在CUBE上配置SRTP-RTP互通

簡介

本文檔介紹如何在CUBE上配置SRTP-RTP互通的分步過程。

必要條件

需求

思科建議您瞭解以下主題：

• 思科整合邊界元件(CUBE)
• 作業階段啟始通訊協定(SIP)
• 傳輸層安全性(TLS)
• 即時傳輸通訊協定(RTP)
• 安全媒體-安全即時傳輸通訊協定(SRTP)

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科整合邊界元件(CUBE) 
• Cisco IOS XE - 17.6及更高版本
• Cisco C8200-1N-4T

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

適用於SRTP-RTP互通功能的思科統一邊界元素(CUBE)支援將SRTP企業域連線到RTP SIP提供商SIP中繼。SRTP-RTP互動工作透過企業之間的外部網路將RTP企業網路與SRTP連線起來。這提供了靈活的安全企業到企業通訊，而無需靜態IPsec隧道或在企業內部署SRTP。

有關在CUBE上進行SRTP-RTP互聯的要點包括：

1. 加密和解密：CUBE可以加密和解密SRTP和RTP網路之間的資料流。
2. TLS支援：可在SCCP伺服器和SCCP客戶端之間啟用或停用傳輸層安全(TLS)。預設情況下，啟用TLS以保護SRTP金鑰。
3. 補充服務：在Cisco IOS版本15.2(1)中，該功能已擴展以支援CUBE上的補充服務。
4. 轉碼：SRTP-RTP網際網路可用於普通和通用轉碼器，使用SCCP消息來呼叫。
5. 回退處理：如果其中一個呼叫端點不支援SRTP，則呼叫可能會回退到RTP-RTP或失敗，具體取決於配置。僅當在各自的撥號對等體上配置了srtp fallback命令時，才會發生此回退。
6. 部署：SRTP到RTP互通可以在使用者到網路介面(UNI)和網路到網路介面(NNI)上部署。

設定

網路圖表

補充服務支援

支援的補充服務包括：

• 使用語音類編解碼器配置進行中間呼叫編解碼器更改
• 基於重新邀請的呼叫保留和恢復
• 從思科統一通訊管理器（思科UCM）呼叫的保留音樂(MoH)，其中呼叫段在MoH源的SRTP和RTP之間更改
• 基於重新邀請的來電轉駁和來電轉駁
• 基於REFER消息的來電轉駁，CUBE上的REFER消息的本地消耗或傳遞
• 基於302消息進行呼叫前轉，在CUBE上使用或傳遞302消息
• T.38傳真切換
• 傳真直通切換

對於涉及REFER和302消息（在CUBE上本地使用的消息）的來電轉駁，只有當您在語音服務voip配置模式下配置supplementary-service media-renegotiate 命令時，才會從CUBE啟動端到端媒體重新協商。

在相同SIP呼叫段上從RTP切換到SRTP的任何呼叫流都需要在全局或語音服務voip配置模式下啟用supplementary-service media-renegotiate命令，以確儲存在雙向音訊。

呼叫流示例：

• RTP - CUCM端的SRTP傳輸
• 在安全呼叫保持或恢復期間播放的非安全MOH

從終端呼叫補充服務時，呼叫可以在呼叫持續期間在SRTP和RTP之間切換。因此，Cisco建議您為SRTP後退配置此類SIP中繼。

組態

步驟 1.啟用SRTP並為SRTP段配置撥號對等體：這是需要SRTP的段。

dial-peer voice <tag> voip

 描述傳入SRTP撥號對等體

 destination-pattern <pattern>

 會話協定sipv2

 會話目標ipv4：<SRTP-Peer-IP-Address>

 voice-class codec 1

 srtp

 dtmf-relay rtp-nte

 ip qos dscp cs3訊號

！

步驟 2.為RTP段配置撥號對等體：這是需要RTP的段。

dial-peer voice <tag> voip

 說明傳出RTP撥號對端

 destination-pattern <pattern>

 會話協定sipv2

 會話目標ipv4：<RTP-Peer-IP-Address>

 voice-class codec 1

 dtmf-relay rtp-nte

 ip qos dscp cs3訊號

！

步驟 3.配置加密身份驗證

使用AES_CM_128_HMAC_SHA1_80加密套件配置CUBE以支援SRTP連線的步驟

• 撥號對等體級別配置

dial-peer voice <tag> voip

   voice-class sip srtp-auth sha1-80

！

• 全局級配置

語音服務voip

 sip

 srtp-auth sha1-80

！

• 語音類級別配置

語音類別srtp-crypto 3000

 crypto 1 AES_CM_128_HMAC_SHA1_80

 crypto 2 AES_CM_128_HMAC_SHA1_32

！

步驟 4.啟用SRTP後退：您可以使用後退選項配置SRTP，以便如果另一呼叫端不支援SRTP，則呼叫可以後退到RTP。啟用SRTP後退是支援非安全補充服務（如MoH、來電轉駁和來電轉駁）所必需的。

• 在撥號對等體配置模式下

dial-peer voice <tag> voip

 srtp後退（用於與Cisco Unified Communications Manager以外的裝置互聯）

 或

 語音類sip srtp協商cisco（啟用此CLI與srtp fallback命令以透過Cisco Unified Communications Manager支援SRTP後退）

• 在全局VoIP SIP配置模式下

語音服務voip

 sip

 srtp後退（用於與Cisco Unified Communications Manager以外的裝置互聯）

 或

 srtp協商cisco（啟用此CLI和srtp fallback命令，以便使用Cisco Unified Communications Manager支援SRTP後退）

配置示例：

以下是統一示例配置：

語音類別srtp-crypto 300

 crypto 1 AES_CM_128_HMAC_SHA1_80

 crypto 2 AES_CM_128_HMAC_SHA1_32

！

撥號對等體語音100 voip

 描述傳入SRTP撥號對等體

 destination-pattern 1234

 會話協定sipv2

 會話目標ipv4:192.0.2.1

 voice-class codec 1

 語音類sip srtp

 dtmf-relay rtp-nte

 srtp

 語音類別sip srtp-crypto 300

 ip qos dscp cs3訊號

！

撥號對等體語音200 voip

 說明傳出RTP撥號對端

 destination-pattern 5678

 會話協定sipv2

 會話目標ipv4:192.0.2.2

 voice-class codec 1

 dtmf-relay rtp-nte

 ip qos dscp cs3訊號

！

驗證

在活動呼叫期間執行命令以驗證SRTP和RTP段。

CUBE# show call active voice brief

電話呼叫段：0

SIP呼叫段：2

H323呼叫段：0

呼叫座席控制的呼叫段：0

SCCP呼叫段：0

組播呼叫段：0

呼叫段總數：2

0 ： 1 12:49:45.256 IST星期五10月19日2024.1 +29060 pid：1答案10008001已連線

 dur 00:01:19 tx：1653/271092 rx：2831/464284 dscp：0 media：0

 IP XX.XX.XX.XX:7892 SRTP： on rtt：0ms pl：0/0ms lost：0/0/0 delay：0/0/0ms g711ulaw TextRelay：off

 檢測到介質非活動：n介質控制rcvd：n/a時間戳：n/a

 檢測到長持續呼叫：n長持續呼叫持續時間：n/a時間戳：n/a

0 ： 2 12:49:45.256 IST星期五10月19日2024.2 +29060 pid：22 Originate 20009001 connected

 dur 00:01:19 tx：2831/452960 rx：1653/264480 dscp：0 media：0

 IP XX.XX.XX.XX:7893 SRTP： off rtt：0ms pl：0/0ms lost：0/0/0 delay：0/0/0ms g711ulaw TextRelay： off

 檢測到介質非活動：n介質控制rcvd：n/a時間戳：n/a

 檢測到長持續呼叫：n長持續呼叫持續時間：n/a時間戳：n/a

疑難排解

您需要收集這些調試和日誌，以便調查互通是否存在任何問題。

• debug ccsip all
• debug voip ccapi inout
• debug voip srtp packet
• debug voip srtp error
• debug voip srtp session
• 封包擷取