09 30-11-10-Владимир Савин Jabber CollabEdge Tshoot · hulk.lab connect2017.ru ВнешнийDNS ... Detail="certificate is not yet valid" Protocol="TLS" Common -name="exp-e1.connect2017.ru"

CiscoConnectМосква, 2017

Цифровизация: здесь и сейчас

Поиск и устранение неисправностей при работе Cisco Jabber через MRAВладимир Савостин

Технический лидер Cisco TAC по технологиям совместной работы

© 2017 Cisco and/or its affiliates. All rights reserved.

Базовая топология

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 03

Интернет

UnifiedCM

КластерExpressway-C

КластерIM&P

КластерCUCM

КластерExpressway-E

Корп.DNShulk.lab

connect2017.ru

Внешний DNSconnect2017.ru

ВнутреннийFirewall

ВнешнийFirewallDMZ

Версии компонентов

CUCM 11.5.1.12900-21 = 11.5(1)SU2IM&P 11.5.1.12900-25 = 11.5(1)SU2Expressway X8.9.2Jabber for Windows 11.8.3.51659Jabber for Mac 11.8.1.251552Jabber for iPhone/iPad 11.8.1.250274Jabber for Android 11.8.2.251552


Требования к версиям при миграции


Expressway X8.8 поддерживает:CUCM 9.1(2)SU1 and IM&P 9.1(1)Expressway X8.9 поддерживает только:CUCM 10.X and IM&P 10.X

Важно: для IM&P 11.5 требуется Expressway X8.8из-за смены AXL схемы в IM&P 11.5Function="executeSQLQueryUpdate" Status="500"Content="<?xmlversion='1.0' encoding='UTF-8'?><soapenv:Envelope xmlns:soapenv=" http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><soapenv:Fault><faultcode>soapenv:Client</faultcode><faultstring>NumberofcolumnsinINSERTdoesnotmatchnumberofVALUES.</faultstring><detail><axlError><axlcode>-236</axlcode><axlmessage>Numberofcolumns inINSERTdoesnotmatchnumber ofVALUES.</axlmessage><request>executeSQLUpdate</request></axlError></detail></soapenv:Fault></soapenv:Body></soapenv:Envelope>"

MRA: VCS или Expressway


• РегистрацияSIP клиентовнаExp-C(X8.8)(Ciscoи 3rd Party)

• РегистрацияH.323клиентов(X8.9)• Сервисы:MRA,B2B,B2C(JG),SparkHybrid,

WebExCMRHybridи Cloud,Interop/GW• Лицензированиепоклиентами сессиям

(RMS)

X8.9

“Expressway-C”или Core

“Expressway-E”или Edge“VCSControl” “VCSExpressway”

VCS Expressway

• РегистрацияклиентовSIPи H.323наVCSControl и VCSExpressway

• ПоддержкаMOVIклиентов (JVTP)• Сервисы:MRA,B2B,B2C(JG),WebExCMR

Hybridи Cloud,Interop/GW• Лицензированиепоколичеству

одновременныхвызовов (oversubscription)

Развертывание и базовая настройка


Развертывание OVA темплейта

- Vmware snapshot-ы не поддерживаются

- Диск thin provisioning не поддерживается

- при переносе VM используйте vMotion, не копируйте виртуальную машину (новый S/N)


Развертывание OVA темплейта- начиная с X8.9 при первой загрузке добавлен

Secure Install Wizard


Загрузка с предыдущего образа- через меню загрузчика GRUB

- через CLI (ssh/console)


Важно:Еслиэтоноваяинсталляция(upgrade непроводился),тоTANDBERGimage2– пустой!

Проверяемномертекущегообраза,вданномслучаеэто1Меняемобразприследующейперезагрузке на2

ПерезружаемExpressway собраза2

Чтобудетеслизагрузитьсясэтого

раздела?

Попытказагрузкиснегоприведетккрашуloader-а!

Сброс конфигурации (factory-reset)

если upgrade на этой системе не выполнялся, нужно загрузить 2 файла в директорию /mnt/harddisk/factory-reset по SCP:rk – release key, текстовый файл 16 байтtandberg-image.tar.gz – текущая версия ПО


Настройка системыВыставляем Unified Communications mode в ‘Mobile and Remote Access’ на С и E

Configuration -> Unified Communications -> Configuration

Начиная с версии X8.8 настройка делается через Service Setup Wizard


Expressway/VCS

Expressway-C/E

MobileandRemoteAccess

Настройка системы - NTPКонфигурация NTP -> System > Time


НастройкихоставvCenter/vSphere

Настройка системы - NTPКонфигурация NTP -> System > Time


НастройкихоставvCenter/vSphere

Настройка системы - NTPЕсли NTP не настроен или не синхронизирован на Exp-C и Exp-E, то:• Jabber клиент может не зарегистрироваться на CUCM

Механизм обеспечения безопасности на базе SIP SERVICE сообщений:① Expressway-E подписывает сообщение SERVICE timestamp-ом② Expressway-E отправляет сообщение SERVICE на Expressway-C③ Expressway-C проверяет, что сообщение SERVICE получено в течение 60 секунд после

отправки


2017-03-15T13:31:25+00:00 expe tvcs:UTCTime="2017-03-1513:31:25,494"Module="network.sip"Level="DEBUG":Action="Sent"Local-ip="192.168.7.13"Local-port="25000"Dst-ip="192.168.7.12"Dst-port="5060"Msg-Hash="13629837798905859732" SIPMSG:|SERVICEsip:[email protected]/2.0Via:SIP/2.0/TCP127.0.0.1:5060;branch=z9hG4bK20f7fceaf01711e72b663e2f5ed15e8b14;rportCall-ID:[email protected]:55961SERVICE

2017-03-15T13:31:25+00:00 expe tvcs:UTCTime="2017-03-1513:31:25,533"Module="network.sip"Level="DEBUG":Action="Received"Local-ip="192.168.7.13"Local-port="7001"Src-ip="192.168.7.12"Src-port="25016"Msg-Hash="9285669053443766947" SIPMSG:|SIP/2.0200OKVia:SIP/2.0/TCP127.0.0.1:5060;branch=z9hG4bK20f7fceaf01711e72b663e2f5ed15e8b14;received=127.0.0.1;rport=25000Сall-ID:[email protected]:55961SERVICE

Настройка системы - NTPЕсли NTP не настроен или не синхронизирован на Exp-C и Exp-E, то:• сертификаты могут не пройти проверку на подлинность

• сложность в анализе логов и трейсов с различных компонентов:- Expressway- CUCM- IM&P- Jabber- CUBE


Status->Logs->EventLog:

2017-03-10T08:58:16.507+03:00 tvcs:Event="OutboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.143"Src-port="25000"Dst-ip="10.62.150.145" Dst-port="7001"Detail="certificateisnotyetvalid"Protocol="TLS"Common-name="exp-e1.connect2017.ru"Level="1"UTCTime="2017-03-1005:58:16,506"

