安装 DS 来自动执行诊断数据收集并将收集到的数据传输到 Cisco TAC 案例以加快解决时间。

诊断签名 (DS) 是 XML 文件,其中包含有关问题触发事件的信息以及为通知、诊断和修复问题而采取的操作。您可以使用系统日志消息、SNMP 事件以及通过定期监控特定的 show 命令输出来定义问题检测逻辑。

操作类型包括收集 show 命令输出:

  • 生成合并的日志文件

  • 将文件上传到用户提供的网络位置,例如 HTTPS、SCP、FTP 服务器。

TAC 工程师可编写 DS 文件,并针对完整性保护进行数字签名。每个 DS 文件都有系统分配的唯一数字标识。诊断签名查找工具 (DSLT) 是查找适用于监控和排除各种问题的签名的单一来源。

准备工作:

  • 请勿编辑从 DSLT 下载的 DS 文件。由于完整性检查错误,您修改的文件安装失败。

  • 本地网关需要一个简单的邮件传输协议 (SMTP) 服务器来发送电子邮件通知。

  • 如果要使用安全的 SMTP 服务器发送电子邮件通知,请确保本地网关运行 IOS XE 17.6.1 或更高版本。

必要条件

运行 IOS XE 17.6.1a 或更高版本的本地网关

  1. 缺省情况下诊断签名处于启用状态。

  2. 如果设备运行的是 Cisco IOS XE 17.6.1a 或更高版本,则配置安全电子邮件服务器以用于发送主动通知。

    configure terminal 
call-home  
mail-server :@ priority 1 secure tls 
end

  3. 使用管理员的电子邮件地址配置环境变量 ds_email ,以便通知您。 

    configure terminal 
call-home  
diagnostic-signature 
environment ds_email  
end

下面显示了在 Cisco IOS XE 17.6.1a 或更高版本上运行的本地网关的示例配置,用于将主动通知发送到 tacfaststart@gmail.com 使用 Gmail 作为安全 SMTP 服务器:

我们建议您使用 Cisco IOS XE Bengaluru 17.6.x 或更高版本。

call-home  
mail-server tacfaststart:password@smtp.gmail.com priority 1 secure tls 
diagnostic-signature 
environment ds_email "tacfaststart@gmail.com"

在 Cisco IOS XE 软件上运行的本地网关不是支持 OAuth 的典型的基于 Web 的 Gmail 客户端,因此必须配置特定的 Gmail 帐户设置并提供特定权限,才能正确处理来自设备的电子邮件:

  1. 前往 管理 Google 帐户 > 安全 并打开 安全性较低的应用程序访问 设置。

  2. 回答“是的,这是我”,当您收到 Gmail 发送的电子邮件时,表示“Google 禁止其他人使用非 Google 应用程序登录您的帐户。”

安装诊断签名用于主动监控

监控高 CPU 利用率

此 DS 使用 SNMP OID 跟踪 CPU 利用率五秒1.3.6.1.4.1.9.2.1.56. 当利用率达到 75% 以上时,它会禁用所有调试并卸载安装在本地网关上的所有诊断签名。请根据以下步骤安装签名。

  1. 使用 show snmp 命令启用SNMP。如果不启用,则配置 snmp-server manager 命令。

    show snmp 
%SNMP agent not enabled 

config t 
snmp-server manager 
end 

show snmp 
Chassis: ABCDEFGHIGK 
149655 SNMP packets input 
    0 Bad SNMP version errors 
    1 Unknown community name 
    0 Illegal operation for community name supplied 
    0 Encoding errors 
    37763 Number of requested variables 
    2 Number of altered variables 
    34560 Get-request PDUs 
    138 Get-next PDUs 
    2 Set-request PDUs 
    0 Input queue packet drops (Maximum queue size 1000) 
158277 SNMP packets output 
    0 Too big errors (Maximum packet size 1500) 
    20 No such name errors 
    0 Bad values errors 
    0 General errors 
    7998 Response PDUs 
    10280 Trap PDUs 
Packets currently in SNMP process input queue: 0 
SNMP global trap: enabled

  2. 使用下列诊断签名查找工具中的下拉选项下载 DS 64224:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    电子邮件通知的高 CPU 利用率。

  3. 将 DS XML 文件复制到本地网关 flash 中。

    LocalGateway# copy ftp://username:password@/DS_64224.xml bootflash:

    下例显示将文件从 FTP 服务器复制到本地网关。 

    copy ftp://user:pwd@192.0.2.12/DS_64224.xml bootflash: 
Accessing ftp://*:*@ 192.0.2.12/DS_64224.xml...! 
[OK - 3571/4096 bytes] 
3571 bytes copied in 0.064 secs (55797 bytes/sec)

  4. 在本地网关中安装 DS XML 文件。

    call-home diagnostic-signature load DS_64224.xml 
Load file DS_64224.xml success

  5. 使用 show call-home 诊断签名命令 验证签名安装成功。状态栏中应该存在“已注册”值。 

    show call-home diagnostic-signature  
Current diagnostic-signature settings: 
Diagnostic-signature: enabled 
Profile: CiscoTAC-1 (status: ACTIVE) 
Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
Environment variable: 
ds_email: username@gmail.com

    Download DSes:

    DS ID

    DS Name

    Revision

    Status

    Last Update (GMT+00:00)

    64224

    DS_LGW_CPU_MON75

    0.0.10

    Registered

    2020-11-07 22:05:33

    触发后,此签名将卸载包括本身在内的所有正在运行的 DS。如有必要,请重新安装 DS 64224 以继续监控本地网关上的高 CPU 利用率。

监控 SIP 中继注册

此 DS 每 60 秒检查一SIP 中继云的本地网关Webex Calling注册。一旦检测到取消注册事件,它会生成电子邮件和系统日志通知,并在发生两次取消注册后自行卸载。请使用以下步骤安装签名:

  1. 使用下列诊断签名查找工具中的下拉选项下载 DS 64117:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    SIP-SIP

    问题类型

    SIP 中继电子邮件通知取消注册。

  2. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@/DS_64117.xml bootflash:

  3. 在本地网关中安装 DS XML 文件。 

    call-home diagnostic-signature load DS_64117.xml 
Load file DS_64117.xml success 
LocalGateway#

  4. 使用 show call-home 诊断签名命令 验证签名安装成功。状态列必须具有“已注册”值。

监控异常呼叫断开连接

此 DS 每 10 分钟使用 SNMP 轮询来检测异常呼叫断开,例如 SIP 错误 403、488 和 503。如果自上次轮询以来错误计数增量大于或等于 5,则会生成系统日志和电子邮件通知。请按照以下步骤安装签名。

  1. 使用 show snmp 命令检查SNMP是否已启用。如果没有启用,请配置 snmp-server manager 命令。 

    show snmp 
%SNMP agent not enabled 
 

config t 
snmp-server manager 
end 

show snmp 
Chassis: ABCDEFGHIGK 
149655 SNMP packets input 
    0 Bad SNMP version errors 
    1 Unknown community name 
    0 Illegal operation for community name supplied 
    0 Encoding errors 
    37763 Number of requested variables 
    2 Number of altered variables 
    34560 Get-request PDUs 
    138 Get-next PDUs 
    2 Set-request PDUs 
    0 Input queue packet drops (Maximum queue size 1000) 
158277 SNMP packets output 
    0 Too big errors (Maximum packet size 1500) 
    20 No such name errors 
    0 Bad values errors 
    0 General errors 
    7998 Response PDUs 
    10280 Trap PDUs 
Packets currently in SNMP process input queue: 0 
SNMP global trap: enabled

  2. 使用诊断签名查找工具中的下列选项下载 DS 65221:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    使用电子邮件和系统日志通知时 SIP 异常呼叫断开连接检测。

  3. 将 DS XML 文件复制到本地网关。 

    copy ftp://username:password@/DS_65221.xml bootflash:

  4. 在本地网关中安装 DS XML 文件。 

    call-home diagnostic-signature load DS_65221.xml 
Load file DS_65221.xml success

  5. 使用 show call-home 诊断签名命令 验证签名安装成功。状态列必须具有“已注册”值。

安装诊断签名以对问题进行故障诊断

使用诊断签名 (DS) 快速解决问题。Cisco TAC 工程师编写了几个签名,这些签名可实现对给定问题进行故障诊断、检测问题发生次数、收集正确的诊断数据以及将数据自动转移到 Cisco TAC 案例所需的调试。诊断签名 (DS) 消除了手动检查问题发生的需要,并使间歇性和瞬态问题的故障排除变得更加容易。

您可以使用诊断签名查找工具查找适用的签名并安装它们来自行解决给定问题,或者您也可以安装 TAC 工程师在支持参与中推荐的签名。

以下示例说明了如何查找和安装 DS 以检测是否存在“%VOICE_IEC-3-GW:CCAPI: Internal Error (call spike threshold): IEC=1.1.181.1.29.0“ 系统日志,使用以下步骤自动收集诊断数据:

  1. 配置一个额外的 DS 环境变量 ds_fsurl_prefix,该变量指定 Cisco TAC 文件服务器路径 (cxd.cisco.com),用于上传收集到的诊断数据。文件路径中的用户名是案例编号,密码是文件上传令牌,可以使用以下命令从 支持案例管理器 中检索。文件上传令牌可以根据需要在支持案例管理器的 附件 部分中生成。 

    configure terminal 
call-home  
diagnostic-signature 
LocalGateway(cfg-call-home-diag-sign)environment ds_fsurl_prefix "scp://:@cxd.cisco.com"  
end

    例如: 

    call-home  
diagnostic-signature 
environment ds_fsurl_prefix " environment ds_fsurl_prefix "scp://612345678:abcdefghijklmnop@cxd.cisco.com"

  2. 使用 show snmp 命令确保 SNMP 已启用。如果没有启用,请配置 snmp-server manager 命令。

    show snmp 
%SNMP agent not enabled 
 
 
config t 
snmp-server manager 
end

  3. 确保安装高 CPU 监控 DS 64224 作为在 CPU 高使用率期间禁用所有调试和诊断签名的主动措施。使用诊断签名查找工具中的下列选项下载 DS 64224:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    电子邮件通知的高 CPU 利用率。

  4. 使用诊断签名查找工具中的下列选项下载 DS 65095:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    系统日志

    问题类型

    系统日志 - %VOICE_IEC-3-GW:CCAPI: Internal Error (Call spike threshold): IEC=1.1.181.1.29.0

  5. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@/DS_64224.xml bootflash: 
copy ftp://username:password@/DS_65095.xml bootflash:

  6. 安装 DS 64224 以监控 CPU 占用率是否过高,然后在本地网关中安装 DS 65095 XML 文件。 

    call-home diagnostic-signature load DS_64224.xml 
Load file DS_64224.xml success 
 
call-home diagnostic-signature load DS_65095.xml 
Load file DS_65095.xml success

  7. 使用 show call-home Diagnostic-signature 命令验证签名是否已成功安装。状态列必须具有“已注册”值。 

    show call-home diagnostic-signature  
Current diagnostic-signature settings: 
Diagnostic-signature: enabled 
Profile: CiscoTAC-1 (status: ACTIVE) 
Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
Environment variable: 
           ds_email: username@gmail.com 
           ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com

    Downloaded DSes:

    DS ID

    DS Name

    Revision

    Status

    Last Update (GMT+00:00)

    64224

    00:07:45

    DS_LGW_CPU_MON75

    0.0.10

    Registered

    2020-11-08

    65095

    00:12:53

    DS_LGW_IEC_Call_spike_threshold

    0.0.12

    Registered

    2020-11-08

验证诊断签名执行

在以下命令中,当本地网关执行签名中定义的操作时, show call-home Diagnostic-signature 命令的“状态”列变为“正在运行”。显示呼叫 主诊断签名 统计信息的输出是验证诊断签名是否检测到感兴趣的事件并执行操作的最佳办法。“已触发/最大/Deinstall”列显示给定签名触发事件的时间、用于检测事件的定义的最大次数以及签名是否在检测到最大触发事件数后自动取消安装。 

show call-home diagnostic-signature  
Current diagnostic-signature settings: 
Diagnostic-signature: enabled 
Profile: CiscoTAC-1 (status: ACTIVE) 
Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
Environment variable: 
           ds_email: carunach@cisco.com 
           ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com

Downloaded DSes:

DS ID

DS Name

Revision

Status

Last Update (GMT+00:00)

64224

DS_LGW_CPU_MON75

0.0.10

Registered

2020-11-08 00:07:45

65095

DS_LGW_IEC_Call_spike_threshold

0.0.12

Running

2020-11-08 00:12:53

显示呼叫家庭诊断签名统计信息

DS ID

DS Name

已触发/Max/Deinstall

Average Run Time (seconds)

Max Run Time (seconds)

64224

DS_LGW_CPU_MON75

0/0/N

0.000

0.000

65095

DS_LGW_IEC_Call_spike_threshold

1/20/Y

23.053

23.053

诊断通知电子邮件期间发送的诊断签名包含关键信息,例如问题类型、设备详细信息、软件版本、运行配置,以及显示与给定的问题故障诊断相关的命令输出。

卸载诊断签名

通常,使用诊断签名进行故障排除是在您检测到某些问题后卸载的。如果要手动卸载签名,请从 show call-home Diagnostic-signature 命令的输出中检索 DS ID,然后运行以下命令:

call-home diagnostic-signature deinstall

例如:

call-home diagnostic-signature deinstall 64224

根据部署中通常观察到的问题,定期将新的签名添加到诊断签名查找工具中。TAC 当前不支持新建自定义签名的请求。

通过 Control Hub 管理和验证 Cisco IOS XE 网关
设计概述

本节介绍如何使用基于证书的相互 TLS (mTLS) SIP 中继将 Cisco Unified Border Element (CUBE) 配置为 Webex Calling 的本地网关。本文档的第一部分说明如何配置简单的 PSTN 网关。在这种情况下,来自 PSTN 的所有呼叫都会路由到 Webex Calling,并且来自 Webex Calling 的所有呼叫都会路由到 PSTN。下图突出显示了此解决方案以及将遵循的高级呼叫路由配置。

在本设计中,采用了以下主要配置:

  • 语音类租户: Used 创建主干特定配置。

  • 语音类 uri: 用于对 SIP 消息进行分类,以选择入站拨号对等体。

  • 入站拨号对等体: 处理入站 SIP 消息并使用拨号对等组确定出站路由。

  • 拨号对等组: 定义用于前向呼叫路由的出站拨号对等体。

  • 出站拨号对等体: 处理出站 SIP 消息并将其路由到所需目标。

呼叫路由 from/to 公共交换电话网 to/from Webex Calling 配置解决方案

将本地 Cisco Unified Communications Manager 解决方案与 Webex Calling 连接时,您可以使用简单的 PSTN 网关配置作为构建下图所示解决方案的基准。在这种情况下,统一通信管理器提供所有 PSTN 和 Webex Calling 呼叫的集中路由和处理。

解决方案图显示 Unified Communications Manager 提供所有 PSTN 和 Webex Calling 呼叫的集中路由和处理

在本文档中,使用下图所示的主机名、IP 地址和接口。提供公共或私有(NAT 后面)寻址的选项。SRV DNS 记录是可选的,除非跨多个 CUBE 实例进行负载平衡。

基于证书的本地网关配置中使用的主机名、IP 地址和接口

使用本文档其余部分中的配置指南完成本地网关配置,如下所示:

配置连接和安全性

基线配置

将您的 Cisco 路由器准备为 Webex Calling 的本地网关的第一步是构建一个保护您的平台并建立连接的基准配置。

  • 所有基于证书的本地网关部署都需要 Cisco IOS XE 17.9.1a 或更高版本。建议使用 Cisco IOS XE 17.12.2 或更高版本。有关推荐的版本,请参阅 Cisco Software Research 页面。搜索平台并选择 建议的 版本之一。

    • ISR4000系列路由器必须配置统一通信和安全技术许可证。

    • 配备语音卡或 DSP 的 Catalyst Edge 8000 系列路由器需要 DNA Advantage 许可。没有语音卡或 DSP 的路由器至少需要 DNA Essentials 许可。

    • 对于高容量要求,您可能还需要高安全性 (HSEC) 许可证和额外的吞吐量权利。

      有关更多详细信息,请参阅 授权码

  • 为您的平台构建符合您的业务政策的基线配置。特别是配置并验证以下内容:

    • NTP

    • Acl

    • 用户身份验证和远程访问

    • DNS

    • IP 路由

    • IP 地址

  • 通往 Webex Calling 的网络必须使用 IPv4 地址。控制中心中配置的本地网关完全限定域名 (FQDN) 或服务记录 (SRV) 地址必须解析为互联网上的公共 IPv4 地址。

  • 面向 Webex 的本地网关接口上的所有 SIP 和媒体端口都必须能够从互联网直接访问或通过静态 NAT 访问。确保相应地更新您的防火墙。

  • 按照下面提供的详细配置步骤在本地网关上安装签名证书:

    • 公共证书颁发机构 (CA)(详见 哪些根证书颁发机构支持呼叫 Cisco Webex 音频和视频平台? )必须签署设备证书。

    • 证书主体通用名称 (CN) 或主体备用名称之一 (SAN) 必须与 Control Hub 中配置的 FQDN 相同。例如:

      • 如果您组织的 Control Hub 中已配置的中继具有 cube1.lgw.com:5061 作为本地网关的 FQDN,则路由器证书中的 CN 或 SAN 必须包含 cube1.lgw.com。

      • 如果您组织的控制中心中配置的中继将 lgws.lgw.com 作为可从中继访问的本地网关的 SRV 地址,则路由器证书中的 CN 或 SAN 必须包含 lgws.lgw.com。地址解析SRV(CNAME、A 记录或 IP 地址)的记录在 SAN 中是可选的。

      • 无论您对中继使用 FQDN 还是 SRV,来自本地网关的所有新 SIP 对话的联系地址都必须使用控制中心中配置的名称。

    • 确保证书已签名以供客户端和服务器使用。

  • 将 Cisco 根 CA 捆绑包上传到本地网关。此捆绑包包含用于验证 Webex 平台的 CA 根证书。

配置

1

确保为任何第 3 层接口分配有效且可路由的 IP 地址,例如:


interface GigabitEthernet0/0/0
 description Interface facing PSTN and/or CUCM
 ip address 192.168.80.14 255.255.255.0
!
interface GigabitEthernet0/0/1
 description Interface facing Webex Calling (Public address)
 ip address 198.51.100.1 255.255.255.240

2

使用对称加密保护路由器上的 STUN 凭证。配置主加密密钥和加密类型如下:


key config-key password-encrypt YourPassword
password encryption aes
3

使用由 支持的 证书颁发机构 (CA) 签名的域证书创建加密信任点。

  1. 使用以下 exec 命令创建 RSA 密钥对。

    crypto key generate rsa general-keys exportable label lgw-key modulus 4096

  2. 使用以下配置命令为证书创建信任点,指定证书签名请求中要使用的字段值: 

    
crypto pki trustpoint LGW_CERT
 enrollment terminal pem
 fqdn none
 subject-name cn=cube1.lgw.com
 subject-alt-name cube1.lgw.com
 revocation-check none
 rsakeypair lgw-key
 hash sha256

    证书字段注释:

    • 完全限定域名: 这不是 Webex Calling 的必填字段。将此配置设置为“无”以不在证书签名请求中包含此字段。如果您需要使用此命令包含 FQDN,则不会对本地网关操作产生影响。

    • 主题名称: 为了验证来自本地网关的呼叫,Webex 必须将 SIP 联系人标头中的 FQDN 与 SBC 证书的主题通用名称 (CN) 属性或主题备用名称 (SAN) 字段中包含的 FQDN 进行匹配。主题字段必须至少包含一个 CN 属性,并且可以根据需要包含其他属性。有关详细信息,请参阅 subject-name

    • 主题替代名称: SBC 证书的主题备用名称 (SAN) 字段可以包含其他 FQDN 列表。如果证书主题 CN 属性不匹配,Webex 会检查此列表以验证来自本地网关的消息中的 SIP 联系人标头。

    • 哈希: 建议使用 SHA256 签署证书签名请求 (CSR)。Cisco IOS XE 17.11.1 默认使用此算法,对于早期版本,使用 Hash 命令。

  3. 使用以下 exec 或配置命令生成证书签名请求 (CSR),并使用它从受支持的 CA 提供商请求签名的证书:

    crypto pki enroll LGW_CERT

4

提供中间签名 CA 的证书来验证您的主机证书。输入以下执行或配置命令:


crypto pki authenticate LGW_CERT

5

使用以下 exec 或配置命令导入签名的主机证书:


crypto pki import LGW_CERT certificate

6

使用以下配置命令启用 TLS1.2 排他性并指定用于语音应用程序的默认信任点:


 sip-ua
  crypto signaling default trustpoint LGW_CERT
  transport tcp tls v1.2

7

安装 Cisco 根 CA 捆绑包,其中包括 Webex Calling 使用的 IdenTrust Commercial Root CA 1 证书。使用 crypto pki trustpool import clean url url 命令从指定的 URL 下载根 CA 包,并清除当前 CA 信任池,然后安装新的证书包:

如果您需要使用代理通过 HTTPS 访问互联网,请在导入 CA 包之前添加以下配置:

ip http 客户端代理服务器 yourproxy.com 代理端口 80

ip http client source-interface GigabitEthernet0/0/1 
crypto pki trustpool import clean url https://www.cisco.com/security/pki/trs/ios_core.p7b
配置基于证书的 Webex Calling 中继
1

为控制中心中的现有位置创建基于 CUBE 证书的 PSTN 中继。有关更多信息,请参阅 为 Webex Calling 配置中继线、路由组和拨号计划

在创建中继时记下中继信息。如下图所示,这些详细信息将用于本指南的配置步骤中。

创建基于 CUBE 证书的 PSTN 中继
2

输入以下命令将 CUBE 配置为 Webex Calling 本地网关:


voice service voip
 ip address trusted list
  ipv4 x.x.x.x y.y.y.y
 mode border-element
 allow-connections sip to sip
 no supplementary-service sip refer
 stun
  stun flowdata agent-id 1 boot-count 4
  stun flowdata shared-secret 0 Password123$
 sip 
  asymmetric payload full
  early-offer forced
  sip-profiles inbound

以下是配置字段的说明:


ip address trusted list
 ipv4 x.x.x.x y.y.y.y

  • 为了防止电话诈骗,可信地址列表定义了本地网关期望合法 VoIP 呼叫的主机和网络实体的列表。

  • 默认情况下,本地网关会阻止来自不在其信任列表中的 IP 地址的所有传入 VoIP 消息。默认情况下,具有“会话目标 IP”或服务器组 IP 地址的静态配置的拨号对等体是受信任的。您不需要将这些 IP 地址添加到受信任列表中。

  • 配置本地网关时,将区域 Webex Calling 数据中心的 IP 子网添加到列表中,有关更多信息,请参阅 Webex Calling 的端口参考信息 。另外,添加统一通信管理器服务器(如果使用)和 PSTN 中继网关的地址范围。

  • 有关如何使用 IP 地址可信列表来防止话费欺诈的更多信息,请参阅 IP 地址可信

模式边框元素

在平台上启用 Cisco Unified Border Element (CUBE) 功能。

allow-connections sip to sip

启用 CUBE 基本 SIP 背靠背用户代理功能。有关更多信息,请参阅 允许连接

默认情况下,T.38 传真传输处于启用状态。有关详细信息,请参阅 fax protocol t38 (voice-service)

击晕

全局启用 STUN(通过 NAT 的 UDP 会话遍历)。

仅在 NAT 后面部署本地网关时才需要这些全局 stun 命令。

  • 本地网关上的 STUN 绑定功能允许通过协商的媒体路径发送本地生成的 STUN 请求。这有助于打开防火墙上的针孔。

有关更多信息,请参阅 stun flowdata agent-idstun flowdata shared-secret

非对称有效载荷已满

为 DTMF 和动态编解码器有效载荷配置 SIP 非对称有效载荷支持。有关此命令的更多信息,请参阅 非对称有效载荷

early-offer forced

强制本地网关在初始 INVITE 消息中发送 SDP 信息,而不是等待邻近对等方的确认。有关此命令的更多信息,请参阅 early-offer

sip-profiles 入站

使 CUBE 能够使用 SIP 配置文件在收到消息时对其进行修改。配置文件通过拨号对等体或租户应用。

3

配置 语音类编解码器100 仅允许所有中继线使用G.711编解码器。这种简单的方法适合大多数部署。如果有必要,请将发起系统和终止系统都支持的其他编解码器类型添加到列表中。

本指南支持涉及使用 DSP 模块进行 转码 的更复杂的解决方案,但不包括在本指南中。 


voice class codec 100
 codec preference 1 g711ulaw
 codec preference 2 g711alaw

以下是配置字段的说明:

语音类编解码器 100

用于仅允许 SIP 中继呼叫的首选编解码器。有关详细信息,请参阅 语音类编解码器

4

配置 voice class stun-usage 100 以在 Webex Calling 中继上启用 ICE。(此步骤不适用于 Webex for Government)


voice class stun-usage 100 
 stun usage firewall-traversal flowdata
 stun usage ice lite

以下是配置字段的说明:

冰精简版使用眩晕

用于为所有面向 Webex Calling 的拨号对等方启用 ICE-Lite,以尽可能进行媒体优化。有关更多信息,请参阅 voice class stun usagestun usage ice lite

仅在 NAT 后面部署本地网关时才需要stun usage firewall-traversal flowdata命令。

只要有可能,就会协商媒体优化。如果通话需要云媒体服务(例如录音),则无法优化媒体。

5

为 Webex 流量配置媒体加密策略。(此步骤不适用于 Webex for Government)


voice class srtp-crypto 100
 crypto 1 AES_CM_128_HMAC_SHA1_80

以下是配置字段的说明:

语音类 srtp-crypto 100

指定 SHA1_80 作为提供和答复消息中的 SDP 中 SRTP 密码套件 CUBE 提供的唯一信息。Webex Calling 仅支持 SHA1_80。有关更多信息,请参阅 voice class srtp-crypto

6

配置符合 FIPS 标准的 GCM 密码 (此步骤仅适用于 Webex for Government)


voice class srtp-crypto 100
crypto 1 AEAD_AES_256_GCM

以下是配置字段的说明:

语音类 srtp-crypto 100

将 GCM 指定为 CUBE 提供的密码套件。必须为 Webex for Government 的本地网关配置 GCM 密码。

7

配置一个模式,根据目标 FQDN 或 SRV 唯一地标识对本地网关中继的呼叫:


voice class uri 100 sip
 pattern cube1.lgw.com

以下是配置字段的说明:

语音类 uri 100 sip

定义一个模式来将传入的 SIP 邀请与传入的中继拨号对等体进行匹配。输入此模式时,请使用控制中心为中继配置的中继 FQDN 或 SRV。

配置基于证书的中继时,在本地网关上使用基于 SRV 的 Webex Calling 边缘地址。

8

配置 SIP 消息处理配置文件。如果您的网关配置了公共 IP 地址,请按如下方式配置配置文件,或者如果您使用 NAT,则跳至下一步。在此示例中,cube1.lgw.com 是为本地网关配置的 FQDN:


voice class sip-profiles 100
 rule 10 request ANY sip-header Contact modify "@.*:" "@cube1.lgw.com:" 
 rule 20 response ANY sip-header Contact modify "@.*:" "@cube1.lgw.com:"

以下是配置字段的说明:

规则10和20

要允许 Webex 对来自本地网关的消息进行身份验证,SIP 请求和响应消息中的“联系人”标头必须包含为控制中心中的中继配置的值。这将是单个主机的 FQDN,或者是用于设备集群的 SRV 名称。

9

如果您的网关配置了静态 NAT 后面的私有 IP 地址,请按如下所示配置入站和出站 SIP 配置文件。在此示例中,cube1.lgw.com 是为本地网关配置的 FQDN,“10.80.13.12”是面向 Webex Calling 的接口 IP 地址,“192.65.79.20”是 NAT 公共 IP 地址。

用于向 Webex Calling 发出消息的 SIP 配置文件 

voice class sip-profiles 100
 rule 10 request ANY sip-header Contact modify "@.*:" "@cube1.lgw.com:"
 rule 20 response ANY sip-header Contact modify "@.*:" "@cube1.lgw.com:"
 rule 30 response ANY sdp-header Audio-Attribute modify "(a=candidate:1 1.*) 10.80.13.12" "\1 192.65.79.20"
 rule 31 response ANY sdp-header Audio-Attribute modify "(a=candidate:1 2.*) 10.80.13.12" "\1 192.65.79.20"
 rule 40 response ANY sdp-header Audio-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 41 request ANY sdp-header Audio-Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 50 request ANY sdp-header Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 51 response ANY sdp-header Connection-Info modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 60 response ANY sdp-header Session-Owner modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 61 request ANY sdp-header Session-Owner modify "IN IP4 10.80.13.12" "IN IP4 192.65.79.20"
 rule 70 request ANY sdp-header Audio-Attribute modify "(a=rtcp:.*) 10.80.13.12" "\1 192.65.79.20"
 rule 71 response ANY sdp-header Audio-Attribute modify "(a=rtcp:.*) 10.80.13.12" "\1 192.65.79.20"
 rule 80 request ANY sdp-header Audio-Attribute modify "(a=candidate:1 1.*) 10.80.13.12" "\1 192.65.79.20"
 rule 81 request ANY sdp-header Audio-Attribute modify "(a=candidate:1 2.*) 10.80.13.12" "\1 192.65.79.20"

以下是配置字段的说明:

规则10和20

要允许 Webex 对来自本地网关的消息进行身份验证,SIP 请求和响应消息中的“联系人”标头必须包含为控制中心中的中继配置的值。这将是单个主机的 FQDN,或者是用于设备集群的 SRV 名称。

第30至81条

将私有地址引用转换为站点的外部公共地址,从而允许 Webex 正确解释和路由后续消息。

Webex Calling 入站消息的 SIP 配置文件 

voice class sip-profiles 110
 rule 10 response ANY sdp-header Video-Connection-Info modify "192.65.79.20" "10.80.13.12"
 rule 20 response ANY sip-header Contact modify "@.*:" "@cube1.lgw.com:"
 rule 30 response ANY sdp-header Connection-Info modify "192.65.79.20" "10.80.13.12"
 rule 40 response ANY sdp-header Audio-Connection-Info modify "192.65.79.20" "10.80.13.12"
 rule 50 response ANY sdp-header Session-Owner modify "192.65.79.20" "10.80.13.12"
 rule 60 response ANY sdp-header Audio-Attribute modify "(a=candidate:1 1.*) 192.65.79.20" "\1 10.80.13.12"
 rule 70 response ANY sdp-header Audio-Attribute modify "(a=candidate:1 2.*) 192.65.79.20" "\1 10.80.13.12"
 rule 80 response ANY sdp-header Audio-Attribute modify "(a=rtcp:.*) 192.65.79.20" "\1 10.80.13.12"

以下是配置字段的说明:

规则 10 至 80

将公共地址引用转换为配置的私有地址,允许 CUBE 处理来自 Webex 的消息。

有关详细信息,请参阅 voice class sip-profiles

美国或加拿大的 PSTN 提供商可以提供垃圾电话和欺诈电话的来电显示验证,并在 Webex Calling 中的垃圾电话或欺诈电话指示 文章中提到了附加配置。

10

配置带有标头修改配置文件的 SIP 选项保持连接。


voice class sip-profiles 115
 rule 10 request OPTIONS sip-header Contact modify "

以下是配置字段的说明:

语音类 sip-options-keepalive 100

配置保活配置文件并进入语音类配置模式。您可以配置当与端点的心跳连接处于 UP 或 Down 状态时向拨号目标发送 SIP Out of Dialog Options Ping 的时间(以秒为单位)。

此保持活动配置文件由针对 Webex 配置的拨号对等体触发。

为了确保联系标头包含 SBC 完全限定域名,使用了 SIP 配置文件 115。仅当 SBC 配置在静态 NAT 后面时才需要规则 30、40 和 50。

在此示例中,cube1.lgw.com 是为本地网关选择的 FQDN,如果使用静态 NAT,则“10.80.13.12”是面向 Webex Calling 的 SBC 接口 IP 地址,“192.65.79.20”是 NAT 公共 IP 地址。

11

配置 Webex Calling 中继:

  1. 创建 语音类租户 100 来定义和分组 Webex Calling 中继所需的配置。与此租户关联的拨号对等体稍后会继承以下配置:

    为了本指南的目的,以下示例使用了步骤 1 中所示的值(以粗体显示)。将这些替换为您的配置中的中继的值。

    
voice class tenant 100
 no remote-party-id
 sip-server dns:us25.sipconnect.bcld.webex.com
 srtp-crypto 100
 localhost dns:cube1.lgw.com
 session transport tcp tls
 no session refresh
 error-passthru
 rel1xx disable
 asserted-id pai
 bind control source-interface GigabitEthernet0/0/1
 bind media source-interface GigabitEthernet0/0/1
 no pass-thru content custom-sdp
 sip-profiles 100 
 sip-profiles 110 inbound
 privacy-policy passthru
!

    以下是配置字段的说明:

    语音类租户 100

    我们建议您使用租户来配置中继,中继有自己的 TLS 证书以及 CN 或 SAN 验证列表。这里,与租户关联的 tls-profile 包含用于接受或创建新连接的信任点,并具有用于验证传入连接的 CN 或 SAN 列表。有关详细信息,请参阅 voice class tenant

    no remote-party-id

    禁用 SIP Remote-Party-ID (RPID) 标头,因为 Webex Calling 支持 PAI,可使用 asserted-id pai 命令启用。有关更多信息,请参阅 remote-party-id

    sip服务器dns: us25.sipconnect.bcld.webex.com

    配置中继的目标 SIP 服务器。使用创建中继时控制中心提供的 Edge 代理 SRV 地址

    srtp-加密 100

    为 SRTP 呼叫支路(连接)配置首选密码套件(在步骤 5 中指定)。有关更多信息,请参阅 voice class srtp-crypto

    本地主机 DNS: cube1.lgw.com

    配置 CUBE 以使用提供的 FQDN 替换传出消息中的 From、Call-ID 和 Remote-Party-ID 标头中的物理 IP 地址。在此处使用控制中心为中继配置的中继 FQDN 或 SRV。

    session transport tcp tls

    将相关拨号对等体的传输设置为 TLS。有关更多信息,请参阅 session-transport

    无会话刷新

    禁用 CUBE 和 Webex 之间的通话的 SIP 会话刷新。有关详细信息,请参阅 会话刷新

    error-passthru

    指定 SIP 错误响应传递功能。有关详细信息,请参阅 error-passthru

    rel1xx 禁用

    禁用 Webex Calling 中继的可靠临时响应。有关更多信息,请参阅 rel1xx

    asserted-id pai

    (可选)打开 P-Asserted-Identity 标头处理并控制如何将其用于 Webex Calling 中继。

    Webex Calling 在发往本地网关的出站呼叫 INVITE 中包含 P-Asserted-Identity (PAI) 标头。

    如果配置了此命令,则 PAI 标头中的呼叫者信息将用于填充传出的 From 和 PAI/Remote-Party-ID 标头。

    如果未配置此命令,则使用来自 From 标头的呼叫者信息来填充传出的 From 和 PAI/Remote-Party-ID 标头。

    有关更多信息,请参阅 asserted-id

    绑定控制源接口 GigabitEthernet0/0/1

    配置发送到 Webex Calling 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    绑定媒体源接口 GigabitEthernet0/0/1

    配置发送到 Webex Calling 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    语音类 SIP 配置文件 100

