設定組織的Webex Calling,您可以設定中繼線以將本區閘道連接至Webex Calling。 本地閘道與 Webex 雲端之間的幹線一直使用 SIP TLS 傳輸進行保護。 本區閘道與主機之間的Webex Calling使用 SRTP。
本區閘道組配置工作流程
有兩個選項可設定您的中繼線的本 Webex Calling閘道:
基於註冊的中繼線
憑證型幹線
使用基於註冊的本 區閘道或憑證型本區閘道下的工作流程,為中繼線設定Webex Calling閘道。 請參閱 設定中繼線、路由群組及Webex Calling ,以瞭解有關不同中繼線類型的資訊。 使用指令行介面 (CLI) 在 Local Gateway 本身上執行下列步驟。 我們使用階段作業起始通訊協定 (SIP) 和傳輸層安全性 (TLS) 傳輸來保障中繼線安全及安全即時通訊協定 (SRTP), 以確保本區閘道與傳輸層安全Webex Calling。
在開始之前
瞭解內部部署式公用交換電話網路 (PSTN) 和本區閘道 (LGW) 需求 Webex Calling。 請參閱 Cisco Preferred Architecture for Webex Calling 以瞭解更多資訊。
本文假設專用本區閘道平臺已部署,但不存在語音組態。 如果您修改現有的 PSTN 閘道或本區閘道企業部署,以用作 Webex Calling 的本區閘道功能,請特別注意組配置。 確保您不會因為您做的變更而中斷現有的通話流程和功能。
在 Control Hub 中建立幹線,並將其指定給位置。 請參閱 設定中繼線、路由群組及撥號計畫Webex Calling 以瞭解更多資訊。
在開始之前
請確保您根據組織的策略和程式設定了下列基準平臺設定:
NTP
Acl
啟用密碼
主要密碼
IP 路由
IP 位址等
對於所有本地閘道部署,您需要最低支援的 Cisco IOS XE 16.12 或 IOS-XE 17.3 版本。
1 | 確保指定任何第 3 層介面具有有效且可路由的 IP 位址:
|
2 | 使用下列指令為密碼預先配置主要金鑰,然後再使用認證和共用的加密。 您可以使用 AES 加密和使用者定義的主要金鑰來加密 Type 6 密碼。
|
3 | 設定 IP 名稱伺服器以啟用 DNS 查詢和 ping 以確保伺服器可聯繫。 本區閘道使用 DNS 解析Webex Calling Proxy 位址:
|
4 | 啟用 TLS 1.2 獨佔性及預設預留位置信任點:
|
5 | 更新本區閘道信任組: 預設信任集區組合不包含「DigiCert Root CA」或「IdenTrust 商業」憑證,您需要在 TLS 建立至 Webex Calling 的 TLS 連接期間驗證服務器端憑證 。 從 下載最新的 「Cisco 信任核心根套件」 以 http://www.cisco.com/security/pki/ 更新信任套件套件套件。 |
在開始之前
確保完成 Control Hub 中的步驟,以建立位置並為此位置新增幹線。 在下列範例中,您可從 Control Hub 取得資訊。
1 | 輸入下列指令以開啟本區閘道應用程式( 請參閱埠參考資訊Cisco Webex Calling,以尋找您必須新到埠上的最新 IP 子網信任清單):
以下是組配置的欄位說明:
|
||||
2 | 設定「SIP 設定檔 200」。
以下是組配置的欄位說明:
|
||||
3 | 設定編解碼器設定檔、stun 定義和 SRTP 加密套件。
以下是組配置的欄位說明:
|
||||
4 | 將 Control Hub 參數對圖至本區閘道組設定。 在 Webex Calling 閘道內作為租使用者加入。 您需要組態在語音類別 租使用者 200 下註冊本區閘道 。 您必須從 Control Hub 的主幹資訊頁面取得該組配置的元素,如下圖所示。 下列範例顯示哪些欄位會對對到各自本區閘道 CLI。 將租使用者 200 Webex Calling 本端閘道組笢垀衄衾弇衾弇芞撥號對等 ( 2xx 標籤)。 語音類別租使用者功能允許分組和設定 SIP 中繼線參數,否則在語音服務VoIP和 sip ua 下完成。 當您設定租使用者並應用於撥號對等下時,下列偏好順序會適用于本端閘道組設定:
|
||||
5 | 設定 語音類別租使用者 200 以根據您從 Control Hub 取得 的參數Webex Calling從本區閘道啟用中繼線註冊至通話:
以下是組配置的欄位說明:
|
在 Local Gateway 內定義租使用者 200 並設定 SIP VoIP 撥號對等之後,閘道隨後會啟動指向 Webex Calling 的 TLS 連接,此時存取 SBC 會將其憑證呈現給本端閘道。 本區閘道會使用 Webex Calling 更新的 CA 根套件來驗證存取 SBC 憑證。 在 Local Gateway 和 Webex Calling存取 SBC 之間建立持續 TLS 會話 。 接著,本區閘道會向受質疑的存取 SBC 傳送 REGISTER。 註冊 AOR 是 number@domain。 該號碼取自認證的「number」參數,而網域取自「registrar dns:<fqdn>」。 當註冊受到質疑時:
認證 中的使用者名稱 、密碼及領域參數用於建立標頭和 sip-profile 200。
將 SIPS URL 轉換回 SIP。
此部署需要在本區閘道上進行下列組配置:
語音類別租 使用者 — 您可以為撥號對等對向 ITSP 建立其他租使用者,類似您為撥號對等對向撥號對等Webex Calling 200 。
語音類別 URI — 針對終止于本端閘道的各種中繼線,定義主機 IP 位址/埠的型式:
Webex Calling LGW
PSTN LGW 上終止 SIP 中繼線
外撥對等 - 您可以將外撥通話線路從 LGW 路由至 ITSP SIP 中繼線Webex Calling 。
語音類別 DPG — 您可以叫用以從傳入撥號對等為目標的外撥對等。
傳入撥號對等 - 您可以接受來自 ITSP 和 Webex Calling 的 撥入電話Webex Calling 。
使用合作夥伴託管的本方閘道設定或客戶網站閘道的組設定,如下圖所示。
1 | 設定下列語音類別租戶: |
2 | 設定下列語音類別 URI: |
3 | 設定下列輸出撥號點: |
4 | 設定下列撥號對等群組 (dpg): |
5 | 設定下列輸入撥號點: |
- PSTN 至 Webex Calling
-
使本端閘道PSTN 的所有來電 IP 路由與撥號對等 100 符合,以定義 VIA 標題與 IP PSTN IP 位址的相符條件。 DPG 200 會叫用 傳出撥號對等 200201, 將Webex Calling伺服器當做目標目的地。
- Webex Calling 至 PSTN
-
使本端閘道上的所有 來電 Webex Calling 通話線路與撥號對等 200201 相符, 以定義具有中繼線群組 OTG/DTG 參數之 REQUEST URI 標題型式相符條件,此此本端閘道部署是唯一的。 DPG 100 會叫用傳出撥號對等 101 ,其具有 IP PSTN IP 位址當做目標目的地。
此部署需要在本區閘道上進行下列組配置:
語音類別租 使用者 — 您為撥號對等對向 Unified CM 和 ITSP 建立更多租使用者,類似于您為對向撥號對等建立Webex Calling 200 。
語音類別 URI —針對終止于 LGW 上的各種中繼線,定義主機 IP 位址/埠的型式:
用於目的地的 Unified CM PSTN LGW
用於目的地的 Unified CM Webex Calling LGW
Webex Calling LGW 目的地
PSTN LGW 上終止 SIP 中繼線
語音類別伺服器群組 — 您可以針對外發中繼線的目標 IP 位址/埠,從:
LGW 至 Unified CM
LGW 至 Webex Calling
LGW 至PSTN SIP 中繼線
外撥對等 - 您可以路由撥出通話線路,從:
LGW 至 Unified CM
ITSP SIP 中繼線
Webex Calling
語音類別 DPG — 您可以叫用以從傳入撥號對等為目標的外撥對等。
傳入撥號對等 - 您可以接受來自 Unified CM、ITSP 和 Webex Calling 的傳入通話Webex Calling 。
1 | 設定下列語音類別租戶: |
2 | 設定下列語音類別 URI: |
3 | 設定下列語音類別伺服器群組: |
4 | 設定下列輸出撥號點: |
5 | 設定下列 DPG: |
6 | 設定下列輸入撥號點: |
IP PSTN Unified CM PSTN中繼線
Webex Calling平臺至 Unified CM Webex Calling中繼線
Unified CM PSTN中繼線至 IP PSTN
Unified CM Webex Calling 至 Webex Calling 平臺的 中繼線
診斷簽章 (DS) 主動偵測 IOS XE 型本端閘道中常見的問題,並產生事件的電子郵件、syslog 或終端留言通知。 您也可以安裝 DS 以自動收集診斷資料,以及將收集的資料傳送至 Cisco TAC 案例以加快解決時間。
診斷簽章 (DS) 是包含問題觸發事件相關資訊的 XML 檔案,以及通知、疑難排解及修正問題所應採取的動作。 問題偵測邏輯使用 Syslog 訊息、SNMP 事件以及透過定期監控特定的顯示指令輸出進行定義。 動作類型包括收集顯示指令輸出、產生合併的記錄檔,以及將檔案上傳至使用者提供的網路位置,如 HTTPS、SCP、FTP 伺服器。 DS 檔案由 TAC 工程師編寫且以數位方式簽署,以保護完整性。 每個 DS 檔案都具有系統指派的唯一數字 ID。 診斷簽章查找工具 (DSLT) 是尋找適用簽章的單一來源,用於監視和疑難排解各種問題。
開始之前:
不要編輯您從 DSLT 下載的 DS 檔案 。 由於完整性檢查錯誤,您修改的檔案安裝失敗。
本區閘道傳送電子郵件通知需要簡單郵件傳送通訊協定 (SMTP) 伺服器。
如果您希望使用安全的 SMTP 伺服器接收電子郵件通知,請確認本區閘道執行 IOS XE 17.6.1 或更高版本。
必要條件
執行 IOS XE 17.3.2 或更高版本的本機閘道
預設啟用診斷簽章。
設定當裝置執行 Cisco IOS XE 17.3.2 或更高版本時,用於傳送主動通知的安全電子郵件伺服器。
configure terminal call-home mail-server <username>:<pwd>@<email server> priority 1 secure tls end
使用您通知 ds_email 的管理員電子郵件地址來設定環境變數。
configure terminal call-home diagnostic-signature environment ds_email <email address> end
16.11.1 或更高版本的本區閘道
診斷簽章預設為啟用
設定在裝置執行早於 17.3.2 的版本時,用於傳送主動通知的電子郵件伺服器。
configure terminal call-home mail-server <email server> priority 1 end
使用要接收通知的管理員的電子郵件地址設定環境變數 ds_email。
configure terminal call-home diagnostic-signature environment ds_email <email address> end
執行 16.9.x 版的本機閘道
輸入下列指令以啟用診斷簽章。
configure terminal call-home reporting contact-email-addr sch-smart-licensing@cisco.com end
設定在裝置執行早於 17.3.2 的版本時,用於傳送主動通知的電子郵件伺服器。
configure terminal call-home mail-server <email server> priority 1 end
使用要接收通知的管理員的電子郵件地址設定環境變數 ds_email。
configure terminal call-home diagnostic-signature environment ds_email <email address> end
以下顯示了在 Cisco IOS XE 17.3.2 上執行,以將主動通知傳送給 tacfaststart@gmail.com(使用 Gmail 作為安全的 SMTP 伺服器)的本域閘道組尨婓狟宎狟饜
call-home
mail-server tacfaststart:password@smtp.gmail.com priority 1 secure tls
diagnostic-signature
environment ds_email "tacfaststart@gmail.com"
在 Cisco IOS XE 軟體上執行的本地閘道不是支援 OAuth 的一般網路型 Gmail 用戶端,因此我們必須設定特定的 Gmail 帳戶設定,並提供特定許可權以正確處理來自裝置的電子郵件: |
前往 安全性較低的應用程式存取設定。
,然後開啟當您從 Gmail 收到表示「Google 阻止他人使用非 Google 應用程式來登錄您的帳戶」的電子郵件時,請回答「是,就是我」。
安裝用於主動監控的診斷簽章
監控高 CPU 使用率
此 DS 使用 SNMP OID 1.3.6.1.4.1.9.2.1.56 追蹤 5 秒鐘的 CPU 使用率。 當使用率達到 75% 以上時,它會停用所有除錯,並卸載安裝在本區閘道上的所有診斷簽章。 請使用下列步驟來安裝簽章。
確保使用指令 show snmp 啟用 SNMP 。 如果您未啟用,請設定「snmp-server Manager」指令。
show snmp %SNMP agent not enabled config t snmp-server manager end show snmp Chassis: ABCDEFGHIGK 149655 SNMP packets input 0 Bad SNMP version errors 1 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 37763 Number of requested variables 2 Number of altered variables 34560 Get-request PDUs 138 Get-next PDUs 2 Set-request PDUs 0 Input queue packet drops (Maximum queue size 1000) 158277 SNMP packets output 0 Too big errors (Maximum packet size 1500) 20 No such name errors 0 Bad values errors 0 General errors 7998 Response PDUs 10280 Trap PDUs Packets currently in SNMP process input queue: 0 SNMP global trap: enabled
使用診斷簽章查詢工具中的下列下拉選項下載 DS 64224:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
效能
問題類型
電子郵件通知的 CPU 使用率高。
將 DS XML 檔案複製到本機閘道 Flash。
LocalGateway# copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash:
以下範例顯示將檔案從 FTP 伺服器複製到本區閘道。
copy ftp://user:pwd@192.0.2.12/DS_64224.xml bootflash: Accessing ftp://*:*@ 192.0.2.12/DS_64224.xml...! [OK - 3571/4096 bytes] 3571 bytes copied in 0.064 secs (55797 bytes/sec)
在本機閘道中安裝 DS XML 檔案。
call-home diagnostic-signature load DS_64224.xml Load file DS_64224.xml success
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
show call-home diagnostic-signature Current diagnostic-signature settings: Diagnostic-signature: enabled Profile: CiscoTAC-1 (status: ACTIVE) Downloading URL(s): https://tools.cisco.com/its/service/oddce/services/DDCEService Environment variable: ds_email: username@gmail.com
下載 DS:
DS ID
DS 名稱
修訂版
狀態
前次更新時間 (GMT+00:00)
64224
DS_LGW_CPU_MON75
0.0.10
已註冊
2020-11-07 22:05:33
在觸發時,此簽章會解除安裝所有正在執行的 DS,包括本身。 如有必要,請重新安裝 DS 64224 以繼續監視本區閘道上的高 CPU 使用率。
監控 SIP 幹線註冊
此 DS 會每隔 60 秒檢查SIP 幹線雲端Cisco Webex Calling閘道主機的未註冊。 偵測到取消註冊事件後,它會產生電子郵件和 syslog 通知,在兩次取消註冊後自行卸載。 請使用下列步驟來解除安裝簽章。
使用診斷簽章查詢工具中的下列下拉選項下載 DS 64117:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
SIP-SIP
問題類型
SIP 幹線電子郵件通知取消註冊。
將 DS XML 檔案複製到本機閘道。
copy ftp://username:password@<server name or ip>/DS_64117.xml bootflash:
在本機閘道中安裝 DS XML 檔案。
call-home diagnostic-signature load DS_64117.xml Load file DS_64117.xml success LocalGateway#
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
監控異常的通話中斷連接
此 DS 每隔 10 分鐘使用 SNMP 輪詢來偵測異常通話連線中斷,並顯示 SIP 錯誤 403、488 和 503。 如果錯誤計數遞增值大於或等於上一次民意調查的 5,則會產生 syslog 和電子郵件通知。 請使用下列步驟來解除安裝簽章。
檢查是否使用指令 show snmp 啟用 SNMP。 如果未啟用,請設定「snmp-server manager」指令。
show snmp %SNMP agent not enabled config t snmp-server manager end show snmp Chassis: ABCDEFGHIGK 149655 SNMP packets input 0 Bad SNMP version errors 1 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 37763 Number of requested variables 2 Number of altered variables 34560 Get-request PDUs 138 Get-next PDUs 2 Set-request PDUs 0 Input queue packet drops (Maximum queue size 1000) 158277 SNMP packets output 0 Too big errors (Maximum packet size 1500) 20 No such name errors 0 Bad values errors 0 General errors 7998 Response PDUs 10280 Trap PDUs Packets currently in SNMP process input queue: 0 SNMP global trap: enabled
使用診斷簽章查詢工具中的下列選項下載 DS 65221:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
效能
問題類型
使用電子郵件和 Syslog 通知進行 SIP 異常通話中斷偵測。
將 DS XML 檔案複製到本機閘道。
copy ftp://username:password@<server name or ip>/DS_65221.xml bootflash:
在本機閘道中安裝 DS XML 檔案。
call-home diagnostic-signature load DS_65221.xml Load file DS_65221.xml success
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
安裝診斷簽章以對問題進行疑難排解
診斷簽章 (DS) 也可以用於快速解決問題。 Cisco TAC 工程師已編寫數個簽章,這些簽章可啟用疑難排解給定問題、偵測問題、收集正確的診斷資料,以及將資料自動傳送至 Cisco TAC 案例所需的偵錯。 這無需手動檢查問題發生情況,可更輕鬆地對間歇性和暫時問題進行疑難排解。
您可以使用診斷 簽章查找工具來尋找適用的簽章,並安裝它們以自行解決給定問題,或者您可以安裝 TAC 工程師建議的簽章(作為支援參與的一部分)。
以下範例說明如何尋找並安裝 DS 以偵測事件「%VOICE_IEC-3-GW: CCAPI: Internal Error (call spike threshold): IEC=1.1.181.1.29.0「 syslog,並使用以下步驟自動化診斷資料收集:
設定其他 DS 環境 ds_fsurl_prefix 變數,此變數是 Cisco TAC 檔案伺服器路徑 (cxd.cisco.com),收集的診斷資料會上傳至此路徑。 使用者名稱檔案路徑 案例號碼,密碼是密碼,檔案上傳指令中的支援案例 管理元中檢索此權杖。 根據需要,您可以在支援案例管理程式的附件區段中產生檔案上傳記號。
configure terminal call-home diagnostic-signature LocalGateway(cfg-call-home-diag-sign)environment ds_fsurl_prefix "scp://<case number>:<file upload token>@cxd.cisco.com" end
範例:
call-home diagnostic-signature environment ds_fsurl_prefix " environment ds_fsurl_prefix "scp://612345678:abcdefghijklmnop@cxd.cisco.com"
確保使用顯示 snmp 指令啟用 SNMP 。 如果未啟用,請設定「snmp-server manager」指令。
show snmp %SNMP agent not enabled config t snmp-server manager end
確保安裝高 CPU 監控 DS 64224 作為主動措施,以在 CPU 使用率高期間停用所有調試和診斷簽章。 使用診斷簽章查詢工具中的下列選項下載 DS 64224:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
效能
問題類型
電子郵件通知的 CPU 使用率高。
使用診斷簽章查詢工具中的下列選項下載 DS 65095:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
Syslog
問題類型
Syslog - %VOICE_IEC-3-GW: CCAPI: Internal Error (Call spike threshold): IEC=1.1.181.1.29.0
將 DS XML 檔案複製到本機閘道。
copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash: copy ftp://username:password@<server name or ip>/DS_65095.xml bootflash:
在本機閘道中安裝高 CPU 監控 DS 64224,然後安裝 DS 65095 XML 檔案。
call-home diagnostic-signature load DS_64224.xml Load file DS_64224.xml success call-home diagnostic-signature load DS_65095.xml Load file DS_65095.xml success
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
show call-home diagnostic-signature Current diagnostic-signature settings: Diagnostic-signature: enabled Profile: CiscoTAC-1 (status: ACTIVE) Downloading URL(s): https://tools.cisco.com/its/service/oddce/services/DDCEService Environment variable: ds_email: username@gmail.com ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com
下載的 DS:
DS ID
DS 名稱
修訂版
狀態
前次更新時間 (GMT+00:00)
64224
00:07:45
DS_LGW_CPU_MON75
0.0.10
已註冊
2020-11-08
65095
上午 12:12:53
DS_LGW_IEC_Call_spike_threshold
0.0.12
已註冊
2020-11-08
驗證診斷簽章執行
在下列指令中 ,當本區閘道執行簽章內定義的動作時,指令的「狀態」欄會顯示通話- 首頁診斷簽章變更為「執行中」。 顯示通話 主診斷簽 章統計資料的輸出是驗證診斷簽章是否偵測到感興趣的事件並執行動作的最佳方式。 「觸發/上限/取消安裝」欄指示指定簽名觸發事件次數、定義偵測事件的最大次數,以及偵測觸發事件數上限後簽章是否自行取消安裝。
show call-home diagnostic-signature
Current diagnostic-signature settings:
Diagnostic-signature: enabled
Profile: CiscoTAC-1 (status: ACTIVE)
Downloading URL(s): https://tools.cisco.com/its/service/oddce/services/DDCEService
Environment variable:
ds_email: carunach@cisco.com
ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com
下載的 DS:
DS ID |
DS 名稱 |
修訂版 |
狀態 |
前次更新時間 (GMT+00:00) |
---|---|---|---|---|
64224 | DS_LGW_CPU_MON75 |
0.0.10 |
已註冊 |
2020/11/8 上午 12:07:45 |
65095 |
DS_LGW_IEC_Call_spike_threshold |
0.0.12 |
正在執行 |
2020/11/8 上午 12:12:53 |
顯示通話-首頁診斷-簽章統計資料
DS ID |
DS 名稱 |
已觸發/最大值/解除安裝 |
平均執行時間(秒) |
最長執行時間(秒) |
---|---|---|---|---|
64224 | DS_LGW_CPU_MON75 |
0/0/N |
0.000 |
0.000 |
65095 |
DS_LGW_IEC_Call_spike_threshold |
1/20/Y |
23.053 |
23.053 |
在通知電子郵件簽章執行期間所送出的解決方案包含主要資訊,例如問題類型、裝置詳細資料、軟體版本、執行中的組配置,以及顯示與疑難排解給定問題相關的指令輸出。
卸載診斷簽章
用於疑難排解的診斷簽章通常定義為在偵測到一定數量的問題後解除安裝。 若要手動卸載簽章,請從顯示通話主診斷簽 章的輸出中檢索 DS ID ,然後執行下列指令:
call-home diagnostic-signature deinstall <DS ID>
範例:
call-home diagnostic-signature deinstall 64224
根據部署中常見的問題,定期將新簽章新新加入診斷簽章查找工具。 TAC 目前不支援建立新自訂簽章的請求。 |
在開始之前
請確保您根據組織的策略和程式設定了下列基準平臺設定:
NTP
Acl
啟用密碼
主要密碼
IP 路由
IP 位址等
對於所有本地閘道部署,您需要最低支援的 IOS XE 17.6 版本。
1 | 確保指派有效且可路由的 IP 位址給任何第 3 層介面:
|
||||
2 | 您必須先使用下列指令為密碼預先配置主要金鑰,然後再用作認證和共用的加密。 類型 6 密碼使用 AES 加密和使用者定義的主要金鑰進行加密。
|
||||
3 | 設定 IP 名稱伺服器以啟用 DNS 查詢。 Ping IP 名稱伺服器,並確保伺服器可聯繫。 本區閘道必須Webex Calling DNS 解析代理位址:
|
||||
4 | 啟用 TLS 1.2 Exclusivity 和預設的預留位置信任點:
|
||||
5 | 如果根憑證具有中間 CA,則執行下列指令:
|
||||
6 | 建立信任點以保留根憑證。 (如果沒有中間 CA,請執行下列指令。)
|
||||
7 | 設定 SIP-UA 以使用您建立的信任點。
|
在開始之前
向網路Webex Calling 必須使用公用 IPv4 位址。 完整功能變數名稱(FQDN)或服務記錄(SRV)位址必須解析為網際網路上的公用 IPv4 位址。
外部介面上的所有 SIP 和媒體埠都必須可從網際網路進行訪問。 埠不得在網路位址轉譯 (NAT) 後面。 請確保您更新商業網路元件上的防火牆。
在 Local Gateway 上安裝簽署的憑證。
憑證必須由 CA 簽署,如 要撥打至音訊和視Cisco Webex支援哪些根憑證授權單位單位? 。
從FQDN中心選取的憑證必須是憑證的一般名稱 (CN) 或主體替代名稱 (SAN)。 例如:
如果從組織的 Control Hub 所配置的中繼線 london.lgw.cisco.com:5061 為FQDN閘道的路由,則 CN 或 SAN 必須包含 london.lgw.cisco.com 憑證中。
如果從組織的 Control Hub 所配置的中繼線 london.lgw.cisco.com 做為SRV閘道的 SRV 位址,則 CN 或 SAN 必須在憑證 london.lgw.cisco.com 包含此位址。 此位址解析SRV(CNAME、A 記錄或 IP 位址)的記錄在 SAN 中是可選的。
在FQDN或SRV範例中,您本區閘道中所有新 SIP 對話方塊的聯絡 london.lgw.cisco.com 必須在 SIP 位址的主機部分中。 請參閱第 5 步 以瞭解組配置。
確保針對用戶端和伺服器使用方式簽署憑證。
您必須將信任組合上傳 至本區閘道,如要撥打至音訊和視Cisco Webex支援哪些根憑證授權單位單位? 所述。
1 | 輸入下列指令以開啟本區閘道應用程式( 請參閱埠參考資訊Cisco Webex Calling,以新增為 ip 子網信任清單):
以下是組配置的欄位說明:
|
||
2 | 設定「語音類別編解碼器 100」。
以下是組配置的欄位說明: 語音類別編解碼器 100 允許使用 opus 及 g711(mu 和 a-law)編解碼器進行會話。 將偏好的編解碼器適用于所有撥號對等。 有關更多資訊,請參閱 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/vcr5/vcr5-cr-book/vcr-v1.html#wp3562947976。 |
||
3 | 設定「語音類別 stun-usage 100」以啟用 ICE。
以下是組配置的欄位說明: 語音類別 stun-usage 100 定義 stun 使用方式。 將 stun Webex Calling所有對向撥號對等,以避免 Unified CM 電話將呼叫轉撥至其他電話時Webex Calling音訊。 有關更多資訊,請參閱 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/vcr5/vcr5-cr-book/vcr-v2.html#wp1961799183。 |
||
4 | 設定「voice class srtp-crypto 100」以限制支援的加密。
以下是組配置的欄位說明: 語音類別 srtp-crypto 100指定 SHA1 _ 80 作為唯一 SRTP 加密套件,由 SDP 中的本區閘道提供並接聽。 Webex Calling 僅支援 SHA1_80。
|
||
5 | 設定「SIP 設定檔 100」。 在範例中,cube1.abc.lgwtrunking.com 是FQDN閘道選取的 ip 位址,而「172.x.x.x」是朝向 Webex Calling 的本區閘道介面的 IP 位址 :
以下是組配置的欄位說明:
|
||
6 | 設定下列四個外撥對等: |
||
7 | 根據撥號對等朝向 目前/使用Webex Calling建立撥號對等群組。
以下是組配置的欄位說明:
將外撥對等 與撥號對等群組 100 建立關聯,並使用相同的偏好設定來設定撥號對等 101 、102 、103 和 104。 有關更多資訊,請參閱 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/vcr2/vcr2-cr-book/vcr-d1.html#wp2182184624。 |
||
8 | 根據撥號對等朝向主要/備份模型 Webex Calling建立撥號對等群組。
以下是組配置的欄位說明:
將外撥對等與 撥號對等群組 100 建立關聯 ,將撥號 對等 101 和 102 設定為第一個偏好設定。 有關更多資訊,請參閱 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/vcr5/vcr5-cr-book/vcr-v1.html#wp7209864940。
將外撥對等與 撥號對等群組 100 建立 關聯,將撥號 對等 103 和 104 設定為第二個偏好設定。 有關更多資訊,請參閱 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/vcr5/vcr5-cr-book/vcr-v1.html#wp7209864940。 |
||
9 | 設定來自外部的傳入撥號Webex Calling 。 傳入相符專案基於 URI 請求。
以下是組配置的欄位說明:
|
此部署需要在本區閘道上進行下列組配置:
語音類別 URI — 您可以針對終止于本端閘道的各種中繼線定義主機 IP 位址/埠型式:
Webex Calling LGW
PSTN LGW 上終止 SIP 中繼線
外撥對等 - 您可以將外撥通話線路從 LGW 路由至網際網路電話服務提供者 (ITSP) SIP 中繼線Webex Calling。
語音類別 DPG — 您可以叫用以從傳入撥號對等為目標的外撥對等。
傳入撥號對等 - 您可以接受來自 ITSP 和 Webex Calling 的 撥入電話Webex Calling 。
使用合作夥伴託管的本區閘道設定或本地客戶網站閘道的組設定。 請參閱下列內容:
1 | 設定下列語音類別 URI: |
2 | 設定下列輸出撥號點: |
3 | 設定下列撥號對等群組 (dpg): |
4 | 設定下列輸入撥號點: |
- PSTN至 Webex Calling :
-
使本端閘道PSTN 的所有來電 IP 路由與撥號對等 122 符合 ,以定義 VIA 標題與 IP PSTN IP 位址的相符條件。 Dpg 100 會叫用傳出撥號對等 101 , 102 , 103 ,104 , 其具有 Webex Calling 伺服器作為目標目的地。
- Webex Calling至PSTN:
-
將本端閘道上Webex Calling的所有來電來電通話支線與撥號對等 110 相符,以定義具有 Local Gateway 主機名稱之 REQUEST URI 標題型式相符條件,此為本端閘道部署所特有。 Dpg 120 會叫用傳出撥號對等 121 ,其具有 IP PSTN IP 位址當做目標目的地。
此部署需要在本區閘道上進行下列組配置:
語音類別 URI — 您可以定義各種終止于 LGW 的中繼線的主機 IP 位址/埠型式:
用於目的地的 Unified CM PSTN LGW
用於目的地的 Unified CM Webex Calling LGW
Webex Calling LGW 目的地
PSTN LGW 目的地上終止 SIP 中繼線
語音類別伺服器群組 — 您可以針對外發中繼線的目標 IP 位址或埠,從:
LGW 至 Unified CM
LGW 至 Webex Calling
LGW 至PSTN SIP 中繼線
外撥對等 - 您可以路由撥出通話線路,從:
LGW 至 Unified CM
網際網路電話語音服務提供者 (ITSP) SIP 中繼線
Webex Calling
語音類別 dpg — 您可以目標從傳入撥號對等叫用外撥對等。
傳入撥號對等 - 您可以接受來自 Unified CM、ITSP 和 Webex Calling 的傳入通話Webex Calling 。
1 | 設定下列語音類別 URI: |
2 | 設定下列語音類別伺服器群組: |
3 | 設定下列輸出撥號點: |
4 | 設定下列撥號對等群組 (DPG): |
5 | 設定下列輸入撥號點: |
診斷簽章 (DS) 主動偵測基於 Cisco IOS XE 的本端閘道中常見的問題,並產生事件的電子郵件、syslog 或終端機留言通知。 您也可以安裝 DS 以自動收集診斷資料,以及將收集的資料傳送至 Cisco TAC 案例以加快解決時間。
診斷簽章 (DS) 是包含問題觸發事件相關資訊的 XML 檔案,以及通知、疑難排解及修正問題所應採取的動作。 問題偵測邏輯使用 Syslog 訊息、SNMP 事件以及透過定期監控特定的顯示指令輸出進行定義。 動作類型包括收集顯示指令輸出、產生合併的記錄檔,以及將檔案上傳至使用者提供的網路位置,如 HTTPS、SCP、FTP 伺服器。 DS 檔案由 TAC 工程師編寫且以數位方式簽署,以保護完整性。 每個 DS 檔案都具有系統指派的唯一數字 ID。 診斷簽章查找工具 (DSLT) 是尋找適用簽章的單一來源,用於監視和疑難排解各種問題。
開始之前:
不要編輯您從 DSLT 下載的 DS 檔案 。 由於完整性檢查錯誤,您修改的檔案安裝失敗。
本區閘道傳送電子郵件通知需要簡單郵件傳送通訊協定 (SMTP) 伺服器。
如果您希望使用安全的 SMTP 伺服器接收電子郵件通知,請確認本區閘道執行 IOS XE 17.6.1 或更高版本。
必要條件
圳圳 IOS XE 17.6.1 或更高版本的本地閘道
預設啟用診斷簽章。
設定當裝置執行 IOS XE 17.6.1 或更高版本時,用於傳送主動通知的安全電子郵件伺服器。
configure terminal call-home mail-server <username>:<pwd>@<email server> priority 1 secure tls end
使用您通知 ds_email 的管理員電子郵件地址來設定環境變數。
configure terminal call-home diagnostic-signature LocalGateway(cfg-call-home-diag-sign)environment ds_email <email address> end
Local Gateway running 17.6.1 版本
輸入下列指令以啟用診斷簽章。
configure terminal call-home reporting contact-email-addr sch-smart-licensing@cisco.com end
設定當裝置執行的版本低於 17.6.1 時,用於傳送主動通知的電子郵件伺服器。
configure terminal call-home mail-server <email server> priority 1 end
使用您通知 ds_email 的管理員的電子郵件地址來設定環境變數。
configure terminal call-home diagnostic-signature LocalGateway(cfg-call-home-diag-sign)environment ds_email <email address> end
以下顯示了在 Cisco IOS XE 17.6.1 上執行,以將主動通知傳送給 tacfaststart@gmail.com(使用 Gmail 作為安全的 SMTP 伺服器)的本域閘道組尨婓狟宎狟饜
call-home
mail-server tacfaststart:password@smtp.gmail.com priority 1 secure tls
diagnostic-signature
environment ds_email "tacfaststart@gmail.com"
在 Cisco IOS XE 軟體上執行的本地閘道不是支援 OAuth 的一般網路型 Gmail 用戶端,因此我們必須設定特定的 Gmail 帳戶設定,並提供特定許可權以正確處理來自裝置的電子郵件: |
前往 安全性較低的應用程式存取設定。
,然後開啟當您從 Gmail 收到表示「Google 阻止他人使用非 Google 應用程式來登錄您的帳戶」的電子郵件時,請回答「是,就是我」。
安裝用於主動監控的診斷簽章
監控高 CPU 使用率
此 DS 使用 SNMP OID 1.3.6.1.4.1.9.2.1.56 追蹤 5 秒鐘的 CPU 使用率。 當使用率達到 75% 以上時,它會停用所有除錯,並卸載您安裝于本區閘道的所有診斷簽章。 請使用下列步驟來安裝簽章。
確保使用顯示 snmp 指令啟用 SNMP 。 如果您未啟用,請設定「snmp-server Manager」指令。
show snmp %SNMP agent not enabled config t snmp-server manager end show snmp Chassis: ABCDEFGHIGK 149655 SNMP packets input 0 Bad SNMP version errors 1 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 37763 Number of requested variables 2 Number of altered variables 34560 Get-request PDUs 138 Get-next PDUs 2 Set-request PDUs 0 Input queue packet drops (Maximum queue size 1000) 158277 SNMP packets output 0 Too big errors (Maximum packet size 1500) 20 No such name errors 0 Bad values errors 0 General errors 7998 Response PDUs 10280 Trap PDUs Packets currently in SNMP process input queue: 0 SNMP global trap: enabled
使用診斷簽章查詢工具中的下列下拉選項下載 DS 64224:
copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
效能
問題類型
電子郵件通知的 CPU 使用率高。
將 DS XML 檔案複製到本機閘道 Flash。
copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash:
以下範例顯示將檔案從 FTP 伺服器複製到本區閘道。
copy ftp://user:pwd@192.0.2.12/DS_64224.xml bootflash: Accessing ftp://*:*@ 192.0.2.12/DS_64224.xml...! [OK - 3571/4096 bytes] 3571 bytes copied in 0.064 secs (55797 bytes/sec)
在本機閘道中安裝 DS XML 檔案。
call-home diagnostic-signature load DS_64224.xml Load file DS_64224.xml success
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
show call-home diagnostic-signature Current diagnostic-signature settings: Diagnostic-signature: enabled Profile: CiscoTAC-1 (status: ACTIVE) Downloading URL(s): https://tools.cisco.com/its/service/oddce/services/DDCEService Environment variable: ds_email: username@gmail.com
下載 DS:
DS ID
DS 名稱
修訂版
狀態
前次更新時間 (GMT+00:00)
64224
DS_LGW_CPU_MON75
0.0.10
已註冊
2020-11-07 22:05:33
在觸發時,此簽章會解除安裝所有正在執行的 DS,包括本身。 如有必要,請重新安裝 DS 64224 以繼續監視本區閘道上的高 CPU 使用率。
監控異常的通話中斷連接
此 DS 每隔 10 分鐘使用 SNMP 輪詢來偵測異常通話連線中斷,並顯示 SIP 錯誤 403、488 和 503。 如果錯誤計數遞增值大於或等於上一次民意調查的 5,則會產生 syslog 和電子郵件通知。 請使用下列步驟來解除安裝簽章。
檢查是否使用指令 show snmp 啟用 SNMP。 如果未啟用,請設定「snmp-server manager」指令。
show snmp %SNMP agent not enabled config t snmp-server manager end show snmp Chassis: ABCDEFGHIGK 149655 SNMP packets input 0 Bad SNMP version errors 1 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 37763 Number of requested variables 2 Number of altered variables 34560 Get-request PDUs 138 Get-next PDUs 2 Set-request PDUs 0 Input queue packet drops (Maximum queue size 1000) 158277 SNMP packets output 0 Too big errors (Maximum packet size 1500) 20 No such name errors 0 Bad values errors 0 General errors 7998 Response PDUs 10280 Trap PDUs Packets currently in SNMP process input queue: 0 SNMP global trap: enabled
使用診斷簽章查詢工具中的下列選項下載 DS 65221:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
效能
問題類型
使用電子郵件和 Syslog 通知進行 SIP 異常通話中斷偵測。
將 DS XML 檔案複製到本機閘道。
copy ftp://username:password@<server name or ip>/DS_65221.xml bootflash:
在本機閘道中安裝 DS XML 檔案。
call-home diagnostic-signature load DS_65221.xml Load file DS_65221.xml success
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
安裝診斷簽章以對問題進行疑難排解
診斷簽章 (DS) 也可以用於快速解決問題。 Cisco TAC 工程師已編寫數個簽章,這些簽章可啟用疑難排解給定問題、偵測問題、收集正確的診斷資料,以及將資料自動傳送至 Cisco TAC 案例所需的偵錯。 這無需手動檢查問題發生情況,可更輕鬆地對間歇性和暫時問題進行疑難排解。
您可以使用診斷 簽章查找工具來尋找適用的簽章並安裝來自我解決給定問題,或者您可以安裝 TAC 工程師建議的簽章(作為支援參與的一部分)。
以下範例說明如何尋找並安裝 DS 以偵測事件「%VOICE_IEC-3-GW: CCAPI: Internal Error (call spike threshold): IEC=1.1.181.1.29.0「 syslog,並使用以下步驟自動化診斷資料收集:
