XMPP-veerkracht configureren

Inleiding

Dit document beschrijft hoe u EXTRA BEVEILIGING (Extensible Messaging and Presence Protocol) (XMPP) op Cisco Meeting Server (CMS) kunt instellen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Databasecluster moet worden ingesteld voor XMPP-veerkracht. Dit is de link naar Setup Database clusteren

https://www.cisco.com/c/en/us/support/docs/conferencing/meeting-server/210530-Configure-Cisco-Meeting-Server-Call-Brid.html

• Callbridge component moet op CMS worden geconfigureerd
• Cisco raadt u aan om ten minste 3 XMPP-knooppunten te hebben om de veerkracht van XMPP te kunnen instellen
• Wanneer de instelling in veerkrachtige modus staat, worden de XMPP-servers binnen een implementatie geladen met dezelfde configuratie
• Begrip van certificaten met eigen handtekening, door de certificeringsinstantie (CA) ondertekend
• Domain Name Server (DNS) vereist
• Vereist een lokale certificeringsinstantie of een openbare certificeringsinstantie om certificaten te genereren 

Opmerking: Het gebruik van zelfgetekende certificaten wordt niet aanbevolen voor een productieomgeving

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

• CMS
• PuTTY Secure Shell (SSH)-terminalemulatiesoftware voor Macht Management Processor (MMP)
• Een webbrowser zoals Firefox en Chrome

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

 Netwerkdiagram

Deze afbeelding toont de uitwisseling van XMPP-berichten en het routingverkeer.

Configuratie

Dit voorbeeld van de veerkracht van XMPP maakt gebruik van drie XMPP-servers en vormt deze voor het eerst.

Opmerking: Als XMPP veerkracht eerder wordt ingezet dan wordt het aanbevolen om alle servers te resetten.

XMPP-servers gebruikt Levende berichten om elkaar te controleren en een Leader te selecteren. XMPP-berichten kunnen naar elke server worden verzonden. Zoals in de bovenstaande afbeelding wordt aangegeven, worden er berichten naar de XMPP-server van de Leader doorgestuurd. De XMPP-servers blijven elkaar bewaken als de Leader faalt, wordt er een nieuwe Leader geselecteerd en de andere XMPP-servers sturen het verkeer naar de nieuwe Leader door.

Stap 1. Generate Certificaten voor XMPP component.

Zorg voor CSR en voer vervolgens deze opdracht in om corresponderend certificaat te genereren via plaatselijke certificeringsinstantie/overheidsinstantie indien vereist

pki csr <key/cert basname> 

Stap 2. Gebruik de bovenstaande CSR-gegevens en genereer certificaat met behulp van een lokale certificeringsinstantie. U kunt de VCS-certificaathandleiding gebruiken om certificaten te genereren via Microsoft certificaatinstantie, aanhangsel 5 pagina 32

https://www.cisco.com/c/dam/en/us/td/docs/telepresence/infrastructure/vcs/config_guide/X8-8/Cisco-VCS-Certificate-Creation-and-Use-Deployment-Guide-X8-8.pdf

Upload het certificaat op alle 3 knooppunten met WINSCP/SFTP-server. Om te controleren of de certificaten die worden geüpload gebruikt een opdracht op MMP/SSH

opdracht: PKI-lijst

Opmerking: In het lab wordt één certificaat gebruikt voor alle 3 XMPP-knooppunten.

Stap 3. Configureer CMS met de XMPP-component.

cb1> xmpp domain tptac9.com
cb1>xmpp listen a
cb1>xmpp certs abhiall.key abhiall.cer certall.cer
 
*certall.cer= CA certificate

Tip: Als uw CA een certificaatbundel biedt, dan neemt u de bundel als een afzonderlijk bestand op aan het certificaat. Een certificaatbundel is één bestand (met een uitbreiding van .pem, .cer of.crt) met een kopie van het certificaat van de Root CA en alle tussentijdse certificaten in de keten. De certificaten moeten achtereenvolgens worden opgesteld, waarbij het certificaat van de Root CA de laatste is in de certificatenbundel. Externe klanten (bijvoorbeeld webbrowsers en XMPP-cliënten) verlangen dat de certificaat- en certificatenbundel bij het opzetten van een beveiligde verbinding door de XMPP-server worden gepresenteerd.

