Pozn.: V době psaní tohoto článku jsem používal Cisco Expressway v aktuální verzi X8.7. A k tomu Cisco Unified Communications Manager (CUCM) ve verzi 10.5(2).

Úvod do Expressway serveru

Cisco Expressway, součást oblasti, kterou Cisco označuje Collaboration Edge, nám umožní připojení vzdálených a mobilních pracovníků (MRA) bez potřeby VPN. Měl by zajistit bezpečný průchod skrze firewally, díky nasazení jednoho serveru v DMZ a dalšího v interní síti, kdy se ukončuje spojení v DMZ. Umožní nám také videokonferenční spojení s dalšími organizacemi a videokonferenčními řešeními jiných výrobců (B2B). Jde o rozšířenou bránu pro Cisco Unified Communications Manager (CUCM), takže CUCM infrastruktura je podmínkou, můžeme využít i Presence server.

Jako vzdálené koncové zařízení se může registrovat (registrace je vůči CUCM) EX Series, MX Series, SX Series, IX Series, DX Series, Cisco Jabber. Nově jsou podporovány IP Phone 7800/8800 Series (dochází k doplňování podporovaných zařízení).  Pro komunikaci (audio/video) je podporován standard SIP a H.323 a Microsoft Lync 2013 (se speciální licencí). Výčet vlastností je v Cisco Expressway Series version X8.6 Data Sheet.

Expressway je postaveno na Cisco TelePresence Video Communication Server (VCS), ale má omezenější funkce (nemohou se k němu registrovat zařízení a neobsahuje Video Session Management & Call Control). Nasazení je stejné jako VCS, rozlišuje se licencí.

Nutno poznamenat, že sice je Expressway jako takový zdarma, ale je řada vlastností, která je placená. Zdarma máme využití pro Mobile Remote Access (MRA), tedy naši uživatelé pracující vzdáleně (musí jít o koncová zařízení, která jsou registrovaná na našem CUCM). Toto nasazení je také často popisováno na internetu. Druhá užitečná vlastnost, Business to Business (B2B) audio video komunikace, se již musí licencovat pomocí Expressway Rich Media Session (RMS). Tyto hovory jsou označovány jako Traversal Call a na některých místech se uvádí, že je třeba Traversal licence. RMS licencuje B2B video, Jabber Guest, 3rd party video interworking. Licencujeme současně probíhající session, pro jednu session potřebujeme dvě licence (na každý Expressway server jednu, jedna licence povoluje jeden video nebo dva audio hovory). V koncové ceně stojí jedna licence 750 USD (LIC-EXP-RMS). Další placená vlastnost je spojení s Microsoft Lync (Microsoft Interoperability LIC-EXP-MSFT).

Dokumentace

Cisco má k této oblasti docela slušnou dokumentaci, která popisuje různé oblasti nasazení a správy Expressway. Dokumentace je spousta, takže se člověk jednoduše ztratí, a stejně jsem nenalezl vysvětlující popis k řadě věcí. Stejně tak určité detailní informace chybí (jako třeba detailní popis disků ve virtuálu).

• Cisco Expressway Series - Configuration Guides - příručky k jednotlivým verzím a jednotlivým oblastem nasazení/konfigurace
• Cisco Expressway Series - Install and Upgrade Guides - příručky k instalaci
• Cisco Expressway Series - Maintain and Operate Guides - příručky pro správu
• Design Zone for Collaboration - Cisco Preferred Architecture
• CiscoLive! - na Cisco Live nalezneme řadu přednášek na toto téma, třeba Cisco Expressway at the Collaboration Edge design session a Business to Business Collaboration utilizing Expressway, stejně jako videa na youtube.com
• Dial IP Addresses from Endpoints Registered to CUCM with VCS / Expressway Configuration Example - popis konfigurace volání IP adres
• Cisco Preferred Architecture for Enterprise Collaboration 10.x, CVD - April 2015

Mezi příručkami (první tři odkazy) nalezneme řadu důležitých dokumentů pro nasazení (převážně z nich vychází můj popis):

• Cisco Expressway on Virtual Machine Installation Guide (X8.7)
• Cisco Expressway Basic Configuration Deployment Guide (X8.7)
• Cisco Expressway SIP Trunk to Unified CM Deployment Guide (CUCM 8,9,10,11 and X8.7)
• Cisco Expressway IP Port Usage for Firewall Traversal Deployment Guide (X8.7)
• Cisco Expressway Certificate Creation and Use Deployment Guide (X8.7) 
• Cisco Expressway Administrator Guide (X8.7)
• Mobile and Remote Access via Cisco Expressway Deployment Guide (X8.7)

Topologie Collaboration Edge

Expressway servery

Pro nasazení potřebujeme dva servery a asi nejčastěji využijeme virtuální stroje na VMware. Jeden server, který se označuje Expressway Core, zkráceně Expressway-C, se nasazuje uvnitř sítě (internal network) a komunikuje s CUCM. Druhý Expressway Edge, zkráceně Expressway-E, patří do DMZ (Demilitarized zone). Je velice důležitý a zařizuje řadu funkcí, bezpečný průchod komunikace skrze firewally (aniž bychom museli otevírat porty dovnitř interní sítě), překlady protokolů, překlady adres (pro průchod NATem), povolování a řízení komunikace (jaká volání chceme propustit dále do sítě), apod. Oba servery se instalují shodně a rozliší se až pomocí licence. Já budu dále používat ještě kratší názvy pro tyto servery (což jsou zároveň jejich jména) ExpC a ExpE.

Komunikace, porty a DNS

Pro komunikaci je potřeba povolit velké množství portů. Jejich přesné použití záleží na využívaných vlastnostech (B2B vs. MRA), protokolech (SIP, H.323, TURN) a konfiguraci (například každá zóna potřebuje svůj port a ten je konfigurovatelný). Podrobný popis je v příručce Cisco Expressway IP Port Usage for Firewall Traversal Deployment Guide. Pro hovory musíme otevírat opravdu široký rozsah RTP portů do internetu a z internetu na Expressway-E. Ale dobré alespoň je, že není žádná komunikace iniciována z Expressway-E na Expressway-C, tedy z DMZ do vnitřní sítě (komunikaci otevírá ExpC). Podrobně se na potřebné porty podíváme při nasazování.

V dalším díle se budeme věnovat nasazení B2B videokonference přes internet. Nejprve pouze s využitím volání pomocí IP adres, tehdy nemusíme nijak řešit DNS. Ale později i pomocí SIP adres a to již na různých DNS záznamech záleží. Použité DNS a domény jsou ještě více důležité při nasazení Mobile Remote Access (MRA).

Situace je částečně podobná, jak jsem popisoval u nasazení Microsoft řešení v článku Microsoft Lync část 2 - instalace Front End serveru (kapitola Zamyšlení nad DNS záznamy). Například Jabber klient hledá určitý SRV záznam a jiný by měl nalézt v interní síti a jiný z internetu (podle toho pozná, jestli je připojen vzdáleně). Dále jde o to, jestli používáme jednu společnou doménu veřejně i pro interní sít, například firma.cz. Nebo máme uvnitř speciální (neveřejnou) doménu, třeba firma.local, což je můj případ. Tato situace je často v článcích o Cisco Expressway (ne úplně přesně) zmiňována jako Split DNS (tento termín popisuji v odkazovaném článku).

Podporované topologie

V topologii velice záleží jak je vytvořena DMZ (Demilitarized zone), jestli na Firewallech využíváme NAT (Network Address Translation) a jestli Expressway-E má jednu nebo dvě síťové karty. Zde popisované řešení využívá externí firewall, odchozí komunikace se NATuje, za ním se nachází DMZ a interní firewall, který také používá NAT.

Dlouhou dobu jsem se snažil zprovoznit design, kde má DMZ jeden subnet a ExpE je připojen pomocí jednoho síťového rozhraní (LAN1). Je to oficiálně podporované zapojení, ale zdůrazňuje se, že v tomto případě musí ExpC komunikovat na veřejnou IP adresu ExpE (nikoliv na interní DMZ adresu). To musí být povoleno na externím FW a musí to obecně podporovat (další věc je vypnutí inspekce SIP a H.323). Je to z důvodu překladu adres (který musí provádět ExpE) při použitém NATu. Podrobněji se toto popisuje na konci příručky Cisco Expressway Basic Configuration Deployment Guide.

Znamená to tedy, že v Traversal Zone, pomocí které propojujeme ExpC a ExpE, zadáváme na ExpC veřejné FQDN (Fully Qualified Domain Name) ExpE serveru jako Peer address. Tomu je přiřazena veřejná (NAT) IP adresa a také je toto jméno použité v certifikátu pro ExpE (to je důležité při TLS ověřování). Komunikace z ExpC pak prochází skrze interní FW, DMZ až na externí FW, kde se musí otočit a vracet zpět skrze externí FW na ExpE. Externí firewall musí dovolovat tuto komunikaci, což se označuje jako NAT reflection (nebo Hairpinning či Recursive Traffic). Jde o jiný provoz, než jaký povolujeme z internetu na ExpE, takže musíme vytvořit odpovídající pravidlo pro komunikaci z ExpC na ExpE (nejen na interním, ale i externím FW).

Možná byl u mne problém na externím firewallu, i když se zdálo, že všechna potřebná komunikace prochází. Ale při tomto zapojení mi z ExpE na ExpC neprocházel SIP provoz (ani provedení testovacího vyhledání v Search rules nenalezlo interní alias přes protokol SIP), i když stav protokolu na Traversal Zone byl Active bez chyby. Protokol H.323 fungoval. Vyzkoušel jsem i neuposlechnout podmínku, a na ExpC nastavil komunikaci na interní adresu ExpE (zkusil jsem i na interním DNS přiřadit k veřejnému FQDN interní IP). Pak mi začal fungovat i SIP protokol, celá signalizace byla bezproblémová, ale špatné fungovala média.

Podle informací, které mám, je zapojení s jedním subnetem v DMZ v praxi funkční. Nevím, co u mne způsobuje problém. Proto dále budu zmiňovat obě možnosti konfigurace (ony se příliš neliší).

Tak jsem se uchýlil k druhému zapojení, které Cisco primárně doporučuje, a rovnou zmíním, že pak vše fungovalo bezchybně. V tomto případě máme DMZ rozdělenou na dva subnety, mezi kterými není povolena komunikace (takže ani interní firewall nemůže komunikovat na externí). ExpE je připojen pomocí dvou síťových rozhraní, takže komunikace musí projít skrze něj, aby mohla pokračovat dále. LAN1 je připojena do subnetu, kde se nachází interní firewall, a na tuto adresu komunikuje ExpC. LAN2 je zapojena do subnetu s externím firewallem, má nastaven Static NAT mode a uvedenu veřejnou adresu. Díky tomu Expressway ví, jakým rozhraním odchází a přichází jaká komunikace a může správně překládat adresy.

Pozn.: Konfigurace nepovolí použít dvě síťová rozhraní do stejného subnetu, opravdu musí každý směrovat do jiné sítě (adresního rozsahu).

V tomto případě se v Traversal Zone na ExpC zadává interní (DMZ) FQDN serveru, kterému je přiřazena IP adresa LAN1 rozhraní ExpE (či přímo IP adresa). Pokud ale konfigurujeme Secure Traversal Zone (kde máme nastaveno TLS verify mode na On, to potřebujeme třeba pro MRA), tak se ověřuje zadaná adresa ExpE serveru s hodnotou v jeho certifikátu. Na ExpE bychom měli mít důvěryhodný certifikát a ten nevystavíme na interní IP adresu či interní DNS jméno. Tento problém jsem vyřešil vytvořením interního DNS záznamu, který pro veřejné FQDN obsahuje DMZ IP adresu, obecně jsem popisoval v článku Jiná IP adresa z DNS interně a externě.

Instalace Expressway serverů

V základní části popisujeme společně konfiguraci obou serverů Expressway-C a Expressway-E, protože jejich nastavení je buď identické, nebo velmi podobné.

Prostředky na VMware serveru

Nejjednodušší je nasazení Expressway do virtuálního stroje na VMware. Poslední verze Expressway X8.7 využívá VMware HW level (Vmware version) 8 a je podporován na VMware vSphere ESXi 5.0 U1, 5.1, 5.5 a 6.0.

V Download sekci na cisco.com můžeme stáhnout OVA soubor s42700x8_7_0.ova, který použijeme pro nasazení nového virtuálního stroje. Popis na webu říká:

Cisco TelePresence Video Communication Server and Expressway series - X8.7 (AES Encrypted) VM version - use .ova for initial VM install only  

Stejný soubor se používá pro oba Expressway servery. Druhý soubor s42700x8_7_0.tar.gz, který můžeme na stejném webu stáhnout (má příponu tar.gz) a používá se pro upgrady.

Při nasazování OVA souboru si vybíráme jednu ze tří konfigurací. Standardně je doporučena Medium konfigurace, která obsahuje vCPU 2 core 4800 MHz (2 x 2.4 GHz), vRAM 6 GB, vDisk 132 GB, vNIC 1 Gbps. Na procesor i paměť má přednastavené rezervace.

Zajímavé je, že se všude mluví o jednom disku, ale při nasazení se vytvoří disky dva. Datový disk (je jako druhý) o velikosti 128 GB, doporučuje se jako Thick (můžeme změnit již při nasazování OVA). A systémový disk, který se automaticky vytvoří jako Thin s nastavenou velikostí 4 125 GB. Ve skutečnosti má tento disk vytvořeny pevné oddíly a zabírá 4 GB, což asi odpovídá požadavku na velikost disku 132GB (- 128GB druhý disk).

Stejně tak se vytvoří ne jedno, ale tři síťová rozhraní Ethernet Interfaces (NICs). Jde o vNIC:

1. standardní LAN interface LAN 1
2. pokud se používá Dual Network interfaces, tak jde o LAN 2
3. vyhrazen pro budoucí použití

Instalace - nasazení OVA souboru

Instalace je velice jednoduchá a spočívá v nasazení OVA souboru. Pomocí vSphere Client zvolíme File - Deploy OVF Template a nasadíme OVA soubor. V průvodci nasazení zadáváme jméno virtuálu, konfiguraci (ta určuje HW parametry), volíme úložiště, formát disku a mapování sítí. Pokud nasazujeme na vCenter, tak také umístění virtuálu a rovnou můžeme zadat síťové parametry (IP adresa, hostname, doména, DNS, NTP, časová zóna).

Pokud jsme síťové parametry nezadali při nasazení, tak se po startu virtuálu připojíme na konzoli a přihlásíme se defaultním účtem admin s heslem TANDBERG. Dostaneme dotaz, zda chceme spustit instalačního průvodce. Vyplníme IP adresu (musí jít o statickou adresu, DHCP není podporováno), masku, GW, rychlost, start ssh daemona a restartujeme server

Následně se již můžeme připojit na webové rozhraní (https), kde pokračujeme s konfigurací.

Základní konfigurace

Na začátku je potřeba nakonfigurovat několik základních hodnot.

Systémové jméno

System - Administration - System name. Například můžeme použít jména ExpC a ExpE.

DNS

V sekci System - DNS nastavujeme několik hodnot. System host name a Domain name tvoří dohromady FQDN. Do Default DNS servers zadáme DNS severy v dané síti. Jména například expc, firma.local a expe, firma.cz.

NTP

V sekci System - Time zadáme NTP servery (z interní sítě či internetu, třeba tik.cesnet.cz) a časovou zónu. Níže na stránce vidíme komunikaci s NTP servery.

Změna hesla uživatele admin

Users - Administrator accounts - change password u uživatele Admin, případně můžeme vytvořit další účty.

Změna hesla uživatele root

Mimo administrátorského účtu existuje v systému také uživatel root, kterým se můžeme přihlásit do systému pomocí SSH. Výchozí heslo je také TANDBERG a to bychom měli změnit. Přihlásíme se pomocí SSH a heslo změníme příkazem passwd.

Podrobnější logování

Ve výchozím stavu je nastaveno minimální logování. V případě řešení problémů se hodí zvednout logovací úroveň a některá nastavení můžeme zapnout rovnou v Maintenance - Logging.

Nastavení NATu a veřejné IP adresy

Nastavení Exp-C je jednoduché (a již hotové z průvodce). Na Exp-E v System - Network interfaces - IP nastavíme pro použití dvou rozhraní Use dual network interfaces na Yes, External LAN interface na LAN2 a pro LAN2 - External povolíme IPv4 static NAT mode na On a zadáme veřejnou IP adresu do IPv4 static NAT address. Pokud máme pouze jeden subnet, tak volíme jeden interface (tudíž LAN1) a na něm povolíme NAT a zadáme veřejnou adresu.

Licencování

V rámci placené podpory CUCM získáme od Cisco licence na Expressway-C a Expressway-E. Patrně dostaneme elektronicky pět PDF souborů, jeden je EULA, dva obsahují licence - Product Authorization Key (PAK), dva informace o použití. V jednom licenčním souboru jsou dvě licence (jedna pro každý server) LIC-SW-EXP-K9 License Key Software Encrypted, pomocí které získáme Release key. V druhém souboru je jedna kumulativní licence LIC-EXP-E-PAK Expressway Series, Expressway-E PAK, kterou použijeme pro oba servery a získáme několik Option key.

Licenční klíče PAK klasicky zaregistrujeme na http://cisco.com/go/license. Musíme již mít nainstalované Expressway servery a nastavené síťové parametry, protože při registraci licence se zadává generované 8 znakové sériové číslo ze serveru. Při registraci vezmeme jeden (a poté druhý) PAK LIC-SW-EXP-K9, v průvodci zadáme sériové číslo serveru a po dokončení dostaneme email, který obsahuje licenční klíč (16 číslic). Ten zadáme na Expressway server v menu Maintenance - Option keys položka Release key.

Obdobným způsobem zaregistrujeme PAK LIC-EXP-E-PAK. Ten nám po zadání ukáže, že obsahuje 2 licence LIC-EXP-SERIES a LIC-EXP-GW a po jedné licenci LIC-EXP-AN, LIC-EXP-SERIES, LIC-EXP-GW, LIC-EXP-TURN a LIC-EXP-E. Můžeme zvolit, které licence chceme registrovat, a přiřadíme jim sériové číslo serveru. Licence, které jsou dvakrát, přiřazujeme k Expressway-C a všechny k Expressway-E. Emailem dostaneme patřičné množství licenčních klíčů (18 znaků), které postupně zadáme do položky Add option key.

Aby se uplatnila libovolná zadaná licence, tak je potřeba restartovat server Maintenance - Restart options. Po zadání licencí se v hlavičce webového rozhraní zobrazí Cisco Expressway-C nebo Cisco Expressway-E (tam kde je Option key Traversal Server). Před licencováním se zobrazuje Cisco TelePresence Video Communication Server.

Certifikáty

Automaticky se při instalaci vygenerují SelfSigned certifikáty, ale doporučuje se vyměnit je za certifikáty od certifikační autority a pro komunikaci s externími subjekty je vhodné vystavit certifikát od veřejně důvěryhodné CA. Certifikát se používá pro TLS šifrování komunikace s dalšími systémy nebo klienty a pro přístup na webové rozhraní.

Důležitý je také certifikát na CUCM, který by neměl být self-signed. Popis použití certifikátu od CA je třeba v článku Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name Configuration Example. Do tomcat-trust a CallManager-trust se nahrávají certifikáty autorit. Do tomcat a CallManager vystavený certifikát. Při nahrání CallManager certifikátu dojde k novému připojení všech telefonů a mohou nastat problémy (hned a ne až po restartu služby), takže je dobré to dělat mimo pracovní dobu.

Maintenance - Security certificates - Trusted CA certificate

Nahrajeme certifikáty autorit, od kterých použijeme serverový certifikát, kterým chceme důvěřovat. Ve většině případů jde o Root a Intermidiate certifikát. Pokud máme certifikát na ExpC od interní autority a ExpE od veřejné, tak na obě potřebujeme nahrát všechny CA certifikáty. Certifikáty musíme mít v PEM formátu (Base64 encoded X.509 cert).

Maintenance - Security certificates - Server certificate

Vytvoříme žádost (Generate CSR) a pomocí ní vystavíme certifikát. U certifikátu jsou důležitá Subject Alternate Names (SAN), která záleží na nasazení (jaké služby budeme na Expressway využívat). Celou problematiku popisuje samostatná příručka Cisco Expressway Certificate Creation and Use Deployment Guide.

Příklad předmětu (Subject) pro ExpC expc.firma.local, pro ExpE expe.frima.cz, firma.cz.

Pozn.: Pokud vydáváme certifikát na Microsoft autoritě, tak si musíme připravit speciální šablonu z Web Server, která má přidánu Client Authentication. Je to popsáno v Cisco dokumentaci k certifikátům. Například veřejná CA StartSSL automaticky vydává certifikáty s Client Authentication i Server Authentication.

Záloha systémového nastavení

Manuálně můžeme provést zálohu nastavení v Maintenance - Backup and restore.