設定其他 DS 環境變數 ds_fsurl_prefix,這是上傳所收集診斷資料至其中的 CiscoTAC 檔案伺服器路徑 (cxd.cisco.com)。 使用者名稱檔案路徑案例號碼,密碼是可以從支援案例管理檔案上傳 檢索的權杖,如下圖所示。 如果需要檔案上傳可在支援案例管理員的 附件區段產生此權杖。
configure terminal call-home diagnostic-signature LocalGateway(cfg-call-home-diag-sign)environment ds_fsurl_prefix "scp://<case number>:<file upload token>@cxd.cisco.com" end
範例:
call-home diagnostic-signature environment ds_fsurl_prefix " environment ds_fsurl_prefix "scp://612345678:abcdefghijklmnop@cxd.cisco.com"
確保使用顯示 snmp 指令啟用 SNMP 。 如果未啟用,請設定「snmp-server manager」指令。
show snmp %SNMP agent not enabled config t snmp-server manager end
我們建議安裝高 CPU 監控 DS 64224 作為主動措施,以在 CPU 使用率高期間停用所有調試和診斷簽章。 使用診斷簽章查詢工具中的下列選項下載 DS 64224:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
效能
問題類型
電子郵件通知的 CPU 使用率高。
使用診斷簽章查詢工具中的下列選項下載 DS 65095:
欄位名稱
欄位值
平台
Cisco 4300、4400 ISR 系列或 Cisco CSR 1000V 系列
產品
Webex Calling 解決方案中的 CUBE 企業版
問題範圍
Syslog
問題類型
Syslog - %VOICE_IEC-3-GW: CCAPI: Internal Error (Call spike threshold): IEC=1.1.181.1.29.0
將 DS XML 檔案複製到本機閘道。
copy ftp://username:password@<server name or ip>/DS_64224.xml bootflash: copy ftp://username:password@<server name or ip>/DS_65095.xml bootflash:
在本機閘道中安裝高 CPU 監控 DS 64224,然後安裝 DS 65095 XML 檔案。
call-home diagnostic-signature load DS_64224.xml Load file DS_64224.xml success call-home diagnostic-signature load DS_65095.xml Load file DS_65095.xml success
驗證已使用 show call-home diagnostic-signature 成功安裝簽章。 狀態欄應具有「已註冊」值。
show call-home diagnostic-signature Current diagnostic-signature settings: Diagnostic-signature: enabled Profile: CiscoTAC-1 (status: ACTIVE) Downloading URL(s): https://tools.cisco.com/its/service/oddce/services/DDCEService Environment variable: ds_email: username@gmail.com ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com
下載的 DS:
DS ID
DS 名稱
修訂版
狀態
前次更新時間 (GMT+00:00)
64224
00:07:45
DS_LGW_CPU_MON75
0.0.10
已註冊
2020-11-08:00:07:45
65095
上午 12:12:53
DS_LGW_IEC_Call_spike_threshold
0.0.12
已註冊
2020-11-08:上午 12:12:53
驗證診斷簽章執行
在下列指令中 ,當本區閘道執行簽章內定義的動作時,指令的「狀態」欄會顯示通話- 首頁診斷簽章變更為「執行中」。 顯示通話 主診斷簽 章統計資料的輸出是驗證診斷簽章是否偵測到感興趣的事件並執行動作的最佳方式。 「觸發/上限/取消安裝」欄指示指定簽名觸發事件次數、定義偵測事件的最大次數,以及偵測觸發事件數上限後簽章是否自行取消安裝。
show call-home diagnostic-signature
Current diagnostic-signature settings:
Diagnostic-signature: enabled
Profile: CiscoTAC-1 (status: ACTIVE)
Downloading URL(s): https://tools.cisco.com/its/service/oddce/services/DDCEService
Environment variable:
ds_email: carunach@cisco.com
ds_fsurl_prefix: scp://612345678:abcdefghijklmnop@cxd.cisco.com
下載的 DS:
DS ID |
DS 名稱 |
修訂版 |
狀態 |
前次更新時間 (GMT+00:00) |
---|---|---|---|---|
64224 | DS_LGW_CPU_MON75 |
0.0.10 |
已註冊 |
2020/11/8 上午 12:07:45 |
65095 |
DS_LGW_IEC_Call_spike_threshold |
0.0.12 |
正在執行 |
2020/11/8 上午 12:12:53 |
顯示通話-首頁診斷-簽章統計資料
DS ID |
DS 名稱 |
已觸發/最大值/解除安裝 |
平均執行時間(秒) |
最長執行時間(秒) |
---|---|---|---|---|
64224 | DS_LGW_CPU_MON75 |
0/0/N |
0.000 |
0.000 |
65095 |
DS_LGW_IEC_Call_spike_threshold |
1/20/Y |
23.053 |
23.053 |
在診斷簽章執行期間傳送的通知電子郵件包含關鍵資訊,如問題類型、裝置詳細資料、軟體版本、執行中的設定,以及與對給定問題進行疑難排解相關的顯示指令輸出。

卸載診斷簽章
將診斷簽章用於疑難排解一般定義為在偵測到一定數量的問題後卸載。 若要手動卸載簽章,請從顯示通話主診斷簽 章的輸出中檢索 DS ID ,然後執行下列指令:
call-home diagnostic-signature deinstall <DS ID>
範例:
call-home diagnostic-signature deinstall 64224
根據部署中常見的問題,定期將新簽章新新加入診斷簽章查找工具。 TAC 目前不支援建立新自訂簽章的請求。 |