Oxep100.0 Im Instalmanual 8AL91032FRBA 2 FR

Alcatel-Lucent Enterprise
OmniPCX Enterprise Purple

Communication Server
Système OXE : Manuel d'installation
Version 100.0 - Avril 2022

8AL91032FRBA Ed. 2
Mentions légales
www.al-enterprise.com/fr-fr Le nom et le logo d'Alcatel-Lucent sont des marques commerciales de
Nokia utilisées sous licence par ALE. Pour en savoir plus sur les marques utilisées par les sociétés
affiliées de la Holding ALE, veuillez consulter: www.al-enterprise.com/fr-fr/documentation-juridique/
marques-copyright. Toutes les autres marques sont la propriété de leurs titulaires respectifs. Ni la
Holding ALE ni ses sociétés affiliées ne peuvent être tenues responsables de l'éventuelle inexactitude
des informations contenues dans ce document, qui sont sujettes à modification sans préavis. ©
Copyright 2022 ALE International, ALE USA Inc. Tous droits réservés dans tous les pays.
Avertissement
Bien que des efforts aient été faits pour vérifier l'exhaustivité et l'exactitude des informations contenues
dans cette documentation, ce document est fourni « tel quel ». Pour obtenir des informations plus
précises sur l'intercompatibilité, les limites du produit, la politique logicielle et la liste des fonction,
veuillez vous référer aux documents précis publiés sur le site web Business Partner : https://
myportal.al-enterprise.com.
Dans l'intérêt du développement continu des produits, ALE International se réserve le droit d'apporter
des améliorations à ce document et aux produits qu'il décrit, à tout moment et sans préavis ni
obligation.
Le marquage CE indique que ce produit est conforme aux Directives du Conseil ssuivantes :
• 2014/53/EU pour équipement radio
• 2014/35/EU et 2014/30/EU pour les équipements autres que radio (y compris les équipements de
terminaux de télécommunication câblés)
• 2014/34/EU pour équipement ATEX
• 2011/65/UE (RoHS)
• 2012/19/EU (WEEE)
Sommaire
Système OXE : Manuel
d'installation
Chapitre 1
Documents de référence
Chapitre 2
À propos du présent document
Chapitre 3
Critères courants en matière de sécurité - Guide de déploiement
3.1 Introduction.....................................................................................................................................15
3.1.1 Présentation du chapitre..................................................................................................................15
3.1.2 Conventions typographiques.........................................................................................................16
3.1.3 Glossaire................................................................................................................................................. 16
3.2 Contexte général client........................................................................................................ 17
3.2.1 Infrastructure et politiques de sécurité déjà mises en place par le client ...............17
3.2.2 Attaques et menaces........................................................................................................................ 21
3.2.3 Solution de communication déployée....................................................................................... 23
3.3 Installation sécurisée de la solution de communication.................... 24
3.3.1 Installation, configuration et mise en route.............................................................................24
3.3.2 Essais de réception : transition vers l'état opérationnel...................................................50
3.4 Administration sécurisée du système.................................................................. 58
3.4.1 Gestion des modifications de configuration........................................................................... 59
3.4.2 Sécurité physique............................................................................................................................... 59
3.4.3 Architecture et configuration réseau..........................................................................................59
3.4.4 Postes de travail des administrateurs.......................................................................................60
3.4.5 Interfaces d'administration..............................................................................................................60
3.4.6 Administration des fonctions de sécurité.................................................................................64
3.4.7 Procédures de sécurité.................................................................................................................... 75
3.5 Utilisation sécurisée du système...............................................................................80
3.5.1 Interface utilisateur : Telephone User Interface................................................................... 80
8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 3/444

Sommaire
d'installation
3.5.2 Fonctions de sécurité disponibles aux utilisateurs............................................................. 81

3.5.3 Procédures de sécurité.................................................................................................................... 82
3.6 Annexe A : Configuration de la plateforme......................................................83
3.6.1 Composants système évalués......................................................................................................83
3.6.2 Configuration application téléphonique....................................................................................84
3.6.3 Configuration OS téléphonique....................................................................................................96
3.6.4 Configuration du serveur OmniVista 8770..............................................................................98
3.6.5 OmniVista 8770 Configuration du client................................................................................ 101
Chapitre 4
Topologie
4.1 Préambule.......................................................................................................................................103
4.2 Zone principale à base d'OmniPCX Media Gateway............................. 103
4.2.1 Architecture..........................................................................................................................................103
4.2.2 ACT de la zone principale.............................................................................................................104
4.3 Zone principale à base d'ACT Media Gateway........................................... 105
4.3.1 Serveur de communication sur une carte CPU..................................................................105
4.3.2 Serveur de communication sur un Appliance Server...................................................... 106
4.4 Mise en oeuvre des Media Gateways...................................................................107
Chapitre 5
Généralités sur le BootDVD
Chapitre 6
Lancement du logiciel du Communication Server
6.1 Linux..................................................................................................................................................... 111

Sommaire
d'installation
6.2 Swinst..................................................................................................................................................112
6.3 Patchs................................................................................................................................................. 112
6.3.1 Patchs Linux........................................................................................................................................ 112
6.3.2 Patchs téléphoniques de type statique...................................................................................112
6.3.3 Patchs téléphoniques de type dynamique............................................................................ 113
Chapitre 7
Partitionnement du Communication Server
7.1 Description..................................................................................................................................... 114

7.2 Structure...........................................................................................................................................115
Chapitre 8
Installation du Communication Server sur une machine physique
8.1 Présentation de l'installation........................................................................................116

8.2 Procédures d'installation du logiciel....................................................................116
8.3 Exigences d'installation.................................................................................................... 117
8.4 Installation sur partition active...................................................................................118
8.4.1 Vérification de la version BIOS...................................................................................................118
8.4.2 Création d'un projet de déploiement du Communication Server via S.O.T.......... 119
8.4.3 Déploiement du projet Communication Server (amorçage réseau).........................123
8.4.4 Progression de l'installation standard..................................................................................... 126
8.4.5 Configuration des règles de mots de passe du serveur de communication........ 127
8.4.6 Vérification de l'installation du serveur de communication (fichiers journaux)... 128
8.5 Installation sur partition inactive............................................................................. 128
8.6 Installation multiple............................................................................................................... 132

Sommaire
d'installation
Chapitre 9
Installation du Communication Server sur une machine virtuel
9.1 Installation dans un environnement KVM....................................................... 134

9.1.1 Environnement KVM........................................................................................................................134
9.1.2 Installation du serveur FlexLM pour KVM.............................................................................136
9.1.3 Installation de l'OmniPCX Enterprise sur une machine virtuelle KVM....................141
9.2 Installation dans un environnement VMware ESXi................................ 151
9.2.1 Environnement VMware ESXi.................................................................................................... 151
9.2.2 Installation de l'OmniPCX Enterprise sur une machine virtuelle VMware ESXi 154
9.2.3 Installation des outils VMware sur la machine virtuelle OmniPCX Enterprise....161
9.2.4 Installation du serveur FLexLM pour VMware ESXi........................................................ 161
9.2.5 Annexe................................................................................................................................................... 182
9.3 Installation dans un environnement Hyper-V .............................................184
9.3.1 Prérequis pour la machine virtuelle OmniPCX Enterprise pour Hyper-V.............. 184
9.3.2 Installation de Windows Server sur le serveur................................................................... 184
9.3.3 Configuration du client Hyper-V sur l'ordinateur................................................................ 185
9.3.4 Lancement et configuration du Hyper-V Manager sur l'ordinateur...........................185
9.3.5 Création du projet de déploiement OmniPCX Enterprise via S.O.T........................ 187
9.3.6 Déploiement de la machine virtuelle OmniPCX Enterprise sur un serveur
physique Hyper-V............................................................................................................................. 191
9.3.7 Configuration de QoS pour Hyper-V........................................................................................194
9.3.8 Configuration de la migration en direct de la machine virtuelle dans Hyper-V...197
9.4 Installation dans un environnement Nutanix AHV..................................252
9.4.1 Prérequis pour la machine virtuelle OmniPCX Enterprise pour Nutanix AHV.... 252
9.4.2 Création du projet de déploiement OmniPCX Enterprise via S.O.T........................ 253
9.4.3 Déploiement du site OmniPCX Enterprise sur une plateforme Nutanix AHV..... 257
Chapitre 10
Autres machines virtuelles
10.1 Installation du système OXE Media Services.............................................. 260

Sommaire
d'installation
10.1.1 Présentation OXE-MS.................................................................................................................... 260

10.1.2 Présentation générale de l'installation d'OXE-MS............................................................ 263
10.1.3 Exigences de la machine virtuelle OXE-MS........................................................................ 263
10.1.4 Configuration de l'application OXE-MS sur l'OmniPCX Enterprise.......................... 264
10.1.5 Installation d'OXE-MS sur une machine virtuelle KVM, VMware ou Nutanix AHV
....................................................................................................................................................................268
10.1.6 Installation d'OXE-MS sur une machine virtuelle Hyper-V........................................... 274
10.1.7 Configuration de l'OXE-MS.......................................................................................................... 277
10.1.8 Configuration de QoS sur la machine virtuelle OXE-MS Hyper-V............................279
10.2 Installation du serveur OST 8for OST64 ou EEGW).............................. 281
10.2.1 Présentation OST............................................................................................................................. 281
10.2.2 OST Conditions préalables à l'installation............................................................................ 281
10.2.3 Installation d'OST sur une machine virtuelle KVM, VMware ou Nutanix AHV....283
10.2.4 Installation d'OST sur une machine virtuelle Hyper-V.................................................... 284
10.2.5 configuration de OST...................................................................................................................... 287
10.2.6 Configuration de QoS sur la machine virtuelle OST Hyper-V.....................................289
Chapitre 11
Installation de Generic Appliance Server
11.1 Aperçu GAS...................................................................................................................................291

11.1.1 À propos de ce chapitre.................................................................................................................291
11.1.2 Description du Generic Appliance Server.............................................................................291
11.1.3 Environnement du Generic Appliance Server.....................................................................292
11.1.4 Licences.................................................................................................................................................294
11.1.5 Alimentation sans coupure (GAS)............................................................................................ 294
11.2 Conditions pour une sélection libre du serveur matériel................ 294
11.3 Recommandations logicielles.....................................................................................294
11.4 Exemples d'utilisation de la gestion des licences logicielles..... 295
11.5 Installation GAS........................................................................................................................ 296
11.5.1 Livraison à partir de l'usine...........................................................................................................296
11.5.2 Installation complète effectuée hors de l'usine...................................................................296

Sommaire
d'installation
11.6 Configuration GAS................................................................................................................. 324

11.6.1 Configuration liaison Ethernet.....................................................................................................324
11.6.2 Configuration du balisage VLAN............................................................................................... 327
11.7 Connexion distante GAS..................................................................................................327
11.7.1 Connexion à distance..................................................................................................................... 327
11.7.2 Connexion Bureau à distance.....................................................................................................328
11.8 Raccordement de l'onduleur........................................................................................ 330
11.8.1 Présentation de l'onduleur............................................................................................................ 330
11.8.2 Description du fonctionnement de l'onduleur...................................................................... 331
11.8.3 Raccordement de l'onduleur........................................................................................................332
11.8.4 Installation des services d'onduleur......................................................................................... 332
11.8.5 Configuration des services d'onduleur................................................................................... 333
11.8.6 Journal de l'UPS................................................................................................................................ 333
11.9 Maintenance GAS.................................................................................................................... 334
11.9.1 Vérification de la compatibilité du système.......................................................................... 334
11.9.2 Affichage de la version Generic Appliance Server........................................................... 334
11.9.3 Arrêter et redémarrer les machines virtuelles.....................................................................334
11.9.4 Gestion du serveur Flex-LM........................................................................................................ 335
11.9.5 Sauvegarder et redémarrer les machines virtuelles........................................................ 336
11.9.6 Réamorçage ou arrêt du serveur.............................................................................................. 336
11.9.7 Modification de l'adresse IP du serveur................................................................................. 336
11.9.8 Rehosting..............................................................................................................................................336
11.9.9 Mise à jour du système d'exploitation SLES....................................................................... 337
11.9.10 Mise à niveau de l'OmniPCX Enterprise et de l'OXE-MS............................................. 337
11.9.11 Ajout de la passerelle Rainbow WebRTC au Generic Appliance Server.............. 337
11.9.12 Signalement d'un problème......................................................................................................... 341
11.9.13 Procédure de désinstallation....................................................................................................... 341
Chapitre 12
Configuration du Communication server
12.1 Duplication du Communication Server..............................................................342

12.1.1 Introduction.......................................................................................................................................... 342

Sommaire
d'installation
12.1.2 Description simplifiée...................................................................................................................... 342

12.1.3 Description détaillée........................................................................................................................ 345
12.1.4 Transfert.................................................................................................................................................349
12.1.5 Procédure d'installation..................................................................................................................354
12.1.6 Procédure de configuration..........................................................................................................357
12.1.7 Maintenance........................................................................................................................................ 365
12.2 Serveur de communication passif.......................................................................... 367
12.2.1 Introduction.......................................................................................................................................... 367
12.2.2 Description simplifiée...................................................................................................................... 368
12.2.3 Description détaillée........................................................................................................................ 370
12.2.4 Procédure de configuration..........................................................................................................383
12.2.5 Maintenance........................................................................................................................................ 388
Chapitre 13
Mise à jour du logiciel du Communication Server
13.1 Mise à jour d'un Communication Server unique...................................... 394

13.1.1 Présentation de la mise à jour.................................................................................................... 394
13.1.2 Livraison des progiciels..................................................................................................................394
13.1.3 Accès au menu Remote Download de swinst.............................................................395
13.1.4 Chargement et installation du progiciel sur un Communication Server................. 395
13.1.5 Exécution d'un changement de partition sur un Communication Server...............397
13.2 Mise à jour des Communication Servers à distance............................ 398
13.2.1 Processus de mise à jour à distance...................................................................................... 398
13.2.2 Besoins.................................................................................................................................................. 399
13.2.3 Opérations de mise à jour à distance..................................................................................... 400
13.2.4 Maintenance........................................................................................................................................ 411

Sommaire
d'installation
Chapitre 14
Mise à jour du système d'exploitation du produit (bootDVD uniquement)
14.1 Mise à jour du système d'exploitation SLES à partir de la

machine hôte............................................................................................................................... 413
14.2 Mise à jour du système d'exploitation SLES via S.O.T...................... 414
14.2.1 Avant de démarrer............................................................................................................................414
14.2.2 Procédure............................................................................................................................................. 414
14.3 Mise à jour du système d'exploitation SLES de la version 12
SP3 à 12 SP5................................................................................................................................ 419
Chapitre 15
Conformité aux normes
Chapitre 16
Annexes
16.1 Création d'une machine virtuelle sur KVM..................................................... 428

16.2 Création d'une machine virtuelle sur Hyper-V............................................ 432
16.3 Créer une machine virtuelle sur Nutanix AHV............................................ 437

Chapitre
1 Documents de référence
La documentation OmniPCX Enterprise englobe les documents répertoriés dans le tableau suivant :
Titre du document Numéro de référence

Système OXE : Manuel d'installation 8AL91032FRBA
Ce document donne le détail des partitions et des répertoires, ainsi que de
leur contenu nécessaire pour les opérations système. Il décrit les différents
procédures disponibles pour déployer le logiciel, sur site ou à partir d'un em-
placement distant, sur un environnement physique ou virtuel.
Système OXE : Manuel d'installation matérielle standard 8AL91027FRBA

Ce document donne le détail de ce qui est nécessaire pour installer le systè-
me Common Hardware. Des recommandations sur les meilleures situations
environnementales sont données ainsi que les spécificités du système et une
description de la carte. La procédure d'installation donne le détail de l'assem-
blage, des raccordements internes, des raccordements externes, des alimen-
tations électriques, de la mise en service d'une passerelle Media Gateway et
des opérations de maintenance de premier niveau.
Système OXE : Manuel d'installation matérielle Crystal 8AL91028FRBA

Ce document donne le détail de ce qui est nécessaire pour installer le systè-
me matériel Crystal. Ce document décrit les différents types de racks maté-
riels Crystal, la mise en service d'une passerelle Media Gateway, la mise en
œuvre de différents types d'artères inter-racks. Des recommandations sur les
meilleures situations environnementales sont données ainsi que les spécifici-
tés du système et les diagrammes de câblage avec un guide visuel pour met-
tre en œuvre les raccordements.
Système OXE : Configuration initiale 8AL91047FRAA

Ce document décrit les opérations de configuration initiale à effectuer sur un
système OmniPCX Enterprise après avoir installé le logiciel. Cela comprend
la gestion des licences, la date et l'heure, Cloud Connect, Rainbow et la con-
figuration IP.
Système OXE : Sécurité 8AL91012FRBA

Ce document comprend une description détaillée sur les mesures nécessai-
res pour assurer la sécurité maximale du système la plus élevée. Les directi-
ves et détails de configuration sont fournis pour couvrir tous les détails de ce
problème très sensible.
Système OXE : Réseaux publics et privés 8AL91049FRAA

Ce document décrit les fonctionnalités disponibles pour configurer et mettre
en œuvre les accès aux réseaux publics et aux réseaux d'OmniPCX Enter-
prise.

Chapitre 1 Documents de référence

Système OXE : postes de bureau et clients Softphone 8AL91024FRBA
Ce document fournit une description détaillée des postes propriétaires et des
clients Softphone, disponibles pour l'OmniPCX Enterprise. Ces postes télé-
phoniques peuvent être TDM, IP ou SIP. L'ergonomie, les contraintes envi-
ronnementales, l'alimentation, l'initialisation et la configuration sont expli-
quées pour chaque poste.
Note :
Ce document ne couvre pas les postes mobiles, qui sont décrits dans
8AL91009FRBA.
Système OXE : Mobilité 8AL91009FRBA

Ce document décrit les fonctionnalités disponibles pour les postes DECT et
comment mettre en œuvre et configurer chaque service. Ce document cou-
vre également les différentes façons pour les postes cellulaires d'utiliser les
services OmniPCX Enterprise et la mise en œuvre de la recherche des utili-
sateurs autorisés.
Système OXE : Configuration avancée 8AL91048FRAA

Ce document décrit les opérations de configuration avancées qui peuvent
être effectuées sur un OmniPCX Enterprise en cours d'exécution. Cela com-
prend la configuration des domaines de téléphonie IP, la distribution des ap-
pels, les tonalités, les guides vocaux, le multi-pays, le multi-société, les minu-
teries, la comptabilité, le fax.
Système OXE : Maintenance 8AL91011FRBA

Ce document donne le détail de la syntaxe et le résultat des commandes de
maintenance les plus courantes. Il donne également le détail de la gestion
des incidents et des alarmes, ainsi que SNMP. Il couvre les fonctionnalités de
maintenance à distance et les opérations des postes dédiés aux alarmes.
Système OXE : Outils de gestion 8AL91002FRBA

Ce document décrit les différents outils qui peuvent être utilisés pour configu-
rer un OmniPCX Enterprise : OmniVista 8770, OXE WBM, mgr.
Ce document décrit également comment configurer les droits d'accès au sys-
tème par l'application de gestion, comment mettre en œuvre une configura-
tion par domaine et comment traduire les chaînes affichées sur les postes té-
léphoniques, et les applications OmniPCX Enterprise spécifiques.
Système OXE : Services aux utilisateurs 8AL91003FRBA

Ce document décrit comment mettre en œuvre des fonctionnalités téléphoni-
ques de base telles que le va-et-vient et le transfert, ainsi que des fonction-
nalités de collaboration plus avancées telles que l'interception d'appel, les té-
léconférences et les postes tandem. Chaque fonctionnalité est présentée
dans un différent chapitre et offre une description, la configuration nécessaire
et, si besoin est, une description de son fonctionnement.
Console opérateur Alcatel-Lucent 4059 IP - Manuel de l'utilisateur 3EU19877FRBA

Ce manuel de l'utilisateur décrit les diverses fonctionnalités disponibles pour
les opérateurs utilisant le poste IP 4059. Les procédures de configuration
sont également détaillées.

Chapitre 1 Documents de référence

Poste opérateur d'un téléphone Alcatel-Lucent IP Touch 4068 - Manuel de 8AL90607FRBA
l'utilisateur
les opérateurs utilisant le poste IP 4068, configuré pour cette utilisation parti-
culière. Les procédures de configuration de base sont également détaillées.
Alcatel-Lucent 4645 VMS - Manuel de l'utilisateur 3EU19583FRBA

les utilisateurs du système souhaitant exploiter au maximum cette message-
rie vocale et personnaliser leurs annonces.
Manuel Utilisateur Hôtel - Hôpital 3EU19837FRBA

le personnel hôtelier/hospitalier afin de configurer, de modifier et de récupé-
rer les enregistrements de taxation pour les clients de leur établissement. La
gestion du service de chambre et les procédures de configuration de base
sont également détaillées.
OmniVista 8770 Manuel Administrateur 8AL90703FRAN

SP0123 Cabinet 8AL90637USAA
Software Orchestration Tool Manual 8AL90559USAF
Ce document décrit la mise en œuvre de cet outil de déploiement dans les
diverses topologies compatibles. Ce document comprend les exigences et
les procédures pour l'installation de chaque logiciel, parmi lesquels les solu-
tions OpenTouch. Les déploiements et les mises à jour de logiciels sont ex-
pliqués pour les machines physiques et virtuelles.
CCdistribution 8AL91301FRAG
Cloud Connect Operation Overview 8AL91354ENAA
ALE Terminals Accessories Management 8AL90373ENAA
OXE Description of IP Flows 3BA290002903XXZZA

Chapitre
2 À propos du présent document
Ce manuel est destiné aux personnes chargées d'installer et de mettre en service l'un des produits
suivants sur le site du client :
• OmniPCX Enterprise « serveur de communication »
Le serveur de communication est basé sur un système d'exploitation Linux et une application
téléphonique, qui peuvent être installés sur un matériel physique fourni par Alcatel-Lucent
Enterprise, ou un environnement virtualisé (KVM, VMware ESXi, Hyper-V ou Nutanix AHV).
• OXE Media Services (OXE-MS)
Le site OXE Media Services est basé sur un système d'exploitation Suse Linux Enterprise et le
logiciel OXE-MS, installés dans un environnement virtualisé (KVM, VMware ESXi, Hyper-V ou
Nutanix AHV).
• Serveur OST pour OXE Signaling Translator ou External Encryption Gateway
Le serveur OST est basé sur le système d'exploitation Suse Linux Enterprise (SLES) et le logiciel
OST, installés dans un environnement virtualisé (KVM, VMware ESXi, Hyper-V ou Nutanix AHV).
• Generic Appliance Server (GAS)
Le GAS est un logiciel à part entière installé dans un environnement KVM virtualisé, comprenant
une machine virtuelle de Communication Server, une machine virtuelle optionnelle OXE-MS et une
passerelle WebRTC optionnelle.
Ce document fournit des détails sur :
• Pour chaque produit logiciel, l'installation à partir de zéro d'une version logicielle sur un
environnement virtualisé (KVM, VMware ESXi, Hyper-V ou Nutanix AHV), ou sur un matériel
physique fourni par Alcatel-Lucent Enterprise (serveur de communicationOmniPCX Enterprise
uniquement).
Pour installer un produit logiciel, voir :
• Installation du Communication Server sur une machine physique à la page 116
• Installation du Communication Server sur une machine virtuel à la page 134
• Installation de Generic Appliance Server à la page 291
• Installation du système OXE Media Services à la page 260
• Installation du serveur OST 8for OST64 ou EEGW) à la page 281
• Pour le serveur de communication OmniPCX Enterprise, les opérations de mise à jour consistent à
installer une nouvelle version du logiciel par-dessus une version existante, sur une partition active
ou inactive.
Pour mettre à jour un serveur de communication, voir : Mise à jour du logiciel du Communication
Server à la page 394
• Pour les serveurs GAS, OXE-MS et OST, la mise à jour du système d'exploitation Suse Linux
Enterprise (SLES) qui héberge le produit, voir : Mise à jour du système d'exploitation du produit
(bootDVD uniquement) à la page 413.
Ce manuel comprend les opérations de mise en place :
• Le rôle du Communication Server en tant que :
• Serveur de communication principal ou dupliqué : voir : Duplication du Communication Server à
la page 342
• Passive Communication Server (PCS) : voir : Serveur de communication passif à la page 367
• Adressage Multi-IP : voir : Implémentation de l'adressage multi-IP

Chapitre
3 Critères courants en matière de

sécurité - Guide de déploiement
3.1 Introduction
Le présent chapitre est un "plan d'action" à suivre pour déployer et exploiter, en toute sécurité, la
solution de communication VoIP d'Alcatel-Lucent Enterprise dans des entreprises de taille moyenne :
l'OmniPCX Enterprise.
La sécurité suppose un compromis entre deux "intervenants" souvent conflictuels :
• le propriétaire du système de communication, qui évalue les risques et les coûts découlant de ce
système ;
• l'usager du système de communication, qui privilégie la facilité d'utilisation sur la sécurité et qui
compte bien bénéficier d'un ensemble de services de communication complet. Une utilisation
responsable du système de communication peut ainsi se traduire, sur le long terme, par l'ouverture
d'un plus grand nombre de fonctionnalités par le propriétaire du système.
La sécurité absolue étant un idéal difficile à atteindre, le présent plan d'action se veut être une "recette"
pratique principalement axée sur une seule entreprise de taille intermédiaire pour laquelle la maturité
de la sécurité est probablement moins élevée que celle des grandes entreprises disposant d'un service
d’infrastructure d'informations robuste.
Ce déploiement de précision a été validé comme étant à la fois fonctionnel et sécurisé :
• Sur le plan fonctionnel, il a été validé par l'équipe technique d'Alcatel-Lucent Enterprise ;
• La sécurité a été validée lors d'un processus de certification de critères communs conduit par un
laboratoire indépendant composé d'experts en sécurité agréés par l'Agence nationale française de
sécurité des systèmes d'information (ANSSI).
Le présent plan d'action fournit des informations concernant les valeurs spécifiques à adopter pour la
configuration et l'ordre à respecter. Les détails concernant la marche à suivre pour procéder à cette
opération de configuration font partie de la formation sur la certification du partenaire commercial
standard et figurent dans les documents techniques de la solution.
3.1.1 Présentation du chapitre

Ce chapitre comprend les sections suivantes :
• Contexte général client à la page 17 présente le contexte de sécurité de l'entreprise au sein de
laquelle la solution de communication sera déployée. Cette section énumère les risques qui seront
contrôlés ainsi que ceux qui seront volontairement non contrôlés, et présente l'infrastructure LAN
existante dans laquelle la solution OmniPCX Enterprise doit être déployée.
• Installation sécurisée de la solution de communication à la page 24 énumère les étapes à suivre
pour déployer la solution en toute sécurité.
• Administration sécurisée du système à la page 58 recense les responsabilités et les activités
quotidiennes à réaliser pour gérer la solution en toute sécurité. Ce chapitre doit être imprimé et
transmis aux administrateurs.
• Pour finir, Utilisation sécurisée du système à la page 80 indique à l'utilisateur final du système de
communication ses responsabilités et les bonnes pratiques à suivre pour garantir le fonctionnement
sûr du système. Cette section constitue également un produit promotionnel.
1 Ce certificat peut être consulté sur le site de l'ANSSI à l'adresse URL : https://www.ssi.gouv.fr/
uploads/IMG/certificat/ANSSI-CC_2010-15fr.pdf

Chapitre 3 Critères courants en matière de sécurité - Guide de
déploiement
3.1.2 Conventions typographiques

3.1.2.1 Liens précis menant aux documents techniques
La documentation technique existante décrit comment exécuter les opérations de configuration ; elle
n'a pas été copiée dans ce document. Par contre, les descriptifs pertinents sont cités en référence
accompagnés des liens - les plus exhaustifs possible - renvoyant aux éléments de descriptif. Les
renvois sont présentés de la manière suivante :
Voir le document [x] section 3.4, page 27, pour en savoir plus sur….
S'il est fait référence à la documentation technique de l'OmniPCX Enterprise, les chiffres associés
renvoient à la liste des documents de référence : voir : Documents de référence à la page 11.
Les références aux autres documents sont :
1. 8AL90703FRAN OmniVista 8770 Manuel administrateur
2. 8AL90704FRAN OmniVista 8770 Manuel d'installation
3. 8AL90705FRAK OmniVista 8770 Manuel de sécurité
4. TCxxxx Support technique communication PROCEDURE D'INSTALLATION APPLICABLE A LA
VERSION OmniPCX Enterprise version Rx. y
5. TCyyyy Support technique communication PROCEDURE D'INSTALLATION APPLICABLE A LA
VERSION OmniVista 8770 version Rx. y
3.1.2.2 Instructions importantes
Ce symbole signale la présence d'instructions qu'il est impératif de bien comprendre et

d'appliquer pour se conformer au niveau de sécurité prévu. Le non-respect de ces instructions pourrait
rendre des moyens vulnérables aux attaques et engendrer des conséquences commerciales ou
pécuniaires.
3.1.2.3 Instructions obligatoires
Ce symbole signale la présence d'instructions qu'il est impératif de bien comprendre et d'appliquer
pour atteindre le niveau de sécurité prévu. Le non-respect de ces instructions RENDRA certains
moyens vulnérables aux attaques et engendrera des conséquences commerciales ET pécuniaires
SIGNIFICATIVES.
3.1.3 Glossaire
Abrégé Désignation Définition
ACSE Alcatel-Lucent Enterprise Certified Technicien d'un partenaire
System Engineer commercial qui a suivi des sessions
de formation avec succès et qui a
subi un examen pour obtenir cette
qualification
BP Business Partner Entreprise indépendante qui revend
des produits Alcatel-Lucent
Enterprise à des clients
CC Common Criteria Norme à respecter pour évaluer la
sécurité des produits. On parle aussi
de norme ISO 15408.

déploiement
Abrégé Désignation Définition

CS Call Server Unité centrale du produit OmniPCX
Enterprise assurant la commutation
des appels téléphoniques.
IP Internet Protocols
LAN Réseau local Réseau de communication associant
des ordinateurs au sein d'une
société. Le réseau est généralement
mise en place en appliquant la
spécification Ethernet (802.1).
MGW Media Gateway Cartes OmniPCX Enterprise
assurant l'interface entre les réseaux
physiques et des points d'extrémité
(téléphones) et le serveur d'appels,
et assurant des fonctions de
commutation et d'acheminement.
OPS Progiciels
OmniPCX Enterprise OmniPCX Enterprise Commutateur de communication
pour les entreprises de taille
intermédiaire et de grande taille
(PCX).
PSTN Public Switched Telephone Network Service de téléphonie classique
(Réseau téléphonique public utilisant des circuits commutés
commuté) (contrairement à l'IP, qui consiste en
une commutation de paquets).
VOIP Voice over IP (Voix sur IP) Ensemble de protocoles collaboratifs
utilisés pour établir, contrôler et
acheminer des communications
vocales en phonie sur un réseau IP.
3.2 Contexte général client

Introduire en toute sécurité un VoIP dans une entreprise de taille moyenne suppose que l'entreprise en
question adoptent déjà de bonnes pratiques de sécurité. Ces pratiques sont répertoriées dans les
paragraphes qui suivent. Une liste des menaces qui sont contrôlées par la configuration présentée
dans ce chapitre est également fournie plus bas.
3.2.1 Infrastructure et politiques de sécurité déjà mises en place par le client

L'entreprise de taille moyenne démontre de bonnes pratiques de sécurité qui se présentent sous la
forme d'un ensemble de procédures (sécurité physique, sécurité du réseau, procédure de l'utilisateur
du poste, politique relative à la sécurité d'accès internet, etc.), que nous détaillons ici.
3.2.1.1 Procédure relative à la sécurité physique

Le site de l'entreprise est divisé en zones de sécurité physique distinctes comportant chacune des
exigences spécifiques. La répartition minimale est la suivante :
• Le hall d'entrée, une zone accessible au public, avec un agent qui identifie les visiteurs, saisit les
noms des visiteurs dans un registre, appelle l'employé concerné par la visite, etc.

déploiement
• L'espace de bureau est une zone privée qui –en général- n'est pas accessible aux membres du
public à moins que ces derniers rendent visite à un employé et qu'ils soient accompagnés par un
employé (une personne habilitée).
• Le centre de données n'est pas accessible à tous les employés : l'accès à cette zone doit répondre
à une exigence et être accordé aux administrateurs système en donnant à ces derniers un badge
offrant les droits d'accès requis. Les concierges peuvent accéder au centre de données, mais
uniquement sous la supervision d'un agent de sécurité.
Dans les faits, les procédures relatives à la sécurité physique sont plus complexes, car d'autres zones
doivent être prises en compte : plancher surélevé, armoires fermées, etc. L'exemple de procédure de
sécurité physique détaillée ci-dessous dresse la liste des exigences potentielles applicables entre la
zone la plus sécurisée et la zone la moins sécurisée :
tableau 3.1 : Exigences applicables à la zone de sécurité physique
Zone de sécurité physique Besoins en matière de Conditions de contrôle spécifiques

sécurité physique
Centre de données Très élevés Accessible uniquement à un sous-en-

semble réduit d'employés IS/IT et lors-
que l'accès est réellement requis pour
des motifs de service. Tous les accès
(réussis ou non) sont journalisés. Les
portes sont sous alarme et sous surveil-
lance vidéo. Il n'y a aucune fenêtre dans
la pièce, ou les fenêtres existantes sont
condamnées. L'accès du personnel de
nettoyage se fait sous supervision. Il y a
un système de régulation climatique
(CVC). Des extincteurs de classe C sont
présents dans la zone.
Salle du réseau central Très élevés Identiques à celles du centre de don-

nées, mais l'accès est accordé à un plus
petit nombre de personnes triées sur le
volet.
Espace à bureaux des admi- High Accessible uniquement aux administra-

nistrateurs teurs de téléphones et IS/IT.
Armoires réseau spécifiques à Intermédiaires élevés Accessible uniquement au personnel as-

l'étage surant la maintenance du réseau ou du
bâtiment.
Fourreaux à câbles Intermédiaires élevés Accessible uniquement au personnel as-

surant la maintenance du bâtiment.
Planchers surélevés (ou faux Moyennes Accessible uniquement au personnel as-

plafonds) surant la maintenance.
Espace de bureaux à usage Intermédiaires faibles Accès contrôlé par badge en tout temps
général avec zonage possible. Les concierges
sont autorisés pendant les heures de tra-
vail et en dehors des heures de travail.

déploiement
Zone de sécurité physique Besoins en matière de Conditions de contrôle spécifiques

sécurité physique
Entrée Low Présence d'un agent pendant les heures

de travail. Fermée après les heures de
travail. Surveillance vidéo.
Terrains privés de l'entreprise Low Clôture périphérique. Éclairage efficace.

Surveillance vidéo.
Domaine public = (nuls), Aucun
3.2.1.2 Emplacement physique des composants du système d'informations

Chaque composant de l’infrastructure de traitement des informations du client doit se trouver dans la
zone de sécurité physique répondant à ses besoins :
tableau 3.2 : Zones de sécurité physique hébergeant des éléments de l'infrastructure de données
Équipements Zone de sécurité physique
Serveur(s) de données Centre de données
Serveur(s) d'administration Centre de données
Commutateur d'infrastructure entre les 2 sous-ré- Soit dans le centre de données, soit dans la salle
seaux principaux de réseau central
Postes de travail des administrateurs Espace à bureaux des administrateurs
Commutateurs de répartition Armoires réseau spécifiques à l'étage
Câblage réseau entre le commutateur d'infras- Tubes de câbles entre les étages
tructure et les commutateurs de répartition
Câblage réseau entre les commutateurs de répar- Planchers surélevés ou plafonds suspendus
tition et les prises murales
3.2.1.3 Sécurité du réseau

Comme dans le cas de la sécurité physique, des zones de sécurité sont définies dans le réseau :
• Comme dans le cas de l'entrée physique, la zone démilitarisée (DMZ) filtre le trafic provenant
d'internet avant de l'acheminer éventuellement vers le LAN interne.
• Une autre zone de sécurité offre un accès LAN à l'espace à bureaux.
• La zone de sécurité la plus sécurisée héberge les serveurs d'informations et de gestion.
Les schémas ci-dessous présentent les zones de sécurité physique combinées aux zones de sécurité
du réseau :

déploiement
Demilitarized Data Center

zone (DMZ) Room
Data servers
Decontamination subnet
Data servers Management server
Data Users
subnet
IP switched LAN
Workstation Workstation
Public area Office Space
Figure 3.1 : Exemple de topologie du réseau local de taille intermédiaire
Dans les environnements qui présentent des risques plus critiques pour la sécurité, les fonctions de
sécurité suivantes peuvent être activées dans le commutateur d'infrastructure :
• Des VLAN peuvent remplacer des sous-réseaux IP afin de mieux isoler les serveurs du trafic
provenant de la zone d'espace à bureaux (p. ex. attaques UDP provenant des postes de travail)
• Listes de contrôle d'accès permettant de contrôler le trafic entre des sous-réseaux (ou VLAN) et de
limiter le débit auquel divers types de paquets peuvent pénétrer dans le sous-réseau du serveur de
données, ce afin d'empêcher un refus de service par inondation des serveurs de données ;
• Fonction de pare-feu dynamique qui applique une stricte conformité aux politiques du trafic réseau
de l'entreprise.
Cette entreprise protège ses serveurs de données contre les clients de données potentiellement
malveillants qui pourraient se trouver à l'extérieur de la salle du serveur, dans la zone de bureaux ou
sur l'Internet.
Internet et la DMZ ne seront plus mentionnés dans le mémento de ce chapitre.
3.2.1.4 Autres bonnes pratiques en matière de sécurité

Les autres bonnes pratiques de sécurité commerciales devant s'appliquer incluent :
• Protection logique des dispositifs du réseau :
• Anti-virus, pare-feu hôte, système de détection d'intrusion au niveau de l'hôte,
• Audits de configuration de dispositifs périodiques
• Planification de la continuité des activités
• Sauvegardes périodiques, en 2 exemplaires
• Un exemplaire des bandes de sauvegarde est stocké hors site
• Un exemplaire des bandes de sauvegarde est stocké dans une pièce à température régulée et
soumise à un contrôle d'accès strict.
• Des opérations de restauration périodiques sont exécutées pour garantir la capacité à récupérer
après un incident catastrophique.
• Audit et journalisation
• Source temps réseau précise pour assurer une corrélation homogène entre des fichiers journal
distincts

déploiement
• La journalisation des événements de sécurité est activée sur des serveurs et des postes de
travail.
• Les journaux sont envoyés à un serveur de réception central.
• Les journaux sont examinés à intervalles réguliers pour détecter toute activité intempestive.
• Audits de sécurité mis en place périodiquement et mesures prises en fonction des résultats
• Identification et authentification de l'utilisateur
• Personne ne peut se logger à des comptes de groupe
• Un compte par utilisateur
• Appliquer une politique de "mot de passe fort"
• S'assurer que le mot de passe est changé régulièrement (tous les 3 mois par exemple).
• Supprimer ou désactiver les comptes non utilisés : les comptes système et utilisateur
• Changer tous les mots de passe par défaut, durcir les règles régissant les mots de passe
• Imposer des limites de quota sur les ressources qu'un compte utilisateur peut utiliser
• Configurations de dispositifs réseau par défaut
• Tous les mots de passe par défaut doivent être changés avant de connecter le système au
réseau.
• Vérifier tous les paramètres de configuration par défaut avant de connecter le dispositif au
réseau.
• Confiance à l'égard des "personnes habilitées"
• Les administrateurs sont bien formés et ne commettent pas d'erreur lorsqu'ils configurent le
système.
• Les administrateurs sont dignes de confiance et n'exécutent pas d'actes illicites, tels que des
modifications non permises visant des paramètres de configuration, l'installation de programmes
illicites ou la suppression de journaux d'activité.
• Des contrôles d'antécédents sont effectués lorsqu'on embauche du "personnel habilité".
• Vulnérabilités du logiciel
• Tester rapidement les mises à jour de sécurité du vendeur avant de les déployer à grande
échelle
• Bannir tout logiciel non autorisé sur des dispositifs connectés au réseau
• Exécuter un anti-virus sur les postes de travail, activer le pare-feu hôte du poste
• Empêcher l'arrivée de spams et de malware en filtrant les connexions Internet
• Installer un détecteur d’intrusion de réseau
• Politique de sécurité applicable aux sous-traitants dans la zone où ont lieu des activités de
maintenance et de support
3.2.2 Attaques et menaces

3.2.2.1 Les attaquants éventuels
Les profils suivants sont considérés comme des attaquants éventuels de la solution OmniPCX
Enterprise :
• Utilisateur malveillant interne = personnes malveillantes (utilisateurs autorisés ou personnes
bénéficiant d'un accès physique temporaire) ayant accès à un poste de travail connecté au sous-
réseau de l'utilisateur de données ;
• Utilisateur malveillant externe = personnes malveillantes connectées au PSTN.
Les deux profils sont caractérisés par une bonne connaissance générale des ordinateurs, des
ressources disponibles peu denses (informatiques et largeur de bande), un manque de connaissance
détaillée du fonctionnement de la solution OmniPCX Enterprise, biens qu'ils puissent avoir accès aux
documents livrés aux partenaires commerciaux d'Alcatel-Lucent Enterprise.

déploiement
Leur motivation est modérée : principalement évitement fiscal ou vol, plus rarement refus de service
sur l'OmniPCX Enterprise attaqué (par exemple pour exercer des représailles ou dégrader l'image
publique de l'entreprise dans le cas d'un ancien employé mécontent). De même, l'accès à des
informations confidentielles constitue rarement le motif, car cela peut se faire en utilisant des moyens
mieux connus et déployés plus facilement (p. ex. piratage psychologique).
Plus précisément, tous les accès au PSTN de l'utilisateur externe malveillant se font par le biais d'une
entreprise de télécommunications en utilisant un téléphone ou un modem : il ne bénéficie pas d'un
accès direct aux lignes RTPC pénétrant dans le PBX et, par conséquent, ne peut pas élaborer des
paquets RNIS du fait de la sécurité physique des lignes réseau et des lignes de communication
implémentés par l'entreprise de télécommunications.
3.2.2.2 Services protégés

• Les communications sont protégées contre le refus de service
• La messagerie vocale est protégée contre le refus de service, la falsification, la diffusion non
autorisée de messages vocaux en cours de stockage.
• L'administration téléphonique est protégée contre le refus service et la falsification.
3.2.2.3 Menaces contrôlées

• Intrusion dans le sous-réseau du serveur vocal à partir du sous-réseau du client de données ou du
réseau de téléphonie de l'entreprise de communication (RTC)
• Refus de service sur le sous-réseau du serveur vocal par inondation à partir du sous-réseau du
client de données ou du réseau de téléphonie de l'entreprise de communication (RTC)
• Usurpation des droits d'accès d'un administrateur de téléphonie autorisé à partir d'un poste de
travail de données
• Usurpation des droits de téléphonie d'un utilisateur de réseau de téléphonie d'entreprise DISA
autorisé (RTC)
• Accès non autorisé à une boîte de messagerie vocale d'un utilisateur
• Vol de taxe téléphonique en branchant des dispositifs non déclarés au sous-réseau client vocal ou
en attaquant en force un poste téléphonique verrouillé
• Abus non traçable du service téléphonique
• Insertion d'une porte dérobée pendant l'installation d'une solution VoIP
3.2.2.4 Menaces et fonctions de sécurité non traitées dans ce chapitre

Les cas détaillés ci-dessous sont des exemples de menaces non contrôlées par la configuration
spécifiée dans ce chapitre. Le cas échéant, le mécanisme de contrôle existant est identifié :
• Accès non autorisé à un sous-réseau vocal. Cette menace est partiellement contrôlée, car la
technologie VoIP est déployée dans un environnement offrant une sécurité physique au câblage et
aux dispositifs LAN. Pour renforcer la protection de ce sous-réseau et contrôler plus en profondeur
cette menace, il est possible de procéder à l'authentification des terminaux VoIP branchés au sous-
réseau des utilisateurs vocaux avec 802.1x.
Note :
Voir la rubrique Authentification 802.1x du document 8AL91012FRBA.
• Écoute non autorisée d'une communication VoIP ou falsification du signal VoIP. Pour atténuer cette
menace, utiliser la solution IP Touch Secure Voice (non traitée dans ce chapitre).
Note :
Voir la rubrique Sécurité IP Touch du document 8AL91012FRBA.

déploiement
3.2.3 Solution de communication déployée

La solution de communication VoIP qui sera déployée dans cette entreprise de taille moyenne consiste
en un système OmniPCX Enterprise avec sa solution de gestion OmniVista 8770 et elle se compose
d'une seule zone centrale :
Voice guides Réseau public
Accès primaire T2-RNIS : 2

T0 accès basic : 1
Messagerie vocale Omnivista8770
Utilisateurs 9 series / Reflexes

Terminaux analogiques : 1 (Direct) : 4
Réseau privé
Opérateur
Utilisateurs IP (e-Reflexes / 8
series / My Phone) : 4 Voix sur IP : 4
Canaux voix sur IP H323 pour réseau ABC : 2
UtilisateursSIP : 3
Canaux voix sur IP H323 pour terminaux et
joncteurs H323 : 2
Figure 3.2 : Pièces client du système
3.2.3.1 Composants matériels

Le système OmniPCX Enterprise consiste en un seul châssis contenant la passerelle média et un
Appliance Server pour le serveur de communication. Ce dernier élément est en fait dupliqué pour
obtenir la haute disponibilité attendue du service de communication.
Serveur OmniVista 8770 OmniPCX EnterpriseServeur d'appel OmniPCX Enterprise Media Gateway
CPU principal avec
messagerie vocale 4645
CPU de secours
+ OmniVista 8770 Client

PSTN
Administrateur TDM
Téléphone IP Téléphone IP
Téléphone SIP Téléphones analogiques
Opérateur TDM
Téléphones TDM
Figure 3.3 : Éléments VoIP ajoutés au LAN
La configuration de l'Appliance Server implique :

• des guides vocaux
• une messagerie vocale 4645 sur le Call Server principal (srv-csA).
La configuration du châssis Media Gateway implique :

déploiement
Crystal 1
tableau 3.3 : Agencement du châssis Media Gateway
PRA-T2 (1-1) GA (1-2) GD (1-0)
MIX (1-3) UA (1-4) PRA-T2 (1-5)
SLI (1-6)
3.3 Installation sécurisée de la solution de communication

Cette section présente la procédure étape par étape à suivre pour déployer en toute sécurité la
solution de communication OmniPCX Enterprise sur un LAN d'entreprise de taille moyenne standard.
La sécurité LAN client est maintenue avant, pendant et après la connexion des nombreux éléments
supplémentaires illustrés à la Figure 3 Éléments VoIP ajoutés au LAN.
Deux phases d'installation distinctes sont identifiées :
• Le contenu de la section Installation, configuration et mise en route à la page 24 est exécuté une
fois pour mettre le système dans un état opérationnel : à la fin de ce processus, le système est
opérationnel, des téléphones IP peuvent se brancher au réseau et des appels peuvent être passés :
un essai de réception peut dès lors être effectué par le client.
Ce processus est réalisé sous la supervision du client et avec le soutien de ce dernier par un
professionnel possédant la certification ACSE. Cet ACSE fait généralement partie du personnel de
l'organisation du partenaire commercial (BP), auprès duquel le client a acheté la solution de
communication développée par Alcatel-Lucent Enterprise.
• La section Essais de réception : transition vers l'état opérationnel à la page 50 est une liste de
vérification de la configuration de sécurité pouvant être exécutée plusieurs fois pendant le
fonctionnement du système et qui est évidemment utilisée pendant l'essai de réception. Les clients
peuvent l'utiliser comme modèle pour établir les essais de réception et effectuer des audits réguliers
en veillant à ce que la sécurité de la solution demeure au niveau prévu.
Note finale : seules les opérations de configuration liées à la sécurité sont répertoriées. Les autres
opérations, telles que la configuration des téléphones, ne sont pas détaillées ici (les valeurs exactes de
configuration des téléphones et de sécurité sont énumérées dans Annexe A : Configuration de la
plateforme à la page 83).
Les procédures d'installation et de mise en route doivent être effectuées par un partenaire
commercial Alcatel-Lucent Enterprise certifié (ACSE), jamais par les administrateurs du client ou des
utilisateurs finals.
3.3.1 Installation, configuration et mise en route

Le processus d'installation, de génération et de mise en route suppose l'exécution des phases
suivantes :

déploiement
Système reçu dans

des boîtes d'expédition
Planification de l'installation
Étape 1 - § 3.3.1.1
Installation physique
Étape 2 - § 3.3.1.2
Installation du logiciel
Étape 3 - § 3.3.1.3
Sécurité et configuration IP
Étape 4 - § 3.3.1.4
Configuration du téléphone
Étape 5 - § 3.1.5
Démarrage
Étape 6 - § 3.3.1.6
Le système est maintenant

prêt à fonctionner
Figure 3.4 : Processus de configuration et d'installation du système
Chacune de ces étapes est détaillée avec des conditions initiales et finales qui présentent des
exigences de connectivité aux divers éléments de solution, et indiquent l'outil utilisé pour accéder à ces
éléments.
3.3.1.1 Planification de l'installation

Une planification soigneuse constitue un facteur clé pour installer le système en toute sécurité et de
manière concluante. Cette section décrit les différents aspects à prendre en compte pendant cette
phase.
3.3.1.1.1 Politique du client en matière de sécurité

Le client doit fournir au partenaire commercial sa politique locale en matière de sécurité (voir la
section Infrastructure et politiques de sécurité déjà mises en place par le client à la page 17).

déploiement
3.3.1.1.2 Équipements d'installation supplémentaires

Les deux sources des pièces d'équipement mentionnées dans ce guide d'installation sont les
suivantes :
• Les "pièces du client" sont les pièces achetées par le client et qui restent sur le site après
l'installation. Annexe A : Configuration de la plateforme à la page 83 répertorie ces pièces.
• Les "pièces BP" sont des dispositifs et des câbles utilisés seulement pendant l'installation et fournis
par le partenaire commercial. Elles sont réutilisées d'une installation à l'autre.
Les "pièces BP" sont les suivantes :
tableau 3.4 : Liste des pièces apportées par le partenaire commercial et utilisées lors de l'installation.
2 Câble série RJ45 pour CS Console série CS (principale + réserve)

1 Câble série RJ45 pour MGW Console série MGW
1 Commutateur RS232 4 ports Pour fixer le terminal série à un dispositif ou l'autre
1 Câble RS232 Entre commutateur et VT100
1 Terminal "verre" VT100 Peut être remplacé par une application d'émulation de terminal
sur PC (ou un serveur 8770)
5 Câbles Ethernet RJ45 Serveur 2*CS, 1*MGW, 1*8770
1 Concentrateur Ethernet 8 Pour élaborer le LAN d'installation isolé
ports
Ces composants seront utilisés pour élaborer un LAN isolé lors des prochaines étapes, telles que
décrites plus bas :
OmniPCX Enterprise Media Gateway
PSTN falsifié
Téléphone IP
Hub IP
Administrateur TDM
Téléphone SIP
Téléphones analogiques
Opérateur TDM
OmniPCX Enterprise
Serveur OmniVista 8770 Serveur d'appel
+ Client intégré OmniVista 8770
Téléphones TDM
Figure 3.5 : Sécurisation de l'installation sur un LAN isolé à l'aide d'un concentrateur
Le LAN isolé sera utilisé au-delà de la dernière phase, lorsque le client autorise la connexion à son
LAN d'exploitation.
3.3.1.2 Installation physique

Cette opération d'installation est réalisée par l'ACSE du partenaire commercial. Le client aura défini,
préalablement, les exigences mécaniques, électriques et environnementales, et fourni toutes les
informations nécessaires, telles que les bleus des locaux, le plan d'adressage IP, la politique de
sécurité à appliquer, etc.

déploiement
Lors de cette opération, tous les éléments sont retirés de leurs caisses et cartons OmniPCX
Enterprise ; les châssis sont placés dans des baies, mis sous tension, mais pas allumés. Les systèmes
de refroidissement sont connectés, si nécessaire.
Les exigences physiques figurent dans la documentation spécifique à chaque produit.
L'accès physique aux composants de solution critiques doit être rigoureusement contrôlé. Comme un
tel contrôle peut s'avérer onéreux en termes de contraintes liées au bâtiment ou de frais généraux
supplémentaires pour accéder aux zones contrôlées, plusieurs zones de sécurité physique sont
définies, chacune avec ses propres exigences.
Le tableau ci-dessous répertorie les zones de sécurité physique et les composants de solution
hébergés associés :
tableau 3.5 : Zones de sécurité physique hébergeant les composants de l'OmniPCX Enterprise
Équipements Zone de sécurité physique

Serveur d'appels et passerelle média OmniPCX Enterprise Centre de données
au serveur OmniVista 8770. Centre de données
Postes de travail exécutant l'application client OmniVista 8770 Espace à bureaux des
administrateurs
Postes téléphonies et applications Softphone Espace à bureaux
3.3.1.2.1 Conditions initiales

Tous les éléments de la solution ont été reçus tels qu'expédiés par Alcatel-Lucent Enterprise et sont
toujours dans leurs boîtes.
3.3.1.2.2 OmniPCX Enterprise

Pour les composants OmniPCX Enterprise (CS et MGW), l'installateur suit les instructions contenues
dans la rubrique Recommandations d'installation du document 8AL91027FRBA.
Les deux composants de l'OmniPCX Enterprise (CS et MGW) doivent être installés dans une
salle (le centre de données) dont l'accès est limité aux administrateurs et aux personnes de confiance
uniquement. Il peut s'agir, par exemple, d'une pièce sans fenêtre dont la porte s'ouvre au moyen d'une
carte magnétique, dont les murs ne comportent aucun espace au-dessus ou au-dessous du plancher
surélevé ou du plafond suspendu, mais qui courent, au contraire, vers le haut sur toute la hauteur
jusqu'au plancher et jusqu'au plafond du bâtiment.
3.3.1.2.3 OmniVista 8770

Les composants de l'OmniVista 8770 sont installés sur des plateformes PC standard. Ces deux PC
(pour le serveur 8770 et l'application client 8770) peuvent être fournis par le client.
L'employé BP installe physiquement – si cela n'a pas déjà été fait - le serveur 8770 dans la salle de
serveur protégée physiquement.
La configuration matérielle requise pour le serveur et le poste de travail client est décrite dans le
document 8AL91400USAA.
Les postes de travail sur lesquels les clients 8770 sont installés sont réservés à l'usage exclusif
des administrateurs. Ils doivent être protégés contre les tentatives d'accès physique de personnes non
habilitées, en les installant, par exemple, dans une salle verrouillée dont la clé est fournie uniquement
aux administrateurs.

déploiement
3.3.1.2.4 Conditions finales

Les conditions des divers éléments de réseau à la fin de cette opération d'installation sont les
suivantes :
• Le CS et le MGW sont branchés à une source d’alimentation, mais ils ne sont pas allumés et ne
sont pas connectés au LAN.
• Le serveur OmniVista 8770 est branché à une source d'alimentation, mais il n'est pas allumé et il
n'est pas connecté au LAN.
• Le client OmniVista 8770 n'est installé sur aucun poste de travail du réseau.
3.3.1.3 Installation du logiciel

Certains éléments sont livrés avec un logiciel préinstallé (p. ex. l'OmniPCX Enterprise). Pour ces
éléments seulement, l'actualité de ce logiciel doit être vérifiée et des patch doivent être installés, s'il y a
lieu.
D'autres composants (p. ex. l'OmniVista 8770) sont expédiés avec le logiciel d'application gravé sur
DVD. Ce logiciel doit être installé.
Ces opérations doivent être exécutées par l'ACSE seulement.

Les conditions initiales des divers éléments du réseau sont les suivantes :
• Le CS et la MGW sont éteints et pas connectés au LAN.
• Un logiciel est déjà installé sur le CS avec des licences et une base de données vide ;
• Un micrologiciel est déjà installé sur la MGW.
• Le serveur OmniVista 8770 n'est pas allumé et il n'est pas connecté au LAN.
• Le logiciel Windows est installé et le guide de sécurité Microsoft a été appliqué ;
• Aucun logiciel d'application n'est installé.

Le logiciel OmniPCX Enterprise est installé à l'usine : aucune installation complète du logiciel n'a
besoin d'être réalisée à ce stade.
À titre de référence, l'installation du logiciel est décrite dans .Installation du Communication Server sur
une machine physique à la page 116 et Installation du Communication Server sur une machine virtuel
à la page 134.
Le disque dur du serveur d'appels contient déjà le logiciel requis pour que le système OmniPCX
Enterprise au complet fonctionne : les passerelles média téléchargeront le micrologiciel le plus
approprié à partir du serveur d'appels dès leur mise en route.
Vous trouverez des informations sur l'installation complète du logiciel, les patchs, la disposition des
disques et le partitionnement dans .Lancement du logiciel du Communication Server à la page 111 et
Partitionnement du Communication Server à la page 114.
Des informations importantes spécifiques à une version logicielle sont énoncées dans la note de
version publiée en tant que Communications techniques (document 5). Consultez ces documents
avant de continuer.
3.3.1.3.2.1 Vérification de la version du logiciel OmniPCX Enterprise installé

Une version logicielle (l’identité du logiciel du système) est définie avec précision par le document du
logiciel et des identifiants situés au niveau du patch. Par l'intermédiaire d'un port console (login en tant

déploiement
que root), utilisez l'outil Swinst pour afficher cette identité logiciel (chemin de menu 2-8-2). Si vous
utilisez le port console, veuillez noter que cette valeur est affichée lors d'une ouverture de session en
tant que mtcl (à condition que le service téléphonique ait commencé).
l'étape Action Description Se reporter à

1 Brancher la console Utiliser un câble V.24 pour Configuration des règles de mots
série au système et brancher le terminal au CS de passe du serveur de
se logger en tant directement (dans le cas d'un communication à la page 127
qu’utilisateur root Appliance Server) ou au boîtier
de connexion (pour le hardware
Crystal), ou brancher un câble
spécifique muni d'une RJ45 à la
carte CS pour le Common
hardware.
2 Menu Swinst 2-8-2 S'assurer que la version est bien Rubrique Affichage identité
la version prévue. logiciel du document
8AL91011FRBA
3 Menu Swinst 2-8-5 Vérifier la version du logiciel du Rubrique Affichage identité
système. logiciel du document
8AL91011FRBA
Réinstaller le logiciel en cas de
panne.
4 Menu Swinst 2-8-6-1 Vérifier l'intégrité du logiciel Rubrique Affichage identité

d'application. logiciel du document
8AL91011FRBA
Réinstaller le logiciel en cas de
panne.
3.3.1.3.2.2 Mise à jour du logiciel OmniPCX Enterprise

Une mise à jour du logiciel peut s'avérer nécessaire lorsqu'une incohérence est constatée ou lorsqu'un
niveau de patch plus récent, corrigeant une vulnérabilité pour la sécurité, est disponible. Le partenaire
commercial s'informe en permanence des correctifs nouvellement livrés et exécute toutes les mises à
jour requises.
Pour réduire les temps d'interruption du service téléphonique dans toutes les configurations de
déploiement, différents mécanismes de mise à jour sont fournis : distribution de logiciel centralisée,
double partition du disque.
Vous trouverez de plus amples informations sur la distribution centralisée de logiciels dans l'Processus
de mise à jour à distance à la page 398.
Vous trouverez de plus amples informations sur le double partitionnement des disques dans
l'Partitionnement du Communication Server à la page 114.
Lorsqu'une mise à jour logicielle a été effectuée, vérifiez toujours ce qui suit :
• S'assurer que la version est bien la version prévue.
• Vérifier l'intégrité du logiciel du système.
• Vérifier l'intégrité du logiciel d'application.
Conformément à ce qui a été décrit en détail plus haut, dans le paragraphe : Vérification de la version
du logiciel OmniPCX Enterprise installé.

déploiement
3.3.1.3.3 OmniVista 8770

Le logiciel du serveur et le logiciel client sont livrés sur un DVD et doivent être installés. L'installation
du logiciel du serveur 8770 sur le serveur est effectuée par le représentant du BP. L'installation des
clients OmniVista 8770 est réalisée plus tard, une fois que le système est opérationnel (à l'étape 0).
Il se peut que la plateforme matérielle ait été livrée par Alcatel-Lucent Enterprise ou qu'elle ait été
fournie par le client. Dans le premier cas, Alcatel-Lucent Enterprise procure généralement la
plateforme du serveur 8770 avec la plateforme Windows recommandée déjà installée.
Remarque : il est recommandé d'installer le logiciel du serveur OmniVista 8770 en commençant par
installer un Windows propre avant d'appliquer les directives de sécurité Windows fournies par Microsoft
pour le système d'exploitation associé.
Au minimum :
• Un anti-virus doit être installé et convenablement configuré avec une base de signature à jour ;
• Un pare-feu doit être activé et configuré pour permettre l'ensemble de flux IP le plus petit possible ;
• Le nombre minimal de services doit pouvoir être offert ;
• Les mécanismes de mise à jour Windows et Java doivent être désactivés ;
• D'autres mesures de sécurité (p. ex. protection contre une inondation SYN) doivent également être
activées (voir l'étape 8 ci-dessous).
Pour en savoir plus sur ces mesures de sécurité et leur compatibilité avec l'application du serveur
8770, voir la rubrique Déploiement de l'OmniVista 8770 dans un environnement Windows sécurisé
du document 8AL90705FRAK.
Des informations importantes spécifiques à une version logicielle sont énoncées dans la note de
version publiée en tant que Communications techniques (document 6). Consultez ces documents
avant de continuer.

1 Vérifier les exigences Avant l'installation du serveur, il Rubrique Configuration
du serveur. est important de vérifier la serveur requise du document
conformité aux exigences du 8AL90704FRAN
serveur et de collecter des
informations appropriées.
2 Se logger en tant Utiliser la console graphique Rubrique Lancement et
qu'administrateur directement connectée au fermeture du document
système local. système, et se logger en tant 8AL90703FRAN
qu'administrateur système local.
3 Configurer le serveur
nom PC et le suffixe Il est interdit de modifier
DNS Windows. ces paramètres lorsque
l'OmniVista 8770 a été installé.
4 Renforcer le serveur. Réduire le nombre de services 8AL90705FRAK
offerts par le serveur qui
hébergeront l'application serveur
OmniVista 8770.
2 Voir la mise en garde n° 2 dans la rubrique Configuration serveur requise du document

8AL90704FRAN.

déploiement

5 Installer le logiciel Insérez le DVD OmniVista 8770 8AL90704FRAN
d'application dans votre lecteur de DVD, allez
OmniVista 8770. dans le répertoire Setup,
exécutez (en tant
qu'administrateur) le fichier
Serversetup.exe et suivez les
instructions fournies.
Le document 8AL90705FRAK est le guide à suivre étape par étape pour renforcer le
déploiement de l'OmniVista 8770. Il est impératif de lire ce guide en entier et d'appliquer les consignes
qu'il contient lors de l'installation.
Le document 8AL90705FRAK présente la méthodologie générale, les rubriques 3 et 4 traitent du
renforcement de la couche d'infrastructure : plateforme Windows et réseau, tandis que les rubriques 5
et 6 décrivent le renforcement au niveau de la couche applicative en vue de protéger les données de
gestion de téléphonie pendant un transit depuis le PBX et sur l'OmniVista 8770.

Les conditions des divers éléments de réseau à la fin de cette étape d'installation sont les suivantes :
• Le CS est allumé, un terminal série est connecté au port de console série et un root utilisateur a
ouvert une session. Le CS n'est pas connecté au LAN.
• La MGW est éteinte et elle n'est pas connectée au LAN.
• Le serveur OmniVista 8770 est allumé et l'administrateur système est loggé. Le serveur n'est pas
connecté au LAN.
3.3.1.4 Sécurité et configuration IP

Dans cette section, nous partons du principe que la politique locale en matière de sécurité et les
exigences d'exploitation ont été prises en compte en vue de déterminer la valeur appropriée pour les
différents paramètres qui seront configurés.
Les étapes logiques à suivre pour configurer en toute sécurité la solution et tous ses composants sont
les suivantes :
1. Sur chaque composant, configurer la sécurité locale et renforcer convenablement le composant :
modifier les mots de passe usine, supprimer les services superflus, activer les services de sécurité,
etc.
2. Certains composants du réseau doivent être connectés par le biais d'un petit réseau LAN pour
pouvoir recevoir des informations de configuration (p. ex. la Media-Gateway). Pour cela, il faut
utiliser un concentrateur de réseau afin de former un petit LAN isolé, tel que présenté plus haut (voir
Figure : Sécurisation de l'installation sur un LAN isolé à l'aide d'un concentrateur à la page 26)
3.3.1.4.1 Intégration à un LAN préexistant
3.3.1.4.1.1 Nouveaux éléments de réseau

Les nouveaux éléments de réseau introduits dans le LAN par cette solution de communication
OmniPCX Enterprise sont les suivants :
• Un serveur vocal redondant (serveur d'appels ou CS). Il fonctionne sur un serveur « prêt à utiliser »
PC Intel x86 avec boîtier installé dans un châssis de 19 po taille 1U - appelé ici Appliance server
(A/S);

déploiement
• Une passerelle média (MGW) fonctionnant sur un matériel spécifique Alcatel-Lucent appelé
Common Hardware ;
Pour plus d'informations sur cette plate-forme matérielle, voir le document 8AL91027FRBA.
• Un serveur d'administration (serveur OmniVista 8770) fonctionnant sur un système d'exploitation
Microsoft pris en charge ;
• Un client ou plusieurs clients d'administration (client OmniVista 8770 ) fonctionnant comme des
applications standard Microsoft Windows sur des postes de travail ;
• Des postes téléphoniques vocaux IP ou logiciels.
Les recommandations de sécurité en place pour le LAN existant doivent être respectées pour les
composants vocaux.
3.3.1.4.1.2 Architecture LAN résultante

Le LAN et tous ses éléments réseau et les interconnexions associées sont représentés ci-dessous :
Sous-réseau des serveurs données et voix
OmniVista
Serveur(s) de données
8770 serveur
PSTN
Serveur de gestion
OmniPCX Enterprise OmniPCX Enterprise
Serveur d'appel Media Gateway
IP
basculé
LAN Sous-réseau des utilisateurs de données :
Poste de travail Admin avec Stations de travail utilisateurs

OmniVista 8770 Client Exécutant potentiellement une
application softphone Administrateur TDM
Opérateur TDM
Téléphone SIP
Téléphone IP Téléphone IP
Téléphones TDM
Sous-réseau des utilisateurs voix
Figure 3.6 : Réseau LAN avec solution de communication OmniPCX Enterprise
Il se peut que des équipements données soient utilisés pour contrôler la transmission des flux IP entre
les trois sous-réseaux.
Les serveurs CS, MGW et 8770 sont connectés au sous-réseau des serveurs données et voix.
Les serveurs CS, MGW et 8770 doivent être installés dans une salle fermée à clé dont l'accès est
réservé au personnel habilité, éventuellement dans la même pièce que celle dans laquelle sont
installés les serveurs de données préexistants.
L'accès physique aux câbles (Ethernet, série, alimentation) doit également être contrôlé et limité pour
éviter toute falsification.
Sous-réseau des utilisateurs de données
Les clients OmniVista 8770, qui sont installés sur des postes de travail existants utilisés exclusivement
par des administrateurs, se trouvent sur le sous-réseau des utilisateurs de données. L'accès physique
à ces postes de travail est limité au personnel de confiance uniquement.
Lorsqu'aucun softphone n'est déployé, la sécurité physique entre la salle du serveur et les prises LAN
murales doit être garantie, conformément à la politique de sécurité du client. Lorsque des softphones
sont déployés, ils sont connectés à ce sous-réseau d'utilisateurs de données, qui doit ensuite

déploiement
bénéficier des mêmes mesures de sécurité physique que le réseau d'utilisateurs voix (voir Sous-
réseau des utilisateurs voix à la page 33).
Tous les postes vocaux matériels sont connectés au sous-réseau client voix.
La sécurité physique doit être assurée entre la salle du serveur et la prise murale à laquelle les
téléphones sont branchés. Les pratiques suivantes doivent être mises en place :
• L'équipement de commutation du réseau central se trouve soit à l'intérieur du centre de données,
bénéficiant ainsi de la protection physique de ce dernier, soit à l'extérieur du centre de données,
dans une zone physiquement protégée dont l'accès est limité au personnel habilité seulement.
Exemple : armoire dont la porte est fermée avec une clé (ou un verrouillage par clavier, lecteur de
cartes, etc.).
• Les équipements du réseau d’agrégation et de distribution (commutateurs LAN) sont installés dans
des armoires munies d'une porte verrouillée par une clé (ou un clavier, lecteur de cartes, etc.).
• Les câbles installés entre des commutateurs de réseaux centraux et d'agrégation/distribution sont
physiquement protégés par des conduites aménagées entre les planchers et offrant aucun accès
en dehors de l'entrée des conduites elles-mêmes, qui se trouvent dans les armoires auxquelles
elles sont raccordées.
• Les câbles situés entre le dernier commutateur de distribution et la prise murale sont installés dans
des plafonds suspendus (plénum) ou sous un plancher surélevé, dans un endroit difficile d'accès
pour une personne malveillante qui voudrait passer inaperçue.
Matrice d'interconnexions
La solution OmniPCX Enterprise ajoute les flux suivants entre les éléments de réseau
supplémentaires :
tableau 3.6 : Matrice d'interconnexion des éléments Voice over IP
Responder Serveurs Clients
Initiateu serveur Serveur MGW 8770 client Téléphone

r 8770. d'appel IP
serveur 8770. - OAM&P - - -

et
Serveur d'appel - - SIG - SIG
sortants
MGW - - - - RTP
8770 client IP sec - - -
Clients
Téléphone IP - - RTP - RTP
Pour être plus précis, la solution OmniPCX Enterprise autorise les flux suivants dans chaque sous-
réseau :
• Sous-réseau des utilisateurs voix
• Flux de signalisation entre les postes téléphoniques et le serveur d'appels OmniPCX Enterprise ;
• Flux média entre les postes téléphoniques (appels téléphoniques internes), entre les postes
téléphoniques et la passerelle média (appels RTC ou appels avec téléphones DECT et d'autres
téléphones non IP tels que les téléphones TDM), entre les postes téléphoniques et le serveur
d'appels OmniPCX Enterprise pendant l'enregistrement et la lecture des messages vocaux.
• Lorsque des softphones sont déployés :
• Flux média entre les softphones et les postes téléphoniques (appels internes).
• Sous-réseau des utilisateurs de données :

déploiement
• Les flux application déjà identifiés dans la politique de sécurité du réseau préexistant du client ;
• Les flux IPsec entre les postes de travail fonctionnant sur le client OmniVista 8770 et le serveur
OmniVista 8770.
• Flux de signalisation entre des applications softphones et le serveur d'appels OmniPCX
Enterprise ;
• Flux média entre les applications softphones (appels téléphoniques internes), entre les
softphones et des postes téléphoniques (appels internes), entre les softphones et la
passerelle média (appels RTC ou appels avec téléphones non IP tels que les téléphones
TDM), entre les softphones et le serveur d'appels OmniPCX Enterprise pendant
l'enregistrement et la lecture des messages vocaux.
• Sous-réseau des utilisateurs de données :
• Les flux application déjà identifiés dans la politique de sécurité du réseau préexistant du client ;
• Sous-réseau des serveurs Voix
• Flux de signalisation entre la passerelle média et le serveur d'appels, flux de signalisation entre
les téléphones IP et logiciels et le serveur d'appels ;
• Flux média entre la passerelle média et le serveur d'appels (cas d'un utilisateur de téléphone
TDM quittant ou recevant un message de messagerie vocale) ;
• Flux de gestion entre le serveur OmniVista 8770 et le serveur d'appels ;
• Flux IPsec provenant des applications client OmniVista 8770 et se dirigeant vers le serveur
OmniVista 8770.
• Flux de signalisation entre des applications softphones et le serveur d'appels OmniPCX
Enterprise ;
• Flux média entre les softphones et la passerelle média (appels externes ou appels vers des
postes TDM ou DECT), entre les softphones et le serveur d'appels lorsqu'on quitte ou qu'on
lit un message de messagerie vocale.
3.3.1.4.1.3 Bonnes pratiques concernant le plan d'adressage IP

Le plan d'adressage IP du LAN existant a été fourni au BP, et le plan d'adressage IP des nouveaux
éléments a été défini avec l'administrateur réseau du client, conformément aux bonnes pratiques
suivantes :
• Le serveur d'appels possède une adresse IP statique affectée.
• Une adresse IP statique est affectée aux cartes MGW.
• Le serveur OmniVista 8770 possède une adresse IP statique.
• La configuration IP des téléphones IP est téléchargée dynamiquement à partir d'un serveur DHCP.
Ce document part du principe que le serveur d'appels fournit ce service DHCP seulement à des
téléphones IP.
3.3.1.4.1.4 Plans d'adressage et désignation IP résultants

Le plan de désignation de l'installation est le suivant :

déploiement

Srvnet
OmniVista
8770
OmniPCX OmniPCX
serveur
Srv-mgmt Enterprise Enterprise
Serveur d'appel Media Gateway
srv-mgw PSTN
srv-router srv-csm Srv-mga
Srv-csA
Sous-réseau des utilisateurs de données
Srv-csB :
Routeur Dtcl Dtcl-net
Dtcl1
Dtcl2,...
IP
basculé Clavier
LAN Stations de travail Postes de travail standards
+ OmniVista 8770
Client Administrateur TDM
Opérateur TDM
vccl-router Téléphone IP Téléphone IP Téléphone SIP

Téléphones TDM
Vccl1,
vccl2,...
Vccl-net
Figure 3.7 : Plan de désignation réseau IP de la solution OmniPCX Enterprise résultant
Le plan d'adressage IP de l'installation est le suivant :

192.168.1.0/24
OmniVista OmniPCX
8770 Enterprise
serveur OmniPCX
Serveur d'appel
Enterprise
Srv-mgmt 192.168.1.21-23 Media Gateway
PSTN
192.168.1.31
192.168.1.1 192.168.1.32
Sous-réseau des utilisateurs de données :

192.168.2.1 192.168.2.0/24
192.168.2.11
192.168.2.12-...
IP
basculé
Postes de travail standards
LAN Postes de travail standards
+ OmniVista 8770
Administrateur TDM
Client
192.168.3. 11-14 192.168.3.15 Téléphones analogiques

Opérateur TDM
192.168.3.1 Téléphone IP Téléphone IP Téléphone SIP

Téléphones TDM
192.168.3.0/24
Figure 3.8 : Plan d'adressage réseau IP du déploiement OmniPCX Enterprise résultant
Pour faciliter la consultation, les données ont été récapitulées dans le tableau ci-dessous :

déploiement
tableau 3.7 : Adresses du réseau IP du déploiement OmniPCX Enterprise
Équipements adresse IP IP address Rôle / Position Version

determination
srv-router 192.168.1.1 Statique Acheminement
par défaut
srv-csm 192.168.1.21 Statique Rôle principal H1.301.27.b
srv-csA 192.168.1.22 Statique Principal H1.301.27.b
srv-csB 192.168.1.23 Statique Passif H1.301.27.b
srv-mgw 192.168.1.31 Statique 1-0 44.21
Srv-mga 192.168.1.32 Statique 1-2 44.21
Srv-mgmt 192.168.1.11 Statique 1-2 XP Pro SP2
dtcl-router 192.168.2.1 Statique
dtcl1 192.168.2.11 Statique Acheminement XP Pro SP2
par défaut
vccl-router 192.168.3.1 Statique
NOE IP (4068) 192.168.3.11 Dynamique Acheminement 4.10.71
par défaut
NOE IP (4038) 192.168.3.12 Dynamique 4.10.71
NOE IP (4028) 192.168.3.14 Dynamique 4.10.71
NOE IP (4018) 192.168.3.13 Dynamique 4.10.71
Poste SIP 192.168.3.15 Statique 1.42

Les conditions initiales des divers éléments du réseau sont identiques à celles qui prévalent à la fin de
l'étape ci-dessus (Installation du logiciel à la page 28) :
• Le CS est allumé, mais il n'est pas connecté au LAN. Un terminal série est connecté au port de
console série et un root utilisateur est connecté.
• La MGW est éteinte et elle n'est pas connectée au LAN.
• Le serveur OmniVista 8770 est allumé et l'administrateur système est loggé, il n'est pas connecté
au LAN.
3.3.1.4.3 Configuration d'OmniPCX Enterprise CS

Les aspects suivants sont configurés :
• Sécurité locale du serveur d'appels
• Sécurité et connectivité IP du serveur d'appels
La sécurité locale du serveur d'appels (p. ex. exigences relatives à l'efficacité du mot de passe) est
configurée en utilisant l'outil swinst.
La sécurité et la connectivité IP du serveur d'appels sont configurées avec l'outil netadmin.
Pour une description complète des outils swinst et netadmin, voir le document 8AL91011FRBA.

déploiement

1 Exécuter l'outil swinst L'outil swinst configure de
à partir de l'indicatif nombreux paramètres système
d'interpréteur de non liés à une configuration IP
commandes. (utiliser netadmin pour la
configuration IP).
2 Menu 2-6-1-1 Réglez la date et l'heure du Rubrique Mise à jour de la date
système sur votre date et votre et de l'heure du document
heure locales actuelles. 8AL91011FRBA
3 Menu 2-6-6-1 Définissez le mot de passe de Rubrique Gestion des comptes
chaque compte de manière à ce utilisateurs du document
qu'il soit difficile à trouver : 8AL91011FRBA
saisissez un mot de passe
Configuration des règles de
comportant au moins 9
mots de passe du serveur de
caractères, majuscules et
communication à la page 127
minuscules incluses, avec des
chiffres et des signes de
ponctuation ou des signes
spéciaux.
Recommandations générales à
suivre pour définir des mots de
passe efficaces :
4 Menu 2-6-6-2 Pour chaque compte, définir un

mot de passe valable, au
maximum, pendant 90 jours.
5 Menu 2-6-6-3 Définir le nombre maximum de
tentatives d’authentification sur 3.
6 Menu 2-6-6-6 Supprimer le compte client.
7 Taper ‘q’ puis faire Quitter swinst et revenir à
<Enter> pour quitter l'indicatif d'interpréteur de
swinst. commandes.
8 Changer –m 1 <user> Définir le nombre minimum de
jours entre chaque changement Cette étape devra être
de mot de passe à 1 journée exécutée encore à chaque
pour tous les utilisateurs : root, partition des deux CS et après
mtcl et adfexc (pas recommandé chaque mise à jour système,
pour les utilisateurs swinst). opération de mise à jour ou de
restauration.
3 La navigation dans les menus swinst et netadmin est toujours donnée à partir du menu de niveau
supérieur. Il n'est pas nécessaire de revenir au niveau supérieur avant de passer dans un autre sous-
menu.

déploiement

9 Mettre à jour le texte cat - > /etc/motd
de bannière dans le Cette étape devra être
Il s'agit d'un ordinateur officiel ap-
fichier motd exécutée encore à chaque
partenant à l'ORGANISME. Il est
réservé aux utilisateurs autorisés partition des deux CS et après
seulement. Les utilisateurs non chaque mise à jour système,
autorisés sont proscrits. Les utili- opération de mise à jour ou de
sateurs (autorisés ou non autori- restauration.
sés) ne peuvent prétendre à au-
cun respect implicite ou explicite
de leur vie privée. N'importe quel-
le utilisation de ce système peut
faire l'objet des mesures suivan-
tes : interception, surveillance,
enregistrement, audit, inspection
et compte rendu au personnel
responsable de la sécurité et au
personnel responsable de l'appli-
cation de la loi, et aux représen-
tants autorisés d'autres organis-
mes, nationaux et étrangers. En
utilisant ce système, les utilisa-
teurs consentent à accepter ces
mesures. Tout usage non autori-
sé ou inapproprié de ce système
peut entraîner des mesures disci-
plinaires administratives et des
sanctions civiles ou pénales. En
accédant à ce système, vous re-
connaissez et consentez à ac-
cepter les conditions de son utili-
sation. Quittez immédiatement le
système si vous n'acceptez pas
les conditions énoncées dans cet
avis.
Ctrl+D permet de mettre fin à la
saisie et de revenir à l'indicatif
d'interpréteur de commandes.
10 netadmin Configurer la pile de protocole IP

du serveur d'appels en utilisant la Ne mentionnez aucune
commande netadmin L'outil option pour pouvoir effacer
vous pose une série de correctement toutes les
questions. configurations IP antérieures.
Autre saisie : nom du nœud, Rubrique netadmin du docu-
adresse IP du nœud, etc. ment 8AL91011FRBA

déploiement

11 Menu 11 "security 11-1. Isoler une interface Les principes généraux de
menu" Ethernet et des accès TCP. fonctionnement sont énoncés
dans :
11-2-3 Ajouter/mettre à jour un
hôte de confiance. Rubrique Description détaillée
du document 8AL91012FRBA
11-5 Désactiver le support de re-
direction ICMP. Les instructions d'exécution sont
énoncées dans :
11-7 Activer SSH pour une confi-
guration Rubrique netadmin du docu-
ment 8AL91011FRBA
11-8 Configuration SSL
Les paramètres spécifiques sont
11-9-2 ‘Désactiver un port HTTP
énoncés dans Annexe A : Confi-
non sécurisé’
guration de la plateforme à la
page 83
12 Menu 18 "apply Appliquer toutes les modifications

modifications" et quitter netadmin en
retournant à l'indicatif
Menu 0 "quit"
d'interpréteur de commandes.
13 reboot Assurer l'activation appropriée de
tous les nouveaux paramètres et
redémarrer le CS principal à
partir de l'indicatif d'interpréteur
de commandes. Cela a pour effet
de lancer le service TELephony.
14 Quitter le CS principal et
débrancher la console série.
3.3.1.4.4 Configuration d'OmniPCX Enterprise CS dupliqué

Le CS dupliqué nécessite l'insertion d'une configuration IP minimale dans le tandem de redondance
avec le CS principal et bénéficie du mécanisme de copie de configuration complet implémenté entre
les deux CS.

déploiement

1 Étapes 8 et suivantes Connecter la console série à Rubrique netadmin du document
jusqu'à l'étape 12, à l'UC dupliquée (veille), l'allumer 8AL91011FRBA
partir de la et configurer sa pile IP comme il
configuration faudrait le faire pour le CS
d'OmniPCX principal à moins de le déclarer
Enterprise CS comme UC ‘B’ - voir l'étape 10 à
partir de la configuration
d'OmniPCX Enterprise CS).
Déconnecter le CS dupliqué et
rebrancher la console série au
CS principal.
2 Interconnecter les Connecter les CS principal et

deux CS en utilisant dupliqué à un concentrateur
un concentrateur Ethernet en utilisant des câbles
Ethernet 4 ports directs.
3 netadmin Se reconnecter en tant que root Rubrique netadmin du document
sur le CS principal. 8AL91011FRBA
Menu 10-2. 'Copy to
twin CPU (all)' Dupliquer la configuration com-
plète à partir du CS principal
vers le CS dupliqué en exécutant
netadmin sur le CS principal.
Quitter netadmin et revenir à
l'indicatif d'interpréteur de com-
mandes.
4 swinst Exécuter l'outil swinst pour Rubrique swinst du document

sauvegarder la configuration du 8AL91011FRBA
Menu : 2-4-1-1 “im-
système sur le disque local de
mediate backup on
l'UC.
cpu disk”
Une sauvegarde périodique est
programmée par défaut chaque
jour à 5 h 45.
5 Redémarrer le CS dupliqué pour

activer convenablement tous les
paramètres et lancer le service
de TELephony.
3.3.1.4.5 Configuration MGW

La MGW possède une configuration IP statique qui doit être spécifiée pour que la MGW puisse
recevoir sa configuration complète à partir du CS.

déploiement

1 Démarrer la MGW. Brancher la console série à la Rubrique Déclarer la passerelle
MGW en utilisant le câble média sur le serveur de
recommandé. communication du document
8AL91027FRBA
L'allumer.
Se connecter au port de la con-
sole série avec le compte admin
(admin / admin).
2 su Basculer sur le compte racine en

utilisant la commande su (sans
argument) pour accéder au
menu de la configuration IP.
3 passwd root Changer les mots de passe des
comptes admin et root (utiliser
passwd admin
crtl+D pour échapper).
Entrer des mots de passe diffici-
les à trouver : 9 caractères mini-
mum avec un mélange de lettres
majuscules et minuscules, des
chiffres et des signes de ponc-
tuation.
4 msconfig Définir la configuration IP MGW Rubrique Démarrage de la

passerelle média du document
Menu 2. Adresse IP
8AL91027FRBA
Menu 3. Masque réseau
Les paramètres spécifiques sont
Menu 4. Adresse de passerelle énoncés dans Annexe A : Confi-
guration de la plateforme à la pa-
Menu 5. Adresse de rôle CS
ge 83
Menu 6. Adresse de rôle de re-
dondance CS
5 Menu 0 "exit" Enregistrez les modifications.

'y' Entrer ‘y’ deux fois aux invites
‘Do you want to save now ? (y/n)’
'y'
et ‘Do you want to reboot now ?
(y/n)’ afin d'enregistrer les modifi-
cations et de redémarrer la MGW
et prendre ainsi les nouveaux pa-
ramètres en compte.
6 Brancher la MGW au Utiliser un câble Ethernet direct

concentrateur pour brancher la MGW au
Ethernet. concentrateur en connectant les
CS principal et dupliqué.

déploiement

7 Retirer le terminal La console série n'est plus
série. utilisée.
Toutes les opérations peuvent à
présent être exécutées à partir
de l'application OmniVista 8770.
3.3.1.4.6 Configuration IP du serveur OmniVista 8770

1 Configurer réseau IP Les paramètres IP ou des Rubrique Déployer Ipsec dans
avec des paramètres données Windows sont gérés une configuration serveur-
de sécurité de lors de l'installation Windows. clients distants de
l'OmniVista 8770 Les paramètres de sécurité 8AL90705FRAK
doivent être complétés (tunnels
Pour obtenir des informations de
IPsec).
configuration propres à cette,
voir Annexe A : Configuration de
Il est impossible de chan- la plateforme à la page 83.
ger le nom du serveur PC et du
suffixe DNS Windows après que
l'OmniVista 8770 a été installé.
2 Brancher le serveur Utiliser un câble Ethernet direct

8770 au pour brancher le serveur
concentrateur OmniVista 8770 au
Ethernet. concentrateur en connectant les
CS principal et dupliqué et la
MGW.

Les conditions des divers éléments de réseau à la fin de cette étape d'installation sont les suivantes :
• Les CS (principal et dupliqué) sont mis sous tension, mais rient n'est branché au port de la console
série. Les UC principale et dupliquée sont connectées au concentrateur qui implémente le LAN
isolé.
• La MGW est mise sous tension, mais rien n'est branché au port de la console série. La MGW est
connectée au concentrateur.
• Le terminal série n'est plus connecté.
• Le serveur OmniVista 8770 est mis sous tension. Il est connecté au concentrateur.
3.3.1.5 Configuration de la téléphonie

Pendant cette opération, la solution est apportée et configurée sur un paramétrage réseau distinct, en
utilisant un concentrateur pour l'isoler de toute "contamination" possible en provenance du LAN.
L'application de gestion OmniVista 8770 est principalement utilisée pour exécuter cette opération,
même si l'outil de ligne de commande ‘mgr’ peut également être utilisé. L'application du serveur
OmniVista 8770 inclut une application client OmniVista 8770 qui est installée dans le même temps. Il
s'agit d'un client "intégré" qui doit être utilisé pour cette opération.

déploiement

Les conditions initiales des divers éléments du réseau au début de cette étape d’installation sont
identiques à celles qui prévalent plus haut (voir Conditions finales à la page 48) :
• Les CS (principal et dupliqué) sont mis sous tension, mais rient n'est branché au port de la console
série. Les UC principale et dupliquée sont connectées à un concentrateur qui est isolé du LAN.
• La MGW est mise sous tension, mais rien n'est branché au port de la console série. Elle est
connectée au concentrateur (isolée du LAN).
• Le serveur OmniVista 8770 est mis sous tension. Il est connecté au concentrateur.

déploiement
3.3.1.5.2 Directives concernant l'administration CS

1 Configurer Exécuter les opérations de post- Rubrique Post-installation du
l'OmniVista 8770 pour installation de l'OmniVista 8770 : serveur 8AL90704FRAN
accéder aux CS.
1. Déclarer le PBX.
2. Télécharger la configuration
PCX (synchroniser).
3. Configurer les tâches
programmées : sauvegardes,
rapport de taxation, création
de tâches, ...
4. Déclarer des utilisateurs avec
des autorisations associées.
5. Configurer des profils de coût,
des seuils d'alarme sur des
frais d'appels, des canaux de
notification d'alarme
(messages électroniques, ...)
6. Sauvegarder la configuration
et enregistrer la sauvegarde.
2 Lancer une console Se connecter au CS principal en Rubrique Mise en œuvre de

distante sur un CS utilisant l'application de la Connexion SSH du document
principal. console distante et se logger en 8AL90705FRAK
tant que "root" :
1. Lancer l’application
Configuration, puis cliquer sur
l’onglet Réseaux.
2. Sélectionner nmc > Réseau >
Sous-réseau.
3. Sélectionner le PCX.
4. Via le menu contextuel,
cliquer sur Connecter.
5. Renseignez les attributs
suivants :
• Nom d'utilisateur : compte
pour se connecter au PCX
(exemple : mtcl)
• Mot de passe : mot de
passe associé au nom
d’utilisateur
6. L’application MindTerm est
utilisée pour se connecter au
PCX

déploiement

3 Activer et configurer A l'aide de mgr, configurer le Rubrique Gestion SNMP du
un protocole SNMP. serveur d'appels pour activer le document 8AL91011FRBA
service SNMP avec un protocole
Pour les valeurs spécifiques,
SNMPv3 :
voir : Annexe A : Configuration
1. Déclarer des utilisateurs de la plateforme à la page 83
SNMPv3.
2. Définir la gravité SNMP des
incidents locaux
3. Déterminer, à l'aide de filtres,
les types d'incidents qui ont
évolué en trap SNMP.
4. Déclarer le superviseur du
SNMP.
5. Configurer l'identité de l'agent
SNMP local.
6. Démarrer l'agent SNMP.
4 Configurer un serveur Configurer le serveur DHCP pour Rubrique DHCP sur IPv4 du
DHCP pour des les postes IP en utilisant le choix document 8AL91047FRAA.
postes de téléphone de l'outil mgr "DHCP
Voir Les attaquants éventuels à
IP. Configuration".
la page 21 pour les paramètres
spécifiques.
5 Configurer un Créer une liste de postes/ Rubrique Droit d'accès à la

contrôle d'accès utilisateurs OmniVista 8770 gestion OmniPCX via 8770 du
CMIP. autorisés pour configurer le PBX, document 8AL91002FRBA
définir les mots de passe du
Voir la note d'avertissement dans
poste et attribuer des droits
Configuration du téléphone à la
d'utilisateur (aucun,
page 73 pour en savoir plus sur
configuration, sécurité).
les recommandations.
6 exit [quitter] Fermer l'application de la

console distante et continuer en
utilisant l'interface d'application
OmniVista 8770.
7 Gérer la carte MGW. Déclarer la carte GD sur le CS : Rubrique Déclarer la passerelle
crystal, coupler, MAC address média sur le serveur de
communication du document
8AL91027FRBA
8 Installer le service de La messagerie vocale 4645 est Rubrique 4645 VMS du
messagerie vocale. intégrée au CS. Utiliser document 8AL91047FRAA
l'application OmniVista 8770 (ou
mgr) pour déclarer la messagerie
vocale au CS et configurer
l'adresse IP du CS. Les guides
vocaux spécifiques à la fonction
de messagerie vocale sont alors
chargés sur le disque local.

déploiement
3.3.1.5.3 Questions liées à la sécurité en ce qui concerne l'administration du CS

1 Gérer le DISA. Activer l'accès DISA sur les Rubrique DISA du document
lignes désirées, déclarer un 8AL91049FRAA
numéro de service, configurer
les diverses horloges et les
catégories contrôlant les droits
d'accès. Activer un DISA de
verrouillage temporaire et
déclarer un préfixe de
déverrouillage DISA et un
réglage d'alarme.
2 Gérer le service de Réserver les droits d'accès à la Rubrique 4645 VMS du
messagerie vocale. messagerie vocale aux lignes document 8AL91047FRAA
externes (classe de service),
Les valeurs spécifiques utilisées
activer la taxation de tous les
sont précisées dans Les atta-
appels de messagerie vocale
quants éventuels à la page 21
sortants, définir le mot de passe
de l'administrateur, désactiver les
mots de passe courants et la
durée de validité maximale des
mots de passe.
3 Administration de la Aucune action n'est requise, car Rubrique maoview du document
téléphonie du compte la taxation des opérations de 8AL91011FRBA
gestion de la téléphonie est
Rubrique Historique du docu-
toujours activée. Utiliser
ment 8AL91012FRBA
maoview pour afficher des
dossiers de gestion du
téléphone.
Les commandes shell sont con-
nectées en utilisant syslog.
4 Contrôler les appels. Configurer l'interdiction d'appels Rubrique Gestion via 8770 du
en définissant les postes document 8AL91002FRBA
téléphoniques et la Classe de
services d'accès au réseau
public pour contrôler des appels
téléphoniques entrants et/ou
sortants.
5 Compte DISA La taxation DISA est toujours
activée.
6 Taxer les appels. La taxation de tous les appels
est toujours activée.
7 Gérer le verrouillage Définir le préfixe de verrouillage/ Verrouiller/déverrouiller une
téléphone. déverrouillage et activer rubrique du document
individuellement des utilisateurs 8AL91003FRBA
pour verrouiller leur téléphone.

déploiement
3.3.1.5.4 Directives concernant l'administration 8770

1 Gérer la taxation. Décrire la société en termes Rubrique Taxation/Trafic/VoIP
d'unités organisationnelles pour du document 8AL90703FRAN
la répartition des dossiers de
taxation et l'analyse du centre
de coûts.
2 Gérer les alarmes. Faire en sorte que les Rubrique Alarmes du document
administrateurs soient avertis en 8AL90703FRAN chapitre 6
temps réel des divers Alarmes
événements en optimisant la
transmission des événements et
le filtrage au niveau de
l'OmniPCX Enterprise et de
l'OmniVista 8770.
3 Gérer d'autres Dépend du contexte client
applications. explicite.
3.3.1.5.5 Questions liées à la sécurité en ce qui concerne l'administration de l'OmniVista 8770

1 Gérer l'identification et Sur l'OmniPCX Enterprise CS, le Rubrique Sécurisation de
l’authentification des contrôle d'accès aux applications l'accès à OmniPCX Enterprise
administrateurs de de gestion a déjà été configuré à du document 8AL90705FRAK
téléphonie. l'étape 0.
S'assurer que le nom approprié
du serveur OmniVista 8770 est
saisi sur l'OmniPCX Enterprise
CS.
Le nom doit obligatoire-

ment être saisi en MAJUSCU-
LES.
2 Gérer le contrôle Définir l'administrateur Rubrique Comment sécuriser

d'accès aux fonctions OmniVista 8770 pouvant les données OmniVista 8770
d'administration de la accéder aux informations. du document 8AL90705FRAK et
téléphonie. rubrique Sécurité du document
Activer SSH/SFTP pour les ac-
8AL90703FRAN
cès entre l'OmniVista 8770 et
l'OmniPCX Enterprise et contrô-
ler quels utilisateurs de l'Omni-
Vista 8770 peuvent utiliser cette
fonction.

déploiement

3 Accès anonyme au Limiter la catégorie Rubrique Sécurité du document
protocole LDAP d'informations à laquelle on peut 8AL90703FRAN
accéder par le biais d'accès
anonymes :
• DONNÉES PCX : pas
d'authentification, les
informations telles que
l'adresse IP du poste et le
mot de passe de verrouillage
sont affichées.
• OmniVista 8770DONNÉES :
pas d'accès anonyme à la
liste rouge.
3.3.1.5.6 Étapes finales avant de mettre le système en exploitation

1 Effectuer une Établir une base de référence Rubrique swinst du document
sauvegarde complète. pour la configuration du système 8AL91011FRBA
avant la connexion au LAN.
Cette configuration est réputée
pour être exempte de défauts et
de modifications malveillantes.
2 Se déconnecter. Se déconnecter du compte
administratif sur le serveur
OmniVista 8770.

Après ces opérations de configuration, les divers éléments du réseau se trouvent dans les conditions
suivantes :
• Les CS (principal et de secours) sont sous tension et sont connectés au concentrateur qui
implémente le LAN isolé.
• La MGW est allumée - un terminal série est connecté au port de console série - et connectée au
concentrateur.
• Le serveur OmniVista 8770 est sous tension, connecté au concentrateur.
3.3.1.6 Démarrage
Voici la dernière opération à exécuter pour transformer un système en cours d'installation sur un
système opérationnel Comme ce fut le cas lors des opérations précédentes, cette tâche incombe à un
ACSE.

Les conditions initiales des divers éléments du réseau sont les mêmes que celles présentées plus
haut :
• Les CS (principal et de secours) sont sous tension et sont connectés au concentrateur qui
implémente le LAN isolé.
• La MGW est allumée - un terminal série est connecté au port de console série - et connectée au
concentrateur.

déploiement
• Le serveur OmniVista 8770 est sous tension, connecté au concentrateur.
3.3.1.6.2 Mettre le système dans un état pleinement opérationnel

1 Établir les bases de Enregistrer la configuration Voir la section Liste de
référence de la actuelle des divers composants. vérifications manuelle à la page
configuration. 50.
2 Vérifier la Comparer la configuration Configuration définie pendant la
configuration. enregistrée avec la configuration phase de planification.
prévue.
Corriger la configuration si elle
ne concorde pas.
3 Connecter les Supprimer le concentrateur Bleu du réseau.

composants de la utilisé pour le paramétrage LAN
solution au LAN du temporaire.
client.
Brancher le CS, la MGW et le
8770 au réseau IP dans la confi-
guration définitive.
4 Faire un test d'appel Passer un simple appel à partir

vocal. d'un téléphone IP vers un poste
d'opérateur.
5 Installer le client Installer l'application client Rubrique Installation d'un
8770. OmniVista 8770 sur les postes client du document
de travail prévus : 8AL90704FRAN
• Installer une machine virtuelle
java si nécessaire.
• Exécuter l'assistant
d'installation.
6 Modéliser la Adapter les guides de sécurité

personnalisation. de l'administrateur et de
l'utilisateur final et les distribuer
aux destinataires respectifs.

Les conditions des divers éléments de réseau à la fin de cette étape de démarrage sont les suivantes :
• Les CS (principal et de secours) sont mis sous tension, aucun serveur n'est loggé aux systèmes.
• La MGW est sous tension, mais pas connectée. La console série a été déconnectée. Le LAN est
connecté.
• Le serveur OmniVista 8770 est mis sous tension, mais pas connecté. Le serveur OmniVista 8770
est connecté au LAN.
• Certains clients OmniVista 8770 ont été installés sur le réseau.
• Le concentrateur et les câbles utilisés pour implémenter le LAN isolé ont été supprimés.
3.3.1.6.4 Liste des flux IP entre les 3 zones

Si un élément de filtrage est inséré dans le LAN à la place du commutateur LAN (commutation
couches 2 et 3), il faut prévoir des informations plus spécifiques que celles répertoriées dans la Matrice
d'interconnexions à la page 33.

déploiement
Pour une liste complète des flux IP de la solution, reportez-vous à la rubrique Services IP et numéros
de ports du document 8AL91047FRAA.
3.3.2 Essais de réception : transition vers l'état opérationnel

Les essais de réception comportent généralement deux phases :
• L'exécution d'essais de fonctionnement visant un ensemble de fonctions particulièrement critiques
pour le client. Cela équivaut à un test de la boîte noire au cours duquel le système est utilisé tel
quel sans examiner sa configuration.
• Une vérification détaillée de la configuration afin de prendre en compte d'autres aspects non testés
lors de la phase d'essai de fonctionnement. Comme dans le cas du test de la boîte blanche, cette
étape peut donner lieu à d'autres essais plus fonctionnels en vue d'assurer le bon fonctionnement
du système dans les cas critiques.
Ce chapitre traite seulement de la vérification détaillée de la configuration.
3.3.2.1 Liste de vérifications manuelle

La vérification détaillée de la configuration est réalisée comme une séquence d'opérations d'affichage
(décrite ci-dessous) menée à bien manuellement à partir du client OmniVista 8770. Les opérations en
question impliquent l'application OmniVista 8770, soit directement, soit en tant que moyen de
connexion au CS sur lequel des utilitaires de ligne de commande (p. ex. netadmin, mgr) sont
invoquées.
Les valeurs de configuration prévues sont répertoriées dans Annexe A : Configuration de la

plateforme à la page 83. Comparez-les avec la valeur actuelle et examinez chaque écart par rapport
à la politique de sécurité de la société.
Vérifiez la configuration téléphonique de l'OmniPCX Enterprise en appliquant l'une des méthodes
suivantes :
• Ouvrez l'interface GUI conviviale offerte par le client OmniVista 8770 en utilisant une application de
configuration, onglet PCX ;
Figure 3.9 : Hiérarchie de la configuration 8770

déploiement
Pour la configuration opérationnelle du téléphone avec OmniVista 8770, voir la rubrique Gestion
via mgr du document 8AL91002FRBA.
Il s'agit de l'interface privilégiée, car toutes les étapes peuvent être effectuées à partir de
l'OmniVista 8770, y compris la vérification de la configuration de l'OmniVista 8770.
• La ligne de commande mgr accessible après ouverture d'une session SSH sur le CS et connexion
en tant que ‘mtcl’.
Figure 3.10 : Hiérarchie de la configuration mgr
Pour plus de détails sur la configuration via mgr, voir la rubrique Gestion via 8770 du document
8AL91002FRBA.
Les lignes de commande de l'OmniPCX Enterprise sont toujours accessibles pour exécuter
plusieurs contrôles de niveau système sur le CS et la MGW. Les lignes de commande peuvent être
utilisées via une connexion de console distante initiée à partir d'un client OmniVista 8770.
Les interfaces OmniVista 8770 et mgr présentent les paramètres organisés dans une structure
hiérarchique. Les paragraphes qui suivent donnent le détail de leur emplacement dans la structure
hiérarchique et la valeur recommandée, ce pour chaque paramètre de configuration de téléphone.
3.3.2.1.1 Vérification des versions du logiciel

Connectez-vous à l'application OmniVista 8770 et vérifiez la version de l'application :
Éléments Commande à exécuter Résultats escomptés Méthode de correction

vérifiés
Informations de L'identifiant/le mot de Bureau Windows Voir avec l'administrateur
connexions passe Windows sont système.
Windows mentionnés dans Annexe
A : Configuration de la
plateforme à la page 83
Informations de Lancer l'application Voir avec l'administrateur
connexion 8770 OmniVista 8770 et se 8770.
logger tel que décrit
dans :
Rubrique Interface du do-
cument 8AL90703FRAN

déploiement
Éléments Commande à exécuter Résultats escomptés Méthode de correction

vérifiés
Version, client et A partir d'un client Demander au BP
serveur 8770 OmniVista 8770 dans le d'installer la version
menu d'Aide, sélectionner convenue.
l'entrée A propos de. Le dernier correctif installé
doit être :
8770-500705_PatchM_n
mc50jar_Cli-
ent=crms00171182
Se connecter au Lancer l’application Rubrique Configuration

CS à partir de Configuration, puis cliquer du document
l'OmniVista 8770 sur l’onglet Réseaux. 8AL90703FRAN
Sélectionner nmc > Ré-
seau > Sous-réseau
Sélectionner le PCX à gé-
rer, puis à partir du menu
contextuel, sélectionner la
commande Connecter.
Informations de Ouvrez une session en Ligne d'invite de Voir avec l'administrateur

connexion CS tant que mtcl. commande PBX.
Informations sur Pendant l'étape de Demander au BP
la version du CS connexion, la version d'installer la version
installée s'affiche. convenue.
Exemple d'informations
affichées
Taper ‘exit‘ à l'invite pour se déconnecter.
3.3.2.1.2 Vérification de la sécurité du CS et des paramètres IP

Connectez-vous au CS à partir du client OmniVista 8770 via une console distante et ouvrez une
session en tant qu'utilisateur ‘root’.
Éléments vérifiés Commande à exécuter Résultats escomptés Méthode de correction

Configuration IP netadmin –m Rubrique netadmin du
document
menu 2 ‘Show configu-
8AL91011FRBA
ration’
Isolation de l'interface netadmin –m Les accès internet au Mettre à jour la

Ethernet PBX sont actuellement configuration afin qu'elle
menu 11-1
SÉCURISÉS. concorde avec les
informations figurant
dans Les attaquants
éventuels à la page 21.

déploiement

Accès Internet netadmin –m Liste des hôtes de Mettre à jour la
restreints confiance configuration pour
menu 11-2
qu'elle concorde avec
Les attaquants
éventuels à la page 21
Configuration SSH netadmin –m La sécurité SSH est Mettre à jour la
actuellement définie. configuration pour
menu 11-7
Annexe A :
Configuration de la
plateforme à la page
83
Mot de passe de Swinst menu 2-6-6-2 Durée de vie du mot de Mettre à jour la
l'utilisateur passe : 90 jours (sauf configuration pour
Swinst menu 2-6-6-3
pour le compte swinst) qu'elle concorde avec
Annexe A :
Nombre de tentatives
Configuration de la
avant blocage : 3
83
Configuration du netadmin –m Le port HTTP est Mettre à jour la
serveur Web actuellement fermé. configuration pour
menu 11-9
Annexe A :
Configuration de la
83
Vérifier les hôtes de route –n Les chemins répertoriés Mettre à jour la
confiance. doivent correspondre configuration pour
aux hôtes de confiance qu'elle concorde avec
déclarés. Annexe A :
Configuration de la
83
Écouter le port TCP netstat –tlpn Le port est en état Si le service est absent,
ouvert. d'écoute et correspond redémarrer le système.
au service IP associé. Si un service non prévu
est présent, contacter le
BP.
Écouter le port UDP netstat –ulpn Le port est en état
ouvert. d'écoute et correspond
au service IP associé.
L'accès SSH est restreint par l'authentification administrateur. Pour la configuration du mot de passe
administrateur, voir la section Bonnes pratiques concernant le plan d'adressage IP à la page 34
OmniPCX Enterprise CS Etapes de configuration 3, 4, 5 et 6.
3.3.2.1.3 Vérification de la configuration du téléphone CS

Connectez-vous au CS à partir du client OmniVista 8770 via une console distante et ouvrez une
session en tant qu'utilisateur ‘mtcl’.

déploiement

Le téléphone est en Rôle main ou stand-by. Utiliser la commande
cours d'utilisation. bascul pour modifier le
rôle.
Cohérence du fichier spadmin / menu 3 File OK Demander au BP de
actif réinstaller les fichiers
OPS.
Initialisation des cartes config all En état de SERVICE Vérifier la connectivité,
demander au BP de
Les cartes sont présen-
vérifier la configuration
tées dans le Tableau 3
du PBX.
Agencement du châssis
de la passerelle média
Compresseurs MGW compvisu lio Déclaration des Demander au BP de

compresseurs vérifier la carte fille et la
config 18
configuration du PBX.
En état de SERVICE
Demander au BP de vé-
rifier la configuration de
la messagerie vocale
(fichier eva.cfg, …)
Initialisation OmniVista vmail Etat de la liaison OK, Réinitialiser la carte

4645 numéro d'annuaire 18-0.
listerm <cr><cpl>
Mettre la liste des nu- Demander au BP de vé-
méros dans un état ac- rifier la configuration du
tif. PBX.
Les postes sont réper-
toriés dans le Tableau 9
Affectation des postes
téléphoniques dans un
système évalué
Initialisation du poste ippstat menu 3 Déclaration des postes Demander au BP de

IP vérifier la configuration
ippstat menu 11
du PBX.
Connexion des postes
IP Demander au BP de vé-
rifier la configuration du
PBX.
Déclaration des trkvisu all Déclaration des Demander au BP de

faisceaux faisceaux vérifier la configuration
du PBX.
Les paragraphes qui suivent traitent des fonctions nécessitant une attention spéciale pour garantir la
sécurité (seuls les paramètres qui peuvent être configurés de manière utile pour la sécurité sont décrits
ici).
3.3.2.1.4 Poste alarme

Il est recommandé d'utiliser cette fonction.

déploiement
Lorsqu'un événement suspect se produit, une alarme est immédiatement transmise au poste
téléphonique de l'administrateur.
Parameters Stratégie Valeurs recommandées

Poste alarme System > Alarm Set > Alarm Set Numéro de poste de l'administrateur
Dir.No.
Les postes d'alarme sont identifiés :
Les attaquants éventuels à la page
21
3.3.2.1.5 DISA
Blocage temporaire DISA activé System > Other System Param. Oui
> DISA Parameters
Code d'accès DISA Trunk Groups > Trunk Group Chaîne de 4 chiffres entre 0 et 9.
Utiliser un code spécifique pour
chaque faisceau en utilisant
DISA.
Préfixe de déverrouillage DISA Translator > Prefix Plan > Entrer un numéro de préfixe
Number compatible avec le plan de
numérotation existant (utiliser un
Translator > Prefix Plan > Prefix
seul préfixe de déverrouillage
Meaning
différent pour chaque faisceau
utilisant DISA).
Dans la liste, sélectionner le pa-
ramètre : Unlock DISA.
Délai de verrouillage DISA, System > Timers >Timer No. 60

valeurs minimales et maximales 257: used to manage the
1440
(étapes de 1 minute dans les minimum locking duration
deux cas)
System > Timers > Timer No.
258: used to manage the maxi-
mum locking duration
Poste DISA autorisé à se Catégories > Catégories Mettre à 1.

déverrouiller d'exploitation téléphoniques >
Déverrouillage DISA autorisé
3.3.2.1.5.1 Messagerie vocale

Validité du mot de passe Applications > Voice Mail > 60
Descend hierarchy > 4645 VM
Classes of> Password Validity
(jours)
Mot de passe administrateur Applications > Voice Mail > Chaîne de 7 chiffres entre 0 et 9,
Descend hierarchy > 4645 VM au minimum. Devrait également
Global Parameters > inclure les lettres A à D si le
Administrator Password poste TUI de l'administrateur le
permet.

déploiement

Passer l'étape du mot de passe. Applications > Voice Mail > Non
Classes of Services > Skip
Password
Mot de passe de l'utilisateur User > Secret Code Chaîne de 7 chiffres compris
entre 0 et 9. Inclut également les
lettres A à D si le poste TUI de
l'utilisateur le permet. Définir un
code différent pour chaque
utilisateur.
Mot de passe trivial autorisé Applications > Voice Mail > False
Global Parameters > Trivial
Password Allowed
3.3.2.1.5.2 Verrouillage du téléphone

Valeur du mot de passe User > Secret Code Chaîne de 4 chiffres entre 0 et 9,
au minimum. Devrait également
inclure les lettres A à D si le
poste TUI de l'administrateur le
permet.
Bloquer le poste si le mot de System > Other system Param. 3
passe est incorrect. > No. Of Secret Code Errors
Débloquer le poste après un System > Other system Param. 1 (par tranches de 10 minutes)
certain délai. > Period for Disabled Code
3.3.2.1.5.3 Identification des téléphones IP

Lorsque tous les téléphones ont été lancés, vérifiez s'il y a des adresses MAC déclarées, mais non
utilisées : dans SSH, tapez ippstat, puis 3. La liste des téléphones IP avec leur adresse MAC
s'affiche, de même que les informations concernant l'adresse IP. Lorsqu'une adresse MAC déclarée
n'est pas utilisée, la colonne de l'adresse IP affiche 0.0.0.0.
3.3.2.1.6 Vérification de la configuration MGW

Connectez-vous CS à partir du client OmniVista 8770 via une console distante.

Configuration IP ippstat menu 21-1-0-1 Une commande est
transmise à la MGW en
vue d'ouvrir les services
telnet.
telnet_al<MGW IP@> Ouvre une console
distante sur la MGW.
Se logger en tant Indicatif d'interpréteur
qu'utilisateur "admin". de commandes

déploiement

Exécuter su pour Indicatif d'interpréteur
devenir 'root' de commandes de
super utilisateur
Mgconfig Mode de configuration Reconfigurer
IP = statique, adresse conformément à
IP correcte, masque de Introduction à la page
sous-réseau IP, adresse 15
routeur, adresses CS
3.3.2.1.7 Vérifiez les paramètres OmniVista 8770
3.3.2.1.7.1 3.2.1.7.1 Contrôle d'accès aux fonctions d'administration du téléphone

Chaque administrateur OmniVista 8770 change les mots de passe en utilisant de bonnes pratiques.
Voir la rubrique Stratégie de sécurité par mot de passe du document 8AL90703FRAN.
Le changement des mots de passe se fait par l'intermédiaire de l'application de l'annuaire.
Pour l'OmniVista 8770 en tant qu'unité intégrale
Contrôler la configuration OmniVista 8770 consiste à exécuter les opérations suivantes :
• Sur le serveur OmniVista 8770 et tous les postes de travail client OmniVista 8770 :
• Assurez-vous que tous les correctifs de sécurité Windows sont installés, en exécutant, par
exemple, l'outil Microsoft Baseline Security Analyzer. Installez les correctifs de sécurité qui
feraient défaut.
• Vérifiez si les comptes utilisateur non utilisés sont désactivés.
• Vérifiez si les mots de passe par défaut de l'usine n'accordent plus d'accès.
• Vérifiez si la base de données des signatures anti-virus est à jour.
• Vérifiez si le statut du pare-feu et sa configuration concordent avec la politique de sécurité
réseau du client.
• Sur les postes de travail client OmniVista 8770 :
• Assurez-vous que les postes de travail sont physiquement protégés et qu'ils peuvent être utilisés
exclusivement par des administrateurs.
• Le reste de cette section concerne le serveur OmniVista 8770 :
• Assurez-vous que seuls les services prévus sont activés et actifs.
• Assurez-vous que les mécanismes de mise à jour automatique sont désactivés pour Windows et
Java.
• Vérifiez si les instructions de contrôle d'accès LDAP concordent avec la politique de contrôle
d'accès prévue.
• Vérifiez que les droits d'accès de l'application implémentent correctement la politique de sécurité
8770.
• Vérifiez si IPsec est convenablement activé pour rejeter toute connexion en texte clair à partir
des postes de travail client 8770.
• Assurez-vous que tous les services requis sont lancés : serveur LDAP, serveur Sybase,
gestionnaire de service du serveur 8770 et serveur web.
• Démarrez un client 8770 et connectez-vous en tant qu'administrateur d'application. Vérifiez la liste
des applications disponibles en sélectionnant le menu Aide > A propos de. Vérifiez la présence de
ces applications dans la barre d'icônes. Lancez chaque application et vérifiez-les en ouvrant
l'arborescence, en lançant une recherche et en affichant la grille. Vérifiez l'aide du système de

déploiement
gestion de réseau OmniVista 8770. Exécutez ces opérations à partir d'un client PC distant et via
une session Web.
• Vérifiez si l'accès de gestion 8770 se connecte correctement et si les autorisations d'accès sont
bien établies.
• Au niveau de l'Annuaire système, procédez à une synchronisation complète et vérifiez si tous les
postes téléphoniques (extensions) ont été téléchargés correctement.
• Si l’annuaire entreprise est utilisé, vérifiez les informations suivantes :
• le champ Poste principal est renseigné pour les utilisateurs disposant d'une entrée annuaire et
d'un poste sur le PCX,
• absence d'homonymes (détectés par le module d'alarmes),
• la possibilité de connexion à l’annuaire entreprise et de lancement d’un appel automatique par
un navigateur Internet. En cas de dysfonctionnement, vérifiez les UID des utilisateurs et l’attribut
STAP du poste (autorisé, décroché, interdit).
• Pour chaque PCX, vérifiez le lancement de SHH et l'accès à la configuration.
• Taxation : vérifiez la remontée des tickets à l’organisation, puis générez un rapport de Taxation.
• Analyse de trafic : générez un rapport d’analyse de trafic.
• Alarmes : vérifiez, pour chaque PCX, la remontée des alarmes ainsi que la remontée des
événements si la synchronisation (OmniPCX Enterprise vers le 87xx) est cochée coté PCX.
• Topologie, vérifiez la remontée de la topologie du réseau de PCX.
• Planificateur : vérifiez le statut des tâches planifiées par défaut et celui des tâches planifiées par
l'administrateur. La sauvegarde de la base de données et du PCX doit être planifiée.
• Maintenance
• Dans l'application Maintenance, exécutez la tâche de sauvegarde immédiate. Cela a pour effet
de télécharger une sauvegarde immédiate entre le PCX et le système de gestion réseau
OmniVista 8770.
Une opération de sauvegarde doit préalablement être effectuée à l’aide de Swinst à partir
d'OmniPCX Enterprise CS.
• Exécutez une opération de sauvegarde du système de gestion réseau OmniVista 8770.
• Licence : Ouvrez le menu Aide > A propos de et vérifiez si le nœud de déclaration a bien été trouvé
et si la quantité d'utilisateurs gérés ne dépasse pas la limite définie par la licence.
La rubrique Vérification de l’installation du serveur du document 8AL90704FRAN décrit le
processus plus en détail.
3.4 Administration sécurisée du système

Une fois le système is opérationnel, sa sécurité doit être garantie par une surveillance constante des
journaux d'opérations et contre un paysage de menaces en évolution et la découverte de nouvelles
vulnérabilités. Cette section liste les responsabilités de l'administrateur et les zones à surveiller en vue
d'assurer une sécurité permanente du système dont il a la charge.
Des administrateurs de deux origines distinctes doivent collaborer autour de la solution de
communication OmniPCX Enterprise :
• L'ACSE, un employé issu d'un partenaire commercial Alcatel-Lucent Enterprise réalise les
opérations de configuration, de maintenance, de mise à jour, de mise à niveau et de dépannage.
• Les administrateurs employés par le client effectuent des tâches administratives téléphoniques
comme la fourniture de services aux utilisateurs et l'observation du trafic, ainsi que des tâches liées
à la sécurité comme la gestion du réseau et les audits en matière de sécurité physique.

déploiement
La responsabilité incombant aux administrateurs est grande, en raison des privilèges d'accès
étendus : les employeurs leur font confiance et s'appuient sur leur professionnalisme pour agir de
manière responsable au mieux des intérêts des systèmes de communication administrés.
3.4.1 Gestion des modifications de configuration

Toutes les modifications des paramètres de configuration, surtout les paramètres liés à la sécurité,
doivent être surveillés : pourquoi ont-ils été modifiés, quand, par qui, par qui la modification a-t-elle été
supervisée, comment la modification a-t-elle été mise en place, toutes les observations résultant de
cette modification (p. ex. réactions des utilisateurs). Une commission de révision des modifications
vérifiera les modifications proposées. Les modifications refusées ne seront pas mises en place, mais le
motif du refus sera enregistré avec la modification proposée.
Cette procédure de gestion des modifications est décisive pour élabore une référence en matière de
sécurité qui soit stable et fiable sur le long terme, lorsqu'un audit découvre une divergence de
configuration correspondant à une déviation indésirable par rapport à la norme de sécurité et à laquelle
il faut remédier.
Au regard de la sécurité, tous les aspects suivants voient leurs modifications gérées de la même
manière.
3.4.2 Sécurité physique

La continuité de la sécurité physique doit être assurée sur le long terme. Ces audits réguliers
concernant la mise en place actuelle de la politique relative à la sécurité physique sont requis, à une
fréquence minimale d'une fois par an. Au moment de l'audit, l'utilisation correcte des journaux de bord
et de leur contenu est contrôlée, les alarmes des portes sont vérifiées, les appareils d'enregistrement
vidéo et les archives sont vérifiés, etc., afin qu'une politique relative à la sécurité puisse être réellement
mise en place.
Une attention spéciale doit être accordée à la sécurité physique du commutateur de cœur de réseau
(ou pare-feu) : emplacement fermé correct, contrôle de tous les accès, aucun câblage indésirable.
La sécurité physique de la pièce contenant les postes de travail des administrateurs est contrôlée.
La sécurité physique des équipements réseau dans les zones situées hors du centre de données est
vérifiée, tout comme : armoires d'étage verrouillées, accès au câblage entre les étages protégé, etc. Si
les softphones sont déployés, des pratiques similaires relatives à la sécurité physique s'appliquent
pour les Sous-réseau des utilisateurs de données, comme pour le Sous-réseau des utilisateurs voix.
3.4.3 Architecture et configuration réseau

Afin d'assurer une sécurité continue de la solution OmniPCX Enterprise, les administrateurs doivent
vérifier que l'architecture réseau définie sur l'installation demeure conforme aux prévisions :
• Le réseau IP est divisé en trois sous-réseaux IP interconnectés et les flux autorisés en provenance
et à destination des éléments de la solution OmniPCX Enterprise sont caractérisés correctement
par les informations suivantes :
• Adresse IP source
• Adresse IP de destination
• Transport protocol [Protocole de transport]
• Source port
• Port de destination.
• Aucun équipement imprévu n'est connecté au sous-réseau des utilisateurs voix,
• IPsec est obligatoirement activé sur les postes de travail des administrateurs OmniVista 8770 pour
protéger leur trafic vers le centre de donnée,

déploiement
• Afin d'empêcher d'autres postes de travail non-protégés d'utiliser l'application client OmniVista
8770, le serveur OmniVista 8770 doit refuser l'ensemble du trafic de gestion qui n'est pas protégé
par IPsec et IPsec n'est autorisé qu'en provenance de l'ensemble pré-déterminé d'adresses IP des
postes de travail des administrateurs,
• Des règles de routage (et éventuellement un taux limitant ou filtrant les règles) sont prévues dans le
commutateur de cœur de réseau IP.
À des fins de contrôle, la liste des flux IP autorisés se trouve dans la Matrice d'interconnexions à la
page 33.
3.4.4 Postes de travail des administrateurs

Afin de garantir cette sécurité sur le long terme, d'autres mesures de sécurité au-delà de la sécurité
physique et un tunnel IPsec doivent être régulièrement vérifiés sur le serveur OmniVista 8770 et sur les
postes de travail des administrateurs utilisant l'application client OmniVista 8770 :
• Vérifiez que les versions du serveur OmniVista 8770 et de l'application client OmniVista 8770 sont
celles prévues.
• Vérifiez que les correctifs de sécurité Windows soient installés, à l'aide par exemple de l'outil
Microsoft Baseline Security Analyzer (MBSA) . à l'aide par exemple de l'outil Microsoft Baseline
Security Analyzer (MBSA) . Installez les correctifs de sécurité qui feraient défaut.
• Mettez à jour fréquemment la base de données de signature des anti-virus.
• Comparez le statut du pare-feu et sa configuration avec la politique de sécurité locale.
• Assurez-vous que tous les services actifs sur le serveur OmniVista 8770 correspondent aux
services prévus et arrêtez les services qui ne doivent pas fonctionner.
Afin de garantir que la configuration de la solution OmniPCX Enterprise ne soit pas facilement
modifiable, l'OmniVista 8770 client doit être utilisé uniquement à partir de postes de travail dédiés aux
administrateurs accrédités : il ne doit ni être installé ni être utilisé sur des postes de travail partagés
entre administrateurs et utilisateurs réguliers (c'est-à-dire sur lesquels un utilisateur régulier peut
s'enregistrer sans être sous la supervision d'un administrateur).
3.4.5 Interfaces d'administration

Pour assurer la sécurité sur le long terme, les administrateurs doivent être alertés dès que possible
une fois un incident de sécurité potentiel détecté, comme : comme :
• alertes téléphoniques en déclarant des postes d'alarme,
• alertes d'infrastructure réseau par des traps SNMP,
• analyse fréquente des journaux système.
Une fois alerté, l'administrateur utilise son interface favorite parmi les nombreuses proposées pour
restaurer la sécurité système :
• Interface utilisateur téléphonie (pour un sous-ensemble limité d'opérations)
• Interface de ligne de commande
• OmniVista 8770.
3.4.5.1 Alertes sécurité à l'administrateur

Le sous-système incident de l'OmniPCX Enterprise est utilisé pour signaler de nombreux événements
dont certains relatifs à la sécurité (p. ex. échec de saisie du mot de passe sur appel DISA).
L'administrateur doit configurer ce sous-système pour être alerté en cas d'événement concernant la
sécurité.

déploiement
3.4.5.1.1 Les postes d'alarme

Pour permettre une réponse rapide aux événements systèmes imprévus, les administrateurs peuvent
déclarer un poste de téléphone comme un poste alarme et être notifié immédiatement d'un événement
lorsque le système le détecte. Lors d'un déplacement dans une installation, ce poste alarme peut être
un combiné DECT ou WiFi.
Avec le Alcatel-Lucent IP Touch 4068 Phone par exemple, le poste est appelé (avec une sonnerie
spécifique) et la diode clignote, lorsqu'une alarme se déclenche. Après avoir décroché, le poste affiche
du texte associé à l'alarme :
Figure 3.11 : Alarme affichée sur un IP Touch 4068
En appuyant sur la touche programmable "Défiler" le message associé est entièrement

affiché et l'alarme est acquittée en appuyant sur la touche "Supprimer".
Pour la procédure de configuration, voir la rubrique Postes alarmes du document 8AL91011FRBA.
3.4.5.1.2 Traps SNMP

Ils sont utilisés pour notifier à l'administrateur un événement qui peut nécessiter une action spécifique.
Cette notification peut être transportée sur le LAN comme SNMP traps vers une console de
supervision d'infrastructure réseau.
Pour la procédure de configuration des pièges SNMP, voir la rubrique SNMP du document
8AL91011FRBA.
3.4.5.1.3 OmniVista 8770

Les incidents sont également envoyés à l'OmniVista 8770 (voir OmniVista 8770 à la page 63) où ils
peuvent être affichés sur l'application topologie.
3.4.5.2 Visualisation des journaux proactive

Une fois alerté, l'administrateur classe la gravité de l'événement en cherchant des événements
correspondants dans les journaux produits par le système.
Cette visualisation des journaux doit également être effectuée régulièrement afin d'éviter des
événements qui n'auraient pas été remarqués par le biais des procédés énoncés ci-dessus.
3.4.5.2.1 Enumération des incidents

Sur l'OmniPCX Enterprise Communication Server, les incidents peuvent être consultés en utilisant
l'outil de ligne de commande incvisu dont la syntaxe est (les options pouvant être combinées) :
• incvisu -h affiche le menu d'aide,
• incvisu affiche les incidents de la session actuelle,
• incvisu -b 1 affiche les incidents de la session précédente,
• incvisu -t 100 affiche les 100 derniers incidents de la session actuelle.

déploiement
Pour plus d'informations, voir la rubrique incvisu du document 8AL91011FRBA

Incvisu peut être utilisé en coordination avec incinfo qui fournit une définition complète
concernant n'importe quel incident dont le numéro est connu. Sa syntaxe est :
• incinfo demande d'abord le numéro d'incident, puis affiche l'explication concernant l'incident,
• incinfo <i> Affiche l'explication concernant le numéro d'incident <i>
Rubrique incinfo du document 8AL91011FRBA
3.4.5.2.2 Journalisation du système

L'administration du Communication Server effectuée par le biais de commandes Shell, p. ex.
configuration du système d'exploitation, configuration IP… utilise Unix syslog et permet d'enregistrer un
fichier local (/var/log/shell.log) et d'envoyer des entrées de journal via le LAN vers d'autres
systèmes par UDP/IP.
La configuration des journaux système s'effectue dans netadmin avec l'entrée de menu 11-10-2.
Jusqu'à 2 serveurs syslog peuvent être déclarés. Le nom du serveur est requis ou son adresse IP si le
nom est inconnu.
Voir la rubrique Configuration du serveur Syslog du document 8AL91012FRBA.
3.4.5.3 Configuration du système
3.4.5.3.1 Telephone User Interface (Interface utilisateur téléphone)

L'administrateur utilise l'interface du téléphone pour être notifié des incidents (voir Les postes d'alarme
à la page 61) ou pour effectuer une tâche administrative (comme le déverrouillage de l'accès DISA). Il
est important de mentionner ici qu'il existe différents types d'entrée/sortie (du DTFM et guide vocal à la
touche programmable et à l'affichage graphique) selon les différents postes de téléphone.
Pour plus d'informations sur les postes propriétaires de milieu de gamme, consultez la rubrique Postes
IP deskphone (fonctionnalités courantes) du document 8AL91024FRBA.
3.4.5.3.2 Interface de gestion PBX

L'interface de gestion PBX est accessible par le biais des outils de ligne de commande utilisés sur
l'OmniPCX Enterprise Communication Server et de l'application de gestion OmniVista 8770.
Il faut toujours modifier les mots de passe fournisseur par défaut dès que les systèmes sont
reçus et avant de se connecter au LAN. Les administrateurs doivent régulièrement changer les mots
de passe sur l'OmniPCX Enterprise Communication Server et Media Gateway, l'application OmniVista
8770 et leurs propres comptes Windows. Il faut choisir des mots de passe avec un niveau de sécurité
élevé. (Des objectifs de sécurité de l'environnement seront ainsi mis en œuvre partiellement)
Les recommandations relatives aux mots de passe forts figurent dans la rubrique Stratégie
recommandée en matière de mot de passe du document 8AL91012FRBA.
3.4.5.3.2.1 Outils de ligne de commande

Ils sont intégrés dans le Communication Server et peuvent être utilisés pour configurer celui-ci et ses
équipements IP tels que Media Gateway, téléphones IP Touch, etc. Ils sont accessibles par le biais
d'une console locale ou distante, en s'enregistrant sur le Communication Server en tant que
responsable.
mgr
mgr est une application de gestion avec une interface basée sur un menu. Une description complète
de l'application mgrest disponible dans :

déploiement
Voir la rubrique Gestion via mgr du document 8AL91002FRBA.

mgr fournit également un accès à la configuration de la messagerie vocale 4645 :
Voir le document 3EU19583FRBA.
netadmin
Cet outil de ligne de commande Linux propriétaire à base de menus permet de configurer chaque
réseau système à partir d'une seule interface de manière centralisée. Netadmin uniformise la gestion
du réseau des aspects réseau Linux et contrôle l'homogénéité de la configuration système. Les
paramètres actuels peuvent être affichés à l'aide de cet outil.
Une entrée spécifique "Sécurité" est disponible, mais seul un super-utilisateur racine est
autorisé à gérer ce menu. Une description complète de netadmin est disponible :
Voir la rubrique netadmin du document 8AL91011FRBA
swinst
Swinst est un outil de ligne de commande Linux propriétaire possédant une interface à base de menus.
Il est accessible en s'enregistrant dans le Communication Server avec un compte système swinst ou
invoqué à partir de la ligne de commande swinst. swinst sert à l'installation logicielle et coordonne
toutes les activités relatives à l'installation logicielle, à la mise à jour et à la mise à niveau, à la
vérification de l'intégrité du logiciel, aux paramètres de date et d'heure, à la gestion des comptes
utilisateurs, etc. Une description complète de swinst est disponible :
Voir la rubrique swinst du document 8AL91011FRBA.
La gestion de comptes utilisateurs par le biais du menu correspondant représente un problème de
sécurité important ("Gestion des comptes utilisateurs"). Les paramètres d'authentification
peuvent être modifiés (mots de passe, validité, échecs des tentatives d'authentification, etc.), ce qui est
essentiel pour un accès distant sécurisé par SSH par exemple.
Outils de ligne de commande Shell Linux
Certains outils de ligne de commande Linux sont également disponibles sous Shell. L'utilisation de
certains outils réseau est expliquée :
Voir la rubrique Supervision du réseau IP (outils génériques) du document 8AL91011FRBA.
Une documentation relative à l'ensemble des outils de ligne de commande Linux standard est
disponible sur internet : http://www.linuxmanpages.com/. Les commandes administrateur sont
détaillées dans la rubrique Commandes de maintenance du document 8AL91011FRBA.
3.4.5.3.2.2 OmniVista 8770

L'OmniVista 8770 est une suite d'applications permettant au gestionnaire des télécommunications
d'administrer un ensemble de systèmes OmniPCX Enterprise d'Alcatel-Lucent Enterprise depuis un
serveur central OmniVista 8770. L'application client fournit l'interface utilisateur à l'application
OmniVista 8770. Un guide de gestion basique des utilisateurs téléphones OmniPCX Enterprise avec
l'OmniVista 8770 et avec l'OmniPCX Enterprise est :
Voir la rubrique Gestion via 8770 du document 8AL91002FRBA
L'OmniVista 8770 se compose de plusieurs applications. En voici une présentation :
RubriqueApplications internes du document 8AL90703FRAN Manuel administrateur de l'OmniVista
8770 (document 2) Rubrique 1 Interface §1.4 Applications internes
Chaque application possède sa propre section détaillée dans le faisceau de documents suivant :
Pour plus d'informations, voir la rubrique Alarmes du document 8AL90703FRAN

déploiement
Pour afficher les alarmes sur l'OmniVista 8770, mentionné dans Enumération des incidents à la page
61, est détaillé :
Voir la rubrique Alarmes du document 8AL90703FRAN
3.4.5.4 Mise à jour ou mise à niveau du système

Cette opération est uniquement effectuée par un ACSE et elle est décrite plus tard (voir Recherche
d'avis de vulnérabilité à la page 77).
3.4.6 Administration des fonctions de sécurité

Cette section se concentre sur les fonctions de sécurité contrôlant les menaces listées ci-dessus dans
Introduction à la page 15.
Les valeurs recommandées pour une configuration sécurisée se trouvent dans l'Appendice B.
D'autres fonctions de sécurité existent dans l'OmniPCX Enterprise et l'OmniVista 8770 qui sont
décrites dans la section Sécurité de la documentation technique de chaque produit :
Pour OmniPCX Enterprise, voir 8AL91012FRBA.
Pour la plate-forme OmniVista 8770, voir 8AL90705FRAK et la rubrique Sécurité du document
8AL90703FRAN.
L'ensemble de la configuration s'effectue soit avec mgr (voir mgr à la page 62) ou avec l'OmniVista
8770 (voir OmniVista 8770 à la page 63). L'utilisation de l'OmniVista 8770 est recommandée en raison
de son caractère plus convivial.
3.4.6.1 Serveur de communication OmniPCX Enterprise
3.4.6.1.1 Contrôle d'accès à DISA

La configuration DISA consiste à :
• attribuer un jonceur à DISA (paramètre : Faisceaux> Faisceau)
• déclarer un numéro de service DISA (paramètre : Services téléphoniques spécifiques),
• définir des catégories de contrôle des droits d'accès (paramètre : Services externes > Catégorie
de joncteur et Catégories > Catégorie de connexion)
• autoriser le blocage temporaire DISA (paramètre : Système > Autres Param. système >
Paramètres DISA)
• configurer les temporisations DISA contrôlant le verrouillage temporaire,
• déclarer le préfixe de verrouillage DISA (paramètre : Traducteur > Plan de préfixe)
• déclarer un poste alarme (paramètre : Système > Poste alarme).
Il est configuré en utilisant soit mgr (voir mgr à la page 62) ou l'OmniVista 8770 (voir OmniVista 8770 à
la page 63). La configuration DISA est expliquée :
Voir la rubrique DISA du document 8AL91049FRAA
Les deux temporisateurs à configurer (chemin de configuration : Système > Temporisateurs) avec
valeurs sécurisées sont :
• Tempo 257 = durée en min de la phase de blocage temporaire DISA (valeur par défaut 1 min ;
valeur sécurisée 60 min)
• Tempo 258 = durée max. de la phase de blocage temporaire DISA (valeur par défaut 60 min, valeur
sécurisée 1440 min)
Les valeurs sûres recommandées sont indiquées à la section Prise faisceau professionnel à la page
91
Une alarme est envoyée si l'état de verrouillage DISA change :

déploiement
• Incident 730 pour le verrouillage temporaire DISA ;

• Incident 731 pour le verrouillage DISA manuel ;
• Incident 732 pour le verrouillage DISA manuel.
L'administrateur peut être averti du verrouillage DISA par un poste téléphonique (voir Les postes
d'alarme à la page 61). Il/elle peut déverrouiller manuellement DISA pour permettre aux utilisateurs
DISA d'accéder au service DISA immédiatement ou verrouiller définitivement l'accès DISA en cas
d'attaque contre lui.
Il faut que l'administrateur sache qu'une utilisation malveillante peut entraîner des coûts très
élevés en matière de communication pour le propriétaire PBX. Les administrateurs doivent vérifier
l'activité DISA (utilisation des services DISA et des échecs de tentatives d'accès). Concernant ce
dernier point, voir Taxation DISA à la page 70.
L'administrateur doit définir un code DISA durant l'installation du système et le changer

régulièrement (au moins une fois par an) au cours de la vie du système. Il n'est pas acceptable de ne
pas définir un code, à moins que le client ne rédige un document déchargeant le partenaire
commercial des éventuelles conséquences. Etant donné que la longueur du code DISA est limitée à
4 caractères, évitez le numéro de poste DISA, une séquence de chiffres répétés, des séries logiques
même avec des numéros proches les uns des autres (p. ex. 8901).
3.4.6.1.2 Contrôle d'accès à la messagerie vocale

Configuration de la messagerie vocale (paramètre : Applications > Messagerie vocale) consiste en :
• Définition du numéro de poste du système de messagerie vocale
• Limitation des droits d'accès à la messagerie vocale aux joncteurs externes (Catégorie)
• Définition du mot de passe administrateur
• Désactivation des mots de passe triviaux
La gestion opérationnelle de la messagerie vocale implique de :
• définir les catégories de la messagerie vocale contrôlant la longueur maximale des messages
vocaux dans une boîte vocale, la durée maximale des messages non lus, des messages archivés,
• déclarer des boîtes vocales et des listes de distribution, leur mot de passe et leur durée maximale,
• autoriser les boîtes vocales pour une catégorie,
• personnaliser les annonces et les invites vocales.
Lors de la gestion d'un service de messagerie vocale, assurez-vous que les attributs suivants
améliorent la sécurité :
• mot de passe admin : accès limité aux paramètres de service de la messagerie vocale
• contrôle mot de passe trivial : améliore la force des mots de passe de l'utilisateur final
• validité du mot de passe : oblige de modifier le mot de passe périodique
• Ignorer mot de passe : désactive cette option pour obliger les utilisateurs à saisir leur code d'accès
Les messageries vocales peuvent être configurées via mgr (mgr à la page 62) ou l'OmniVista 8770
(OmniVista 8770 à la page 63). Un poste téléphonique peut également être utilisé pour réaliser un
ensemble limité d'opérations de gestion telles que :
• la personnalisation locale d'annonces et différentes invites vocales
4 Le service DISA est associé à un joncteur. Des tentatives d'accès infructueuses à un service DISA
entraînent le verrouillage du service DISA uniquement pour le joncteur associé. Les utilisateurs peuvent
continuer à utiliser DISA sur un autre joncteur, diminuant le caractère critique du déverrouillage manuel
du joncteur dans la configuration avec des joncteurs multiples. diminuant le caractère critique du
déverrouillage manuel du joncteur dans la configuration avec des joncteurs multiples.

déploiement
Le poste téléphonique de l'administrateur peut recevoir des alarmes (Les postes d'alarme à la page
61) depuis le système de messagerie vocale :
• incident #904 "MESSAGERIE VOCALE. Info Utilisateur Inconnu <extension>" est généré si un code
d'accès incorrect est saisi.
Pour plus d'informations, voir la rubrique 4645 VMS du document 8AL91047FRAA.
3.4.6.1.3 Contrôle d'accès à SSH

Protéger les accès au Communication Server. La solution OmniPCX Enterprise inclut un filtrage des
paquets SSH et IP. Une telle configuration s'effectue soit au premier démarrage système par le biais
d'une fenêtre de dialogue ou plus tard en utilisant netadmin (netadmin à la page 63).
Si SSH n'a pas été configuré depuis le premier démarrage système, les opérations suivantes doivent
être effectuées :
• L'isolement de l'interface Ethernet supprime les acheminements réseau de la table d'acheminement
• Utiliser une déclaration des hôtes sécurisés pour entrer des hôtes autorisés à communiquer avec le
CS
• Utiliser une association de service pour déclarer le service auquel accède l'hôte en question (par le
biais de profils de service prédéfinis)
• Autoriser SSH pour rendre le service SSH disponible sur le réseau pour les hôtes autorisés
Voir la rubrique netadmin du document 8AL91011FRBA
L'accès à une console distante par le biais de SSH inclut une authentification de l'utilisateur au moyen
d'un PAM Module Respecter les bonnes pratiques lors de la définition des mots de passe. Respecter
les bonnes pratiques lors de la définition des mots de passe. Utiliser les recommandations concernant
la validité des mots de passe et du verrouillage de compte temporaire après des échecs de tentatives.
Les recommandations concernant les mots de passe forts sont détaillées dans la rubrique Stratégie
recommandée en matière de mot de passe du document 8AL91012FRBA.
De plus amples informations sur la gestion des comptes et des mots de passe et l'authentification par
un serveur centralisé via RADIUS sont disponibles dans la rubrique swinst du document
8AL91011FRBA.
3.4.6.1.4 Verrouillage du téléphone

Le contrôle d'accès au niveau du poste téléphonique est possible par l'utilisateur final si l'administration
le permet. Si le verrouillage du poste téléphonique est autorisé, le code personnel de l'utilisateur est
requis pour les appels externes. L'administrateur peut aussi permettre aux utilisateurs de changer leur
code personnel.
Le verrouillage du téléphone est configuré via l'OmniVista 8770 (OmniVista 8770 à la page 63) ou via
mgr (mgr à la page 62). La configuration de cette fonction implique de :
• déclarer un mot de passe initial pour le poste téléphonique
• autoriser les utilisateurs du téléphone appartenant à une classe de service à changer leur mot de
passe et définir le préfixe associé
Ceci est décrit dans la Documentation technique de l'OmniPCX Enterprise (document 3)
Documentation système / Services utilisateur / Verrouillage-Déverrouillage §3 Procédure de
configuration
• autoriser un utilisateur appartenant à une classe de service donnée à bloquer ses téléphones (avec
le code téléphone approprié),
5 Le module d'authentification raccordé : un cadre Linux fournissant un schéma d'autorisation dynamique

pour des applications et services.

déploiement
Cette opération est décrite dans la rubrique Verrouillage/déverrouillage du document

8AL91003FRBA.
• définir le nombre maximal d'échecs de tentatives et la période de verrouillage du téléphone
Ceci est décrit dans la rubrique Code secret (mot de passe) du document 8AL91003FRBA.
• définir les numéros abrégés afin que les numéros d'urgence puissent être composés même sur des
postes téléphoniques bloqués
• Ceci est décrit dans la rubrique Appel direct du document 8AL91003FRBA.
Les administrateurs peuvent recevoir (Les postes d'alarme à la page 61) différents événements relatifs
au verrouillage de téléphone, sur leur poste alarme :
• Incident #700 si un code personnel incorrect est composé
• Incident #701 si un code personnel incorrect est composé un trop grand nombre de fois
• Incident #702 si un code personnel verrouillé est réactivé, soit après écoulement d'un délai
configuré, ou manuellement par l'administrateur, ou si l'utilisateur compose le code correct après
quelques échecs, mais avant le dépassement du seuil d'entrées de code personnel incorrect
3.4.6.1.5 Identification des téléphones IP

Cette configuration fournit une identification fiable de postes téléphoniques IP, parmi d'autres entités de
téléphonie telles que des téléphones TDM, passerelle média, etc.
Cette fonction peut être configurée via mgr (mgr à la page 62) ou via l'OmniVista 8770 (OmniVista
8770 à la page 63) en trois étapes :
• Déclarer un numéro de poste, avec un poste téléphone IP Touch
• Définir l'utilisateur associé à ce poste téléphonique
• Configurer l'adresse MAC du téléphone. Ceci s'effectue par l'utilitaire mgr utility (chemin :
Utilisateurs > Utilisateur TSC IP > Adresse Ethernet terminal).
Voir la rubrique Paramètres Usagers TSC IP du document 8AL91024FRBA.
Les administrateurs doivent vérifier régulièrement s'il existe des adresses MAC inutilisées parmi celles
pré-déclarées et les supprimer.
Pour une plus grande sécurité, différents paramètres de sécurité peuvent être configurés pour les
téléphones IP Touch (en dehors du périmètre de la solution OmniPCX Enterprise), entre autres : entre
autres :
• Restriction d'accès au menu configuration du téléphone. Cette opération s'effectue en définissant
un mot de passe administratif (chemin Alcatel-Lucent 8&9 Series > Paramètres génériques des
postes IPTouch).
Documentation technique de l'OmniPCX Enterprise Documentation système / Réseaux IP- PCX /
Téléphones IP §3.9 Déclarer le mot de passe administrateur pour les postes IP Touch.
• Un mécanisme protégeant contre les attaques d'usurpation d’adresses ARP (chemin : Alcatel-
Lucent 8&9 Series > Paramètres génériques des postes IPTouch).
Pour plus d'informations, voir la rubrique IP deskphones du document 8AL91024FRBA.
Pour détecter les occurrences de telles attaques, les journaux d'incidents doivent être analysés
chaque semaine en veillant particulièrement à la présence de l'incident #386 (perte de lien de
signalisation avec le poste téléphonique IP et l'incident #2053 (redémarrage de téléphone IP). Une
première analyse est requise pour éliminer les faux positifs pouvant résulter d'utilisateurs débranchant
et rebranchant leur téléphone lors de déplacements vers le bureau.
Les téléphones SIP sont également pris en charge en plus des téléphones IP propriétaires. Ils donnent
accès à une gamme complète de services offerts par l'OmniPCX Enterprise. Certains paramètres

déploiement
proxy SIP doivent être vérifiés pour garantir le même niveau de fiabilité que celui fourni par la gamme
de téléphones IP propriétaires :
• Méthode d'authentification minimale : par défaut elle est configurée sur "SIP résumé"
qui est la valeur recommandée. Une valeur de "SIP aucun" implique le risque d'un
appelant usurpant l'identité d'une autre personne.
S'assurer que la valeur actuelle du paramètre de configuration proxy SIP"Méthode

d'authentification minimale" soit "SIP résumé".
• Appels entrants authentifiés uniquement : la valeur recommandée pour ce paramètre est
"Vrai". Une valeur de "Faux" implique également le risque d'un appelant
usurpant l'identité, alors que l'OmniPCX Enterprise Communication Server ne garantit pas l'identité
de l'appelant.
S'assurer que la valeur actuelle du paramètre de configuration proxy SIP"Appels

entrants authentifiés uniquement" soit "SIP résumé".
3.4.6.1.6 Interdiction d'appel

L'interdiction d'appel s'effectue au moyen d'une catégorie (COS) de connexion permettant ou
empêchant les appels provenant de postes spécifiques vers d'autres postes ou joncteurs spécifiques.
Pour chaque utilisateur et chaque joncteur, une catégorie (COS) de connexion est déclarée. Pour une
COS donnée, d'autres COS sont autorisées ou interdites de connexion. Toutes les COS sont
initialisées avec une connexion autorisée par défaut, sauf pour la catégorie 5 : interdite de se
connecter à elle-même.
Les droits de communication définis par la COS de connexion concernent :
• les appels locaux entre postes,
• les appels sortants, la recherche d'un joncteur libre par un poste (tentative de prise joncteur ou
numérotation abrégée),
•  les appels entrants, l'acheminement réseau sur un poste (DISA par exemple) etc.
Une interdiction d'appel peut être configurée via mgr (mgr à la page 62) ou via l'OmniVista 8770
(OmniVista 8770 à la page 63). La configuration COS consiste à :
• définir le nombre de COS dans le système (qui peut être : 32, 64, 128 or 256),
• entrer le contenu de la matrice de connexion (matrice booléenne carrée : 1 si COS x peut se
connecter à COS y, sinon 0),
• attribuer une COS à un utilisateur / une entité / un faisceau / etc.
La configuration des COS est décrite dans la rubrique Droits de connexion du document
8AL91003FRBA.
Les administrateurs téléphoniques doivent avoir une parfaite compréhension de ce à quoi

chaque CoS donne accès. Ils doivent également garder à l'esprit que les numéros abrégés peuvent
être configurés en contournant cette interdiction. L'administrateur contrôle la création de numéros
abrégés et leur possibilité de contourner cette interdiction.
Les administrateurs doivent régulièrement surveiller la taxation des appels, puisque cette
information concernant l'activité des appels peut aider à ajuster l'interdiction d'appel au plus près
(Taxation des appels à la page 69).
Les numéros abrégés permettent de contourner l'interdiction d'appel pour des destinations spécifiques.

déploiement
Les numéros abrégés peuvent être configurée via mgr (mgr à la page 62) ou via l'OmniVista 8770
(OmniVista 8770 à la page 63). Les paramètres de configuration (chemin Numérotation abrégée >
Numéros abrégés directs > Préf.Num.abrég.direct) incluent :
• le préfixe à utiliser pour ce numéro abrégé doit être compatible avec le plan de numérotation de
l'installation,
• le numéro appelé qui sera transmis au réseau.
• Si ce numéro abrégé est soumis à des restrictions d'appels (interdiction d'appel) : oui = l'interdiction
relative au numéro d'appel est vérifiée, non = le numéro d'appel est transmis sans avoir été vérifié
(n'est pas bloqué par un verrouillage du téléphone).
La configuration des numéros abrégés est détaillée dans la rubrique Appel direct du document
8AL91003FRBA.
3.4.6.1.7 Taxation des appels

La taxation des appels est configurée en utilisant mgr (mgr à la page 62) ou l'OmniVista 8770
(OmniVista 8770 à la page 63). Les paramètres à gérer sont :
• espace disque autorisé pour le stockage, rapport avant débordement alarme déclenchée, nombre
de jours dans le stockage
• Format du numéro de téléphone, unité de temps et de coût, masquer les paramètres privés
(derniers chiffres du numéro de téléphone)
• Centres de coûts, autres informations de facturation
Voir la rubrique Taxation interne du document 8AL91048FRAA.
L'administrateur peut activer/désactiver la taxation pendant une période limitée (par exemple pendant
des sauvegardes) avec la commande account :
• account off stocke les tickets de taxation dans le buffer de taxation jusqu'à son remplissage.
Lorsque le tampon est saturé, les nouveaux tickets sont perdus.
• account on reprend le stockage des tickets de taxation dans la base de données de taxation
Voir la rubrique sur la commande « account off » du document 8AL91011FRBA
Les informations de taxation incluent la date et l'heure associées à la communication. Par conséquent
une heure de référence précise est requise, soit via une des connexions au PSTN soit via le réseau IP
en utilisant le protocole NTP. soit via une des connexions au PSTN soit via le réseau IP en utilisant le
protocole NTP.
La synchronisation temporelle à partir du PSTN est configurée en utilisant mgr (mgr à la page 62) ou
l'OmniVista 8770 (OmniVista 8770 à la page 63) pour les paramètres :
• connexion de synchronisation précise (crystal, carte, terminal) ;
• priorité de la source (0 = priorité la plus élevée).
Pour la synchronisation horaire à l'aide du RTPC, voir la rubrique Synchronisation PCX du document
8AL91049FRAA.
La synchronisation temporelle avec NTP est configurée en utilisant swinst (swinst à la page 63) entrée
du menu 2-6-1-3 pour les paramètres :
• mode client de NTP daemon
• Adresse(s) serveur NTP et liste de préférence, option de dialogue, information d'authentification
Pour le NTP, voir la rubrique Network Time Protocol (NTP ) du document 8AL91047FRAA.
Les administrateurs peuvent recevoir différents événements relatifs à la taxation des appels sur leur
poste alarme (Les postes d'alarme à la page 61). Ces événements sont tous renvoyés sur incident #
275 avec un code d'application différent :

déploiement
• Application APL_ACCOUNTING lorsque la taxation est activée ou désactivée, ou lorsque les tickets
sont perdus à cause des limites du buffer
• Application APL_SAVE lorsque l'espace disque de stockage est rempli
Les tickets de taxation peuvent être affichés en utilisant la commande accview (Outils de ligne de
commande Shell Linux à la page 63) ou l'OmniVista 8770 (OmniVista 8770 à la page 63). accview
propose une liste de fichiers à choisir, puis effectue l'action définie par le ou les arguments commande
sur ce fichier. Sa syntaxe est :
• accview Affiche la syntaxe de commande
• accview –f Affiche la liste des archives de tickets de taxation compressées
• accview -b <n> ou (accview -e <n>) Affiche les premiers (ou derniers) n tickets dans le
fichier concerné
Voir la rubrique accview du document 8AL91011FRBA.
L'OmniVista 8770 application de taxation est bien plus puissante et conviviale pour les administrateurs
qui peuvent suivre l'activité des appels et être alertés lorsque des seuils prédéterminés sont atteints
(coût, durée ou nombre).
Voir détails dans la rubrique Taxation : Analyse VOIP et performance du document 8AL90703FRAN.
L'OmniVista 8770 prend également en charge une application de reporting pour attribuer les coûts des
appels par unité commerciale, par opérateur, etc. Un nombre de rapport prédéfinis sont proposés pour
aider l'administrateur.
Figure 3.12 : rapport de taxation coût de communication échantillon OmniVista 8770
Voir informations détaillées dans le Manuel administrateur de l'OmniVista 8770 (document 2) Section 5
Rapports.
Les autres options pour la surveillance des appels sont :
• application de rapport financier interne
• Application tierce externe recevant des données de taxation par le biais d'Ethernet
• Le poste téléphonique de l'administrateur peut réaliser certaines opérations journalières sur cette
configuration au moyen de TUI (Telephone User Interface (Interface utilisateur téléphone) à la page
62)
Voir la rubrique Taxation du document 8AL91048FRAA.
Les administrateurs doivent régulièrement surveiller les informations relatives à la taxation des
appels en utilisant une des options ci-dessus selon leurs préférences et leurs besoins.
3.4.6.1.8 Taxation DISA

La taxation des appels DISA est un cas spécial de taxation générale des appels (voir section
précédente) : tous les appels DISA sont inclus dans l'activité d'appel générale. Pour cette
configuration, voir Taxation des appels à la page 69.

déploiement
La taxation DISA peut s'effectuer en utilisant :

• L'outil ligne de commande Accview. Il n'offre pas de filtrage pour afficher les appels DISA
Voir la rubrique accview du document 8AL91011FRBA.
• OmniVista 8770 :
• Les rapports indiquent l'utilisation de DISA et l'évolution de son utilisation pendant des heures,
jours ou mois
Figure 3.13 : rapport de taxation appel DISA échantillon OmniVista 8770
Voir la rubrique Rapports du document 8AL90703FRAN.