Настройка системы - DNSSystem -> DNS

“Domain name” будет добавляться к любым именам без домена для образования FQDN:- имена CUCM и IM&P серверов в (CCMAdmin -> System -> Server)


Настройка системы - DNSНачиная с версии X8.8 для Expressway-E должны быть настроены прямые и обратные записи (forward zone и reverse zone) в DNS• Проверка подлинности сертификата через Reverse DNS lookup для CN:


Настройка системы - DNS


Status->Logs->EventLog:

2017-03-25T19:08:18.471+03:00 exp-c1XCP_JABBERD[2386]:UTCTime="2017-03-2516:08:18,471"ThreadID="139649148679936"Module="Jabber"Level="WARN"CodeLocation="cvsservice.cpp:205"Detail="exceptioninreverseDNSLookup:reverseDNSlookupfailedforaddress=10.62.150.145"

Кластеризация


Настройка кластераТребования к кластеру


- Одинаковая версия ПО на всех пирах- Отсутствие NAT-а между пирами- RTT 30 мс между каждым пиром- Firewall между пирами - да- Локальные настройки на каждом пире:

• LAN• DNS• Сертификаты

- LAN1 – внутр. (cluster), LAN2 - внешний- Одинаковые лицензионные ключи

(кроме RMS, Desktop & Room registration, TURN relay)X8.8->TLS

Настройка кластера


НачинаясверсииX8.8длярепликацииCDB используетсяпротоколTLS(tcp/4372),анеIPSec (udp/500) каквX8.7.3иранее

- болеенадежноесоединение- ip tcp adjust-mss <MTU-40>еслиMTU<1500междупирами- дляExp-EкластераврежимеEnforce:DMZIPPTR вовнешнемDNS

Настройка кластера


НачинаясверсииX8.9.2 дляпроверкиименвDMZ можетбытьиспользован механизмClusteraddressmapping

Настройка кластера – Primary Peer


PrimaryPeer

Permissive=непроверятьподлинностьсертификатаEnforcing=проверятьподлинностьсертификата

ВсеPeer-ыкластера (включаялокальный)TLSсоединение

Настройка кластера – Secondary Peer


Имякластера

PrimaryPeer

Все о firewall-ах: дизайн, NAT, порты


Настройка Firewall - NAT ReflectionDual Firewall + Single NIC + Static NAT


Интернет



ExpresswayEIP:172.16.50.5

ExpresswayCIP:10.62.150.143 LAN1

ExpresswayEPublicIP:

173.38.220.37

OutsideIP:172.16.50.2

InsideIP:10.62.150.1



Dual Firewall + Single NIC + Static NAT

Настройка Firewall - NAT Reflection


Интернет




ExpresswayCIP:10.62.150.143 LAN1


173.38.220.37





Обращение на:173.38.220.37

КонфигурацияNATвнутреннегоfirewall-а:

objectnetworkexpC-insidehost10.62.150.143!objectnetworkexpE-insidehost173.38.220.37!objectnetworkexpE-outsidehost172.16.50.5!nat (inside,outside)sourcestaticexpC-insideexpC-insidedestinationstaticexpE-insideexpE-outside

КонфигурацияNATвнешнегоfirewall-а:

objectnetworkexpE-insidehost172.16.50.5!objectnetworkexpE-outsidehost173.38.220.37!nat (inside,outside)sourcestaticexpE-insideexpE-outside

Single Firewall + Single NIC + Static NAT

Настройка Firewall - NAT Reflection


Интернет

ВнешнийFirewall


ExpresswayCIP:10.62.150.143

LAN1


173.38.220.37



Обращение на:173.38.220.37


objectnetworkexpC-insidehost10.62.150.143!objectnetworkexpE-DMZhost172.16.50.5!objectnetworkexpE-outsidehost173.38.220.37!nat (inside,DMZ)sourcestaticexpC-insideexpC-insidedestinationstaticexpE-outsideexpE-DMZnat (DMZ,outside)sourcestaticexpE-DMZexpE-outside

DMZIP:172.16.50.1

Single Firewall + Dual NIC + Static NAT

Настройка Firewall - Dual NIC


Интернет

ВнешнийFirewall

ExpresswayE

ExpresswayCIP:10.62.150.143

LAN1IP:172.16.51.5


173.38.220.37



Обращение на:172.16.51.5безNAT-а


objectnetworkexpE-DMZ1host172.16.50.5!objectnetworkexpE-outsidehost173.38.220.37!nat (DMZ1,outside)sourcestaticexpE-DMZ1expE-outside

DMZ1IP:172.16.50.1

DMZ2IP:172.16.51.1

LAN2 IP:172.16.50.5

Рекомендуется

ПоддерживаетсялиStaticNATдляExpressway-C?

Настройка Firewall – замечания про NAT


Expressway-EбезStaticNAT– publicIPадреснаинтерфейсе:- publicподсеть вDMZ,редкаяконфигурация- нетнеобходимостивNATReflection

Exp-E отправляетнаExp-СсообщениеSERVICEсPublicIPиapparent;dsтэгом,Exp-Cнеможетустановитьсоединение

2017-03-12T14:30:55.217+00:00 exp-e1tvcs:UTCTime="2017-03-1214:30:55,214"Module="network.sip"Level="DEBUG":Action="Sent"Local-ip=“10.62.150.83"Local-port="25000"Dst-ip=“10.62.150.184"Dst-port="5060"Msg-Hash="9641926419647768"SIPMSG:|SERVICEsip:[email protected]/2.0Via:SIP/2.0/TCP10.62.150.183:5060;branch=z9hG4bK8cdc9840564955ae617cf799add3f25186;rportCall-ID:[email protected]:46107SERVICEContact:<sip:[email protected]>From:<sip:[email protected]>;tag=583afbb4cdd00336To:<sip:[email protected]>Route:<sip:178.38.220.37:22210; transport=tls;apparent;ds;lr>User-Agent:TANDBERG/4134(X8.9.1)Date:Sun,12Mar201714:30:55GMTEvent:serviceP-Asserted-Identity:<sip:[email protected]>Content-Type:multipart/mixed;boundary=boundary-2902199a-937d-11e1-a1d4-a4badbf02afd

NATдляExpressway-Cподдерживается,кромеодногослучая:- Exp-E+SingleNIC+StaticNAT(в178.38.220.37)- Exp-CstaticNATв тотжеадрес(178.38.220.37)

Настройка Firewall – замечания про NAT


PreferredArchitecture(PA)рекомендуетdual-NICStaticNAT дизайн

НастройкастатическогомаршрутанавнутренниесетинаExp-E

ЛучшеStaticNATчемPublicIPнаExpresswayE

ВыключаемSIPALG наfirewall-е – насамомделеневлияет

ПроблемысSingleNIC:

• NATReflection– вовлечениеnetworksecurityкоманд,потенциалдляasymmetricrouting

• B2BUA “видит” PublicIPадресвSIP пакетах,чтозначит– трафикдолженпройтичерезfirewall->нужнав3разабольшаяполосапропускания

Настройка Firewall - порты


Голосоваяпочта(CUC)

Ресурсы конференций

Внешнийfirewall

Внутреннийfirewall

ExpresswayE

ExpresswayC

СUCM

Интернет

DMZПротокол Режим СервисSIP TLS Управлениевызовами

– Register,Invite,ит.д.