    应用标头修改配置文件(公共 IP 或 NAT 寻址)用于出站消息。有关详细信息,请参阅 voice-class sip profiles

    语音类 SIP 配置文件 110 入站

    仅适用于 NAT 后面的 LGW 部署:应用标头修改配置文件以用于入站消息。有关更多信息,请参阅语音类 SIP 配置文件。

    隐私政策 直通

    配置 CUBE 以透明地将隐私标头从接收到的消息传递到下一个呼叫支路。有关详细信息,请参阅 隐私政策

  2. 配置 Webex Calling 中继拨号对等体。

    
dial-peer voice 100 voip
 description Inbound/Outbound Webex Calling
 destination-pattern BAD.BAD
 session protocol sipv2
 session target sip-server
 incoming uri request 100
 voice-class codec 100
 voice-class stun-usage 100
 voice-class sip tenant 100
 voice-class sip options-keepalive profile 100
 dtmf-relay rtp-nte 
 srtp
 no vad

    以下是配置字段的说明:

    
dial-peer voice 100 voip
 description Inbound/Outbound Webex Calling

    定义一个标签为 100 的 VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。有关更多信息,请参阅 dial-peer voice

    目标模式 BAD.BAD

    使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下,您可以使用任何有效的目标模式。有关更多信息,请参阅 目标模式(接口)

    session protocol sipv2

    指定此拨号对等体处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

    session target sip-server

    表示租户 100 中定义的 SIP 服务器被继承并用于来自此拨号对等体的呼叫的目的地。

    传入 uri 请求 100

    指定用于使用 INVITE REQUEST 标头 URI 来匹配此拨号对等体的来电的语音类。有关详细信息,请参阅 传入 uri

    语音类编解码器 100

    指示往返于 Webex Calling 的呼叫的编解码器过滤器列表。有关详细信息,请参阅 语音类编解码器

    voice-class stun-usage 100

    允许本地网关通过协商的媒体路径发送本地生成的 STUN 请求。STUN 数据包有助于为媒体流量打开防火墙针孔并检测媒体优化的有效路径。

    语音类 SIP 租户 100

    拨号对等体继承了全局和租户 100 中配置的所有参数。参数可能会在拨号对等体级别被覆盖。有关详细信息,请参阅 voice-class sip tenant

    语音类 SIP 选项-keepalive 配置文件 100

    此命令使用特定配置文件 (100) 监控一组 SIP 服务器或端点的可用性。

    srtp

    为呼叫段启用 SRTP。

使用 SIP PSTN 中继配置本地网关

构建了面向上述 Webex Calling 的中继后,使用以下配置创建面向基于 SIP 的 PSTN 提供商的非加密中继:

如果您的服务提供商提供安全的 PSTN 中继,您可以按照上面详述的 Webex Calling 中继的类似配置进行操作。CUBE 支持安全呼叫路由。

如果您使用 TDM / ISDN PSTN 中继,跳至下一部分 使用 TDM PSTN 中继配置本地网关

要在 Cisco TDM-SIP 网关上为 PSTN 呼叫支线配置 TDM 接口,请参阅 配置 ISDN PRI

1

配置以下语音类 uri 来识别来自 PSTN 中继的入站呼叫:


voice class uri 200 sip
  host ipv4:192.168.80.13

以下是配置字段的说明:

语音类 uri 200 sip

定义一种模式来将传入的 SIP 邀请与传入的中继拨号对等体进行匹配。输入此模式时,请使用您的 IP PSTN 网关的 IP 地址。有关详细信息,请参阅 voice class uri

2

配置以下 IP PSTN 拨号对等体:


dial-peer voice 200 voip
 description Inbound/Outbound IP PSTN trunk
 destination-pattern BAD.BAD
 session protocol sipv2
 session target ipv4:192.168.80.13
 incoming uri via 200
 voice-class sip asserted-id pai
 voice-class sip bind control source-interface GigabitEthernet0/0/0 
 voice-class sip bind media source-interface  GigabitEthernet0/0/0 
 voice-class codec 100
 dtmf-relay rtp-nte 
 no vad

以下是配置字段的说明:


dial-peer voice 200 voip
 description Inbound/Outbound IP PSTN trunk

定义一个带有标签 200 的 VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。有关详细信息,请参阅 dial-peer voice。

目标模式 BAD.BAD

使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。有关更多信息,请参阅 目标模式(接口)

session protocol sipv2

指定此拨号对等体处理 SIP 呼叫支线。有关详细信息,请参阅 会话协议(拨号对等体)

会话目标 ipv4: 192.168.80.13

指定发送到 PSTN 提供商的呼叫的目标地址。这可以是 IP 地址或 DNS 主机名。有关更多信息,请参阅 会话目标(VoIP 拨号对等体)

传入 uri 通过 200

指定用于使用 INVITE VIA 标头 URI 来匹配此拨号对等体的来电的语音类。有关详细信息,请参阅 传入 URL

语音类 SIP 断言 ID PAI

(可选)打开 P-Asserted-Identity 标头处理并控制如何将其用于 PSTN 中继。如果使用此命令,则从传入拨号对等体提供的呼叫方身份将用于传出的 From 和 P-Asserted-Identity 标头。如果不使用此命令,则从传入拨号对等体提供的呼叫方身份将用于传出的 From 和 Remote-Party-ID 标头。有关详细信息,请参阅 voice-class sip asserted-id

绑定控制源接口 GigabitEthernet0/0/0

配置发送到 PSTN 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

绑定媒体源接口 GigabitEthernet0/0/0

配置发送到 PSTN 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

语音类编解码器 100

配置拨号对等体以使用通用编解码器过滤器列表 100。有关详细信息,请参阅 voice-class codec

dtmf-relay rtp-nte

将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

no vad

禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

3

如果您将本地网关配置为仅在 Webex Calling 和 PSTN 之间路由呼叫,请添加以下呼叫路由配置。如果您使用统一通信管理器平台配置本地网关,请跳至下一部分。

  1. 创建拨号对等组以将呼叫路由至 Webex Calling 或 PSTN。定义 DPG 100,其出站拨号对等体为 100,指向 Webex Calling。DPG 100 适用于来自 PSTN 的呼入拨号对等体。类似地,定义 DPG 200,其出站拨号对等体为 200,指向 PSTN。DPG 200 适用于来自 Webex 的呼入拨号对等体。

    
voice class dpg 100 
 description Route calls to Webex Calling 
 dial-peer 100 
voice class dpg 200 
 description Route calls to PSTN 
 dial-peer 200

    以下是配置字段的说明:

    拨号对等体 100

    将出站拨号对等体与拨号对等体组关联。有关更多信息,请参阅 voice-class dpg

  2. 应用拨号对等组将呼叫从 Webex 路由到 PSTN,以及从 PSTN 路由到 Webex: 

    
dial-peer voice 100
 destination dpg 200
dial-peer voice 200
 destination dpg 100

    以下是配置字段的说明:

    目的地 dpg 200

    指定应使用哪个拨号对等体组以及拨号对等体来处理拨入拨号对等体的呼叫。

    您的本地网关配置到此结束。如果这是第一次配置 CUBE 功能,请保存配置并重新加载平台。

使用 TDM PSTN 中继配置本地网关

构建了通向 Webex Calling 的中继后,使用以下配置为您的 PSTN 服务创建具有环回呼叫路由的 TDM 中继,以便在 Webex 呼叫支路上进行媒体优化。

如果您不需要 IP 媒体优化,请按照 SIP PSTN 中继的配置步骤进行操作。使用语音端口和 POTS 拨号对等体(如步骤 2 和 3 所示)代替 PSTN VoIP 拨号对等体。

1

环回拨号对等体配置使用拨号对等体组和呼叫路由标签来确保呼叫在 Webex 和 PSTN 之间正确传递,而不会创建呼叫路由环路。配置用于添加和删除呼叫路由标签的以下转换规则:


voice translation-rule 100 
 rule 1 /^\+/ /A2A/ 

voice translation-profile 100 
 translate called 100 

voice translation-rule 200 
 rule 1 /^/ /A1A/ 

voice translation-profile 200 
 translate called 200 

voice translation-rule 11 
 rule 1 /^A1A/ // 

voice translation-profile 11 
 translate called 11 

voice translation-rule 12 
 rule 1 /^A2A44/ /0/
 rule 2/^A2A/ /00/

voice translation-profile 12 
 translate called 12

以下是配置字段的说明:

语音翻译规则

使用规则中定义的正则表达式来添加或删除呼叫路由标签。使用十进制数字(“A”)可以提高故障排除的清晰度。

在此配置中,由转换配置文件 100 添加的标签用于通过环回拨号对等体将呼叫从 Webex Calling 引导至 PSTN。类似地,translation-profile 200 添加的标签用于将呼叫从 PSTN 引导至 Webex Calling。翻译配置文件 11 和 12 分别在将呼叫传送到 Webex 和 PSTN 中继之前删除这些标签。

本示例假设来自 Webex Calling 的被叫号码显示在 +E.164 格式。规则 100 删除了前导 + 维护有效的被叫号码。然后,规则 12 在移除标签时添加国内或国际路由数字。使用适合您当地 ISDN 国家拨号计划的数字。

