Cisco Expressway MRA双域部署

一、软件环境

角色 版本 IP地址
CUCM 12.5.1.14900-63 172.16.101.155
IM&P 12.5.1.14900-4 172.16.101.156
Expressway-C 12.7.1 172.16.101.181
Expressway-E 12.7.1 LAN1:172.16.101.182
LAN2:172.16.100.182(公网映射)
公网:103.117.19.XXX
DNS Windows Server 2019 172.16.101.151
CA Windows Server 2019 172.16.101.151
AD Windows Server 2019 172.16.101.151
Windows-Jabber 14.0.2 /
Android-Jabber 14.0.3 /
iOS-Jabber 14.0.3 /

二、逻辑拓扑

image.png

CUCM,IM&P和Expressway-C之间:

  1. CUCM,IM&P和Expressway-C之间通信使用非加密或用内部CA签发证书实现加密;
  2. 本例使用非加密方式。

Expressway-C和Expressway-E之间:

  1. Expressway-C和Expressway-E之间加密通信使用内部CA签发证书;
  2. Expressway-C生成CSR文件后由内部CA签发证书;
  3. Expressway-C安装内部CA根证书;
  4. Expressway-C安装公网CA根证书。

Expressway-E和外网终端之间:

  1. Expressway-E和外网终端之间加密通信使用公网CA签发证书;
  2. Expressway-E生成CSR文件后由公网CA签发证书;
  3. Expressway-E安装公网CA根证书;
  4. Expressway-E安装内部CA根证书。

三、需求说明

1.内部域为:test.local,外部域为:yuezq.com。

  1. 用户在内网和外网可以使用内部域名test.local登录Jabber。
  • 内部域名的挑战在于:当用户通过MRA登录Jabber时,服务发现过程将失败,因为输入的登录凭据为:user@test.local,并且没有_collab-edge._tls.test.local的SRV记录在Internet上可用(也不可能有)。
  • 当登录用户凭据中的域名与Expressway-E配置的域不同时,这时必须启用VoiceServicesDomain配置。Jabber使用此配置来发现Collaboration Edge和UDS。
  • 为解决这个问题,可以修改jabber-config.xml文件以包含Jabber应该尝试针对其进行服务发现的外部域名。
<Policies>
  <VoiceServicesDomain>yuezq.com</VoiceServicesDomain>
</Policies>
  • 因此,Jabber必须首先在内网登录,以下载包含上述策略的jabber-config.xml。
  • 当在内网登录Jabber并加载完jabber-config.xml后,当用户尝试通过MRA从外网登录时,此时仍将使用user@test.local 凭据,但Jabber将使用指定的VoiceServicesDomain(在本例中为yuezq.com)。所以它将在_collab-edge._tls.yuezq.com 上执行SRV记录查询,这时应能够解析Expressway-E并顺利登录。
    当Jabber在外网MRA登录时,Expressway-C会向DNS查询yuezq.com的SRV记录,并在200 OK消息中返回记录。所以除了正常的_cisco-uds._tcp.test.local和_cuplogin._tcp.test.local这两个SRV记录外,在内网DNS服务器上还需要另外两个SRV记录:_cisco-uds._tcp.yuezq.com和_cuplogin._tcp.yuezq.com,这两条记录分别指向cucm.test.local和imp.test.local以使MRA正常登录。
  1. 用户在内网和外网可以使用外部域名yuezq.com登录Jabber。
  2. 防火墙和路由器的配置不是本例重点,不再描述。

四、先决条件

  • AD、CA、DNS已安装并配置完毕;
  • CUCM、IM&P、Expressway-C、Expressway-E已安装并初始化完毕;
  • CUCM和IM&P已经配置完毕,Cisco Jabber在内网使用"xxx@test.local"凭据可以正常登录。

五、配置CUCM

  • 用户管理 >> 用户设置 >> UC服务
image.png

image.png

image.png
  • 用户管理 >> 用户设置 >> 服务配置文件
image.png

六、配置系统名称

6.1 Expressway-C

  • System >> Administration settings
image.png

6.2 Expressway-E

  • System >> Administration settings
image.png

七、配置IP地址和路由

7.1 Expressway-C

  • System >> Network interfaces >> IP
image.png

7.2 Expressway-E

  • System >> Network interfaces >> IP
image.png
  • System >> Network interfaces >> Static routes


    image.png

八、配置DNS

8.1 Expressway-C

  • System >> DNS
image.png

8.2 Expressway-E

  • System >> DNS
image.png

九、配置NTP

9.1 Expressway-C

  • System >> Time
image.png

9.2 Expressway-E

  • System >> Time
image.png

十、配置SIP

10.1 Expressway-C

  • Configuration >> Protocols >> SIP
image.png

10.2 Expressway-E

  • Configuration >> Protocols >> SIP
image.png

十一、配置UC模式、MRA访问控制

11.1 Expressway-C

  • Configuration >> Unified Communications >> Configuration
image.png

11.2 Expressway-E

  • Configuration >> Unified Communications >> Configuration
image.png

十二、配置Domain

12.1 Expressway-C

  • Configuration >> Domains
image.png

十三、配置Traversal Zone

13.1 Expressway-C

  • Configuration >> Zones >> Zones
image.png

13.2 Expressway-E

  • Configuration >> Authentication >> Local database
image.png
  • Configuration >> Zones >> Zones
image.png

十四、添加CUCM和IM&P

14.1 Expressway-C

  • Configuration >> Unified Communications >> Unified CM servers
image.png
  • Configuration >> Unified Communications >> IM and Presence Service nodes
image.png

十五、调整呼叫带宽

15.1 CUCM

  • 系统 >> 区域信息 >> 区域
image.png

15.2 Expressway-C

  • Configuration >> Bandwidth >> Configuration
image.png

15.3 Expressway-E

  • Configuration >> Bandwidth >> Configuration
image.png

十六、安装证书

16.1 内部CA配置

  • 采用Windows Server 2019搭建企业CA服务后,按以下步骤完成证书模板配置(证书模板主要用来定义证书的功能)。
image.png

image.png
  • 修改证书模板名称和证书有效期(建议先修改注册表中的证书有效期)。
image.png

image.png

image.png

image.png

image.png

image.png

16.2 Expressway-C

16.2.1 申请服务器证书

  • 申请服务器证书 --- 生成CSR文件
  • Maintenance >> Security >> Server certificate
image.png

image.png

image.png

image.png
image.png

image.png

image.png

image.png

image.png

image.png

16.2.2 下载CA根证书

image.png

image.png

image.png

16.2.3 安装CA根证书

  • Maintenance >> Security >> Trusted CA certificate
image.png

16.2.4 安装服务器证书

  • Maintenance >> Security >> Server certificate
image.png

16.3 Expressway-E

16.3.1 申请服务器证书

  • 申请服务器证书 --- 生成CSR文件
  • Maintenance >> Security >> Server certificate
image.png

image.png

image.png

image.png
  • 生产环境建议按年购买公网证书。
  • 本例为实验测试环境,采用freessl.cn提供的3个月免费多域名公网证书。
  • 访问https://freessl.cn,然后登录。
image.png

image.png
  • 为公网域名临时添加TXT记录,此记录用于验证公网域名所有权。
image.png
  • 查看添加完毕的TXT记录。
image.png
  • 公网域名的TXT记录添加完毕并等待几分钟后,即可进行验证。这时证书颁发机构会验证域名的TXT记录,验证无误后,就会签发证书。
image.png
  • 复制”CA证书”的全部内容,保存到新建的文本文档中,并修改文件扩展名为.cer。
  • 复制”证书”的全部内容,保存到新建的文本文档中,并修改文件扩展名为.cer。
image.png
  • 查看服务器证书
image.png
  • 查看CA证书,可看出CA证书实际是一个CA中间证书,所以还需从此证书中导出CA根证书。
image.png

16.3.2 导出CA根证书

image.png

image.png

image.png

image.png

image.png

image.png

image.png
  • 查看导出的CA根证书
image.png
  • 查看所有证书
image.png

16.3.3 安装CA根证书

  • 导入CA根证书
  • Maintenance >> Security >> Trusted CA certificate
image.png
  • 导入中间CA证书
image.png
  • 删除中间CA证书自带的根证书(在使用公网证书时需特别注意此步)。
  • Expressway在导入中间CA证书时,会把中间CA证书包含的根CA证书也同时导入。但实际并不需要此根CA证书(因为刚才已导入实际的根CA证书),如果不删除此根CA证书,可能会导致后续的服务器证书导入失败。
image.png

16.3.4 安装服务器证书

  • Maintenance >> Security >> Server certificate


    image.png

16.4 安装对方的CA根证书

16.4.1 Expressway-C

  • 根CA证书和中间CA证书用于验证Expressway-E上服务器证书的有效性。
  • 安装公网CA根证书
image.png
  • 安装公网中间CA证书
image.png
  • 删除中间CA证书包含的根证书
image.png
  • 重启Expressway-C
  • Maintenance >> Restart options
image.png

16.4.2 Expressway-E

  • 根CA证书用于验证Expressway-C上服务器证书的有效性。
  • 安装内网CA根证书
image.png
  • 重启Expressway-E

  • Maintenance >> Restart options


    image.png

十七、检查Expressway状态

17.1 Expressway-C

  • Configuration >> Zones >> Zones
image.png
  • Status >> Unified Communications status


    image.png

17.2 Expressway-E

  • Configuration >> Zones >> Zones
image.png
  • Status >> Unified Communications status


    image.png

十八、配置DNS解析

18.1 内网DNS

  • test.local域的A记录
image.png
  • test.local域的SRV记录
  • Jabber内网登录时使用
image.png
  • yuezq.com域的A记录
  • Expressway-C Zone中的Peer指向的为expe.yuezq.com,所以DNS上需有此条A记录。
image.png
  • yuezq.com域的SRV记录
  • Jabber MRA登录时,Expressway-C会查询yuezq.com的SRV记录。
image.png
  • 反向解析记录
  • 由创建A记录时自动生成
image.png

18.2 公网DNS

image.png

十九、效果演示

  • 在内网使用test.local登录Jabber


    image.png
  • 在外网使用test.local登录Jabber(必须先在内网登录后再在外网登录)


    image.png
  • 在内网使用yuezq.com登录Jabber


    image.png
  • 在外网使用yuezq.com登录Jabber


    image.png

二十、DNS查询抓包

20.1 内网登录

  • Jabber在内网使用test.local登录时的DNS查询,在DNS服务器上抓包。
  • 172.16.101.81为内网Jabber客户端IP地址。
image.png

20.2 外网登录

  • Jabber在外网使用test.local登录时的DNS查询,在DNS服务器上抓包。


    image.png
  • Jabber在外网使用test.local登录时的DNS查询,在客户端上抓包。


    image.png

引用参考

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容