2023年7月10日发(作者：)

Expressway安装调试手册

第一章 概述

第一节 VCS穿越防火墙架构简述

Cisco TelePresence® Video Communication Server Expressway (Cisco VCS

Expressway) 与 Cisco TelePresence Video Communication Server (Cisco VCS) 一起部署，可在企业外部以轻松安全的方式实现流畅的视频通信。

Cisco VCS Expressway 能够实现企业对企业的视频协作，提高远程和在家办公人员的工作效率，同时使服务提供商能够与客户进行视频通信。通过所有会话发起协议 (SIP)

和 H.323 设备所具有的基于标准的安全防火墙穿越功能，该应用可以安全地发挥作用。这样可以提高员工工作效率，改善与合作伙伴和客户的交流，使组织从中受益。

Cisco VCS Expressway 专为实现高可靠性和可扩展性而设计，支持多供应商防火墙，可以穿越任意数量的防火墙，而无需考虑 SIP 或 H.323 协议。

第二节 VCS与Expressway系列的区别

在VCS X8.1版本开始，VCS设备开始向两个不同的分支方向进行发展。一条路线是保持原来的VCS Control和VCS Expressway架构，通过VCS-C和VCS-E来完成视频终端的防火墙穿越工作。视频终端的注册服务器是VCS Control。而另一条路线则是发展成为本文重点讨论的Expressway架构，架构中包括Expressway Core和Expressway Edge两种类型的设备。通过Expressway-C和Expressway-E来完成统一通信设备的穿墙。不同于VCS架构，此时，统一通信设备的注册服务器是CUCM。使用Expressway架构可以完成所有终端注册在CUCM上时的防火墙穿越工作。其中，最为重要的应用实例是Jabber软件的穿越。

第三节 Expressway穿越防火墙架构

同VCS-C和VCS-E的穿越防火墙模型类似，Expressway架构同样分为穿越服务器和穿越客户端两种角色。

Expressway Edge（Expressway-E）服务器放置在防火墙的外网或者DMZ区域。作为整个系统中的穿越服务器。外网客户端，包括TP终端和Jabber软终端在内的所有接入终端，都需要将通信流量发送至Expressway Edge服务器作为代理。

Expressway Core（Expressway-C）服务器放置在防火墙的内网。作为整个系统中的穿越客户端。Expressway-C和Expressway-E之间使用TLS进行通信并产生一个隧道。Expressway-E会将所有外来的通信流量通过封装进隧道的方式导向Expressway-C。再由Expressway-C将封装的数据包解开，发往CUCM做进一步的语音视频通信。

第二章 环境准备

本手册针对Cisco Expressway服务器的安装部署以及相关功能使用说明。本手册为了简化配置流程，并没有在配置环境中添加防火墙设备。在实际部署环境中，防火墙上需要放开本文后续提到的各种端口。

第一节 环境准备

第一章VCS配置

思科Expressway穿墙方案是针对以CUCM为核心的collaboration架构. 在该结构中,

负责穿墙的设备是Expressway-C和Expressway-E. 其中防火墙内侧的是Expressway-C,

而防火墙外侧的则是Expressway-E . 注意, Expressway如果需要做Jabber的穿越, 版本必须要在X8.1.1

第一节 VCS许可添加

1. 在刚刚安装好一台VCS虚机时, VCS正处于未授权状态. 能注册的设备仅有3个.

这个时候需要通过添加release key来给VCS进行授权. 在管理界面的右下角S/N后面是这个VCS的序列号, 可以用这个序列号在/go/license网站上进行VCS的许可申请. 这里再次提醒, VCS的版本必须要在X8.1.1以上才能做Jabber的穿墙

2. 在通过思科网站获取到许可之后, 在VCS管理界面的Maintenance下面的Option

Key处进行许可的添加

3. 在Option Key下找到Release key处, 填写在思科申请到的VCS release key.

点击Set release key即可. 注意添加完release key之后, 系统会提示要重启才能生效,

此时根据系统提示重启VCS即可. 重启之后, VCS处于正常授权状态, 可以支持的注册终端数量恢复到2500个

4. 细心的同事可能已经发现了此时的VCS并不是Expressway, 仅仅是VCS control.

必须要通过输入Option key的方式才能激活VCS的expressway功能.

在Option key页面下, 找到Software option, 在这里可以通过填写option key的方式来激活VCS的各种功能.

在完成Expressway + Jabber穿墙的部署模型下, 一定需要在Expressway-C上添加的VCS option key是Expressway Series许可. 而在Expressway-E上一定需要添加的是Expressway Series许可以及Traversal Server许可. 其他的许可可以选择性的添加.

在添加完许可之后, 可以看见VCS的名称已经由原来的VCS control变成了Expressway-C和Expressway-E

第二节互换两台Expressway 服务器的证书

之前配置过VCS-C和VCS-E的同事可能会比较熟悉. 如果要完成穿墙的工作, 那么两台VCS之间一定要通过TLS能够相互连接. 而TLS协议一定需要证书服务的支持. 这里采用的是利用Microsoft CA服务器来完成证书

1. 通过Maintenance下面的Security certificates下面的Server certificate页面来完成Expressway 证书的生成.

2. 点击Certificate signing request (CSR)下面的Generate CSR按钮来生成证书签名的申请文件

3. 在Generate一栏, 需要填写生成证书的相关信息.对于Expressway-C服务器来说 Alternate name下面的几项如果没有特殊的需求, 如在CUCM和Expressway-C之间做TLS连接等. 可以不填. 对于Expressway-E服务器来说,需要在 Alternate name下面填写Unified Communications domain. 这个domain填写的是自己的CUCM和CUPS服务器所在的域. 而Additional information处, 可以根据自己的需求来填写. (其实如果CA服务器是自己的, 以上内容也可以随便填写)

Expressway-C的Generate CSR填写部分:

Expressway-E的Generate CSR填写部分:

4. 在点击生成CSR之后, 点击Download按钮进行CSR文件的下载. 并将CSR上传到CA服务器上, 让CA服务器进行授权

5. 打开CA服务器所在的Windows Server服务器. 在开始菜单下, 找到管理工具,

再找到Certification Authority

6. 在Certification Authority下, 找到当前服务器, 右键点击服务器选择所有任务->提交一个新的申请

7. 在浏览目录中找出之前上传到服务器上的Expressway-C和Expressway-E的证书文件

8. 在添加完申请的证书CSR文件之后, 在”挂起的申请”下面可以找到刚才提交的任务, 右键点击该申请, 点击所有任务->颁发.

9. 在颁发证书之后, 在”颁发的证书”下面, 可以找到已近颁发过的证书.

双击已经颁发过的证书, 会出现该证书的信息, 此时点击详细信息->复制到文件,

进入证书导入向导

10. 在证书导出下面, 选择导出的格式时, 一定需要选择Base64编码

X.509(CER)格式, 否则无法导入回Expressway服务器. 在导出结束后, 会得到一个后缀是”.cer”的文件 11. 将导出的属于自己的证书文件, 在Expressway页面下方的Upload new

certificate的Select the server certificate file处进行导入工作. 完成之后点击Upload server certificate data按钮, 完成证书导入工作. 记住, 这里是自己的证书放在自己这里

12. 接下来完成Expressway服务器证书相互导入以及CA服务器证书的导入工作. 进入Maintenance下面的Security certificates下面的Trusted CA

certificate

13. 在Trusted CA certificate处, 找到Upload下面的Select the file

containing trusted CA certificates. 将对端Expressway的服务器证书添加进去. 注意: 这里是添加对方的证书, 即Expressway-C放Expressway-E的证书, 反之亦然. 除了需要添加对端的证书之外, 还需要添加CA服务器的根证书

14. CA服务器根证书的获取方式. 在浏览器中输入”127.0.0.1/certsrv”,

即可进入Microsoft AD证书服务网页版. 在正下方有一个”下载 CA 证书、证书链或 CRL”, 点击进入

15. 在”下载 CA 证书、证书链或 CRL”页面下, 选择CA证书的编码是Base

64. 点击下载CA证书即可得到后缀是”.cer”的文件. 将此文件上传到前面提到的Expressway页面下的Trusted CA certificate处

第三节 完成Expressway上的基本配置

注意: 以下配置除非做特殊说明, 否则再Expressway-C和Expressway-E上都要做这些配置

1. 配置VCS的hostname , 点击进入System下面的Administration. 填写VCS的hostname

2. 配置DNS服务器 , 点击进入System下的DNS进入配置页面. 填写包括Hostname, Domain name以及DNS服务器地址等信息

3. (可选)配置NTP服务器, 点击进入System下的time进入配置页面. 填写包括NTP服务器地址, 时区等信息, 点击Save进行保存

4. 打开VCS上的SIP连接. 进入Configuration下面的Protocols下面的SIP. 最好保证所有的SIP连接模式都打开. 如果需要修改SIP通信的端口号, 也可以在下面修改

第四节 完成Expressway上与穿越防火墙相关的配置

1. 进入Configuration下面Unified Communications下面的Configuration, 以激活VCS的Unified Communication通信功能. 将Unified Communications mode选成”Mobile and remote access”

2. 进入Configuration下面Unified Communications下面的Unified CM servers,

在Expressway-C上添加互连的CUCM设备

3. 在Unified CM Servers界面下, 点击New按钮, 添加一台新的CUCM信息.在Unified CM publisher address处填写CUCM的IP地址或者hostname. TLS verify mode这一项选择off. (因为没有在CUCM和VCS之间交换证书信息, 所以这里我们不使用TLS模式连接). 填写完毕之后, 点击Add address即可.

4. 进入Configuration下面Unified Communications下面的IM and Presence

servers , 在Expressway-C上添加互连的CUPS设备

5. 在IM and Presence Servers界面下, 点击New按钮, 添加一台新的CUPS信息.在IM and Presence publisher address处填写CUPS的IP地址或者hostname. TLS

verify mode这一项选择off. (因为没有在CUPS和VCS之间交换证书信息, 所以这里我们不使用TLS模式连接). 填写完毕之后, 点击Add address即可. 注意: 在添加完CUPS服务器之后, status状态会显示是错误. 这个是正常的, 在后面做完Expressway-C和Expressway-E的互连之后, 状态就会恢复正常

6. 点击进入Configuration下面的Domains, 配置SIP domain的相关信息.

7. 在Domains页面下, 点击New按钮添加新的domain信息. 并且将Supported

services and provisioning on Unified CM下面的两项和CUCM, CUPS相关的选项选成on

8. 下一步需要配置VCS上zones的相关信息. 在此处Expressway-C和Expressway-E上的配置略有不同. 点击Configuration下面的Zones下面的Zones来进行配置

9. 在Expressway-C上, 进入Zones配置界面之后, 点击New创建一个新的zone. 在填写的时候, 注意: Zone类型选择Traversal client. 关闭H323功能. 在Connection

credentials处填写和Expressway-E上对应的用户名密码(这个在后面Expressway-E的配置上会提到). SIP下面的选项需要严格按照下图中的方式来填写. 最后在Location处填写Expressway-E的FQDN. 填完之后, 点击Create Zone来创建zone

10. 在Expressway-C上, 进入Zones配置界面之后, 点击New创建一个新的zone.

在填写的时候, 注意: Zone类型选择Traversal client. 在Connection credentials处, 点击Add/Edit local authentication database创建用于连接到Expressway-C的用户名和密码. 关闭H323功能.

在SIP配置处, 除了TLS verify subject name需要填写对应的Expressway-C服务器的FQDN之外, 其他的必须严格按照下面的方式填写. 填写完毕之后, 点击Create Zone即可创建zone

11. 每个zone都需要一个search rule. 在创建完zone之后, 需要给这些zone创建Search rules. 进入Configuration下面的Dial plan下面的Search rules.

12. 在Search rules界面下, 点击New添加新的rules, Protocol选成SIP. Target选择之前创建的zone, 点击Ceate search rule即可 13. 在全部配置完毕之后, 在Status下面的Unified Communications处, 查看配置后的状态结果. 只要没有Inactive就是配置成功了.

第二章Windows DNS配置

思科Expressway穿墙方案中另外一个必不可少的组件就是DNS服务器. 对于穿墙的应用来说在环境中, 必须要有两个DNS服务器. 内网一个, 外网一个. 两个DNS服务器上的配置会有区别

第一节 内网DNS服务器配置

1. 在开始菜单下选择”管理工具”, 找到”服务器管理器”

2. 在服务器管理器页面处选择DNS服务器. 找到对应的域, 右键点击, 选择”新建主机(A或AAAA)

3. 在新建主机中, 填写包括Expressway-C, Expressway-E, CUCM, CUPS服务器的IP地址和hostname的对应关系

填写完毕之后, 应该是这样. 包括以上我提到的4个服务器的映射关系

4. 下一步需要添加SRV记录, 找到对应的域, 右键点击, 选择”其他新纪录”

5. 在资源记录类型处, 选择”服务位置(SRV)” , 并点击”创建记录”

6. 在资源记录类型处, 选择”服务位置(SRV)” , 并点击”创建记录”. 请大家按照下表中的内容, 逐一添加SRV记录. 添加的时候, 需要注意, 在”服务”和”协议”的添加时, 前面需要加一个下划线. 比如服务为”cisco-uds”, 那么添加时需要写成”_cisco-uds”. 我在下面附上了一个例子. 大家可以参照这个例子, 注意将以下的条目添加到内网DNS服务器中

第二节 外网DNS服务器配置

外网服务器的配置流程和内网服务器一致. 但是配置内容稍有不同

1. 在开始菜单下选择”管理工具”, 找到”服务器管理器”

2. 在服务器管理器页面处选择DNS服务器. 找到对应的域, 右键点击, 选择”新建主机(A或AAAA)

3. 在新建主机中, 仅需要填写Expressway-E服务器的IP地址和hostname的对应关系

填写完毕之后, 应该是这样.

4. 下一步需要添加SRV记录, 找到对应的域, 右键点击, 选择”其他新纪录”

5. 在资源记录类型处, 选择”服务位置(SRV)” , 并点击”创建记录”

6. 在资源记录类型处, 选择”服务位置(SRV)” , 并点击”创建记录”. 外网DNS的SRV记录和内网DNS的SRV记录不同. 请大家按照下表中的内容, 逐一添加SRV记录.

添加的时候, 需要注意, 在”服务”和”协议”的添加时, 前面需要加一个下划线. 比如服务为”cisco-uds”, 那么添加时需要写成”_cisco-uds”. 我在下面附上了一个例子.

大家可以参照这个例子, 注意将以下的条目添加到外网DNS服务器中

第三章Jabber for windows配置

在配置完毕Expressway服务器和DNS之后. 剩下的就是需要登录Jabber . 如果希望做Jabber的防火墙穿越, 那么Jabber for windows的版本必须是9.7

第一节 内网Jabber用户登录

在用户登录之前, 需要将DNS服务器地址设置成为内网DNS服务器

1. 双击Jabber 应用软件. 填写登录信息, 登录信息的填写方式是”用户名@域名” ,

点击Continue继续. 此时Jabber就会通过Expressway-C而去CUPS服务器那里进行注册

2. 当找到CUPS服务器之后, 会提示输入用户名密码, 填写完毕之后, 点击Sign in继续

3. 在连接的过程中, 会发现原来用户名部分的@域名不见了. 这就说明Jabber正在通过AD服务器进行认证, 以注册在CUPS服务器上

4. 在等待一段时间之后, Jabber客户端登陆成功.

5. 在Jabber客户端上方的状态栏处, 点击Help->Show connection status. 可以发现内网Jabber客户端注册的地址是内网的CUPS上, 软电话注册在CUCM上, 并且可以访问LDAP服务器

第二节 外网Jabber用户登录

在用户登录之前, 需要将DNS服务器地址设置成为外网DNS服务器

1. 双击Jabber 应用软件. 填写登录信息, 登录信息的填写方式是”用户名@域名” ,

点击Continue继续. 此时Jabber就会首先去找Expressway-E, 然后通过Expressway-E发送注册消息到Expressway-C, 再去CUPS服务器那里进行注册

2. 当找到CUPS服务器之后, 会提示输入用户名密码, 填写完毕之后, 点击Sign in继续

3. 在连接的过程中, 会发现原来用户名部分的@域名不见了. 这就说明Jabber的注册信息已经通过Expressway-E和Expressway-C发往CUCM服务器进行认证, 以注册在CUPS服务器上. 注意: 不是LDAP服务器, 而是CUCM服务器. 也就是说, Jabber此时的目录不是使用的EDI而是UDS

4. 在等待一段时间之后, Jabber客户端登陆成功. 可以看到用户名并不是PCuser3.

而是名+姓. 在穿墙之后, Jabber访问directory的方式不是找AD, 而是找CUCM.

5. 在Jabber客户端上方的状态栏处, 点击Help->Show connection status. 可以发现无论是软电话还是Presence的注册, 上面都标明了是Expressway. 并且没有出现Directory信息.