在CUBE上配置SRTP-RTP互通

下载选项

  • PDF     (436.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (165.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (122.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 10 月 28 日
文档 ID:222548

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在CUBE上配置SRTP-RTP互通的分步过程。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 思科统一边界要素(CUBE)
    • 会话初始协议 (SIP)
    • 传输层安全(TLS)
    • 实时传输协议 (RTP)
    • 安全媒体-安全实时传输协议(SRTP)

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科统一边界要素(CUBE) 
    • Cisco IOS XE - 17.6及更高版本
    • 思科C8200-1N-4T

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    思科统一边界元素(CUBE)支持SRTP-RTP互通功能,可将SRTP企业域连接到RTP SIP提供商SIP中继。SRTP-RTP互通,通过企业之间的外部网络将RTP企业网络与SRTP连接起来。这样可以提供灵活安全的企业到企业通信,而无需静态IPsec隧道或在企业内部部署SRTP。

    有关在CUBE上进行SRTP-RTP互联的要点包括:

    1. 加密和解密:CUBE可以加密和解密流入/流出SRTP和RTP网络的数据流。
    2. TLS支持:可以启用或禁用SCCP服务器与SCCP客户端之间的传输层安全(TLS)。默认情况下,启用TLS以保护SRTP密钥。
    3. 附加服务:在Cisco IOS版本15.2(1)中,此功能已扩展为支持CUBE上的附加服务。
    4. 转码:SRTP-RTP网际网络可用于普通和通用转码器,使用SCCP消息传送。
    5. 回退处理:如果其中一个呼叫终端不支持SRTP,则呼叫可能会回退到RTP-RTP或失败,具体取决于配置。仅当在各自的拨号对等体上配置了srtp fallback命令时,才会发生此回退。
    6. 部署:可在用户到网络接口(UNI)和网络到网络接口(NNI)上部署SRTP到RTP互通。
    note-icon

    注意:

    • 在Cisco IOS版本上运行的平台需要DSP资源。
    • 在Cisco IOS XE版本上运行的平台不需要DSP资源。

    配置

    网络图

    Network Diagram

    补充服务支持

    支持的补充服务包括:

    • 使用语音类编解码器配置进行呼叫中编解码器更改
    • 基于重新邀请的呼叫保持和恢复
    • 呼叫段从Cisco Unified Communications Manager (Cisco UCM)调用的保留音乐(MoH),在MoH源的SRTP和RTP之间更改
    • 基于重新邀请的呼叫转移和呼叫转移
    • 基于REFER消息的呼叫转移,在CUBE上本地消耗或传递REFER消息
    • 基于302消息的呼叫转移,在CUBE上本地消耗或传递302消息
    • T.38传真切换
    • 传真直通切换

    对于涉及REFER和302消息(在CUBE上本地使用的消息)的呼叫转移,仅在语音服务voip配置模式下配置supplementary-service media-renegotiate 命令时才会从CUBE启动端到端媒体重新协商。

    同一SIP呼叫段上从RTP切换到SRTP的任何呼叫流都需要在全局或语音服务voip配置模式下启用supplementary-service media-renegotiate命令以确保存在双向音频。

    示例呼叫流:

    • RTP -CUCM端上的SRTP传输
    • 在安全呼叫保持或恢复期间播放的非安全MOH

    当从终端调用附加服务时,呼叫可以在呼叫持续时间内在SRTP和RTP之间切换。因此,思科建议您为SRTP回退配置此类SIP中继。

    note-icon

    注意:从Cisco IOS XE Everest版本16.5.1b以后,默认情况下,以下加密套件在SRTP支路上处于启用状态:

    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM
    • AES_CM_128_HMAC_SHA1_80
    • AES_CM_128_HMAC_SHA1_32

    配置

    步骤1:启用SRTP并为SRTP段配置拨号对等体这是需要SRTP的段。

    dial-peer voice <tag> voip

     description Incoming SRTP Dial-Peer

     destination-pattern <pattern>

     会话协议sipv2

     session target ipv4:<SRTP-Peer-IP-Address>

     voice-class codec 1

     srtp

     dtmf-relay rtp-nte

     ip qos dscp cs3信令

    第二步:为RTP段配置拨号对等体:这是需要RTP的段。

    dial-peer voice <tag> voip

     description Outgoing RTP Dial-Peer

     destination-pattern <pattern>

     会话协议sipv2

     session target ipv4:<RTP-Peer-IP-Address>

     voice-class codec 1

     dtmf-relay rtp-nte

     ip qos dscp cs3信令

    第三步:配置加密身份验证

    使用AES_CM_128_HMAC_SHA1_80加密套件配置CUBE以支持SRTP连接的步骤

    • 拨号对等体级别配置

    dial-peer voice <tag> voip

       voice-class sip srtp-auth sha1-80

    • 全局级配置

    语音服务voip

     sip

     srtp-auth sha1-80

    • 语音类级别配置

    voice class srtp-crypto 3000

     crypto 1 AES_CM_128_HMAC_SHA1_80

     crypto 2 AES_CM_128_HMAC_SHA1_32

    第四步:启用SRTP回退:您可以使用回退选项配置SRTP,以便呼叫在另一端不支持SRTP时可以回退到RTP。要支持MoH、呼叫转移和呼叫转接等不安全的附加服务,需要启用SRTP回退。

    • 在拨号对等体配置模式下

    dial-peer voice <tag> voip

     srtp回退(用于与Cisco Unified Communications Manager以外的设备互通)

     或

     voice-class sip srtp negotiate cisco(使用Cisco Unified Communications Manager启用此CLI和srtp fallback命令以支持SRTP回退)

    • 在全局VoIP SIP配置模式下

    语音服务voip

     sip

     srtp回退(用于与Cisco Unified Communications Manager以外的设备互通)

     或

     srtp negotiate cisco(使用Cisco Unified Communications Manager启用此CLI和srtp fallback命令以支持SRTP回退)

    配置示例:

    下面是一个整合的示例配置:

    voice class srtp-crypto 300

     crypto 1 AES_CM_128_HMAC_SHA1_80

     crypto 2 AES_CM_128_HMAC_SHA1_32

    dial-peer voice 100 voip

     description Incoming SRTP Dial-Peer

     destination-pattern 1234

     会话协议sipv2

     session target ipv4:192.0.2.1

     voice-class codec 1

     voice-class sip srtp

     dtmf-relay rtp-nte

     srtp

     voice-class sip srtp-crypto 300

     ip qos dscp cs3信令

    dial-peer voice 200 voip

     description Outgoing RTP Dial-Peer

     destination-pattern 5678

     会话协议sipv2

     session target ipv4:192.0.2.2

     voice-class codec 1

     dtmf-relay rtp-nte

     ip qos dscp cs3信令

    验证

    在活动呼叫期间执行命令以验证SRTP和RTP段。

    CUBE# show call active voice brief

    电话呼叫段:0

    SIP呼叫段:2

    H323呼叫段:0

    呼叫座席控制的呼叫段:0

    SCCP呼叫段:0

    组播呼叫段:0

    总呼叫段:2

    0 : 1 12:49:45.256 IST星期五2024年10月19日+29060 pid:1答案10008001已连接

     dur 00:01:19 tx:1653/271092 rx:2831/464284 dscp:0 media:0

     IP XX.XX.XX.XX:7892 SRTP: on rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay:off

     检测到介质非活动:n介质控制rcvd:n/a时间戳:n/a

     检测到的持续时间较长的呼叫:n持续时间较长的呼叫持续时间:n/a时间戳:n/a

    0:2 12:49:45.256 IST星期五10月19日2024.2 +29060 pid:22 Originate 20009001 connected

     dur 00:01:19 tx:2831/452960 rx:1653/264480 dscp:0 media:0

     IP XX.XX.XX.XX:7893 SRTP: off rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off

     检测到介质非活动:n介质控制rcvd:n/a时间戳:n/a

     检测到的持续时间较长的呼叫:n持续时间较长的呼叫持续时间:n/a时间戳:n/a

    故障排除

    您需要收集这些调试和日志以调查是否存在任何交互工作问题。

    • debug ccsip all
    • debug voip ccapi inout
    • debug voip srtp packet
    • debug voip srtp error
    • debug voip srtp session
    • 数据包捕获

    修订历史记录

    版本 发布日期 备注
    1.0
    28-Oct-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • Akash C Patil
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品