Upload
cisco-russia
View
1.160
Download
3
Embed Size (px)
Citation preview
VCS X8 (8.1)Sergey Yutsaytis, Consulting system engineer
© 2013 Cisco and/or its affiliates. All rights reserved.04.12.2013
Содержание
04.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.
Обзор решения Collaboration EdgeСценарии развертыванияТребования к UCM Аспекты безопасностиНаименование продуктов и позиционированиеИнтеграция с Lync 2013Другие наиболее важные улучшения и дополнения VCS X8
2
© 2013 Cisco and/or its affiliates. All rights reserved.04.12.2013 3
Unified CM &
applications
Unified CM &
applications
ExpresswayFirewall Traversal
AnyConnect VPN
• Layer 3 VPN • Обеспечивает
безопасное подключение устройства целиком
• AnyConnect обеспечивает доступ ко всем разрешенным приложениям и сервисам
• Новая возможность• Механизмы преодоления
Firewall для сессии• Разрешает доступ
ТОЛЬКО приложениям для совместной работы
• Обычный трафик пользователя на передается в корпоративную сеть
Cisco Jabber – удаленный доступ
Что такое Expressway / Collaboration Edge?голос, видео, сообщения, конференции, социальные приложения
Основано на открытых стандартахПолный, привычный функционал при связи – пользователь -компания
СовместимостьДоказанные гибкость и масштабируемостьИнтеграция WebEx , Предложения от SP
Доказанные компоненты и технологииСвязь для приложений совместной работы без VPNПК, смартфоны и аппаратные системы
Известные схемы и решенияЗащищенная связь, доступная везьде
Устройство Сервис Типы сервисовОбеспечение сервиса
Решение
Удаленный и мобильный
линия: Audio, Video, Directory Search, Visual Voicemail, Content Share
Internet или Private Expressway (X8.1)
удаленный линия: Audio, Video, Directory Search, Content Share
Internet или Private Expressway (X8.1)
удаленный линия: Audio HCS CUBE
IPSec или TLS Proxy VPN Phone, CVO, CUBE
Аудио транк: Audio Private SIP Trunk CUBE
Видео транк: Video,Conferencing
Private SIP Trunk Expressway or CUBE
Удаленный линия: Audio, Video, Directory Search, CTI/QBE
Internet или Private AnyConnect (сегодня)Expressway (CY14 roadmap)
Jabber
DX 650
69XX, 7XXX, 89XX, 99XX
TelePresence
SIP Trunk
Позиционирование решений для удаленного доступа
Expressway или Collaboration Edge
Внутри сети (Intranet)
Снаружи сети (Публичный Интернет)
ExpresswayTraversal
Server
ExpresswayTraversal
Client
Сервисы Collaboration
Unified CM
Internet
DMZ
Jabber clients: Windows, Mac
OS, iOS, Android
Регистрация, CAC и провижионинг осуществляются
с UCM
Регистрация, CAC и провижионинг осуществляются
с UCM
COMPANY B
Безопасная, основанная на
стандартах B2B связь
Безопасная, основанная на
стандартах B2B связь
WebEx CloudWebEx/CloudWebEx/Cloud
Требования к версиям инфраструктуры:
UCM 9.1 Expressway X8.0
DMZ
Упрощение подключения сотрудников на домашнем офисе
EX Series
MX Series
C Series
Регистрация, контроль соединений и провижионинг
выполняются UCM С Expressway X8.0
Регистрация, контроль соединений и провижионинг
выполняются VCS и TMS
TelePresence Endpoints
(TC7.0)
Сегодня
SX20
Internet
Снаружи сети (Публичный Интернет)
VCS Expressway
VCS Control
Unified CM
Collaboration сервисы
Настольные Планшеты Смартфоны Web
Клиенты с поддержкой Expressway
Терминалы
Mac OS XWindows
iPad iOS 6.1iPhone iOS 6.1
Android 4.2
Jabber Public to Enterprise (P2E)
Jabber SDK
EX серияMX серияC серия
SX серия
Jabber Desktop 9.6
Jabber Mobile 9.6
Jabber Mobile 9.6
Jabber P2E 10.0Jabber SDK 9.6
TelePresenceTC7.0
Требуемые версии для поддержки Collaboration Edge ( может измениться) :
Что Jabber клиент может делать через Expressway?Полно функциональный клиент за пределами сети Компании
Телефонный и видео звонок
IM и состояние присутствия
Доступ к визуальной голосовой почте
Поиск в корпоративной директории
Запуск web конференции
совместная работа
Внутри сети (Intranet)
Снаружи сети (Публичный Интернет)
ExpresswayTraversal
Server
ExpresswayTraversal
Client
Сервисы Collaboration
Unified CM
Internet
DMZ
External NetworkDMZTrusted Internal Network
Как Expressway технология работает…
1. VCS Expressway (traversal server) устанавливается в DMZ. VCS Control (traversal client) устанавливается внутри сети компании
2. VCS Control устанавливает соединение на предварительно определённые порты VCS Expressway
3. VCS Control авторизуется на Expressway, с заранее заданными параметрами, для обеспечения безопасности
4. Как только соединение установлено, VCS Control начинает периодически посылать VCS Expressway (keep-alive) пакеты для сохранения соединения
5. При приеме входящего вызова, Expressway передает запрос на VCS Control через существующие соединения
6. VCS Control принимает вызов и передает его адресату
7. Соединение устанавливается, медиа передается через существующие траверсал соединения
A VCS Expressway
BVCS Control
Internet
Тип протокол сервис
SIP TLS Установление сессии–регистрация, Invite, и т.д. через UCM
Media SRTP аудио, видео, контент,протоколы управления(RTP/SRTP, BFCP,iX/XCCP)
HTTPS TLS логин, провижионинг/конфигурация поиск контакта, визуальная голосовая почта
XMPP TLS IM, Присутствие, Федерации
Информация о протоколах
Unified CM IM&P
Конференц ресурсы
Другая UC инфраструктура иресурсы
Внутри сети (Intranet)
Снаружи сети (Публичный Интернет)
ExpresswayTraversal
Server
ExpresswayTraversal
Client
Сервисы Collaboration
Unified CM
Internet
DMZ
webexMessenger
Внутри сети (Intranet)
Снаружи сети (Публичный Интернет)
ExpresswayTraversal
Server
ExpresswayTraversal
Client
Сервисы Collaboration
Unified CM
Internet
DMZ
Тип протокол сервис
SIP TLS Установление сессии–регистрация, Invite, и т.д. через UCM
Media SRTP аудио, видео, контент,протоколы управления(RTP/SRTP, BFCP,iX/XCCP)
HTTPS TLS логин, провижионинг/конфигурация поиск контакта, визуальная голосовая почта
XMPP TLS IM, Присутствие, Федерации
Конференц ресурсы
Другая UC инфраструктура иресурсы
Информация о протоколах (IM, присутствие WebEx)
X8 Расширение возможностей Firewall Traversal
VCS X8.0 (X8.1) поддерживает 3 основных сервиса, обеспечивающих возможность удаленного доступа для UC приложений
XCP Router для XMPP трафика
HTTPS Reverse proxy
Проксирование SIP регистраций на UCM (SIP Proxy)
Различные протоколы…Одна траверсал зона
Создайте одну Traversal Zone
Включите функционал Collaboration Edge
HTTPS и XMPP traversal будут включены вместе с SIP и медиа traversal соединениями
Та же самая архитектура траверсалклиент-сервер, дополненная XMPP иHTTPS
Медиа траверсал
“C” звонит “A”
Expressway обеспечивает траверсалдля медиа
VCS Control демультиплексирует и передает медиа на “A”
Медиа релай
“C” звонит “B”
Медиа маршрутизируется через Expressway TURN сервер
Пути для медиа (использование ICE c UCM 10.5 и выше)
Оптимизированный путь медиа“B” звонит “D” “B” и “D” поддерживают ICE
STUN согласование выполненоМедиа маршрутизируется по кратчайшему пути
A
Внутри сети (Intranet)
VCS Expressway
VCS Control
Collaboration сервисы
UCM
Internet
DMZ Снаружи сети
B
C
DSIGNALING
MEDIA
UCM обеспечивает управление мобильными и корпоративными
устройствами
VCS модели развертывания
Существующие VCS Expressway могут быть модернизированы для поддержки новых возможностей удаленного доступа
Поддерживаются как существующие аппаратные, так и виртуализированные сервера. Все что необходимо – модернизация до версии X8.0
Можно включить новые возможности удаленного доступа на установленных демо версиях VCS Expressway
Возможно использование Expressway и Control в единичном экземпляре или кластере, для обеспечения доступа как к новым сервисам VCS, так и существующим до X8 - B2B видео, WebEx с включением телепрезенс, и т.д.
Возможно использование кластеров устройств VCS Expressway иControl как для всех возможных, так и для выделенных сервисов
VCS кластер и VCS кластер с поддержкой Collaboration Edge
VCS используется для масштабирования и резервирования (4+2)
VCS Expressway кластер поддерживает до 6 устройств (пиров)
VCS Control кластер поддерживает до устройств 6 (пиров)
Невозможно использовать разные типы VCS (Expressway и Control) как пиры в одном кластере
Необходимо иметь количество VCS-C пиров по числу VCS-E пиров в кластере выделенных для Expressway удаленного доступа
Expressway удаленный доступ ограничен одним доменом на кластер
Невозможно использовать пиры разной емкости в кластерах
Несколько кластеров могут обеспечивать удаленный Expressway доступ к единому домену
Несколько доменов требуют как минимум один VCS-C и один VCS-E кластер на домен
Expressway – настройка удаленного доступа кластера
Предполагается что один домен используется несколькими UCM кластерами
CUCM Clusters
VCS-CClusters
VCS-E Clusters
Comments
1 1 1Один кластер VCS обеспечивает доступ к центральному UCM кластеру
1 2+ 2+
Региональные Expressway кластеры обеспечиваетдоступ к центральному UCM кластеру