如果 Webex Calling 以国家格式显示号码,则调整规则 100 和 12 以分别添加和删除路由标签。

有关更多信息,请参阅 voice translation-profilevoice translation-rule

2

根据所使用的中继类型和协议的要求配置TDM语音接口端口。有关详细信息,请参阅 配置 ISDN PRI。例如,安装在设备 NIM 插槽 2 中的主速率 ISDN 接口的基本配置可能包括以下内容:


card type e1 0 2 
isdn switch-type primary-net5 
controller E1 0/2/0 
 pri-group timeslots 1-31
3

配置以下 TDM PSTN 拨号对等体:


dial-peer voice 200 pots 
 description Inbound/Outbound PRI PSTN trunk 
 destination-pattern BAD.BAD 
 translation-profile incoming 200 
 direct-inward-dial 
 port 0/2/0:15

以下是配置字段的说明: 


dial-peer voice 200 pots
 description Inbound/Outbound PRI PSTN trunk

定义一个带有标签 200 的 VoIP 拨号对等体,并提供有意义的描述,以便于管理和故障排除。有关更多信息,请参阅 dial-peer voice

目标模式 BAD.BAD

使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。有关更多信息,请参阅 目标模式(接口)

翻译配置文件传入 200

分配将向来电被叫号码添加呼叫路由标签的转换配置文件。

直接拨入

无需提供二次拨号音即可路由呼叫。有关详细信息,请参阅 direct-inward-dial

港口 0/2/0:15

与此拨号对等体关联的物理语音端口。

4

要为具有 TDM-IP 呼叫流的本地网关启用 IP 路径的媒体优化,您可以通过在 Webex Calling 和 PSTN 中继之间引入一组内部环回拨号对等体来修改呼叫路由。配置以下环回拨号对等体。在这种情况下,所有来电将首先路由到拨号对等体 10,然后根据应用的路由标签从那里路由到拨号对等体 11 或 12。删除路由标签后,呼叫将使用拨号对等组路由到出站中继。


dial-peer voice 10 voip
 description Outbound loop-around leg
 destination-pattern BAD.BAD
 session protocol sipv2
 session target ipv4:192.168.80.14
 voice-class sip bind control source-interface GigabitEthernet0/0/0
 voice-class sip bind media source-interface GigabitEthernet0/0/0
 dtmf-relay rtp-nte
 codec g711alaw
 no vad 

dial-peer voice 11 voip
 description Inbound loop-around leg towards Webex
 translation-profile incoming 11
 session protocol sipv2
 incoming called-number A1AT
 voice-class sip bind control source-interface GigabitEthernet0/0/0
 voice-class sip bind media source-interface GigabitEthernet0/0/0
 dtmf-relay rtp-nte
 codec g711alaw
 no vad 

dial-peer voice 12 voip
 description Inbound loop-around leg towards PSTN
 translation-profile incoming 12
 session protocol sipv2
 incoming called-number A2AT
 voice-class sip bind control source-interface GigabitEthernet0/0/0
 voice-class sip bind media source-interface GigabitEthernet0/0/0
 dtmf-relay rtp-nte
 codec g711alaw 
 no vad

以下是配置字段的说明: 


dial-peer voice 10 voip
 description Outbound loop-around leg

定义 VoIP 拨号对等体并提供有意义的描述,以便于管理和故障排除。有关更多信息,请参阅 dial-peer voice

翻译配置文件传入 11

应用先前定义的转换配置文件,在传递到出站中继之前删除呼叫路由标签。

目标模式 BAD.BAD

使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。有关更多信息,请参阅 目标模式(接口)

session protocol sipv2

指定此拨号对等体处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

会话目标 ipv4: 192.168.80.14

指定本地路由器接口地址作为环回的呼叫目标。有关更多信息,请参阅 session target (voip dial peer)

绑定控制源接口 GigabitEthernet0/0/0

配置通过环回发送的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

绑定媒体源接口 GigabitEthernet0/0/0

配置通过环回发送的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

dtmf-relay rtp-nte

将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

编解码器 g711alaw

强制所有 PSTN 呼叫使用 G.711。选择 a-law 或 u-law 来匹配您的 ISDN 服务所使用的压扩方法。

no vad

禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

5

添加以下呼叫路由配置:

  1. 创建拨号对等组,通过环回在 PSTN 和 Webex 中继之间路由呼叫。

    
voice class dpg 100
 description Route calls to Webex Calling
 dial-peer 100
voice class dpg 200
 description Route calls to PSTN
 dial-peer 200
voice class dpg 10
 description Route calls to Loopback
 dial-peer 10

    以下是配置字段的说明:

    拨号对等体 100

    将出站拨号对等体与拨号对等体组关联。有关更多信息,请参阅 voice-class dpg

  2. 应用拨号对等组来路由呼叫。

    
dial-peer voice 100
 destination dpg 10
dial-peer voice 200
 destination dpg 10
dial-peer voice 11
 destination dpg 100
dial-peer voice 12
 destination dpg 200

    以下是配置字段的说明:

    目的地 dpg 200

    指定应使用哪个拨号对等体组以及拨号对等体来处理拨入拨号对等体的呼叫。

您的本地网关配置到此结束。如果这是第一次配置 CUBE 功能,请保存配置并重新加载平台。
配置具有现有 Unified CM 环境的本地网关

可以修改前面部分中的 PSTN-Webex Calling 配置,以包含到 Cisco Unified Communications Manager (UCM) 集群的附加中继。在这种情况下,所有呼叫都通过 Unified CM 路由。来自端口 5060 上的 UCM 的呼叫被路由到 PSTN,来自端口 5065 的呼叫被路由到 Webex Calling。可以添加以下增量配置来包含此调用场景。

1

配置以下语音类 URI:

  1. 使用 SIP VIA 端口将 Unified CM 分类为 Webex 呼叫:

    
voice class uri 300 sip
 pattern :5065

  2. 通过端口使用 SIP 将 Unified CM 分类为 PSTN 呼叫:

    
voice class uri 400 sip
 pattern 192\.168\.80\.6[0-5]:5060

    使用描述原始源地址和端口号的一个或多个模式对从 UCM 到 PSTN 中继的传入消息进行分类。如果需要,可以使用正则表达式来定义匹配模式。

    在上面的例子中,使用正则表达式匹配 192.168.80.60 到 65 范围内的任何 IP 地址和端口号 5060。

2

配置以下 DNS 记录以指定到 Unified CM 主机的 SRV 路由:

IOS XE 使用这些记录在本地确定目标 UCM 主机和端口。使用此配置,不需要在 DNS 系统中配置记录。如果您更喜欢使用自己的 DNS,则不需要这些本地配置。


ip host ucmpub.mydomain.com 192.168.80.60
ip host ucmsub1.mydomain.com 192.168.80.61
ip host ucmsub2.mydomain.com 192.168.80.62
ip host ucmsub3.mydomain.com 192.168.80.63
ip host ucmsub4.mydomain.com 192.168.80.64
ip host ucmsub5.mydomain.com 192.168.80.65
ip host _sip._udp.wxtocucm.io srv 0 1 5065 ucmpub.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub1.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub2.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub3.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub4.mydomain.com
ip host _sip._udp.wxtocucm.io srv 2 1 5065 ucmsub5.mydomain.com
ip host _sip._udp.pstntocucm.io srv 0 1 5060 ucmpub.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub1.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub2.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub3.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub4.mydomain.com
ip host _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub5.mydomain.com

以下是配置字段的说明:

以下命令创建 DNS SRV 资源记录。为每个 UCM 主机和中继创建一条记录:

IP 主机 _sip._udp.pstntocucm.io srv 2 1 5060 ucmsub5.mydomain.com

_sip._udp.pstntocucm.io: SRV 资源记录名称

2: SRV资源记录优先级

1: SRV资源记录权重

5060: 此资源记录中目标主机使用的端口号

ucmsub5.mydomain.com: 资源记录目标主机

要解析资源记录目标主机名,请创建本地 DNS A 记录。例如:

ip 主机 ucmsub5.mydomain.com 192.168.80.65

IP 主机: 在本地 IOS XE 数据库中创建记录。

ucmsub5.mydomain.com: A 记录主机名。

192.168.80.65: 主机 IP 地址。

创建 SRV 资源记录和 A 记录以反映您的 UCM 环境和首选呼叫分配策略。

3

配置以下拨号对等体:

  1. Unified CM 和 Webex Calling 之间的呼叫的拨号对等体:

    
dial-peer voice 300 voip
 description UCM-Webex Calling trunk
 destination-pattern BAD.BAD
 session protocol sipv2
 session target dns:wxtocucm.io
 incoming uri via 300
 voice-class codec 100
 voice-class sip bind control source-interface GigabitEthernet 0/0/0
 voice-class sip bind media source-interface GigabitEthernet 0/0/0
 dtmf-relay rtp-nte
 no vad

