Expressway를 통한 CMS WebRTC 구현

Expressway 8.9.2 이상

CMS 2.1.4이상이면 Expressway를 통한 CMS WebRTC 구현이 가능합니다.

 

CMS를 내부 전용으로 사용하면서 WebRTC를 구현하는 경우라면 해당 기능을 사용할 만 합니다.

물론 CMA를 통한 접속은 불가능합니다.

모바일의 경우 안드로이드는 접속이 가능하지만 IOS는 접속이 불가능 합니다.

 

구현 환경은

Expressway 8.10 = Edge는 공인IP, Core 는 사설IP 로 모두 싱글NIC

CMS 2.2.4 = 사설IP

Expressway-E

  • 도메인 : expe3.icent.co.kr
  • 인증서 CN :expe3.icent.co.kr, 추가 DNS : join.icent.co.kr (CMS Host name)

 

Expressway-C

  • 도메인 : expc3.icent.co.kr
  • 인증서 CN : expc3.icent.co.kr

 

CMS

  • 도메인 : join.icent.co.kr

 

외부 DNS

expe3.icent.co.kr -> Expressway-E 공인 IP

join.icent.co.kr -> Expressway-E 공인 IP

 

내부 DNS

expe3.icent.co.kr -> Expressway-E 공인 IP

expc3.icent.co.kr -> Expressway-C 내부 IP

join.icent.co.kr -> CMS 내부 IP

 

 

Expressway-C 와 E의 Administration 에서 Web Administrator port를 443에서 다른 값으로 변경합니다.

저는 7443으로 변경했습니다.

CMS의 WebRTC가 기본적으로 443 port 를 사용하기 때문에 Expressway는 443 port를 사용할 수 없습니다.

설정을 변경하고 재부팅을 진행합니다.

 

Expressway-C 에서 CSR을 만듭니다.

만들어진 CSR을 이용해서 인증서를 발급받고 등록 후 재시작 합니다.

 

Expressway-E 에서 CSR을 만들 때는 CMS의 DNS도 추가 해야 합니다.

저는 join.icent.co.kr을 추가 했습니다.

CSR을 이용해서 인증서 발급 및 등록 후 재부팅 합니다.

 

Expressway-C 와 E에 각각 UC Zone을 만듭니다.

 

Expressway-C 의 Configuration – Unified Communications – Configuration 에서 Unified Communications mode를 MRA로 선택합니다.

다른 부분은 설정하지 않습니다.

 

Expressway-C 의 Configuration – Unified Communications – Cisco Meeting Server 에서 Meeting Server Web Proxy를 Enable 로 변경하고

Guest account client URI 에 CMS의 도메인을 입력합니다.

저는 join.icent.co.kr을 입력했습니다. 정상적으로 등록이 되면 CMS의 IP가 보입니다.

 

Expressway-E 의 Configuration – Unified Communications – Configuration 에서 Unified Communications mode를 MRA로 선택합니다.

다른 부분은 설정하지 않습니다.

 

Expressway-E의 Configuration – Traversal – Turn 에서 TURN services를 On으로 변경하고

“Configure TURN client credentials on local database” 에서 CMS에서 인증용으로 사용할 user를 하나 만듭니다.

 

Expressway-C의 Status – Unified Communications 입니다.

Unified Communications SSH tunnels status 는 정상입니다.

 

Expressway-E 입니다.

 

Expressway-E의 Unified Communications SSH tunnels status 도 정상입니다.

 

여기까지 하면 Expressway 설정은 끝입니다.

이제 CMS에서 간단한 설정만 하나 해주면 됩니다.

 

Postman을 이용해서 CMS에 설정을 하나 추가 합니다.

https://CMS IP:445/api/v1/turnservers/ 에

serverAddress 에 Expressway-C의 IP

clientAddress 에 Expressway-E 의 IP

type 에 “expressway”

username 에 Expressway-E의 Turn 설정에서 만든 계정 ID

password 에 Expressway-E의 Turn 설정에서 만든 계정 Password

tcpPortNumberOverride 에 “3478”

을 입력하고 Send를 선택합니다.

 

GET으로 설정이 잘 입력된 것을 확인합니다.

 

설정이 잘 되었는지 확인하는 방법은

외부에서 Expressway-E의 IP나 Domain으로 접속 시

위와 같이 “Bad Request” 라고 나오며 화면에 아무것도 안 나옵니다.

 

정상적으로 접속하면 위와 같습니다.

Expressway의 Turn에서 보면 175.223.30.52 IP 가 보입니다.

제 노트북에 테더링을 이용해서 테스트 하였습니다.

공인인증서를 통한 MRA 구성 (Collaboration Endpoins, without Jabber)

오늘은 공인인증서를 포함한 MRA 구성을 해보고자 합니다.

공인인증서를 Expressway-E 만 발급받고 등록했으며 인증서의 도메인은 하나뿐입니다.

테스트를 위해서 30일짜리 인증서를 이용했습니다.

 

환경은

CUCM 11.5.1 – 1대

Expressway 8.10.0 으로 E와 C

메인 도메인은 imeeting.co.kr

CUCM은 도메인으며 기본 인증서

Expressway-C 는 expc.imeeting.co.kr

Expressway-E 는 expe.imeeting.co.kr 입니다.

내부 DNS는 Windows 2012

A 호스트 = expe.imeeting.co.kr -> expe의 IP

imeeting.co.kr은 가비아에 등록 되어있으며 가비아의 네임플러스 서비스를 통해서 A호스트와 SRV 서비스를 설정 했습니다.

A 호스트 = expe.imeeting.co.kr -> expe의 IP

SRV = _collab-edge._tls.expe.imeeting.co.kr -> expe.imeeting.co.kr

SRV 의 collab-edge 등록 할 때 host에 expe를 포함해야 합니다.

테스트에 사용할 도메인이 expe.imeeting.co.kr 이기 때문입니다. 이유는 공인인증서 발급을 단일 도메인으로 받기 때문입니다.

 

기본적으로 Expressway C와 E를 설치하고 라이선스를 입력하는 부분은 넘어 가겠습니다.

Expressway 8.10.0을 처음 설치 해봤는데 admin 패스워드랑 Root 패스워드까지 다 바꾸도록 나옵니다.

 

먼저 Expressway-C 입니다.

System name 입력합니다.

 

DNS 설정 합니다.

 

SIP 설정에서 TCP를 On 합니다.

 

Domain을 설정합니다.

도메인 설정에 “imeeting.co.kr”이 아닌 “expe.imeeting.co.kr” 을 이용하는 이유는 공인인증서를 expe.imeeting.co.kr 로 1개만 받았기 때문입니다.

만일 expe.imeeting.co.kr 와 imeeting.co.kr 로 2개의 도메인에 대해서 공인인증서를 받았다면 Exp-C의 Domains 설정은 imeeting.co.kr로 하면 됩니다.

 

Mode를 MRA로 설정하고 “Authorize by user credential” 을 On으로 변경합니다.

 

CUCM을 등록합니다.

영상단말과 IP Phone만 등록하기 때문에 IM&P는 설정하지 않습니다.

 

이제 Expressway-E 입니다.

System name 설정합니다.

 

DNS 설정합니다.

 

SIP 설정에서 TCP를 On 합니다.

 

Mode를 MRA로 설정합니다.

위 캡쳐는 모든 설정이 완료 된 후이기 때문에 아래 부분에 CUCM이 연동 된 것으로 보입니다.

 

이제 인증서를 등록합니다.

우선 CSR을 만듭니다. 정보는 대충 넣었습니다.

 

“Show (PEM file)”을 눌러서 CSR값을 복사합니다.

 

제가 좋아하는 XCA(인증서 발급이 쉬워서)에서 오른쪽 마우스 “Paste PEM data”를 선택하여 CSR을 등록하고 Sign 합니다.

 

Sign된 인증서를 선택하고 File로 Export 합니다.

 

찾아보기를 선택하고 다운받은 CRT 파일을 업로드 합니다.

 

EXP-E에서도 CSR을 만들고 해당 CSR을 이용해서 공인인증서를 발급받습니다.

공인인증서 발급은 http://collaboration.me/archives/570 을 참조하면 될 것 같습니다.

 

EXP-C 의 Trusted CA 입니다.

 

EXP-E의 Trusted CA 입니다.

 

이제 Zone을 만듭니다.

 

먼저 EXP-C 입니다.

이미 모든 설정이 다 된 상태라 Active로 보입니다.

 

이번에는 EXP-E 입니다.

local authentication database에 Zone에서 사용하는 User도 만들어 줘야 합니다.

 

Expressway에서 하는 작업은 모두 끝났습니다.

CUCM에서 DX80 과 CP-7821을 등록하고 Enduser 1000에 DX80을 1001에 7821을 설정했습니다.

CUCM도 설정이 완료 되었습니다.

 

DX80에서 설정을 해보도록 하겠습니다.

CUCM 인증서가 모두 지워진 상태입니다.

 

별도의 인증서를 등록하지 않았습니다.

 

서비스 활성화를 선택합니다.

 

기타 서비스를 선택합니다.

 

“Cisco UCM Expressway를 통해” 를 선택합니다.

 

사용자 ID 와 Password를 입력하고 도메인에 “expe.imeeting.co.kr”을 입력하고 적용을 선택합니다.

 

등록이 완료 된 것을 확인 할 수 있습니다.

 

내선번호 1000번이 잘 보입니다.

 

CUCM의 CTL과 ITL 인증서도 잘 받아 왔습니다.

 

위와 같이 연락처도 Expressway 를 통해서 잘 받아 오는 것을 확인 할 수 있습니다.

 

DX80의 전화번호부에서도 Enduser 정보를 잘 받아오는 것을 확인 할 수 있습니다.

 

CP-7821의 경우 도메인에 expe.imeeting.co.kr 를 입력하고 로그인 정보를 입력하면 등록이 됩니다.

아래는 등록된 상태입니다.

 

 

 

CUCM에 단말들이 정상적으로 등록 되어 있는 것을 확인 할 수 있습니다.

CMS에 공인인증서 등록하기

CMS를 설치할 때 공인인증서를 이용하는 방법에 대해서 알아 보겠습니다.

제 블로그에도 있지만 간편하게 Selfsigned를 이용해서 설치를 하는 방법이 있습니다.

하지만 실제로 고객사에 구축 할 때는 공인인증서를 발급받아 설치를 해야 할 것입니다.

 

여기서는 Webbridge 에 공인 인증서 등록하는 방법만 다루도록 하겠습니다.

인증서 구입 비용이 없습니다…..

 

우선 인증서를 발급받기 위해서는 CSR이 필요합니다.

CMS에서 CSR를 만들어서 인증센터에 요청하는 방법과

인증센터에서 자체적으로 CSR을 만들어 인증서와 키를 만드는 방법이 있습니다.

보통 CN만 만들어서 인증센터에 요청을 해도 만들어 주기는 합니다.

 

인증센터에서 인증서를 받으면

CMS 서버의 인증서 외에도 RootCA와 체인인증서 를 보내줍니다.

인증센터에서 자체적으로 CSR을 만들어서 인증서를 발급했다면 키도 같이 옵니다.

 

COMODO 에서 인증서를 발급 받으면 CMS 인증서, 루트 인증서, 체인인증서 1, 체인인증서 2를 보내줍니다.

루트 – AddTrustExternalCARoot.crt

체인 1 – COMODORSAAddTrustCA.crt

체인 2 – COMODORSADomainValidationSecureServerCA.crt

 

보통 서버 인증서가 도메인명으로 옵니다.

인증서 이름을 간편하게 변경하기 바랍니다.

Join.imeeting.co.kr.crt 와 같이 오면 join.crt 또는 다른 이름으로 변경하기 바랍니다.

이유는 WinSCP로 파일을 CMS로 업로드 할 때 에러 납니다.

 

그리고 메모장으로 루트, 체인 1, 체인 2를 오픈 합니다.

 

다음으로 새로운 메모장에 체인 2, 체인 1, 루트 순으로 내용을 붙여 넣기 합니다.

위와 같이 만들어서 적당한 이름을 붙여 줍니다. 전 CARoot.crt로 만들었습니다.

이제 인증센터에서 받은 키와, 인증서, CARoot.crt를 WinSCP로 CMS로 업로드 합니다.

전 join.key, join.crt, CARoot.crt 를 CMS로 업로드 했습니다.

 

위와 같이 webbridge certs join.key join.crt CARoot.crt 를 입력하여 인증서를 등록합니다.

webbridge enable 명령어 입력 시 서비스가 정상적으로 활성화 되는 것을 확인 할 수 있습니다.

 

위와 같이 주소창에 녹색 자물쇠 모양을 확인 할 수 있습니다.

안전한 연결 이라는 문구도 보입니다.

 

https://www.comodossl.co.kr/products/ssl-checker.aspx 사이트에서 체인 인증서까지 제대로 등록이 되었는지 확인 가능합니다.

chain_isTrusted_microsoft=Y

chain_isTrusted_mozilla=Y

 

여기서 특이한 점은 CA 인증서 없이 키와 서버인증서 만으로도 webbridge 서비스 활성화가 가능합니다.

위와 같이 CA 인증서를 빼고 키와 서버인증서만으로 webbridge 서비스를 활성화 했습니다.

 

웹페이지는 여전히 안전한 연결입니다.

 

하지만 위와 같이 값이 N 입니다.

인증서 업체의 설명으로는 체인인증서를 적용하지 않으면 일부 브라우저에서 “신뢰할 수 없는 인증서”로 인식한다고 합니다.

 

오늘 테스트하면서 확인한 내용입니다.

잃어버리지 않기 위해 정리합니다.

Cisco Collaboration Endpoints NTP 문제

요즘은 DX, SX, MX 시리즈 등등 화상단말을 CUCM에 많이 연동하여 사용합니다.

보통 단말에서 Provisioning 기능을 이용해서 CUCM에 등록을 하게 됩니다.

IP는 고정을 사용하기도 하고 DHCP를 사용하기도 하죠

 

DHCP를 사용하면서 CUCM을 장비를 연동하는 경우 단말의 Web GUI에 들어가보면 항상 NTP 문제가 발생해 있습니다.

CUCM에서 NTP 정보를 받아 올 것이라 생각했는데 왠 안받아오지? 라고 보통 생각합니다.

왜냐면 IP Phone들은 CUCM으로부터 NTP 정보를 받아 오기 때문입니다.

하지만 화상단말들은 CUCM으로부터 NTP 정보를 받아 오지 못합니다.

문제는 Manual로 NTP 서버를 설정해도 DHCP로부터 IP를 다시 받아오는 경우 NTP 설정이 다시 Auto로 변경이 됩니다.

 

문제 해결 방법은 2가지가 될 것 같습니다.

1. IP를 고정으로 설정하고 NTP 설정을 Manual로 설정합니다.

2. DHCP를 꼭 써야 하는 경우 DHCP 서버에 Option 42 설정을 추가 합니다. Option 42는 NTP 서버 주소 입니다.

 

저희 사무실의 경우 DHCP가 기본이라 DHCP 서버에 Option 42를 추가 했습니다.

 

아직 모르는 분들에게 도움이 될까 하여 정리해 봅니다.

CUCM 9.X 버전과 Expressway 8.7.3 이후 버전 MRA 연동 문제

CUCM 9.X 버전을 사용하면서 MRA를 이용해서 Jabber 사용하는 경우에는

Expressway 8.7.3 버전과 그 이상의 버전으로 업그레이드를 진행하면 안됩니다.

그 이유는 Expressway가 SSL 관련하여 Diffie-Hellman (DH) 키 교환할 때 1024 비트 미만의 키는 거부한다고 합니다.

그런데 CUCM 9.X 까지는 D-H키 교환을 위해 768비트키를 생성한다고 합니다.

문제 해결방법은 CUCM을 10버젼 이상으로 업그레이드 하는 방법뿐이라고 합니다.

 

아래는 Cisco문서 원문입니다.

 

Cisco Expressway X8.7.2 Release Note 내용중

Changes in X8.7.2

X8.7.2 is a maintenance release. There are no new features, but the lists of Open and Resolved Issues, page 6, have

been updated.

CiscoSSL has been upgraded to version 5.4.3 in this version of Expressway. This version of Cisco SSL rejects

keys with fewer than 1024 bits when doing Diffie-Hellman (DH) key exchange.

Note: This Expressway upgrade prevents SSL interoperability with versions 9.x and earlier of Cisco Unified

Communications Manager and Cisco Unified Communications Manager IM and Presence Service, because

those products generate 768 bit keys for D-H key exchange.

Suggested workaround: Upgrade Cisco Unified Communications Manager and Cisco Unified Communications

Manager IM and Presence Service to the latest version of 10.x or 11.x

 

CSCuy59366: Upgrading Expressway to X8.7.2 breaks SSL Handshake with CUCM or IM&P 9.x

An upgrade of CiscoSSL in this version of Expressway prevents it from accepting weak DH keys. If you have not yet

applied this security improvement to your Cisco Unified Communications Manager or Cisco Unified Communications

Manager IM and Presence Service infrastructure, they may not be able to communicate securely with Expressway.

This could prevent your MRA deployment from working as expected.

We strongly recommend that you upgrade Cisco Unified Communications Manager and Cisco Unified

Communications Manager IM and Presence Service to the latest version of 10.x or 11.x .

 

Bug Report 에서

Upgrading to X8.7.2 will break SSL Handshake with CUCM/CUP v9

CSCuy59366

Description

 
 

Symptom:

This Cisco VCS upgrade prevents SSL interoperability with versions 9.x and earlier of Cisco Unified.

Communications Manager and Cisco Unified Communications Manager IM and Presence Service, because those products generate 768 bit keys for D-H key exchange.

 
 

Conditions:

Enabled MRA solution with UCM and/or IM&P version 9.x with 768 bit keys for Diffie-Hellman key.

 
 

Workaround:

Upgrade UCM and/or IMP to version which offer DH-key that’s greater or equal to 1024 bits. (version 10 or newer release).

 
 

Further Problem Description:

CiscoSSL has been upgraded to version 5.4.3 in this version of Cisco VCS. This version of Cisco SSL rejects keys with lower than 1024 bits when doing Diffie-Hellman (DH) key exchange.

 

 

제가 테스트 중 알게 된 내용입니다.

다른 분들에게 도움이 될까 하여 작성해 봅니다.

Cisco IP Phone Remote Screenshot

Cisco IP Phone들은 Web GUI을 통해서 상태 확인이 가능합니다.

그리고 특이하게도 IP Phone의 액정화면을 Web 브라우저를 통해서 확인이 가능합니다.

물론 간단한 설정을 해야 합니다.

설정 방법은

1. IP Phone의 Web Access 를 Enabled

2. Enduser에 Controlled Devices 에 해당 IP Phone 을 Device Association

그럼 설정해 보겠습니다.

우선 해당 IP Phone이 Web Access를 Enabled를 했는지 확인합니다.

위와 같이 Web Access를 Enabled 합니다.

Enduser 에 “screenuser”로 하나 만들겠습니다.

IP Phone 1개를 등록했습니다.

해당 IP Phone은 제가 사용하는 7965입니다.

Device 페이지에서 해당 IP Phone의 IP Address를 선택합니다.

위와 같이 IP Phone의 Web GUI를 확인할 수 있습니다.

IP Phone의 IP Address뒤에 “/CGI/Screenshot”을 추가 합니다.

대소문자 틀리면 안됩니다.

위와 같이 ID와 Password를 물어봅니다.

좀 전에 만든 “screenuser” 정보를 입력합니다.

위와 같이 IP Phone의 화면을 확인 할 수 있습니다.

웹브라우저의 새로고침을 통해서 변경되는 화면을 계속 확인 할 수 있습니다.

7821모델의 화면입니다.

다른 직원의 IP Phone이라 이름과 번호를 가렸습니다.

저는 해당 기능을 메뉴얼 만들 때 많이 사용합니다.

Cisco IPT 공부를 시작하시는 분이나

Cisco IPT를 운영하시는 분들을 위해 정리해 봅니다.

Video Call Test 정보

영상회의 시스템을 구축 후 외부의 누군가와 통화 테스트를 하고 싶은데 마땅한 곳이 없는 경우 테스트 하기 좋습니다.

아니면 Spark 로 영상통화가 잘 되나 테스트 해볼 때 이용해도 좋을 것 같습니다.

 

우선 SIP 와 H.323을 모두 지원하는 사이트 입니다.

대부분 720p를 지원합니다.

testcall@lifesizecloud.com
– 연결되면 안내 멘트가 나오고 접속자의 영상 녹화 했다가 다시 플레이 해줌

 

368004@lifesizecloud.com
– 라이프사이즈 홍보 동영상이 나옵니다.

 

0262463194@csiro.au
– Cisco Telepresence Sever 에 접속되고 CSIRO 홍보 동영상이 나옵니다.

 

loopback2@cisco.com
loopback3@cisco.com
– 접속자의 영상을 되돌려서 보내줍니다.

 

111@199.48.152.152
– 앵무새가 나와서 접속자의 말을 따라 합니다.

 

8378@easymeeting.net
8378@109.239.231.232
– 위 2개는 같은 정보입니다. 연결되면 비디오 테스트 관련 안내가 나옵니다.

 

Spark 에서 IP로 된 URI로 통화연결시에는 URI앞에 “sip:” 붙여줘야 합니다.

“sip: 111@199.48.152.152” 와 같이 말입니다.

 

이번에는 H.323 을 사용하는 사이트 입니다.

아래정보는 폴리콤 사이트에서 가져온 정보입니다.

주소는 http://support.polycom.com/content/support/North_America/USA/en/support/video/video-test-numbers.html 입니다.

US Test Numbers (Andover, MA)

System Type: RealPresence Group 700

Network Interface: IP Only

Capabilities: up to 1920k @ 60fps

Software: 4.1.5-180072

Test Numbers:

Number to Dial (LAN/IP): 140.242.250.200

 

Network Interface: IP Only

Capabilities: up to 1920k @ 60fps

Software: 4.1.5-180072

Test Numbers:

Number to Dial (LAN/IP): 140.242.250.204

 

System Type: HDX 7000

Network Interface: PRI ISDN

Capabilities: LAN/IP: up to 1920k @ 60fps ISDN: 1472k @ 60fps

Software: 3.1.5-5568

Test Numbers:

Number to Dial (LAN/IP): 140.242.250.202

ISDN: 978-292-2840

 

System Type: HDX 8000

Network Interface: IP Only

Capabilities: up to 1920k @ 60fps

Software: 3.1.5-5568

Test Numbers:

Number to Dial (LAN/IP): 140.242.250.203

 

Network Interface: IP Only

Capabilities: up to 1920k @ 60fps

Software: 3.1.5-5568

Test Numbers:

Number to Dial (LAN/IP): 140.242.250.205

 

System Type: HDX 9004

Network Interface: IP Only

Capabilities: up to 1920k @ 60fps

Software: 3.1.5-5568

Test Numbers:

Number to Dial (LAN/IP): 140.242.250.201

 

System Type: TPX 300

Network Interface: IP Only

Capabilities: up to 2Mbs (per codec)

Software: 3.1.2

Test Numbers:

Codec 1 IP: 140.242.250.223

 

EMEA Test Numbers (UK)

System Type: RealPresence Group 500

Network Interface: IP Only

Capabilities: up to 1920k @ 50fps

Software: 4.1.5

Test Numbers:

Number to Dial (LAN/IP): 140.242.46.55

 

System Type: HDX 8000

Network Interface: IP Only

Capabilities: up to 1920k @ up to 50fps

Software: 3.5

Test Numbers:

Number to Dial (LAN/IP): 140.242.46.49

 

Network Interface: IP Only

Capabilities: up to 6144k @ up to 50fps

Software: 3.5

Test Numbers:

Number to Dial (LAN/IP): 140.242.46.50

 

APAC Test Numbers (Tokyo, Japan)

System Type: HDX 9006

Capabilities: up to 6Mbps

Software: HF3.1.4_04-43145

Test Numbers:

Number to Dial (LAN/IP): 140.242.222.12

 

사실 H.323은 테스트 해보지 못했습니다.

제가 테스트 할 수 있는 환경이 대부분 SIP 환경입니다.