Media SRTP Аудио,Видео,Перезнтация,Управлениеконференцией

HTTPS TLS Логин, Конфигурация,Поискконтактов,Голосоваяпочта

XMPP TLS InstantMessaging,Presence(сообщения,статусы)

IM&P

Какойтрафикпроходитчерезfirewall-ы?ü HTTPSproxyдля полученияконфигурацииклиентовü SIP/TLS,RTP/SRTP для аудио/вдео потоковü XCP/XMPPдля IM&P (сообщения,статусы)ü HTTPSсервисы(голосоваяпочта,фотоконтактов)ü TraversalConnectionмежду ExpresswayCandExpresswayEü SSHтуннель:обновлениеClusterDB и трафикHTTPSreverseproxy

objectnetworkvcse-insidehost172.16.51.5

objectservicexcp-routerservicetcp destinationeq 7400objectservicessh-tunnelservicetcp destination2222objectservicetraversal-sipservicetcp destinationeq 7001objectservicemediaserviceudp destinationrange27762777

object-groupserviceMRA-dmz-inservice-objectobjectxcp-routerservice-objectobjectssh-tunnelservice-objectobjecttraversal-sipservice-objectobjectmedia

access-listdmz-inextendedpermitobject-groupMRA-dmz-inanyobjectvcse-insideaccess-groupdmz-inininterfacedmz

Настройка Firewall – порты


objectnetworkvcse-outsidehost172.16.50.5

objectservicexmppservicetcp destinationeq 5222objectservicehttps-proxyservicetcp destinationeq 8443objectservicesipsservicetcp destinationeq 5061objectservicemediaserviceudp destinationrange3600259999

object-groupserviceMRA-outside-inservice-objectobjectxmppservice-objectobjecthttps-proxyservice-objectobjectsipsservice-objectobjectmedia

access-listoutside-inextendedpermitobject-groupMRA-outside-inanyobjectvcse-outsideaccess-groupoutside-inininterfaceoutside

Настройка Firewall - порты


Настройка Demultiplexing Ports на Exp-E


При развертывании Small/Medium

->Настраиваем Media Demultiplexing portsПо умолчанию: 2776 (RTP) – 2777 (RTCP)

или

->2 первых порта из диапазона Traversal MediaПо умолчанию: 36000 (RTP) – 36001 (RTCP)

ExpresswayC ExpresswayE

36000-36001или2776-277736000-59999

Configuration->TraversalSubzone

Configuration->Traversal->Ports

Настройка Demultiplexing Ports на Exp-E


При развертывании типа Large

->12 первых портов из диапазона Traversal MediaПо умолчанию: 36000 (RTP) – 36011 (RTCP)

ExpresswayC ExpresswayE

36000-3601136000-59999

Configuration->TraversalSubzone

Настройка Firewall – статус портов


• LocalInboundportsLocalOutboundportsRemotelisteningports

Expressway E – Local Inbound Ports


SIPсервер

Traversalпорты

Provisioning

XMPPроутерXMPPклиент

Синхр-ия CDB

Expressway E – Local Outbound Ports


Expressway E – Remote Listening Ports


Expressway C – Local Inbound Ports


SIPтранк

XMPPроутер

Синхр-ия CDB

Expressway C – Local Outbound Ports


Expressway C – Remote Listening Ports


SIPклиент

Traversal

XMPPсервер

Provisioningи TFTP

Сертификаты


Сертификаты – Server Certificate


> Maintenance > Security Certificate > Server Certificate

КакуюошибкувыдастExpressway?

Сертификаты – Server Certificate - CSR


ПреждечемгенерироватьCSRдолжныбытьзаданыHostnameиDomainname

Есливыошиблисьизагрузилисертификатдругогоустройства

Сертификаты – Trusted CA


>Maintenance>SecurityCertificate>TrustedCACertificate

Root

Intermediate1

Intermediate2

Client

Клиентскийсертификат,загружендлянаглядности

НачинаясверсииX8.8можнозагрузитьтолько

одинсертификатсодинаковымCN

Сертификаты – Trusted CA


CAсертификат

Клиентский сертификат

Сертификат Expressway-CДля чего он используется?


Сертификат Expressway-C - требования


ExtendedKeyUsage1. TLSWebServerAuthentication2. TLSWebClientAuthentication

SANатрибутсодержит имена:3. FQDNExpresswayC4. IMandPresencechatnodeалиасы5. НазванияUnifiedCMSecurityProfile6. ExpresswayCClustername

ТолькодляXMPPфедерации

ТолькодляAuth/Encr клиентов

Еслиестькластер

КакаямаксимальнаядлинауатрибутаSAN ?

RFC5280неограничиваетдлину

VCS/Exp проверяетпервые999байт



• Должен быть подписан CA -> внутренний CA компании или Public CA

• CA Root (цепочка CA сертификатов) должен быть загружен в “Trusted CA certificate” на оба Expressway

• CA Root (цепочка CA сертификатов) должен бытьзагружен в Callmanager-trust CUCM кластера если используется mixed-mode и Authenticated/Encrypted режим для клиентов



ExpresswayC IM&P



ExpresswayC CUCM

Сертификат Expressway-CCA root не загружен на Exp-E


Traversal Zone State FailedActive (1 of 2)

• Expressway-CDiagnosticslogs(traversalclient)

..Event="OutboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.143"Src-port="25051" Dst-ip="10.62.150.146"Dst-port="7001" Detail="tlsv1alertunknownca"Protocol="TLS"Common-name="exp-e2.connect2017.ru" Level="1"..

• Expressway-Ceventlog

Сертификат Expressway-EДля чего он используется?




ExtendedKeyUsage1. TLSWebServerAuthentication2. TLSWebClientAuthentication

SANэлементсодержит :3. FQDNExpresswayE4. Внешний UCдомен5. АлиасыIM&Pчатнодов6. ДоменыXMPPфедераций

ТолькодляXMPPфедерации

Сертификат Expressway-E - требования


• Должен быть подписан CA

• Внутренний CA компании или Public CA (для MRA на 7800/8800)

• CA Root (цепочка CA сертификатов) должен быть загружен в “Trusted CA certificate” на оба Expressway

Сертификат Expressway-E - требования


ExpresswayE ExpresswayC

Сертификат Expressway-ECA root не загружен на Exp-C


Traversal Zone на Exp-C

• ExpresswayEdiagnosticlogsexp-e1tvcs:Event="InboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.144"Src-port="25036" Dst-ip="10.62.150.145"Dst-port="7001" Detail="tlsv1alertunknownca"Protocol="TLS"Level="1"UTCTime="2017-03-2617:22:10,356"

• ExpresswayEeventlogs

Traversal зона


Настройка Traversal зоны


Expressway-E это traversal server в DMZExpressway-C это traversal client во внутренней сетии устанавливает связь после настройки Traversal зоны(как часто он это будет делать если зона не поднимается?)