    以下是配置字段的说明:

    
dial-peer voice 300 voip
 description UCM-Webex Calling trunk

    定义一个带有标签 300 的VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。

    destination-pattern BAD.BAD

    使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。

    session protocol sipv2

    指定拨号对等体 300 处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

    会话目标 dns:wxtocucm.io

    通过 DNS SRV 解析定义多个 Unified CM 节点的会话目标。在这种情况下,本地定义的 SRV 记录 wxtocucm.io 用于引导呼叫。

    incoming uri via 300

    使用语音类 URI 300 将来自 Unified CM 的所有传入流量(使用源端口 5065)定向到此拨号对等体。有关详细信息,请参阅 传入 uri

    语音类编解码器 100

    指示与 Unified CM 之间的呼叫的编解码器过滤器列表。有关详细信息,请参阅 语音类编解码器

    绑定控制 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    绑定媒体 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    dtmf-relay rtp-nte

    将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

    no vad

    禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

  2. Unified CM 和 PSTN 之间的呼叫的拨号对等体:

    
dial-peer voice 400 voip
 description UCM-PSTN trunk
 destination-pattern BAD.BAD
 session protocol sipv2
 session target dns:pstntocucm.io
 incoming uri via 400
 voice-class codec 100 
 voice-class sip bind control source-interface GigabitEthernet 0/0/0
 voice-class sip bind media source-interface GigabitEthernet 0/0/0
 dtmf-relay rtp-nte
 no vad

    以下是配置字段的说明:

    
dial-peer voice 400 voip
 description UCM-PSTN trunk

    定义一个带有标签 400 的 VoIP 拨号对等体,并给出有意义的描述,以便于管理和故障排除。

    destination-pattern BAD.BAD

    使用入站拨号对等体组路由出站呼叫时,需要虚拟目的地模式。在这种情况下可以使用任何有效的目标模式。

    session protocol sipv2

    指定拨号对等体 400 处理 SIP 呼叫支线。有关更多信息,请参阅 会话协议(拨号对等体)

    会话目标 dns:pstntocucm.io

    通过 DNS SRV 解析定义多个 Unified CM 节点的会话目标。在这种情况下,本地定义的 SRV 记录 pstntocucm.io 用于引导呼叫。

    传入 uri 通过 400

    使用语音类 URI 400 将来自指定 Unified CM 主机(使用源端口 5060)的所有传入流量定向到此拨号对等体。有关详细信息,请参阅 传入 uri

    语音类编解码器 100

    指示与 Unified CM 之间的呼叫的编解码器过滤器列表。有关详细信息,请参阅 语音类编解码器

    绑定控制 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的消息的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    绑定媒体 source-interface GigabitEthernet0/0/0

    配置发送到 PSTN 的媒体的源接口和关联的 IP 地址。有关详细信息,请参阅 bind

    dtmf-relay rtp-nte

    将 RTP-NTE (RFC2833) 定义为呼叫段上预期的 DTMF 功能。有关详细信息,请参阅 DTMF 中继(IP 语音)

    no vad

    禁用语音活动检测。有关更多信息,请参阅 vad (dial peer)

4

使用以下配置添加呼叫路由:

  1. 创建拨号对等组以在 Unified CM 和 Webex Calling 之间路由呼叫。使用 出站拨号对等体 100 定义面向 Webex Calling 的 DPG 100。DPG 100 应用于来自 Unified CM 的相关呼入拨号对等体。类似地,定义 DPG 300,其出站拨号对等体为 300,指向 Unified CM。DPG 300 适用于来自 Webex 的呼入拨号对等体。

    
voice class dpg 100
 description Route calls to Webex Calling
 dial-peer 100
voice class dpg 300
 description Route calls to Unified CM Webex Calling trunk
 dial-peer 300

  2. 创建拨号对等组以在 Unified CM 和 PSTN 之间路由呼叫。使用 出站拨号对等体 200 定义 DPG 200 至 PSTN。DPG 200 应用于来自 Unified CM 的相关呼入拨号对等体。类似地,定义 DPG 400,其出站拨号对等体为 400,指向 Unified CM。DPG 400 适用于来自 PSTN 的呼入拨号对等体。

    
voice class dpg 200
 description Route calls to PSTN
 dial-peer 200
voice class dpg 400
 description Route calls to Unified CM PSTN trunk
 dial-peer 400

    以下是配置字段的说明:

    拨号对等体 100

    将出站拨号对等体与拨号对等体组关联。有关更多信息,请参阅 voice-class dpg

  3. 应用拨号对等组将呼叫从 Webex 路由到 Unified CM 以及从 Unified CM 路由到 Webex: 

    
dial-peer voice 100
 destination dpg 300
dial-peer voice 300
 destination dpg 100

    以下是配置字段的说明:

    目的地 dpg 300

    指定应使用哪个拨号对等体组以及拨号对等体来处理拨入拨号对等体的呼叫。

  4. 应用拨号对等体组将呼叫从 PSTN 路由到 Unified CM,以及从 Unified CM 路由到 PSTN:

    
dial-peer voice 200
 destination dpg 400
dial-peer voice 400
 destination dpg 200

    您的本地网关配置到此结束。如果这是第一次配置 CUBE 功能,请保存配置并重新加载平台。

使用诊断签名监控本地网关并排查

诊断签名 (DS) 主动检测基于 Cisco IOS XE 的本地网关中通常观察到的问题,并生成事件的电子邮件、系统日志或终端消息通知。也可以安装 DS 自动收集诊断数据,并将收集到的数据转移到 Cisco TAC 案例,从而加快解决时间。

诊断签名 (DS) 是 XML 文件,其中包含有关问题触发事件的信息以及用于通知、故障排除和修复问题的操作。使用系统日志消息、SNMP 事件以及通过定期监控特定的 show 命令输出来定义问题检测逻辑。操作类型包括:

  • 收集 show 命令输出

  • 生成合并的日志文件

  • 将文件上传到用户提供的网络位置,例如 HTTPS、SCP、FTP 服务器

TAC 工程师可编写 DS 文件,并针对完整性保护对文件进行数字签名。每个 DS 文件都有系统分配的唯一数字标识。诊断签名查找工具 (DSLT) 是查找适用于监控和排除各种问题的签名的单一来源。

准备工作:

  • 请勿编辑从 DSLT 下载的 DS 文件。由于完整性检查错误,您修改的文件安装失败。

  • 本地网关需要一个简单的邮件传输协议 (SMTP) 服务器来发送电子邮件通知。

  • 如果要使用安全的 SMTP 服务器发送电子邮件通知,请确保本地网关运行 IOS XE 17.6.1 或更高版本。

必要条件

运行 IOS XE 17.6.1 或更高版本的本地网关

  1. 缺省情况下诊断签名处于启用状态。

  2. 配置在设备运行 IOS XE 17.6.1 或更高版本时用于发送主动通知的安全电子邮件服务器。

    
configure terminal 
call-home  
mail-server :@ priority 1 secure tls 
end

  3. 使用管理员的电子邮件地址 ds_email 配置环境变量,通知您。

    
configure terminal 
call-home  
diagnostic-signature 
LocalGateway(cfg-call-home-diag-sign)environment ds_email  
end

安装诊断签名用于主动监控

监控高 CPU 利用率

此 DS 使用 SNMP OID 1.3.6.1.4.1.9.2.1.56 跟踪 5 秒钟的 CPU 利用率。当利用率达到 75% 以上时,它会禁用所有调试并卸载安装在本地网关中的所有诊断签名。请根据以下步骤安装签名。

  1. 确保使用 show snmp 命令启用 SNMP。如果未启用SNMP,则配置 snmp-server manager 命令。

    
show snmp 
%SNMP agent not enabled  

config t 
snmp-server manager 
end  

show snmp 
Chassis: ABCDEFGHIGK 
149655 SNMP packets input 
    0 Bad SNMP version errors 
    1 Unknown community name 
    0 Illegal operation for community name supplied 
    0 Encoding errors 
    37763 Number of requested variables 
    2 Number of altered variables 
    34560 Get-request PDUs 
    138 Get-next PDUs 
    2 Set-request PDUs 
    0 Input queue packet drops (Maximum queue size 1000) 
158277 SNMP packets output 
    0 Too big errors (Maximum packet size 1500) 
    20 No such name errors 
    0 Bad values errors 
    0 General errors 
    7998 Response PDUs 
    10280 Trap PDUs 
Packets currently in SNMP process input queue: 0 
SNMP global trap: enabled

  2. 使用下列诊断签名查找工具中的下拉选项下载 DS 64224:

    copy ftp://username:password@/DS_64224.xml bootflash:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Catalyst 8000V Edge 软件

    产品

    Webex Calling 解决方案中的 CUBE Enterprise

    问题范围

    性能

    问题类型

    “电子邮件通知”的 CPU 占用率过高

    从诊断签名查找工具下载 DS 64224

  3. 将 DS XML 文件复制到本地网关 flash 中。

    copy ftp://username:password@/DS_64224.xml bootflash:

    下例显示将文件从 FTP 服务器复制到本地网关。

    copy ftp://user:pwd@192.0.2.12/DS_64224.xml bootflash: 
Accessing ftp://*:*@ 192.0.2.12/DS_64224.xml...! 
[OK - 3571/4096 bytes] 
3571 bytes copied in 0.064 secs (55797 bytes/sec)

  4. 在本地网关中安装 DS XML 文件。

    
call-home diagnostic-signature load DS_64224.xml 
Load file DS_64224.xml success

  5. 使用 show call-home 诊断签名命令 验证签名安装成功。状态列必须具有“已注册”值。 

    
show call-home diagnostic-signature  
Current diagnostic-signature settings: 
 Diagnostic-signature: enabled 
 Profile: CiscoTAC-1 (status: ACTIVE) 
 Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
 Environment variable: 
           ds_email: username@gmail.com

    Download DSes:

    DS ID

    DS Name

    Revision

    Status

    Last Update (GMT+00:00)

    64224

    DS_LGW_CPU_MON75

    0.0.10

    Registered

    2020-11-07 22:05:33

    触发后,此签名将卸载包括本身在内的所有正在运行的 DS。如有必要,请重新安装 DS 64224,以继续监控本地网关上的 CPU 高使用率。

监控异常呼叫断开连接

此 DS 每 10 分钟使用 SNMP 轮询来检测异常呼叫断开,例如 SIP 错误 403、488 和 503。如果自上次轮询以来错误计数增量大于或等于 5,则会生成系统日志和电子邮件通知。请按照以下步骤安装签名。

  1. 使用 show snmp 命令确保 已启用 SNMP。如果未启用SNMP,请配置 snmp-server manager 命令。 

    show snmp 
%SNMP agent not enabled  

config t 
snmp-server manager 
end  

show snmp 
Chassis: ABCDEFGHIGK 
149655 SNMP packets input 
    0 Bad SNMP version errors 
    1 Unknown community name 
    0 Illegal operation for community name supplied 
    0 Encoding errors 
    37763 Number of requested variables 
    2 Number of altered variables 
    34560 Get-request PDUs 
    138 Get-next PDUs 
    2 Set-request PDUs 
    0 Input queue packet drops (Maximum queue size 1000) 
158277 SNMP packets output 
    0 Too big errors (Maximum packet size 1500) 
    20 No such name errors 
    0 Bad values errors 
    0 General errors 
    7998 Response PDUs 
    10280 Trap PDUs 
Packets currently in SNMP process input queue: 0 
SNMP global trap: enabled

  2. 使用诊断签名查找工具中的下列选项下载 DS 65221:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Catalyst 8000V Edge 软件

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    使用电子邮件和系统日志通知时 SIP 异常呼叫断开连接检测。

  3. 将 DS XML 文件复制到本地网关。

    copy ftp://username:password@/DS_65221.xml bootflash:

  4. 在本地网关中安装 DS XML 文件。 

    
call-home diagnostic-signature load DS_65221.xml 
Load file DS_65221.xml success

  5. 使用命令 show call-home Diagnostic-signature 验证签名是否成功安装。状态栏中应该存在“已注册”值。

安装诊断签名以对问题进行故障诊断

您还可以使用诊断签名 (DS) 快速解决问题。Cisco TAC 工程师编写了几个签名,这些签名可实现对给定问题进行故障诊断、检测问题发生次数、收集正确的诊断数据以及将数据自动转移到 Cisco TAC 案例所需的调试。无需手动检查问题发生次数,并可轻松对间歇性和暂时性问题进行故障诊断。

您可以使用诊断签名查找 工具查找适用的签名并安装它们来自行解决给定问题,或者您也可以安装 TAC 工程师在支持参与中推荐的签名。

以下示例说明了如何查找和安装 DS 以检测是否存在“%VOICE_IEC-3-GW:CCAPI: Internal Error (call spike threshold): IEC=1.1.181.1.29.0“ 系统日志,使用以下步骤自动收集诊断数据:

  1. 将另一个 DS 环境变量 ds_fsurl_prefix配置为 Cisco TAC 文件服务器路径 (cxd.cisco.com),用于上传诊断数据。文件路径中的用户名是案例编号,密码是文件上传令牌,可以从 支持案例管理器 中检索,如下所示。文件上传令牌可以根据需要在支持案例管理器的 附件 部分生成。

    在支持案例管理器的附件部分生成的文件上传令牌
    
configure terminal 
call-home  
diagnostic-signature 
LocalGateway(cfg-call-home-diag-sign)environment ds_fsurl_prefix "scp://:@cxd.cisco.com"  
end

    例如: 

    
call-home  
diagnostic-signature 
environment ds_fsurl_prefix " environment ds_fsurl_prefix "scp://612345678:abcdefghijklmnop@cxd.cisco.com"

  2. 使用 show snmp 命令确保 已启用 SNMP。如果未启用SNMP,请配置 snmp-server manager 命令。

    
show snmp 
%SNMP agent not enabled 
 
config t 
snmp-server manager 
end

  3. 我们建议安装高 CPU 监控 DS 64224 作为主动措施,以在 CPU 高使用率期间禁用所有调试和诊断签名。使用诊断签名查找工具中的下列选项下载 DS 64224:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Catalyst 8000V Edge 软件

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    性能

    问题类型

    电子邮件通知的高 CPU 利用率。

  4. 使用诊断签名查找工具中的下列选项下载 DS 65095:

    字段名

    字段值

    平台

    Cisco 4300、4400 ISR 系列或 Catalyst 8000V Edge 软件

    产品

    Webex Calling 解决方案中的 CUBE 企业版

    问题范围

    系统日志

    问题类型

    系统日志 - %VOICE_IEC-3-GW:CCAPI: Internal Error (Call spike threshold): IEC=1.1.181.1.29.0

  5. 将 DS XML 文件复制到本地网关。

    
copy ftp://username:password@/DS_64224.xml bootflash: 
copy ftp://username:password@/DS_65095.xml bootflash:

  6. 在本地网关中安装高 CPU 监控 DS 64224,然后安装 DS 65095 XML 文件。 

    
call-home diagnostic-signature load DS_64224.xml 
Load file DS_64224.xml success 
call-home diagnostic-signature load DS_65095.xml 
Load file DS_65095.xml success

  7. 验证已使用 show call-home diagnostic-signature 成功安装签名。状态栏中应该存在“已注册”值。 

    
show call-home diagnostic-signature  
Current diagnostic-signature settings: 
 Diagnostic-signature: enabled 
 Profile: CiscoTAC-1 (status: ACTIVE) 
 Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
 Environment variable: 
           ds_email: username@gmail.com 
           ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com

    Downloaded DSes:

    DS ID

    DS Name

    Revision

    Status

    Last Update (GMT+00:00)

    64224

    00:07:45

    DS_LGW_CPU_MON75

    0.0.10

    Registered

    2020-11-08:00:07:45

    65095

    00:12:53

    DS_LGW_IEC_Call_spike_threshold

    0.0.12

    Registered

    2020-11-08:00:12:53

验证诊断签名执行

在下列命令中 ,命令的“状态”列显示呼叫主诊断签名 将更改为“正在运行”,而本地网关执行签名中定义的操作。显示呼叫 主诊断签名 统计信息的输出是验证诊断签名是否检测到感兴趣的事件并执行了操作的最佳办法。“已触发/最大/Deinstall”列显示给定签名触发事件的时间、用于检测事件的定义的最大次数以及签名是否在检测到最大触发事件数后自动取消安装。 

show call-home diagnostic-signature  
Current diagnostic-signature settings: 
 Diagnostic-signature: enabled 
 Profile: CiscoTAC-1 (status: ACTIVE) 
 Downloading  URL(s):  https://tools.cisco.com/its/service/oddce/services/DDCEService 
 Environment variable: 
           ds_email: carunach@cisco.com 
           ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com

Downloaded DSes:

DS ID

DS Name

Revision

Status

Last Update (GMT+00:00)

64224

DS_LGW_CPU_MON75

0.0.10

Registered

2020-11-08 00:07:45

65095

DS_LGW_IEC_Call_spike_threshold

0.0.12

Running

2020-11-08 00:12:53

显示呼叫家庭诊断签名统计信息

DS ID

DS Name

已触发/Max/Deinstall

Average Run Time (seconds)

Max Run Time (seconds)
64224

DS_LGW_CPU_MON75

0/0/N

0.000

0.000

65095

DS_LGW_IEC_Call_spike_threshold

1/20/Y

23.053

23.053

诊断通知电子邮件期间发送的诊断签名包含关键信息,例如问题类型、设备详细信息、软件版本、运行配置和显示与给定的问题故障诊断相关的命令输出。

诊断签名执行期间发送的通知电子邮件

卸载诊断签名

诊断签名用于疑难解答,通常定义为在检测到某些问题后卸载。如果要手动卸载签名,从 show call-home 诊断签名 的输出中检索 DS 标识并运行以下命令:

call-home diagnostic-signature deinstall

例如:

call-home diagnostic-signature deinstall 64224

根据部署中观察到的问题,定期将新的签名添加到诊断签名查找工具中。TAC 当前不支持新建自定义签名的请求。