Configuración de RTP seguro en Contact Center Enterprise

Opciones de descarga

  • PDF     (1.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:21 de diciembre de 2022
ID del documento:220123

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describe cómo proteger el tráfico del protocolo de transporte en tiempo real (SRTP) en el flujo de llamadas completo de Contact Center Enterprise (CCE).

    Prerequisites

    La generación e importación de certificados no están incluidas en el ámbito de este documento, por lo que se deben crear e importar certificados para Cisco Unified Communication Manager (CUCM), el servidor de llamadas del portal de voz del cliente (CVP), Cisco Virtual Voice Browser (CVVB) y Cisco Unified Border Element (CUBE) en los componentes respectivos. Si utiliza certificados autofirmados, el intercambio de certificados debe realizarse entre los diferentes componentes.

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • CCE
    • CVP
    • CUBO
    • CUCM
    • CVVB

    Componentes Utilizados

    La información de este documento se basa en Package Contact Center Enterprise (PCCE), CVP, CVB y CUCM versión 12.6, pero también es aplicable a las versiones anteriores.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Nota: en el flujo de llamadas completo del centro de contacto, para habilitar RTP seguro, deben habilitarse las señales SIP seguras. Por lo tanto, las configuraciones en este documento habilitan tanto el SIP seguro como el SRTP.

    El siguiente diagrama muestra los componentes implicados en las señales SIP y RTP en el flujo de llamadas completo del centro de contacto. Cuando el sistema recibe una llamada de voz, primero se realiza a través del gateway de entrada o CUBE, por lo que debe iniciar las configuraciones en CUBE. A continuación, configure CVP, CVB y CUCM.

    Inbound SIP and RTP Call Flow

    Tarea 1: Configuración segura de CUBE

    En esta tarea, configure CUBE para proteger los mensajes del protocolo SIP y RTP.

    Configuraciones necesarias:

    • Configuración de un punto de confianza predeterminado para SIP UA
    • Modificar los pares de marcado para utilizar TLS y SRTP

    Pasos:

    1. Abra una sesión SSH en CUBE.
    1. Ejecute estos comandos para que la pila SIP utilice el certificado CA del CUBE. CUBE establece una conexión SIP TLS desde/hacia CUCM (198.18.133.3) y CVP (198.18.133.13):

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Ejecute estos comandos para habilitar TLS en el par de marcado saliente para CVP. En este ejemplo, la etiqueta dial-peer 6000 se utiliza para rutear llamadas a CVP:

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    Tarea 2: Configuración segura de CVP

    En esta tarea, configure el servidor de llamadas CVP para proteger los mensajes del protocolo SIP (SIP TLS).

    Pasos:

    1. Inicie sesión en el  UCCE Web Administration.
    2. Desplácese hasta  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal

    Según sus configuraciones, tiene grupos de servidores SIP configurados para CUCM, CVB y CUBE. Debe establecer los puertos SIP seguros en 5061 para todos ellos. En este ejemplo, se utilizan estos grupos de servidores SIP:

    • cucm1.dcloud.cisco.com para CUCM
    • vvb1.dcloud.cisco.com para CVVB
    • cube1.dcloud.cisco.com  para CUBE
    1. Haga clic en  cucm1.dcloud.cisco.comy, a continuación, en el  Members  que muestra los detalles de las configuraciones de grupos de servidores SIP. Set SecurePort a  5061 y haga clic en Save.

    Setting secure SIP Port for CUCM Server Group

    1. Haga clic en vvb1.dcloud.cisco.com y luego en el  Members  , establezca la ficha  SecurePort a 5061  y haga clic en  Save.

    Setting secure SIP Port for VVB Server Group

    Tarea 3: Configuración segura de CVB

    En esta tarea, configure CVB para proteger los mensajes de protocolo SIP (SIP TLS) y SRTP.

    Pasos:

    1. Abra el Cisco VVB Admin  página.
    2. Desplácese hasta  System > System Parameters.

    VVB System Parameters

    1. En el  Security Parameters sección, elija Enable para  TLS (SIP) . Guarde el Supported TLS(SIP) version as TLSv1.2  y elija  Enable  para  SRTP.

    VVB Security Parameters

    1. Haga clic en  Update. Haga clic en  Ok cuando se le solicite que reinicie el motor CVB.

    Update Security Parameters

    1. Estos cambios requieren que se reinicie el motor Cisco VB. Para reiniciar el motor VB, navegue hasta el  Cisco VVB Serviceability , haga clic en  Go.

    Cisco VVB Serviceability

    1. Desplácese hasta  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Elegir  Engine y haga clic en  Restart.

    Restarting CVVB Engine Services

    Tarea 4: Configuración segura de CUCM

    Para proteger los mensajes SIP y RTP en CUCM, realice estas configuraciones:

    • Establecer el modo de seguridad de CUCM en modo mixto
    • Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP
    • Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas y habilitar SRTP
    • Comunicación de dispositivos de agentes seguros con CUCM

    Establecer el modo de seguridad de CUCM en modo mixto

    CUCM admite dos modos de seguridad:

    • Modo no seguro (modo predeterminado)
    • Modo mixto (modo seguro)

    Pasos:

    1. Inicie sesión en la interfaz de administración de CUCM.

    CUCM Administration Interface

    1. Al iniciar sesión en CUCM, puede navegar hasta  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. En la sección  Security Parameters sección, compruebe si el Cluster Security Mode se establece en  0.

    CUCM Security Parameters

    1. Si el modo de seguridad de clúster está establecido en 0, significa que el modo de seguridad de clúster está establecido en no seguro. Debe habilitar el modo mixto desde CLI.
    2. Abra una sesión SSH en CUCM.
    3. Tras iniciar sesión correctamente en CUCM a través de SSH, ejecute este comando:

    utils ctl set-cluster xed-mode

    1. Tipo y y haga clic en Enter cuando se lo solicite. Este comando establece el modo de seguridad del clúster en modo mixto.

    CUCM SSH Console

    1. Para que los cambios surtan efecto, reinicie el Cisco CallManager y el  Cisco CTIManager servicios.
    2. Para reiniciar los servicios, navegue e inicie sesión en  Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Después de iniciar sesión correctamente, vaya a  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Elija el servidor y haga clic en  Go.

    Select Server

    1. Debajo de los servicios de CM, seleccione el Cisco CallManager , haga clic en  Restart  situado en la parte superior de la página.

    Restarting Cisco CallManager Service

    1. Confirme el mensaje emergente y haga clic en  OK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después del reinicio correcto de  Cisco CallManager, seleccione la  Cisco CTIManager haga clic en  Restart botón para reiniciar  Cisco CTIManager servicio.

    Restarting Cisco CTI Manager Service

    1. Confirme el mensaje emergente y haga clic en  OK. Espere a que el servicio se reinicie correctamente.

    Info Message

    1. Después de reiniciar correctamente los servicios, para verificar que el modo de seguridad del clúster está configurado en modo mixto, navegue hasta la administración de CUCM como se explicó en el paso 5 y, a continuación, verifique la  Cluster Security Mode. Ahora debe configurarse en  1.

    Cluster Security Mode is to the Value of '1'

    Configuración de los perfiles de seguridad del troncal SIP para CUBE y CVP

    Pasos:

    1. Inicie sesión en la interfaz de administración de CUCM.
    2. Después de iniciar sesión correctamente en CUCM, vaya a  System > Security > SIP Trunk Security Profile para crear un perfil de seguridad de dispositivo para CUBE.

    CUCM SIP Trunk Security Profile

    1. En la parte superior izquierda, haga clic en Add New para agregar un nuevo perfil.

    Add a New CUCM SIP Trunk Security Profile

    1. Configurar  SIP Trunk Security Profile  como esta imagen y haga clic en  Save  en la parte inferior izquierda de la página.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Asegúrese de establecer el  Secure Certificate Subject or Subject Alternate Name  al nombre común (CN) del certificado de CUBE, ya que debe coincidir.

    6. Haga clic  Copy  y cambiar el  Name a  SecureSipTLSforCVP. Cambiar  Secure Certificate Subject  al CN del certificado del servidor de llamadas CVP, ya que debe coincidir. Haga clic en  Save  botón.

    Add CUCM SIP Trunk Security Profile for CVP

    Asociar perfiles de seguridad de línea troncal SIP a líneas troncales SIP respectivas y habilitar SRTP

    Pasos:

    1. En la página Administración de CUCM, desplácese hasta  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Busque el troncal CUBE. En este ejemplo, el nombre de troncal de CUBE es  vCube , haga clic en  Find.

    Find SIP Trunks on CUCM for CUBE

    1. Haga clic en  vCUBE para abrir la página de configuración del troncal de vCUBE.
    2. IN  Device Information , compruebe la sección SRTP Allowed para habilitar el SRTP.

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. Desplácese hacia abajo hasta el SIP Information y cambiar la sección  Destination Port a  5061.
    2. Cambiar  SIP Trunk Security Profile a  SecureSIPTLSForCube.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. Haga clic en  Save luego  Rest a save y aplicar cambios.

    Save Configuration

    Info Message

    1. Desplácese hasta  Device > Trunk, busque el troncal de CVP; en este ejemplo, el nombre del troncal de CVP es  cvp-SIP-Trunk. Haga clic en  Find.

    Find SIP Trunks on CUCM for CVP

    1. Haga clic en  CVP-SIP-Trunk para abrir la página de configuración del troncal de CVP.
    2. IN  Device Information sección, comprobar  SRTP Allowed para habilitar el SRTP.

    Enable SRTP on SIP Trunk Configuration for CVP

    1. Desplácese hacia abajo hasta el  SIP Information sección, cambie el  Destination Port a  5061.
    2. Cambiar  SIP Trunk Security Profile a  SecureSIPTLSForCvp.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. Haga clic en  Save  luego  Rest a save y aplicar cambios.

    Save Configuration Info Message

    Comunicación de dispositivos de agentes seguros con CUCM

    Para habilitar las funciones de seguridad para un dispositivo, debe instalar un certificado de importancia local (LSC) y asignar el perfil de seguridad a ese dispositivo. El LSC posee la clave pública para el terminal, que está firmada por la clave privada CAPF de CUCM. No está instalado en los teléfonos de forma predeterminada.


    Pasos:

    1. Inicie sesión en  Cisco Unified Serviceability interfaz.
    2. Desplácese hasta  Tools > Service Activation.

    CUCM Service Activation

    1. Elija el servidor de CUCM y haga clic en  Go.

    Select Server

    1. Cheque  Cisco Certificate Authority Proxy Function y haga clic en  Save  para activar el servicio. Haga clic en  Ok para confirmar.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Asegúrese de que el servicio está activado y, a continuación, acceda a Administración de CUCM.

    CUCM Administration

    1. Después de iniciar sesión correctamente en la administración de CUCM, vaya a  System > Security > Phone Security Profile para crear un perfil de seguridad de dispositivo para el dispositivo del agente.

    Phone Security Profile

    1. Busque el perfil de seguridad correspondiente a su tipo de dispositivo de agente. En este ejemplo, se utiliza un teléfono basado en software, así que elija  Cisco Unified Client Services Framework - Standard SIP Non-Secure ProfileHaga clic en icono de copiaCopy Icon para copiar este perfil.

    Copy Existing Phone Security Profile

    1. Cambie el nombre del perfil a  Cisco Unified Client Services Framework - Secure Profile.  CCambie los parámetros como en esta imagen y haga clic en  Save  en la parte superior izquierda de la página.

    Add a New Phone Security Profile

    1. Después de crear correctamente el perfil de dispositivo de teléfono, vaya a  Device > Phone.

    Phone Configuration

    1. Haga clic en  Find para mostrar todos los teléfonos disponibles, haga clic en teléfono del agente.
    2. Se abre la página Configuración del teléfono del agente. Buscar  Certification Authority Proxy Function (CAPF) Information sección. Para instalar LSC, configure  Certificate Operation a  Install/Upgrade y  Operation Completes by en cualquier fecha futura.

    Setting CAPF Parameters

    1. Buscar  Protocol Specific Information y cambiar el  Device Security Profile a  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Haga clic en  Save en la parte superior izquierda de la página. Asegúrese de que los cambios se han guardado correctamente y haga clic en  Reset.

    Save Configuration

    1. Se abre una ventana emergente, haga clic en  Reset  para confirmar la acción.

    Phone Reset

    1. Una vez que el dispositivo agente se registre de nuevo en CUCM, actualice la página actual y verifique que el LSC se haya instalado correctamente. Cheque  Certification Authority Proxy Function (CAPF) Information sección,  Certificate Operation se debe establecer en  No Pending Operation y  Certificate Operation Status se establece en  Upgrade Success.

    CAPF Information is Updated

    1. Consulte los mismos pasos en el paso 1. 7 - 13 para proteger los dispositivos de otros agentes que desea utilizar SIP y RTP seguros con CUCM.

    Verificación

    Para validar que RTP está asegurado correctamente, siga estos pasos:

    1. Realice una llamada de prueba al centro de contacto y escuche el mensaje de IVR.
    2. Al mismo tiempo, abra la sesión SSH en vCUBE y ejecute este comando:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Sugerencia: compruebe si el SRTP es on entre CUBE y VVB (198.18.133.143). Si la respuesta es sí, esto confirma que el tráfico RTP entre CUBE y VB es seguro.

    1. Hacer que un agente esté disponible para contestar la llamada.
      .Make Agent Ready on Finesse Agent Desktop
    2. El agente se reserva y la llamada se enruta al agente. Conteste la llamada.
    3. La llamada se conecta con el agente. Vuelva a la sesión SSH de vCUBE y ejecute este comando:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Sugerencia: compruebe si el SRTP es on entre CUBE y los teléfonos de los agentes (198.18.133.75). En caso afirmativo, esto confirma que el tráfico RTP entre CUBE y el agente es seguro.

    1. Además, una vez conectada la llamada, se muestra un bloqueo de seguridad en el dispositivo del agente. Esto también confirma que el tráfico RTP es seguro.

    Secure Lock Appears, Confirm SRTP is Established

    Para validar que las señales SIP están aseguradas correctamente, consulte el artículo Configure Secure SIP Signaling.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Dec-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mohamed Mohasseb
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos