Avant de commencer

Les fonctionnalités de Webex Calling Survivability Gateway sont disponibles avec la version Cisco IOS XE Dublin 17.12.3 ou les versions ultérieures.

Par défaut, les points de terminaison Webex Calling fonctionnent en mode actif, se connectant au cloud Webex pour l'enregistrement SIP et le contrôle des appels. Toutefois, si la connexion réseau à Webex est interrompue, les points de terminaison passent automatiquement en mode Survivability et les inscriptions reviennent à la passerelle Survivability au sein du réseau local. Lorsque les points de terminaison sont en mode Survivability, la passerelle Survivability fournit un service d'appel de sauvegarde de base pour ces points de terminaison. Une fois la connexion réseau à Webex rétablie, le contrôle des appels et les inscriptions reviennent au cloud Webex.

Lorsque les points de terminaison sont en mode Survivabilité, vous pouvez effectuer les appels suivants :

  • Appels internes (intrasite) entre les points de terminaison Webex Calling pris en charge

  • Appels externes (entrants et sortants) via un circuit PSTN local ou une liaison SIP vers des numéros externes et des fournisseurs E911

L'image suivante montre un scénario de panne de réseau dans lequel la connexion à Webex est interrompue et les points de terminaison du site Webex fonctionnent en mode Survivability. Dans l’image, la passerelle de survie achemine un appel interne entre deux points de terminaison sur site sans nécessiter de connexion à Webex. Dans ce cas, la passerelle de survie est configurée avec une connexion PSTN locale. Par conséquent, les points de terminaison sur site en mode Survivability peuvent utiliser le PSTN pour les appels entrants et sortants vers des numéros externes et des fournisseurs E911.

Diagramme d'un scénario de panne de réseau dans lequel la connexion à Webex est interrompue et les points de terminaison du site Webex fonctionnent en mode de survie.
Points de terminaison Webex Calling en mode survie

Pour utiliser cette fonctionnalité, vous devez configurer un routeur Cisco IOS XE dans le réseau local en tant que passerelle de survie. La passerelle de survie synchronise quotidiennement les informations d'appel à partir du cloud Webex pour les points de terminaison à cet emplacement. Si les points de terminaison passent en mode Survivability, la passerelle peut utiliser ces informations pour prendre en charge les enregistrements SIP et fournir des services d'appel de base.

Les conditions suivantes s'appliquent à la passerelle de survie :

  • Le cloud Webex inclut l’adresse IP, le nom d’hôte et le port de Survivability Gateway dans le fichier de configuration de l’appareil. Par conséquent, les points de terminaison peuvent accéder à la passerelle de survie pour s'enregistrer si la connexion à Webex est interrompue.

  • La synchronisation quotidienne des données d'appel entre le cloud Webex et la passerelle de survie inclut des informations d'authentification pour les utilisateurs enregistrés. Par conséquent, les points de terminaison peuvent conserver des enregistrements sécurisés, même lorsqu'ils fonctionnent en mode Survivability. La synchronisation inclut également des informations de routage pour ces utilisateurs.

  • La passerelle de survie peut acheminer automatiquement les appels internes à l'aide des informations de routage fournies par Webex. Ajoutez une configuration de jonction PSTN à la passerelle de survie pour fournir des appels externes.

  • Chaque site qui déploie Site Survivability nécessite une passerelle de survie au sein du réseau local.

  • Les inscriptions et le contrôle des appels reviennent tous deux au cloud Webex une fois que la connexion réseau Webex reprend pendant au moins 30 secondes.

Prise en charge des fonctionnalités

Le tableau suivant fournit des informations sur les fonctionnalités prises en charge.

Tableau 1. Fonctionnalités d'appel prises en charge
Description et avantage Appareils MPP et application WebexVG4xx ATA

Appel d'extension intrasite

Pris en charge automatiquement sans configuration de routage spécifique requise sur la passerelle de survie.

Pris en charge automatiquement sans configuration de routage spécifique requise sur la passerelle de survie.

Les numéros alternatifs ne sont pas pris en charge.

Appels intersites et PSTN (entrants et sortants)

Appel PSTN basé sur un circuit téléphonique ou une liaison SIP.

Appel PSTN basé sur un circuit téléphonique ou une liaison SIP.

Gestion des appels E911

L'appel E911 nécessite un circuit PSTN ou une liaison SIP.

Les appels sortants utilisent un numéro d'identification d'emplacement d'urgence (ELIN) enregistré spécifique pour un emplacement d'intervention d'urgence (ERL) défini. Si l'opérateur d'urgence renvoie un appel déconnecté, la passerelle de survie dirige l'appel vers le dernier appareil qui a appelé le numéro d'urgence.

L'appel E911 nécessite un circuit PSTN ou une liaison SIP.

Les appels sortants utilisent un numéro d'identification d'emplacement d'urgence (ELIN) enregistré spécifique pour un emplacement d'intervention d'urgence (ERL) défini. Si l'opérateur d'urgence renvoie un appel déconnecté, la passerelle de survie dirige l'appel vers le dernier appareil qui a appelé le numéro d'urgence.

Mise en attente et reprise d’un appel

Pris en charge

Si vous utilisez la musique d'attente (MOH), provisionnez manuellement la passerelle de survie avec un fichier MOH.

Les lignes analogiques VG4xx ATA ne peuvent pas mettre les appels en attente ou les reprendre.

Cette fonctionnalité est prise en charge uniquement lorsqu'un appel entrant est reçu sur VG4xx ATA.

Transfert d'appel assisté

Compatible(s)

Cette fonctionnalité est prise en charge uniquement lorsqu'un appel entrant est reçu sur VG4xx ATA.

Transfert d'appel à l'aveugle

Compatible(s)

Cette fonctionnalité est prise en charge uniquement lorsqu'un appel entrant est reçu sur VG4xx ATA.

Identification de l’appelant entrant (Nom)

Pris en charge

Pris en charge

ID de l'appelant entrant (nom & Nombre)

Pris en charge

Pris en charge

Appel vidéo point à point

Pris en charge

Non pris en charge

Conférence à trois

Non pris en charge

Non pris en charge

Lignes partagées

Pris en charge

Pris en charge

Lignes virtuelles

Pris en charge

Non pris en charge

Lors de la configuration de la fonctionnalité, la survie du site est disponible pour les points de terminaison pris en charge suivants.

Tableau 2. Modèles de points de terminaison pris en charge
TypeModèlesVersion minimum
Téléphone IP Cisco avec micrologiciel multiplateforme (MPP)

6821, 6841, 6851, 6861, 6861 Wi-Fi, 6871

7811, 7821, 7841, 7861

8811, 8841, 8851, 8861

8845 (audio uniquement), 8865 (audio uniquement)

9800

Pour plus d'informations sur les téléphones IP Cisco pris en charge avec le micrologiciel multiplateforme (MPP), consultez :

12.0(1)

Pour la série 9800 - PhoneOS 3.2(1)

Cisco IP Conference Phone

7832, 8832

12.0(1)

Cisco Webex App

Windows, Mac

43.2

Points de terminaison VG4xx ATA

VG400 ATA, VG410 ATA et VG420 ATA

17.16.1a

Les appareils tiers ne sont pas pris en charge avec Survivability Gateway.

Le tableau suivant permet de configurer les routeurs Cisco IOS XE en tant que passerelle de survie. Ce tableau répertorie le nombre maximal de points de terminaison pris en charge par chaque plate-forme et la version minimale d'IOS XE.

Tableau 3. Modèles de plateformes pris en charge
ModèleNombre maximal d'enregistrements de points de terminaisonVersion minimum

Routeur à services intégrés 4321

50

Cisco IOS XE Dublin 17.12.3 ou versions ultérieures

Routeur à services intégrés 4331

100

Routeur à services intégrés 4351

700

Routeur à services intégrés 4431

1200

Routeur à services intégrés 4451-X

2000

Routeur à services intégrés 4461

2000

Catalyst Edge 8200L-1N-4T

1500

Catalyst Edge 8200-1N-4T

2500

Catalyst Edge 8300-1N1S-6T

2500

Catalyst Edge 8300-2N2S-6T

2500

Catalyst Edge 8300-1N1S-4T2X

2500

Catalyst Edge 8300-2N2S-4T2X

2500

Petite configuration du logiciel Catalyst Edge 8000V

500

Configuration du support logiciel Catalyst Edge 8000V

1000

Configuration logicielle étendue du Catalyst Edge 8000V

2000
Tableau 4. Informations de référence du port pour Survivability Gateway

Objet de la connexion

Adresses sources

Ports source

HTTPS et WSS pour la signalisation et la messagerie.

Adresses de destination

Ports de destination

Signalisation d'appel vers Survivability Gateway (SIP TLS)

Périphériques

5060-5080

TLS

Passerelle de survivabilité

8933

Appeler les médias à Survivability Gateway (SRTP)

Périphériques

19560-19660

UDP

Passerelle de survivabilité

8000-14198 (SRTP sur UDP)

Signalisation d'appel vers la passerelle PSTN (SIP)

Passerelle de survivabilité

Éphémère

TCP ou UDP

Votre passerelle PSTN ITSP

5060

Média d’appel vers la passerelle PSTN (SRTP)

Passerelle de survivabilité

8000-48198

UDP

Votre passerelle PSTN ITSP

Éphémère

Synchronisation horaire (NTP)

Passerelle de survivabilité

Éphémère

UDP

serveur NTP

123

Résolution de noms (DNS)

Passerelle de survivabilité

Éphémère

UDP

Serveur DNS

53

Gestion du cloud

Connecteur

Éphémère

HTTPS

Services Webex

443, 8433

Pour obtenir des conseils opérationnels sur le mode cloud, reportez-vous à l'article d'aide Informations de référence sur les ports pour Webex Calling.

Vous pouvez personnaliser les valeurs des paramètres de port sur les routeurs Cisco IOS XE. Ce tableau utilise des valeurs par défaut pour fournir des indications.

La passerelle Survivability prend en charge la colocalisation d'une configuration Webex Survivability et d'une configuration Unified SRST sur la même passerelle. La passerelle peut prendre en charge la survie des points de terminaison Webex Calling et des points de terminaison qui s'enregistrent auprès de Unified Communications Manager. Pour configurer la colocation :

Considérations sur le routage des appels pour la colocation

Tenez compte des éléments suivants lors de la configuration du routage des appels pour les scénarios de colocation :

  • La passerelle de survie achemine automatiquement les appels internes à condition que les deux points de terminaison de l'appel soient enregistrés sur la passerelle de survie. Les appels internes sont automatiquement acheminés entre tous les clients enregistrés (SRST ou Webex Calling).

  • Il est possible d'avoir une situation dans laquelle la connexion à un système de contrôle des appels est interrompue tandis que la connexion à l'autre système de contrôle des appels reste active. Par conséquent, un ensemble de points de terminaison s'enregistre auprès de la passerelle de survie tandis qu'un autre ensemble de points de terminaison sur le même site s'enregistre auprès du contrôle d'appel principal. Dans ce cas, vous devrez peut-être acheminer les appels entre les deux ensembles de points de terminaison vers une liaison SIP ou un circuit PSTN.

  • Les appels externes et les appels E911 peuvent être acheminés vers une liaison SIP ou un circuit PSTN.

  • La disponibilité du service de réseau téléphonique public commuté (RTPC) dépend des liaisons SIP ou des circuits RTPC disponibles lors d'une panne de réseau.

  • Les appareils dotés d'une connectivité 4G et 5G (par exemple, l'application Webex pour mobile ou tablette) peuvent toujours s'inscrire à Webex Calling pendant les pannes. Par conséquent, ils pourraient être incapables d’appeler d’autres numéros à partir du même site en cas de panne.

  • Les modèles de numérotation peuvent fonctionner différemment en mode Survivability et en mode Actif.

  • Cette fonctionnalité ne prend pas en charge la préservation des appels lors d'un retour à la passerelle de survie. Cependant, les appels sont préservés lorsque la connectivité au service cloud est rétablie.

  • Lorsqu'une panne se produit, l'enregistrement des appareils sur la passerelle de survie peut prendre quelques minutes.

  • La passerelle de survie doit utiliser une adresse IPv4. IPv6 n'est pas pris en charge.

  • Une mise à jour de l'état de synchronisation à la demande dans le Control Hub peut prendre jusqu'à 30 minutes.

  • La fenêtre multi-appels Cisco Webex n'est pas prise en charge dans la version 43.2. Si vous utilisez une fenêtre multi-appels, désactivez-la en mode survie et utilisez l'application principale pour passer ou recevoir des appels.

  • Ne configurez pas la commande de liaison SIP dans le mode de configuration VoIP du service vocal. Cela entraîne l'échec de l'enregistrement des téléphones MPP avec Survivability Gateway.

En mode Survivabilité :

  • Les touches programmables MPP telles que les boutons Park, Unpark, Barge, Pickup, Group Pickup et Call Pull ne sont pas prises en charge. Cependant, ils ne semblent pas désactivés.

  • Les appels effectués vers des lignes partagées peuvent sonner sur tous les appareils. Cependant, d'autres fonctionnalités de ligne partagée telles que la surveillance de l'état de la ligne à distance, la mise en attente, la reprise, la synchronisation NPD et les paramètres de transfert d'appel ne sont pas disponibles.

  • La conférence ou l'appel à trois ne sont pas disponibles.

  • L'historique des appels locaux passés, reçus et manqués n'est pas disponible pour les téléphones MPP.

Configuration des fonctionnalités

Effectuez les tâches suivantes pour ajouter la capacité de survie du site pour un emplacement Webex Calling existant. Si la connexion au cloud Webex est interrompue, une passerelle de survie dans le réseau local peut fournir un contrôle d'appel de secours pour les points de terminaison à cet emplacement.

Avant de commencer

Si vous devez provisionner une nouvelle passerelle pour agir comme passerelle de survie, reportez-vous à l'article Webex Inscrire les passerelles gérées par Cisco IOS sur Webex Cloud pour ajouter la passerelle à Control Hub.

ÉtapesCommande ou ActionObjet

1

Attribuer un service de survie à une passerelle

Dans Control Hub, attribuez le service Survivability Gateway à une passerelle.

2

Télécharger le modèle de configuration

Téléchargez le modèle de configuration depuis Control Hub. Vous aurez besoin du modèle lorsque vous configurerez la ligne de commande de la passerelle.

3

Configurer les licences

Configurer les licences pour Survivability Gateway.

4

Configurer les certificats sur Cisco IOS XE

Configurer les certificats pour la passerelle de survie.

5

Configurer la passerelle comme passerelle de survie

Utilisez le modèle de configuration que vous avez téléchargé précédemment comme guide pour configurer la ligne de commande de la passerelle. Complétez toutes les configurations obligatoires qui se trouvent dans le modèle.

Utilisez cette procédure dans Control Hub pour attribuer une passerelle existante comme passerelle de survie.

Avant de commencer

Si la passerelle n'existe pas dans Control Hub, consultez Inscrire les passerelles Cisco IOS à Webex Calling pour ajouter une nouvelle instance de passerelle.
1

Connectez-vous à Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub est lancé. Pour ouvrir Control Hub, cliquez sur la vue Client dans Partner Hub et sélectionnez le client concerné, ou sélectionnez Mon organisation pour ouvrir les paramètres de Control Hub pour l'organisation partenaire.

2

Dans Control Hub, sous SERVICES, cliquez sur Appels, puis sur l'onglet Passerelles gérées.

La vue Passerelles gérées affiche la liste des passerelles que vous gérez via Control Hub. La colonne Service affiche l’affectation de service actuelle.
3

Pour la passerelle que vous souhaitez affecter comme passerelle de survie, choisissez l'une des options suivantes, en fonction de la valeur du champ Service  :

  • Non attribué (valeur vide) : cliquez sur Attribuer un service et passez à l’étape suivante.

  • Passerelle de survie— Si vous souhaitez modifier les paramètres IP de passerelle existants, accédez à Modifier les propriétés de la passerelle de survie. Sinon, passez à la procédure suivante du flux.

4

Dans la liste déroulante du type de service, sélectionnez Survivability Gateway et remplissez les champs suivants :

  • Emplacement— Dans la liste déroulante, sélectionnez un emplacement.

  • Nom d’hôte— Saisissez le nom de domaine complet (FQDN) utilisé lors de la création du certificat pour la passerelle. Il peut s'agir d'un nom inclus dans le champ Nom alternatif du sujet (SAN) du certificat. Le FQDN et l'adresse IP ne sont utilisés que pour établir une connexion sécurisée avec la passerelle. Il n'est donc pas obligatoire de le renseigner dans le DNS.

  • Adresse IP— Au format IPv4, saisissez l’adresse IP de la passerelle de survie. Les appareils s'enregistrent à cette adresse lorsqu'ils fonctionnent en mode Survivability.

5

Cliquez sur Attribuer.

(Facultatif) Annuler l'attribution du service de survie— Si vous souhaitez supprimer la passerelle de survie d'une passerelle, accédez à Annuler l'attribution des services d'une passerelle gérée.
Téléchargez le modèle de configuration depuis Control Hub. Vous aurez besoin du modèle lorsque vous configurerez la ligne de commande de la passerelle.
1

Connectez-vous à Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub est lancé. Pour ouvrir Control Hub, cliquez sur la vue Client dans Partner Hub et sélectionnez le client concerné, ou sélectionnez Mon organisation pour ouvrir les paramètres de Control Hub pour l'organisation partenaire.

2

Dans Control Hub, sous SERVICES, cliquez sur Appels, puis sur l'onglet Passerelles gérées.

3

Cliquez sur la passerelle de survie applicable.

4

Cliquez sur Télécharger le modèle de configuration et téléchargez le modèle sur votre ordinateur de bureau ou portable.

Assurez-vous que vous disposez des licences de plateforme appropriées pour votre passerelle. Configurez les licences à l’aide des commandes adaptées à votre plateforme.
1

Entrez en mode de configuration globale sur le routeur :

enable
 configure terminal
2

Configurez les licences à l’aide des commandes qui s’appliquent uniquement à votre plate-forme spécifique.

  • Pour la série Cisco ISR 4000 :

    license boot level uck9
     license boot level securityk9
    
  • Pour les plates-formes Cisco Catalyst 8300 et 8200 Series Edge, utilisez la licence de fonctionnalité DNA Network Advantage ou supérieure et saisissez le niveau de débit requis. L'exemple suivant utilise un débit de cryptographie bidirectionnel de 25 Mbps. Sélectionnez le niveau approprié au nombre d’appels que vous prévoyez.

    license boot level network-advantage addon dna-advantage
     platform hardware throughput crypto 25M
    
  • Pour le logiciel Cisco Catalyst 8000V Edge, utilisez la licence de fonctionnalité DNA Network Essentials ou supérieure et saisissez le niveau de débit requis. L'exemple suivant utilise un débit de 1 Gbit/s. Sélectionnez le niveau approprié au nombre d’appels que vous prévoyez.

    license boot level network-essentials addon dna-essentials
     platform hardware throughput level MB 1000
    

Lors de la configuration d'un débit supérieur à 250 Mbit/s, vous avez besoin d'une licence de plate-forme HSEC.

Configurer les certificats

Suivez les étapes suivantes pour demander et créer des certificats pour Survivability Gateway. Utilisez des certificats signés par une autorité de certification connue publiquement.

La plate-forme Survivability Gateway prend uniquement en charge les certificats CA connus publiquement. Les certificats d'autorité de certification privés ou d'entreprise ne peuvent pas être utilisés pour Survivability Gateway.

Pour obtenir la liste des autorités de certification racine prises en charge pour Webex Calling, consultez Quelles autorités de certification racine sont prises en charge pour les appels vers les plates-formes audio et vidéo Cisco Webex ?.

La plate-forme Survivability Gateway ne prend pas en charge le certificat générique.

Exécutez les commandes de l’exemple de code pour terminer les étapes. Pour plus d'informations sur ces commandes, ainsi que sur d'autres options de configuration, consultez le chapitre « SIP TLS Support» dans le Cisco Unified Border Element Configuration Guide.

1

Entrez en mode de configuration globale en exécutant les commandes suivantes :

enable
 configure terminal
2

Générez la clé privée RSA en exécutant la commande suivante. Le module de la clé privée doit être d'au moins 2048 bits.

crypto key generate rsa general-keys label webex-sgw exportable modulus 2048
3

Configurez un point de confiance pour contenir le certificat Survivability Gateway. Le nom de domaine complet (fqdn) de la passerelle doit utiliser la même valeur que celle que vous avez utilisée lors de l'attribution du service de survie à la passerelle.

crypto pki trustpoint webex-sgw 
 enrollment terminal 
 fqdn  
 subject-name cn=
 subject-alt-name 
 revocation-check crl 
 rsakeypair webex-sgw
4

Générez une demande de signature de certificat en exécutant la commande crypto pki enroll webex-sgw.

Lorsque vous y êtes invité, entrez yes.

Une fois le CSR affiché à l’écran, utilisez le Bloc-notes pour copier le certificat dans un fichier que vous pouvez envoyer à une autorité de certification (CA) prise en charge.

Si votre fournisseur de signature de certificat exige un CSR au format PEM (Privacy Enhanced Mail), ajoutez un en-tête et un pied de page avant de soumettre. par exemple

-----BEGIN CERTIFICATE REQUEST-----
 
 -----END CERTIFICATE REQUEST-----
5

Une fois que l’autorité de certification vous a délivré un certificat, exécutez la commande crypto pki authenticate webex-sgw pour authentifier le certificat. Vous pouvez exécuter cette commande à partir du mode exec ou config.

Lorsque vous y êtes invité, collez la base 64 CER/PEM émission du contenu du certificat CA (pas le certificat de l'appareil) dans le terminal.

6

Importez le certificat d’hôte signé dans le point de confiance à l’aide de la commande crypto pki import webex-sgw certificate.

Lorsque vous y êtes invité, collez la base 64 CER/PEM certificat dans le terminal.

7

Vérifiez que le certificat CA racine est disponible :

Seules les autorités de certification connues publiquement sont prises en charge par la solution Webex Calling. Les certificats d'autorité de certification privés ou d'entreprise ne sont pas pris en charge.

  1. Recherchez le nom commun de l'autorité de certification racine en exécutant show crypto pki certificates webex-sgw | begin CA Cert. Recherchez l'émetteur cn= .

  2. Exécutez la commande show crypto pki trustpool | include cn= et vérifiez si ce certificat d’autorité de certification racine est installé avec le bundle Cisco CA. Si vous voyez votre CA, passez à l’étape 9.

  3. Si vous ne voyez pas votre certificat, vous pouvez effectuer l'une des opérations suivantes :

    • Importer les certificats manquants

    • Exécutez la commande suivante pour installer le bundle IOS CA étendu.

      crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios_union.p7b

      Utilisez le bundle IOS CA étendu ios_core.p7b, uniquement si la passerelle est une passerelle locale colocalisée. Voir Configurer la passerelle locale sur Cisco IOS XE pour Webex Calling pour plus de détails.

  4. Répétez ces sous-étapes pour déterminer si le certificat d’autorité de certification racine est désormais disponible. Après avoir répété les sous-étapes :

    Si le certificat n’est pas disponible, passez à l’étape 8. Si le certificat est disponible, passez à l’étape 9.

8

Si votre certificat d’autorité de certification racine n’est pas inclus dans le bundle, obtenez le certificat et importez-le vers un nouveau point de confiance.

Effectuez cette étape si un certificat racine d’autorité de certification publiquement connu n’est pas disponible avec votre passerelle Cisco IOS XE.

crypto pki trustpoint 
 enrollment terminal
 revocation-check crl
 crypto pki authenticate 

Lorsque vous y êtes invité, collez la base 64 CER/PEM contenu du certificat dans le terminal.

9

À l’aide du mode de configuration, spécifiez le point de confiance par défaut, la version TLS et les valeurs par défaut SIP-UA avec les commandes suivantes.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Vous pouvez importer des certificats CA et des paires de clés sous forme de bundle en utilisant le format PKCS12 (.pfx ou .p12). Vous pouvez importer le bundle à partir d’un système de fichiers local ou d’un serveur distant. PKCS12 est un type spécial de format de certificat. Il regroupe l'intégralité de la chaîne de certificats, du certificat racine au certificat d'identité, ainsi que la paire de clés RSA. Autrement dit, le bundle PKCS12 que vous importez comprendra la paire de clés, les certificats d’hôte et les certificats intermédiaires. Importez un bundle PKCS12 pour les scénarios suivants :

  • Exporter depuis un autre routeur Cisco IOS XE et importer dans votre routeur Survivability Gateway

  • Génération du bundle PKCS12 en dehors du routeur Cisco IOS XE à l'aide d'OpenSSL

Suivez les étapes suivantes pour créer, exporter et importer des certificats et des paires de clés pour votre routeur Survivability Gateway.

1

(Facultatif) Exportez le bundle PKCS12 requis pour votre routeur Survivability Gateway.

crypto pki export webex-sgw pkcs12 terminal password xyz123

Cette étape s’applique uniquement si vous exportez à partir d’un autre routeur Cisco IOS XE.

2

(Facultatif) Créez un bundle PKCS12 à l’aide d’OpenSSL.

  1. Vérifiez qu’OpenSSL est installé sur le système sur lequel ce processus est exécuté. Pour Mac OSX et GNU/Linux utilisateurs, il est installé par défaut.

  2. Passez au répertoire dans lequel vos clés, votre certificat et vos fichiers de chaîne sont stockés.

    Sous Windows : Par défaut, les utilitaires sont installés dans C:\Openssl\bin. Ouvrez une invite de commande à cet emplacement.

    Sur Mac OSX/Linux: Ouvrez la fenêtre Terminal dans le répertoire nécessaire pour créer le certificat PKCS12.

  3. Dans le répertoire, enregistrez les fichiers de clé privée (privateKey.key), de certificat d'identité (certificate.crt) et de chaîne de certificats d'autorité de certification racine (CACert.crt).

    Combinez la clé privée, le certificat d’identité et la chaîne de certificats CA racine dans un fichier PKCS12. Saisissez une phrase secrète pour protéger votre certificat PKCS12.

    console> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    Fournissez un mot de passe lorsque vous utilisez OpenSSL pour générer le fichier PKCS12.

Cette étape s’applique uniquement si vous générez un bundle PKCS12 en dehors de Cisco IOS XE à l’aide d’OpenSSL.

3

Importez le fichier bundle au format PKCS12.

crypto pki import  pkcs12  password 

Voici un exemple de configuration pour la commande et des détails concernant les paramètres configurables :

crypto pki import webex-sgw pkcs12 bootflash:certificate.pfx password xyz123
  • <trustpoint name>— Nom du point de confiance créé lors de l'utilisation de cette commande (par exemple, webex-sgw).

  • <certificate file location>— URL locale ou réseau pointant vers le fichier de certificat (par exemple, bootflash:certificate.pfx)

  • <file password>— Le mot de passe utilisé lors de la création du fichier PKCS12 (par exemple, xyz123).

La commande crypto pki import crée automatiquement le point de confiance pour accueillir le certificat.

4

À l’aide du mode de configuration, spécifiez le point de confiance par défaut, la version TLS et les valeurs par défaut SIP-UA avec les commandes suivantes.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Configurer la passerelle de survie

Utilisez le modèle de configuration que vous avez téléchargé précédemment comme guide pour configurer la ligne de commande de la passerelle. Complétez les configurations obligatoires dans le modèle.

Les étapes suivantes contiennent des exemples de commandes ainsi qu’une explication des commandes. Modifiez les paramètres pour les adapter à votre déploiement. Les crochets angulaires (par exemple, ) identifient les paramètres dans lesquels vous devez saisir des valeurs qui s'appliquent à votre déploiement. Les différents paramètres <tag> utilisent des valeurs numériques pour identifier et attribuer des ensembles de configurations.

  • Sauf indication contraire, cette solution nécessite que vous effectuiez toutes les configurations de cette procédure.
  • Lors de l'application des paramètres du modèle, remplacez %tokens% par vos valeurs préférées avant de copier vers la passerelle.
  • Pour plus d'informations sur les commandes, voir Référence des commandes de la passerelle gérée Webex. Utilisez ce guide à moins que la description de la commande ne vous renvoie à un autre document.
1

Entrez en mode de configuration globale.

enable
 configure terminal

où :

  • enable—Active le mode EXEC privilégié.

  • configure terminal—Active le mode de configuration globale.

2

Effectuer les configurations du service vocal :

voice service voip
 ip address trusted list
    ipv4  
    ipv4  
  allow-connections sip to sip
  supplementary-service media-renegotiate
  no supplementary-service sip refer
  trace
  sip
   asymmetric payload full
   registrar server
  

Explication des commandes :

  • ip address trusted list—Définit une liste d'adresses non enregistrées à partir desquelles la passerelle de survie doit accepter les messages SIP. Par exemple, une adresse homologue de jonction SIP.

  • et représentent des plages d’adresses approuvées. Vous n’avez pas besoin de saisir directement les sous-réseaux connectés, car la passerelle de survie les approuve automatiquement.

  • allow-connections sip to sip—Permet les connexions SIP à SIP dans un réseau VoIP.

  • no supplementary-service sip refer—Désactiver la méthode REFER pour les services supplémentaires de transfert d’appel et de renvoi d’appel. Webex Calling n'utilise pas ces méthodes.

  • sip—Entre dans le mode de configuration SIP du service.

  • registrar server—Activez le registraire SIP pour permettre aux clients Webex Calling de s’inscrire sur la passerelle.

  • asymmetric payload full—Active les appels vidéo en mode survie.

3

Activer la survie sur le routeur :

voice register global
 mode webex-sgw
 max-dn 50
 max-pool 50
 exit
 

Explication des commandes :

  • voice register global—Entre en mode d’enregistrement vocal global.

  • mode webex-sgw—Active le mode de survie des appels Webex et la téléphonie de site distant survivable pour les points de terminaison Unified Communications Manager.

    Après la configuration du mode webex-sgw, Survivability Gateway écoute sur le port 8933 les connexions sécurisées entrantes provenant des points de terminaison.

  • max-dn—Limite le nombre de numéros de répertoire que le routeur peut gérer. Pour cette solution, configurez toujours la valeur maximale disponible pour votre plateforme.

  • max-pool—Définit le nombre maximal d’appareils pouvant s’enregistrer sur la passerelle. Définissez cette valeur sur la valeur maximale autorisée par votre plateforme, comme décrit dans le tableau 3.

4

Configurer les serveurs NTP :

ntp server 
 ntp server 

5

(Facultatif). Configurer les autorisations générales d'appel de classe de restriction :

dial-peer cor custom
 name Wx_calling_Internal
 name Wx_calling_Toll-free
 name Wx_calling_National
 name Wx_calling_International
 name Wx_calling_Operator_Assistance
 name Wx_calling_Chargeable_Directory_Assistance
 name Wx_calling_Special_Services1
 name Wx_calling_Special_Services2
 name Wx_calling_Premium_Services1
 name Wx_calling_Premium_Services2

L'exemple précédent crée un ensemble de classes personnalisées de catégories de restriction nommées (par exemple, Wx_calling_International). Pour plus de détails sur l'utilisation de la classe de restrictions avec les homologues de numérotation, voir « Classe de restrictions » dans Guide de configuration des homologues de numérotation, Cisco IOS version 15M & T.

6

Configurez une liste de codecs préférés. Par exemple, la liste suivante spécifie g711ulaw comme codec préféré, suivi de g711alaw.

voice class codec 1
 codec preference 1 g711ulaw
 codec preference 2 g711alaw

Explication des commandes :

  • voice class codec 1 entre en mode de configuration de classe vocale pour le groupe de codecs 1.

  • codec preference identifie les codecs préférés pour ce groupe de codecs.

7

Configurer les pools de registres vocaux par défaut par emplacement :

voice register pool 1
 id network 0.0.0.0 mask 0.0.0.0
 dtmf-relay rtp-nte
 voice-class codec 1

Explication des commandes :

  • voice register pool 1—Entre en mode de configuration du pool de registre vocal pour les périphériques SIP de ce pool.

  • id network et mask identifient un périphérique SIP ou un ensemble de périphériques réseau qui utilisent ce pool. Utilisez les adresses et les masques qui s’appliquent à votre déploiement. L'adresse 0.0.0.0 permet aux appareils de n'importe où de s'enregistrer (si les adresses des appareils sont dans la liste des autorisations).

  • id extension-number—Le pool s’applique spécifiquement à l’utilisateur Webex Calling au poste 1234. Utilisez les extensions appropriées à votre réseau.

  • dtmf-relay spécifie la méthode rtp-nte pour l'envoi de chiffres DTMF. Dans cet exemple, transport en temps réel (RTP) avec type de charge utile d'événement téléphonique nommé (NTE).

  • voice-class codec 1—Attribue le groupe de codecs 1 à ce pool.

8

Configurer les appels d’urgence :

voice emergency response location 1
 elin 1 
 subnet 1  

 voice emergency response location 2
 elin 1 
 subnet 1  

 voice emergency response zone 1
 location 1
 location 2

 voice class e164-pattern-map 301
 voice class e164-pattern-map 351

Explication des commandes :

  • voice emergency response location 1—Crée un groupe d’emplacements d’intervention d’urgence 1 pour le service 911 amélioré. Une commande ultérieure crée le groupe d’emplacements d’intervention d’urgence 2.

  • elin 1 —Attribue un elin à l’emplacement d’intervention d’urgence. Pour cet elin, la partie <number> définit un numéro PSTN pour remplacer l'extension de l'appelant 911 (par exemple, 14085550100).

  • subnet 1 —Définit un groupe de sous-réseaux ainsi qu’une adresse de sous-réseau spécifique pour cet emplacement d’intervention d’urgence. Utilisez cette commande pour identifier le réseau de l'appelant via une adresse IP et un masque de sous-réseau. Par exemple, subnet 1 192.168.100.0 /26.

  • voice emergency response zone 1—Définit une zone d’intervention d’urgence.

  • location 1 (and 2)—Attribue les emplacements d’intervention d’urgence 1 et 2 à cette zone d’intervention d’urgence.

  • voice class e164-pattern-map 301 (and 351)—Identifie les cartes de modèles e164 301 et 351 pour cette classe de voix. Vous pouvez utiliser la carte pour définir des plans de numérotation et des identifiants d'emplacement d'urgence.

Si la superposition WiFi ne correspond pas précisément aux sous-réseaux IP, les appels d'urgence pour les appareils nomades peuvent ne pas avoir le mappage ELIN correct.

9

Configurez les homologues de numérotation pour le PSTN. Pour un exemple de configuration d'homologue de numérotation, voir Exemples de connexion PSTN.

10

Facultatif. Activer la musique d'attente pour le routeur. Vous devez stocker un fichier musical dans la mémoire flash du routeur au format G.711. Le fichier peut être au format .au ou .wav, mais le format de fichier doit contenir des données 8 bits 8 kHz (par exemple, le format de données ITU-T A-law ou mu-law).

call-manager-fallback
 moh enable-g711 "bootflash:"

Explication des commandes :

  • call-manager-fallback—Entre en mode de configuration SRST.

  • moh enable-g711 "bootflash:"—Active la diffusion de musique d'attente en monodiffusion à l'aide de G.711. Fournit également le répertoire et le nom du fichier audio (par exemple, bootflash:music-on-hold.au). Le nom du fichier ne peut pas dépasser 128 caractères.

Facultatif. Effectuez cette procédure uniquement si vous souhaitez effectuer une synchronisation immédiate à la demande. Cette procédure n'est pas obligatoire car le cloud Webex synchronise automatiquement les données d'appel avec la passerelle de survie une fois par jour.

1

Connectez-vous à Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub est lancé. Pour ouvrir Control Hub, cliquez sur la vue Client dans Partner Hub et sélectionnez le client concerné ou sélectionnez Mon organisation pour ouvrir les paramètres de Control Hub pour l'organisation partenaire.

2

Dans Control Hub, sous SERVICES, cliquez sur Appels, puis sur l'onglet Passerelles gérées.

3

Cliquez sur la passerelle de survie applicable pour ouvrir la vue Service de survie pour cette passerelle.

4

Cliquez sur le bouton Synchroniser.

5

Cliquez sur Soumettre.

La synchronisation peut prendre jusqu'à 10 minutes.
Utilisez cette procédure facultative uniquement si vous souhaitez modifier les paramètres d’une passerelle de survie existante.
1

Connectez-vous à Control Hub à https://admin.webex.com.

Si vous êtes une organisation partenaire, Partner Hub est lancé. Pour ouvrir Control Hub, cliquez sur la vue Client dans Partner Hub et sélectionnez le client concerné, ou sélectionnez Mon organisation pour ouvrir les paramètres de Control Hub pour l'organisation partenaire.

2

Dans Control Hub, sous SERVICES, cliquez sur Appels, puis sur l'onglet Passerelles gérées.

3

Cliquez sur la passerelle de survie applicable pour ouvrir la vue Service de survie pour cette passerelle.

4

Cliquez sur le bouton Modifier et mettez à jour les paramètres suivants.

  • Nom d’hôte— Utilisez le nom d’hôte ou le nom de domaine complet du certificat pour établir la connexion TLS avec les clients et l’adresse IP.

  • Adresse IP— Au format IPv4, saisissez l'adresse IP de la passerelle sur laquelle les appareils s'enregistrent lorsqu'ils fonctionnent en mode Survivability.

5

Cliquez sur Soumettre.

Si vous souhaitez supprimer une passerelle de survie de Control Hub, annulez d'abord l'attribution du service Survivability Gateway. Pour plus de détails, voir Affecter des services aux passerelles gérées.

Exemples de configuration

Pour les appels externes, configurez une connexion au PSTN. Cette rubrique décrit certaines des options et fournit des exemples de configurations. Les deux principales options sont :

  • Connexion de la carte d'interface vocale (VIC) au PSTN

  • Passerelle SIP trunk vers PSTN

Connexion de la carte d'interface vocale au PSTN

Vous pouvez installer une carte d'interface vocale (VIC) sur le routeur et configurer une connexion de port au PSTN.

  • Pour plus de détails sur l'installation du VIC sur le routeur, reportez-vous au guide d'installation du matériel correspondant à votre modèle de routeur.

  • Pour plus de détails sur la configuration du VIC, ainsi que des exemples, consultez Voice Port Configuration Guide, Cisco IOS Release 15M & T.

Passerelle SIP trunk vers PSTN

Vous pouvez configurer une connexion trunk SIP qui pointe vers une passerelle PSTN. Pour configurer la connexion trunk sur la passerelle, utilisez la configuration voice-class-tenant. Voici un exemple de configuration.

voice class tenant 300 
  sip-server ipv4::
  session transport udp 
  bind all source-interface GigabitEthernet0/0/1 
 

Configuration du dial-peer

Pour les connexions de jonction, configurez les homologues de numérotation entrants et sortants pour la connexion de jonction. La configuration dépend de vos besoins. Pour des informations de configuration détaillées, consultez Guide de configuration Dial Peer, Cisco IOS version 15M & T.

Voici quelques exemples de configurations :

Dial-peers sortants vers le PSTN avec UDP et RTP

dial-peer voice 300 voip 
 description outbound to PSTN 
 destination-pattern +1[2-9]..[2-9]......$ 
 translation-profile outgoing 300
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 session target sip-server
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Dial-peer entrant depuis le PSTN utilisant UDP avec RTP

voice class uri 350 sip 
 host ipv4: 
 !
dial-peer voice 190 voip 
 description inbound from PSTN 
 translation-profile incoming 350 
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Traductions de nombres

Pour les connexions PSTN, vous devrez peut-être utiliser des règles de traduction pour traduire les extensions internes en un numéro E.164 que le PSTN peut acheminer. Voici quelques exemples de configurations :

À partir de la règle de traduction PSTN avec non +E164

voice translation-rule 350 
 rule 1 /^\([2-9].........\)/ /+1\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

À partir de la règle de traduction du système téléphonique avec +E164

voice translation-rule 300 
 rule 1 /^\+1\(.*\)/ /\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

L'exemple suivant contient un exemple de configuration d'appel d'urgence.

Si la superposition WiFi ne correspond pas précisément aux sous-réseaux IP, les appels d'urgence pour les appareils nomades peuvent ne pas avoir un mappage ELIN correct.

Lieux d'intervention d'urgence (ERL)


voice emergency response location 1
 elin 1 14085550100
 subnet 1 192.168.100.0 /26
 !
voice emergency response location 2
 elin 1 14085550111
 subnet 1 192.168.100.64 /26
 !
voice emergency response zone 1
 location 1 
 location 2 

Pairs de numérotation sortants


voice class e164-pattern-map 301
 description Emergency services numbers
  e164 911
  e164 988
 !
voice class e164-pattern-map 351
 description Emergency ELINs
  e164 14085550100
  e164 14085550111
 !
dial-peer voice 301 pots
 description Outbound dial-peer for E911 call
 emergency response zone 1 
 destination e164-pattern-map 301
 !
 dial-peer voice 301 pots
 description Inbound dial-peer for E911 call
 emergency response callback
 incoming called e164-pattern-map 351
 direct-inward-dial