CUBEでのSRTP-RTPインターワーキングの設定
はじめに
このドキュメントでは、CUBEでSRTP-RTPインターワーキングを設定する方法の手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Unified Border Element(CUBE)
- Session Initiation Protocol(SIP)
- Transport Layer Security(TLS)
- Real-Time Transport Protocol(RTP; リアルタイム転送プロトコル)
- セキュアメディア – Secure Real-time Transport Protocol(SRTP)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Unified Border Element(CUBE)
- Cisco IOS XE - 17.6以降のリリース
- Cisco C8200-1N-4T
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco Unified Border Element(CUBE)のSRTP-RTPインターワーキング機能のサポートにより、SRTPエンタープライズドメインがRTP SIPプロバイダーのSIPトランクに接続されます。SRTP-RTPインターワーキングは、RTPエンタープライズネットワークを、企業間の外部ネットワークを介してSRTPに接続します。これにより、静的なIPsecトンネルや企業内へのSRTPの導入を必要とせずに、柔軟でセキュアな企業間コミュニケーションを実現します。
CUBEでのSRTP-RTPインターワーキングの要点は次のとおりです。
- 暗号化と復号化:CUBEは、SRTPおよびRTPネットワークとの間で送受信されるデータストリームを暗号化および復号化できます。
- TLSのサポート:Transport Layer Security(TLS)は、SCCPサーバとSCCPクライアントの間で有効または無効にすることができます。デフォルトでは、SRTPキーを保護するためにTLSが有効になっています。
- 補足サービス:Cisco IOSリリース15.2(1)では、この機能が拡張されてCUBEの補足サービスがサポートされるようになりました。
- トランスコーディング:SRTP-RTPインターネットワーキングは、SCCPメッセージングを使用して呼び出される通常および汎用のトランスコーダで使用できます。
- フォールバック処理:いずれかのコールエンドポイントがSRTPをサポートしていない場合、設定に応じて、コールがRTP-RTPにフォールバックするか、または失敗する可能性があります。このフォールバックは、srtp fallbackコマンドがそれぞれのダイヤルピアで設定されている場合にのみ発生します。
- 導入:SRTPとRTPのインターワーキングは、ユーザからネットワークインターフェイス(UNI)およびネットワークからネットワークインターフェイス(NNI)に導入できます。
注:
- DSPリソースは、Cisco IOSリリースで稼働するプラットフォームに必要です。
- Cisco IOS XEリリースで稼働するプラットフォームには、DSPリソースは必要ありません。
設定
ネットワーク図
補足サービスのサポート
サポートされる補足サービスは次のとおりです。
- 音声クラスコーデック設定によるコール中のコーデック変更
- 再招待ベースのコールの保留と再開
- Cisco Unified Communications Manager(Cisco UCM)から起動される保留音(MoH)。MoHソースのコールレッグがSRTPとRTPの間で変化する
- 再招待ベースの自動転送とコール転送
- CUBEでのREFERメッセージのローカル使用またはパススルーによる、REFERメッセージに基づくコール転送
- CUBEでの302メッセージのローカル消費またはパススルーによる、302メッセージに基づく自動転送
- T.38ファックススイッチオーバー
- FAX パススルー スイッチオーバー
REFERおよび302メッセージ(CUBEでローカルに消費されるメッセージ)を含むコール転送の場合、エンドツーエンドのメディア再ネゴシエーションがCUBEから開始されるのは、voice service voip設定モードでsupplementary-service media-renegotiate コマンドを設定した場合だけです。
同じSIPコールレッグでRTPからSRTPへのスイッチオーバーが発生するコールフローでは、双方向の音声を確保するために、グローバルコンフィギュレーションモードまたはvoice service voipコンフィギュレーションモードでsupplementary-service media-renegotiateコマンドを有効にする必要があります。
コールフローの例
- RTP:CUCM側のSRTP転送
- セキュアコールの保留または再開中に非セキュアMOHが再生される
エンドポイントから補足サービスが呼び出されると、コールは通話中にSRTPとRTPの間で切り替えられます。そのため、シスコでは、このようなSIPトランクをSRTPフォールバック用に設定することを推奨しています。
注:Cisco IOS XE Everestリリース16.5.1b以降では、SRTPレッグで次の暗号スイートがデフォルトで有効になっています。
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
- AES_CM_128_HMAC_SHA1_80
- AES_CM_128_HMAC_SHA1_32
コンフィギュレーション
ステップ 1:SRTPをイネーブルにして、SRTPレッグのダイヤルピアを設定する:これはSRTPが必要なレッグです。
dial-peer voice <tag> voip(ダイヤルピア音声<tag>)
description:着信SRTPダイヤルピア
destination-pattern <パターン>
セッションプロトコルsipv2
session target ipv4:<SRTPピアIPアドレス>
音声クラスコーデック1
SRTP
dtmf-relay rtp-nte
ip qos dscp cs3シグナリング
!
ステップ 2:RTPレグのダイヤルピアを設定する:これはRTPが必要なレグです。
dial-peer voice <tag> voip(ダイヤルピア音声<tag>)
説明発信RTPダイヤルピア
destination-pattern <パターン>
セッションプロトコルsipv2
session target ipv4:<RTP-Peer-IP-Address>
音声クラスコーデック1
dtmf-relay rtp-nte
ip qos dscp cs3シグナリング
!
ステップ 3:暗号認証の設定
AES_CM_128_HMAC_SHA1_80暗号化スイートを使用してSRTP接続をサポートするようにCUBEを設定する手順
- ダイヤルピアレベルの設定
dial-peer voice <tag> voip(ダイヤルピア音声<tag>)
voice-class sip srtp-auth sha1-80
!
- グローバルレベルの設定
音声サービスVOIP
sip
srtp-auth sha1-80
!
- 音声クラスレベルの設定
音声クラスsrtp-crypto 3000
crypto 1 AES_CM_128_HMAC_SHA1_80
crypto 2 AES_CM_128_HMAC_SHA1_32
!
ステップ 4:SRTPフォールバックの有効化:フォールバックオプションを使用してSRTPを設定し、SRTPが相手側でサポートされていない場合にコールをRTPにフォールバックできます。SRTPフォールバックは、MoH、自動転送、コール転送などの非セキュアな補足サービスをサポートするために必要です。
- ダイヤルピア設定モード
dial-peer voice <tag> voip(ダイヤルピア音声<tag>)
srtpフォールバック(Cisco Unified Communications Manager以外のデバイスとのインターワーキング用)
または
voice-class sip srtp negotiate cisco(Cisco Unified Communications ManagerでSRTPフォールバックをサポートするには、srtp fallbackコマンドとともにこのCLIを有効にします)
- グローバルVoIP SIPコンフィギュレーションモード
音声サービスVOIP
sip
srtpフォールバック(Cisco Unified Communications Manager以外のデバイスとのインターワーキング用)
または
srtp negotiate cisco(Cisco Unified Communications ManagerでSRTPフォールバックをサポートするには、srtp fallbackコマンドとともにこのCLIを有効にします)
設定例:
次に、統合された設定例を示します。
音声クラスsrtp-crypto 300
crypto 1 AES_CM_128_HMAC_SHA1_80
crypto 2 AES_CM_128_HMAC_SHA1_32
!
ダイヤルピア音声100 voip
description:着信SRTPダイヤルピア
destination-pattern 1234
セッションプロトコルsipv2
セッションターゲットipv4:192.0.2.1
音声クラスコーデック1
音声クラスsip srtp
dtmf-relay rtp-nte
SRTP
voice-class sip srtp-crypto 300(任意)
ip qos dscp cs3シグナリング
!
ダイヤルピア音声200 voip
説明発信RTPダイヤルピア
destination-pattern 5678
セッションプロトコルsipv2
セッションターゲットipv4:192.0.2.2
音声クラスコーデック1
dtmf-relay rtp-nte
ip qos dscp cs3シグナリング
!
確認
アクティブコール中にこのコマンドを実行して、SRTPレグとRTPレグを確認します。
CUBE# show call active voice brief
テレフォニーコールレッグ:0
SIPコールレッグ:2
H323コールレッグ:0
コールエージェント制御のコールレッグ:0
SCCPコールレッグ:0
マルチキャストコールレッグ:0
コールレッグ合計:2
0 : 1 12:49:45.256 IST Fri Oct 19 2024.1 +29060 pid:1 Answer 10008001 connected
dur 00:01:19 tx:1653/271092 rx:2831/464284 dscp:0メディア:0
IP XX.XX.XX.XX:7892 SRTP: on rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off
検出されたメディア非アクティブ:nメディア制御rcvd:n/aタイムスタンプ:n/a
長時間コール検出:n長時間コール時間:n/aタイムスタンプ:n/a
0 : 2 12:49:45.256 IST Fri Oct 19 2024.2 +29060 pid:22 Originate 20009001 connected
dur 00:01:19 tx:2831/452960 rx:1653/264480 dscp:0メディア:0
IP XX.XX.XX.XX:7893 SRTP: off rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off
検出されたメディア非アクティブ:nメディア制御rcvd:n/aタイムスタンプ:n/a
長時間コール検出:n長時間コール時間:n/aタイムスタンプ:n/a
トラブルシュート
インターワーキングに問題があるかどうかを調査するには、これらのデバッグとログを収集する必要があります。
- debug ccsip all
- debug voip ccapi inout
- debug voip srtpパケット
- debug voip srtpエラー
- debug voip srtp session(オプション)
- パケット キャプチャ
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
28-Oct-2024 |
初版 |
フィードバック