CUCM

Корпоративнаясеть DMZ Внешняясеть

Expressway-CTraversalКлиент

Expressway-ETraversalСервер

EndpointB

Internet

EndpointA

КаналуправленияСигнализацияМедиа

Настройка Traversal Server на Exp-E


• Типобязательно :UnifiedCommunications traversal

• ДобавьтепользователяподкоторымбудетаутентифицироватьсяTraversalClient (Expressway-C)

• Портпоумолчанию 7001

• Поледолжносовпадатьс CNили SANиз Сертификатаприсланного TraversalClient-ом(ExpresswayC),вданномслучаеэтоимякластера

• Multistream modeвключенпоумолчанию

• Состояние Traversal зоны

• Состояние подключенияTraversal Client-ов

Настройка Traversal Server на Exp-E


Настройка Traversal Client на Exp-C


• Тип обязательно : Unified Communications traversal

• Username тот же что и наTraversal Server-е (Exp-E)

• Порт, на котором слушаетExpressway-E

Настройка Traversal Client на Exp-C


• Должны быть в формате FQDN (*)• Должны совпадать с CN или SAN

сертификата, присланного от Expressway E

• Состояние подключения к Traversal Server-ам

• Статус Traversal зоны

ДолжнырезолвитьсявPublicIPадресанаExpresswayEвслучаедизайнаsingleNIC+staticNAT

Traversal зона - cостояние SSH туннеля


SSH туннель: Меню Status > Unified Communications

Traversal зона – адрес пира на совпадает с CN или SAN


Peer Address указан как IP адрес

• ExpresswayCdiagnosticlogs..T13:13:32.441+03:00exp-c1tvcs:Event="OutboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.143"Src-port="25992"Dst-ip="10.62.150.145"Dst-port="7001"Detail="Peer'sTLScertificateidentitywasunacceptable"Protocol="TLS"Common-name="10.62.150.145" Level="1"UTCTime="2017-04-0110:13:32,440“..

Traversal зона – адрес пира на совпадает с CN или SAN


Peer Address/FQDN не совпадает с CN или SAN

Traversal зона – поиск проблем с сертификатами


Traversal зона – неверное имя или пароль


Состояние пиров на стороне Traversal Client (Exp-C)

Expressway-C diagnostic logs:

...Module="network.dns" Level="DEBUG":Detail="SendingDNSquery"Name="exp-e1.connect2017.ru" Type="AandAAAA"Module="network.dns" Level="DEBUG":Detail="Resolvedhostnameto:['IPv4''TCP''10.62.150.145'](A/AAAA)Numberofrelevantrecordsretrieved:1"Module="network.tcp" Level="DEBUG":Src-ip="10.62.150.143"Src-port=“26091"Dst-ip="10.62.150.145"Dst-port="7001"Detail="TCPConnecting”Module="network.tcp" Level="DEBUG":Src-ip=" 10.62.150.143"Src-port=“26091"Dst-ip=" 10.62.150.145"Dst-port="7001"Detail="TCPConnectionEstablished”…



Module="network.sip" Level="DEBUG":Action="Sent"Local-ip="10.62.150.143"Local-port="26091"Dst-ip="10.62.150.145"Dst-port="7001"Msg-Hash="6498679442882439689"SIPMSG:|OPTIONSsip:10.62.150.145:7001;transport=tls SIP/2.0Module="network.sip" Level="DEBUG":Action="Received"Local-ip="10.62.150.143"Local-port="26091"Src-ip="10.62.150.145"Src-port="7001"Msg-Hash="755138088333337408"SIPMSG:|SIP/2.0401UnauthorisedWWW-Authenticate: Digestrealm="to-Exp-C",nonce="6c6b212488…", opaque="AQAAAM…",stale=FALSE,algorithm=MD5,qop="auth"Module="network.sip" Level="DEBUG":Action="Sent"Local-ip="10.62.150.143"Local-port="26091"Dst-ip="10.62.150.145"Dst-port="7001"Msg-Hash="16231712146448602333"SIPMSG:|OPTIONSsip:10.62.150.145:7001;transport=tls SIP/2.0Authorization:Digestnonce="09cb2108df222374a9f…", realm="to-Exp-C",opaque="AQAAAKQ0…"algorithm=MD5,uri="sip:10.62.150.146:7001;transport=tls"Module="network.sip" Level="DEBUG":Action="Received"Local-ip="10.62.150.143"Local-port="26091"Src-ip="10.62.150.145"Src-port="7001"Msg-Hash="15018178885743692540"SIPMSG:|SIP/2.0401UnauthorisedEvent="ExternalServerCommunicationsFailure"Reason="gatekeepertimedout"Service="NeighbourGatekeeper"Dst-ip="10.62.150.145" Dst-port="7001"Detail="name:exp-e1.connect2017.ru" Protocol="TCP"Level="1"



Expressway-E diagnostic logs

Module="network.ldap" Level="INFO": Detail="Authentication credential found in directory for identity: traversal”…Module="developer.nomodule" Level="WARN" CodeLocation="ppcmains/sip/sipproxy/SipProxyAuthentication.cpp(686)" Method="SipProxyAuthentication::checkDigestSAResponse" Thread="0x7f2485cb0700": calculated response does not match supplied response, calculatedResponse=769c8f488f71eebdf28b61ab1dc9f5e9, response=319a0bb365decf98c1bb7b3ce350f6ec …Event="Authentication Failed" Service="SIP" Src-ip="10.62.150.143" Src-port="26091" Detail="Incorrect authentication credential for user" Protocol="TLS" Method="OPTIONS" Level="1”



Expressway-C event log

Expressway-E event log

Настройка UC серверовUC Server Discovery


UC Server Discovery


CUCM Server Discovery


• Распознает версию

• Распознает hostname (processnodetable)

2017-03-25T22:35:11.365+03:00exp-c1managementUTCTime="2017-03-2519:35:11,364"Module="network.axl"Level="INFO"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="getCCMVersion“

2017-03-25T22:35:11.709+03:00exp-c1managementUTCTime="2017-03-2519:35:11,708"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="getCCMVersion"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8<soapenv:Body><ns:getCCMVersionResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><componentVersion><version>11.5.1.12900(21)</version></componentVersion></return></ns:getCCMVersionResponse></soapenv:Body></soapenv:Envelope>"

2017-03-25T22:35:11.710+03:00exp-c1managementUTCTime="2017-03-2519:35:11,710"Module="network.axl"Level="INFO"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="listProcessNode“

2017-03-25T22:35:11.758+03:00 exp-c1managementUTCTime="2017-03-2519:35:11,757"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="listProcessNode"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8'?><soapenv:Body><ns:listProcessNodeResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><processNodeuuid="{00000000-1111-0000-0000-000000000000}"><name>EnterpriseWideData</name><nodeUsage>Subscriber</nodeUsage></processNode><processNodeuuid="{9237179A-CD10-4107-968F-0159F062B16B}"><name>10.62.150.183</name><nodeUsage>Publisher</nodeUsage></processNode><processNode uuid="{57B8DE84-89C3-7759-5D40-2703AFB1C74B}"><name>10.62.150.185</name><nodeUsage>Publisher</nodeUsage></processNode><processNodeuuid="{9FC9B6CC-DACA-9899-BDA0-18304DCD1B3A}"><name>10.62.150.184</name><nodeUsage>Subscriber</nodeUsage></processNode><processNode uuid="{D99674CF-4982-7BE0-902A-A4ABAE836C8C}"><name>10.62.150.186</name><nodeUsage>Subscriber</nodeUsage></processNode></return>”



• Распознает Cluster Security mode (Transport Protocol )2017-03-25T22:35:13.046+03:00 exp-c1managementUTCTime="2017-03-2519:35:13,046"Module="network.axl"Level="DEBUG"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Header="{'SOAPAction':'"CUCM:DBver=11.0executeSQLQuery"','Authorization':'<CONCEALED>','User-Agent':'TANDBERG-Video-Communication-Server/X8.9.1'}"AXL="<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:ns="http://www.cisco.com/AXL/API/11.0"><soapenv:Header/><soapenv:Body> <ns:executeSQLQuery sequence="?"><sql>SELECTparamvalue FROMprocessconfig WHEREparamname ='ClusterSecurityMode'</sql></ns:executeSQLQuery></soapenv:Body></soapenv:Envelope>“

2017-03-25T22:35:13.097+03:00 exp-c1managementUTCTime="2017-03-2519:35:13,096"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8'?><soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><ns:executeSQLQueryResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><row><paramvalue>1</paramvalue></row></return></ns:executeSQLQueryResponse></soapenv:Body></soapenv:Envelope>"

StandardAXLAPIaccessrole



• Внимание, дефекты!

Expresswayтакжеделаетвыборкусерверовизтаблицыcertificateprocessnodemap:2017-03-25T22:35:12.893+03:00 exp-c1managementUTCTime="2017-03-2519:35:12,892"Module="network.axl"Level="DEBUG"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Header="{'SOAPAction':'"CUCM:DBver=11.0executeSQLQuery"','Authorization':'<CONCEALED>','User-Agent':'TANDBERG-Video-Communication-Server/X8.9.1'}"AXL="<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:ns="http://www.cisco.com/AXL/API/11.0"><soapenv:Header/> <soapenv:Body> <ns:executeSQLQuery sequence="?"><sql>SELECTDISTINCTservername,ipv4address,ipv6addressFROMcertificateprocessnodemap</sql></ns:executeSQLQuery></soapenv:Body></soapenv:Envelope>"

2017-04-01T22:35:12.967+03:00 exp-c1managementUTCTime="2017-04-0119:35:12,966"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8'?><soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><ns:executeSQLQueryResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><row><servername>cucm01</servername><ipv4address>10.62.150.183</ipv4address><ipv6address/></row><row><servername>cucm02</servername><ipv4address>10.62.150.184</ipv4address><ipv6address/></row></return></ns:executeSQLQueryResponse></soapenv:Body></soapenv:Envelope>“

Есливтаблицеприсутствуютtrustсертификатыссерверов,которыхуженетвкластере,Expressway добавитэтисерверавсписокибудетпытатьсякнимобращаться

CSCvb29260 OldClusterdetailsstillavailableonnewCUCMpostN/Wmigration - PCDCSCvb89326 DeletedCertificateentriesstillexistintheCUCMDB

CUCM Server Discovery – TLS Verify Mode


TLSverifymode=On

UnifiedCMPublisheraddress=FQDN,долженсовпадатьс CNсертификатаTOMCATнаPublisher-е



TLSverifymode=On

UnifiedCMPublisheraddress=FQDN,долженсовпадатьс SANсертификатаTOMCATнаPublisher-е



TLSverifymode=On

CAсертификатдолженбытьзагруженв‘TrustedCACertificate’ списокнаExpressway-C



TLSverifymode=Off

Неттребованийдлясертификатов

CUCM Server Discovery – настройка зон


• Автоконфигурация зон для серверов и протоколов• Синтаксис : ‘CEtcp-<ИмяСервера>’ и ‘CEtls-<ИмяСервера>’

• 1 Search Rule для каждого сервера и протокола• Pattern matching правило для header-а

CUCM Server Discovery – настройка зон


INVITEsip:[email protected] SIP/2.0Via:SIP/2.0/TLS10.62.150.145:7001;egress-zone=toExpC;branc…Via:SIP/2.0/TLS10.229.68.169:59481;branch=z9hG4bKfde5f62e…Call-ID:f6269adbe775e031fa76d0d844070e9fCSeq:100INVITERemote-Party-ID:<sip:[email protected]>;privacy=off….Contact:<sip:[email protected]:<sip:[email protected]>;tag=9276be4e4152f9d1To:<sip:[email protected]>Route:<sip:10.62.150.183;transport=tcp;lr>Record-Route:<sip:proxy-call-id=81133000-cad5-4d87-90b2-.....Record-Route:<sip:proxy-call-id=81133000-cad5-4d87-90b2-....Allow: INVITE,ACK,CANCEL,BYE,UPDATE,INFO,OPTIONS,REF…User-Agent:Cisco-CSF

Выбираетсяклиентомнаоснове:• DevicePool• DeviceSecuritymode

UC Server Discovery – разные домены

Именасucm01,сucm01.connect2017.ruсucm02,сucm02.connect2017.ruнерезолвятсячерезDNS


ЕслисерверазаданыввидеFQDNистатус‘Active’значит Exp-Cсмог получитьDNS ответназапросA<hostname>@<domain>дляимен,заданныхнаCUCM

Вданномслучаеcucm01.hulk.labиcucm02.hulk.lab

Рекомендуется


DNSзапросы неотправляютсят.к.наCUCMзаданыадресасерверов

Статуспротоколовна Exp-Cвсегдабудет ‘Active’

UC Server Discovery – self-signed сертификаты

TLS verify + Self Signed CCM/Tomcat сертификаты

Если Tomcat серт. загружен первым -> Поиск отработает

Если CCM серт. загружен первым -> Поиск выдаст ошибку

TLS verify + Self Signed CCM/Tomcat сертификаты + Шифрование

Либо поиск выдаст ошибку, либо TLS соединение с CUCM не будет работать

Еслисертификатына CUCMself-signed,тоиспользуем ‘TLSverifymode’=‘Off’

UC Server Discovery – Multi-Server сертификаты

Multi-Server сертификаты for CUCM/IM&P поддерживаются начиная с версии 10.5 и имеют суффикс ‘-ms’ в CN

Такой сертификат содержит все имена и FQDN серверов кластера

Expressway X8.2+ поддерживаетmulti-server сертификаты

Single Sign-On через MRA


Конфигурация Edge SSO

Сервисы

Unified CallManager(UCM)

Unified CMIM&P

UnityConnection

Conferencing Resources

Jabber11.8

Инфраструктура

Identity

Exp-C

CUCM

Интернет

DNS

Exp-E

Federated

Внутренняясеть ВнешняясетьDMZ

AD

IdP IdP

Прокси

ServiceProvider

IdentityProvider IdP

ActiveDirectory

SAMLRequest

SAMLAssertion

AssertionConsumerService

Клиент

DomainNameSystem

§ SAML2.0совместимый IdP

§ Долженбытьдоступен извнешней сети

§ Вериантывнедрения:IdP прокси илиfederatedidentityservice

OpenAM

Edge SSO - аутентификация


JabberклиентCollaborationСервисы

Exp-C

СUCM

Интернет

Внутренняясеть ВнешняясетьDMZ 1) JabberобнаруживаетEdgeчерезDNS SRVDNS

2) Jabberделаетзапросдляпроверки,чтоSSOвключендляпользователя(по e-mail):GET https://exp-e1.connect2017.com:8443/#(домен) <-- в base64/[email protected]

5) ОтветвключаетURL дляобъекта /authorize:<?xml version='1.0' encoding='UTF-8'?><SSOResult version="1.0"><Response><SingleSignOn><Status enabled="true"/><Token reuse="false"/><Uri>https://exp-e1.connect2017.ru:8443/#(домен)/authorize</Uri>

</SingleSignOn></Response>

</SSOResult>

Exp-E

ПоискHomeclusterдляпользователя

Адресобъекта /authorize

3) <?xmlversion='1.0'encoding='UTF-8'?><SSOResult version="1.0"><Response><SingleSignOn><Statusenabled="false"/>

4) Jabberделаетзапросдляпроверки,чтоSSOвключендляпользователя(по username):GET https://exp-e1.connect2017.com:8443/#(домен) <-- в base64/get_edge_sso?username=user1

Edge SSO - аутентификация


Jabber клиент

CollaborationСервисы

Exp-C

UCM

Интернет


6) Jabberклиентинициирует аутентификацию:GET https://exp-e1.connect2017.ru:8443/#(connect2017.ru)/authorize

7) Exp-CперенаправляетзапроснаIdP,вданномслучаеADFS:HTTP/1.1 302 FoundLocation: https://win2012-dc.hulk.lab/adfs/ls/?SAMLRequest=<...>

Exp-E

ОбъектAPI/authorizeиспользуетсяклиентом дляинициирования аутентификациииполучениятокенаавторизации,которыйбудетиспользованприобращениик HTTP,XMPPи SIPсервисам

Expressway-C создаетSAMLзапрос иперенаправляет клиентак Identity

Provider (IdP)

Edge SSO – IdP аутен-ция, SAML Response


Jabberклиент


Exp-C

СUCM

Интернет

Exp-E


8) Jabberклиентотправляет SAMLauth requestна IdP

9)JabberполучаетSAMLresponseс asssertion от IdP иURLдляперенаправлениянаExp-E:

200 OKРедирект на Exp-E ACS URL{SAMLResponse=JBR_ASSERT_1}

IdP

10) Jabberклиентотправляет SAML ResponseнаExp-EExp-CпроверяетSAMLResponseиизвлекает SAMLAssertion

Edge SSO – authorize_proxy


Jabber клиент


Exp-C

СUCM

Интернет


11) EXPWY-Cвызывает authorize_proxy APIPOST https://ucxn:8443/ssosp/token/authorize_proxyContent-Type: application/x-www-form-urlencodedAuthorization: (AXL user/password)client_id=CLIENT-ID&response_type=token&Assertion=SAML-ASSERTION&realm=local

12) Successfulresponse200 OK{ access_token : abc123token_type : Bearer exprires_in : 3600000 }

Exp-E

Exp-Cиспользует/authorize_proxy APIзаменыAssertionнаToken

Exp-Cкэширует tokenдля пользователя суказаннымTTL

Edge SSO – /oauthcb


Jabberклиент


Exp-C

CUCM

Интернет

Внутренняясеть ВнешнаяясетьDMZ

Exp-E

• Exp-Cгенерируеттокен иперенаправляетклиента

• Клиентполучаеттокен

• Процессможетповторятьсядляразныхтиповсервисовснекоторымиизменениями –SIP,XMPP,HTTP,и.т.д.

13) Exp-C перенаправляетклиента на oauthcb интерфейс302 FoundLocation: https://exp-e1.connect2017.ru:8443/oauthcb

#access_token=OAUTH-TOKEN&token_type=Bearer&expires_in=3600000&sip_token=SIP-TOKEN&sip_expires_in=3600000

14) Клиентвызывает oauthcb APIGET https://xp-e1.connect2017.ru:8443/oauthcb#access_token=TOKEN

15) Клиентполучает200OK иjavascript<head>

<Title>AuthorizationComplete</Title><scriptlanguage="javascript">

document.write("AuthorizationComplete");</script>

</head><body></body>

Edge SSO – компоненты и версии


Компонент МинимальнаяВерсияCiscoExpresswayили CiscoVCS X8.5UnifiedCM 10.5(2)UnifiedCM IM&P 10.5(x)Unity Connection 10.5(x)JabberforWindows 10.6JabberforiPhoneandiPad 10.6JabberforMAC 10.6JabberforAndroid 10.6

SAMLSSOфункционалпротестированиподдерживаетсясоследующимиIdP:MicrosoftActiveDirectoryFederationServices(ADFS)version2.0OpenAccessManager(OpenAM)version11.0PingFederate version6.10.0.4F5BIP-IP11.6.0

Требованиякверсиям компонентов

Edge SSO – настройка


Шаг 1: ЗагружаемфайлсXMLmetadata с IdP (например ADFS2.0):https://hostname/federationmetadata/2007-06/federationmetadata.xml

Шаг 2: На Expressway-Cзагружаемфайлсmetadata:

- Configuration >UnifiedCommunications >IdentityProviders

- Послеимпортаидемв “Associatedomains”ивыбираемдомены, ассоциированныесданнымIdP

Edge SSO – настройка


Шаг 3: Экспортируем SAML data с Expressway-C- Configuration > Unified Communications > Export SAML data

Важно: SSH туннели к Expressway-E должны быть настроены и установлены перед экспортом SAML XML

