Modulo Consulting

"The Future Is Not What It Used To Be"

Provizionarea echipamentelor SIP

In articolul precedent s-au prezentat metodele de provizionare pentru telefoanele Aastra. In cele ce urmeaza ne vom ocupa de echipamentele SIP (telefoanele si adaptoarele din gama SPA) furnizate de Linksys.

Cisco - Linksys

La baza strategiei de provizionare a echipamentelor SPA sta clientul HTTP prezent in fiecare unitate. Echipamentele SPA pot fi configurate sa descarce, periodic sau la aparitia unor evenimente, profile de configurare (in format XML sau binar) mentinute pe un server de provizionare. Aceste profile sunt capabile de a modifica orice parametru operational al echipamentelor, inclusiv procedurile de provizionare.

In plus este implementata optiunea SSL (Secure Socket Layer) asigurand astfel, prin combinatia certificatelor client si server, o comunicatie securizata intre echipamentul distant SPA si serverul de provizionare.

Certificatul pentru Server

Fiecare server de provizionare securizat are nevoie de un certificat de server SSL, semnat direct de Linksys. Firmware-ul ce ruleaza pe echipamentele SPA valideaza, la conectarea prin HTTPS, doar certificatele semnate de Cisco - Linksys.

Certificatul pentru Client

Fiecare echipament SPA contine un certificat unic de tip client. Acesta este semnat de Linksys si contine informatii de identificare a echipamentului. Linksys furnizeaza (catre operatorii Telecom) informatiile necesare pentru autentificarea acestora. Metoda de autentificare permite server-ului de provizionare sa respinga cererile "false" de descarcare a profilelor de configurare.

Folosirea profilelor criptate

Ca o alternativa la protocolul HTTPS se poate folosi criptarea fisierelor de configurare. Echipamentele SPA permit criptarea profilelor prin metoda AES 256 biti, modul CBC. Pentru a efectua aceasta criptare se poate folosi pachetul Open Source OpenSSL.
Mai jos este prezentat modul de utilizare a acestei metode:

  • Se instaleaza pachetul OpenSSL pe un PC local
  • Se genereaza fisierul criptat folosind urmatoarea comanda 
     openssl enc -aes-256-cbc -k ParolaMeaSecreta -in spa901.txt -out spa901.cfg
  • Se copiaza fisierul criptat spa901.cfg in radacina server-ului TFTP
  • Se modifica parametrul "Profile Rule" din echipamentul SPA pentru a se sincroniza cu fisierul criptat in loc de cel "in clar". Se remarca specificarea cheii de criptare printr-o optiune URL 
     [--key MyOwnSecret] tftp://192.168.1.200/basic.cfg

Pentru provizionarea echipamentelor SPA se pot utiliza urmatoarele protocoale: tftp, http sau https.

Un echipament SPA "out-of-box" va incerca sa descarce un fisier specific (spa$PSN.cfg - de ex. spa901.cfg) de pe un server TFTP a carui adresa a fost specificata prin DHCP, optiunea #66.

Upgrade

Se poate activa upgrade-ul automat prin configurarea parametrului "Upgrade Rule". De exemplu: 

 <Upgrade_Rule> tftp://10.10.10.100/spa942-05-02-05a.bin</Upgrade_Rule>

Daca paramentrul "Upgrade Enable" (din sectiunea Provisioning/Firmware Upgrade) este activat se poate folosi urmatoarea sintaxa pentru a efectua un upgrade de software: 

 http://<spa_ip>/upgrade?<protocol://><server<:port>></cale_fisier>

sau 

 http://<spa_ip>/admin/upgrade?<protocol://><server<:port>></cale_fisier>
  • Daca nu se specifica protocolul, este folosit TFTP.
  • Daca nu se specifica server-ul, se va folosi adresa masinii de pe care se initiaza cererea.
  • Daca nu se specifica portul, se va folosi portul standard pentru protocol.
  • Daca nu se specifica fisierul, se va folosit "/spa.bin".
  • De exemplu: http://10.10.10.110/upgrade?tftp://10.10.10.100/spa942-05-02-05a.bin

Reboot

Se poate initia procedura de reboot prin sintaxa de mai jos. Echipamentul va reporni doar in momentul in care este in modul "idle". 

http://<spa_ip>/admin/reboot

Resincronizare

Pentru a activa o resincronizare manuala, se poate folosi metoda de mai jos: 

http://<spa_ip>/admin/resync?[[protocol]://[server[:port]]/cale_profil]
  • Daca nu se specifica nici un parametru dupa "/resync?", este folosit profilul setat in configuratia actuala.
  • Daca nu se specifica protocolul, este folosit TFTP.
  • Daca nu se specifica server-ul, se va folosi adresa masinii de pe care se initiaza cererea.
  • Daca nu se specifica portul, se va folosi portul standard pentru protocol.
  • De exemplu: http://192.168.1.102/resync?http://asterisk.modulo.ro/webconf/linksys/spa962.cfg.

Resincronizare automata

Pentru a configura resincronizarea profilului de configurare stocat pe server-ul de provizionare este folosit parametrul "Resync Period" (din sectiune Provisioning/Configuration Profile). Prin activarea parametrului "Resync On Reset" echipamentele SPA sunt configurate sa faca resincronizare si la pornire. Daca operatia de resincronizare nu a avut succes (de ex. server-ul nu a raspuns) echipamentul va repeta operatia dupa un numar de secunde specificat prin "Resync Error Retry Delay". Daca acesta este 0, echipamentul SPA nu va repeta incercarea de resincronizare. De exemplu: 

<Profile_Rule> tftp://10.10.10.100/spa$PSN.cfg</Profile_Rule>

In cadrul profilelor se pot specifica macro-uri. Acestea vor fi expandate intern inainte de a fi executate. Cateva exemple de astfel de macro-uri sunt date mai jos:

  • $MA va fi expandat la adresa MAC, folosinduse litere mici. De ex. 000e08abcdef
  • $SN va fi expandat la seria echipamentului. De ex. 88012BA01234
  • $PN va fi expandat la tipul echipamentului. De ex. SPA2102
  • $PSN va fi expandat la numarul de tip. De ex. 2102
  • $HWVER va fi expandat la versiunea hardware. De ex. 1.88.1
  • $SWVER va fi expandat la versiunea software. De ex. 5.1.18 (SC)

Profilul de configurare, fiind in format XML, poate creste la o lungime considerabila. Pentru a reduce incarcarea pe server-ul de provizionare, echipamentele SPA accepta comprimarea profilelor. Fiind utilizat RFC 1951, compresia trebuie facuta utilizand, de exemplu, utilitarul Open Sorce gzip.

Asteptam comentariile si sugestiile dumneavoastra pe adresa info@modulo.ro cat si pe forum, cu subiectul Provizionarea echipamentelor Cisco-Linksys..