Комплекс ECSS-10 Softswitch Eltex

База будет содержать 5000-50000 абонентов и наполняться сторонним приложением.

Решение:

В качестве базы номеров будем использовать базу  MySQL. Также нам потребуется RADIUS-сервер (например, freeradius), который будет вызывать внешний скрипт для доступа к MySQL и проверки наличия номера. Также RADIUS будет присваивать некий тэг в зависимости от наличия номера. ECSS-10 будет анализировать тэг и маршрутизировать вызов в нужный транк.

Настройки:

Freeradius

• /etc/freeradius/3.0/clients.conf

В конец файла добавить секцию:

client <LISTEN_IP> {
secret = <SECRET>
shortname = <SHORT_NAME>
}

client 192.168.0.7 {
secret = secret123
shortname = ecss1
}

• /etc/freeradius/3.0/users

В конец файла добавить секцию:

p.city Auth-Type := Accept
Exec-Program-Wait = "/usr/local/sbin/check_number %{Calling-Station-Id}"

где p.city - имя домена

перезапустить freeradius

Создать скрипт для доступа к mysql и проверки наличия номера в таблице по пути /usr/local/sbin/check_number:

#! /bin/sh

 request="select count(*) > 0 from numbers where number = \"${1}\""

count=`echo ${request} | mysql -ucalls_db -pcalls_db -D ecss_calls_db -sh 10.24.146.180`

echo "Eltex-AVpair += \"CallManagement:tag=tag_${count}\""

В БД calls_db создать таблицу numbers:

CREATE TABLE `numbers` (`id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, number varchar(24) NOT NULL, primary key (`id`)) ENGINE=InnoDB;

%% Задание номеров:
insert into numbers(number) values("799");

Настроить RADIUS сервер в домене на софтсвиче

domain/p.city/aaa/radius/declare ryabkov_home 192.168.0.7 access eltex_secret

Начать использовать этот сервер при маршрутизации.

В ответ RADIUS сервер возвращает два тега: tag_1 - если номер найден в базе. tag_0 - если не найден. Далее этот тег можно использовать при маршрутизации.

statistics/info

┌────────────────────────────┬───────────────────────────────────────────────────────────┐
│          Property          │                           Value                           │
├────────────────────────────┼───────────────────────────────────────────────────────────┤
│ecss_statistics             │Statistics upload interval, sec: 10                        │
│                            │Metrics mask: ['ecss10.cc','_',queue,'_','_',undefined,'_']│
│                            │Upload portion size: 10000                                 │
│mysql_database              │ecss_statistics                                            │
│mysql_host                  │statistics.mysql.ecss                                      │
│mysql_password              │statistics                                                 │
│mysql_port                  │3306                                                       │
│mysql_timeout               │300000                                                     │
│mysql_user                  │statistics                                                 │
│system_cc_upload_enabled    │true                                                       │
│system_common_upload_enabled│false                                                      │
│system_ssw_upload_enabled   │false                                                      │
│upload_enabled              │true                                                       │
└────────────────────────────┴───────────────────────────────────────────────────────────┘

Для включения статистики в системе необходимо выполнить следующие команды в CoCon:

statistics/set upload_enabled true
statistics/set system_common_upload_enabled true
statistics/set system_ssw_upload_enabled true

В рамках версии 3.14 был предусмотрен механизм защиты от потери данных при такой ситуации

• При невозможности записи данных создается файл

Файл создается по пути /var/lib/ecss/mysql-failed-requests/<MYSQL_SUBSYSTEM>/failed_requests.sql

В пределе на одну подсистему может быть создано до 10 файлов по 1Gb каждый.

• Добавлена команда CoCon-а для импорта файла с забекапленными SQL запросами:

cluster/core/<CORE_CLUSTER>/tts/db/reload-sql
cluster/core/<CORE_CLUSTER>/dialer/db/reload-sql
cluster/core/<CORE_CLUSTER>/teleconference/db/reload-sql

reload-sql  [<OPTIONS>]
OPTION:                   DEFINITION:
MASK                       - маска SQL файлов, которые необходимо проимпортировать в SQL

Пример:

./reload-sql failed_requests.sql
Success: 147 request(s)
Failed:  10  request(s)

Failed requests was copied to file(s):  filed_reexecute_requests_2020_02_06_10_42_28.sql

Если во время импорта какие-то из строк файла не удалось проимпортировать (например SQL ошибки), эти строки будут записаны в файл вида filed_reexecute_requests_YYYY_MM_DD_hh_mm_ss.sql

Если все строки удалось проимпортировать, файл создан не будет. После импорта исходный файл с данными удаляется (считается что все данные и так уже удалось залить в MySQL, либо неуспешные запросы будут проимпортированы в файл вида filed_reexecute_requests_YYYY_MM_DD_hh_mm_ss.sql). Если во время импорта были ошибки другого вида (например не удалось установить связь с MySQL, нет доступа до файла) команда выдаст warning, и файл с данными не будет удален.

Для транка:

domain/domain/trunk/sip/set smg smg local-end-point <IP-set> 5060 <Контролирующая нода>

Choose control node:

false - нет  контролирующей ноды, используются обе

sip1@ecss1 (192.168.115.5)

sip1@ecss2 (192.168.115.6)

domain/domain/trunk/sip/set smg smg local-end-point <IP-set> 5060 sip1@ecss1(192.168.115.5)

В данном случае, для транка smg будет использоваться только адаптер sip1@ecss3 с адресом 192.168.115.5.

Для абонента:

Сначала необходимо создать профиль , командой:

domain/domain/sip/user/profile/set Control_on node_control = true

где, Control_on - имя профиля

node_control = true - параметр профиля

Далее, назначаем профиль на абонента, и, с включенным флагом node_control = true, будет использоваться только та нода, на которую телефон зарегистрировался

domain/domain/sip/user/set user 100@domain client-profile Control_on

/etc/mysql/conf.d/ecss.cfn

Например, для ошибки 1452:

[mysqld]

slave-skip-errors=1452

После чего необходимо перезапустить MySQL сначала на слейве командой sudo systemctl restart mysql , дождаться когда параметр Seconds_behind_master будет равным 0, по аналогии тоже самое сделать на  мастере.

Наличие ошибки в mysql можно проверить командой sudo mysql -uroot -p -e 'show slave status \G;' в строке Last_SQL_Error:

Ошибка появляется в случае, если этот пинг по каким-то причинам не доходит. На практике это хитрые схемы маршрутизации на сети, блокировка icmp и т.д.

Для решения проблемы необходимо указать адрес хоста, на котором установлен ecss-web-conf в конфигурационном файле, в формате PCAP_REPLY_IP = 'x.x.x.x'. Путь к файлу:  /usr/share/ecss-web-conf/settings_local.py

eltex@ecss1:~$ cat /usr/share/ecss-web-conf/settings_local.py
# global const for web_conf.
# coding=utf-8

DEBUG = False

SESSION_COOKIE_NAME = "wcf_sid"
SERVER_URL = '127.0.0.1'
SERVER_PORT = '9999'
SERVER_WCF = "https://localhost/"

WEBSOCKET_PORT = 9014

CC_PORT = '8086'
CC_DOMAIN = 'test.domain'

OPERATOR = ['oper_name1', 'oper_name2']
PING_TIME = 50000 # ms = 50s
# PING_TIME=3000000 #ms = 3000s
ALARM_REFRESH_TIME = 10000 # ms = 10s
HOSTS_MONITOR_TIME = 2000 # ms = 2s
CALL_MONITOR_TIME = 2000 # ms = 2s
AUTO_LOGOUT_TIMEOUT = 1800000 # 30 min

SSL_CERT = '/etc/nginx/ssl/cert.pem'
SSL_KEY = '/etc/nginx/ssl/cert.key'
SSL_DOMAIN = 'localhost'

ALLOW_DOMAINS = 'true' # 'true' or 'false'

COMMA_SEPARATOR = ";"
REPORT_LIMIT = "5000"

USE_HTTPS = True
DO_XSD_VALIDATION = True

LOCALE = 'rus' # 'eng', 'rus'
THEME = 'classic' # 'classic', 'grey'

DEFAULT_MODE = 'wcf' # wcf, simple

BRAND = "ECSS-10" #"ECSS-10" # CSS-17
BRAND_PATH = "../ecss-web-conf-brand" # local path

PCAP_REPLY_IP = '192.168.18.38'

Рассматриваем пример вызов А --> B -- CFx --> C.

В данном примере переадресацию выполняет абонент с номером B, интерфейсом Iface_B. За Iface_B закреплен контекст маршрутизации RoutingContext_B.

В момент переадресации маршрутизация выполняется следующую последовательность действий:

1. Ищем маршрут с номера B на номер C, от имени интерфейса Iface_B. Т.е. на данном шаге мы смотрим - куда попадет абонент B когда наберет номер С (т.к. тот кто активирует переадресацию оперирует такими номерами, которые он сам может набрать);

2. После того, как мы нашли куда направить вызов (абонента С), мы пробует выполнить маршрутизацию ещё раз, только теперь с номера А на номер С, так же с интерфейса Iface_B. Кроме того, в данной маршрутизации так же заполняется RedirectingNumber (чтобы в данной маршрутизации мы могли оперировать номером B - того кто переадресовал вызов). Эта маршрутизация необходимо, чтобы попытаться абоненту С передать номер А в том формате, который он поймет (т.е. на маршрутизации кроме поиска маршрута так же идет приведение номеров к нужному виду).

3. Когда обе маршрутизации выполнены, делается следующее: если обе маршрутизации завершились успешно (маршрут найден), то в качестве маршрута берется результат маршрутизации с шага 1, но с измененным номером CGPN (номер берется из маршрутизации с шага 2). Если обе маршрутизации завершились неуспехом (нет маршрута), то в качестве результата маршрутизации так же берется результат с шага 1, но с измененным номером CGPN (номер берется из маршрутизации с шага 2). В любом другом случае результатом маршрутизации будет просто результат с шага 1.

Чтобы этого избежать необходимо отключить автоматическое обновление:

sudo systemctl stop apt-daily-upgrade.service
sudo systemctl stop apt-daily-upgrade.timer

domain/<domain>/properties/set vats_type transit_offroad

При использовании данного режима надо учесть, что ДВО у абонентов данной ВАТС работать не будут

eltex@ecss1:/var/lib/ecss/restfs$ sudo dpkg -l | grep ecss | grep media-re
ii ecss-media-resources 14.4.7 amd64 Eltex/ECSS-10 Media resources

Если пакет отсутствует или поврежден - требуется переустановка.

sudo apt install ecss-media-resources

Следующим действием проверяем права на директорию /var/lib/ecss/restfs и все вложенные в нее файлы и каталоги.  Права должны соответствовать www-data:www-data, тогда проблем с записью и воспроизведением не возникнет

eltex@ecss1:~$ ls -l /var/lib/ecss/restfs
итого 8
drwxrwxr-x 3 root root 4096 Jan 29 16:23 domain
drwxr-xr-x 3 www-data www-data 4096 Mar 12 14:04 system

При необходимости меняем.

eltex@ecss1:~$ cd /var/lib/ecss/restfs/
eltex@ecss1:/var/lib/ecss/restfs$ sudo chown -R www-data:www-data ./domain*
eltex@ecss1:/var/lib/ecss/restfs$ ll
итого 16
drwxr-xr-x 4 www-data www-data 4096 Mar 30 12:56 ./
drwxrwxr-x 24 ssw ssw 4096 Apr 2 13:33 ../
drwxrwxr-x 3 www-data www-data 4096 Jan 29 16:23 domain/
drwxr-xr-x 3 www-data www-data 4096 Mar 12 14:04 system/
eltex@ecss1:/var/lib/ecss/restfs$

Признаки проблемы:

Slave_IO_Running – Yes
Slave_SQL_Running – No
Last_Errno: 1594
Last_Error: Relay log read failure: Could not parse relay log event entry.
The possible reasons are: the master's binary log is corrupted
(you can check this by running 'mysqlbinlog' on the binary log),
the slave's relay log is corrupted (you can check this by running
'mysqlbinlog' on the relay log), a network problem, or a bug in the
master's or slave's MySQL code. If you want to check the master's
binary log or slave's relay log, you will be able to know their names

Запоминаем для решения:

Relay_Master_Log_File = mysql-bin.001078
Exec_Master_Log_Pos = 61783410

Перезагружаем репликацию:

STOP SLAVE;
RESET SLAVE;
CHANGE MASTER TO master_log_file='mysql-bin.001078', master_log_pos=61783410;
START SLAVE;

cluster/mediator/md1/properties/cocon_http_terminal/set * ssl_certfile http_terminal.crt

 cluster/mediator/md1/properties/cocon_http_terminal/set * ssl_keyfile http_terminal.key

 cluster/mediator/md1/properties/cocon_http_terminal/set * ssl_password 12345

В результате, параметры cocon_http_terminal должны выглядеть вот так.

admin@[ds1@ecss2#ECSS-Test]:/$ cluster/mediator/md1/properties/cocon_http_terminal/info

sudo snap install usb-reset
sudo connect usb-reset:hardware-observe core:hardware-observe
sudo snap connect usb-reset:raw-usb core:raw-usb

• Проверяем, что USB токен действительно завис

pkcs11-tool --module /usr/lib/ecss/ecss-ds/lib/lpm_storage-3.14.0.70203.423017/priv/x64/librtpkcs11ecp.so -L

Вывод должен либо вообще ничего не показать, либо показать все слоты пустыми

• Узнать idVendor, idProduct USB токена. Для РуТокена команда следующая:

sudo lsusb -v | grep -C 10 "Rutoken ECP"

В указанном выводе ищем параметры idVendor, idProduct Пример

lsusb -v | grep -C 10 "Rutoken ECP"
FIXME: alloc bigger buffer for device capability descriptors
bDescriptorType 1
bcdUSB 2.00
bDeviceClass 0 (Defined at Interface level)
bDeviceSubClass 0
bDeviceProtocol 0
bMaxPacketSize0 16
idVendor 0x0a89
idProduct 0x0030
bcdDevice 1.00
iManufacturer 1 Aktiv
iProduct 2 Rutoken ECP
iSerial 0
bNumConfigurations 1
Configuration Descriptor:
bLength 9
bDescriptorType 2
wTotalLength 93
bNumInterfaces 1
bConfigurationValue 1
iConfiguration 0
bmAttributes 0x80

• Перезапустить USB-устройство

sudo usb-reset <idVendor>:<idProduct>

Пример

sudo usb-reset 0x0a89:0x0030

Смотрим что слот(ы) появились

pkcs11-tool --module /usr/lib/ecss/ecss-ds/lib/lpm_storage-3.14.0.70203.423017/priv/x64/librtpkcs11ecp.so -L

Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00

...

Если возникли такие проблемы как раз после обновления нужно глянуть следующую информацию:

/cluster/storage/ds1/licence/list-licence
cluster/storage/ds1/licence/show-licence номер лицензии

Должна быть строка:

"Total count of simultaneous records voice calls"

Если после обновления её нет, но прошу обратиться в Коммерческий отдел компании 8(383)274-10-01 или создать задачу в системе SD.

Данная операция актуальна только для тех, кто обновлялся с версией до 3.14 при использовании сервиса записи разговоров.

В syslog проверить наличие ошибок драйвера ehci, при наличии, в биосе серверов включить режим xhci

Путь в биос: advanced/usb configuration  xhci pre-boot driver - enabled, xhci - enabled

Для этого, абоненту из другого vlan нужно создать zone

system/media/zone/declare VLAN_5, где VLAN_5 имя новой зоны.

После добавления зоны, необходимо задекларировать новый ресурс медиа-сервера, на интерфейсе bond1.5

system/media/resource/declare core1@ecss1 iface MSR1ecss1.name bond1.5 VLAN_5 local true

system/media/resource/declare core1@ecss2 iface MSR1ecss1.name bond1.5 VLAN_5 local true

system/media/resource/declare core1@ecss1 iface MSR2ecss2.name bond1.5 VLAN_5 local true

system/media/resource/declare core1@ecss2 iface MSR2ecss2.name bond1.5 VLAN_5 local true

После декларирования ресурса, абоненту из 5-го vlan нужно указать новую зону для RTP трафика

domain/<DOMAIN>/iface/user-set sip1 <GROUP> <NUM>@<DOMAIN> zone VLAN_5

После этих действий, RTP будет проксироваться из одного (дефолтного) VLAN в VLAN5

В таком случае, на абоненте необходимо включить параметр nat_traversal

domain/dvssw/sip/user/set <USER_GROUP> <Number>@<Domain> nat_traversal true

Установка значения true позволит отправлять SIP-ответы на адрес, с которого пришли SIP-запросы этого клиента.

Для того, чтобы, клиент за NAT получал RTP трафик, необходимо в конфигурации media-server разрешить использовать опцию udp-src-check с "no" на "yes"

sudo nano /etc/ecss/ecss-media-server/config.xml

<?xml version="1.0" encoding="utf-8"?>

<config date="13:10:53 23.03.2020">

<general log-level="3" log-rotate="yes" max-calls="8192" max-in-group="512" load-sensor="media" load-delta="10" spool-dir-size="100M" log-name="msr.log" log-path="/var/log/ecss/media-server" use-srtp="disabled" suspicious-mode="no"/>

<transport bind-addr="127.0.0.1" port="5040" transport="udp+tcp"/>

<media mixer-clock-rate="8000" use-vad="no" cng-level="0" jb-size="60" rtcp-timeout="0" rtp-timeout="350" udp-src-check="yes" cn-multiplier="3" port-start="12000" port-range="2048" tias-in-sdp="no" thread-cnt="2" silence-threshold="-30" dtmf-flash-disable="no" video-dscp="0" other-dscp="0" dummy-video-src="/usr/share/ecss-media-server/video/dummy_video.yuv" video-enc-width="1280" video-enc-height="720"/>

<codec pcma="1" pcmu="2" ilbc="0" gsm="0" g722="3" g729="0" speex="0" l16="0" g7221="0" opus="0" h264="1" h263-1998="2" t38="1" tel-event-pt="0"/>

<accounts>

<dynamic msr_name="MSR2ecss2.name" realm="sip:192.168.4.3:5000" dtmf_mode="rfc+inband+info" auth_name="user" auth_password="password"/>

</accounts>

<pbyte>

<mcc bind-addr="127.0.0.1" port="5700"/>

</pbyte>

<conf_dir path="/etc/ecss/ecss-media-server/conf.d"/>

</config>

После этого, перезапустить MSR командой sudo systemctl restart ecss-media-server в консоли операционной системы.

Однако не всегда удобно добавлять большое количество записей через WEB интерфейс. Это можно сделать через импорт заранее готового модификатора через CoCon.

Для этого надо проделать следующее:

1. Создать/обновлять контекст модификации номеров (пример на 3500 номеров в modify_list.xml). Одно правило - одна модификация номера. Создать свои правила согласно данному примеру;
2. Положить его по пути /var/lib/ecss/modification/ctx/src/<DOMAIN>/
3. Проимпортировать его через CoCon:
   
   domain/<DOMAIN>/modificators/import ecss1 modify_list.xml
   
   Процедура импорта может занять продолжительное время
4. Выставить контекст модификации номеров на транке:
   
   domain/<DOMAIN>/iface/user-set sip1 <GROUP> <TRUNK> modificator <MODIFICATOR_NAME>
   Property 'modificator' successfully changed to '<MODIFICATOR_NAME>' for interfaces:
   <TRUNK>

После этого при выходе вызова на транк <TRUNK> номера будут модифицироваться по указанной таблице.

При необходимости изменения модификатора всю процедуру необходимо будет повторить.

INVITE sip:100@192.168.115.4;user=phone SIP/2.0 , где вместо имени домена (ВАТС) стоит адрес станции, или отличное от имени ВАТС доменное имя, то станция ECSS-10 не сможет  обработать вызов.

Для этого, нужно в настройках домена дать разрешение на приём сигнализации с необходимым именем домена:

Например, домен называется dvssw, и для того? что бы станция обработала вызов, где в сигнализации указан IP-адрес, нужно выполнить команду

                domain/dvssw/properties/set public_names add 192.168.115.4

Для проверки добавленного значения, воспользуйтесь командой:

domain/dvssw/properties/info public_names

Теперь система будет обрабатывать входящие вызовы, где в поле domain будет стоять адрес 192.168.115.4

• video-dscp - для видео-трафика
• other-dscp - для голосового трафика/картинок/текста/факса

<?xml version="1.0" encoding="utf-8"?>
<config date="13:10:53 23.03.2020">
<general log-level="3" log-rotate="yes" max-calls="8192" max-in-group="512" load-sensor="media" load-delta="10" spool-dir-size="100M" log-name="msr.log" log-path="/var/log/ecss/media-server" use-srtp="disabled" suspicious-mode="no"/>
<transport bind-addr="127.0.0.1" port="5040" transport="udp+tcp"/>
<media mixer-clock-rate="8000" use-vad="no" cng-level="0" jb-size="60" rtcp-timeout="0" rtp-timeout="350" udp-src-check="no" cn-multiplier="3" port-start="12000" port-range="2048" tias-in-sdp="no" thread-cnt="2" silence-threshold="-30" dtmf-flash-disable="no" video-dscp="34" other-dscp="46" dummy-video-src="/usr/share/ecss-media-server/video/dummy_video.yuv" video-enc-width="1280" video-enc-height="720"/>
<codec pcma="1" pcmu="2" ilbc="0" gsm="0" g722="3" g729="0" speex="0" l16="0" g7221="0" opus="0" h264="1" h263-1998="2" t38="1" tel-event-pt="0"/>
<accounts>
<dynamic msr_name="MSR2ecss2.name" realm="sip:192.168.4.3:5000" dtmf_mode="rfc+inband+info" auth_name="user" auth_password="password"/>
</accounts>
<pbyte>
<mcc bind-addr="127.0.0.1" port="5700"/>
</pbyte>
<conf_dir path="/etc/ecss/ecss-media-server/conf.d"/>
</config>

2. Для установки метки для трафика сигнализации SIP, необходимо в CoCon ввести команды:

• cluster/adapter/sip1/sip/network/info - для просмотра списка IPset`ов

После определения имени нужного IPset`a, необходимо ввести команду для установки DSCP

• cluster/adapter/sip1/sip/network/set ip_set <Имя IPset`а> dscp <метка>

В этом файле описаны пути хранения сертификатов.

sudo nano  /etc/nginx/ssl.conf

ssl on;
ssl_protocols SSLv3 TLSv1;
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/cert.key;

Далее, необходимо в значение ssl_certificate и ssl_certificate_key указать правильные пути расположения новых сертификатов, предварительно разместив их (сертификаты) по этому пути.

После редактирования, необходимо сохранить файл и выполнить команду по перезагрузке nginx

sudo systemctl restart nginx

После перезапуска, необходимо снова зайти в WEB-интерфейс и проверить подлинность сертификатов