Ak má firma vybudovanú Cisco video infraštruktúru zahŕňajúcu Cisco CUCM, Cisco IM&Presence server, Cisco Expressway Edge & Core príp. Cisco Meeting Server logickou otázkou zákazníka by mohlo byť:
„Ako zabezpečiť, aby som bol schopný a rovnako aj moji externý partneri uskutočniť vzájomný audio/video hovor bezpečným a spoľahlivým spôsobom ?“
Nakoľko má firma nainštalovaný pár Expressway-E a Expressway-C odpoveď je relatívne jednoduchá. Je potrebné nakonfigurovať a povoliť tzv. „ B2B alebo Business-to-Business komunikáciu“.
Aby sa vedeli externý partneri dovolať na audio/video zariadenie, do virtuálnej meetingovej miestnosti (VMR) alebo užívateľovi registrovanému na firemnom Cisco CUCM je dôležité, aby bola povolená SIP URI komunikácia. To, ako to nastaviť na Cisco Callmanageri som popisoval v predošlom príspevku na našom blogu.
V tomto príspevku sa zameriame na to, ako povoliť B2B komunikáciu na Cisco Expressway zariadeniach a tým zabezpečiť bezpečný a spoľahlivý audio/video kanál z firemnej siete smerom do verejného internetu a opačne.
Design riešenia B2B komunikácie
Ako môže vyzerať design riešenia B2B komunikácie je načrtnuté na nasledujúcom obrázku:
Na začiatok je dôležite poznamenať, že ako internetový firewall, tak aj interný firewall musia mať správne nastavené bezpečnostné pravidlá povoľujúce všetok potrebný dátový prenos na bezproblémovú video komunikáciu medzi firemnou sieťou a verejným internetom. Tento článok sa nebude zaoberať, ktoré porty a akým spôsobom by sa mali správne aplikovať na príslušne firewall-y, tento dokument detailne popisuje potrebné porty využívané Expressway zariadeniami.
Bezpečná komunikácia
Aby samotná komunikácia medzi externým partnerom a firemnou sieťou bola zabezpečená a šifrovaná je nutné ako prvé pre oba druhy zariadení (Edge aj Core) vygenerovat tzv. CSR (Certificate Signing Request) súbory. Následne sa tieto súbory musia dať podpísať známou Certifikačnou Autoritou (CA) a po podpísaní naimportovať na príslušné zariadenia ako server certifikáty.
Nakoľko Expressway-E je device, ktorý je jedným interfejsom vypublikovaný do verejného internetu, aby mu vzdialená strana (externý partner) dôverovala, musí sa jeho CSR súbor podpísať verejne známou CA (GoDaddy, GeoTrust,…).
V prípade Expressway-C zariadenia môže byť na podpis CSR súboru použitá aj interná CA. Aby si Expressway-E a Expressway-C vzájomne dôverovali, musia byť root certifikáty CA, ktoré sa použili na podpis samotných CSR súborov naimportované ako Trusted CA certifikáty t.j root certifikát verejne známej CA sa naimportuje ako Trusted CA certifikát na Expressway-C a root certifikát internej CA sa naimportuje ako Trusted CA certifikát na Expressway-E zariadenie.
Týmto sa zabezpečí vzájomná dôvera medzi samotnými Expressway zariadeniami.
Konfigurácia na Expressway-E
Tak a poďme k samotnej konfigurácií.
V prvom rade musí mať Expressway-E nakonfigurovaný DNS server, ktorý je schopný rozpoznať DNS záznamy verejných domén. To vieme jednoducho zabezpečiť nakonfigurovaním Google DNS serverov ako Default DNS server. Pre rozpoznávanie FQDN (Fully Qualified Domain Name) zariadení v rámci firemnej siete sa pre konkrétnu internú doménu nadefinuje interný DNS server.
Aby vedel Expressway-E správne komunikovať musia byť pre jednotlivé smery (internet a interná sieť) vytvorené tzv. zóny. Pre komunikáciu smerom do internetu sa použije tzv. DNS zóna.
a pre komunikáciu smerom do internej siete sa použije tzv. Traversal zóna.
Nasledujúcimi dvoma konfiguračnými krokmi zabezpečíme aby boli samotné požiadavky na komunikáciu správne smerované od volajúcej strany po volanú stranu. To sa konfiguruje pomocou tzv. Search rules.
Táto „Search rule-a“ na Expressway-E je určená pre odchádzajúce volania z firemnej siete smerom do verejného internetu:
a druhá „Search rule-a“ na Expressway-E zariadení pre prichádzajúce volania z verejného internetu smerom do internej siete je definovaná nasledovným spôsobom:
Konfigurácia na Expressway-C
Podobným postupom ako to bolo pre Expressway-E zariadenie musí byť nakonfigurované aj Expressway-C zariadenie tzn. ako prvé je potrebné vytvoriť zóny. Smerom do internetu sa medzi Expressway-E a Expressway-C vytvára ako už bolo vyššie spomínané tzv. Traversal zóna.
Smerom do internej siete (na Cisco CUCM) sa vytvára tzv. Neighbor zóna.
A pre správne smerovanie hovorov je potrebné nastaviť už spomínané Search rule-y.
Pre prichádzajúce volania z Expressway-E (verejného internetu) smerom do internej siete Search rule-a vyzerá nasledovne:
Pre odchádzajúce volania z internej siete do verejného internetu Search rule-a vyzerá nasledovne:
Ak máme správne nastavené smerovanie hovorov aj na Cisco CUCM mali by sme byť od tejto chvíle schopní urobiť audio/video hovor s naším externým partnerom a opačne pomocou jeho SIP URI adresy.
Ak sa Vám tento článok páčil neváhajte ho zdieľať aj s inými ľuďmi, ktorým by mohol pomôcť.
Ak máte otázky príp. nejasnosti ktoré by ste chceli zodpovedať, alebo potrebujete pomôcť s podobným riešením video komunikácie neváhajte nás kontaktovať a požiadať nás o podporu.
Comments are closed.