Поиск и устранение неисправностей при работе Cisco Jabber через MRA

Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

Поиск и устранение
неисправностей при
работе Cisco Jabber
через MRA
Владимир Савостин
Технический лидер Cisco TAC по
технологиям совместной работы
© 2017 Cisco and/or its affiliates. All rights reserved.

Базовая топология
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 03
Интернет
Unified CM
Кластер
Expressway-C
Кластер
IM&P
Кластер
CUCM
Кластер
Expressway-E
Корп. DNS
hulk.lab
connect2017.ru
Внешний DNS
connect2017.ru
Внутренний
Firewall
Внешний
Firewall
DMZ

Версии компонентов
CUCM 11.5.1.12900-21 = 11.5(1)SU2
IM&P 11.5.1.12900-25 = 11.5(1)SU2
Expressway X8.9.2
Jabber for Windows 11.8.3.51659
Jabber for Mac 11.8.1.251552
Jabber for iPhone/iPad 11.8.1.250274
Jabber for Android 11.8.2.251552

Требования к версиям при миграции
Expressway X8.8 поддерживает:
CUCM 9.1(2)SU1 and IM&P 9.1(1)
Expressway X8.9 поддерживает только:
CUCM 10.X and IM&P 10.X
Важно: для IM&P 11.5 требуется Expressway X8.8
из-за смены AXL схемы в IM&P 11.5
Function="executeSQLQueryUpdate" Status="500" Content=" <?xml version='1.0' encoding='UTF-8'?>
<soapenv:Envelope xmlns:soapenv=" http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body>
<soapenv:Fault><faultcode>soapenv:Client</faultcode><faultstring>Number of columns in INSERT does not
match number of VALUES.</faultstring><detail><axlError><axlcode>-236</axlcode><axlmessage>Number
of columns in INSERT does not match number of VALUES.</axlmessage><request>executeSQLUpdate</request>
</axlError></detail></soapenv:Fault></soapenv:Body></soapenv:Envelope>"

MRA: VCS или Expressway
• Регистрация SIP клиентов на Exp-C (X8.8)
(Cisco и 3rd Party)
• Регистрация H.323 клиентов (X8.9)
• Сервисы: MRA, B2B, B2C(JG), Spark Hybrid,
WebEx CMR Hybrid и Cloud, Interop/GW
• Лицензирование по клиентам и сессиям
(RMS)
X8.9
“Expressway-C”
или Core
“Expressway-E”
или Edge
“VCS Control” “VCS Expressway”
VCS Expressway
• Регистрация клиентов SIP и H.323 на
VCS Control и VCS Expressway
• Поддержка MOVI клиентов (JVTP)
• Сервисы: MRA, B2B, B2C(JG), WebEx CMR
Hybrid и Cloud, Interop/GW
• Лицензирование по количеству
одновременных вызовов (oversubscription)

Развертывание и базовая настройка

Развертывание OVA темплейта
- Vmware snapshot-ы не поддерживаются
- Диск thin provisioning не поддерживается
- при переносе VM используйте vMotion, не
копируйте виртуальную машину (новый S/N)

Развертывание OVA темплейта
- начиная с X8.9 при первой загрузке добавлен
Secure Install Wizard

Загрузка с предыдущего образа
- через меню загрузчика GRUB
- через CLI (ssh/console)
Важно:
Если это новая инсталляция
(upgrade не проводился), то
TANDBERG image 2 – пустой!
Проверяем номер текущего образа, в данном случае это 1
Меняем образ при следующей перезагрузке на 2
Перезружаем Expressway с образа 2
Что будет если
загрузиться с этого
раздела ?
Попытка загрузки с него
приведет к крашу loader-а!

Сброс конфигурации (factory-reset)
если upgrade на этой системе не выполнялся, нужно загрузить 2 файла в
директорию /mnt/harddisk/factory-reset по SCP:
rk – release key, текстовый файл 16 байт
tandberg-image.tar.gz – текущая версия ПО

Настройка системы
Выставляем Unified Communications mode в ‘Mobile and Remote Access’ на С и E
Configuration -> Unified Communications -> Configuration
Начиная с версии X8.8 настройка делается через Service Setup Wizard
Expressway / VCS
Expressway-C / E
Mobile and Remote Access

Настройка системы - NTP
Конфигурация NTP -> System > Time
Настройки хоста в vCenter/vSphere

Конфигурация NTP -> System > Time
Настройки хоста в vCenter/vSphere

Если NTP не настроен или не синхронизирован на Exp-C и Exp-E, то:
• Jabber клиент может не зарегистрироваться на CUCM
Механизм обеспечения безопасности на базе SIP SERVICE сообщений:
① Expressway-E подписывает сообщение SERVICE timestamp-ом
② Expressway-E отправляет сообщение SERVICE на Expressway-C
③ Expressway-C проверяет, что сообщение SERVICE получено в течение 60 секунд после
отправки
2017-03-15T13:31:25+00:00 expe tvcs: UTCTime="2017-03-15 13:31:25,494" Module="network.sip" Level="DEBUG": Action="Sent"
Local-ip="192.168.7.13" Local-port="25000" Dst-ip="192.168.7.12" Dst-port="5060" Msg-Hash="13629837798905859732"
SIPMSG:
|SERVICE sip:serviceserver@192.168.7.12SIP/2.0
Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bK20f7fceaf01711e72b663e2f5ed15e8b14;rport
Call-ID: 49505ba2470db67f@127.0.0.1
CSeq: 55961 SERVICE
2017-03-15T13:31:25+00:00 expe tvcs: UTCTime="2017-03-15 13:31:25,533" Module="network.sip" Level="DEBUG":
Action="Received" Local-ip="192.168.7.13" Local-port="7001" Src-ip="192.168.7.12" Src-port="25016" Msg-
Hash="9285669053443766947"
SIPMSG:
|SIP/2.0 200 OK
Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bK20f7fceaf01711e72b663e2f5ed15e8b14;received=127.0.0.1;rport=25000
Сall-ID: 49505ba2470db67f@127.0.0.1
CSeq: 55961 SERVICE

Если NTP не настроен или не синхронизирован на Exp-C и Exp-E, то:
• сертификаты могут не пройти проверку на подлинность
• сложность в анализе логов и трейсов с различных компонентов:
- Expressway
- CUCM
- IM&P
- Jabber
- CUBE
Status -> Logs -> Event Log:
2017-03-10T08:58:16.507+03:00 tvcs: Event="Outbound TLS Negotiation Error" Service="SIP"
Src-ip="10.62.150.143" Src-port="25000" Dst-ip="10.62.150.145" Dst-port="7001"
Detail="certificate is not yet valid" Protocol="TLS" Common-name="exp-e1.connect2017.ru"
Level="1" UTCTime="2017-03-10 05:58:16,506"

Настройка системы - DNS
System -> DNS
“Domain name” будет добавляться к любым именам без домена для
образования FQDN:
- имена CUCM и IM&P серверов в (CCMAdmin -> System -> Server)

Начиная с версии X8.8 для Expressway-E должны быть настроены
прямые и обратные записи (forward zone и reverse zone) в DNS
• Проверка подлинности сертификата через Reverse DNS lookup для CN:

Status -> Logs -> Event Log:
2017-03-25T19:08:18.471+03:00 exp-c1 XCP_JABBERD[2386]: UTCTime="2017-03-25 16:08:18,471"
ThreadID="139649148679936" Module="Jabber" Level="WARN " CodeLocation="cvsservice.cpp:205"
Detail="exception in reverseDNSLookup: reverse DNS lookup failed for address=10.62.150.145"

Кластеризация

Настройка кластера
Требования к кластеру
- Одинаковая версия ПО на всех пирах
- Отсутствие NAT-а между пирами
- RTT 30 мс между каждым пиром
- Firewall между пирами - да
- Локальные настройки на каждом пире:
• LAN
• DNS
• Сертификаты
- LAN1 – внутр. (cluster), LAN2 - внешний
- Одинаковые лицензионные ключи
(кроме RMS, Desktop & Room registration, TURN relay)
X8.8 -> TLS

Начиная с версии X8.8 для репликации CDB используется
протокол TLS (tcp/4372), а не IPSec (udp/500) как в X8.7.3 и ранее
- более надежное соединение
- ip tcp adjust-mss <MTU-40> если MTU < 1500 между пирами
- для Exp-E кластера в режиме Enforce: DMZ IP PTR во внешнем DNS

Начиная с версии X8.9.2 для проверки имен в DMZ может быть
использован механизм Cluster address mapping

Настройка кластера – Primary Peer
Primary Peer
Permissive = не проверять подлинность сертификата
Enforcing = проверять подлинность сертификата
ВсеPeer-ыкластера (включая локальный)
TLS соединение

Настройка кластера – Secondary Peer
Имя кластера
Primary Peer

Все о firewall-ах: дизайн, NAT, порты

Настройка Firewall - NAT Reflection
Dual Firewall + Single NIC + Static NAT
Интернет
Firewall
Внешний
FirewallDMZ
Expressway E
IP: 172.16.50.5
Expressway C
IP: 10.62.150.143 LAN1
Expressway E
Public IP:
173.38.220.37
Outside
IP: 172.16.50.2
Inside
IP: 10.62.150.1
Inside
IP: 172.16.50.1
Outside
IP: 173.38.220.1

Dual Firewall + Single NIC + Static NAT
Интернет
Firewall
Внешний
FirewallDMZ
Expressway E
IP: 172.16.50.5
Expressway C
IP: 10.62.150.143 LAN1
Expressway E
Public IP:
173.38.220.37
Outside
IP: 172.16.50.2
Inside
IP: 10.62.150.1
Inside
IP: 172.16.50.1
Outside
IP: 173.38.220.1
Обращение на:
173.38.220.37
Конфигурация NAT внутреннего firewall-а:
object network expC-inside
host 10.62.150.143
!
object network expE-inside
host 173.38.220.37
!
object network expE-outside
host 172.16.50.5
!
nat (inside,outside) source static expC-inside expC-
inside destination static expE-inside expE-outside
Конфигурация NAT внешнего firewall-а:
object network expE-inside
host 172.16.50.5
!
host 173.38.220.37
!
nat (inside,outside) source static expE-inside expE-outside

Single Firewall + Single NIC + Static NAT
Интернет
Внешний
Firewall
Expressway E
IP: 172.16.50.5
Expressway C
IP: 10.62.150.143
LAN1
Expressway E
Public IP:
173.38.220.37
Inside
IP: 10.62.150.1
Outside
IP: 173.38.220.1
173.38.220.37
object network expC-inside
host 10.62.150.143
!
object network expE-DMZ
host 172.16.50.5
!
host 173.38.220.37
!
nat (inside,DMZ) source static expC-inside expC-inside destination
static expE-outside expE-DMZ
nat (DMZ,outside) source static expE-DMZ expE-outside
DMZ
IP: 172.16.50.1

Single Firewall + Dual NIC + Static NAT
Настройка Firewall - Dual NIC
Интернет
Внешний
Firewall
Expressway E
Expressway C
IP: 10.62.150.143
LAN1 IP:
172.16.51.5
Expressway E
Public IP:
173.38.220.37
Inside
IP: 10.62.150.1
Outside
IP: 173.38.220.1
172.16.51.5
без NAT-а
object network expE-DMZ1
host 172.16.50.5
!
host 173.38.220.37
!
nat (DMZ1,outside) source static expE-DMZ1 expE-outside
DMZ 1
IP: 172.16.50.1
DMZ 2
IP: 172.16.51.1
LAN2 IP:
172.16.50.5
Рекомендуется

Поддерживается ли Static NAT для Expressway-C ?
Настройка Firewall – замечания про NAT
Expressway-E без Static NAT – public IP адрес на интерфейсе:
- public подсеть в DMZ, редкая конфигурация
- нет необходимости в NAT Reflection
Exp-E отправляет на Exp-С сообщение SERVICE с Public IPи apparent;dsтэгом, Exp-C не может установить
соединение
2017-03-12T14:30:55.217+00:00 exp-e1 tvcs: UTCTime="2017-03-12 14:30:55,214" Module="network.sip" Level="DEBUG": Action="Sent"
Local-ip=“10.62.150.83" Local-port="25000" Dst-ip=“10.62.150.184" Dst-port="5060" Msg-Hash="9641926419647768"
SIPMSG:
|SERVICE sip:serviceserver@10.62.150.184 SIP/2.0
Via: SIP/2.0/TCP 10.62.150.183:5060;branch=z9hG4bK8cdc9840564955ae617cf799add3f25186;rport
Call-ID: efb7a12a988c37b4@127.0.0.1
CSeq: 46107 SERVICE
Contact: <sip:serviceproxy@10.62.150.183>
From: <sip:serviceproxy@10.62.150.183>;tag=583afbb4cdd00336
To: <sip:serviceserver@10.62.150.184>
Route: <sip:178.38.220.37:22210; transport=tls;apparent;ds;lr>
User-Agent: TANDBERG/4134 (X8.9.1)
Date: Sun, 12 Mar 2017 14:30:55 GMT
Event: service
P-Asserted-Identity: <sip:serviceproxy@10.62.150.183>
Content-Type: multipart/mixed;boundary=boundary-2902199a-937d-11e1-a1d4-a4badbf02afd
NAT для Expressway-C поддерживается, кроме одного случая:
- Exp-E + Single NIC + Static NAT (в 178.38.220.37)
- Exp-C static NAT в тот же адрес (178.38.220.37)

Настройка Firewall – замечания про NAT
Preferred Architecture (PA) рекомендует dual-NIC Static NAT дизайн
Настройка статического маршрута на внутренние сети на Exp-E
Лучше Static NAT чем Public IP на Expressway E
Выключаем SIP ALG на firewall-е – на самом деле не влияет
Проблемы с Single NIC:
• NAT Reflection – вовлечение network security команд, потенциал для
asymmetric routing
• B2BUA “видит” Public IP адрес в SIP пакетах, что значит – трафик должен
пройти через firewall -> нужна в 3 раза большая полоса пропускания

Настройка Firewall - порты
Голосовая почта (CUC)
Ресурсы конференций
Внешний
firewall
firewall
Expressway
E
Expressway
C
СUCM
Интернет
DMZ
Протокол Режим Сервис
SIP TLS Управление вызовами
– Register, Invite, и т.д.
Media SRTP Аудио, Видео,
Перезнтация, Управление
конференцией
HTTPS TLS Логин, Конфигурация,
Поиск контактов,
Голосовая почта
XMPP TLS Instant Messaging, Presence
(сообщения, статусы)
IM&P
Какой трафик проходит через firewall-ы?
ü HTTPS proxy для получения конфигурации клиентов
ü SIP/TLS, RTP/SRTP для аудио/вдео потоков
ü XCP/XMPP для IM&P (сообщения, статусы)
ü HTTPS сервисы (голосовая почта, фото контактов)
ü Traversal Connection между Expressway C and Expressway E
ü SSH туннель: обновление ClusterDB и трафик HTTPS reverse proxy

object network vcse-inside
host 172.16.51.5
object service xcp-router
service tcp destination eq 7400
object service ssh-tunnel
service tcp destination 2222
object service traversal-sip
object service media
service udp destination range 2776 2777
object-group service MRA-dmz-in
service-object object xcp-router
service-object object ssh-tunnel
service-object object traversal-sip
service-object object media
access-list dmz-in extended permit object-group MRA-dmz-in any object vcse-inside
access-group dmz-in in interface dmz
Настройка Firewall – порты

object network vcse-outside
host 172.16.50.5
object service xmpp
object service https-proxy
object service sips
object service media
service udp destination range 36002 59999
object-group service MRA-outside-in
service-object object xmpp
service-object object https-proxy
service-object object sips
service-object object media
access-list outside-in extended permit object-group MRA-outside-in any object vcse-outside
access-group outside-in in interface outside
Настройка Firewall - порты

Настройка Demultiplexing Ports на Exp-E
При развертывании Small/Medium
->Настраиваем Media Demultiplexing ports
По умолчанию: 2776 (RTP) – 2777 (RTCP)
или
->2 первых порта из диапазона Traversal Media
Expressway C Expressway E
36000-36001
или
2776-277736000-59999
Configuration -> Traversal Subzone
Configuration -> Traversal -> Ports

Настройка Demultiplexing Ports на Exp-E
При развертывании типа Large
->12 первых портов из диапазона Traversal Media
Expressway C Expressway E
36000-3601136000-59999
Configuration -> Traversal Subzone

Настройка Firewall – статус портов
• Local Inbound ports Local Outbound ports Remote listening ports

Expressway E – Local Inbound Ports
SIP сервер
Traversal
порты
Provisioning
XMPP роутер
XMPP клиент
Синхр-ия CDB

Expressway E – Local Outbound Ports

Expressway E – Remote Listening Ports

Expressway C – Local Inbound Ports
SIP транк
XMPP роутер
Синхр-ия CDB

Expressway C – Local Outbound Ports

Expressway C – Remote Listening Ports
SIP клиент
Traversal
XMPP
сервер
Provisioning
и TFTP

Сертификаты

Сертификаты – Server Certificate
> Maintenance
> Security Certificate
> Server Certificate

Какую ошибку выдаст Expressway ?
Сертификаты – Server Certificate - CSR
Прежде чем генерировать CSR
должны быть заданы
Host name и Domain name
Если вы ошиблись и загрузили
сертификат другого устройства

Сертификаты – Trusted CA
> Maintenance > Security Certificate > Trusted CA Certificate
Root
Intermediate 1
Intermediate 2
Client
Клиентский сертификат,
загружен для наглядности
Начиная с версии X8.8
можно загрузить только
один сертификат с
одинаковым CN

Сертификаты – Trusted CA
CA сертификат
Клиентский сертификат

Сертификат Expressway-C
Для чего он используется?

Сертификат Expressway-C - требования
Extended Key Usage
1. TLS Web Server Authentication
2. TLS Web Client Authentication
SAN атрибут содержит имена:
3. FQDN Expressway C
4. IM and Presence chat node алиасы
5. Названия Unified CM Security Profile
6. Expressway C Cluster name
Только для XMPP федерации
Только для Auth/Encr клиентов
Если есть кластер
Какая максимальная длина у
атрибута SAN ?
RFC 5280 не ограничивает длину
VCS/Exp проверяет первые 999 байт

• Должен быть подписан CA -> внутренний CA
компании или Public CA
• CA Root (цепочка CA сертификатов) должен быть
загружен в “Trusted CA certificate” на оба Expressway
загружен в Callmanager-trust CUCM кластера если
используется mixed-mode и Authenticated/Encrypted
режим для клиентов

Expressway C IM&P

Expressway C CUCM

Сертификат Expressway-C
CA root не загружен на Exp-E
Traversal Zone State Failed
Active (1 of 2)
• Expressway-C Diagnostics logs (traversal client)
.. Event="Outbound TLS Negotiation Error" Service="SIP" Src-ip="10.62.150.143" Src-
port="25051" Dst-ip="10.62.150.146" Dst-port="7001" Detail="tlsv1 alert unknown
ca" Protocol="TLS" Common-name="exp-e2.connect2017.ru" Level="1"..
• Expressway-C eventlog

Сертификат Expressway-E
Для чего он используется?

Extended Key Usage
1. TLS Web Server Authentication
2. TLS Web Client Authentication
SAN элемент содержит :
3. FQDN Expressway E
4. Внешний UC домен
5. Алиасы IM&P чат нодов
6. Домены XMPP федераций
Только для XMPP федерации

Сертификат Expressway-E - требования
• Должен быть подписан CA
• Внутренний CA компании или Public CA (для MRA на
7800/8800)
загружен в “Trusted CA certificate” на оба Expressway

Сертификат Expressway-E - требования
Expressway E Expressway C

Сертификат Expressway-E
CA root не загружен на Exp-C
Traversal Zone на Exp-C
• Expressway E diagnostic logs
exp-e1 tvcs: Event="Inbound TLS Negotiation Error" Service="SIP" Src-ip="10.62.150.144" Src-
port="25036" Dst-ip="10.62.150.145" Dst-port="7001" Detail="tlsv1 alert unknown ca"
Protocol="TLS" Level="1" UTCTime="2017-03-26 17:22:10,356"
• Expressway E event logs

Traversal зона

Настройка Traversal зоны
Expressway-E это traversal server в DMZ
Expressway-C это traversal client во внутренней сети
и устанавливает связь после настройки Traversal зоны
(как часто он это будет делать если зона не поднимается?)
CUCM
Корпоративная сеть DMZ Внешняя сеть
Expressway-C
Traversal Клиент
Expressway-E
Traversal Сервер
Endpoint
B
Internet
Endpoint
A
Канал управления
Сигнализация
Медиа

Настройка Traversal Server на Exp-E
• Тип обязательно: Unified
Communications traversal
• Добавьте пользователя под
которым будет
аутентифицироваться Traversal
Client (Expressway-C)
• Порт по умолчанию 7001
• Поле должно совпадать с CN
или SAN из Сертификата
присланного Traversal Client-
ом (Expressway C), в данном
случае это имя кластера
• Multistream mode включен
по умолчанию

• Состояние Traversal зоны
• Состояние подключения
Traversal Client-ов
Настройка Traversal Server на Exp-E

Настройка Traversal Client на Exp-C
• Тип обязательно : Unified
Communications traversal
• Username тот же что и на
Traversal Server-е (Exp-E)
• Порт, на котором слушает
Expressway-E

Настройка Traversal Client на Exp-C
• Должны быть в формате FQDN (*)
• Должны совпадать с CN или SAN
сертификата, присланного от
Expressway E
• Состояние подключения к
Traversal Server-ам
• Статус Traversal зоны
Должнырезолвиться в Public IP
адреса на Expressway E в случае
дизайна single NIC+ static NAT

Traversal зона - cостояние SSH туннеля
SSH туннель: Меню Status > Unified Communications

Traversal зона – адрес пира на совпадает
с CN или SAN
Peer Address указан как IP адрес
• Expressway C diagnostic logs
.. T13:13:32.441+03:00 exp-c1 tvcs: Event="Outbound TLS Negotiation
Error" Service="SIP" Src-ip="10.62.150.143" Src-port="25992" Dst-
ip="10.62.150.145" Dst-port="7001" Detail="Peer's TLS certificate
identity was unacceptable" Protocol="TLS" Common-
name="10.62.150.145" Level="1" UTCTime="2017-04-01
10:13:32,440“..

Traversal зона – адрес пира на совпадает
с CN или SAN
Peer Address/FQDN не совпадает с CN или SAN

Traversal зона – поиск проблем с
сертификатами

Traversal зона – неверное имя или пароль
Состояние пиров на стороне Traversal Client (Exp-C)
Expressway-C diagnostic logs:
...
Module="network.dns" Level="DEBUG": Detail="Sending DNS query" Name="exp-
e1.connect2017.ru" Type="A and AAAA"
Module="network.dns" Level="DEBUG": Detail="Resolved hostname to:
['IPv4''TCP''10.62.150.145'] (A/AAAA) Number of relevant records retrieved: 1"
Module="network.tcp" Level="DEBUG": Src-ip="10.62.150.143" Src-port=“26091"
Dst-ip="10.62.150.145" Dst-port="7001" Detail="TCP Connecting”
Module="network.tcp" Level="DEBUG": Src-ip=" 10.62.150.143 " Src-port=“26091"
Dst-ip=" 10.62.150.145" Dst-port="7001" Detail="TCP Connection Established”
…

Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="10.62.150.143" Local-port="26091" Dst-
ip="10.62.150.145" Dst-port="7001" Msg-Hash="6498679442882439689"
SIPMSG:
|OPTIONS sip:10.62.150.145:7001;transport=tls SIP/2.0
Module="network.sip" Level="DEBUG": Action="Received" Local-ip="10.62.150.143" Local-port="26091" Src-
ip="10.62.150.145" Src-port="7001" Msg-Hash="755138088333337408"
SIPMSG:
|SIP/2.0 401 Unauthorised
WWW-Authenticate: Digest realm="to-Exp-C", nonce="6c6b212488…", opaque="AQAAAM…",
stale=FALSE, algorithm=MD5, qop="auth"
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="10.62.150.143" Local-port="26091" Dst-
ip="10.62.150.145" Dst-port="7001" Msg-Hash="16231712146448602333"
SIPMSG:
|OPTIONS sip:10.62.150.145:7001;transport=tls SIP/2.0
Authorization: Digest nonce="09cb2108df222374a9f…", realm="to-Exp-C", opaque="AQAAAKQ0…"
algorithm=MD5, uri="sip:10.62.150.146:7001;transport=tls"
Module="network.sip" Level="DEBUG": Action="Received" Local-ip="10.62.150.143" Local-port="26091" Src-
ip="10.62.150.145" Src-port="7001" Msg-Hash="15018178885743692540"
SIPMSG:
|SIP/2.0 401 Unauthorised
Event="External Server Communications Failure" Reason="gatekeeper timed out"
Service="NeighbourGatekeeper" Dst-ip="10.62.150.145" Dst-port="7001" Detail="name:exp-
e1.connect2017.ru" Protocol="TCP" Level="1"

Expressway-E diagnostic logs
Module="network.ldap" Level="INFO": Detail="Authentication credential found in
directory for identity: traversal”
…
Module="developer.nomodule" Level="WARN"
CodeLocation="ppcmains/sip/sipproxy/SipProxyAuthentication.cpp(686)"
Method="SipProxyAuthentication::checkDigestSAResponse"Thread="0x7f2485cb0700":
calculated response does not match supplied response,
calculatedResponse=769c8f488f71eebdf28b61ab1dc9f5e9,
response=319a0bb365decf98c1bb7b3ce350f6ec
…
Event="Authentication Failed" Service="SIP" Src-ip="10.62.150.143" Src-port="26091"
Detail="Incorrect authentication credential for user" Protocol="TLS" Method="OPTIONS"
Level="1”

Expressway-C event log
Expressway-E event log

Настройка UC серверов
UC Server Discovery

UC Server Discovery

CUCM Server Discovery
• Распознает версию
• Распознает hostname (processnodetable)
2017-03-25T22:35:11.365+03:00 exp-c1 management UTCTime="2017-03-25 19:35:11,364" Module="network.axl"
Level="INFO" Action="Send" URL="https://10.62.150.183:8443/axl/" Function="getCCMVersion“
Level="DEBUG" Action="Received" URL="https://10.62.150.183:8443/axl/" Function="getCCMVersion" Status="200"
Content=" <?xml version='1.0' encoding='UTF-8<soapenv:Body><ns:getCCMVersionResponse
xmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><componentVersion><version>11.5.1.12900(21)</versi
on></componentVersion></return></ns:getCCMVersionResponse></soapenv:Body></soapenv:Envelope> "
Level="INFO" Action="Send" URL="https://10.62.150.183:8443/axl/" Function="listProcessNode“
2017-03-25T22:35:11.758+03:00 exp-c1 management UTCTime="2017-03-25 19:35:11,757" Module="network.axl" Level="DEBUG"
Action="Received" URL="https://10.62.150.183:8443/axl/" Function="listProcessNode" Status="200" Content=" <?xml version='1.0'
encoding='UTF-8'?><soapenv:Body><ns:listProcessNodeResponse
xmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><processNode uuid="{00000000-1111-0000-0000-
000000000000}"><name>EnterpriseWideData</name><nodeUsage>Subscriber</nodeUsage></processNode><processNode
uuid="{9237179A-CD10-4107-968F-0159F062B16B}"><name>10.62.150.183</name>
<nodeUsage>Publisher</nodeUsage></processNode><processNode uuid="{57B8DE84-89C3-7759-5D40-
2703AFB1C74B}"><name>10.62.150.185</name><nodeUsage>Publisher</nodeUsage></processNode><processNode
uuid="{9FC9B6CC-DACA-9899-BDA0-18304DCD1B3A}"><name>10.62.150.184</name>
<nodeUsage>Subscriber</nodeUsage></processNode><processNode uuid="{D99674CF-4982-7BE0-902A-
A4ABAE836C8C}"><name>10.62.150.186</name><nodeUsage>Subscriber</nodeUsage></processNode></return>”

• Распознает Cluster Security mode (Transport Protocol )
Action="Send" URL="https://10.62.150.183:8443/axl/" Function="executeSQLQuery" Header="{'SOAPAction': '"CUCM:DB
ver=11.0 executeSQLQuery"', 'Authorization': '<CONCEALED>', 'User-Agent': 'TANDBERG-Video-Communication-Server/X8.9.1'}"
AXL=" <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:ns="http://www.cisco.com/AXL/API/11.0"> <soapenv:Header/> <soapenv:Body> <ns:executeSQLQuery sequence="?">
<sql> SELECT paramvalue FROM processconfig WHERE paramname = 'ClusterSecurityMode'</sql>
</ns:executeSQLQuery></soapenv:Body></soapenv:Envelope> “
Action="Received" URL="https://10.62.150.183:8443/axl/" Function="executeSQLQuery" Status="200" Content=" <?xml
version='1.0' encoding='UTF-8'?><soapenv:Envelope
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><ns:executeSQLQueryResponse
xmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><row><paramvalue>1</paramvalue></row></return></ns:exec
uteSQLQueryResponse></soapenv:Body></soapenv:Envelope> "
Standard AXL API access role

• Внимание, дефекты!
Expressway также делает выборку серверов из таблицы certificateprocessnodemap:
Action="Send" URL="https://10.62.150.183:8443/axl/" Function="executeSQLQuery" Header="{'SOAPAction': '"CUCM:DB ver=11.0
executeSQLQuery"', 'Authorization': '<CONCEALED>', 'User-Agent': 'TANDBERG-Video-Communication-Server/X8.9.1'}" AXL="
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ns="http://www.cisco.com/AXL/API/11.0">
<soapenv:Header/> <soapenv:Body> <ns:executeSQLQuery sequence="?"> <sql> SELECT DISTINCT servername,
ipv4address, ipv6address FROM certificateprocessnodemap</sql>
</ns:executeSQLQuery></soapenv:Body></soapenv:Envelope> "
Action="Received" URL="https://10.62.150.183:8443/axl/" Function="executeSQLQuery" Status="200" Content=" <?xml version='1.0'
encoding='UTF-8'?><soapenv:Envelope
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Body><ns:executeSQLQueryResponse
xmlns:ns="http://www.cisco.com/AXL/API/11.0"><return><row><servername>cucm01</servername><ipv4address>10.62.150.18
3</ipv4address><ipv6address/></row><row><servername>cucm02</servername><ipv4address>10.62.150.184</ipv4address><i
pv6address/></row></return></ns:executeSQLQueryResponse></soapenv:Body></soapenv:Envelope> “
Если в таблице присутствуют trust сертификаты с серверов, которых уже нет в
кластере, Expressway добавит эти сервера в список и будет пытаться к ним обращаться
CSCvb29260 Old Cluster details still available on new CUCM post N/W migration - PCD
CSCvb89326 Deleted Certificate entries still exist in the CUCM DB

CUCM Server Discovery – TLS Verify Mode
TLS verify mode = On
Unified CM Publisher address = FQDN, должен
совпадать с CN сертификата TOMCAT на Publisher-е

Unified CM Publisher address = FQDN, должен
совпадать с SAN сертификата TOMCAT на Publisher-е

CA сертификат должен быть загружен в
‘Trusted CA Certificate’ список на Expressway-C

TLS verify mode = Off
Нет требований
для сертификатов

CUCM Server Discovery – настройка зон
• Автоконфигурация зон для серверов и протоколов
• Синтаксис : ‘CEtcp-<ИмяСервера>’ и ‘CEtls-<ИмяСервера>’
• 1 Search Rule для каждого сервера и протокола
• Pattern matching правило для header-а

CUCM Server Discovery – настройка зон
INVITE sip:30110@10.62.150.183 SIP/2.0
Via: SIP/2.0/TLS 10.62.150.145:7001;egress-zone=toExpC;branc…
Via: SIP/2.0/TLS 10.229.68.169:59481;branch=z9hG4bKfde5f62e…
Call-ID: f6269adbe775e031fa76d0d844070e9f
CSeq: 100 INVITE
Remote-Party-ID: <sip:31101@10.62.150.183>;privacy=off….
Contact: <sip:543c5ec5-aeae-f743-e872-e184c1b0cf95@.....
From: <sip:31101@10.62.150.183>;tag=9276be4e4152f9d1
To: <sip:30110@10.62.150.183>
Route: <sip:10.62.150.183;transport=tcp;lr>
Record-Route: <sip:proxy-call-id=81133000-cad5-4d87-90b2-.....
Record-Route: <sip:proxy-call-id=81133000-cad5-4d87-90b2-....
Allow: INVITE,ACK,CANCEL,BYE,UPDATE,INFO,OPTIONS,REF…
User-Agent: Cisco-CSF
Выбирается клиентом
на основе:
• Device Pool
• Device Security mode

UC Server Discovery – разные домены
Имена
сucm01,
сucm01.connect2017.ru
сucm02,
сucm02.connect2017.ru
не резолвятся через DNS

Если сервера заданы в виде
FQDN и статус ‘Active’
значит Exp-C смог получить
DNS ответ на запрос A
<hostname>@<domain> для
имен, заданных на CUCM
В данном случае
cucm01.hulk.lab и
cucm02.hulk.lab
Рекомендуется

DNS запросы не отправляются
т.к. на CUCMзаданы адреса
серверов
Статус протоколов на Exp-C
всегда будет ‘Active’

UC Server Discovery – self-signed
сертификаты
TLS verify + Self Signed CCM/Tomcat сертификаты
Если Tomcat серт. загружен первым -> Поиск отработает
Если CCM серт. загружен первым -> Поиск выдаст ошибку
TLS verify + Self Signed CCM/Tomcat сертификаты +
Шифрование
Либо поиск выдаст ошибку, либо TLS соединение с CUCM
не будет работать
Если сертификаты на CUCM self-signed, то
используем ‘TLS verify mode’ = ‘Off’

UC Server Discovery – Multi-Server
сертификаты
Multi-Server сертификаты for CUCM/IM&P
поддерживаются начиная с версии 10.5 и
имеют суффикс ‘-ms’ в CN
Такой сертификат содержит все имена и
FQDN серверов кластера
Expressway X8.2+ поддерживает
multi-server сертификаты

Single Sign-On через MRA

Конфигурация Edge SSO
Сервисы
Unified Call Manager (UCM)
Unified CM IM&P
Unity Connection
Conferencing Resources
Jabber 11.8
Инфраструктур
а
Identity
Exp-C
CUCM
Интернет
DN
S
Exp-E
Federated
Внутренняя сеть Внешняя сетьDMZ
AD
IdP IdP
Прокси
Service
Provider
Identity
Provider
IdP
Active
Directory
SAML
Request
SAML
Assertion
Assertion
Consumer
Service
Клиент
Domain Name
System
§ SAML 2.0 совместимый IdP
§ Должен быть доступен из внешней сети
§ Верианты внедрения: IdP прокси или
federated identity service
OpenAM

Edge SSO - аутентификация
Jabber клиент
Collaboration
Сервисы
Exp-C
СUCM
Интернет
Внутренняя сеть Внешняя сетьDMZ 1) Jabber обнаруживает Edge через DNS SRV
DNS
2) Jabber делает запрос для проверки, что SSO включен для пользователя (по e-mail):
GET https://exp-e1.connect2017.com:8443/#(домен) <-- в base64
/get_edge_sso?email=user1@connect2017.ru
5) Ответ включает URL для объекта /authorize:
<?xml version='1.0' encoding='UTF-8'?>
<SSOResult version="1.0">
<Response>
<SingleSignOn>
<Status enabled="true"/>
<Token reuse="false"/>
<Uri>https://exp-e1.connect2017.ru:8443/#(домен)/authorize</Uri>
</SingleSignOn>
</Response>
</SSOResult>
Exp-E
Поиск Home cluster для
пользователя
Адрес объекта /authorize
3) <?xml version='1.0' encoding='UTF-8'?>
<SSOResult version="1.0"><Response><SingleSignOn><Status enabled="false"/>
4) Jabber делает запрос для проверки, что SSO включен для пользователя (по username)
GET https://exp-e1.connect2017.com:8443/#(домен) <-- в base64
/get_edge_sso?username=user1

Edge SSO - аутентификация
Jabber клиент
Collaboration
Сервисы
Exp-C
UCM
Интернет
6) Jabber клиент инициирует аутентификацию:
GET https://exp-e1.connect2017.ru:8443/#(connect2017.ru)/authorize
7) Exp-C перенаправляет запрос на IdP, в данном случае ADFS:
HTTP/1.1 302 Found
Location: https://win2012-dc.hulk.lab/adfs/ls/?SAMLRequest=<...>
Exp-E
Объект API /authorize используется клиентом для инициирования аутентификациии получения
токена авторизации, который будет использован при обращении к HTTP, XMPP и SIP сервисам
Expressway-C создает SAML запрос и
перенаправляет клиента к Identity
Provider (IdP)

Edge SSO – IdP аутен-ция, SAML Response
Jabber клиент
Collaboration
Сервисы
Exp-C
СUCM
Интернет
Exp-E
8) Jabber клиент отправляет SAML auth request на IdP
9) Jabber получает SAML response с asssertion от IdP и
URL для перенаправления на Exp-E:
200 OK
Редирект на Exp-E ACS URL
{SAMLResponse=JBR_ASSERT_1}
IdP
10) Jabber клиент отправляет SAML Response на Exp-EExp-C проверяет SAML Response и
извлекает SAML Assertion

Edge SSO – authorize_proxy
Jabber клиент
Collaboration
Сервисы
Exp-C
СUCM
Интернет
11) EXPWY-C вызывает authorize_proxy API
POST https://ucxn:8443/ssosp/token/authorize_proxy
Content-Type: application/x-www-form-urlencoded
Authorization: (AXL user/password)
client_id=CLIENT-ID
&response_type=token
&Assertion=SAML-ASSERTION
&realm=local
12) Successful response
200 OK
{ access_token : abc123
token_type : Bearer
exprires_in : 3600000 }
Exp-E
Exp-C использует
/authorize_proxy API
замены Assertion на Token
Exp-C кэширует token для пользователя с
указаннымTTL

Edge SSO – /oauthcb
Jabber
клиент
Collaboration
Сервисы
Exp-C
CUCM
Интернет
Внутренняя сеть Внешнаяя сетьDMZ
Exp-E
• Exp-C генерирует токен и
перенаправляет клиента
• Клиент получает токен
• Процесс может повторяться
для разных типов сервисов с
некоторыми изменениями –
SIP, XMPP, HTTP, и.т.д.
13) Exp-C перенаправляет клиента на oauthcb интерфейс
302 Found
Location: https://exp-e1.connect2017.ru:8443/oauthcb
#access_token=OAUTH-TOKEN
&token_type=Bearer
&expires_in=3600000
&sip_token=SIP-TOKEN
&sip_expires_in=3600000
14) Клиент вызывает oauthcb API
GET
https://xp-e1.connect2017.ru:8443/oauthcb#access_token=TOKEN
15) Клиент получает 200OK и javascript
<head>
<Title>Authorization Complete</Title>
<script language="javascript">
document.write("Authorization Complete");
</script>
</head>
<body>
</body>

Edge SSO – компоненты и версии
Компонент Минимальная Версия
Cisco Expressway или Cisco VCS X8.5
Unified CM 10.5(2)
Unified CM IM&P 10.5(x)
Unity Connection 10.5(x)
Jabber for Windows 10.6
Jabber for iPhone and iPad 10.6
Jabber for MAC 10.6
Jabber for Android 10.6
SAML SSO функционал протестирован и поддерживается со следующими IdP:
Microsoft Active Directory Federation Services (ADFS) version 2.0
Open Access Manager (OpenAM) version 11.0
PingFederate version 6.10.0.4
F5 BIP-IP 11.6.0
Требования к версиям компонентов

Edge SSO – настройка
Шаг 1: Загружаем файл с XML metadata с IdP (например ADFS 2.0):
https://hostname/federationmetadata/2007-06/federationmetadata.xml
Шаг 2: На Expressway-C загружаем файл с metadata:
- Configuration > Unified Communications > Identity Providers
- После импорта идем в “Associate domains” и выбираем домены, ассоциированные с данным IdP

Edge SSO – настройка
Шаг 3: Экспортируем SAML data с Expressway-C
- Configuration > Unified Communications > Export SAML data
Важно: SSH туннели к Expressway-E должны быть настроены и установлены перед экспортом
SAML XML
Шаг 4: Загружаем SAML XML файл на IdP в Trust Relay

Edge SSO – устранение проблем
Fiddler tool
Fiddler используется для получения доступа к HTTPS сообщениям,
пересылаемым между Jabber клиентом, IdP и Expressway.
https://www.telerik.com/download/fiddler

Fiddler tool
Разрешим Fiddler-у доступ к https сообщениям: Tools -> Telerik Fiddler Options -> HTTPS

HTTPS SAML Decoder
После захвана Https сообщений Fiddler-ом нужно декодировать SAML сообщения.
Онлайн SAML декодер: https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php
SAMLRequest=AfkBBv48c2FtbHA6QXV0aG5SZXF1ZXN0IHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0F
NTDoyLjA6cHJvdG9jb2wiIEFzc2VydGlvbkNvbnN1bWVyU2VydmljZVVSTD0iaHR0cHM6Ly9leHAtZTEuY29ubmVjdDIwMTcu
cnU6ODQ0My9ZMjl1Ym1WamRESXdNVGN1Y25VL2ZlZGxldCIgRGVzdGluYXRpb249Imh0dHBzOi8vd2luMjAxMi1kYy5od
WxrLmxhYi9hZGZzL2xzLyIgSUQ9ImlkLWZlZGJlYzVkLWI1ZmItNDk5Zi05OTc2LTQ1YTVjNWM5NzQ2MSIgSXNzdWVJbnN0
YW50PSIyMDE3LTA0LTAyVDA4OjU5OjM5WiIgUHJvdG9jb2xCaW5kaW5nPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDo
yLjA6YmluZGluZ3M6SFRUUC1QT1NUIiBWZXJzaW9uPSIyLjAiPjxzYW1sOklzc3VlciB4bWxuczpzYW1sPSJ1cm46b2FzaXM
6bmFtZXM6dGM6U0FNTDoyLjA6YXNzZXJ0aW9uIj5jb25uZWN0MjAxNy5ydS0tQjFCRjNFMEE1N0E5RTc3Mzwvc2FtbDpJc
3N1ZXI%2BPC9zYW1scDpBdXRoblJlcXVlc3Q%2B&SigAlg=http%3A%2F%2Fwww.w3.org%2F2001%2F04%2Fxmldsig-
more…
После декодирования:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
AssertionConsumerServiceURL="https://exp-
e1.connect2017.ru:8443/Y29ubmVjdDIwMTcucnU/fedlet" Destination="https://win2012-
dc.hulk.lab/adfs/ls/" ID="id-fedbec5d-b5fb-499f-9976-45a5c5c97461" IssueInstant="2017-03-
25T08:59:39Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Version="2.0"><saml:Issuer
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">connect2017.ru--
B1BF3E0A57A9E773</saml:Issuer></samlp:AuthnRequest>

HTTPS SAML Decoder
После захвана Https сообщений Fiddler-ом нужно декодировать SAML сообщения.
Онлайн SAML декодер: https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php
SAMLResponse=PHNhbWxwOlJlc3BvbnNlIElEPSJfY2JkZDNiMDYtMjZjMi00MTg3LWJkYjEtYjQ5ODk0Mzg4NTY
4IiBWZXJzaW9uPSIyLjAiIElzc3VlSW5zdGFudD0iMjAxNy0wNC0wMlQwODo1OToyOC4zNTVaIiBEZXN0aW5hdGl
vbj0iaHR0cHM6Ly9leHAtZTEuY29ubmVjdDIwMTcucnU6ODQ0My9ZMjl1Ym1WamRESXdNVGN1Y25VL2ZlZGxld
CIgQ29uc2VudD0idXJuOm9hc2lzOm5hbWVzOnRjOlNBTUw6Mi4wOmNvbnNlbnQHVyZSB4bWxuczpkcz0iaHR0c
DovL3d3dy53My5vcmcvMjAwMC8wOS94bWxkc2lnIyI%2BPGRzOlNpZ25lZEluZm8%2BPGRzOkNhbm9uaWNhb
Gl6YXRpb25NZXRob2QgQWxnb3JpdGhtPSJodHRwOi8vd3d3LnczLm9yZy8yMDAxLzEwL3htbC1leGMtYzE0biMiI
C8%2B48ZHM6VHJhbnNmb3Jtcz48ZHM6VHJhbnNmb3JtIEFsZ29yaXRobT0iaHR0cDovL3d3dy53My5vcmcvMjA
wMC8wOS94bWxkc2lnI2VudmVsb3BlZC1zaWduYXR1cmUiIC8%2BPGRzOlRyYW5zZm9ybSBBbGdvcml0aG09I
mh0dHA6Ly93d3cudzMub3JnLzIwMDEvMTAveG1sLWV4Yy1jMTRuIyIgLz48L2RzOlRyYW5zZm9ybX…
После декодирования:
<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"
/></samlp:Status><EncryptedAssertion
xmlns="urn:oasis:names:tc:SAML:2.0:assertion"><xenc:EncryptedData
Type="http://www.w3.org/2001/04/xmlenc#Element"
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#"><xenc:EncryptionMethod
Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />

Трейсы компонентов
Expressway-C
CUCM/CUC/IM&P - ssosp логи:
- из CUCM CLI на каждом сервере: set samltrace level DEBUG
- скачать трейсы: file get activelog /tomcat/logs/ssosp/log4j/*.log

ADFS ошибка при логине Jabber клиента

ADFS ошибка при логине Jabber клиента
Не добавлен Relaying Party Trust
для Expressway-C c
Relaying Party Identifier
connect2017.ru-B1BF3E0A57A9E773

Cant open page. Try again later.

Из логов Expressway-C:
2017-03-25T16:58:58.273+03:00 exp-c1 edgeconfigprovisioning: Level="WARN" Event="Invalid request" Service="SSO" Detail="Invalid
SAML Response" Local-ip="127.0.0.1" Local-port="22111" Reason="No uid Attribute in Assertion from IdP" Src-ip="127.0.0.1"
Src-port="34426" UTCTime="2017-03-25 13:58:58,277“
2017-03-25T16:58:58.273+03:00 exp-c1 edgeconfigprovisioning: UTCTime="2017-03-25 13:58:58,275"
Module="developer.edgeconfigprovisioning.server.sso" Level="WARN" CodeLocation="samlhelpers(821)" Service="SSO" Detail="No
InResponseTo attribute in Assertion“
Module="developer.edgeconfigprovisioning.server.sso" Level="INFO" CodeLocation="samlhelpers(489)" Service="SSO"
Detail="Response passed signature verification so skipping Assertion signature check“
Module="developer.edgeconfigprovisioning.server.sso" Level="WARN" CodeLocation="samlhelpers(686)" Service="SSO"
Detail="Required AuthnInstanceattribute not found“
2017-04-02T16:58:58.273+03:00 exp-c1 traffic_server[21890]: UTCTime="2017-04-02 13:58:58,278"
Module="network.http.trafficserver" Level="INFO": Detail="Sending Response" Txn-id="317" Dst-ip="127.0.0.1" Dst-port="30370"
Msg="HTTP/1.1 403 Forbidden“
Msg="HTTP/1.1 403 HTTPMSG:
|HTTP/1.1
403 Forbidden
Transfer-Encoding: chunked
Чего не хватает на этот раз ?

Диагностика компонентов

Диагностика Expressway-E

Диагностика Expressway-C

Диагностика Expressway
Событие, код ошибки

Диагностика Expressway
Поиск по времени

Диагностика Expressway - алармы

Диагностика Expressway – Diagnostic logs

Диагностика Expressway – Diagnostic logs
Как посмотреть статистику вызова
в Jabber для Windows?
Как посмотреть диагностику
клиента в Jabber для Windows?

Диагностика Jabber клиента - Ctrl+Shift+D

Диагностика Jabber клиента - Edge Config

Проверка регистрации Jabber клиента
Expressway C отображается как адрес
регистрации Jabber клиента

Проверка регистрации Jabber клиента -
если включен SIP Path Headers Support
Expressway X8.9
CUCM 11.5(1)SU2
Обеспечивает поддержку для:
Shared line и Multiline
на 78XX/88XX
В версии < 11.5(1)SU2:
- CUCM отображает
действительный адрес
Jabber клиента
SIP Path Header

Сниффер трейс – декодирование TLS
Проверка
Сертификата
Генерация pre-
master секрета
Вычисление
ключей
Client Hello (ciphers, extensions, …)
Server Hello (ciphers, extensions, …)
Вычисление
ключей
Server Hello Done
Pre-master secret
Client Finished
Server Finished

Сниффер трейс – декодирование TLS
Все основные сервисы используют Perfect Forward Secrecy – PFS и при поддержке Diffie-Hellman Ephemeral
с шифрами DHE и ECDHE передача pre-master secret не требуется, стороны вчисляют shared secret
локально

Декодирование TLS – отключение DHE
SIP TCP/5061
xConfiguration SIP TLS CipherSuite: "ALL:!DHE:!ECDHE:!EXP:!LOW:!MD5:!RC4:@STRENGTH:+ADH"
TrafficServer TCP/8443
vi /tandberg/trafficserver/etc/records.config
CONFIG proxy.config.ssl.TLSv1_1 INT 1 -> CONFIG proxy.config.ssl.TLSv1_1 INT 0
CONFIG proxy.config.ssl.TLSv1_2 INT 1 -> CONFIG proxy.config.ssl.TLSv1_2 INT 0
CONFIG proxy.config.ssl.server.cipher_suite STRING HIGH:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH
HIGH:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH -> HIGH:!DHE:!ECDHE:!MD5:!RC4:!ADH:!aNULL:!eNULL:@STRENGTH
~ # ps -ef | grep traffic | grep -v grep
_ats 8753 1 0 11:53 ? 00:00:32 /trafficserver/bin/traffic_manager
_ats 10764 8753 9 11:58 ? 00:58:11 /trafficserver/bin/traffic_server -M --httpport 8443:fd=15:ssl
~# kill –HUP 8753
~# kill 10764 НЕДОКУМЕНТИРОВАНО, НЕ ПОДДЕРЖИВАЕТСЯ !
SIP TCP/5061
TrafficServer TCP/8443

Конфигурация сервиса – статическая, SSL ciphers определены в коде и быть изменены не могут.
Можно снимать трафик с Expressway-C (между IM&P и Exp-C по порту tcp/7400)
IM&P Server
XMPP
TCP/5222
Expressway-E
XCP
Connection
Manager
XCP Auth
Service
XCP Router XCP Router
Expressway-C
XCP Router TCP 7400TCP 7400
IMDB

Снифер трейс – медиа потоки
Начиная с версии X8.8 ключи шифрования медиа в SDP скрыты
Exp-E diagnostic logs:
a=crypto:0 AES_CM_128_HMAC_SHA1_80 inline:.............................................
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:............................................. UNENCRYPTED_SRTCP
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:.............................................
…но появился параметр в Advanced Support Log Configuration
Exp-E diagnostic logs:
a=crypto:0 AES_CM_128_HMAC_SHA1_80 inline:6UD6dDp4WTh4yQML4/PhoqbEQzeHBL2TNdG9ggvU|2^48
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:6UD6dDp4WTh4yQML4/PhoqbEQzeHBL2TNdG9ggvU|2^48 UNENCR..
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:V37wy8dLLG+2De1b+D7vhHvhOGfnBky55OLV7mfS|2^48

Оптимизация процесса подключения
Jabber через MRA

Cisco Jabber – оптимизация процесса
подключения через MRA
• Обнаружение сервисов (Service Discovery)
DNS SRV _collab-edge._tls.connect2017.ru
• Проверка наличия WebEx домена
https://loginp.webexconnect.com/cas/FederatedSSO?org=connect2017.ru
• Проверка наличия Single Sign-On
https://exp-e/../get_edge_sso?email=user1@connect2017.ru
https://exp-e/../get_edge_sso?username=user1
• Проверка сертификата – Certificate Revocation List (CRL)
для любого TLS сервиса (Webex, Exp-E) при наличие CRL в сертификате
• Получение файла кoнфигурации – jabber-config.xml

- Обнаружение сервисов (Service Discovery)
внешние DNS доступны
DNS SRV записи настроены для всех Exp-E
все Expressway-E доступны по портам:
TCP/8443
TCP/5222
TCP/5061
Что означают эти цифры ?
_collab-edge._tls.connect2017.ru 86400 IN SRV 10 20 8443 Exp-e1.connect2017.ru
Приоритет Вес

• Проверка наличия WebEx домена:
https://loginp.webexconnect.com/cas/FederatedSSO?org=connect2017.ru
DNS запрос
Соединение с
WebEx Cloud
Проверка
сертификата(ов)

• Проверка наличия WebEx домена:
3 варианта решения:
Jabber for Windows installer
Jabber for Mobile, Jabber for MAC configuration URL
Все клиенты (при повторном подключении) jabber-config.xml
msiexec.exe /i CiscoJabberSetup.msi CLEAR=1 EXCLUDED_SERVICES=WEBEX
ciscojabber://provision?ServiceDiscoveryExcludedServices=WEBEX
<?xml version="1.0"encoding="utf-8"?>
<config version="1.0">
<Policies>
<ServiceDiscoveryExcludedServices>WEBEX</ServiceDiscoveryExcludedServices>
</Policies>
</config>

• Проверка наличия Single Sign-On
если SSO есть, то на Expressway-E:
если SSO нет, то в jabber-config.xml:

• Проверка сертификата – Certificate Revocation List (CRL)
для любого TLS сервиса (Webex, Exp-E) при наличие CRL в сертификате
- Если сертификат для Expressway-E выдан Public CA – ничего оптимизировать нельзя,
Jabber будет пытаться обратить к CRL Distribution Point, указанной в сертификате
- Если сертификат для Expressway-E выдан Внутренней CA – убрать CRL из темплейта
сертификата для Exp-E на Внутренней CA (потенциальная угроза безопасности!)

Unbase64 (www.base64decode.org/)
connect2017.ru/https/10.62.150.183/6972
Unbase64 (www.base64decode.org/)
connect2017.ru/https/10.62.150.184/6972

Поместите jabber-config.xml файл на все TFTP сервера в
кластере
Если Jabber клиент не найдет файл на первом CUCM
сервере, он будет пытаться скачать его со всех остальных
серверов, вне зависимости есть ли на них TFTP сервис!

Сообщество Технической поддержки Cisco
https://supportforums.cisco.com
http://russiansupportforum.cisco.com
email:
csc-russian@external.cisco.com
Какой раздел является самым
популярным на русскоязычном
форуме тех. поддержки Cisco ?

#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia

Поиск и устранение неисправностей при работе Cisco Jabber через MRA

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Поиск и устранение неисправностей при работе Cisco Jabber через MRA

Similar to Поиск и устранение неисправностей при работе Cisco Jabber через MRA (20)

More from Cisco Russia

More from Cisco Russia (20)

Поиск и устранение неисправностей при работе Cisco Jabber через MRA