Перш ніж почати

Функції шлюзу безпеки Webex Calling доступні з Cisco IOS XE Dublin версії 17.12.3 або пізніших.

За замовчуванням кінцеві точки Webex Calling працюють в активному режимі, підключаючись до хмари Webex для реєстрації SIP та керування викликами. Однак, якщо мережеве з’єднання з Webex розривається, кінцеві точки автоматично перемикаються в режим аварійної безпеки, а реєстрації повертаються до шлюзу аварійної безпеки в локальній мережі. Поки кінцеві точки перебувають у режимі живучості, шлюз живучості забезпечує базову резервну службу викликів для цих кінцевих точок. Після відновлення мережевого підключення до Webex керування викликами та реєстрація повертаються до хмари Webex.

Поки кінцеві точки перебувають у режимі живучості, можна виконувати такі виклики:

  • Внутрішні виклики (внутрішньосайтові) між підтримуваними кінцевими точками Webex Calling

  • Зовнішні дзвінки (вхідні та вихідні) з використанням локальної PSTN-лінії або SIP-транку на зовнішні номери та провайдерів E911

На наступному зображенні показано сценарій збою мережі, коли з’єднання з Webex розірвано, а кінцеві точки на сайті Webex працюють у режимі безперебійної роботи. На зображенні шлюз Survivability Gateway направляє внутрішній виклик між двома кінцевими точками на місці без необхідності підключення до Webex. У цьому випадку шлюз живучості налаштовується з локальним підключенням до PSTN. В результаті, кінцеві точки на місці в режимі аварійної безпеки можуть використовувати PSTN для вхідних та вихідних дзвінків на зовнішні номери та постачальників E911.

Діаграма сценарію збою мережі, коли з’єднання з Webex розірвано, а кінцеві точки на сайті Webex працюють у режимі безперебійної роботи.
Кінцеві точки Webex Calling у режимі аварійної безпеки

Щоб скористатися цією функцією, необхідно налаштувати маршрутизатор Cisco IOS XE в локальній мережі як шлюз аварійної безпеки. Шлюз Survivability щодня синхронізує інформацію про виклики з хмари Webex для кінцевих точок у цьому місці. Якщо кінцеві точки перемикаються в режим живучості, шлюз може використовувати цю інформацію для перейняття реєстрації SIP та надання базових послуг виклику.

До шлюзу виживання застосовуються такі умови:

  • Хмара Webex містить IP-адресу, ім'я хоста та порт Survivability Gateway у файлі конфігурації пристрою. В результаті, кінцеві точки можуть звернутися до шлюзу життєзабезпечення для реєстрації, якщо з’єднання з Webex розривається.

  • Щоденна синхронізація даних викликів між хмарою Webex та Survivability Gateway містить інформацію для автентифікації зареєстрованих користувачів. В результаті, кінцеві точки можуть підтримувати безпечну реєстрацію навіть під час роботи в режимі живучості. Синхронізація також включає інформацію про маршрутизацію для цих користувачів.

  • Шлюз Survivability може автоматично маршрутизувати внутрішні виклики, використовуючи інформацію про маршрутизацію, надану Webex. Додайте конфігурацію транкової лінії PSTN до шлюзу аварійної безпеки для забезпечення зовнішніх викликів.

  • Кожен сайт, який розгортає Site Survivability, потребує шлюзу Survivability у локальній мережі.

  • Реєстрації та керування викликами повертаються до хмари Webex, щойно мережеве з’єднання Webex відновлюється принаймні на 30 секунд.

Підтримка функцій

Підтримувані функції та компоненти

У наступній таблиці наведено інформацію про підтримувані функції.

Таблиця 1. Підтримувані функції викликів
Функція Пристрої MPP та застосунок WebexVG4xx ATA

Виклик внутрішньосайтового розширення

Підтримується автоматично, без необхідності спеціального налаштування маршрутизації на шлюзі живучості.

Підтримується автоматично, без необхідності спеціального налаштування маршрутизації на шлюзі живучості.

Альтернативні номери не підтримуються.

Міжсайтові та PSTN дзвінки (вхідні та вихідні)

Виклики PSTN на основі телекомунікаційного каналу або SIP-транку.

Виклики PSTN на основі телекомунікаційного каналу або SIP-транку.

Обробка викликів E911

Для виклику E911 потрібна PSTN-лінія або SIP-транк.

Вихідні дзвінки використовують спеціальний зареєстрований ідентифікаційний номер місця екстреного реагування (ELIN) для визначеного місця екстреного реагування (ERL). Якщо оператор екстреної служби повертає розірваний виклик, шлюз рятування перенаправляє виклик на останній пристрій, який телефонував на номер екстреної служби.

Для виклику E911 потрібна PSTN-лінія або SIP-транк.

Вихідні дзвінки використовують спеціальний зареєстрований ідентифікаційний номер місця екстреного реагування (ELIN) для визначеного місця екстреного реагування (ERL). Якщо оператор екстреної служби повертає розірваний виклик, шлюз рятування перенаправляє виклик на останній пристрій, який телефонував на номер екстреної служби.

Утримання та відновлення викликів

Підтримується

Якщо ви використовуєте функцію «Музика під час утримання» (MOH), вручну налаштуйте шлюз живучості за допомогою файлу MOH.

VG4xx Аналогові лінії ATA не можуть ставити виклики на утримання або відновлювати їх.

Ця функція підтримується лише тоді, коли вхідний виклик отримано на VG4xx ATA.

Переадресація виклику з присутністю

Підтримується

Ця функція підтримується лише тоді, коли вхідний виклик отримано на VG4xx ATA.

Сліпа переадресація виклику

Підтримується

Ця функція підтримується лише тоді, коли вхідний виклик отримано на VG4xx ATA.

Ідентифікатор абонента, що телефонує, для вхідних викликів (ім’я)

Підтримується

Підтримується

Ідентифікатор абонента, що телефонує (ім'я) & Номер)

Підтримується

Підтримується

Відеодзвінок "точка-точка"

Підтримується

Не підтримується

Тристоронній дзвінок

Не підтримується

Не підтримується

Спільні лінії

Підтримується

Підтримується

Віртуальні лінії

Підтримується

Не підтримується

Після налаштування функції «Відмова від налаштування сайту» доступна для таких підтримуваних кінцевих точок.

Таблиця 2. Підтримувані моделі кінцевих точок
ТипМоделіМінімальна версія
IP-телефон Cisco з багатоплатформним (MPP) мікропрограмним забезпеченням

6821, 6841, 6851, 6861, 6861 Wi-Fi, 6871

7811, 7821, 7841, 7861

8811, 8841, 8851, 8861

8845 (лише аудіо), 8865 (лише аудіо)

9800

Щоб отримати додаткові відомості про підтримувані IP-телефони Cisco з багатоплатформною (MPP) прошивкою, див.:

12.0(1)

Для серії 9800 — PhoneOS 3.2(1)

IP-телефон для конференцій Cisco

7832, 8832

12.0(1)

Програма Cisco Webex

Windows, Mac

43.2

Кінцеві точки VG4xx ATA

VG400 ATA, VG410 ATA та VG420 ATA

17.16.1а

Пристрої сторонніх виробників не підтримуються Survivability Gateway.

Наведена нижче таблиця допомагає налаштувати маршрутизатори Cisco IOS XE як шлюз аварійної безпеки. У цій таблиці наведено максимальну кількість кінцевих точок, яку підтримує кожна платформа, та мінімальну версію IOS XE.

Таблиця 3. Підтримувані моделі платформ
МодельМаксимальна кількість реєстрацій кінцевих точокМінімальна версія

Маршрутизатор інтегрованих послуг 4321

50

Cisco IOS XE Dublin версії 17.12.3 або пізнішої

Маршрутизатор інтегрованих послуг 4331

100

Маршрутизатор інтегрованих послуг 4351

700

Маршрутизатор інтегрованих послуг 4431

1200

Маршрутизатор інтегрованих послуг 4451-X

2000

Маршрутизатор інтегрованих послуг 4461

2000

Catalyst Edge 8200L-1N-4T

1500

Catalyst Edge 8200-1N-4T

2500

Каталізатор Edge 8300-1N1S-6T

2500

Catalyst Edge 8300-2N2S-6T

2500

Каталізатор Edge 8300-1N1S-4T2X

2500

Catalyst Edge 8300-2N2S-4T2X

2500

Програмне забезпечення Catalyst Edge 8000V у малій конфігурації

500

Середня конфігурація програмного забезпечення Catalyst Edge 8000V

1000

Програмне забезпечення Catalyst Edge 8000V великої конфігурації

2000
Довідкова інформація про порт для Survivability Gateway
Таблиця 4. Довідкова інформація про порт для Survivability Gateway

Мета підключення

Адреси джерела

Порти джерела

Протокол

Адреси призначення

Порти призначення

Сигналізація виклику до шлюзу живучості (SIP TLS)

Пристрої

5060-5080

TLS

Шлюз Survivability

8933

Виклик медіафайлів до шлюзу живучості (SRTP)

Пристрої

19560-19660

UDP

Шлюз Survivability

8000-14198 (SRTP через UDP)

Сигналізація виклику до шлюзу PSTN (SIP)

Шлюз Survivability

Короткотерміновий

TCP або UDP

Ваш шлюз PSTN від ITSP

5060

Передавання мультимедіа викликів до шлюзу PSTN (SRTP)

Шлюз Survivability

8000-48198

UDP

Ваш шлюз PSTN від ITSP

Короткотерміновий

Синхронізація часу (NTP)

Шлюз Survivability

Короткотерміновий

UDP

NTP-сервер

123

Розпізнавання імен (DNS)

Шлюз Survivability

Короткотерміновий

UDP

DNS-сервер

53

Управління хмарою

З’єднувач

Короткотерміновий

HTTPS

Служби Webex

443, 8433

Щоб отримати інструкції з експлуатації хмарного режиму, зверніться до статті довідки Довідкова інформація про порти для викликів Webex.

Ви можете налаштувати значення параметрів портів на маршрутизаторах Cisco IOS XE. У цій таблиці для надання рекомендацій використовуються значення за замовчуванням.

Колокейшн з Unified SRST

Шлюз Survivability підтримує спільне розміщення конфігурації Webex Survivability та конфігурації Unified SRST на одному шлюзі. Шлюз може підтримувати безперебійність як для кінцевих точок Webex Calling, так і для кінцевих точок, зареєстрованих у Unified Communications Manager. Щоб налаштувати колокацію:

Міркування щодо маршрутизації дзвінків для колокейшн-центру

Під час налаштування маршрутизації викликів для сценаріїв колокації враховуйте наступне:

  • Шлюз живучості автоматично маршрутизує внутрішні виклики за умови, що обидві кінцеві точки у виклику зареєстровані в шлюзі живучості. Внутрішні дзвінки автоматично перенаправляються між будь-якими зареєстрованими клієнтами (SRST або Webex Calling).

  • Можлива ситуація, коли з'єднання з однією системою керування викликами переривається, тоді як з'єднання з іншою системою керування викликами залишається активним. В результаті один набір кінцевих точок реєструється в шлюзі живучості, а інший набір кінцевих точок на тому ж сайті реєструється в основному контролі викликів. У цьому випадку вам може знадобитися маршрутизувати дзвінки між двома наборами кінцевих точок до транкінгу SIP або каналу PSTN.

  • Зовнішні дзвінки та дзвінки E911 можуть бути перенаправлені на SIP-транк або PSTN-лінію.

Обмеження та заборони

  • Доступність послуг телефонної мережі загального користування (PSTN) залежить від доступності SIP-каналів або каналів PSTN під час збою в мережі.

  • Пристрої з підтримкою 4G та 5G (наприклад, додаток Webex для мобільних пристроїв або планшетів) все ще можуть мати змогу реєструватися в Webex Calling під час перебоїв. В результаті, вони можуть бути не в змозі телефонувати на інші номери з того ж місця розташування під час збою.

  • Шаблони набору можуть працювати інакше в режимі виживання та в активному режимі.

  • Ця функція не підтримує збереження викликів під час переходу до шлюзу живучості. Однак, виклики зберігаються після відновлення підключення до хмарної служби.

  • У разі збою в електромережі, успішна реєстрація пристроїв у шлюзі живучості може тривати кілька хвилин.

  • Шлюз живучості повинен використовувати IPv4-адресу. IPv6 не підтримується.

  • Оновлення стану синхронізації на вимогу в Центрі керування може тривати до 30 хвилин.

  • Вікно багатодзвінків Cisco Webex не підтримується у версії 43.2. Якщо ви використовуєте вікно для кількох викликів, вимкніть його в режимі виживання та використовуйте основну програму для здійснення або отримання викликів.

  • Не налаштовуйте команду SIP bind у режимі конфігурації голосової служби VoIP. Це призводить до збою реєстрації телефонів MPP за допомогою Survivability Gateway.

У режимі виживання:

  • Такі програмні клавіші MPP, як «Паркування», «Зняття з паркування», «Втручання», «Перехоплення», «Перехоплення групи» та «Виклик через виклик», не підтримуються. Однак, вони не виглядають інвалідами.

  • Виклики, здійснені на спільні лінії, можуть дзвонити на всіх пристроях. Однак інші функції спільної лінії, такі як віддалений моніторинг стану лінії, утримання, відновлення, синхронізований режим «Не турбувати» та налаштування переадресації викликів, недоступні.

  • Конференц-зв'язок або тристоронній дзвінок недоступні.

  • Локальна історія здійснених, отриманих та пропущених дзвінків недоступна для телефонів MPP.

Конфігурація функцій

Послідовність завдань налаштування живучості сайту

Виконайте наступні завдання, щоб додати відмовостійкість сайту для існуючого розташування Webex Calling. Якщо з’єднання з хмарою Webex розривається, шлюз аварійної безпеки в локальній мережі може забезпечити резервне керування викликами для кінцевих точок у цьому місці.

Перш ніж почати

Якщо вам потрібно підготувати новий шлюз, який виконуватиме роль шлюзу живучості, зверніться до статті Webex Реєстрація керованих шлюзів Cisco IOS у Webex Cloud, щоб додати шлюз до Control Hub.

КрокиКоманда або діяМета

1

Призначити службу живучості шлюзу

У Центрі керування призначте послугу Шлюз живучості шлюзу.

2

Завантажити шаблон конфігурації

Завантажте шаблон конфігурації з Control Hub. Шаблон знадобиться вам під час налаштування командного рядка шлюзу.

3

Налаштування ліцензування

Налаштуйте ліцензії для Survivability Gateway.

4

Налаштування сертифікатів на Cisco IOS XE

Налаштуйте сертифікати для шлюзу живучості.

5

Налаштування шлюзу як шлюзу живучості

Використовуйте шаблон конфігурації, який ви завантажили раніше, як посібник із налаштування командного рядка шлюзу. Виконайте всі обов'язкові налаштування, що містяться в шаблоні.

Призначити службу живучості шлюзу
Використайте цю процедуру в Центрі керування, щоб призначити існуючий шлюз як шлюз живучості.

Перш ніж почати

Якщо шлюз не існує в Control Hub, див. розділ Реєстрація шлюзів Cisco IOS у Webex Calling, щоб додати новий екземпляр шлюзу.
1

Увійдіть у Центр керування за адресою https://admin.webex.com.

Якщо ви є партнерською організацією, запускається Центр партнерів. Щоб відкрити Центр керування, натисніть на вигляд Клієнт у Центрі партнерів і виберіть відповідного клієнта або виберіть Моя організація, щоб відкрити налаштування Центру керування для організації-партнера.

2

У Центрі керування, у розділі ПОСЛУГИ, натисніть Виклики, а потім перейдіть на вкладку Керовані шлюзи.

У режимі перегляду «Керовані шлюзи» відображається список шлюзів, якими ви керуєте через Центр керування. У стовпці Послуга відображається поточне призначення послуги.
3

Для шлюзу, який потрібно призначити як шлюз живучості, виберіть один із наведених нижче варіантів, залежно від значення поля Сервіс :

  • Непризначено (порожнє значення) — натисніть Призначити послугу та перейдіть до наступного кроку.

  • Шлюз живучості— Якщо ви хочете редагувати наявні налаштування IP-адреси шлюзу, перейдіть до розділу Редагувати властивості шлюзу живучості. В іншому випадку перейдіть до наступної процедури в потоці.

4

У розкривному списку типів послуг виберіть Шлюз живучості та заповніть такі поля:

  • Розташування— Виберіть розташування у випадаючому списку.

  • Ім’я хоста— Введіть повне доменне ім’я (FQDN), яке використовується під час створення сертифіката для шлюзу. Це може бути ім’я, яке міститься в полі «Альтернативне ім’я суб’єкта сертифіката» (SAN). Повне доменне ім'я (FQDN) та IP-адреса використовуються лише для встановлення безпечного з'єднання зі шлюзом. Отже, заповнювати його в DNS не обов'язково.

  • IP-адреса— У форматі IPv4 введіть IP-адресу шлюзу живучості. Пристрої реєструються за цією адресою під час роботи в режимі живучості.

5

Натисніть Призначити.

(Необов’язково) Скасувати призначення служби живучості— Якщо ви хочете видалити шлюз живучості зі шлюзу, перейдіть до розділу Скасувати призначення служб керованого шлюзу.
Завантажити шаблон конфігурації
Завантажте шаблон конфігурації з Control Hub. Шаблон знадобиться вам під час налаштування командного рядка шлюзу.
1

Увійдіть у Центр керування за адресою https://admin.webex.com.

Якщо ви є партнерською організацією, запускається Центр партнерів. Щоб відкрити Центр керування, натисніть на вигляд Клієнт у Центрі партнерів і виберіть відповідного клієнта або виберіть Моя організація, щоб відкрити налаштування Центру керування для організації-партнера.

2

У Центрі керування, у розділі ПОСЛУГИ, натисніть Виклики, а потім перейдіть на вкладку Керовані шлюзи.

3

Натисніть на відповідний шлюз виживання.

4

Натисніть «Завантажити шаблон конфігурації » та завантажте шаблон на свій комп’ютер або ноутбук.

Налаштування ліцензування
Переконайтеся, що у вас є відповідні ліцензії на платформу для вашого шлюзу. Налаштуйте ліцензії за допомогою команд, що відповідають вашій платформі.
1

Увійдіть у режим глобальної конфігурації на маршрутизаторі:

enable
 configure terminal
2

Налаштуйте ліцензії за допомогою команд, що застосовуються лише до вашої конкретної платформи.

  • Для Cisco ISR серії 4000:

    license boot level uck9
 license boot level securityk9

  • Для платформ Cisco Catalyst 8300 та 8200 Edge використовуйте ліцензію на функцію DNA Network Advantage або кращу версію та введіть необхідний рівень пропускної здатності. У наступному прикладі використовується двонаправлена крипто-пропускна здатність 25 Мбіт/с. Виберіть відповідний рівень для очікуваної кількості дзвінків.

    license boot level network-advantage addon dna-advantage
 platform hardware throughput crypto 25M

  • Для програмного забезпечення Cisco Catalyst 8000V Edge використовуйте ліцензію на функцію DNA Network Essentials або кращу версію та введіть необхідний рівень пропускної здатності. У наступному прикладі використовується пропускна здатність 1 Гбіт/с. Виберіть відповідний рівень для очікуваної кількості дзвінків.

    license boot level network-essentials addon dna-essentials
 platform hardware throughput level MB 1000

Під час налаштування пропускної здатності понад 250 Мбіт/с вам потрібна ліцензія платформи HSEC.

Налаштувати сертифікати

Налаштування сертифікатів на Cisco IOS XE

Виконайте наступні кроки, щоб запросити та створити сертифікати для шлюзу виживання. Використовуйте сертифікати, підписані загальновідомим центром сертифікації.

Платформа Survivability Gateway підтримує лише загальновідомі сертифікати CA. Приватні або корпоративні сертифікати CA не можна використовувати для Survivability Gateway.

Список кореневих центрів сертифікації, що підтримуються для Webex Calling, див. у статті Які кореневі центри сертифікації підтримуються для викликів до аудіо- та відеоплатформ Cisco Webex?.

Платформа Survivability Gateway не підтримує шаблонний сертифікат.

Виконайте команди зі зразка коду, щоб виконати кроки. Щоб отримати додаткову інформацію про ці команди, а також інші параметри конфігурації, див. розділ « Підтримка SIP TLS» у Посібнику з конфігурації Cisco Unified Border Element.

1

Увійдіть у режим глобальної конфігурації, виконавши такі команди:

enable
 configure terminal
2

Згенеруйте закритий ключ RSA, виконавши таку команду. Модуль закритого ключа повинен бути щонайменше 2048 бітів.

crypto key generate rsa general-keys label webex-sgw exportable modulus 2048
3

Налаштуйте точку довіри для зберігання сертифіката шлюзу живучості. Повне доменне ім'я шлюзу (fqdn) має використовувати те саме значення, яке ви використовували під час призначення служби живучості шлюзу.

crypto pki trustpoint webex-sgw 
 enrollment terminal 
 fqdn  
 subject-name cn=
 subject-alt-name 
 revocation-check crl 
 rsakeypair webex-sgw
4

Згенеруйте запит на підпис сертифіката, виконавши команду crypto pki enroll webex-sgw.

Коли буде запропоновано, введіть yes.

Після того, як CSR відобразиться на екрані, за допомогою Блокнота скопіюйте сертифікат у файл, який можна надіслати до підтримуваного центру сертифікації (CA).

Якщо ваш постачальник послуг підпису сертифікатів вимагає CSR у форматі PEM (Privacy Enhanced Mail), додайте заголовок і нижній колонтитул перед надсиланням. Наприклад: 

-----BEGIN CERTIFICATE REQUEST-----
 
 -----END CERTIFICATE REQUEST-----
5

Після того, як центр сертифікації видасть вам сертифікат, виконайте команду crypto pki authenticate webex-sgw для автентифікації сертифіката. Ви можете виконати цю команду в режимі exec або config.

Коли буде запропоновано, вставте базове число 64 CER/PEM видача вмісту сертифіката CA (не сертифіката пристрою) у термінал.

6

Імпортуйте підписаний сертифікат хоста до точки довіри за допомогою команди crypto pki import webex-sgw certificate.

Коли буде запропоновано, вставте базове число 64 CER/PEM сертифікат у термінал.

7

Перевірте, чи доступний кореневий сертифікат ЦС:

Рішення Webex Calling підтримують лише загальновідомі центри сертифікації. Приватні або корпоративні сертифікати ЦС не підтримуються.

  1. Знайдіть загальну назву кореневого центру сертифікації, виконавши команду show crypto pki certificates webex-sgw | begin CA Cert. Знайдіть емітента cn= .

  2. Виконайте команду show crypto pki trustpool | include cn= та перевірте, чи цей кореневий сертифікат CA встановлено разом із пакетом Cisco CA. Якщо ви бачите свій ЦС, перейдіть до кроку 9.

  3. Якщо ви не бачите свого сертифіката, ви можете зробити одне з наступного:

    • Імпортувати відсутні сертифікати

    • Виконайте таку команду, щоб встановити розширений пакет IOS CA.

      crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios_union.p7b

      Використовуйте розширений пакет IOS CA ios_core.p7b, лише якщо шлюз є колокаційним локальним шлюзом. Див. Налаштування локального шлюзу на Cisco IOS XE для викликів Webex для отримання детальної інформації.

  4. Повторіть ці підкроки, щоб визначити, чи доступний кореневий сертифікат ЦС. Після повторення підкроків:

    Якщо сертифікат недоступний, перейдіть до кроку 8. Якщо сертифікат доступний, перейдіть до кроку 9.

8

Якщо ваш кореневий сертифікат ЦС не входить до пакета, отримайте сертифікат та імпортуйте його до нової точки довіри.

Виконайте цей крок, якщо загальновідомий кореневий сертифікат центру сертифікації недоступний для вашого шлюзу Cisco IOS XE.

crypto pki trustpoint 
 enrollment terminal
 revocation-check crl
 crypto pki authenticate

Коли буде запропоновано, вставте базове число 64 CER/PEM вміст сертифіката в термінал.

9

Використовуючи режим конфігурації, вкажіть точку довіри за замовчуванням, версію TLS та налаштування SIP-UA за замовчуванням за допомогою наступних команд.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces
Імпортувати сертифікати разом із парами ключів

Ви можете імпортувати сертифікати CA та пари ключів як пакет, використовуючи формат PKCS12 (.pfx або .p12). Ви можете імпортувати пакет з локальної файлової системи або віддаленого сервера. PKCS12 — це спеціальний тип формату сертифіката. Він об'єднує весь ланцюжок сертифікатів від кореневого сертифіката до сертифіката ідентифікації разом із парою ключів RSA. Тобто, імпортований пакет PKCS12 включатиме пару ключів, сертифікати хоста та проміжні сертифікати. Імпортуйте пакет PKCS12 для таких сценаріїв:

  • Експорт з іншого маршрутизатора Cisco IOS XE та імпорт у ваш маршрутизатор Survivability Gateway

  • Генерація пакета PKCS12 поза маршрутизатором Cisco IOS XE за допомогою OpenSSL

Виконайте наступні кроки, щоб створити, експортувати та імпортувати сертифікати та пари ключів для вашого маршрутизатора Survivability Gateway.

1

(Необов’язково) Експортуйте пакет PKCS12, необхідний для вашого маршрутизатора Survivability Gateway.

crypto pki export webex-sgw pkcs12 terminal password xyz123

Цей крок застосовується лише в тому випадку, якщо ви експортуєте з іншого маршрутизатора Cisco IOS XE.

2

(Необов'язково) Створіть пакет PKCS12 за допомогою OpenSSL.

  1. Перевірте, чи OpenSSL встановлено на системі, на якій виконується цей процес. Для Mac OS X та GNU/Linux користувачів, він встановлюється за замовчуванням.

  2. Перейдіть до каталогу, де зберігаються ваші ключі, сертифікати та файли ланцюжка.

    У Windows: За замовчуванням утиліти встановлюються в C:\Openssl\bin. Відкрийте командний рядок у цьому місці.

    На Mac OSX/Linux: Відкрийте вікно терміналу в каталозі, необхідному для створення сертифіката PKCS12.

  3. У каталозі збережіть файли закритого ключа (privateKey.key), сертифіката ідентифікації (certificate.crt) та ланцюжка сертифікатів кореневого центру сертифікації (CACert.crt).

    Об'єднайте закритий ключ, сертифікат ідентифікації та ланцюжок сертифікатів кореневого центру сертифікації у файл PKCS12. Введіть парольну фразу для захисту вашого сертифіката PKCS12.

    console> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

    Вкажіть пароль під час використання OpenSSL для створення файлу PKCS12.

Цей крок застосовується лише в тому випадку, якщо ви генеруєте пакет PKCS12 поза межами Cisco IOS XE за допомогою OpenSSL.

3

Імпортуйте пакет файлів у форматі PKCS12.

crypto pki import  pkcs12  password

Нижче наведено приклад конфігурації команди та детальну інформацію щодо налаштовуваних параметрів: 

crypto pki import webex-sgw pkcs12 bootflash:certificate.pfx password xyz123

  • <trustpoint name>—Ім’я точки довіри, яка створюється під час використання цієї команди (наприклад, webex-sgw).

  • <certificate file location>—Локальна або мережева URL-адреса, що вказує на файл сертифіката (наприклад, bootflash:certificate.pfx)

  • <file password>— Пароль, який використовується під час створення файлу PKCS12 (наприклад, xyz123).

Команда crypto pki import автоматично створює точку довіри для розміщення сертифіката.

4

Використовуючи режим конфігурації, вкажіть точку довіри за замовчуванням, версію TLS та налаштування SIP-UA за замовчуванням за допомогою наступних команд.

sip-ua 
 no remote-party-id 
 retry invite 2 
 transport tcp tls v1.2 
 crypto signaling default trustpoint webex-sgw 
 handle-replaces

Налаштування шлюзу живучості

Налаштування шлюзу як шлюзу живучості

Використовуйте шаблон конфігурації, який ви завантажили раніше, як посібник із налаштування командного рядка шлюзу. Виконайте обов'язкові налаштування в шаблоні.

Наведені нижче кроки містять зразки команд разом із поясненням цих команд. Відредагуйте налаштування відповідно до вашого розгортання. Кутові дужки (наприклад, ) вказують на налаштування, де слід ввести значення, що застосовуються до вашого розгортання. Різні налаштування <tag> використовують числові значення для ідентифікації та призначення наборів конфігурацій.

  • Якщо не зазначено інше, це рішення вимагає виконання всіх налаштувань у цій процедурі.
  • Під час застосування налаштувань із шаблону замініть %tokens% на потрібні значення, перш ніж копіювати їх до шлюзу.
  • Щоб отримати додаткові відомості про команди, див. Довідник команд керованого шлюзу Webex. Використовуйте цей посібник, якщо опис команди не містить посилання на інший документ.
1

Увійдіть у режим глобальної конфігурації.

enable
 configure terminal

де:

  • enable—Вмикає привілейований режим EXEC.

  • configure terminal—Вмикає режим глобальної конфігурації.

2

Виконайте налаштування голосової служби:

voice service voip
 ip address trusted list
    ipv4  
    ipv4  
  allow-connections sip to sip
  supplementary-service media-renegotiate
  no supplementary-service sip refer
  trace
  sip
   asymmetric payload full
   registrar server

Пояснення щодо команд.

  • ip address trusted list—Визначає список незареєстрованих адрес, від яких шлюз живучості повинен приймати повідомлення SIP. Наприклад, адреса вузла SIP-транкінгу.

  • та представляють довірені діапазони адрес. Вам не потрібно вводити безпосередньо підключені підмережі, оскільки Survivability Gateway автоматично довіряє їм.

  • allow-connections sip to sip—Дозволяє встановлювати з’єднання SIP-SIP у мережі VoIP.

  • no supplementary-service sip refer—Вимкнути метод REFER для додаткових послуг переадресації викликів та переадресації викликів. Webex Calling не використовує ці методи.

  • sip—Вхід у режим конфігурації SIP-сервісу.

  • registrar server—Увімкніть реєстратор SIP, щоб дозволити клієнтам Webex Calling реєструватися на шлюзі.

  • asymmetric payload full—Дозволяє здійснювати відеодзвінки в режимі виживання.

3

Увімкніть Survivability на маршрутизаторі:

voice register global
 mode webex-sgw
 max-dn 50
 max-pool 50
 exit

Пояснення щодо команд.

  • voice register global—Вхід у режим глобальної реєстрації голосу.

  • mode webex-sgw—Увімкнення режиму Webex Calling Survivability та Survivable Remote Site Telephony для кінцевих точок Unified Communications Manager.

    Після налаштування режиму webex-sgw, Survivability Gateway прослуховує порт 8933 для вхідних безпечних з'єднань від кінцевих точок.

  • max-dn—Обмежує кількість номерів каталогу, які може обробити маршрутизатор. Для цього рішення завжди налаштовуйте максимальне значення, доступне для вашої платформи.

  • max-pool—Встановлює максимальну кількість пристроїв, які можуть зареєструватися на шлюзі. Встановіть це значення на максимум, дозволений вашою платформою, як описано в таблиці 3.

4

Налаштування NTP-серверів:

ntp server 
 ntp server

5

(Необов'язково). Налаштуйте загальні дозволи на виклики класу обмежень:

dial-peer cor custom
 name Wx_calling_Internal
 name Wx_calling_Toll-free
 name Wx_calling_National
 name Wx_calling_International
 name Wx_calling_Operator_Assistance
 name Wx_calling_Chargeable_Directory_Assistance
 name Wx_calling_Special_Services1
 name Wx_calling_Special_Services2
 name Wx_calling_Premium_Services1
 name Wx_calling_Premium_Services2

У попередньому прикладі створюється набір користувацького класу обмежень з назвою categories (наприклад, Wx_calling_International). Докладніше про використання класу обмежень з вузлами вибору див. у розділі «Клас обмежень» у Посібнику з налаштування вузлів вибору, Cisco IOS версії 15M & Т.

6

Налаштуйте список бажаних кодеків. Наприклад, у наступному списку як бажаний кодек зазначено g711ulaw, а потім g711alaw.

voice class codec 1
 codec preference 1 g711ulaw
 codec preference 2 g711alaw

Пояснення щодо команд.

  • voice class codec 1 входить у режим конфігурації голосового класу для групи кодеків 1.

  • codec preference визначає бажані кодеки для цієї групи кодеків.

7

Налаштуйте пули голосових регістрів за замовчуванням для кожного розташування:

voice register pool 1
 id network 0.0.0.0 mask 0.0.0.0
 dtmf-relay rtp-nte
 voice-class codec 1

Пояснення щодо команд.

  • voice register pool 1—Вводить режим конфігурації пулу голосових регістрів для SIP-пристроїв у цьому пулі.

  • id network та mask визначають SIP-пристрій або набір мережевих пристроїв, які використовують цей пул. Використовуйте адреси та маски, що застосовуються до вашого розгортання. Адреса 0.0.0.0 дозволяє реєструватися пристроям з будь-якого місця (якщо адреси пристроїв є у списку дозволів).

  • id extension-number—Пул застосовується саме до користувача Webex Calling за внутрішнім номером 1234. Використовуйте відповідні розширення для вашої мережі.

  • dtmf-relay визначає метод rtp-nte для надсилання цифр DTMF. У цьому прикладі це транспортування в реальному часі (RTP) з типом корисного навантаження події іменованого телефону (NTE).

  • voice-class codec 1—Призначає цьому пулу групу кодеків 1.

8

Налаштування екстрених викликів:

voice emergency response location 1
 elin 1 
 subnet 1  

 voice emergency response location 2
 elin 1 
 subnet 1  

 voice emergency response zone 1
 location 1
 location 2

 voice class e164-pattern-map 301
 voice class e164-pattern-map 351

Пояснення щодо команд.

  • voice emergency response location 1—Створює групу місць розташування екстреного реагування 1 для розширеної служби 911. Наступна команда створює групу місць розташування екстреного реагування 2.

  • elin 1 —Призначає чергового до місця реагування на надзвичайні ситуації. Для цього elin частина <number> визначає номер PSTN, який замінює додатковий номер абонента, що викликає 911 (наприклад, 14085550100).

  • subnet 1 —Визначає групу підмереж разом із конкретною адресою підмережі для цього місця реагування на надзвичайні ситуації. Використовуйте цю команду для ідентифікації мережі абонента за допомогою IP-адреси та маски підмережі. Наприклад, subnet 1 192.168.100.0 /26.

  • voice emergency response zone 1—Визначає зону реагування на надзвичайні ситуації.

  • location 1 (and 2)—Призначає пункти реагування на надзвичайні ситуації 1 та 2 цій зоні реагування на надзвичайні ситуації.

  • voice class e164-pattern-map 301 (and 351)—Визначає карти патернів e164 301 та 351 для цього голосового класу. Ви можете використовувати карту для визначення планів набору та ідентифікаторів місць екстреної допомоги.

Якщо накладання Wi-Fi не точно відповідає IP-підмережам, то екстрені виклики для кочових пристроїв можуть не мати правильного зіставлення ELIN.

9

Налаштуйте вузли вибраного зв'язку для PSTN. Приклад конфігурації вузла зв'язку див. у Приклади підключення PSTN.

10

(Необов’язково) Увімкніть музику під час утримання для маршрутизатора. Ви повинні зберегти музичний файл у флеш-пам'яті маршрутизатора у форматі G.711. Файл може бути у форматі .au або .wav, але цей формат файлу повинен містити 8-бітні дані з частотою 8 кГц (наприклад, формат даних ITU-T A-law або mu-law).

call-manager-fallback
 moh enable-g711 "bootflash:"

Пояснення щодо команд.

  • call-manager-fallback—Вхід у режим конфігурації SRST.

  • moh enable-g711 "bootflash:"—Увімкнення одноадресної передачі музики під час утримання за допомогою G.711. Також вказується каталог та ім'я аудіофайлу (наприклад, bootflash:music-on-hold.au). Ім'я файлу не може перевищувати 128 символів.

Повна синхронізація на вимогу

(Необов’язково) Виконайте цю процедуру, лише якщо ви хочете негайно виконати синхронізацію на вимогу. Ця процедура не є обов’язковою, оскільки хмара Webex автоматично синхронізує дані викликів із Survivability Gateway один раз на день.

1

Увійдіть у Центр керування за адресою https://admin.webex.com.

Якщо ви є партнерською організацією, запускається Центр партнерів. Щоб відкрити Центр керування, натисніть на вигляд Клієнт у Центрі партнерів і виберіть відповідного клієнта або виберіть Моя організація, щоб відкрити налаштування Центру керування для організації-партнера.

2

У Центрі керування, у розділі ПОСЛУГИ, натисніть Виклики, а потім перейдіть на вкладку Керовані шлюзи.

3

Клацніть на відповідний шлюз живучості, щоб відкрити вікно Служба живучості для цього шлюзу.

4

Натисніть кнопку Синхронізувати.

5

Клацніть Надіслати.

Синхронізація може тривати до 10 хвилин.
Редагувати властивості шлюзу виживання
Використовуйте цю додаткову процедуру, лише якщо ви хочете редагувати налаштування для існуючого шлюзу виживання.
1

Увійдіть у Центр керування за адресою https://admin.webex.com.

Якщо ви є партнерською організацією, запускається Центр партнерів. Щоб відкрити Центр керування, натисніть на вигляд Клієнт у Центрі партнерів і виберіть відповідного клієнта або виберіть Моя організація, щоб відкрити налаштування Центру керування для організації-партнера.

2

У Центрі керування, у розділі ПОСЛУГИ, натисніть Виклики, а потім перейдіть на вкладку Керовані шлюзи.

3

Клацніть на відповідний шлюз живучості, щоб відкрити вікно Служба живучості для цього шлюзу.

4

Натисніть кнопку Редагувати та оновіть налаштування для наступних пунктів.

  • Ім’я хоста— Використовуйте ім’я хоста або повне доменне ім’я сертифіката для встановлення TLS-з’єднання з клієнтами та IP-адресою.

  • IP-адреса— У форматі IPv4 введіть IP-адресу шлюзу, на якому реєструються пристрої під час роботи в режимі аварійної безпеки.

5

Клацніть Надіслати.

Якщо ви хочете видалити шлюз живучості з центру керування, спочатку скасуйте призначення послуги Шлюз живучості. Для отримання додаткової інформації див. Призначення служб керованим шлюзам.

Приклади конфігурації

Приклади підключення PSTN

Для зовнішніх викликів налаштуйте підключення до PSTN. У цій темі описано деякі опції та наведено зразки конфігурацій. Два основні варіанти:

  • Підключення плати голосового інтерфейсу (VIC) до PSTN

  • SIP-транк до шлюзу PSTN

Підключення карти голосового інтерфейсу до PSTN

Ви можете встановити плату голосового інтерфейсу (VIC) на маршрутизаторі та налаштувати підключення порту до PSTN.

SIP-транк до шлюзу PSTN

Ви можете налаштувати з'єднання SIP-транкінгу, яке вказує на шлюз PSTN. Щоб налаштувати з’єднання транкінгової лінії на шлюзі, використовуйте конфігурацію клієнта голосового класу. Нижче наведено приклад конфігурації. 

voice class tenant 300 
  sip-server ipv4::
  session transport udp 
  bind all source-interface GigabitEthernet0/0/1

Конфігурація вузла зв'язку

Для транкінгових з’єднань налаштуйте вхідні та вихідні вузли визованого зв’язку для транкінгового з’єднання. Конфігурація залежить від ваших вимог. Докладнішу інформацію про конфігурацію див. у Посібнику з конфігурації вузла вибору, Cisco IOS версії 15M & Т.

Нижче наведено зразки конфігурацій:

Вихідні з'єднання з PSTN через UDP та RTP

dial-peer voice 300 voip 
 description outbound to PSTN 
 destination-pattern +1[2-9]..[2-9]......$ 
 translation-profile outgoing 300
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 session target sip-server
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Вхідний dial-peer з PSTN за допомогою UDP з RTP

voice class uri 350 sip 
 host ipv4: 
 !
dial-peer voice 190 voip 
 description inbound from PSTN 
 translation-profile incoming 350 
 rtp payload-type comfort-noise 13 
 session protocol sipv2 
 voice-class codec 1 
 voice-class sip tenant 300 
 dtmf-relay rtp-nte 
 no vad

Переклади чисел

Для підключень PSTN може знадобитися використовувати правила трансляції, щоб перетворювати внутрішні розширення на номер E.164, який PSTN може маршрутизувати. Нижче наведено зразки конфігурацій:

З правила перекладу PSTN з не +E164 

voice translation-rule 350 
 rule 1 /^\([2-9].........\)/ /+1\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300

З правила перекладу телефонної системи за допомогою +E164 

voice translation-rule 300 
 rule 1 /^\+1\(.*\)/ /\1/ 
 voice translation-profile 300 
 translate calling 300 
 translate called 300
Приклад екстреного виклику

У наступному прикладі наведено зразок конфігурації екстреного виклику.

Якщо накладання Wi-Fi не точно відповідає IP-підмережам, то екстрені виклики для кочових пристроїв можуть не мати правильного зіставлення ELIN.

Пункти реагування на надзвичайні ситуації (ERL)


voice emergency response location 1
 elin 1 14085550100
 subnet 1 192.168.100.0 /26
 !
voice emergency response location 2
 elin 1 14085550111
 subnet 1 192.168.100.64 /26
 !
voice emergency response zone 1
 location 1 
 location 2

Вихідні вузли визованого зв'язку


voice class e164-pattern-map 301
 description Emergency services numbers
  e164 911
  e164 988
 !
voice class e164-pattern-map 351
 description Emergency ELINs
  e164 14085550100
  e164 14085550111
 !
dial-peer voice 301 pots
 description Outbound dial-peer for E911 call
 emergency response zone 1 
 destination e164-pattern-map 301
 !
 dial-peer voice 301 pots
 description Inbound dial-peer for E911 call
 emergency response callback
 incoming called e164-pattern-map 351
 direct-inward-dial