em 02-16-2012 10:00 AM
Este documento é a tradução e adaptação para o PT-BR (Português-Brasileiro) do documento criado pelo Steven Holl. A reprodução deste procedimento foi permitida pelo autor.
O documento original pode ser encontrado aqui: https://supportforums.cisco.com/docs/DOC-21867 visite para obter a versão mais recente do script.
_______________
Escrevi este script TCL para automatizar completamente a configuração do Secure CME. A configuração do secure CME é bem complexa, necessitando por volta de 60 linhas de configuração. Isto irá aliviar os pontos doloridos de se configurar o secure CME.
Objetivo:
A configuração do secure CME é bem massante, e necessita de diversos comandos a serem inseridos em uma sequência específica. Algumas das quais nem sequer aparecem na configuração final. O objetivo deste script é aliviar o fardo dos clientes ao configurar o secure CME automatizando por completo o processo de configuração.
Pré-Requisitos:
Advertências:
Algumas versões de firmware possui problemas em obter os LSCs. Veja o README para mais informações.O autor possui interesse se você tiver alguma firmware que por acaso não funcione com este script, para que ele possa documentar adquedamente.
O script possui uma checagem de erro bem limitada, portanto, certifique-se de ler o procedimento antes de executar o script para que você entenda o correto funcionamento do mesmo.
Baixando o Script:
Baixe o arquivo securecmeTCL.zip anexado no fim deste documento
Versão atual: v1.4 - 1/13/2011
Procedimento:
1 - Copie o arquivo TCL para a flash do router.
2- Verifique se a hora está correta no roteador e nos ip phones:
Verifique com o comando: show clock
Verifique com o comando: show runn | i timezone
Verifique com o o camando: show telephony-service | i time
3 - Configure os seguintes parâmetros no router:
#conf t
(config)#event manager directory user policy "flash:/"
(config)#event manager policy securecme.tcl
(config)#event manager environment password <password key for CA/certs>
(config)#event manager session cli username <aaa-username> ((SOMENTE SE UTILIZAR AUTENTICAÇÃO AAA))
O password precisa ter no mínimo 8 caracteres.
Exemplo de configuração:
event manager directory user policy "flash:/"
event manager policy securecme.tcl
event manager environment password cisco123
event manager session cli username sholl
4 - Certifique-se que o comando ip-domain name esteja configurado corretamente. Ex. ip-domain name cisco
5 - Certifique-se que o comando type esteja definido em cada ephone. Ex. type 7961 para ip phones modelo 7961
6 - Salve a configuração do roteador antes de executar o script, se o script nao executar com sucesso basta reiniciar o roteador e deletar os arquivos CTL de cada telefone, se necessário.
7 - Após conferir todos os passos acima, execute o comando “securecme” no modo exec do router.
8 - Observe o 'sh log | i ---' para observar os logs. Diversas mensagens irá aparecer do inicio ao fim do script.
9 - Se o script não for executado com sucesso e for necessário executá-lo novamente reinicie o roteador para limpar quaisquer configurações de segurança. Apague as configurações de CTL/LSC nos IP Phones, se necessário.
10 - Aguarde o término da configuração, os telefones irão resetar umas 2x e pronto... Está configurado.
Adicionando novos ramais no sCME:
Agora com o sCME configurado, siga os passos abaixo para inserir um novo IP Phone neste ambiente.
1 - Configure o IP Phone normalmente, ele irá ficar com o device-security-mode none, deixe-o registrar normalmente.
2 - Adicione o comando cert-oper upgrade auth-mode null-string na configuração do ephone e faça um reset.
3 - Quando o telefone resetar ele irá solicitar o LSC do CAPF Server, e irá registrar-se novamente com a LSC (neste ponto ele ainda não está encriptado)
4 - Agora digite device-security-mode encrypted no ephone e faça um novo reset.
5 - Agora o novo IP Phone estará configurado com criptografia.
Troubleshooting:
!!Por favor leia o PROCEDIMENTO e o arquivo README do Autor antes de executar o script para evitar o mal funcionamento
Pode-se observar o logging buffer para verificar o atual status do script.
Execute 'debug event manager all' durante a operação do script para detalhes do que o script está fazendo.
Se você se deparar com problemas com o script e quiser que o autor de uma olhada, ele necessita das seguintes informações:
1 - O output dos seguintes comandos antes de executar o script:
sh run
sh ephone ph
sh clock
2 - Habilite o 'debug event manager all' antes de executar o script, com o 'logging buffered 10000000 7' configurado.
3 - O output dos seguintes comandos após executar o script
sh log
sh run
sh capf-server sum
sh ctl-client
sh telephony-service tftp
sh ephone reg
Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.
Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: