تكوين التكامل الآمن بين CUCM و CUC واستكشاف أخطاء هذا التكامل وإصلاحها
المحتويات
المقدمة
يصف هذا المستند تكوين الاتصال الآمن بين خادم Cisco Unified Communications Manager (CUCM) و Cisco Unity Connection (CUC) والتحقق منه واستكشاف أخطائه وإصلاحها.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من CUCM.
ارجع إلى دليل أمان مدير الاتصالات الموحدة من Cisco للحصول على مزيد من التفاصيل.
يجب تمكين التشفير ل Unity Connection 11.5(1) SU3 والإصدارات الأحدث.
أمر CLI "utils cuc encryption <enable/disable>"
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- CUCM الإصدار 10.5.2.11900-3.
- CUC الإصدار 10.5.2.11900-3.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الرسم التخطيطي
يشرح هذا المخطط بإيجاز العملية التي تساعد في إنشاء اتصال آمن بين CUCM و CUC:
1. يقوم مدير المكالمات بإعداد اتصال أمان طبقة النقل (TLS) إلى خادم CUC إما على بروتوكول التحكم في المكالمات النحيلة (SCCP) للمنفذ 2443 أو بروتوكول بدء جلسة عمل 5061 المستند إلى (SIP) على البروتوكول المستخدم للتكامل.
2. يقوم خادم CUC بتنزيل ملف قائمة الشهادات الموثوق بها (CTL) من خادم TFTP (عملية زمنية واحدة)، واستخلاص شهادة CallManager.pem وتخزينها.
3. يقدم خادم CUCM شهادة CallManager.pem التي تم التحقق منها مقابل شهادة CallManager.pem التي تم الحصول عليها في الخطوة السابقة. وبالإضافة إلى ذلك، يجري التحقق من شهادة CUC مقابل شهادة جذر CUC مخزنة في CUCM. لاحظ أنه يجب على المسؤول تحميل الشهادة الجذر إلى CUCM.
4. إذا نجح التحقق من الشهادات، يتم إنشاء اتصال TLS آمن. يتم إستخدام هذا الاتصال لتبادل إشارات SCCP أو SIP المشفرة.
5. يمكن تبادل حركة المرور الصوتية إما كبروتوكول نقل الوقت الفعلي (RTP) أو SRTP.
التكوين - خط اتصال SIP الآمن
تكوين CUC
1. إضافة شهادة SIP
انتقل إلى إدارة CUC > عمليات التكامل الهاتفية > الأمان > شهادة SIP > إضافة جديد
- اسم العرض: <أي اسم ذو معنى>
- اسم الموضوع: <أي اسم على سبيل المثال، SecureConnection>
2. إنشاء نظام هاتف جديد أو تعديل نظام افتراضي
انتقل إلى دمج الخدمات الهاتفية > نظام الهاتف. يمكنك إستخدام نظام الهاتف الموجود بالفعل أو إنشاء نظام جديد.
3. إضافة مجموعة منافذ جديدة
في صفحة "أساسيات النظام الهاتفي"، في المربع المنسدل "الارتباطات" ذات الصلة، حدد إضافة مجموعات منافذ وحدد "انتقال". دخلت في التشكيل نافذة، هذا معلومة:
- نظام الهاتف:
- إنشاء من: SIP نوع مجموعة المنافذ
- أمان SIP Profile: 5061/TLS
- شهادة SIP:
- وضع الأمان: مشفر
- بروتوكول RTP الآمن: تم التحقق
- عنوان IPv4 أو اسم المضيف:
ضربة حفظ.
4. تحرير الخوادم
انتقل إلى Edit (تحرير) > Servers (الخوادم) وأضف خادم TFTP من مجموعة CUCM كما هو موضح في هذه الصورة.
5. إعادة ضبط مجموعة المنافذ
ارجع إلى أساسيات مجموعة المنافذ وأعد ضبط مجموعة المنافذ كما يطلب النظام كما هو موضح في هذه الصورة.
6. إضافة منافذ البريد الصوتي
في صفحة أساسيات مجموعة المنافذ، في المربع المنسدل للارتباطات ذات الصلة، حدد إضافة منافذ وحدد انتقال. دخلت في التشكيل نافذة، هذا معلومة:
- تمكين: تم التحقق
- عدد المنافذ:
- نظام الهاتف:
- مجموعة المنافذ:
- الخادم:
- سلوك المنفذ:
7. تنزيل شهادة جذر CUC
انتقل إلى عمليات التكامل الهاتفية > الأمان > شهادة الجذر، انقر بزر الماوس الأيمن فوق عنوان URL لحفظ الشهادة كملف باسم <filename>.0 (يجب أن يكون امتداد الملف هو .0 بدلا من .htm) واضغط حفظ كما هو موضح في هذه الصورة.
تكوين CUCM
1. تكوين ملف تعريف أمان خط اتصال SIP لشنطة تجاه CUC
انتقل إلى إدارة CUCM > النظام > الأمان > ملف تعريف أمان خط اتصال SIP > إضافة جديد
تأكد من تعبئة هذه الحقول بشكل صحيح في:
- وضع أمان الجهاز: مشفر
- اسم الموضوع X.509: SecureConnection>
- قبول الرجوع خارج الحوار: محدد
- قبول إعلام غير مطلوب: محدد
- قبول إستبدال الرأس: محدد
2. تكوين ملف تعريف SIP
انتقل إلى جهاز > إعدادات الجهاز > ملف تعريف SIP إذا احتجت إلى تطبيق أي إعدادات معينة. وإلا، يمكنك إستخدام ملف تعريف SIP القياسي.
3. إنشاء خط اتصال SIP
انتقل إلى الجهاز > Trunk > إضافة جديد.أنشئ خط اتصال SIP الذي سيتم إستخدامه للتكامل الآمن مع Unity Connection كما هو موضح في هذه الصورة.
دخلت في الأداة معلومة قسم من شنطة تشكيل، هذا معلومة:
- اسم الجهاز:
- تجمع الأجهزة:
- SRTP مسموح به: تم التحقق
في قسم المكالمات الواردة من تكوين خط الاتصال، أدخل هذه المعلومات:
- إستدعاء مساحة البحث:
- إعادة توجيه تسليم رأس التحويل - الوارد: تم التحقق
في الخارج يدعو قسم من شنطة تشكيل، دخلت هذا معلومة:
- إعادة توجيه تسليم رأس التحويل - الصادر: تم التحقق
دخلت في ال SIP معلومة قسم من شنطة تشكيل، هذا معلومة:
- عنوان الوجهة:
- ملف تعريف أمان خط اتصال SIP:
- تغيير توجيه مساحة البحث عن الاتصال:
- خارج مربع الحوار ارجع إستدعاء مساحة البحث:
- ملف تعريف SIP:
اضبط الإعدادات الأخرى طبقا لمتطلباتك.
4. إنشاء نمط مسار
قم بإنشاء نمط مسار يشير إلى خط الاتصال الذي تم تكوينه (توجيه المكالمات > توجيه المسار/الصيد > نمط المسار). يمكن إستخدام الملحق الذي تم إدخاله كرقم لنمط المسار كدليل للبريد الصوتي. أدخل هذه المعلومات:
- نمط المسار:
- قائمة المسارات/العبارات:
5. قم بإنشاء برنامج تجريبي للبريد الصوتي
قم بإنشاء برنامج تجريبي للبريد الصوتي الخاص بالتكامل (ميزات متقدمة > البريد الصوتي > برنامج تجريبي للبريد الصوتي). قم بإدخال القيم التالية:
- الرقم التجريبي للبريد الصوتي:
- إستدعاء مساحة البحث: التي تتضمن أقسام تحتوي على نمط المسار المستخدم كطيار>
6. إنشاء ملف تعريف البريد الصوتي
قم بإنشاء ملف تعريف للبريد الصوتي لربط كافة الإعدادات معا (ميزات متقدمة > البريد الصوتي > ملف تعريف البريد الصوتي). أدخل المعلومات التالية:
- الإصدار التجريبي للبريد الصوتي:
- قناع مربع البريد الصوتي:
7. تعيين ملف تعريف البريد الصوتي إلى DNs
قم بتعيين ملف تعريف البريد الصوتي إلى DNs المراد منها إستخدام تكامل آمن. لا تنس النقر على زر "تطبيق التكوين" بعد تغيير إعدادات DN:
انتقل إلى: توجيه المكالمات > رقم الدليل وتغيير ما يلي:
- Voice Mail Profile: Secure_SIP_Integration
8. تحميل شهادة جذر CUC كثقة بالمدير
انتقل إلى إدارة نظام التشغيل > الأمان > إدارة الشهادات > تحميل الشهادة/سلسلة الشهادات وتحميل شهادة جذر CUC ك CallManager-trust على جميع العقد التي تم تكوينها للاتصال بخادم CUC.
