본문 바로가기
Collaboration/Cisco Jabber

[연재] 다시쓰는 Cisco Jabber 설치하기 - 6. Cisco Expressway 클러스터링 및 CUCM 연동

라인하트 2014. 10. 29. 08:30

      글 싣는 순서

       1. Service Discovery 의 이해
       2. Service Discovery 설정하기 

       3. Cisco Jabber for Windows 설치 및 인증서 관리

       4. Cisco Expressway 의 이해

       5. Cisco Expressway 설치 및 기본 설정하기
       6. Cisco Expressway 클러스터링 및 CUCM 연동
       7. Cisco Expressway 에 인증서 주입하기 
       8. Cisco Expressway 에서 Traversal Zone 구성하기 
       9. 사외에서 웹서버를 이용해 사진 추가하기
      10. Cisco Jabber 9.5 에서 URI Dialing 구성하기



시작하며

지금부터 본격적으로 Cisco Expressway의 클러스터링 구성과 시스코 재버와 같은 단말을 위한 Mobile and Remote Access (MRA) 구성에 대해 다룹니다. 내용이 상당히 많아서 하나의 글로 마무리하지 못하고 여러편에 걸쳐서 올립니다. 제 생각에는 약 9편까지는 MRA에 대한 구성에 대한 글이 될 것입니다. 



클러스터의 이해
같은 X 8.x 소프트웨어를 사용하는 Expressway, VCS 및 Coductor는 모두 동일한 구조의 클러스터링이 가능합니다. 클러스터링의 목적은 이중화와 용량 증가입니다. 기업 네트워크에서 모든 장비들은 이중화로 구성됩니다. 


클러스터 구성 시 Expressway의 용량은 최대 4배까지 증가합니다.  

  • 최대 6개의 Expresway 서버까지 클러스터링 구성
  • CUCM에 대한 최대 10,000 단말 등록
  • 최대 2000 개의 영상 호 또는 4,000 개의 음성 호 지원


클러스터 내의 모든 서버는 동일한 구성을 유지해야 하므로 구성 정보 마스터 (Configuration Master)에서 설정된 정보는 자동으로 다른 서버에 복사됩니다. CUCM 클러스터와 달리 Expressway 클러스터는 반드시 마스터 Expressway에서 설정을 변경해야 다른 서버로 복사가 됩니다. 복사될 필요가 없는 설정은 각각의 서버에서 따로 설정합니다. 


클러스터링 설정은 생각보다 단순합니다. 



클러스터링 설정하기
클러스터링 설정을 위해 메뉴바에서 "System >> Clustering"으로 이동합니다. 클러스터링에 대한 도메인 네임을 DNS에 설정할 필요가 있으며, 바로 앞 연재에서 다루었습니다. 



클러스터링 페이지에서 다음의 값을 입력합니다.

  • Clustering name : <DNS에 설정한 Expressway cluster name>.<domain>
  • Configuring master : 마스터 Expresway를 선택
  • Peer IP address : 클러스터로 동작할 모든 Expressway 서버의 IP 주소




설정을 완료하였으므로 재부팅을 위해 "Maintenance >> Restart Option"으로 이동하여 재부팅을 합니다. 정상적으로 설정되었다면, 아래처럼 녹색으로 상태를 표시합니다. 




클러스터링 페이지의 맨 아래에는 Custer database status 부분에 "Active"라고 표시됩니다.  


클러스터링 구성 완료 후에는 Configuration Master로 설정된 Expressway에서만 설정을 변경하면 클러스터 전체에 구성 정보가 업데이트됩니다. 마스터 Expressway는 위에서 설정된 대로 Peer 1 번 서버입니다.



지금까지 Expressway C에 대한 클러스터를 구성하였으므로 동일한 방법으로 Expressway E 클러스터를 구성합니다. 



Expressway Edge 에서  Unified Communications MRA 설정하기
지금까지 Cisco Expressway에 대한 기본 설정을 완료하였으므로 Cisco Expressway의 핵심의 기능인 Mobile and Remote Access 설정을 시작합니다.


Cisco Expressway의 Mobile and Remote Access (MRA) 기능은 Cisco Collaboration Edge Architecture의 핵심입니다. Cisco Expressway 를 통해 구현되는 MRA 기능으로 시스코 재버와 같은 단말은 등록, 호제어, 사전 설정, 음성사서함 및 프레즌스 서비스 연동의 기능을 사외에서 CUCM을 통해 받을 수 있습니다. Cisco Exptessway 는 안전한 방화벽 투과와 CUCM에 등록된 단말을 위한 line side 기능을 사외에 상관없이 제공받을 수 있도록 합니다.


MRA 설정을 위해 메뉴바에서 "Configuration >> Unified Communications >> Configuration" 페이지로 이동합니다.