• Surveillance basée sur des profils, qui définit des actions à exécuter lorsque des seuils sont atteints
(p. ex. envoi d'une alarme sur un poste alarme).

déploiement
Voir la rubrique Taxation / trafic / VOIP du document 8AL90703FRAN.
Si DISA est utilisé, les administrateurs doivent régulièrement surveiller les rapports de taxation
DISA.
3.4.6.1.9 Administration taxation CS

Aucun configuration n'est nécessaire puisque cette fonction est toujours active et autorisée.
L'accès aux enregistrements d'administration CS sont consultables en utilisant l'outil de ligne de
commande maoview (Outils de ligne de commande Shell Linux à la page 63 outils de ligne de
commande). Sa syntaxe est :
• maoview Affiche la syntaxe de commande
• maoview –f Affiche la liste des archives de tickets de taxation compressées
• maoview -b <n> ou (accview -e <n>) Affiche les premiers (ou derniers) n tickets dans le
fichier concerné
Voir la rubrique maoview du document 8AL91011FRBA.
L'administrateur peut recevoir différents événements relatifs à la taxation de l'administration CS sur son
poste alarme (Les postes d'alarme à la page 61) :
• Incident #275 lorsque l'espace disque empêche l'écriture des tickets de gestion dans la base de
données.
3.4.6.1.10 Renforcement du Communication Server

L'installation entière, y compris Communication Server, Media Gateway, OmniVista 8770 - lorsque le
client a accepté - a déjà été renforcée par le partenaire commercial selon la procédure mentionnée ci-
dessus (voir Liste de vérifications manuelle à la page 50). Cependant, de bonnes pratiques impliquent
que l'administrateur contrôle la configuration ou la modifie en fonction de ses préférences ou de ses
besoins spécifiques.
Pour le Communication Server, ceci suppose deux outils de ligne de commande : netadmin et swinst,
se concentrant sur chacun des différents aspects :
• netadmin contrôle les réglages de la pile de protocole IP Linux ;
Cette commande est décrite en détail dans la rubrique netadmin du document 8AL91011FRBA.
• swinst aide lors des tâches d'installation logicielle et de mise à niveau, dans la gestion des
comptes utilisateurs et des mots de passe, dans la date et l'heure système.
Cette commande est décrite en détail dans la rubrique swinst du document 8AL91011FRBA.
Alcatel-Lucent Enterprise recommande, après une vérification correcte de la configuration

système, de désactiver les services RSH, TELNET, FTP IP au premier démarrage. Ceci s'effectue à
l'aide de la commande netstat -ltn et en s'assurant de l'absence de service des ports TCP 21, 23
et 514 dans sa sortie.
Dès que le système est opérationnel, et régulièrement par la suite, l'administrateur doit vérifier le
contenu de la base de données hôte du système /etc/hosts et du fichier .rhosts de swinst
~swinst/.rhosts pour s'assurer que seul l'ensemble minimal strict de noms système et d'adresses
IP soit inclus. Cet ensemble est composé du système local et de son adresse de bouclage, des
adresses IP physiques et logiques du CS principal et passif. En cas de plusieurs OmniPCX Enterprise
mis en réseau, les adresses IP des CS principal et passif pour les nœuds en réseau font également

déploiement
partie de cet ensemble minimal. Pour la configuration de la solution OmniPCX Enterprise, cela donne
le contenu prévu suivant :
/etc/hosts ~swinst/.rhosts
127.0.0.1 loopback 127.0.0.1 +@wild
192.168.1.22 srv-csa localhost 192.168.1.22 +@wild
192.168.1.23 srv-csb twincpu_eth 192.168.1.23 +@wild

twincpu_best
192.168.1.21 srv-csm maincpu local- 192.168.1.21 +@wild

main twinmain
192.168.1.1 srv-router defaultrouter 192.168.1.1 +@wild
255.255.255.0 subnetmask 255.255.255.0 +@wild
192.168.1.11 Srv-mgmt 192.168.1.11 +@wild
192.168.1.31 srv-mgw 192.168.1.31 +@wild
192.168.1.32 Srv-mga 192.168.1.32 +@wild
192.168.3.1 vcc1-router 192.168.3.1 +@wild
192.168.3.15 SIp-set 192.168.3.15 +@wild
L'administrateur doit modifier le mot de passe par défaut durant l'installation système et changer
les mots de passe régulièrement en utilisant swinst.
La console système, locale ou distante, est toujours accessible par le compte mtcl. Ce mot de
passe de compte constitue une information sensible dont la confidentialité doit être strictement
garantie. Ce mot de passe doit avoir un niveau de sécurité très élevé (c'est-à-dire en utilisant une
phrase secrète encodée en langage haxor) et être changé régulièrement (p. ex. chaque trimestre).
3.4.6.1.11 Configuration du téléphone

La configuration du téléphone s'effectue en utilisant mgr (voir mgr à la page 62) ou l'OmniVista 8770 (à
la section OmniVista 8770 à la page 63). Un poste téléphonique peut aussi effectuer un sous-
ensemble limité d'opérations de configuration (si l'administrateur système l'a autorisé), voir Telephone
User Interface (Interface utilisateur téléphone) à la page 62. L'accès se fait après authentification.
L'administrateur doit régulièrement (chaque semaine) vérifier l'activité d'authentification CMIP

(échecs et réussites de tentatives) afin de détecter des attaques par force brute avant qu'elle ne
réussissent. Ceci s'effectue avec la commande maohist (entrée de menu 4).
6 Voir les exemples http://en.wiktionary.org/wiki/leetspeak

déploiement
L'administrateur doit définir un mot de passe durant l'installation du système et le changer

régulièrement au cours de la vie du système, au moins une fois par an. Il doit contenir au moins huit
caractères, de préférence plus de quinze et associer des lettres en majuscule et en minuscule, des
chiffres ainsi que des signes de ponctuation et des symboles (caractères non-alphanumériques tels
que ‘(‘, ‘_’). Ce mot de passe doit résister à une attaque de force brute (p. ex. une phrase secrète avec
des chiffres remplaçant certaines lettres, des abréviations "inimitables", etc.) et correspondre à la
recommandation standard de force des mots de passe :
• comporter quinze caractères ou plus,
• contenir au moins un caractère non-alphanumérique entre la deuxième et la sixième position,
• mélanger des lettres en majuscule et minuscule,
• être considérablement différent des six mots de passe antérieurs,
• ne pas contenir de mot courant dans le contexte opérationnel (p. exg. Alcatel, nom administrateur
ou utilisateur), contexte personnel (p. ex. nom de l'animal de compagnie), valeurs courantes (p. ex.
date de naissance, numéro de téléphone),
• ne pas être orthographié à l'envers ou simplement précédé ou suivi d'un chiffre.
3.4.6.2 OmniPCX Enterprise Media Gateway
3.4.6.2.1 Renforcement Media Gateway

Le MGW est fourni au client déjà renforcé (voir explication ci-dessus à la section Configuration MGW à
la page 40), aucune tâche d'administration spécifique n'est requise pour le renforcement.
L'administrateur est encouragé à vérifier la configuration de manière périodique.
Une connexion PSTN entrante ne peut pas entrer dans le LAN en prenant le contrôle du MGW, grâce
à la séparation des rôles entre le Media gateway et le Communication Server. En effet, c'est le
Communication Server qui permet ou refuse un appel et il n'est qu'à un saut LAN du MGW. Aucune
action n'est requise de la part de l'administrateur.
3.4.6.3 OmniVista 8770
3.4.6.3.1 Contrôle d'accès aux fonctions d'administration du téléphone

Le processus de connexion dans l'OmniVista 8770 s'effectue en deux étapes :
• connexion Windows,
• connexion à l'application OmniVista 8770.
Une description détaillée se trouve dans la rubrique Lancement et fermeture du document
8AL90703FRAN.
Une fois authentifiée, l'activité de l'utilisateur est limitée aux droits d'accès. La gestion des droits
d'accès de l'OmniVista 8770 est expliquée :
Voir la rubrique Sécurité du document 8AL90703FRAN.
L'administrateur doit attentivement gérer les droits d'accès.
3.4.6.3.2 Renforcement des serveur et client OmniVista 8770

Un client peut acheter auprès d'Alcatel-Lucent Enterprise un PC et sa plateforme Windows. À cet effet,
quatre modèles de plateformes matérielles sont proposées : deux pour exécuter le serveur OmniVista
8770 et deux pour l'application client OmniVista 8770. Ce n'est que lorsqu'Alcatel-Lucent Enterprise
fournit la plateforme que le système d'exploitation Windows est à jour (à la date d'installation) et
renforcé.
Vous trouverez des informations supplémentaires sur le renforcement avancé de la sécurité des client
et serveur de l'OmniVista 8770 dans le document 8AL90705FRAK.

déploiement
Le client peut demander au partenaire commercial d'installer un logiciel supplémentaire conformément

aux directives de l'entreprise, p. ex. une solution de gestion du parc, une protection anti-virus et de
configurer les systèmes conformément aux pratiques locales.
Des informations concernant la compatibilité avec un anti-virus, le pare-feu Windows firewall, etc. sont
disponibles dans la rubrique Outils de sécurité du document 8AL90705FRAK. Les problèmes
généraux de compatibilité avec d'autres applications sont présentés dans la rubrique Compatibilité
avec les applications externes du document 8AL90705FRAK.
Après la livraison, le client définit avec le partenaire commercial la procédure la plus appropriée pour
installer les correctifs de sécurité fournis par Microsoft sur le serveur OmniVista 8770.
Il faut avoir à l'esprit que, bien que l'installation des correctifs de sécurité est très probablement
effectuée par le partenaire commercial du client. Cependant la décision d'installer les correctifs de
sécurité pour la plateforme Windows sur le serveur OmniVista 8770 appartient au client. Cette
opération peut avoir un impact négatif consistant en une régression après une installation de correctif
de sécurité.
La décision d'une installation similaire de correctifs de sécurité Windows sur les PC exécutant les
applications client OmniVista 8770 revient au département IS/IT client, à moins que la gestion des
postes client OmniVista 8770 (totalement dédiés) soit déléguée au partenaire commercial.
Alcatel-Lucent Enterprise garantit l'assistance au client en cas d'un échec de l'application OmniVista
8770 d'assistance suite à l'installation d'un correctif de sécurité Windows. Ce type d'assistance n'est en
rien garantie si d'autres packs de correctifs ou de services sont installés sur un système fourni par
Alcatel-Lucent Enterprise. Cette politique est détaillée sur le site Web du partenaire commercial.
Cette politique est mentionnée dans la rubrique Choisir et configurer le système d'exploitation du
document 8AL90705FRAK.
3.4.7 Procédures de sécurité

Cette section identifie les bonnes pratiques d'administration qui contribuent à maintenir un
fonctionnement du système sécurisé sur le long terme.
3.4.7.1 Intégrité du système.

L'administrateur doit régulièrement vérifier l'intégrité du système, en comparant les versions du logiciel
en exécution avec la version du logiciel prévue, puis en exécutant la commande Swinst swinst qui
contrôle l'intégrité d'un système (menu 2-8-6-1) Cela est possible en comparant les versions du logiciel
en exécution avec la version du logiciel prévue, puis en exécutant la commande swinst qui contrôle
l'intégrité d'un système (menu 2-8-6-1)
Voir la rubrique swinst du document 8AL91011FRBA.
3.4.7.2 Vérifications de la configuration périodiques

L'administrateur doit vérifier de manière périodique la configuration de la solution OmniPCX Enterprise.
Ceci inclut l'OmniVista 8770, ainsi que la configuration CS et MGW. Pour la vérification du système, la
marche à suivre est expliquée à la section Liste de vérifications manuelle à la page 50 ci-dessus.
Pour la configuration du téléphone, l'administrateur peut utiliser mgr ou l'OmniVista 8770 pour vérifier
la configuration.
3.4.7.3 Journaux d'audit périodiques

En plus des fonctions de taxation décrites ci-dessus, les administrateurs doivent analyser
périodiquement les journaux (appels, accès DISA, administration du Communication Server) générés
par la solution OmniPCX Enterprise. Il convient de le faire afin de détecter toute activité illicite.
7 Identifiant BPWS authentifié à l'URL : https://myportal.al-enterprise.com

déploiement
Les journaux système peuvent être consultés en utilisant l'utilitaire de ligne de commande Linux utility
tail ou tout autre outil Linux approprié.
Le journal téléphonique peut être vérifié avec maoview (p. ex. pour contrôler l'activité d'authentification
CMIP, échecs et réussites de tentatives).
Maoview est décrit dans la rubrique maoview du document 8AL91011FRBA.
Pour détecter les occurrences des attaques d'usurpation d’adresses ARP à l'encontre d'un ou
plusieurs téléphones IP, les journaux d'incident doivent être analysés chaque semaine à la recherche
de l’occurrence d'incident #386 (perte de lien de signalisation avec le poste téléphonique IP et incident
#2053 (redémarrage de téléphone IP). Il faut prévoir des faux positifs car ces incidents sont également
générés lorsque des utilisateurs déconnectent et reconnectent plus tard leur téléphone après ou
pendant une perte de charge dans leur espace de bureau.
3.4.7.4 Audit de sécurité

La commande securitystatustool permet d'accéder au niveau de sécurité de . Elle affiche les
informations de sécurité au format XML.
Lorsque l'application téléphonique est en cours d'exécution, elle affiche toutes les informations de
sécurité :
• Version du logiciel
• Détails de la configuration SSH et du certificat SSL
• Information sur l'isolation/les hôtes de confiance
• Configurations du serveur Radius
• Informations sur le serveur NTP
• Détails du serveur Syslog
• Détails du compte système
• Détails DISA
• Informations sur le verrouillage manuel et le code secret
• Détails de la boîte de messagerie vocale 4645
• Détails sur WBM
• Détails sur SNMP
• Détails sur FSNE
• Détails sur SIP
• Détails sur la configuration multi-IP
• Détails sur l'activation du renvoi IP
Lorsque l'application téléphonique n'est pas en cours d'exécution, elle affiche les informations
suivantes uniquement :
• Version du logiciel
• Détails de la configuration SSH et du certificat SSL
• Information sur l'isolation/les hôtes de confiance
• Configuration du serveur Radius
• Informations sur le serveur NTP
• Détails du serveur Syslog
• Détails du compte système
• Détails sur SNMP
• Détails sur la configuration multi-IP
• Détails sur l'activation du renvoi IP

déploiement
La commande securitystatustool est décrite dans la rubrique securitystatustool du document

8AL91011FRBA.
3.4.7.5 Mise à jour et mise à niveau logicielle

La mise à jour système correspond à l'installation d'un correctif pour un problème fonctionnel ou lié à la
sécurité. Une mise à niveau logicielle correspond à l'installation d'une nouvelle version logicielle
fournissant de nouvelles fonctions (en plus des correctifs fonctionnels ou liés à la sécurité).
Cette opération est effectuée par un ACSE uniquement, avec l'aide de l'application PC Installer.
3.4.7.5.1 Recherche d'avis de vulnérabilité

L'administrateur doit être attentif aux vulnérabilités dès leur publication afin de prévoir l'installation des
correctifs le plus tôt possible. L'inscription à la liste de diffusion Alcatel-Lucent Enterprise lors de la
publication des avis est possible sur la page web à l'adresse suivante :
https://www.al-enterprise.com/en/support/security-advisories.
Alcatel-Lucent Enterprise fait remonter des informations en direction des partenaires commerciaux
avant leur divulgation publique générale : des contacts réguliers avec votre partenaire commercial
garantiront un délai suffisant d'installation des correctifs avant leur publication.

Le logiciel système et téléphone de l'OmniPCX Enterprise peut être mis à jour (en installant un patch)
ou mis à niveau (en installant une version plus récente) pendant que le système fonctionne.
L'outil propriétaire utilisé présente une architecture client/serveur :
• Le côté client correspond à l'OmniPCX Enterprise Communication Server sur lequel Swinst gère
tous les modes de fonctionnement possibles
• Le côté serveur se trouve sur un poste de travail Windows (p. ex. le serveur OmniVista 8770) sur
lequel l'outil PC Installer fournit les fichiers requis par swinst et trouvés sur le CD-ROM dans le
répertoire : dhs3mgr\h1301\pcmao\boot_res\pcinstall. Des serveurs de fichiers standards
peuvent être utilisés, mais avec des restrictions.
Les modes de fonctionnement proposés ciblent tous une période d'arrêt du téléphone minimale pour
cette opération de mise à jour ou mise à niveau :
• Noeud PBX autonome :
• Pour un CS non dupliqué, le bi-partitionnement divise le disque en deux partitions : active
(actuelle) et inactive sur laquelle la partition active peut être copiée, puis la mise à jour / mise à
niveau installée, suivie par un basculement vers la partition inactive aux dépens d'un
redémarrage système unique.
Le double partitionnement du disque est décrit dans la rubrique Partitionnement du
Communication Server du document 8AL91032FRBA.
• Pour un CS dupliqué : la mise à jour/niveau s'effectue en direct sur la CPU de secours, qui
devient ensuite le CS principal (utilisation de la commande bascul). L'ancien CS principal
(devenu celui de secours) est ensuite mis à jour/niveau.
L'option Delivery installation est décrite dans la rubrique swinst du document 8AL91011FRBA.
• Réseau de – plusieurs PBX potentiels :
• La fonctionnalité de téléchargement à distance désigne de manière centralisée un nœud maître
qui reçoit la mise à jour/niveau et la distribue aux noeuds esclaves qui l'installent
automatiquement. swinst est l'outil utilisé pour gérer ce processus. swinst est l'outil utilisé pour
gérer ce processus.

déploiement
La distribution centralisée de logiciels est décrite dans la rubrique Mise à jour des
Communication Servers en réseau (chargement/installation à distance) du document
8AL91032FRBA
3.4.7.5.3 OmniVista 8770

L'outil de maintenance OmniVista 8770 permet de mettre à jour un ou plusieurs OmniPCX Enterprise à
partir d'un serveur OmniVista 8770 unique. L'OmniVista 8770 serveur gère le processus de
téléchargement à distance décrit ci-dessus sur le CS maître.
Cette fonction est détaillée dans la rubrique Maintenance du document 8AL90703FRAN.
3.4.7.6 Restauration : afin d'assurer la continuité du service commercial

Plusieurs raisons peuvent conduire à réaliser une restauration à partir des bandes de sauvegarde :
• changement de configuration système non contrôlée,
• perte d'intégrité pour la configuration système ou les données utilisateurs résultant d'une panne
électrique ;
• reprise de fonctionnement sur un emplacement de sauvegarde.
Il est donc essentiel d'effectuer régulièrement des sauvegardes du système et des données. Il est tout
aussi important de tester régulièrement, quoique moins fréquemment, l'efficacité de la sauvegarde, en
restaurant les informations sauvegardées.

Afin de faciliter la restauration après un plantage du système, il est recommandé à l'administrateur
d'effectuer des sauvegardes périodiques des bases de données de traitement du système et des
appels. Le support de sauvegarde est un disque local, une disquette, une clé USB ou un fichier
réseau. Cette opération est réalisée par le biais de l'entrée de menu swinst 2-4-1 (sauvegarde
immédiate) ou l'entrée de menu 2-4-2 pour des sauvegardes planifiées régulières (par défaut, une
sauvegarde journalière est prévue à 05:45).
L'opération de restauration système est accessible par le biais de l'entrée de menu swinst 2-4-3 et
permet de sélectionner la sauvegarde à partir de laquelle effectuer la restauration.
Cette fonction est décrite dans la rubrique Maintenance du document 8AL90703FRAN.
3.4.7.6.2 OmniVista 8770

L'application de maintenance OmniVista 8770 permet une sauvegarde/restauration du serveur
OmniVista 8770 et/ou des données du/des serveur(s) Communication. Les deux opérations sont
réalisées indépendamment, mais les sauvegardes pour l'OmniVista 8770 et l'OmniPCX Enterprise
présentent des similitudes opérationnelles :
• Les mêmes règles de gestion de l'espace disque s'appliquent : validité de la sauvegarde, seuil
d'utilisation du disque, répertoire racine
• Des sauvegardes immédiates et prévues sont proposées
L'application de maintenance OmniVista 8770 permet également de gérer la restauration et la
sauvegarde (purge).
Les opérations de sauvegarde et restauration de OmniVista 8770 sont détaillées dans la rubrique
Maintenance du document 8AL90703FRAN.
Une sauvegarde d'un OmniPCX Enterprise réseau ou d'un sous-réseau entier peut être effectuée en
une seule opération. Les paramètres spécifiques aux sauvegardes de l'OmniPCX Enterprise sont les
mots de passe swinst et mtcl : les sauvegardes sont d'abord effectuées sur l'OmniPCX Enterprise CS,
puis les fichiers de sauvegardes sont rapatriés sur l'OmniVista 8770.

déploiement
La restauration s'effectue un nœud à la fois. Les données restaurées peuvent être un sous-réseau
fonctionnel des données restaurées initialement.
OmniPCX Enterprise la sauvegarde et la restauration sont détaillées dans la rubrique maintenance du
document 8AL90703FRAN.
3.4.7.6.3 Contrôler régulièrement l'efficacité de la sauvegarde

Les sauvegardes sont essentielles, mais il est tout aussi important de tester régulièrement, quoique
moins fréquemment, l'efficacité de la sauvegarde, en restaurant les informations sauvegardées, sur le
Communication Server de secours par exemple.
3.4.7.7 Accès maintenance à distance :

Un accès par modem doit toujours être physiquement déconnecté et désactivé par la configuration.
Reconnecter et autoriser uniquement pour une durée limitée, durant les heures de travail et sous la
supervision attentive des administrateurs Ces opérations doivent être saisies manuellement dans le
registre de l'installation. Ces opérations doivent être saisies manuellement dans le registre de
l'installation.
3.4.7.8 Requalification périodique

En raison de l'évolution constante du paysage de menaces à la fois sur le front offensif (p. ex.
nouvelles techniques d'attaques) et sur le front défensif (p. ex. nouvelles fonctionnalités de sécurité
ajoutées à des produits existants), les administrateurs doivent régulièrement se former dans les
domaines de :
• gestion des téléphones,
• gestion du système,
Ce rafraîchissement régulier des connaissances augmente considérablement l'efficacité des
fonctionnalités de sécurité existantes en associant l'expérience produit ACSE en constante
augmentation et des avancées techniques ou des avances en matière de processus par Alcatel-Lucent
Enterprise. Chaque session de formation permet de renouveler la confiance en la capacité d'ACSE de
sécuriser efficacement un déploiement de l'OmniPCX Enterprise.
3.4.7.9 Politique relative aux mots de passe

Un mot de passe constitue un contrôle d'accès secret à une ressource ou un service, soit directement
associé à la ressource contrôlée (p. ex. accès DISA) soit indirectement par le biais d'une identité qui
constitue un accès accordé à la ressource (p. ex. une extension téléphonique, un compte système).
De nombreux mots de passe existent dans la solution OmniPCX Enterprise mais ils ne seront pas tous
autorisés sur un déploiement spécifique. Chacun de ceux autorisés doit être suffisamment solide pour
résister aux attaques de force brute :
• comptes système, pour administrateurs (mot de passe fort : voir étape 12 ci-dessus).
• code téléphonique secret, pour utilisateurs et administrateurs (mot de passe fort : voir Contrôle
d'accès à la messagerie vocale à la page 81).
• mot de passe à la messagerie vocale, pour utilisateurs et administrateurs (mot de passe fort : voir
Contrôle d'accès à la messagerie vocale à la page 81).
• code d'accès DISA, pour utilisateurs (mot de passe fort : voir Contrôle d'accès à DISA à la page
64).
• mot de passe CMIP, pour l'OmniVista 8770 (mot de passe fort : voir Configuration du téléphone à la
page 73).
Une politique relative à des mots de passe forts doit être définie pour chaque catégorie autorisée de
mot de passe, inspirée éventuellement de celles indiquées dans ce document comme exemple. Elle
doit être renforcée par le biais de la configuration (si possible) ou en formant les utilisateurs
(distribution de brochures).

déploiement
3.4.7.10 Comment rapporter une vulnérabilité

Alcatel-Lucent Enterprise publie sur le web concernant les avis de sécurité publique générale
impactant le portefeuille Alcatel-Lucent Enterprise. Les lecteurs peuvent s'enregistrer afin de recevoir
des notifications concernant les nouveaux avis de sécurité et la procédure pour rapporter une
vulnérabilité liée à la sécurité est présentée et un modèle de rapport de vulnérabilité est fourni.
Ce site Web se trouve à l'adresse : https://www.al-enterprise.com/en/support/security-advisories.
Veuillez vous reporter au document 8AL91012FRBA qui décrit la procédure pour rapporter une
vulnérabilité, URL web et informations correspondantes.
Il est recommandé qu'un administrateur (ou un groupe) spécifique soit en charge de la communication
des vulnérabilités avec Alcatel-Lucent Enterprise. Ce groupe canalisera tous les rapports de
vulnérabilité potentiels provenant des utilisateurs de l'entreprise à Alcatel-Lucent Enterprise et suivra la
progression en faveur d'une résolution.
Cette procédure spécifique à l'entreprise est l'exemple typique de ce qui a besoin d'être personnalisé
dans le guide des utilisateurs téléphoniques d'une entreprise ci-dessous (voir Comment signaler une
faille à la page 82).
3.4.7.11 Communication relative à la sécurité à l'égard des utilisateurs

Les utilisateurs finaux de système téléphonique doivent être conscients de la menace potentielle
(pesant sur l'entreprise, sur eux) qui peut résulter d'une utilisation inconsidérée du système de
communication. Un niveau correct de sensibilisation à la sécurité est atteint au moyen de :
• une session initiale à la prise de conscience est effectuée lors de l'autorisation d'accès au système
de communication (généralement lors de l'attribution d'une extension téléphonique à une
personne). A ce moment, les risques et les bénéfices d'une utilisation sécurisée du système de
communication sont expliqués aux utilisateurs et un mémento de sécurité leur est fourni (voir
Utilisation sécurisée du système à la page 80). Cette section est un modèle pour personnaliser
préalablement pour faire correspondre la politique locale en matière de sécurité et les spécificités :
p. ex. guides vocaux localisés, disposition du clavier, numéros d'urgence, etc.
• Une requalification périodique doit être organisée sous forme de sessions de sensibilisation
annuelles (au minimum). C'est le bon moment pour rappeler à tous les politiques de l'entreprise en
matière de sécurité, comme la politique d'utilisation du système de communication et la politique en
matière de mots de passe forts.
3.5 Utilisation sécurisée du système

Cette section est fournie à titre de modèle, à personnaliser avant sa transmission aux nouveaux
utilisateurs lors de l'allocation d'une extension téléphonique. Toutes ses parties peuvent exiger une part
de personnalisation, en raison de l'utilisation de guides vocaux localisés par exemple. Les sections
dédiées à la politique de sécurité d'utilisation, aux appels d'urgence et à la manière de signaler une
faille de sécurité doivent systématiquement être modifiées localement.
3.5.1 Interface utilisateur : Telephone User Interface

Cette interface utilisateur est offerte sur un poste téléphonique et dépend des fonctionnalités
d'affichage du téléphone. Les postes téléphoniques peuvent être bas de gamme (clavier limité, sans
affichage), de milieu de gamme (affichage monoligne) et haut de gamme.
Pour plus d'informations sur les postes propriétaires de milieu de gamme, consultez la section IP
deskphone sets (common features) du document 8AL91024FRBA.
En outre, la configuration TUI renvoie trois types de signaux, soit :

déploiement
• Des tonalités connues (par ex. la tonalité ‘occupé’ spécifique à chaque pays) et des messages
vocaux (également appelés guides vocaux) pour la navigation par menu (sans affichage)
• Un message monoligne affiché pendant la tonalité ou la lecture du guide vocal
• Un message élaboré (avec icônes et affichage graphique) affiché pendant la tonalité ou la lecture
des guides vocaux.
Cette section doit décrire les configurations locales divergeant de l'expérience quotidienne d'utilisation
d'un opérateur téléphonique public : tonalité de numérotation, numérotation d'urgence, appel à
l'opérateur, etc. et couvrir les différents postes téléphoniques à disposition de l'utilisateur.
3.5.2 Fonctions de sécurité disponibles aux utilisateurs

L'efficacité de certaines fonctions de sécurité disponibles sur l'OmniPCX Enterprise dépend de leur
bonne utilisation par l'utilisateur final. Leur bonne utilisation est décrite dans cette section.
3.5.2.1 Contrôle d'accès à DISA
Toute utilisation inconsidérée de l'accès DISA peut occasionner des factures de communication
très élevées pour l'entreprise. Il est interdit de transmettre le code DISA à un tiers, même au sein de
l'entreprise. Il est de la responsabilité de l'administrateur de divulguer le code d'accès DISA aux
membres du personnel.
Les utilisateurs téléphoniques doivent également être conscients que la fonction DISA est
automatiquement verrouillée en cas d'échecs trop nombreux de tentatives d'accès : s'ils ne se
rappellent pas du code d'accès DISA, ils ne doivent pas tenter d'utiliser DISA, évitant ainsi de
verrouiller la fonction DISA pour tous les utilisateurs du faisceau entrant.
Un utilisateur compose le numéro DISA pour se connecter au service DISA. Une fois connecté,
l'utilisateur entend :
• Le guide vocal standard si DISA est actif ou un guide vocal d'erreur si DISA est inactif.
• Lorsque DISA est actif, une guide vocal répertorie ensuite les opérations disponibles, à moins que
DISA ne soit temporairement verrouillé suite à la saisie répétée d'un code d'accès incorrect.
• Si DISA est verrouillé, l'utilisateur entend un guide vocal de dissuasion l'informant de la situation.
3.5.2.2 Contrôle d'accès à la messagerie vocale

Dans un premier temps, les utilisateurs se connectent à leur messagerie vocale et sont invités à saisir
leur code d'accès. Ce code est personnel, il est inconnu de l'administrateur du service de messagerie
vocale. Lorsqu'il est correctement configuré, le système refuse la saisie de mots de passe aux niveaux
de protection insuffisants, tels que les séquences de chiffres répétés, une série logique ou encore le
numéro de l'extension de l'utilisateur.
Ce code doit être constitué, au minimum, de 7 chiffres pour empêcher la réussite de toute attaque
par force brute sur une brève période. Il doit être difficile à deviner et ne pas contenir de valeurs
fréquemment utilisées dans le contexte opérationnel (par ex. numéro du standard téléphonique) ou
personnel (par ex. date de naissance).
Voir la rubrique 4645 VMS du document 8AL91047FRAA.
Les utilisateurs ont accès aux opérations liées à la messagerie vocale après la numérotation de ce
code.
Voir la rubrique 4645 VMS8AL91047FRAA du document
Les utilisateurs peuvent modifier leur code à volonté ou être forcés de le modifier (lors de leur premier
accès au service de messagerie vocale ou à l'expiration de leur mot de passe). Les administrateurs

déploiement
peuvent empêcher l'utilisateur de modifier son mot de passe dans les configurations hôtelières où des
services de messagerie vocale client sont utilisés. Ils peuvent configurer des restrictions sur le code
utilisateur (ex : mots de passe au niveau de protection insuffisant interdits).
Les utilisateurs sont encouragés à utiliser un mot de passe de 7 numéros minimum. Ces numéros
correspondent aux touches 0 à 9 et, si le poste téléphonique TUI le permet, aux touches A-D.
3.5.2.3 Verrouillage du téléphone

La configuration est accessible aux utilisateurs du poste téléphonique.
L'administrateur peut permettre aux utilisateurs de modifier leur code personnel (ce code est utilisé
pour des services variés, non pas uniquement le verrouillage/déverrouillage du téléphone, par ex. le
paramétrage du mode ‘Do Not Disturb’). Le code personnel compte 4 chiffres sélectionnés sur le
clavier du téléphone : de 0 à 9 pour tous les types de postes. Certains postes téléphoniques
permettent également l'utilisation des touches A à D.
Voir la rubrique Verrouillage/déverrouillage du document 8AL91003FRBA.
Lorsque les utilisateurs sont autorisés à modifier leur code personnel, ils doivent être incités à ne pas
choisir un code trop évident. Cette opération est décrite dans :
Voir la rubrique Code secret (mot de passe) du document 8AL91003FRBA.
SEPLOS offre le même niveau de fonctionnement pour les téléphones SIP que pour les téléphones
propriétaires. Pour les téléphones SIP, le code secret peut aller jusqu'à 10 chiffres.
L'utilisateur doit modifier son code secret au moins une fois par an et utiliser le code le plus long
possible (au max. 10 chiffres). Ce code ne doit pas être trop facile : éviter les codes utilisés dans le
contexte opérationnel (par ex. numéro d'extension ou de fax) ou personnel (par ex. date de naissance,
anniversaire de mariage), les séquences de chiffres répétés, les séries logiques, même avec des
numéros proches les uns des autres (p. ex. 8901).
3.5.2.4 Interdiction d'appel

Les utilisateurs peuvent utiliser des numéros abrégés mais ne peuvent pas les configurer (et ne
peuvent pas configurer d'autres fonctions de verrouillage). La configuration est uniquement accessible
par les administrateurs. Les numéros d'urgence sont souvent configurés de cette manière
Il convient de rappeler aux utilisateurs qu'ils ne doivent pas divulguer les numéros abrégés aux
visiteurs ou à toute autre personne n'appartenant pas à l'entreprise, au risque d'entraîner des coûts de
communication supplémentaires à l'entreprise.
3.5.3 Procédures de sécurité

3.5.3.1 Politique de sécurité d'utilisation du système de communication
Votre entreprise a publié une politique de sécurité d'utilisation pour son système de communication.
Celle-ci détaille l'utilisation conforme du système de communication (par ex. appels professionnels, un
appel personnel par jour de 10 minutes max.), ainsi que les moyens de contrôle mis en œuvre pour
garantir l'application de cette politique et les sanctions encourues en cas de violation de la politique.
Cette politique a été traduite en une norme d'implémentation dans le contexte de l'OmniPCX Enterprise
et couvre les éléments des sections précédentes.
3.5.3.2 Comment signaler une faille

Le signalement d'une faille de sécurité potentielle doit d'abord être acheminé à travers les services
d'assistance à l'Information et la Communication de votre entreprise. Ils seront à même de déterminer

déploiement
l'origine de l'apparente faille affectant la configuration du système déployé ou, le cas échéant, de faire
remonter le problème jusqu'au Business Partner Alcatel-Lucent Enterprise qui pourra alors résoudre
rapidement le problème. Dans le cas contraire le Business Partner de votre entreprise ouvrira une
Service Request auprès du service d'assistance technique Alcatel-Lucent Enterprise.
Dans les rares cas où votre service IT ne saurait éliminer la faille potentielle et où le Business Partner
ne fournirait par de réponse satisfaisante ni n'ouvrirait une Service Request, vous pouvez conseiller à
votre équipe d'assistance d'entreprise de consulter le site Web public d'Alcatel-Lucent Enterprise :
https://www.al-enterprise.com/en/support/security-advisories. Sur ce site, le grand public peut accéder
aux avis de sécurité publiés par Alcatel-Lucent Enterprise. Il est également possible de s'y abonner
pour recevoir des notifications à la publication de nouveaux avis de sécurité. En outre, la procédure de
signalement de failles de sécurité y est présentée en détail, accompagnée d'un modèle de rapport.
3.6 Annexe A : Configuration de la plateforme

Cette annexe présente la plateforme exacte sur laquelle a lieu l'évaluation 2010.
Cette annexe sera mise à jour après l'évaluation de 2021.
3.6.1 Composants système évalués

tableau 3.8 : Composition du système évalué
Composant Quantité Référence interne Référence du

composant
Serveur applicatif IBM 2 101908 3BA27582AAAB
x305
101909 3BA27582AAAB
Coffret batterie 1 63126 3EH76155ABAA01

Batterie 2 JLC433700015 3EH76155AB
Alimentation sur LAN 1 102349 3BD53002AAAA01
24 ports
Commutateur LAN 1 20041000316
Coffret large hardware 1 63130 3EH76027AEAB
commun
carte e-MG Pra-T2 2 50757 (position 1-1) 3EH76037AAAA03
50753 (position 1-5) 3EH76037AAAA06
e-MG Mix 0/8/4 1 50484 3EH73015AEAE03

e-MG UAI 16-1 1 47518 3EH73050ABAB02
e-MG SLI 16-1 1 51227 3EH73052ABAA03
e-MG Lanx 16-2 1 512624 3EH73054ABAB02
e-MG GD 1 48423 3EH73048ACAB04
e-MG GA 1 49296 3EH73048ADAB04
e-MG Mada 3-1 2 511823 (GD) 3EU23012AAAB03
511821 (GA) 3EU23012AAAB03

déploiement
Composant Quantité Référence interne Référence du

composant
Poste SIP ST 2030 1 108545 ATL1608094
CP0616AY3KD
Poste 4018 1 65349 3GV26005ABAA09

Poste 4028 1 67452 3GV26004ABBA01
Poste 4038 1 512635 3GV26044FBJA06
Poste 4068 1 511658 3GV26043FBJA06
Poste 4019 1 66190 3GV26011ACAA05
Poste 4029 1 512306 3GV26010FCAA06
Poste 4039 1 104670 3GV26009FBAA09
Poste analogique 1 Non applicable
Poste 4035 1 Non applicable 3AK28044FR
Modem 1
Câbles UA 5 Non applicable
Câbles IP 16 Non applicable
Ordinateur HP 2 061939
F01911
Windows XP Pro SP2 2 Non applicable

OmniVista 8770 1 R5.0.07.05.c
application serveur
OmniVista 8770 client. 2 R5.0.07.05.c
Release R9.0 1 Version H1.301.27.a
Clavier 1 Non applicable
Souris 1 Non applicable
Moniteur 1 Non applicable
Boîte noire 1 Non applicable
3.6.2 Configuration application téléphonique

3.6.2.1 Postes
tableau 3.9 : Affectation des postes téléphoniques dans un système évalué
Position MCDU Prénom Nom d'abonné Set type Note

IP 65000 Henry Thierry 4038
IP 65001 Zidane Zinedine 4068
IP 65002 Trezeguet David 4028 Poste alarme

déploiement
Position MCDU Prénom Nom d'abonné Set type Note

IP 65003 Cisse Djebril 4018 Poste restreint
SIP 65004 Station externe Poste SIP
1-6-1 65005 Modem Analog Ligne modem
1-4-1 66000 Makelele Claude 4039 Site Admin
1-4-2 66001 Sagnol Willy 4029
1-3-1 66002 Barthez Fabien 4019
1-4-3 A11 ATTENDANT_ 4035 Poste
1 opérateur
3.6.2.2 Plan de numérotation

Plan de numérotation interne :
• 65000 sur 65999
• 66000 sur 66999
Plan de numérotation externe (par ISDN) :
• 0155665000 -> 0155665009 correspondant à 65000 -> 65009
• 0155666000 -> 0155666009 correspondant à 66000 -> 66009
3.6.2.3 Entités
Entités 0 et 1 ne sont pas utilisées ni gérées.
L'entité 10 est gérée et l'entité de tous les postes est 10.
Ce qui donne aux utilisateurs :
• Numéro d'installation (ISDN)
• Numéro d’installation supplémentaire (ISDN)
• Services de débordement en fonction de l'état de l'entité
• Restriction des appels par l'état de l'entité (nuit, jour, mode 1, mode 2)
• Sélection du discriminateur des appels externes
Numéro d'installation : 1556

Numéro d’installation supplémentaire : 6007 (cf préfixes)
Auto-verrouillage : 1 (En mode Nuit, tous les postes basculent en
mode verrouillé, le mot de passe du poste est
nécessaire pour activer les services)
Débordement : Groupe d'opérateurs A10 en mode Jour (cf
groupe d'opérateurs)
Etat de l'entité : Mode Jour de 08:00 à 20:00, sinon mode Nuit (cf
Catégories réseau public)
Sélection du discriminateur Discriminateur visuel 7 correspond au discrimina-
teur réel 3 (cf ARS et Discriminateur)
Discriminateur visuel 6 correspond au discrimina-
teur réel 2 (cf ARS et Discriminateur)

déploiement
Note :
Entité par défaut pour la création d'un poste est 1.
Les entités autres que 10 sont toujours en état Nuit.
3.6.2.4 Code secret des postes

Tous les postes ont un code secret, nécessaire pour :
• la programmation des touches.
• tout (programmation, consultation, appels externes,...) sauf appels internes lorsque le poste est
verrouillé.
Le code secret possède 4 chiffres que les utilisateurs peuvent modifier (cf préfixes).
Après 3 codes erronés, toute nouvelle tentative de saisie de code aura pour résultat l'affichage du
message "code secret interdit". L'utilisation est ainsi limitée aux fonctionnalités qui ne nécessitent pas
le code secret.
Pour effacer un poste et donc le réinitialiser par défaut, l'attribut "Compteur erreur code secret" dans
UTILISATEURS doit être réinitialisé sur 0 ou il faut attendre 10 min (durée d'interdiction du code).
MCDU Code secret

65000 6892
65001 9403
65002 1226
65003 0412
65004 #SIP_2030 !
65005 2856
66000 3537
66001 7684
66002 4259
A11 0749
3.6.2.5 Identifiant du centre de coûts

Tous les postes possèdent le numéro 17 (taxation) comme ID de centre de coûts
Note :
Le numéro d'ID de centre de coûts par défaut pour la création d'un poste est 255.
3.6.2.6 Catégorie Réseau public

La gestion catégorie Réseau public donne :
• Droits aux appels entrants externes, au transfert en provenance d'un opérateur, au débordement
sur opérateur
• Droit aux appels publics sortants
• Droit aux appels privés sortants
• Droit aux appels professionnels sortants
• Droit aux appels réseau sortants
• Droit d'accès au faisceau
Deux catégories Réseau public ont été gérées :

déploiement
• Catégorie Réseau public 10 pour poste 65003 (poste avec restriction sur appel sortant externe)
• Catégorie Réseau public 18 pour tous les autres postes
Gestion catégorie Réseau public 18 :
Droits aux appels entrants externes, au transfert Autorisés uniquement en mode JOUR de l'entité
en provenance d'un opérateur, au débordement du poste
sur opérateur
Droit aux appels sortants publics, privés, Autorisés uniquement en mode JOUR de l'entité
professionnels : du poste pour la zone 1 et 2 (cf Discriminateur)
Droit aux appels réseau sortants : Autorisés uniquement en mode JOUR de l'entité
du poste pour tous les sous-réseaux ABCF (cf
SIP)
Droit d'accès au faisceau : Autorisé uniquement en mode JOUR de l'entité
du poste pour les faisceaux bouclés et le faisceau
SIP (cf faisceaux et SIP)
Gestion Classe de service Réseau public 10 :
Droits aux appels entrants externes, au transfert Autorisés uniquement en mode JOUR de l'entité
en provenance d'un opérateur, au débordement du poste
sur opérateur
Droit aux appels sortants publics, privés, Autorisés uniquement en mode JOUR de l'entité
professionnels : du poste pour la zone 2 (discriminateur)
Droit aux appels réseau sortants : Autorisés uniquement en mode JOUR de l'entité
du poste pour tous les sous-réseaux ABCF (cf
SIP)
Droit d'accès au faisceau : autorisé uniquement en mode JOUR de l'entité du
poste pour les faisceaux bouclés et le faisceau
SIP (cf faisceaux et SIP)
Note :
La catégorie Réseau public par défaut pour la création d'un poste est 0.
Toutes les autres catégories Réseau public n'ont aucun droit, quel que soit l'état des entités.
3.6.2.7 Catégorie d'exploitation téléphonique

Tous les postes ont la catégorie d'exploitation téléphonique 12 (sauf poste site Admin 66000), ce qui
permet de :
• autoriser ou interdire l'accès des postes à certaines exploitations téléphoniques,
• protéger des postes contre certaines exploitations,
• définir le type d'acheminement sur décrochage.
Le poste 66000 (site Admin) possède la catégorie d'exploitation téléphonique 11, identique à la
catégorie d'exploitation téléphonique 12 et le droit de désactiver le verrouillage DISA par un préfixe
(verrouillage et préfixes DISA) et certaines protections (substitution).
Note :
La catégorie d'exploitation téléphonique par défaut pour la création d'un poste est 0.
Toutes les autres catégories d'exploitations téléphoniques n'ont aucun droit.

déploiement
3.6.2.8 Catégories de connexion

La catégorie de connexion détermine les autorisations ou les interdictions des appels des terminaisons
(poste et faisceaux).
Une catégorie de connexion a été attribuée à chaque terminaison (poste et faisceaux).
Tous les postes, faisceaux, messagerie vocale ont une catégorie de connexion 15.
Une catégorie de connexion 15 ne peut pas appeler une terminaison appartenant à une catégorie de
connexion autre que 15.
Note :
La catégorie de connexion par défaut pour la création d'un poste est 0.
Toutes les catégories de connexion ne peuvent pas appeler d'autres terminaisons.
3.6.2.9 4645 VMS

Une 4645 VMS fonctionne sur srv-csA.
Number: 66005
Accès avec mot de passe : Oui
Mot de passe trivial autorisé : Non
Mot de passe de l'administrateur : 3845627
Connexions simultanées max. : 16
Service de limitation d'appels : 4
Expiration du mot de passe : 60 jours
Tous les postes ont une messagerie vocale (sauf opérateur A11) :
MCDU Code secret de la mess. vocale

65000 0845630
65001 9126281
65002 7931252
65003 6330083
66000 9513684
66001 7548965
66002 1365246
3.6.2.10 Service de limitation d'appels

Ce service est utilisé pour limiter ou interdire les appels provenant de l'intérieur d'une base vers
l'extérieur. Cela s'applique également aux appels de transit.
Le niveau d'alarme applicable à un appel sortant correspond au niveau maximum entre la catégorie de
restriction d'appels de l'abonné appelant (Utilisateur) et celle du joncteur appelé externe. Si ce niveau
d'alarme calculé est inférieur à la valeur de base, l'appel est refusé.
Le niveau d'alarme applicable à un appel entrant correspond au niveau maximum entre la catégorie de
restriction d'appels de l'abonné appelé (Utilisateur) et celle du joncteur appelant externe. Si ce niveau
d'alarme calculé est inférieur à la valeur de base, l'appel est refusé.
Valeur de base : 3

déploiement
Tous les postes ont une catégorie de restriction d'appels égale à 4.

Tous les faisceaux ont une catégorie de restriction d'appels égale à 0.
Note :
La catégorie de restriction d'appels par défaut pour la création d'un poste est 0.
3.6.2.11 Faisceaux
Le faisceau T2 ISDN est géré pour permettre des appels externes.
Ce faisceau est bouclé sur Crystal 1 comme suit :
PRA-T 2 (1-1) PRA-T 2 (1-5)
PRA-T 2 (1-1) PRA-T 2 (1-5)
Faisceau 1 :
Le numéro appelé sortant possède un discriminateur 7 virtuel (cf Discriminateur)
Accès T2 : PRA-T2 (Position 1-1)

Catégorie accès rés.public : 18
Catégorie de connexion 15
Liste entités 10
Traducteur SDA OUI (cf traducteur numérotation DDI)
Descripteur de plan de numérotation : 33 (cf NPD)
Faisceau 2 :
Le numéro appelé sortant possède un discriminateur 7 virtuel (cf Discriminateur)
Accès T2 : PRA-T2 (Position 1-6)

Catégorie accès rés.public : 18
Catégorie de connexion 15
Liste entités 10
Traducteur SDA OUI (cf traducteur numérotation DDI)
Descripteur de plan de numérotation : 33 (cf NPD)
Aucun préfixe pour prise de faisceau n'est géré, seul le préfixe ARS peut accorder l'accès aux appels
externes sortants (cf ARS et préfixe).

déploiement
3.6.2.12 Discriminateurs
Les discriminateurs sont des index de tableaux permettant à l'administrateur du site de donner accès
aux numéros composés. Par défaut, les tableaux sont vides, interdisant toutes les numérotations.
Tableau discriminateur 3 possède deux numéros gérés :
Numéro d'appel : 01
Numéro de zone : 1
Numéro de table de routage ARS : 10 (ARS)
Nombre de chiffres : 10
Ainsi, en passant un appel sortant par le biais d'un faisceau avec discriminateur réel 3, on gère :
• Vous pouvez composer un numéro commençant par 01
• Ce numéro possède 10 chiffres
• Dans votre Catégorie accès rés.public, vous devez avoir accès à la zone 1
Si vous avez composé un préfixe ARS, le faisceau sélectionné sera celui dans le tableau 10 ARS.

Numéro de zone : 2
Numéro de table de routage ARS : 12 (cf ARS)
Ceci signifie qu'en passant un appel sortant par le biais d'un faisceau avec discriminateur réel 3 est
géré :
• Vous pouvez composer un numéro commençant par 112
• Ce numéro possède 3 chiffres
Si vous avez composé un préfixe ARS, le faisceau sélectionné sera celui dans le tableau 12 ARS.
Tableau discriminateur 2 possède un numéro géré :
Numéro de zone : 1
Numéro de table de routage ARS : 11 (ARS)
Ceci signifie qu'en passant un appel sortant par le biais d'un faisceau avec discriminateur réel 2 est
géré :
• Vous ne pouvez composer qu'un numéro commençant par 01
Si vous avez composé un préfixe ARS, le faisceau sélectionné sera celui dans le tableau ARS 11.
Note :
Le discriminateur virtuel par défaut est 0, le tableau est vide.
3.6.2.13 Traducteur numérotation DDI

Le TRADUCTEUR DDI permet d'adapter les numéros DDI numbers fournis par le réseau public pour le
plan de numérotation interne du NOEUD LOCAL.

déploiement
Les traducteurs DDI sont utilisés par les objets DESCRIPTEUR DE PLAN DE NUMEROTATION
(numéro des attributs DDI pour appelant et numéro DDI pour appelé).
Le numéro traducteur DDI 0 est utilisé et géré (Plan de numérotation à la page 85).
Ceci signifie que si le poste n'est pas dans un traducteur DDI, il peut passer un appel externe sortant,
mais ne peut pas recevoir un appel externe.
3.6.2.14 NPD
LE DESCRIPTEUR DE PLAN DE NUMEROTATION (NPD) décrit comment traduire les numéros reçus
en provenance du réseau externe et comment élaborer les numéros appelés vers ce réseau externe.
Voici les NPD utilisés :
NPD 33 (Faisceau 1 et 2)
Ident. plan de num appelant : NPI/TON Isdn inconnu

Ident. plan de num appelé : NPI/TON Isdn inconnu
Autoris. num. appelant personnel : False
Origine num. installation : Origine num. installation
Origine du numéro par défaut : Origine num. installation
Numéro SDA pour appelé : 0
Numéro SDA pour appelant 0
Numéro d'installation : 15566
Numéro par défaut : 6007
Ceci signifie que pour un appel sortant par le faisceau 1 :

• Si le poste est DDI, son numéro d'appelant sera numéro d'installation + numéro DDI d'installation
du poste dans le traducteur DDI 0.
• Si le poste n'est pas DDI, son numéro d'appelant sera numéro d'installation + numéro par défaut
(appel entité DDI)
Ceci signifie que pour un appel entrant par faisceau 1, le numéro appelé doit se trouver sur le
traducteur DDI numéro 0.
3.6.2.15 Trad de rappl externe

Ce tableau permet de traduire un numéro externe reçu afin de le traiter pour un autre rappel (ISDN).
Etant donné que nous recevons des numéros tels que 15566xxxx et des numéros d'appels tels que
015566xxxx, nous obtenons le tableau suivant :
No de base : 1 (car les numéros commencent par 1)

Nombre de chiffres à supprimer : 0
Chiffres à ajouter : 00 (0 pour préfixe ARS et 0 pour 0155…)
Note :
Pour les autres numéros, l'utilisateur ne peut pas bénéficier de rappel, l'affichage sera donc "Nom du faisceau".
3.6.2.16 Prise faisceau professionnel

Le préfixe de la prise de faisceau direct permet d'identifier un faisceau dans le but d'autoriser un
utilisateur à effectuer un appel externe par le biais de ce faisceau.
Le préfixe faisceau 2 permet de prendre le faisceau 1.

déploiement
Les appels 01xxxxxxxx seront envoyés par le faisceau 1 (et arriveront sur le faisceau 2 dans le
système).
3.6.2.17 Tables ARS

L'Appel Direction Logique est un mécanisme permettant à un appel de passer lorsqu'un utilisateur
compose un préfixe ARS et le numéro appelé quel que soit le numéro et le faisceau.
Ceci permet en fonction du numéro appelé, de prendre le faisceau le moins cher sans que l'appelant
ne le remarque.
Le préfixe ARS 0 utilise le discriminateur virtuel 7 (cf entités).
Pour l'entité 10, le tableau discriminateur réel utilisé sera 3.
Tableau discriminateur 3 possède deux numéros gérés (cf discriminateurs) :
• 01xxxxxxxx qui prend le tableau 10 ARS, sur lequel le faisceau 1 est utilisé et tous les numéros
composés sont envoyés
• 112 qui prend le tableau 12 ARS, sur lequel le faisceau 1 est utilisé et l'appel sera envoyé au
0155666000 (comme le faisceau est bouclé)
Danger :
Tous les tests pour les appels sortants doivent être effectués en utilisant le préfixe ARS 0 (pour un appel sortant
provenant du faisceau 1, qui est un appel entrant sur le faisceau 2).
Le préfixe ARS 1 utilise le discriminateur virtuel 7 (cf entités).
Pour l'entité 10, le tableau discriminateur réel utilisé sera 2.
Tableau discriminateur 2 possède un numéro géré (cf discriminateurs) :
• 01xxxxxxxx qui prend le tableau 11 ARS, sur lequel le faisceau 2 est utilisé et tous les numéros
composés sont envoyés
Danger :
Tous les tests pour les appels entrants doivent être effectués en utilisant le préfixe 1 ARS (pour un appel
sortant provenant du faisceau 2, qui est un appel entrant sur le faisceau 1).
3.6.2.18 un numéro abrégé enregistré dans le système.

Les numéros abrégés permettent aux utilisateurs d'appeler un numéro externe comme ils le feraient
avec un numéro interne.
Le numéro abrégé 66100 correspond à 00155665002 (0 pour préfixe ARS et 0155665002 pour poste
65002)
3.6.2.19 DISA
Disa permet à un appel externe d'accéder aux services présents sur le nœud, notamment de substituer
un poste interne et de passer des appels (internes ou externes) en fonction des droits du poste
substitué.
La fonction Disa a été activée sur le faisceau 1.
Le numéro DDI DISA est 0155666009 correspondant au préfixe DISA 66009.
Le mot de passe DISA est 4608.
Le verrouillage temporaire DISA a été activé :
L'utilisateur DISA externe est habilité à 5 tentatives pour le mot de passe DISA et 3 tentatives pour le
mot de passe du poste. Après ces 5 tentatives, l'accès DISA est verrouillé pour le site entier (sur le
noeud correspondant à l'accès DISA). L'accès DISA est verrouillé pour une période définie par les

déploiement
temporisateurs 257 et 258, et les appels DISA sont connectés à un guide de dissuasion. Après cette
période, le déverrouillage s'effectue automatiquement.
Tempo 257 60 min

Tempo 258 1440 min
La nouvelle durée de verrouillage est calculée comme suit :

Durée de verrouillage temporaire = Temporisateur 257 x 2ª où a = no. de tentatives de code secret
durant la durée de verrouillage.
Durée de verrouillage temporaire < Temporisateur 258
Le verrouillage manuel est possible par préfixe provenant d'un poste autorisé (administrateur du site).
Poste administrateur du site : 66000

Préfixe de déverrouillage DISA : 399
Le déverrouillage manuel est possible par 8770.

SERVICES TELEPHONIQUES SPECIFIQUES > ETAT DISA
Restriction : substitution D.I.S.A automatique et D.I.S.A sécurisé sont prioritaires sur le verrouillage
temporaire. Pour un fonctionnement avec verrouillage temporaire uniquement, ces 2 fonctions sont
désactivées.
3.6.2.20 Groupe d'opérateurs

Les groupes d'opérateurs permettent au site d'avoir des appels externes non répondus pour déborder
sur l'entité du poste appelé interne ou le faisceau entrant.
Les postes opérateurs relatifs à un groupe prennent ces appels et possèdent certains droits de gestion
du site (état des entités, classes de service, …).
Le groupe opérateur A10 gère l'entité 10.
Le groupe opérateur A10 a un poste opérateur A11.
Le poste opérateur A11 possède uniquement le droit de modifier l'état (JOUR, NUIT, Mode 1, Mode 2)
du groupe opérateur.
Le groupe opérateur peut être appelé par :
préfixe appel entité : 66007 (numéro DDI 0155666007)

Appel opérateur : 66008 (numéro DDI 0155666008)
Le poste opérateur peut être appelé par :
Appel d'un opérateur individuel : 66010 (numéro non DDI)
Poste opérateur A11
Liste entités 10
Centre de coûts 17
Public Network Category 10
Service de limitation d'appels : 4
Si l'application téléphonique se lance, le poste opérateur A11 affiche "mode nuit", le poste opérateur
est donc hors service pour le groupe opérateur.

déploiement
Pour mettre A11 en service, appuyez sur la touche programmable supérieure droite, puis saisissez le
code secret de A11 si demandé -> le poste A11 est en service.
Note :
L'opération inverse (basculer en mode nuit) est effectuée de la même manière.
3.6.2.21 Sécurité DATA circuit

La sécurité d'accès est utilisée pour vérifier les appels entrants externes à :
• Applications accessibles via le IO2 ou le OBCA,
• terminaux DATA sécurisés.
L'appel est accepté si l'appelant est autorisé à se connecter aux applications ou aux terminaux DATA
sécurisés. L'appelant est identifié par le numéro ISDN. Le numéro de l'appelant est inclus dans
l'élément de données "numéro source" dans le message ETABLISSEMENT reçu de la part du réseau
ISDN.
Sécurité DATA circuit : oui
Pour pouvoir être autorisé, un appel externe pour DATA doit être configuré avec un préfixe de numéro
abrégé direct selon la traduction rappel externe
Numéro abrégé : 66011

Numéro d'appel : 00155665005 (0 pour préfixe ARS + numéro DDI
à afficher)
Ainsi seul le poste 65001 peut réaliser un appel DATA externe entrant.
3.6.2.22 e-RMA :
ERMA est géré sur le GD passerelle e-Media (Position 1-0).
Numéro ERMA : 66004 (DDI 015566004)

Tentatives de connexion : 3
Délai injoignable : 15 minutes (si trop de tentatives erronées)
Une connexion est créée.
Nom de connexion : srv-mas

Password: #Mi!76
Méthode de sécurité : Aucun
Note :
Une connexion ERMA doit être accordée par la fonction de sécurité DATA circuit.
3.6.2.23 Terminal DATA

Un poste analogique (65005) est créé sur 1-6-1.
Un modem peut être branché sur ce terminal afin d'appeler l'application e-RMA (1+0155666004).
Danger :
En raison du verrouillage auto de l'entité 10, vous devez déverrouiller la ligne en branchant un poste analogique
(déverrouiller la ligne "45"+code secret) puis brancher le modem.
3.6.2.24 Préfixes
Tous les préfixes peuvent être consultés ou créés à partir de TRADUCTEUR> PREFIXE.
Ce tableau permet de définir des préfixes de service téléphonique.

déploiement
Pour sortir tous les préfixes et leurs significations, utilisez l'utilitaire LISTRAD.
Le fait que l'utilisateur puisse avoir recours à chaque préfixe dépend du COS de sa station (voir
FEATURE COS et TRUNK COS) sauf pour l'appel opérateur qui est accessible par tous.
3.6.2.25 Taxation
La taxation de la durée est configurée sur le nœud.
Activé sur le faisceau 1 et 2
Coût par unité : 0.10

Hebdomadaire : Du lundi au dimanche
Barème de taxation : 2 unités par minute de 8h00 à 20h00 du lundi au
vendredi
1 unité par minute à d'autres horaires
Zone de taxation : 01000000 à 01999999
La surveillance de la taxation est activé sur les faisceaux 1 et 2.
3.6.2.26 Sécurité de configuration IP touch

Si IP NOE se lance, vous pouvez accéder à la configuration IP et la modifier en appuyant sur "i#".
Appuyer sur "i#" donne par défaut accès à la configuration IP du poste sans mot de passe, mais ce
comportement a été changé.
Mot de passe : 40684038
Une session Telnet peut être ouverte sur les postes NOE IP en utilisant l'outil sur serveur d'appel
"ippstat" :
- Ippstat > menu 15 > donne MCDU du poste > donne temporisation pour la session telnet
Note :
Par défaut aucune session telnet n'est autorisée sur les postes NOE IP.
Certaines données IP du poste peuvent être consultées sur
Page d'accueil > Réglages -> Options -> Paramètres IP.
3.6.2.27 Configuration DHCP

Le serveur DHCP interne du serveur d'appels a été configuré pour fournir des services aux seules
conditions d'Alcatel-Lucent Enterprise dans DHCP CONFIGURATION, ainsi seuls des appareils IP
d'Alcatel-Lucent Enterprise peuvent utiliser le serveur DHCP.
Une plage d'adresses IP 192.168.3.11 à 192.168.3.14 est gérée pour le sous-réseau 192.168.3.0.
3.6.2.28 Configuration SNMP

Un utilisateur SNMP V3 est configuré sur le serveur d'appels :
Nom d'utilisateur : SNMPuser

Mot de passe utilisateur : SNMPuser40684038
Phrase clé chiffrement : SNMPuser4402
3.6.2.29 SIP
Un proxy SIP est activé sur le serveur d'appels pour les postes SIP (port 5060).

déploiement
L'authentification SIP est gérée, ainsi tous les postes SIP doivent donner leur code secret pour utiliser
le serveur d'appels.
Poste SIP créé 65004 avec code secret #SIP_2030!
Ce poste SIP est un modèle Thomson ST2030 :
Connexion admin : SIP_admin

Password: SIPa58
L'administration de ce poste peut s'effectuer sur le poste ou sur le navigateur web.

Danger :
Le poste SIP ne peut pas utiliser les faisceaux en raison de la fonction de limitation de service des appels. Afin de
lui permettre de passer des appels externes, placez sur tous les faisceaux une COS de limitation d'appels égale à
4 (cf Service de limitation d'appels).
3.6.2.30 Contrôle de sécurité et d'accès pour gestion 47xx

Cette fonctionnalité permet de gérer les droits des utilisateurs 47xx enregistrés sur une station 47xx
souhaitant accéder à la configuration du serveur d'appels via l'application 47xx avec CMISD.
Contrôle d'accès utilisateur :
Adminnmc OK pour configuration de sécurité Ok pour

configuration
Admin_47xx NOK pour configuration de sécurité Ok pour
configuration
Gest47xx NOK pour configuration de sécurité Ok pour
configuration
Contrôle d'accès liste :

Liste 1 avec AdminNmc et Admin_47xx
Contrôle d'accès station :
Station Code secret Liste d'utilisateurs

Srv-mgmt 47xx@HS_26!3537xBS12 1
3.6.3 Configuration OS téléphonique

3.6.3.1 Comptes et mots de passe
Sur le serveur d'appel :
Login Mot de passe

racine loop*KLdd!0
swinst AGAPE!38.0
mtcl, q!55hyuZ#$0
adfexc 0139@Home!0
Remarque : après 3 échecs de tentatives de connexion, le compte est verrouillé pendant 15 min.
Sur le GD

déploiement
Login Mot de passe

racine histo_76#12
admin 593@Zo!23
Sur le GA
Login Mot de passe

racine histo_28#46
admin 668@Tb!56
3.6.3.1.1 Afficher la configuration

L'affichage de la configuration IP du serveur d'appel peut s'effectuer en utilisant la commande
"netadmin –m". Sélectionnez l'option 2.
L'affichage de la configuration de sécurité du serveur d'appel peut s'effectuer à partir du compte racine
uniquement ("su" puis mot de passe racine) en utilisant la commande "netadmin –m", sélectionnez
l'option 11.
3.6.3.1.2 Isolement de l'interface Ethernet

Cette option qui permet de laisser uniquement les appareils autorisés à se connecter au serveur
d'appel est activé.
3.6.3.1.3 Hôtes de confiance

Option "Accès Ethernet limité"
Cette option qui permet de déclarer les appareils autorisés à se connecter au serveur d'appel.
Ces appareils peut avoir plusieurs droits en fonction du type d'hôte :
Nom IP adresse IP Nom passerelle IP Type d'hôte

srv-router 192.168.1.1 localhost) Routeur
srv-mgw 192.168.1.31 localhost) Équipement IP
Srv-mga 192.168.1.32 localhost) Équipement IP
Srv-mgmt 192.168.1.11 localhost) 47xx
vccl-router 192.168.3.1 srv-router Routeur
SIp-set 192.168.3.15 srv-router Routeur
Les adresses DHCP déclarées sont automatiquement remplies dans des hôtes fiables.
3.6.3.1.4 Configuration SSH

Cette option, qui permet d'accéder au serveur d'appel uniquement via SSH, est activé.
3.6.3.1.5 Configuration SSL

Une clé privée et un certificat sont générés.
3.6.3.1.6 Serveur Web

Le serveur web est actif
Le port HTTP non sécurisé est désactivé, le serveur web n'est accessible que via HTTPS

déploiement
3.6.3.1.7 ICMP redirect

La redirection ICMP est actuellement rejetée
3.6.3.1.8 Validité du mot de passe

La fonction de validité du mot de passe est activée en utilisant menu outil swinst 2-6-6-2
Login Jours
Root 90
Swinst Non recommandé
Mtcl 90
Adfexc 90
3.6.4 Configuration du serveur OmniVista 8770

3.6.4.1 Exigences relatives à l’ordinateur
Le serveur OmniVista 8770 doit être exécuté sur un ordinateur dédié doté du système d'exploitation
Windows. Pour obtenir des informations sur les prérequis relatifs au système d'exploitation (matériel et
SE pris en charge), reportez-vous au document 8AL90704FRAN.
Note :
Le correctif de sécurité Microsoft peut être installé sur l’ordinateur OmniVista 8770. Lorsque Microsoft publie un
nouveau Service Pack, attendez la prochaine version d'OmniVista 8770 compatible avec le nouveau Service Pack
avant d'installer ce dernier.
3.6.4.2 Compatibilité des logiciels

L’installation du serveur sur un PC dédié garantit un fonctionnement optimal du logiciel. Dans le cas où
le PC serveur doit prendre en charge d’autres applications, il faut effectuer une analyse de
compatibilité, évaluer les besoins des autres applications en termes de ressources système et de
performances et respecter les procédures d’installation et de désinstallation.
Note :
Le DAP Manager (pour le système IP-DECT) peut être installé sur le même ordinateur que le serveur OmniVista
8770.
3.6.4.2.1 Analyse de compatibilité

• Les autres applications de la machine ne doivent pas utiliser de port dédié au serveur OmniVista
8770. Voir le chapitre Compatibilité avec des applications externes dans le document
8AL90705FRAK.
• N’installez pas IIS, fourni avec Windows Server.
• N’installez pas Active Directory, fourni avec Windows Server.
• N’installez pas d’applications mettant à jour les bibliothèques systèmes (fichiers dll).
3.6.4.2.2 Ressources requises par les autres applications

• Vérifiez que les applications externes ne sont pas des serveurs d’application.
• Assurez-vous qu’elles n’utilisent pas toute la mémoire virtuelle du système et le temps CPU et
qu’une fois fermées, elles libèrent correctement la mémoire utilisée.
Le partage de fichiers est désactivé sur srv-mgmt.

déploiement
3.6.4.2.3 Séquence d’installation/de désinstallation des applications

L’application serveur OmniVista 8770 doit être la dernière application installée pour éviter tout
écrasement éventuel de fichiers.
Si le PC serveur dispose de plusieurs cartes réseau, l'ordre des interfaces réseau du serveur dans la
configuration ne doit pas être modifié.
Important :
Si vous désinstallez une application externe, ne confirmez pas la suppression de fichiers dll car ceux-ci
sont peut-être nécessaires au serveur OmniVista 8770.
3.6.4.2.4 Antivirus
Vous pouvez installer un logiciel antivirus sur votre PC client et PC serveur OmniVista 8770, en
respectant les recommandations suivantes :
• Arrêtez l’antivirus pendant l’installation de l’OmniVista 8770.
• Définissez le répertoire utilisé par l'OmniVista 8770 comme exception dans la règle d’antivirus, afin
d’éviter l’analyse de l’antivirus dès que vous démarrez le client. Cela augmente la durée de
chargement de l’application client.
• Configurez l’antivirus, les options antispam et wormstopper pour autoriser le protocole de
messagerie (smtp port 25).
Autorisez les binaires Omnivista (javaw.exe) à utiliser le protocole de messagerie et augmentez le
nombre d’e-mails autorisés (l’option wormstopper peut limiter le nombre d’e-mails provenant d’un PC à
un maximum de six messages par minute).
Le serveur OmniVista 8770 (version5.0.07.05.c) est configuré pour se connecter et gérer srv-csm :
• Le serveur d'appel srv-csm est déclaré
• Connexion et mot de passe pour compte ftp (adfexc) sont déclarés (voir §7.a)
• SSH est activé
Pour utiliser la configuration, l'accès à la sécurité est activé et le mot de passe de la station pour
CMISD rempli (Manuel administrateur de l'OmniVista 8770)
Le port pour le serveur dap est 993 (389 par défaut). Ajouté à la configuration Ipsec.
Le port pour le serveur Apache est 7856 (80 par défaut). Ajouté à la configuration Ipsec.
La page d'accueil IE est configurée pour pointer sur ce serveur (avant d'utiliser, consultez la rubrique
« Accès via un navigateur » de la Documentation technique de l'OmniVista 8770).
Comptes OmniVista 8770 :

déploiement
Login Mot de passe Rights Note

Base de données ROHSTH203 Mot de passe du
admin compte par défaut
changé (inutile pour ces
3 mots de passe d'être
identiques : peuvent
être changés avec les
outils OmniVista).
Gestionnaire d'annuaire ROHSTH203 Mot de passe du
LDAP compte par défaut
outils OmniVista).
Gestionnaire de ROHSTH203 Mot de passe du
console LDAP compte par défaut
outils OmniVista).
Adminnmc RO!Hs#TH203 Super utilisateur Mot de passe super uti-
lisateur par défaut mo-
difié
Longueur min.=8
Validité du mot de pas-
se=90 jours
Admin_47xx QpS_9*D#isi Administrateur avec Aucune modification au-

droits limités application torisée des attributs de
REPERTOIRE connexion au serveur
d'appels
Longueur min.=8
se=90 jours
Gest47xx AlcaT#LuSec23 Gestionnaire simple Droits pour l'application

de configuration unique-
ment avec quelques ob-
jets à gérer
Longueur min.=8
se=90 jours
Les "politiques de sécurité locales" ont été configurées.

La gestion des droits d'accès a été effectuée pour les répertoires "C:\8770" et "c:\8770_ARC".

déploiement
La gestion du pare-feu Windows a été effectuée pour permettre uniquement au sous-réseau utilisateur
de données d'accéder aux ports client OmniVista 8770 et aux ports application OmniVista 8770.
Le tunnel IPSec est géré en utilisant la méthode d'authentification basée sur PSK (la connexion à srv-
mgmt nécessite un niveau de sécurité) :
• Key = passphrase_pour_ipsec
• La stratégie serveur est d'accepter des communications non-cryptées et ne pas forcer la protection
de toutes les communications.
3.6.5 OmniVista 8770 Configuration du client

Le tableau ci-dessous répertorie les configurations matérielles et logicielles requises pour le client
OmniVista 8770
tableau 3.10 : Matériel et logiciels requis
Système d’exploitation Windows 7 (32 ou 64 bits) SP1, Windows 8,

Windows 8.1, Windows 10
processeur Intel® Core 2 GHz
Ce type de processeur est donné à titre d’exem-
ple. La fréquence de l'horloge est un prérequis
minimal.
RAM 4 Go
Disque dur 40 Go
Carte graphique Mémoire vidéo de 4 Mo avec une résolution de
1024 X 768 en 16 millions de couleurs
Moniteur 17 pouces (19 pouces recommandé)
Navigateur Internet Internet Explorer (version 9, 10 ou 11)
Mozilla Firefox
Étant donné qu'il n'y a aucun serveur DNS sur la plateforme, srv-mgmt est ajouté aux fichiers hôtes de
dtcl1.
La gestion du pare-feu Windows a été effectuée pour permettre uniquement au serveur OmniVista
8770 d'accéder aux ports application client OmniVista 8770.
Pour utiliser l'application client OmniVista 8770 sur dtcl1 :
1. Exécute la commande Démarrer > Programmes > Client OmniVista 8770.
L'écran de connexion apparaît vierge.
2. Spécifiez le nom du serveur auquel vous souhaitez vous connecter
3. Saisissez le nom et le mot de passe d'un compte authentifié dans l'Annuaire d'entreprise de ce
serveur
4. Confirm
Le réseau est analysé à la recherche de ce serveur.
Connectez-vous à l'application en tant que Gest87xx pour effectuer des opérations normales (voir les
comptes OmniVista 8770 listés dans la section précédente).
La gestion de "politiques de sécurité locales" est effectuée.
La gestion des droits d'accès s'est effectuée pour le répertoire "c:\Client8770".

déploiement
Un tunnel IPSec est géré en utilisant la méthode d'authentification basée sur PSK (accepter sécurité si
requis par le serveur) :
Key = passphrase_pour_ipsec

Chapitre
4 Topologie
4.1 Préambule
Cette rubrique décrit les différentes topologies possibles sur un noeud OmniPCX Enterprise.
Un nœud est constitué d'un serveur de communication qui contrôle une ou plusieurs Media Gateways.
Les Media Gateways fournissent les interfaces vers les postes et vers les réseaux extérieurs.
Chaque noeud est structuré entre zone principale et zones déportées. La zone principale contient une
Media Gateway “à proximité” du serveur de communication. C'est elle qui supporte les artères vers les
autres noeuds du réseau.
Les zones déportées peuvent être raccordées à la zone principale via le WAN (zone déportée IP avec
ACT ou OmniPCX Media Gateway) ou via le réseau public (raccordement RT2).
Il existe trois possibilités de supports pour le serveur de communication :
• une carte CPU hardware Crystal dans un meuble M2, M3, WM1 ou VH : le serveur de
communication est alors appelé IPCS (IP Crystal Server). La carte CPU8 n'est pas prise en charge
sur la WM1 ou le meuble VH
• Une carte CPU Common Hardware dans un coffret S ou L : le serveur de communication est alors
appelé IPRS (IP Rack Server).
• Appliance Server (PC externe) : le serveur de communication est alors appelé IPAS (IP Appliance
Server).
Il y a deux types de matériel pour les Media Gateway :
• coffrets S et L, pour les OmniPCX Media Gateways,
• meubles M2, M3, WM1, VH pour les ACT Media Gateway.
Quel que soit le matériel utilisé, les services offerts sont les mêmes. Cependant l'e-RMA et la
messagerie vocale A4645 ne sont pas disponibles sur carte CPU. Et certaines fonctions ne sont
disponibles que sur cartes au format de l'ACT (voir ci-dessous).
Les paragraphes qui suivent présentent les topologies possibles en fonction du matériel utilisé dans la
zone principale :
1. le matériel dans la zone principale est à base de coffrets S et L : le serveur de communication peut
alors être embarqué soit sur une carte CS placée dans un coffret S ou L, soit sur un Appliance
Server,
2. le matériel dans la zone principale est à base d'ACT : le serveur de communication peut être
embarqué soit sur une CPU placée dans un ACT, soit sur un Appliance Server.
4.2 Zone principale à base d'OmniPCX Media Gateway

4.2.1 Architecture
Le serveur de communication est embarqué sur un Appliance Server ou une carte CS dans un
coffret S ou L.
L'architecture s'organise de la façon suivante :
• zone principale : OmniPCX Media Gateway (1 à 3 coffrets de type S ou L) + éventuellement une
ACT Media Gateway avec un choix de carte restreint,
• zones déportées :

Chapitre 4 Topologie
• OmniPCX Media Gateway sur IP,

• ACT Media Gateway sur IP.
zone déportée sur IP avec zone déportée sur IP avec
ACT Media Gateway OmniPCX Media Gateway
INT-
IP B
MEX MEX
GD
WAN
LAN
INT-
GD IP B
Call Server
ACT
MEX
Appliance Server ou
MEX
carte CS
zone principale
Figure 4.1 : Exemple de configuration avec OmniPCX Media Gateway dans la zone principale
4.2.2 ACT de la zone principale

L'ACT placé dans la zone principale a pour rôle d'abriter des cartes qui ne sont pas disponibles au
format des coffrets de type S ou L :
• accès réseau public : DDI-D, AT-Q23, AT-R2, DID-USA,
• cartes analogiques : PCM2, ACEM, EMTL, BLTL-D, LDTL4, LDTL8, E&M-4TL-USA,
• DECT / applications / data : DECT8, GPA, VPM35, SPA3, VPU5 (4635H), CMP.
D'autre part, elle permet de fournir des services complémentaires à ceux qui sont disponibles sur
OmniPCX Media Gateway :
• augmentation de la capacité DECT par l'apport de cartes DECT8,

• messagerie vocale comportant beaucoup de boîtes vocales (4635H).
4.3 Zone principale à base d'ACT Media Gateway

L'architecture diffère selon le support du serveur de communication :
• le serveur de communication est sur une carte CPU7_2 ou CPU8 : il peut y avoir 3 niveaux d'ACT,
c'est-à-dire qu'un ACT périphérique peut être raccordé sur un autre ACT périphérique, lui-même
raccordé sur l'ACT principal (qui héberge la CPU),
• le serveur de communication est sur un Appliance Server : il ne peut y avoir que 2 niveaux d'ACT.
4.3.1 Serveur de communication sur une carte CPU

• zone principale : ACT principal (qui héberge la CPU) + ACT périphériques raccordés par lien
INTOF, sur 3 niveaux maximum,
• zone déportée filaire : ACT périphérique sur RT2 (cet ACT peut être raccordé directement sur
l'ACT principal ou sur ACT périphérique avec INTOF.


INT-
IP B
MEX MEX
zone déportée filaire
GD RT2 Niv. 3
B
lien RT2
WAN
Réseau public
LAN
Niv. 1 INTOF
CPU B
INTOF Niv. 2
B
INTOF Niv. 2
B INTOF
B
Niv. 3
Niv. 2
zone principale
Figure 4.2 : Exemple de configuration avec carte CPU sur ACT
Note :
• seules les cartes contrôleur sont représentées sur le schéma,
• l'ACT principal doit aussi contenir une carte INT-IP A pour assurer les liaisons avec les zones déportées sur IP,
• à chaque carte INTOF B (ou RT2 B) correspond une carte INTOF A (ou RT2 A) sur l'ACT de niveau supérieur.
4.3.2 Serveur de communication sur un Appliance Server

• zone principale : ACT principal + ACT périphérique sur INTOF,
• zone déportée filaire : ACT périphérique sur RT2 raccordé directement sur l'ACT principal.


INT-
IP B
MEX MEX
zone déportée filaire
GD
RT2
B
Niv.2
lien RT2
WAN
Réseau public
IOIP
Niv.1
INT-
Internet Server platform IP A
INTOF
B
Appliance Server
INTOF
B
Niv.2
INTOF Niv.2 liens INTOF

B
zone principale
Figure 4.3 : Exemple de configuration avec Appliance Server et zone principale ACT
Note :
• dans cette configuration, l'ACT de niveau 3 est interdit,
• l'ACT principal est contrôlé par une carte IOIP (fonction signalisation 4x64 kbps). Cette carte ne comportant
pas de compresseurs, une INT-IP A est nécessaire pour assurer les communications IP avec les autres zones
déportées,
• à chaque carte INTOF B (ou RT2 B) correspond une carte INTOF A (ou RT2 A) sur l'ACT principal.
4.4 Mise en oeuvre des Media Gateways

• ACT principal (avec CPU pour matériel Crystal) : opérationnel dès la mise en service de la CPU.
• ACT Media Gateway sur IP : voir document 8AL91028FRBA.
• OmniPCX Media Gateway sur IP : voir document 8AL91027FRBA.
• ACT périphérique sur INTOF ou RT2 : voir document 8AL91028FRBA.

Chapitre
5 Généralités sur le BootDVD
Le bootDVD est un logiciel destiné à être gravé sur un DVD de démarrage ou à être utilisé via une
machine virtuelle (format de fichier iso). Cela comprend principalement le système d'exploitation Suse
Linux Enterprise Server (SLES).
Son objectif est de pouvoir installer le système d'exploitation SLES et de préparer l'installation d'un
produit logiciel, tel que :
• OmniPCX Enterprise
• Generic Appliance Server
• OXE Media Services (OXE-MS)
• OST (OXE Signaling Translator 64 (OST64) ou External Encryption Gateway (EEGW))
La liste de produits est évolutive et peut inclure plus de produits.
Le bootDVD peut être déployé avec le logiciel du produit soit à partir de la machine hôte, soit à partir
du réseau via S.O.T. :
• Depuis le serveur hôte : une fois la machine physique ou virtuelle démarrée sur le bootDVD, un
menu apparaît à l'écran pour installer le système d'exploitation SLES et préparer l'installation pour
plusieurs produits. L'installation du produit dépend du produit en lui-même et nécessite un logiciel
supplémentaire, tel que Generic Appliance Server, OXE-MS ou des fichiers iso OST. L'installation
du système d'exploitation SLES commence après la sélection du produit correspondant dans le
menu.
• Via S.O.T. : une fois que la machine hôte (physique ou virtuelle) a démarré, elle se connecte au site
S.O.T. et charge le bootDVD et le logiciel du produit. L'installation du système d'exploitation SLES
démarre automatiquement sur la machine virtuelle.
Les versions du bootDVD sortent régulièrement avec de nouvelles fonctionnalités, de nouveaux
produits, des correctifs de bogues et/ou de sécurité. Des informations sont fournies sur le portail
commercial Alcatel-Lucent Enterprise.
Il est important de vérifier les compatibilités entre la version du bootDVD et le produit en question. Pour
plus de détails, reportez-vous aux notes de version du produit à installer.
Le système d'exploitation SLES déployé pour un produit peut également être mis à jour depuis la
machine hôte, ou depuis le réseau via S.O.T. : voir Mise à jour du système d'exploitation du produit
(bootDVD uniquement) à la page 413.
Cette procédure de mise à jour s'applique à tous les produits gérés par le bootDVD. Dans une
implémentation typique, cette opération n'est pas obligatoire, mais est recommandée pour des raisons
de sécurité.
Pour une nouvelle installation, utilisez le dernier bootDVD trouvé sur le portail commercial Alcatel-
Lucent Enterprise.
Le mot de passe racine par défaut est letacla1. Il doit être modifié lors de la première connexion. Le
mot de passe doit respecter la règle suivante : être composé de 6 à 8 caractères au minimum, avec au
moins un chiffre (de 0 à 9), une minuscule et un caractère spécial (signe de ponctuation).
Les figures suivantes présentent les menus proposés après démarrage sur le bootDVD. Ils peuvent
varier en cas d'ajout de nouveaux produits ou de modification des menus. Seule la section OmniPCX
Enterprise est affichée.

Chapitre 5 Généralités sur le BootDVD
Figure 5.1 : Exemple de page d'accueil du BootDVD
Figure 5.2 : Exemple de page principale du BootDVD

Chapitre 5 Généralités sur le BootDVD
Figure 5.3 : Exemple de page de menu du BootDVD pour les produits OmniPCX Enterprise

Chapitre
6 Lancement du logiciel du
Les versions logicielles du Communication Server sont livrées sous forme de fichiers iso et peuvent
être téléchargées à partir du portail professionnel Alcatel-Lucent Enterprise.
Une version logicielle comprend les éléments suivants :
• Système d'exploitation Linux
• Paquet swinst
• des binaires pour la partie téléphone,
• éventuellement des mises à jour pour Linux, swinst et le téléphone.
Les mises à jour sont contenues dans des patches. Un patch pourra regrouper une ou plusieurs
mises à jour.
Certaines de ces mises à jour sont appelées patchs dynamiques. Ces patchs comportent des
binaires pour le téléphone ainsi qu’une procédure qui en plus d’installer les fichiers sur disque, les
installe aussi en mémoire, ce qui évite de redémarrer le système. Cette procédure est intéressante
pour une installation de patch sur un site en service.
Les versions logicielles disponibles sur Alcatel-Lucent Enterprise ont l'arborescence suivante :
• sous la racine, un répertoire dhs3mgr
• un (ou plusieurs) sous-répertoire(s) contenant les noms de version.
Exemple :
\dhs3mgr\<release (version) name, or static or dynamic patch name>\...
Un fichier readme est inclus avec les patchs. Il se trouve dans / dhs3mgr/<patch or dynamic
patch name>. Ce fichier résume les corrections, avec libellés (en anglais la plupart du temps) ainsi
que numéros et rapports d'anomalies. Ce fichier décrit aussi les binaires modifiés (un champ new
identifie chacun de ces binaires). Tous les patchs précédents de la version standard complète sont
listés : les fichiers Readme antérieures ne sont de ce fait pas nécessaires. Le dernier fichier récapitule
tous les autres.
Attention :
Ce document ne traite pas de l’installation manuelle de binaires de téléphone (opération sans formatage
du disque, où le système d'exploitation et les données client sont conservés). Ce type d'installation
s'effectue à l'aide de swinst (voir : document 8AL91011FRBA), et est utile notamment lorsque l’on veut
mettre à jour une version ou ajouter un patch (statique ou dynamique).
6.1 Linux
Les versions complètes de Linux se trouvent dans : \dhs3mgr\<version>\pcmao\boot_res
\bootp\linux\ suivi du numéro de version.
La version complète de Linux est identifiée au moyen d'un numéro se terminant par trois zéros (par
exemple : 106.000).
Pour obtenir le numéro de version, utilisez la commande sysload version.
Les mises à jour se trouvent dans : \dhs3mgr\<version>\pkglinux\linux" and "\dhs3mgr
\<version>\pkglinux\RPMS.
Pour identifier la version de mise à jour, voir le fichier lx_version-[version]..

Chapitre 6 Lancement du logiciel du Communication Server
6.2 Swinst
Swinst est un paquet qui est livré dans la version complète Linux. Il peut aussi être re-livré en tant que
mise à niveau dans des versions complètes d'applications téléphoniques ou pour des patchs statiques
ou même dynamiques. Son installation se fait téléphone démarré ou non. Il ne s'installe pas seul (sauf
cas exceptionnel) car il fait toujours partie d'une livraison de Linux ou de patch(s) téléphonique(s) et
s'installe donc en même temps que ceux-ci.
Il est toujours inclus dans le répertoire \dhs3mgr\<version>\pkglinux\facil.
Le numéro de version figure dans le nom (par exemple swinst-2.14.0-4alc.i386.rpm pour la
version 2.14.0).
Pour identifier la version installée sur disque, connectez-vous avec le compte swinst : le numéro de
version s'affiche dans l'en-tête des menus.
Pour plus d'informations sur les fonctionnalités du menu swinst, voir : document 8AL91011FRBA.
6.3 Patchs
Les patchs téléphoniques arrivent sous forme d'un fichier de type cpiofile (fichier compacté Unix)
qui se situe dans le répertoire \dhs3mgr\<version>\dhs3linux (exemple : \dhs3mgr
\e1604\dhs3linux\comm\cpiofile).
Le répertoire comm contient la majorité des binaires. Pour les binaires spécifiques aux pays, le fichier
cpiofile se trouve au même niveau d’arborescence mais dans un répertoire nommé selon la norme
internationale (exemple : es pour l'Espagne, ch pour la Suisse, etc.).
Les patchs Linux et swinst sont fournis sous forme de paquets de type "RPM" ("Red hat Package
Manager" : standard pour les versions Mandrake, Suse et Red Hat). Ces fichiers installables
contiennent des binaires ainsi que des scripts d'installation pour diverses fonctionnalités liées au
système d'exploitation (exemple : package dhcp_a4400-2.1.17-1oxe.i386.rpm pour dhcp …).
6.3.1 Patchs Linux

Les patchs Linux sont des modifications du système d'exploitation apportées avec des versions
d'applications téléphoniques. Ils comprennent des paquets de type “RPM”. Il est nécessaire de
redémarrer la machine après leur installation. Ils ne s'installent que lorsque le téléphone est arrêté ou
quand l'installation se fait sur la partition inactive.
Ce type de patch ne s'installe pas seul (sauf cas exceptionnel) car il fait toujours partie d'une livraison
de patch(s) téléphonique(s) et s'installe donc en même temps que ceux-ci.
6.3.2 Patchs téléphoniques de type statique

Ces patchs sont des nouveaux fichiers de l'application téléphonique apportant des corrections ou des
améliorations. Ils ne s'installent que lorsque le téléphone est arrêté ou quand l'installation se fait sur la
partition inactive.
Ils s'installent à la fin d'une installation complète de version. Ils ne peuvent pas être installés si la
version complète n'est pas installée.
On peut distinguer facilement un patch statique d'une version complète par la présence de deux
fichiers texte dans l'arborescence : \dhs3mgr\<patch name>\<installlinux\for_comp et
2\dhs3mgr\< patch name>\<installlinux\patch>.

Chapitre 6 Lancement du logiciel du Communication Server
Le premier fichier sert lors de l'installation d'une version complète en mode standard (voir Installation
sur partition active à la page 118) : pour un patch statique, il donne le nom de la version complète
associée au patch. Le second fichier donne la version du patch : un nombre commençant par "1".
• Le nom d'un patch statique est généralement constitué par le nom de la version complète suivi du
numéro de patch.
• Chaque nouveau patch statique reprend forcement les corrections de tous les précédents.
• Pour identifier la version installée sur disque, utilisez la commande siteid.
• Certains patchs nécessitent un redémarrage complet : c’est le cas lorsque l’on a installé une
nouvelle version de Linux par exemple. À la fin de l'installation par swinst, un message système
est émis, demandant de procéder au redémarrage de la machine.
6.3.3 Patchs téléphoniques de type dynamique

Ces patchs sont des nouveaux fichiers de l'application téléphonique apportant des corrections ou des
améliorations. Ils peuvent s'installer sur la partition active ou inactive lorsque le téléphone est démarré
sans perturber le fonctionnement du téléphone. Ils peuvent aussi être installés téléphone arrêté.
Après installation, ce type de patch est immédiatement chargé dans la mémoire de l'UC. Le client
dispose alors des corrections, sans avoir à redémarrer la machine (sauf cas particulier détaillé ci-
dessous). Cette installation est réalisée à l’aide de l’outil memloader. Pour chaque processus patché
en mémoire, un incident 2176 est émis pour signaler l'opération. En cas de problème lors du
chargement du patch dynamique, le fichier patcher.log est créé et l'incident 2177 est émis.
Un patch dynamique officiel ayant un binaire téléphonique (par exemple, TEL.1.so) inférieur à un
binaire téléphonique non officiel déjà installé (par exemple, TEL.800.so) n'est pas installé, mais
seulement copié dans /DHS3bin/patches.
Les patchs dynamiques s'installent après les patchs statiques. Ils ne peuvent en aucun cas fonctionner
sans la version du téléphone de base plus le patch statique correspondant.
Le nom des patchs dynamiques se termine toujours par une ou deux lettres. Le premier patch
dynamique correspondant à une version se termine par la lettre “a”, le suivant se termine par “b” et
ainsi de suite jusqu'à épuisement des lettres de l'alphabet. Si un patch postérieur à la lettre “z” est
nécessaire, il sera nommé “aa”, etc.
Cas particuliers
Lorsque le patch comporte un nouveau firmware de coupleur, les cartes devront être réinitialisées pour
que les modifications soient prises en compte. Dans le cas de cartes IO2N il faut redémarrer la
machine pour prise en compte. Utilisez la commande downstat d pour identifier les cartes devant
être téléchargées à nouveau.
Lisez également le fichier readme figurant sur le patch dans \dhs3mgr\<version> : il contient des
informations sur certaines opérations à réaliser après l'installation du patch, comme par exemple les
processus à redémarrer (commande dhs3_init –R <process name>) ou le redémarrage de la
machine. Si ces opérations ne sont pas effectuées, le patch n'apportera pas toutes les corrections
voulues.
Pour identifier la version installée sur disque, utilisez la commande siteid.

Le fichier : \dhs3mgr\<dyn patch name>\<installlinux\Nostopte (taille nulle) est présent
pour informer swinst que ce patch peut être installé avec le téléphone en fonctionnement.
Le fichier : \dhs3mgr\<dyn patch name>\<installlinux\patchdyn donne le nom du patch
statique qui prend en charge ce patch dynamique. Ce fichier est lu lors d'une installation en mode
standard : pour ce type d’installation, l’installateur nomme ce patch et récursivement on récupère le
nom du patch puis le nom de la version complète (grâce au fichier for_comp du patch).

Chapitre
7 Partitionnement du Communication
Server
À l'installation, le disque dur du Communicaton Server comporte deux parties distinctes. La première
reçoit la version active de l'application et la seconde offre suffisamment de place pour contenir une
version inactive de l'application téléphonique.
Ceci permet d'installer une version de l'application sur la partie inactive du disque sans perturber le
fonctionnement du téléphone.
Serveur de
communications
Terminaux de
Version active téléphonie
Version inactive
Le disque dur est divisé en partitions.

Chaque partition peut être considérée comme un disque virtuel, espace indépendant qui contient
fichiers, répertoires et données.
Ces partitions sont dites “montées” (accessibles par la commande mount) lorsqu'elles sont
accessibles et modifiables par l'utilisateur.
7.1 Description
Lors du formatage d’un disque dur, il existe des partitions créées en vue d’accueillir une deuxième
version du Communication Server.
Cela permet de réaliser une mise à jour de version tout en conservant la version actuelle, de minimiser
le temps d’indisponibilité du téléphone et d’éviter les manipulations de disque dur.
Cette opération se réalise téléphone démarré ou arrêté. Un téléphone éteint ne procure aucun
avantage. Un téléphone en fonctionnement n'a pas d'impact sur les utilisateurs : les opérations
effectuées dans le système de fichiers n'affectent en aucun cas le traitement d'appels.
L’utilisation du bi-partitionnement n’est possible que si les tailles de toutes les partitions sont
conservées. C’est à dire si le nouveau Linux, en cas d’installation standard, formatte toutes les
partitions à la même taille que celle de la version à mettre à jour. Dans le cas contraire, il faudra
procéder par installation standard (avec reformatage. On ne conserve plus l’ancienne version).

Chapitre 7 Partitionnement du Communication Server
On parlera d’une manière générale de la partition bis bien qu’il y ait en fait plusieurs partitions
dupliquées. La nouvelle version à installer peut contenir un nouveau Linux (mise à jour ou version
majeure) ou uniquement des binaires de téléphone (c’est à dire une version complète ou des patchs).
La version actuelle est dite présente sur la partition active. La nouvelle version est installée sur la
partition dite inactive. La version à installer sur la partition inactive doit être supérieure ou égale à la
version qui s'exécute actuellement sur la partition active.
La base de données est dupliquée sur une des partitions inactives. Elle peut être traduite par swinst
avant la prise en compte de la nouvelle version ou après. La traduction est aussi automatique au
lancement du téléphone si l’on ne l’a pas faite auparavant.
Après installation sur la partition inactive, l’opération de passage sur la nouvelle version s’appelle un
« basculement ». Elle est déclenchée manuellement. Des opérations sont alors réalisées sur les
différents systèmes de fichiers et un redémarrage est exécuté. La nouvelle version passe alors sur la
nouvelle partition active.
Toutes les partitions ne sont pas dupliquées. Certaines resteront communes quel que soit l’état avant
ou après un basculement (voir Structure à la page 115).
Les partitions « bis » sont invisibles pour l’utilisateur. Une fois que l’on est passé sur la nouvelle
version, on n’a pas à se préoccuper des chemins pour les fichiers et les autres opérations : la syntaxe
reste identique. Tout cela est caché pour l’utilisateur car un mécanisme de liens Unix est utilisé pour
cette fonctionnalité.
La méthode de bi-partition est aussi utilisée par l’application « chargement à distance ». Cette
application permet aussi d’installer un Communication Server (à distance ou même en local).
7.2 Structure
Principaux systèmes de fichiers communs :
/dev/hda9 on /usr4 type ext2 (rw) contient la taxation, l'observation de trafic et divers fi-
chiers de traces…
/dev/hda15 on /usr7 type ext2 (rw) contient les guides vocaux.
Partition Eva contient la messagerie vocale 4645.
Systèmes de fichiers dupliqués :
/ root (accueille l’OS Linux)
/usr2 contient la version de téléphone.
/usr3 contient la base de données.
/var contient des informations système pour Linux.
La partition contenant le crashdump n’est pas dupliquée.

Chapitre
8 Installation du Communication
Server sur une machine physique
8.1 Présentation de l'installation

L'installation standard d'un Communication Server consiste à charger une version complète ou une
version complète + un patch statique ou une version complète + un patch statique + un patch
dynamique sur le partionnement actif ou inactif du disque dur du serveur de communication.
L'installation standard s'effectue en plusieurs étapes :
1. Un projet de déploiement est préparé sur S.O.T. avec les paramètres du Communication Server et
la version du logiciel.
2. Le Communication Server doit effectuer un amorçage réseau sur le S.O.T.
3. Le S.O.T. fournit via FTP le système d'exploitation Linux, les paquets swinst et les
binaires de l'application téléphonique.
4. Le Communication Server redémarre automatiquement en fin d'installation.
8.2 Procédures d'installation du logiciel

L'installation du logiciel Communication Server est effectuée via l'outil Software Orchestration
Tool(S.O.T.).
Un Communication Server peut également être utilisé pour des installations de type « chargement à
distance » ou pour le chargement de logiciels sur des partitions inactives. Dans ce cas, cette
configuration s'effectue à l'aide de l'outil swinst.
Le tableau suivant donne toutes les procédures d'installation de versions et de correctifs possibles.
Pour plus de détails, voir Installation sur partition active à la page 118, Installation sur partition inactive
à la page 128, Processus de mise à jour à distance à la page 398 ou Mise à jour du logiciel du
Communication Server à la page 394.
Module à installer Partition active Partition inactive Outils d'installation
Version complète à installer Voir Installation sur partition acti- Voir Installation sur partition inacti- Bios + S.O.T.
(installation standard) ve à la page 118. ve à la page 128
Note :
L'installation standard
comprend une version
complète Linux + mise à jour
Linux (optionnel) + swinst +
téléphone + patch (optionnel)
+ patch dynamique (optionnel)
+ patch de chiffrement
(optionnel).
swinst Installé lors d'une installation Installé lors d'une duplication de S.O.T. ou swinst
standard ou d'un patch (statique partition, d'une installation à dis-
ou dynamique) tance, de l'installation d'un patch
statique ou dynamique ou de l'ins-
tallation d'une version complète de
Linux
Installation d'une version com- Installé lors d'une installation Installé lors d'un chargement à dis- S.O.T. ou swinst
plète Linux standard tance. Installé lors d'une opération
Duplicate Linux dans le menu
swinst Duplicate parti-
tions. Installé avec le menu In-
stall package de swinst

Chapitre 8 Installation du Communication Server sur une machine
physique
Module à installer Partition active Partition inactive Outils d'installation

Patch Linux Installé par swinst "manuelle- Installé par swinst "manuelle- swinst
ment" lors d'une installation de ment" lors d'une installation de
patch statique patch statique ou par chargement
à distance. Copié avec la version
Linux complète via les menus Du-
plicate partition
Patch téléphonique statique Installé par swinst "manuelle- Installé par swinst "manuelle- swinst
ment" ment" (*) ou par chargement à dis-
tance.
Patch téléphonique dynami- Installé par swinst "manuelle- Installé par swinst "manuelle- swinst
que ment" ou par chargement à dis- ment" (*) ou par chargement à dis-
tance tance.
Patch de chiffrement Installé par swinst "manuelle- Installé par swinst "manuelle- swinst
ment" ou par chargement à dis- ment" (*) ou par chargement à dis-
tance tance.
(*)
: l'installation "manuelle" s'effectue avec swinst via le menu : 2 Expert menu > 9 Remote
download > 10 Local load as distributor of ISO image/ZIP file and
installation. Pour plus d’informations, reportez-vous au document 8AL91011FRBA.
8.3 Exigences d'installation

L'installation du Communication Server nécessite :
• L'outil S.O.T. a démarré
Pour plus d'informations sur l'installation et le démarrage du S.O.T., voir document 8AL90559USAF.
• La machine physique, ou le serveur hôte (pour un déploiement sur un environnement virtuel)
connecté à l'adresse S.O.T. via un câble Ethernet croisé, un concentrateur ou un commutateur.
• La version du logiciel OmniPCX Enterprise cible disponible dans un fichier iso, y compris la version
complète et les correctifs statiques dans le répertoire dhs3mgr. Le dhs3mgr peut également être
téléchargé sur le S.O.T. tel quel
Les progiciels OmniPCX Enterprise sont disponibles sur le site Web du portail du groupe
Entreprise.
• Les paramètres réseau du réseau local client (masque de sous-réseau, nom de domaine, adresse
IP de la passerelle et adresse IP DNS)
• Le fichier de licence OmniPCX Enterprise
• Les paramètres du Communication Server (type de CPU, adresse MAC, nom d'hôte et adresse IP)
• Les paramètres du Communication Server jumelé en cas de configuration dupliquée
Si le S.O.T. est utilisé comme stockage local, le prologiciel OmniPCX Enterprise et la licence doivent
être téléchargés et déclarés dans la liste des médias sur S.O.T..
En option, vous pouvez connecter un terminal avec émulation VT100 (Hyper-terminal, PuTTY,
minicom, etc.) au Communication Server pour suivre le déroulement de l'installation à l'écran. Quel que
soit le type de Communication Server (matériel Crystal ou matériel commun), la configuration par
défaut du port série est la suivante :
• vitesse de 9600 bds
• 8 bits
• Sans parité
• 1 bit d'arrêt
• XON/XOFF.

physique
8.4 Installation sur partition active

8.4.1 Vérification de la version BIOS
Le serveur de communication doit disposer d'une version actualisée du BIOS :
• Les cartes CS-2 doivent être dotées de la version de bios 8.3 ou supérieure.
• Les cartes CS-3 et CPU8 doivent être dotées de la version de bios 0.4 ou supérieure.
• Les cartes CPU7-2 doivent être dotées de la version de BIOS 3BA24115AAFC ou ultérieure.
Si ce n'est pas le cas, la carte correspondante est à renvoyer en S.A.V.
Pour vérifier la version BIOS sur une carte CS-2, CS-3 ou CPU8 :
1. Démarrez la carte
2. En cas de besoin, appuyez sur les boutons Ctrl + B pour entrer dans la configuration de BIOS
3. Vérifiez la version BIOS affichée sur l'écran
Pour vérifier la version BIOS sur une carte CPU7-2 :
1. Loggez-vous en tant que root.
2. Lancez une ligne de commande et tapez la commande uhwconf.
3. Le résultat de cette commande est par exemple : BIOS Version : 3BA24115AAEB
4. Vérifiez la version BIOS.
La version BIOS doit être ultérieure ou égale à la version 3BA24115AAFC bscpu7300/004.003.
Si la version BIOS est antérieure à la version 3BA24115AAFC bscpu7300/004.003 : la mise à
jour BIOS s'impose.
Pour mettre à jour la version BIOS d'une carte, suivez la procédure suivante :
1. Connectez-vous à la carte en utilisant le compte root
2. Utilisez le ftp/sftp pour transférer le fichier binaire BIOS au dossier /tmpd du nœud OmniPCX
Enterprise pour lequel le BIOS a été mis à jour.
Le fichier binaire BIOS varie selon le type de carte :
Carte Fichier binaire

CPU7-2 bsp_cpu7.hex
CPU8 bioscpu8.rom
CS-2 bioscs2.rom
CS-3 bioscs3.rom
3. Utilisez la commande cp pour copier le fichier binaire BIOS vers l'emplacement /usr2/downbin/
Exemple :
[root@cpu7s2_33 tmpd]# cp /tmpd/bsp_cpu7.hex /usr2/downbin/bsp_cpu7.hex
4. Cliquez sur y (yes) pour écraser le fichier existant.
Exemple :
cp: overwrite `/usr2/downbin/bsp_cpu7.hex'? y
[root@cpu7s2_33 tmpd]#
5. Réinitialisez la carte

physique
Pendant le redémarrage BIOS, le BIOS est automatiquement lancé si la version BIOS existante est
antérieure à la version installée dans /usr2/downbin
6. Lorsque le lancement est terminé, redémarrez la carte encore une fois.
La carte démarre avec le nouveau BIOS.
Attention :
Pendant le lancement, ne soumettez pas la carte à un redémarrage dur et ne coupez pas l'alimentation.
8.4.2 Création d'un projet de déploiement du Communication Server via S.O.T.

Le projet vous permet de préparer le déploiement du Communication Server, et le déploie soit
immédiatement après sa création soit plus tard, en fonction de vos besoins. La création du projet est
effectué en utilisant S.O.T.
Pour créer un projet de déploiement du serveur de communication via S.O.T. :
1. Depuis la page d'accueil de S.O.T., sélectionnez Projects > Create project
2. Sélectionnez l'option Greenfield project.
3. Sélectionnez OXE et cliquez sur Next
La page Medias s'ouvre.
4. Sélectionnez le support sur lequel le progiciel OmniPCX Enterprise et la licence sont disponibles :
• Si les fichiers sont disponibles sur un serveur de stockage externe (serveur NFS ou Windows) et
que vous avez déjà déclaré le chemin de stockage externe pour un autre projet, sélectionnez-le
dans la liste déroulante
• Si les fichiers sont disponibles sur un serveur de stockage externe et que vous n'avez pas
encore déclaré le chemin de stockage externe, déclarez le serveur de stockage externe à l'aide
de l'une des méthodes suivantes :
• Pour le serveur NFS, cochez la case NFS share et entrez le chemin de stockage NFS :
[URL NFS]:/[dossier(s) NFS]
• Pour le serveur Windows, cochez la case Windows share et entrez le chemin de stockage
Windows : //[URL du serveur Windows]:/[dossier(s) Windows]/, suivi des
informations d'identification d'un utilisateur disposant des droits d'accès au(x) dossier(s) de
stockage
• Si les fichiers ont été chargés sur le stockage local O.O.L, sélectionnez S.O.T. Stockage
local
5. Cliquez sur Refresh medias list.
6. Sélectionnez les fichiers appropriés répertoriés à l'écran, et cliquez sur Declare media
7. Dans l'option OXE soft. version, sélectionnez la version du logiciel à installer : la version
complète, une version du logiciel avec un patch statique ou une version du logiciel sans patch.

physique
Figure 8.1 : Exemple de page de sélection Media
8. Lorsque les informations nécessaires ont été fournies, cliquez sur Next
La page de Configuration Project settings s'ouvre
9. Effectuez les opérations suivantes :
1. Saisissez un Project name.
2. Remplissez les autres champs avec les paramètres de réseau de la LAN du client.
Note :
Ne sélectionnez pas OVF Generation. Cette option est utilisée uniquement pour le déploiement du serveur
de communication sur machine virtuelle.

physique
Figure 8.2 : Exemple de page Project settings
10. Cliquez sur Next.

La page de Configuration OXE settings s'ouvre
11. Remplissez les champs des paramètres du serveur de communication :
Champ Signification
OXE Hardware Type Sélectionnez le matériel sur lequel le serveur de communication
s'exécute
OXE keyboard Sélectionnez le type de clavier utilisé par le serveur de
communication
Par défaut, le clavier est configuré en anglais (US). Si vous utili-
sez un autre clavier, assurez-vous de le sélectionner dans le
champ Keyboard afin d'éviter des incompatibilités ultérieures.
CPU hostname Saisissez le nom d'hôte du serveur de communication

CPU MAC address Entrez l'adresse MAC du serveur de communication
OXE country Entrez le pays dans lequel le serveur de communication est
déployé

physique
Champ Signification
CPU IP address Entrez l'adresse IP du serveur de communication.
Dans une duplication de serveur de communication (redondance
locale ), ce champ doit être complété avec l'adresse IP principale,
qui est identique pour les deux serveurs de communication.
Dans une redondance spatiale, ce champ doit être complété
avec les adresses IP principales des deux serveurs de communi-
cation.
Note :
La redondance spatiale est un serveur de communication dupliqué où
les deux serveurs de communication se trouvent dans des sous-réseaux
IP distincts.
CPU redundancy (facultatif). Dans le cas d'une configuration dupliquée, si l'installation doit
également inclure l'installation du serveur de communication
jumelé, cochez cette case et complétez la configuration avec les
paramètres du serveur de communication jumelé.
Figure 8.3 : Exemple de page OXE settings

La page Summary s'ouvre.
13. Vérifiez le nom d'hôte de la CPU ainsi que la version du logiciel et cliquez sur Deploy.
Vous pouvez également cliquer sur Save pour créer le projet et le déployer plus tard à partir du
project listing.

physique
Figure 8.4 : Exemple de page Summary
14. Si vous lancez le déploiement immédiatement en utilisant la touche Deploy, démarrez le booting
PXE sur la CPU sur laquelle le logiciel OmniPCX Enterprise doit être déployé (voir : Déploiement du
projet Communication Server (amorçage réseau) à la page 123)
8.4.3 Déploiement du projet Communication Server (amorçage réseau)

8.4.3.1 Présentation de l'amorçage réseau
Pour installer un Communication Server, celui-ci doit effectuer un amorçage réseau.
Il y a deux cas de figure :
• Le disque dur du Communication Server est vide (cas d'une carte neuve, du remplacement d'un
disque, etc.) :
Le Communication Server procède automatiquement à un amorçage réseau au démarrage.
• Une version est déjà présente sur le disque dur du Communication Server (cas le plus fréquent) :
L'amorçage réseau doit être exécuté manuellement. La procédure est différente selon le matériel
utilisé :
• Carte CPU7-2 : l'amorçage réseau est lancé à partir du menu BIOS de la CPU, qui est
disponible après avoir exécuté l'une des opérations suivantes :
• Démarrage de la CPU7-2. La carte démarre et un message vous demande d'accéder au
menu BIOS (voir : Cartes CPU7-2 à la page 124)
• Exécution de la commande shutdown . La carte redémarre et un message vous demande
d'accéder au menu BIOS (voir : Cartes CS ou CPU8 à la page 125)
• Exécution de la commande grubboot ETHER sous le compte root Linux. La carte
redémarre et ouvre automatiquement le menu BIOS (voir : Amorçage réseau avec la
commande grubboot ETHER à la page 126)

physique
• Cartes CS et CPU8 : Exécution de la commande grubboot ETHER sous le compte root Linux.
Une confirmation est demandée et la carte redémarre. La carte redémarre et ouvre
automatiquement le menu BIOS (voir : Amorçage réseau avec la commande grubboot ETHER à
la page 126)
Attention :
Après cette commande le disque dur du Communication est invalidé et nécessite un reformatage.
8.4.3.2 Amorçage réseau à partir du menu BIOS
8.4.3.2.1 Cartes CPU7-2

Note :
L'installation standard d'une version complète doit être préalablement configurée dans S.O.T.
1. Depuis la fenêtre console du terminal connecté à la carte CPU7-2 : démarrez la carte CPU7-2 et
attendez l'affichage du message suivant :
YOU CAN strike Ctrl B to enter in BIOS monitor during several seconds
from NOW !
2. Une temporisation de quelques secondes démarre lorsque ce message s'affiche. Appuyez sur les
boutons Ctrl + B.
Un deuxième message d'entrée s'affiche : hit [Ctrl I] for BIOS monitor!.
3. Appuyez sur les boutons Ctrl + I.
Un mot de passe est alors demandé.
4. Appuyez sur Entrée (pas de mot de passe).
Le menu du programme d'amorçage s'affiche.
5. Sélectionnez l'option 3 - Load From Ethernet (4400 method).
6. Entrez y pour une installation standard.
7. Dans le champ TEL version, entrez l'ID de version comprenant le patch et le pays (par exemple :
m14011c.fr)
8. Appuyez sur Entrée jusqu'à l'affichage du champ New loaded file.
9. Dans le champ New loaded file, entrez la version Linux précédée de % (par exemple : %107.000).
Note :
La version Linux est disponible dans le répertoire suivant : \dhs3mgr\version\pcmao\boot_res\bootp
\linux.
Le Communication Server émet une requête bootp vers l'O.O.L et l'installation du logiciel démarre
(voir : Progression de l'installation standard à la page 126).
Exemple :
Lancement de l'amorçage réseau à partir de la carte CPU7-2 :
Dans la fenêtre console, attendez l'affichage du message suivant :
......
value of DIL switch forced CPU7 2
USB Base address is FC21
No HD trace
YOU CAN strike Ctrl B to enter in BIOS monitor during several seconds
from NOW !
[Action]: Press Ctrl + B
hit [Ctrl I] for BIOS monitor!
[Action]: Press Ctrl + i
CPU7 Password or CR ?:
[Action]: Press Enter (no password)
Boot Loader Menu
1 - Load From Hdisk #0
2 - * disabled menu entry *
3 - Load From Ethernet (4400 method)
4 - Load From Hdisk #0 and Bootp

physique
5 - Display MAC address

6 - PCMS id
7 - System informations
8 - Set interface KENDIN to default(auto-nego)
9 - Interface KENDIN state
10 - Set Interface KENDIN
11 - Ethernet embedded interface state
10 - Reset System
12 - Full Option Menu
13 - Reset System
CPU7>
[Action]: Select 3
8.4.3.2.2 Cartes CS ou CPU8

Note :
L'installation standard d'une version complète doit être préalablement configurée dans S.O.T.. Cela doit inclure
également la sélection de la version logicielle et du pays.
1. Depuis la fenêtre console du terminal connecté à la carte CS ou CPU8 , démarrez la carte et
attendez l'affichage du message suivant :
...............
ALCATEL CS-2 BIOS VERSION OABPT110
Press ^B to enter setup
2. Une temporisation de quelques secondes démarre lorsque ce message s'affiche. Appuyez sur les
boutons Ctrl + B.
Le menu BIOS s'affiche :
3. Pour charger à partir de Ethernet, allez sur l'onglet Boot et modifiez la commande de démarrage.
4. Dans la section Boot Option Priorities, définissez la première option de démarrage sur IBA
GE SLOT 0200 v1216
5. Allez sur l'onglet Save & exit et appuyez sur la touche Enter pour quitter le menu BIOS.

physique
Le Communication Server émet une requête bootp vers l'O.O.L et l'installation du logiciel démarre
(voir : Progression de l'installation standard à la page 126).
8.4.3.3 Amorçage réseau avec la commande grubboot ETHER

Attention :
La commande grubboot ETHER a pour action d'invalider le disque dur du Communication Server et de
forcer ainsi un amorçage réseau au redémarrage.
Cette opération est irréversible et implique un reformatage du disque dur du Communication Server
(effectué lors de l'installation standard).
Pour lancer l'amorçage réseau :
1. Loggez-vous en tant que root.
2. Entrez la commande grubboot ETHER
Après confirmation, le Communication Server redémarre.
Exemple :
[root@localhost /root]#grubboot ETHER
8.4.3.4 Amorçage réseau sur carte CS ou CPU8 avec disque vierge

Ce cas revient à rebooter après avoir exécuté la commande grubboot ETHER. Une confirmation est
demandée.
8.4.4 Progression de l'installation standard

Au démarrage du serveur de communication par amorçage réseau, l'installation standard suit plusieurs
étapes.
• Requête bootp et chargement de linux.ram
Le serveur de communication émet une requête bootp pour obtenir une adresse IP via le serveur
DHCP.
Le S.O.T. transfère le linux.ram au serveur de communication via TFTP.
L'amorçage se poursuit.
• Chargement des paquets Linux
Le S.O.T. transfère les packages Linux au serveur de communication via FTP.
Utilisez <Tab>/<Alt-Tab> pour alterner entre des éléments | <Space> sélectionne | <F12> écran
suivant
• Chargement du paquet swinst
Le S.O.T. transfère le pacage swinst au serveur de communication via FTP.
• Chargement des binaires téléphoniques
Le S.O.T. transfère les binaires téléphoniques au serveur de communication via FTP.
• Redémarrage du serveur de communication
À la fin du chargement des binaires téléphoniques, le serveur de communication s'amorce,
redémarre et s'arrête sous Linux.
L'installation standard est terminée et doit être complétée par la configuration des paramètres
réseau du serveur de communication à l'aide de l'outil netadmin (configuration de l'adresse IP et
du masque de sous-réseau).

physique
8.4.5 Configuration des règles de mots de passe du serveur de communication

À la fin du redémarrage du serveur de communication, le menu de sécurité s'affiche sur la console
système. Le menu de sécurité demande de définir le niveau de sécurité avant la mise en service du
serveur de communication.
Au moment où s'affiche le dialogue relatif à la sécurité, aucune interface IP n'est configurée. En
d'autres termes, aucune connexion IP externe ne peut aboutir. Donc personne, hormis l'utilisateur de la
console, ne peut accéder au serveur de communication.
Configuration des paramètres de sécurité :
Do you want to activate server security high level (Y/N) ?
• N : si la réponse est Non, le menu suivant s'affiche :

Select server security level:
R) Configuration to be restored
0) Level_0 = no security feature activated
1) Level_1 = password/aging
2) Level_2 = password/aging + trusted hosts/TCP wrapper
3) Level_3 = password/aging + trusted hosts/TCP wrapper + SSH
• R) : aucune fonction de sécurité n'est activée. L'installateur devra restaurer les configurations de
sécurité depuis une sauvegarde.
• 0) : aucune fonction de sécurité n'est activée. Cette configuration s'applique lors de l'utilisation
d'un réseau IP de confiance.
• 1) : dans ce cas, le système demande un nouveau mot de passe pour les comptes root, swinst,
mtcl et adfexc. Ces nouveaux mots de passe doivent être conformes aux règles de création des
mots de passe. Pour plus d'informations sur les règles de création des mots de passe, voir la
section Règles de création des mots de passe du document 8AL91012FRBA. Il est à noter
que le nom du compte et le mot de passe ne peuvent pas être identiques. Par exemple : root
n'est pas un mot de passe valide pour le compte root.
De plus, le système demande d'entrer la durée de validité du mot de passe de chaque compte.
Mise à zéro, l'option « aging password » indique que cette option est désactivée pour le compte
correspondant.
• 2) : dans ce cas, le système demande de nouveaux mots de passe (comme pour 1). De plus, le
serveur de communication est isolé du réseau IP. Seuls les hôtes de confiance peuvent s'y
connecter. L'installateur peut déclarer ces hôtes de confiance plus tard, via l'outil netadmin.
• 3) : dans ce cas, le système demande de nouveaux mots de passe (comme pour 1) et le serveur
de communication est isolé du réseau IP (comme pour 2). De plus, la fonction SSH est activée.
La fonction SSH crypte les appels entre machines. Pour plus d'informations sur la fonction SSH,
voir la section Sécurisation des échanges par SSH du document 8AL91012FRBA.
• Y : si la réponse est Oui, de nouveaux mots de passe/une limite de validité sont demandés (comme
pour 1), le serveur de communication est isolé du réseau IP (comme pour 2) et la fonction SSH est
activée (comme pour 3).
Une fois le niveau de sécurité choisi, la configuration de sécurité s'affiche.
Par exemple :
Security configuration:
[+] Default password changed.
[+] Aging password configured.
[+] Isolation from ethernet (trusted host TO
BE configured).
[-] The SSH security is currently NOT set.
Il est fortement recommandé de modifier les mots de passe pour tous les comptes utilisateurs du
serveur de communication, ainsi que les mots de passe enregistrés sur l'OmniVista 8770 à

physique
l'installation. Les mots de passe à modifier sont ceux des comptes : root, swinst, mtcl, adfexc et client
(si ce dernier existe). Ces modifications doivent être effectuées sur tous les nœuds du réseau.
Pour plus d'informations sur les recommandations d'Alcatel-Lucent Enterprise concernant la gestion
des mots de passe, voir : Stratégie recommandée en matière de mot de passe 8AL91012FRBA.
8.4.6 Vérification de l'installation du serveur de communication (fichiers journaux)

Des fichiers journaux sont consultables sous le répertoire /install-log. Ces fichiers stockent
l'installation du Communication Server et les paramètres transmis au serveur d'installation pour
l'amorçage.
Ces fichiers pourront être demandés par le service de support en cas de problème.
8.5 Installation sur partition inactive

Le S.O.T. permet d'installer un logiciel OmniPCX Enterprise sur une partition inactive avec ou sans
copie de Linux/base de données.
Pour installer un logiciel OmniPCX Enterprise sur une partition inactive via S.O.T. :
2. Sélectionnez l'option Project for existing products.

physique

1. Cochez la case Update on inactive part. .
2. Cochez la case Use a clean inactive partition si une version logicielle est déjà
installée sur la partition inactive.
3. Cochez la case de données Duplicate Linux si les données Linux de la partition active
doivent être copiées sur la partition inactive après l'installation du logiciel.
4. Cochez la case Duplicate OXE data si la base de données de la partition active doit être
copiée sur la partition inactive après l'installation du logiciel.
5. Si besoin, cochez la case switch partition after update installation pour
programmer le basculement de la partition à une heure spécifique.
Note :
Il est également possible de programmer un retour à un jour spécifique de la semaine, ce qui permet
d'utiliser l'ancienne version en cas de redémarrage du système (accidentel ou délibéré).
6. Remplissez les autres champs des paramètres OmniPCX Enterprise :
Champ Signification
Dans une duplication de serveur de communication (redondan-
ce locale ), ce champ doit être complété avec l'adresse IP prin-
cipale, qui est identique pour les deux serveurs de communica-
tion.
avec les adresses IP principales des deux serveurs de commu-
nication.
Note :
les deux serveurs de communication se trouvent dans des sous-
réseaux IP distincts.
OXE license Sélectionnez le fichier de licence.

mtcl login et mtcl Remplissez les champs des identifiants mtcl.
password
swinst password Entrez le mot de passe du compte swinst.
jumelé, cochez cette case et complétez la configuration avec
les paramètres du serveur de communication jumelé.
Note :
Le champ Enable autostart est grisé et est non modifiable.

physique
La page Media s'ouvre.
8. Sélectionnez le support sur lequel le progiciel OmniPCX Enterprise est disponible :
• Si le fichier est disponible sur un serveur de stockage externe (serveur NFS ou Windows) et que
vous avez déjà déclaré le chemin de stockage externe pour un autre projet, sélectionnez-le dans
la liste déroulante.
• Si le fichier est disponible sur un serveur de stockage externe et que vous n'avez pas encore
déclaré le chemin de stockage externe, déclarez le serveur de stockage externe à l'aide de l'une
des méthodes suivantes :
stockage
• Si le fichier a été chargé sur le stockage local O.O.L, sélectionnez S.O.T. Stockage local
10. Sélectionnez le fichier approprié répertorié à l'écran, et cliquez sur Declare media.

physique

13. Vérifiez le nom d'hôte de la CPU ainsi que la version du logiciel et cliquez sur Update.
project listing.

physique
L'installation du logiciel sur la partition inactive démarre immédiatement ou à l'heure spécifique

configurée dans la zone switch partition after update installation.
Cliquez sur le lien Details pour suivre l'avancement de l'installation du logiciel sur une partition
inactive.
8.6 Installation multiple

Le site Software Orchestration Tool (S.O.T.) peut être utilisé pour installer plusieurs serveurs de
communication avec la même version de logiciel :
• S'il y a deux serveurs de communication à installer :
1. Créer un projet dans S.O.T. en utilisant l'option de redondance des processeurs et les
paramètres des deux serveurs de communication
Note :
Les deux serveurs de communication sont installés, l'un avec le rôle principal et l'autre avec le rôle de
secours.
2. Déployer le projet à partir de S.O.T.
3. Démarrer les deux serveurs de communication (démarrage du réseau)
Note :
Pour plus de détails sur la création et le déploiement de projets sur S.O.T., voir : Installation sur partition active
à la page 118.
• S'il y a plus de deux serveurs de communication à installer :
1. Créer un projet dans S.O.T. avec les paramètres du premier serveur de communication à
installer (projet X)
2. Déployer le projet X à partir de S.O.T.
3. Démarrer le premier serveur de communication (démarrage du réseau)

physique
4. Pour chaque nouveau serveur de communication à installer :

1. Modifier et mettre à jour le projet X avec les paramètres du prochain serveur de
communication :
1. Depuis S.O.T., aller à : Projets > Liste des projets
2. Cliquer sur le bouton à droite du projet X

3. Cliquer sur la flèche vers le bas pour voir les détails du serveur OXE
4. Effectuer la mise à jour avec les paramètres du prochain serveur de communication
5. Cliquez sur le bouton Save
2. Déployer le projet X :
1. Depuis S.O.T., aller à : Projets > Liste des projets
2. Cliquer sur le bouton à droite du projet X
3. Démarrer le serveur de communication (amorçage réseau)
Note :
Pour plus de détails sur la création et le déploiement de projets sur S.O.T., voir : Installation sur partition active
à la page 118.

Chapitre
9 Installation du Communication
Server sur une machine virtuel
9.1 Installation dans un environnement KVM

9.1.1 Environnement KVM
9.1.1.1 Généralités
L'OmniPCX Enterprise peut être installé dans un environnement KVM (Kernel-based Virtual Machine/
Machine virtuelle basée sur un noyau). La solution KVM est basée sur un système d'exploitation Suse
Linux Enterprise et sur une couche de virtualisation KVM. Dans cette configuration, une machine
virtuelle peut être créée pour héberger l'OmniPCX Enterprise.
Les topologies suivantes sont prises en charge dans l'environnement KVM :
• OmniPCX Enterprise autonome avec un serveur FlexLM unique
• OmniPCX Enterprise autonome avec duplication de serveur FlexLM
• duplication OmniPCX Enterprise avec un serveur FlexLM unique
• duplication OmniPCX Enterprise avec duplication de serveur FlexLM

virtuel
Figure 9.1 : Exemple de duplication OmniPCX Enterprise avec duplication de serveur FlexLM
• OmniPCX Enterprise autonome sans serveur FlexLM. L'OmniPCX Enterprise se connecte à

l'infrastructure Cloud Connect (CCI) après un premier enregistrement (FTR) et il bénéficie de
services tels que le Right-To-Run (RTR). Le service RTR offre un contrôle de licence et fonctionne
au niveau du CCI et de l'OmniPCX Enterprise. Pour plus d’informations sur le FTR et le RTR,
reportez-vous au document 8AL91047FRAA.
Une machine virtuelle pour KVM (format iso) comporte un serveur FlexLM et peut être installée sur le
même serveur que la machine virtuelle OmniPCX Enterprise ou sur un autre serveur.
9.1.1.2 Présentation de la procédure d'installation

Les opérations à réaliser sont les suivantes :
• Installation du serveur FlexLM pour KVM à la page 136
Note :
Sautez cette opération lorsque l'attribution de licence est exécutée en utilisant Cloud Connect. Voir la section
traitant des Licences dans le document 8AL91047FRAA.
• Installation de l'OmniPCX Enterprise sur une machine virtuelle KVM à la page 141

virtuel
Cela ne couvre pas l'installation du système d'exploitation et des paquets KVM sur le serveur physique.
L'installation des packs virtualisation KVM nécessite le système d'exploitation SUSE Linux Enterprise
Server (SLES) 12 SP5 (ou une version supérieure). Pour installer le système d'exploitation SLES et les
paquets KVM, reportez-vous à la documentation technique du fournisseur.
Notes :
• Les paquets de virtualisation peuvent être installés soit lors de la procédure d'installation de l'hôte, soit après
celle-ci, à l'aide de la commande zypper.
• Assurez-vous que le réseau ponté a été configuré, parce que les machines virtuelles du serveur de
communication utilisent le même réseau pour l'accès LAN, et veillez également à désactiver Network Manager
pour utiliser le service réseau à sa place.
9.1.2 Installation du serveur FlexLM pour KVM

Le contrôle des licences par un serveur FlexLM est utilisé par l'OmniPCX Enterprise comme suit :
• Pour les licences RSI.
• Dans un CS virtualisé, au lieu de vérifier l'identifiant CPU par rapport au contenu du fichier
software.mao, un identifiant produit est acquis par le serveur FlexLM. Un seul identifiant produit est
disponible par OmniPCX Enterprise.
Un serveur FlexLM peut être utilisé par plusieurs serveurs OmniPCX Enterprise. Lorsqu'un "panic
flag" est signalé sur la plate-forme OmniPCX Enterprise, la configuration et les services
deviennent extrêmement restreints.
Pour répondre aux exigences de disponibilité élevée, les versions récentes du serveur OmniPCX
Enterprise permettent de s'appuyer sur un second serveur FlexLM.
9.1.2.2 Services offerts

Dans une configuration à haute disponibilité, le serveur OmniPCX Enterprise fournit les services
suivants :
• Redondance du serveur FlexLM : permet de s'appuyer sur un second serveur FlexLM lorsque le
premier serveur FlexLM est indisponible. Les serveurs FlexLM sont indépendants. Ils fournissent
chacun le même identifiant produit.
• Redondance de l'OmniPCX Enterprise : lorsque l' principal OmniPCX Enterprise est indisponible,
l'OmniPCX Enterprise de secours (qui devient le nouveau serveur principal) assure le service
d'octroi de licence avec le serveur FlexLM (vérifications, pulsations).
• Défense : pour prévenir les tentatives de fraude
9.1.2.3 Conditions préalables

Avant l'installation, vous devez disposer des éléments suivants :
• Un dongle physique d'Aladin Knowledge Systems (type Hasp 4MI USB memory key Part:#FLEXid-
ALA-7200) : ce dongle définit le FLEX-ID utilisé pour authentifier le fichier de licence OmniPCX
Enterprise.
• Fichier iso du serveur FlexLM : ce fichier iso contient le serveur de licence pré-installé pour KVM.
Le fichier iso doit contenir :
• FlexlmServer.xml
• FlexlmServer.img.gz
Le fichier iso du serveur FlexLM OmniPCX Enterprise est présent dans le progiciel disponible sur le
site Web du portail du groupe Entreprise.

virtuel
• Le fichier de licence du serveur FlexLM (extension .ice) : licence pour le serveur FlexLM pour le
dongle.
• Le fichier de licence du serveur OmniPCX Enterprise (extension .swk). Ce fichier de licence sert
pour le serveur OmniPCX Enterprise virtualisé.
Note :
Tous ces éléments sont requis pour l'installation. Si l'un de ces éléments est indisponible, arrêtez la procédure.
9.1.2.4 Installation de la machine virtuelle du serveur FlexLM
9.1.2.4.1 Déploiement des paquets KVM

1. Montez l'image iso :
$ mount –o loop vmFlex-kvm-X.X.XXX.XXX.iso <mountpoint>
2. Accédez au répertoire de travail :
$ cd /var/lib/libvirt/images
3. Décompressez l'image :
$ gunzip -c /<path_to_iso_mounting>/FlexlmServer/FlexlmServer.img.gz >
MyFlexLMServer1.img
4. Définissez la machine virtuelle :
$ cp /path_to_iso_mounting/FlexlmServer/FlexlmServer.xml
MyFlexLMServer1.xml
Dans le fichier MyFlexLMServer1.xml, modifiez les lignes :
<name>MyFlexLMServer1</name>
<source file='/var/lib/libvirt/images/MyFlexLMServer1.img'/>
$ virsh define MyFlexLMServer1.xml
5. Démarrez l'application Virtual Machine Manager :
$ virt-manager
Lorsque la machine virtuelle du serveur FlexLM a été créée avec succès, elle s'affiche dans
l'application Virtual Machine Manager :
Figure 9.2 : Exemple de création de serveur FlexLM
6. Démarrez la machine virtuelle du serveur FlexLM : faites un clic droit sur la machine virtuelle et
sélectionnez Run dans le menu contextuel.

virtuel
Le serveur FlexLM commence l'amorçage.
9.1.2.4.2 Configuration système

La configuration système consiste à :
1. configurer le clavier,
2. configurer le réseau,
3. modifier les mots de passe.
4. Configuration des paramètres NTP
5. Configuration du fuseau horaire
Pour de plus amples informations sur cette configuration, voir :Installation du serveur OVF FlexLM sur
le serveur VMware ESXi à la page 162.
9.1.2.5 Installation du dongle

Le dongle est branché directement sur un port USB du serveur Flex.
L'installation du dongle USB consiste à :
1. Identification de l'équipement USB à la page 138
2. Sélection de l'équipement USB à la page 138
9.1.2.5.1 Identification de l'équipement USB

1. Depuis la page d'accueil du serveur, sélectionnez : Applications > System tools > Konsole
Une fenêtre de console s'ouvre.
2. À partir de l'invite de commande, entrez la commande lsusb.
Cette commande vous permet d'afficher le fournisseur et l'identifiant produit nécessaires pour
choisir l'équipement USB dans la machine virtuelle du serveur FlexLM.
Une ligne telle que celle-ci s'affiche : Bus 001 Device 003: ID 0529:0001 Aladdin
Knowledge Systems HASP v0.06
9.1.2.5.2 Sélection de l'équipement USB

1. Branchez le dongle USB sur le port USB.
2. Depuis la page d'accueil du serveur, naviguez jusqu'à : Applications > System Tools > Virtual
Machine Manager, pour lancer l'application Virtual Machine Manager.
Virtual Machine Manager s'ouvre.
3. Sélectionnez l'option Virtual Machine Manager, puis : Edit > Virtual Machine details
La fenêtre de détails de la machine virtuelle s'ouvre.
4. Sélectionnez Add hardware.
Une fenêtre de configuration de matériel virtuel s'ouvre.
5. Sélectionnez le menu USB Host Device.
6. Dans la fenêtre, sélectionnez la ligne correspondant au fournisseur et à l'identifiant produit
recherchés précédemment, puis cliquez sur Finish.

virtuel
9.1.2.6 Installation de la licence

Lorsque la configuration réseau est terminée, le serveur de licence doit être configuré.
Copiez le fichier de licence correspondant au serveur (fichier avec extension .ice). Cette licence doit
correspondre à la licence fournie avec le dongle.
Note :
Par défaut, le protocole FTP ne fonctionne pas sur ce serveur. Vous pouvez copier ce fichier via une connexion
FTP ou SCP sécurisée ou n'importe quelle source de média.
• Copiez ce fichier dans $LICENSES_HOME.
• Redémarrez les services FlexLM : service flexlmd restart.
Note :
Si la configuration du nom d'hôte est erronée ou si le fichier de licence n'est pas généré pour le dongle attaché ou
si le dongle n'est pas attaché, le serveur FlexLM ne démarre pas.
Les journaux sont disponibles dans : /opt/Alcatel-Lucent/logs/flexlm/.
Vérifiez les journaux Flexlm pour vous assurer que le service flexlmd a été démarré.
Les détails concernant la vérification de licence de la machine virtuelle OmniPCX Enterprise à partir du
serveur FlexLM sont consignés dans /opt/Alcatel-Lucent/logs/flexlm/flexlm_lmlog.log.

virtuel
Vérifiez que les services FlexLM sont démarrés : service flexlmd status
Vérifiez que les informations sur la licence sont disponibles :
/opt/Alcatel-Lucent/flexlm_standalone/lmutil lmstat –a
Vous avez installé et configuré avec succès le serveur FlexLM.
9.1.2.7 Installation d'un serveur FLexLM pour plusieurs serveurs OmniPCX Enterprise
virtualisés
• Cette architecture ne nécessite pas de configuration spécifique sur les serveurs OmniPCX
Enterprise ou sur le serveur FlexLM.
• Un dongle unique est utilisé.
• Plusieurs fichiers de licence (extension .ice) doivent être installés sur le serveur FlexLM.
• Plusieurs fichiers de licence (extension .swk) doivent être installés sur chaque serveur OmniPCX
Enterprise.
Une fois les fichiers de licence installés sur tous les serveurs, redémarrez le service FlexLM ou la
machine virtuelle afin que les licences soient prises en compte. Chaque serveur OmniPCX Enterprise
peut alors être enregistré sur le même serveur FlexLM.
En cas de duplication du serveur FlexLM (ce qui implique que deux adresses sont déclarées sur
chaque serveur OmniPCX Enterprise), deux dongles sont nécessaires et deux fois plus de
licences .ice doivent être installées sur les serveurs FlexLM.
9.1.2.8 Configuration du serveur FlexLM sur l'OmniPCX Enterprise

Ouvrez une console de configuration sur l'OmniPCX Enterprise (par exemple : mgr), et accédez à
System > Licenses, puis configurez les paramètres suivants :
Figure 9.3 : Exemple de configuration du serveur FlexLM
Notes :
• Une fois le serveur FlexLM configuré, redémarrez l'OmniPCX Enterprise pour appliquer vos modifications.
• Si aucun serveur FlexLM ne répond au bout de cinq jours, un indicateur de situation d'urgence est émis sur le
serveur OmniPCX Enterprise, avant d'afficher Call Installer sur les postes téléphoniques.
Note :
L'indicateur en question est levé après quatre heures sans réponse du serveur FlexLM dans les versions plus
anciennes.

virtuel
9.1.3 Installation de l'OmniPCX Enterprise sur une machine virtuelle KVM

La création d'une machine virtuelle est effectuée à l'aide de l'application Virtual Machine
Manager. Cette application, un outil graphique dédié à la création et la configuration des machines
virtuelles, est disponible dans les paquets KVM installés avec le système d'exploitation sur le serveur.
L'installation de l'OmniPCX Enterprise sur la machine virtuelle se fait à l'aide du S.O.T..
9.1.3.2 Prérequis pour la machine virtuelle OmniPCX Enterprise pour KVM

Les conditions matérielles requises pour la machine virtuelle OmniPCX Enterprise sont détaillées dans
les documents suivants disponibles sur le portail du groupe Entreprise d'Alcatel-Lucent Enterprise :
• TBE043 : voir https://myportal.al-enterprise.com/alebp/a4F5I000000YG7HUAW
• TBE031 : voir https://myportal.al-enterprise.com/alebp/a4F5I000000YG5pUAG

L'installation de l'OmniPCX Enterprise sur une machine virtuelle KVM consiste à :
• Création du projet de déploiement OmniPCX Enterprise via S.O.T.
• Déploiement de la machine virtuelle OmniPCX Enterprise sur un serveur physique KVM à la page
145
• Configuration de l'OmniPCX Enterprise à la page 149
9.1.3.4 Création du projet de déploiement OmniPCX Enterprise via S.O.T.

Pour créer un projet de déploiement du OmniPCX Enterprise via S.O.T. :
1. En cas de déploiement de la machine virtuelle OmniPCX Enterprise produit sans fichier OVF, créez
manuellement la machine virtuelle sur le serveur physique avec les caractéristiques appropriées
(voir Création d'une machine virtuelle sur KVM à la page 428).
Important :
Ne démarrez pas encore la machine virtuelle.
5. Sélectionnez le support sur lequel les fichiers (version logicielle et licence) sont disponibles :
•Pour le serveur NFS, cochez la case NFS share et entrez le chemin de stockage NFS : [URL
NFS]:/[dossier(s) NFS]
stockage
• Si les fichiers ont été chargés sur le stockage local de S.O.T., sélectionnez S.O.T. Local storage
6. Cliquez sur Refresh media list.

virtuel
8. Dans l'option OXE soft. version, sélectionnez la version du logiciel à installer : la version complète,
une version du logiciel avec un patch statique ou une version du logiciel sans patch.
Figure 9.4 : Exemple de fenêtre de sélection Media
2. Sélectionnez le champ OVF Generation si l'OmniPCX Enterprise et sa machine virtuelle doivent
être déployés sur la machine cible à l'aide d'un fichier OVF.
3. Dans le champ Network interface used, sélectionnez l'interface réseau S.O.T. utilisée pour le
déploiement du projet
4. Remplissez les autres champs avec les paramètres du client.

virtuel

12. Remplissez les champs des paramètres du serveur de communication (OmniPCX Enterprise) :
Champ Signification
OXE Hardware Type Ce champ ne s'affiche qu'en cas de déploiement produit sans
OVF.
Sélectionnez le matériel sur lequel le serveur de communication
s'exécute
OXE sizing Ce champ ne s'affiche qu'en cas de déploiement produit avec

OVF.
Sélectionnez le nombre d'utilisateurs utilisés pour dimensionner
le fichier OVF

communication

virtuel
Champ Signification
Note :
Dans le cas d'un déploiement de machine virtuelle OmniPCX Enterprise
produit avec OVF, le champ MAC address est grisé et ne peut pas être
modifié.

déployé
cation.
Note :
IP distincts.


virtuel
14. Vérifiez le nom d'hôte de l'OmniPCX Enterprise ainsi que la version du logiciel et cliquez sur
Deploy
project listing.
15. En fonction du type de déploiement, effectuez l'une des opérations suivantes :

• Si le déploiement d'OmniPCX Enterprise est produit sans fichier OVF : lancez l'amorçage du
PXE sur la machine virtuelle sur laquelle l'OmniPCX Enterprise doit être installé
• Dans le cas d'un déploiement de l'OmniPCX Enterprise avec un fichier OVF : une fois le fichier
OVF généré, cliquez sur Download et enregistrez le fichier OVF sur un périphérique de
stockage. Utilisez ce fichier OVF pour déployer la machine virtuelle OmniPCX Enterprise sur la
machine physique cible
Suivez la procédure de déploiement, comme décrit dans Déploiement de la machine virtuelle
OmniPCX Enterprise sur un serveur physique KVM à la page 145.
9.1.3.5 Déploiement de la machine virtuelle OmniPCX Enterprise sur un serveur physique KVM
Pour déployer la machine virtuelle OmniPCX Enterprise sur un serveur physique KVM :
1. À partir de la page d'accueil du serveur physique KVM, naviguez jusqu'à : Applications >
System Tools > Virtual Machine Manager pour lancer l'application Virtual Machine
Manager
La fenêtre Virtual Machine Manager s'ouvre.
• Déploiement de la machine virtuelle OmniPCX Enterprise produit à l'aide d'un fichier OVF :

virtuel
1. Sélectionnez File > New Virtual Machine, ou cliquez sur l'icône

La fenêtre de création de la machine virtuelle s'ouvre.
2. Sélectionnez l'option Network Install (HTTP, FTP or NTFS), et entrez l'URL du
fichier OVF comprenant la machine virtuelle OmniPCX Enterprise.
3. Cliquez plusieurs fois sur Next pour vérifier et modifier les paramètres de la machine virtuelle
OmniPCX Enterprise, tels que le nom, puis cliquez sur Finish
La machine virtuelle est créée et démarrée, et l'installation de l'OmniPCX Enterprise démarre
automatiquement sur la machine virtuelle.
• Déploiement de la machine virtuelle OmniPCX Enterprise produit sans fichier OVF :
Mettez la machine virtuelle sous tension à l'aide de l'une des options suivantes :
• Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Run
• Sélectionnez la machine virtuelle et cliquez sur l'icône symbolisée par une flèche pointant
vers la droite
La machine virtuelle effectue un démarrage réseau, se connecte au S.O.T. et charge le logiciel
OmniPCX Enterprise. L'installation de l'OmniPCX Enterprise démarre automatiquement sur la
machine virtuelle.
Surveillez la progression de l'installation de l'OmniPCX Enterprise sur la console de l'application
Virtual Machine Manager.
L'installation diffère de l'installation sur un Blade Server. Elle s'interrompt en effet après le
chargement des fichiers de configuration Linux et nécessite une intervention manuelle pour
sélectionner le type d'installation.

virtuel
3. Sélectionnez l'installation standard et spécifiez le chemin pour le téléchargement des fichiers : /

path/releaseversion.country_name (par exemple : /dhs3mgr/l1301.fr), et sélectionnez
Ok.
Note :
Si la version comporte un patch dynamique, entrez le nom complet de la version y compris le patch
dynamique. Par exemple, sélectionnez l130110b.fr pour installer automatiquement la version du logiciel avec le
patch dynamique l1.301.10.b.

virtuel
La procédure d'installation se poursuit.

virtuel
L'invite de connexion s'affiche lorsque l'installation s'est déroulée avec succès.
9.1.3.6 Configuration de l'OmniPCX Enterprise

Après l'installation de l'OmniPCX Enterprise, le clavier par défaut est Anglais US. Si vous devez utiliser
un clavier autre que le clavier par défaut (par exemple : le clavier français ou allemand), il vous faudra
d'abord modifier le type de clavier avant de configurer l'OmniPCX Enterprise : Ouvrez une console sur
la machine virtuelle.

virtuel
1. Ouvrez une console sur la machine virtuelle.

2. Ouvrez une session root
Note :
Le mot de passe pour root est letacla.
3. Saisissez la commande kbdconfig.
4. Utilisez les flèches vers le haut et vers le bas pour sélectionner le clavier correspondant, puis
appuyez sur la barre d'espace pour valider votre sélection.
Une fois le type de clavier sélectionné, configurez les paramètres IP de l'OmniPCX Enterprise :
À partir de la même session root , tapez la commande netadmin et configurez l'adresse IP de la
machine virtuelle OmniPCX Enterprise, le masque de sous-réseau et le routeur par défaut.
Il est recommandé de configurer l'adresse IP de cette machine virtuelle dans le sous-réseau du
serveur physique.

virtuel
9.2 Installation dans un environnement VMware ESXi

9.2.1 Environnement VMware ESXi
La virtualisation améliore considérablement l'efficacité et la disponibilité des ressources et des
applications.
Le logiciel de machine virtuelle (VM) peut être utilisé à plusieurs fins. La consolidation de serveurs
(exécution de plusieurs serveurs logiques sur une seule machine physique) est une manière courante
de réduire les coûts matériels. Elle facilite également la sauvegarde et l'administration.
Les topologies suivantes sont prises en charge par cette fonction :
• OmniPCX Enterprise autonome avec un serveur FlexLM unique
• OmniPCX Enterprise autonome avec duplication de serveur FlexLM
• duplication OmniPCX Enterprise avec un serveur FlexLM unique
• duplication OmniPCX Enterprise avec duplication de serveur FlexLM

virtuel
Figure 9.8 : Exemple de duplication OmniPCX Enterprise avec duplication de serveur FlexLM
• OmniPCX Enterprise autonome sans serveur FlexLM). L'OmniPCX Enterprise se connecte à

l'infrastructure Cloud Connect (CCI) après un premier enregistrement (FTR) et il bénéficie de
services tels que le Right-To-Run (RTR). Le service RTR offre un contrôle de licence et fonctionne
au niveau du CCI et de l'OmniPCX Enterprise. Il ne fonctionne pas sur les serveurs de
communication passifs (PCS). Pour plus d’informations sur le FTR et le RTR, reportez-vous au
document 8AL91047FRAA.
Le serveur FlexLM est fourni dans un format de VM pour VMware ESXi (format ovf) et cette VM peut
être installée sur le même serveur que la VM OmniPCX Enterprise ou sur un autre serveur. Jusqu'à
huit machines virtuelles hébergeant un OmniPCX Enterprise peuvent fonctionner sur une même
machine physique. La messagerie vocale 4645 intégrée est alors également disponible.
L'installation de plus d'une machine virtuelle hébergeant un OmniPCX Enterprise sur le même serveur
physique requiert :
• VMware ESXi 5.5 avec version matérielle Vmware 8 à 10
• VMware ESXi 6.0 avec version matérielle Vmware 11

virtuel
• VMware ESXi 6.5 avec version matérielle Vmware 13

• VMware ESXi 6.7 avec version matérielle Vmware 14 et supérieure
• VMware ESXi 7.0 avec version matérielle Vmware 17 et supérieure
• Un matériel suffisamment récent pour offrir une capacité suffisante.
Les processeurs utilisables sont, par exemple :
• Xeon Westmere-EP (35xx, 55xx, ou version ultérieure)
• Nehalem -EX (65xx, 75xx, ou version ultérieure)
• série AMD 4000 Valencia et 6000 Interlagos (ou version ultérieure)
La VM OmniPCX Enterprise prend en charge le RAID - Réseau redondant de disques indépendants,
cependant UPS n'est pas pris en charge.
Un OmniPCX Enterprise hébergé sur une machine virtuelle peut utiliser un SAN (Storage Area
Network) plutôt qu'un disque virtuel.
Le SAN permet la fonction VMotion : une machine virtuelle hébergeant un OmniPCX Enterprise peut
être déplacée d'un serveur ESXi physique à un autre sans interruption de service.
La fonction VMotion est disponible :
• pour le serveur OmniPCX Enterprise principal avec un trafic très léger,
• pour l'OmniPCX Enterprise de secours.
À l'aide de vSphere Virtual Machine Encryption, il est possible de créer des machines virtuelles
OXE/OMS/OST chiffrées et de chiffrer des machines virtuelles OXE/OMS/OST existantes. Puisque les
fichiers des machines virtuelles contenant des informations sensibles sont chiffrés, la machine virtuelle
est protégée. Seuls les administrateurs dotés de privilèges de chiffrement peuvent réaliser les tâches
de chiffrement et de déchiffrement.
Un KMS externe, le système vCenter Server, et vos hôtes ESXi contribuent à la solution vSphere
Virtual Machine Encryption. Dans le client Web vSphere ou l'API vSphere API, ajoutez un groupe
d'instances KMS au système vCenter Server. vCenter Server utilise le Key Management
Interoperability Protocol (KMIP) pour simplifier l'usage du KMS de votre choix.
Il est obligatoire d'activer le fichier de licence VMWARE avec les paramètres vSphere VM
Encryption et vSphere encrypted vMotion activés.
9.2.1.2 version du logiciel,

Les versions logicielles suivantes peuvent être utilisées :
• Serveur VMware ESXi :
• Pour un Communication Server sur une machine physique, les versions 5.5 et 6.0 du serveur
VMware ESXi sont certifiées
• Pour un maximum de huit serveurs sur une machine physique sans messagerie vocale 4645, les
serveurs VMware ESXi : 6.5, 6.7 et 7.0 sont certifiés
• Pour un maximum de huit serveurs sur une machine physique avec messagerie vocale 4645, les
serveurs VMware ESXi : 6.5, 6.7 et 7.0 sont certifiés
• Versions 5.5 à 6.5 de vSphere Client, en fonction de la version de serveur VMware ESXi
• FlexLM Server 9.50

Les opérations à réaliser sont les suivantes :
• Installation de l'OmniPCX Enterprise sur une machine virtuelle VMware ESXi à la page 154
• Installation du serveur FLexLM pour VMware ESXi à la page 161

virtuel
Note :
Sautez cette opération lorsque l'attribution de licence est exécutée en utilisant Cloud Connect. Voir la rubrique
Licences dans le document 8AL91047FRAA.
Cela ne comprend pas l'installation de l'infrastructure VMware ESXi sur le serveur physique.
L'infrastructure VMware ESXi n'est pas à la charge d'Alcatel-Lucent Enterprise. Pour un bon
déploiement des machines virtuelles, l'infrastructure ESXi doit avoir été correctement installée et
configurée.
9.2.2 Installation de l'OmniPCX Enterprise sur une machine virtuelle VMware ESXi
9.2.2.1 Présentation générale
Alcatel-Lucent Enterprise recommande l'une des méthodes d'installation suivantes pour l'installation de
l'OmniPCX Enterprise sur une machine virtuelle :
• Installation de la machine virtuelle OmniPCX Enterprise via S.O.T.
• Installation de la VM OmniPCX Enterprise via l'OmniVista 8770 (utilisée pour installer l'OmniPCX
Enterprise sur une partition active)
Pour une première installation, se reporter à : Création du projet de déploiement OmniPCX Enterprise
via S.O.T. à la page 253.
9.2.2.2 Prérequis pour la machine virtuelle OmniPCX Enterprise pour VMware

• TC2431 : voir https://myportal.al-enterprise.com/alebp/s/PN/TC2431en
9.2.2.3 Création du projet de déploiement OmniPCX Enterprise via S.O.T.

1. En cas de déploiement de la machine virtuelle OmniPCX Enterprise produit sans fichier OVF, créez
manuellement la machine virtuelle sur le serveur physique avec les caractéristiques appropriées
(voir TC2431 disponible sur le Business Portal d'Alcatel-Lucent Enterprise : https://myportal.al-
enterprise.com/alebp/s/PN/TC2431en.
Important :

virtuel
stockage
local
2. Sélectionnez le champ OVF Generation si l'OmniPCX Enterprise et sa machine virtuelle
doivent être déployés sur la machine cible à l'aide d'un fichier OVF.

virtuel

Champ Signification
OVF.
s'exécute

OVF.
le fichier OVF

communication

virtuel
Champ Signification
Note :
modifié.

déployé
cation.
Note :
IP distincts.


virtuel
Deploy
project listing.

• Si le déploiement d'OmniPCX Enterprise est produit sans fichier OVF : lancez l'amorçage du
PXE sur la machine virtuelle sur laquelle l'OmniPCX Enterprise doit être installé.
• Dans le cas d'un déploiement de l'OmniPCX Enterprise avec un fichier OVF : une fois le fichier
OVF généré, cliquez sur Download et enregistrez le fichier OVF sur un périphérique de
stockage. Utilisez ce fichier OVF pour déployer la machine virtuelle OmniPCX Enterprise sur la
machine physique cible
Suivez la procédure de déploiement, comme décrit dans Déploiement de la machine virtuelle
OmniPCX Enterprise sur un serveur physique VMware à la page 158.
9.2.2.4 Déploiement de la machine virtuelle OmniPCX Enterprise sur un serveur physique

VMware
Pour déployer la machine virtuelle OmniPCX Enterprise sur un serveur physique VMware :
1. Ouvrez un navigateur Web et saisissez l'URL suivante :
https://<VMware ESXi server IP address>
2. Connectez-vous avec vos identifiants d'utilisateur
La page d'inventaire de client Web vSphere s'ouvre
• Déploiement de la machine virtuelle OXE-MS produit à l'aide d'un fichier OVF :

virtuel
1. Effectuez un clic droit sur l'hôte et sélectionnez Create/Register VM

2. Sélectionnez Deploy a virtual machine from an OVF or OVA file et cliquez sur
Next
La fenêtre de sélection de la source s'ouvre.
3. Entrez le nom de la machine virtuelle et sélectionnez le fichier OVF comprenant la machine
virtuelle OXE-MS.
OXE-MS, tels que le nom, puis cliquez sur Finish
La machine virtuelle est créée et démarrée, et l'installation de l'OXE-MS démarre
• Déploiement de la machine virtuelle OXE-MS produit sans fichier OVF :
• Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Power > Power On
• Sélectionnez la machine virtuelle et sélectionnez Power On
La machine virtuelle effectue un démarrage réseau, se connecte au S.O.T. et charge le bootdvd
et le logiciel OXE-MS. L'installation de l'OXE-MS démarre automatiquement sur la machine
virtuelle.
Surveillez la progression de l'installation de l'OXE-MS sur la console du client web VMware.
4. Sélectionnez Yes pour redémarrer l'OmniPCX Enterprise après la réussite de l'installation.

virtuel
Note :
Pour sélectionner l'option Yes, cliquez une fois sur la fenêtre de la console et utilisez les flèches de défilement
pour accéder à Yes. Appuyez sur Entrée.
5. Configurez le serveur OmniPCX Enterprise en fonction de vos besoins.
Note :
Les paramètres donnés dans ces figures ont été utilisés à des fins de test.
6. À ce stade, le clavier par défaut est le clavier anglais. Si vous devez utiliser un clavier autre que le
clavier par défaut (par exemple : le clavier français ou allemand), il vous faudra d'abord modifier le
type de clavier avant de configurer l'OmniPCX Enterprise : Ouvrez une console sur la machine
virtuelle.
a) Entrez les identifiants root (login et mot de passe).
b) Saisissez la commande kbdconfig.
c) Utilisez les flèches vers le haut et vers le bas pour sélectionner le clavier correspondant, puis
7. À partir de la même session root, saisissez la commande netadmin et configurez l'adresse IP de
la machine virtuelle OmniPCX Enterprise, le masque de sous-réseau et le routeur par défaut :
• Lorsque la configuration netadmin est terminée, vous pouvez accéder à la machine virtuelle
OmniPCX Enterprise depuis le réseau.
• La configuration de la machine virtuelle OmniPCX Enterprise est similaire à la configuration
OmniPCX Enterprise standard, à l'exception du fichier de licence. La licence utilisée pour la
machine virtuelle OmniPCX Enterprise doit être identique à celle associée au fichier de licence du
serveur FlexLM, ou une requête de licence spécifique est nécessaire (fichier .swk).

virtuel
• Avant de configurer le serveur FlexLM sur la machine virtuelle OmniPCX Enterprise, vérifiez que le
rôle de la machine virtuelle OmniPCX Enterprise est défini sur main.
9.2.3 Installation des outils VMware sur la machine virtuelle OmniPCX Enterprise
Il est obligatoire d'installer les outils VMware dans la machine virtuelle OmniPCX Enterprise.
La livraison de l'OmniPCX Enterprise inclut une version compatible des outils VMware (open-vm-
tools). Cependant, ALE recommande de vérifier si VMware fournit une version plus récente des outils
VMware.
Pour plus de détails sur l'installation des outils VMware, consultez le document TC2432 disponible sur
le Business Portal d'Alcatel-Lucent Enterprise : https://myportal.al-enterprise.com/alebp/s/PN/
TC2432en.
9.2.4 Installation du serveur FLexLM pour VMware ESXi

L'octroi de licence par un serveur FlexLM est utilisé par la plate-forme OmniPCX Enterprise dans les
cas suivants :
• Pour les licences RSI.
• Dans un CS virtualisé, au lieu de vérifier l'identifiant CPU par rapport au contenu du fichier
software.mao, un identifiant produit est acquis par le serveur FlexLM. Un seul identifiant produit est
disponible par OmniPCX Enterprise.
Un serveur FlexLM peut être utilisé par plusieurs serveurs OmniPCX Enterprise.
Si le serveur FlexLM s'arrête (crash, déconnexion, ou toute autre raison), la OmniPCX Enterprise
plate-forme peut continuer à fonctionner pendant cinq jours avant d'émettre un indicateur de situation
d'urgence (« panic flag »). Lorsqu'un "panic flag" est signalé sur la plate-forme OmniPCX
Enterprise, la configuration et les services deviennent extrêmement restreints.
Pour répondre aux exigences de disponibilité élevée, les versions récentes du serveur OmniPCX
Enterprise permettent de s'appuyer sur un second serveur FlexLM.
9.2.4.2 Description simplifiée

Dans une configuration avec un serveur FlexLM, lorsque le serveur OmniPCX Enterprise demande
une vérification de licences, il envoie des requêtes de vérification au serveur FlexLM. Après la
vérification, le serveur OmniPCX Enterprise vérifie la connexion avec le serveur FlexLM en envoyant
des battements de cœur.
La plate-forme OmniPCX Enterprise peut toutefois perdre la connexion avec le serveur FlexLM (par
exemple, crash du serveur FlexLM) au cours de la tentative de vérification ou de pulsation. Dans ce
cas, un "panic flag" peut être positionné :
• immédiatement après un échec de vérification
• Cinq jours après l'impulsion, la connexion est perdue.
Dans une configuration avec la redondance du serveur FlexLM, si la connexion est perdue, l'OmniPCX
Enterprise alterne entre les deux serveurs FlexLM pendant cinq jours jusqu'à ce qu'il accède à un
serveur FlexLM. Si aucune vérification n'est réalisée après cinq jours, le "panic flag" est positionné.
9.2.4.3 Services offerts

Dans une configuration à haute disponibilité, le serveur OmniPCX Enterprise fournit les services
suivants :

virtuel
• Redondance du serveur FlexLM : permet de s'appuyer sur un second serveur FlexLM lorsque le
premier serveur FlexLM est indisponible. Les serveurs FlexLM sont indépendants. Ils fournissent
chacun le même identifiant produit.
• Redondance du serveur OmniPCX Enterprise : lorsque le serveur principal OmniPCX Enterprise
est coupé, le serveur OmniPCX Enterprise de secours (qui devient le nouveau serveur principal)
assure le service d'octroi de licence avec le serveur FlexLM (vérifications, pulsations)
• Défense : pour prévenir les tentatives de fraude
9.2.4.4 Conditions préalables

Avant l'installation, vous devez disposer des éléments suivants :
• Un dongle physique d'Aladin Knowledge Systems (type Hasp 4MI USB memory key Part:#FLEXid-
ALA-7200) : ce dongle définit le FLEX-ID utilisé pour authentifier le fichier de licence OmniPCX
Enterprise.
• Le fichier iso FlexLM Server : ce fichier iso contient le serveur dongle de licences préinstallé pour
VMware ESXi, y compris OVF FlexLM VM (fichier OVF à extraire à partir de ISO).
Le fichier iso du serveur FlexLM OmniPCX Enterprise est présent dans le pack logiciel disponible
sur le site Web du portail du groupe Entreprise.
• Le fichier de licence du serveur FlexLM (extension .ice) : licence pour le serveur FlexLM pour le
dongle.
• Le fichier de licence du serveur OmniPCX Enterprise (extension .swk). Ce fichier de licence sert
pour le serveur OmniPCX Enterprise virtualisé.
Note :
Tous ces éléments sont requis pour l'installation. Si l'un de ces éléments est indisponible, arrêtez la procédure.
9.2.4.5 Installation du serveur OVF FlexLM sur le serveur VMware ESXi

Vérifiez que le modèle OVF contient les fichiers suivants :
• <VM Name>.mf
• <VM Name>.ovf
• <VM Name>.vmdk
9.2.4.5.1 Déploiement du modèle OVF

1. À partir de vSphere, choisissez File > Deploy OVF Template.

virtuel
2. Cliquez sur Browse pour accéder à et sélectionner l'emplacement du fichier OVF.

virtuel
Figure 9.13 : Exemple de page de sélection de source

virtuel
3. Cliquez sur Suivant.
Figure 9.14 : Exemple de page de détails du serveur VMFlex

virtuel
Figure 9.15 : Exemple de page Name and location

virtuel
Figure 9.16 : Exemple de page Disk format
4. Cliquez surFinish pour continuer.

virtuel
Figure 9.17 : Exemple de page récapitulative
La fenêtre du serveur FlexLM s'affiche pour montrer que le déploiement est en cours.

virtuel
Figure 9.18 : Exemple de boîte de dialogue d'installation réussie
Lorsque la machine virtuelle a été créée avec succès, elle s'affiche sur le côté gauche du vSphere
client.

virtuel
Figure 9.19 : Exemple de fenêtre de machine virtuelle
5. Mettez le serveur OVF FlexLM en marche. Cliquez avec le bouton droit de la souris sur le serveur
FlexLM pour afficher le menu contextuel et sélectionnez Power>Power On

virtuel
Le serveur FlexLM commence l'amorçage.
Figure 9.20 : Exemple de démarrage de FlexLM
6. Sélectionnez le type de clavier (Anglais US dans cet exemple)

virtuel
Figure 9.21 : Exemple de page de sélection de clavier
7. Saisissez vos identifiants.

• Le nom d'utilisateur par défaut est root.
• Le mot de passe par défaut est letacla.
8. Saisissez un nouveau mot de passe pour le compte root
9. Lorsque vous y êtes invité, entrez le nom d'hôte du serveur FlexLM, puis validez.
10. Dans la fenêtre qui s'affiche, sélectionnez Edit a connection.

virtuel
11. Sélectionnez eth0, puis sélectionnez <Edit...>
12. Définissez le type d'initialisation sur "Manual".
13. Validez l'option <Show>.

virtuel
14. Entrez l'adressage IP :

• Adresse IP indiquant la taille du masque réseau, par exemple : 192.168.201.144/24
• Adresse IP de la passerelle par défaut
• Adresse IP du serveur DNS
Vérifiez si la Automatically connect est cochée.
15. Sélectionnez OK pour valider.
16. Sélectionnez Quit.
17. En fonction de vos besoins, sélectionnez l'un des serveurs NTP prédéfinis, ou ajoutez-en un
nouveau, puis validez.

virtuel
18. Lorsque vous y êtes invité, entrez la commande startx pour ouvrir l'interface graphique.
19. Accédez à Applications > System tools > Settings, puis cliquez sur Date & Time.
20. Configurez l'heure et le fuseau horaire.
21. Confirmez votre saisie
9.2.4.5.2 Installation du dongle

Le dongle est branché directement sur un port USB du serveur Flex :
1. Branchez le dongle USB sur un port USB et cliquez avec le bouton droit de la souris sur la VM.
Sélectionnez Edit Settings dans le menu contextuel.

virtuel
2. Dans l'onglet Hardware, cliquez sur Add.

virtuel
Figure 9.22 : Exemple de page de propriétés de la machine virtuelle
3. Sélectionnez USB Device et cliquez sur Next.

virtuel
Figure 9.23 : Exemple de page d'ajout de matériel
Le dongle USB est détecté et s'affiche :

virtuel
Figure 9.24 : Exemple de page de sélection de périphérique USB
4. Cliquez sur Finish.

virtuel
Figure 9.25 : Exemple de page de finalisation
Lorsque le dongle USB est détecté, il s'affiche dans la fenêtre Properties :

virtuel
Figure 9.26 : Propriétés de la machine virtuelle avec dongle USB sélectionné
9.2.4.5.3 Installation de la licence

Lorsque la configuration réseau est terminée, le serveur de licence doit être configuré.
Copiez le fichier de licence correspondant au serveur (fichier avec extension .ice). La licence utilisée
doit correspondre au fichier de licence fourni avec le dongle ; assurez-vous de l'obtenir.
Note :
Par défaut, le protocole FTP ne fonctionne pas sur ce serveur. Vous pouvez copier ce fichier via une connexion
FTP ou SCP sécurisée ou n'importe quelle source de média.
• Copiez ce fichier dans /opt/Alcatel-Lucent/data/licenses.
• Redémarrez les services FlexLM : service flexlmd restart.
Note :
Si la configuration du nom d'hôte est défectueuse ou si le fichier de licence n'est pas généré pour le dongle
attaché ou si le dongle n'est pas attaché, le serveur FlexLM ne démarre pas.
Les journaux sont disponibles sous /opt/Alcatel-Lucent/logs/flexlm/.

virtuel
Vérifiez les journaux Flexlm pour vous assurer que le service flexlmd a été démarré.
Les détails concernant la vérification de licence VM-OXE à partir du serveur FlexLM sont consignés
dans . /opt/Alcatel-Lucent/logs/flexlm/flexlm_lmlog.log
Vous avez installé et configuré avec succès le serveur OVF FlexLM.
9.2.4.6 Installation d'un serveur FLexLM pour plusieurs serveurs OmniPCX Enterprise
virtualisés
• Cette architecture ne nécessite pas de configuration spécifique sur les serveurs OmniPCX
Enterprise ou sur le serveur FlexLM.
• Un dongle unique est utilisé.
• Plusieurs fichiers de licence (extension .ice) doivent être installés sur le serveur FlexLM.
• Plusieurs fichiers de licence (extension .swk) doivent être installés sur chaque serveur OmniPCX
Enterprise.
Une fois les fichiers de licence installés sur tous les serveurs, redémarrez le service FlexLM ou la
machine virtuelle afin que les licences soient prises en compte. Chaque serveur OmniPCX Enterprise
peut alors être enregistré sur le même serveur FlexLM.
En cas de duplication du serveur FlexLM (ce qui implique que deux adresses sont déclarées sur
chaque serveur OmniPCX Enterprise), deux dongles sont nécessaires et deux fois plus de
licences .ice doivent être installées sur les serveurs FlexLM.
9.2.4.7 Gestion du serveur FlexLM sur la plate-forme OmniPCX Enterprise

Configurez le serveur FlexLM sur VM-OXE.
Accédez à « Mgr→system→Licenses→Review/Modify » et configurer les paramètres suivants.
Figure 9.27 : Consulter/Modifier les licences
Note :
Une fois que vous avez configuré le serveur FlexLM, vous devez réamorcer VM-OXE pour appliquer les
modifications.
Note :
Si aucun serveur FlexLM ne répond après cinq jours, un indicateur de situation d'urgence est émis sur le serveur
OmniPCX Enterprise, avant d'afficher Call Installer sur les postes téléphoniques.
9.2.5 Annexe
9.2.5.1 Export de l'image/du modèle OVF à partir du serveur VMware ESXi
Vous devez arrêter la machine virtuelle pour exporter le modèle OVF, sinon l'option d'exportation sera
désactivée.

virtuel
1. Sélectionnez la machine virtuelle à exporter.

2. Arrêtez la machine virtuelle sélectionnée.
3. Accédez à File>Export>Export OVF Template.
Figure 9.28 : Exemple de fenêtre d'export de modèle OVF
Figure 9.29 : Exemple de fichier d'export

virtuel
La machine virtuelle a été exportée avec succès via l'image/le modèle OVF.
9.2.5.2 Installation de la VM OXE (image OVF) à partir d'un ESX vers un autre ESX.
Si vous disposez de l'image/du modèle OVF d'une machine virtuelle OmniPCX Enterprise, voir
Déploiement des paquets KVM à la page 137 pour l'installation.
Sinon, référez-vous aux sections suivantes :
• Export de l'image/du modèle OVF à partir du serveur VMware ESXi à la page 182
• Déploiement des paquets KVM à la page 137
9.3 Installation dans un environnement Hyper-V

9.3.1 Prérequis pour la machine virtuelle OmniPCX Enterprise pour Hyper-V
Pour connaître les caractéristiques requises pour exécuter un client Hyper-V sur un ordinateur,
reportez-vous à la documentation Hyper-V.
Pour connaître les caractéristiques requises pour exécuter une version de Windows Server sur un
serveur physique, reportez-vous à la documentation Hyper-V.
• TBE031 : voir https://myportal.al-enterprise.com/alebp/a4F5I000000YG5pUAG
Utilisez exclusivement un Network Adapter classique pour l'installation d'Hyper-V.
9.3.2 Installation de Windows Server sur le serveur

La procédure suivante décrit l'installation de Windows Server 2016-2019 sur un LENOVO-IBM x3250
M4 Server.
Pour installer le Windows Server, procédez comme suit :
1. Insérez le support CD/DVD amorçable Windows Server dans un lecteur CD/DVD disponible
2. Allumez le serveur et appuyez sur F12 lorsque le message F12 One Time Boot Device
s'affiche en bas à droite de l'écran
3. Lorsque le Boot Devices Manager s'affiche à l'écran, sélectionnez votre périphérique CD/DVD
amorçable et appuyez sur Enter
4. Lorsque le message Press any key to boot from cd or dvd s'affiche à l'écran, appuyez
sur une touche pour lancer le processus d'installation à partir du support CD/DVD du Windows
Server.
Les fichiers sont copiés à partir du support DVD. Cette opération peut prendre quelques minutes.
5. Dans la fenêtre de configuration Windows, sélectionnez les éléments suivants :
1. Dans le champ Language to install, utilisez le menu déroulant pour sélectionner English
(United States) (ou la langue de votre choix)
2. Dans le champ Time and currency format, utilisez le menu déroulant pour sélectionner
Other time & currency selon votre choix
3. Dans le champ Keyboard or input method, utilisez le menu déroulant pour sélectionner US
(ou toute autre préférence)
7. Cliquez sur Install Now

virtuel
8. Saisissez la Product Key et cliquez sur Next pour activer Windows

9. Sélectionnez votre version Windows Server
11. Faites défiler et lisez l'accord de licence
12. Sélectionnez I accept the license terms et cliquez sur Next
13. Sélectionnez Custom: Install Windows only (Advanced)
14. Lorsque la configuration du Windows Server affiche le volume de stockage du disque dur complet
disponible sur le serveur, sélectionnez l'une des options suivantes pour choisir ou créer la partition
de disque sur laquelle le Windows Server doit être installée :
• Allow setup to create a partition : pour partitionner tout le disque dur en tant que
partition primaire, sélectionner l'espace Disk0 non alloué du disque dur sur lequel vous
souhaitez installer Windows Server et cliquez sur Next
• Create a partition : pour créer une partition, sélectionner l'espace Disk0 non alloué du
disque dur sur lequel vous souhaitez installer Windows Server. Cliquez sur Drive options,
puis New.
Vous serez invité à définir l'espace disponible à affecter à la partition. Saisissez le volume
d'espace (en Mo). Cliquez sur Apply, puis sur Next.
• Delete : utilisez cette option pour supprimer une partition précédente avant de créer une
nouvelle partition en appliquant l'une des méthodes décrites ci-dessus.
15. Configurez le format de la partition sélectionnée et copiez les fichiers applicables sur la partition du
disque. Ce processus prend 30-45 minutes, pendant lesquelles le système redémarre deux fois.
16. Une fois le processus terminé, vous êtes invité à créer un mot de passe administrateur avant de
vous connecter. Saisissez deux fois le mot de passe et cliquez sur Finish. Appuyez sur Ctrl + Alt
+ Delete pour vous connecter à l'aide du mot de passe que vous venez de créer.
17. Une fois que vous êtes connecté en tant qu'administrateur, la fenêtre Server Manager s'ouvre.
Utilisez le Server Manager pour nommer votre système, configurer les paramètres du réseau et
procéder à d'autres tâches de configuration de base.
9.3.3 Configuration du client Hyper-V sur l'ordinateur

1. Allumez l'ordinateur et accédez aux paramètres du BIOS
2. Assurez-vous que l'assistance de virtualisation matérielle est allumée dans les paramètres du BIOS
Le champ Virtualization Technology doit être réglé sur Enabled dans les paramètres
System Security (onglet Security)
3. Enregistrez les paramètres du BIOS et redémarrez l'ordinateur
4. Une fois votre ordinateur démarré, cliquez sur l'icône de recherche (loupe) de la barre des tâches,
saisissez Turn Windows features on or off, puis sélectionnez cet élément
La fenêtre Turn Windows features on or off s'ouvre
5. Dans la liste des fonctions, sélectionnez et activez Hyper-V
6. Si Hyper-V n'étais pas activé précédemment, redémarrez l'ordinateur pour appliquer la modification
Note :
Au mieux, configurez le réseau pour l'environnement Hyper-V et la prise en charge de connexions réseau
externes. Assurez-vous qu'un commutateur virtuel a été créé et est opérationnel.
9.3.4 Lancement et configuration du Hyper-V Manager sur l'ordinateur

1. Cliquez sur l'icône de recherche (loupe) de la barre des tâches, saisissez Hyper-V Manager, puis
sélectionnez cet élément
La fenêtre Hyper-V Manager s'ouvre

virtuel
Note :
Effectuez un clic droit sur Hyper-V Manager pour l'épingler à la barre des tâches.
2. Pour vous connecter au serveur, procédez comme suit :
1. Sélectionnez : Action > Connect to Server...
2. Cliquez sur Another computer et sélectionnez Browse...
3. Cliquez sur Advanced et Find Now pour sélectionner le serveur correspondant dans la liste
disponible
Note :
L'Hyper-V Manager ne permet pas de sélectionner le serveur via son adresse IP ou son nom.
L'Hyper-V Manager se connecte au serveur et le nom du serveur (par exemple : HYPERVIBM3) est
affiché à l'écran
3. Dans le volet Actions, sélectionnez Virtual Switch Manager...
4. Assurez-vous que l'option External est sélectionnée, puis cliquez sur Create Virtual
Switch
5. Si plus d'un NIC est présent, assurez-vous que le NIC correspondant est sélectionné pour les
connexions réseau externes de la VM

virtuel
9.3.5 Création du projet de déploiement OmniPCX Enterprise via S.O.T.

1. Créez manuellement la machine virtuelle sur le serveur physique avec les caractéristiques
appropriées : voir : Création d'une machine virtuelle sur Hyper-V à la page 432
Note :
Hyper-V ne prend pas en charge le déploiement de machines virtuelles avec fichier OVF. La machine virtuelle
doit être créée manuellement sur Hyper-V.
Important :

virtuel
stockage
local
2. Laissez la case OVF Generation non sélectionnée

virtuel
3. Dans le champ Interface réseau utilisée, sélectionnez l'interface réseau S.O.T. utilisée pour le

OXE Hardware Type Sélectionnez VM
communication

CPU MAC address Saisissez l'adresse MAC de la machine virtuelle .
déployé

virtuel

cation.
Note :
IP distincts.
CPU redundancy (facultatif). Dans le cas d'une configuration dupliquée, cochez cette case et
complétez les paramètres du Communication Server dupliqué.

Deploy
project listing.

virtuel
15. Lancez l'amorçage PXE sur la machine virtuelle sur laquelle l'OXE-MS doit être installé : voir
Déploiement de la machine virtuelle OmniPCX Enterprise sur un serveur physique Hyper-V à la
page 191
9.3.6 Déploiement de la machine virtuelle OmniPCX Enterprise sur un serveur

physique Hyper-V
Pour déployer la machine virtuelle OmniPCX Enterprise sur un serveur physique Hyper-V :
1. À partir de l'ordinateur de gestion, ouvrez Hyper-V Manager
L'accès Hyper-V Manager varie selon la version du système d'exploitation Windows déployée sur
l'ordinateur de gestion. Pour plus d'informations, reportez-vous à la documentation du fabricant.
2. Mettez la machine virtuelle sous tension à l'aide de l'une des options suivantes :
• Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Start
• Sélectionnez la machine virtuelle et sélectionnez Start dans la barre verticale Actions
machine virtuelle.
Surveillez la progression de l'installation de l'OmniPCX Enterprise sur la console de Hyper-V
Manager.
3. Sélectionnez Yes pour redémarrer l'OmniPCX Enterprise après la réussite de l'installation.

virtuel
Note :
Pour sélectionner l'option Yes, cliquez une fois sur la fenêtre de la console et utilisez les flèches de défilement
pour accéder à Yes. Appuyez sur Entrée.
4. Configurez le serveur OmniPCX Enterprise en fonction de vos besoins.

virtuel
Note :
Les paramètres donnés dans ces figures ont été utilisés à des fins de test.
5. À ce stade, le clavier par défaut est le clavier anglais. Si vous devez utiliser un clavier autre que le
clavier par défaut (par exemple : le clavier français ou allemand), il vous faudra d'abord modifier le
type de clavier avant de configurer l'OmniPCX Enterprise : Ouvrez une console sur la machine
virtuelle.
a) Entrez les identifiants root (login et mot de passe).
b) Saisissez la commande kbdconfig .
c) Utilisez les flèches vers le haut et vers le bas pour sélectionner le clavier correspondant, puis
6. À partir de la même session root, saisissez la commande netadmin et configurez l'adresse IP de
la machine virtuelle OmniPCX Enterprise, le masque de sous-réseau et le routeur par défaut :
• Lorsque la configuration netadmin est terminée, vous pouvez accéder à la machine virtuelle
OmniPCX Enterprise depuis le réseau.
• La configuration de la machine virtuelle OmniPCX Enterprise est similaire à la configuration
OmniPCX Enterprise standard, à l'exception du fichier de licence. La licence utilisée pour la
machine virtuelle OmniPCX Enterprise doit être identique à celle associée au fichier de licence du
serveur FlexLM, ou une requête de licence spécifique est nécessaire (fichier .swk).
• Avant de configurer le serveur FlexLM sur la machine virtuelle OmniPCX Enterprise, vérifiez que le
rôle de la machine virtuelle OmniPCX Enterprise est défini sur main.

virtuel
9.3.7 Configuration de QoS pour Hyper-V

Cette section décrit comment configurer la QoS lorsque le balisage VLAN de OmniPCX Enterprise est
requis.
9.3.7.1 Commandes PowerShell pour la configuration du réseau local virtuel

Les commandes PowerShell suivantes permettent de configurer les paramètres du réseau local virtuel
pour acheminer le trafic via un adaptateur réseau virtuel :
Syntax Description
Get-VMNetworkAdapterVlan Ce cmdlet est utilisé pour obtenir les adaptateurs
réseau virtuels de la machine virtuelle spécifiée
(voir : Vérification de la configuration du réseau
local virtuel de la machine virtuelle à la page 196).
Set-VMNetworkAdapterVlan -VMname Ce cmdlet est utilisé pour configurer le trafic via le

"<OmniPCX Enterprise virtual machine mode Access (pour machine virtuelle OmniPCX
name>" -Access -VlanId <VLAN number> Enterprise) (voir : Configuration de la QoS sur
l'OmniPCX Enterprise à la page 196).
Set-VMNetworkAdapterVlan -VMname > Ce cmdlet est utilisé pour configurer le trafic via le
"<OXE-MS virtual machine name>" - mode faisceau (pour machine virtuelle OXE-MS)
Trunk -AllowedVlanIdList 1-4094 - (voir : #unique_318).
NativeVlanId <VLAN number>
Set-VMNetworkAdapterVlan -VMname Ce cmdlet est utilisé pour déconnecter les
"<virtual machine name>" -Untagged paramètres d'un réseau local virtuel.
9.3.7.2 Configuration de QoS sur la machine virtuelle OmniPCX Enterprise
9.3.7.2.1 Configuration de la QoS dans le serveur hôte

1. Dans la fenêtre Hyper-V Manager, configurez la carte réseau héritée dans les paramètres de la
machine virtuelle :
1. Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Settings
2. Sélectionnez New hardware et ajoutez Legacy Network Adapter à la machine virtuelle
3. Dans le groupe Hardware, sélectionnez Legacy Network Adapter et utilisez le menu
déroulant pour sélectionner le commutateur virtuel configuré à la section Lancement et
configuration du Hyper-V Manager sur l'ordinateur à la page 185
4. Sélectionnez VLAN ID et entrez un identifiant VLAN
Ceci permet d'envoyer ou de recevoir par le VLAN tout trafic dans la liste des VLAN autorisés.

virtuel
Figure 9.34 : Exemple de configuration de l'ancienne carte réseau
2. Définissez l'identificateur du VLAN en mode Accès à l'aide de la commande PowerShell :

1. Cliquez sur le bouton Démarrer de Windows, puis exécutez les opérations suivantes :
1. Appuyez sur Ctrl + Alt + Del
2. Sélectionnez Open Task Manager
3. Sélectionnez File > New task
2. Saisissez PowerShell
3. Entrez la commande PowerShell suivante :
Exemple :
PS C:\Windows\system32> “Set-VMNetworkAdapterVlan -VMname "MUL*8B" -Access -VlanId 30”
où :
• MUL*8B est le nom de la machine virtuelle OmniPCX Enterprise.
• 30 est le numéro VLAN défini dans l'adaptateur réseau hérité.

virtuel
9.3.7.2.2 Configuration de la QoS sur l'OmniPCX Enterprise

1. Connectez-vous à l'OmniPCX Enterprise
2. Exécutez la commande netadmin -m
3. Sélectionnez 14. 'VLan configuration' > 2. 'VLan feature', puis activez le
balisage 802.1p/Q et configurez le numéro de VLAN
Exemple :
VLan Setup update
=================
Do you want to activate 802.1p/q frame tagging (y/n default is 'n') ? y
Enter the VLan ID to use (0-4094, default is 0): 30
Attention :
L'activation ou la modification du numéro de VLAN peut entraîner une perte réseau, elle doit donc se
faire sur port V24 et non par telnet.
4. Dans une configuration dupliquée, répétez l'opération sur le second OmniPCX Enterprise
Attention :
Activez ou modifiez le numéro de VLAN manuellement sur les deux OmniPCX Enterprise. Le Copy
Setup de netadmin ne doit pas être utilisé.
5. Configurez le niveau de priorité via l'outil de configuration OmniPCX Enterprise (voir : Configuration
des paramètres 802.1p/Q dans les catégories de qualité de service IP à la page 196)
Attention :
Si 802.1p/Q n'est pas activé via netadmin, la gestion du niveau de priorité dans la Catégorie de qualité
de service IP n'est pas prise en compte.
9.3.7.3 Configuration des paramètres 802.1p/Q dans les catégories de qualité de service IP
Les paramètres 802.1p/Q (numéro VLAN et niveau de priorité) doivent être configurés dans un COS
de qualité de service IP utilisé par l'OmniPCX Enterprise ainsi que par les appareils distants
(téléphones IP et OXE-MS), lors de leur initialisation.
1. Ouvrez l'outil de configuration OmniPCX Enterprise et sélectionnez : IP > Catégorie de qualité de
service IP
2. Vérifiez/Modifiez les attributs suivants :
IP QoS COS Entrez un numéro de la catégorie de qualité de service
IP (entre 0 et 15)
Utilisation de 802.1Q Sélectionnez Oui pour activer le taggage 802.1Q
Priorité 802.1p Entrez le niveau de priorité à attribuer aux datagrammes
utilisant l'accès. Le niveau de priorité est un nombre
entre 0 et 7. La priorité 0 est la priorité la plus faible.
Cette valeur doit être définie en relation avec le
responsable réseau client.
VLAN ID Entrer l'identification du réseau LAN virtuel. La valeur “0”

correspond à l'inhibition du mécanisme VLAN. Cette
valeur doit être définie en relation avec le responsable
réseau client.
3. Validez vos données.
9.3.7.4 Vérification de la configuration du réseau local virtuel de la machine virtuelle


virtuel
3. Entrez la commande PowerShell Get-VMNetworkAdapterVlan :
Cette commande PowerShell permet de configurer le réseau local virtuel sur tous les adaptateurs
réseau virtuel de la machine virtuelle spécifiée.
9.3.7.5 Capture et affichage d'une balise VLAN

Utilisez l'outil tcpdump pour vérifier le trafic entrant et sortant et voir s'il y a une balise VLAN.
1. Connectez-vous à l'OmniPCX Enterprise comme racine
2. Entrez l'outil tcpdump avec les options -e et VLAN
Ceci affiche les détails de l'en-tête du VLAN comme indiqué en gras ci-dessous.
Exemple :
[root@Centos7 ~]# tcpdump -i eth0 -e
tcpdump: WARNING: eth0: aucune adresse IPv4 attribuée
tcpdump: verbose output suppressed, utilisez -v or -vv pour le décodage complet du protocole
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:29:15.280482 00:15:5d:16:be:6f (oui Unknown) > 18:a9:05:19:ae:85 (oui Unknown), ethertype
802.1Q (0x8100), length 254: vlan 30, p 0, ethertype IPv4, 172.15.15.87.ssh >
172.15.15.178.49627: Flags [P.], seq 1715129129:1715129325, ack 1115062799, win 212, length
196
9.3.8 Configuration de la migration en direct de la machine virtuelle dans Hyper-V

La figure ci-dessous illustre la configuration réseau et de stockage de la migration en direct dans
Hyper-V.
1. Assurez-vous d'avoir un contrôleur de domaine et les serveurs ajoutés au domaine.

2. Installez les caractéristiques Failover Clustering et Multipath I/O, ainsi que le rôle Hyper-
V sur les deux serveurs.
3. Configurez les interfaces réseau sur chaque serveur pour vous assurer que la synchronisation et
les interfaces iSCSI/StarWind Heartbeat se trouvent dans différents sous-réseaux et sont
connectées conformément au schéma réseau ci-dessus. Dans cette figure, le sous-réseau
10.10.20.xx est utilisé pour le trafic iSCSI/StarWind Heartbeat, alors que le sous-réseau 10.10.10.xx
est utilisé pour le trafic de synchronisation.

virtuel
Note :
Des connexions réseau supplémentaires peuvent être nécessaires, en fonction de la configuration du cluster et
des exigences de l'application.
9.3.8.1 Configuration des paramètres de l'adaptateur réseau

Cette opération doit toujours être réalisée sur les deux serveurs hôtes :
1. Ouvrez une invite de commande avec les droits d'administration.
2. Saisissez sconfig.cmd et appuyez sur Enter
3. Sélectionnez l'option 7, et activez la connexion à distance.

4. Sélectionnez l'option 1, et adressez le serveur au domaine.
5. Sélectionnez l'option 8 et configurez les paramètres des adaptateurs réseau :
1. Entrez l'index de l'adaptateur réseau.
2. Sélectionnez l'option 1 pour définir l'adresse IP de l'adaptateur réseau sélectionné.
3. Sélectionnez l'option 2 pour définir les paramètres du serveur DNS
4. Sélectionnez l'option 4 pour revenir à l'écran d'accueil
Les paramètres de l'adaptateur réseau peuvent également être modifiés à l'aide de la commande
PowerShell :
1. Cliquez sur le bouton Démarrer de Windows et entrez PowerShell.
2. Saisissez la commande Get-NetAdapter.

virtuel
3. Configurez les paramètres des adaptateurs réseau. Par exemple, pour changer le nom et définir
l'adresse IP statique pour Heartbeat/iSCSI et le canal de synchronisation, exécutez les commandes
suivantes PowerShell :
Get-NetAdapter “Ethernet3” | Rename-NetAdapter –NewName “Sync”
Get-NetAdapter “Sync” | New-NetIPAddress –IPAddress 10.10.10.1 –PrefixLength 24
Get-NetAdapter “Ethernet4” | Rename-NetAdapter –NewName “iSCSI”
Get-NetAdapter “iSCSI” | New-NetIPAddress –IPAddress 10.10.20.1 –PrefixLength 24
Note :
Les adresses IP correspondantes doivent être configurées sur le serveur partenaire.
9.3.8.2 Création d'un commutateur virtuel

Pour créer un commutateur virtuel sur l'interface de gestion, lancez la commande suivante
PowerShell :
New-VMSwitch –Name “vSwitch” –NetAdapterName “VLAN_64”
Le commutateur virtuel peut également être créé à l'aide de l'Hyper-V Manager (voir : Lancement et
configuration du Hyper-V Manager sur l'ordinateur à la page 185).
Note :
Le nom du commutateur virtuel doit être le même sur les deux serveurs.
9.3.8.3 Désactivation du pare-feu

Pour désactiver le pare-feu, lancez la commande suivante PowerShell sur chaque serveur :
Get-NetFirewallProfile | Set-NetFirewallProfile –Enabled False
9.3.8.4 Installation des rôles et fonctions nécessaires

Pour installer les caractéristiques Failover Clustering et Multipath I/O, lancez les
commandes suivantes PowerShell sur chaque serveur.
Get-NetFirewallProfile | Set-NetFirewallProfile –Enabled False
Install-WindowsFeature Failover-Clustering –IncludeAllSubFeature –Restart
Enable-WindowsOptionalFeature –Online –FeatureName MultiPathIO
Enable-MSDSMAutomaticClaim –BusType iSCSI

virtuel
Toute baie de stockage destinée à être utilisée par StarWind Virtual SAN pour stocker des images de
disque virtuel doit répondre aux exigences suivantes :
• Initialisée comme GPT
• Avoir une seule partition formatée en NTFS
• Avoir un identificateur de lecteur assigné
9.3.8.5 Installation du SAN virtuel StarWind

Le SAN virtuel StarWind doit être installé sur les deux serveurs.
Pour installer le SAN virtuel StarWind sur un serveur :
1. Téléchargez le fichier d'installation de StarWind Virtual VSAN à partir du site Web StarWind :
https://www.starwindsoftware.com/starwind-virtual-san
2. Copiez le fichier de configuration du VSAN virtuel StarWind sur le serveur sur lequel le SAN virtuel
StarWind ou l'un de ses composants doit être installé.
3. Lancez le fichier d'installation de StarWind Virtual VSAN
La page d'accueil de l'assistant apparaît :

La page de l'accord de licence s'affiche.
5. Lisez et acceptez le contrat, puis cliquez sur Next.
Une page des informations s'affiche.
Cette page fournit des informations sur les nouvelles fonctionnalités et améliorations. Le texte
surligné en rouge indique des avertissements pour les utilisateurs qui mettent à jour les installations
logicielles existantes.
6. Lisez avec attention ces informations et cliquez sur Next.
La fenêtre du dossier de destination s'affiche.

virtuel
7. Si besoin, cliquez sur le bouton Browse puis modifiez le chemin d'installation, puis cliquez sur
Next.
La page de sélection des composants s'affiche.
Note :
Ce type d'installation est conçu pour les éditions d'OS sans interface utilisateur graphique. Le service StarWind
est le « cœur » du logiciel. Il peut créer des cibles iSCSI ainsi que partager des périphériques virtuels et
physiques. Le service peut être exploité par la console de gestion StarWind à partir de n'importe quel
ordinateur Windows ou machine virtuelle du réseau où la console de gestion StarWind est installée, ou en
utilisant le client Web de la console de gestion StarWind.
8. Sélectionnez le scénario de déploiement requis pour StarWind VSAN et cliquez sur Next.
9. Cliquez sur le bouton Browse pour sélectionner l'emplacement du raccourci du programme dans le
dossier du menu Démarrer, puis cliquez sur Next.

virtuel
10. Sélectionnez l'option appropriée pour la saisie de la clé de licence, puis cliquez sur Next.
11. Cliquez sur le bouton Browse afin de localiser le fichier de licence, puis cliquez sur Next.

virtuel
12. Consultez les informations de licence, et cliquez sur Next.
13. Vérifiez les paramètres d'installation. Cliquez sur Back pour effectuer un changement, ou cliquez
sur Install.

virtuel
14. Cliquez sur Finish pour fermer l'assistant.

Pour gérer le déploiement du SAN virtuel StarWind sur l'édition OS sans interface graphique activée, la
console de gestion StarWind doit être installée sur un ordinateur exécutant l'OS compatible par
interface graphique.
Note :
Pour permettre aux initiateurs iSCSI de découvrir toutes les interfaces SAN virtuelles StarWind, le fichier de
configuration StarWind (StarWind.cfg) doit être modifié comme suit :
1. Arrêtez le service StarWind sur le serveur où il sera édité.
2. Localisez le fichier de configuration du SAN virtuel StarWind (chemin par défaut : C:\Program Files
\StarWind Software\StarWind\StarWind.cfg), et ouvrez-le dans WordPad avec les droits
administrateur.
3. Trouvez la chaîne de caractères <iScsiDiscoveryListInterfaces value=”0”/> et modifiez la valeur
de 0 à 1 (par exemple : <iScsiDiscoveryListInterfaces value=”1”/>)
4. Enregistrez les modifications et quittez WordPad.
Une fois le fichier StarWind.cfg modifié et enregistré, le service StarWind peut être démarré à nouveau.
9.3.8.6 Configuration du stockage partagé

Note :
Le StarWind Management Console ne peut pas être installé sur le système d'exploitation sans GUI. Il peut
être installé sur n'importe quel système d'exploitation doté d'une interface utilisateur graphique, y compris une
version de bureau de Windows.
1. Double-cliquez sur l'icône de la barre d'état StarWind pour lancer l'application StarWind
Management Console.
2. Ajoutez le serveur VSAN StarWind :
1. Cliquez sur le bouton Add Server sur le panneau de commande.
2. Entrez le nom de domaine du serveur ou l'adresse IP, puis cliquez sur OK.

virtuel
3. Répétez cette opération pour le deuxième serveur

4. Connectez-vous aux serveurs et spécifiez le chemin d'accès au pool de stockage. Cliquez sur Yes
pour sélectionner l'emplacement par défaut du pool de stockage. Si la destination du pool de
stockage doit être modifiée, cliquez sur Choose path… et sélectionnez l'emplacement souhaité.
Note :
La StarWind Management Console demande l'emplacement par défaut du pool de stockage sur le serveur
connecté pour la première fois. Configurez le pool de stockage par défaut pour utiliser l'un des volumes
préparés précédemment. Tous les périphériques créés à l'aide de l'assistant Ajouter un périphérique y seront
stockés. Si un dossier de stockage alternatif pour les disques virtuels StarWind est nécessaire, il est possible
d'utiliser l'élément de menu Add Device (advanced).
5. Sélectionnez le serveur StarWind sur lequel l'appareil doit être créé et cliquez sur le bouton Add
Device (advanced) dans la barre d'outils, ou cliquez avec le bouton droit de la souris sur le
serveur StarWind.

virtuel
6. Dans l'Add Device Wizard, sélectionnez Hard Disk Device, puis cliquez sur Next.
7. Sélectionnez Virtual Disk et cliquez sur Next.
8. Sélectionnez Create a new Virtual Disk, spécifiez les paramètres du dispositif StarWind
(Name, Location et Size), puis cliquez sur Next.

virtuel
Note :
Il est recommandé de créer un périphérique de 1 Go pour éviter un long processus de synchronisation. Le
dimensionnement peut être étendu après la création.
9. Spécifiez les options du disque virtuel. Sélectionnez Use 4096 bytes sector size. May be
incompatible with some clients pour Microsoft Windows, puis cliquez sur Next.

virtuel
10. Définissez la politique de mise en cache et la taille (en Go), puis cliquez sur Next.

virtuel
Note :
La recommandation de base est d'attribuer 1 Go de mémoire cache L1 en mode Write-Back ou Write-
Through par 1 To de capacité de stockage si nécessaire. La taille du cache doit correspondre à l'ensemble de
travail de stockage des serveurs.
11. Si nécessaire, définissez les paramètres du cache Flash (emplacement et taille du SSD), puis
cliquez sur Next.

virtuel
Note :
Il est recommandé de choisir une taille de cache L2 égale à 10 % de la capacité initiale du dispositif StarWind.
12. Précisez les paramètres cibles. Cochez la case Target Name pour personnaliser le nom cible,
puis cliquez sur Next.
Sinon, le nom sera automatiquement généré en fonction de l'alias cible.

virtuel
13. Sélectionnez Create pour ajouter un nouvel appareil et l'attacher à la cible, puis cliquez sur Close
pour sortir de l'assistant.

virtuel
14. Cliquez avec le bouton droit de la souris sur l'appareil précédemment créé et sélectionnez
Replication Manager.

virtuel
15. Dans la fenêtre Replication Manager, cliquez sur l'élément du menu Add Replica.
16. Sélectionnez Synchronous "Two-Way" Replication et cliquez sur Next.
17. Spécifiez le nom d'hôte du serveur partenaire ou l'adresse IP et son numéro de port, puis cliquez
sur Next.
Le port de gestion de StarWind par défaut est 3261. Dans le cas où un autre port doit être
configuré, veuillez le saisir dans le champ Port Number.
18. Sélectionnez la stratégie de basculement pour le dispositif HA et cliquez sur Next.

Aux fins du présent document, la stratégie de basculement Heartbeat est utilisée.
19. Sélectionnez Create new Partner Device et cliquez sur Next.
20. Si nécessaire, spécifiez l'Location de l'appareil du partenaire et/ou modifiez le nom cible de
l'appareil, puis cliquez sur Next.

virtuel
21. Cliquez sur Change Network Settings pour sélectionner les réseaux Synchronisation et
Heartbeat pour l'appareil HA.

virtuel
22. Spécifiez les interfaces pour Synchronisation et Heartbeat, puis cliquez sur OK.

virtuel
Note :
Il est recommandé de configurer les canaux Heartbeat et iSCSI (dans ce document 10.10.10.xx et 10.10.20.xx)
sur les mêmes interfaces pour éviter le problème du « split brain ». Si les interfaces Synchronisation et
Heartbeat sont situées sur le même adaptateur réseau, il est recommandé d'affecter une interface Heartbeat
supplémentaire à un adaptateur séparé.
24. Sélectionnez Synchronize from existing Device pour le mode d'initialisation de l'appareil
partenaire, puis cliquez sur Next.
25. Cliquez sur Create Replica, et cliquez sur Close pour sortir de l'assistant.

virtuel
L'appareil ajouté apparaît dans la StarWind Management Console.

virtuel
26. Répétez les étapes de création de l'appareil HA pour tous les disques virtuels qui seront utilisés
comme volumes partagés en cluster (CSV). Une fois tous les appareils créés, ils sont affichés dans
la StarWind Management Console comme suit :
9.3.8.7 Extension du dimensionnement du dispositif StarWind

1. Sur la page d'accueil de la StarWind Management Console, cliquez avec le bouton droit de la
souris sur le dispositif StarWind cible et sélectionnez Extend Size of HA (High
Availability) Device....

virtuel
2. Étendez l'espace disponible pour cet appareil et sélectionnez Extend.

virtuel
Une fois l'extension terminée, la nouvelle taille de l'appareiil HA StarWind apparaît dans la StarWind
Management Console comme suit :

virtuel
9.3.8.8 Découverte des portails cibles

Cette partie décrit comment connecter les disques précédemment créés qui doivent être ajoutés au
cluster.
1. Ouvrez une fenêtre CMD et entrez la commande iscsicpl pour lancer l'iSCSI Initiator de
Microsoft.
Note :
Une boîte de dialogue peut s'ouvrir si l'iSCSI de Microsoft ne fonctionne pas. Dans ce cas, cliquez sur Yes
pour démarrer le service maintenant.
La fenêtre iSCSI Initiator Properties s'affiche.
2. Sélectionnez l'onglet Discover .

virtuel
3. Cliquez sur le bouton Discover Portal, puis entrez 127.0.0.1 dans l'IP address or DNS
name.

virtuel
4. Cliquez sur le bouton Advanced.

5. Dans l'onglet General, renseignez les champs suivants :
• Local adapter: sélectionnez Microsoft iSCSI Initiator
• Initiator IP: sélectionnez Default
6. Confirmez vos actions pour finaliser la découverte du portail cible.

7. Sélectionnez à nouveau l'onglet Discover Portal, et indiquez l'adresse IP de l'interface iSCSI
du serveur partenaire qui sera utilisée pour connecter les cibles provisionnées StarWind.

virtuel
8. Cliquez sur le bouton Advanced.

• Initiator IP : sélectionnez l'adresse IP dans le même sous-réseau que l'adresse IP du
serveur partenaire configuré à l'étape précédente.

virtuel
10. Confirmez vos actions pour finaliser la découverte du portail cible.

Tous les portails cibles sont ajoutés sur le premier serveur.
Passez en revue les étapes de découverte des portails cibles sur le serveur partenaire.
9.3.8.9 Connexion des cibles

1. À partir de la fenêtre iSCSI Initiator Properties (voir : Découverte des portails cibles à la
page 221), sélectionnez l'onglet Targets .
Les cibles précédemment créées sont répertoriées dans la section Discovered targets.

virtuel
Note :
Si les cibles créées ne sont pas répertoriées, vérifiez les paramètres du pare-feu du serveur StarWind ainsi
que la liste des réseaux desservis par le serveur StarWind (accédez à : StarWind Management Console >
Configuration > Network).
Sinon, vérifiez l'onglet Access Rights sur un serveur StarWind correspondant dans la StarWind
Management Console pour toute restriction en vigueur.

virtuel
2. Sélectionnez la cible témoin disponible sur le serveur local et cliquez sur Connect.
3. Cochez toutes les cases, puis cliquez sur Advanced.

virtuel

• Target portal IP: sélectionnez 127.0.0.1
Note :
Il est recommandé de connecter le dispositif témoin en utilisant uniquement l'adresse IP en boucle (127.0.0.1).
Ne connectez pas la cible au dispositif témoin à partir du serveur partenaire StarWind.
5. Validez vos modifications.
6. Sélectionnez la cible CSV disponible sur le serveur local et cliquez sur Connect.

virtuel

• Target portal IP: sélectionnez 127.0.0.1

10. Dans l'onglet Targets, sélectionnez la cible partenaire à partir de l'autre serveur StarWind, puis
cliquez sur Connect.

virtuel

• Initiator IP: sélectionnez l'adresse IP du lien iSCSI hôte.
• Target portal IP: sélectionnez l'adresse IP du partenaire correspondant dans le même
sous-réseau.

14. Répétez les étapes précédentes pour les cibles de l'appareil HA restant. Le résultat doit être
similaire à celui du tableau ci-dessous.

virtuel
15. Répétez les étapes décrites dans cette partie sur un autre serveur StarWind en spécifiant les
adresses IP locales et de canal de données correspondantes. Le résultat doit être similaire à celui
du tableau ci-dessous.

virtuel
9.3.8.10 Configuration des chemins multiples

Note :
Il est recommandé de configurer d'autres politiques MPIO en fonction du débit du canal iSCSI :
• Pour un débit de canal iSCSI de 1 Gbit, il est recommandé de définir une politique d'équilibrage de charge
MPIO de Failover Only ou Least Queue Depth.
• Pour un débit de canal iSCSI de 10 Gbps, il est recommandé de définir une politique d'équilibrage de charge
MPIO de Round Robin ou Least Queue Depth.
1. À partir de la fenêtre iSCSI Initiator Properties (voir : Découverte des portails cibles à la
page 221), sélectionnez l'onglet Targets.
2. Configurez la MPIO policy pour chaque cible (à l'exception de la cible témoin) avec la politique
d'équilibrage de charge de votre choix. Sélectionnez la cible localisée sur le serveur local, puis
cliquez sur le bouton Devices.

virtuel
3. Cliquez sur le bouton MPIO dans la page Devices.

4. Sélectionnez la Load balance policy appropriée dans « Device Details ».

virtuel
5. Pour la cible témoin, définissez sur la Load balance policy sur Failover Only.
6. Répétez les étapes précédentes pour configurer la politique MPIO pour chaque dispositif restant sur
le serveur actuel et sur le serveur partenaire.
Note :
Dans le cas de l'utilisation de la police MPIO Failover Only, vérifiez que le chemin local (127.0.0.1) est défini
sur Active, alors que la connexion du partenaire est définie sur Standby.
9.3.8.11 Configuration des disques StarWind sur les serveurs

Utilisez la commande DISKPART pour initialiser les disques et créer les partitions sur les serveurs.
Pour créer un cluster, les disques doivent être visibles sur les deux serveurs.
1. Ouvrez une fenêtre CMD et entrez la commande DISKPART.
2. Entrez les commandes dans l'ordre suivant :
1. List disk
2. select disk X, où X est le numéro du disque à traiter
3. Online disk
4. Clean
5. attributes disk clear readonly
6. convert GPT

virtuel
7. create partition primary

8. format fs=ntfs label=X quick, où X est le nom du volume
N'attribuez pas de lettre aux disques des clusters.
Note :
Il est recommandé d'initialiser les disques comme GPT.
3. Répétez ces opérations sur le serveur du partenaire.
9.3.8.12 Création d'un cluster

Note :
Pour éviter les problèmes lors de la validation de la configuration du cluster, il est recommandé d'installer les
dernières mises à jour Microsoft sur chaque serveur.
1. Ouvrez le Failover Cluster Manager à l'aide de la version de bureau de Windows ou d'un
autre serveur Windows basé sur l'interface graphique.
2. Sélectionnez le Create Cluster dans la section Actions du Failover Cluster Manager.

virtuel
3. Spécifiez les serveurs à ajouter au cluster, puis cliquez sur Next.

virtuel
4. Valider la configuration en effectuant les tests de validation des clusters : sélectionnez Yes et Run
all tests (recommended), puis cliquez sur Next.

virtuel
5. Spécifiez le nom du cluster, puis cliquez sur Next.

virtuel
6. Assurez-vous que tous les paramètres sont corrects, puis cliquez sur Next.
Si nécessaire, utilisez le bouton Previous pour effectuer des changements.

virtuel
Note :
Si la case Add all eligible storage to the cluster est cochée, l'assistant essaiera d'ajouter
automatiquement tous les disques au cluster. Le plus petit appareil sera assigné comme témoin. Il est
recommandé de désactiver cette option avant de cliquer sur Next, et d'ajouter un témoin manuellement.

virtuel
Une fois la création du cluster terminée, le système affiche un rapport contenant les informations détaillées
peuvant être vérifiées en cliquant sur le bouton View Report.

virtuel
9.3.8.13 Ajout du stockage au cluster

Suivez les étapes précédentes pour ajouter les volumes partagés en cluster (CSV) nécessaires pour
travailler avec les machines virtuelles Hyper-V.
1. À partir du Failover Cluster Manager, accédez à : Cluster > Storage > Disks, puis
cliquez sur Add Disk dans le panneau Actions.
2. Sélectionnez les disques StarWind dans le liste, puis cliquez sur OK.

virtuel
3. Pour configurer le disque témoin du cluster, cliquez avec le bouton droit de la souris sur Cluster
et sélectionnez More Actions >. Configure Cluster Quorum Settings
4. Sélectionnez Select the quorum witness et cliquez sur Next.

5. Sélectionnez Configure a disk witness et cliquez sur Next.
6. Sélectionnez le disque témoin à affecter comme disque témoin du cluster, puis cliquez sur Next et
Finish pour terminer l'opération.

virtuel
7. À partir du Failover Cluster Manager, sous Disks, cliquez avec le bouton droit de la souris
sur Cluster Disk puis sélectionnez Add to Cluster Shared Volumes.
8. Si le volume partagé de cluster (CSV) doit être renommé :

1. Effectuez un clic droit sur le disque et sélectionnez Properties.
2. Entrez le nouveau nom du disque, puis sélectionnez Apply.
3. Cliquez sur OK pour quitter.

virtuel
9. Effectuez les étapes précédentes si d'autres disques doivent être configurés dans le Failover
Cluster Manager. Le résultat (liste des disques) doit être similaire à celui du tableau ci-dessous.
9.3.8.14 Configuration des préférences du réseau de cluster

1. Dans la section Networks du Failover Cluster Manager, cliquez avec le bouton droit de la
souris sur le réseau et entrez son nouveau nom si nécessaire, en identifiant le réseau par son sous-
réseau. Appliquez le changement, puis cliquez sur OK.
Attention :
N'autorisez pas la communication réseau de cluster sur le réseau iSCSI ou le réseau de
synchronisation.

virtuel
2. Si nécessaire, renommez les autres réseaux comme décrit ci-dessus.

virtuel
3. Dans l'onglet Actions, cliquez sur Live Migration Settings.

4. Décochez la case Réseau de synchronisation uniquement si le réseau iSCSI est supérieur à
10 Gbits. Appliquez les changements, puis cliquez sur OK.

virtuel
9.3.8.15 Tâches postérieures à la configuration

Une fois les disques ajoutés aux volumes partagés du cluster et les préférences réseau configurées,
des machines virtuelles hautement disponibles peuvent être créées sur les volumes partagés du
cluster :
1. Dans la section Roles du Failover Cluster Manager, accédez à Virtual Machines > New
Virtual Machine dans l'onglet Action, puis quitter l'assistant.
Note :
Pour éviter les surcharges CSV inutiles, configurez chaque CSV pour qu'il appartienne à un serveur cluster
différent. Ce serveur doit également être le propriétaire privilégié des machines virtuelles exécutées sur ce
CSV.

virtuel
2. Si le cluster Hyper-V est disponible, ajoutez des machines virtuelles : cliquez avec le bouton droit
de la souris sur la section Roles et sélectionnez Configure Role.

4. Sélectionnez Virtual Machine dans la liste déroulante, puis cliquez sur Next.
5. Sélectionnez les machines virtuelles cibles, puis cliquez sur Next.

virtuel
6. Cliquez sur Next pour confirmation.

virtuel
7. Cliquez sur Next pour confirmation.

virtuel
9.4 Installation dans un environnement Nutanix AHV

9.4.1 Prérequis pour la machine virtuelle OmniPCX Enterprise pour Nutanix AHV
L'installation de l'OmniPCX Enterprise nécessite :

virtuel
• La solution de virtualisation Nutanix AHV installée et configurée.

Pour plus de détails sur l'installation et la configuration de Nutanix AHV, reportez-vous à la
documentation technique du fabricant.
• Les outils de gestion de la virtualisation Nutanix Prism ont démarré
Pour plus de détails sur l'installation et le démarrage de Nutanix Prism, reportez-vous à la
documentation technique du fabricant.
Pour plus d'informations sur l'installation et le démarrage du S.O.T., voir document 8AL90559USAF
• Le fichier logiciel OmniPCX Enterprise (oxe-<version>.iso)
Note :
Le fichier logiciel OmniPCX Enterprise est disponible sur le site Web du portail du groupe Entreprise. Il doit être
téléchargé et déclaré dans la liste des supports sur S.O.T..
9.4.2 Création du projet de déploiement OmniPCX Enterprise via S.O.T.

1. Créez manuellement la machine virtuelle sur le serveur physique avec les caractéristiques
appropriées : voir : Créer une machine virtuelle sur Nutanix AHV à la page 437
Note :
Nutanix AHV ne prend pas en charge le déploiement de machines virtuelles avec fichier OVF. La machine
virtuelle doit être créée manuellement sur Nutanix AHV.
Important :
•Pour le serveur NFS, cochez la case NFS share et entrez le chemin de stockage NFS : [URL
NFS]:/[dossier(s) NFS]
stockage
• Si les fichiers ont été chargés sur le stockage local de S.O.T., sélectionnez S.O.T. Local storage
8. Dans l'option OXE soft. version, sélectionnez la version du logiciel à installer : la version complète,
une version du logiciel avec un patch statique ou une version du logiciel sans patch.

virtuel
2. Laissez le champ OVF Generation non sélectionné

virtuel

Champ Signification
OVF.
s'exécute

OVF.
le fichier OVF

communication

virtuel
Champ Signification
Note :
modifié.

déployé
cation.
Note :
IP distincts.


virtuel
Deploy
project listing.
15. Lancez l'amorçage du PXE sur la machine virtuelle sur laquelle l'OmniPCX Enterprise doit être
installé (voir Déploiement du site OmniPCX Enterprise sur une plateforme Nutanix AHV à la page
257)
9.4.3 Déploiement du site OmniPCX Enterprise sur une plateforme Nutanix AHV
Pour déployer le site OmniPCX Enterprise sur une plateforme Nutanix AHV :
1. Dans un navigateur Web, entrez l'URL suivante pour ouvrir l'application Nutanix Prism :
https://<adresse IP du serveur Nutanix>:9440/console/#login
La page d'accueil Nutanix Prism s'affiche.
3. Sélectionnez la machine virtuelle créée pour le déploiement de OmniPCX Enterprise, et cliquez sur
le bouton Power on en bas à droite de la fenêtre

virtuel

machine virtuelle.
Surveillez la progression de l'installation de l'OmniPCX Enterprise sur la console de l'application
Nutanix Prism.
À la fin du processus, une fenêtre de connexion s'ouvre.

virtuel
4. Configurez le OmniPCX Enterprise : voir : Configuration de l'OmniPCX Enterprise à la page 149

Chapitre
10 Autres machines virtuelles
10.1 Installation du système OXE Media Services

10.1.1 Présentation OXE-MS
L'OXE Media Services (appelé OXE-MS dans la suite de ce document) offre des fonctions de
traitement multimédia auparavant proposées par la carte GD-4 de l'OmniPCX Media Gateway. L'OXE-
MS ne nécessite pas de matériel spécifique pour les fonctions de traitement multimédia : il s'agit d'une
solution logicielle à part entière qui peut être déployée sur n'importe lequel des environnements
virtualisés suivants :
• Machine virtuelle basée sur un noyau (KVM) :
• VMware ESXi
• Hyper-V
• Nutanix AHV
OXE-MS :
- Système d'exploitation Suse
- Logiciel OXE-MS
machine virtuelle
Environnement virtualisé
Serveur physique
Figure 10.39 : Exemple d'installation d'OXE-MS dans un environnement virtualisé
Dans ces environnements virtualisés, il est possible de créer d'autres machines virtuelles sur le
serveur pour héberger d'autres applications (telles que l'OmniPCX Enterprise ou Alcatel-Lucent 4645
voice mail).
Machines virtuelles
OmniPCX
OXE-MS
Enterprise
Environnement virtualisé
Serveur physique
Figure 10.40 : Exemple d'environnement virtualisé avec deux machines virtuelles
Notes :
• Une seule instance d'OXE-MS par machine virtuelle est autorisée. L'OXE-MS ne peut pas fonctionner lorsque
d'autres applications (comme OmniPCX Enterprise ou Alcatel-Lucent 4645 voice mail) sont installées sur la
même machine virtuelle
• L'OXE-MS s'exécute dans la machine virtuelle avec sa propre adresse IP.

Chapitre 10 Autres machines virtuelles
• OXE-MS peut fonctionner avec une passerelle multimédia telle que Common Media Gateway
10.1.1.1 Fonctions fournies

L'OXE-MS propose les fonctions principales suivantes :
• Codecs VoIP (G711 et G729)
• G.711 (Tramage VOIP de 20 ms)
• G.729 (tramage VOIP 20/40ms)
• Guides vocaux (jusqu'à 30 par PCM. Max. 120)
Seuls les guides vocaux statiques sont pris en charge.
Seuls les guides vocaux statiques et dynamiques sont pris en charge.
Le guide vocal dynamique peut être enregistré avec le système OXE-MS.
• Création de tonalités
• Conférences à trois participants
• Conférence à 6
• Conférences à 14 participants
• Conférences à 29 participants
• Conférence G.722
• Charge RTP pour les chiffres DTMF (RFC 4733, auparavant RFC 2833)
• Identifiant QoS (802.1p/DiffServ)
• Transcodage de codec
• H.323 (uniquement pour ABC-F) : deux accès H.323 sont pris en charge
Notes :
• Ni les configurations de faisceaux ni celles des postes analogiques/TDM/IP ne sont prises en charge.
• L'OXE-MS ne prend pas en charge la conversion de loi A / loi μ.
10.1.1.2 Conférence G.722

Les conférences sur le système OXE-MS peuvent prendre en charge des participants connecté via des
algorithmes de codage G.711, G.729 ou G.722.
Lorsqu'un participant utilisant G.722 parle, les participants avec G.722 reçoivent un flux vocal de
qualité élevée. Les participants avec G.711 ou G.729 reçoivent un flux vocal de qualité inférieure.
Lorsque des participants avec G.711 (ou G.729) parlent, les autres participants écoutent avec
l'algorithme correspondants. La qualité vocale est toujours de niveau G.711(G.729).
Conditions d'une conférence G.722 :
• L'option système G722 conference with OMS doit être définie sur Yes
• Le participant doit prendre en charge G.722
• Les faisceaux utilisés par les participants doivent prendre en charge G.722
• Les domaines IP entre les participants et l'OXE-MS doivent prendre en charge G.722
La conférence peut être :
• une conférence à N participants dirigée (mode Mastered) ou programmée (mode Meet-me)
• une conférence à 3
• une entrée en tiers (aussi appelée intrusion)
• enregistrement vocal via 4645 ou un enregistreur SIP externe

10.1.1.3 Duplication de serveur de communication

L'OXE-MS prend en charge la duplication du serveur de communication dans le même sous-réseau,
tout comme la duplication avec les deux serveurs de communication sur deux sous-réseaux différents
(redondance spatiale).
Exemple :
Deux OXE-MS (OXE-MS1 et OXE-MS2) sont connectés au serveur de communication principal (appelé CS
principal dans la figure). Lorsque l'activité du serveur de communication principal est interrompue, le serveur de
communication de secours devient le serveur principal et les deux OXE-MS sont connectés à ce serveur de
communication.
VM CS VM VM CS VM
principal OXE-MS1 principal OXE-MS1
Environnement virtualisé Environnement virtualisé
Basculement
VM CS VM VM CS VM
de secours OXE-MS1 de secours OXE-MS1
Environnement virtualisé Environnement virtualisé
: Liaison IP
Figure 10.41 : Basculement entre deux serveurs de communication
10.1.1.4 Serveur de communication passif

Un OXE-MS peut être récupéré par un serveur de communication passif en cas de perte du ou des
serveurs de communication.
En cas de récupération d'un OXE-MS par un serveur de communication passif, une réinitialisation
logicielle est effectuée (les contextes vocaux sont lancés mais la machine virtuelle ne redémarre pas)
avant la connexion au serveur de communication passif.
Lorsque le serveur de communication est de nouveau disponible, l'OXE-MS effectue une réinitialisation
matérielle (la machine virtuelle redémarrage) avant la connexion au serveur de communication.
La connexion au serveur de communication passif peut être établie en mode clair ou chiffré si le
chiffrement natif est activé sur le nœud.
Sélectionnez le menu PCS configuration dans l'outil omsconfig pour configurer l'adresse IP du
serveur de communication passif.
10.1.1.5 Sécurité
10.1.1.5.1 Authentification binaire

Une signature numérique est intégrée à la version de production OXE-MS des binaires du logiciel. La
signature est vérifiée par la clé publique de vérification (PKI) lorsqu'une mise à niveau du logiciel OXE-
MS est effectuée sur le site client.

10.1.1.5.2 Cryptage du flux de signalisation

Le site Full Software Native Encryption (FSNE) est utilisé pour le cryptage du flux de signalisation entre
OmniPCX Enterprise et OXE-MS. Lorsque le FSNE est activé sur le OmniPCX Enterprise, les flux de
signalisation échangés avec le OXE-MS sont cryptés via le protocole Datagram Transport Layer
Security (DTLS).
La figure ci-dessous représente une configuration avec un OXE-MS et un OmniPCX Enterprise avec
FSNE activé :
OmniPCX Enterprise OXE-MS
Flux de signalisation
chiffrement via DTLS
LAN
10.1.2 Présentation générale de l'installation d'OXE-MS

Les paragraphes suivants décrivent l'installation d'une machine virtuelle OXE-MS sur un
environnement virtualisé : KVM, VMware, Hyper-V ou Nutanix AHV.
Pour Hyper-V, la machine virtuelle OXE-MS ne peut pas être déployée avec S.O.T.. Le déploiement
consiste à créer la machine virtuelle sur la machine physique, et à installer manuellement les fichiers
OXE-MS (boot dvd et OXE-MS) sur cette machine virtuelle.
Pour KVM, VMware et Nutanix AHV, l'installation de la machine virtuelle OXE-MS sur l'environnement
virtualisé s'effectue via S.O.T.. S.O.T. permet de collecter les fichiers OXE-MS et d'effectuer l'une des
opérations suivantes :
• Générer un fichier OVF à déployer sur la machine physique sur laquelle la machine virtuelle OXE-
MS doit être exécutée (possibel uniquement sur les environnements KVM et VMware). Ce fichier
OVF est fourni en fonction des dimensions souhaitées. Une fois que ce fichier OVF est déployé sur
la machine cible, le client VMware ou KVM récupère le fichier vmdk du S.O.T. et installe la machine
virtuelle OXE-MS.
Cette opération permet de déployer les fichiers de la machine virtuelle et de l'OXE-MS en une fois
sur la machine physique.
• Déployez les fichiers de l'OXE-MS sur la machine virtuelle appropriée déjà créée sur la machine
physique. Une fois que la machine virtuelle est démarrée via le client VMware, KVM ou Nutanix
Prism, elle démarre à partir du réseau, se connecte à S.O.T. et charge le logiciel d'OXE-MS.
L'installation du logiciel de l'OXE-MS démarre automatiquement sur la machine virtuelle.
L'installation de la machine virtuelle OXE-MS ne comprend pas l'installation de la solution KVM,
VMware, Hyper-V ou Nutanix AHV sur la machine physique.
10.1.3 Exigences de la machine virtuelle OXE-MS

L'installation de l'OXE-MS nécessite :
• La solution de virtualisation (VMware, KVM, Hyper-V ou Nutanix AHV), installée et configurée.
Pour plus de détails sur l'installation et la configuration de la solution de virtualisation, reportez-vous
à la documentation technique du fabricant.
Notes :
• En cas de solution KVM :

• La solution KVM comprend un système d'exploitation Suse Linux Enterprise, une couche de
virtualisation KVM et des packages KVM. L'installation des packs de virtualisation KVM nécessite le
système d'exploitation Suse Linux Enterprise en tant que système d'exploitation.
• Les paquets de virtualisation peuvent être installés soit lors de la procédure d'installation de l'hôte, soit
après celle-ci, à l'aide de la commande zypper et de Suse network.
• Assurez-vous que le réseau ponté a été configuré, parce que le serveur de communication et les
machines virtuelles OXE-MS utilisent le même réseau pour l'accès LAN, et veillez également à
désactiver Network Manager pour utiliser le service réseau à sa place.
• En cas de solution VMware : la version doit être 5.5 ou ultérieure.
• Les outils de gestion de la virtualisation ont démarré :
• Pour la solution KVM : utilisez l'application Virtual Machine Manager disponible dans les
packages KVM installés avec la solution KVM sur le serveur physique.
• Pour la solution VMware : utilisez le client Web vSphere (version 5.5 ou ultérieure), étant donné
qu'il s'agit du seul client permettant l'installation d'un bootdvd de SUSE 12 SP5 sur une machine
virtuelle.
• Pour la solution Hyper-V : utilisez le Hyper-V Manager
• Pour Nutanix AHV : utilisez Nutanix Prism
Pour plus de détails sur l'installation et le démarrage de l'outil de gestion de la virtualisation,
reportez-vous à la documentation technique du fabricant.
• Pour VMware, KVM ou Nutanix AHV :
Pour plus d'informations sur l'installation et le démarrage du S.O.T., voir
document 8AL90559USAF
• Si l'OXE-MS et sa machine virtuelle sont déployés sans fichier OVF, la machine virtuelle doit être
créée manuellement sur la solution de virtualisation appropriée :
• Pour KVM : voir : Création d'une machine virtuelle sur KVM à la page 428
• Pour VMware ESXi : voir TC2431 disponible sur le portail du groupe Entreprise d'Alcatel-
Lucent Enterprise : https://myportal.al-enterprise.com/alebp/s/PN/TC2431en.
• Pour Nutanix AHV : voir : Créer une machine virtuelle sur Nutanix AHV à la page 437
Danger :
• Nutanix AHV ne prend pas en charge le déploiement de machines virtuelles avec fichier OVF. La
machine virtuelle doit être créée manuellement sur Nutanix AHV.
• Après la création, la machine virtuelle doit être arrêtée avant l'installation de OXE-MS.
• Pour Hyper-V : la machine virtuelle doit être créée manuellement sur le serveur hôte : Création
d'une machine virtuelle sur Hyper-V à la page 432,
Note :
Hyper-V ne supporte pas le déploiement de machines virtuelles OXE-MS avec S.O.T..
• Progiciel OXE-MS :
• Le bootdvd comprenant le système d'exploitation SUSE Linux Enterprise Server (bootdvd-
<version>.iso)
• Le fichier logiciel OXE-MS (oms-<version>.iso)
Note :
Les fichiers bootdvd et logiciels OXE-MS sont présents dans le pack logiciel OmniPCX Enterprise disponible
sur le site Web du portail du groupe Entreprise. En cas de déploiement sur VMware, KVM ou Nutanix AHV, ils
doivent être téléchargés et déclarés dans la liste des supports sur S.O.T.
10.1.4 Configuration de l'application OXE-MS sur l'OmniPCX Enterprise

La configuration de l'OXE-MS comprend les opérations suivantes :

• Vérifier les verrous logiciels dédiés au système OXE-MS à la page 265

• Déclaration de l'OXE-MS à la page 265
• Configuration des paramètres OXE-MS à la page 265
• Saisie de l'adresse Ethernet (MAC) de l'OXE-MS à la page 268
10.1.4.1 Vérifier les verrous logiciels dédiés au système OXE-MS

Deux verrous logiciels sont dédiés aux OXE-MS :
• Serveurs média 384-OXE : ce verrou logiciel contrôle le nombre d'OXE-MS déclarés dans
• Canaux 385-VoIP sur OMS : ce verrou logiciel contrôle le nombre total de canaux VoIP
(compresseurs) autorisés pour tous les OXE-MS déclarés dans l'OmniPCX Enterprise.
La valeur des verrous logiciels doit être supérieure à 0.
Pour afficher les états de verrous logiciels, saisissez la commande spadmin à l'invite OmniPCX
Enterprise.
10.1.4.2 Déclaration de l'OXE-MS

L'OXE-MS est déclaré comme étant une passerelle multimédia dans l'OmniPCX Enterprise (surnommé
passerelle multimédia OXE-MS dans la suite de ce chapitre).
La déclaration de l'OXE-MS peut être effectuée à partir des éléments suivants :
• Le menu Shelf. Dans ce cas, vérifiez/modifiez les attributs suivants :
Shelf Address Saisissez l'adresse du rack de la passerelle multimédia OXE-MS
Shelf Type Sélectionnez Media Gateway Large
OXE Media Server Sélectionner YES

Valeur par défaut : Non
• Le menu Media Gateway. Dans ce cas, vérifiez/modifiez les attributs suivants :
Main shelf Address Saisissez l'adresse du rack de la passerelle multimédia OXE-MS
Adresse alvéole principale Sélectionnez Media Gateway Large
OXE Media Server Sélectionner YES

Valeur par défaut : Non
La déclaration d'OXE-MS dans le menu Shelf crée automatiquement l'OXE-MS dans le menu Media
Gateway et vice-versa.
Attention :
Ne déclarez aucune carte et aucun rack secondaire.
10.1.4.3 Configuration des paramètres OXE-MS

La création d'un rack OXE-MS entraîne la création automatique de la carte GD-4 en position contrôleur
(position 0).
1. Sélectionnez Alvéole > Cartes-Interface
2. Vérifiez/modifiez les attributs suivants :

Adresse de l'alvéole Entrez le numéro de la passerelle multimédia OXE-MS
Board Address 0 (position contrôleur)
Type d'interface GD4

Note :
OXE-MS créé avant OmniPCX Enterprise R100.0 n'a pas besoin d'être
modifié, et peut être laissé avec GD-3 comme carte contrôleur.
Max simultaneous voice gui- Entrez le nombre maximum de guides vocaux simultanés.
des
Cette valeur doit être conforme aux règles PCM. Voir la note ci-
dessous.
N-part conference type Sélectionnez le type de conférence à N participants :

• Add-on (valeur par défaut)
• Meet-Me
Nb de compresseurs pour Entrez le nombre de compresseurs (canaux VoIP) autorisés pour

périphériques IP les périphériques IP.
Ce nombre doit être compatible avec les ressources matérielles.
Valeur par défaut : 0 (valeur maximale : 120)
Max. number of 3-part confe- Entrez le nombre de conférences à 3 participants autorisées sur
rences la passerelle multimédia OXE-MS.
Valeur par défaut : 0 (valeur maximale : 40)
La passerelle multimédia OXE-MS doit être redémarrée pour que
la valeur soit prise en compte.
Max. number of 6-part confe- Entrez le nombre maximum de conférences à 6 participants.

rences
dessous.
Max. number of 14-part con- Entrez le nombre maximum de conférences à 14 participants.

ferences
dessous.
Max. number of 29-part con- Entrez le nombre maximum de conférences à 29 participants.

ferences
dessous.
Note :
Règles PCM :
Les guides vocaux et les conférences à n participants sont obtenus par une modulation par impulsions codées
(PCM).
La passerelle multimédia OXE-MS prend en charge 4 PCM.
Chaque PCM peut effectuer les opérations suivantes :

• Jusqu'à 30 guides vocaux

• Jusqu'à 4 conférences à 6 participants
• Jusqu'à 2 conférences à 14 participants
• Jusqu'à 1 conférence à 29 participants
Une PCM ne prend pas en charge la configuration mixte : uniquement les guides vocaux ou les conférences du
même type.
Le tableau ci-dessous indique les possibilités de configuration :
Guides vocaux simul- Nombre max. de Nombre max. de Nombre max. de

tanés
conférences à 29 par- conférences à 14 par- conférences à 6 parti-
ticipants ticipants cipants
<= 30 3
<= 30 2 1 ou 2
<= 30 2 <= 4
<= 30 1 3 ou 4
<= 30 1 1 ou 2 <= 4
<= 30 1 <= 8
<= 30 5 ou 6
<= 30 3 ou 4 <= 4
<= 30 1 ou 2 <= 8
<= 30 <= 12
31 <= x <= 60 2
31 <= x <= 60 1 1 ou 2
31 <= x <= 60 1 <= 4
31 <= x <= 60 3 ou 4
31 <= x <= 60 1 ou 2 <= 4
31 <= x <= 60 <= 8
61 <= x <= 90 1
61 <= x <= 90 1 ou 2
61 <= x <= 90 <= 4
91 <= x <= 120

En cas de configuration incorrecte, un message d'avertissement s'affiche.
10.1.4.4 Saisie de l'adresse Ethernet (MAC) de l'OXE-MS

L'adresse Ethernet (MAC) de la machine virtuelle OXE-MS doit être saisie dans les paramètres
Ethernet OXE-MS. Les paramètres IP (IP Coupler Address, IP Netmask, Default Gateway IP
Address) ne doivent pas être saisis dans cette étape, ils seront saisis au démarrage d'OXE-MS.
1. Sélectionner Alvéole > Carte > Paramètres Ethernet
Adresse de l'alvéole Entrez le numéro de la passerelle multimédia OXE-MS
Board Address Entrez 0 (position contrôleur)
Type d'interface GD4
Adresse Ethernet coupleur Saisissez l'adresse MAC de la machine virtuelle OXE-MS.

Note :
L'adresse MAC de la machine virtuelle OXE-MS peut être retrouvée dans les propriétés de la machine virtuelle.
10.1.4.5 Conférence G.722

Pour autoriser les conférences G722, l'option système G722 conference with OMS doit être
configurée.
1. Sélectionnez System > Other System Param > Compression Parameters
Option Sélectionnez G722 conference with OMS
G722 conference with OMS • No : les conférences G722 ne sont pas autorisées avec OXE-
MS (valeur par défaut)
• Yes : les conférences G722 sont autorisées avec OXE-MS
Note :
OXE-MS doit être redémarré pour que la modification de cette option
soit prise en compte
10.1.5 Installation d'OXE-MS sur une machine virtuelle KVM, VMware ou Nutanix
AHV
10.1.5.1 Création du projet de déploiement OXE-MS via S.O.T.
Pour créer un projet de déploiement du OXE-MS via S.O.T. :
3. Sélectionnez OMS et cliquez sur Next
4. Sélectionnez le support sur lequel les fichiers (logiciel bootdvd et OXE-MS) sont disponibles :

stockage
local
Figure 10.42 : Exemple de fenêtre de sélection de média
7. Une fois que les informations nécessaires ont été fournies, cliquez sur Next.


2. Sélectionnez le champ OVF Generation si l'OXE-MS et sa machine virtuelle doivent être
déployés sur la machine cible à l'aide d'un fichier OVF (possible uniquement dans les
environnements KVM et VMware).

Figure 10.44 : Exemple de page OMS settings
10. Renseignez les paramètres serveur OXE-MS.

Note :
Dans le cas d'un déploiement de machine virtuelle OXE-MS produit avec OVF, le champ MAC address est
grisé et ne peut pas être modifié.
12. Vérifiez le nom d'hôte de l'OXE-MS ainsi que la version du logiciel et cliquez sur Deploy
• Si le OXE-MS est déployé sur une machine virtuelle existante (déploiement sans OVF) : lancez
l'amorçage PXE sur la machine virtuelle sur laquelle l'OXE-MS doit être installé
• Si le OXE-MS et sa machine virtuelle sont déployés sur la machine virtuelle à l'aide d'un fichier
OVF : une fois le fichier OVF généré avec succès, cliquez sur Download et enregistrez le fichier
OVF sur un périphérique de stockage. Utilisez ce fichier OVF pour déployer l'OXE-MS et sa
machine virtuelle sur la machine physique cible
Selon l'environnement de virtualisation, voir :
• Déployez le OXE-MS dans KVM à la page 271
• Déploiement de l'OXE-MS dans VMware à la page 272
• Déploiement de l'OXE-MS dans Nutanix AHV à la page 273
10.1.5.2 Déploiement du site OXE-MS dans l'environnement virtualisé
10.1.5.2.1 Déployez le OXE-MS dans KVM

Pour déployer l'OXE-MS sur un serveur physique KVM :

1. À partir de la page d'accueil du serveur physique KVM, naviguez jusqu'à : Applications >
System Tools > Virtual Machine Manager pour lancer l'application Virtual Machine
Manager
La fenêtre Virtual Machine Manager s'ouvre.
• Déploiement de l'OXE-MS et de sa machine virtuelle à l'aide d'un fichier OVF :
1. Sélectionnez File > New Virtual Machine, ou cliquez sur l'icône

2. Sélectionnez l'option Network Install (HTTP, FTP or NTFS), et entrez l'URL du
fichier OVF comprenant la machine virtuelle OXE-MS.
• Déploiement de l'OXE-MS sur une machine virtuelle sans utiliser de fichier OVF :
• Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Run
• Sélectionnez la machine virtuelle et cliquez sur l'icône symbolisée par une flèche pointant
vers la droite
virtuelle.
Surveillez la progression de l'installation de l'OXE-MS sur la console de l'application Virtual
Machine Manager.
L'installation de Suse Linux Enterprise démarre, suivie de l'installation du logiciel OXE-MS. À la fin
du processus, une fenêtre de connexion s'ouvre.
Figure 10.45 : Exemple de fenêtre de connexion OXE-MS
3. Après le déploiement, complétez les paramètres de l'OXE-MS : voir : Configuration de l'OXE-MS à

la page 277.
10.1.5.2.2 Déploiement de l'OXE-MS dans VMware

Pour déployer l'OXE-MS sur un serveur physique VMware :
1. Ouvrez un navigateur Web et saisissez l'URL suivante :
https://<VMware ESXi server IP address>


La page d'inventaire de client Web vSphere s'ouvre
• Déploiement de l'OXE-MS et de sa machine virtuelle à l'aide d'un fichier OVF :
1. Effectuez un clic droit sur l'hôte et sélectionnez Create/Register VM
2. Sélectionnez Deploy a virtual machine from an OVF or OVA file et cliquez sur
Next
La fenêtre de sélection de la source s'ouvre.
3. Entrez le nom de la machine virtuelle et sélectionnez le fichier OVF comprenant la machine
virtuelle OXE-MS.
• Déploiement de l'OXE-MS sur une machine virtuelle sans utiliser de fichier OVF :
• Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Power > Power On
• Sélectionnez la machine virtuelle et sélectionnez Power On
virtuelle.
Surveillez la progression de l'installation de l'OXE-MS sur la console du client web VMware.

la page 277.
10.1.5.2.3 Déploiement de l'OXE-MS dans Nutanix AHV

Pour déployer l'OXE-MS sur une plateforme Nutanix AHV :
1. Dans un navigateur Web, entrez l'URL suivante pour ouvrir l'application Nutanix Prism :
https://<adresse IP du serveur Nutanix>:9440/console/#login

La page d'accueil Nutanix Prism s'affiche

3. Sélectionnez la machine virtuelle créée pour le déploiement de OXE-MS, et cliquez sur le bouton
Power on en bas à droite de la fenêtre
La machine virtuelle effectue un démarrage réseau, se connecte au S.O.T. et charge le bootdvd et

le logiciel OXE-MS. L'installation de l'OXE-MS démarre automatiquement sur la machine virtuelle.
Surveillez la progression de l'installation de l'OXE-MS sur la console de l'application Nutanix
Prism.

la page 277.
10.1.6 Installation d'OXE-MS sur une machine virtuelle Hyper-V

Avant de commencer, vérifiez les points suivants :
• La machine virtuelle Hyper-V est créée sur le serveur hôte (voir Création d'une machine virtuelle sur
Hyper-V à la page 432).
• L'adaptateur réseau existant est configuré dans les paramètres de la machine virtuelle Hyper-V.
Utilisez exclusivement un Network Adapter classique pour l'installation d'Hyper-V. Un exemple de
configuration est détaillé dans Configuration de QoS sur la machine virtuelle OXE-MS Hyper-V à la
page 279.
Pour installer OXE-MS sur une machine virtuelle Hyper-V :
Note :
L'accès à Hyper-V Manager varie selon la version du système d'exploitation Windows déployée sur

2. À partir de la fenêtre Hyper-V Manager, cliquez avec le bouton droit de la souris et sélectionnez
Connect.
3. Montez le logiciel bootdvd dans la machine virtuelle : sélectionnez : Media > DVD drive > Insert
Disk ..., et sélectionnez le fichier iso du bootdvd (bootdvd-<version>.iso)
4. À partir de la machine virtuelle, sélectionnez : action > Start pour démarrer la machine virtuelle
La machine virtuelle effectue un démarrage réseau et lance l'installation du logiciel bootdvd.
Le menu d'installation bootdvd s'ouvre.
5. Sélectionnez : OmniPCX Enterprise > Media Server

L'installation du logiciel bootdvd démarre sur la machine virtuelle :

6. Après l'installation de bootdvd, ouvrez une session root (mot de passe : letacla1)
7. Montez le fichier iso OXE-MS dans la machine virtuelle :
1. Sélectionnez : Media > DVD drive > Insert Disk ..., et sélectionnez le fichier iso OXE-MS
2. Montez le disque dans la machine virtuelle :
# mount /dev/sr0 /media/cdrom/
3. Accédez au lecteur de DVD :
# cd /media/cdrom/
8. Copiez le fichier d'installation dans la machine virtuelle OXE-MS :
# mkdir /home/admin/oms
# cp -rf /media/cdrom/* /home/admin/oms
# cd /home/admin
# chmod -R a+x ./tmp/
9. Exécutez le script d'installation OXE-MS :
# cd /home/admin/oms
# ./oxe_media_server-launcher.bin -silent
10. Après le déploiement, complétez les paramètres d'OXE-MS(voir Configuration de l'OXE-MS à la
page 277)
11. Effacez les fichiers temporaires :
# cd /home/admin/oms
# rm *
10.1.7 Configuration de l'OXE-MS

Pour configurer le OXE-MS :
1. Accédez à la machine virtuelle OXE-MS à partir de l'application de gestion de la virtualisation (pour
plus de détails, voir : Déploiement du site OXE-MS dans l'environnement virtualisé à la page 271),
et connectez-vous en tant qu'administrateur (mot de passe par défaut : letacla1)
Note :
À cette étape, letacla1 est saisi à l'aide d'un clavier anglais. Pour passer du clavier anglais à un autre
clavier (par exemple, AZERTY pour les Français) :
1. Saisissez les identifiants kb/kb.
2. Sélectionnez la langue appropriée dans la liste, puis cliquez sur OK.
L'invite de connexion apparaît de nouveau.
2. Depuis la session admin, connectez-vous en tant que root à l'aide de la commande su (mot de
passe par défaut : letacla1)
Vous êtes invité à changer le mot de passe par défaut.
3. Modifiez le mot de passe par défaut.

Figure 10.48 : Exemple d'invite de modification du mot de passe
4. Entrez la commande omsconfig pour configurer l'OXE-MS.

5. Vérifiez que la version de l'OXE-MS et les paramètres (MAC address, IP address, Netmask et
Gateway address) correspondent à ceux définis pour l'installation de l'OXE-MS.
Welcome to the OMS configuration tool
_______________________________________
FW version
oms_11.0424Dec20_02h07
_______________________________________
Board role OMS
MAC address 0050568E5065
1. IP N/W Mode IPV4only
2. View/Modify IP Addresses
3. Crystal number 4 (Manual allocation)
4. IP QoS menu VLAN disabled
5. ssh server open
6. Archive log files
7. Certificate management
8. Enable/Disable SSH
0. Exit
6. Sélectionnez le menu 2. View/Modify IP Addresses et renseignez les adresses IP :
• L'adresse IP de l'OmniPCX Enterprise (menu 1. IPv4 address)
• Le masque de sous-réseau IP (menu 2. IPv4 subnetmask)
• L'adresse IP du routeur (menu 3. IPv4 gateway)
• L'adresse IP principale du serveur de communication OmniPCX Enterprise local (menu 4. CPU
role address)
• L'adresse IP principale du serveur de communication OmniPCX Enterprise dupliqué, dans une
configuration dupliquée du serveur de communication OmniPCX Enterprise où les deux serveurs
de communication OmniPCX Enterprise sont sur des sous-réseaux IP différents (menu 5. CPU
redundancy role address)
• En option, l'adresse IP du serveur de communicatif passif (menu 6. Passive CS address)
7. Renseignez les autres paramètres :
• L'adresse du rack de la passerelle média OXE-MS (menu 3. Crystal number). Pour de plus
amples informations, voir : Configuration de l'application OXE-MS sur l'OmniPCX Enterprise à la
page 264

• L'option 5. ssh server ouvre ssh pour l'utilisateur admin uniquement et seulement à partir de
l'OmniPCX Enterprise associé
Note :
Pour accéder à tout autre adresse IP, le /etc/hosts.allow doit être modifié.
• L'8. Activer/Désactiver l'option SSH permet d'activer/désactiver la connexion à distance SSH
à partir d'une machine externe (par exemple, S.O.T. application pour la mise à jour du système
d'exploitation)
Une fois l'option sélectionnée, saisissez l'adresse IP de la machine externe pour laquelle la
connexion SSH doit être activée/désactivée
8. Enregistrez et redémarrez l'OXE-MS.
9. Sur l'OmniPCX Enterprise, l'état de l'OXE-MS peut être vérifié par la commande config
<crystal number>.
Exemple :
(1)cs80> config 6
Thu Aug 14 19:24:14 CEST 2014
+-------------------------------------------------------------------+
| Cr | cpl| cpl type | hw type | cpl state | coupler ID |
|----|----|------------|-----------|--------------|-----------------|
| 6 | 0 | GD4 | OXE MS | EN SERVICE | PAS DE CODE PCMS |
+-------------------------------------------------------------------+
--- Inter Crystal Topology ---
+-------------------------------------------------------------------------+
| CR | CPL Type Role Free/Tot Role Type CPL | CR |
|-------------------------------------------------------------------------|
|006 | 00 -GD4 <PRINCIPAL > --- 0/0--- < INT_A> INTIP3A - 01|019 |
|-------------------------------------------------------------------------|
(1)cs80>
L'état de l'OXE-MS peut être également vérifié par d'autres commandes OmniPCX Enterprise telles
que cplstat ou listerm.
Vous pouvez accéder à l'OXE-MS en utilisant une connexion SSH. À partir de l'invite de l'OmniPCX
Enterprise, entrez la commande suivante : ssh admin@<OXE-MS adresse IP>. Un mot de
passe est demandé pour l'accès : ce mot de passe correspond à celui du compte root de
Exemple :
(1)cs80>ssh admin@172.19.108.12
10.1.8 Configuration de QoS sur la machine virtuelle OXE-MS Hyper-V

Cette section explique comment configurer la QoS lorsque le balisage VLAN de OXE-MS est requis.
10.1.8.1 Configuration de la QoS dans le serveur hôte

1. Dans la fenêtre Hyper-V Manager, configurez la carte réseau héritée dans les paramètres de la
machine virtuelle :
1. Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Settings
2. Sélectionnez New hardware et ajoutez Legacy Network Adapter à la machine virtuelle
3. Dans le groupe Hardware, sélectionnez Legacy Network Adapter et utilisez le menu
déroulant pour sélectionner le commutateur virtuel configuré à la section Lancement et
configuration du Hyper-V Manager sur l'ordinateur à la page 185
4. Sélectionnez VLAN ID et entrez un identifiant VLAN
Ceci permet d'envoyer ou de recevoir par le VLAN tout trafic dans la liste des VLAN autorisés.

Figure 10.49 : Exemple de configuration de l'ancienne carte réseau
2. Définir l'identifiant VLAN sur le mode faisceau à l'aide de la commande PowerShell :

Exemple :
PS C:\Windows\system32> “Set-VMNetworkAdapterVlan -VMname "OMSVM" -Trunk -
AllowedVlanIdList 1-4094 -NativeVlanId 30”
où :
• OMSVM est le nom de la machine virtuelle OmniPCX Enterprise.
• 30 est le numéro VLAN défini dans l'adaptateur réseau hérité.

10.1.8.2 Configuration de la QoS sur l'OXE-MS

1. Connectez-vous à l'OXE-MS comme racine
2. Exécutez la commande omsconfig
3. Sélectionnez 4. IP QoS menu, puis 2. Change vlan id, et entrez le numéro de VLAN
Exemple :
Entrez le nouvel ID VLAN (0<vlan<=4094) : 30
4. Sélectionnez 4. IP QoS menu, puis 4. Change user priority, et configurez le niveau de
priorité
Note :
La configuration du niveau de priorité peut également être effectuée à partir du menu OmniPCX Enterprise
(voir : Configuration des paramètres 802.1p/Q dans les catégories de qualité de service IP à la page 196).
5. Enregistrez et redémarrez l'OXE-MS.
10.2 Installation du serveur OST 8for OST64 ou EEGW)

10.2.1 Présentation OST
Le progiciel OST doit être installé sur une machine virtuelle fournie par une solution KVM (Kernel-
based Virtual Machine/machine virtuelle basée sur un noyau) ou une solution VMware ESXi, Hyper-V
ou Nutanix AHV. Dans tous les environnements de virtualisation (KVM, VMware ESXi, Hyper-V ou
Nutanix AHV), le serveur SLES (SUSE Linux Enterprise Server) est utilisé comme système
d'exploitation pour le logiciel OST. Il est fourni avec le package d'installation OST.
Le site OST peut fonctionner comme l'un des suivants :
• OXE Signaling Translator 64 (OST64), utilisé par l'OmniPCX Enterprise pour fonctionner avec les
appareils IPv6. Pour plus d'informations, voir la rubrique sur IPV6 du document 8AL91048FRAA.
• Passerelle de chiffrement externe (EEGW), utilisée pour augmenter la capacité de OmniPCX
Enterprise : plus de 1 500 dispositifs sécurisés, plus de 15 000 dispositifs SIP. Pour plus
d'informations, voir la rubrique FSNE du document 8AL91012FRBA
Il convient de créer un OST pour chaque OmniPCX Enterprise ou PCS. Lorsque votre configuration est
dupliquée, vous devez créer deux OST : un pour le serveur de communication principal et un pour le
serveur de communication de secours. Si votre configuration n'est pas cohérente, à savoir si un OST
est configuré sur une CPU et non sur la CPU de secours, un incident 6010 est généré.
Un serveur de communications (principal, standby, PCS) et l'OST doivent être installés sur le même
serveur physique, et situés sur le même réseau.
10.2.2 OST Conditions préalables à l'installation

L'installation de l'OST nécessite :
• La solution de virtualisation (VMware, KVM, Hyper-V ou Nutanix AHV), installée et configurée.
Pour plus de détails sur l'installation et la configuration de la solution de virtualisation, reportez-vous
à la documentation technique du fabricant.
Notes :
• En cas de solution KVM :
• La solution KVM comprend un système d'exploitation Suse Linux Enterprise, une couche de
virtualisation KVM et des packages KVM. L'installation des packs de virtualisation KVM nécessite le
système d'exploitation Suse Linux Enterprise en tant que système d'exploitation.

• Les paquets de virtualisation peuvent être installés soit lors de la procédure d'installation de l'hôte, soit
après celle-ci, à l'aide de la commande zypper et de Suse network.
• Assurez-vous que le réseau ponté a été configuré, parce que le serveur de communication et les
machines virtuelles OST utilisent le même réseau pour l'accès LAN, et veillez également à désactiver
Network Manager pour utiliser le service réseau à sa place.
• En cas de solution VMware : la version doit être 5.5 ou ultérieure.
• Les outils de gestion de la virtualisation ont démarré :
• Pour la solution KVM : utilisez l'application Virtual Machine Manager disponible dans les
packages KVM installés avec la solution KVM sur le serveur physique.
• Pour la solution VMware : utilisez le client Web vSphere (version 5.5 ou ultérieure), étant donné
qu'il s'agit du seul client permettant l'installation d'un bootdvd de SUSE 12 SP5 sur une machine
virtuelle.
• Pour Hyper-V : utilisez Hyper-V Manager.
• Pour Nutanix AHV : utilisez Nutanix Prism.
Pour plus de détails sur l'installation et le démarrage de l'outil de gestion de la virtualisation,
reportez-vous à la documentation technique du fabricant.
• Pour VMware, KVM ou Nutanix AHV :
Pour plus d'informations sur l'installation et le démarrage du S.O.T., voir
document 8AL90559USAF.
• Si l'OST et sa machine virtuelle sont déployés sans fichier OVF, la machine virtuelle doit être
créée manuellement sur la solution de virtualisation appropriée :
• Pour KVM : voir : Création d'une machine virtuelle sur KVM à la page 428.
• Pour VMware ESXi : voir TC2431 disponible sur le portail du groupe Entreprise d'Alcatel-
Lucent Enterprise : https://myportal.al-enterprise.com/alebp/s/PN/TC2431en.
• Pour Nutanix AHV : voir : Créer une machine virtuelle sur Nutanix AHV à la page 437
Danger :
• Nutanix AHV ne prend pas en charge le déploiement de machines virtuelles avec fichier OVF. La
machine virtuelle doit être créée manuellement sur Nutanix AHV.
• Après la création, la machine virtuelle doit être arrêtée avant l'installation de OST.
• Pour Hyper-V : la machine virtuelle doit être créée manuellement sur le serveur hôte : Création
d'une machine virtuelle sur Hyper-V à la page 432,
Note :
Hyper-V ne supporte pas le déploiement de machines virtuelles OST avec S.O.T..
• Progiciel OST :
• Le bootdvd comprenant le système d'exploitation SUSE Linux Enterprise Server (bootdvd-
<version>.iso)
• Le fichier logiciel OST (OST-<version>.iso)
Note :
Les fichiers bootdvd et logiciels OST sont présents dans le pack logiciel OmniPCX Enterprise disponible sur le
site Web du portail du groupe Entreprise. En cas de déploiement sur VMware, KVM ou Nutanix AHV, ils
doivent être téléchargés et déclarés dans la liste des supports sur S.O.T.
Attention :
La mise à jour directe de l'OST d'une version fonctionnant sur SUSE Linux Enterprise 12 SP1 vers une
version fonctionnant sur SUSE Linux Enterprise 12 SP5 (version supérieure) n'est pas autorisée. Vous
devez d'abord installer le boot SP5 et réinstaller l'OST.

10.2.3 Installation d'OST sur une machine virtuelle KVM, VMware ou Nutanix AHV
L'installation d'OST sur la machine virtuelle KVM, VMware ou Nutanix AHV est effectuée via S.O.T..
Pour installer l'OST via S.O.T. :
1. Sur la page d'accueil S.O.T., sélectionnez Projects > Create project.
3. Sélectionnez OST, puis cliquez sur Next
4. Sélectionnez le support sur lequel les fichiers (logiciel bootdvd et OST) sont disponibles et cliquez
sur Refresh media list
5. Sélectionnez les fichiers répertoriés à l'écran, et cliquez sur Declare media
La pageProject settings s'ouvre
8. Sélectionnez le champ OVF Generation si l'OST et sa machine virtuelle doivent être déployés sur
la machine cible à l'aide d'un fichier OVF (possible uniquement dans les environnements KVM et
VMware).
10. Remplissez les autres champs avec les paramètres du client et cliquez sur Next
La page des paramètres OST s'ouvre.
11. Remplissez les champs des paramètres serveur OST
Le champ Machine type est utilisé pour sélectionner le mode de fonctionnement de la machine
virtuelle OST (EEGW ou OST64).
En cas d'utilisation d'OVF, l'adresse MAC de la machine virtuelle n'est pas nécessaire : le champ
adresse MAC est grisé.

Figure 10.50 : Exemple de page de configuration OST de la machine virtuelle pour OST64

La page Summary s’ouvre.
13. Vérifiez le nom de l'hébergeur du serveur OST ainsi que la version du logiciel et cliquez sur Deploy
14. En fonction du type de déploiement, utiliser un des serveurs cibles suivants :
• Si l' OST et sa machine virtuelle sont déployés sur la machine cible à l'aide d'un OVF : copiez
l'URL de l'OVF, remplacez https par http (pour éviter toute erreur de transfert due à l'absence de
certificat) et utilisez l'URL obtenue pour installer la machine virtuelle OST sur le serveur cible.
• Si le site OST est déployé sur une machine virtuelle existante (déploiement sans OVF) :
démarrer la machine virtuelle (boot PXE)
OST. L'installation du logiciel de l'OST démarre automatiquement sur la machine virtuelle.
15. Après le déploiement, complétez les paramètres d'OST (voir configuration de OST à la page 287)
10.2.4 Installation d'OST sur une machine virtuelle Hyper-V

Avant de commencer, vérifiez les points suivants :
• La machine virtuelle Hyper-V est créée sur le serveur hôte (voir Création d'une machine virtuelle sur
Hyper-V à la page 432).
• L'adaptateur réseau existant est configuré dans les paramètres de la machine virtuelle Hyper-V.
Utilisez exclusivement un Network Adapter classique pour l'installation d'Hyper-V. Un exemple de
configuration est détaillé dans Configuration de QoS sur la machine virtuelle OST Hyper-V à la
page 289.
Pour installer OST sur une machine virtuelle Hyper-V :

Note :
L'accès à Hyper-V Manager varie selon la version du système d'exploitation Windows déployée sur
2. À partir de la fenêtre Hyper-V Manager, cliquez avec le bouton droit de la souris et sélectionnez
Connect.
3. Montez le logiciel bootdvd dans la machine virtuelle : sélectionnez : Media > DVD drive > Insert
Disk ..., et sélectionnez le fichier iso du bootdvd (bootdvd-<version>.iso)
4. À partir de la machine virtuelle, sélectionnez : action > Start pour démarrer la machine virtuelle
La machine virtuelle effectue un démarrage réseau et lance l'installation du logiciel bootdvd.
Le menu d'installation bootdvd s'ouvre.
5. Sélectionnez : OmniPCX Enterprise > OST:OXE Signalling Translator

L'installation du logiciel bootdvd démarre sur la machine virtuelle :

6. Après l'installation de bootdvd, ouvrez une session root (mot de passe : letacla1)
7. Montez le fichier iso OST dans la machine virtuelle :
1. Sélectionnez : Media > DVD drive > Insert Disk..., et sélectionnez le fichier iso OST
2. Montez le disque dans la machine virtuelle :
# mount /dev/sr0 /media/cdrom/
3. Accédez au lecteur de DVD :
# cd /media/cdrom/
8. Copiez le fichier d'installation dans le répertoire /tmp de la machine virtuelle OST :
# cp -rf /media/cdrom/* /tmp
# cd /
# chmod -R a+x ./tmp/
9. Pour EEGW, exécutez le script d'installation suivant :
# cd /tmp
# ./egw-installer.sh
10. Pour OST64, exécutez le script d'installation suivant :
# cd /tmp
# ./ost64-installer.sh
11. Après le déploiement, complétez les paramètres d'OST (voir configuration de OST à la page 287)
12. Effacez les fichiers temporaires :
# cd /tmp
# rm ost*
# rm nsp*
# rm egw*
# rm media.inf
10.2.5 configuration de OST

1. A partir de la machine virtuelle OST, connectez-vous en tant que root (mot de passe : letacla1)
Vous êtes invité à changer le mot de passe par défaut.
2. Modifiez le mot de passe par défaut.
3. Entrez la commande ostconfig pour accéder à l'outil de configuration OST.

Les réglages de la machine virtuelle de l'OST sont affichés à l'écran. Certains champs sont remplis
automatiquement avec des informations fournies par S.O.T. (adresse IP, Masque réseau et
adresse de la passerelle).
4. Le cas échéant, sélectionnez 10. Machine Type pour vérifier le mode de fonctionnement de la
machine virtuelle OST (OST64 ou E-Gateway (External Encryption Gateway))
5. Si la machine virtuelle OST fonctionne en tant que passerelle External Encryption Gateway (E-
Gateway), vérifiez/modifiez les réglages suivants :
• sélectionnez 7. CS Physical address, puis entrez l'adresse IPv4 physique du serveur de
communication associé.
• Sélectionnez 8. CS role address, puis entrez l'adresse IPv4 du serveur de communication
associé lorsqu'il joue le rôle principal (duplication du serveur de communication).
• Sélectionnez l'option 9. IP QoS menu pour accéder aux réglages VLAN.
d'exploitation)
Les autres champs doivent être laissés vides.
Exemple d'outil de configuration pour EEGW
[root@ost ~]# ostconfig
Welcome to the OST configuration tool
-----------------------------------------------
FW version
ost_05.18_20Sep19_16h40
-----------------------------------------------
Board role EGW

MAC address 000C29B46168
1. IP address 192.168.201.148
2. Netmask 255.255.255.0
3. Gateway address 192.168.201.254
4. V6 IP Address ::
5. V6 Gateway Address ::
6. V6 Prefix Length 64
7. CS physical address 0.0.0.0
8. CS role address 0.0.0.0
10. Machine Type EGW
11. Download certificates
12. Certificate check

0. Exit
6. Si la machine virtuelle OST fonctionne en tant que OST64), vérifiez/modifiez les réglages suivants :
• Sélectionner 4. V6 Adresse IP , et saisissez l'adresse IPv6 du serveur OST64
• Sélectionner 5. V6 IP Gateway Address et saisissez l'adresse IPv6 de la passerelle
• Sélectionner 6. V6 IP Prefix Length, et entrez la longueur du préfixe IPv6
• sélectionnez 7. CS Physical address, puis entrez l'adresse IPv4 physique du serveur de
communication associé.
• Sélectionnez 8. CS role address, puis entrez l'adresse IPv4 du serveur de communication
associé lorsqu'il joue le rôle principal (duplication du serveur de communication).
• Sélectionnez l'option 9. IP QoS menu pour accéder aux réglages VLAN.
d'exploitation)

Exemple d'outil de configuration pour OST64
[root@ost ~]# ostconfig
Welcome to the OST configuration tool
-----------------------------------------------
FW version
ost_05.18_20Sep19_16h40
-----------------------------------------------
Board role OST

MAC address 000C29B46168
1. IP address 192.168.201.148
2. Netmask 255.255.255.0
3. Gateway address 192.168.201.254
4. V6 IP Address fc1e::209
5. V6 Gateway Address fc1e::1
6. V6 Prefix Length 64
7. CS physical address 0.0.0.0
8. CS role address 0.0.0.0
10. Machine Type OST
0. Exit
7. Saisissez 0 pour effectuer la modification et quitter l'outil de configuration OST.
10.2.6 Configuration de QoS sur la machine virtuelle OST Hyper-V

Cette section explique comment configurer la QoS lorsque le balisage VLAN de OST est requis.
10.2.6.1 Configuration de QoS sur l'hôte Hyper-V

• Définir l'adaptateur réseau virtuel pour la MV OST sur Network Adapter
• Définir l'identifiant VLAN sur le mode faisceau à l'aide de la commande PowerShell :
Exemple :
PS C:\Windows\system32> “Set-VMNetworkAdapterVlan -VMname "OST" -Trunk -
AllowedVlanIdList 1-4094 -NativeVlanId 0”
où OST est le nom de la machine virtuelle OST.
10.2.6.2 Configuration de la QoS sur l'OST

La gestion du numéro de VLAN doit se faire directement sur l'OST avant le démarrage :
• Connectez-vous à l'OST comme racine
• Exécuter la commande ostconfig
• Sélectionnez l'option 9. Menu IP QoS, puis 2. Changer l'identifiant du vlan et entrer
un nouvel identifiant VLAN
Exemple :
Entrez le nouvel ID VLAN (0<vlan<=4094) : 30
• Si nécessaire, sélectionner 4. Changer la priorité de l'utilisateur, puis redémarrer
l'OST

Note :
La configuration du niveau de priorité peut également être effectuée à partir du menu OmniPCX Enterprise (voir :
Configuration des paramètres 802.1p/Q dans les catégories de qualité de service IP à la page 196).

Chapitre
11 Installation de Generic Appliance

Server
11.1 Aperçu GAS

11.1.1 À propos de ce chapitre
Le présent chapitre s'adresse aux personnes chargées d'installer un Generic Appliance Server sur le
site d'un client.
Ce chapitre détaille :
• Architecture matérielle et logicielle : voir Environnement du Generic Appliance Server à la page 292
• Déploiement des licences : voir Licences à la page 294 et Exemples d'utilisation de la gestion des
licences logicielles à la page 295
• Installation complète effectuée hors de l'usine, y compris :
• Installation de SUSE Linux Enterprise Server sur un serveur physique : voir Installation de SUSE
Linux Enterprise Server sur le serveur hôte à la page 299
• Installation du Generic Appliance Server : pré-installation et post-installation : voir Installation du
serveur Generic Appliance Server à la page 303
• Connexion à un système d'alimentation sans coupure (UPS) : voir : Raccordement de l'onduleur à
la page 330
• Maintenance GAS à la page 334 notamment :
• Opérations d'arrêt et de redémarrage
• Opérations de réamorçage ou d'arrêt
• Opérations de sauvegarde et de restauration
• Opérations de rehosting
• Opérations de mise à niveau et de mise à jour
• Gestion Flex-LM
• Procédure de désinstallation
11.1.2 Description du Generic Appliance Server

Le Generic Appliance Server comprend :
• Un OmniPCX Enterprise (OXE)
• En option, un système OXE Media Services (OXE-MS)
• En option, une passerelle Rainbow WebRTC, fournissant des communications de gestion
multimédia (voix/vidéo) entre les appareils téléphoniques OmniPCX Enterprise et les clients
Rainbow
• Un serveur Flex-LM, s'exécutant directement sur le système d'exploitation de l'hôte et fournissant
un contrôle de licence centralisé pour les machines virtuelles OmniPCX Enterprise
Le système d'exploitation hôte est un SUSE Linux Enterprise Server (SLES), avec un package
machine de virtualisation basée noyau (KVM).
L'utilisation d'OXE-MS est contrôlée par des verrous logiciels.
En cas de duplication, le Generic Appliance Server dupliqué doit être installé sur un autre matériel.
Le serveur Flex-LM vérifie l'exactitude d'un identifiant spécifique et unique, appelé ALUID. Ceci permet
de se passer d'un dongle USB.

Chapitre 11 Installation de Generic Appliance Server
Le Generic Appliance Server peut être commandé soit chez Alcatel-Lucent Enterprise, soit choisi
séparément à travers un revendeur. Si la commande se fait via Alcatel-Lucent Enterprise, elle peut être
pré-installée en usine.
Consultez la documentation disponible sur le portail commercial au sujet des règles liées à des
produits et offres spécifiques.
11.1.3 Environnement du Generic Appliance Server

Le Generic Appliance Server contient des machines virtuelles pour héberger les différents serveurs. Le
serveur est développé sur SUSE Linux Enterprise Server (SLES) qui sert de système d'exploitation
pour le matériel en question. Ce système d'exploitation s'appelle "hôte".
Le Generic Appliance Server est fourni comme un package logiciel complet, avec notamment les
composants suivants :
• Une solution KVM (machine de virtualisation basée noyau) est basée sur un système d'exploitation
SLES et sur une couche de virtualisation KVM. Les machines virtuelles peuvent être créent pour
héberger les différents éléments du réseau inclus dans le package logiciel Generic Appliance
Server
La virtualisation KVM permet le fonctionnement de toutes les applications Alcatel-Lucent Enterprise
sur le même serveur. La couche créée des machines virtuelles utilisant leur système d'exploitation
• Une machine virtuelle pour le déploiement du système OmniPCX Enterprise (OXE VM). Elle se
compose d'un système d'exploitation Linux et du logiciel OmniPCX Enterprise
• Une machine virtuelle pour le déploiement du système OXE Media Services (OXE-MS VM). Elle se
compose d'un système d'exploitation Linux et du logiciel OXE-MS
• Une machine virtuelle pour le déploiement de la passerelle Rainbow WebRTC (WebRTC VM). Elle
se compose d'un système d'exploitation Linux et du logiciel de passerelle Rainbow WebRTC
L'installateur du Generic Appliance Server est un package (.bin) comprenant :
• Images des VM pré-installées de l'OXE, OXE-MS et de la passerelle Rainbow WebRTC
• Configuration Flex-LM
• Fichiers de scénario pour configurer les VM
Lorsque ce package est exécuté sur le système d'exploitation hôte, il déploie et configure les serveurs.
L'image de la machine virtuelle préinstallée est un clone de la machine virtuelle en cours d'exécution
(machine virtuelle déjà installée avec OXE). Il s'agit d'un d'un fichier d'images avec pour
extension : .img. Ce fichier d'images est utilisé comme entrée pour créer la machine virtuelle OXE sur
la plate-forme cible.
Les configurations suivantes sont prises en charge :
• Pas de redondance
• Redondance locale : la CPU redondante est hébergée sur deux serveurs situés sur le même sous-
réseau
• Redondance spatiale : la CPU redondante est hébergée sur deux serveurs situés dans un sous-
réseau distant différent
Attention :
L'installation d'une autre machine virtuelle dans cet environnement n'est pas prise en charge. Pour
installer le serveur en veille, procéder comme pour le serveur principal. Les deux matériels comprennent
un OmniPCX Enterprise et un OXE-MS facultatif. En outre, une seule passerelle WebRTC optionnelle peut
être déployée dans une configuration redondante : si une passerelle WebRTC est déjà installée sur un
serveur, vous ne pouvez pas installer une deuxième passerelle WebRTC sur le serveur redondant.

Note :
La fonction de Multi-IP configuration permettant de créer des VLAN séparés n'est pas supportée sur Generic
Appliance Server. Le serveur hôte et les machines virtuelles doivent se trouver dans le même sous-réseau IP.
Le chiffre suivant représente l'architecture déployée sur le matériel cible : une instance de l'OmniPCX
Enterprise (OXE VM), une instance du système OXE-MS (OXE-MS VM), une instance de passerelle
WebRTC (VM WebRTC) et un Flex-LM.
Virtual Machines
OXE VM OXE-MS VM WebRTC VM

WebRTC
OXE OXE MS
Gateway
Software Software
Software
Flex-LM
SUSE Linux
Server
OXE Linux DEBIAN Linux
Kernel-based Virtualization Machine
SUSE Linux Enterprise Server Operating System
Host
Hardware
SIP Trunking
Carrier
Figure 11.1 : Architecture de l'OmniPCX Enterprise Software Server

11.1.4 Licences
11.1.4.1 Licences de l'OmniPCX Enterprise
L'ALUID est un chiffre hexadécimal à 32 chiffres associé à un serveur matériel et utilisé pour signer
tous les éléments techniques des fichiers de licence.
L'ALUID doit être déclaré dans la page eLicensing Host Registration pour finaliser le fichier de licence .
L'ALUID peut être lu après l'installation du système d'exploitation SLES, à l'aide de la
commande : /usr/bin/getaluid.
Les fichiers en lien avec la licence de l'OmniPCX Enterprise sont obtenus par le biais du portail d'e-
licence (eLP) basé sur l'ALUID de l'hôte physique.
Dans le processus d'installation, les fichiers Actis sont automatiquement recopiés sur l'OmniPCX
Enterprise.
11.1.4.2 Flex-LM
Flex-LM est un gestionnaire de licences logicielles de Flexera Software. Il est prévu pour des
environnements d'entreprise, où des licences flottantes sont mises à la disposition de plusieurs
utilisateurs finaux de logiciels.
11.1.5 Alimentation sans coupure (GAS)

Le Generic Appliance Server supporte l'onduleur en tant qu'alimentation de secours et peut surveiller
l'état de l'onduleur grâce à un connecteur USB.
En cas de panne de l'alimentation électrique, le Generic Appliance Server assure l'arrêt automatique et
sûr du serveur hôte et de ses machines virtuelles lorsque le pourcentage de puissance de la batterie
de l'onduleur atteint une valeur basse configurée (valeur par défaut : 30 %). Pour plus de détails, voir :
Raccordement de l'onduleur à la page 330.
11.2 Conditions pour une sélection libre du serveur matériel

Generic Appliance Server peut être commandé auprès de n'importe quel revendeur à condition que les
exigences physiques soient conformes aux conditions préalables minimales fournies dans le document
de compatibilité croisée pour une topologie GAS complète (serveur de communication avec OXE-MS
et une passerelle Rainbow WebRTC).
La présentation TEB063, dédiée à Generic Appliance Server, peut être consultée pour plus de détails,
notamment dans le cas où il n'est pas nécessaire d'installer tous les composants sur le serveur.
11.3 Recommandations logicielles

• Les PCS peuvent être utilisés en mode Generic Appliance Server
• Alcatel-Lucent 4645 voice mail accepté, dédié ou non sur Generic Appliance Server (pour serveur
IMAP/ Alcatel-Lucent 4645 voice mail également)
• Aucun OXE-MS ne peut être ajouté une fois que le serveur est en mode Generic Appliance Server
(accepté : ajouter un OMS sur une autre zone)
• Ne pas installer d'autre package provenant d'une distribution Linux à moins que le service
technique ne le demande, étant donné que cette opération pourrait compromettre le bon
fonctionnement du système
• Un seul OmniPCX Enterprise peut être installé sur ce serveur (pour un système dupliqué, vous
devez utiliser un autre serveur)

• Generic Appliance Server a le même périmètre fonctionnel que le serveur logiciel OmniPCX
Enterprise
11.4 Exemples d'utilisation de la gestion des licences logicielles

Note :
• L'identifiant ALU est donné par l'outil getaluid pour être lancé sur le système d'exploitation Suse (sur la
machine physique). Cette information remplace l'identifiant CPU utilisé par les CPU physiques, mais elle se
trouve dans le fichier .ice.
• Le fichier swk est toujours présent sur OmniPCX Enterprise. L'identifiant CCS utilisé pour Cloud Connect et le
cryptage natif est toujours présent. En cas de duplication, ce fichier est le même sur les deux CPU et
contiendra deux informations d'identification Kxxxxxx provenant des deux serveurs.
• La licence Flex est un fichier de type .ice.
• Le fichier .ice est utilisé par le service / processus de serveur Flex intégré à Suse. En fonction de
l'architecture, ce peut ne pas être obligatoire : voir tableau ci-dessous
Identifiant Identifiant Identifiant Identifiant Fichier .ic Fichier de Fichier .ic

ALU ALU ALU OT CCS e sur GAS sauvegar e sur
(Kxxx1) (Kxxx2) M de .ice OTMS
GAS M GAS sec. sur GAS
sec.
OXE y Non Non N (1) y Non Non

applicable applicable applicable applicable
OXE dupliqué y y Non N (1) y y Non

applicable applicable
OXE + Cloud n Non Non y Non Non Non

applicable applicable applicable applicable applicable
OXE dupliqué + Cloud n n Non y Non Non Non

applicable applicable applicable applicable
OXE avec OTMS y (2) Non y (2) N (1) y (2) Non y (2)
applicable applicable
OXE dupliqué + OTMS y (3) n y (3) N (1) y (3) n y (3)
OXE + OTMS + Cloud n Non n (4) y Non Non O(4)

applicable applicable applicable
OXE dupliqué + OTMS + Cloud n Non n (4) y Non Non O(4)

OXE avec OTMS-V Cloud Connect obligatoire (voir ligne OXE + OTMS-V + Cloud)
OXE dupliqué + OTMS-V Cloud Connect obligatoire (voir ligne OXE + OTMS-V + Cloud)
OXE + OTMS-V + Cloud n Non n (4) y Non Non O(4)

OXE dupliqué + OTMS-V + Cloud n Non n (4) y Non Non O(4)

N/A : non applicable

(1) Oui en cas de cryptage natif
(2) En fonction de la déclaration d'ID ALU de l'hôte -> sur GAS ou sur OT
(3) 2 flex utilisés : un sur l'OT, un sur le GAS sur la zone déportée en cas de redondance spatiale
(4) .ice: utilisation du MAC@ de l'OT
Utilisation d'OTMC : ne s'applique pas étant donné qu'il a son propre fichier de verrou logiciel .otmc

11.5 Installation GAS

11.5.1 Livraison à partir de l'usine
Generic Appliance Server est livré avec Suse pré-installé, et seul le serveur logiciel OmniPCX
Enterprise est pré-installé.
Toute installation ultérieure doit être effectuée manuellement après la réception sur site (voir :
Procédure de post-installation à la page 307).
Les verrous logiciels d'Actis / eLP ne sont pas installés mais copiés à partir du répertoire /usr4/
BACKUP/OPS sur OmniPCX Enterprise.
11.5.2 Installation complète effectuée hors de l'usine

L'installation dans les locaux du client comprend les étapes suivantes :
1. Collecte des informations nécessaires à la page 296
2. Vérification de la configuration BIOS à la page 296
3. Vérification du matériel, des fichiers ISO et des licences à la page 298
4. Installation du serveur Generic Appliance Server à la page 299
11.5.2.1 Collecte des informations nécessaires

L'installation nécessite :
• Adresse IP du serveur hôte
• FQDN du serveur hôte
• Masque de sous-réseau du serveur hôte
• L'adresse IP du package OmniPCX Enterprise
• L'adresse IP du package OXE-MS (facultatif)
• Réglages du réseau de la passerelle WebRTC (facultatif)
Des informations sont disponibles en ligne sur Rainbow Help Center
11.5.2.2 Vérification de la configuration BIOS

L'option de virtualisation doit être activée :
1. Pendant l'initialisation du serveur, appuyez sur F9 pour accéder à la configuration BIOS.
2. Naviguez jusqu'à : System Options > Processor Options
3. Validez l'option Intel Virtualization Technology.
Vérifiez que la séquence d'amorçage est configurée pour démarrer sur le lecteur DVD.
Reportez-vous à la documentation du fabricant du serveur pour la configuration du BIOS.
11.5.2.2.1 Lenovo x3250 M6

Pour s'exécuter sur un serveur Lenovo x3250 M6, le Generic Appliance Server nécessite quelques
modifications du BIOS.
Vérifiez et/ou modifiez les paramètres suivants :
2. Naviguez jusqu'à : Boot Manager > Boot Modes

3. Réglez l'option System Boot Mode sur Legacy Mode
11.5.2.2.2 Configuration des paramètres BIOS

Pour s'exécuter sur un serveur HP DL20 G9, le Generic Appliance Server nécessite quelques
modifications du BIOS.
Vérifiez et/ou modifiez les paramètres suivants :
2. Naviguez jusqu'à : System Options > Boot Options
3. Réglez l'option Boot Mode sur Legacy BIOS Mode

4. Naviguez jusqu'à : System Options > Options USB

5. Réglez l'option USB Boot Support sur Disabled

6. Naviguez jusqu'à : System Options > SATA Controller Options
7. Réglez l'option Embedded SATA Configuration sur Enable SATA AHCI Support
8. Naviguez jusqu'à : Disponibilité du service
9. Réglez l'option Automatic Power-on sur Always On
11.5.2.3 Vérification du matériel, des fichiers ISO et des licences

• Les caractéristiques matérielles du serveur hôte et des composants Generic Appliance Server. Les
exigences matérielles minimum sont les suivantes :
Taille de la mémoire
Taille du disque dur
(RAM)
Hôte OS 512 Mo 12 Go
OmniPCX Enterprise 2 Go 80 Go

Taille de la mémoire
Taille du disque dur
(RAM)
OXE-MS 1 Go 4 Go
Passerelle Rainbow WebRTC 2 Go 4 Go
• Les fichiers .iso qui correspondent aux applications à installer :
Composant Nom de fichier (*.iso)

SLES Système bootdvd.YY.Z.xxx.xxx.x86_64.iso
d’exploitation
avec :
• YY est le numéro d'édition
• Z est le Service Pack
Generic Appliance Server oxesws_x.yy.iso contenant les fichiers suivants :

• oxeswspreinst.bin (configuration pré-installation)
• oxeswsposinst.bin (configuration post-installation)
• checksystemcompatability.sh
• Fichiers de licences pour les différents composants d'Generic Appliance Server : Licences
OmniPCX Enterprise et licences Flex-LM
• Si les fichiers de licence sont disponibles, ils doivent être placés dans : /opt/sws_lic (sws_lic
dossier à créer si indisponible) pour l'autodétection des fichiers de licence durant la post-installation
11.5.2.4 Installation du serveur Generic Appliance Server
11.5.2.4.1 Installation du Generic Appliance Server via DVD/clé USB
11.5.2.4.1.1 Installation de SUSE Linux Enterprise Server sur le serveur hôte

Le système d'exploitation SLES est personnalisé par Alcatel-Lucent Enterprise, en particulier pour le
Generic Appliance Server.
Le système d'exploitation SLES est installé sur l'hôte à l'aide du fichier de configuration AutoYaST. Il
contient des données d'installation, telles que la langue, le login, le mot de passe, les packages à
installer et la partition.
Pour installer SLES sur le serveur hôte :
1. Chargez le "DVD d'amorçage ALE" dans le lecteur
Note :
Ce « ALE boot DVD » peut également être utilisé pour installer d'autres produits Alcatel-Lucent Enterprise.
Après quelques secondes, une page d'accueil affiche

Figure 11.2 : Page d'accueil de l'assistant d'installation SLES
Note :
Si le serveur ne s'amorce pas sur le lecteur DVD, modifiez l'ordre d'amorçage sur le BIOS du serveur.
2. Appuyez sur F2 pour sélectionner votre langue et votre type de clavier
3. Faites défiler la liste des options d'installation et sélectionnez OmniPCX Software Package.
Le fichier AutoYaST correspondant (autoinstoxesw.xml) est affecté à Boot Options.

Figure 11.3 : Page des options de l'assistant d'installation SLES (partie 1)
4. Appuyez sur Entrée pour démarrer l'installation

Elle prend 30 minutes environ
Toutes les actions sont réalisées automatiquement et les différentes fenêtres contextuelle indiquent
la progression de l'installation
5. Dès que le serveur redémarre, appuyez sur le bouton d'éjection du lecteur DVD et retirez le DVD
6. Vous êtes invité à changer de mot de passe, qui doit être changé si nécessaire :
• Le compte par défaut est root.
• Le mot de passe par défaut est letacla1.
N'oubliez pas votre nouveau mot de passe. On vous le demandera ultérieurement.
7. Configurez les détails IP pour le serveur : entrez successivement :
• Adresse IP du serveur hôte
• FQDN du serveur hôte
Cette information est la concaténation du nom d'hôte et du nom de domaine
• Masque de sous-réseau du serveur hôte
Vous êtes invité à confirmer vos saisies.

Figure 11.4 : Exemple de page de configuration réseau pendant l'installation
8. Confirmez et appuyez sur Entrée pour vous déconnecter

Note :
Après l'installation du système d'exploitation SLES sur le serveur hôte, un compte d'administration (autre que root)
est fourni pour accéder au serveur hôte (par exemple : accéder à distance à Generic Appliance Server). Les
informations d'identification sont admin/letacla1 (mot de passe par défaut).
Le compte admin ne permet pas d'effectuer des opérations telles que l'installation/désinstallation de Generic
Appliance Server ou la configuration de machines virtuelles. Toutes les opérations doivent être réalisées à partir
du compte root.
Danger :
Cette procédure d'installation n'est pas applicable lors de la mise à jour du système d'exploitation SLES sur le
serveur hôte (voir : Mise à jour du système d'exploitation SLES à la page 337).

11.5.2.4.1.2 Obtention de l'ALUID et publications sur eLP

L'ALUID est nécessaire pour obtenir les fichiers de licence pour installer ou remplacer un Generic
Appliance Server. Si vous avez commandé des machines, l'ALUID est affiché sur l'autocollant du
matériel. L'Generic Appliance Server est livré sans autocollant.
Pour obtenir les fichiers de licence :
1. Après l'installation du système d'exploitation SLES, cliquez sur le lien Not listed et connectez-
vous comme racine (avec le mot de passe modifié précédemment).
L'interface graphique s'affiche.
Note :
• Selon le type de clavier, la barre de menu disponible en haut à droite de la fenêtre de connexion permet de
sélectionner la langue du clavier ou d'afficher un clavier virtuel à l'écran.
ou
• L'interface graphique peut également être démarrée avec la commande :

systemctl start display-manager
2. Effectuez un clic droit sur le bureau et sélectionnez Open Terminal.
3. Saisissez la commande /usr/bin/getaluid pour récupérer l'ALUID
4. Enregistrez votre ALUID sur eBuy (voir la page eLicensing Host Registration de l'Enterprise
Business Portal).
Une fois votre demande traitée, vous recevrez les fichiers de licence nécessaires portant l'extension
*.swk et *.ice
11.5.2.4.1.3 Installation du serveur Generic Appliance Server

Présentation de la procédure
L'installation de l'Generic Appliance Server sur le système d'exploitation hôte peut être réalisée des
façons suivantes :
• À partir du disque dur
• À partir du DVD ou d'une clé USB

Note :
La clé branchée dans un port USB doit être au format FAT32.
La pré-installation et la post-installation du Generic Appliance Server peuvent être réalisées soit à
partir de l'interface utilisateur graphique (GUI), soit de la console en mode silencieux.
La pré-installation et la post-installation sont masquées dans une commande unique xxxxxxx.sh.
Les opérations suivantes sont réalisées durant la procédure de pré-installation :
• Vérification de la compatibilité du matériel (disponibilité de l'espace libre, prise en charge de la
virtualisation du processeur)
• Vérification de la compatibilité du système d'exploitation de l'hôte (version du système d'explication,
prise en charge KVM)
• Copie des fichiers obligatoires (images de la machine virtuelle, scripts) sur l'hôte
• Installation de Flex-LM sur le système d'exploitation hôte
• Création d'une passerelle de réseau (br0) dans le système d'exploitation hôte afin de faciliter l'accès
de la machine virtuelle au réseau externe
Les opérations suivantes sont réalisées durant la procédure de post-installation :
• Configuration réseau
• Création d'une VM pour l'OmniPCX Enterprise et, éventuellement, d'une VM pour chaque
composant optionnel (OXE-MS et passerelle Rainbow WebRTC) avec leurs images
correspondantes
Par défaut, aucun composant optionnel (OXE-MS et/ou passerelle Rainbow WebRTC) n'est
sélectionné lors de la post-installation.
S'il n'est pas sélectionné lors de la post-installation, OXE-MS ne peut pas être installé
ultérieurement sur Generic Appliance Server. Toutefois, la passerelle Rainbow WebRTC peut être
installée ultérieurement à l'aide du fichier webrtc.bin (voir : Ajout de la passerelle Rainbow
WebRTC au Generic Appliance Server à la page 337).
• Transfert des fichiers de licence à la machine virtuelle OmniPCX Enterprise
Procédure de pré-installation
Pré-nstallation en mode silencieux
Pour réaliser la pré-installation du package du programme d'installation Generic Appliance Server :
1. Ouvrez une session sur la console du serveur comme racine.
2. Insérez le support externe contenant le fichier .iso (CD-ROM dans le lecteur ou clé USB sur un port
du serveur), ou copiez-le via SFTP.
Le support externe utilisé peut être soit un CD-ROM contenant l'image ISO, soit une clé USB avec
le fichier .iso montée sur l'hôte. La clé USB est le seul support décrit ici.
La clé USB est automatiquement montée dans /run/media/root/.
3. Démarrez l'interface graphique via la commande :
4. Ouvrez une session de terminal : Applications > Utilities > XTerm
5. Extrayez les fichiers d'installation (.bin) du fichier .iso à l'aide des commandes :
mkdir /root/Desktop/GASiso
mount -o loop /<directory of iso>/oxe_sws-5.04.iso /root/Desktop/GASiso/
mkdir /root/Desktop/GASinstallfiles
cp -r /root/Desktop/GASiso/ /root/Desktop/GASinstallfiles/
umount /<directory of iso>/oxe_sws-5.04.iso
rm /root/Desktop/GASiso/

6. Saisissez la commande /root/Desktop/GASinstallfiles/GASiso/

checksystemcompatibility.sh pour vérifier votre système et réparer les problèmes signalés
(le cas échéant).
7. Vérifiez qu'aucune erreur n'apparaît dans le fichier :
/var/log/oxems/InstallLog/checkingsystem.log
8. En option, si les fichiers de licence sont disponibles, les copier depuis : /opt/sws_lic à /usr4/
BACKUP/OPS (ces fichiers sont placés automatiquement dans le répertoire). Ils seront installés à
partir du processus d'installation OmniPCX Enterprise via Swinst.
Note :
Dès que l'option manuelle d'ajout des fichiers de licence est sélectionnée (via le bouton Skip), le processus
doit être exécuté manuellement
9. Trouvez le fichier oxeswspreinst.bin et donnez des droits exécutables à ce fichier à l'aide des
commandes :
cd /root/Desktop/GASinstallfiles/GASiso/
#./chmod +x oxeswspreinst.bin
10. Commencez l'installation à l'aide de la commande :
#./oxeswspreinst.bin -i Silent
Pendant l'installation :
• Les fichiers d'images OmniPCX Enterprise, OXE-MS et de la passerelle Rainbow WebRTC sont
extraits et copiés dans :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folder/imgs
• Les fichiers de configuration et les scripts sont extraits et copiés dans :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folder/scripts
• Le serveur Flex-LM est installé sur l'hôte
L'installation prend environ 15 à 25 minutes.
Le message d'état de l'installation (PRE INSTALLATION STATUS: SUCCESS/FAILED) s'affiche à
l'écran à la fin de la pré-installation silencieuse. Vous pouvez également contrôler l'état de la pré-
installation à partir du fichier /etc/sws_preinstall.inf.
Pré-installation via GUI
Pour effectuer la pré-installation via GUI :
1. Trouvez le fichier oxeswspreinst.bin et donnez des droits exécutables à ce fichier à l'aide de la
commande :
#./chmod +x oxeswspreinst.bin
2. Exécutez la commande :
#./oxeswspreinst.bin
L'assistant d'installation du logiciel démarre et la page d'accueil s'affiche :

Figure 11.5 : Page d'accueil de l'assistant de pré-installation

La page License Agreement apparaît :
4. Acceptez les termes de l’accord de licence, puis cliquez sur Next.
L'assistant d'installation vérifie la configuration de serveur telle que l'espace libre disponible, la prise
en charge de la virtualisation du processeur, la version du système d'exploitation et la prise en
charge KVM.
Attention :
En cas de panne, un message d'erreur s'affiche à l'écran et la pré-installation s'arrête. Cliquez sur le
bouton Cancel et relancez la pré-installation après avoir corrigé l'erreur.
5. Si la configuration de serveur est correcte, cliquez sur Next.
La page Pre-Installation Summary apparaît :
Cette page fournit des détails sur les composants du Generic Appliance Server à installer
(machines virtuelles OmniPCX Enterprise, OXE-MS et passerelle WebRTC), la taille du disque dur
et le temps prévu pour l'installation

Figure 11.6 : Exemple de page récapitulative de la pré-installation
6. Vérifiez la configuration du Generic Appliance Server, puis cliquez sur Next.

La pré-installation démarre. Une barre de progression vous permet de suivre la pré-installation.
Attention :
Une fois lancée, la pré-installation ne peut plus être arrêtée.
Lors de la pré-nstallation :
• Les fichiers d'images OmniPCX Enterprise, OXE-MS et de la passerelle Rainbow WebRTC sont
extraits et copiés dans :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folder/imgs
• Les fichiers de configuration et les scripts sont extraits et copiés dans :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folder/scripts
• Le serveur Flex-LM est installé sur l'hôte
À la fin du processus, la page Install Complete s'affiche :
7. Cliquez sur Done pour quitter l'assistant.
Procédure de post-installation
Post-installation en mode silencieux
Prérequis : les fichiers binaires de post-installation doivent être copiés sur un annuaire du serveur et la
pré-installation effectuée (voir : Pré-nstallation en mode silencieux à la page 304).
Pour réaliser la post-installation :
1. Saisissez les entrées de post-installation dans le fichier de configuration suivant :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folders/scripts/
PostInstall.cfg
Exemple de fichier PostInstall.cfg avec une configuration d'OmniPCX Enterprise sans
redondance, OXE-MS et une passerelle WebRTC :

//THIS FILE IS USED FOR CONFIGURING OXE SOFTWARE SERVER FOR SILENT POST-INSTALLATION
//**********************************************************************************
//OXE configuration details

COUNTRY_CODE=FR
REDUNDANCY=NO
CPU_HOST_NAME=xa000000
CPU_IP_ADDRESS=172.19.106.210
SUBNET_MASK=255.255.255.0
DEFAULT_GATEWAY_NAME=default
GATEWAY_ADDRESS=172.19.106.254
NETWORK_NUMBER=1
NODE_NUMBER=1
NODE_NAME=node000000
//Below given parameters are applicable redundancy mode

CPU_MAIN_NAME=
CPU_MAIN_IP_ADDRESS=
TWIN_HOST_NAME=
TWIN_IP_ADDRESS=
TWIN_SUBNET_MASK=
//Below given parameters are applicable only for SPATIAL redundancy mode
TWIN_GATEWAY_IP_ADDRESS=
TWIN_GATEWAY_NAME=
TWIN_MAIN_NAME=
TWIN_MAIN_IP_ADDRESS=
//OMS configuration details

NUMBER_OF_OMS=1
OMS_IP_ADDRESS=172.19.106.220
//WebRTC Gateway configuration details

INSTALL_WEBRTC_GW=1
IP=10.2.3.4
NETMASK=255.255.255.0
GATEWAY=10.2.3.254
HOSTNAME=rainbow-mpgw
HOSTDOMAIN=mycompany.com
DNS=10.2.3.253
NTP=10.2.3.253
PROXY=http://10.2.3.252:8000/
MPROXY=tcp
TURN_SERVER=turn-eu1.openrainbow.com
PBXID=PBXa1b1-2wxy-3c3d-6789-4e4f-g556-7h89-10i9
PBX_DOMAIN=172.19.106.210
RAINBOW_DOMAIN=openrainbow.com
RAINBOW_HOST=openrainbow.com
SSH=true
2. Trouvez le fichier oxeswsposinst.bin et donnez des droits exécutables à ce fichier à l'aide de la
commande :
#./chmod +x oxeswsposinst.bin
3. Saisissez la commande :
#./oxeswsposinst.bin -i Silent –f /home/OmniPCXEnterpriseSoftwareServer/
Installation_Folders/scripts/PostInstall.cfg
Le message d'état de l'installation (POST INSTALLATION STATUS: SUCCESS/FAILED) s'affiche
à l'écran à la fin de la post-installation silencieuse. Vous pouvez également contrôler l'état de la
post-installation à partir du fichier /etc/sws_postinstall.inf.
Le tableau suivant donne une brève description de tous les paramètres du fichier de configuration
(PostInstall.cfg) :
Champ Value
OXE configuration details
COUNTRY_CODE Votre code pays (exemple : FR pour la France).

Champ Value
REDUNDANCY Entrez la configuration redondante :
• NO: pas de redondance
• LOCAL : redondance locale
• SPATIAL: redondance spatiale
CPU_HOST_NAME CPU hostname

CPU_IP_ADDRESS Adresse IP de la CPU
SUBNET_MASK Masque réseau
DEFAULT_GATEWAY_NAME Nom de la passerelle par défaut
GATEWAY_ADDRESS Adresse IP de la passerelle par défaut
NETWORK_NUMBER Numéro réseau
NODE_NUMBER No de Noeud
NODE_NAME Nom du noeud
Les paramètres suivants s'appliquent pour la redondance :
CPU_MAIN_NAME Nom de la CPU principale
CPU_MAIN_IP_ADDRESS Adresse IP de la CPU principale
TWIN_HOST_NAME Nom de la CPU jumelée
TWIN_IP_ADDRESS Adresse IP de la CPU jumelée
Les paramètres suivants s'appliquent pour la redondance spatiale :
TWIN_SUBNET_MASK Masque de réseau pour la CPU jumelée
TWIN GATEWAY IP ADDRESS Adresse IP de la passerelle par défaut associée à la CPU jumelée
TWIN GATEWAY NAME Nom de la passerelle par défaut associée à la CPU jumelée
TWIN MAIN NAME Nom utilisé lorsque la CPU jumelée est principale
TWIN MAIN IP ADDRESS Adresse IP lorsque la CPU jumelée est principale
OMS configuration details
NUMBER OF OMS Nombre d'OXE-MS :
• 0: non OXE-MS
• 1: un OXE-MS
OMS IP ADDRESS Adresse IP OXE-MS (si le champ NUMBER OF OMS est défini sur
1)
WebRTC GW configuration details
IP Adresse IP de la passerelle Rainbow WebRTC
NETMASK Masque réseau
GATEWAY Adresse IP de la passerelle par défaut
HOSTNAME Nom d'hôte de la passerelle Rainbow WebRTC
HOSTDOMAIN Nom de domaine de la passerelle Rainbow WebRTC

Champ Value
DNS Adresse IP du serveur DNS utilisé par la passerelle Rainbow
WebRTC pour la résolution des noms
NTP Adresse IP du serveur NTP utilisé par la passerelle Rainbow
WebRTC pour la synchronisation de l'heure et de la date
PROXY Adresse du proxy utilisé par la passerelle Rainbow WebRTC pour
la communication (par exemple : http://10.2.3.252:8080/)
MPROXY Protocole utilisé pour les flux multimédia échangés par le biais du
proxy. La valeur est off, tcp ou tls
PBXID Identifiant unique de votre OmniPCX Enterprise dans
l'infrastructure Rainbow Cloud (par exemple :
PBXa1b1-2wxy-3c3d-6789-4e4f-g556-7h89-10i9)
PBX_DOMAIN Adresse IP OmniPCX Enterprise (ou nom de domaine complet ou
FQDN d'OmniPCX Enterprise en cas de redondance spatiale)
RAINBOW_DOMAIN Nom de domaine de l'infrastructure Rainbow Cloud
RAINBOW_HOST Nom d'hôte de l'infrastructure Rainbow Cloud
TURN_SERVER Adresse du serveur TURN utilisé par la passerelle Rainbow
WebRTC pour le relais du flux média (par exemple : turn-
eu1.openrainbow.com)
SSH Option permettant de se connecter à la passerelle Rainbow
WebRTC via SSH. La valeur est true ou false
Note :
• Pour plus d'informations sur les paramètres OmniPCX Enterprise, reportez-vous au chapitre sur la gestion de
netadmin dans 8AL91011FRBA.
• Pour plus d'informations sur la passerelle Rainbow WebRTC, consultez Rainbow Help Center.
Post-installation via l'interface graphique
commande :
#./oxeswsposinst.bin
3. Une fois le message de bienvenue affiché, cliquez sur le bouton Next.

Figure 11.7 : Page d'accueil de l'assistant de post-installation
4. Sur la page des paramètres locaux, sélectionnez votre code de pays (pour la base de données et le
fuseau horaire OmniPCX Enterprise)
Figure 11.8 : Exemple de page de l'assistant - Paramètres locaux

La page paramètres du réseau s'affiche.

6. Configurez l'OmniPCX Enterprise avec les informations détaillées sur le nœud (détails Netadmin)
• Si l'OmniPCX Enterprise n'est pas dupliqué :
1. Sélectionnez le bouton radio No Redundancy dans la OXE IP Configuration.
2. Entrez les paramètres dans les Configuration Details.
Pour plus d'informations sur les paramètres OmniPCX Enterprise, reportez-vous au chapitre
sur la gestion de netadmin dans 8AL91011FRBA.
Figure 11.9 : Exemple de page OmniPCX Enterprise
• Si l'OmniPCX Enterprise est configuré comme Local redundancy :

1. Sélectionnez le bouton radio Local Redundancy dans la OXE IP Configuration.
Note :
La configuration CPU twin doit être gérée quel que soit l'état de la CPU twin.

Figure 11.10 : Exemple de page de l'assistant - Paramètres réseau d'OmniPCX Enterprise -

Redondance locale
• Si l'OmniPCX Enterprise est configuré comme Spatial redundancy :

1. Sélectionnez le bouton radio Spatial Redundancy dans la OXE IP Configuration.

Figure 11.11 : Exemple de page de l'assistant - Paramètres réseau d'OmniPCX Enterprise -

Redondance spatiale
7. Cliquez sur le bouton Next.

L'écran de configuration des composants optionnels (OXE-MS et passerelle Rainbow WebRTC)
s'affiche
8. Si le Generic Appliance Server comprend un OXE-MS :
1. Cochez la case OMS .
2. Dans l'encadré OMS details, entrez l'adresse IP de l'OXE-MS
Attention :
Un message d'erreur pour mémoire vive insuffisante s'affiche lors de la sélection de composants
optionnels (OXE-MS et/ou de la passerelle Rainbow WebRTC). Pour plus de détails sur les
exigences matérielles minimales (voir : Vérification du matériel, des fichiers ISO et des licences à la
page 298).

Figure 11.12 : Exemple de page de configuration d'OXE-MS
9. Si le Generic Appliance Server comprend une passerelle Rainbow WebRTC :

1. Cochez la case Rainbow WebRTC et cliquez sur Next
2. Dans la page WebRTC GW configuration, complétez les champs suivants :
Champ Value
Network configuration
IP address Saisissez l'adresse IP de la passerelle Rainbow WebRTC
Netmask Saisissez le masque de réseau.
Gateway address Saisissez l'adresse IP de la passerelle par défaut.
Hostname Saisissez le nom d'hôte de la passerelle Rainbow WebRTC
Hostdomain Saisissez le nom de domaine de la passerelle Rainbow WebRTC
DNS Saisissez l'adresse IP du serveur DNS utilisé par la passerelle Rainbow
NTP Saisissez l'adresse IP du serveur NTP utilisé par la passerelle Rainbow
PROXY Saisissez l'adresse du proxy utilisé par la passerelle Rainbow WebRTC
pour la communication (par exemple : http://10.2.3.252:8080/)
TURN SERVER Saisissez l'adresse du serveur TURN utilisé par la passerelle Rainbow
WebRTC pour le relais du flux multimédia (par exemple : turn-
Gateway configuration

Champ Value
PBXID Saisissez l'identifiant unique de votre OmniPCX Enterprise dans
PBX_DOMAIN Saisissez l'adresse IP de l'OmniPCX Enterprise (ou le nom de domaine
complet ou FQDN de l'OmniPCX Enterprise en cas de redondance
spatiale)
RAINBOW_DOMAIN Saisissez le nom de domaine de l'infrastructure Rainbow Cloud Le nom
de domaine Rainbow est initialisé sur openrainbow.com. Le nom de
domaine Rainbow est initialisé sur openrainbow.com. Il s'agit de la
valeur par défaut
RAINBOW_HOST Saisissez le nom d'hôte de l'infrastructure Rainbow Cloud
MPROXY Si un proxy a été déclaré dans le champ PROXY, utilisez le menu
déroulant pour sélectionner le protocole (tcp ou tls) utilisé pour les flux
multimédia échangés via le proxy
Enable SSH Si nécessaire, cochez la case pour permettre la connexion à la
passerelle Rainbow WebRTC via SSH
Attention :
optionnels (OXE-MS et/ou de la passerelle Rainbow WebRTC). Pour plus de détails sur les exigences
matérielles minimales (voir : Vérification du matériel, des fichiers ISO et des licences à la page 298).
Figure 11.13 : Exemple de page de configuration de la passerelle Rainbow WebRTC
10. Cliquez sur le bouton Next pour fournir les détails de la licence OXE.
En général, les fichiers de licence ont déjà été installés ou sont stockés sur un support de données.
• Lorsque les fichiers de licence sont installés : tous les fichiers doivent être copiés dans un seul
répertoire. Les fichiers aux extensions .zip, .swk, hardware.mao, software.mao, .ice sont
disponibles via le chemin : /opt/sws_lic

La fenêtre OXE Licenses files s'affiche.

Cliquez sur Next.
• Lorsqu'un des fichiers de licence manque sur la machine cible (/opt/sws_lic), il est possible
de choisir deux options :
1. Si vous souhaitez fournir manuellement des fichiers de licence après le processus de post-
installation, cliquez sur le bouton Passer
2. Les fichiers de licence sont sur un support USB, exécutez la procédure suivante :
1. Branchez la clé USB hébergeant les fichiers de licence
Patientez quelques secondes
Figure 11.14 : Exemple de page de l'assistant - Licensing
2. Cliquez sur le bouton Browse pour sélectionner les fichiers de licence.

• Si tous les fichiers sont trouvés, un message de réussite OK s'affiche et le bouton Next
est disponible.
• Si certains fichiers sont manquants, un message d'erreur Not OK s'affiche. Corrigez le
problème ou cliquez sur Skip pour activer le bouton Next.
La page Post-installation Summary s'affiche avec tous les paramètres entrés.

Figure 11.15 : Page récapitulative de l'assistant de post-installation
12. Vérifiez les paramètres du serveur

Si les réglages sont corrects, cliquez sur Install pour démarrer la configuration. La durée est
d'environ 20 minutes.
La page suivante affiche l'état de progression de la configuration par étapes
Figure 11.16 : Page de progression de l'assistant de post-installation

Les données capturées grâce aux pages post-installation sont enregistrées dans un fichier de
configuration. Le fichier de configuration est utilisé pour passer aux étapes suivantes de
configuration à l'aide des scripts :
• Configuration du réseau :
Tous les paramètres du réseau tels que OXE IP, le nom de la CPU, le numéro du réseau, les
détails du routeur, sont extraits du fichier de configuration et mis à jour dans le fichier Netadmin
afin de permettre la configuration du réseau
• Configuration de base de données vide :
Une base de données vide est créée en fonction du pays choisi au cours de la post-installation
• Configuration de la licence .
Les fichiers de licence .zip, hardware.mao, software.mao, .swk, .ice sont enregistrés dans le
répertoire OXE /usr4/BACKUP/OPS pour installation ultérieure
Le fichier .ice est enregistré dans le répertoire /opt/Alcatel-Lucent.data/licenses/ du
système d'exploitation Suse à l'usage du serveur FlexLM
• Configuration du réseau pour OXE-MS :
Les paramètres de réseau d'OXE-MS, tels que OXE-MS IP, CS IP et masque de sous-réseau
sont mis à jour dans le fichier oms.cfg pour activer la configuration du réseau dans OXE-MS
Après une configuration réussie, l'OmniPCX Enterprise démarre en même temps que l'OXE-MS.
13. À la fin de la post-installation, vérifiez l'état de l'installation affiché sur la page Install
Complete :
• En cas de réussite, cliquez sur le bouton Done.
• En cas d'échec, le message d'erreur correspondant présentant les informations du fichier journal
s'affiche, voir : Procédure de désinstallation à la page 341
Après avoir corrigé les erreurs, réessayez la procédure de post-installation.
Figure 11.17 : Page d'achèvement de la post-installation

14. Une fois l'installation terminée, vous pouvez vérifier les versions du Generic Appliance Server, des
patches, d'OXE-MS et du serveur FlexLM à partir du fichier sws_release disponible sur le
chemin /etc
15. Configurez la machine virtuelle OXE et les machines virtuelles OXE-MS
Connectez-vous aux machines virtuelles d'une des manières suivantes
• À partir d'un terminal Telnet
• À partir de la console KVM :
1. Ouvrez une session sur la console KVM
2. Démarrez l'interface graphique via la commande :
3. Allez à : Activities
4. Cliquez sur l'icône Show Applications puis sur l'icône Yast.
La fenêtre Administrator Settings s'affiche.
5. Sélectionnez l'icône Virtual Machine Manager.
La fenêtre Virtual Machine Manager s'ouvre pour accéder aux VM.
6. À partir de la page d'accueil Gestionnaire des machines virtuelles, ouvrez une des machines
virtuelles en cliquant sur son nom.
11.5.2.4.2 Installation du Generic Appliance Server via S.O.T.

Prérequis : S.O.T. doit être déployé sur un environnement virtualisé. Pour plus d'informations sur le
déploiement et le démarrage du S.O.T., voir document 8AL91011FRBA.
Pour installer le Generic Appliance Server via S.O.T. :
3. Sélectionnez GAS et cliquez sur Next
La page Medias s'ouvre.
4. Sélectionnez le support sur lequel le bootdvd et le progiciel Generic Appliance Server sont
disponibles :
stockage
• Si les fichiers ont été chargés sur le stockage local S.O.T., sélectionnez S.O.T. Stockage
local

Note :
Le champ Description n'est pas obligatoire.


La page de Configuration GAS settings s'ouvre
10. Complétez les champs avec les réglages du Generic Appliance Server : clavier, nom d'hôte,
adresse MAC et adresse IP du serveur hébergeant Generic Appliance Server.

Figure 11.20 : Exemple de page GAS settings

12. Vérifiez la version du logiciel et cliquez sur Deploy
project listing.

13. Si vous lancez immédiatement le déploiement à l'aide du bouton Deploy, patientez environ
15 secondes pour vous assurer que S.O.T. est prêt à recevoir la requête du serveur hôte sur lequel
le logiciel Generic Appliance Server doit être déployé, puis lancez le démarrage PXE sur le serveur
hôte.
Le serveur hôte effectue un démarrage réseau, se connecte à S.O.T. et charge le bootDVD et le
logiciel Generic Appliance Server. L'installation démarre automatiquement sur le serveur hôte.
Surveillez la progression de l'installation du Generic Appliance Server à partir de l'interface de
S.O.T.
Après l'installation, un assistant de post-installation démarre sur le serveur hôte.
14. Dans la console connectée au serveur hôte, complétez les réglages des composants du Generic
Appliance Server (OmniPCX Enterprise, OXE-MS et passerelle Rainbow WebRTC)
Pour plus de détails, voir la procédure de Post-installation via l'interface graphique à la page 310 (à
partir de l'étape 3).
11.6 Configuration GAS

11.6.1 Configuration liaison Ethernet
11.6.1.1 Présentation de la procédure
La configuration liaison Ethernet pour le Generic Appliance Server comprend :
1. Configuration d'une interface de liaison comprenant toutes les interfaces Ethernet à la page 325

2. Inclusion de l'interface de liaison dans l'interface de pont par défaut (br0) à la page 326
Toute la configuration s'effectue sur le système d'exploitation hôte (SLES). Il n'y a aucun changement
de configuration sur les machines virtuelles d'IMM/ILO, de l'hyperviseur KVM et d'OXE/d'OXE-MS/de la
passerelle Rainbow WebRTC.
Note :
• Les IMM/ILO sont configurés sur le BIOS et sont liés à une carte Ethernet spécifique.
• Les VM sont déjà configurées pour utiliser l'interface br0 pour la communication.
11.6.1.2 Configuration d'une interface de liaison comprenant toutes les interfaces Ethernet
1. Depuis l'interface KVM, démarrez l'interface graphique, puis allez à : YaST2 > Network Settings
2. Sélectionnez l'onglet Overview pour accéder à la liste d'appareils Ethernet.
Figure 11.22 : Exemple de liste de périphériques Ethernet
3. Si nécessaire, supprimez les interfaces Ethernet de l'interface pont par défaut (br0) :
1. Sélectionnez l'interface br0 et cliquez sur Edit.
2. Désélectionnez les interfaces Ethernet dans l'onglet Bridged Devices.
4. Si un appareil de liaison n'est pas disponible, cliquez sur Add et sélectionnez Bond dans le champ
Device Type, puis Next.
5. Pour la configuration IP, sélectionnez No Link and IP Setup (Bonding Slaves).
6. Sélectionnez l'onglet Bond Slaves et les périphériques Ethernet cibles à inclure dans l'interface
de liaison.
7. Vérifiez le champ Bond Driver Options présent en bas de l'onglet Bond Slaves. Il est
recommandé de définir l'option sur : mode=balanced-rr miimon=100.

Figure 11.23 : Exemple de champ Bond Driver Options
8. Cliquez sur Next pour revenir à Network Settings.

Pour plus de détails sur la configuration de l'interface de liaison, reportez-vous à :
https://documentation.suse.com/sle-ha/12-SP5/html/SLE-HA-all/cha-ha-netbonding.html
11.6.1.3 Inclusion de l'interface de liaison dans l'interface de pont par défaut (br0)
1. À partir de l'outil YaST2, sélectionnez l'interface de pont br0 et cliquez sur Edit.
2. Vérifiez que le paramètre IP est correctement configuré pour l'interface de pont (statique ou
dynamique, selon les besoins).
3. Dans l'onglet Bridged Devices, sélectionnez la nouvelle interface de liaison.
4. Cliquez sur Next pour revenir à Network Settings.
5. Vérifiez les détails dans l'onglet Routing, et assurez-vous qu'une passerelle par défaut valide est
configurée pour l'interface de pont.
6. Cliquez sur OK pour enregistrer votre configuration et quittez l'outil.
L'hôte est désormais configuré avec la liaison Ethernet.
Vérifiez que la connectivité réseau n'est pas perturbée lors de la mise hors tension d'une interface
Ethernet.

Figure 11.24 : Exemple de configuration finale
11.6.2 Configuration du balisage VLAN

Cette opération permet de baliser le système d'exploitation hôte (SLES) et les OXE et VM OXE-MS
dans le même VLAN xxxx :
1. Depuis le système d'exploitation hôte (SLES), entrez les commandes suivantes :
cd /etc/sysconfig/network
cp ifcfg-eth0 ifcfg-vlanxxxx
2. Ouvrez le fichier ifcfg-vlanxxxx à l'aide de l'éditeur vi, et ajoutez les champs suivants :
vi ifcfg-vlanxxxx
VLAN='yes'
ETHERDEVICE='eth0'
3. Ouvrez le fichier ifcfg-br0 à l'aide de l'éditeur vi, et modifiez le champ suivant :
vi ifcfg-vlanxxxx
BRIDGE_PORTS='vlanxxxx'
4. Redémarrez le réseau avec la commande :
rcnetwork restart
Attendez la fin du redémarrage. Le marquage VLAN au niveau de l'hôte est maintenant terminé.
5. Arrêtez complètement l'OXE et les VM OXE-MS (le redémarrage ne fonctionne pas)
6. Démarrez l'OXE et les VM OXE-MS
11.7 Connexion distante GAS

11.7.1 Connexion à distance
Après l'installation de l'OS SLES, un utilisateur peut se connecter en utilisant le compte par défaut
(root) et le nouveau mot de passe.

Après l'installation réussie de l'OS SLES, en plus du compte root, le compte admin (sans droits
root) est fourni à des fins générales (p. ex. : connexion à distance). Le login pour ce compte est
admin et le mot de passe par défaut est letacla1.
L'utilisateur admin n'a pas la permission d'effectuer des opérations de l'utilisateur root telles que
l'installation/désinstallation du Generic Appliance Server, la gestion des machines virtuelles, etc. Pour
effectuer de telles opérations, cet utilisateur doit basculer sur root.
11.7.2 Connexion Bureau à distance

Ce chapitre décrit comment établir une connexion à distance avec le système d'exploitation SLES de
Generic Appliance Server.
La connexion à distance peut être utilisée lorsqu'une connexion locale au site SLES avec un écran, un
clavier et une souris est nécessaire, par exemple pour redémarrer la VM OmniPCX Enterprise, la VM
OXE-MS ou le service FlexLM.
11.7.2.1 Activation du serveur VNC sur Generic Appliance Server

1. Connectez-vous en tant que root sur l'hôte de Generic Appliance Server
2. Entrez la commande suivante :
[root@gas ~]# vncserver -geometry 1024x768 -depth 32
3. Lorsque vous y êtes invité, entrez le mot de passe qui sera utilisé par le client VNC pour la
connexion
Vous devrez saisir un mot de passe pour accéder à vos ordinateurs fixes.
Password:
Vérifiez :
4. Il vous est demandé d'entrer un mot de passe (facultatif), puis le nom du fichier journal s'affiche,
gas:2.log dans notre exemple
Souhaitez-vous entrer un mot de passe de visualisation seulement (y/n) ? n
Le nouveau bureau 'gas:2 (root)' est gas:2
Créer un script de démarrage par défaut /root/.nvc/xstartup
Création de la configuration par défaut /root/.vnc/.vnc/config
Démarrage des applications spécifiées dans /root/.vnc/xstartup
Le fichier journal est /root/.vnc/gas:2.log
5. Entrez les commandes suivantes pour vérifier les journaux
ll /root/.vnc/gas.phisa.com\:2.log
cat /root/.vnc/gas.phisa.com\:2.log
6. Vérifiez que la ligne suivante est présente, indiquant que le serveur VNC est activé :
vncext : A l'écoute des connexions VNC sur toutes les interfaces, port 5902
11.7.2.2 Connexion à Generic Appliance Server à partir d'un client VNC

Ce qui suit présente la connexion en utilisant TightVNC viewer.
1. Démarrez TightVNC viewer sur le poste de travail de votre client

2. Saisissez l'adresse IP du site Generic Appliance Server et indiquez le port défini dans le serveur
VNC, par exemple :
10.69.201.130:2 si le port 5902 est utilisé
3. Cliquez sur Connect et entrez le mot de passe défini lors de l'activation de VNC sur Generic
Appliance Server
La connexion est établie et vous avez accès au système d'exploitation SLES sur le site Generic
Appliance Server.

11.7.2.3 Vérification de la connexion le Generic Appliance Server

1. Entrez la commande suivante :
cat /root/.vnc/gas.phisa.com\gas:2.log
2. Vous pouvez vérifier l'historique des connexions via VNC
Lun 26 oct 17:05:01 2020
Connexions : acceptées : 192.168.201.98::58497
SConnexion : le client a besoin du protocole version 3.8
SConnexion : le client demande le type de sécurité VncAuth(2)
Lun oct 26 17:05:05 2020

VNCSConnST : Format de pixel par défaut du serveur profondeur 32 (32bpp) little-endian rgb
max 255,255,255 shift 16,8,0
VNCSConnST : Format de pixel du client profondeur 24 (32bpp) little-endian rgb888
11.8 Raccordement de l'onduleur

11.8.1 Présentation de l'onduleur
Generic Appliance Server (GAS) peut être connecté directement à l'alimentation secteur ou raccordé
au secteur à travers un onduleur. L'utilisation d'un onduleur permet de maintenir GAS en service en
cas de coupure de courant.

Outre la connexion d'alimentation, une connexion de données relie l'onduleur à GAS. Cette liaison
fournit l'état de l'onduleur. GAS peut générer des alarmes et arrêter le système proprement lorsque les
batteries sont faibles.
Pour configurer les rapports d'état de l'onduleur, se reporter à la rubrique swinst du document
8AL91011FRBA.
11.8.2 Description du fonctionnement de l'onduleur

11.8.2.1 Fonctionnement normal
L'onduleur est connecté au secteur. Il charge ses batteries et alimente GAS. GAS vérifie l'état de
l'onduleur toutes les 5 secondes.
11.8.2.2 Mode batteries

Lorsqu'une coupure de courant se produit, l'onduleur passe en mode batteries. GAS détecte le
changement et génère le numéro d'incident 1544 (alarme d'alimentation).
Si l'alimentation secteur est rétablie, l'onduleur revient en mode normal et GAS génère le numéro
d'incident 1545 (rétablissement de l'alimentation secteur).
Si l'alimentation secteur ne se rétablit pas, les batteries s'épuisent. Lorsque les batteries atteignent un
seuil configurable de leur capacité nominale (30 % par défaut), GAS génère le numéro d'incident 1521
(arrêt pour défaut d'alimentation) et initialise un arrêt normal, sans perte de données. Le seuil peut être
modifié via les services de l'onduleur mis en œuvre sur GAS (voir : Services d'onduleur mis en œuvre
sur GAS à la page 331).
À la fin de la mise à l'arrêt, GAS demande la mise hors tension de l'onduleur.
11.8.2.3 Rétablissement de l'alimentation secteur

Lorsque l'alimentation secteur est rétablie, l'onduleur redémarre. GAS redémarre également si le
redémarrage automatique a été configuré dans le BIOS du serveur hôte. Si tel n'est pas le cas, un
redémarrage manuel est nécessaire.
11.8.2.4 Cas particuliers

1. GAS redémarre avec l'onduleur alimenté par batteries. Dans ce cas, GAS termine son chargement
et génère l'incident 1544. GAS reste en ligne tant que la capacité des batteries se maintient au
dessus du seuil de 30 %.
2. GAS est à l'arrêt et le rétablissement de l'alimentation secteur est temporaire. GAS redémarre mais
l'onduleur est de nouveau alimenté par batteries. La capacité des batteries est toujours sous le seuil
des 30 % de la valeur nominale. Dès que le noyau de GAS redémarre, le processus de surveillance
de l'onduleur démarre. Les incidents 1544 et 1521 sont générés. Lorsque l'état de bas niveau de
charge des batteries est détecté, GAS s'arrête de nouveau.
3. GAS est en ligne et le rétablissement de l'alimentation secteur est temporaire. Les incidents 1545 et
1544 sont générés successivement, mais sans d'autre impact sur le comportement de GAS.
11.8.2.5 Services d'onduleur mis en œuvre sur GAS

La version logicielle du système d'exploitation SUSE livrée avec GAS comprend le package Network
UPS Tools (NUT), qui offre une interface de surveillance et de gestion de l'état de l'onduleur. La version
logicielle de GAS comprend un progiciel d'onduleur qui offre des commandes pour la gestion des
services d'onduleur, comme la configuration de la valeur basse de la charge de la batterie de l'onduleur
(voir : Configuration des services d'onduleur à la page 333).
Pour plus de détails sur l'installation des packages NUT et d'onduleur, voir Installation des services
d'onduleur à la page 332.

11.8.3 Raccordement de l'onduleur

GAS est raccordé à l'onduleur par deux câbles :
• Câble d'alimentation
• Un câble de signal branché sur le port USB de GAS. Il est utilisé pour surveiller l'état de l'onduleur
Câble d'alimentation Au secteur
UPS
MGE UPS SYSTEMS ellipse 300
GAS
Câble de signal
Figure 11.25 : Raccordements onduleur/GAS
Note :
• Utilisez swinst pour configurer les ports. Pour plus d'informations, reportez-vous au chapitre swinst du
document 8AL91011FRBA.
• Contacter Alcatel-Lucent Enterprise pour obtenir la liste complète des onduleurs supportés par GAS.
11.8.4 Installation des services d'onduleur

L'installation des services d'onduleur sur GAS comporte deux étapes :
• Installation du package Network UPS Tools (NUT) sur le système d'exploitation SUSE Linux
Enterprise Server (SLES) sur le serveur hôte (voir : Installation du package NUT à la page 332)
• Installation d'un package d'onduleur avec le logiciel de GAS sur le système d'exploitation hôte (voir :
Installation d'un package d'onduleur à la page 332)
11.8.4.1 Installation du package NUT

Une version de NUT est incluse dans la livraison du logiciel du système d'exploitation SLES à compter
de la version bootdvd.12.03.019.000 ou supérieure.
• Dans le cas d'une installation GAS, le package NUT sera installé en même temps que le système
d'exploitation SLES.
• Dans le cas où GAS est déjà installé (avec une version du système d'exploitation SLES inférieure à
bootdvd.12.03.019.000), l'installation du progiciel NUT peut être effectuée en mettant à jour la
version du système d'exploitation SLES. Pour plus de détails, voir : Mise à jour du système
d'exploitation SLES à la page 337.
11.8.4.2 Installation d'un package d'onduleur

Un package d'onduleur est inclus dans la livraison du logiciel GAS à compter de la version
oxesws_8.04 ou supérieure.
• Dans le cas d'une installation de GAS, le package d'onduleur sera installé en même temps que
GAS.
• Dans le cas où GAS est déjà installé (avec une version de GAS inférieure à oxesws_8.04),
l'installation du package d'onduleur peut être effectuée en copiant le fichier gasups du logiciel GAS
version oxesws_8.04 (ou supérieure) dans le répertoire suivant de GAS :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folders/Tools

11.8.5 Configuration des services d'onduleur

Les services d'onduleur sont gérés sur GAS à l'aide des commandes suivantes :
Commande Signification
$ gasups start Démarrer les services d'onduleur sur GAS
Note :
En cas d'échec du démarrage d'une commande ou d'un service, un message
d'erreur est affiché et un journal est disponible dans le répertoire suivant :
/var/log/gasups.log
$ gasups status Afficher :

• L'état actuel des services d'onduleur (en cours d'exécution/
arrêté)
• La charge actuelle de la batterie de l'onduleur (en pourcentage)
• La valeur basse configurée pour la charge de la batterie de l'onduleur
(en pourcentage)
Exemple :
$ gasups status
Charge de la batterie : battery.charge: 100
Valeur basse configurée de la batterie : battery.charge.low: 30
État du service de l'onduleur : En cours d'exécution
$ gasups lowbatt Configurer la valeur basse de la charge de la batterie de l'onduleur (par

[ChargeValueInPerce défaut : 30 %)
ntage]
Exemple :
$ gasups lowbatt 35
Valeur basse configurée de la batterie : battery.charge.low: 35
État du service de l'onduleur : En cours d'exécution
$ gasups stop Arrêter les services d'onduleur sur GAS

$ gasups restart Redémarrer les services d'onduleur sur GAS
$ gasups driver Pour configurer d'autres pilotes que celui par défaut usbhid-ups,
[UPSDriverName] configuré avec la commande $ gasups start.
Exemple :
gasups driver blazer_usb
Reportez-vous au fichier du paquet Nut /usr/share/nut/

driver.list pour les modèles d'onduleurs (UPS) et les pilotes corres-
pondants.
11.8.6 Journal de l'UPS

Le statut actuel de l'UPS (ONBATT, ONLINE ou LOWBAT) est enregistré dans le fichier :
/var/log/gasups.log

11.9 Maintenance GAS

11.9.1 Vérification de la compatibilité du système
Pour vérifier la compatibilité du système, exécutez le script checksystemcompatibility.sh sur un
terminal et assurez-vous qu'aucune erreur ne soit enregistrée dans le fichier :
/var/log/oxems/InstallLog/checkingsystem.log
Si des erreurs sont enregistrées, prenez des mesures correctives et exécutez le script jusqu'à ce que
toutes les erreurs soient résolues. Ce fichier (qui vérifie la version du système d'exploitation, la prise en
charge KVM, etc. de la machine cible) est disponible avec oxeswspreinst.bin.
11.9.2 Affichage de la version Generic Appliance Server

Pour afficher la version Generic Appliance Server, ouvrez un terminal sur l'hôte et entrez la
commande :
cat /etc/sws_release
11.9.3 Arrêter et redémarrer les machines virtuelles

11.9.3.1 Gestion des machines virtuelles grâce aux commandes de scripts
Les scripts suivants permettent de gérer les machines virtuelles de l'OmniPCX Enterprise, de l'OXE-
MS et de la passerelle Rainbow WebRTC à partir du système d'exploitation hôte :
• oxe_cmd pour la machine virtuelle OmniPCX Enterprise
• oms_cmd pour la machine virtuelle OXE-MS
• webrtcgw_cmd pour la machine virtuelle de la passerelle Rainbow WebRTC
Les scripts de sauvegarde et de restauration se trouvent dans le dossier suivant : /home/
OmniPCXEnterpriseSoftwareServer/Installation_Folders/Tools
11.9.3.1.1 OmniPCX Enterprise gestion

À partir du système d'exploitation hôte, la gestion de l'OmniPCX Enterprise peut-être effectuée en
exécutant le script oxe_cmd (pour la machine virtuelle OmniPCX Enterprise dénommée
"OXEVM").
Options du menu :
• start : pour démarrer la MV
• stop : pour arrêter la MV
• restart : pour arrêter et redémarrer la MV
• forcestop : pour arrêter la MV
• status : pour indiquer l'état de la machine virtuelle (not registered, stopped, started, suspended)
11.9.3.1.2 OXE-MS gestion

À partir du système d'exploitation hôte, la gestion de l'OXE-MS peut-être effectuée en exécutant le
script oms_cmd (pour la machine virtuelle OXE-MS).
Les options de menu suivantes vous sont offertes :
• status : pour donner l'état (démarrage ou arrêt) de la MV

11.9.3.1.3 Gestion de la passerelle Rainbow WebRTC

À partir du système d'exploitation hôte, la gestion de la passerelle Rainbow WebRTC peut être
effectuée en exécutant le script webrtc_cmd (pour la machine virtuelle de la passerelle Rainbow
WebRTC).
Lors de l'exécution du script, il vous est d'abord demandé de sélectionner le nom de la machine
virtuelle de la passerelle Rainbow WebRTC.
Une fois la passerelle Rainbow WebRTC sélectionnée, les options de menu suivantes vous sont
proposées :
• status : pour donner l'état (démarrage ou arrêt) de la MV
11.9.3.2 Gestion des machines virtuelles via la GUI

Vous pouvez également démarrer et arrêter une machine virtuelle à l'aide du menu Virtual Machine
Manager dans les menus déroulants.
Note :
Ces sous-menus ont la même fonction qu'un interrupteur d’alimentation sur une machine physique. Effectuez un
arrêt normal avant d'arrêter une machine virtuelle.
Options du menu :
11.9.4 Gestion du serveur Flex-LM

Le service Flex-LM peut être géré avec la commande suivante :
#service flexlmd {start|stop|restart|status}
Si le fichier de licence Flex-LM (.k2 ou .ice) n'a pas été sélectionné après l'installation, procédez
comme suit :
1. Copiez le fichier de licence dans l'annuaire /opt/Alcatel-Lucent/data/licenses.
2. Redémarrez le service Flex-LM à l'aide de la commande :
service flexlmd restart
3. Vérifiez le service Flex-LM à l'aide de la commande :
service flexlmd status
Figure 11.26 : Exemple d'un service Flex-LM en cours d'exécution

Figure 11.27 : Exemple d'un service Flex-LM hors service (aucun fichier de licence trouvé)
11.9.5 Sauvegarder et redémarrer les machines virtuelles

Sauvegarde de machine virtuelle :
Le script Vmbackup.sh prend la sauvegarde de la machine virtuelle OmniPCX Enterprise, de l'OXE-
MS ou de la passerelle Rainbow WebRTC
Vmbackup.sh vmName outputVMName.img
Restauration de machine virtuelle :
Le script Vmrestore.sh crée la machine virtuelle OmniPCX Enterprise, de l'OXE-MS ou de la
passerelle Rainbow WebRTC sur la machine cible
Vmrestore.sh outputVMName.img outputVMName.xml
Les images de sauvegarde et les xmls se trouvent dans le dossier suivant : /home/
OmniPCXEnterpriseSoftwareServer/Backup.
11.9.6 Réamorçage ou arrêt du serveur

Pour réamorcer ou arrêter le serveur :
• à partir de l'environnement graphique, utilisez le menu pour arrêter le serveur
• à partir d'un terminal de l'hôte, utilisez la commande : shutdown -r now pour réamorcer le
serveur ou shutdown -h now pour arrêter le serveur
Toutes les machines virtuelles sont arrêtées correctement.
11.9.7 Modification de l'adresse IP du serveur

Pour modifier l'adresse IP du serveur, la liaison Ethernet (voir : Configuration liaison Ethernet à la page
324) et le marquage VLAN (voir : Configuration du balisage VLAN à la page 327) ne doivent pas être
configurés sur le Generic Appliance Server.
Ouvrez un terminal et entrez les commandes :
cd /usr/bin
/setIPAddress.sh
11.9.8 Rehosting
Il n'existe pas de commande spécifique pour réhéberger OmniPCX Enterprise, OXE-MS ou la
passerelle Rainbow WebRTC.
• Pour réhéberger l'OmniPCX Enterprise :
1. Ouvrez un terminal sur la machine virtuelle OmniPCX Enterprise
2. Saisissez les commandes : netadmin
• Pour réhéberger l'OXE-MS :
1. Ouvrez un terminal sur la machine virtuelle OXE-MS

2. Saisissez la commande : omsconfig.

• Pour réhéberger l'hôte (modifier les paramètres IP de l'hôte) :
1. ouvrir un terminal sur l'hôte
2. exécuter le script : setIPAddress.sh présent à /usr/bin/
• Pour réhéberger la passerelle Rainbow WebRTC :
1. Ouvrez un terminal sur la machine virtuelle de la passerelle Rainbow WebRTC
mpnetwork --IP=<nouvelle adresse IP> --NETMASK=<nouveau masque de
réseau> --Gateway=<nouvelle passerelle>
11.9.9 Mise à jour du système d'exploitation SLES

Le système d'exploitation SLES peut être mis à jour à partir du serveur hôte ou du réseau à l'aide de
S.O.T. (voir : Mise à jour du système d'exploitation du produit (bootDVD uniquement) à la page 413).
11.9.10 Mise à niveau de l'OmniPCX Enterprise et de l'OXE-MS

Pour mettre à niveau l'OmniPCX Enterprise (version, correctif, etc.), utilisation le serveur d'installation
de la même manière que pour un OmniPCX Enterprise normal (voir : Procédures d'installation du
logiciel à la page 116).
L'OXE-MS est automatiquement mis à jour lorsque l'OmniPCX Enterprise est mis à niveau.
11.9.11 Ajout de la passerelle Rainbow WebRTC au Generic Appliance Server

Si elle n'a pas été sélectionnée lors de l'installation du Generic Appliance Server, la passerelle
Rainbow WebRTC peut être installée ultérieurement sur le Generic Appliance Server, à l'aide du fichier
webrtc.bin fourni avec le progiciel Generic Appliance Server.
L'installation de la passerelle Rainbow WebRTC se compose des éléments suivants :
• Pré-installation de la passerelle Rainbow WebRTC à la page 337
• Post-installation de la passerelle Rainbow WebRTC à la page 338
Les deux opérations peuvent être réalisées soit à partir de l'interface utilisateur graphique (GUI), soit
de la console en mode silencieux.
11.9.11.1 Pré-installation de la passerelle Rainbow WebRTC

Pour réaliser la pré-installation :
1. Ouvrez une session sur la console du serveur en tant que root et copiez le fichier webrtc.bin
dans un répertoire du serveur
2. Trouvez le fichier webrtc.bin et accordez des droits exécutables sur ce fichier à l'aide de la
commande :
#./chmod +x webrtc.bin
3. Pour une pré-installation silencieuse, exécutez la commande :
#./webrtc.bin -i Silent
Lors de l'installation, les fichiers de la passerelle Rainbow WebRTC sont extraits et copiés sur le
serveur.
Le message d'état de l'installation (PRE INSTALLATION STATUS: SUCCESS/FAILED) s'affiche à
l'écran à la fin de la pré-installation silencieuse. Vous pouvez également contrôler l'état de la pré-
installation à partir du fichier /etc/webrtc_preinstall.inf.
4. Pour une pré-installation via l'interface graphique, effectuez les opérations suivantes :

#./webrtc.bin
L'assistant d'installation du logiciel démarre et la page d'accueil s'affiche.
L'assistant d'installation vérifie la configuration du serveur. Un message d'erreur s'affiche si une
passerelle Web RTC est déjà disponible ou si une machine virtuelle OXE n'est pas disponible.
La page Pre-Installation Summary apparaît.
Cette page fournit des détails sur le composant à installer (passerelle WebRTC), la taille du
disque dur et le temps prévu pour l'installation.
3. Si la configuration de la passerelle WebRTC est correcte, cliquez sur Install
La pré-installation démarre. Une barre de progression vous permet de suivre la pré-installation.
Attention :
Une fois lancée, la pré-installation ne peut plus être arrêtée.
Lors de la pré-installation, les fichiers de la passerelle Rainbow WebRTC sont extraits et copiés
sur le serveur.
À la fin du processus, la page Install Complete s'affiche.
4. Cliquez sur Done pour quitter l'assistant.
11.9.11.2 Post-installation de la passerelle Rainbow WebRTC
11.9.11.2.1 Post-installation silencieuse de la passerelle Rainbow WebRTC

Prérequis : les fichiers binaires de post-installation doivent être copiés sur un annuaire du serveur et la
pré-installation effectuée (voir : Pré-installation de la passerelle Rainbow WebRTC à la page 337).
Pour effectuer la post-installation de la passerelle Rainbow WebRTC :
1. Complétez les paramètres de la passerelle Rainbow WebRTC dans le fichier de configuration
suivant :
/home/OmniPCXEnterpriseSoftwareServer/Installation_Folders/scripts/
PostInstall.cfg
Exemple de paramètres de la passerelle Rainbow WebRTC dans le fichier PostInstall.cfg :
……
//WebRTC Gateway configuration details
INSTALL_WEBRTC_GW=1
IP=10.2.3.4
NETMASK=255.255.255.0
GATEWAY=10.2.3.254
HOSTNAME=rainbow-mpgw
HOSTDOMAIN=mycompany.com
DNS=10.2.3.253
NTP=10.2.3.253
PROXY=http://10.2.3.252:8000/
MPROXY=tcp
TURN_SERVER=turn-eu1.openrainbow.com
PBXID=PBXa1b1-2wxy-3c3d-6789-4e4f-g556-7h89-10i9
PBX_DOMAIN=172.19.106.210
RAINBOW_DOMAIN=openrainbow.com
RAINBOW_HOST=openrainbow.com
SSH=true
Pour plus de détails sur les paramètres de la passerelle Rainbow WebRTC, voir : Post-installation
en mode silencieux à la page 307.
commande :

#./oxeswsposinst.bin -i Silent –f /home/OmniPCXEnterpriseSoftwareServer/
Installation_Folders/scripts/PostInstall.cfg
Le message d'état de l'installation s'affiche à l'écran à la fin de la post-installation silencieuse. Vous
pouvez également contrôler l'état de la post-installation à partir du fichier /etc/
sws_postinstall.inf.
Note :
Pour plus d'informations sur la passerelle Rainbow WebRTC, ouvrez un navigateur web et entrez l'URL suivante :
Rainbow Help Center.
11.9.11.2.2 Post-installation de la passerelle Rainbow WebRTC via une interface graphique

commande :
#./oxeswsposinst.bin
L'assistant de post-installation démarre et la page d'accueil s'affiche.
L'écran de configuration de la passerelle Rainbow WebRTC s'affiche
4. Dans la page WebRTC GW configuration, complétez les champs suivants :
Champ Value
Network configuration
IP address Saisissez l'adresse IP de la passerelle Rainbow WebRTC
Netmask Saisissez le masque de réseau.
Gateway address Saisissez l'adresse IP de la passerelle par défaut.
Hostname Saisissez le nom d'hôte de la passerelle Rainbow WebRTC
Hostdomain Saisissez le nom de domaine de la passerelle Rainbow WebRTC
DNS Saisissez l'adresse IP du serveur DNS utilisé par la passerelle Rainbow
NTP Saisissez l'adresse IP du serveur NTP utilisé par la passerelle Rainbow
PROXY Saisissez l'adresse du proxy utilisé par la passerelle Rainbow WebRTC
pour la communication (par exemple : http://10.2.3.252:8080/)
TURN SERVER Saisissez l'adresse du serveur TURN utilisé par la passerelle Rainbow
WebRTC pour le relais du flux multimédia (par exemple : turn-
Gateway configuration
PBXID Saisissez l'identifiant unique de votre OmniPCX Enterprise dans

Champ Value
PBX_DOMAIN Saisissez l'adresse IP de l'OmniPCX Enterprise (ou le nom de domaine
complet ou FQDN de l'OmniPCX Enterprise en cas de redondance
spatiale)
RAINBOW_DOMAIN Saisissez le nom de domaine de l'infrastructure Rainbow Cloud Le nom de
domaine Rainbow est initialisé sur openrainbow.com. Le nom de domaine
Rainbow est initialisé sur openrainbow.com. Il s'agit de la valeur par
défaut
RAINBOW_HOST Saisissez le nom d'hôte de l'infrastructure Rainbow Cloud
MPROXY Si un proxy a été déclaré dans le champ PROXY, utilisez le menu déroulant
pour sélectionner le protocole (tcp ou tls) utilisé pour les flux multimédia
échangés via le proxy
Enable SSH Si nécessaire, cochez la case pour permettre la connexion à la passerelle
Rainbow WebRTC via SSH
Attention :
optionnels (OXE-MS et/ou de la passerelle Rainbow WebRTC). Pour plus de détails sur les exigences
matérielles minimales (voir : Vérification du matériel, des fichiers ISO et des licences à la page 298).
Figure 11.28 : Exemple de page de configuration de la passerelle Rainbow WebRTC
5. Cliquez plusieurs fois sur Next jusqu'à ce que la page Post-installation Summary s'affiche
avec tous les réglages définis

Figure 11.29 : Page récapitulative de l'assistant de post-installation
6. Si les réglages sont corrects, cliquez sur Install pour démarrer la configuration.
La post-installation démarre. Une barre de progression vous permet de suivre la post-installation.
7. À la fin de la post-installation, vérifiez l'état de l'installation affiché sur la page Install Complete
et cliquez sur Done
11.9.12 Signalement d'un problème

En cas d'échec ou de crash du package du programme d'installation, les incidents sont enregistrés
dans le fichier journal :
/home/OmniPCXEnterpriseSoftwareServer/Logs
11.9.13 Procédure de désinstallation

Utilisez cette procédure pour désinstaller complètement le Generic Appliance Server :
1. ouvrir un terminal sur l'hôte
2. aller dans le dossier :
/home/OmniPCXEnterpriseSoftwareServer/Uninstall
3. pour une exécution silencieuse, exécuter la commande :
#. /oxeswsuninst -i Silent
4. Allez à : home et vérifier que le répertoire Generic Appliance Server a été supprimé
Après la désinstallation du Generic Appliance Server
• Toutes les machines virtuelles et les dossiers/fichiers liés créés durant l'installation sont supprimés.
• Une nouvelle post-installation de Generic Appliance Serverpeut être effectuée en mode silencieux
ou via l'interface graphique

Chapitre
12 Configuration du Communication
server
12.1 Duplication du Communication Server

12.1.1 Introduction
La Duplication du serveur de communication permet d'améliorer la fiabilité du fonctionnement du
système. Ce service implique l'utilisation de deux serveurs Com. Un serveur Com est actif : il joue le
rôle de système "principal". Un serveur Com est actif : il joue le rôle de système "principal". L'autre
serveur est un système de secours. En cas de défaillance du serveur principal, le serveur Com de
secours prend le relai et devient le serveur Com principal.
Le serveur Com de secours est mis à jour en permanance. Il est à chaque instant prêt à jouer le rôle
de serveur principal.
Le service est accessible aux serveurs Com sur cartes CPU (matériel Crystal), cartes CS (matériel
standard), ou aux Generic Appliance Servers.
12.1.2 Description simplifiée

12.1.2.1 Principe
Quelle que soit la plate-forme utilisée (Generic Appliance Server, carte CS ou CPU ACT) le service
rendu par la duplication du Communication Server est identique :
• mise à jour des données de duplication sur Com Server standby,
• détection de la perte du Com Server main et basculement.
La duplication du Com Server permet aussi la maintenance d'un Com Server indépendamment de
l'autre. Les patchs logiciels statiques ou dynamiques peuvent être mis à jour sans interruption du
service téléphonique.
12.1.2.2 Duplication sur hardware commun et Generic Appliance Server

Sur ces deux plates-formes, les Com Servers sont reliés par le réseau IP . Les deux Com Server
peuvent être soit sur le même sous-réseau IP, soit sur des sous-réseaux IP différents (à partir de
R6.1).
Sur hardware commun, les deux Com Servers fonctionnent sur des cartes CS qui doivent être placées
dans des racks différents.
Sur Generic Appliance Server, les deux Com Servers sont hébergés sur des machines virtuelles et
doivent être déployés sur des matériels différents. Les deux matériels comprennent un Communication
Server et un OXE-MS facultatif. De plus,
Danger :
une seule passerelle WebRTC optionnelle peut être déployée dans une configuration redondante : si une
passerelle WebRTC est déjà installée sur un matériel, vous ne pouvez pas installer une deuxième passerelle
WebRTC sur le matériel redondant.

Chapitre 12 Configuration du Communication server
Serveur de communication A Serveur de communication B
Principal Veille
Sous-réseau IP A Sous-réseau IP B
Routeur A Routeur B
Réseau IP
Figure 12.30 : Communication Server sur Generic Appliance Server sur des sous-réseaux IP différents
Pendant la phase de fonctionnement normal :

• Lorsque les données du Com Server main sont mises à jour, les données sont transmises au Com
Server standby via le lien Ethernet.
• Un dialogue de type “keep alive” (voir note) est établi entre les Com Server Main et Standby. La
rupture de ce dialogue indique à la machine standby que le Com Server main n'est pas accessible.
Le Com Server standby devient alors main.
Note :
un dialogue “keep alive” permet la surveillance mutuelle entre deux serveurs Com. Il consiste en l'envoi
permanent de messages entre les deux machines. Chaque échange est contrôlé par une temporisation. Un
Com Server détecte l'arrêt du twin (ou la rupture du réseau) par l'échéance des temporisations de surveillance.
Le Com Server restant service en déduit alors les actions à entreprendre. On notera que cette méthode ne
permet pas de distinguer entre un problème machine et un problème réseau.
Principal Veille
Sous-réseau IP A Mise à jour et Sous-réseau IP B

Dialogue « Keep alive »
Routeur A Routeur B
Réseau IP
Figure 12.31 : Mise à jour et dialogue « keep alive » entre les deux Com Servers
12.1.2.3 Duplication sur hardware Crystal

Sur hardware Crystal, les deux Com Servers fonctionnent sur des cartes CPU qui doivent être placées
dans le même rack.

Serveur Com Serveur Com en

principal veille
Alvéole Crystal à 14 emplacements
Sous-réseau IP
Routeur Réseau IP
Figure 12.32 : Communication Servers sur cartes CPU, dans une alvéole Crystal 14 positions
Pendant la phase de fonctionnement normal :

• Lorsque les données du Com Server main sont mises à jour, les données sont transmises au Com
Server standby via le lien C1 (fond de panier). Les données de duplication (et la signalisation)
peuvent se transmettre via Ethernet pour limiter le trafic sur le lien C1 (carte CPU7-2 et CPU8
uniquement). Une nouvelle option de l'outil de configuration du Com Server permet de sélectionner
le lien de transmission pour les échanges de données de duplication (Ethernet ou C1). Voir :
Sélection du type de liaison pour les transferts de données de duplication à la page 361.
Note :
le Com Server standby redémarre lorsque la liaison Ethernet entre les deux Com Server est interrompu.
Lorsqu'il redémarre, si la liaison Ethernet est toujours rompue, le Com Server standby redémarre à nouveau
après avoir vérifié quel est son rôle.
• Le Com Server standby vérifie les signaux de l'horloge du Com Server main. La disparition de ces
signaux d'horloge indique l'arrêt du Main. Le Com Server standby devient alors main.

Premier cas :
Surveillance et mise à
Serveur Com
jour sur liaison C1
principal Serveur Com en veille
Alvéole Crystal 14 emplacements
Sous-réseau IP
Second cas :
Surveillance sur
Serveur Com
liaison C1
principal Serveur Com en veille
Alvéole Crystal à 14
emplacements
Sous-réseau IP Mise à jour sur

liaison Ethernet
Figure 12.33 : Surveillance et mise à jour entre les deux Com Servers
12.1.3 Description détaillée

12.1.3.1 Démarrage
Au démarrage, un Com Server teste la présence d'un Com Server twin. Sur hardware commun et
Generic Appliance Server, il envoie un message sur IP. Sur hardware Crystal, il effectue un test pour
vérifier la présence d'horloges. Plusieurs cas se présentent :
• Le Com Server n'est pas présent : le Com Server est donc seul ; il prend le rôle Main.
Attention :
Si le Com Server ne peut pas atteindre la Media Gateway de référence (rack non connecté ou Media
Gateway de référence non déclarée), le Com Server soupçonne la présence d'un "double main" (voir
Cas particulier du double Main (hardware commun et Generic Appliance Server uniquement) à la page
347 pour la définition de "double main").
Comme la Media Gateway de référence ne peut pas être atteinte, la gestion est bloquée. Dans ce cas, le
gestionnaire peut forcer la gestion (voir Configuration forcée à la page 361). Cette commande de
forçage ne doit être effectuée qu'après avoir vérifié que le deuxième Com Server est bien à l'arrêt.
• Le Com Server twin est présent, il a le rôle Main : le Com Server devient standby.
• Les deux Com Server apparaissent simultanément sur le réseau et chaque Com Server sélectionne
son rôle :
• Sur hardware commun et Generic Appliance Server, le Com Server déclaré dans le paramètre
Preferred CS @IP (redondance) prend le rôle main (voir Configuration du serveur de
communication principal de préférence à la page 360). Si ce paramètre n'est pas renseigné,
c'est le Com Server ayant l'adresse IP la plus élevée qui devient Main.

• Sur hardware Crystal, le Com Server qui démarre le premier prend la position main et fournit
l'horloge.
12.1.3.2 Duplication des données

Le Com Server main établit une liaison IP avec le Com Server stand-by, toutes les Media Gateway, et
tous les téléphones IP sur le réseau IP.
Des messages de redondance sont échangés entre les Com Server main et stand-by, de telle sorte
que dès qu'un Com Server stand-by est en service, sa base de données est mise à jour en temps réel.
Les données suivantes sont dupliquées sur le Com Server stand-by :
• MAO (base de données téléphone),
• l'observation de trafic,
• Enregistrements de taxation
• données CCD (Call Center Distribution)
• données LINUX gérées via swinst.
Note :
Les données LINUX gérées via netadmin ne sont pas dupliquées (une mise à jour manuel doit être faite).
• Messages MMS (Mini message system)
• Informations des noeuds avoisinants (mécanisme de diffusion)
• Fichiers ACTIS
12.1.3.3 Cohérence de la base de données

La base de données du Com Server stand-by est mise à jour en temps réel, chaque modification de la
base de données du Com Server Main est reportée immédiatement sur le Com Server stand-by. Ainsi,
le Com Server stand-by est capable de prendre à tout moment le contrôle du système.
Pendant la période durant laquelle le Com Server stand-by est injoignable, le Communication Server
main peut stocker l'historique des commandes MAO (utilisées pour mettre à jour sa base de données).
MAO est le processus de configuration de la base de données d'un Com Server.
Le Com Server main stocke les commandes MAO pendant une durée limitée (120 minutes maximum).
Cette durée de stockage peut être configurée (voir Configuration de la durée limite de stockage à la
page 362). Si la durée de stockage est définie sur la valeur 0, les commandes MAO ne sont pas
stockées lorsque le Com Server stand-by est injoignable.
Lorsque le Com Server stand-by est injoignable, deux situations peuvent se produire en fonction de la
durée de stockage :
• Si le Com Server stand-by devient opérationnel avant l'expiration de la durée de stockage, le Com
Server main envoie des commandes MAO au Com Server stand-by. Le Com Server stand-by met à
jour sa base de données et le Com Server main arrête de stocker les commandes MAO. Les deux
bases de données sont alors cohérentes.
Les commandes MAO sont envoyées au Com Server stand-by avant les mises à jour de téléphonie
(en service, hors service, en communication, etc.). Lorsque les données sont mises à jour sur le
Com Server stand-by, la base de données du Com Server main peut être modifiée.
Note :
Dans la mesure où le Com Server main commence la mise à jour téléphonique après avoir envoyé les
commandes MAO au Com Server stand-by, la mise à jour du Com Server stand-by prend un certain temps.
• Si le Com Server stand-by reste injoignable après l'expiration de la durée de stockage, le Com
Server main arrête de stocker les commandes MAO. Les commandes MAO déjà stockées sont
supprimées et un incident (440) est déclenché.

Lorsque le Com Server stand-by devient joignable, il faut rétablir la cohérence des deux bases de
données via une opération de clonage de base de données (voir Assurer la cohérence des bases
de données par une opération de clonage à la page 362).
Les informations gérées par les commandes MAO sont les suivantes :
• Connexion/déconnexion de l'agent (Alcatel-Lucent OmniTouch Contact Center - Standard Edition)
• Configuration des paramètres définis (code secret, langue, nom d'utilisateur, touches, etc.). Cela
s'applique aux postes numériques et sans fil
• État du poste (mise en service ou hors service)
• Service inter phonie
• Application Hôtel/Hôpital
• Configuration des paramètres opérateur (et groupes opérateur)
• Configuration des paramètres d'entité
• Configuration des CDT (Call Distribution Tables)
Notes :
• Les informations sur le stockage des commandes MAO sont enregistrées dans un fichier journal iplink.log
(voir : Fichier journal lié au stockage des commandes MAO à la page 367).
• Le Com Server main ne stocke pas les commandes MAO en mode autonome.
• Cette fonction est uniquement disponible pour les Com Servers sur cartes CS-2/CS-3 (matériel commun),
serveurs Generic Appliance Server et Blade Centers.
12.1.3.4 Cas particulier du double Main (hardware commun et Generic Appliance Server
uniquement)
Il est possible que le dialogue “keep alive” soit interrompu pour un problème réseau comme le montre
la figure ci dessous :
Principal Principal
Serveur Com A Serveur Com B
Réseau IP
Routeur 1 Routeur 2
Référence Media Gateway 2 Media Gateway 3

Media Gateway 1
Figure 12.34 : Cas de panne du réseau IP
Les Com Servers ne peuvent plus dialoguer, par contre chacun peut accéder à certaines Media
Gateway. Les deux Com Server se croient seuls et prennent tous les deux le rôle Main.
Les communications sont possibles à partir de chacune des Media Gateway (dans la mesure des
capacités du réseau IP défaillant).

Une Media Gateway dite "Media Gateway de référence" peut être configurée (voir : Définition de la
Media Gateway de référence à la page 361). Cette machine unique n'a rien de particulier si ce n'est
qu'elle permet de résoudre les conflits dus à ce cas particulier.
Les commandes de gestion ne sont possibles que sur le Com Server qui peut joindre la Media
Gateway de référence. Cette restriction évite les conflits de mise à jour lors du retour à la normale. Un
forçage est possible pour sortir de situations bloquées. De même les tickets de taxation sont perdus
sur le Com Server qui ne peut pas joindre la Media Gateway de référence.
Au retour à la normale (le dialogue "keep alive" est rétabli), une négociation intervient entre les Com
Servers pour définir le rôle de chaque Com Server.
La sélection du Com Server main s'effectue tel que suit :
1. Si une Media Gateway de référence a été configurée, le Com Server qui a joint la Media Gateway
de référence conserve le rôle main.
2. Si aucune Media Gateway de référence n'a été configurée, l'interrogation du Com Server main
s'applique à l'adresse IP du Com Server de préférence (voir : Configuration du serveur de
communication principal de préférence à la page 360). Le Com Server déclaré comme Com Server
de préférence conserve le rôle main.
3. Si aucune Media Gateway de référence et aucune adresse IP de Com Server de préférence n'ont
été configurées, le Com Server présentant le plus grand nombre de liaisons avec la carte GD (ou
INTIP-B) conserve le rôle main.
4. Lorsque les deux Com Server ont le même nombre de liaisons, le Com Server ayant l'adresse IP la
plus élevée a le rôle main.
L'autre Com Server et ses périphériques associés (cartes, téléphones IP, etc.) sont réinitialisés. Les
appels en cours pour ce Com Server sont interrompus. Après réinitialisation, la fonction de duplication
est activée. Deux situations peuvent se produire lorsque ce Com Server se réinitialise :
• Si aucune commande MAO n'est envoyée à ce Com Server avant qu'il ne se réinitialise, les
commandes MAO stockées dans le Com Server main ne sont pas supprimées. Une fois réinitialisé,
le Com Server prend le rôle stand-by et met à jour sa base de données avec les commandes MAO
envoyées par le Com Server main. Pour de plus amples informations, voir : Cohérence de la base
de données à la page 346.
• Si des commandes MAO sont envoyées à ce Com Server avant qu'il ne se réinitialise, les
commandes MAO stockées sur les deux Com Server sont supprimées et une alarme (439) est
déclenchée. Après la réinitialisation, une mise à jour manuelle des deux Com Server est requise
(voir Assurer la cohérence des bases de données par une opération de clonage à la page 362)
12.1.3.5 Adressage par rôle,

L'adressage par rôle est utilisé lorsque des demandes de connexion sont envoyées au système par
certaines applications (par exemple : OmniVista 8770), par des postes IP ou pour l'établissement de
liaison (par exemple : artère hybride avec signalisation sur IP). Les requêtes de connexion sont
envoyées aux adresses IP main des Com Server main et stand-by. Seul le Com Server actuellement
en position main répond à son adresse main.
Chaque Com Server a 2 adresses IP :
• une adresse IP locale (c'est l'adresse physique du Com Server),
• une adresse IP principale : le Com Server ne répond qu'à cette adresse lorsqu'il a le rôle « main ».
Lorsque les deux Com Server sont sur le même sous-réseau IP, une même adresse IP main peut être
utilisée pour les deux Com Servers. Lorsque les deux Com Servers sont sur des sous-réseaux
différents, chaque Com Server est identifié par sa propre adresse IP main.

12.1.4 Transfert
Un basculement se produit dans les cas suivants :
• Sur hardware commun et Generic Appliance Server, lorsque l'activité du Com Server main est
interrompue, par exemple en raison d'une coupure de courant ou d'un problème réseau, et que le
Communication Server main s'arrête. Le dialogue « keep alive » entre les Communication Server
est interrompu et le Communication Server stand-by ne reçoit plus de messages du Com Server
main. Après temporisation, le Com Server stand-by devient main.
Note :
La temporisation peut être vérifiée dans l'administration système, mais sa valeur ne peut PAS être modifiée.
Note :
Lorsque le dialogue "keep alive" est interrompu en raison d'un problème réseau, on peut être en présence
d'une situation "double main".
• Sur du hardware Crystal, lorsqu'il y a une interruption dans le signal d'horloge transmis par le Com
Server main. Cette interruption informe le Com Server stand-by qu'il doit prendre le rôle main.
• Un Com Server qui est arrêté volontairement pour maintenance (commande shutdown ou
bascul) envoie un message "Release" au Com Server Stand-by. Le Com Server stand-by prend
immédiatement le rôle Main.
Note :
Un arrêt sur le Com Server stand-by ne provoque pas de basculement.
Pendant un basculement, l'ancien Com Server stand-by devient le Com Server main sans
redémarrage. Il doit établir une liaison IP avec tous les périphériques IP.
L'application de basculement maintient continuellement les adresses IP de tous les périphériques IP.
Lorsqu'un basculement se produit, l'application téléphonique envoie un seul message à l'application de
basculement pour démarrer le rétablissement des liaisons IP.
Comportements système pendant un basculement :
• Les appels internes en cours sont maintenus.
• Les communications établies sur des artères classiques (de type T2) sont conservées.
• Les communications établies sur des artères hybrides peuvent être conservées, en fonction du type
de l'artère hybride et de la configuration : voir Communications sur des liaisons logiques hybrides à
la page 350
• Les communications établies externes (tous types de signalisation : analogique, T0, T2, ABC, PCM,
etc.) sont maintenues.
• Les communications en cours d'établissement sont libérées.
• Les appels en cours avec des opératrices, une opératrice automatique, un IVR, la messagerie
vocale et le mode nomade sont libérés. S'il s'agit de communications extérieures, les appels sont
redistribués.
• Une conférence à 3 devient une simple communication entre l'initiateur de la conférence et le
participant qui n'était pas en conversation avant la conférence. Le troisième participant est libéré
• Les appels externes en attente sont transférés à l'opératrice (ou aux opératrices).
• Les appels internes et réseau en attente sont libérés.
• Il n'y a pas de pertes de justificatifs de taxation
• Sur hardware Crystal, les liaisons directes sur les ports V24 sont maintenues ("ou câblé''). Sur
hardware commun et Generic Appliance Server avec boîtiers Moxa, les connexions V24 sont
perdues et rétablies après temporisation
• Les nouvelles communications ne peuvent être établies qu'après le recalcul des routes X25. Cette
opération prend environ 30 secondes

12.1.4.1 Communications sur des liaisons logiques hybrides

Il arrive dans certaines conditions (voir Conditions à la page 350) que les communications sur des
liaisons logiques hybrides puissent être maintenant après le basculement d'un Com Server.
Cependant, tant que la liaison hybride est interrompue pour les utilisateurs prenant part aux
communications sur cette liaison hybride, les actions sont « gelées ». Autrement dit, la communication
vocale est maintenue, mais les fonctions et actions téléphoniques ne sont normalement pas
disponibles : voir État gelé à la page 352.
Lorsque la liaison hybride est rétablie, les utilisateurs reviennent à un état standard dans lequel toutes
les fonctions et actions téléphoniques sont de nouveau disponibles.
12.1.4.1.1 Conditions
Une communication sur une liaison logique hybride est maintenue après le basculement d'un Com
Server, si les conditions suivantes sont remplies :
• L'option système Hybrid Link Switchover doit être activée sur le nœud sur lequel se produit le
basculement
• L'option système Hybrid Link Switchover est activée sur le nœud relié par une artère hybride vers
le noeud sur lequel se produit le basculement
• L'option système Hybrid Link Switchover est activée sur les noeuds d'extrémité (nœuds sur
lesquels se trouvent les utilisateurs ou les joncteurs prenant part à la communication)
• L'option Phone Features COS (Catégories d'exploit. tél.) des utilisateurs concernés doit permettre
l'activation de Hybrid link comm. saved if switchover
• La communication n'est pas en QSIG-GF
• La liaison logique hybride remplit les conditions détaillées : Liaisons logiques hybrides pour
lesquelles les communications sont maintenues à la page 350
• Les terminaux impliqués les communications peuvent avoir l'un des types suivants :
• TDM, IP, DECT, postes analogiques
• Extensions distantes
• de postes SIP
• Postes DECT fonctionnant avec les stations de base IP DECT
• Postes Hôtel
• Réseaux publics
12.1.4.1.2 Liaisons logiques hybrides pour lesquelles les communications sont maintenues
Les liaisons logiques hybrides pour lesquelles les communications peuvent être maintenues après un
basculement sont les suivantes :
• Liaisons logiques hybrides avec l'un des types de signalisation suivants (en mode d'accès principal
et/ou de secours):
• signalisation sur IP
• signalisation sur canal B
• signalisation dans un canal D
• Liaisons logiques hybrides sans signalisation et pointant vers un accès possédant l'un des types de
signalisation suivants :
• signalisation sur IP
• signalisation sur canal B
• signalisation dans un canal D
8 pour plus d'informations sur le canal de signalisation de secours, voir la rubrique Signalisation de
secours dans les artères hybrides du document 8AL91049FRAA

• Liaisons logiques hybrides en mode d'établissement permanent (louées mais pas commutées)
Note :
Les communications sont maintenues selon le même principe :
• Établies en mode d'accès principal et/ou de secours au moment du basculement
• Lorsqu'un débordement VPN (H.323, RNIS ou analogique) est utilisé
Les tableaux suivants montrent des exemples de liaisons logiques hybrides pour les communications
qui sont maintenues pendant un basculement :
• Les deux premiers tableaux montrent une liaison logique hybride avec plusieurs accès
• La troisième table montre les liaisons logiques hybrides vers trois nœuds différents, ne proposant
chacun qu'un seul accès
tableau 12.1 : Premier exemple de liaison logique hybride avec plusieurs accès
Liaison hybride avec plusieurs accès

Établissement du signal : permanent
Numéro d'accès 1 2 3
Type de signalisation IP Sans signalisation Sans signalisation
No. accès fournis pour sig 1 1
princip
Avec signalisation de secours Non Non Non
tableau 12.2 : Deuxième exemple de liaison logique hybride avec plusieurs accès

Établissement du signal : permanent
Type de signalisation IP canal D IP
Avec signalisation de Oui Oui Non
secours
Type signalisation de canal B IP
secours
tableau 12.3 : Exemple de trois liaisons logiques hybrides avec un seul accès
Artère hybride Première liaison hybride Deuxième liaison Troisième liaison

hybride hybride
Établissement du si-
gnal : permanent
Type de signalisation IP canal B canal D
Avec signalisation de Non Non Oui
secours
Type signalisation de IP
secours

12.1.4.1.3 Liaisons logiques hybrides pour lesquelles les communications sont libérées
Les liaisons logiques hybrides pour lesquelles les communications ne peuvent pas être maintenues
après un basculement incluent les suivantes :
• Liaisons logiques hybrides avec l'un des types de signalisation suivants sur l'un des accès (principal
ou de secours)
• QSIG - GF
• X25
• Liaisons locales hybrides
Les tableaux suivants montrent des exemples de liaisons logiques hybrides pour les communications
qui sont libérées après un basculement :
tableau 12.4 : Exemple de liaison logique hybride avec plusieurs accès, où les types de signalisation
X25 et QSIG-GF sont utilisés

Établissement du signal : à la demande
Numéro d'accès 1 2 3 4
Type de IP canal B QSIG - GF canal B
signalisation
Avec signalisation Non Non Non Oui
de secours
Type signalisation X25
de secours
tableau 12.5 : Exemple de liaison logique hybride avec plusieurs accès, où le type de signalisation X25
est utilisé

Établissement du signal : à la demande
Type de signalisation IP canal B X25
Avec signalisation de Non Oui Oui
secours
Type signalisation de IP Sans signalisation
secours
No. accès fournis pour 1
sig de secours
12.1.4.1.4 État gelé

Lorsque la liaison logique hybride est arrêtée, les communications qui l'utilisaient passent à l'état
« gelé » : les communications vocales sont maintenues et les utilisateurs peuvent libérer les
communications, mais l'ensemble des actions disponibles est très limitée.
La situation revient à la normale lorsque le fonctionnement de la liaison logique hybride est rétabli sur
le nouveau Com Server principal (de 40 s à 60 s environ).

Si la liaison logique hybride n'est pas rétablie avant la fin de la temporisation « état gelé » (3 minutes
par défaut), les communications concernées sont automatiquement libérées.
Le tableau suivant indique :
• La liste des combinés et des joncteurs qui peuvent passer à l'« état gelé »
• Les actions disponibles et les actions non disponibles sur les combinés
• Les actions des participants distants qui sont acceptées ou refusées
Type de Actions Actions non Actions Actions non

terminaux disponibles sur disponibles sur les acceptées acceptées
les combinés combinés depuis le depuis le
participant participant
distant distant
Postes Raccrochage Double appel, émis- Libération Évolution de
sion DTMF, transfert, d’appel l'appel
Fonctions audio :
conférence, enregis-
• Passage entre trement, mise en at-
le mode Mains- tente de l'appel, repri-
libres et le se de garde, identifi-
combiné cation des appels
• Activation/ malveillants…
désactivation Sur le nœud terminal,
du mode consultation d’appel
Silence en attente, reprise de
• Réglage du garde, consultation
niveau du haut- des appels supervi-
parleur sés
Pression sur la
touche de libéra-
tion
Poste SIP Raccrochage Évolution de l'appel BYE Évolution de

l'appelNote de
Pression sur la bas de page.
touche de libéra-
tion
Terminal SIP BYE Évolution de

l'appelNote de
bas de page.
Joncteur SIP (ABC BYE Évolution de
ou RNIS) l'appelNote de
bas de page.
Joncteur RNIS Libération d’ap-

pel
Joncteur H323
Indication de
Joncteur DASS2
coût
9 Toutes les touches semblent disponibles comme elles le seraient dans une situation normale. Lorsque
vous appuyez sur une touche, un combiné IP ou TDM indique que le service n'est pas disponible.
10 RE-INVITE, REFER, UPDATE, INFO sont rejeté avec le message 403 Interdit.

Type de Actions Actions non Actions Actions non

terminaux disponibles sur disponibles sur les acceptées acceptées
les combinés combinés depuis le depuis le
participant participant
distant distant
Joncteur DPNSS Libération d’ap-
pel
Indication de
coûtNote de bas
de page.
Joncteur Libération d’ap-

analogique pel
Indication de
coûtNote de bas
de page.
Un poste « gelé » n'est pas joignable et il est vu comme étant en panne. S'il est supervisé, il est vue
comme étant occupé.
Un poste qui essaie de joindre un poste « gelé » affiche le message out of service.
Lorsqu'un utilisateur essaie d'effectuer une action qui n'est pas disponible sur un poste « gelé », ce
poste « gelé » affiche le message non available service.
12.1.5 Procédure d'installation

12.1.5.1 Hardware commun et Generic Appliance Server
Les deux Communication Servers doivent :
• pouvoir joindre chaque Media Gateway et chaque IP-Phone via IP,
• être installés sur des plates-formes identiques (Generic Appliance Server ou Carte CS).
• être dans la même version logicielle.
Pour garantir le maximum de fiabilité, l'installateur doit s'assurer :
• que les deux cartes CS ne sont pas dans le même coffret ni dans le même coffret qu'une Media
Gateway (sécurité par rapport à l'alimentation secteur),
• que la carte CS n'est pas dans un coffret extension (sécurité par rapport à l'alimentation secteur),
• Lorsque les deux Communication Servers sont sur le même sous-réseau IP : ne pas séparer les
deux Communication Servers par une liaison inter-switch non sécurisée (1) (sécurité vis à vis du
réseau).
• Lorsque les deux Communication Servers sont sur le même sous-réseau IP : mettre en oeuvre une
configuration (2) (telle que présentée dans la figure suivante), chaque fois que possible. Cette
configuration permet d'éviter les situations de double Main.
11 L'indication de coût est prise en compte à des fins de comptabilité mais elle n'est pas affichée sur le
poste.

Call Server Call Server Call Server Call Server

LAN
Switch Switch LAN Switch
1 Lien de secours obligatoire 2
Figure 12.35 : Emplacement des serveurs de communication
12.1.5.2 Hardware Crystal
12.1.5.2.1 Généralités
Les deux Communication Servers doivent :
• être installés sur des cartes CPU identiques,
• être dans la même version logicielle.
La duplication de serveur de communication est possible dans :
• sur les meubles M2, M3 et MI :
• sur rack Crystal, 14 positions, la CPU maître est en position 6, la CPU esclave est en position
10.
• sur rack Crystal, 28 positions, la CPU maître est en position 20, la CPU esclave est en position
6.
Note :
Pour plus d'informations sur la connexion des cartes CPU, voir le document 8AL91028FRBA.
• les meubles WM1. La CPU maître est en position 1, la CPU esclave en position 7. Le raccordement
des cartes CPU est identique au raccordement des cartes CPU des meubles M2/M3. Les boîtiers
CBRMA ou BRMA sont utilisés.
Le coffret VH n'est pas compatible avec la duplication CPU.
12.1.5.2.2 Communication entre Communication Servers

La surveillance des signaux d'horloge entre les deux Communication Servers se fait sur liaison interne
C1.
En fonction de la configuration du Communication Server, l'échange des données de duplication se fait
soit sur liaison interne C1, soit sur liaison Ethernet. Cette liaison Ethernet peut être :
• un lien Ethernet embarqué.
Dans cette configuration, un et un seul Communication Server (main ou stand-by) doit être
connecté à un switch externe. Ce lien Ethernet embarqué se connecte au deuxième
Communication Server.

Alvéole Crystal 14 positions
Switch
Lien Ethernet embarqué

entre les deux Com Server
Lien Ethernet vers Com Server

(main ou stand-by)
Note :
Il est recommandé d'utiliser ce lien embarqué pour faire des échanges de données de duplication (plus
sécurisés).
• un lien Ethernet externe.
Dans cette configuration, les deux Comunication Servers sont connectés au même commutateur
externe. Le lien Ethernet embarqué doit être désactivé entre les deux Communication Servers (pour
éviter les bouclages de trame).
Alvéole Crystal 14 positions
Switch
Lien Ethernet embarqué

Désactivé
Lien Ethernet vers Com
Server stand-by
Lien Ethernet vers

Com Server main
La désactivation de la fonction Ethernet se fait en déplaçant les cavaliers des cartes CPU, comme
montré ci-dessous :

Carte CPU Cavalier Position dés- Pour plus de détails :

activée
CPU5 step 3 XB01
(ajouter un ca-
valier)
CPU6 X900
CPU7-2 XF03 Voir la rubrique CPU7-2 du document

8AL91028FRBA
12.1.5.2.3 Communication avec les applications via V24

Le raccordement sur port V24 est effectué en ''ou câblé” sur les port CPU “C” ou “D”. Le périphérique
est raccordé simultanément sur les ports V24 des deux unités centrales. Seule la liaison avec la CPU
active est effective. Lors du basculement de la CPU active vers la 2ème CPU, l'autre liaison V24
devient effective.
bus B bus B
CP IO CP IO
U 2 U 2
Main Main Stand-by Stand-by
2 V24 (COM A et B) 2 V24 (COM A et B)

2 V24
COM C et D
''ou" câblé
Figure 12.36 : Accès V24 en mode « ou câblé » en configuration CPU dupliquée
Les ports A et B ne sont pas en “ou câblé''. Ils sont généralement réservés pour la télémaintenance via
modem ou pour la console système.
12.1.6 Procédure de configuration

12.1.6.1 Vérification des verrous logiciels
Le verrou logiciel 186 E–CS redundancy (positionné à 1) est nécessaire pour faire fonctionner la
duplication du Com Server. En l'absence de ce verrou, le Com Server stand-by reste à l'état
« UNDEFINED » et aucune duplication de données n'est possible.
Visualisation de l'état verrou avec l'outil spadmin :

186 E-CS redundancy = True (1)
12.1.6.2 Configuration des adresses IP sur les serveurs de communication
12.1.6.2.1 Définition du serveur de communication twin

1. Exécuter la commande netadmin -m
2. Sélectionner :4. 'CPU redundancy'
Les attributs suivants apparaissent :
• Option 1. 'View' : pour visualiser les paramètres du Com Server twin avec :
• sur la première ligne : le nom, l'adresse IP et le masque de sous-réseau ;
• sur la deuxième ligne : le nom et l'adresse IP utilisés lorsque le Com Server a le rôle
« main ».
Exemple :
Netmask : 255.255.255.0
===============================================================
| Machine type | Local interface | Name | Address |
===============================================================
| twin | Ethernet | xb000000 | 197.158.4.21 |
| local main | Ethernet | xmb000000 | 10.253.8.2 |
===============================================================
• Option 2. 'Add' : pour ajouter un Com Server twin. Le nom, l'adresse IP et le masque de
sous-réseau sont demandés.
Si le Com Server twin et le Com Server local sont sur des sous-réseaux différents, un message
invite à mettre à jour le (ou les) routeur par défaut, les routes statiques et les trusted hosts. Ce
message s'affiche après que l'adresse du masque de sous-réseau est saisie.
• Option 3. 'Update' : pour modifier le nom et/ou l'adresse IP du Com Server twin. Le nouveau
nom et la nouvelle adresse sont demandés.
Si le Com Server twin et le Com Server local sont sur des sous-réseaux différents, un message
invite à mettre à jour le (ou les) routeur par défaut, les routes statiques et les trusted hosts. Ce
message s'affiche après que l'adresse du masque de sous-réseau est saisie.
• Option 4. 'Delete' : pour supprimer le Com Server twin. Une confirmation est demandée.
3. Après avoir configuré le Com Server twin, sélectionner 0. 'Previous menu'
Note :
Pour plus d'information sur ces options, svoir la section Redondance CPU du document 8AL91011FRBA.
12.1.6.2.2 Définition des adresses IP par rôle

1. Exécuter la commande netadmin -m
2. Sélectionner '5. Role addressing'.
Les attributs suivants apparaissent :
• Option 1. 'View' : pour afficher l'adresse IP main des Com Server local et twin.
Exemple :
===============================================================
| Machine type | Local interface | Name | Address |
===============================================================
| local main | Ethernet | xma000000 | 197.158.4.22 |
| twin main | Ethernet | xmb000000 | 197.253.8.2 |
===============================================================
• Option 2. 'Add' : pour ajouter l'adresse IP main des Com Server local et twin. Les noms et
adresses IP par rôle sont demandés.

• Option 3. 'Update' : pour modifier l'adresse IP main des Com Server local et twin.
• Option 4. 'Delete' : pour supprimer l'adresse IP main des Com Server local et twin. Une
confirmation est demandée.
3. Après avoir configuré les adresses par rôle, sélectionner 0. 'Previous menu'
Attention :
après une configuration des adresses IP par rôle pour les Com Server twin et local, il faut rebooter
complètement pour que ces modifications soient prises en compte.
Note :
Pour plus d'information sur ces options, voir la section netadmin du document [13].
12.1.6.2.3 Définition des adresses IP des routeurs

Lorsque les deux Com Server sont sur des sous-réseaux IP différents, il faut définir les adresses IP
des routeurs pour les Com Server local et twin. Pour plus d'information, voir la section netadmin du
document [13].
12.1.6.3 Paramètres de configuration
12.1.6.3.1 Vérification des paramètres de duplication
12.1.6.3.1.1 Vérification de la taille de la fenêtre

1. Sélectionnez IP > Paramètres de duplication
2. Consulter/modifier l'attribut suivant :
Option système Sélectionnez : Taille Fenêtre.
Taille Fenêtre Valeur de la fenêtre d'acquittement pour les échanges inter Com Ser-
ver.
Vérifiez que la valeur est : 1 (valeur par défaut).
Attention :
cette valeur ne doit pas être modifiée.
12.1.6.3.1.2 Vérification UDP keep-alive

Option système Sélectionnez : UDP Keep Alive.
UDP Keep Alive Entrer la durée de la temporisation de surveillance d'une trame “Keep
Alive”.
Vérifiez que la valeur est : 1s (valeur par défaut).
Attention :
12.1.6.3.1.3 Vérification UDP Lost


Option système Sélectionnez : UDP Lost.
UDP Lost Délai pour la détection de la perte du lien en réception (absence de

trafic ou dialogue "Keep Alive"), en transmission (trame non acquitté
après plusieurs tentatives).
Attention :
12.1.6.3.1.4 Vérification UDP lost reinit

Option système Sélectionnez : UDP Lost Reinit.
UDP Lost Reinit Délai avant que le dialogue inter-Com Server ne soit déclaré inter-
rompu.
Attention :
12.1.6.3.1.5 Vérification MTU

Option système Sélectionnez : MTU.
MTU Taille des trames pour les informations de duplication.

Vérifiez que la valeur est : 1024 (valeur par défaut).E
Attention :
12.1.6.3.2 Configuration du serveur de communication principal de préférence

L'adresse IP du Com Server de préférence est utilisée pour définir le Com Server main dans les cas
suivants :
• Lorsque le dialogue « keep-alive » est rétabli entre deux Com Server main (cas de « double main »)
et qu'aucune Media Gateway de référence n'est spécifiée (voir Définition de la Media Gateway de
référence à la page 361).
• Lorsque les deux Com Server apparaissent simultanément sur le réseau, le Com Server désigné ici
devient main. Si ce paramètre n'est pas configuré, c'est le Com Server ayant l'adresse IP la plus
élevée qui devient main.
1. Sélectionnez IP
2. Examinez/modifiez l'attribut suivant :

@ IP CS Préférentiel (du- Entrez l'adresse IP du Com Server de préférence.

plication)
12.1.6.4 Sélection du type de liaison pour les transferts de données de duplication

Cette opération permet de sélectionner le type de lien (C1 ou Ethernet) pour le transfert des données
de duplication vers le Com Server stand-by.
1. Sélectionnez Alvéole.
2. Sélectionnez l'alvéole n° 0 avec le menu Consultation/Modification.
Mode Signalisation Sélectionnez :

• Ethernet pour une liaison Ethernet.
Attention :
si la redondance IP est mise en oeuvre, ne pas oublier de configurer
les temporisations de redondance IP en conséquence. Les
temporisations de redondance IP et les temporisations de
duplication du Com Server doivent être configurées, de façon que,
s'il y a interruption du dialogue inter-Com Server, le basculement
soit exécuté par la redondance IP. Pour les temporisations de
redondance IP, voir : document [24].
• N64 (ou une autre valeur) pour une liaison C1.
N64 : valeur par défaut.
5. Si la configuration change, effectuez un réamorçage du Com Server stand-by.
6. Lancez l'outil Run the swinst ou la commande mastercopy sur le Com Server stand-by pour
cloner les données (voir Assurer la cohérence des bases de données par une opération de clonage
à la page 362).
12.1.6.5 Définition de la Media Gateway de référence

Dans chaque PCX, il est nécessaire de définir une (et une seule) Media Gateway de référence pour
résoudre les cas de “double Main”.
1. Sélectionnez Média Gateway
Adresse de l'alvéole prin- Entrer le numéro de la Media Gateway de référence.

cipale
Référence Sélectionnez Oui.

12.1.6.6 Configuration forcée

1. Sélectionnez IP

Etat De La duplication Affichage de l'état de la duplication :

• On : la duplication du Com Server est opérationnelle et la gestion
est possible à partir de ce Com Server. Les messages de diffusion
reçus sont dupliqués.
• Off : la duplication n'est pas opérationnelle et la gestion n'est pas
possible à partir de ce Com Server.
Le gestionnaire peut forcer l'état à Opérationnel et ainsi autoriser la
gestion.
Avant de forcer la gestion, il doit s'assurer que son Com Server est
unique. Une gestion différente sur les deux Com Server provoquerait
des incohérences difficilement solubles.
12.1.6.7 Assurer la cohérence des bases de données du serveur de communication
12.1.6.7.1 Configuration de la durée limite de stockage

Option système Sélectionnez : Updates storage time limit.
Updates storage time li- Durée limite (en minutes) au cours de laquelle le Com Server main
mit stocke des commandes MAO (utilisées pour mettre à jour sa base de
données) lorsque le Com Server stand-by n'est pas accessible. Si la
durée de stockage est définie sur la valeur 0, les commandes MAO
ne sont pas stockées lorsque le Com Server stand-by n'est pas ac-
cessible.
Valeur par défaut : 120. Cette valeur est également la valeur maxi-
mum.
12.1.6.7.2 Assurer la cohérence des bases de données par une opération de clonage
L'outil swinst permet la mise en cohérence des Com Server. La rubrique permet la copie des
informations du Com Server twin sur le Com Server local (celui où la commande est lancée). Le
téléphone doit être arrêté sur le Com Server sur lequel on lance la commande cloning.
Le cloning peut aussi être activé par la commande mastercopy.
Chemin : swinst > 2 Expert menu > 3 Cloning & duplication operations > 1 CPU cloning
12.1.6.7.2.1 Clonage des données Linux

Duplication des données Linux vers le Com Server stand-by.
Les informations concernées sont :
• les données entrées via l'outil netadmin,
• les informations de date et heure.
12.1.6.7.2.2 Clonage des bases de données

Duplication de la base de données, les informations concernées sont :

• les informations de gestion (informations entrées par mgr ou un autre outil OmniVista 4760),
• tickets de taxation,
• données CCD,
• données Linux (informations entrées par netadmin),
• données d'observation de trafic,
• fichiers Actis (verrous),
• guides vocaux.
Attention :
Lorsqu'une opération de clonage doit être effectuée, le téléphone doit être arrêté sur le Com Server
concerné.
12.1.6.7.2.3 Postponed cloning databases

Duplication retardée de la base de données. Les opérations de duplication de la base de données
peuvent être longues et interdisent la gestion. La commande Postponed cloning databases permet
de différer l'opération de duplication (pour qu'elle ait lieu la nuit par exemple).
12.1.6.8 Mise en place d'un couple de serveurs de communication dupliqués

1. Procédez à l'installation matérielle des deux Com Server selon les recommandations données dans
le Procédure d'installation à la page 354.
2. installation de la version logicielle appropriée sur les deux Com Server.
3. définition des adresses IP sur les deux machines (outil netadmin),
4. par mesure de sécurité, effectuer un Cloning databases pour être sûr de la cohérence des deux
bases,
5. démarrer le téléphone sur les deux machines,
6. configurer le Com Server main. La duplication des données se fait automatiquement.
12.1.6.9 Ajout d'un serveur de communication de secours

1. Procédez à l'installation matérielle du Com Server dupliqué selon les recommandations données
dans le Procédure d'installation à la page 354.
La version logicielle de ce Com Server doit être identique à celle du Com Server existant.
2. Configurez les adresses IP, si nécessaire (commande netadminet/ou swinst : Cloning Linux
data).
3. Mettez à jour la base de données (outil swinst : Cloning databases).
4. Démarrez le téléphone sur la machine stand-by.
12.1.6.10 Mise à jour d'un patch dynamique ou statique sans interruption de service
Il est possible d'utiliser le Com Server stand-by pour effectuer une mise à niveau du logiciel. Procéder
comme suit :
1. Stoppez l'application téléphonique sur le Com Server stand-by.
2. charger la nouvelle version logicielle sur ce Com Server. Un message informe le gestionnaire d'une
différence de version logicielle entre les Com Server,
3. redémarrer ce Com Server,
4. Mettez à jour les bases de données (outil swinst : Cloning databases).
5. redémarrer le téléphone sur ce Com Server.
6. Basculer sur le serveur de communication (commande bascul).
7. arrêter le téléphone sur le second Com Server,
8. charger la nouvelle version logicielle sur ce second Com Server,
9. redémarrer ce Com Server,
10. Mettez à jour les bases de données (outil swinst : Cloning databases).

11. redémarrer le téléphone sur ce Com Server.

Note :
Ne tentez pas de mettre en position stand-by un Com Server dont la version n'est pas identique à celle du Com
Server main.
Exemple :
Com Server main 5.1.1 et Com Server stand-by 5.1.1 : OK
Com Server main 5.1.2 et Com Server stand-by 5.1.1 : NOK
12.1.6.11 Configuration des communication par artère hybride lors du basculement

L'activation de cette fonction consiste à effectuer les opérations suivantes :
• Activation de la fonction pour un nœud à la page 364
• Activation de la fonction pour un utilisateur à la page 364
12.1.6.11.1 Activation de la fonction pour un nœud

Une option système permet d'activer/désactiver l'enregistrement des communication par artère hybride
lors du basculement du Com Server.
1. Sélectionnez Installation > Autres param.install. >Paramètres Système
Hybrid Link Switchover • True (valeur par défaut) : les communications établies sur une
artère hybride peuvent être maintenues après le basculement
d'un Com Server.
• false : les communications établies sur une artère hybride sont
libérées après le basculement d'un Com Server.
Note :
Cette option système doit être configurée de façon identique sur tous les
nœuds du réseau.
3. Validez.
12.1.6.11.2 Activation de la fonction pour un utilisateur

1. Sélectionnez Catégories > Catégories d'exploit.tél.
2. Renseignez les attributs suivants :
Caractéristiques des pos-

tes
Hybrid link comm. saved 1 (valeur par défaut) : une communication par artère hybride impli-
if switchover quant l'utilisateur peut être maintenue dans le cas d'un basculement.
0 : une communication par artère hybride impliquant l'utilisateur est
libérée dans le cas d'un basculement.
3. Validez.
12.1.6.11.3 Temporisations
1. Sélectionnez Installation > Temporisation

No Temporisation 374
Unités tempo. Durée maximale de duration de l'état gelé. À l'expiration de cette

temporisation, si l'artère hybride n'a pas été rétablie, les communica-
tions à l'état gelé sont libérées.
Valeur par défaut : 1800 (180 secondes).
Réservé au support technique
No Temporisation 376
Unités tempo. Délai au bout duquel les messages sont envoyés (état gelé/état nor-
mal) pour garantir que les deux côtés de la liaison sont prêts pour en-
voyer/recevoir des messages.
Valeur par défaut : 30 (3 secondes).
Réservé au support technique
4. Validez.
12.1.7 Maintenance
12.1.7.1 Commande bascul
Cette commande permet de forcer le changement d'état : pour passer de l'état Main (principal) à l'état
Standby (secours) et vice-versa. Le Server Com principal reboote ; le Server Com standby prend le
rôle de Main.
Note :
le basculement n'est possible que s'il y a duplication effective des Call Server.
12.1.7.2 Commande twin

> twin
Usage : twin [Redundancy Cpu Enable (y/n)]
Role and CPU positions:
Role of the CPU : MAIN
CPU position : 06 (1)

CPU address : 132.169.4.52
Twin CPU position : 10
Twin CPU address : 132.169.5.54
Redundancy State:
Duplicated configuration : YES (2)
Wished sig. transfer mode : C1 signalling channel (3)
Used sig. transfer mode : C1 signalling channel
Transmission CPU-CPU : READY (4)
Telephony redundancy : READY (5)
monitel redundancy : READY (6)
memloader redundancy : READY (7)
All applications redundancy : READY (8)
La commande twin permet d'afficher les informations suivantes :

1. État du Server Com local : Main ou Standby.

Position CPU : position du Server Com dans l'alvéole. Sur hardware commun, les positions CPU
sont virtuelles.
CPU adress : Adresse IP du Server Com.
2. rappel de l'état de la configuration,
3. informations non significatives,
4. état du lien entre Server Com : READY (Prêt) ou KO (Pas prêt).
5. Etat de l'application téléphonique READY ou not ready (pas prêt) (KO) à basculer.
6. Information réservée au support technique.
12.1.7.3 Commande role

Cette commande permet de connaître l'état (Main/Standby) du Server Com sur lequel est exécutée la
commande.
La commande « role –b » permet de savoir si le Server Com de secours est à l'état Standby. La
commande twin donne un état plus précis de la duplication.
12.1.7.4 Incidents sur le Server Com de secours

Lorsqu'une anomalie est détectée dans un Server Com standby, le système transmet un message
d'incident Server Com principal qui est affiché avec la lettre S. Ceci permet de les différencier des
incidents originaires du Server Com Main M.
Lorsqu'un Server Com Standby ne peut pas traiter les requêtes MAO transmises par un Server Com
Main (cas de non cohérence entre les bases de données), il le signale par un incident qu'il transmet au
Server Com Main.
Les messages liés à l'incident s'affichent comme suit :
dd/mm/yy hh/mn/ss N M/S/I pc/ t/ eqt| =s: nini= name
Texte d’information
Numéro de message système
Niveau de gravité
Numéro MG - numéro carte - numéro équipement

M : incident provenant du serveur d'appels principal
S : incident provenant du serveur d'appels en veille
i : incident provenant d'un serveur d'appels
dont le rôle n'a pas encore été défini
N : numéro du nœud générant l'incident (six chiffres)
Heure du message système (hh=heure, mn=minute, ss=seconde)
Date du message système (dd=jour, mm=mois, yy=année)
Figure 12.37 : Messages d'incidents d'un Server Com
Lorsque le rôle du Server Com est « UNDEFINED », les incidents émis sont stockés sur ce Server
Com. Lors du passage à l'état Standby, les incidents sont transmis au Server Com Main.

12.1.7.5 Fichier journal lié au stockage des commandes MAO

Un fichier journal (iplink.log) fournit des informations sur le stockage des commandes MAO. Le
chemin d'accès permettant de récupérer ce fichier journal est : /var/log/iplink.log.
Les informations dignes d'intérêt sont :
Message Stratégie Définition
Save MAO msg because Serveur Com princi- Le lien IP entre les deux Server Com est rom-
Sdby CPU is not avai- pal pu. La base de données du Server Com prin-
lable cipal a été modifié. Les messages MAO sont
stockés par le Server Com principal et trans-
mis au Server Com standby lorsqu'il redevient
disponible.
MAO is ON on the remo- Serveur Com princi- Le Server Com principal a reçu le message
te CPU pal MAO_IS_ON transmis par le Server Com
standby. En conséquence, le Server Com
standby est prêt à traiter des messages MAO
stockés par le Server Com principal.
MAO is ON on the local Server Com standby Le Server Com de secours a reçu le message
CPU MAO_IS_ON_ACK transmis par le Ser-
ver Com principal. Par conséquent, le Server
Com principal reconnaît que le Server Com
standby est prêt à traiter des messages MAO.
Le Server Com principal commence à trans-
mettre des messages MAO stockés.
Stop saving MAO msg Serveur Com princi- Le Serveur Com principal a arrêté de stocker
after X minutes pal des messages MAO au bout de X minutes,
tandis que le Server Com de secours n'était
pas joignable. Tous les messages MAO archi-
vés sont supprimés. Une mise à jour manuelle
du Server Com standby doit être exécutée.
12.1.7.6 Incidents liés au stockage des commandes MAO

• Incident 439 : Cet incident est déclenché lorsque le Server Com principal supprime l'historique des
commandes MAO ou lorsque la durée du stockage a expiré, ou - en cas de « principal double »
lorsque les deux Server Com ont stocké des commandes MAO. Lorsque l'incident 440 est
déclenché, une mise à jour manuelle du Server Com standby s'impose.
• Incident 440 : lors du retour à la normale après une situation de « principal double », une
négociation a lieu entre les deux Server Com. L'un d'eux reste le principal, tandis que l'autre est
réinitialisé (Server Com standby). Si le Server Com standby est réinitialisé avant d'avoir archivé des
messages MAO, l'incident 439 est déclenché, et une mise à jour manuelle du Server Com standby
est nécessaire.
12.2 Serveur de communication passif

12.2.1 Introduction
Les PCS permettent d'assurer la continuité des services téléphoniques en cas de :

• Perte de deux Call Server dupliqués

• Perte d'un Call Server non dupliqué
• Perte des liens IP entre sites distants et des Call Server
12.2.2 Description simplifiée

12.2.2.1 Topologie
Les PCS sont associées à des domaines IP. Dans une configuration à plusieurs domaines IP :
• Un domaine IP ne peut être secouru que par un seul PCS
• Un PCS peut secourir plusieurs domaines IP, même si ces domaines n'ont pas de Media Gateway
Serveur Serveur
d'appels d'appels en
principal veille
2
IP 1
PCS1
IP
IP
PCS2
Media Gateway 1
Media Gateway 2
Passerelle
Domaine 3
externe SIP
Domaine 1
Domaine 2
Figure 12.38 : Exemple de configuration d'un PCS
Dans la Figure : Exemple de configuration d'un PCS à la page 368, lorsque le lien IP 1 est perdu, le
PCS 1 vient secourir les domaines 1 et 2. Lorsque le lien IP 2 est perdu, le PCS 2 vient secourir le
domaine 3. Lorsque les deux Call Server, main et standby, tombent, chaque PCS vient secourir les
domaines associés.
Note :
chaque PCS soit être configuré pour secourir au moins une Media Gateway.
12.2.2.2 Capacités et configuration des PCS

Les PCS offrent les capacités et options de configuration suivantes :
• Les PCS doivent être configurés sur des noeuds sur lesquels le Call Server est soit de type
hardware commun, soit un Generic Appliance Server.

• Les PCS peuvent être de type carte matérielle commune CS, un Generic Appliance Server ou un
Blade Server.
La configuration mémoire (RAM) d'un PCS doit être supérieure ou égale à un CS : si les UC du site
central sont des Generic Appliance Server, tous les PCS de type matériel commun doivent disposer
de 256 Mo de mémoire.
Note :
Un Generic Appliance Server peut agir sans limite comme un PCS.
La carte CS-2 d'un hardware commun peut agir sans limite comme un PCS.
La carte CS d'un hardware commun peut agir comme un PCS avec certaines limites. Cette carte peut secourir
1000 usagers et 20 passerelles média au maximum.
• Les PCS peuvent gérer 1000 domaines IP.
• Les PCS ne peuvent pas être dupliqués.
• Les PCS peuvent fonctionner en mode actif pendant un maximum de 30 jours consécutifs.
• Les domaines ne peuvent pas être secourus à la fois par un secours de lien de signalisation et un
PCS. Cependant le débordement privé vers public est possible de façon transparente.
• Il n'y a pas de tickets de taxation réseau sur un PCS.
12.2.2.3 Services PCS

Les PCS offrent les services suivants :
• Secours des passerelles média, cartes INTIPB, IOIP, terminaux IP Touch et 8158s/8168s WLAN
Handset (voir Secours des équipements à la page 372)
Note :
Le processus de secours des postes WLAN est similaire à celui appliqué aux postes IP Touch.
• Secours des postes SIP et des passerelles externes SIP, si elles peuvent gérer deux proxys
(principal et secondaire). Le PCS secoure une passerelle externe SIP, si l'adresse IP du PCS est
configurée sur le PCX dans les paramètres de passerelle externe SIP (voir document
8AL91049FRAA)
• Secours possible de plusieurs domaines, y compris des domaines sans Media Gateway. Dans ce
cas, au moins un des domaines secouru doit inclure une Media Gateway
Note :
Les téléphones SIP et les passerelles externes SIP situés dans un domaine sans passerelle multimédia ne
peuvent pas être secourus.
• Support pour les appels vers les domaines avec accès public via le débordement privé vers public
(voir : Débordement privé vers public entre les passerelles média IP sur le même nœud à la page
375)
• Suport pour apples cryptés (voir : Signalisation et cryptage vocal via le service FSNE à la page 382)
• Génération de tickets de taxation (voir : Taxation à la page 383)
12.2.2.4 Restrictions Passive Communication Server

Un PCS actif offre les mêmes fonctions qu'un Call Server avec quelques restrictions. Les équipements
secourus par un PCS actif présentent également quelques limitations :
• Les terminaux ne peuvent pas accéder à une Alcatel-Lucent 4645 voice mail lorsqu'ils sont
secourus par un PCS actif
• Alors que la configuration de la base de données est possible sur les PCS, les mises à jour sont
perdues après resynchronisation avec le Call Server suite au rétablissement du lien de signalisation
• Les postes Alcatel-Lucent 8 series et Alcatel-Lucent 9 series, les combinés WLAN, les cartes GD,
GA, INT-IP secourues par un PCS actif ne peuvent pas télécharger de binaires depuis le PCS (pas
de serveur TFTP sur un PCS)

• Certains fichiers de configuration relatifs à plusieurs fonctions ne sont pas copiés sur le PCS (voir :
Cohérence des données à la page 371)
Les équipements et services suivants ne sont pas pris en charge :
• Serveurs de fax SIP
• Messageries vocales SIP
• Serveur DHCP
• Service e-RMA
• Liaison IP de secours pour la passerelle multimédia
• Équipement IP de secours, avant udp-lost-reinit si la liaison avec le PCS a été perdue
• Services réseau ABC-F
12.2.3 Description détaillée

12.2.3.1 Mise en service
12.2.3.1.1 Création d'une liaison de signalisation entre le PCS et le Communication Server

principal
Une liste des adresses de PCS déclarées est créée dans le Communication Server. Lorsque l'UC
démarre :
• si l'adresse de l'UC est dans cette liste, elle démarre en tant que Passive Communication Server
(PCS) ;
• si l'adresse de l'UC n'est pas dans cette liste, elle démarre en tant que Communication Server.
Lorsqu'un PCS démarre, il établit une liaison de signalisation IP avec l'UC principale du
Pour cette liaison de signalisation, utilisez un protocole UDP identique à celui utilisé entre le
Communication Server et les postes.
12.2.3.1.2 Exploitation
Lorsqu'un PCS démarre, il établit une signalisation IP avec l'UC principale du Communication Server.
Cette liaison de signalisation est utilisée pour les communications entre le Communication Server et le
PCS.
• Le Communication Server envoie des ordres au PCS.
• Le PCS informe le Communication Server de son état.
Le PCS enregistre l'adresse IP physique du Communication Server principal et du Communication
Server de secours dans son fichier hosts.
Principal Veille
Sous-réseau IP A Mise à jour et Sous-réseau IP B

Dialogue « Keep alive »
Routeur A Routeur B
Réseau IP
Figure 12.39 : Mise à jour et dialogue "keep alive" entre le PCS et le Communication Server

Un dialogue “keep alive” permet la surveillance mutuelle entre les Communication Server et les PCS.
Les PCS envoient en permanence des messages "keep alive" à leurs Communication Servers
associés. Les Communication Servers répondent à ces messages. Chaque échange est contrôlé par
une temporisation. Un Communication Server ou un PCS détecte l'interruption de l'échange avec
l'autre serveur lorsque la durée de validité des temporisations de contrôle est dépassée. En
conséquence, le PCS détermine l'action à entreprendre. Le PCS devient alors actif.
Note :
Cette méthode ne permet pas aux PCS de distinguer les problèmes de Communication Server des problèmes de
réseau.
12.2.3.1.3 Cohérence des données

Le PCS fonctionne avec :
• Données copiées depuis le Communication Server principal
• Données locales entrées manuellement par le gestionnaire
L'outil pcscopy est utilisé pour copier des données depuis l'UC principale vers le ou les PCS. Cet outil
peut être configuré pour une mise à jour automatique (hebdomadaire, journalière) ou manuelle.
Cet outil fonctionne avec un "protocole de copie non sécurisé" (rcp) ou un "protocole de copie
sécurisé" (scp).
Pour plus d'informations sur une mise à jour manuelle à l'aide de la commande pcscopy, voir :
pcscopy à la page 390.
12.2.3.1.3.1 Données copiées par l'outil pcscopy

L'outil pcscopy copie les informations suivantes à partir de l'UC :
• Tous les objets de base de données configurés à l'aide de l'outil mgr :
La base de données du PCS est la copie exacte des objets de base de données associés du
• Fichiers de mots de passe (/etc/passwd, /etc/shadow et /etc/login.defs)
• Fichiers du serveur Radius (/etc/raddb/server, /etc/raddb/export, /etc/pam.d/
system-auth.NORADIUS, /etc/pam.d/system-auth.RADIUS and /etc/pam.d/system-
auth)
• Statistiques CCD : lorsque l'option système PCSCOPY without CCD statistics est définie sur
False (sélectionnez System > Other system parameters > System parameters)
Note :
Par défaut, la valeur de l'option système est False
• Certificats PCS et clés privées lorsque le service Full Software Native Encryption (FSNE) est activé
sur le Communication Server
12.2.3.1.3.2 Données non copiées par l'outil pcscopy

Les données configurées via swinst ou netadmin ne sont normalement pas copiées par l'outil
pcscopy.
Le fichier hosts n'est pas copié sur le PCS.
Les fichiers de configuration en rapport avec les fonctions suivantes ne sont pas copiés sur le PCS :
• Configuration SSH
• Configuration SSL
• Configuration du serveur Apache
• Configuration du serveur Syslog
• Configuration SNMP

• Configuration NTP
• Utilisateurs Radius
• Date, heure et fuseau horaire
• Statistiques CCD : lorsque l'option système PCSCOPY without CCD statistics est définie sur True
(sélectionnez System > Other system parameters > System parameters)
Note :
Par défaut, la valeur de l'option système est False
Ces données doivent être configurées manuellement sur chaque PCS à l'aide de netadmin ou
swinst.
12.2.3.2 Perte de la liaison de signalisation entre le PCS et le Communication Server
12.2.3.2.1 Exploitation
Lorsque la liaison de signalisation entre un Communication Server et un PCS est perdue, le PCS
passe en mode actif :
• Une alarme est générée au niveau du Communication Server et du PCS. Elle indique que la liaison
de signalisation est perdue.
• Une autre alarme est générée au niveau du PCS pour indiquer combien de temps le PCS peut
rester en mode actif.
Pour des informations plus détaillées sur les alarmes éventuelles, voir : Alarmes à la page 390.
12.2.3.2.2 Database
Lorsqu'un PCS est en mode actif, il n'y a pas de mise à jour de la base de données du Communication
Server vers le PCS.
Attention :
La base de données du PCS peut être modifiée. Cependant, lorsque la liaison de signalisation entre le
Communication Server et le PCS est rétablie, ces modifications ne sont pas copiées vers la base de
données du Communication Server : elles sont perdues.
12.2.3.2.3 Duplication de serveur de communication

Dans une configuration dupliquée, si un basculement a lieu alors qu'un PCS est en mode ACTIF, le
PCS sera considéré comme étant à l'état indéfini (UNDEF) par le Communication Server qui est
devenu principal. Le PCS sera considéré comme INACTIF après l'établissement de la connexion IP
entre le PCS et le Communication Server.
12.2.3.3 Secours des équipements
12.2.3.3.1 Processus de secours

Si une liaison IP avec un Communication Server est perdue, le processus de secours du PCS dépend
du type d'équipement à secourir. Les différents types d'équipements comprennent :
• GD
• Cartes INTIPB/IOIP
• postes IP Touch
• Alcatel-Lucent IP Touch 310/610 WLAN Handsets et les combinés WLAN de génération plus
récente
• Postes SIP
• Passerelles externes SIP

12.2.3.3.1.1 Processus de secours pour les cartes GD, les cartes INTIPB/IOIP, les postes IP Touch et
les combinés WLAN
Le secours des équipements fonctionne comme suit :
1. Le périphérique est en service (connecté au Communication Server principal)
2. La liaison entre le périphérique et le Communication Server principal est perdue.
3. Au bout de 7 secondes (valeur par défaut de la temporisation UDP Lost), le périphérique remarque
que la liaison est perdue.
Note :
La valeur de la temporisation UDP Lost est configurable dans le menu des paramètres IP.
Veuillez vous référer au chapitre Redondance IP du document 8AL91028FRBA et au TC1437 pour des
exemples de cas exceptionnels de modifications UDP LOST du domaine IP.
N'oubliez pas que la modification UDP LOST nécessite un redémarrage du serveur d'appel pour être prise en
compte globalement (un double basculement des serveurs d'appel n'est pas suffisant).
4. Le périphérique patiente pendant 7 secondes (valeur par défaut de la temporisation UDP Lost
Reinit) pour s'assurer que la liaison est perdue et qu'il ne s'agit pas d'un basculement entre le
Communication Server principal et le Communication Server de secours.
Note :
La valeur de la temporisation UDP Lost Reinit est configurable dans le menu des paramètres IP.
5. Au bout de 7 secondes, si le Communication Server n'est toujours pas joignable :
Dans le cas de... Alors...
une carte GD-4 la carte lance la réinitialisation logicielle et utilise l'adresse IP de secours
pour se connecter au PCS. Cette adresse est entrée de manière statique
dans la GD-4 (voir Configuration de l'adresse du PCS sur une carte GD à
la page 386).
une carte INTIPB/IOIP la carte redémarre deux fois avant d'utiliser l'adresse IP de secours pour
initialiser. Cette adresse est entrée en statique dans la carte INTIPB/IOIP
(voir : Configuration de l'adresse du PCS sur les cartes INTIP à la page
386).
une carte INT-IP3 la carte lance la réinitialisation logicielle et utilise l'adresse IP de secours
pour initialiser. Cette adresse est entrée de manière statique dans la
(type B) carte INT-IP3 (voir : Configuration de l'adresse du PCS sur les cartes
INTIP à la page 386).
un combiné IP Touch l'IP Touch redémarre, passe en mode capacité de survie et se connecte
au PCS en utilisant l'adresse IP de secours envoyée par le Communica-
tion Server à l'initialisation du poste.
Note :
Si l'option Keep RTP flow est activée, le poste ne redémarre pas tant qu'une
communication est active : le poste redémarre à la fin de la communication. Pour
plus d’informations, reportez-vous au document 8AL91024FRBA.
un combiné WLAN le combiné WLAN IP Touch redémarre, passe en mode capacité de

survie et se connecte au PCS en utilisant l'adresse IP de secours
envoyée par le Communication Server à l'initialisation du poste.
6. Le PCS reçoit le message EVT_START
7. Le PCS intialise les liaisons directement avec les périphériques
Note :
Le PCS peut secourir des postes IP Touch appartenant à un domaine ne disposant pas de Media Gateway.

Note :
Les agents CCD sont déconnectés lors du basculement du Communication Server vers le PCS.
12.2.3.3.1.2 Processus de secours pour les téléphones SIP

Le secours d'un téléphone SIP est le suivant :
1. Le téléphone SIP est en service (connecté au Communication Server principal).
2. Le PCS devient actif.
3. Lorsque le téléphone SIP envoie une requête REGISTER ou INVITE au Communication Server
principal, deux situations peuvent se produire :
1. Le Communication Server principal reçoit cette requête (ce cas peut se produire lorsque la
liaison IP entre le Communication Server principal et le PCS ne fonctionne plus alors que le
Communication Server principal est encore en service) :
Pour une requête REGISTER, le Communication Server principal envoie une réponse d'erreur
503 sans en-tête "Retry-after". Cette réponse d'erreur force le téléphone SIP à envoyer la
requête REGISTER au PCS (le téléphone SIP utilise l'adresse IP du serveur de secours).
Pour une requête INVITE, le Communication Server principal envoie une réponse d'erreur 503
avec un en-tête "Retry after". Le délai indiqué dans cet en-tête correspond au délai d'expiration
du téléphone SIP. Une fois ce délai d'expiration terminé, le téléphone SIP redémarre le
processus d'enregistrement sur le PCS.
2. Les Communication Servers principal et de secours ne fonctionnent pas ou le Communication
Server principal ne reçoit pas la requête en raison de la perte de la liaison IP. Le téléphone SIP
ne reçoit aucune réponse.
Dans ce cas, une fois que l'enregistrement a expiré, le téléphone SIP envoie la requête
REGISTER au PCS.
Pour la requête INVITE, le téléphone SIP envoie la requête INVITE au PCS une fois qu'il est
enregistré sur le PCS.
4. Le PCS reçoit et accepte la requête REGISTER ou INVITE ainsi que les requêtes suivantes du
téléphone SIP.
12.2.3.3.1.3 Processus de secours pour les passerelles externes SIP

Le secours d'une passerelle externe SIP est le suivant :
1. La passerelle externe SIP est en service (connectée au Communication Server principal).
2. Deux situations peuvent se produire :
1. La liaison IP entre le Communication Server principal et le PCS est perdue.
Le PCS est identifié en tant qu'ACTIF par le Communication Server. Le Communication Server
principal n'envoie pas la requête REGISTER/OPTIONS après le délai d'expiration et la
passerelle externe est identifiée comme hors service par le Communication Server principal. À
partir de ce moment, le Communication Server principal n'autorise pas les appels sortants vers
la passerelle externe.
Le PCS ACTIF qui vient au secours de la passerelle externe lui envoie la requête REGISTER/
OPTIONS et met la passerelle externe en service, ainsi que le faisceau associé. À partir de ce
moment, toutes les communications avec la passerelle externe sont gérées par le PCS. Lors
d'un appel entrant de la passerelle externe vers le Communication Server principal, ce dernier
renvoie une réponse d'erreur 503 avec un en-tête "Retry-after". Le délai indiqué dans cet en-tête
est la temporisation d'enregistrement/de supervision. Pour les passerelles externes qui ne sont
pas gérées par une temporisation d'actualisation, le Communication Server principal renvoie un
message d'erreur 503 sans en-tête "Retry-after".
2. Les Communication Servers principal et de secours ne fonctionnent pas.

Le PCS devient ACTIF et envoie la requête REGISTER/OPTIONS pour ses propres passerelles
externes. Les appels entrants et sortants sont possibles, comme d'habitude, à partir du PCS.
12.2.3.3.2 Débordement privé vers public entre les passerelles média IP sur le même nœud
Le débordement privé vers public peut être utilisé entre un Communication Server et un PCS, ou entre
deux PCS.
Lorsqu'un IP Touch est en mode capacité de survie, il peut malgré tout contacter un autre IP Touch
appartenant à un autre domaine via le réseau RTPC. Ceci n'est possible que si ces domaines IP Touch
sont rattachés à des PCS (ou Communication Server) distincts.
Note :
Un domaine ne peut pas être secouru à la fois par une liaison de signalisation de secours et un PCS.
Table de débordement pour
N2
4202 => 155664202 N° local = 4202
N° public = 155664202
RTPC
PCS DDI TG
DDI TG
Bob
WAN N2
Marie
Domaine X
Figure 12.40 : Débordement privé vers public
12.2.3.3.3 Exemples
12.2.3.3.3.1 Configuration de secours simple

Cette configuration comprend :
• un Communication Server dupliqué sur un site central
• un PCS sur un site de secours
Les trois serveurs (Communication Server principal, Communication Server de secours et PCS) ont le
même rôle. Le serveur actif gère tous les noms de domaine.
Si les Communication Servers principal et de secours sont hors service ou si la liaison IP du site
central échoue, le PCS passe en mode actif.
Le PCS sert de Communication Server de secours.

Site central
Site de secours
Serveur de Serveur de
communication communication
principal de secours PCS
WAN
Domaine 3
Domaine 1 Domaine 2
Figure 12.41 : Configuration de secours simple
12.2.3.3.3.2 Configuration de secours "multi"

• un PCS sur chaque site distant
Le rôle des Communication Servers principal et de secours est de gérer tous les noms de domaine.
Si les Communication Servers principal et de secours sont hors service ou si les liaisons IP du site
central échouent, chaque PCS de chaque domaine passe en mode actif et vient secourir son domaine
associé.
CSprincipal CSen veille

Site central
WAN
PCS
PCS PCS
Domaine 1
Domaine 2 Domaine 3
Figure 12.42 : Configuration de secours "multi"

12.2.3.3.3.3 Configuration de secours multidomaine

• un PCS dans le domaine 1
• un PCS pour les domaines 2 et 3
• aucune Media Gateway dans le domaine 3
Si les deux Communication Servers (principal et de secours) ne fonctionnent plus, chaque PCS passe
en mode actif et vient secourir son domaine associé, y compris le domaine 3, qui ne dispose pas d'une
Media Gateway. Dans cet exemple :
• Le PCS 1 vient secourir le domaine 1.
• Le PCS 2 vient secourir les domaines 2 et 3.
Site central
Serveur de Serveur de
communication communication
principal de secours
WAN PCS2
PCS1
Domaine 1 Domaine 2 Domaine 3
Figure 12.43 : Configuration de secours multidomaine
12.2.3.4 Rétablissement de la liaison de signalisation
12.2.3.4.1 Réinitialisation des unités secourues

Lorsque le lien de signalisation entre le PCS et le Communication Server est rétabli, le PCS reste actif
jusqu'à sa réinitialisation (cet état intermédiaire est appelé inactive *). Pendant cette période, tous
les périphériques (téléphone IP et cartes IP) appartenant aux domaines de téléphonie IP secourus par
le PCS restent associés à ce PCS.
Après un certain délai, ou à une heure définie (voir Configuration d'un PCS sur le Communication
Server à la page 383), le Passive Communication Server se réinitialise et redevient passif. La
réinitialisation du PCS réinitialise tous les périphériques connexes (même s'ils sont en communication).
Ces périphériques se réassocient eux-mêmes au Communication Server.
Lorsqu'un PCS est à l'état inactive *, les périphériques qui démarrent ou se réinitialisent se
connectent au PCS, même si le Communication Server est disponible. Si, pour une raison quelconque,
certains périphériques appartenant aux domaines de la téléphonie IP secourus par le PCS sont
associés au Communication Server, ces périphériques peuvent se réinitialiser en fonction de l'heure de
réinitialisation prévue du PCS :

• Si le PCS est programmé pour se réinitialiser dans moins de deux minutes (période non
modifiable), ils ne se réinitialisent pas et restent associés au Communication Server
• Si le PCS est programmé pour se réinitialiser dans plus de deux minutes, ils se réinitialisent pour se
réassocier eux-mêmes au PCS.
12.2.3.4.2 Processus pour chaque type d'équipement

Le tableau suivant montre comment les PCS se comportent pour chaque type d'équipement secouru
lorsque la liaison de signalisation avec le Communication Server est rétablie.
Dans le cas de... Le PCS...

un IP Touch 1. Envoie un message RELEASE à tous les postes IP Touch
2. Les postes IP Touch redémarrent et se connectent au Communication
Server.
Note :
Si l'option Keep RTP flow est activée, un poste IP Touch ne redémarre pas tant
qu'une communication est active : le poste redémarre à la fin de la communication.
Pour plus d’informations, reportez-vous au document 8AL91024FRBA.
une carte GD-4 1. Envoie un message PCS_CPL_RESET_CPL à la carte GD-4

2. La carte GD-4 redémarrer (réinitialisation complète) et se connecte au
une carte INTIPB/ 1. Envoie un message PCS_CPL_RESET_CPL à l'INTIPB/IOIP en attente et à

IOIP l'INTIPB/IOIP principal
2. L'INTIPB/IOIP principal répond par un message RELEASE envoyé au PCS
3. Les deux cartes (principal et de secours) redémarrent (réinitialisation
complète) et la première carte opérationnelle se connecte au
une carte INT-IP3 1. Envoie un message PCS_CPL_RESET_CPL à l'INT-IP3 en attente et à

l'INT-IP3 principal
(type B)
2. La carte INT-IP3 principale répond par un message RELEASE envoyé au
PCS
3. Les deux cartes (principal et de secours) redémarrent (réinitialisation
complète) et la première carte opérationnelle se connecte au
Note :
Il n'y a pas de serveur TFTP sur un PCS. Ceci explique que les équipements IP secourus ne téléchargent pas de
fichiers binaires depuis le PCS. Lorsqu'un équipement IP redémarre et se reconnecte au Communication Server,
la version des fichiers binaires est vérifiée et, si nécessaire, de nouveaux fichiers sont téléchargés.
12.2.3.5 Modes PCS

Le PCS est en :
• Mode Protection contre une violation logicielle, à la première installation ou lorsque le compte à
rebours de 30 jours est atteint.
• Mode passif, lorsque le PCS et le Communication Server ne peuvent pas communiquer.
• Mode actif, lorsque le PCS et le Communication Server ne peuvent pas communiquer
• Mode inactif*, lorsque le PCS est dans un état intermédiaire après le mode actif, lorsque le PCS
peut à nouveau communiquer avec le Communication Server (test de la stabilité du rétablissement
de la liaison de signalisation), avant l'expiration de la temporisation (voir Réinitialisation des unités
secourues à la page 377).

Le PCS passe en l'un des modes suivants en fonction du processus suivant :

1. Installation du PCS
• Le PCS démarre en mode Protection contre une violation logicielle
2. La liaison de signalisation entre le PCS et le Communication Server est établie :
• Le PCS passe en mode passif.
3. Lorsque le PCS et le Communication Server ne peuvent pas communiquer (voir : Perte de la liaison
de signalisation entre le PCS et le Communication Server à la page 372 et Secours des
équipements à la page 372) :
• Le PCS passe en mode actif.
• Le compte à rebours de 30 jours démarre.
4. Le PCS vient secourir l'équipement associé pendant ces 30 jours. Au-delà de 30 jours, ce n'est plus
possible :
• Si la liaison de signalisation entre le PCS et le Communication Server est rétablie (voir :
Rétablissement de la liaison de signalisation à la page 377) avant 30 jours, le compte à rebours
s'arrête et le PCS passe en mode passif.
• Si le compte à rebours de 30 jours est terminé, le PCS passe en mode Protection contre une
violation logicielle.
12.2.3.6 Accès à un opérateur SIP

Les appels entrants et sortants vers (ou provenant) un opérateur SIP sont acheminés vers le
Communication Server ou le PCS local.
Un faisceau menant à l'opérateur SIP et la passerelle externe SIP associée doivent être configurés
pour le Communication Server et chaque PCS.

Domaine 0
Serveur de
communication
Domaine 1 Domaine 2
PCS 1 PCS 2
IP local
TG1 TG0 TG2
Passerelle
Passerelle externe 0 Passerelle
externe 1 externe 2
Opérateur SIP 1
Figure 12.44 : Configuration des accès SIP pour le Communication Server et le PCS
Seul le faisceau entre le Communication Server et l'opérateur SIP doit être configuré. L'adresse IP du
PSC de la passerelle externe SIP associée doit être configurée via l'option Global address. Lorsque
l'option .Global address est utilisée, un faisceau et une passerelle SIP sont automatiquement
associés à chaque PCS ainsi qu'au Communication Server. Ceci simplifie la procédure de
configuration lorsque plusieurs PCS sont utilisés.
12.2.3.6.1 Mode nominal (normal)

Les liaisons entre le Communication Server et les PCS sont en service. Les PCS sont à l'état inactif.
Un appel entrant est traité par le Communication Server, puis acheminé directement vers le poste
appelé appartenant au domaine, au domaine local ou au domaine distant.

Domaine 0
Serveur de
communication
Liaison CS-
PCS1 en service
Domaine 1
Domaine 2
PCS 1 PCS 2
IP local
Poste appelé
Opérateur SIP 1
Poste appelant
Figure 12.45 : Appel entrant en mode normal
En cas d'appels sortants, le Communication Server achemine les appels vers le faisceau local.
12.2.3.6.2 Mode de secours

Les liaisons entre le Communication Server et un ou plusieurs PCS sont hors service. Ces PCS sont à
l'état actif.

Domaine 0
Serveur de
Liaison CS-PCS1 communication
hors service
Domaine 1
1 Domaine 2
PCS 1 3
PCS 2
IP local
2
Poste appelé
Opérateur SIP 1
Poste appelant
Figure 12.46 : Appel entrant en mode de secours
Les appels entrants sont traités comme suit :

1. L'opérateur SIP achemine les appels entrants vers le Communication Server
2. Le Communication Server rejette les appels entrants sans réponse : 503 Service Unavailable
3. L'opérateur SIP réachemine les appels vers le PCS approprié. Le PCS achemine les appels vers
les postes appelés.
Les appels sortants émis à partir de postes associés à un PCS en service sont acheminés vers
l'opérateur SIP via le faisceau local.
12.2.3.7 Services
12.2.3.7.1 Empêcher la connexion d'un équipement

Lorsqu'un domaine est attaché à un PCS en mode actif, les Communication Servers bloquent la
connexion des équipements de ce domaine.
12.2.3.7.2 Signalisation et cryptage vocal via le service FSNE

Le PCS prend en charge le Full Software Native Encryption (FSNE) et peut sécuriser les flux de
signalisation échangés avec les périphériques IP en cas de perte de la liaison avec le Communication
Server. Cette solution de cryptage est basée sur les connexions DTLS (de cryptage de signaux)
établies avec l'authentification serveur ou l'authentification mutuelle (serveur et client). Les certificats
servent à l'authentification.

Le certificat PCS (et sa clé privée) doit être généré sur le Communication Server et envoyé au PCS
automatiquement à une heure définie (voir : Configuration d'un PCS sur le Communication Server à la
page 383), ou manuellement via la commande pcscopy (voir : pcscopy à la page 390).
Note :
Toute la configuration FSNE doit être réalisée sur le Communication Server. Pour plus d'informations, reportez-
vous à la section FSNE du document [7].
12.2.3.7.3 Taxation
Les PCS présentent les particularités de taxation suivantes.
• Les tickets de taxation des Communication Servers ne sont pas copiés vers les PCS.
• Les tickets générés par un PCS en mode actif ne sont pas effacés après mise à jour de la base de
données.
• Après le basculement d'un PCS vers un Communication Server, les tickets de taxation et les fichiers
d'observation de trafic générés sur le PCS, lorsqu'il était en mode actif, ne sont pas copiés vers le
12.2.4 Procédure de configuration

12.2.4.1 Prérequis
Avant de configurer un PCS, vérifier que :
• Le verrou 332 est supérieur à 0 dans le fichier de licences du Communication Server
• La version logicielle du PCS est la même ou une version plus récente du Communication Server
associé
12.2.4.2 Ports IP
Configurez le pare-feu de manière à permettre l'accès aux ports utilisés par le serveur de
communication et PCS. Pour obtenir la liste complète, reportez-vous au document [49].
Note :
Les demandes "ping" et "port inaccessible" ICMP doivent être autorisées dans les deux sens.
12.2.4.3 Configuration d'un PCS sur le Communication Server

Chaque fois qu'une copie de la base de données est faite sur le Communication Server, l'installateur
peut déterminer la durée (en heures, par défaut :4) de validité de la base de données pour éviter
d'interrompre la MAO et l'application de taxation. Chaque fois qu'une copie de la base de données du
Communication Server est programmée, ou configurée manuellement sur le PCS :
Si... Alors le Communication Server...

Il n'y a pas de base de données MAO dans le 1. Interrompt la MAO et l'application de taxation
répertoire /DHS3dyn/BACKUP/IMMED ou si la pendant qu'il transfert la base de données
durée de validité a expiré dans le répertoire /DHS3dyn/BACKUP/IMMED
2. Transfère la base de données /DHS3dyn/
BACKUP/IMMED dans le PCS spécifié
La base de données MAO du répertoire / copie cette base de données sur le PCS sans
DHS3dyn/BACKUP/IMMED est valide. interrompre la MAO et l'application de taxation
Pour configurer un PCS sur un Communication Server :

1. Sélectionner Passive Com. Serveur

Type de mise à jour automatique Définit le moment où la base de données du Communica-

tion Server est mise à jour dans le PCS.
Valeurs possibles :
• Aucune (aucune mise à jour n'est requise)
• Hebdomadaire
• Quotidiennement
Jour de mise à jour Jour de la semaine, si le type de mise à jour automatique

est mis à Hebdomadaire.
Heure de mise à jour (hh:mm) Heure pendant la journée, si le type de mise à jour
automatique est mis à Hebdomadaire ou Quotidienne.
Validité de la base (en h) Définit la durée de validité (exprimé en heures) de la base
de données copiée sur le PCS
Valeur par défaut : 4 h
Type de reset Sélectionnez le type de reset après avoir rétabli la liaison

de signalisation :
• Reset par défaut : le PCS et ses périphériques
associés se réinitialisent 30 secondes après le
rétablissement de la liaison de signalisation
• Heure : le PCS et ses périphériques associés sont
réinitialisés à l'heure indiquée
• Délai : le PCS et ses périphériques associés sont
réinitialisés après le délai indiqué
Heure de reset (hh:mm) Ce paramètre est disponible lorsque le paramètre Type de

reset est défini sur Heure.
Saisissez l'heure au format hh:mm.
Tempo de reset (en s) Ce paramètre est disponible lorsque le paramètre Type de

reset est défini sur Délai.
Entrez le délai (en secondes) avant la réinitialisation (entre
1 et 65535).
Note :
La valeur 0 signifie que le PCS ne se réinitialise pas. La tâche
doit être effectuée manuellement.

Note :
Si vous utilisez pcscopy pour resynchroniser manuellement un PCS, l'archive de base de données est
automatiquement reconstruite sur le Communication Server (le MAO et l'application de taxation sont par
conséquent interrompus pendant la reconstruction de l'archive de la base de données.)
12.2.4.4 Déclaration des adresses du PCS sur le Communication Server

Pour déclarer les adresses du PCS associé à un Communication Server :
1. Sélectionnez Passive Com. Server > Adresses PCS

Adresse IP Adresse IP du PCS

IP Netmask Netmask du PCS
Nom Nom du PCS
Type de mise à jour Peut s'appliquer aux paramètres du PCS lorsqu'ils sont
customisés.
Jour de mise à jour
Heure de mise à jour
Type de reset Peut s'appliquer aux paramètres du PCS lorsqu'ils sont

customisés.
Heure de reset (hh:mm)
Tempo de reset (en s)
12.2.4.5 Configuration d'une passerelle externe SIP pour le Communication Server et le PCS
Seules les options spécifiques associées au PCS sont présentées dans cette section. Pour la
configuration complète des accès SIP, voir la documentation IP-PCX.
1. Sélectionnez : SIP > SIP Ext Gateway
Passerelle externe SIP Entrez le numéro de la passerelle.

Nom de la passerelle Entrez un nom pour la passerelle.
Adresse IP PCS Entrez l'adresse IP du PCS associé à la passerelle
définie au paramètre SIP Ext Gateway :
• Lorsqu'une adresse IP valide est saisie, le PCS
dont c'est l'adresse est associé.
• Lorsque ce paramètre n'est pas renseigné, aucun
PCS n'est associé. Cette valeur est utilisée
lorsque la passerelle externe est associée au
serveur de communication.
• Lorsque ce paramètre se voit attribuer la valeur
255.255.255.255, tous les PCS et CS sont
associés à cette passerelle.
La valeur 255.255.255.255 est appelée l'adresse
globale.
De plus, lorsque l'option Global address est
utilisée, un faisceau SIP et une passerelle
externe SIP sont automatiquement créés pour
chaque PCS configuré.
12.2.4.6 Déclaration du domaine IP sur le Communication Server

Pour déclarer l'adresse du PCS utilisé pour secourir le domaine IP :
1. Sélectionner IP > Domaine IP.
2. Vérifiez/modifiez l'attribut suivant :
Backup IP address Adresse IP du PCS

12.2.4.7 Configuration de l'adresse du PCS sur une carte GD

Pour configurer l'adresse d'un PCS sur une GD :
1. Se connecter à la carte GD
2. Ouvrez l'outil de configuration e-MGD IP à l'aide de la commande mgconfig
3. Dans le menu de configuration e-MGD IP :
• Sélectionner la première option Startup mode et sélectionner la valeur Static
• Sélectionner la deuxième option, IP address et entrer l'adresse IP de la GD
• Sélectionnez l'option 5, CS role address et entrez l'adresse par rôle du Communication Server
• Sélectionnez l'option 12 Passive CS address et entrez l'adresse IP du PCS
4. Exit
12.2.4.8 Configuration de l'adresse du PCS sur les cartes INTIP

Pour configurer l'adresse du PCS sur la carte INT-IP, se connecter à la carte INT-IP via V24 ou l'outil
cpl_online :
1. Pour utiliser l'outil cpl_online, lorsque l'invite CS> s'affiche, saisissez la commande cpl_online
suivie du numéro d'alvéole et de la position du coupleur
Exemple :
CS> cpl_online 7 6
2. Lorsque l'invite Config> s'affiche, saisissez la commande pcs pour afficher le menu de
configuration INT-IP
Exemple :
config>:pcs
3. Lorsque l'invite Config PCS> s'affiche, saisissez address pour afficher l'adresse IP
Exemple :
config PCS>:address
4. Entrer l'adresse IP du PCS
Exemple :
Config:192.40.56.11
5. Pour sortir, tapez la lettre "q" jusqu'au retour au menu racine, puis tapez ctrl+D
12.2.4.9 Configuration de l'adresse du PCS sur un équipement SIP

Pour configurer l'adresse du PCS dans les téléphones SIP, voir Niveau de service de l'extrémité SIP -
Procédure de configuration - Opérations à effectuer sur les postes SIP.
Pour configurer l'adresse du PCS pour la passerelle externe SIP, voir la rubrique Configuration d'une
passerelle externe du document 8AL91049FRAA.
12.2.4.10 Mise en service du PCS
12.2.4.10.1 Débordement privé vers public entre Media Gateways IP

Le serveur de communication considère tout utilisateur appartenant à un champ IP secouru par un
PCS comme étant hors service.
Le PCS secourant considère tout utilisateur appartenant à un champ IP non secouru par le PCS
comme étant hors service.
Si vous souhaitez que les utilisateurs appartenant à des champs IP isolés puissent communiquer :
• Configurez le débordement privé vers public entre les Media Gateways IP

• Dans les paramètres système, activez le débordement pour l'extension Hors service :
1. Sélectionnez Système > Autres param. système > Paramètres système
2. Vérifiez/modifiez l'attribut suivant :
Overflow on OoS Extension Sélectionnez : Oui
12.2.4.10.2 Téléchargement du logiciel PCS

• La procédure de téléchargement du logiciel du PCS est identique à celle de téléchargement d'un
• La version logicielle du PCS doit impérativement être identique ou plus récente que celle du
12.2.4.10.3 Configuration système du PCS

Via l'outil netadmin, configurer les données IP :
1. Déclarer l'adresse IP physique du PCS, le masque de réseau et le routeur par défaut.
2. Déclarez les adresses IP physique et par rôle du Communication Server dans le fichier hosts du
PCS.
3. Si besoin est, configurez les autres fonctions pour lesquelles les fichiers de configuration ne sont
pas transférés à partir du Call Server lors de la resynchronisation. Voir :Cohérence des données à
la page 371.
Avec l'outil swinst :
1. Créez une base de données vide
2. Activez le mode autostart
3. Définissez la date et l'heure
12.2.4.10.4 Resynchronisation de la base de données du PCS

La base de données du PCS doit être identique à celle du Communication Server.
Après avoir créé une base de données vide et démarré les applications téléphoniques sur le PCS,
utilisez l'outil pcscopy sur le serveur de communication pour démarrer manuellement la
synchronisation de la base de données du PCS. A la fin de la copie, le PCS démarre
automatiquement.
12.2.4.11 Recommandations pour un PCS en fonctionnement

• Lors de la mise à jour du logiciel, mettez à jour systématiquement le logiciel du PCS avant celui du
• Lors de l'installation d'un patch sur le PCS, vérifier que la mise à jour de la version logicielle du PCS
n'a pas lieu pendant le temps de resynchronisation des bases de données. Cette vérification est
impérative pour éviter que le Communication Server ne redémarre le PCS une fois la base de
données transférée, alors que la version logicielle du PCS est encore en cours de mise à jour.
• La copie manuelle de la base de données doit se faire avec l'outil pcscopy (voir : pcscopy à la page
390). Il est impératif que la copie manuelle de la base de données se fasse pas par une création
d'archive de base de données du Communication Server via swinst, puis qu'elle soit envoyée et
décompressée sur le PCS. Ceci est essentiel pour que la copie soit complète.
Note :
Évitez de programmer les sauvegardes quotidiennes à l'aide de la commande swinst sur le PCS pendant la
resynchronisation sur le serveur de communication.

Il y a, en effet, un risque de conflit entre la resynchronisation et l'opération de sauvegarde. La resynchronisation

peut échouer.
12.2.5 Maintenance
12.2.5.1 Les traces
12.2.5.1.1 IPLINK
Pour afficher les traces du lien PCS :
1. Activer le champ pcs de l'outil ipltrace en tapant :
>ipltrace pcs=on
2. Utiliser l'outil traced pour afficher les traces
12.2.5.1.2 Distribution d'appel

Pour activer les traces TEL pour le PCS :
1. Activer le champ sec_cpu de l'outil actdbg, avec le filtre mis sur le neqt de l'INTIPA virtuelle active
2. Utiliser l'outil mtracer pour afficher les traces
12.2.5.1.2.1 Trace GD
Effectuer ces 4 étapes pour obtenir la trace appropriée dans le GD :
1. Se connecter au GD.
Depuis le Call Server ou le Passive Communication Server, effectuer les opérations suivantes :
telnet « GD_IP_Address », identifiant : admin, mot de passe : admin
2. Droits racines appropriés
Saisir la commande : « su - »
3. Extraire les fichiers journaux de la mémoire. Ceci concerne les journaux depuis le dernier
redémarre.
Saisir : commande « ll » pour afficher la date de dernière modification des fichiers.
Saisir : « cd /var/log » pour accéder au répertoire /var/log.
Récupérer les fichiers du répertoire /var/log via le FTP ou les lire et copier l'objet de cette lecture
dans un fichier de sauvegarde : « messages », « mglog », « *monitor* ».
Note :
« *monitor*» désigne toutes les fichiers dont le nom comporte le terme « monitor ». Par ex. : « monitor.log » ou
« monitor2.log »
4. Extraire les fichiers journaux de la mémoire flash. Ceci concerne les journaux avant le dernier
redémarre.
Saisir : commande « ll » pour afficher la date de dernière modification des fichiers.
Saisir : « cd /mnt/flash/info » pour accéder au répertoire /mnt/flash/info.
Récupérer les fichiers du répertoire /mnt/flash via le FTP ou les lire et copier l'objet de cette lecture
dans le fichier de sauvegarde : « messages_tail.log », « messages_head.log », « *monitor* ».
Note :
« *monitor*» désigne toutes les fichiers dont le nom comporte le terme « monitor ». Par ex. : « monitor.log » ou
« monitor2.log »
12.2.5.1.3 MAO
Pour afficher les traces MAO :

1. Activer les traces obj et swk, en tapant :

>trace mao +obj +swk
12.2.5.1.4 pcscopy
Pour afficher les traces pcscopy :
1. Activer les traces pcscopy en saisissant :
>pcscopy +tr
Note :
Lorsque le service FSNE est activé sur le Communication Server, il est recommandé d'activer SSH sur le
Communication Server et PCS pour sécuriser le transfert de données au PCS via la commande pcscopy.
12.2.5.2 Outils de maintenance
Utiliser... pour...
domstat afficher les domaines sécurisés par des PCS :

• L'adresse IP et l'état de chaque PCS est affiché
Pour plus d’informations, reportez-vous au document 8AL91011FRBA.
pcsview affiche des information sur le ou les PCS :

• name
• adresse IP
• état
• type de reset
• domaine reliés
• domaines sécurisés
pcscopy mettre à jour manuellement la base de données du PCS avec celle du Call Server
Cet outil permet également de consulter le journal des opérations de copie.
Note :
avec la commande Config 0, les informations du PCS suivantes sont également affichées :
• name
• adresse IP
• état
12.2.5.2.1 pcsview
+------------------------+------------------+-------------------+---------------
PCS Nom | Adresse | État | Réinitialisation Type
|------------------------|------------------|-------------------|---------------
| PcsNancy | 10.3.16.1 | INACTIVE | Default (30s)
| PcsMetz | 10.4.16.1 | ACTIVE | Default (30s)
| PcsSiltzheim | 10.5.16.1 | UNDEF | Default (30s)
+------------------------+------------------+-------------------+---------------
Les états possibles d'un PCS sont :

• INACTIF: le lien de signalisation entre le PCS et le Call Server est actif et le PCS est à l'état inactif.
• ACTIVE: le lien de signalisation entre le PCS et le Call Server est hors service et le PCS devrait
être en service
• INACTIF *: le lien de signalisation entre le PCS et le Call Server est rétabli, mais le PCS est
toujours à l'état actif (le PCS redémarre à l'expiration de la temporisation).
• UNDEF: le lien de signalisation entre le PCS et le Call Server n'a jamais été établi. Le PCS n'est
pas à même de passer à l'état actif.
12.2.5.2.2 pcscopy
La commande pcscopy propose deux options :
Pcscopy
1 - PCS update
2 - PCS log file
0 - Exit
Choice [0 - 2] :
• Une mise à jour PCS : : cette option permet de synchroniser un PCS. Entrer l'adresse IP du PCS à
synchroniser. pscopy vérifie que le PCS est joignable et que sa version logicielle correspond à celle
du Call Server et envoie ensuite une archive de la base de données du Call Server au PCS. Si le
transfert échoue, la cause de l'échec est affichée.
• Fichier journal PCS :: cette option permet de voir le contenu du fichier log.pcs. Le fichier
log.pcs contient le résultat des dernières synchronisations (jusqu'à 1000 synchronisations/ 2 000
lignes).
Note :
le résultat des précédentes synchronisations est contenu dans le fichier oldlog.pcs. Les fichiers log.pcs et
oldlog.pcs sont placés dans le répertoire /usr4/mao (également accessible par le répertoire /DHS3dyn/
mao).
Seul log.pcs peut-être affiché par pcscopy.
Exemple :
2006/03/23 13:43:52 - PCS 192.40.64.27 Update => Start
2006/03/23 13:47:09 - PCS 192.40.64.27 Update => End OK
2006/03/23 14:05:51 - PCS 192.40.64.27 Update => Start
2006/03/23 14:05:52 - PCS 192.40.64.27 Update => End NOK: Bad PCS soft. release
Note :
Si vous utilisez pcscopy pour resynchroniser manuellement un PCS, l'archive de base de données est
automatiquement reconstruite sur le Communication Server (le MAO et l'application de taxation sont par
conséquent interrompus pendant la reconstruction de l'archive de la base de données.)
12.2.5.3 Alarmes
Les alarmes diffusées sur le Call Server sont mappées à un objet sur le PCS dans la topologie 4760.

Numéro Gravité Description de Event Type Cause Objet

d'alarme l'alarme
Alarme 402 L'alarme 402 est

produite sur le
PCS lorsque le
GD/INTIPB d'un
domaine non sé-
curisé par le PCS
tente de se

Oxep100.0 Im Instalmanual 8AL91032FRBA 2 FR

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Oxep100.0 Im Instalmanual 8AL91032FRBA 2 FR

Titre original :

Transféré par

Droits d'auteur :

Alcatel-Lucent Enterprise

OmniPCX Enterprise Purple

Version 100.0 - Avril 2022

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 3/444

3.5.2 Fonctions de sécurité disponibles aux utilisateurs............................................................. 81

6.1 Linux..................................................................................................................................................... 111

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 4/444

7.1 Description..................................................................................................................................... 114

8.1 Présentation de l'installation........................................................................................116

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 5/444

9.1 Installation dans un environnement KVM....................................................... 134

10.1 Installation du système OXE Media Services.............................................. 260

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 6/444

10.1.1 Présentation OXE-MS.................................................................................................................... 260

11.1 Aperçu GAS...................................................................................................................................291

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 7/444

11.6 Configuration GAS................................................................................................................. 324

12.1 Duplication du Communication Server..............................................................342

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 8/444

12.1.2 Description simplifiée...................................................................................................................... 342

13.1 Mise à jour d'un Communication Server unique...................................... 394

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 9/444

14.1 Mise à jour du système d'exploitation SLES à partir de la

16.1 Création d'une machine virtuelle sur KVM..................................................... 428

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 10/444

Titre du document Numéro de référence

Système OXE : Manuel d'installation matérielle standard 8AL91027FRBA

Système OXE : Manuel d'installation matérielle Crystal 8AL91028FRBA

Système OXE : Configuration initiale 8AL91047FRAA

Système OXE : Sécurité 8AL91012FRBA

Système OXE : Réseaux publics et privés 8AL91049FRAA

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 11/444

Titre du document Numéro de référence

Système OXE : Mobilité 8AL91009FRBA

Système OXE : Configuration avancée 8AL91048FRAA

Système OXE : Maintenance 8AL91011FRBA

Système OXE : Outils de gestion 8AL91002FRBA

Système OXE : Services aux utilisateurs 8AL91003FRBA

Console opérateur Alcatel-Lucent 4059 IP - Manuel de l'utilisateur 3EU19877FRBA

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 12/444

Titre du document Numéro de référence

Alcatel-Lucent 4645 VMS - Manuel de l'utilisateur 3EU19583FRBA

Manuel Utilisateur Hôtel - Hôpital 3EU19837FRBA

OmniVista 8770 Manuel Administrateur 8AL90703FRAN

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 13/444

2 À propos du présent document

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 14/444

3 Critères courants en matière de

3.1.1 Présentation du chapitre

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 15/444

3.1.2 Conventions typographiques

3.1.2.2 Instructions importantes

Ce symbole signale la présence d'instructions qu'il est impératif de bien comprendre et

3.1.2.3 Instructions obligatoires

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 16/444

Abrégé Désignation Définition

3.2 Contexte général client

3.2.1 Infrastructure et politiques de sécurité déjà mises en place par le client

3.2.1.1 Procédure relative à la sécurité physique

8AL91032FRBA - Ed. 2 - Avril 2022 - Système OXE : Manuel d'installation 17/444

Zone de sécurité physique Besoins en matière de Conditions de contrôle spécifiques

Centre de données Très élevés Accessible uniquement à un sous-en-

Salle du réseau central Très élevés Identiques à celles du centre de don-

Espace à bureaux des admi- High Accessible uniquement aux administra-

Armoires réseau spécifiques à Intermédiaires élevés Accessible uniquement au personnel as-