はじめに

Cisco Webex Calling クラウド電話システムに接続する ローカルゲートウェイ (LGW: Local Gateway) の設定例を紹介します。本ドキュメントでは、Control Hub の設定後に、ローカルゲートウェイを Webex Calling クラウドに登録する方法について説明します。

• Webex Calling - ローカルゲートウェイの設定例 (1: Control Hub)
• Webex Calling - ローカルゲートウェイの設定例 (2: LGW の登録)
• Webex Calling - ローカルゲートウェイの設定例 (3-1: LGW のルーティング - PSTN 接続)
• Webex Calling - ローカルゲートウェイの設定例 (3-2: LGW のルーティング - Unified CM 接続)

本ドキュメントの内容は、2021 年 7 月 1 日時点の情報および IOS-XE 17.3.3 の構成を前提としています。最新の情報は以下の情報を確認してください。

• Configure Local Gateway on IOS-XE for Webex Calling

ファイアウォールの設定

Port Reference に従って、Webex Calling クラウドとローカルゲートウェイ間のファイアウォールのポートの設定を実施してください。下記のドキュメントも合わせて確認してください。

• Webex Calling サービスのネットワーク要件

ローカルゲートウェイの登録

マスターキーの設定

IOS-XE 16.11.1 以降のバージョンでは、Pre-Shared Key の暗号化が必須となります。設定していない場合は、後で設定する tenant の authentication のコマンドが失敗します。

設定

conf t
 key config-key password-encrypt ｛パスワード｝
 password encryption aes
 end

DNS の設定

DNS サーバを設定します。DNS サーバの例として Google Public DNS (8.8.8.8) を記載しています。

設定

conf t
 ip name-server 8.8.8.8
 end

確認

LGW#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/5/12 ms
LGW#
LGW#ping www.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.42.116.201, timeout is 2 seconds:
!!!!!

トラストポイントと TLS 1.2 の設定

トラストポイントの設定と、SIP で TLS 1.2 を利用する設定を行います。

設定

conf t
 crypto pki trustpoint dummyTp
  revocation-check crl
  exit
 sip-ua
  crypto signaling default trustpoint dummyTp cn-san-validate server
  transport tcp tls v1.2
  tcp-retry 1000
  end

トラストプールの設定

トラストプールの設定を行います。

まず、既にトラストプールが設定されているか確認します（何も表示されていなければ設定なし）。

LGW#show crypto pki trustpool | i DigiCert
LGW#
LGW#show crypto pki trustpool | i IdenTrust
LGW#

設定されていなければ、設定を行い、証明書をダウンロードします。

設定

conf t
 crypto pki trustpool import clean url http://www.cisco.com/security/pki/trs/ios_core.p7b
 end

再度確認します。以下のように表示されるかを確認します。

再度確認

LGW#show crypto pki trustpool | i DigiCert
    cn=DigiCert Global Root CA
    o=DigiCert Inc
    cn=DigiCert Global Root CA
    o=DigiCert Inc
LGW#show crypto pki trustpool | i IdenTrust
    cn=IdenTrust Commercial Root CA 1
    o=IdenTrust
    cn=IdenTrust Commercial Root CA 1
    o=IdenTrust

音声サービスの設定

音声サービスの設定を行います。信頼リスト (Trust List) には、Webex Calling サービスのネットワークアドレスを設定します。最新の情報は Port Reference の [IP Subnet for Webex Calling Services] の項目を確認してください。

設定

conf t
 voice service voip
  ip address trusted list
   ipv4 85.119.56.0 255.255.254.0
   ipv4 128.177.14.0 255.255.255.0
   ipv4 128.177.36.0 255.255.255.0
   ipv4 135.84.168.0 255.255.248.0
   ipv4 139.177.64.0 255.255.248.0
   ipv4 139.177.72.0 255.255.254.0
   ipv4 185.115.196.0 255.255.252.0
   ipv4 199.19.196.0 255.255.254.0
   ipv4 199.19.199.0 255.255.255.0
   ipv4 199.59.64.0 255.255.248.0
   exit
  allow-connections sip to sip
  media statistics
  media bulk-stats
  no supplementary-service sip refer
  no supplementary-service sip handle-replaces
  fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none
  stun
   stun flowdata agent-id 1 boot-count 4
   stun flowdata shared-secret 0 ｛パスワード｝
   exit
  sip
   g729 annexb-all
   early-offer forced
   end

SIP プロファイルの設定

Webex Calling クラウドへ送信する SIP メッセージを変換するために、SIP プロファイル (sip-profile 200) を設定します。後で Webex Calling クラウド向けの Tenant 200 に紐付けます。

この SIP プロファイルでは主に sips: から sip: へ SIP メッセージを変換することを目的としています。rule 9 では、SIP-Req-URL ではなく SIP-Req-URI であることに注意してください。rule 20 では、Control Hub でローカルゲートウェイを設定した時に表示された [トランクグループ OTG/DTG] を設定します。Webex Calling クラウドは、ローカルゲートウェから送信された SIP メッセージの From ヘッダの otg パラメータから Trunk Group を識別します。

トランクグループ OTG/DTG (Trunk Group OTG/DTG): lgw06676_lgu

設定

conf t
 voice class sip-profiles 200
  rule 9 request ANY sip-header SIP-Req-URI modify "sips:(.*)" "sip:\1"
  rule 10 request ANY sip-header To modify "<sips:(.*)" "<sip:\1"
  rule 11 request ANY sip-header From modify "<sips:(.*)" "<sip:\1"
  rule 12 request ANY sip-header Contact modify "<sips:(.*)>" "<sip:\1;transport=tls>" 
  rule 13 response ANY sip-header To modify "<sips:(.*)" "<sip:\1"
  rule 14 response ANY sip-header From modify "<sips:(.*)" "<sip:\1"
  rule 15 response ANY sip-header Contact modify "<sips:(.*)" "<sip:\1"
  rule 20 request ANY sip-header From modify ">" ";otg=｛Trunk Group OTG/DTG｝>"
  rule 30 request ANY sip-header P-Asserted-Identity modify "sips:(.*)" "sip:\1"
  rule 31 request ANY sip-header From modify "From: <sip:\+81(.*)@" "From: \"0\1\" <sip:+81\1@"
  end

コーデック、SRTP、STUN の設定

コーデックおよび Webex Calling 向けの SRTP、STUN の設定を行います。ここでは日本向けにコーデックは G711ulaw のみを設定しています。メディアパスの最適化を利用した通話フローを利用する場合、stun usage ice lite が必要となります (IOS-XE 16.12.5 以上)。

conf t
 voice class codec 99
  codec preference 1 g711ulaw
  exit
 voice class srtp-crypto 200
  crypto 1 AES_CM_128_HMAC_SHA1_80
  exit
 voice class stun-usage 200
  stun usage firewall-traversal flowdata
  stun usage ice lite
  end

テナントの設定

Webex Calling 向けのテナントの設定を行います。Control Hub でローカルゲートウェイを設定した時に表示された各パラメータを設定に反映させます。間違いやすいため注意して設定してください。

登録ドメイン (Registrar Domain): 81213435.jp10.bcld.webex.com
トランクグループ OTG/DTG (Trunk Group OTG/DTG): lgw06676_lgu
回線/ポート (Line/Port): LGW02623_LGU  ( @の前を使用します)
発信プロキシ アドレス (Outbound Proxy Address): ty10.sipconnect-jp.bcld.webex.com
ユーザ名 (Username): LGW06676_LGU
パスワード (Password):  qgOqfn--3(

設定

conf t
 voice class tenant 200
  registrar dns:｛Registrar Domain｝ scheme sips expires 240 refresh-ratio 50 tcp tls
  credentials number ｛Line/Port｝ username ｛Username｝ password 0 ｛Password｝ realm BroadWorks
  authentication username ｛Username｝ password 0 ｛Password｝ realm BroadWorks
  authentication username ｛Username｝ password 0 ｛Password｝ realm ｛Registrar Domain｝
  no remote-party-id
  sip-server dns:｛Registrar Domain｝
  connection-reuse
  srtp-crypto 200
  session transport tcp tls 
  url sips 
  error-passthru
  asserted-id pai 
  bind control source-interface GigabitEthernet0/0/0
  bind media source-interface GigabitEthernet0/0/0
  no pass-thru content custom-sdp 
  sip-profiles 200 
  outbound-proxy dns:｛Outbound Proxy Address｝ 
  privacy-policy passthru
  end

ダイアルピアへの紐付け

作成したテナントを有効にして Webex Calling クラウドに REGISTER 登録を行うために、dial-peer voice 200201 voip を作成して紐付けます（dial-peer voice 200201 voip はルーティングの設定時に再度詳細を設定します）

conf t
 dial-peer voice 200201 voip
  description Inbound/Outbound Webex Calling
  voice-class sip tenant 200
  end

登録確認

ローカルゲートウェイの設定が正しく反映されると、ローカルゲートウェイは TCP (TLS) ポート 8934 で SIP REGISTER メッセージを Webex Calling クラウドに送信し、登録を行います。

show tcp brief コマンドを実行し、ポート 8934 が ESTAB (Established) になっていることを確認します。

LGW#show tcp brief 
TCB           Local Address               Foreign Address          (state)
7F4011023AE8  192.168.43.197.34221        139.177.68.X.8934         ESTAB

show sip-ua connections tcp tls detail コマンドを実行し、Conn-State が Established になっていることを確認します。

LGW#show sip-ua connections tcp tls detail 
<snip>
Remote-Agent:139.177.68.X, Connections-Count:1
Remote-Port Conn-Id Conn-State  WriteQ-Size Local-Address  TLS-Version Cipher                         Curve
=========== ======= =========== =========== ============== =========== ============================== =====
       8934      29 Established           0 192.168.43.197     TLSv1.2    ECDHE-RSA-AES256-GCM-SHA384  P-52

show sip-ua register status コマンドを実行し、reg が yes になっていることを確認し、REGISTER 登録が 200 OK を受信して成功していることを確認します。

LGW#show sip-ua register status 

Tenant: 200 
--------------------- Registrar-Index  1 --------------------- 
Line                             peer      expires(sec) reg survival P-Associ-URI
================================ ========= ============ === ======== ============
LGW02623_LGU                     -1        58           yes normal

登録が完了すると Control Hub のトランクのステータスが Online に変わります。

設定例

ip name-server 8.8.8.8
!
key config-key password-encrypt Password123$
password encryption aes
!
crypto pki trustpoint dummyTp
 revocation-check crl
!
crypto pki trustpool import clean url http://www.cisco.com/security/pki/trs/ios_core.p7b
!
voice service voip
 ip address trusted list
  ipv4 85.119.56.0 255.255.254.0
  ipv4 128.177.14.0 255.255.255.0
  ipv4 128.177.36.0 255.255.255.0
  ipv4 135.84.168.0 255.255.248.0
  ipv4 139.177.64.0 255.255.248.0
  ipv4 139.177.72.0 255.255.254.0
  ipv4 185.115.196.0 255.255.252.0
  ipv4 199.19.196.0 255.255.254.0
  ipv4 199.19.199.0 255.255.255.0
  ipv4 199.59.64.0 255.255.248.0 
 media statistics
 media bulk-stats
 allow-connections sip to sip
 no supplementary-service sip refer
 no supplementary-service sip handle-replaces
 fax protocol pass-through g711ulaw
 stun
  stun flowdata agent-id 1 boot-count 4
  stun flowdata shared-secret 0 Password123$
 sip
  early-offer forced
  g729 annexb-all
!
voice class codec 99
 codec preference 1 g711ulaw
!
voice class stun-usage 200
 stun usage firewall-traversal flowdata
 stun usage ice lite
!
voice class sip-profiles 200
 rule 1 request ANY sip-header SIP-Req-URI modify "sips:" "sip:" 
 rule 10 request ANY sip-header To modify "<sips:" "<sip:" 
 rule 11 request ANY sip-header From modify "<sips:" "<sip:" 
 rule 12 request ANY sip-header Contact modify "<sips:(.*)>" "<sip:\1;transport=tls>" 
 rule 13 response ANY sip-header To modify "<sips:" "<sip:" 
 rule 14 response ANY sip-header From modify "<sips:" "<sip:" 
 rule 15 response ANY sip-header Contact modify "<sips:" "<sip:" 
 rule 20 request ANY sip-header From modify ">" ";otg=lgw06676_lgu>" 
 rule 30 request ANY sip-header P-Asserted-Identity modify "<sips:" "<sip:" 
 rule 31 request ANY sip-header From modify "From: <sip:\+81(.*)@" "From: \"0\1\" <sip:+81\1@"
!
!
voice class tenant 200
 registrar dns:81213435.jp10.bcld.webex.com scheme sips expires 240 refresh-ratio 50 tcp tls
 credentials number LGW02623_LGU username LGW06676_LGU password 0 qgOqfn--3( realm BroadWorks
 authentication username LGW06676_LGU password 0 qgOqfn--3( realm BroadWorks
 authentication username LGW06676_LGU password 0 qgOqfn--3( realm 81213435.jp10.bcld.webex.com
 no remote-party-id
 sip-server dns:81213435.jp10.bcld.webex.com
 connection-reuse
 srtp-crypto 200
 session transport tcp tls
 url sips
 error-passthru
 asserted-id pai
 bind control source-interface GigabitEthernet0/0/0
 bind media source-interface GigabitEthernet0/0/0
 no pass-thru content custom-sdp
 sip-profiles 200
 outbound-proxy dns:ty10.sipconnect-jp.bcld.webex.com
 privacy-policy passthru
!
voice class srtp-crypto 200
 crypto 1 AES_CM_128_HMAC_SHA1_80
!
!
interface GigabitEthernet0/0/0
 description internet
 ip address 192.168.43.197 255.255.255.0
 negotiation auto
!
ip route 0.0.0.0 0.0.0.0 192.168.43.254
!
!
!
dial-peer voice 200201 voip
 description Inbound/Outbound Webex Calling
 voice-class sip tenant 200
!
sip-ua 
 transport tcp tls v1.2
 crypto signaling default trustpoint dummyTp cn-san-validate server 
 tcp-retry 1000
!

PRI で PSTN に接続する場合は、[Webex Calling - ローカルゲートウェイの設定例 (3-1: LGW のルーティング - PSTN 接続)] へ

Unified CM と内線接続する場合は、[Webex Calling - ローカルゲートウェイの設定例 (3-2: LGW のルーティング - Unified CM 接続)] へ

参考情報

• Webex Calling - ローカルゲートウェイの設定例 (1: Control Hub)
• Webex Calling - ローカルゲートウェイの設定例 (3-1: LGW のルーティング - PSTN 接続)
• Webex Calling - ローカルゲートウェイ Registration フロー 
• Webex Calling - ローカルゲートウェイ トラブルシューティング (1: REGISTER 登録)
• Configure Local Gateway on IOS-XE for Webex Calling (VARs Only)
• Deploy Cisco Webex Calling v1 (VAR Channel) - Japanese translated content
• Configuring Multi-Tenants on SIP Trunks
• SIP TLS Support on CUBE
• Cisco Unified Border Element コンフィギュレーションガイド