Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
CiscoConnectМосква, 2017
Цифровизация: здесь и сейчас
Поиск и устранение неисправностей при работе Cisco Jabber через MRAВладимир Савостин
Технический лидер Cisco TAC по технологиям совместной работы
© 2017 Cisco and/or its affiliates. All rights reserved.
Базовая топология
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 03
Интернет
UnifiedCM
КластерExpressway-C
КластерIM&P
КластерCUCM
КластерExpressway-E
Корп.DNShulk.lab
connect2017.ru
Внешний DNSconnect2017.ru
ВнутреннийFirewall
ВнешнийFirewallDMZ
Версии компонентов
CUCM 11.5.1.12900-21 = 11.5(1)SU2IM&P 11.5.1.12900-25 = 11.5(1)SU2Expressway X8.9.2Jabber for Windows 11.8.3.51659Jabber for Mac 11.8.1.251552Jabber for iPhone/iPad 11.8.1.250274Jabber for Android 11.8.2.251552
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 04
Требования к версиям при миграции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 05
Expressway X8.8 поддерживает:CUCM 9.1(2)SU1 and IM&P 9.1(1)Expressway X8.9 поддерживает только:CUCM 10.X and IM&P 10.X
Важно: для IM&P 11.5 требуется Expressway X8.8из-за смены AXL схемы в IM&P 11.5Function="executeSQLQueryUpdate" Status="500"Content="<?xmlversion='1.0' encoding='UTF-8'?><soapenv:Envelope xmlns:soapenv=" http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><soapenv:Fault><faultcode>soapenv:Client</faultcode><faultstring>NumberofcolumnsinINSERTdoesnotmatchnumberofVALUES.</faultstring><detail><axlError><axlcode>-236</axlcode><axlmessage>Numberofcolumns inINSERTdoesnotmatchnumber ofVALUES.</axlmessage><request>executeSQLUpdate</request></axlError></detail></soapenv:Fault></soapenv:Body></soapenv:Envelope>"
MRA: VCS или Expressway
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 06
• РегистрацияSIP клиентовнаExp-C(X8.8)(Ciscoи 3rd Party)
• РегистрацияH.323клиентов(X8.9)• Сервисы:MRA,B2B,B2C(JG),SparkHybrid,
WebExCMRHybridи Cloud,Interop/GW• Лицензированиепоклиентами сессиям
(RMS)
X8.9
“Expressway-C”или Core
“Expressway-E”или Edge“VCSControl” “VCSExpressway”
VCS Expressway
• РегистрацияклиентовSIPи H.323наVCSControl и VCSExpressway
• ПоддержкаMOVIклиентов (JVTP)• Сервисы:MRA,B2B,B2C(JG),WebExCMR
Hybridи Cloud,Interop/GW• Лицензированиепоколичеству
одновременныхвызовов (oversubscription)
Развертывание и базовая настройка
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 07
Развертывание OVA темплейта
- Vmware snapshot-ы не поддерживаются
- Диск thin provisioning не поддерживается
- при переносе VM используйте vMotion, не копируйте виртуальную машину (новый S/N)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 08
Развертывание OVA темплейта- начиная с X8.9 при первой загрузке добавлен
Secure Install Wizard
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 09
Загрузка с предыдущего образа- через меню загрузчика GRUB
- через CLI (ssh/console)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 010
Важно:Еслиэтоноваяинсталляция(upgrade непроводился),тоTANDBERGimage2– пустой!
Проверяемномертекущегообраза,вданномслучаеэто1Меняемобразприследующейперезагрузке на2
ПерезружаемExpressway собраза2
Чтобудетеслизагрузитьсясэтого
раздела?
Попытказагрузкиснегоприведетккрашуloader-а!
Сброс конфигурации (factory-reset)
если upgrade на этой системе не выполнялся, нужно загрузить 2 файла в директорию /mnt/harddisk/factory-reset по SCP:rk – release key, текстовый файл 16 байтtandberg-image.tar.gz – текущая версия ПО
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 011
Настройка системыВыставляем Unified Communications mode в ‘Mobile and Remote Access’ на С и E
Configuration -> Unified Communications -> Configuration
Начиная с версии X8.8 настройка делается через Service Setup Wizard
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 012
Expressway/VCS
Expressway-C/E
MobileandRemoteAccess
Настройка системы - NTPКонфигурация NTP -> System > Time
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 013
НастройкихоставvCenter/vSphere
Настройка системы - NTPКонфигурация NTP -> System > Time
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 014
НастройкихоставvCenter/vSphere
Настройка системы - NTPЕсли NTP не настроен или не синхронизирован на Exp-C и Exp-E, то:• Jabber клиент может не зарегистрироваться на CUCM
Механизм обеспечения безопасности на базе SIP SERVICE сообщений:① Expressway-E подписывает сообщение SERVICE timestamp-ом② Expressway-E отправляет сообщение SERVICE на Expressway-C③ Expressway-C проверяет, что сообщение SERVICE получено в течение 60 секунд после
отправки
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 015
2017-03-15T13:31:25+00:00 expe tvcs:UTCTime="2017-03-1513:31:25,494"Module="network.sip"Level="DEBUG":Action="Sent"Local-ip="192.168.7.13"Local-port="25000"Dst-ip="192.168.7.12"Dst-port="5060"Msg-Hash="13629837798905859732" SIPMSG:|SERVICEsip:[email protected]/2.0Via:SIP/2.0/TCP127.0.0.1:5060;branch=z9hG4bK20f7fceaf01711e72b663e2f5ed15e8b14;rportCall-ID:[email protected]:55961SERVICE
2017-03-15T13:31:25+00:00 expe tvcs:UTCTime="2017-03-1513:31:25,533"Module="network.sip"Level="DEBUG":Action="Received"Local-ip="192.168.7.13"Local-port="7001"Src-ip="192.168.7.12"Src-port="25016"Msg-Hash="9285669053443766947" SIPMSG:|SIP/2.0200OKVia:SIP/2.0/TCP127.0.0.1:5060;branch=z9hG4bK20f7fceaf01711e72b663e2f5ed15e8b14;received=127.0.0.1;rport=25000Сall-ID:[email protected]:55961SERVICE
Настройка системы - NTPЕсли NTP не настроен или не синхронизирован на Exp-C и Exp-E, то:• сертификаты могут не пройти проверку на подлинность
• сложность в анализе логов и трейсов с различных компонентов:- Expressway- CUCM- IM&P- Jabber- CUBE
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 016
Status->Logs->EventLog:
2017-03-10T08:58:16.507+03:00 tvcs:Event="OutboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.143"Src-port="25000"Dst-ip="10.62.150.145" Dst-port="7001"Detail="certificateisnotyetvalid"Protocol="TLS"Common-name="exp-e1.connect2017.ru"Level="1"UTCTime="2017-03-1005:58:16,506"
Настройка системы - DNSSystem -> DNS
“Domain name” будет добавляться к любым именам без домена для образования FQDN:- имена CUCM и IM&P серверов в (CCMAdmin -> System -> Server)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 017
Настройка системы - DNSНачиная с версии X8.8 для Expressway-E должны быть настроены прямые и обратные записи (forward zone и reverse zone) в DNS• Проверка подлинности сертификата через Reverse DNS lookup для CN:
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 018
Настройка системы - DNS
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 019
Status->Logs->EventLog:
2017-03-25T19:08:18.471+03:00 exp-c1XCP_JABBERD[2386]:UTCTime="2017-03-2516:08:18,471"ThreadID="139649148679936"Module="Jabber"Level="WARN"CodeLocation="cvsservice.cpp:205"Detail="exceptioninreverseDNSLookup:reverseDNSlookupfailedforaddress=10.62.150.145"
Кластеризация
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 020
Настройка кластераТребования к кластеру
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 021
- Одинаковая версия ПО на всех пирах- Отсутствие NAT-а между пирами- RTT 30 мс между каждым пиром- Firewall между пирами - да- Локальные настройки на каждом пире:
• LAN• DNS• Сертификаты
- LAN1 – внутр. (cluster), LAN2 - внешний- Одинаковые лицензионные ключи
(кроме RMS, Desktop & Room registration, TURN relay)X8.8->TLS
Настройка кластера
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 022
НачинаясверсииX8.8длярепликацииCDB используетсяпротоколTLS(tcp/4372),анеIPSec (udp/500) каквX8.7.3иранее
- болеенадежноесоединение- ip tcp adjust-mss <MTU-40>еслиMTU<1500междупирами- дляExp-EкластераврежимеEnforce:DMZIPPTR вовнешнемDNS
Настройка кластера
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 023
НачинаясверсииX8.9.2 дляпроверкиименвDMZ можетбытьиспользован механизмClusteraddressmapping
Настройка кластера – Primary Peer
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 024
PrimaryPeer
Permissive=непроверятьподлинностьсертификатаEnforcing=проверятьподлинностьсертификата
ВсеPeer-ыкластера (включаялокальный)TLSсоединение
Настройка кластера – Secondary Peer
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 025
Имякластера
PrimaryPeer
Все о firewall-ах: дизайн, NAT, порты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 026
Настройка Firewall - NAT ReflectionDual Firewall + Single NIC + Static NAT
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 027
Интернет
ВнутреннийFirewall
ВнешнийFirewallDMZ
ExpresswayEIP:172.16.50.5
ExpresswayCIP:10.62.150.143 LAN1
ExpresswayEPublicIP:
173.38.220.37
OutsideIP:172.16.50.2
InsideIP:10.62.150.1
InsideIP:172.16.50.1
OutsideIP:173.38.220.1
Dual Firewall + Single NIC + Static NAT
Настройка Firewall - NAT Reflection
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 028
Интернет
ВнутреннийFirewall
ВнешнийFirewallDMZ
ExpresswayEIP:172.16.50.5
ExpresswayCIP:10.62.150.143 LAN1
ExpresswayEPublicIP:
173.38.220.37
OutsideIP:172.16.50.2
InsideIP:10.62.150.1
InsideIP:172.16.50.1
OutsideIP:173.38.220.1
Обращение на:173.38.220.37
КонфигурацияNATвнутреннегоfirewall-а:
objectnetworkexpC-insidehost10.62.150.143!objectnetworkexpE-insidehost173.38.220.37!objectnetworkexpE-outsidehost172.16.50.5!nat (inside,outside)sourcestaticexpC-insideexpC-insidedestinationstaticexpE-insideexpE-outside
КонфигурацияNATвнешнегоfirewall-а:
objectnetworkexpE-insidehost172.16.50.5!objectnetworkexpE-outsidehost173.38.220.37!nat (inside,outside)sourcestaticexpE-insideexpE-outside
Single Firewall + Single NIC + Static NAT
Настройка Firewall - NAT Reflection
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 029
Интернет
ВнешнийFirewall
ExpresswayEIP:172.16.50.5
ExpresswayCIP:10.62.150.143
LAN1
ExpresswayEPublicIP:
173.38.220.37
InsideIP:10.62.150.1
OutsideIP:173.38.220.1
Обращение на:173.38.220.37
КонфигурацияNATвнешнегоfirewall-а:
objectnetworkexpC-insidehost10.62.150.143!objectnetworkexpE-DMZhost172.16.50.5!objectnetworkexpE-outsidehost173.38.220.37!nat (inside,DMZ)sourcestaticexpC-insideexpC-insidedestinationstaticexpE-outsideexpE-DMZnat (DMZ,outside)sourcestaticexpE-DMZexpE-outside
DMZIP:172.16.50.1
Single Firewall + Dual NIC + Static NAT
Настройка Firewall - Dual NIC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 030
Интернет
ВнешнийFirewall
ExpresswayE
ExpresswayCIP:10.62.150.143
LAN1IP:172.16.51.5
ExpresswayEPublicIP:
173.38.220.37
InsideIP:10.62.150.1
OutsideIP:173.38.220.1
Обращение на:172.16.51.5безNAT-а
КонфигурацияNATвнешнегоfirewall-а:
objectnetworkexpE-DMZ1host172.16.50.5!objectnetworkexpE-outsidehost173.38.220.37!nat (DMZ1,outside)sourcestaticexpE-DMZ1expE-outside
DMZ1IP:172.16.50.1
DMZ2IP:172.16.51.1
LAN2 IP:172.16.50.5
Рекомендуется
ПоддерживаетсялиStaticNATдляExpressway-C?
Настройка Firewall – замечания про NAT
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 031
Expressway-EбезStaticNAT– publicIPадреснаинтерфейсе:- publicподсеть вDMZ,редкаяконфигурация- нетнеобходимостивNATReflection
Exp-E отправляетнаExp-СсообщениеSERVICEсPublicIPиapparent;dsтэгом,Exp-Cнеможетустановитьсоединение
2017-03-12T14:30:55.217+00:00 exp-e1tvcs:UTCTime="2017-03-1214:30:55,214"Module="network.sip"Level="DEBUG":Action="Sent"Local-ip=“10.62.150.83"Local-port="25000"Dst-ip=“10.62.150.184"Dst-port="5060"Msg-Hash="9641926419647768"SIPMSG:|SERVICEsip:[email protected]/2.0Via:SIP/2.0/TCP10.62.150.183:5060;branch=z9hG4bK8cdc9840564955ae617cf799add3f25186;rportCall-ID:[email protected]:46107SERVICEContact:<sip:[email protected]>From:<sip:[email protected]>;tag=583afbb4cdd00336To:<sip:[email protected]>Route:<sip:178.38.220.37:22210; transport=tls;apparent;ds;lr>User-Agent:TANDBERG/4134(X8.9.1)Date:Sun,12Mar201714:30:55GMTEvent:serviceP-Asserted-Identity:<sip:[email protected]>Content-Type:multipart/mixed;boundary=boundary-2902199a-937d-11e1-a1d4-a4badbf02afd
NATдляExpressway-Cподдерживается,кромеодногослучая:- Exp-E+SingleNIC+StaticNAT(в178.38.220.37)- Exp-CstaticNATв тотжеадрес(178.38.220.37)
Настройка Firewall – замечания про NAT
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 032
PreferredArchitecture(PA)рекомендуетdual-NICStaticNAT дизайн
НастройкастатическогомаршрутанавнутренниесетинаExp-E
ЛучшеStaticNATчемPublicIPнаExpresswayE
ВыключаемSIPALG наfirewall-е – насамомделеневлияет
ПроблемысSingleNIC:
• NATReflection– вовлечениеnetworksecurityкоманд,потенциалдляasymmetricrouting
• B2BUA “видит” PublicIPадресвSIP пакетах,чтозначит– трафикдолженпройтичерезfirewall->нужнав3разабольшаяполосапропускания
Настройка Firewall - порты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 033
Голосоваяпочта(CUC)
Ресурсы конференций
Внешнийfirewall
Внутреннийfirewall
ExpresswayE
ExpresswayC
СUCM
Интернет
DMZПротокол Режим СервисSIP TLS Управлениевызовами
– Register,Invite,ит.д.
Media SRTP Аудио,Видео,Перезнтация,Управлениеконференцией
HTTPS TLS Логин, Конфигурация,Поискконтактов,Голосоваяпочта
XMPP TLS InstantMessaging,Presence(сообщения,статусы)
IM&P
Какойтрафикпроходитчерезfirewall-ы?ü HTTPSproxyдля полученияконфигурацииклиентовü SIP/TLS,RTP/SRTP для аудио/вдео потоковü XCP/XMPPдля IM&P (сообщения,статусы)ü HTTPSсервисы(голосоваяпочта,фотоконтактов)ü TraversalConnectionмежду ExpresswayCandExpresswayEü SSHтуннель:обновлениеClusterDB и трафикHTTPSreverseproxy
objectnetworkvcse-insidehost172.16.51.5
objectservicexcp-routerservicetcp destinationeq 7400objectservicessh-tunnelservicetcp destination2222objectservicetraversal-sipservicetcp destinationeq 7001objectservicemediaserviceudp destinationrange27762777
object-groupserviceMRA-dmz-inservice-objectobjectxcp-routerservice-objectobjectssh-tunnelservice-objectobjecttraversal-sipservice-objectobjectmedia
access-listdmz-inextendedpermitobject-groupMRA-dmz-inanyobjectvcse-insideaccess-groupdmz-inininterfacedmz
Настройка Firewall – порты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 034
objectnetworkvcse-outsidehost172.16.50.5
objectservicexmppservicetcp destinationeq 5222objectservicehttps-proxyservicetcp destinationeq 8443objectservicesipsservicetcp destinationeq 5061objectservicemediaserviceudp destinationrange3600259999
object-groupserviceMRA-outside-inservice-objectobjectxmppservice-objectobjecthttps-proxyservice-objectobjectsipsservice-objectobjectmedia
access-listoutside-inextendedpermitobject-groupMRA-outside-inanyobjectvcse-outsideaccess-groupoutside-inininterfaceoutside
Настройка Firewall - порты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 035
Настройка Demultiplexing Ports на Exp-E
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 036
При развертывании Small/Medium
->Настраиваем Media Demultiplexing portsПо умолчанию: 2776 (RTP) – 2777 (RTCP)
или
->2 первых порта из диапазона Traversal MediaПо умолчанию: 36000 (RTP) – 36001 (RTCP)
ExpresswayC ExpresswayE
36000-36001или2776-277736000-59999
Configuration->TraversalSubzone
Configuration->Traversal->Ports
Настройка Demultiplexing Ports на Exp-E
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 037
При развертывании типа Large
->12 первых портов из диапазона Traversal MediaПо умолчанию: 36000 (RTP) – 36011 (RTCP)
ExpresswayC ExpresswayE
36000-3601136000-59999
Configuration->TraversalSubzone
Настройка Firewall – статус портов
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 038
• LocalInboundportsLocalOutboundportsRemotelisteningports
Expressway E – Local Inbound Ports
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 039
SIPсервер
Traversalпорты
Provisioning
XMPPроутерXMPPклиент
Синхр-ия CDB
Expressway E – Local Outbound Ports
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 040
Expressway E – Remote Listening Ports
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 041
Expressway C – Local Inbound Ports
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 042
SIPтранк
XMPPроутер
Синхр-ия CDB
Expressway C – Local Outbound Ports
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 043
Expressway C – Remote Listening Ports
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 044
SIPклиент
Traversal
XMPPсервер
Provisioningи TFTP
Сертификаты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 045
Сертификаты – Server Certificate
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 046
> Maintenance > Security Certificate > Server Certificate
КакуюошибкувыдастExpressway?
Сертификаты – Server Certificate - CSR
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 047
ПреждечемгенерироватьCSRдолжныбытьзаданыHostnameиDomainname
Есливыошиблисьизагрузилисертификатдругогоустройства
Сертификаты – Trusted CA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 048
>Maintenance>SecurityCertificate>TrustedCACertificate
Root
Intermediate1
Intermediate2
Client
Клиентскийсертификат,загружендлянаглядности
НачинаясверсииX8.8можнозагрузитьтолько
одинсертификатсодинаковымCN
Сертификаты – Trusted CA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 049
CAсертификат
Клиентский сертификат
Сертификат Expressway-CДля чего он используется?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 050
Сертификат Expressway-C - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 051
ExtendedKeyUsage1. TLSWebServerAuthentication2. TLSWebClientAuthentication
SANатрибутсодержит имена:3. FQDNExpresswayC4. IMandPresencechatnodeалиасы5. НазванияUnifiedCMSecurityProfile6. ExpresswayCClustername
ТолькодляXMPPфедерации
ТолькодляAuth/Encr клиентов
Еслиестькластер
КакаямаксимальнаядлинауатрибутаSAN ?
RFC5280неограничиваетдлину
VCS/Exp проверяетпервые999байт
Сертификат Expressway-C - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 052
• Должен быть подписан CA -> внутренний CA компании или Public CA
• CA Root (цепочка CA сертификатов) должен быть загружен в “Trusted CA certificate” на оба Expressway
• CA Root (цепочка CA сертификатов) должен бытьзагружен в Callmanager-trust CUCM кластера если используется mixed-mode и Authenticated/Encrypted режим для клиентов
Сертификат Expressway-C - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 053
ExpresswayC IM&P
Сертификат Expressway-C - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 054
ExpresswayC CUCM
Сертификат Expressway-CCA root не загружен на Exp-E
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 055
Traversal Zone State FailedActive (1 of 2)
• Expressway-CDiagnosticslogs(traversalclient)
..Event="OutboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.143"Src-port="25051" Dst-ip="10.62.150.146"Dst-port="7001" Detail="tlsv1alertunknownca"Protocol="TLS"Common-name="exp-e2.connect2017.ru" Level="1"..
• Expressway-Ceventlog
Сертификат Expressway-EДля чего он используется?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 056
Сертификат Expressway-C - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 057
ExtendedKeyUsage1. TLSWebServerAuthentication2. TLSWebClientAuthentication
SANэлементсодержит :3. FQDNExpresswayE4. Внешний UCдомен5. АлиасыIM&Pчатнодов6. ДоменыXMPPфедераций
ТолькодляXMPPфедерации
Сертификат Expressway-E - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 058
• Должен быть подписан CA
• Внутренний CA компании или Public CA (для MRA на 7800/8800)
• CA Root (цепочка CA сертификатов) должен быть загружен в “Trusted CA certificate” на оба Expressway
Сертификат Expressway-E - требования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 059
ExpresswayE ExpresswayC
Сертификат Expressway-ECA root не загружен на Exp-C
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 060
Traversal Zone на Exp-C
• ExpresswayEdiagnosticlogsexp-e1tvcs:Event="InboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.144"Src-port="25036" Dst-ip="10.62.150.145"Dst-port="7001" Detail="tlsv1alertunknownca"Protocol="TLS"Level="1"UTCTime="2017-03-2617:22:10,356"
• ExpresswayEeventlogs
Traversal зона
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 061
Настройка Traversal зоны
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 062
Expressway-E это traversal server в DMZExpressway-C это traversal client во внутренней сетии устанавливает связь после настройки Traversal зоны(как часто он это будет делать если зона не поднимается?)
CUCM
Корпоративнаясеть DMZ Внешняясеть
Expressway-CTraversalКлиент
Expressway-ETraversalСервер
EndpointB
Internet
EndpointA
КаналуправленияСигнализацияМедиа
Настройка Traversal Server на Exp-E
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 063
• Типобязательно :UnifiedCommunications traversal
• ДобавьтепользователяподкоторымбудетаутентифицироватьсяTraversalClient (Expressway-C)
• Портпоумолчанию 7001
• Поледолжносовпадатьс CNили SANиз Сертификатаприсланного TraversalClient-ом(ExpresswayC),вданномслучаеэтоимякластера
• Multistream modeвключенпоумолчанию
• Состояние Traversal зоны
• Состояние подключенияTraversal Client-ов
Настройка Traversal Server на Exp-E
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 064
Настройка Traversal Client на Exp-C
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 065
• Тип обязательно : Unified Communications traversal
• Username тот же что и наTraversal Server-е (Exp-E)
• Порт, на котором слушаетExpressway-E
Настройка Traversal Client на Exp-C
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 066
• Должны быть в формате FQDN (*)• Должны совпадать с CN или SAN
сертификата, присланного от Expressway E
• Состояние подключения к Traversal Server-ам
• Статус Traversal зоны
ДолжнырезолвитьсявPublicIPадресанаExpresswayEвслучаедизайнаsingleNIC+staticNAT
Traversal зона - cостояние SSH туннеля
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 067
SSH туннель: Меню Status > Unified Communications
Traversal зона – адрес пира на совпадает с CN или SAN
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 068
Peer Address указан как IP адрес
• ExpresswayCdiagnosticlogs..T13:13:32.441+03:00exp-c1tvcs:Event="OutboundTLSNegotiationError"Service="SIP"Src-ip="10.62.150.143"Src-port="25992"Dst-ip="10.62.150.145"Dst-port="7001"Detail="Peer'sTLScertificateidentitywasunacceptable"Protocol="TLS"Common-name="10.62.150.145" Level="1"UTCTime="2017-04-0110:13:32,440“..
Traversal зона – адрес пира на совпадает с CN или SAN
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 069
Peer Address/FQDN не совпадает с CN или SAN
Traversal зона – поиск проблем с сертификатами
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 070
Traversal зона – неверное имя или пароль
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 071
Состояние пиров на стороне Traversal Client (Exp-C)
Expressway-C diagnostic logs:
...Module="network.dns" Level="DEBUG":Detail="SendingDNSquery"Name="exp-e1.connect2017.ru" Type="AandAAAA"Module="network.dns" Level="DEBUG":Detail="Resolvedhostnameto:['IPv4''TCP''10.62.150.145'](A/AAAA)Numberofrelevantrecordsretrieved:1"Module="network.tcp" Level="DEBUG":Src-ip="10.62.150.143"Src-port=“26091"Dst-ip="10.62.150.145"Dst-port="7001"Detail="TCPConnecting”Module="network.tcp" Level="DEBUG":Src-ip=" 10.62.150.143"Src-port=“26091"Dst-ip=" 10.62.150.145"Dst-port="7001"Detail="TCPConnectionEstablished”…
Traversal зона – неверное имя или пароль
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 072
Module="network.sip" Level="DEBUG":Action="Sent"Local-ip="10.62.150.143"Local-port="26091"Dst-ip="10.62.150.145"Dst-port="7001"Msg-Hash="6498679442882439689"SIPMSG:|OPTIONSsip:10.62.150.145:7001;transport=tls SIP/2.0Module="network.sip" Level="DEBUG":Action="Received"Local-ip="10.62.150.143"Local-port="26091"Src-ip="10.62.150.145"Src-port="7001"Msg-Hash="755138088333337408"SIPMSG:|SIP/2.0401UnauthorisedWWW-Authenticate: Digestrealm="to-Exp-C",nonce="6c6b212488…", opaque="AQAAAM…",stale=FALSE,algorithm=MD5,qop="auth"Module="network.sip" Level="DEBUG":Action="Sent"Local-ip="10.62.150.143"Local-port="26091"Dst-ip="10.62.150.145"Dst-port="7001"Msg-Hash="16231712146448602333"SIPMSG:|OPTIONSsip:10.62.150.145:7001;transport=tls SIP/2.0Authorization:Digestnonce="09cb2108df222374a9f…", realm="to-Exp-C",opaque="AQAAAKQ0…"algorithm=MD5,uri="sip:10.62.150.146:7001;transport=tls"Module="network.sip" Level="DEBUG":Action="Received"Local-ip="10.62.150.143"Local-port="26091"Src-ip="10.62.150.145"Src-port="7001"Msg-Hash="15018178885743692540"SIPMSG:|SIP/2.0401UnauthorisedEvent="ExternalServerCommunicationsFailure"Reason="gatekeepertimedout"Service="NeighbourGatekeeper"Dst-ip="10.62.150.145" Dst-port="7001"Detail="name:exp-e1.connect2017.ru" Protocol="TCP"Level="1"
Traversal зона – неверное имя или пароль
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 073
Expressway-E diagnostic logs
Module="network.ldap" Level="INFO": Detail="Authentication credential found in directory for identity: traversal”…Module="developer.nomodule" Level="WARN" CodeLocation="ppcmains/sip/sipproxy/SipProxyAuthentication.cpp(686)" Method="SipProxyAuthentication::checkDigestSAResponse" Thread="0x7f2485cb0700": calculated response does not match supplied response, calculatedResponse=769c8f488f71eebdf28b61ab1dc9f5e9, response=319a0bb365decf98c1bb7b3ce350f6ec …Event="Authentication Failed" Service="SIP" Src-ip="10.62.150.143" Src-port="26091" Detail="Incorrect authentication credential for user" Protocol="TLS" Method="OPTIONS" Level="1”
Traversal зона – неверное имя или пароль
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 074
Expressway-C event log
Expressway-E event log
Настройка UC серверовUC Server Discovery
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 075
UC Server Discovery
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 076
CUCM Server Discovery
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 077
• Распознает версию
• Распознает hostname (processnodetable)
2017-03-25T22:35:11.365+03:00exp-c1managementUTCTime="2017-03-2519:35:11,364"Module="network.axl"Level="INFO"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="getCCMVersion“
2017-03-25T22:35:11.709+03:00exp-c1managementUTCTime="2017-03-2519:35:11,708"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="getCCMVersion"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8<soapenv:Body><ns:getCCMVersionResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><componentVersion><version>11.5.1.12900(21)</version></componentVersion></return></ns:getCCMVersionResponse></soapenv:Body></soapenv:Envelope>"
2017-03-25T22:35:11.710+03:00exp-c1managementUTCTime="2017-03-2519:35:11,710"Module="network.axl"Level="INFO"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="listProcessNode“
2017-03-25T22:35:11.758+03:00 exp-c1managementUTCTime="2017-03-2519:35:11,757"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="listProcessNode"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8'?><soapenv:Body><ns:listProcessNodeResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><processNodeuuid="{00000000-1111-0000-0000-000000000000}"><name>EnterpriseWideData</name><nodeUsage>Subscriber</nodeUsage></processNode><processNodeuuid="{9237179A-CD10-4107-968F-0159F062B16B}"><name>10.62.150.183</name><nodeUsage>Publisher</nodeUsage></processNode><processNode uuid="{57B8DE84-89C3-7759-5D40-2703AFB1C74B}"><name>10.62.150.185</name><nodeUsage>Publisher</nodeUsage></processNode><processNodeuuid="{9FC9B6CC-DACA-9899-BDA0-18304DCD1B3A}"><name>10.62.150.184</name><nodeUsage>Subscriber</nodeUsage></processNode><processNode uuid="{D99674CF-4982-7BE0-902A-A4ABAE836C8C}"><name>10.62.150.186</name><nodeUsage>Subscriber</nodeUsage></processNode></return>”
CUCM Server Discovery
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 078
• Распознает Cluster Security mode (Transport Protocol )2017-03-25T22:35:13.046+03:00 exp-c1managementUTCTime="2017-03-2519:35:13,046"Module="network.axl"Level="DEBUG"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Header="{'SOAPAction':'"CUCM:DBver=11.0executeSQLQuery"','Authorization':'<CONCEALED>','User-Agent':'TANDBERG-Video-Communication-Server/X8.9.1'}"AXL="<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:ns="http://www.cisco.com/AXL/API/11.0"><soapenv:Header/><soapenv:Body> <ns:executeSQLQuery sequence="?"><sql>SELECTparamvalue FROMprocessconfig WHEREparamname ='ClusterSecurityMode'</sql></ns:executeSQLQuery></soapenv:Body></soapenv:Envelope>“
2017-03-25T22:35:13.097+03:00 exp-c1managementUTCTime="2017-03-2519:35:13,096"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8'?><soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><ns:executeSQLQueryResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><row><paramvalue>1</paramvalue></row></return></ns:executeSQLQueryResponse></soapenv:Body></soapenv:Envelope>"
StandardAXLAPIaccessrole
CUCM Server Discovery
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 079
• Внимание, дефекты!
Expresswayтакжеделаетвыборкусерверовизтаблицыcertificateprocessnodemap:2017-03-25T22:35:12.893+03:00 exp-c1managementUTCTime="2017-03-2519:35:12,892"Module="network.axl"Level="DEBUG"Action="Send"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Header="{'SOAPAction':'"CUCM:DBver=11.0executeSQLQuery"','Authorization':'<CONCEALED>','User-Agent':'TANDBERG-Video-Communication-Server/X8.9.1'}"AXL="<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:ns="http://www.cisco.com/AXL/API/11.0"><soapenv:Header/> <soapenv:Body> <ns:executeSQLQuery sequence="?"><sql>SELECTDISTINCTservername,ipv4address,ipv6addressFROMcertificateprocessnodemap</sql></ns:executeSQLQuery></soapenv:Body></soapenv:Envelope>"
2017-04-01T22:35:12.967+03:00 exp-c1managementUTCTime="2017-04-0119:35:12,966"Module="network.axl"Level="DEBUG"Action="Received"URL="https://10.62.150.183:8443/axl/"Function="executeSQLQuery"Status="200"Content="<?xmlversion='1.0'encoding='UTF-8'?><soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><ns:executeSQLQueryResponsexmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><row><servername>cucm01</servername><ipv4address>10.62.150.183</ipv4address><ipv6address/></row><row><servername>cucm02</servername><ipv4address>10.62.150.184</ipv4address><ipv6address/></row></return></ns:executeSQLQueryResponse></soapenv:Body></soapenv:Envelope>“
Есливтаблицеприсутствуютtrustсертификатыссерверов,которыхуженетвкластере,Expressway добавитэтисерверавсписокибудетпытатьсякнимобращаться
CSCvb29260 OldClusterdetailsstillavailableonnewCUCMpostN/Wmigration - PCDCSCvb89326 DeletedCertificateentriesstillexistintheCUCMDB
CUCM Server Discovery – TLS Verify Mode
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 080
TLSverifymode=On
UnifiedCMPublisheraddress=FQDN,долженсовпадатьс CNсертификатаTOMCATнаPublisher-е
CUCM Server Discovery – TLS Verify Mode
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 081
TLSverifymode=On
UnifiedCMPublisheraddress=FQDN,долженсовпадатьс SANсертификатаTOMCATнаPublisher-е
CUCM Server Discovery – TLS Verify Mode
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 082
TLSverifymode=On
CAсертификатдолженбытьзагруженв‘TrustedCACertificate’ списокнаExpressway-C
CUCM Server Discovery – TLS Verify Mode
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 083
TLSverifymode=Off
Неттребованийдлясертификатов
CUCM Server Discovery – настройка зон
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 084
• Автоконфигурация зон для серверов и протоколов• Синтаксис : ‘CEtcp-<ИмяСервера>’ и ‘CEtls-<ИмяСервера>’
• 1 Search Rule для каждого сервера и протокола• Pattern matching правило для header-а
CUCM Server Discovery – настройка зон
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 085
INVITEsip:[email protected] SIP/2.0Via:SIP/2.0/TLS10.62.150.145:7001;egress-zone=toExpC;branc…Via:SIP/2.0/TLS10.229.68.169:59481;branch=z9hG4bKfde5f62e…Call-ID:f6269adbe775e031fa76d0d844070e9fCSeq:100INVITERemote-Party-ID:<sip:[email protected]>;privacy=off….Contact:<sip:[email protected]:<sip:[email protected]>;tag=9276be4e4152f9d1To:<sip:[email protected]>Route:<sip:10.62.150.183;transport=tcp;lr>Record-Route:<sip:proxy-call-id=81133000-cad5-4d87-90b2-.....Record-Route:<sip:proxy-call-id=81133000-cad5-4d87-90b2-....Allow: INVITE,ACK,CANCEL,BYE,UPDATE,INFO,OPTIONS,REF…User-Agent:Cisco-CSF
Выбираетсяклиентомнаоснове:• DevicePool• DeviceSecuritymode
UC Server Discovery – разные домены
Именасucm01,сucm01.connect2017.ruсucm02,сucm02.connect2017.ruнерезолвятсячерезDNS
UC Server Discovery – разные домены
ЕслисерверазаданыввидеFQDNистатус‘Active’значит Exp-Cсмог получитьDNS ответназапросA<hostname>@<domain>дляимен,заданныхнаCUCM
Вданномслучаеcucm01.hulk.labиcucm02.hulk.lab
Рекомендуется
UC Server Discovery – разные домены
DNSзапросы неотправляютсят.к.наCUCMзаданыадресасерверов
Статуспротоколовна Exp-Cвсегдабудет ‘Active’
UC Server Discovery – self-signed сертификаты
TLS verify + Self Signed CCM/Tomcat сертификаты
Если Tomcat серт. загружен первым -> Поиск отработает
Если CCM серт. загружен первым -> Поиск выдаст ошибку
TLS verify + Self Signed CCM/Tomcat сертификаты + Шифрование
Либо поиск выдаст ошибку, либо TLS соединение с CUCM не будет работать
Еслисертификатына CUCMself-signed,тоиспользуем ‘TLSverifymode’=‘Off’
UC Server Discovery – Multi-Server сертификаты
Multi-Server сертификаты for CUCM/IM&P поддерживаются начиная с версии 10.5 и имеют суффикс ‘-ms’ в CN
Такой сертификат содержит все имена и FQDN серверов кластера
Expressway X8.2+ поддерживаетmulti-server сертификаты
Single Sign-On через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 091
Конфигурация Edge SSO
Сервисы
Unified CallManager(UCM)
Unified CMIM&P
UnityConnection
Conferencing Resources
Jabber11.8
Инфраструктура
Identity
Exp-C
CUCM
Интернет
DNS
Exp-E
Federated
Внутренняясеть ВнешняясетьDMZ
AD
IdP IdP
Прокси
ServiceProvider
IdentityProvider IdP
ActiveDirectory
SAMLRequest
SAMLAssertion
AssertionConsumerService
Клиент
DomainNameSystem
§ SAML2.0совместимый IdP
§ Долженбытьдоступен извнешней сети
§ Вериантывнедрения:IdP прокси илиfederatedidentityservice
OpenAM
Edge SSO - аутентификация
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 093
JabberклиентCollaborationСервисы
Exp-C
СUCM
Интернет
Внутренняясеть ВнешняясетьDMZ 1) JabberобнаруживаетEdgeчерезDNS SRVDNS
2) Jabberделаетзапросдляпроверки,чтоSSOвключендляпользователя(по e-mail):GET https://exp-e1.connect2017.com:8443/#(домен) <-- в base64/[email protected]
5) ОтветвключаетURL дляобъекта /authorize:<?xml version='1.0' encoding='UTF-8'?><SSOResult version="1.0"><Response><SingleSignOn><Status enabled="true"/><Token reuse="false"/><Uri>https://exp-e1.connect2017.ru:8443/#(домен)/authorize</Uri>
</SingleSignOn></Response>
</SSOResult>
Exp-E
ПоискHomeclusterдляпользователя
Адресобъекта /authorize
3) <?xmlversion='1.0'encoding='UTF-8'?><SSOResult version="1.0"><Response><SingleSignOn><Statusenabled="false"/>
4) Jabberделаетзапросдляпроверки,чтоSSOвключендляпользователя(по username):GET https://exp-e1.connect2017.com:8443/#(домен) <-- в base64/get_edge_sso?username=user1
Edge SSO - аутентификация
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 094
Jabber клиент
CollaborationСервисы
Exp-C
UCM
Интернет
Внутренняясеть ВнешняясетьDMZ
6) Jabberклиентинициирует аутентификацию:GET https://exp-e1.connect2017.ru:8443/#(connect2017.ru)/authorize
7) Exp-CперенаправляетзапроснаIdP,вданномслучаеADFS:HTTP/1.1 302 FoundLocation: https://win2012-dc.hulk.lab/adfs/ls/?SAMLRequest=<...>
Exp-E
ОбъектAPI/authorizeиспользуетсяклиентом дляинициирования аутентификациииполучениятокенаавторизации,которыйбудетиспользованприобращениик HTTP,XMPPи SIPсервисам
Expressway-C создаетSAMLзапрос иперенаправляет клиентак Identity
Provider (IdP)
Edge SSO – IdP аутен-ция, SAML Response
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 095
Jabberклиент
CollaborationСервисы
Exp-C
СUCM
Интернет
Exp-E
Внутренняясеть ВнешняясетьDMZ
8) Jabberклиентотправляет SAMLauth requestна IdP
9)JabberполучаетSAMLresponseс asssertion от IdP иURLдляперенаправлениянаExp-E:
200 OKРедирект на Exp-E ACS URL{SAMLResponse=JBR_ASSERT_1}
IdP
10) Jabberклиентотправляет SAML ResponseнаExp-EExp-CпроверяетSAMLResponseиизвлекает SAMLAssertion
Edge SSO – authorize_proxy
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 096
Jabber клиент
CollaborationСервисы
Exp-C
СUCM
Интернет
Внутренняясеть ВнешняясетьDMZ
11) EXPWY-Cвызывает authorize_proxy APIPOST https://ucxn:8443/ssosp/token/authorize_proxyContent-Type: application/x-www-form-urlencodedAuthorization: (AXL user/password)client_id=CLIENT-ID&response_type=token&Assertion=SAML-ASSERTION&realm=local
12) Successfulresponse200 OK{ access_token : abc123token_type : Bearer exprires_in : 3600000 }
Exp-E
Exp-Cиспользует/authorize_proxy APIзаменыAssertionнаToken
Exp-Cкэширует tokenдля пользователя суказаннымTTL
Edge SSO – /oauthcb
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 097
Jabberклиент
CollaborationСервисы
Exp-C
CUCM
Интернет
Внутренняясеть ВнешнаяясетьDMZ
Exp-E
• Exp-Cгенерируеттокен иперенаправляетклиента
• Клиентполучаеттокен
• Процессможетповторятьсядляразныхтиповсервисовснекоторымиизменениями –SIP,XMPP,HTTP,и.т.д.
13) Exp-C перенаправляетклиента на oauthcb интерфейс302 FoundLocation: https://exp-e1.connect2017.ru:8443/oauthcb
#access_token=OAUTH-TOKEN&token_type=Bearer&expires_in=3600000&sip_token=SIP-TOKEN&sip_expires_in=3600000
14) Клиентвызывает oauthcb APIGET https://xp-e1.connect2017.ru:8443/oauthcb#access_token=TOKEN
15) Клиентполучает200OK иjavascript<head>
<Title>AuthorizationComplete</Title><scriptlanguage="javascript">
document.write("AuthorizationComplete");</script>
</head><body></body>
Edge SSO – компоненты и версии
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 098
Компонент МинимальнаяВерсияCiscoExpresswayили CiscoVCS X8.5UnifiedCM 10.5(2)UnifiedCM IM&P 10.5(x)Unity Connection 10.5(x)JabberforWindows 10.6JabberforiPhoneandiPad 10.6JabberforMAC 10.6JabberforAndroid 10.6
SAMLSSOфункционалпротестированиподдерживаетсясоследующимиIdP:MicrosoftActiveDirectoryFederationServices(ADFS)version2.0OpenAccessManager(OpenAM)version11.0PingFederate version6.10.0.4F5BIP-IP11.6.0
Требованиякверсиям компонентов
Edge SSO – настройка
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 099
Шаг 1: ЗагружаемфайлсXMLmetadata с IdP (например ADFS2.0):https://hostname/federationmetadata/2007-06/federationmetadata.xml
Шаг 2: На Expressway-Cзагружаемфайлсmetadata:
- Configuration >UnifiedCommunications >IdentityProviders
- Послеимпортаидемв “Associatedomains”ивыбираемдомены, ассоциированныесданнымIdP
Edge SSO – настройка
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0100
Шаг 3: Экспортируем SAML data с Expressway-C- Configuration > Unified Communications > Export SAML data
Важно: SSH туннели к Expressway-E должны быть настроены и установлены перед экспортом SAML XML
Шаг 4: Загружаем SAML XML файл на IdP в Trust Relay
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0101
Fiddler toolFiddler используется для получения доступа к HTTPS сообщениям,
пересылаемым между Jabber клиентом, IdP и Expressway.https://www.telerik.com/download/fiddler
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0102
Fiddler toolРазрешим Fiddler-у доступ к https сообщениям: Tools -> Telerik Fiddler Options -> HTTPS
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0103
HTTPS SAML DecoderПосле захвана Https сообщений Fiddler-ом нужно декодировать SAML сообщения.Онлайн SAML декодер: https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php
SAMLRequest=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%2BPC9zYW1scDpBdXRoblJlcXVlc3Q%2B&SigAlg=http%3A%2F%2Fwww.w3.org%2F2001%2F04%2Fxmldsig-more…
После декодирования:<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="https://exp-e1.connect2017.ru:8443/Y29ubmVjdDIwMTcucnU/fedlet" Destination="https://win2012-dc.hulk.lab/adfs/ls/" ID="id-fedbec5d-b5fb-499f-9976-45a5c5c97461" IssueInstant="2017-03-25T08:59:39Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0"><saml:Issuerxmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">connect2017.ru--B1BF3E0A57A9E773</saml:Issuer></samlp:AuthnRequest>
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0104
HTTPS SAML DecoderПосле захвана Https сообщений Fiddler-ом нужно декодировать SAML сообщения.Онлайн SAML декодер: https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php
SAMLResponse=PHNhbWxwOlJlc3BvbnNlIElEPSJfY2JkZDNiMDYtMjZjMi00MTg3LWJkYjEtYjQ5ODk0Mzg4NTY4IiBWZXJzaW9uPSIyLjAiIElzc3VlSW5zdGFudD0iMjAxNy0wNC0wMlQwODo1OToyOC4zNTVaIiBEZXN0aW5hdGlvbj0iaHR0cHM6Ly9leHAtZTEuY29ubmVjdDIwMTcucnU6ODQ0My9ZMjl1Ym1WamRESXdNVGN1Y25VL2ZlZGxldCIgQ29uc2VudD0idXJuOm9hc2lzOm5hbWVzOnRjOlNBTUw6Mi4wOmNvbnNlbnQHVyZSB4bWxuczpkcz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC8wOS94bWxkc2lnIyI%2BPGRzOlNpZ25lZEluZm8%2BPGRzOkNhbm9uaWNhbGl6YXRpb25NZXRob2QgQWxnb3JpdGhtPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxLzEwL3htbC1leGMtYzE0biMiIC8%2B48ZHM6VHJhbnNmb3Jtcz48ZHM6VHJhbnNmb3JtIEFsZ29yaXRobT0iaHR0cDovL3d3dy53My5vcmcvMjAwMC8wOS94bWxkc2lnI2VudmVsb3BlZC1zaWduYXR1cmUiIC8%2BPGRzOlRyYW5zZm9ybSBBbGdvcml0aG09Imh0dHA6Ly93d3cudzMub3JnLzIwMDEvMTAveG1sLWV4Yy1jMTRuIyIgLz48L2RzOlRyYW5zZm9ybX…
После декодирования:<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"
/></samlp:Status><EncryptedAssertionxmlns="urn:oasis:names:tc:SAML:2.0:assertion"><xenc:EncryptedDataType="http://www.w3.org/2001/04/xmlenc#Element" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"><xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0105
Трейсы компонентовExpressway-C
CUCM/CUC/IM&P - ssosp логи:- из CUCM CLI на каждом сервере: set samltrace level DEBUG- скачать трейсы: file get activelog /tomcat/logs/ssosp/log4j/*.log
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0106
ADFS ошибка при логине Jabber клиента
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0107
ADFS ошибка при логине Jabber клиента
НедобавленRelayingPartyTrustдляExpressway-CcRelayingPartyIdentifierconnect2017.ru-B1BF3E0A57A9E773
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0108
Cant open page. Try again later.
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0109
Cant open page. Try again later.ИзлоговExpressway-C:
2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:Level="WARN"Event="Invalidrequest"Service="SSO"Detail="InvalidSAMLResponse"Local-ip="127.0.0.1"Local-port="22111"Reason="Nouid AttributeinAssertionfromIdP"Src-ip="127.0.0.1"Src-port="34426"UTCTime="2017-03-2513:58:58,277“
2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:UTCTime="2017-03-2513:58:58,275"Module="developer.edgeconfigprovisioning.server.sso"Level="WARN"CodeLocation="samlhelpers(821)"Service="SSO"Detail="NoInResponseTo attributeinAssertion“
2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:UTCTime="2017-03-2513:58:58,276"Module="developer.edgeconfigprovisioning.server.sso"Level="INFO"CodeLocation="samlhelpers(489)"Service="SSO"Detail="ResponsepassedsignatureverificationsoskippingAssertionsignaturecheck“
2017-03-25T16:58:58.273+03:00 exp-c1edgeconfigprovisioning:UTCTime="2017-03-2513:58:58,276"Module="developer.edgeconfigprovisioning.server.sso"Level="WARN"CodeLocation="samlhelpers(686)"Service="SSO"Detail="RequiredAuthnInstanceattributenotfound“
2017-04-02T16:58:58.273+03:00 exp-c1traffic_server[21890]:UTCTime="2017-04-0213:58:58,278"Module="network.http.trafficserver"Level="INFO":Detail="SendingResponse"Txn-id="317"Dst-ip="127.0.0.1"Dst-port="30370"Msg="HTTP/1.1403Forbidden“Msg="HTTP/1.1403HTTPMSG:|HTTP/1.1403ForbiddenTransfer-Encoding:chunked
Чегонехватаетнаэтотраз?
Edge SSO – устранение проблем
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0110
Cant open page. Try again later.
Диагностика компонентов
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0111
Диагностика Expressway-E
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0112
Диагностика Expressway-C
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0113
Диагностика Expressway
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0114
Событие, кодошибки
Диагностика Expressway
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0115
Поискповремени
Диагностика Expressway - алармы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0116
Диагностика Expressway – Diagnostic logs
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0117
Диагностика Expressway – Diagnostic logs
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0118
КакпосмотретьстатистикувызовавJabberдля Windows?
КакпосмотретьдиагностикуклиентавJabberдля Windows?
Диагностика Jabber клиента - Ctrl+Shift+D
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0119
Диагностика Jabber клиента - Edge Config
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0120
Проверка регистрации Jabber клиента
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0121
ExpresswayCотображаетсякакадресрегистрацииJabberклиента
Проверка регистрации Jabber клиента -если включен SIP Path Headers Support
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0122
Expressway X8.9
CUCM 11.5(1)SU2
Обеспечивает поддержку для:Shared line и Multiline на 78XX/88XX
В версии < 11.5(1)SU2:- CUCM отображает действительный адресJabber клиента
SIPPathHeader
Сниффер трейс – декодирование TLS
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0123
ПроверкаСертификата
Генерацияpre-masterсекрета
Вычислениеключей
ClientHello(ciphers,extensions,…)
ServerHello(ciphers,extensions,…)
Вычислениеключей
ServerHelloDone
Pre-mastersecret
ClientFinished
ServerFinished
Сниффер трейс – декодирование TLS
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0124
ВсеосновныесервисыиспользуютPerfectForwardSecrecy– PFS иприподдержкеDiffie-Hellman EphemeralсшифрамиDHE иECDHE передачаpre-mastersecretнетребуется,сторонывчисляютsharedsecretлокально
Декодирование TLS – отключение DHE
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0125
SIPTCP/5061
xConfiguration SIPTLSCipherSuite:"ALL:!DHE:!ECDHE:!EXP:!LOW:!MD5:!RC4:@STRENGTH:+ADH"
TrafficServer TCP/8443
vi/tandberg/trafficserver/etc/records.config
CONFIGproxy.config.ssl.TLSv1_1INT1 ->CONFIGproxy.config.ssl.TLSv1_1INT0CONFIGproxy.config.ssl.TLSv1_2INT1 ->CONFIGproxy.config.ssl.TLSv1_2INT0
CONFIGproxy.config.ssl.server.cipher_suite STRINGHIGH:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH
HIGH:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH->HIGH:!DHE:!ECDHE:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH
~#ps -ef |grep traffic|grep -vgrep_ats 87531011:53?00:00:32/trafficserver/bin/traffic_manager_ats 107648753911:58?00:58:11/trafficserver/bin/traffic_server -M--httpport 8443:fd=15:ssl
~#kill–HUP8753~#kill10764 НЕДОКУМЕНТИРОВАНО,НЕПОДДЕРЖИВАЕТСЯ!
SIP TCP/5061
TrafficServer TCP/8443
Конфигурациясервиса– статическая,SSL ciphers определенывкодеибытьизмененынемогут.
МожносниматьтрафиксExpressway-C (междуIM&Pи Exp-C попортуtcp/7400)
IM&PServer
Декодирование TLS – отключение DHE
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0126
XMPPTCP/5222
Expressway-E
XCPConnectionManager
XCPAuthService
XCPRouter XCPRouter
Expressway-C
XCPRouter TCP7400TCP7400
IMDB
Декодирование TLS – отключение DHE
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0127
Снифер трейс – медиа потоки
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0128
НачинаясверсииX8.8 ключишифрованиямедиавSDP скрыты
Exp-Ediagnosticlogs:
a=crypto:0AES_CM_128_HMAC_SHA1_80inline:.............................................a=crypto:1AES_CM_128_HMAC_SHA1_80inline:.............................................UNENCRYPTED_SRTCPa=crypto:2AES_CM_128_HMAC_SHA1_32inline:.............................................
…нопоявилсяпараметрвAdvancedSupportLogConfiguration
Exp-Ediagnosticlogs:
a=crypto:0AES_CM_128_HMAC_SHA1_80inline:6UD6dDp4WTh4yQML4/PhoqbEQzeHBL2TNdG9ggvU|2^48a=crypto:1AES_CM_128_HMAC_SHA1_80inline:6UD6dDp4WTh4yQML4/PhoqbEQzeHBL2TNdG9ggvU|2^48UNENCR..a=crypto:2AES_CM_128_HMAC_SHA1_32inline:V37wy8dLLG+2De1b+D7vhHvhOGfnBky55OLV7mfS|2^48
Оптимизация процесса подключения Jabber через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0129
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0130
• Обнаружениесервисов(ServiceDiscovery)DNSSRV_collab-edge._tls.connect2017.ru
• ПроверканаличияWebExдоменаhttps://loginp.webexconnect.com/cas/FederatedSSO?org=connect2017.ru
• ПроверканаличияSingleSign-Onhttps://exp-e/../[email protected]://exp-e/../get_edge_sso?username=user1
• Проверкасертификата– CertificateRevocationList(CRL)длялюбогоTLSсервиса(Webex,Exp-E)приналичиеCRLвсертификате
• Получениефайлакoнфигурации– jabber-config.xml
- Обнаружениесервисов(ServiceDiscovery)внешниеDNS доступныDNSSRVзаписинастроеныдлявсехExp-E
всеExpressway-E доступныпопортам:TCP/8443TCP/5222TCP/5061
Чтоозначаютэтицифры?
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0131
_collab-edge._tls.connect2017.ru86400INSRV 10 208443Exp-e1.connect2017.ru_collab-edge._tls.connect2017.ru86400INSRV10108443Exp-e2.connect2017.ru_collab-edge._tls.connect2017.ru86400INSRV 20108443Exp-e3.connect2017.ru
Приоритет Вес
• ПроверканаличияWebExдомена:https://loginp.webexconnect.com/cas/FederatedSSO?org=connect2017.ru
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0132
DNSзапрос
СоединениесWebExCloud
Проверкасертификата(ов)
• ПроверканаличияWebExдомена:
3вариантарешения:JabberforWindowsinstaller
JabberforMobile,JabberforMACconfigurationURL
Всеклиенты(приповторномподключении)jabber-config.xml
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0133
msiexec.exe/iCiscoJabberSetup.msiCLEAR=1EXCLUDED_SERVICES=WEBEX
ciscojabber://provision?ServiceDiscoveryExcludedServices=WEBEX
<?xml version="1.0" encoding="utf-8"?><config version="1.0">
<Policies><ServiceDiscoveryExcludedServices>WEBEX</ServiceDiscoveryExcludedServices>
</Policies></config>
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0134
• ПроверканаличияSingleSign-On
еслиSSOесть,то наExpressway-E:
еслиSSO нет,товjabber-config.xml:
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0135
• Проверкасертификата– CertificateRevocationList(CRL)длялюбогоTLSсервиса(Webex,Exp-E)приналичиеCRLвсертификате
- ЕслисертификатдляExpressway-EвыданPublicCA– ничегооптимизироватьнельзя,JabberбудетпытатьсяобратитькCRLDistributionPoint,указаннойвсертификате
- ЕслисертификатдляExpressway-EвыданВнутренней CA– убратьCRL изтемплейтасертификатадляExp-E наВнутреннейCA(потенциальнаяугрозабезопасности!)
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0136
• Получениефайлакoнфигурации– jabber-config.xml
Unbase64(www.base64decode.org/)connect2017.ru/https/10.62.150.183/6972
Unbase64(www.base64decode.org/)connect2017.ru/https/10.62.150.184/6972
Cisco Jabber – оптимизация процесса подключения через MRA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0137
• Получениефайлакoнфигурации– jabber-config.xml
Поместитеjabber-config.xml файлнавсеTFTP серверавкластере
ЕслиJabber клиентненайдетфайлнапервомCUCMсервере,онбудетпытатьсяскачатьегосовсехостальныхсерверов,внезависимостиестьлинанихTFTPсервис!
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 0138
Сообщество Технической поддержки Cisco
https://supportforums.cisco.com
http://russiansupportforum.cisco.com
email:[email protected]
Какойразделявляетсясамымпопулярнымнарусскоязычномфоруметех.поддержкиCisco?
#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia