ActiveControl 概觀

ActiveControl 是一種橋接 Webex 雲端與內部部署環境之間的會議資訊的解決方案。 在出現此解決方案之前,多方通話所涉及的 Webex Teams 應用程式使用者已看到有哪些其他參加者出席、目前誰在發言以及誰在展示簡報等相關資訊。

透過 XCCP 閘道元件將會議資訊從雲端傳遞至內部部署環境。 閘道的功能是轉換雙方的這項資訊,因此(在同時涉及 Webex 雲端和內部部署元件的通話情境中),Webex Teams 雲端和內部部署環境對會議資訊具有類似的存取權。

ActiveControl 使用案例

如果使用者使用執行最新 CE 軟體的內部部署端點或 Jabber 用戶端來撥入 Webex Teams 主持的會議或從該會議進行回撥,則可從 ActiveControl 中獲益。

在此情境下,XCCP 閘道會將名冊(參加者清單)會議資訊轉換成內部部署端點或 Jabber 用戶端。

ActiveControl 的架構

在圖表頂部,從左至右顯示與 Webex 雲端的安全內部部署連線,並且範例指出兩個雲端使用者(一個在 Webex Teams 中,另一個在 Webex Meetings 中)加入會議。

底部顯示已註冊至 Unified CM 的會議室端點,以及可放置會議媒體的視訊網格節點叢集。

將捕獲參加者清單體驗;使用者存取端點本身中的清單,並且清單看上去與 Webex Teams 或 Webex Meetings 中的清單相同。

設定 ActiveControl

開始之前

當 ActiveControl 解決方案在會議流程中包含「視訊網格」節點時,唯一可行的方案是已向 Unified CM 註冊的端點。 目前,直接向 Expressway 註冊的端點不適用於「視訊網格」。

下圖彙總了為加入雲端會議的內部部署註冊裝置設定 ActiveControl 的步驟。 部分步驟直接包含在本文中,部分步驟包含在其他文件中。

保護基於雲端的會議 ActiveControl 的需求 設定 Expressway 加密 Expressway 端點 加密 Expressway 端點 保護基於視訊網格的會議 驗證在安全端點上的會議體驗

ActiveControl 的需求

此表列出 ActiveControl 所需的元件和支援的版本。 此外,還需要進行端對端加密,以讓會議資訊安全地從雲端傳遞至內部部署環境。 設定文件可引導您完成這些步驟,但請注意此表中列出的安全性需求。


 

如果您有即將進行的維護時段並且計劃升級,我們建議您將內部部署元件升級至最新可用的版本,以提供持續的安全性、錯誤修正程式並且易於使用。

表 1. ActiveControl 的需求

元件

需求

Cisco Unified Communications Manager

Cisco Webex 視訊網格

最低 — 採用混合安全模式的 11.5(1) 版或更高版本。

推薦 — 12.5(1) SU1 或更高版本,以支援在內部註冊或透過 Mobile and Remote Access (MRA) 註冊的不安全的端點。 不需要採用 Unified CM 混合安全模式。

將視訊網格節點註冊至雲端,使用 SIP TLS 進行保護,然後根據部署指南(位於 https://www.cisco.com/go/video-mesh)中的步驟進行設定。

Cisco Expressway-C 或 E

最低版本 - X8.11.4 版或更高版本。 如需相關資訊,請參閱"重要資訊"部分(位於 Expressway X8.11.4 發行說明)。

建議 — 對於使用 Unified CM 非安全裝置安全模式設定的 MRA 裝置,建議使用 X12.5 版或更高版本。


 

視訊網格目前不支援直接註冊到 Expressway 進行呼叫控制的裝置的安全 SIP 幹線。

CE 端點(SX、DX、MX 系列)

CE 9.6 或更高版本,已安全地註冊至上述其中一個通話控制平台

Cisco Jabber

12.5 版本或更高版本

加密

低於 12.5 的版本 — 必須使用 TLS 1.2 來保護從端點到雲端的整個通話路徑。

12.5 版本及更高版本 — 在端點與 Unified CM 之間不需要使用 TLS。

Unified CM

這些步驟可確保裝置安全地登錄至 Unified CM 並且媒體已加密。

1

遵循在 Cisco Unified Communications Manager 中啟用 iX 支援一節(位於 ActiveControl 部署指南)中的步驟,在 Unified CM 中設定 iX 支援。

2

設定裝置安全性設定檔:


 

如果您使用的是 12.5 版 Unified CM 和 Expressway,則不需要此步驟。

Cisco Unified Communications Manager 將裝置類型和通訊協定的安全相關設定(例如裝置安全性模式)分組至安全性設定檔,以讓您將單個安全性設定檔指定給多個裝置。 當您在「電話設定」視窗中選擇安全性設定檔時,可將配置的設定套用至電話。

  1. 從 Cisco Unified CM 管理中,轉至裝置 > 電話,然後尋找設定電話(位於 Cisco Unified Communications Manager 的系統設定指南)中所述的端點。

  2. 對於端點,請在通訊協定專用資訊之下將裝置安全性設定檔設為安全的 SIP 設定檔,例如通用裝置範本 - 與型號無關的加密安全性設定檔

  3. 儲存對端點所做的變更。

    如需其他資訊,請參閱電話安全性設定檔設定(位於 Cisco Unified Communications Manager 的安全性指南)。

3

設定安全通話圖示顯示的服務參數:

  1. 轉至系統 > 服務參數,選擇 Unified CM 伺服器和 Cisco CallManager 服務。

  2. 捲至叢集範圍參數(功能 - 通話安全狀態策略),然後將安全通話圖示顯示策略必要欄位服務參數的值變更為必須加密除 BFCP 以外的所有媒體

需要此項變更,鎖定圖示才會顯示在 CE 端點上。 如需相關資訊,請按一下服務參數名稱來檢視線上說明。

針對端點本身執行這些步驟以確保建立了安全的 TLS 連線。


如果您使用 12.5 版的 Unified CM 和 Expressway,則不需要這些步驟。

1

在端點管理介面上,移至 SIP 並確認下列設定:

表 2. 端點設定

欄位

設定

ANAT

開啟

DefaultTransport

Tls

線條

專用

ListenPort

關閉

PreferredIPMedia

PreferredIPSignaling

IPv4

Proxy 位址

輸入在其中註冊了裝置的 Unified CM 發佈者的 IP 位址。

TlsVerify

開啟

類型

Cisco

2

儲存變更。

3

安全性之下,驗證是否已安裝 Unified CM 憑證。

Expressway

遵循下列步驟,以在註冊裝置的 Expressway 與連線至雲端的上游 Expressway 配對區域之間設定區域。

1

在 Expressway 通話控制與 Expressway 配對之間的區域的進階設定之下,預設選項是將 SIP UDP/IX 篩選器模式設為關閉

2

區域設定檔設為自訂,然後儲存變更。

針對 Expressway 註冊的端點本身執行這些步驟以確保建立了安全的 TLS 連線。

1

在端點管理介面上,移至 SIP 並確認下列設定:

表 3. 端點設定

欄位

設定

ANAT

關閉

DefaultTransport

Tls

線條

專用

ListenPort

開啟

MinimumTLSVersion

TLSv1.0

PreferredIPMedia

PreferredIPSignaling

IPv4

Proxy 位址

輸入在其中註冊了裝置的 Expressway 的 IP 位址。

TlsVerify

關閉

類型

標準

2

儲存變更。

保護基於雲端的會議

使用這些步驟來建立啟用了 iX 的 SIP 設定檔並保護從 Unified CM 流向 Expressway 的流量。

1

使用下列選項為此幹線設定 SIP 設定檔:

  • 語音及視訊通話的 Early Offer 支援設定為 Best Effort(不需要 MTP)

  • 勾選允許 iX 應用程式媒體。 (在舊版 iX 支援步驟中已勾選)。

2

針對 SIP 幹線,請套用您建立的 SIP 設定檔。

3

目的地之下的目的地位址中輸入 Expressway-C IP 位址或 FQDN,然後輸入 5061 作為目的地埠

下一步

  • 若要讓 TLS 連線起作用,必須交換 Unified CM 與 Expressway 之間的憑證,或者 Unified CM 與 Expressway 必須具有由同一憑證授權單位簽署的憑證。 如需相關資訊,請參閱"確保信任 Unified CM 與 Expressway 之間的憑證"(位於通過 SIP 幹線的 Cisco Expressway 与 CUCM 部署指南)。

  • 在 Expressway-C(Unified CM 中的下一個躍點)上,在 Expressway 與 Unified CM 之間的區域的進階設定之下,確保將 SIP UDP/IX 篩選器模式設為關閉(這是預設值)。 如需相關資訊,請參閱"篩選 Cisco VCS 中的 iX"(位於 ActiveControl 部署指南)。

保護基於視訊網格的會議

如果您在組織中部署了視訊網格,您可以保護註冊至雲端之叢集的視訊網格節點。

透過遵循部署指南(位於 https://www.cisco.com/go/video-mesh)中的步驟來設定加密。

驗證在安全端點上的會議體驗

使用這些步驟以確認已安全地註冊端點並且會出現正確的會議體驗。

1

從安全端點加入會議。

2

確認會議名冊清單會顯示在裝置上。

本範例顯示會議清單在具有觸控面板的端點上是什麼樣子:

3

在開會期間,從通話詳細資料中存取 Webex 會議資訊。

4

確認加密部分顯示的類型AES-128狀態開啟