Upload
doannhu
View
227
Download
2
Embed Size (px)
Citation preview
Ein Erfahrungsbericht:Unified Communications Dienste über Cisco Expressway an der HRW
Hochschule Ruhr West
• Standorte• Mülheim an der Ruhr• Bottrop
• Schwerpunkte• MINT - Fächer• Wirtschaft
03.03.2016 2
Über uns …
• Ossama El AbbadiDezernat III / IT Service
• Sidi Mohamed IdrissiUC Consultant
Axians Networks & Solutions GmbH
Agenda
• Wofür wird es aktuell genutzt?
• Wie haben wir es umgesetzt?• Was haben wir noch vor?
Wofür wird es aktuell genutzt?
• Externer Zugriff auf die UC Dienste (Mobile Remote Access)
• Videokommunikation nach Extern (B2B Video)• Kurznachrichtendienst nach Extern (XMPP
Federation)
Mobile Remote Access
VPN Zugriff auf UC Dienste von Extern:
• Um auf interne Dienste zuzugreifen ist VPN notwendig Zweiter Client/Zusätzliche Lizenzen.
• Policies für die Clientauthentifizierung. • Zusätzliche Administration, Wartungsaufwand
und Dokumentation.
• Aber mehr Kontrolle aus Netzwerk- bzw. Firewallsicht
Mobile Remote Access
Zugriff ohne VPN auf die UC Dienste
• Zugriff ausschließlich auf UC Dienste über TLS.• Ein einziger Client (Jabber) für die UC Dienste.• Zentrale Administration am UCM.• Klare Schnittstellen zwischen UC und anderen
Abteilungen. ADD, MOVES & CHANGES, Troubleshooting etc.
Mobile Remote Access
Cisco Jabber for Android
LAN Internet
ExpresswayE (Edge)
Internet
DMZ
ExpresswayC (Core)
Cisco Jabber for Windows/Mac
Cisco Jabber for iPhone / iPad
Unified CM
UC Client: Jabber Windows, Jabber Mac, Jabber Mobile
Internet
Mobile Remote Access
LAN LAN
Internet
DMZInstant Messaging und Presence
Audio- und Video-Anrufe
Suche imUnternehmens-Verzeichnis
ExpresswayE (Edge)
ExpresswayC (Core)
Desktopfreigabe(BFCP)
Zugriff auf Visual Voicemail
Unified CM
UC Dienste: Audio/Video-Anrufe, BFCP, IM&P, UDS, Voicemail.
Internet
Mobile Remote Access
Protocol Security Service
SIP TLS Session Establishment –Register, Invite, etc. via UCM
Media SRTP Audio, Video, Content Share, Advanced Control (RTP/SRTP, BFCP, iX)
HTTPS TLS Logon, Provisioning/Configuration,Contact Search, Visual Voicemail
XMPP TLS Instant Messaging, Presence, Federation
LAN Internet
Unified CM
Internet
DMZ
ExpresswayE (Edge)
ExpresswayC (Core)
Verwendete Protokolle: TLS, SRTP, HTTPS
Internet
B2B Video
Nutzung der Email-Adresse als Video-Adresse (URI) für die Kommunikation mit anderen externen Organisationen
• Video-Kommunikation per SIP oder H323 nach Extern• Video-Erreichbarkeit von Extern über Uniform Ressource
Identifier (URI)• Zentrale Administration und SIP Routing am UCM.• BFCP Desktopsharing nach Extern• Einladung externer Teilnehmer zu Video-Konferenzen• Zentraler Zugriff auf den DFN-MCU Dienst
B2B Video
LAN Internet
Unified CM
Internet
DMZ
ExpresswayE (Edge)
ExpresswayC (Core)
Internet
SIPH.323
andereOrganisationen
URI: [email protected]
TS for ad hoc, rendezvous
Conductor
Telepresence Server
XMPP Federation
• Nutzung der Email-Adresse als Chat-Adresse mit Externen
• Möglichkeit externe Kontakte in den Jabber Client hinzufügen
• Austausch von Chats und Präsenz-Information mit anderen Organisationen
Wie haben wir es umgesetzt ?
MRA: Mobile Remote Access
MRA: DNS
• Domain Names für alle UC Server • Interner SRV:
_cisco-uds._tcp.domain.com• Externer SRV für Service Discovery:
_collab-edge._tls.domain.com
MRA: UCM
• Alle Server auf fqdn umändern• UC Services für die UC Profiles in fqdn
z.B. IM&P
• Einspielen von CA-Zertifikaten für Tomcat und XMPP• AXL-User für die Expressway-Anbindung
MRA: Expressway
• Erstellung einer UC Traversal Zoneauf dem Exp-C und E:
• Eintragen der CM, IM&P und UnityConnection Nodes auf dem Expressway-C
• Alle benötigten Domains eintragen:
• MRA Expressway Deployment Guide
MRA: Expressway-C/E
• Status-Überprüfung bei Problemen
MRA: Expressway / Sicherheitshinweis
• Aktivierung der „Automated detection“
Zertifikate: UCM
• Upload der CA-Root Zertifikate insTomcat-Trust
• Generieren von CSR für Tomcat
Zertifikate: UCM
• Falls die Zertifikatsinformationen im UCM nicht richtig sind, kann dies nachträglich geändert werden:
• Beantragen der Web Server Zertifikate
• Dieselbe Prozedur bei CUP-XMPP und CUP-XMPP-Trust
Zertifikate: Expressway
• Einspielen der CA-Root-Zertifikate
• Generieren der CSRs und Zertifikatefür Expressway-C und E
• Nutzung des DFN-CA-Zertifikatsprofils:Voip Server
• Beim Expressway-E Zertifikat unter SAN: interne und externe Domains eintragen
B2B Video
B2B Video: UCM• DNS-Namen und SRV-Records• LDAP-Synchronisation der Directory URI (mail)
• Anpassung der UCM Enterprise-Parameter
B2B Video: UCM
• Erweiterung der SIP-Profiles der Telefone und anderen Devices um SIP fqdn und SDP Informationen
• Konfiguration von SIP Route Pattern für URI-Dailing
B2B Video: UCM / Expressway
• Konfiguration SIP Trunk zum Expressway-C• Erstellung einer Traversal-Zone auf dem Exp-C / E• Erstellung von Search Rules und Transformations• Erstellung einer DNS-Zone auf dem Exp-E
• Deployment Guide: SIP Trunk / Deployment Guide Expressway
B2B Video: Sicherheitshinweis
• Auf dem UCM-SIP-Trunk zum Expressway-C darf nur intern angerufen werden. (Vermeidung von Toll Fraud)
• Auf dem Expressway-E sollten Call Policy Rules eingerichtet werden, um Spam-Anrufe und unautorisierten Zugriff zu blocken:
XMPP Federation
XMPP Federation: Expressway-E
• Aktivierung der XMPP-Federation auf dem Exp-E
• Wenn benötigt eine Allow oder Deny-List einführen
Einschränkungen
Tischtelefone 8945
• Die 8945 Telefone können kein URI-Dialing• Rückruf auf einen eingehenden SIP-Call über
Expressway nur über Jabber möglich
• Kein Mobile Remote Access Support• 78xx & 88xx
Expressway-Dienst
• MRA bzw. IMP-Dienst von extern kann nicht auf bestimmte Benutzern eingeschränkt werden.
• Wenn der Benutzer intern den Jabber Client nutzt, kann er auch von extern auf den IM&P-Dienst zugreifen (z.B. von einem privaten Smartphone)
• Chatverläufe werden nicht mit allen Clients synchronisiert.
Was haben wir noch vor?
User Adoption
• Mehr Key User Schulungen um unseren Benutzern die Technologie näher zu bringen
• Jabber Desktop und Mobile• Videokonferenzen mit anderen Hochschulen und
Universitäten, um die Zusammenarbeit zu fördern
Einführung von SSO
• SAML SSO wird mittlerweile auch vom Expressway unterstützt.
Anhang
• Link zu den Manuels und Deployment Guides:http://www.cisco.com/c/en/us/support/unified-communications/expressway-series/products-installation-and-configuration-guides-list.html• Interessante Sessions zum Thema Expressway auf
ciscolive.com :