"Unified Communications" 페이지에서 Unified Communications mdoe를 "Mobile and remote access"로 선택한 후 저장합니다. 


현재 Cisco Expressway E는 클러스터링 구성이 되어 있으므로 나머지 Cisco Expressway에 따로 설정하지 않아도 자동으로 업데이트 됩니다. 



Expressway Core 에서 MRA 설정하기
Cisco Expressway C 에서도 Unified Communications 페이지로 이동합니다. Expressway E와 마찬가지로 Unified Communications Mode를 "Mobile and remote access" 로 선택한 후 저장합니다. 



Expressway C 에서 재버가 필요로 하는 서비스를 위한 SIP 도메인 설정하기
Expressway C 에서는 두 개의 SIP 도메인을 설정해야 합니다.

  • SIP 등록 및 프로비져닝을 위한 CUCM이 처리할 SIP 도메인
  • IM&P 서비스를 위한 CUCM이 처리할 SIP 도메인

용어는 어렵지만, 결국 재버가 IM&P 서비스 또는 음성 서비스만을 하는 지 또는 두 서비스를 모두 사용하는 지에 대한 설정입니다.  
 
메뉴바에서 "Configuration >> Domains"로 이동한 후 "New"를 클릭하여 새로운 도메인을 추가합니다.


도메인 네임 필드에는 현재 Cisco Jabber가 속한 도메인을 명기합니다. SIP Registration과 IM&P 서비스를 CUCM에서 모두 받는 구축형이라면 아래와 같이 "ON"을 선택한 후 "Create Domain"를 클릭합니다.



아래 그림에서 처럼 siteb.com에 속한 재버들의 SIP 등록과 IM&P 서비스 요청을 Expressway C는 CUCM으로 라우팅할 것입니다. 




Expressway C의 의한 "Unified CM Discovery" 설정하기
엔지니어들이 가장 어려워하는 부분입니다.  최대한 자세히 설명해 보겠습니다.


사외에서 재버의 CUCM에 대한 등록을 요청은 Expressway E를 타고 Expressway C 에 전달됩니다. Expressway C는 CUCM 과 IM&P 서버의 정확한 주소를 알고 있어야 등록 요청을 정확히 전달할 수 있습니다. 여기서 다루는 내용은 Expressway  C가 안전하게 다수의 CUCM을 찾아서 연동하는 것입니다.    


Expressway C 가 모든 CUCM 과 IM&P 서버를 찾기 위해 CUCM과 IM&P 서버 Publisher 의 데이타베이스에 있는 정보를 활용합니다. CUCM의 데이타베이스에 접근하는 것은 AXL 프로토콜을 이용하고 AXL은 CUCM의 tomcat 서비스를 이용합니다. 이 AXL이 TCP로 전달될 지 TLS로 전달될지에 따라 CUCM tomcat 서비스의 인증서가 Expressway에 필요하거나 필요하지 않을 수 있습니다. 


시스코의 추천 방식은 TLS를 사용하는 것이므로 CUCM이 Mixed Mode로 설정되었을 때 이용합니다. 인증서를 이용하는 방법은 두 가지입니다.  

  • CUCM이 Self-signed Certificate 를 이용하는 경우
    CUCM이 Self-signed Certificate 를 이용한다면 Expressway C 의 trusted CA list에 모든 CUCM과 IM&P 서버의 tomcat 인증서가 주입되어야 합니다. Expressway C가 세션 설정 시 수령한 CUCM의 인증서를 검증하기 위해서 반드시 필요합니다.

  • CA-signed Certificate 를 이용하는 경우
    CUCM이 제 3의 인증 기관으로 부터 인증받는 CA-signed Certificate 를 이용한다면 Expressway C의 trusted CA list에  제 3의 인증 기관의 root CA의 인증서만을 주입하면 됩니다. 

관리적인 입장에서는 단 하나의 인증서만을 주입하면 되는 CA-signed Certificate가 효율적입니다만, 기업 내에 별도의 CA 서버를 구축해야 하는 단점이 있습니다. CA는 별도의 비용이 들지 않고 한 번 발행된 인증서는 유효기간 만료전에는 다시 재 발급할 일이 없으므로 부하가 거의 없습니다. 


AXL 프로토콜의 안전한 통신을 위해 "IM and Presence Servers" 설정에서 TLS Verify mode 를 ON 으로 설정하면 CUCM의 tomcat 인증서를 이용하는 것이므로 위와 같이 설정을 해야 하며, 이후 SIP 통신을 하는 CUCM의 CallManager 서비스도 인증서 검증이 이루어집니다. CallManager 서비스는 CUCM이 Mixed Mode일 때 동작하므로 CUCM이 Mixed Mode가 아니라면 TLS Verify Mode을 Off  해야 하며, CUCM의 Security Profile에는 TCP를 사용하도록 설정합니다. 





인증서 사용과 검증에 대해 잘 이해가 되지 않는 분들은 아래 글 중에  4.PKI의 이해 와 5. Cisco IP Telephony의 이해" 부족한 것이므로 아래 자료의 PKI 부분을 읽어 보시기를 권합니다. 



먼저 IM&P 서버를 발견하기 위해 메뉴 바에서 "Configuration >> Unified Communications >> IM and Presence servers" 로 이동합니다. 



"New"를 클릭하여 새로운 서버를 등록합니다. 




CUCM IM&P 서버의 Publisher에 의 데이타베이스에 접근하기 위해 아래와 같이 설정을 한 후 "Add address"를 클릭합니다. CUCM 10.0 부터는 CUCM과 IM&P 서버는 Publisher 가 동일합니다.  


  • IM and Presence publisher address : CUCM의 FQDN 또는 IP 주소
  • Username : AXLuserCUP
  • Password : <패스워드>
  • TLS Verify Mode : OFF
여기서 사용되는 AXLuserCUP은 애플리케이션 사용자로 CUCM에 등록되어 AXL 접근이 허용된 사용자입니다. 만일 따로 설정하지 않았거나 랩이라면 Administrator를 이용하셔도 됩니다.  또한, TLS Verify Mode를 OFF하여 SIP 통신에서 별도로 CUCM의 callManager 서비스의 인증서를 따로 검증하지 않겠다고 설정합니다. CUCM을 Mixed Mode로 설정하기 않았기 때문입니다. 




이제 정상적으로 IM&P 서버가 Discovery 되었는 지 확인을 위해 1분 정도 기다리면 아래와 같이 IM&P 서버의 정보를 확인할 수 있습니다. 





CUCM 서버 발견을 위해 메뉴바에서 "Configuration >> Unified Communications >> Unified CM Server"로 이동합니다.  




CUCM Publisher에 의 데이타베이스에 접근하기 위해 아래와 같이 설정을 한 후 "Add address"를 클릭합니다. CUCM 10.0 부터는 CUCM과 IM&P 서버는 Publisher 가 동일합니다.  


  • Unified CM publisher address : CUCM의 FQDN 또는 IP 주소
  • Username : AXLuserCUP
  • Password : <패스워드>
  • TLS Verify Mode : OFF
여기서 사용되는 AXLuserCUP은 애플리케이션 사용자로 CUCM에 등록되어 AXL 접근이 허용된 사용자입니다. 만일 따로 설정하지 않았거나 랩이라면 Administrator를 이용하셔도 됩니다.  





이제 정상적으로 CUCM이 Discovery 되었는 지 확인을 위해 1분 정도 기다리면 아래와 같이 CUCM 서버의 정보를 확인할 수 있습니다. 





CA의 Root 인증서를 Expressway에 주입하기
CUCM과 Expressway C 간에는 암호화를 하거나 하지 않거나를 선택할 수 있지만, Expressway E 가 방화벽 바깥의 DMZ 존에 있으므로 강력한 보안을 위해 인증서를 이용한 상호 인증을 해야 합니다. 이미 CUCM에 인증서를 주입하는 방법은 여러차례 다루었으므로 주입하는 절차는  쉽게 이해할 것입니다. 여기에서도 마이크로소프트의 CA 서버를 이용하므로 Root 인증서를 얻는 방법은 아래 글을 참조하시기 바랍니다.


2014/10/22 - [Secure UC] - 인증서 발행을 위한 마이크로소프트 CA 설치하기



다운로드 받은 루트 인증서 주입을 위해 메뉴바에서 "Maintenance >> Security Certificates >> Trusted CA Certificate"로 이동합니다.

 



"Browse" 클릭하여 다운로드 받은 인증서를 선택합니다.


아래 그림과 같이 마이크로소프트 CA 서버의 루트 인증서가 업로드 된 것을 확인할 수 있습니다. 



인증서를 Expressway C 뿐만 아니라 E에도 업로드합니다.



마치며

다음 글에서는 Expressway 서버의 인증서는 일반 인증서와달리 상호인증을 위한 템플릿을 이용합니다. MS CA 서버에서 Expresway 서버를 위한 인증서 템플릿을 만들고, Expressway 인증서를 주입하는 부분을 살펴보겠습니다.   




라인하트 (CCIEV #18487)  -----------------------------------------------------
ucwana@gmail.com (라인하트의 구글 이메일) 
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항) 
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스) 
http://groups.google.com/group/ucforum (벤더에 상관없이 UC를 공부하는 사람들이 모인 구글 구룹스) 
세상을 이롭게 하는 기술을 지향합니다. ________________________________________________________



저작자표시 비영리

'Collaboration/Cisco Jabber' Related Articles

티스토리툴바