CUBE에서 SRTP-RTP 상호 연동 구성
소개
이 문서에서는 CUBE에서 SRTP-RTP 인터워킹을 구성하는 방법에 대한 단계별 프로세스에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- CUBE(Cisco Unified Border Element)
- SIP(Session Initiation Protocol)
- TLS(Transport Layer Security)
- RTP(Real-time Transport Protocol)
- 보안 미디어 - SRTP(Secure Real-time Transport Protocol)
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- CUBE(Cisco Unified Border Element)
- Cisco IOS XE - 17.6 이상 릴리스
- Cisco C8200-1N-4T
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
Cisco CUBE(Unified Border Element) Support for SRTP-RTP Interworking 기능은 SRTP 엔터프라이즈 도메인을 RTP SIP 공급자 SIP 트렁크에 연결합니다. SRTP-RTP 상호 연동은 기업 간 외부 네트워크를 통해 RTP 엔터프라이즈 네트워크를 SRTP와 연결합니다. 이를 통해 고정 IPsec 터널이나 기업 내에 SRTP를 구축할 필요 없이 유연한 B2B(Business-to-Business) 통신을 제공합니다.
CUBE의 SRTP-RTP 상호 연동에 대한 핵심 사항은 다음과 같습니다.
- 암호화 및 암호 해독: CUBE는 SRTP 및 RTP 네트워크를 오가는 데이터 스트림을 암호화하고 암호 해독할 수 있습니다.
- TLS 지원: SCCP 서버와 SCCP 클라이언트 간에 TLS(Transport Layer Security)를 활성화하거나 비활성화할 수 있습니다. 기본적으로 TLS는 SRTP 키를 보호하도록 활성화되어 있습니다.
- 부가 서비스: Cisco IOS Release 15.2(1)에서는 CUBE에서 부가 서비스를 지원하도록 기능이 확장되었습니다.
- 트랜스코딩: SRTP-RTP 인터네트워킹은 일반 및 범용 트랜스코더에서 사용할 수 있으며 SCCP 메시징을 사용하여 호출됩니다.
- 폴백 처리: 통화 엔드포인트 중 하나에서 SRTP를 지원하지 않는 경우 컨피그레이션에 따라 통화가 RTP-RTP로 폴백되거나 실패할 수 있습니다. 이 폴백은 srtp fallback 명령이 각 다이얼 피어에 구성된 경우에만 발생합니다.
- 구축: SRTP에서 RTP로의 인터워킹을 UNI(User to Network Interfaces) 및 NNI(Network to Network Interfaces)에서 구축할 수 있습니다.
참고:
- DSP 리소스는 Cisco IOS 릴리스에서 실행되는 플랫폼에 필요합니다.
- Cisco IOS XE 릴리스에서 실행되는 플랫폼에는 DSP 리소스가 필요하지 않습니다.
구성
네트워크 다이어그램
부가 서비스 지원
지원되는 부가 서비스는 다음과 같습니다.
- 음성 클래스 코덱 컨피그레이션으로 미드콜 코덱 변경
- 재초대 기반 통화 보류 및 재시작
- MoH(Music On Hold)가 Cisco Unified Communications Manager(Cisco UCM)에서 호출되었습니다. 여기서 MoH 소스의 SRTP와 RTP 간에 통화 레그가 변경됩니다
- 재초대 기반 통화 착신 전환 및 통화 전환
- CUBE에서 REFER 메시지의 로컬 소비 또는 통과를 사용하는 REFER 메시지를 기반으로 하는 통화 호전환
- CUBE에서 302 메시지의 로컬 소비 또는 통과를 사용하여 302 메시지를 기반으로 통화 착신 전환
- T.38 팩스 전환
- 팩스 패스스루 전환
REFER 및 302개 메시지(CUBE에서 로컬로 소비되는 메시지)와 관련된 통화 전송의 경우, 음성 서비스 voip 컨피그레이션 모드에서 supplementary-service media-renegotiate 명령을 구성한 경우에만 엔드 투 엔드 미디어 재협상이 CUBE에서 시작됩니다.
동일한 SIP 호출 레그에서 RTP에서 SRTP로 전환되는 모든 통화 흐름에서는 양방향 오디오가 있도록 전역 또는 음성 서비스 voip 컨피그레이션 모드에서 활성화된 supplementary-service media-renegotiate 명령을 요구합니다.
통화 흐름의 예:
- CUCM 측의 RTP -SRTP 전송
- 보안 통화 보류 또는 재시작 중에 재생되는 비보안 MOH
엔드포인트에서 부가 서비스가 호출되면 통화 기간 동안 통화가 SRTP와 RTP 간에 전환될 수 있습니다. 따라서 SRTP 대체를 위해 이러한 SIP 트렁크를 구성하는 것이 좋습니다.
참고: Cisco IOS XE Everest 릴리스 16.5.1b 이후부터는 SRTP 레그에서 이러한 암호화 제품군이 기본적으로 활성화되어 있습니다.
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
- AES_CM_128_HMAC_SHA1_80
- AES_CM_128_HMAC_SHA1_32
설정
1단계. SRTP를 활성화하고 SRTP 레그에 대해 다이얼 피어를 구성합니다. 이 레그는 SRTP가 필요한 레그입니다.
dial-peer voice <tag> voip
설명 수신 SRTP 다이얼 피어
destination-pattern <패턴>
세션 프로토콜 sipv2
세션 대상 ipv4:<SRTP-Peer-IP-Address>
음성 클래스 코덱 1
srtp
dtmf-relay rtp-nte
ip qos dscp cs3 시그널링
!
2단계. RTP 레그에 대한 Dial-Peer 구성: RTP가 필요한 레그입니다.
dial-peer voice <tag> voip
설명 발신 RTP 다이얼 피어
destination-pattern <패턴>
세션 프로토콜 sipv2
세션 대상 ipv4:<RTP-Peer-IP-Address>
음성 클래스 코덱 1
dtmf-relay rtp-nte
ip qos dscp cs3 시그널링
!
3단계. 암호화 인증 구성
AES_CM_128_HMAC_SHA1_80 암호화 모음을 사용하여 SRTP 연결을 지원하도록 CUBE를 구성하는 단계
- 다이얼 피어 레벨 컨피그레이션
dial-peer voice <tag> voip
voice-class sip srtp-auth sha1-80
!
- 글로벌 레벨 컨피그레이션
음성 서비스 voip
한 모금
srtp-auth sha1-80
!
- 음성 클래스 레벨 컨피그레이션
음성 클래스 srtp-crypto 3000
암호화 1 AES_CM_128_HMAC_SHA1_80
암호화 2 AES_CM_128_HMAC_SHA1_32
!
4단계. SRTP 대체 활성화: SRTP가 다른 통화 끝에서 지원되지 않는 경우 통화가 RTP로 폴백될 수 있도록 대체 옵션으로 SRTP를 구성할 수 있습니다. MoH, 통화 착신 전환 및 통화 호전환과 같은 비보안 보조 서비스를 지원하려면 SRTP 대안을 활성화해야 합니다.
- 다이얼 피어 컨피그레이션 모드
dial-peer voice <tag> voip
srtp 대안(Cisco Unified Communications Manager가 아닌 장치와의 상호 연동)
또는
음성 클래스 sip srtp 협상 cisco(Cisco Unified Communications Manager를 사용하여 SRTP 대안을 지원하려면 srtp fallback 명령과 함께 이 CLI를 활성화하십시오.)
- 전역 VoIP SIP 컨피그레이션 모드에서
음성 서비스 voip
한 모금
srtp 대안(Cisco Unified Communications Manager가 아닌 장치와의 상호 연동)
또는
srtp 협상 cisco(Cisco Unified Communications Manager를 사용한 SRTP 폴백을 지원하려면 이 CLI를 srtp fallback 명령과 함께 활성화)
컨피그레이션 예:
다음은 통합 예제 컨피그레이션입니다.
음성 클래스 srtp-crypto 300
암호화 1 AES_CM_128_HMAC_SHA1_80
암호화 2 AES_CM_128_HMAC_SHA1_32
!
dial-peer voice 100 voip
설명 수신 SRTP 다이얼 피어
destination-pattern 1234
세션 프로토콜 sipv2
세션 대상 ipv4:192.0.2.1
음성 클래스 코덱 1
음성급 sip srtp
dtmf-relay rtp-nte
srtp
음성급 sip srtp-crypto 300
ip qos dscp cs3 시그널링
!
dial-peer voice 200 voip
설명 발신 RTP 다이얼 피어
destination-pattern 5678
세션 프로토콜 sipv2
세션 대상 ipv4:192.0.2.2
음성 클래스 코덱 1
dtmf-relay rtp-nte
ip qos dscp cs3 시그널링
!
다음을 확인합니다.
활성 통화 중에 명령을 실행하여 SRTP 및 RTP 레그를 확인합니다.
CUBE# show call active voice brief
텔레포니 통화 레그: 0
SIP 호출 레그: 2
H323 호출-레그: 0
통화 상담원 제어 통화 레그: 0
SCCP 통화 레그: 0
멀티캐스트 통화 레그: 0
총 통화 레그 수: 2
0 : 1 12:49:45.256 IST Fri Oct 19 2024.1 +29060 pid:1 Answer 10008001 connected
dur 00:01:19 tx:1653/271092 rx:2831/464284 dscp:0 media:0
IP XX.XX.XX.XX:7892 SRTP: on rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off
비활성 미디어 탐지됨:n 미디어 제어 rcvd:n/a 타임스탬프:n/a
장기 통화 감지:n 장기 통화 지속 시간:n/a 타임스탬프:n/a
0:2 12:49:45.256 IST Fri Oct 19 2024.2 +29060 pid:22 Originate 20009001 connected
dur 00:01:19 tx:2831/452960 rx:1653/264480 dscp:0 media:0
IP XX.XX.XX.XX:7893 SRTP: off rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off
비활성 미디어 탐지됨:n 미디어 제어 rcvd:n/a 타임스탬프:n/a
장기 통화 감지:n 장기 통화 지속 시간:n/a 타임스탬프:n/a
문제 해결
상호 연동에 문제가 있는지 조사하려면 이러한 디버깅 및 로그를 수집해야 합니다.
- 모두 ccsip 디버그
- voip ccapi inout 디버그
- voip srtp 패킷 디버그
- 디버그 voip srtp 오류
- voip srtp 세션 디버그
- 패킷 캡처
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
28-Oct-2024 |
최초 릴리스 |
피드백