Architecture for Voice, Video and Integrated Data

Cisco Unified Communications

Falha ao compartilhar apresentação com MCU usando BFCP em chamadas criptografadas

Posted by Paulo Souza em 11/06/2013


Galera,

Hoje vim compartilhar com vocês um problema bastante comum relacionado às MCUs Cisco Codian (Série 4200, 4500, 5300 e 8500).

Descrição do problema

As MCUs Cisco suportam o compartilhamento de apresentação durante a conferência, utilizando os protocolos BFCP (quando o endpoint é SIP) e H239 (quando o endpoint é H323). Pois bem, a MCU possui uma limitação no suporte ao protocolo BFCP, ela não suporta a criptografia da apresentação quando usando BFCP. O endpoint será capaz de compartilhar apresentação usando BFCP apenas quando a chamada não for criptografada. Se a chamada for criptografada, o endpoint tentará negociar criptografia inclusive da apresentação, mas haverá falha na negociação, pois a MCU não suporta, então a apresentação não funcionará corretamente. O resultado neste cenário será, a MCU passará a enviar apresentação para o participante no canal principal de vídeo ao invés de usar um canal só para apresentação (é o que o BFCP possibilita), então se o endpoint em questão possui dois displays, ele não verá o vídeo principal em um display e a apresentação em outro, pois apenas um canal de vídeo estará aberto passando a apresentação e o vídeo principal, o endpoint verá então a apresentação apenas em um dos displays, além disso ele não será capaz de separar apresentação do vídeo principal, pois ambos serão recebidos no mesmo canal.

Workaround

Bem, eu consigo pensar em três possibilidades para contornar esta limitação da MCU:

1) Utilizar o protocolo H323 ao invés de SIP

Se o endpoint usar o protocolo H323, a apresentação será feita via H239, portanto não haverá limitação. Porém isso pode ser muito drástico quando se tem endpoints registrados no CallManager, pois as TPs e VCs se registram no CM usando SIP apenas, H323 não é suportado. E alguns endpoints, como o Jabber for Telepresence, por exemplo, apenas suporta SIP.  =O

2) Fazer interworking SIP to H323 no VCS

Neste cenário, o endpoint registraria no VCS usando SIP, com TLS e criptografia habilitados. Então o VCS sempre rotearia as chamadas dos endpoints SIP para a MCU usando H323, assim o VCS faria o interworking de SIP para H323, utilizando BFCP de um lado e H239 de outro. Mas fiquem atentos! O interworking do VCS tem algumass limitações, ele apresenta problemas dependendo do cenário e do endpoint que se está utilizando. Eu ainda não testei este cenário!

3) Forçar a MCU não usar criptografia para endpoints específicos

É possível pré-cadastrar os endpoints na MCU, neste pré-cadastro é possível forçar a MCU a não negociar criptografia com o endpoint. Então cadastrando endpoints na MCU permite que você desabilite a criptografia em alguns participantes específicos, evitando assim que a limitação do BFCP ocorra.

Estes são os workarounds que consigo imaginar. Eu particularmente ainda nem sei qual deles vou utilizar, isso vai me render algumas horas quebrando a cabeça. =(

Espero que a Cisco corrija está limitação em breve. Pois como estamos num processo de transição do VCS para o CUCM, o protocolo utilizado será sempre SIP. Precisamos do BFCP funcionando com criptografia!

Paulo Souza

Anúncios

3 Respostas to “Falha ao compartilhar apresentação com MCU usando BFCP em chamadas criptografadas”

  1. petrybr said

    Quais seriam as limitações do interworking no VCS? A opção 2 me parece a mais viável, endpoints continuam SIP e a chamada continua criptografada…

  2. Bom, quando você tem um ambiente apenas usando endpoints Cisco/Tandberg, o interworking funciona muito bem. O interworking normalmente apresenta problemas quando envolvendo outros tipos de endpoints, principalmente de terceiros. Vou dar dois exemplos:

    1 – Uma telepresença TX9000 registrada no CallManager realiza uma chamada para o TP Server registrado no VCS, se essa chamada fechar SIP to H323, ou seja, com interworking, haverá erro na negociação de TIP e o TP Server não reconhecerá a TX como uma SIP Three Screen Telepresence, ele a reconhecerá como um simples standard endpoint. O resultado disso é que apenas uma tela da TX será utilizada, e não as três, como é o correto.

    2 – Alguns endpoints de terceiros podem não funcionar corretamente quando o VCS faz interworking, recursos como criptografia e apresentação podem não funcionar. Exemplo: Uma vez peguei um endpoint H323 Polycom antigo que ligava da internet para um VCS Expressway, o VCS Expressway encaminhava a chamada para o VCS Control, o VCS Control fazia interworking e encaminhava a chama em SIP para o TP Server. Como o TP Server estava registrado com TLS e com criptografia habilitada, ele tentava negociar criptografia com o endpoint Polycom, quando isto acontecia, inesperadamente, o endpoint Polycom reiniciava!! =O
    Forcei a chamada não fazer interworking, fechando H323 to H323, assim funcionou perfeitamente com criptografia e sem comportamentos estranhos.

    Não existe um documento que liste todas as limitações do interworking, você pode encontrar muitas telas nas atividades do dia. O release notes do VCS lista algumas limitações conhecidas do VCS, isto é tudo que temos como referência além da experiência do dia a dia. A Cisco não tem condições de testar todos os cenários possíveis para listar as limitações do interworking precisamente.

  3. Pessoal, esqueci de deixar o link do release notes da MCU que apresenta esta limitação que eu falei. Segue link, vejam o final da página 11:

    http://www.cisco.com/en/US/docs/telepresence/infrastructure/mcu/release_note/Cisco_TelePresence_MCU_Software_release_notes_4-4_3-49.pdf

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: