[CUCME] Script de configuração automática de SecureCME

Document

Feb 16, 2012 10:00 AM
Feb 16th, 2012

Este documento é a tradução e adaptação para o PT-BR (Português-Brasileiro) do documento criado pelo Steven Holl. A reprodução deste procedimento foi permitida pelo autor.

O documento original pode ser encontrado aqui: https://supportforums.cisco.com/docs/DOC-21867 visite para obter a versão mais recente do script.

_______________

Escrevi este script TCL para automatizar completamente a configuração do Secure CME. A configuração do secure CME é bem complexa, necessitando por volta de 60 linhas de configuração. Isto irá aliviar os pontos doloridos de se configurar o secure CME.

Objetivo:

A configuração do secure CME é bem massante, e necessita de diversos comandos a serem inseridos em uma sequência específica. Algumas das quais nem sequer aparecem na configuração final. O objetivo deste script é aliviar o fardo dos clientes ao configurar o secure CME automatizando por completo o processo de configuração.

Pré-Requisitos:

  • O CME precisa estar com os telefones devidamente registrados
  • O CME deve ter as features que suporta o sCME (Cryptok9)
  • O router não deve ter nenhuma configuração de sCME (sem IOS CA, sast1, sast2,cme, trustpoints nomeado como ca)
  • Os IP Phones não devem ter nenhum CTL ou LSC configurado, recomendo um factory reset antes de configurar o sCME
  • Uma vez executado o script, não execute novamente. Se der erro, reinicie o router e comece tudo novamente.
  • Configure o clock do router. Recomendo o uso de um NTP. Ex: #clock set 17:05:00 16 Feb 2012
  • Ajuste o time zone do router. Ex: (config)#clock timezone GMT -3
  • Defina o time-zone no telephony-service.  Ex: (config-telephony)#time-zone 17
  • Testado com última IOS e firmware disponíveis para download. IOS 15.2(2T) e Firmware 9-2-3S.
  • Caso tenha algum arquivo relacionado a sCME na flash, apague-os. Ex. .crt, .cnm, .ctl entre outros.  Deixe apenas a IOS, e os arquivos de firmware dos IP Phones.

Advertências:

Algumas versões de firmware possui problemas em obter os LSCs. Veja o README para mais informações.O autor possui interesse se você tiver alguma firmware que por acaso não funcione com este script, para que ele possa documentar adquedamente.

O script possui uma checagem de erro bem limitada, portanto, certifique-se de ler o procedimento antes de executar o script para que você entenda o correto funcionamento do mesmo.

Baixando o Script:

Baixe o arquivo securecmeTCL.zip anexado no fim deste documento

Versão atual:  v1.4 - 1/13/2011

Procedimento:

1 - Copie o arquivo TCL para a flash do router.

2- Verifique se a hora está correta no roteador e nos ip phones:

    • A hora do roteador DEVE estar correta antes de executar o script.

                              Verifique com o comando: show clock

      • O timezone do roteador DEVE estar correto antes de executar o script.

                              Verifique com o comando:  show runn | i timezone


      • O timezone do CME DEVE estar configurado corretamente antes de executar o script.

                              Verifique com o o camando: show telephony-service | i time


3 - Configure os seguintes parâmetros no router:

#conf t

(config)#event manager directory user policy "flash:/"

(config)#event manager policy securecme.tcl

(config)#event manager environment password <password key for CA/certs> 

(config)#event manager session cli username <aaa-username>  ((SOMENTE SE UTILIZAR AUTENTICAÇÃO AAA))

O password precisa ter no mínimo 8 caracteres.

Exemplo de configuração:

                event manager directory user policy "flash:/"

                event manager policy securecme.tcl

                event manager environment password cisco123

                event manager session cli username sholl


4 - Certifique-se que o comando ip-domain name esteja configurado corretamente. Ex. ip-domain name cisco


5 - Certifique-se que o comando type esteja definido em cada ephone. Ex. type 7961  para ip phones modelo 7961

6 - Salve a configuração do roteador antes de executar o script,  se o script nao executar com sucesso basta reiniciar o roteador e deletar os arquivos CTL de cada telefone, se necessário.

7 - Após conferir todos os passos acima, execute o comando “securecme” no modo exec do router.

8 - Observe o 'sh log | i ---' para observar os logs. Diversas mensagens irá aparecer do inicio ao fim do script.

9 - Se o script não for executado com sucesso e for necessário executá-lo novamente reinicie o roteador para limpar quaisquer configurações de segurança. Apague as configurações de CTL/LSC nos IP Phones, se necessário.

10 - Aguarde o término da configuração, os telefones irão resetar umas 2x e pronto... Está configurado.

Adicionando novos ramais no sCME:
Agora com o sCME configurado, siga os passos abaixo para inserir um novo IP Phone neste ambiente.

1 - Configure o IP Phone normalmente, ele irá ficar com o device-security-mode none, deixe-o registrar normalmente.

2 - Adicione o comando cert-oper upgrade auth-mode null-string na configuração do ephone e faça um reset.

3 - Quando o telefone resetar ele irá solicitar o LSC do CAPF Server, e irá registrar-se novamente com a LSC (neste ponto ele ainda não está encriptado)

4 - Agora digite device-security-mode encrypted  no ephone e faça um novo reset.

5 - Agora o novo IP Phone estará configurado com criptografia.


Troubleshooting:

!!Por favor leia o PROCEDIMENTO e o arquivo README do Autor antes de executar o script para evitar o mal funcionamento

Pode-se observar o logging buffer para verificar o atual status do script.

Execute 'debug event manager all' durante a operação do script para detalhes do que o script está fazendo.


Se você se deparar com problemas com o script e quiser que o autor de uma olhada, ele necessita das seguintes informações:

1 - O output dos seguintes comandos antes de executar o script:

     sh run

     sh ephone ph

     sh clock

2 - Habilite o 'debug event manager all' antes de executar o script, com o 'logging buffered 10000000 7' configurado.

3 - O output dos seguintes comandos após executar o script

     sh log

     sh run

     sh capf-server sum

     sh ctl-client

     sh telephony-service tftp

     sh ephone reg

Average Rating: 5 (2 ratings)

Actions

Login or Register to take actions

This Document

Posted February 16, 2012 at 10:00 AM
Stats:
Comments:0 Avg. Rating:5
Views:11885 Contributors:0
Shares:0
Tags: cme, cucme, securecme
+

Related Content