여러분들이 한번 테스트 해보시기 바랍니다.

VG로 인입된 호 Calling Number 확인하여 다른 VG로 호 보내기

VG로 인인된 호의 Calling Number를 확인해서 다른 VG로 호를 보내는 경우가 어떤 경우일까요?

이런 경우가 많지는 않을 겁니다.

아래 예제는 전자 FAX 서버에서 FAX를 보내는 경우입니다.

 

상황 설명입니다.

  • 현황
    • 본사 와 2개의 지사
    • 모든 지역 VG 보유
    • DID는 본사를 통해서만 인입
    • DOD는 전화기가 위치한 지역의 VG를 통해서 발신
    • 전화FAX는 본사의 VG에 연동되어 발신 시 VG에서 바로 외부로 발신

 

  • 요구사항
    • 전자 FAX에서 지사 사용자가 FAX 전송시 지사의 VG를 통해서 발신이 되야 함
    • 이유는 지역별로 과금이 이루어지기 때문

 

위 기능을 구현하기 위해서 어떤 설정들이 필요할까요?

우선 VG에서 전자FAX와 연결된 E1 Port에 Translation-Rule 설정

Translation-pattern 의 Route Next Hop By Calling Party Number을 이용하면 될 것 같습니다.

 

voice translation-rule 10

rule 1 /^9/ /##9/

 

voice translation-profile FAX

translate called 10

 

dial-peer voice 100 pots

translation-profile incoming FAX

incoming called-number .T

port 0/1/1:15

 

dial-peer voice 101 voip

destination-pattern ##.T

session protocol sipv2

session target ipv4:”CUCM IP”

dtmf-relay rtp-nte

fax-relay ecm disable

fax-relay sg3-to-g3

fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback pass-through g711ulaw

no vad

 

위와 같이 Voice Gateway에 설정을 추가 하였습니다.

FAX 서버에서 90212345678 로 호가 들어오면 ##90212345678 로 변경되어 CUCM으로 전달 됩니다.

 

CUCM에 추가 할 설정들입니다.

Partition 추가

  • PT_VG_TP (From VG / To Translation-pattern)
  • PT_TP_Calling_Check (Calling Number 체크용)

 

Calling Search Space 추가

  • CSS_TP_Calling_Check : PT_TP_Calling_Check

 

그리고 기존 Voice Gateway의 Inbound Calls 의 Calling Search Space 에 설정되어 있는 CSS에 추가적으로 PT_VG_TP 를 추가합니다.

 

Translation patterns 에

Pattern : ##.!

Partition : PT_VG_TP

CSS : CSS_TP_Calling_Check

Route Next Hop By Calling Party Numbe 를 체크

Called Party Transformations의 Discard Digits에 PreDot으로 설정합니다.

 

이제 ##90212345678 은 90212345678으로 변경되었고 Calling number를 체크합니다.

 

이번에는 Calling Number 확인용 Translation patterns을 추가합니다.

Branch 1용

Pattern : 1201

Partition : PT_TP_Calling_Check

CSS : “Branch1의 VG 발신되는 CSS”

 

Branch 2용

Pattern : 1301

Partition : PT_TP_Calling_Check

CSS : “Branch2의 VG 발신되는 CSS”

 

모든 설정이 완료되었습니다.

 

해당 기능을 사용할 일이 많지는 않겠지만 스팸전화를 막기 위해 알게 되었던 Translation-pattern 의 Route Next Hop By Calling Party Number 기능을 응용한 방법이라 정리해 보았습니다.

Expressway 또는 VCS 에 들어오는 SIP 공격 막기

Expressway 나 VCS를 구축하고 나면 외부로부터 엄청난 SIP 공격이 들어옵니다.

 

오늘 아침에 Call History 입니다. 아침 7시를 기준으로 보니 한 시간 동안 15번정도 호가 들어 왔네요

참 쉬지 않고 많은 넘들이 돌아가면서 공격하는군요

 

저 같은 경우 도메인이 아닌 IP로 된 수신자로 호가 들어 오는 경우 내부로 호가 들어가지 않게 설정합니다.

외부에서 영상통화를 하고자 하는 경우 보통 도메인으로 안내를 하기 때문에 IP로 통화를 하는 경우는 거의 없습니다.

 

그외에 외부로 부터의 공격을 어떻게 막아야 할까요?

위의 그림을 자세히 보면 공격하는 넘들은 Source가 항상 Destination의 IP와 같은 IP로 설정을 합니다.

이런 경우 막기 쉽습니다.

Expressway의 CPL을 사용합니다.

설정하는 위치는 configuration – Call Policy – configuration 입니다.

우선 “Call Policy mode”를 “Local CPL” 로 변경하고 “Save” 합니다.

 

그리고 XML 문서를 하나 만듭니다.

<cpl xmlns=”urn:ietf:params:xml:ns:cpl” xmlns:taa=”http://www.tandberg.net/cpl-extensions” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:schemaLocation=”urn:ietf:params:xml:ns:cpl cpl.xsd”>

<taa:routed>

<taa:rule-switch>

<!– EXP-E IP로 된 발신자정보를 사용하는 호 인입되는 경우 모두 block –>

<taa:rule unauthenticated-origin=”(.*)@“Expressway-E의 IP” destination=”(.*)”>

     <reject status=”404″ reason=”Denied by policy”/>

     </taa:rule>

<taa:rule unauthenticated-origin=”(.*)” destination=”(.*)”>

<!– All other calls allowed –>

<proxy/>

</taa:rule>

    </taa:rule-switch>

</taa:routed>

</cpl>

 

내용은 위와 같습니다.

위의 “Expressway-E의 IP” 부분을 수정해 주시면 됩니다.

수정할때는 123\.123\.123\.123 으로 합니다.

IP를 입력할때는 “.”를 “\.”로 입력해야 합니다.

“.”를 1개의 Digit로 보는게 기본이라 특수문자를 그대로 입력하고 싶으면 “\”를 문자 앞에 입력해야 합니다.

한글이 들어 있으니 저장할 때 UTF-8로 저장합니다.

 

Select the new Call Policy file 의 찾아보기를 눌러서 XML 파일을 업로드하면 설정은 끝입니다.

 

잘 입력되면 위와 같이 successful 이 보입니다.

 

위와 같이 Source가 Expressway의 IP로 호가 들어 오는 경우 Status가 404 Denied by policy 로 보이면서 호가 막히는 것을 확인 할 수 있습니다.

Cisco TelePresence Server 회의룸에서 멘트 끄기 및 Display Name 숨기기

Cisco Telepresence Server 가 요즘 Cisco Meeting Server에 밀려 구축 하는 사례가 별로 없을 것이라 생각합니다.

사실 전 얼마 전 CMS 대신 vTS를 구축했습니다.

다자간 룸 접속 시 나오는 환영 멘트와 메시지를 수정하기에는 vTS가 더 좋기 때문입니다.

CMS의 경우 Branding 이라는 License 를 추가로 구입해야 하는데…그 금액이 너무 비쌉니다.

 

다자간 룸에 접속할 때 나오는 환영멘트가 너무 시끄럽다고 꺼달라는 고객이 이었습니다.

그리고 처음에 접속하는 사람에게는 혼자 있다는 멘트까지 들립니다.

모두 안 나오게 하고 싶은 경우

Conductor 의 Conference templates 의 Parameter – customParams에

{“customOnlyParticipantAudio”:””,”useCustomOnlyParticipantAudio”:true,”welcomeScreen”:false}

를 추가 합니다.

설명을 하자면 “혼자 있다는 멘트 수정 “기능을 사용하지만 값은 “Null ” 입니다.

그리고 웰컴멘트는 끕니다.

 

PIN 코드 입력하라는 멘트까지 모두 끄고 싶다면

{“customOnlyParticipantAudio”:””,”customPINEntryAudio”:””,”useCustomOnlyParticipantAudio”:true,
“useCustomPINEntryAudio”:true,”welcomeScreen”:false}

를 입력합니다.

 

혹시나 접속자의 이름이 보이지 않게 하고 싶다면

{“callAttributes”:{“displayShowEndpointNames”:false}}

를 입력하면 됩니다.

 

기타 설정이 많이 있지만 보통 이정도를 사용할 것 같습니다.