2+ 1 1Один кластер VCS обеспечивает доступ к нескольким UCM кластерам
2+ 2+ 2+
Региональные Expressway кластеры обеспечиваетдоступ к нескольким UCM кластерам
Не поддерживается: Несколько Expressway иCollaboration Edge траверсал зона
Внутри сети (Intranet)
Снаружи сети(Публичный Интернет)
VCS Expresswayкластер A
VCS Control
Collaboration сервисы
Unified CM
DMZ
VCS Expresswayкластер B
Internet
• Эта модель продолжает поддерживаться в случае старой модели развертывания VCS Expressway
• Но это не поддерживается в случае необходимости включения нового функционала удаленного доступа X8
• Expressway X8 требует выделенного VCS-C кластера для каждого VCS-E кластера
• Другими словами можно включить только одну “Collaboration Edge” траверсал зону в кластере
Внутри сети (Intranet)
Снаружи сети(Публичный Интернет)
VCS Expressway
Traversal сервер и
Traversal клиент
VCS Control
Traversal
клиент
Collaboration сервисы
Unified CM
Internet
DMZB
VCS Expressway
Traversal сервер
DMZA
Не поддерживается: Collaboration Edge цепочка траверсал
• Эта модель часто используется при увеличенных требованиях к безопасности
• Эта модель продолжает поддерживаться в случае старой модели развертывания VCS Expressway
• Но это не поддерживается в случае необходимости включения нового функционала удаленного доступа X8
• Другими словами можно включить только одну “Collaboration Edge” траверсал зону в кластере
Обнаружение сервисов
Public DNS
DNS SRV lookup _cisco-uds._tcp.example.comDNS SRV lookup _cisco-uds._tcp.example.com
Not Found Not Found ✗
expwyNYC.example.comexpwyNYC.example.com✓
TLS Handshake, trusted certificate verification
TLS Handshake, trusted certificate verification
DNS SRV lookup _vcsedge._tcp.example.comDNS SRV lookup _vcsedge._tcp.example.com
HTTPS: DNSRESOLVE _cisco-uds._tcp.example.com
HTTPS: DNSRESOLVE _cisco-uds._tcp.example.com
Внутри сети (Intranet)
Снаружи сети (Публичный Интернет)
ExpresswayTraversal
Server
ExpresswayTraversal
Client
Unified CM
DMZ
Expressway удаленный доступ с точки зрения UCM
Удаленный доступ, обеспечиваемый Expressway по большей части прозрачен для UCM
Это скорее интеграция для SIP линии, чем SIP транк
Нет требования настройки SIP транка на UCM к VCS Control илиExpressway
Удаленный Jabber клиент регистрируемый на UCM через Expressway приходит на UCM с IP адреса VCS Control
Терминалы, регистрируемые на UCM через Expressway, приходят наUCM с IP адреса VCS Control
На первом этапе нет механизма настройки политик ограничения доступа к сервису для выделенных групп или пользователей Jabber
Если пользователю настроен локальный аккаунт Jabber, он может соединиться через Expressway
Существующий SIP транк VCS-C --- UCM
• SIP транк не требуется между VCS и UCM дляExpressway Collaboration Edge
• Однако, Если на UCM он уже настроен для VCS-C, UCM отклонит попытки SIPрегистрации с удаленныхJabber или терминалов, так как метод SIP «регистер» не поддерживается на UCM SIP транк интерфейсе
• Измените UCM SIP trunk security profile для работы с портами отличными от TCP 5060 или 5061 (например5560, 5561, и т.д.)
• Допустимо использование старого диапазона для обычной интеграции с VCS SIP integration + Expressway Collaboration Edge
H.323 видео терминал
SIP Trunk может препятствовать регистрации
SIP видео терминал
Внутри сети (Intranet)
Снаружи сети (Публичный Интернет)
ExpresswayTraversal
Server
Сервисы Collaboration
Unified CM
DMZ
VCS Control
Поиск контактов
Внутри сети (Intranet)
Снаружи сети(Публичный интернет)
VCS Expressway
VCS Control
Unified CM
Internet
DMZ
LDAP
• Jabber позволяет обеспечить интеграцию нескольких источников контактной информации
• User Data Services (UDS) это UCM API обеспечивающий поиск контактов и другой функционал
• Все Jabber клиенты зарегистрированные через Expressway будут автоматически использовать UDS для поиска контактов
• Jabber clients внутри сети могут использовать UCM UDS или LDAP поиск контактов на LDAP сервере (последнее рекомендуется)
• Корпоративная адресная книга должна быть синхронизована с каждым кластером UCM организации для обеспечения доступа к полной контактной информации
Collaboration Services
Jabber configured to use LDAP or UDS
Возможности аутентификации с Edge
клиентСертификат клиента
Аутентификация Non-secure UCMSecure UCM w/
CTL(mixed mode)
Jabber
� логин + пароль � �
�2 фактора: Сертификат клиента + логин + пароль � �
TelePresenceEndpoint
� логин + пароль � �
�2 фактора: Сертификат клиента + логин + пароль � �
Аутентификация Edge сервера
Не важно какая модель аутентификации используется, аутентификация сервера всегда выполняется удаленным устройством
Т.е. Jabber или удаленный терминал всегда проверяют сертификат Expressway сервера, предоставляемый при согласовании TLS соединения
Jabber использует CA лист
Телепрезенс терминал требует установленного CTL для обеспечения возможности проверки Expressway сертификата
Аутентификация клиента
Внутри сети (Intranet)
Снаружи сети(Публичный интернет)
VCS Expressway
VCS Control
Unified CM
Internet
DMZ
webexMessenger
Collaboration сервисы
Схема аутентификация на WebexConnect аккаунте не меняется
UCM акаунт пользователя, CTI, и другие используются для аутентификации Jabberа на Expressway
Аутентификация проводится на UCM, или LDAP если включена
• Сертификат Expressway сервера должен быть подписан публичным центром сертификации (CA)
• Сертификат, подписанный публичным CA обеспечивает возможность его проверки для Jabber клиента проверки без использования CTL
• Важно: Jabber клиент с установленнымCTL не использует CTL для проверки Expressway сертификата
• CTL должен быть подписан RSA ключом 2048 (или меньшей длины)
• Сертификат Control (VCS-C) сервера должен быть подписан публичным центром сертификации ИЛИкорпоративным CA
• Сертификаты VCS-C сервера должны включать все расширения (extension),необходимые для аутентификации клиента
Серверные сертификаты
SIP Signaling
Media
«End to End»шифрование
SIP Signaling TLS TLS TLS TLS
Media SRTP SRTP SRTP
Expressway шифрование
SIP Signaling TCP TCP TLS TLS
Media RTP SRTP SRTP
Шифрование голоса и видео
Внутри сети (Intranet)
DMZСнаружи сети(Публичный интернет)
• Решение разработанное и доступное исключительно для пользователей UCM 9.1 и выше
• Удаленный и мобильный доступ для Jabber и терминалов телеприсутствия
• B2B Видео и Аудио для UC пользователей• Jabber Guest• Шлюз для UC решений 3-х производителей (Lync,
Polycom)
Новое
X8.0
“Expressway C”или Core
“Expressway E”или Edge
“VCS Control”без изменений
“VCS Expressway”без изменений
VCS Expressway
• Специализированная инфраструктура для ВКС (GK, SIP Proxy, interworking, traversal)
• Для Компаний, которым необходимо регистрировать терминалы на VCS
• Шлюз для UC решений 3-х производителей(Lync, Polycom)
Наименование продуктов и позиционирование
Cisco Expressway C/E
Cisco Expressway C/E версии VCS доступны только для пользователей UCM 9.x и выше
Для организаций, не использующих UCM 9.x, по прежнему доступны существующие VCS Control и VCS Expressway (никаких изменений в VCS)
Rich Media Sessions – новый тип лицензии для Expressway C/E, стоимостью $1,500 USD (GPL)
Модель Collaboration Edge лицензирования и миграционная схема для существующихVCS пользователей окончательно не утверждена. (Имеются ввиду пользователи уже имеющие UCM 9.x и VCS)
Модель лицензирования удаленного и мобильного доступа
IM/P функционал включен в UCM 9.1 и выше (UCL Essential, UCL Basic, UCL Enhanced, CUWL Standard, и CUWL Professional)
Видео и Аудио функционал включен в UCM 9.1 и выше для пользователей с лицензиями UCL Enhanced, CUWL Standard, and CUWL Professional
Серверное программное обеспечение поставляется в виде виртуальных машин (.ova) и доступно при приобретении UCM 9.1 и выше
С Lync 2013 прекратилась поддержка основанной на H.263 CIF совместимости вместе с кодеком H.263 С Lync 2013 прекратилась поддержка RTVideo совместимости с AMGW Все еще нет поддержки BFCP, Lync продолжает использовать RDPMS версия H.264UC SVC, основана на SVC UCI форума (проприетарная)Cisco планирует внедрение стандартного H.264-SVC (RFC6190)Cisco гарантирует совместимость с H.264UC SVC через VCS в режиме Lync шлюза
Lync 2013 интеграция- схема поддержки Lync 2013
VCSCUCM TC терминалы Lync/OCS
<10 H.264 AVC
10+ H.264 AVCH.264-SVCH.264UC
<8.0 H.264 AVC
8.0+ H.264UC,Преобразование AVC в H.264UC
<6.2 H.264 AVC
6.2+ H.264 AVCH.264UC
7.0+ H.264 AVCH.264UCH.264-SVC
<2013 H.263,RTVideo
2013 H.264UCRTVideo
Lync 2013 интеграция поддерживается как VCS-B2BUA
B2BUA обеспечивает:� Соединение в нативном формате H.264UC SVC
� Преобразование между стандартным H.264 AVC и Lync 2013 H.264UC SVC кодеками
Терминология Cisco:
H.264UC SVC (H.264UC) – версия H.264 SVC от Microsoft, основанная на рекомендациях UCI форума.
Не путать с H.264-SVC (версия H.264 SVC от Cisco полностью соответствующая RFC 6190)
Lync 2013 интеграция- схема поддержки Lync 2013
VCS ControlVCS
Lync Gateway
Lync 2013 Client
EX90
Lync 2013Front-End Server
SX20
H.264 AVC
H.264UC SVC
H.264UC SVC
Lync 2013 Client
Преимущества для бизнеса� До 720p P2P соединения между Cisco терминалами и Lync клиентами
• До 720p видео @30fps� Выбор B2B решения, не привязанный к производителю
Новые возможности� TC SIP UA нативная поддержка SVC (пока только для VCS регистраций)
� Функционал шлюза SVC/AVC на VCS
• Поддержка P2P соединений с обычными h264 AVC системами или с терминалами, зарегистрированными на CUCM
� Поддержка вывода презентации (пока только в направлении VCS -> Lync)
Lync 2013 интеграция- схема поддержки Lync 2013
B2B архитектура – фаза 1
Personal System
Room System
CUCM
TX9000
VCS-E
Internet
Lync Servers
Lync Edge Servers
LyncClients
VCS(Register and/or Gateway/
IM Proxy)
PersonalMXP
RoomSystem
Video Phones Jabber
Product Minimum Software VersionVCS X8.0
CUCM CUCM9.0
C/EX/MX/SX-series Endpoint
TC6.2
CTS-series Endpoint CTS1.9/TX6
Lync Server 2013
Lync 2013 интеграция- схема поддержки Lync 2013
� Возможность преобразования между H.264 AVC и Lync 2013 H.264UC SVC кодеками
� Microsoft Interoperability option key (до X8, известный как Enhanced OCS Collaboration option key) требуется для любых типов интеграции с Lync 2013
Lync 2013 интеграция- лицензии для поддержки Lync 2013
� Как SVC-SVC так и соединения с SVC-AVC преобразованием будут осуществляться в счет лицензии на локальные соединения VCS.
Лицензирование поддержки Lync 2013 на Expressway C/EBusiness-to-Busines лицензирование
Входящие и исходящие соединения между компаниями осуществляются в счет лицензии "Rich Media Session".
Минимальное количество Rich Media Sessions на сервер - TBD
Стоимость лицензии $1500 USD
Lync 2013 лицензирование
Необходимо приобрести LIC-VCS-OCS - VCS Enhanced OCS Collaboration @ $20,280 USD
Соединения с Lync пользователями требуют 1 лицензию на конкурентную сессию "Rich Media Session".
Стоимость лицензии $1500 USD
Лицензирование Lync Standard CAL*
• Обзор лицензионной модели MS Lync не является целью данной презентации. Подробнее смотрите:
http://office.microsoft.com/ja-jp/lync/redir/XT103964910.aspx
Лицензирование Lync Plus CAL
Логика маршрутизации Lync для номеров и URI *
Входящий вызов
URI: [email protected]: [email protected]
Номер: +123
Нет совпадений
Нет
стопстоп
URI илиномер?URI илиномер?
Адресат имеет Plus CAL?
Адресат имеет Plus CAL?
совпадает URI: [email protected]
PBXчерез Med.
Да
Да
Нет
Нет
стопстоп
Это Lync пользователь
?
Это Lync пользователь
?
Есть совпадения
для статического маршрута?
Есть совпадения
для статического маршрута?
Выпол-нить
Выпол-нить
VCS
Да
Reverse Number Lookup
Reverse Number Lookup
Есть в звонящ
его Plus CAL?
Есть в звонящ
его Plus CAL?
Да
Нет
* Это высокоуровневая схема не включающая, например, такие детали, как преобразование номеров (правила нормализации)
Для поддержки нативного взаимодействия необходимо включить поддержку SVC кодирования
� H.264UC SVC поддерживается с версии TC6.2.0
� Выполните “xConfiguration Conference 1 LyncCompatibility Mode: On” API команду для включения поддержки SVC
• Это позволит выполнить H.264UC SVC соединение с Lync 2013 с клиентом без выполнения преобразования AVC/SVC
• Эта возможность также настраивается через Web GUI (Configuration > Conference)
� (опционально) Выполните “xConfiguration Conference 1 Encryption Mode: Off” API команду для выключения согласования шифрования с Lync сервером/клиентом
Lync 2013 интеграция- конфигурация терминала
Соединение между SX20 SIP UA и Lync клиентом
Lync 2013 интеграция- H.264UC SVC-SVC соединение
VCS ControlVCS
Lync GatewayLync 2013
ClientSX20Lync 2013
Front-End Server
Invite with SDPInclude H.264UC SVC capability
m=video 2348 RTP/AVP 97 126 122 96 34 b=TIAS:6000000 a=rtpmap:97 H264/90000 a=fmtp:97 packetization-mode=0;profile-level-id=428016;max-br=5000;max-mbps=490000;
max-fs=9000; max-smbps=490000;max-fps=6000;max-rcmd-nalu-size=3456000 a=rtpmap:126 H264/90000 a=fmtp:126 packetization-mode=1;profile-level-id=428016;max-br=5000;max-mbps=490000;
max-fs=9000;max-smbps=490000;max-fps=6000;max-rcmd-nalu-size=3456000 a=rtpmap:122 X-H264UC/90000 a=fmtp:122 packetization-mode=1;mst-mode=NI-TC
100 Trying
Invite with SDPInclude H.264UC SVC capability
100 Trying
B2BUA
Invite with SDPInclude H.264UC SVC capability
100 Trying
101 Progress Report
Диаграмма НЕ включает-Внутренние B2BUA процессы на VCS LyncGW- Процессы между Lync сервером и клиентом
Соединение между SX20 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientSX20Lync 2013
Front-End Server
B2BUA
180 Ringing
180 Ringing
180 Ringing
200 OK with SDPInclude H.264UC SVC capability
200 OK with SDPInclude H.264UC SVC capability
200 OK with SDPInclude H.264UC SVC capability
m=video 56784 RTP/AVP 122 a=rtpmap:122 X-H264UC/90000 a=fmtp:122 mst-mode=NI-TC;packetization-mode=1 a=rtcp-fb:* x-message app send:src,x-pli recv:src,x-plia=sendrecva=content:main
100 ACK
100 ACK
100 ACK
Audio Payload
H.264UC SVC Payload
Audio Payload
H.264UC SVC Payload
Lync 2013 интеграция- H.264UC SVC-SVC соединение
Диаграмма НЕ включает-Внутренние B2BUA процессы на VCS LyncGW- Процессы между Lync сервером и клиентом
Соединение между SX20 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientSX20Lync 2013
Front-End Server
B2BUA
Audio Payload
H.264UC SVC Payload
Audio Payload
H.264UC SVC Payload
Lync 2013 интеграция- H.264UC SVC-SVC соединение
Call between EX90 SIP UA and Lync client
VCS ControlVCS
Lync GatewayLync 2013
ClientSX20Lync 2013
Front-End Server
B2BUA
Audio Payload
H.264UC SVC Payload
Audio Payload
H.264UC SVC Payload
Lync 2013 интеграция- H.264UC SVC-SVC соединение
Соединение между EX90 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientEndpointLync 2013
Front-End Server
m=video 50228 RTP/AVP 97 126 96 34 31 b=TIAS:6000000 a=rtpmap:97 H264/90000 a=fmtp:97 packetization-mode=0;profile-level-id=428 016;max-br=5000;max-mbps=245000;
max-fs=9000;max-smbps=245000;max-fps=6000;max-rcmd- nalu-size=3456000 a=rtpmap:126 H264/90000 a=fmtp:126 packetization-mode=1;profile-level-id=42 8016;max-br=5000;max-mbps=245000;
max-fs=9000;max-smbps=245000;max-fps=6000;max-rcmd- nalu-size=3456000 a=rtpmap:96 H263-1998/90000 a=fmtp:96custom=1280,768,3;custom=1280,720,3;custom=1024,768,1;custom=1024,576,2;…..
100 Trying
Invite with SDPInclude H.264 AVC capability only
100 Trying
Invite with SDPInclude H.264UC SVC capability
Invite with SDPInclude H.264 AVC capability only
m=video 56950 RTP/AVP 122 96 34 31 b=TIAS:6000000 a=rtpmap:122 X-H264UC/90000 a=fmtp:122 mst-mode=NI-TC;packetization-mode=1:
B2BUA
Lync 2013 интеграция- H.264UC SVC-H.264AVC преобразование
Диаграмма НЕ включает-Внутренние B2BUA процессы на VCS LyncGW- Процессы между Lync сервером и клиентом
Соединение между EX90 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientEndpointLync 2013
Front-End Server
180 Ringing
180 Ringing
180 Ringing
200 OK with SDPInclude H.264 AVC capability only
200 OK with SDPInclude H.264UC SVC capability
m=video 56784 RTP/AVP 122 a=rtpmap:122 X-H264UC/90000 a=fmtp:122 mst-mode=NI-TC;packetization-mode=1a=rtcp-fb:* x-message app send:src,x-pli recv:src,x-plia=sendrecva=content:main
100 Trying
101 Progress Report
m=video 56940 RTP/AVP 126 97 a=rtpmap:126 H264/90000 a=fmtp:126 profile-level-
id=42800d;packetization-mode=1 a=rtpmap:97 H264/90000 a=fmtp:97 profile-level-
id=42800d a=sendrecva=content:main
B2BUA
Диаграмма НЕ включает-Внутренние B2BUA процессы на VCS LyncGW- Процессы между Lync сервером и клиентом
Lync 2013 интеграция- H.264UC SVC-H.264AVC преобразование
Соединение между EX90 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientEndpointLync 2013
Front-End Server
200 OK with SDPInclude H.264 AVC capability only
m=video 56940 RTP/AVP 126 97 a=rtpmap:126 H264/90000 a=fmtp:126 profile-level-
id=42800d;packetization-mode=1 a=rtpmap:97 H264/90000 a=fmtp:97 profile-level-
id=42800d a=sendrecva=content:main
100 ACK
100 ACK
100 ACK
Audio Payload
H.264 AVC Payload
Audio Payload
H.264UC SVC Payload
B2BUA
Lync 2013 интеграция- H.264UC SVC-H.264AVC преобразование
Диаграмма НЕ включает-Внутренние B2BUA процессы на VCS LyncGW- Процессы между Lync сервером и клиентом
Соединение между EX90 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientEndpointLync 2013
Front-End Server
Audio Payload
H.264 AVC Payload
Audio Payload
H.264UC SVC Payload
B2BUA
Lync 2013 интеграция- H.264UC SVC-H.264AVC преобразование
Соединение между EX90 SIP UA и Lync клиентом
VCS ControlVCS
Lync GatewayLync 2013
ClientEndpointLync 2013
Front-End Server
Audio Payload
H.264 AVC Payload
Audio Payload
H.264UC SVC Payload
B2BUA
H.264UC SVC Payload
H.264 AVC Payload
Lync 2013 интеграция- H.264UC SVC-H.264AVC преобразование
Соединение между Cisco SIP UA и Lync на iPhone
VCS ControlVCS
Lync GatewayLync 2013 on
iPhoneLync 2013
Front-End Server
B2BUA
SX20H.264UC SVC Payload H.264UC SVC Payload
Lync 2013 интеграция- Мобильный доступ
Соединение между Cisco SIP UA и Lync на iPad
VCS ControlVCS
Lync GatewayLync 2013 on
iPadLync 2013
Front-End Server
B2BUA
SX20H.264UC SVC Payload H.264UC SVC Payload
Lync 2013 интеграция- Мобильный доступ
Точка - точка (пример)� Точка – точка нативное SVC соединение
� Точка - точка SVC-AVC преобразование
� Точка - точка SVC-AVC преобразование для CUCM устройств
H.264UC SVC Payload
VCS ControlVCS
Lync GatewayLync 2013
ClientLync 2013Front-End
ServerEndpoint (TC6.2)
H.264UC SVC Payload
H.264 AVC Payload
VCS ControlVCS
Lync GatewayLync 2013
ClientLync 2013Front-End
Server
MXP/Legacy Endpoint
H.264UC SVC Payload
H.264 AVC Payload
CUCMVCS
Lync GatewayLync 2013
ClientLync 2013Front-End
Server
IP PhoneCTS Endpoint
H.264UC SVC Payload
Lync 2013 интеграция- Маршрутизация соединения
Соединение с конференц ресурсом (пример)� Соединение с телепрезенс сервером (MCU)
� Соединение с телепрезенс сервером (MCU) через CUCM/Conductor
TelePresence Conductor
VCSLync Gateway
Lync 2013 Client
Lync 2013Front-End
ServerEndpoint
H.264UC SVC Payload
TelePresence Server(TelePresence MCU)
H.264 AVC PayloadH.264 AVC
H.263
VCSLync Gateway
Lync 2013 Client
Lync 2013Front-End
Server
Endpoint
H.264UC SVC Payload
TelePresence Server(TelePresence MCU)
H.264 AVC PayloadH.264 AVC
H.264 AVC
CUCM
Lync 2013 интеграция- Маршрутизация соединения
Соединение точка-точка� “Стандартное” Видео окно Lync клиента
Lync 2013 интеграция- Поддержка изменения разрешения видео
Соединение точка-точка� “Максимальное” Видео окно Lync клиента
Lync 2013 интеграция- Поддержка изменения разрешения видео
Соединение точка-точка� “Полноэкранный режим” видео для Lync клиента
Lync 2013 интеграция- Поддержка изменения разрешения видео
Архитектура для интеграции Аудио, Видео, IM&PДо сегодняшнего времени мы фактически используем три совершенно разных архитектурных решения:
� Интеграция для телефонии основана на CUCM и Lync Mediation Server
� Видео интеграция основана на VCS и Lync
� Интеграция сервисов присутствия и мгновенных сообщений (IM/P) основана на CUP и Lync
Наша цель - унифицировать интеграцию с Lync с помощью единой схемы интеграции, основанной на VCS
VCS
VCS
VCS
04.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 59
Другие наиболее важные улучшения и дополнения VCS X8
Оптимизация лицензий на соединение � Audio-only SIP traversal соединение с версии X8 считается отдельно от video SIP
traversal соединений.
� Любое другое audio-only соединение - non-traversal, H.323 или с преобразование h323/SIP (interworked) по прежнему требует ту же лицензию что и видеосоединение(traversal или non-traversal)
Управление системными лицензиями- Гибкая лицензионная модель
Первый этап
Оптимизация лицензий на соединение � Каждая траверсал лицензия на соединение позволяет выполнить 1 видео вызов или
4 audio-only SIP вызова
� 100 траверсал лицензий может быть установлено• Для примера, это разрешает 90 видео и 40 SIP audio-only одновременных соединений.
Первый этап
Управление системными лицензиями- Гибкая лицензионная модель
Оптимизация лицензий на соединение � VCS считает соединение как “audio” если SDP содержит единственную строку с параметром “m=”. Например:
INVITE sip:[email protected] SIP/2.0 Via: SIP/2.0/UDP 172.16.1.115:5060;branch=z9hG4bK2cf7cab9fa8e35ab6245387123cbf08d.1;rport Call-ID: 5cbce97abdf12f8e13b8b8e1e0cdf2df CSeq: 100 INVITE Remote-Party-ID: "CIBU.Tokyo.C40" <sip:[email protected]>;privacy=off;id-type=subscriber;screen=yes;party=calling Contact: <sip:[email protected];gr=urn:uuid:00000000-0000-0000-0000-00506082bb68> From: "CIBU.Tokyo.C40" <sip:[email protected]>;tag=fae3f27d658ce3b0 To: <sip:[email protected]> Max-Forwards: 70 Route: <sip:172.16.1.30;lr> Allow: INVITE,ACK,CANCEL,BYE,UPDATE,INFO,OPTIONS,REFER,NOTIFY User-Agent: TANDBERG/518 (TC6.2.0 Beta1) Supported: replaces,100rel,timer,gruu,path,outbound,X-cisco-serviceuri,X-cisco-callinfo,X-cisco-service-control,X-cisco-srtp-fallback,X-cisco-sis-6.0.0,norefersub,extended-refer Session-Expires: 1800 Allow-Events: dialog Recv-Info: x-cisco-conference Content-Type: application/sdpContent-Length: 237 v=0
o=tandberg 7 3 IN IP4 172.16.1.115 s=-c=IN IP4 172.16.1.115 b=AS:64 t=0 0 m=audio 2336 RTP/AVP 8 0 101 b=TIAS:64000 a=rtpmap:8 PCMA/8000 a=rtpmap:0 PCMU/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-15 a=sendrecv
Первый этап
Управление системными лицензиями- Гибкая лицензионная модель
Опции с ограниченным сроком действия (Демо)� VCS теперь поддерживает опции с ограниченным сроком действия
� Страница информации опций теперь включает поле с временем их действия
� Все базовые опции имеют не ограниченный срок действия
Управление системными лицензиями- Демонстрационные опции (ключи)
� Решения нового масштаба
• Виртуальная машина - VCS (новый шаблон)• Новый аппаратный сервер, X1000 (PID: EXPWY-CE1K-BDL-K9)
— Новый сервер будет анонсирован в ближайшее время
Новый шаблон для виртуальной машины� Intel(R) Xeon(R) CPU E5-2643 0 @ 3.30GHz (8 core), AES flag
� 8 GB RAM
� 2 x 10Gb Ethernet interfaces
�Важно: CPU и память должны быть выделены (совместное использование с другими VM не допускается)
Системные улучшения и дополнения- Масштабирование
04.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved. 65
Увеличение емкости VCS (новый X8 OVA или X1000)
� На один VCS, начиная с версии X8 поддерживается:• 500 TLS non-traversal видео соединений, 10 соединений в секунду• 500 TLS traversal 768K видео соединений, 10 соединений в секунду (или
2,000 @ 64kbps аудио соединений) с возможностями шифрования, настроенными для B2BUA
• 100 TURN соедирнений• 100 B2BUA соединений Lync• 5000 TLS/TCP регистраций• 500 одновременных поисковых запросов
Важно:• Максимальное число одновременных траверсал соединений “500”.
Это число включает SIP/H323 traversal соединения, Interworking соединения, B2BUA , и TURN соединения.
• Ограничение на одновременно устанавливаемые соединения (до 10 соединений в секунду) общая для траверсал и локальных вызовов.
Системные улучшения и дополнения- Масштабирование
Требуется для масштабирования� При развертывании VCS X8.0 VM, или приобретении нового сервера VCS используется диапазон портов отличный от предыдущих версий
� При модернизации с X7.x до X8.0, диапазон используемых портов не меняется(остается как в X7.x) до тех пор пока администратор сам его не поменяет
� IP Ephemeral Port Range с версии X8.0 тоже настраиваются
Системные улучшения и дополнения- Изменение диапазона портов
Требования к ресурсам сервера� В одном OVA теперь доступно три варианта развертывания
� OVA теперь резервирует ресурсы• Это не позволит запустить VCS на хосте, аппаратная часть которого не удовлетворяет
минимальным требованиям
• Что означает минимальную частоту CPU сервера:� Для среднего шаблона частота CPU должна быть @ 2.4 GHz минимум� Для крупного шаблона частота CPU должна быть @ 3.3 GHz минимум
Deployment vCPU Резервируемые CPU ресурсы RAM Disk NIC
малый BE6K2
Core3600 MHz 4 GB 132 GB 1 Gb
среднийStandard
VCS2
Core4800 MHz 6 GB 132 GB 1 Gb
большойScalable
VCS8
Core26400 MHz 8 GB 132 GB 10 Gb
Системные улучшения и дополнения- Упрощение развертывания VM
Делегирование проверки данных пользователя для аутентификации устройства
� Входящие SIP сообщения (звонки, регистрации и т.д.) приходят на VCS Expressway
� Проверка аутентификационных данных в сообщениях может быть делегированаVCS Control
Делегирование проверки данных пользователя
VCS ExpresswaySIP UA-1
Traversal Server Zone
VCS Control
Traversal Client Zone
Делегиро-вание
проверкиCredential Checking
LocalDatabase LDAP
Database
LDAP Server
ActiveDirectoryDatabase
AD Server
TMS Server
ProvisioningDatabase
H.350DirectorySchema
Kerberos
SIP UA-2
DefaultZone
(i.e. subscribe)VCS Expressway
выполняет проверку пользовательских данных в запросах
подписки, регистрации и других сообщений
Сигнализация проходит только через VCS
Expressway
Default SubZone
(i.e. registration)
� Автоматическая защита может быть использована для обнаружения и блокирования атак злоумышленников на компоненты видео сети компании, в том числе предотвращения подбора паролей пользователей перебором.
• Функционал реализован через анализ записей системных логов на предмет повторяющихся ошибок доступа к сервисам VCS, таким как SIP, SSH, web/HTTPS доступ.
• Если число попыток несанкционированного доступа в течении определенного времени достигает границы, определенной администратором системы, обработка пакетов с исходящего IP адреса и порта блокируется на определенное время.
• Блокировка снимается автоматически после истечения периода блокировки, для предотвращения потери связи с пользователями / оборудованием, вследствие ошибки пользователя / конфигурации.
Улучшения безопасности- Автоматическое предотвращение атак
04.12.2013 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо
Video: [email protected]; [email protected]: Сергей ЮцайтисPhone: +7 499 9295752E-mail: [email protected]
CiscoRu Cisco CiscoRussia
#CiscoConnectRu