Шаг 4: Загружаем SAML XML файл на IdP в Trust Relay

Edge SSO – устранение проблем


Fiddler toolFiddler используется для получения доступа к HTTPS сообщениям,

пересылаемым между Jabber клиентом, IdP и Expressway.https://www.telerik.com/download/fiddler



Fiddler toolРазрешим Fiddler-у доступ к https сообщениям: Tools -> Telerik Fiddler Options -> HTTPS



HTTPS SAML DecoderПосле захвана Https сообщений Fiddler-ом нужно декодировать SAML сообщения.Онлайн SAML декодер: https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php

SAMLRequest=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%2BPC9zYW1scDpBdXRoblJlcXVlc3Q%2B&SigAlg=http%3A%2F%2Fwww.w3.org%2F2001%2F04%2Fxmldsig-more…

После декодирования:<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"

AssertionConsumerServiceURL="https://exp-e1.connect2017.ru:8443/Y29ubmVjdDIwMTcucnU/fedlet" Destination="https://win2012-dc.hulk.lab/adfs/ls/" ID="id-fedbec5d-b5fb-499f-9976-45a5c5c97461" IssueInstant="2017-03-25T08:59:39Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0"><saml:Issuerxmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">connect2017.ru--B1BF3E0A57A9E773</saml:Issuer></samlp:AuthnRequest>



HTTPS SAML DecoderПосле захвана Https сообщений Fiddler-ом нужно декодировать SAML сообщения.Онлайн SAML декодер: https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php

SAMLResponse=PHNhbWxwOlJlc3BvbnNlIElEPSJfY2JkZDNiMDYtMjZjMi00MTg3LWJkYjEtYjQ5ODk0Mzg4NTY4IiBWZXJzaW9uPSIyLjAiIElzc3VlSW5zdGFudD0iMjAxNy0wNC0wMlQwODo1OToyOC4zNTVaIiBEZXN0aW5hdGlvbj0iaHR0cHM6Ly9leHAtZTEuY29ubmVjdDIwMTcucnU6ODQ0My9ZMjl1Ym1WamRESXdNVGN1Y25VL2ZlZGxldCIgQ29uc2VudD0idXJuOm9hc2lzOm5hbWVzOnRjOlNBTUw6Mi4wOmNvbnNlbnQHVyZSB4bWxuczpkcz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC8wOS94bWxkc2lnIyI%2BPGRzOlNpZ25lZEluZm8%2BPGRzOkNhbm9uaWNhbGl6YXRpb25NZXRob2QgQWxnb3JpdGhtPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxLzEwL3htbC1leGMtYzE0biMiIC8%2B48ZHM6VHJhbnNmb3Jtcz48ZHM6VHJhbnNmb3JtIEFsZ29yaXRobT0iaHR0cDovL3d3dy53My5vcmcvMjAwMC8wOS94bWxkc2lnI2VudmVsb3BlZC1zaWduYXR1cmUiIC8%2BPGRzOlRyYW5zZm9ybSBBbGdvcml0aG09Imh0dHA6Ly93d3cudzMub3JnLzIwMDEvMTAveG1sLWV4Yy1jMTRuIyIgLz48L2RzOlRyYW5zZm9ybX…

После декодирования:<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"

/></samlp:Status><EncryptedAssertionxmlns="urn:oasis:names:tc:SAML:2.0:assertion"><xenc:EncryptedDataType="http://www.w3.org/2001/04/xmlenc#Element" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"><xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />



Трейсы компонентовExpressway-C

CUCM/CUC/IM&P - ssosp логи:- из CUCM CLI на каждом сервере: set samltrace level DEBUG- скачать трейсы: file get activelog /tomcat/logs/ssosp/log4j/*.log



ADFS ошибка при логине Jabber клиента



ADFS ошибка при логине Jabber клиента

НедобавленRelayingPartyTrustдляExpressway-CcRelayingPartyIdentifierconnect2017.ru-B1BF3E0A57A9E773



Cant open page. Try again later.



Cant open page. Try again later.ИзлоговExpressway-C:

2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:Level="WARN"Event="Invalidrequest"Service="SSO"Detail="InvalidSAMLResponse"Local-ip="127.0.0.1"Local-port="22111"Reason="Nouid AttributeinAssertionfromIdP"Src-ip="127.0.0.1"Src-port="34426"UTCTime="2017-03-2513:58:58,277“

2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:UTCTime="2017-03-2513:58:58,275"Module="developer.edgeconfigprovisioning.server.sso"Level="WARN"CodeLocation="samlhelpers(821)"Service="SSO"Detail="NoInResponseTo attributeinAssertion“

2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:UTCTime="2017-03-2513:58:58,276"Module="developer.edgeconfigprovisioning.server.sso"Level="INFO"CodeLocation="samlhelpers(489)"Service="SSO"Detail="ResponsepassedsignatureverificationsoskippingAssertionsignaturecheck“

2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:UTCTime="2017-03-2513:58:58,276"Module="developer.edgeconfigprovisioning.server.sso"Level="WARN"CodeLocation="samlhelpers(686)"Service="SSO"Detail="RequiredAuthnInstanceattributenotfound“

2017-04-02T16:58:58.273+03:00 exp-c1traffic_server[21890]:UTCTime="2017-04-0213:58:58,278"Module="network.http.trafficserver"Level="INFO":Detail="SendingResponse"Txn-id="317"Dst-ip="127.0.0.1"Dst-port="30370"Msg="HTTP/1.1403Forbidden“Msg="HTTP/1.1403HTTPMSG:|HTTP/1.1403ForbiddenTransfer-Encoding:chunked

Чегонехватаетнаэтотраз?



Cant open page. Try again later.

Диагностика компонентов


Диагностика Expressway-E


Диагностика Expressway-C


Диагностика Expressway


Событие, кодошибки

Диагностика Expressway


Поискповремени

Диагностика Expressway - алармы


Диагностика Expressway – Diagnostic logs


Диагностика Expressway – Diagnostic logs


КакпосмотретьстатистикувызовавJabberдля Windows?

КакпосмотретьдиагностикуклиентавJabberдля Windows?

Диагностика Jabber клиента - Ctrl+Shift+D


Диагностика Jabber клиента - Edge Config


Проверка регистрации Jabber клиента


ExpresswayCотображаетсякакадресрегистрацииJabberклиента

Проверка регистрации Jabber клиента -если включен SIP Path Headers Support


Expressway X8.9

CUCM 11.5(1)SU2

Обеспечивает поддержку для:Shared line и Multiline на 78XX/88XX

В версии < 11.5(1)SU2:- CUCM отображает действительный адресJabber клиента

SIPPathHeader

Сниффер трейс – декодирование TLS


ПроверкаСертификата

Генерацияpre-masterсекрета

Вычислениеключей

ClientHello(ciphers,extensions,…)

ServerHello(ciphers,extensions,…)

Вычислениеключей

ServerHelloDone

Pre-mastersecret

ClientFinished

ServerFinished

Сниффер трейс – декодирование TLS


ВсеосновныесервисыиспользуютPerfectForwardSecrecy– PFS иприподдержкеDiffie-Hellman EphemeralсшифрамиDHE иECDHE передачаpre-mastersecretнетребуется,сторонывчисляютsharedsecretлокально

Декодирование TLS – отключение DHE


SIPTCP/5061

xConfiguration SIPTLSCipherSuite:"ALL:!DHE:!ECDHE:!EXP:!LOW:!MD5:!RC4:@STRENGTH:+ADH"

TrafficServer TCP/8443

vi/tandberg/trafficserver/etc/records.config

CONFIGproxy.config.ssl.TLSv1_1INT1 ->CONFIGproxy.config.ssl.TLSv1_1INT0CONFIGproxy.config.ssl.TLSv1_2INT1 ->CONFIGproxy.config.ssl.TLSv1_2INT0

CONFIGproxy.config.ssl.server.cipher_suite STRINGHIGH:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH

HIGH:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH->HIGH:!DHE:!ECDHE:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH

~#ps -ef |grep traffic|grep -vgrep_ats 87531011:53?00:00:32/trafficserver/bin/traffic_manager_ats 107648753911:58?00:58:11/trafficserver/bin/traffic_server -M--httpport 8443:fd=15:ssl

~#kill–HUP8753~#kill10764 НЕДОКУМЕНТИРОВАНО,НЕПОДДЕРЖИВАЕТСЯ!

SIP TCP/5061

TrafficServer TCP/8443

Конфигурациясервиса– статическая,SSL ciphers определенывкодеибытьизмененынемогут.

МожносниматьтрафиксExpressway-C (междуIM&Pи Exp-C попортуtcp/7400)

IM&PServer



XMPPTCP/5222

Expressway-E

XCPConnectionManager

XCPAuthService

XCPRouter XCPRouter

Expressway-C

XCPRouter TCP7400TCP7400

IMDB



Снифер трейс – медиа потоки


НачинаясверсииX8.8 ключишифрованиямедиавSDP скрыты

Exp-Ediagnosticlogs:

a=crypto:0AES_CM_128_HMAC_SHA1_80inline:.............................................a=crypto:1AES_CM_128_HMAC_SHA1_80inline:.............................................UNENCRYPTED_SRTCPa=crypto:2AES_CM_128_HMAC_SHA1_32inline:.............................................

…нопоявилсяпараметрвAdvancedSupportLogConfiguration

Exp-Ediagnosticlogs:

a=crypto:0AES_CM_128_HMAC_SHA1_80inline:6UD6dDp4WTh4yQML4/PhoqbEQzeHBL2TNdG9ggvU|2^48a=crypto:1AES_CM_128_HMAC_SHA1_80inline:6UD6dDp4WTh4yQML4/PhoqbEQzeHBL2TNdG9ggvU|2^48UNENCR..a=crypto:2AES_CM_128_HMAC_SHA1_32inline:V37wy8dLLG+2De1b+D7vhHvhOGfnBky55OLV7mfS|2^48

Оптимизация процесса подключения Jabber через MRA


Cisco Jabber – оптимизация процесса подключения через MRA


• Обнаружениесервисов(ServiceDiscovery)DNSSRV_collab-edge._tls.connect2017.ru

• ПроверканаличияWebExдоменаhttps://loginp.webexconnect.com/cas/FederatedSSO?org=connect2017.ru

• ПроверканаличияSingleSign-Onhttps://exp-e/../[email protected]://exp-e/../get_edge_sso?username=user1

• Проверкасертификата– CertificateRevocationList(CRL)длялюбогоTLSсервиса(Webex,Exp-E)приналичиеCRLвсертификате

• Получениефайлакoнфигурации– jabber-config.xml

- Обнаружениесервисов(ServiceDiscovery)внешниеDNS доступныDNSSRVзаписинастроеныдлявсехExp-E

всеExpressway-E доступныпопортам:TCP/8443TCP/5222TCP/5061

Чтоозначаютэтицифры?



_collab-edge._tls.connect2017.ru86400INSRV 10 208443Exp-e1.connect2017.ru_collab-edge._tls.connect2017.ru86400INSRV10108443Exp-e2.connect2017.ru_collab-edge._tls.connect2017.ru86400INSRV 20108443Exp-e3.connect2017.ru

Приоритет Вес

• ПроверканаличияWebExдомена:https://loginp.webexconnect.com/cas/FederatedSSO?org=connect2017.ru



DNSзапрос

СоединениесWebExCloud

Проверкасертификата(ов)

• ПроверканаличияWebExдомена:

3вариантарешения:JabberforWindowsinstaller

JabberforMobile,JabberforMACconfigurationURL

Всеклиенты(приповторномподключении)jabber-config.xml



msiexec.exe/iCiscoJabberSetup.msiCLEAR=1EXCLUDED_SERVICES=WEBEX

ciscojabber://provision?ServiceDiscoveryExcludedServices=WEBEX

<?xml version="1.0" encoding="utf-8"?><config version="1.0">

<Policies><ServiceDiscoveryExcludedServices>WEBEX</ServiceDiscoveryExcludedServices>

</Policies></config>



• ПроверканаличияSingleSign-On

еслиSSOесть,то наExpressway-E:

еслиSSO нет,товjabber-config.xml:



• Проверкасертификата– CertificateRevocationList(CRL)длялюбогоTLSсервиса(Webex,Exp-E)приналичиеCRLвсертификате

- ЕслисертификатдляExpressway-EвыданPublicCA– ничегооптимизироватьнельзя,JabberбудетпытатьсяобратитькCRLDistributionPoint,указаннойвсертификате

- ЕслисертификатдляExpressway-EвыданВнутренней CA– убратьCRL изтемплейтасертификатадляExp-E наВнутреннейCA(потенциальнаяугрозабезопасности!)




Unbase64(www.base64decode.org/)connect2017.ru/https/10.62.150.183/6972

Unbase64(www.base64decode.org/)connect2017.ru/https/10.62.150.184/6972




Поместитеjabber-config.xml файлнавсеTFTP серверавкластере

ЕслиJabber клиентненайдетфайлнапервомCUCMсервере,онбудетпытатьсяскачатьегосовсехостальныхсерверов,внезависимостиестьлинанихTFTPсервис!


Сообщество Технической поддержки Cisco

https://supportforums.cisco.com

http://russiansupportforum.cisco.com

email:[email protected]

Какойразделявляетсясамымпопулярнымнарусскоязычномфоруметех.поддержкиCisco?

#CiscoConnectRu#CiscoConnectRu

Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

Documents

09 30-11-10-Владимир Савин Jabber CollabEdge Tshoot · hulk.lab connect2017.ru ВнешнийDNS ... Detail="certificate is not yet valid" Protocol="TLS" Common -name="exp-e1.connect2017.ru"