• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

3Com IPM 9.5模块 典型配置案例-6W100

03-IPM安全配置

本章节下载 03-IPM安全配置  (226.8 KB)

docurl=/cn/Service/Document_Software/Document_Center/Other_Product/IP_Voice/VCX_7000/VCX_MIM/Configure/Typical_Configuration_Example/3Com_IPM_9.5-6W100/201005/676519_30005_0.htm

03-IPM安全配置

IPM安全配置举例

关键词:安全模式(Security Mode)、传输协议(Transport Protocol

摘  要:

在以VCX为服务器、IP phone做终端的组网环境中,使用SIP协议交互信令,RTP交互媒体流。由于此两种协议均基于UDP,用户的安全性难以得到保证。TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPSRFC3711提出了一种对媒体流进行加密的方法,即通过对RTP负载的加密,成为SRTP流在通话者之间交互,达到安全通话的目的。在VCX上使用TLSSIP信令加密,使用SRTP对媒体加密从而保护语音链路安全。

 

缩略语:

缩略语

英文全名

中文解释

TLS

Transport Layer Security

传输层安全

SRTP

Secure Real-time Transport Protocol

安全的实时传输协议

VCX

Voice Core exchange

语音核心交换系统

 



1 特性简介

在以VCX为服务器、IP phone做终端的组网环境中,使用SIP协议交互信令,RTP交互媒体流。由于此两种协议均基于UDP,用户的安全性难以得到保证。TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPSRFC3711提出了一种对媒体流进行加密的方法,即通过对RTP负载的加密,成为SRTP流在通话者之间交互,达到安全通话的目的。在VCX上使用TLSSIP信令加密,使用SRTP对媒体加密从而保护语音链路安全。

安全呼叫:SIP信令用TLS进行封装,RTP媒体流用SRTP进行封装。

非安全呼叫:不在安全呼叫定义中的呼叫均为非安全呼叫。

2 应用场合

用户对安全性要求比较高的时候就会使用到安全特性。

3 IPM安全配置举例

3.1  组网需求

单机组网

3.2  配置思路

1、配置IPM端为Full&TLS

2、注册一个phone profile为Full&TLS的话机

3、配置IPT到IPM的路由

4、增加可信节点

3.3  使用版本

本举例是在VCX9.5.10版本上进行配置和验证的。

3.4  配置步骤

3.4.1  IPM安全性的配置

(1)        以管理员身份登录IPM网页,点击“配置”页面的“安全”页签进入如下的页面

 

(2)        在安全模式的下拉框中选择“FULL”,传输协议的下拉框会自动变为“TLS”

此时点击“应用”按钮后,IPM会重启以使得配置生效。

 

l    若组网环境为主备服务器,需要在主服务器和备服务器上设置相同的安全配置

l    安全模式的可选类型为:Full,MIXED,NONE。其中FULL对应的传输协议只能是TLS。NONE对应的传输协议为UDP或TCP。MIXED的传输协议为UDP、TCP或TLS。

 

3.4.2  注册一个phone profile为Full&TLS的话机

(1)        以Admin用户登录IPT网页,点击“用户-->电话机-->电话机档案”,添加一个新的电话机档案。其中安全模式和传输协议的选择如下:

(2)        创建一个新的分机号 1000,使用此话机档案,并将话机指定给一个已有的用户。然后将话机注册。

电话机的注册请查看《话机注册register配置举例.doc》

 

3.4.3  配置IPT到IPM的路由

(1)        以Admin用户进入到IPT页面,点击“站点名称”进入到中央管理器页面。然后点击“目录--->转接方案向导”。在页面下方的“添加转接方案”部分,写入必选项:例如分别输入“ipm”和“5*”。

 

5*表示话机拨打5开头的号码时,将按此路由寻址。

 

(2)        点击“添加”之后,名称为ipm的转接方案被添加上,此时选中左侧的单选框,同时点击“下一个”对此转接方案进行编辑。

 

(3)        在必选处填入相应的内容,注意:端口号处写入5061,协议处选择“TLS”

 

终点接受呼叫时使用的端口号,默认为5060。对应的协议为UDP。对于两个网口的服务器当协议为UDP时,端口号需设置为5060;当协议选择为:TCP或TLS时,端口号需设置为5061。对于单网口的服务器当协议选择为UDP时,端口号应设置为5065;当协议选择为:TCP或TLS时,端口号需设置为5066。

协议:到达终端使用的协议类型,有TLS、UDP和TCP三种类型。

关于其中各个字段的介绍及添加路由的其他方式,请参考《呼叫路由配置举例》。

 

(4)        编辑完成后,点击“添加”,在现有框中选择新添加的终点ipm,单击中间的按钮,将终点添加到选择框中

 

(5)        单击“下一个”按钮进入应用转接方案页面。

 

(6)        点击“应用”,完成配置。

3.4.4  添加可信节点

(1)        单击“目录-->转接方案”,然后点击“信任终点”页签。

 

IPM作为默认的信任终点显示在页面上,此时点击“IP地址”可编辑信任终点。勾选页面的“使能安全检查”复选框

 

勾选“使能安全检查”复选框表示可信节点必须满足安全要求,即信令TLS,媒体SRTP,否则呼叫失败;不勾选安全检查,则不对信令和媒体类型做任何限制。

3.5  验证结果

此时话机1000拨打5000,可正常进入语音邮箱。用抓包工具抓包时,不能抓到此流程的报文。

 

 

 

4 相关资料

《ip 消息系统配置手册.pdf》

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2009 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们