Documentos de Académico
Documentos de Profesional
Documentos de Cultura
07 05 Cisco Call Manager Express c10 Practicas Seguras
07 05 Cisco Call Manager Express c10 Practicas Seguras
10
Nota
Para obtener informacin adicional, consulte la seccin Documentos relacionados y referencias en la pgina xii.
Note
Use el siguiente comando para generar una pareja de claves de uso RSA con una longitud de 1024 bits o superior: crypto key generate rsa usage 1024 Si no se genera una pareja de claves de uso RSA, se generar automticamente una pareja de claves de uso RSA de 768 bits cuando se conecte por primera vez al servidor HTTPS. Estas claves RSA de generacin automtica no se guardan en la configuracin de inicio; por lo tanto, se perdern cuando se reinicie el dispositivo, a menos que se guarde manualmente la configuracin. Debe obtener un certificado digital X.509 con capacidades de firma digital para el dispositivo de una autoridad de certificacin (CA). Si no obtiene previamente un certificado digital, el dispositivo crea un certificado digital autofirmado para autenticarse a s mismo. Si se cambia el nombre de host del dispositivo despus de obtener un certificado digital de dispositivo, se obtendr un error en las conexiones HTTPS al dispositivo ya que el nombre de host no coincidir con el nombre especificado en el certificado digital. Para resolver este problema, obtenga un nuevo certificado de dispositivo utilizando un nuevo nombre de host.
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-2
OL-10621-01
El comando ip http secure-server impide que las contraseas no cifradas viajen a travs de la red cuando un administrador de Cisco Unified CME inicia una sesin en la GUI de Cisco Unified CME. Sin embargo, las comunicaciones entre el telfono y el router permanecen sin cifrar. Los siguientes puntos son prcticas recomendadas para el uso del acceso interactivo HTTP al router Cisco Unified CME: Use el comando ip http access-class para permitir que slo determinadas direcciones IP puedan obtener acceso a la GUI de Cisco Unified CME, de esta forma se restringir la conexin de paquetes IP no deseados a Cisco Unified CME. Use el comando ip http authentication con un servidor central TACACS+ o RADIUS a efectos de autenticacin. La configuracin de autenticacin para los servidores HTTP y HTTPS agrega seguridad a la comunicacin entre los clientes y los servidores HTTP y HTTPS en el dispositivo. No use la contrasea de habilitacin en el router como una contrasea de inicio de sesin a Cisco Unified CME (a fin de evitar que un usuario normal pueda obtener privilegios de administrador).
El comando enable secret tiene precedencia sobre el comando enable password si ambos estn configurados; no se pueden utilizar de forma simultnea.
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-3
OL-10621-01
Para incrementar la seguridad del acceso, las contraseas se deben cifrar para evitar que usuarios no autorizados puedan ver las contraseas cuando los paquetes se examinan mediante analizadores de protocolos: El siguiente ejemplo ilustra esta configuracin:
Service password-encryption
(el inicio de sesin usa TACACS+; si no est disponible, use la contrasea de habilitacin)
aaa authentication enable default tacacs+ enable aaa accounting command 1 start-stop tacacs+
tacacs-server host 10.17.34.10 tacacs-server key xyz (defines the shared encryption key to be xyz)
El siguiente registro de comando muestra la informacin que incluye un registro de contabilidad de comando TACACS+ para los privilegios de nivel 1.
Wed Jun 25 03:46:47 1997 192.168.25.15 fgeorge tty3 5622329430/4327528 stop task_id=3 service=shell priv-lvl=1 cmd=show version <cr> Wed Jun 25 03:46:58 1997 192.168.25.15 fgeorge tty3 5622329430/4327528 stop task_id=4 service=shell priv-lvl=1 cmd=show interfaces Ethernet 0 <cr> Wed Jun 25 03:47:03 1997 192.168.25.15 fgeorge tty3 5622329430/4327528 stop task_id=5 service=shell priv-lvl=1 cmd=show ip route <cr>
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-5
OL-10621-01
Debido a que lectura y escritura son dos cadenas de asociacin comunes para el acceso de lectura y escritura respectivamente, cambie las cadenas de asociacin a otras diferentes.
dial-peer cor list superuser member 911 member 1800 member local-call member ld-call member 411 member int-call member 1900 ! dial-peer voice 9 pots corlist outgoing callld destination-pattern 91.......... port 1/0 prefix 1 ! dial-peer voice 911 pots corlist outgoing call911 destination-pattern 9911 port 1/0 prefix 911 ! dial-peer voice 11 pots corlist outgoing callint destination-pattern 9011T port 2/0 prefix 011 ! dial-peer voice 732 pots corlist outgoing calllocal destination-pattern 9732....... port 1/0 prefix 732 ! dial-peer voice 800 pots corlist outgoing call1800 destination-pattern 91800....... port 1/0 prefix 1800 ! dial-peer voice 802 pots corlist outgoing call1800 destination-pattern 91877....... port 1/0 prefix 1877 ! dial-peer voice 805 pots corlist outgoing call1800 destination-pattern 91888....... port 1/0 prefix 1888 ! dial-peer voice 411 pots corlist outgoing call411 destination-pattern 9411 port 1/0 prefix 411 ! dial-peer voice 806 pots corlist outgoing call1800 destination-pattern 91866....... port 1/0 prefix 1866
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-7
OL-10621-01
ephone-dn 1 number 2000 cor incoming user ephone-dv 2 number 2001 cor incoming superuser
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-8
OL-10621-01
Puede agrupar un conjunto de telfonos IP en una VLAN (como, por ejemplo, 10.1.1.0/24), de forma que slo los telfonos IP de la VLAN especificada puedan registrarse para Cisco Unified CME. Bloquee el acceso al puerto 2000 del lado de la WAN a fin de evitar que telfonos SCCP externos puedan registrarse con Cisco Unified CME. Use el comando access-list para bloquear el acceso al puerto 2000 desde las interfaces WAN. El siguiente ejemplo ilustra esta configuracin:
access-list 101 deny tcp any any eq 2000
Tambin puede evitar que telfonos IP desconocidos o no configurados se registren mediante la deshabilitacin del registro automtico utilizando el siguiente comando:
CME-4.0(config-telephony)# no auto-reg-ephone
Nota
La deshabilitacin del registro automtico tambin desactiva el aprovisionamiento de la GUI de ephone y el repliegue SRST de Cisco Unified CME. Con Cisco Unified CME 3.x y versiones anteriores, se deben aprovisionar los ephones antes de configurar la direccin IP de origen a fin de omitir provisionalmente el comportamiento de registro automtico. Antes de Cisco Unified CME 4.0, los telfonos desconocidos o los telfonos que no se haban configurado en Cisco Unified CME podan registrarse con Cisco Unified CME de forma predeterminada para facilitar la administracin, pero estos telfonos no proporcionan un tono de marcado hasta que los configure mediante la asociacin de los botones con los ephone-dns o con la configuracin auto assign (del modo de configuracin telephony-service). Los siguientes comandos ilustran la configuracin ephone-dns con el comando ephone-dn.
ephone-dn 1 number 1001 ephone-dn 2 number 1002 ephone 1 mac-address 1111.2222.3333 button 1:1 2:2
Con Cisco Unified CME 4.0, se puede configurar no auto-reg-ephone en el modo de configuracin telephony-service, de forma que los telfonos IP que nos estn explcitamente configurados con las direcciones MAC en el modo de configuracin ephone no pueden registrarse de forma automtica con el sistema Cisco Unified CME.
El siguiente mensaje indica que un telfono se ha registrado y que no es parte de la configuracin explcita del router (la configuracin ephone no se ha creado o la direccin MAC no ha sido asignada):
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-9
OL-10621-01
Nota
Con Cisco Unified CME 4.0 y versiones posteriores, si ha configurado el comando no auto-regephone, no se genera el mensaje precedente. Cisco Unified CME permite que los telfonos no configurados se registren a fin de hacer el aprovisionamiento ms conveniente del sistema Cisco Unified CME. De forma predeterminada, los telfonos designados como nuevos no tienen asignadas lneas telefnicas y no pueden realizar llamadas. Puede usar la siguiente configuracin para habilitar syslogging para el bfer/la consola de un router o un servidor syslog:
logging console | buffered logging 192.168.153.129 ! 192.168.153.129 is the syslog server
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-10
OL-10621-01
! dial-peer cor list member local-call ! dial-peer cor list member int-call ! dial-peer cor list member ld-call ! dial-peer cor list member 411 ! dial-peer cor list member 1900
calllocal
callint
callld
call411
call1900
dial-peer cor list user member 911 member 1800 member local-call member ld-call ! dial-peer cor list superuser member 911 member 1800 member local-call member ld-call member 411 member int-call member 1900 dial-peer voice 9 pots corlist outgoing callld destination-pattern 91.......... port 1/0 prefix 1 ! dial-peer voice 911 pots corlist outgoing call911 destination-pattern 9911 port 1/0 prefix 911 ! dial-peer voice 11 pots corlist outgoing callint destination-pattern 9011T port 2/0 prefix 011 ! dial-peer voice 732 pots corlist outgoing calllocal destination-pattern 9732....... port 1/0 prefix 732 ! dial-peer voice 800 pots corlist outgoing call1800 destination-pattern 91800....... port 1/0 prefix 1800 ! dial-peer voice 802 pots
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-11
OL-10621-01
corlist outgoing call1800 destination-pattern 91877....... port 1/0 prefix 1877 ! dial-peer voice 805 pots corlist outgoing call1800 destination-pattern 91888....... port 1/0 prefix 1888 ! dial-peer voice 411 pots corlist outgoing call411 destination-pattern 9411 port 1/0 prefix 411 ! dial-peer voice 806 pots corlist outgoing call1800 destination-pattern 91866....... port 1/0 prefix 1866 ephone-dn 1 number 2000 cor incoming user Ephone-dn 2 number 2001 cor incoming superuser
Bloqueo en horario extendido para restringir los patrones de llamadas salientes-fraude telefnico
El bloqueo en horario extendido se puede agregar para la restriccin de llamadas salientes despus de determinadas horas. Tambin se puede usar el bloqueo para horario extendido para restringir las llamadas a nmeros o cdigos de rea que se corresponden con patrones de llamadas fraudulentas. El siguiente ejemplo de configuracin se puede usar para restringir llamadas a determinados cdigos de rea:
telephony-service after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern 1 .1242 2 .1264 3 .1268 4 .1246 5 .1441 6 .1284 7 .1345 8 .1767 9 .1809 10 .1473 11 .1876 12 .1664 13 .1787 14 .1869 15 .1758 16 .1900 17 .1976 18 .1868 19 .1649
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-12
OL-10621-01
after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours
block pattern block pattern block pattern block pattern block pattern day Sun 00:00 day Mon 00:00 day Tue 00:00 day Wed 00:00 day Thu 00:00 day Fri 00:00 day Sat 00:00
20 .1340 21 .1784 22 .1684 23 .1590 24 .1456 23:59 23:59 23:59 23:59 23:59 23:59 23:59
La direccin IP de Cisco Unified CME que se usa como direccin IP de origen necesita ser enrutable y puede ser una direccin IP de bucle de prueba en todos los escenarios descritos en esta seccin. Adems, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-13
OL-10621-01
En este escenario de la ilustracin 10-1, ephone 3 es una VLAN privada y usa Cisco Unified CME para tener acceso a ephone 1 y ephone 2 en las ubicaciones remotas con direcciones IP pblicas. Sin embargo, debido a que las transmisiones de medios se envan entre los telfonos conectados al mismo Cisco Unified CME, MTP (Media Termination Point) se debe configurar en los telfonos remotos a fin de que Cisco Unified CME termine la transmisin de medios; de ese modo, se garantiza un audio de doble va entre ephone 3 y ephone 1 o ephone 2. Los telfonos remotos requieren el codec G729r8. La configuracin en ephone 1 o ephone 2 es la siguiente:
ephone 1 mtp codec g729r8
La opcin MTP bajo ephone 1 hace que el router Cisco Unified CME acte como un proxy. Cisco Unified CME enva los paquetes de medios a otros telfonos IP con la direccin del router Cisco Unified CME en el campo de direccin de origen. Si otros telfonos de la llamada no son un telfono IP, Cisco Unified CME enva los paquetes de medios.
Nota
Si todos los telfonos tienen direcciones IP pblicas, no se requiere la configuracin MTP y los datos de medios fluiran entre los telfonos (en lugar de hacerlo a travs de Cisco Unified CME). Recomendamos que no use MTP, a menos que se requiera. Como en el escenario anterior, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-14
OL-10621-01
Ilustracin 10-2:
Los telfonos remotos se pueden conectar a travs de un router Cisco tradicional (como el Cisco 87x o el Cisco PIX) o mediante un dispositivo de enrutamiento alternativo (como el router Linksys). Ambas implementaciones requieren que NAT se configure si los telfonos remotos no usan direcciones IP enrutables. Se requiere la compatibilidad NAT SCCP para implementar audio de doble va entre los telfonos IP conectados al Cisco Unified CME. Al admitir NAT la conversin de las direcciones IP incrustadas y los nmeros de puertos presentados en los mensajes SCCP, se puede crear una entrada NAT completa para permitir el trfico RTP al flujo entre los telfonos IP. Como resultado, se admite el audio de doble va de voz/audio entre los telfonos IP cuando estn conectados a travs de NAT. Para un dispositivo como el router Linksys, que no reconoce SCCP, existe el audio de una sola va entre los dos extremos de telfono IP. Un forma de evitar el problema del audio de una sola va es conectar el telfono IP remoto conectado al Linksys a travs de un puerto DMZ con direcciones IP enrutables, o establecer una conexin VPN al router Cisco Unified CME. Advertencias: La compatibilidad con NAT SCCP est disponible en Cisco IOS Release 12.3(11)T y versiones posteriores, en los routers Cisco IOS. Se requiere que MTP se configure en los telfonos remotos. Los telfonos remotos conectados a travs de un router de Cisco con compatibilidad SCCP NAT tambin requieren la configuracin de MTP a fin de dar soporte al audio de doble va. Los telfonos remotos conectados a un router SCCP NAT no Cisco encontrarn el problema de audio de una sola va, incluso si se configura MTP en los telfonos remotos. Una forma de solventar este problema temporalmente es usar VPN entre Cisco Unified CME y un router SCCP NAT no Cisco u obtener direcciones IP pblicas para los telfonos remotos.
Nota
Como en los ejemplos anteriores, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-15
OL-10621-01
Nota
Como en los ejemplos anteriores, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.
Ilustracin 10-3 Conexin telefnica remota mediante VPN
Consideraciones sobre la implementacin Cisco Unified CME con Cisco IOS Firewall
Esta descripcin de la implementacin Cisco Unified CME con Cisco IOS Firewall describe los siguientes temas: Informacin general sobre Cisco IOS Firewall con Cisco Unified CME, pgina 10-16 Problemas anteriores en Cisco Unified CME con Cisco IOS Firewall, pgina 10-16 Cisco Unified CME y Cisco IOS Firewall en el mismo router, pgina 10-17 Otras alternativas para garantizar la seguridad de Cisco Unified CME, pgina 10-19
H.245 para configurar, gestionar/controlar y terminar llamadas. Los siguientes puntos describen cmo la sealizacin y los flujos de medios se ven afectados por el firewall de Cisco IOS. Flujo de sealizacin Una llamada H.323 requiere una conexin TCP para la sealizacin H.245 que no tienen asociado un puerto bien conocido. El puerto H.245 se asigna dinmicamente. Debido a que este puerto no se conoce previamente y no se puede configurar cuando se define la directiva del firewall, Cisco IOS Firewall bloquear el mensaje H.245 y el procedimiento de sealizacin de llamada generar un error. Cuando se use NAT en la ruta de sealizacin H.323, se usar una direccin IP interna (que est detrs del NAT y el resto del mundo no conoce) como el elemento de informacin de la parte que realiza la llamada en el flujo de sealizacin H.225. Como resultado, la llamada entrante (los intentos de volver a crear una conexin H.225 a esa direccin) generar un error. Flujos de medios (flujos RTP) Los flujos RTP se ejecutan sobre UDP y no tienen ningn puerto fijo asociado a ellos. Cada tipo de flujo de medio tiene uno o ms canales con nmeros de origen, destino y puerto asignados, que no se conocen previamente y no se pueden preconfigurar en la directiva firewall. Para que el flujo de medios atraviese el firewall, ste debe abrir muchos puertos UDP con parejas de origen y destino para cada sesin de llamadas. Esto puede causar vulnerabilidades en la red detrs del firewall. Debido a que Cisco IOS Firewall no permite el trfico externo atraviese en direccin a los destinos internos, las llamadas VoIP (llamadas internas) generarn un error. Adems, los puertos dinmicos RTP/RTCP que usan los extremos no se abren automticamente y no se admiten sin modificacin de la directiva de seguridad. Los problemas se pueden resumir de la siguiente forma: El firewall slo examina las direcciones de Capa 3. Los protocolos de sealizacin VoIP incrustan direcciones IP en la Capa 4 y superiores. RTP/RTCP funciona en la Capa 5. De forma predeterminada, los firewalls no admiten el trfico de fuera hacia dentro. El conjunto de caractersticas del firewall de Cisco IOS, NAT y PIX disponen de una funcionalidad de aplicacin denominada Application Layer Gateway (ALG), o protocolo de resolucin que ayuda a resolver estos problemas.
La aplicacin VoIP se compone de un conjunto dinmico de protocolos. SIP, MGCP, H.323 y SCCP para la sealizacin. SDP, H.225 y H.245 para el intercambio de capacidad. RTP/RTCP para el control y los medios de audio RTP/RTCP usan un puerto dinmico para los datos de audio que se sita en el intervalo de 16384 a 32767 para todos los productos de Cisco.
Nota
Cisco IOS Firewall no admita anteriormente la inspeccin Skinny, debido a que los paquetes salientes se convierten a H323 o SIP. Como resultado, no hay necesidad de inspeccin Skinny. Sin embargo, las ACL se pueden usar para filtrar los paquetes/el trfico no deseado como una forma de admitir la inspeccin Skinny de paquetes entrantes. Cisco IOS Firewall ha agregado soporte de inspeccin H.323 para cualquier trfico generado localmente; de este modo, es posible implementar Cisco Unified CME e IOS Firewall en el mismo router.
inspeccin del trfico generado por el router, disponible en Cisco Release IOS 12.3(14) T y posteriores, mejora la funcionalidad de Cisco IOS Firewall para inspeccionar las conexiones TCP, UDP y H.323 que tienen un router o firewall como uno de los extremos de la conexin. La inspeccin de los canales TCP y UDP iniciados desde el router habilita la apertura dinmica de los pinholes de la lista de control de acceso (ACL) de la interfaz, para permitir el trfico de retorno. La inspeccin de las conexiones H.323 hace posible la implementacin de Cisco Unified CME y Cisco IOS Firewall en el mismo router. Esto tambin simplifica la configuracin de ACL en la interfaz de Cisco Unified CME a travs de la cual se realizan las conexiones H.323. Antes de esta caracterstica, se requeran varias ACL para permitir que todos los canales de datos y de medios se negociasen dinmicamente; adems de las ACL necesarias para permitir las conexiones H.323 en un puerto estndar como el 1720. Con esta caracterstica, puede configurar las ACL para permitir los canales de control H.323 en el puerto 1720. Cisco IOS Firewall inspecciona todo el trfico en el canal de control y abre pinholes para admitir canales de datos y medios negociados dinmicamente. El siguiente procedimiento ilustra la configuracin de ACL que da soporte a esta capacidad:
Paso 1
Crear la ACL. En este ejemplo, se permite el trfico TCP desde la subred 10.168.11.1, 192.168.11.50 y 192.168.100.1.
access-list 120 permit tcp host 10.168.11.1 any eq 1720 access-list 121 permit tcp host 192.168.11.50 host 10.168.11.1 eq 1720 access-list 121 permit tcp host 192.168.100.1 host 10.168.11.1 eq 1720
Paso 2
Crear la regla de inspeccin LOCAL-H323 de Cisco IOS Firewall. Esto permite la inspeccin del trfico del protocolo especificado por la regla. Esta regla de inspeccin establece el valor del tiempo de inactividad en 180 segundos para cada protocolo (excepto para RPC). El valor del tiempo de inactividad define el periodo mximo que una conexin de un determinado protocolo puede permanecer activa sin que pase a travs de ella trfico alguno al router. Cuando se alcanzan estos tiempos de inactividad, se eliminan las ACL dinmicas que estn insertadas para permitir el trfico de retorno, y los paquetes subsiguientes (incluso los vlidos, posiblemente) no se admitirn.
ip inspect name LOCAL-H323 tftp timeout 180 ip inspect name LOCAL-H323 h323 router-traffic timeout 180
Paso 3
Aplicar la regla de inspeccin y la ACL. En este ejemplo, se aplica la regla de inspeccin LOCALH323 al trfico en la interfaz Serial0/3/0:
interface Serial0/3/0 ip address 10.168.11.2 255.255.255.0 ip access-group 121 in ip access-group 120 out ip inspect LOCAL-H323 in ip inspect LOCAL-H323 out encapsulation frame-relay frame-relay map ip 10.168.11.1 168 broadcast no frame-relay inverse-arp frame-relay intf-type dce
Paso 4
Cisco IOS Firewall slo admite la versin 2 del protocolo H.323. Configure el siguiente comando en Cisco Unified CME para admitir nicamente las caractersticas de la versin 2:
voice service voip h323 session transport tcp calls-per-connection 1 h245 tunnel disable h245 caps mode restricted h225 timeout tcp call-idle value 0
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-18
OL-10621-01
Establecer la identidad de cada extremo del sistema. Autenticar los dispositivos. Proporcionar privacidad de sesin de sealizacin Proporcionar proteccin a los archivos de configuracin
RTP seguro no se admite en Cisco Unified CME 4.0. La caracterstica de autenticacin telefnica segura se admite en los siguientes conjuntos de caractersticas de Cisco IOS: Advanced IP Services (como c3725-advipservicesk9-mz.124-4.XC.bin) Advanced Enterprise Services (c3725-adventerprisek9-mz.124-4.XC.bin)
Los telfonos compatibles son los telfonos IP unificados de Cisco 7911G, Cisco 7941G, Cisco 7961G y 7970/71G-GE. Las principales consideraciones para la sealizacin SCCP segura a travs de TLS son las siguientes: Se usa el cliente CTL (Certificate Trust List) para crear el archivo CTL y hacerlo disponible en el directorio TFTP. El archivo CTL (CTLfile.tlv) contiene la informacin de clave pblica de todos los servidores con los cuales interacta el telfono IP. Se crea un archivo de configuracin firmado digitalmente (SEP<MAC-addr>.cnf.xml.sgh) por el mdulo telephony-service en el software Cisco IOS. Se usa la clave privada del router para firmar el documento. Certificate Authority Proxy Function (CAPF), un proxy entre el telfono IP y la autoridad de certificacin (CA): se usa para solicitar un certificado en nombre del telfono. A travs del protocolo CAPF el servidor CAPF obtiene toda la informacin necesaria del telfono (incluyendo la clave pblica y el identificador del telfono). El estado de la configuracin CAPF reside en el archivo CNF.
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-19
OL-10621-01
La autenticacin telefnica tiene lugar entre el Cisco Unified CME y un dispositivo compatible cuando cada entidad acepta el certificado de la otra entidad, y cuando se establece una conexin segura entre las entidades. La autenticacin telefnica depende de la creacin de un archivo CTL. La autenticacin de archivo valida los archivos firmados digitalmente que un telfono descarga desde un servidor TFTP: archivos config, ringist, CTL y de configuracin regional. Cuando se reciben este tipo de archivos, el telfono valida las firmas de los archivos para verificar que no se hayan manipulado despus de su creacin. La autenticacin de sealizacin, tambin denominada integridad de sealizacin, usa el protocolo TLS para validar que los paquetes de sealizacin no se hayan manipulado durante la transmisin. La autenticacin de sealizacin depende de la creacin del archivo CTL.
Siga el siguiente procedimiento para configurar el soporte para la sealizacin SCCP mediante TLS:
Paso 1
Configure NTP o configure manualmente el reloj del software usando el comando clock set como en el siguiente ejemplo:
clock timezone PST -8 clock summer-time PDT recurring ntp clock-period 17247042 ntp server 171.68.10.80 ntp server 171.68.10.150
Paso 2
Configure una autoridad de certificacin (CA) de Cisco IOS: certificados emitidos por la CA para las funciones de servidor Cisco Unified CME, CAPF, TFTP y SAST: La CA puede estar en el mismo router Cisco Unified CME o en un router externo. El siguiente ejemplo ilustra la configuracin de una CA en el mismo router Cisco Unified CME:
crypto pki server laverda-ca grant auto database url flash: ! crypto pki trustpoint laverda-ca enrollment url http://192.168.1.1:80 revocation-check crl rsakeypair laverda-ca
Paso 3
Certifique el aprovisionamiento para las funciones de Cisco Unified CME: capf server, cme server, tftp server, sast1 y sast2 como se muestra en los siguientes ejemplos de configuracin. a. Obtenga un certificado para capf server:
!configuring a trust point crypto pki trustpoint capf-server enrollment url http://192.168.1.1:80 revocation-check none !authenticate w/ the CA and download its certificate crypto pki authenticate capf-server ! enroll with the CA and obtain this trustpoint's certificate crypto pki enrollment capf-server
Paso 4
Configure el servicio de telefona con los siguientes pasos: a. Configure la etiqueta trustpoint que se usa para la sealizacin segura:
secure-signaling trustpoint cme-server
b. Configure las credenciales del servidor TFTP (trustpoint) que se usan para firmar los archivos de configuracin:
tftp-server-credentials trustpoint tftp-server
La opcin authenticated instruir al dispositivo para que establezca una conexin TLS sin cifrado. En este modo, no hay SRTP en la ruta de los medios. La opcin encrypted instruir al dispositivo para que establezca una conexin TLS cifrada para asegurar la ruta de los medios mediante SRTP.
Nota
Use la opcin authenticated hasta que SRTP sea compatible en el futuro. d. Configure el sistema para generar los archivos XML de configuracin telefnica para cada extremo:
cnf-file perphone
Paso 5
Configure el cliente CTL en un Cisco Unified CME local a fin de crear un archivo CTL que contenga una lista de los certificados y tokens fiables y conocidos. El cliente CTL puede ejecutarse en el mismo router Cisco Unified CME u otro router independiente. Este es un ejemplo de un cliente CTL en un router Cisco Unified CME local:
ctl-client server capf 192.168.1.1 trustpoint capf-server server tftp 192.168.1.1 trustpoint tftp-server server cme 192.168.1.1 trustpoint cme-server sast1 trustpoint sast1 sast2 trustpoint sast2
Una vez que haya configurado toda la informacin anterior, use el comando regenerate para crear el archivo CTL: regenerate
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-21
OL-10621-01
Paso 6
Nota
Para obtener detalles sobre estos comandos de diagnstico, consulte la referencia de los comandos de Cisco Unified CallManager Express. El siguiente es un ejemplo: http://www.cisco.com/en/US/products/sw/voicesw/ps4625/products_command_reference_book09186 a 00805b6c70.html
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-22
OL-10621-01
SCCP SIP RTP RTP H.225 H.245 H.323 RAS H.323 RAS H.323 RAS TLS TLS
TCP 2000 TCP 5060 UDP 16384-32767 UDP 2000 TCP 1720 TCP 11000-65535 UDP 1718 UDP 1719 UDP 223.0.1.4 TCP 3804 TCP 2443
Control de llamadas para telfonos SCCP Control de llamadas para extremos SIP Medios desde Cisco Unified CME al extremo H.323/SIP, incluyendo Cisco Unity Express Medios desde Cisco Unified CME al telfono SCCP Configuracin de llamada H.323 Control de llamadas H.323, asignacin aleatoria de puerto Descubrimiento de GK Control de llamadas de GK Descubrimiento multidifusin de GK Solicitud de autenticacin de CAPF Control seguro de llamadas para telfonos SCCP
Puertos de uso comn para datos en Cisco Unified CME Puerto Uso
DHCP HTTP HTTPS/SSL NTP Radius Radius SNMP SSH Syslog Telnet
UDP 67 TCP 80 TCP 443 UDP 123 UDP 1645 UDP 1646 UDP 161 TCP 22 UDP 514 TCP 23
Direccionamiento IP para telfonos IP Acceso a GUI de Cisco Unified CME, acceso a directorio local de telfono IP Acceso seguro a GUI de Cisco Unified CME Sincronizacin temporal para Cisco Unity Express, telfonos IP Autenticacin para usuarios de CLI/GUI de Cisco Unified CME Contabilidad CDR Interrupciones para supervisin de Cisco Unified CME Acceso seguro a CLI de Cisco Unified CME Supervisin de sistema, contabilidad CDR Acceso a CLI de Cisco Unified CME
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-23
OL-10621-01