تكوين منافذ SCCP الآمنة
تكوين CUC
1. تنزيل شهادة جذر CUC
انتقل إلى إدارة CUC > الدمج الهاتفي > الأمان > شهادة الجذر. انقر بزر الماوس الأيمن على عنوان URL لحفظ الشهادة كملف باسم <filename>.0 (يجب أن يكون امتداد الملف هو .0 بدلا من .htm) واضغط على حفظ:
2. إنشاء نظام هاتف / تعديل النظام الموجود.
انتقل إلى دمج الخدمات الهاتفية > نظام الهاتف. يمكنك إستخدام نظام الهاتف الموجود بالفعل أو إنشاء نظام جديد.
3. إضافة مجموعة منافذ SCCP جديدة
في صفحة "أساسيات النظام الهاتفي"، في المربع المنسدل "الارتباطات" ذات الصلة، حدد إضافة مجموعة منافذ وحدد انتقال. دخلت في التشكيل نافذة، هذا معلومة:
- نظام الهاتف:
- نوع مجموعة المنافذ: SCCP
- بادئة اسم الجهاز*: CiscoUM1-VI
- ملحق MWI على:
- امتداد MWI المغلق:
4. تحرير الخوادم
انتقل إلى تحرير > خوادم وأضف خادم TFTP من مجموعة CUCM.
5. إضافة منافذ SCCP الآمنة
في صفحة أساسيات مجموعة المنافذ، في المربع المنسدل للارتباطات ذات الصلة، حدد إضافة منافذ وحدد انتقال. دخلت في التشكيل نافذة، هذا معلومة:
- تمكين: محدد
- عدد المنافذ:
- نظام الهاتف:
- مجموعة المنافذ:
- الخادم:
- سلوك المنفذ:
- وضع الأمان: مشفر
تكوين CUCM
1. إضافة منافذ
انتقل إلى إدارة CUCM > الميزات المتقدمة > تكوين منفذ البريد الصوتي > إضافة جديد.
قم بتكوين منافذ SCCP للبريد الصوتي كالمعتاد. يكمن الاختلاف الوحيد في وضع أمان الجهاز ضمن تكوين المنفذ حيث يلزم تحديد خيار منفذ البريد الصوتي المشفر.
2. تحميل شهادة جذر CUC كثقة بالمدير
انتقل إلى إدارة نظام التشغيل > الأمان > إدارة الشهادات > تحميل الشهادة/سلسلة الشهادات وتحميل شهادة جذر CUC ك CallManager-trust على جميع العقد التي تم تكوينها للاتصال بخادم CUC.
3. تكوين ملحقات تشغيل/إيقاف معلومات انتظار الرسائل (MWI)
انتقل إلى إدارة CUCM > ميزات متقدمة > تكوين منفذ البريد الصوتي وتكوين امتدادات تشغيل/إيقاف MWI. يجب أن تتطابق أرقام MWI مع تكوين CUC.
4. إنشاء برنامج تجريبي للبريد الصوتي
قم بإنشاء برنامج تجريبي للبريد الصوتي الخاص بالتكامل (ميزات متقدمة > البريد الصوتي > برنامج تجريبي للبريد الصوتي). قم بإدخال القيم التالية:
- الرقم التجريبي للبريد الصوتي:
- إستدعاء مساحة البحث: التي تتضمن أقسام تحتوي على نمط المسار المستخدم كطيار>
5. إنشاء ملف تعريف البريد الصوتي
قم بإنشاء ملف تعريف للبريد الصوتي لربط كافة الإعدادات معا (ميزات متقدمة > البريد الصوتي > ملف تعريف البريد الصوتي). أدخل هذه المعلومات:
- الإصدار التجريبي للبريد الصوتي:
- قناع مربع البريد الصوتي:
6. تعيين ملف تعريف البريد الصوتي إلى DNs
قم بتعيين ملف تعريف البريد الصوتي إلى DNs التي ترغب في إستخدام تكامل آمن. انقر على زر تطبيق التكوين بعد تغيير إعدادات DN:
انتقل إلى توجيه المكالمات > رقم الدليل وتغيير إلى:
- ملف تعريف البريد الصوتي Voice Mail Profile: -8000
7. إنشاء مجموعة توجيه مكالمات عبر البريد الصوتي
أ) إضافة مجموعة خطوط جديدة (توجيه المكالمات > المسار/الصيد > مجموعة الخطوط)
ب) إضافة قائمة جديدة باصطياد البريد الصوتي (توجيه المكالمات > المسار/الصيد > قائمة مطاردة)
ج) إضافة طيار توجيه مكالمات جديد (توجيه المكالمات > المسار/الصيد > طيار الصيد)
التحقق من الصحة
التحقق من منافذ SCCP
انتقل إلى إدارة CUCM > ميزات متقدمة > البريد الصوتي > منافذ البريد الصوتي وتحقق من تسجيل المنفذ.
اضغط على زر البريد الصوتي على الهاتف للاتصال بالبريد الصوتي. يجب سماع رسالة الترحيب الافتتاحية إذا لم يتم تكوين ملحق المستخدم على نظام Unity Connection.
التحقق من خط اتصال SIP الآمن
اضغط على زر البريد الصوتي على الهاتف للاتصال بالبريد الصوتي. يجب أن تسمع رسالة الترحيب الافتتاحية إذا لم يتم تكوين ملحق المستخدم على نظام Unity Connection.
بدلا من ذلك، يمكنك تمكين خيار SIP keepalive لمراقبة حالة خط اتصال SIP. يمكن تمكين هذا الخيار في ملف تعريف SIP الذي تم تعيينه على خط اتصال SIP. بمجرد تمكين هذا الخيار، يمكنك مراقبة حالة خط اتصال SIP عبر الجهاز > خط الاتصال كما هو موضح في هذه الصورة.
التحقق من اتصال RTP الآمن
تحقق مما إذا كان رمز القفل موجودا في مكالمات Unity Connection. وهذا يعني أن تدفق RTP مشفر (يجب أن يكون ملف تعريف أمان الجهاز آمنا لكي يعمل هو) كما هو موضح في هذه الصورة.
استكشاف الأخطاء وإصلاحها
1. تلميحات عامة حول أستكشاف المشكلات وإصلاحها
اتبع هذه الخطوات لاستكشاف أخطاء التكامل الآمن وإصلاحها:
- التحقق من التكوين.
- تأكد من تشغيل جميع الخدمات ذات الصلة. (CUCM - CallManager، TFTP، CUC - مدير المحادثة)
- تأكد من أن المنافذ المطلوبة للاتصالات الآمنة بين الخوادم مفتوحة في الشبكة (منفذ TCP 2443 لتكامل SCCP و TCP 5061 لتكامل SIP).
- إذا كان كل هذا صحيحا، فتابع جمع الأثار.
2 - الآثار المطلوب تجميعها
قم بتجميع هذه المسارات لاستكشاف أخطاء التكامل الآمن وإصلاحها.
- التقاط الحزمة من CUCM و CUC
- آثار CallManager
- مسارات مدير المحادثات من Cisco
ارجع إلى هذه الموارد للحصول على معلومات إضافية حول:
كيفية التقاط حزمة على CUCM:
كيفية تمكين التتبع على خادم CUC:
المشكلات الشائعة
الحالة 1: تعذر إنشاء اتصال آمن (تنبيه CA غير معروف)
بعد تجميع التقاط الحزمة من أي من الخادم، يتم إنشاء جلسة TLS.
أصدر العميل تنبيه بخطأ فادح من CA غير معروف للخادم، فقط لأن العميل لم يتمكن من التحقق من الشهادة المرسلة من الخادم.
هناك احتمالان:
1) يرسل CUCM التنبيه مرجع مصدق غير معروف
- تحقق من تحميل شهادة جذر CUC الحالية على الخادم الذي يتصل بخادم CUC.
- تأكد من إعادة تشغيل خدمة CallManager على الخادم المطابق.
2) يرسل CUC التنبيه مرجع مصدق غير معروف
- تحقق من إدخال عنوان IP ل TFTP بشكل صحيح في مجموعة المنافذ > تحرير > تكوين الخوادم على خادم CUC.
- تحقق من إمكانية الوصول إلى خادم CUCM TFTP من خادم الاتصال.
- تأكد من أن ملف CTL الموجود على CUCM TFTP حالي (قارن إنتاج "show ctl" بالشهادات كما هو موضح في صفحة إدارة نظام التشغيل). قم بإعادة تشغيل CTLClient إذا لم تكن كذلك.
- أعد تمهيد خادم CUC أو احذف مجموعة المنافذ وأعد إنشائها لإعادة تنزيل ملف CTL من CUCM TFTP.
الحالة 2: يتعذر تنزيل ملف CTL من CUCM TFTP
يظهر هذا الخطأ في عمليات تعقب إدارة المحادثات:
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
الحل:
1. تحقق مرة أخرى من صحة خادم TFTP في مجموعة المنافذ > تحرير > تكوين الخوادم.
2. تأكد من أن مجموعة CUCM في وضع آمن.
3. تحقق من وجود ملف CTL على CUCM TFTP.
الحالة 3: المنافذ لا تسجل
يظهر هذا الخطأ في عمليات تعقب إدارة المحادثات:
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
الحل:
1. من المحتمل أن يكون هذا بسبب عدم التطابق في المجموع الاختباري MD5 لملف CTL على CUCM و CUC نتيجة لإعادة إنشاء
الشهادات. قم بإعادة تشغيل خادم CUC لتحديث ملف CTL.
بدلا من ذلك، يمكنك إزالة ملف CTL من الجذر كالتالي:
احذف ملف CTL من /tmp/ المجلد وأعد تعيين مجموعة المنافذ. يمكنك تنفيذ المجموع الاختباري MD5 على الملف
ومقارن قبل الحذف:
CUCM: [root@vfrscucm1 trust-certs]# md5sum /usr/local/cm/tftp/CTLFile.tlv
e5bf2ab934a42f4d8e6547dfd8cc82e8 /usr/local/cm/tftp/CTLFile.tlv
CUC: [root@vstscuc1 tmp]# cd /tmp
[root@vstscuc1 tmp]# ls -al *tlv
-rw-rw-r— 1 cucsmgr ناقل 6120 فبراير 5:29 a31cefe5-9359-4cbc-a0f3-52eb870d976c.tlv
[root@vstscuc1 tmp]# md5sum a31cefe5-9359-4cbc-a0f3-52eb870d976c.tlv
e5bf2ab934a42f4d8e6547dfd8cc82e8 a31cefe5-9359-4cbc-a0f3-52eb870d976c.tlv
بالإضافة إلى ذلك، يمكنك الرجوع إلى دليل أستكشاف الأخطاء وإصلاحها هذا:
معيبونا
CSCum48958 - CUCM 10.0 (طول عنوان IP غير صحيح)
CSCtn87264 - يفشل اتصال TLS لمنافذ SIP الآمنة
CSCur10758 - يعجز أن يزيل شهادات ملغاة توصيل وحدة
CSCur10534 - Unity Connection 10.5 TLS/PKI Inter-op redundant CUCM
CSCve47775 - طلب ميزة لطريقة لتحديث ومراجعة CTLFile ل CUCM على CUC
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
02-Jun-2016 |
الإصدار الأولي |
التعليقات