 Wanneer een bundel certificaten vereist is. Het bovenstaande opdracht is:

cb1> xmpp certs abhiall.key abhiall.cer certallbundle.cer
 
certallbundle.cer= CA certificate + Intermediate CA + Intermediate CA1 + Intermediate CA2 +.... + Intermediate CAn +  Root CA
 
where n is an integer

Bij gebruik van 3 certificaten voor 3 overeenkomende XMPP-knooppunten. Zorgen voor bundeling van de certificaten

xmppserver1.crt + xmppserver2.crt + xmppserver3.crt= xmpp-cluster-bundle.crt

Het document bevat één certificaat voor een abhiall.cer.

Raadpleeg deze handleiding voor meer informatie over certificaten

https://www.cisco.com/c/dam/en/us/td/docs/conferencing/ciscoMeetingServer/Deployment_Guide/Version-2-2/Certificate-Guidelines-Scalable-and-Resilient-Deployments-2-2.pdf

Stap 4. Upload certificaten door SFTP naar alle CMS, die XMPP-component uitvoeren.

c1> xmpp-cluster trust xmpp-cluster-bundel.crt

In lab xmpp cluster trust abhiall.cer

cb1>xmpp-cluster vertrouwen in het buitenland.cer

Stap 5. Voeg Call Bridges toe aan XMPP server.

cb1> xmpp-belbrug add cb1

Er wordt een geheim gegenereerd en dit is de XMPP server die verbindingen met de Call Bridge genaamd cb1 toestaat.

Opmerking: Het domein, de naam van de bridge en het geheim worden gegenereerd, u hebt deze informatie later nodig wanneer u de toegang van de Brug tot de XMPP server vormt (zodat de brug van de Bel de authenticatiedetails aan de server XMPP presenteert)

De bovenstaande opdracht wordt gebruikt om andere gespreksbruggen aan hetzelfde xmpp-knooppunt toe te voegen.

cb1> xmpp callbridge add cb2

cb1> xmpp-belbridge add cb3

Opmerking: elke callbridge moet een unieke naam hebben. Als u nog niet de details voor de Call Bridges hebt opgemerkt die u aan de XMPP server hebt toegevoegd, dan gebruikt u de opdracht: oproep tot het indienen van voorstellen

cB1> xmpp

Dit schakelt het XMPP-serverknooppunt uit

Stap 6. Schakel XMPP-cluster in.

b1> xmpp-cluster inschakelen

Initialiseer het XMPP-cluster bij dit knooppunt. Deze opdracht maakt een xmpp-cluster met 1 knooppunt, worden de andere knooppunten (xmpp-servers) aan deze cluster toegevoegd.

c1> xmpp-cluster initialiseren

Schakel dit knooppunt opnieuw in

cB1>XP inschakelen

Stap 7. Voeg de Bruggen van de Vraag aan tweede knoop van XMPP toe en sluit zich aan bij een Cluster aan.

Voeg elke Brug van de Vraag aan dit knooppunt toe. Dit vereist dat de Bridge van de Bel wordt toegevoegd met dezelfde naam en hetzelfde geheim van de Call Bridge-brug uit het eerste XMPP-serverknooppunt. Dit wordt bereikt met deze opdracht

cb2> xmpp-belbrug add-geheven cb1

Voer geheiligde telefoonbrug in

Om het geheim te controleren moet u de opdracht xmpp oproepen bridge list gebruiken. Het maakt een lijst van alle geheimen die op het eerste knooppunt worden gegenereerd.

Nadat u al het geheim van de Bridges van de Vraag aan het tweede knooppunt toevoegt.

cb2>> xmpp disable
cb2>> xmpp cluster enable
cb2>> xmpp enable
cb2>> xmpp cluster join <cluster>

Cluster: is het IP-adres of de domeinnaam van het eerste knooppunt

Stap 8. Voeg Call Bridges toe aan derde XMPP-knooppunt en sluit zich aan bij een Cluster.

Voeg elke Brug van de Vraag aan dit knooppunt toe. Dit vereist dat de Bridge van de Bel wordt toegevoegd met dezelfde naam en hetzelfde geheim van de Call Bridge-brug uit het eerste XMPP-serverknooppunt. Dit wordt bereikt met de opdracht

cb3> xmpp-belbrug add-geheven cb1

Voer geheiligde telefoonbrug in

Om het geheim te controleren. U kunt de opdracht xmpp-adreslijst uitvoeren. De opdrachtlijst van alle geheimen die op het eerste knooppunt worden gegenereerd

Nadat alle geheimen van de bridge aan dit knooppunt zijn toegevoegd, voert u deze stappen uit.

cb3>> xmpp disable
cb3>> xmpp cluster enable
cb3>> xmpp enable
cb3>> xmpp cluster join <cluster>

Cluster: is het IP-adres of de domeinnaam van het eerste knooppunt

Stap 9. Configureer elke Call Bridge met de verificatiegegevens van de XMPP-servers in het cluster. Dit stelt de Call Bridges in staat om toegang te krijgen tot de XMPP servers.

Navigatie naar Webadmin > Configuration > General en voer deze in:

1. Voeg een unieke naam voor Call Bridge toe, dan is er geen domeinonderdeel vereist.
2. Voer een domein in voor XMPP server-domein type9.com
3. serveradres van de XMPP-server. Stel dit veld in als u wilt dat deze Call Bridge alleen een gelokaliseerde XMPP-server gebruikt, of dat u geen DNS-indeling hebt. Gebruik van de co-locatiegebonden XMPP server vermindert de latentie.
4. Laat dit veld leeg om deze Call Bridge op failover tussen XMPP-servers mogelijk te maken. Hiervoor zijn de DNS-items nodig om te worden geïnstalleerd. 

Als u Domain Name Server (DNS) wilt gebruiken om verbinding te maken tussen Call Bridges en XMPP servers, moet u ook een DNS SRV-record voor de XP-cluster instellen om een DNS-A-record van elk van de XMPP-servers in de cluster op te lossen. Het formaat van de DNS SRV-record is:  _xmpp-component._tcp

_xmpp-component._tcp.example.com. 86400 IN SRV 0 0 5222 xmppserver1.example.com,  _xmpp-component._tcp.example.com. 86400 IN SRV 0 0 5223 xmppserver2.example.com, _xmpp-component._tcp.example.com. 86400 IN SRV 0 0 5223 xmppserver3.example.com. 

Het bovenstaande voorbeeld specificeert poort 5223 (gebruik een andere poort als 5223 al wordt gebruikt).

het gedeelde geheim dat voor de respectieve Call Bridge wordt gebruikt. Bijvoorbeeld in de bovenstaande screenshots

Cb1-geheim

Callbridge: cb1

Domain: tptac9.com

Geheime: kvgP1SRzWVabhiPVAb1

Evenzo herhaal voor cb2 en cb3 deze stappen voor alle 3 Call Bridges cb1,cb2 en cb3.

Nadat u deze stappen uitvoert, controleer de status van de cluster op alle drie de Bruggen van de vraag

Verifiëren

Start cb1> xmpp clusterstatus, deze opdracht om een rapport te krijgen over de status van het xmpp-cluster. Als de cluster faalt, dan keert deze opdracht de statistieken van de XP server terug, die op deze slechts Server van de Vergadering loopt. Gebruik deze opdracht om problemen met connectiviteit te proberen en te diagnosticeren.

Deze afbeelding toont de knooppunten, één als Leider 10.106.81.30 en de rest twee als volgt.

Controleer de status op de rest van de twee knooppunten.

Op tweede knooppunt

Op derde knooppunt

Problemen oplossen

XMPP veerkracht is ingesteld. Er zouden problemen kunnen ontstaan bij het gebruik van extracompacte veerkracht.

Scenario 1. Op DNS-configuratie zijn de fouten in de screenshots op de DNS-problemen gecontroleerd.

Als deze fouten worden gezien, controleer de configuratie voor SRV records.

In de veerkracht van XMPP wordt de XMPP server waarop een Call Bridge zich aansluit, gecontroleerd via DNS. Deze keuze is gebaseerd op de gegeven DNS-prioriteit en -gewicht. Een Call Bridge sluit slechts één XMPP-server tegelijk aan. Er is geen vereiste voor alle Call Bridges om verbinding te maken met dezelfde XMPP server omdat al het verkeer naar de master wordt doorgestuurd. Als een netwerkprobleem resulteert in de Call Bridge die de verbinding met de XMPP-server verliest, probeert de Call Bridge opnieuw verbinding te maken met een andere XMPP-server. De Call Bridge moet zijn geconfigureerd op elke XMPP-server waarop het verbinding kan maken.

Om client connecties in te schakelen is het gebruik van de Webex Client een _XP-client._tcp record vereist. Op een typische plaatsing, ontbindt het aan haven 5222. Binnen, LAN, als de kernserver direct routeerbaar is, kan het oplossen aan de dienst XMPP, die op de kernserver loopt.

Bijvoorbeeld: _xmpp-client._tcp.tptac9.com kan deze SRV records hebben:

_xmpp-client._tcp tptac9.com 86400 IN SRV 10 50 5222 cb1. tptac9.com

advies over het instellen van DNS-records voor de XMPP-serverknooppunten. Voor XMPP-veerkracht hebt u DNS nodig om verbinding te maken tussen Call Bridges en XMPP servers moet u ook een DNS SRV-record voor de XP-cluster instellen om op te lossen naar de DNS A-record van elk van de XMPP-servers in de cluster. Het formaat van de DNS SRV-record is: _xmpp-component._tcp.tptac9.com

Zoals besproken in de setup-instellingen voor 3 mpp-servers, wordt het record dat op alle drie servers oplost, weergegeven

_xmpp-component._tcp.tptac9.com 86400 IN SRV 0 0 5223 cb1.tptac9.com

_xmpp-component._tcp.tptac9.com 86400 IN SRV 0 0 5223 cb2.tptac9.com

_xmpp-component._tcp.tptac9.com 86400 IN SRV 0 0 5223 cb3.tptac9.com

Het voorbeeld geeft de haven 5223 aan, elke andere haven kan ook worden gebruikt indien 5223 reeds wordt gebruikt. Zorg er echter voor dat de gebruikte poort wordt geopend.

Scenario 2. Wanneer de CMS status pagina authenticatie toont.

De authenticatiefout wordt meestal waargenomen wanneer het gedeelde geheim niet verkeerd wordt ingevoerd of ingevoerd. Zorg ervoor dat het gedeelde geheim is ingevoerd, indien vergeten, en gebruik het niet handig. SSH naar de server en voer deze opdracht uit: oproep tot het indienen van voorstellen

Het document beschrijft de standaardinstellingen voor de veerkracht. Laat de opdracht dus op alle 3 servers uitvoeren om er zeker van te zijn dat de gegenereerde geheimen voor alle servers gelijk zijn. Zoals de beelden laten zien, kan het op server cb1 gezien worden, het gedeelde geheim is hetzelfde als wat wordt gereflecteerd voor cb3. Nadat u andere servers heeft gecontroleerd, wordt geconcludeerd dat het ingesloten geheim voor cb1 onjuist is.

Scenario 3. In xmpp cluster status dubbele items van XMPP-knooppunten.

Deze uitvoer toont de dubbele ingang van knooppunt 10.61.7.91:5222

cb1> xmpp cluster status
State: LEADER
List of peers
10.61.7.91:5222
 
10.61.7.91:5222
10.59.103.71:5222
10.59.103.70:5222 (Leader)
 

Waarschuwing: aanbevolen wordt om xmpp-knooppunten uit het cluster te verwijderen voordat u ze opnieuw instelt. Als de XMPP-reset wordt uitgevoerd op een knooppunt terwijl het zich nog in het cluster bevindt en zich dan opnieuw bij de knooppunt aan het bestaande XMPP-cluster aansluit, dan maakt het een dubbele ingang van dat knooppunt wanneer de status via XP-clusterstatus wordt gecontroleerd.

Dit kan problemen opleveren bij een veerkrachtige instelling. Er is een defect ontstaan

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi67717

Controleer pagina 94 van de onderstaande handleiding 

https://www.cisco.com/c/dam/en/us/td/docs/conferencing/ciscoMeetingServer/Deployment_Guide/Version-2-3/Cisco-Meeting-Server-2-3-Scalable-and-Resilient-Deployments.pdf