Installation Cisco Unified Communications Manager mit … · 2018. 10. 24. · Installation Cisco Unified Communications-Cluster • Parallele Installation via Prime Collaboration

Institut für Beispielsysteme | Forschungsgruppe Systembeispiele

Titel der Präsentation: auf jeder Seite wiederholt

Installation Cisco Unified Communications Manager mit verschlüsseltem DFN SIP Trunk

69. DFN-Betriebstagung | Forum VoIP

Paul Freiberg | Universität zu Lübeck

24.09.2018 Mail/SIP/IM: [email protected] 1

IT-Service-Center | Netze und Kommunikationssysteme




24.09.2018 2


Agenda

• Projekt-Informationen

• Infrastruktur-Überblick

• Ablauf der Installation– Installation des UC-Clusters

– Konfiguration der CUBEs

– QoS

• Technische Hürden und bestehende Probleme– Anpassungen an die SIP Trunks

– FoIP

– Austausch der Zertifikate

– Inzwischen behobene und offene technische Probleme

Quelle: https://de.fotolia.com/tag/dosentelefon


https://de.fotolia.com/tag/dosentelefon



Historie

• Trennung Med. Universität zu Lübeck in Universität zu Lübeck (UzL) und Universitätsklinikum Schleswig-Holstein (UKSH) 2003

• Trennung Datennetz abgeschlossen 2010

• Beschluss Präsidium 2015: Trennung Telefonie

• Nur ein Jahr Zeit

– Neue UKSH-Telefonanlage & Rufnummernplan 07/2016

– UzL war in dem neuen UKSH-Konzept nicht mehr berücksichtigt

– Ca. 1000 UzL Telefone24.09.2018 Projekt Informationen 3





Umsetzung

• Deutsches Forschungsnetz (Dienst DFNFernsprechen)(Vorteile: Verschlüsselung, Georedundanz, geringe Gebühren usw.)

• Bundesnetzagentur: Rufnummernblock

• Telekom: Portierung, Schaltung

• Telefonanlage: Cisco Unified Communications Manager

• Telekom Acceptance Test

24.09.2018 Projekt Informationen 4





Organisatorisches

• Rufnummernplan erstellen (10.000 Rufnummer)

• Aufstellung neue Telefone: parallel zu vorhandenen

• Rückbau alte Telefone erst nach Abschluss der Installation

• Datenschutz und Personalrat einbinden

• Dienstvereinbarung Telefonie

• Anleitungen, FAQs, Schulungen

• Neue Rufnummern zeitnah bekannt machen:

Intranet, Webseiten, Signaturen, Visitenkarten, Dokumente, Briefköpfe

24.09.2018 Projekt Informationen 5





24.09.2018 Infrastruktur Überblick 6

IP-Telefon Provider

Internet / X-WIN (DFN-Netz)

DMZ / Öffentliches

Subnetz

Uni-WLAN

VoIP Subnetze

Client Subnetze

VoIP Server Subnetz

Festnetz/Mobilfunknetz

DFN/T-Systems SIP-Proxy

19.12.2017ITSC PF

Collaboration Konzept

Uni-Laptop

DFN/T-Systems VoIP-Plattform

(Auskopplung ins Festnetz)

Uni-Telefon

Uni-Smartphone

Uni-PC

Collaboration Konzept der Universität zu Lübeck

Unity Connection 1

Unity Connection 2

Unity Connection(Voicemail)

Telefonate über IP-Telefon Provider

Collaboration Datenverkehr mit externen Clients

Collaboration Datenverkehr mit internen Clients

CMSMaster(Video Bridge)

TMS(Scheduler)

Cisco Meeting Server

ISR2

ISR1

Voice Router Active/Passive

Uni- / private Geräte außerhalb

des Uni-Netzwerks

Uni-LaptopUni-

SmartphoneHome Office

Externe Audio-/Videoteilnehmer via URI

Uni Video Systeme

Expressway Cluster Edge

Expressway Cluster Core

IM/Presence 1

IM/Presence 2

IM/Presence/Jabber

CMM

(Call Routing/Registrierung der Telefone/CTI)

Publisher(Schreibzugriff auf Datenbank/Cluster Master)

Subscriber 1 Subscriber 2

Unified Communications Manager





Ablauf der Installation

24.09.2018 Ablauf der Installation 7





Installation Cisco Unified Communications-Cluster

• Parallele Installation via Prime Collaboration Deployment 10.5

• Viele viele Zertifikate installieren

• Konfiguration nach Admin Guides Malen nach Zahlen

• User Integration anfänglich über Prime Collaboration Provisioning 10.5, jedoch damals zu fehlerhaft

• Bis jetzt User Integration via LDAP Sync, Telefone vorab importiert und via Auto-Provisioning (IVR) provisioniert






Konfiguration der Cisco Unified Border Elements (CUBEs)

• Zertifikate installieren

• Routing an der Firewall vorbei

• HSRP HA Konfiguration

• Secured Audio Conference Bridge für Telefonie ( Mittlerweile abgelöst durch CMS)

• Secured Transcoder für Anbindung UKSH






Wichtige Parameter

• voice service voip ip address trusted list (Nur diese IPs dürfen Calls eingehend aufbauen)

• voice service voip sip asserted-id pai

• dial-peer voice x voip– session protocol sipv2

– session transport tcp tls

– srtp

– no vad






Uni Lübeck - Call Routing Extern

Dial-Peer 101

Dial-Peer 1

Telekom/Festnetz

Dial-Peer 2

Uni Lübeck Telefonie

Dial-Peer 3

UKSH Telefonie

Dial-Peer 103

Dial-Peer 102

UKSH Telefonanlage

Publisher

Subscriber1 Subscriber2

Frankfurt Hannover

voice class server-group 102 ipv4 x.x.x.101 port 5061 preference 1 ipv4 x.x.x.102 port 5061 preference 2

Dial-Peer 102:Corlist outgoing UNI-INDestination-pattern +494513101TSession server-group 102voice-class sip options-ping 60Voice-class sip profiles 102SIPS/SRTPG.722/G.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

Dial-Peer 1:Corlist incoming UNI-INIncoming called-number +494513101TSIPS/SRTPG.722/G.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

voice class uri uni sip host ipv4:x.x.x.101 host ipv4:x.x.x.102

Dial-Peer 2:Corlist incominging UNI-OUTincoming uri via uniVoice-class sip copy-list 2SIPS/SRTPG.722/G.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

voice class server-group 101 ipv4 141.39.219.8 port 5062 preference 1 ipv4 141.39.219.40 port 5062 preference 2

Dial-Peer 101:Corlist outgoing UNI-OUTDestination-pattern +TSession server-group 101 voice-class sip options-ping 60 voice-class sip profiles 101voice-class sip profiles 104 inboundSIPS/SRTPG.722/G.711ulawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

Dial-Peer 103:Corlist outgoing UNI-OUTDestination-pattern +49451500Tsession target ipv4:y.y.y.10:5060voice-class sip options-ping 60Voice-class sip profiles 103voice-class sip options-keepaliveSIP-TCP/RTPG.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

voice class uri uksh sip host ipv4:y.y.y.10

Dial-Peer 3:Corlist incoming UNI-INincoming uri via ukshSIP-TCP/RTPG.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

24.09.2018ITSC PF

Call Routing Extern

Dial-Peer 20

Test Cluster

Dial-Peer 120

VoIP Router

Publisher

Subscriber1 Subscriber2

voice class server-group 120 ipv4 z.z.z.101 port 5061 preference 1 ipv4 z.z.z.102 port 5061 preference 2

Dial-Peer 120:Corlist outgoing UNI-INDestination-pattern +49451310109[0-7]TSession server-group 120voice-class sip options-ping 60Voice-class sip profiles 102SIPS/SRTPG.722/G.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD

voice class uri testuni sip host ipv4:z.z.z.101 host ipv4:z.z.z.102

Dial-Peer 20:Corlist incominging UNI-OUTincoming uri via testuniVoice-class sip copy-list 2SIPS/SRTPG.722/G.711alawdtmf-relay rtp-nteip qos dscp cs3 signalingNo VAD






QoS

• Nötig für Außenstelle 1Gbit/s 10 Mbit/s

• 3 Klassen Policy– Priority – Voice Payload

– Critical Data (Remaining 20%) – Video Payload, SIP, SSH und SNMP aus Management Netz

– Best Effort – Rest






TraveCom 10Mbit Leitung

RV92Int G2/7

Auf 10Mbit Full Duplex gefixt

21.12.2017ITSC PF

QoS RV92 - IMGWF

Priority Queue: (PQ)

Traffic wird IMMER als erstes abgearbeitet, danach erst der Rest

Sharing: Traffic wird garantiert, hier 20% von dem Rest, der pro Tick übrig bleibt, wenn die PQ abgearbeitet wurde. Traffic kann mehr als den garantierten Taffic nutzen

Best Effort Queue:(BE)

Traffic wird wie gewöhnlich first in, first out. Kann freien Traffic anderer Queues nutzen

QoS RV92 – IMGWFFür die Sicherstellung der Sprachqualität

Priority Queue

Best Effort Queue – Restlicher Traffic

Sharing (Bandwidh remaining 20%) Sharing (Bandwidh remaining 20%)

Best Effort Queue – Restlicher Traffic

Priority Queue

IMGWFInt G2/1

Auf 10Mbit Full Duplex gefixt






QoS

• Nötig für Außenstelle 1Gbit/s 10 Mbit/s

• 3 Klassen Policy– Priority – Voice Payload

– Critical Data (Remaining 20%) – Video Payload, SIP, SSH, SNMP

– Best Efford – Rest

• Pakete werden markiert, wenn die Daten in das Netz gelangen

• Von den Telefonen, den UC Servern/Routern und auf der FW für bestimmte Management-Verbindungen








PublisherSubscriber 1 Subscriber 2

Unified Communications Manager Cluster

Uni Backbone(Trust Boundary)

Uni-Client

Uni-Client

ISR1/2ISRs setzen DSCP Werte

DSCP s eingehender Pakete werden auf 0

gesetzt, auf ausgehende Pakete wird kein Einfluss

genommen

Auf DSCP Werte wird kein Einfluss genommen

DSCP s eingehender Pakete werden nur

vertraut, wenn Telefon angeschlossen ist, auf

ausgehende Pakete wird kein Einfluss genommen

Server die Priorität benötigen

Firewall setzt DSCP Werte

Ausgehende Pakete werden hier markiert,

auf eingehende Pakete wird kein

Einfluss genommen

Critical Data – CS3

Cluster setzt DSCP Werte

QoS Trust Beziehungen

SRTP (Audio) – EF / SRTP (Video) – AF41 /

SIPS – CS3


SIPS – CS3


SIPS – CS3

19.09.2018ITSC PF

QoS Trust Beziehungen

Eingehende Pakete werden hier markiert,

auf ausgehende Pakete wird kein Einfluss

genommen




24.09.2018 Verschnaufpause 16


Quelle: https://digitales-wirtschaftswunder.de/tschuess-isdn-willkommen-all-ip/


https://digitales-wirtschaftswunder.de/tschuess-isdn-willkommen-all-ip/



Technische Hürden und bestehende Probleme






Anpassungen an den SIP Trunks –Unified Communications Manager

• SIP Normalization Script für ausgehende Messages

– Skript-Sprache: LUA

– Entfernen von m=application Headern

– Bei Weiterleitung nach Extern, P-Asserted-Identity durch weiterleitende Nummer ersetzen

– In der P-Asserted-Identity immer den Display Name entfernen• Empfehlung von Telekom DFN SBC Admin, mögliche Provider-übergreifende Probleme

24.09.2018 Technische Hürden und bestehende Probleme 18





Anpassungen an den SIP Trunks - CUBEs

• CUBEs passen ungewollt Messages an

– Passiert bei Umleitung nach Extern, FROM ^ CONTACT != PAI

• FROM ^ CONTACT werden der PAI gleich gesetzt

– Überschreiben der Attribute bevor sie den CUBE verlassen

• Copy-list auf vom UCM eingehenden Dial-Peer

– voice class sip-copylist 2

– sip-header From

– sip-header Contact

• Übertragen der Werte im ausgehenden Dial-Peer, ohne Display Name

– voice class sip-profiles 101

– request INVITE peer-header sip From copy "\+(.*)@" u01

– request INVITE peer-header sip Contact copy "\+(.*)@" u02

– request INVITE sip-header From modify "\+(.*)@" "+\u01@"

– request INVITE sip-header Contact modify "\+(.*)@" "+\u02@"






Anpassungen an den SIP Trunks - CUBEs

• Unterdrückte Rufnummer Anzeige

– „From“ immer: Unavailable@...

• voice class sip-profiles 102– request INVITE sip-header P-Asserted-Identity modify "" "\"Anonym\"

"

– Zusätzlich Translation Pattern auf UCM: Restrict Line ID Presentation

– Anzeige auf Telefon: “Anonym”






FoIP – Fax over IP

• Große Schwierigkeiten bis heute

• Nur Cisco ATA187 und -190, -VGs zu teuer und aufwendig, kein Fax Server

• T.38 nicht auf verschlüsseltem DFN Trunk unterstützt!

• ATA (UCM): Fax Pass-through

• CUBE: voice service voip fax protocol none

• Alle Fax-Geräte auf 9600 Bit/s, Error Correction Mode (ECM) deaktivieren



Quelle: https://stock.adobe.com/ee/search?k=fax&filters%5Bcontent_type%3Aphoto%5D=1&filters%5Bcontent_type%3Aillustration%5D=1&filters%5Bcontent_type%3Azip_vector%5D=1&filters%5Bcontent_type%3Avideo%5D=1&filters%5Bcontent_type%3Atemplate%5D=1&filters%5Bcontent_type%3A3d%5D=1&filters%5Binclude_stock_enterprise%5D=0&filters%5Bis_editorial%5D=0&safe_search=1&ca=0&similar_content_id=128954295&load_type=find_similar


https://stock.adobe.com/ee/search?k=fax&filters[content_type:photo]=1&filters[content_type:illustration]=1&filters[content_type:zip_vector]=1&filters[content_type:video]=1&filters[content_type:template]=1&filters[content_type:3d]=1&filters[include_stock_enterprise]=0&filters[is_editorial]=0&safe_search=1&ca=0&similar_content_id=128954295&load_type=find_similar



FoIP

• ATA187 läuft vermeintlich gut, jedoch „out of everything“

• ATA190 Tickets bei Cisco offen, einige seit 1 ½ Jahren Viele Arbeitsstunden

– Nach langem Probieren ca. 95% nach Extern erfolgreich

• Impedance 270+750||150nF (Danke Michael Ladage, Uni Bielefeld)

• Echo Cancellation – Disabled

• Modem Line – On

– Internes Fax-Bild sehr schlecht: CSCvd75670, CSCvg07718, CSCvh27628

– De- und Reregistrierung alle 28 Minuten: CSCvi29663

– Seit Dezember 2017 ES mit gutem, stabilen Fax-Bild, leider Freeze bei Calls (OpenSSL): CSCvi91009

– Seit 27.07.18 Fix für alle Probleme, bis jetzt fehlerfrei (cmterm-ata190.1-2-2-003_ES_10.k3.cop.sgn)

• ATA191 ähnliche Probleme, werden nun nach -190 gefixt






FoIP-Secure Transcoder-Anbindung UKSH

• Mit der erfolgreichen Anbindung vom UKSH kein Fax mehr von und nach Extern möglich

• Bei jedem Fax Call, Transcoder Aktiv, SRTP/G.711A-LAW SRTP/G.711A-LAW

• Workaround:

– Calls zum UKSH nur G.711A-LAW, Calls nach Extern nur G.722 und G.711U-LAW

– Transcoder nur auf G.711A-LAW Calls konfiguriert

• Cisco hat Fehler nach langer Zeit gefunden!

– Im Fax SIP Re-Invite fehlte DTMF Header

– voice service voip sip sip-profiles inbound

– voice class sip-profiles 104

• request REINVITE sdp-header Audio-Media modify "RTP/SAVP .*" " RTP/SAVP 9 8 0 101"

• request REINVITE sdp-header Audio-Attribute add "a=rtpmap:101 telephone-event/8000"






Austausch der Zertifikate

• Ablauf der DFN-Zertifikate nach 2 Jahren, Austausch nach etwas mehr als 1 ½ Jahren

• 4096 Bit: tomcat, cup, cup-xmpp

• 2048 Bit: callmanger (Um ältere Telefone zu unterstützen), ISR-Router

• Austausch von ISR-Router-, cup-, cup-xmpp- und tomcat auf Unity Connection unproblematisch

• 88xx (v12-1-1SR1-4) konnten nicht mehr auf CUCM Web-Dienste zugreifen (Directory, IPMA)

– CUCM tomcat Zertifikat hat nun nur 2048 Bit… CSCus75215

• 69xx und die ATAs konnten sich nicht mehr registrieren

– CTL Recovery Procedure konnte für 69xx und ATA187 Abhilfe bringen

– Neues signiertes CallManager Zertifikat zu groß für ATA190 Ausfall für mehrere Tage von analogen Geräten ATA187 wurden notgedrungen beschafft

24.09.2018 Austausch der Zertifikate 24





Inzwischen behobene technische Probleme

• Keine ATAs ließ sich secure registrieren mit offizieller Firmware– Sowohl für die ATA187 als auch für die ATA190 benötigten wir ein ES

• ATAs ließen sich ab der 11.5 nicht secure registrieren– TFTP Fehler, Behoben in der 11.5(1)SU3

– Workaround: Phone Security Profile TFTP Encrypted Config deaktivieren

• ATA190 ließ sich nach neuem CallManager Zertifikat nicht mehr registrieren– DFN-PKI 2. Gen, VoIP Server Profile für CallManager Dienst

– CallManager Zertifikat mit Extensions zu groß für ATA190

– cmterm-ata190.1-2-2-003_ES_08.k3.cop.sgn behebt den Fehler






Inzwischen behobene technische Probleme

• One-way Audio ab 88xx 10.3 bei Hold/Resume, Hold/Transfer mit Externen– Security Libery Update - Unzulässig, Seq. Number der RTP Pakete auf 0 zu setzen, bei Hold/Resume, Hold/Transfer

– One-way Audio wieder Two-way, wenn RTP Stream wieder alte Seq. Number erreichte

– Telekom setzt Synchronisation Source (SSRC) nun gleichzeitig mit zurück, RFC-konform

• IPMA – nur aktiver Assistent und primäres Manager Phone klingeln– Nur in 11.5(1)SU2, 11.5(1)SU3 behebt den Fehler

• Jabber 4 iPhone iOSv11 APNs PUSH-Nachrichten funktionieren nicht– Wenn MRA OAuth Konfiguration muss auf Expressway und UCM übereinstimmen (Ab x8.10 wird OAuth aktiviert!)

• PickUp Groups funktionieren vereinzelt nicht– User mit Jabber 4 iPhone und damit mit APNS Dienst sorgen für Memory Leak 11.5(1)SU4 fixt das Problem






Offene technische Probleme

• One-way Audio bei SIP Refresh

– Problem von Beginn an

– Unzählige Traces nach Geschäftszeit mit Cisco und Telekom

– Fehler wurde zuletzt beim DFN SBC (Oracle) vermutet

– Nach SBC Update weiterhin Probleme mit Cisco 6901

– Workaround: Session Expires/Min-SE: 28800 (Sekunden) Fehler frühestens nach 4 Stunden







• DTMF Schwierigkeiten– Inband (RFC-2833/4733) funktioniert gut, Debug auf CUBE schwierig

– CUBE: Inband SIP KPML (Out of band - oob) bringt nur Murks

– DFN SBC unterstützt Inband (RFC-2833/4733) und SIP-INFO (oob) gleichzeitig

• Probleme bei Cisco Conference Now Unterstützt nur oob Teilweise zu langsame Übertragung der Eingaben

• SIP-INFOs jedoch selten mit sehr hoher Duration

• Ausgehende Messages mit Duration Versatz

• Duration lässt sich nicht mit SIP-Profile ändern, Kein SIP-Header, SIP Payload

• Alternative: Cisco Meeting Server







• Hunt Group Forward Bug, wenn Queuing und Jabber Mobile involviert: CSCva18879– ITSC Hotline Umstellung von Shared Line auf Hunt Group

– ITSC‘ler haben fast alle ein Jabber 4 Android/iPhone

– Bei Weiterleitung oder Queuing gelangt der Anrufer in Queue, verweilt dort einige Zeit ohne Ansage, bis diese doch beginnt. Am Ende beginnt der Prozess erneut.

– Jeder ITSC‘ler hat nun eine zusätzliche System Hotline-Rufnummer, die stattdessen in der Line Group ist, auf seinem Telefon und Jabber Desktop

• Externe können nicht in Hunt Group Queue– Annunciator beherrscht keine Verschlüsselung

– ISR Transcoder transcodiert nicht wie er soll in v15.6(3)M4 und transcodiert alle Calls kaputt in v15.7(3)M3

– Zweiter Hunt Pilot in anderer Partition, nur von Extern erreichbar, ohne Queuing, bis Bug gefixt…24.09.2018 Technische Hürden und bestehende Probleme 29





Erkenntnis

24.09.2018 Erkenntnis 30


• Mit Verschlüsselung weit mehr Probleme

• Neue Standards und Features Neue Probleme

• Scheinbar sind wir die einzigen, die die zum Provider verschlüsseln

• Arbeit bis zur vermeintlichen Rente!




Vielen Dank für die Aufmerksamkeit!

Fragen?Paul Freiberg

Mail/SIP/XMPP/Webex: [email protected]

https://itsc.uni-luebeck.de

24.09.2018 Kontakt 31


mailto:[email protected]://itsc.uni-luebeck.de/

Documents

Installation Cisco Unified Communications Manager mit … · 2018. 10. 24. · Installation Cisco Unified Communications-Cluster • Parallele Installation via Prime Collaboration