нфраструктурные решения cisco для … · • sip oauth дляjabber...

Инфраструктурные решения Cisco длявидеосвязи на предприятии: VCS/Expressway, CMS/CMM/TMS.

Сергей Юцайтис

Консультант по технологиям совместной работы

Cisco в России

Почему существует тенденция перехода на SaaS?

Быстрое развертывание в любых масштабах

Всегда актуальное решение с последним доступным

функционалом

API для кастомизациии интеграции в бизнес процессы

Удобные, доступные везде порталы управления и

аналитика

Отличная поддержка мобильности и web

Серьезная экономия средств на начальном этапе

Плюсы от наличия собственной инфраструктуры сегодня...

Приватность и безопасность данных

Качество голоса /видео (QoS)

Хорошая интеграция с Microsoft UC

Использовать уже сделанные инвестиции

Обслуживание силами собственных специалистов

Расширенный набор экранных раскладоки других сервисов

Cisco Expressway

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Основные релизы ПО Expressway

Выпушено

Выпущено недавно

подтверждено

Обозначение

Expressway X8.10 – добавленные возможности

• Server Name Indication и сертификаты домена

• Multi-Tenant Expressway

• Управление XCP Router. Отложенная/Запланированная перезагрузка

• B2B траверсал зона (Цепочка Expressway Edge)

• TURN через TCP 443

• Коррекция классификации типа MS IM&P сообщений (MS-Conversation-ID в

Notify).

© 2019 Cisco and/or its affiliates. All rights reserved.

Только для пользователей HCS

Expressway X8.10 – добавленные возможности MRA

• Поддержка OAuth 2.0

• APNs для голоса и видео

• HTTP прокси для APNs

• Поддержка Extension Mobility через MRA (8.10.4)


Expressway X8.10 – добавленные возможности администрирования системы

• Упрощение апгрейда ПО (повторный ввод RK)

• Улучшения менеджера сертификатов

• Session-ID (ID сессии в заголовке)

• Улучшение в TLS кластеринге Expressway-E с двумя интерфейсами

• Снижение требований к спецификации Large Scale Deployment

• REST API – 3-я фаза


Expressway X8.10 – добавленные возможности для улучшения безопасности

• Настройка Ciphers

• Поддержка AES-GCM ciphers с SRTP

• Возможность добавления приветственного сообщения на страницу

логина, условия которого пользователь обязан принять перед вводом

логина


Expressway X8.11– добавленные возможности

• Поддержка h323 и SIP регистрации Expressway

• Связанные с поддержкой регистраций изменения в модели

лицензирования Expressway


Тип лицензии в диагностическом логе

Использование лицензии и маршрут медиа потоков

lic_type="nontraversal"RMS не используется

Медиа не проходит через ExpresswayПример: соединение внутри кластера

lic_type="collabedge"

RMS не используетсяМедиа замыкается на Expressway

“Non-RMS” CallПример: MRA соединение, соединение между Exp-C и Exp-E, и т.д.

lic_type="traversal"RMS будет использовано

Медиа замыкается на ExpresswayПример: B2B вызов

lic_type="cloud”RMS не используется

Медиа замыкается на ExpresswayПример: вызов в/из облачных сервисов Cisco

Expressway X8.11 – добавленные возможности для улучшения безопасности и пользовательского функционала

• Поддержка Multiway на Expressway

• Смягчение требований к задержке RTT между пирами кластера с 30 до 80 мс

• Улучшенная поддержка TURN при работе с CMS

• TURN Server для CMA/WebRTC клиентов

• Мультиплексирование TURN портов

• Передача презентации со стороны Lync с кластером CMS

• Оотказоустойчивая конфигурация CMS для WebRTC

• Поддержка балансирования нагрузки кластером CMS (Call Bridge Groups)


Только для Large развертываний

Expressway X8.11 – добавленные возможности MRA

• Поддержка записи звонков через MRA

• Поддержка Extension Mobility через MRA для 7800 и 8800 серии телефонов (исправлен

баг CSCvd68778)

• Поддержка Hunt Groups через MRA

• Поддержка Forward Proxy туннеля для UC решений Cisco


Expressway X8.11 – добавленные возможности администрирования системы

• Настраиваемый список доменов для DNS поиска

• Изменение метода диагностического логирования и скачивания логов

• Изменения в настройке порта административного доступа

• Уменьшение числа необходимый для установки ключей опций

• Возможность включения/выключения TMS Provisioning Extension

• REST API – 4-я фаза


Expressway X8.11 – добавленные возможности для улучшения безопасности

• Уникальные ключи шифрования

• Конфигурация настроек безопасности SSH туннеля

• Проверка сертификата доверенного CA

• Безопасное соединение с Smart Home сервисом


Expressway X12.5

Expressway X12.5– поддерживаемые платформы


Платформы Serial Numbers Support Software Version

Виртуальная машина - малый шаблон(генерируется

автоматически)Поддерживается (X8.1 и далее)

Виртуальная машина - средний шаблон(генерируется


Виртуальная машина - большой шаблон(генерируется


CE1200 (установлено на UCS C220 M4L) 52E##### Поддерживается (X8.11.1 и далее)

CE1100 (установлено на UCS C220 M4L) 52D##### Поддерживается (X8.6.1 и далее)

CE500 (установлено на UCS C220 M3L) 52C##### Не поддерживается (до X8.10.4)

CE1000 (установлено на UCS C220 M3L) 52B##### Не поддерживается (до X8.10.4)

VCS Appliance (1st поколение) 52A1####-4#### Не поддерживается (до X8.8.3)

VCS Appliance (1st поколение) 52A0#### Не поддерживается (до X8.7.3)

Новый основной (major) релиз – новый ключ релиза


X8 ключ релиза

X12 ключ релиза

Expressway X12.5 – поддерживаемые платформы виртуализации


• ESXi 6.7 (выпущен 17 апреля 2018) теперь поддерживается как платформа для VM Expressway

• ESXi 5.5 с версии X12.5 Expressway больше не поддерживается как платформа виртуализации

Новые возможности Expressway X12.5

• Сквозное согласование шифрованного iX протокола


Сквозное согласование шифрованного iX протокола


Управление экранными раскладкамиСписок участников конференции



• iX использует UDP в качестве транспорта UDT (основанный на UDP протокол передачи данных) для обеспечения надежности

• CUCM не терминирует iX протокол. Канал обмена iX сообщениями устанавливается между устройствами так же, как устанавливаются медиа потоки.

• CUCM поддерживает iX протокол (для SIP устройств), как для SIP транков (Early Offer и Delayed Offer), так и SIP линий

• IOS MTP/RSVP сервисы/агенты поддерживают iX в сквозном (pass-through) режиме



• iX согласуется через DTLS для обеспечения безопасности

• Поддержка шифрованного iX протокола может быть заявлена устройством 2 способами:

• Наилучшие возможности шифрования (Best Effort Encryption)

• Предпочтительно установление шифрованного iX канала, но если он не поддерживается удаленной стороной, устанавливается не шифрованный

• Обычно используется когда “end to end” не обязательно, например шифрование необходимо для связи через Интернет, но не на сегментах сети предприятия

• Наличие «fingerprint» атрибута показывает возможность поддержки шифрования даже в случае использования в качестве транспорта UDP/UDT/IX (не DTLS)

Пример SDP с Best Effort Encryption:

c=IN IP4 xx.xx.xx.xxm=application xxxx UDP/UDT/IX *a=ixmap:0 pinga=ixmap:2 xccpa=setup:actpassa=fingerprint:sha-1 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:



• iX согласуется через DTLS для обеспечения безопасности

• Поддержка шифрованного iX протокола может быть заявлена устройством 2 способами:

• Только шифрования (Force Encryption)

• Требуется установка шифрованного iX канала, если он не поддерживается удаленной стороной, согласование iX канала будет отклонено

• Используется когда требуется установка шифрованного соединения между двумя устройствами

• «Fingerprint» атрибут показывает наличие пользовательского DTLS сертификата авторизации и он должен присутствовать если транспортный протокол -UDP/DTLS/UDT/IX

Пример SDP для Force Effort Encryption:

c=IN IP4 xx.xx.xx.xxm=application xxxx UDP/DTLS/UDT/IX *a=ixmap:0 pinga=ixmap:2 xccpa=setup:actpassa=fingerprint:sha-1 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:



Рассмотрим согласование iX канала на предыдущих версиях ПО в 3-х различных ситуациях:

Между On-Prem SIP UA с iX(Active Control) и CMSOn-Prem SIP UA с iX(Active Control) и CMRSIP UA через MRA с iX(Active Control) и CMS



Между On-Prem SIP UA с iX(Active Control) и CMS

Exp-CExp-E CUCM CMS

Internet

Cisco Cloud CMR

Non-Secure JabberNon-Secure Jabber (MRA)

(1) SIP/SDP TCP

iX best effort Encrypt

(4) SIP/SDP TCP

iX unencrypted

(2) SIP/SDP TCP

iX unencrypted

(3) SIP/SDP TCP

iX unencrypted

iX stream over UDP/UDT



On-Prem SIP UA с iX(Active Control) и CMR

Exp-CExp-E CUCM CMS

Internet

Cisco Cloud CMR


(1) SIP/SDP TCP


(2) SIP/SDP TCP

iX unencrypted

(3) SIP/SDP TCP

iX port 0

(4) SIP/SDP TLS

iX Force Encrypted

XX

X

Не выполняется согласование iX

Non-Secure Neighbor Zone



SIP UA через MRA с iX(Active Control) и CMS

Exp-CExp-E CUCM CMS

Internet

Cisco Cloud CMR


(1) SIP/SDP TLS


(5) SIP/SDP TCP

iX unencrypted

(6) SIP/SDP TLS

iX port 0

(2) SIP/SDP TCP


(3) SIP/SDP TCP

iX unencrypted

(4) SIP/SDP TCP

iX unencrypted

MRA CEtcp-ucm Zone

Не выполняется согласование iX



Режим Media Encryption Configuration - CLI Signaled B-Side

TLS Force Encrypted xConfiguration Zones Zone <ZoneID> Neighbor SIP Media Encryption Mode: “On" Требуется шифрование

TCP CUCM best effort xConfiguration Zones Zone <ZoneID> Neighbor SIP Media Encryption Mode: "CucmBestEffort"Разрешен шифрованный iX даже в случае если

сигнализация не шифрованная

Force Unencrypted xConfiguration Zones Zone <ZoneID> Neighbor SIP Media Encryption Mode: “Off" Шифрование отсутствует

Настройка SIP OAuth решает проблему, однако существуют сценарии, когда SIP OAuth не может быть использованПолитики шифрования медиа зоны

Если для IM&P сервиса не настроен SSO, SIP OAuth не может быть использован с JabberCE терминалы не поддерживают SIP OAuth



Изменения в согласовании iX для On-Prem SIP UA с iX(Active Control) и CMR

Exp-CExp-E CUCM CMS

Internet

Cisco Cloud CMR


(1) SIP/SDP TCP


(2) SIP/SDP TLS


(3) SIP/SDP TLS


(5) SIP/SDP TLS

iX Force Encrypt

(6) SIP/SDP TCP

iX Force Encrypt

(5) SIP/SDP TLS

iX Force Encrypt

iX согласуется через UDP/DTLS

Secure Neighbor Zone

Neighbor Zone Configuration

xConfiguration Zones Zone 14 Neighbor SIP Media Encryption Mode: "CucmBestEffort"



Изменения в согласовании iX для SIP UA через MRA с iX(Active Control) и CMS

Exp-CExp-E CUCM CMS

Internet

Cisco Cloud CMR


(1) SIP/SDP TLS


(3) SIP/SDP TLS


(4) SIP/SDP TLS


(6) SIP/SDP TLS


iX согласуется через UDP/DTLS

(5) SIP/SDP TCP


(2) SIP/SDP TCP


MRA CEtcp-ucm Zone

Neighbor Zone Configuration

xConfiguration Zones Zone 15 Neighbor SIP Media Encryption Mode: "CucmBestEffort"

Основные новые возможности MRA Expressway X12.5

• SIP OAuth для Jabber клиентов (Oauth на SIP линии)

• ICE оптимизация медиа путей для MRA

• Поддержка получение сертификатов с использованием ACME протокола (Let’s Encrypt CA)

• Поддержка кодов активации для провижионинга новых устройства через MRA


Введение в Let’s Encrypt

• Let’s Encrypt это бесплатный, автоматизированный центр выдачи публичных сертификатов (Certificate Authority)

• Выпускает X.509 сертификаты для TLS шифрования

• Протестирована работа с Let’s Encrypt по ACME протоколу (Automated CertificateManagement Environment)

• Поддерживается полностью автоматизированный процесс выдачи сертификатов, избавляющий Администратора системы от необходимости вручную создавать, валидировать, подписывать и устанавливать обновленные сертификаты безопасности

• Сертификаты Let’s Encrypt действительны 90 дней, в течении которых возможно их обновление в любой момент

• Больше деталей www.letsencrypt.org


http://www.letsencrypt.org/

Новые возможности Expressway X12.5 - безопасность

• Подписанные Let’s Encrypt сертификаты совместимы с технологией MRA и могут быть использованы всеми поддерживающими MRA телефонами и терминалами

• Могут быть подписаны как сертификаты Expressway серверов, так и доменные сертификаты

• Новые сертификаты становятся доступны автоматически (если включен планировщик) или могут быть запрошены в ручном режиме. Применяются без перезагрузки системы

• Активные соединения – голос, видео и IM&P (XMPP сессии) не обрываются при обновлении системных сертификатов


The diagnostic log:

Certificate update (manually operating the deploy pending certificate):

2018-10-23T00:00:07.956+09:00 exp-e26 requestd[670]: Detail="requestd started" inotify="/tmp/request/ CLOSE_WRITE,CLOSE reset-certificates-apache-restart" Level="INFO" UTCTime="2018/10/22-15:00:07"

:2018-10-23T00:00:08.527+09:00 exp-e26 requestd[670]: Detail="requestd finished" inotify="/tmp/request/ CLOSE_WRITE,CLOSE reset-certificates-apache-restart" Level="INFO" UTCTime="2018/10/22-15:00:08"


• Получение сертификатов безопасности с использованием ACME протокола

• Настройка межсетевого экрана:

Разрешите входящий трафик на порт 80 Expressway-E

• Это требование обязательно при использовании сервиса сертификатов Let’s Encrypt

• Требуется доступность порта 80 на всех хостах добавляемых как SAN в CSR


InternetExpressway-E DNS



• DNS записи

Настройте А/ААА записи для всех SAN включаемых в CSR

• Let’s Encrypt должен подключиться ко всем записям в CSR, поэтому он должен разрешить их все



Subject Alternative Name

- ciscotp.com

- uc.ciscotp.com

- exp-e26.ciscotp.com

- turnserv2.ciscotp.com



• Установите сертификаты доверенного центра (CA):

Установите Let’s Encrypt CA сертификаты как доверенные CA сертификаты

• Вы должны установить как доверенные как корневой Let’s Encrypt CA сертификат, так и промежуточный CA





• Генерация CSR:

Сгенерируйте CSR, включающий в SAN все требуемые A/AAA записи

• Предоставьте Let’s Encrypt адрес электронной почты, на который он будет отсылать уведомления.(20 до истечения срока действия сертификата, потом за 10 дней и 1 день, по умолчанию)



Subject Alternative Name

- ciscotp.com

- uc.ciscotp.com

- exp-e26.ciscotp.com

- turnserv2.ciscotp.com



• Включите ACME сервис сертификатов:

Выберете «Let’s Encrypt» из выпадающего меню, заполните поле email и нажмите кнопку “Accept Terms & Conditions”

• Перед этим действием желательно прочесть “Let’s Encrypt Terms and Conditions” по ссылке выше





• Подпишите CSR у Let’s Encrypt:

Нажмите «Sign CSR with ACME Provider» для продолжения

• Let’s Encrypt проверит доступность записей в SAN и выпустит подписанный сертификат



The letsencrypt.log (stored under /mnt/harddisk/log)

"identifier": {

"type": "dns",

"value": "ciscotp.com"

},

"status": "valid",

"expires": "2018-11-18T13:59:55Z",

"challenges": [

{

"type": "http-01",

"status": "valid",

"uri": "https://acme-

v01.api.letsencrypt.org/acme/challenge/R_5hcvJgt78BE.........",

"token": "PPSin9NeauVkgirXV032s9iSIT……………..",

"validationRecord": [

{

"url": "http://ciscotp.com/.well-known/acme-

challenge/PPSin9NeauVkgi............",

"hostname": "ciscotp.com",

"port": "80",

"addressesResolved": [

"27.95.189.202"

Успешно получил подписанный сертификат



• Установка подписанного сертификата:

Нажмите “Deploy Pending Cert” для продолжения

• Убедитесь что ACME сертификат готов (нет ”pending” статуса) до его размещения



Сертификат успешно установлен



• Проверьте установленный сертификат:

В поле издатель (issuer) должно отображаться “Let’s Encrypt Authority X3”

• Сертификат сервера содержит записи подписавшего его CA и запрошенных SAN в “X509v3 Subject Alternative Name” секции





• Опционально – настройте обновление сертификатов по расписанию:

Настройте автоматический планировщик ACME (Automated Scheduler) для подписи и размещения сертификатов

• Запись планировщика должна содержать время и как минимум 1 день





• Ограничения:

Некоторым компаниям запрещено получать сертификаты от поставщика Lets Encrypt ACME (например домен cisco.com запрещен по просьбе Cisco)

Из-за простого механизма проверки эта возможность крайне полезна для MRA развертываний, но может не подходить для сертификатов доменов верхнего уровня (example.com), используемых приложениями Business to Business (B2B)

Нет поддержки Jabber Guest с ACME. В настоящее время Expressway не поддерживает ACME с развертываниями Jabber Guest, для него требуется настройка брандмауэра, переадресующаяпорт TCP 80 на TCP 9980, поэтому проверка соединения ACME не будут успешна, так как на 80 порту не отвечает виртуальный хост apache.


Другие новые возможности MRA Expressway X12.5

• Загрузка и управление настройками гарнитуры через MRA

• Возможность работать без необходимости настраивать _cisco-uds SRV DNS запись

• Работа над оптимизацией обработки сообщений регистрации

• Поддержка сообщений SIP UPDATE для обновления сессии





Internet

IDS DB

6970

6971/6972 6974 6973 6975

Exp-E Exp-C

CUCM

HA (HTTP) Proxy

TFTPHeadset Service

MRA

Port 8443

Exp-E/Exp-C прозрачно пропускает HTTP/SIP сообщения управления гарнитурами Заголовок

с информацией авторизации передается Jabber/Phone in POST https://<cucm>:6975/headset/metricsЗагрузка конфигурации

• GET /headset/config/user/<userid> • Существующий TFTP порт 6970/71/72 используется• MRA клиенты посылают сообщения на порт 8443 Exp-E, затем

Exp-C проксирует их на TFTP порты 6970/71/72 CUCM• Headset Config запрашивается при его изменении

(уведомление в SIP Notify) или первом подключении гарнитуры• Терминал делает случайную паузу (1 – 20 минут)

до следующего скачивания нового файла конфигурации

metric Server(Dashboard)




Automatic inbound rules теперь включают требуемые для функционала правила




Пример лога событий Expressway:2018-11-14T07:26:39.988+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="POST" Request="https://10.22.158.51:6974/headset/inventory" Rule="https://10.22.158.51:6974/headset/inventory" Match="exact" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:39,988“

2018-11-14T07:26:37.403+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="GET" Request="http://10.22.158.51:6970/headset/config/user/tomo" Rule="http://10.22.158.51:6970/" Match="prefix" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:37,403“

2018-11-14T07:26:34.826+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="GET" Request="https://10.22.158.51:6971/headset/config/user/tomo" Rule="https://10.22.158.51:6971/headset/config/user/" Match="prefix" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:34,826"

2018-11-14T07:26:34.619+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="GET" Request="https://10.22.158.51:6972/headset/config/user/tomo" Rule="https://10.22.158.51:6972/" Match="prefix" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:34,619"

2018-11-14T07:26:31.897+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="GET" Request="http://10.22.158.51:6970/headset/config" Rule="http://10.22.158.51:6970/" Match="prefix" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:31,897“

2018-11-14T07:26:28.802+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="GET" Request="https://10.22.158.51:6971/headset/config" Rule="https://10.22.158.51:6971/headset/config" Match="exact" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:28,802"

2018-11-14T07:26:28.598+00:00 traffic_server[31795]: Event="Request Allowed" Detail="Access allowed" Reason="In allow list" Username="tomo" Deployment="1" Method="GET" Request="https://10.22.158.51:6972/headset/config" Rule="https://10.22.158.51:6972/" Match="prefix" Type="Automatically generated rule for CUCM server" UTCTime="2018-11-14 07:26:28,598"

Другие новые возможности MRA Expressway X12.5• Возможность работы MRA без необходимости настраивать _cisco-uds SRV

DNS запись


Exp-CExp-E

CUCM

Internet

MRA Client

DNS

SRV _cisco-uds._tcp.ciscotp.com

HTTPS: GET //<cucm-fqdn>/cucm-uds/clusterUser?<user-name>

/cucm-uds/user/tomojabber"

found="true"/><homeCluster>ucm50.ciscotp.com</homeCluster></clusterUser>

Service: cisco-uds

Port: 8443

Target: ucm50.ciscotp.com

|GET https:///Y2lzY290cC5jb20/get_edge_config?

1. get_edge_config request

6. getEdgeConfigResponse

<getEdgeConfigResponse version="1.0">

<serviceConfig>

<service><name>_cisco-phone-tftp</name><server><priority>0</priority><weight>0

</weight><port>69</port><address>ucm50.ciscotp.com</address></server></service>

:

<service><name>_cisco-uds</name><server><priority>0</priority><weight>0</weight>

<port>8443</port><address>ucm50.ciscotp.com</address></server></service>

<service><name>tftpServer</name><address>ucm50.ciscotp.com</address></service>

<userUdsServer><server><address>10.22.158.50</address><tlsPort>8443</tlsPort></ser

ver></userUdsServer>

</edgeConfig></getEdgeConfigResponse>

A/AAAA ucm50.ciscotp.com

IPv4''TCP'‘10.22.158.50'

Раньше Exp-C использовал 2 метода для получения информации о домашнем UDS

• Ожидалось что оба uds запроса будут успешно разрешены• Результаты включались в ответ getEdgeConfigResponse


DNS запись


Раньше Exp-C использовал 2 метода для получения информации о домашнем UDS

• Если DNS SRV для UDS не разрешался getEdgeConfigResponse содержал пустое поле

• Jabber выводил ошибку: «Не могу подключиться к серверу»

Exp-CExp-E

CUCM

InternetMRA Client

DNS


HTTPS: GET //<cucm-fqdn>/cucm-uds/clusterUser?<user-

name>


found="true"/><homeCluster>ucm50.ciscotp.com</homeCluster></clusterUser

>

Service: cisco-uds

Not Found

|GET

https:///Y2lzY290cC5jb20/get_edge_config?




<serviceConfig>



:




<userUdsServer><server><address>”empty”</address><tlsPort></tlsPort></server>

</userUdsServer>


?


IPv4''TCP'‘10.22.158.50'


DNS запись


В Х12.5 Exp-C продолжает использовать 2 метода • Если cisco-uds не разрешается с помощью DNS SRV запроса,

будет использована информация о домашней нодекластера, вместо того чтобы включать в getEdgeConfigResponse пустое поле

Exp-CExp-E

CUCM

Internet

MRA Client

DNS


HTTPS: GET //<cucm-fqdn>/cucm-uds/clusterUser?<user-name>


found="true"/><homeCluster>ucm50.ciscotp.com</homeCluster></clusterUser>

Service: cisco-uds

Not Found

|GET https:///Y2lzY290cC5jb20/get_edge_config?




<serviceConfig>



:




<userUdsServer><server><address>10.22.158.50</address><tlsPort>8443</tlsPort>

</server></userUdsServer>



IPv4''TCP'‘10.22.158.50'




С версии X12.5, Expressway поддерживает SIP UPDATE через MRA соединение для обновления данных сессии в соответствии с RFC 4028Это новый функционал, и мы не рекомендуем включать его, если нет требований поддержки этой возможности.

Использование метода SIP UPDATE в других целях не поддерживается, не тестировалось, поэтому функционал, обеспечиваемый им, может работать не предсказуемо.




Exp-CExp-E CUCM

InternetMRA Client SIP UA

SIPMSG:

|INVITE sip:[email protected]:5060;transport=tcp;orig-hostport=10.71.33.154:50687

SIP/2.0

CSeq: 101 INVITE

Remote-Party-ID: <sip:[email protected];x-cisco-number=31002;x-cisco-callback-

number=31002>;party=calling;screen=yes;privacy=off

Contact: <sip:[email protected]:5060;transport=tcp>;video;audio

From: <sip:[email protected]>; tag=156449~7dcc63ce-9630-408e-ac85-7b965b215886-27611855

To: <sip:[email protected]>

:

Allow: INVITE,OPTIONS,INFO,BYE,CANCEL,ACK,PRACK,UPDATE,REFER,SUBSCRIBE,NOTIFY

User-Agent: Cisco-CUCM11.5

B2BUA раньше не поддерживал SIP UPDATE метод, поэтому сообщения INVITE модифицировались на Exp-C B2BUA (X8.11.4 или более старая версия ПО)

1) Получено сообщение INVITE от CUCM через neighbor zone с UPDATE в Allow атрибутах




Exp-CExp-E CUCM


SIPMSG:

|INVITE sip:[email protected]:5060;transport=tcp;orig-hostport=10.71.33.154:50687

SIP/2.0

CSeq: 101 INVITE


number=31002>;party=calling;screen=yes;privacy=off

Contact: <sip:[email protected]:5060;transport=tcp>;video;audio



:

Allow: INVITE,OPTIONS,INFO,BYE,CANCEL,ACK,PRACK,UPDATE,REFER,SUBSCRIBE,NOTIFY

User-Agent: Cisco-CUCM11.5


2) INVITE пересылается B2BUA сервису, пока UPDATE в Allow атрибутах сохраняется

B2BUA




Exp-CExp-E CUCM



3) INVITE пересылается IVY/Proxy сервисному модулю, исключая UPDATE из Allow атрибутов

B2BUA

SIPMSG:

|INVITE sip:[email protected]:50687;transport=tls;box-call-serial-number=xxxxx

SIP/2.0

CSeq: 101 INVITE


number=31002>;party=calling;privacy=off;screen=no

Contact: <sip:10.22.158.40:5073;transport=tls>



:

Allow: INVITE,ACK,BYE,CANCEL,INFO,OPTIONS,REFER,SUBSCRIBE,NOTIFY

User-Agent: TANDBERG/4136 (X8.11.3-b2bua-1.0)




Exp-CExp-E CUCM



3) INVITE пересылается Expressway-Edge, исключая UPDATE из Allow атрибутов

SIPMSG:

|INVITE sip:[email protected]:50687;transport=tls;box-call-serial-number=xxxxx

SIP/2.0

CSeq: 101 INVITE






:

Allow: INVITE,ACK,BYE,CANCEL,INFO,OPTIONS,REFER,SUBSCRIBE,NOTIFY

User-Agent: TANDBERG/4136 (X8.11.3-b2bua-1.0)




Exp-CExp-E CUCM


B2BUA теперь поддерживает SIP UPDATE методINVITE пересылается Expressway-Edge, включая UPDATE в Allow атрибутах после чего Expressway Edge прокси UPDATE информацию о совместимости/режимах для SIP UA

SIPMSG:

|INVITE sip:[email protected] SIP/2.0

CSeq: 101 INVITE




From: <sip:[email protected]>; tag=156449~7dcc63ce-9630-408e-ac85-7b965b215886-

27611855


:

Allow:

INVITE,OPTIONS,INFO,BYE,CANCEL,ACK,PRACK,UPDATE,REFER,SUBSCRIBE,NOTIFY

User-Agent: TANDBERG/4137 (X12.5-b2bua-1.0)


Rifle VolunteerExpressway X12.x

• IPv6 через MRA

• Do not disturb на MRA

• MRA выживаемость сессии

• CTI через MRA

• Extend & Connect через MRA

• Поодержка устройств через MRA с истекшим MIC сертификатом

• Фоновое прослушивание (Silent monitoring) и консультирование (whisper coaching) через MRA

• Приветствие агента через MRA

• Возможность запрещеать управляемую передачу файлов (MFT) для Jabber MRA

• REST API – управление и мониторинг

• Мульти VLAN/VRF

Планы разработки Expressway

Q3 2019 Q4 2019 Q1 2020 Q2 2019

Reformation 2-я волнаExpressway X12.x

• Smart Licensing

• Jabber Desktop MRA отказоустойчивость регистрации (Win & Mac)

• Jabber Mobile MRA отказоустойчивость регистрации (iOS)

• FIPS 140-2 Level 3 HSM

• Outbound SIP Simple IM&P Open Federation с Microsoft

• Поддержка AWS

• Удаление устаревшего и не используемого функционала (Starter pack, Fwd proxy, SCH, Adv Media GW)

Сервисный релиз

• ~6 недель интервал

Q3 2020

AnjunaExpressway X14

• Соответствие требованиям CSR14

• Jabber Mobile MRA отказоустойчивая регистрация (Android)

• Упрощение управления сертификатами

• Обновленный UI

• …

Сервисный релиз

• ~6 недель интервал

TMS 15.7, TMS PE 1.12, TMS XE 5.7

CMS 2.4CMM 1.1

Новый функционал TMS 15.7, TMSXE5.7, TMSPE1.12(Lightning Bolt)

• Поддержка шаблонов конференций для Cisco Meeting Server

• Поддержка шаблона участника конференции с DTMF до-набором для Cisco Meeting Server

• Информация о подключении к конференции в Cisco TMS BAPI

• Поддержка .NET 4.7 framework для TMS и TMSXE

• Поддержка Cisco Webex Codec Pro

• Возможность изменить начальную дату отсчета для диагностики конференций ;TMS Conference Diagnostics)

• Различные сервисные улучшения

• Новый инструмент для сбора логов TMS - Log Collection (TLC)


TMS Log Collection (TLC)


CMS 2.4 – новый ресурс для начинающих разработчиков


https://developer.cisco.com/cisco-meeting-server/

Новый функционал CMS 2.4


• Различные улучшения WebRTC, оптимизирован WebRTC интерофейс на базе Google Chrome в Android.

• Улучшение управления при работе с S4B Dual Home конференциями.

• Поддержка управления положением участника конференции на экране (API).

• Изменение отображаемого на экране имени участника конференции (API).

• Поддержка качества записи Recorder 1080p и только голос. Индикация записи S4B в гибридных конференциях Dual Home.

• Хранилище доверенных сертификатов XMPP, Websocket Events

• Отмена лицензии на брендирование.

• Интеграция с vBrick REV.

CEO Smith CFO Jones

CIO Brown

• Отображение в CMMконференций, запланированных в TMS, и в том числе еще не начавшихся конференций(на ближайшие 24 часа)

• Дополнительные фильтры для списка конференций

• Кросс-запуск интерфейса TMSиз интерфейса CMM

Cisco Meeting Management 1.1Интеграция с Cisco TelePresence Management Suite

Cisco Meeting Management 1.1Управление большими конференциями

• Управление группой участников

• Автоматическое выключение микрофона при подключении

• Новые фильтры для поиска участников

• Индикация аудио активности участников

• Назначение главного участника или участников

Cisco Meeting Management 1.1Поддержка интеграции с TMS

• Контролируйте запланированные конференции

• Новый фильтр конференций

CMM 1.10

CMS 2.5CMM 2.5, а также их развитие, планы разработки решений планирования и управления

Cisco Meeting Server новый функционал брендирования

CMS 2.5

Create zip file containing customizations

Install customization files to call bridge

Install customization files to web bridge

Локальное размещение файлов брендирования

• Больше не требуется использовать внешний web сервер

• Файлы брендирования используются CallBridge и WebBridge

Партнерские

решения

Запись и вещание

Аналитика

Инструменты управления

Стратегия разработки в области планирования и управления

TMS• Планирование

• Управление терминалами

CMM

• White glove tool

(Meeting Manager)

TMS планирование встреч.

OBTP на терминалах.Контролируйте и управляйте

Конференциями, используя

Meeting Management.

Cisco Meeting Server

TMS• Планирование

• Управление терминалами

CMM

• White glove tool

(Meeting Manager)

TMS планирование встреч.

OBTP на терминалах.Контролируйте и управляйте

конференциями, используя

Meeting Management.

Cisco Meeting Server

• @meet планирование CMS конференций - фаза 1

• Доступ к адресным книгам из CMM• TMS<->CMM API оптимизация• Сервисные улучшения• Поддержка Webex Board on-prem,

(требует CE 9.7)

• Поддержка перебрендированияWebex терминалов, Room 55/70 G2 и Pro кодека

• Поддержка раннего подключения (5-10-15 минут)

• Сервисные улучшения• SQL 2017• Поддержка https для IX5000 • Поддержка read only для CUCM AXL

Планы разработки TMS

Доступен - декабрь 2018 Не подтверждено

• Поддержка новых терминалов• Новые возможности с

использованием Calendar Connector• @meet для Webex meetings• @meet PMR• @meet Exchange on-prem• QuickJoin с O365 dual home

• O365 Oauth аутентификация

Апрель 2019

TMS 15.8 TMS 15.9 Будущее

TMS

Calendar Connector на Expressway-C

TMS B-API

CMSкластер

OBTP

Сеть предприятия

Планируемые конференции

• Организатор планирует

конференцию с

• @meet в поле location

• O365 или Google отправляет

уведомление

• Calendar service создает

конференцию в TMS

• Calendar service обновляет

приглашение, добавляя

детали подключения

Webex Cloud Hybrid Calendar Services

@Meet планирование CMSдля O365 Exchange и Google календаря

TelePresence Management Suite @meet планирование

Участники

Контактная информация

TelePresence Management Suite @meet планирование


Прогресс в разработке ключевых технологий CMS

Гостевой доступ

Присоединяйтесь к любому совещаниюCisco Meeting Server с HD-видео, аудио, общим доступом к контенту исредствами управления совещаниями

Режим управления и web конференции

Предоставляет организатору возможность контролировать собрание, просматривать список участников и обмениваться контентом без аудио и видео для экономии ресурсов сервераПодключение из любого места

WebRTC Application support by browser

Начиная с CMS 2.5 До CMS 2.4

Google Chrome

Mozilla Firefox

Apple Safari on macOS

Safari on iOS for iPad

Safari on iOS for iPhone

Microsoft Edge

CMS 2.5

Cisco Meeting Application – расширенная поддержка браузеров

Jabber 12.5 - Унификация программных клиентов

Jabber 12.5 – поддержка Active Control c Cisco Meeting Server

Список участников

Смена экранной раскладки

Индикация говорящего

Индикация презентующего

Добавление участника

Выключить/включить микрофон участника

Отключить участника

Блокировать/разблокировать конференцию

Начать/остановить запись

Дальнейшее развитие Jabber

• Jabber 12.6

• Full HD: 1080p

• CMS конференции с Jabber VDI

• Шифрованный Active Control

• Expressway x12.5

• UCM 12.5 SU1 (Q2 CY19)

• Дальнейшая CMS интеграция

• Ожидающие в лобби в списке участников

• Вкладка настроек конференции

• OBTP

• Установка Pin из Jabber портала

CMS архитектура пограничного доступа и интеграции

Интеграция с Microsoft • Expressway требуется для O365/B2B• Expressway между CMS и SfB Front

End сервером для интеграции голоса/видео и IM&P в одном домене

• X8.11.4 минимальная версия Expressway

CMA WebRTC• Поддержка через единственный

порт - 443 TCP

CMA толстый клиент*• Требует CMS Edge

CMS H.323 шлюз• Поддержка прекращена (End of

software maintenance support), рекомендуется использованиеExpressway для работы с H.323

Expressway-EExpressway-C

CMS Cluster

B2B-Video

CUCM

O365

CMS Edge*

CMA App*

Internet

Jabber

S4B: on-premises

*Cisco Jabber предпочтительное приложение UC

CMA WebRTC

On-Premises

Jabber for CMS: новый режимрежим «только CMS»

Collaboration(IM/P)

CallingMeetings

(Jabber for CMS

mode)

Новое

Детали:• Дополнительный функционал поставляется через A-CMS ATO

• На начальном этапе через RTU• Форсирование лицензий планируется в 2H CY19 (потребуется обновление UCM SUx)

• В базе работа только с CMS – это клиент конференции• Звонки точка-точка потребуют Jabber Calling лицензию• Ad hoc потребует Jabber Calling лицензию

• UCM масштабируемость: Как у Jabber устройств

Поставляется с CMS Flex CallingJabber for EveryoneРежим

Возможны изменения

Cisco: Microsoft Teams интеграция для видеоОбеспечит подключение Cisco терминалов к конференциям Microsoft Teams

• Новый Cisco Microsoft Teams Connector размещен в Microsoft Azure

• Обеспечит для CMS преобразование сигнализации и медиа

• Новый Webex микросервис (основанный на CMS технологиях) обеспечивает тот же функционал для терминалов, зарегистрированных в облаке

• Использует сервис гибридных календарейCisco Webex для планирования

• Планирование Microsoft Teams конференцийчерез Microsoft Outlook или Microsoft Teams

• Webex Hybrid Calendar Services при обнаружении в почтовом ящике письма приглашения, добавляет в него информацию о подключении к встрече

• OBTP доставляется на Cisco терминалы (черезCalendar Connector и TMS)

Microsoft

AzureCisco Microsoft

Teams Connector

Сеть предприятияTMS

Calendar Connector

на Expressway-C

Cisco Webex

Cloud Services

Premises

RegisteredОблачная

регистрация

Firewall

Маршрут медиа для зарегистрированных на облаке терминалов

Планирование

Маршрут медиа для зарегистрированных терминалов on-prem

Концепт

Unified CM и/или

Expressway

CMS

Interop Service

Calendar Service

Cisco Meeting Server эволюция масштабируемости

CMS 1000

CMS 2000CMS 2000

Call Bridge Groups

Full HD (1080p30) 48 350 350

HD (720p30) 96 700 500 CMS 2.4

700 CMS 2.6

SD (448p30) 192 1000 1000

Audio 3000 3000 3000

HD подключенийв конференции на одном сервере 96 450 450

CMS 2000

CMS 1000

Эволюция Call Bridge Groups

CB group

CB group

Поддержка группировки CallBridge

Версия CMS

Входящие соединения для зарегистрированных на CUCM терминалов

CMS 2.1

Поддержка исходящих соединений для зарегистрированных на CUCM терминалов

CMS 2.2

Поддержка CMA CMS 2.3

Поддержка зарегистрированных на Expressway терминалов

CMS 2.4Expressway 8.11.4

CMS 2000 700HD CMS 2.6 (планы разработки)

Cisco Meeting Management CMM 2.5

Поддержка локальных пользователей

• Локальные пользователи могут быть заведены при первоначальной настройке

• LDAP больше не требуется для CMMLDAP recommended for production environments

• Поддержка локальных пользователей для:

• Администраторов

• Операторов

Cisco Meeting Management – контроль лицензий

Включен в поставку CMSУправляйте активными конференциями вне зависимости от их места прохождения

• CMM 2.6 Только уведомления

• CMM 2.7 Включение Smart Licensing

• CMM 2.8 CMM – необходимый архитектурный элемент

CMS 2.6+

Cisco Meeting Management – контроль лицензий CMS 2.6

Изменение в лицензировании CMS

• CMM будет центром логирования и мониторинга использования, также для CMS он будет обеспечивать комплаенс использования лицензий

• В CMS и CMM 2.6 (весна) будет реализован удобный мониторинг использования лицензий

• CMM еще не требуется для работы, но позволит получать информацию о требуемых лицензиях через API CMS и отображать историю использования

• CMM 2.7 (лето); Работа через Smart Licensing Account и активация PAK

• A-CMS (новое предложение) будет работать через Smart Account в марте этого года(CCW)

• Для приобретения PMP/SMP/SMP-EP потребуется Smart Account в августе 2019

• CMM 2.8 (зима); CMM будет обязателен для использования CMS

• Планируется выпустить выпустить «легкий» OVA CMM - только для лицензионного функционала

• CMS Call-bridge будет проверять статус использования лицензий на CMM и если он non-compliance больше 60 дней – прекращать работу

CMS 2.6 новое API лицензирования

• CMS 2.6 лицензионное API обновлено

• CMS 2.6 считает лицензионную нагрузку каждые 5 минут на каждом CallBridge и хранит 90 дней

• При этом учитывается:

• Число PMP пользователей в базе данных

• Число конференций PMP пользователей (Авторизованный пользователь CMA больше не учитывается)

• Конференции, которые не лицензируются PMP, считаются SMP

• Дополнительно отслеживаются конкурентные сессии записи/трансляции

• CMM логирует каждый call bridge и сохраняет информацию в течении 91 дня. Возможность для отслеживания более длительных периодов использования планируется предоставить в Smart Licensing портале.

• Отслеживание ACU и отчеты по ним, планируется реализовать в CMM несколько позже

Новый метод для вычисления используемых PMP и SMP лицензий основан на проверке лицензионного пользователя активных конференций (CMA логин/аутентификация не учитывается)

1. Каждый пользователь имеет или не имеет ассоциированную PMP лицензию в базе данных пользователей.

2. Каждая конференция (space), лицензионным пользователем которой является владелец PMP лицензии - PMP конференция.

3. Если PMP пользователь проводит больше 2-х конференций одновременно (*), все последующие конференции считаются в счет SMP (с учетом 5 минутного интервала отслеживания)

4. Любые конференции без PMP владельца или dual home конференции считаются какSMP конференции.

5. Планируемым с TMS 15.4 или выше конференциям, в момент их старта, присваивается PMP владелец или они используют SMP лицензию

(*) Новая информация, возможны изменения

Изменение в лицензировании CMS

CMS 2.6 лицензирование: только аудио конференции и соединения через CMS шлюз в S4B

1. Аудио конференции, в которых нет ни одного видео участника или контента потребляют 1/6 SMP

2. Если конференции присвоен PMP пользователь, используется PMP, а не 1/6 SMP.

3. В тот момент, как в конференции появляется видео пользователь или включается контент, полная SMP лицензия используется (лицензионная нагрузка обновляется каждые 5 минут)

4. Сегодня только CMS API позволяет установить для конференции (space) или пользователя шаблон с подключением «только аудио» (установка недоступна через CMM/TMS/Webadmin GUI)

5. TMS пока не позволяет управлять только аудио/видео возможностями конференций на TMS/CMS кластере

6. GW соединения в SfB, или просто точка-точка через CMS, в любом сценарии где только 2 клиента – будут использовать 1/6 SMP лицензии.

Что дальше?

Cisco Meeting Management (CMM) • Локальный пользовательский аккаунт• Отображение участников

запланированных встреч• Индикация записи S4B

Cisco Meeting Server (CMS)• Локальное хранение файлов

брендирования

Q2 CY19 - Апрель

CMS 2.5 CMS 2.6

Поддержка WebRTC

• Safari iOS для iPad

• Safari iOS для iPhone (бета)

• Microsoft Edge (бета)

Удобство

настройки и

управления

Удобства

планирования,

использования

и подключения

Совместимость

Q3 CY19 - Август

CMS 2.7

Q4 CY18 - Выпущено

• Jabber 12.5 с ActiveControl• Участники лобби (ActiveControl)• CMA WebRTC: унифицированный UI

CMM• Монитор лицензионной нагрузки CMS кластера• Перемещение участников между

конференциями• Добавление учатстника из адресной книги TMS• Управление положением участников в экранной

раскладке (Pane Placemen)

• Поддержка Dual Home для Skype for Business 2019

• Поддержка сторонних SIP сервисов записи

• Поддержка (квалификация) VMWare ESXI 6.7

• @Meet планирование через Calendar Connector дляO365 и Google календарь

• CMS2k 700 HD подключений с call bridge group

• CMS: Показ собственного видео в окне экранной раскладки

• TMS: OBTP для Webex board on-premises (CE 9.7)

• Active Control для Jabber и Cisco терминалов: Шифрованный по умолчанию

• Cisco Smart Licensing для CMS Cluster(s)

• CMM – запереть/отпереть конференцию

• CMM User/Space создание/управление – фаза 1

• Добавление участников из адресной книги TMS

• Управление положением участников в экранной раскладке (Pane Placemen)

• Microsoft Teams (с поддержкой VBSS )

(Зависит от прохождения процедуры сертификации Microsoft)

• Поддержка сторонних SIP сервисов записи

• Новый пользовательский портал (ограниченная бета)

• Создание space с установкой гостевого пина/ пина владельца

• Новый WebRTC интерфейс (бета)• Room Kit Pro трехэкранное видео• Аудио сообщения счетчика участников

Планы разработки Cisco Meeting Server

Планы разработки Cisco Meeting Server - не подтверждённое

• Мониторинг нагрузки (свободной емкости)

• Имена участников- редактировать в CMM включая шрифт, размер, цвет

• Создание adhoc CMM оператором

• Просмотр скриншотов в CMM

• Пользовательский портал (SSO)

• Провижионинг и уведомление пользователей по почте

• Настройка CMS с помощью CMM

• CMM бакапирование / восстановление

• Модернизация CMS с помощью CMM

• Blast Dial

• Аадресная книга UDS

• Web bridge единовременный (сеансовый) пароль

• Больше 9 потоков в каскадном линке

• @PMR

• @ meet планирование с Premises Exchange

• Recording CDR дополнение (расположение файла записи)

• Поддержка дополнительных экранных раскладок

• FECC (Far End Camera Control)

• Индикация уровня звука

• OBTP с защитой пином

• Различные аудио возможности (настраиваемый звук при входе, представление при входе, Управление с помощью DTMF– выключить прием звука от всех, включить прием звука от всех)

• Улучшенный лобби

• O365 Quick Join

• Поддержка новых версий Skype for Business

• CMA WebRTC дальнейшие улучшения, поддержка новых версий MS Edge

• Поддержка основанного на Chromium браузера

• Обмен контентом 4k

• AGC (Automatic Gain Control)

• MARI

Удобство

настройки и

управления

Удобства

планирования,

использования

и подключения

Совместимость

Эволюция многоэкранного видео

Ограниченный набор экранных раскладок,

фиксированный для ролей экранов

Три фиксированных камеры

Гибкая конфигурация экранных раскладок,

возможность показать несколько активных

говорящих и источников контента

Один видеопоток интеллектуальной камеры,

подстраивающейся под сценарий

Выделенный экран контента Три экрана с меняющимися ролями

Фиксированная конфигурация комнаты и

набор мебели

Гибкая конфигурация, подходящая для

большинства комнат

Отдельная ветка ПОЗнакомое, традиционное представление

информации и управление


Высококачественное представление

-фиксированная конфигурацияРаботает сегодня

2-е полугодие 2019

Обеспечиваемый CMS премиальный сервис

Высококачественное представление

-гибкая конфигурация

Спасибо за внимание!

www.facebook.com/CiscoRu


www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

www.vk.com/cisco

Оцените данную сессию в мобильном приложении конференции

Контакты:

Тел.: +7 495 9611410www.cisco.com

нфраструктурные решения cisco для … · • sip oauth дляjabber...

Documents