CUCM集群加密流程

CUCM集群加密流程
CUCM 集群
●172.16.3.101
协作终端
●CP8945
CP7861
配置实例：
完成服务器初始化配置，并正常注册协作终端
1.使⽤CTLClient 访问CUCM 集群，选择“Turn on security mode ”选项，开启集群加密。

2.⾸先将服务器集群设置为混合模式“Mixed Mode ”
3.4.2.1.CUCM 集群加密-混合模式
2015年5⽉7⽇15:36
4.
按照要求，⾸先插⼊第⼀个USB Token，等待驱动安装完毕后，点击“确定”
完成第⼀个USB Token添加操作
5.
6.
由于加密集群⾄少需要2个Token，因此点击“Add Tokens”
7.
移除第⼀个Token，插⼊第⼆个Token
8.
与先前的操作相同，继续加密流程
9.
点击“Finish”，完成集群加密操作
10.
输⼊Token密码，完成加密验证，默认密码为Cisco123
11.
完成操作后，重启相关服务器的CAPF、CTL Provider和TFTP服务，对于⾮⽣产环境，可以直接进⾏重启
完成上述操作后，在Enterprise Parameter页⾯，可以看到集群加密状态Cluster Security 12.
Mode为1
完成集群加密-混合模式后，运⾏CTL Client ，对证书进⾏更新
1.注：可能需要重启Callmanager 服务，这会导致所有的协作终端重置
点击Finish ，开始CTL 证书更新操作
2.4.2.2.CUCM 集群加密-CTL 证书更新
2016年9⽉18⽇10:50
3.
输⼊正确的Token密码后，等待证书更新完成
根据提⽰重启Callmanager服务和TFTP服务4.
注：已经建⽴的通话不会发⽣终端，在78XX系列话机，会出现“与服务器的连接丢失，但是已经激活的通话不会发⽣中断”提⽰，在话机上，也会出现“In Preservation Mode”字样。

完成集群加密-混合模式操作
1.完成集群加密-CTL 证书更新操作
2.在System-Phone Security Profiles页⾯创建⽤于话机加密的配置⽂件
3.注：以CP8945
为例
4.2.3.CUCM 集群加密-终端加密
2016年9⽉18⽇11:11
名词解释：
Non Secure -unencrypted signaling and unencrypted media (voice / RTP / Real Time Protocol) Authenticated -encrypted signaling and unencrypted media
Encrypted -encrypted signaling and encrypted media
通过批处理⽅式，更改话机页⾯如下配置：
4.重启对应的话机终端，检查话机是否已经加密
5.Security Mode ：Encrypted
○LSC ：Installed
○CTL File ：可以看到服务器证书信息
○ITL File ：可以看到服务器证书信息
○Configuration ：Signed
○注：在话机Administrator Settings 也页⾯可以看到如下信息
终端与服务器之间的信令交互加密
○终端通信RTP 流加密，通话状态右上⾓出现⼀个“黄锁”
○通过Wireshark 抓包⽆法正常识别VoIP 的所有流程
注：通过WireShark 抓包分析
配置实例：
CUCM 节点：172.16.3.101
完成H.323语⾳⽹关与CUCM 之间的H.323集成步骤
1.在CUCM OS 页⾯，进⼊Security-IPSEC Configuration ，配置CUCM 端IPSec 相关参数
2.保存该IPSec 策略，并且在确认⽆误后，勾选“Enable Policy ”使能。

3.在思科语⾳⽹关上完成如下配置：
4.crypto isakmp policy 288
//定义策略编号为288的策略
encr 3des
//根据CUCM 端Encryption Algorathm 字段填写对应的加密算法
hash md5
//根据CUCM 端Hash Algorithm 字段填写对应的哈希算法
authentication pre-share
//根据CUCM 端Authentication Method 字段填写对应的认证⼿段
group 2
lifetime 3600
//根据CUCM 端Phase DH Group 字段填写
crypto isakmp key cisco123 address 172.16.3.101
//根据CUCM 端Preshared Key 字段填写对应的密码和CUCM 节点
access-list 130permit ip host 172.16.2.254 host 172.16.3.101
H.323语⾳⽹关节点：172.16.2.254
4.2.4.CUCM 集群加密-IPSec
2016年9⽉18⽇13:46
//定义CUCM与语⾳⽹关之间的Access-List
crypto ipsec transform-set ECEPCUCM10 esp-3des esp-md5-hmac //根据CUCM端字段填写对应的模式mode transport
crypto map ECEPCUCM10 1 ipsec-isakmp
//根据上⽂定义的信息，完成crypto map参数设定
set peer 172.16.3.101
set transform-set ECEPCUCM10
match address 130
interface GigabitEthernet1
//在H.323源接⼝关联crypto map
ip address 172.16.2.254 255.255.0.0
negotiation auto
crypto map ECEPCUCM10
h323-gateway voip interface
h323-gateway voip bind srcaddr 172.16.2.254
5.
在思科语⾳⽹关上验证IPSec连通
show crypto isakmp sa
show crypto ipsec sa
配置实例：
CUCM1:172.16.3.101
CUCM2:172.16.3.103
H.323语⾳⽹关：172.16.2.254
CIPC 终端：172.16.1.101
CP8945终端：172.16.8.104
H.323语⾳⽹关与CUCM1之间通过IPSec 互联，并且使能了SRTP 完成并验证CUCM 与语⾳⽹关之间的IPSec 配置
1.在CUCM 的语⾳⽹关配置页⾯，勾选SRTP 选项
2.完成该操作后，Reset 语⾳⽹关⽣效
3.172.16.8.104终端与语⾳⽹关之间的RTP 流全部加密
○172.16.1.101终端与语⾳⽹关之间的RTP 流未加密，可以看到编码等信息
○通过Wireshark 抓包分析可以看到：
4.建议配置：
5.voice service voip
srtp fallback
//Allow Secure calls fallback to non secure
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
配置步骤：
4.2.
5.CUCM 集群加密-SRTP
2016年9⽉18⽇9:11。