登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

3Com IPT 9.5模块 典型配置案例-6W100

目录

19-安全呼叫配置案例

本章节下载 19-安全呼叫配置案例  (388.16 KB)

docurl=/cn/Service/Document_Software/Document_Center/Other_Product/IP_Voice/VCX_7000/VCX_MIM/Configure/Typical_Configuration_Example/3Com_IPT_9.5-6W100/201005/676622_30005_0.htm

19-安全呼叫配置案例

安全呼叫配置举例

关键词: TLS/SRTPMIXEDFULL、安全呼叫

摘  要: TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPSRFC3711提出了一种对媒体流进行加密的方法,即通过对RTP负载的加密,成为SRTP流在通话者之间交互,达到安全通话的目的。本文主要介绍如何配置VCX进行安全呼叫。

缩略语:

缩略语

英文全名

中文解释

TLS

Transport Layer Security

传输层安全

SRTP

Secure Real-time Transport Protocol

安全的实时传输协议

VCX

Voice Core exchange

语音核心交换系统

 

目  录

1 特性简介

2 应用场合

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.4.1 添加安全的Phone Profile

3.4.2 使用支持安全的设备注册到VCX服务器上。

3.4.3 可信节点配置

4 相关资料

 

1 特性简介

TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPS。

本项目即在VCX上使用TLS对SIP信令加密,使用SRTP对媒体加密,保护语音链路安全。

用户可以通过Phone Profile、可信节点来指定终端的安全类型。并且VCX服务器中IPT组件根据用户配置的Phone Profile、可信节点的安全模式对用户呼叫、注册进行安全检查,保护用户通话。

2 应用场合

在以VCX为服务器、IP phone做终端、奥科或MSR设备做终端的组网环境中,使用SIP协议交互信令,RTP交互媒体流。由于此两种协议均基于UDP,用户的安全性难以得到保证。

为了实现安全的通话,使用TLS/SRTP来实现加密的呼叫。

3 配置举例

3.1  组网需求

无,单机即可

3.2  配置思路

(1)        添加安全的Phone Profile或可信节点

(2)        使用支持安全特性的IP话机或者其他设备注册到VCX服务器上

(3)        进行呼叫

3.3  使用版本

本举例是在VCX9.5.10版本上进行配置和验证的。

3.4  配置步骤

3.4.1  添加安全的Phone Profile

(1)        Admin登陆VCX中央管理器,进入以下目录:用户>电话机>电话机档案,点击“添加电话机配置文件”按钮,输入电话机配置文件的名称。在下方选择安全模式为Full,传输协议自动设为TLS。

 

如果选择安全模式为MIXED,则传输协议可以选择:TCP、UDP、TLS三种。要进行安全的呼叫请选择TLS协议。

 

(2)        配置完毕后,保存

(3)        把要进行安全呼叫的话机使用该Phone Profile

如果安全模式选择FULL,则要求通信设备必须支持SRTP

 

3.4.2  使用支持安全的设备注册到VCX服务器上。

1.  3com话机不用进行配置,直接注册即可

2. 使用AudioCode进行注册。

(1)        进入AudioCode的以下路径:Protocol Configuration > Protocol Definition > SIP General Parameters ,配置以下两个参数,并提交。

SIP Transportation Type:TLS

SIP Destination Port:5061

 

(2)        进入以下路径:Protocol Configuration > Protocol Definition > Proxy & Registration

配置注册服务器的地址

Registrar Transport Type为TLS

配置完毕后提交修改。

 

(3)        进入以下目录:Media Settings > Media Security

配置以下参数:Media Security—enable、Media Security Behavior—Mandatory

该配置设置通话时使用SRTP,用于安全模式为FULL的情况。

 

(4)        其他配置按照AudioCode的普通配置,就可以注册VCX上使用安全Phone Profile的话机号码:9006。如图7所示:

 

(5)        按照以上步骤再注册一个AudioCode,如图8所示:9007

 

(6)        9006呼叫9007,用抓包工具抓不到报文。

3. 使用MSR注册到VCX进行呼叫

(1)        安装CA服务器——安装RSA keon

获取RSA Keon安装包,执行安装目录下的setup.exe文件,进入RSA CA服务器安装向导,选择默认配置进行安装。

详细安装步骤请参考《语音SIP支持TLS传输相关配置指导书

(2)        telnet登陆MSR,申请证书

l              配置KPI实体,一个证书必须要有一个实体与之对应,实体描述了证书的身份信息。CA根据证书的身份信息来标示一个申请者。

 

<H3C>system-view

System View: return to User View with Ctrl+Z.

[H3C]pki entity h3c_b

[H3C-pki-entity-h3c_b] common-name h3c_b

[H3C-pki-entity-h3c_b] organization H3C

[H3C-pki-entity-h3c_b] country CN

[H3C-pki-entity-h3c_b] dis th

#

pki entity h3c_b

  common-name h3c_b

  organization H3C

  country CN

#

return

[H3C-pki-entity-h3c_b] quit

l              配置PKI域,PKI域表示某一个实体需要向CA申请证书时的一些注册信息,PKI域是一个本地概念,对于CA是不可见的,主要就是方便一个实体能够顺利向CA注册,获取证书。

[H3C-pki-domain-h3c_b] ca identifier VOICE

[H3C-pki-domain-h3c_b] certificate request url

http://172.31.90.100:446/2c661bdf14822f57c2f8cbbffca871d2766244ce

[H3C-pki-domain-h3c_b] certificate request from ca

[H3C-pki-domain-h3c_b] certificate request entity h3c_b

[H3C-pki-domain-h3c_b] crl check disable

[H3C-pki-domain-h3c_b] ldap-server ip 192.168.0.88

 [H3C-pki-domain-h3c_b]dis th

#

pki domain h3c_b

  ca identifier VOICE

  certificate request url http://172.31.90.100:446/2c661bdf14822f57c2f8cbbffca871d2766244ce

  certificate request from ca

  certificate request entity h3c_b

  crl check disable

  ldap-server ip 172.31.90.100

#

return

[H3C-pki-domain-h3c_b]quit

 

蓝色部分的ID是CA服务器上的生成的VOICE的Issuing Jurisdiction ID,通过修改该ID值,来向不同的CA申请证书。

IP地址是CA服务器的地址。

 

l              生成本地密钥对:

[H3C]public-key local create rsa

The range of public key size is (512 ~ 2048).     

NOTES: If the key modulus is greater than 512,     

It will take a few minutes.    

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++++++++++

++++++++++++++++++++++

 

[H3C]

 

l              获取CA证书,申请本地证书

[H3C] pki retrieval-certificate ca domain h3c_b

The trusted CA's finger print is:

    MD5  fingerprint:0BA8 C1CC B039 E20D DA94 24C2 8C58 23E1

    SHA1 fingerprint:930D 2222 C1B0 9977 F2D8 EA91 4E29 F906 4640 C22C

 

Is the finger print correct?(Y/N):

Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y

 

Saving CA/RA certificates chain, please wait a moment......

%Jun 10 17:39:28:261 2009 H3C_Up PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain h3c_b is trusted.

[H3C]

%Jun 10 17:39:28:273 2009 H3C_Up PKI/4/Update_CA_Cert:Update CA certificates of the Domain h3c_b successfully.

%Jun 10 17:39:28:474 2009 H3C_Up PKI/4/CA_Cert_Retrieval:Retrieval CA certificates of the domain h3c_b successfully.

[H3C]pki request-certificate domain h3c_b 8888

Certificate is being requested, please wait......

[H3C]

Enrolling the local certificate,please wait a while......

Certificate request Successfully!

Saving the local certificate to device......

Done!

[H3C]dis pki certificate local domain h3c_b

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            95437609 34C37BC6 4934419C 86DB8671

        Signature Algorithm: sha1WithRSAEncryption

        Issuer:

            C=CN

            O=H3C

            OU=H3C

            CN=VOICE

        Validity

            Not Before: May 12 02:01:11 2010 GMT

            Not After : May  9 02:01:11 2020 GMT

        Subject:

            C=CN

            O=H3C

            CN=h3c_b

………………

 

[H3C] pki request-certificate domain h3c_b 8888

以上命令中的“8888”是在后面步骤中配置的Pots实体中的端口号

 

(3)        配置SSl策略

<H3C>system-view

[H3C]ssl server-policy sip_server

[H3C-ssl-server-policy-sip_server]pki-domain h3c_b

[H3C-ssl-server-policy-sip_server]quit

[H3C]ssl client-policy sip_client

[H3C-ssl-client-policy-sip_client]pki-domain h3c_b

[H3C-ssl-client-policy-sip_client]quit

[H3C]dis curr

#              

ssl server-policy sip_server

 pki-domain h3c_b

#

ssl client-policy sip_client

 pki-domain h3c_b

 

(4)        SIP视图配置TLS信息及注册服务器信息

[H3C]voice-setup

[H3C-voice]sip

[H3C-voice-sip]crypto ssl-client-policy sip_client

[H3C-voice-sip]crypto ssl-server-policy sip_server

[H3C-voice-sip]listen transport tls

[H3C-voice-sip]sip-comp callee

[H3C-voice-sip]registrar ipv4 172.31.89.190 tls

[H3C-voice-sip]register-enable on

[H3C-voice-sip]dis th

#

 #

 sip

  crypto ssl-client-policy sip_client

  crypto ssl-server-policy sip_server

  listen transport tls

  sip-comp callee

  registrar ipv4 172.31.89.190 tls

  register-enable on

#

return

[H3C-voice-sip]

命令registrar ipv4 172.31.89.190 tls中的IP地址是VCX的callp地址

 

(5)        配置Pots实体

[H3C]voice-setup

[H3C-voice]dial-program

[H3C-voice-dial]entity 8888

[H3C-voice-dial-entity8888] line 1/0

[H3C-voice-dial-entity8888] user sip:1001@172.31.89.190 password simple 12345

[H3C-voice-dial-entity8888] match-template 1001

[H3C-voice-dial-entity8888] outband nte

 

user sip:1001@172.31.89.190 password simple 12345

“1001”是VCX服务器上的话机号码;172.31.89.190是VCX服务器的callp地址;密码“12345”根据话机的实际密码设定

 

(6)        管理员身份登录IPT,进入以下路径:用户菜单 > 电话机 > 电话机

点击相应话机1001对应“操作”栏中的“注册”链接,可以看到MSR已经注册到VCX服务器上

 

3.4.3  可信节点配置

(1)        管理员登陆IPT,进入以下路径:目录菜单 > 转接方案 > 信任终点

(2)        点击“添加信任终点”按钮,如下图:

 

配置IP地址和网络掩码后保存。

如果要进行安全呼叫则勾选“安全检查”的复选框即可。

4 相关资料

l              《语音链路安全开发项目 软件需求规格说明书》

l              《语音SIP支持TLS传输相关配置指导书》

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们