Microsoft Teams Calling × Cisco CUBE | 企业级语音集成部署白皮书

地基先行：CUBE、SIP 与 Teams Calling 的本质

在动手部署之前，我们必须先回答最根本的三个问题：什么是 SIP？什么是 CUBE？Microsoft Teams Calling 又凭什么能"打电话"？ 就像盖楼之前必须看懂图纸——这一章，就是您的图纸。

1.1 一切的起点：SIP 协议到底是什么？

苏格拉底之问

当您拿起手机拨打一个号码，您和对方之间到底发生了什么？您们的"声音"是怎么从北京飞到上海的？又是谁在中间负责"接通"这次通话？

第一性原理拆解

任何一次电话通话，本质上只做了三件事：

建立连接（Signaling 信令）：让 A 知道 B 在哪、B 知道 A 要找他、双方同意通话
传输声音（Media 媒体）：把您的声音变成数据包送到对方耳朵里
结束通话（Teardown 拆链）：通话结束后释放资源

在传统电话网络（PSTN）中，这一切由电信运营商的物理交换机完成。但在互联网时代，我们需要一种"协议"来在 IP 网络上做同样的事——这就是 SIP 的诞生原因。

精准定义

SIP（Session Initiation Protocol，会话初始协议）

SIP 是一种应用层信令协议，用于在 IP 网络上建立、修改和终止多媒体会话（语音、视频、即时消息）。它由 IETF 标准化（RFC 3261），是现代 VoIP（IP 语音）通信的事实标准。

SIP 只负责"谈判"——双方用什么编码？走哪条路？什么时候开始？什么时候结束？而真正的声音数据则由另一个协议 RTP（实时传输协议） 负责承载。

把 SIP 想象成"婚礼司仪"：他不亲自唱歌跳舞，但他负责通知所有人"几点开始、谁先入场、用哪首音乐、什么时候敬酒、什么时候散场"。RTP 才是真正在台上唱歌的歌手——它负责把您的声音（数据流）实实在在送到对面。

所以，一通 IP 电话 = SIP（谈条件）+ RTP（送声音），缺一不可。

SIP 的三个关键事实

SIP 是基于文本的协议：消息长得像 HTTP 请求，人类可以直接读懂（如 INVITE、200 OK、BYE）
SIP 信令和 RTP 媒体是两条独立的路径：信令走一个端口（如 5060/5061），媒体走另外的端口（通常是 RTP 端口范围）
SIP 支持 UDP / TCP / TLS 三种传输方式：TLS 用于加密信令，确保通话不被窃听

1.2 进入正题：CUBE 到底是什么？

苏格拉底之问

既然 SIP 已经能完成 IP 电话的所有功能，那为什么企业部署语音系统时，还要在网络边界上额外放一台叫 CUBE 的设备？它到底解决了什么问题？

第一性原理拆解

当企业内部的 IP 电话系统（如 Microsoft Teams、Cisco UCM、Webex Calling）需要和外部世界（运营商 PSTN、其他企业、不同厂商的设备）通话时，会遇到三类无法回避的问题：

方言不通：不同厂商的 SIP 实现细节有差异（就像中国话和粤语都是中文，但细节差异巨大），需要"翻译"
地址隔离：内网 IP 不能直接暴露给运营商，需要"代理"和"地址转换"
安全防护：互联网上有大量针对 SIP 端口的攻击（盗打、DDoS），需要"防火墙"和"加密"

解决这三类问题的设备，业界统称为 SBC（Session Border Controller，会话边界控制器）。而 CUBE 就是 Cisco 的 SBC 产品。

精准定义

CUBE（Cisco Unified Border Element，思科统一边界元素）

CUBE 是 Cisco 提供的企业级 SBC（会话边界控制器）软件，运行于 Cisco IOS-XE 路由器之上（如 ISR 4000 系列、Catalyst 8000 系列）或虚拟化平台（vCUBE，可部署在 ESXi、AWS、Azure）。

CUBE 是一个 SIP B2BUA（Back-to-Back User Agent，背靠背用户代理）——它不是简单的转发器，而是同时扮演两个完整的 SIP 用户角色：对内是企业语音系统的"用户"，对外是运营商的"用户"，两边各自独立地建立 SIP 会话。

把 CUBE 想象成"国际机场的边检"：
您（企业用户）想出国（连到外部 PSTN），不能直接走出去，必须经过机场。机场会做几件事：
① 查验证件（身份认证、TLS 加密）
② 翻译语言（SIP 协议归一化、SDP 转换）
③ 盖章放行（路由、号码改写）
④ 防止偷渡（防火墙、Toll-Fraud 防护）
⑤ 统计人流（CDR 话单、监控）

没有边检，国际旅行就乱套了；没有 CUBE，企业语音就裸奔了。

1.3 Microsoft Teams Calling：从"会议软件"到"企业电话"

苏格拉底之问

我们都知道 Microsoft Teams 是用来开会和发消息的，但您是否想过：当您在 Teams 里点击一个外部电话号码，比如 +86 138-XXXX-XXXX，这通电话是怎么打出去的？Microsoft 自己有电话线吗？

第一性原理拆解

微软的服务运行在云端，它没有物理电话线，也无法直接连接到中国电信、AT&T、BT 等运营商的 PSTN 网络。所以要让 Teams 能拨打外部电话，微软提供了三种"PSTN 接入方式"：

Microsoft Calling Plans：微软自己向您卖电话号码（仅在部分国家提供）
Operator Connect：微软认证的运营商直接对接（需要本地运营商支持，不是所有国家都有）
Direct Routing（直接路由）：本白皮书重点企业自己提供 SBC，连接自己签约的运营商或现有 IP-PBX

精准定义

Microsoft Teams Phone（电话系统）

Microsoft Teams Phone 是 Microsoft 365 中的云端 PBX（Private Branch Exchange，私有交换机）服务，它把传统办公室的"分机系统"搬到了云上。每个 Teams 用户可以拥有一个电话号码、分机、语音信箱、呼叫转移、自动话务员等所有传统 PBX 功能。

但 Teams Phone 本身只是"大脑"，要让它能呼叫外部世界，必须配合三种 PSTN 接入方式之一。

精准定义

Direct Routing（直接路由）

Direct Routing 是 Microsoft Teams 提供的一种"自带 SBC"模式：企业部署一台经过微软认证的 SBC（如 Cisco CUBE），通过 SIP TLS + SRTP 与微软云对接，让 Teams 用户可以通过这台 SBC 出局到任意运营商或本地 IP-PBX。

这种模式的核心价值在于：保留企业现有的运营商合同、号码资源和 PSTN 投资，同时让 Teams 用户获得完整的电话功能。

把 Microsoft Teams Calling 想象成一家"豪华酒店"：

酒店本身（Teams Phone 云大脑）非常高级，房间漂亮、服务一流，但它没有自己的"出租车"——客人想去机场（PSTN），需要打车。

微软提供了三种打车方式：
🚖 Calling Plans = 酒店自营出租车（贵，且不是每个城市都有）
🚕 Operator Connect = 与本地车队合作（取决于当地有没有合作伙伴）
🚐 Direct Routing = 客人自己带司机来（自由度最高，可以用自己习惯的车队 = 现有运营商）

而 Cisco CUBE 就是您的"专属司机 + 豪华接驳车"——既符合微软的认证标准，又能开向任何您指定的运营商。

对比维度	Microsoft Calling Plans	Operator Connect	Direct Routing（CUBE）
谁提供 PSTN？	微软直接提供	微软认证的运营商	企业自选运营商或自有 IP-PBX
谁提供 SBC？	无需 SBC	运营商提供（云端）	企业自部署（如 Cisco CUBE）
地理覆盖	有限（仅约 30 国）	取决于本地合作运营商	✓ 全球任何能用 SIP Trunk 的地方
号码灵活性	仅微软号码	运营商号码	✓ 沿用企业现有号码
与现有 IP-PBX 共存	✗	✗	✓ 完美支持
成本控制	按用户数订阅	运营商定价	✓ 沿用现有合同，最经济
典型适用场景	纯云、小规模、低复杂度	中型企业、有合作运营商	大中型企业、跨国、有现有投资

对于已有 Cisco UCM、Webex Calling 或现有运营商 SIP Trunk的企业，Direct Routing + CUBE 几乎是唯一兼具"功能完整 + 投资保护 + 成本可控"的方案。这也是本白皮书聚焦此模式的根本原因。

1.4 三者合一：CUBE 如何让 Teams Calling 真正"通话"？

现在我们已经分别理解了 SIP、CUBE、Teams Calling，让我们用一张图把它们串起来：

从这张图，我们能看到的关键真相

SIP 与 RTP 是分离的：信令走一条路（蓝线），声音走另一条路（橙线），CUBE 同时处理两者
CUBE 是必经之地：所有从 Teams 出去的电话，必须经过 CUBE 才能到达运营商
CUBE 同时面对两个 SIP 世界：左边是微软的 SIP（要求严格的 TLS + SRTP），右边是运营商的 SIP（可能是 UDP + RTP），两边的"方言"不同，CUBE 负责翻译
媒体可能绕开 Teams 云（Media Bypass 模式）：声音直接从用户客户端流到 CUBE，提升通话质量

SIP 是语言，RTP 是声音，CUBE 是翻译官——而 Microsoft Teams Calling，是一座等待这位翻译官打开的城门。

方案架构：Teams Calling 的"骨骼"长什么样？

理解了基础概念，接下来我们要深入解剖 Microsoft Teams Calling 的方案架构—— 看看微软云、企业 SBC、运营商三者如何协同工作，以及 Direct Routing 的几种典型部署模式各自适合什么场景。

2.1 鸟瞰全貌：Teams Calling 端到端架构

苏格拉底之问

当我们说"部署 Teams Calling"，到底要部署哪些组件？这些组件分布在哪里——是云上、企业内网，还是边界？它们之间又靠什么协议通信？

第一性原理拆解

任何企业级语音方案都可以分解为三个层次：

客户端层（User Layer）：用户在哪里使用？Teams 桌面客户端、手机 App、IP 话机
呼叫控制层（Control Layer）：谁在管理"谁拨给谁"？Teams Phone（云上）
边界与中继层（Border & Trunk Layer）：谁负责跟外部世界通话？SBC（CUBE）+ SIP Trunk

Microsoft Teams Calling 的特殊之处在于：呼叫控制层完全在云上（这是它和传统 PBX 最大的区别），但边界层必须在企业本地（因为 SIP Trunk 必须落地到具体的运营商电路或现有 PBX）。

核心洞察：这张图揭示了 Teams Calling 部署的三个事实：

用户层和控制层"飞"在云上，企业不需要管理服务器、不需要打补丁、不需要扩容
边界层"扎根"于本地，因为 PSTN 是物理网络的延伸，必须有落地点
CUBE 是这两个世界唯一的"接口"，它的稳定性、安全性、可扩展性直接决定了整个语音业务的质量

2.2 Direct Routing 深度剖析：信令与媒体如何流转？

苏格拉底之问

微软云在美国（或欧洲），CUBE 在企业本地，运营商在另一个地方——一通电话的语音数据，到底是怎么"绕"过这些距离的？媒体真的要从客户端经过微软云再到 CUBE 吗？这样不会延迟很高吗？

第一性原理拆解

要理解 Direct Routing 的媒体路径，必须先区分两个概念：

信令（Signaling）：必须经过 Teams Phone 云（这是控制层的本质要求）
媒体（Media）：可以走两条不同的路径，分别叫 Media Bypass 启用 和 Media Bypass 禁用

微软的设计是：信令必须严格走云端，但媒体可以"抄近路"，以减少延迟和不必要的流量。

把两种模式想象成"快递配送"：

🐌 Media Bypass 禁用 = 您从北京寄快递到隔壁邻居，但快递公司规定所有包裹必须先寄到上海总部分拣，再转发回来。明明邻居在隔壁，包裹却要绕 1000 公里。

🚀 Media Bypass 启用 = 同样是寄给邻居，但快递公司允许您直接从北京小区送到邻居家，只需要把"寄了什么"的电子单据上报总部即可。

快递（媒体）省了大量时间，单据（信令）依然受总部管控。这就是为什么 Media Bypass 能显著降低通话延迟。

Media Bypass 启用的前置条件

CUBE 版本：14.1 或更高（IOS-XE 17.3.3+）
STUN/ICE-Lite 支持：CUBE 必须能响应 STUN 绑定请求（用于 NAT 穿越和媒体路径协商）
仅限 IP-IP 调用流：不支持涉及 TDM（传统电路）的调用
客户端到 CUBE 的网络可达性：Teams 客户端必须能直接访问 CUBE 的媒体地址（通常需要公网或 VPN 互通）
租户配置启用：在 Teams Admin Center 中需要为相关用户启用 Media Bypass

即使启用了 Media Bypass，呼叫保持音乐（Music On Hold）、呼叫转接等场景中，媒体仍可能短暂返回云端处理。这是微软的设计行为，不是配置错误。

2.3 三种部署模式：哪种适合您的企业？

根据 Cisco 官方 Direct Routing 应用指南，CUBE 支持三种典型的部署模式。选择哪一种，取决于您企业现有的语音基础设施和迁移策略。

模式 A

纯 Teams + CUBE 直通 PSTN

所有用户都使用 Teams Phone，CUBE 作为唯一的 PSTN 出口。最简洁、最现代化的部署方式。

适合：云优先、绿地部署、新建分支机构

模式 B

Teams + CUCM 双控制面共存

部分用户在 Teams Phone，部分用户保留在 Cisco UCM。CUBE 同时承担 Teams 与 PSTN、UCM 与 PSTN、Teams 与 UCM 的中继。

适合：渐进迁移、混合环境、保留 Cisco 投资

模式 C

Teams + Webex Calling 互通

Webex Calling 用户与 Teams Phone 用户通过 CUBE 互通。两个云语音平台之间架起桥梁。

适合：混合云策略、多平台并存的企业

📌 模式 A：纯 Teams + CUBE → PSTN

📌 模式 B：Teams + CUCM 共存（最常见的迁移场景）

模式 B 的关键限制（来自 Cisco 官方应用指南）：

Direct Routing for Teams Phone 不支持视频编解码，因此 CUCM ↔ Teams 之间只能进行音频通话
Cisco UCM 用户和 Teams Phone 用户之间不能共享线路（共享线路是 CUCM 的特色功能）
从 CUCM 拨打 Teams 用户时，不支持回拨补全（callback completion）

📌 模式 C：Teams + Webex Calling 双云互通

2.4 三种模式横向对比：哪个适合您？

✗ Teams ↔ CUCM 仅音频

评估维度	模式 A：纯 Teams	模式 B：Teams + CUCM	模式 C：Teams + Webex Calling
架构复杂度	低	中-高	中
初始成本	需要全员 Teams Phone 许可证	逐步迁移，成本可控	已有 Webex Calling 的企业最佳
现有投资保护	✗ 需替换大量话机	✓ 完美保留 UCM 资产	✓ 保留 Webex 投资
用户体验一致性	✓ 全员单一 Teams 体验	双客户端，需培训	双客户端，Webex App 可与 Teams 集成
视频通话支持	Teams 内部全支持	Webex ↔ Teams 仅音频
共享线路 / Boss-Admin	Teams 原生支持	✗ 跨平台不支持	✗ 跨平台不支持
联络中心集成	需 Teams Contact Center 方案	可保留 UCCX/UCCE	可使用 Webex Contact Center
典型适用对象	新建办公室、云优先、500 人以下	大型企业、跨国、有 UCM 部署	已有 Webex 战略合作的企业
CUBE 配置复杂度	2 个 dial-peer 即可（Teams↔PSTN）	需要多个 dial-peer + tenant	需要多个 tenant + 路由规则

对于大多数中大型已有 Cisco UCM 部署的企业，模式 B 是最稳妥的选择。它允许您：①保留现有投资，②按部门/地区分批迁移，③在迁移过程中持续观察 Teams 体验，④随时回退或并行运行。

2.5 在 Direct Routing 中，CUBE 必须具备哪些能力？

微软对 Direct Routing 的 SBC 有严格的认证要求。Cisco CUBE 是少数获得微软官方认证的企业级 SBC，具备以下七大关键能力：

① TLS 1.2 加密信令

微软强制要求所有 SIP 信令必须通过 TLS 1.2 加密。CUBE 需要安装来自微软认可 CA 的公共证书（如 DigiCert、Let's Encrypt 等），并配置 FQDN 与租户域匹配。

② SRTP 加密媒体

所有从 Teams 到 CUBE 的媒体流必须使用 SRTP（Secure RTP）加密。CUBE 支持 AES_CM_128_HMAC_SHA1_80 等加密套件，确保通话内容不被窃听。

③ 公网可达 + 公共证书

CUBE 必须有公网 IP + 公网 FQDN，且证书的 CN/SAN 必须与租户子域匹配（如 sbc.example.com）。微软会主动连接 CUBE 进行健康探测。

④ 微软 IP 段白名单

CUBE 必须配置受信 IP 列表，仅接受来自微软 SIP Proxy（sip.pstnhub.microsoft.com 等）的连接，防止 SIP 端口被恶意扫描和盗打。

⑤ SIP 协议归一化（SIP Profiles）

微软对 SIP 头部、SDP 字段有特定要求（如 X-MS-SBC、user=phone 参数等）。CUBE 通过 SIP Profile 灵活改写消息，保证两边都能识别。

⑥ OPTIONS Keep-Alive

CUBE 必须周期性向微软发送 SIP OPTIONS 心跳，证明自己"还活着"。如果连续失败，微软会将 SBC 标记为不可用并停止派发呼叫。

⑦ 高可用（Box-to-Box HA）

对于关键业务，CUBE 支持主备双机部署，通过 RG（Redundancy Group）协议同步呼叫状态，主机故障时备机秒级接管，呼叫不中断。

⑧ 紧急呼叫路由

CUBE 支持将紧急呼叫（如 911、110）路由至专用紧急呼叫服务（Bandwidth、Intrado 等），并携带位置信息，满足 Kari's Law、RAY BAUM's Act 等法规要求。

没有 CUBE，Teams 只是一个"好看的会议软件"；有了 CUBE，它才真正成为一套企业级电话系统。

动手之前：Teams Calling 落地需要哪些"通行证"？

理解了架构，但架构图不会自己变成现实。真正部署 Teams Calling，需要您准备好一份完整的"通行证清单"—— 许可证、域名、证书、网络、运营商、防火墙……每一项缺失都会让项目卡死。本章用第一性原理，把这些前置条件一次性讲清楚。

3.1 准备工作的八大维度：从云到地

苏格拉底之问

为什么很多 Teams Calling 项目在"技术上一切正常"的情况下，却在上线前 3 天突然卡壳？答案往往不在技术，而在那些被忽视的"非技术准备"——比如证书还没签发、运营商号码池没批下来、防火墙策略还没开通……

第一性原理拆解

Teams Calling 是一个跨"云-边-端-人-法"五个维度的系统工程。任何一个维度不到位，整个系统就无法运转。我们把准备工作拆成八个互相独立又彼此关联的维度：

许可证维度：Microsoft 365 + Teams Phone 订阅是否齐备
域名与证书维度：公共 FQDN、CA 签名证书是否就绪
网络维度：公网带宽、防火墙策略、QoS 是否规划
CUBE 平台维度：硬件/虚拟机选型、IOS-XE 版本、CUBE 会话许可证
运营商维度：SIP Trunk 合同、号码池、紧急呼叫
身份与目录维度：Azure AD 用户、号码分配、策略
合规与法规维度：紧急呼叫合规、通话录音、数据驻留
运维与变更维度：监控、备份、回退方案

把 Teams Calling 部署想象成"开一家跨境餐厅"：

🏪 许可证 = 营业执照（没有就开不了门）
🏷️ 域名证书 = 招牌和门牌（顾客和外卖平台必须能找到您）
🛣️ 网络 = 门口的马路（窄了顾客挤不进来）
🍳 CUBE 平台 = 厨房设备（决定能同时招待多少桌）
📞 运营商 = 食材供应商（断供就停业）
👥 身份目录 = 员工花名册（谁能点单、谁能上菜）
⚖️ 合规 = 食品安全认证（紧急情况能不能报警）
🔧 运维 = 营业后的清洁、巡检、应急预案

任何一项没准备好，开业当天就是灾难。

3.2 维度①：许可证 — 您必须为每位用户准备的"船票"

第一性原理：用户能不能打电话，看的是订阅

微软的 SaaS 模式决定了——每一项功能都对应一组许可证。Teams Calling 不是"开个开关"就能用，而是必须为每个用户配齐三类许可证：

层级	许可证名称	作用	是否必需
① 基础	Microsoft 365 E1/E3/E5 或 Office 365 E1/E3/E5	提供 Teams 客户端、Azure AD 身份、邮箱等基础能力	✓ 必需
② 电话能力	Teams Phone Standard（独立许可证）或 Microsoft 365 E5（已含）	开启 Teams Phone PBX 功能：分机、语音信箱、呼叫转移、自动话务员	✓ 必需
③ PSTN 接入	三选一： - Calling Plan（微软提供号码） - Operator Connect（运营商提供） - 不需要单独购买（如果走 Direct Routing）	提供 PSTN 出局能力	视方案而定
④ 高级功能（可选）	Teams Premium、Teams Rooms Pro	会议高级特性、会议室设备管理	可选

关于 Direct Routing 的好消息：选择 Direct Routing 模式时，您不需要购买微软的 Calling Plan——只需要 Microsoft 365 + Teams Phone 即可。PSTN 部分由您的现有运营商和 CUBE 提供，这正是 Direct Routing 最经济的核心原因。

常见踩坑：很多企业误以为买了 Microsoft 365 E5 就能直接打电话——错！E5 仅仅包含 Teams Phone 许可证，但 PSTN 接入仍需配置（Calling Plan / Operator Connect / Direct Routing 至少选一）。Direct Routing 方案下还需要部署 CUBE 才能真正出局。

3.3 维度②：域名与证书 — 让微软"信任"您的 CUBE

苏格拉底之问

微软云端有成千上万的客户 SBC 想要连接，它怎么知道哪一台 SBC 属于哪一个客户租户？又怎么确认这台 SBC 不是冒充的攻击者？

第一性原理：身份认证的本质 = 一张可信的"身份证"

微软通过两个机制识别 SBC：

FQDN（完全限定域名）匹配：SBC 的域名必须属于微软租户已验证的子域
TLS 证书验证：SBC 必须出示一张由微软认可的公共 CA签发的证书，且证书 CN/SAN 必须与 FQDN 一致

这就像出入境时——光有护照（FQDN）不够，护照必须由权威国家颁发（公共 CA），且姓名（CN）必须和您本人对得上。

域名与证书准备清单

注册一个公网 FQDN，例如 sbc.example.com。该域必须是您 Microsoft 365 租户已验证的域，或其子域
在 Microsoft 365 Admin Center 验证域名（添加 TXT 记录证明所有权）
从微软认可的公共 CA 申请证书，常见可用 CA 包括：
- DigiCert / Entrust / GlobalSign / GoDaddy / Sectigo / Baltimore
- 证书必须是 RSA ≥ 2048 位 或 ECDSA
- 必须包含 "Server Authentication" 扩展密钥用法（EKU）
证书的 CN 或 SAN 必须包含 CUBE 的 FQDN（建议同时把 CN 和 SAN 都设为 FQDN）
支持通配符证书（如 *.example.com），适合 HA 双机部署共用证书
证书有效期建议至少 1 年，并设置到期前 30 天告警
同时安装 CA 中间证书链，否则微软会拒绝连接

不要使用自签名证书！微软 Direct Routing 明确拒绝自签名证书。无论您的内网如何信任，外部对接微软云时必须使用公共 CA 签发的证书。这是部署中最常见的失败原因之一。

3.4 维度③：网络 — 通话质量的"承重墙"

第一性原理：语音是"实时"业务，对网络极其敏感

和数据/网页不同，语音业务对网络有三个硬性要求：

低延迟（Latency）：端到端 < 150ms 为优秀，< 200ms 为可用，> 300ms 用户会明显感觉对话"卡顿"
低抖动（Jitter）：< 30ms 为优秀，> 50ms 会出现"机械音"
低丢包（Packet Loss）：< 1% 为优秀，> 3% 会出现明显断字

要满足这三项要求，必须从带宽、防火墙、QoS 三个角度提前规划。

🔌 带宽规划

编解码	每路通话带宽（含信令）	典型用途
G.711 (μ-law/A-law)	约 90 Kbps	PSTN 端必备，质量好但占带宽多
OPUS / SILK	30-60 Kbps	Teams 客户端原生使用
G.729	约 30 Kbps	窄带场景

带宽计算公式：峰值并发通话数 × 单路带宽 × 1.5（裕量） = 所需带宽
例如：200 路并发 × 100 Kbps × 1.5 = 30 Mbps 专用带宽。这是 CUBE 到运营商和到微软云两段链路各自需要的带宽。

🛡️ 防火墙策略

CUBE 与微软云之间需要开通的端口（基于 Cisco Direct Routing 应用指南）：

方向	源	目的	协议/端口	用途
出站 + 入站	CUBE 公网 IP	52.112.0.0/14、52.122.0.0/15（Microsoft Teams）	TCP 5061 (TLS)	SIP 信令（双向）
出站 + 入站	CUBE 公网 IP	同上	UDP 3478-3481, 50000-59999	SRTP 媒体（双向）
出站	CUBE	运营商 SBC IP	UDP/TCP 5060 或 TLS 5061	SIP 信令到运营商
双向	CUBE ↔ 运营商	—	UDP（运营商指定 RTP 端口段）	RTP 媒体到运营商
双向（Media Bypass）	Teams 客户端	CUBE 公网 IP	UDP 3478-3481	STUN + 直接媒体

微软的 IP 段会动态变化！请订阅 Microsoft 365 IP & URL 列表，并在防火墙策略中使用动态白名单或 FQDN-based ACL，避免微软更新 IP 后业务中断。

🚦 QoS（服务质量）规划

QoS 标记建议

语音媒体（RTP）：DSCP EF (46) — 最高优先级
语音信令（SIP）：DSCP CS3 (24) 或 AF31 (26)
视频媒体：DSCP AF41 (34)
在 CUBE 上为相关 dial-peer 配置 ip qos dscp 命令
在出口路由器和交换机上配置队列优先级，保证语音流量在拥塞时优先通过
如有 SD-WAN，请在策略中将语音流量标记为关键业务（Mission Critical）

3.5 维度④：CUBE 平台 — 选对"发动机"

第一性原理：硬件容量决定业务上限

CUBE 不是"一台设备走天下"。不同的硬件平台支持的并发会话数差异巨大——从几百到上万。选错平台，要么浪费投资，要么上线后撑不住流量。

📐 容量规划：从用户数推算并发

行业经验法则（Erlang B 简化估算）：
- 一般企业用户：1 路并发 ≈ 10-15 名用户（普通办公）
- 销售/客服密集型：1 路并发 ≈ 3-5 名用户（高频外呼）
- 联络中心：1 路并发 ≈ 1-1.5 名坐席

⚙️ CUBE 平台选型矩阵

平台	形态	典型并发会话	适用场景
ISR 4321 / 4331	硬件路由器	500 - 1,000	分支机构、小型办公室
ISR 4351 / 4431	硬件路由器	2,000 - 3,000	中型办公室、地区总部
ISR 4451 / 4461	硬件路由器	6,000 - 10,000	大型企业、数据中心
Catalyst 8200 / 8300	新一代硬件平台	2,500 - 10,000	新部署首选，性价比高
ASR 1001-X / 1002-X	高端硬件	12,000 - 14,000	运营商级、超大型企业
ASR 1006 (RP3 + ESP100)	旗舰级硬件	16,000+	超大规模、电信场景
vCUBE on CSR1Kv / Cat8000V	虚拟机（ESXi）	1,000 - 6,000 （取决于 vCPU）	云优先、虚拟化数据中心
vCUBE on AWS / Azure	公有云虚拟机	3,000 （c5.large）	云原生、跨区域部署

2026 年新部署推荐：优先选择 Catalyst 8000 系列（硬件场景）或 vCUBE on Cat8000V（虚拟化场景）。这是 Cisco 当前主推的平台，IOS-XE 17.x 全功能支持，且性价比最优。

📜 CUBE 软件许可证

三类许可证必须配齐

平台许可证（Network Essentials / Network Advantage / Network Premier）—— 启用基础路由功能
HSEC 许可证（高安全许可证）—— 启用 TLS/SRTP 加密能力，Direct Routing 必需
CUBE 会话许可证（按并发会话数订阅）—— 决定能跑多少路通话
- CUBE Standard Trunk Session：标准会话
- CUBE Redundant Session：HA 备机使用
- 从 IOS-XE 17.2+ 起改为动态会话计数，按实际峰值订阅

🌐 IOS-XE 版本要求

根据 Cisco 官方 Direct Routing 应用指南：

最低版本：IOS-XE 17.2.1r（CUBE 12.8 / 不启用 Media Bypass）
启用 Media Bypass：IOS-XE 17.3.3+ （CUBE 14.1+）
推荐生产版本：IOS-XE 17.6.1a 或更高（CUBE 14.4+，长期维护版本）
2026 年新部署推荐：IOS-XE 17.12.x 或 17.15.x（最新功能 + 长期支持）

3.6 维度⑤：运营商 — PSTN 接入的"最后一公里"

第一性原理：CUBE 的对外能力，来自您的运营商合同

CUBE 自己不能凭空"打电话"，它必须通过运营商的 SIP Trunk把呼叫送出去。运营商提供两件事：

号码资源：可分配给 Teams 用户的 DID 号码（直拨号码）
SIP Trunk 通道：让 CUBE 能与运营商核心网通信的协议链路

运营商对接前必须确认的清单

SIP Trunk 容量：约定的最大并发通道数是否满足业务峰值？
编解码支持：运营商支持哪些编解码？至少要包含 G.711
SIP 协议变体：运营商使用 SIP over UDP / TCP / TLS？端口号？
对端 IP / FQDN：CUBE 应该把 SIP 信令发往哪个地址？是否需要白名单
身份验证方式：IP-based（IP 白名单）还是 Registration-based（注册）？
号码格式：运营商接收 +E.164（如 +8613800138000）还是国内格式？
主叫号码（Caller ID）规则：运营商是否限制主叫号码必须属于 Trunk 号码池？
紧急呼叫处理：110/119/120 等紧急号码如何路由？
话单与计费：是否提供 CDR 接口用于内部对账？
SLA 与故障响应：运营商承诺的可用性？故障 MTTR？

跨国企业特别注意：不同国家对 PSTN 接入有不同的本地化合规要求。例如中国大陆要求号码必须在本地落地、紧急呼叫必须走本地 PSTN；某些国家（如俄罗斯、印度）对跨境 VoIP 有严格管控。务必为每个国家分别签订本地运营商合同，并在 CUBE 上配置区域路由策略。

3.7 维度⑥：身份与目录 — 谁能打、能打给谁？

第一性原理：电话号码必须绑定到 Azure AD 用户

Teams Phone 的所有功能都建立在 Azure AD（现在叫 Microsoft Entra ID）的用户身份之上。没有同步到 Azure AD 的用户，是不可能打电话的。

身份准备清单

Azure AD 已部署或已同步：本地 AD 通过 Azure AD Connect 同步至云端
所有需要打电话的用户已分配 Microsoft 365 + Teams Phone 许可证
每位用户已分配 +E.164 格式的电话号码（通过 PowerShell 命令 Set-CsPhoneNumberAssignment）
语音路由策略已分配给用户（决定该用户的呼叫走哪个 SBC）
来电显示策略（CallerID Policy）已配置（决定外呼时显示什么号码）
紧急呼叫策略（Emergency Calling Policy）已配置（决定紧急呼叫如何路由、如何上报位置）
SSO 单点登录已配置（如果使用第三方 IdP）

3.8 维度⑦：合规与法规 — 别让"合规"成为最后的拦路虎

第一性原理：电话业务受到比 IT 更严格的法规约束

电话业务在很多国家属于电信监管业务，涉及消费者保护、紧急救援、公共安全。一旦合规出问题，企业可能面临巨额罚款甚至刑事责任。

🚨 紧急呼叫合规

美国：Kari's Law（直拨 911 无需前缀）+ RAY BAUM's Act（必须传递可调度位置信息）
欧盟：E112 / 各国本地紧急号码
中国：110/119/120 必须能正确路由到当地接警中心

🎙️ 通话录音合规

GDPR、PCI-DSS、HIPAA 等法规对录音的知情同意、加密存储、保留期限、销毁流程有明确要求。CUBE 的 SIPREC 录音功能需配合合规录音平台使用。

🌍 数据驻留

某些国家（如中国、俄罗斯、欧盟部分国家）要求通话数据必须存储在境内。微软 Teams 的数据驻留区域有限，跨境企业需特别评估。

📋 行业监管

金融业（SEC、MiFID II）要求所有交易相关通话必须录音并保留多年；医疗业（HIPAA）要求加密所有患者相关通话。

3.9 维度⑧：运维 — 上线只是开始，运维才是日常

运维准备清单

监控平台：CUBE 的 SNMP / Syslog / NetFlow 已对接到企业监控平台（如 Cisco Prime、SolarWinds、Zabbix）
关键告警：配置 SIP Trunk 故障、CPU/内存超阈值、证书到期、HA 切换等告警
呼叫质量监控：使用 Cisco Webex Control Hub 的 Cloud-Connected UC（CCUC）或第三方 VoIP 质量分析工具
配置备份：CUBE running-config 定期自动备份至 TFTP/SCP 服务器
变更管理：所有 CUBE 配置变更走 ITIL 流程（CR 审批、维护窗口、回退预案）
故障恢复演练：每季度演练 HA 主备切换、运营商故障切换、整体灾备切换
容量监控：跟踪并发呼叫高峰，提前规划扩容
证书续签计划：到期前 60 天启动续签流程

3.10 一页纸：项目启动前必须打勾的 30 项准备清单

#	维度	检查项	状态
1	许可证	所有目标用户的 Microsoft 365 E1/E3/E5 许可证已就绪	☐
2	许可证	所有目标用户的 Teams Phone Standard 许可证已分配	☐
3	许可证	已确认采用 Direct Routing 方案（不购买 Calling Plan）	☐
4	域名证书	已注册 CUBE 公网 FQDN（如 sbc.example.com）	☐
5	域名证书	该域名已在 Microsoft 365 Admin Center 验证	☐
6	域名证书	已从公共 CA 申请到 SBC 证书（含 EKU 服务器认证）	☐
7	域名证书	证书已包含完整 CA 中间链	☐
8	网络	CUBE 公网 IP 已分配并可达	☐
9	网络	带宽已按峰值并发 × 100Kbps × 1.5 规划	☐
10	网络	防火墙已开通微软 IP 段 + 端口（TCP 5061、UDP 3478-3481、UDP 50000-59999）	☐
11	网络	防火墙已开通运营商 SIP Trunk 的 IP 与端口	☐
12	网络	QoS 策略已部署（语音 EF、信令 CS3）	☐
13	网络	NTP 同步配置正确（CUBE / DC / 客户端时钟一致）	☐
14	网络	DNS 正反解析配置正确	☐
15	CUBE 平台	CUBE 硬件 / vCUBE 已选型并到货	☐
16	CUBE 平台	IOS-XE 版本符合要求（建议 17.6+ 或 17.12+）	☐
17	CUBE 平台	HSEC 许可证已激活（启用加密能力）	☐
18	CUBE 平台	CUBE 会话许可证已订阅（与峰值并发匹配）	☐
19	CUBE 平台	HA 主备双机已规划（关键业务必须）	☐
20	运营商	SIP Trunk 合同已签订，容量满足业务	☐
21	运营商	号码池已批准并分配（DID 数量 ≥ 用户数）	☐
22	运营商	运营商 SIP 协议参数已确认（IP/端口/编解码/认证方式）	☐
23	运营商	紧急呼叫路由方案已确认（含本地紧急号码）	☐
24	身份目录	Azure AD 已部署或已同步	☐
25	身份目录	用户号码分配脚本已准备（PowerShell）	☐
26	身份目录	语音路由策略、来电显示策略、紧急呼叫策略已规划	☐
27	合规	紧急呼叫合规方案已审批（如 Kari's Law/E112）	☐
28	合规	录音/数据驻留方案已通过法务审批	☐
29	运维	监控告警已对接 NOC，配置备份机制就绪	☐
30	运维	回退方案已书面确认（出问题时如何切回）	☐

建议把这张清单打印出来贴在项目室。每周项目例会上对照检查，每勾掉一项就离上线近一步。30 项全部打勾，您的 Teams Calling 项目就有了 90% 的成功保障。

所有上线事故，几乎都不来自技术本身——而来自被忽视的"小事"：一张快过期的证书、一个没开的防火墙端口、一个没分配的许可证。

Cisco 解决方案：用一套"组合拳"应对所有场景

理解了需求和准备工作，是时候看看 Cisco 的完整工具箱了。本章不只讲 CUBE，还会把 vCUBE、HA 高可用、Cisco Call for Microsoft Teams、Webex Calling 协同等配套方案一起呈现——让您看到一个真正可落地、可扩展、可演进的全景方案。

4.1 Cisco 协作工具箱：一张图看懂所有产品

苏格拉底之问

如果您的需求只有"让 Teams 能打电话"，CUBE 就够了。但如果您的需求是"让 Teams 能打电话，同时保留现有 Cisco 投资，同时让用户既能用 Teams 又能用 Webex 的高级语音功能"——那您需要的就不止是 CUBE，而是一整套协作生态。

第一性原理拆解

Cisco 针对 Teams 集成场景，提供五大类解决方案，分别解决五个不同的问题：

SBC 网关类（CUBE / vCUBE）：解决 Teams 与外部世界的通话连接
高可用类（CUBE HA）：解决业务连续性和故障容灾
设备类（IP 话机、耳机、摄像头）：解决用户终端设备问题
客户端集成类（Cisco Call for Microsoft Teams）：让用户在 Teams 里直接用 Webex Calling
云协作类（Webex Calling、Webex App）：提供完整的 Cisco 云电话方案

4.2 CUBE 产品矩阵：硬件、虚拟化、云原生三种形态

第一性原理：用户在哪里，CUBE 就部署在哪里

20 年前，CUBE 只能跑在物理路由器上。今天，企业的 IT 形态已经千变万化——有数据中心、有云上、有边缘、有 SD-WAN……Cisco 把 CUBE 拆成三种形态，让您能在任何环境下都能部署：

硬件形态

物理 CUBE

跑在 Cisco 路由器硬件上，与 WAN 接入一体化。带 Crypto 加速芯片，支持最高 16,000+ 并发会话。

代表平台：

ISR 4000 系列
Catalyst 8200/8300/8500
ASR 1001/1002/1006-X

适合：分支机构、地区数据中心

虚拟化形态

vCUBE on ESXi/KVM

跑在 VMware ESXi、KVM 等私有云虚拟化平台上。可弹性扩容，与企业现有数据中心架构融合。

代表平台：

CSR1000v（旧）
Catalyst 8000V（推荐）

适合：企业数据中心、私有云部署

云原生形态

vCUBE on AWS/Azure

直接部署在公有云 IaaS 上，按需启停、地域就近。BYOL 模式沿用 Cisco 许可证，无需额外采购。

支持云：

AWS（c5.large / c5n.large）
Microsoft Azure（D2_v2）

适合：云优先战略、跨国分布式

2026 年最佳实践：

新建分支机构 → Catalyst 8200/8300（硬件）
大型数据中心 → vCUBE on Cat8000V（虚拟化，可水平扩展）
跨国云优先企业 → vCUBE on AWS/Azure（按区域就近部署，降低跨境延迟）

4.3 CUBE 高可用：让"打电话"永不中断

苏格拉底之问

如果一台 CUBE 出故障，企业内所有 Teams 用户都将无法外呼。客服热线断 5 分钟，损失可能就是几十万。我们如何确保哪怕设备坏了、电源断了、网卡烧了，电话依然能打？

第一性原理：高可用 = 冗余 + 自动切换 + 状态同步

任何高可用方案都必须解决三个问题：

冗余：要有备份设备/链路，主用故障时备用顶上
自动切换：检测到故障后，能在秒级完成切换，无需人工介入
状态同步：切换后已建立的呼叫不能掉线，已收的话单不能丢失

📌 方案 1：Box-to-Box HA（双机热备 · 最常用）

Box-to-Box HA 核心要点

两台 CUBE 必须同型号、同 IOS-XE 版本、同配置（HA 严格要求）
使用 RG（Redundancy Group）协议同步呼叫状态，主备之间通过独立的心跳网络互联
对外暴露虚拟 IP（VIP），运营商和微软只看到 VIP，不感知主备切换
支持的呼叫保留场景（IOS-XE 17.6+）：基本呼叫、保持/恢复、转接、视频呼叫
典型切换时间：< 3 秒（已建立呼叫不掉线）
许可证：主备各需要 CUBE Redundant Session 许可证

📌 方案 2：In-Box HA（单机双 RP · 仅 ASR 平台）

ASR 1006 等高端平台支持双 RP（Route Processor）热备——一台机器内部就有两块大脑，一块工作时另一块待命。这种方式部署更简单，但只适用于支持多 RP 的硬件平台。

📌 方案 3：DNS SRV 多机负载均衡（IOS-XE 17.9+）

新一代高可用架构：从 IOS-XE 17.9 开始，CUBE 支持基于 DNS SRV 记录的多机负载均衡。Teams 通过 DNS SRV 查询返回多个 CUBE，每个 CUBE 都同时工作（不是主备模式），故障节点自动从轮询中剔除。这种方式可以实现 N+1、N+N 横向扩展，特别适合超大规模部署。

4.4 Cisco 终端设备：让用户体验"无缝"

🎧 Cisco Headsets（耳机）

全系列 Cisco 耳机均通过 Microsoft Teams 认证，按下耳机上的 Teams 按钮即可接听/发起 Teams 通话。代表型号：

Headset 320 系列：经济型 USB 有线
Headset 720 系列：蓝牙无线
Bang & Olufsen Cisco 950：旗舰级降噪

📷 Desk Camera 4K

4K UHD 高清网络摄像头，支持 Windows Hello 人脸识别。Teams 视频会议官方认证，画面比内置摄像头清晰数倍。

📞 MPP IP 话机（via SIP Gateway）

Cisco 6800/7800/8800 系列 MPP 话机可通过 Microsoft SIP Gateway 注册到 Teams Phone，让现有话机继续服役。Cisco Desk Phone 9800 系列已通过测试，是 2026 年新部署首选。

🏢 Teams Rooms 设备

Cisco 视频协作设备（Room Bar、Board Pro 等）支持 Microsoft Teams Rooms 模式，登录 Microsoft 账号后即变成 Teams 会议室设备，提供 Cisco 业界领先的 AI 视频体验。

SIP Gateway 的局限：通过 Microsoft SIP Gateway 注册的 MPP 话机功能受限——不支持呼叫队列在线状态、不支持共享线路、不支持本地生存性（SBA）、不支持软键模板自定义等。如果用户需要完整的话机体验，建议保留 Cisco UCM/Webex Calling 作为这些话机的注册中心。

4.5 Cisco Call for Microsoft Teams：在 Teams 里直接拨打 Cisco 电话

苏格拉底之问

有些企业的诉求很特别：他们已经投资了 Cisco Webex Calling 或 Cisco UCM，认为 Cisco 的语音体验更专业、更稳定；但同时全员都用 Microsoft Teams 做日常协作和会议。如何让这些用户"在 Teams 里就能直接用 Cisco 打电话"，而不是切来切去？

第一性原理：把 Cisco 通话能力"嵌入"Teams 客户端

Cisco 给出的答案是 Cisco Call for Microsoft Teams——一个由微软认证、上架到 Teams App Store 的应用程序。它不替代 Teams，而是"寄居"在 Teams 内部，在 Teams 界面里调用底层的 Webex App 完成通话。

把 Cisco Call for Teams 想象成"美团外卖里的肯德基"：

您在美团 App 里点肯德基（Teams 是入口），但订单实际由肯德基自家系统处理（Webex 在后台执行通话），最后骑手送来的是肯德基的食物（您获得 Cisco 完整的通话体验）。

🎯 用户感觉：始终在 Teams 里操作
🎯 实际执行：底层走 Cisco 的呼叫平台
🎯 融合效果：Teams 的协作 + Cisco 的语音，两全其美

⭐ Cisco Call for Microsoft Teams 核心功能

📞 点击呼叫

在 Teams 任意聊天/通讯录处点击号码即可发起 Cisco 通话

📋 通话历史

完整的 Cisco 通话记录在 Teams 标签页中查看

📨 语音信箱

直接收听 Cisco 语音信箱及转录文本

🔄 状态双向同步

Teams 会议中自动设置 Webex 状态，反之亦然

📱 移动端支持

iOS / Android Teams App 均可使用

🎯 呼叫队列管理

Webex Calling 用户可在 Teams 中签入/签出队列

典型适用场景：

已采购 Webex Calling 但用户更喜欢 Teams 协作的企业
已部署 Cisco UCM 但希望逐步用 Teams 替代 Jabber 的企业
呼叫中心坐席：用 Webex Contact Center 处理客户来电，但内部协作走 Teams

4.6 Webex Calling 与 Teams 的协同模式

对于同时部署了 Webex Calling 和 Microsoft Teams 的企业，Cisco 提供三种协同模式：

协同模式	架构	用户体验	适用场景
模式 1：完全分离	Teams 走 Direct Routing + CUBE，Webex Calling 独立运行	用户分两组：一组用 Teams，一组用 Webex App	组织独立、试点对比
模式 2：Cisco Call for Teams	所有用户用 Teams 做协作，通话由 Webex Calling 提供（嵌入式 App）	用户只看到 Teams 一个界面	统一协作 + 高级语音体验
模式 3：互通互联	Teams Phone 与 Webex Calling 通过 CUBE 互通，双向呼叫	各自使用自己平台，跨平台呼叫无障碍	过渡期、混合并购

4.7 选型决策树：您应该选哪套方案？

Cisco 没有"一刀切"的方案——它有的是一整套乐高积木，等您按业务的形状自由拼接。

从图纸到现实：完整实施方案与准备清单

前四章我们讲了"为什么"和"是什么"。这一章我们要回答最关键的问题："怎么做？" 我们将把整个项目拆成 5 个阶段、20 个里程碑，配上配置示例、验收测试清单、上线后运维守则—— 让您拿到这份指南，就能直接动手干。

5.1 五阶段实施模型：把大象切成小块吃

第一性原理：复杂项目的成功 = 阶段化 + 里程碑 + 可回退

一个 Teams Calling 项目，从立项到稳定运行，至少要经过 3-6 个月。如果一上来就"端到端整体推进"，几乎注定失败。我们把项目切成五个阶段，每个阶段都有明确的产出物 + 验收标准 + 可回退检查点。

5.2 阶段一：规划设计（2-3 周）

1.1

需求调研

访谈业务部门，明确：用户数、并发峰值、每月通话分钟数、是否有联络中心、是否有视频会议、紧急呼叫要求、跨国办公需求。产出物：《业务需求文档》

1.2

现状评估

梳理现有 PBX 类型（UCM / 第三方）、SIP Trunk 合同、号码池、网络拓扑、Microsoft 365 订阅情况。产出物：《现状基线报告》

1.3

方案选型

使用第四章的选型决策树，确定模式 A / B / C，并选定 CUBE 形态（硬件 / vCUBE）。产出物：《技术方案书》

1.4

容量与许可证规划

按"用户数 ÷ 10-15"估算并发，选定 CUBE 平台型号、HSEC 许可证、CUBE 会话许可证数量。产出物：《采购清单》

1.5

项目立项

提交董事会/IT 委员会评审，明确预算、里程碑、风险、回退方案。产出物：《项目立项书》

5.3 阶段二：前置准备（2-4 周）

2.1

采购到货

CUBE 硬件 / vCUBE 镜像 + 许可证 + 公网证书订单提交。注意：公共 CA 签发证书通常需要 3-7 个工作日，不要等到最后才申请。

2.2

域名注册与验证

在 Microsoft 365 Admin Center 添加 SBC 子域（如 sbc.example.com），通过 TXT 记录验证所有权。等待 DNS 全球生效（最长 24 小时）。

2.3

证书签发与导入

从公共 CA（如 DigiCert）申请证书，CN/SAN 设置为 CUBE FQDN。务必下载完整的 CA 中间证书链，并在 CUBE 上导入。

2.4

运营商对接

与运营商工程师对齐：SIP Trunk IP/FQDN、协议（UDP/TCP/TLS）、端口、编解码、号码格式（+E.164 / 国内格式）、主叫号码规则、紧急呼叫处理。建议安排一次三方电话会议。

2.5

网络与防火墙开通

申请公网 IP、配置防火墙策略（参见 3.4 节端口清单）、规划 NAT 规则、部署 QoS 策略。变更窗口务必避开业务高峰。

2.6

许可证分配

在 Microsoft 365 Admin Center 为目标用户分配 Teams Phone Standard 许可证。建议先小范围试点（5-10 人），验证许可证生效。

5.4 阶段三：部署配置（2-3 周）

📌 CUBE 端核心配置示例（Direct Routing 模式）

以下是一份最小可用配置样例，您可以基于此扩展。本示例假设：

CUBE FQDN：sbc.example.com
面向 Teams 接口：GigabitEthernet0/0/0（IP 192.0.2.2）
面向运营商接口：GigabitEthernet0/0/1（IP 203.0.113.2）
运营商 SIP IP：198.51.100.10

# ============================================================================
# 1. 基础启用 CUBE
# ============================================================================
voice service voip
ip address trusted list
ipv4 52.112.0.0 255.252.0.0 # Microsoft Teams 信令地址段
ipv4 52.120.0.0 255.252.0.0
ipv4 198.51.100.10 # 运营商 SIP IP
mode border-element license periodicity days 30
allow-connections sip to sip
no supplementary-service sip refer
fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none
sip
session refresh
header-passing
error-passthru
pass-thru headers 290
sip-profiles inbound

# ============================================================================
# 2. 证书与 TLS 配置
# ============================================================================
crypto key generate rsa general-keys label sbc exportable modulus 2048
crypto pki trustpoint sbc
enrollment terminal
fqdn sbc.example.com
subject-name cn=sbc.example.com
subject-alt-name sbc.example.com
revocation-check crl
rsakeypair sbc

# 此后需手动粘贴 CA 证书并导入签名后的 SBC 证书
# crypto pki authenticate sbc
# crypto pki import sbc certificate

sip-ua
no remote-party-id
retry invite 2
transport tcp tls v1.2
crypto signaling default trustpoint sbc
handle-replaces

# ============================================================================
# 3. 安装微软认可的 CA 根证书包
# ============================================================================
crypto pki trustpool policy
no cabundle url
cabundle url http://www.cisco.com/security/pki/trs/ios.p7b
revocation-check crl
crypto pki trustpool import ca-bundle

# ============================================================================
# 4. SRTP 加密配置
# ============================================================================
voice class srtp-crypto 1
crypto 1 AES_CM_128_HMAC_SHA1_80

# ============================================================================
# 5. 编解码规划
# ============================================================================
voice class codec 1
codec preference 1 g711ulaw

# ============================================================================
# 6. SIP Profile：消息归一化（修改头部以满足微软要求）
# ============================================================================
voice class sip-profiles 200
rule 10 request ANY sip-header Contact modify "@.*:" "@sbc.example.com:"
rule 20 response ANY sip-header Contact modify "@.*:" "@sbc.example.com:"
rule 30 request ANY sip-header SIP-Req-URI modify "sip:(.*):5061 (.*)" "sip:\1:5061;user=phone \2"
rule 40 request ANY sip-header User-Agent modify "(IOS.*)" "\1\x0D\x0AX-MS-SBC: Cisco UBE/ISR4321/\1"
rule 50 response ANY sip-header Server modify "(IOS.*)" "\1\x0D\x0AX-MS-SBC: Cisco UBE/ISR4321/\1"
rule 60 request ANY sdp-header Audio-Attribute modify "a=sendonly" "a=inactive"

# ============================================================================
# 7. 面向 Microsoft Teams 的 Tenant 配置
# ============================================================================
voice class tenant 200
handle-replaces
srtp-crypto 1
localhost dns:sbc.example.com
session transport tcp tls
no referto-passing
bind all source-interface GigabitEthernet0/0/0
pass-thru headers 290
sip-profiles 200
early-offer forced

# ============================================================================
# 8. 面向运营商的 Tenant 配置
# ============================================================================
voice class tenant 100
options-ping 60
session transport udp
bind all source-interface GigabitEthernet0/0/1
early-offer forced

# ============================================================================
# 9. OPTIONS Keepalive（让微软知道 CUBE "活着"）
# ============================================================================
voice class sip-options-keepalive 200
sip-profiles 299
transport tcp tls

# ============================================================================
# 10. 面向 Teams 的出站 Dial-Peer（最多 3 个 Teams 代理 FQDN，HA 容错）
# ============================================================================
voice class e164-pattern-map 200
e164 +1T

dial-peer voice 200 voip
description towards Phone System Proxy 1
preference 1
session protocol sipv2
session target dns:sip.pstnhub.microsoft.com:5061
destination e164-pattern-map 200
voice-class codec 1
voice-class sip tenant 200
voice-class sip options-keepalive profile 200
dtmf-relay rtp-nte
srtp
no vad

dial-peer voice 201 voip
description towards Phone System Proxy 2
preference 2
session protocol sipv2
session target dns:sip2.pstnhub.microsoft.com:5061
destination e164-pattern-map 200
voice-class codec 1
voice-class sip tenant 200
voice-class sip options-keepalive profile 200
dtmf-relay rtp-nte
srtp
no vad

dial-peer voice 202 voip
description towards Phone System Proxy 3
preference 3
session protocol sipv2
session target dns:sip3.pstnhub.microsoft.com:5061
destination e164-pattern-map 200
voice-class codec 1
voice-class sip tenant 200
voice-class sip options-keepalive profile 200
dtmf-relay rtp-nte
srtp
no vad

# ============================================================================
# 11. 来自 Teams 的入站 Dial-Peer
# ============================================================================
voice class uri 290 sip
host sbc.example.com

dial-peer voice 290 voip
description inbound from Microsoft Phone System
session protocol sipv2
incoming uri to 290
voice-class codec 1
voice-class sip tenant 200
dtmf-relay rtp-nte
srtp
no vad

# ============================================================================
# 12. 面向运营商的出/入 Dial-Peer
# ============================================================================
dial-peer voice 100 voip
description outbound to PSTN
destination-pattern +1[2-9]..[2-9]......$
session protocol sipv2
session target ipv4:198.51.100.10
voice-class codec 1
voice-class sip tenant 100
dtmf-relay rtp-nte
no vad

voice class uri 190 sip
host ipv4:198.51.100.10

dial-peer voice 190 voip
description inbound from PSTN
session protocol sipv2
incoming uri via 190
voice-class codec 1
voice-class sip tenant 100
dtmf-relay rtp-nte
no vad

# ============================================================================
# 13. Call Admission Control（防止资源耗尽）
# ============================================================================
call threshold global cpu-avg low 75 high 85
call threshold global total-mem low 75 high 85
call treatment on

以上配置为简化示例，实际部署时需根据您的具体环境（如 NAT 后部署、HA 部署、号码翻译规则等）做对应调整。建议在实验环境完整跑通后再部署到生产。

📌 Microsoft Teams 端核心配置（PowerShell）

# 连接 Teams PowerShell
Connect-MicrosoftTeams

# ============================================================================
# 1. 注册 SBC（PSTN 网关）
# ============================================================================
New-CsOnlinePSTNGateway `
-Fqdn sbc.example.com `
-SipSignallingPort 5061 `
-MaxConcurrentSessions 100 `
-Enabled $true `
-MediaBypass $true `
-ForwardCallHistory $true `
-ForwardPai $true

# ============================================================================
# 2. 创建 PSTN 用法
# ============================================================================
Set-CsOnlinePstnUsage -Identity Global -Usage @{Add="Unrestricted"}

# ============================================================================
# 3. 创建语音路由
# ============================================================================
New-CsOnlineVoiceRoute `
-Identity "AllNumbers" `
-NumberPattern ".*" `
-OnlinePstnGatewayList "sbc.example.com" `
-Priority 1 `
-OnlinePstnUsages "Unrestricted"

# ============================================================================
# 4. 创建语音路由策略
# ============================================================================
New-CsOnlineVoiceRoutingPolicy `
-Identity "VRPolicy-Default" `
-OnlinePstnUsages "Unrestricted"

# ============================================================================
# 5. 为用户分配号码 + 路由策略
# ============================================================================
Set-CsPhoneNumberAssignment `
-Identity "alice@example.com" `
-PhoneNumber "+12223334444" `
-PhoneNumberType "DirectRouting"

Grant-CsOnlineVoiceRoutingPolicy `
-Identity "alice@example.com" `
-PolicyName "VRPolicy-Default"

# ============================================================================
# 6. 启用企业语音
# ============================================================================
Set-CsUser -Identity "alice@example.com" `
-EnterpriseVoiceEnabled $true `
-HostedVoiceMail $true

5.5 阶段四：测试验证（2-3 周）

功能测试清单（Smoke Test）

✓ Teams 用户拨打 PSTN 外部号码（本地 / 长途 / 国际）
✓ PSTN 外部呼入 Teams 用户
✓ Teams 用户之间互呼（验证不会绕到 CUBE）
✓ 呼叫保持（Hold）+ 恢复（Resume）
✓ 呼叫转移（盲转 + 协商转移）
✓ 三方会议
✓ 来电显示正确
✓ 语音信箱接收 + 转录
✓ 紧急呼叫路由（务必使用测试号码，不要直接拨打 911/110）
✓ DTMF 按键（IVR 导航）
✓ 主叫号码限制（外呼显示规定的号码）

性能测试清单（Load Test）

使用 SIPp 或 StarTrinity 等工具逐步加压（10/50/100/200 路并发）
监控 CUBE CPU、内存、并发会话数（命令：show platform resources / show call active voice summary）
验证无丢包、抖动 < 30ms、延迟 < 150ms
测试突发场景：1 秒内并发 50 路新呼（CPS = Calls Per Second）
测试长时间稳定性：连续 24 小时持续呼叫，验证无内存泄漏

HA 切换测试清单

建立 5-10 个并发呼叫
手动重启主用 CUBE：reload
验证：已建立呼叫不掉线，新呼叫3 秒内能继续建立
验证主用回归后，不会自动抢占（避免再次扰动）
测试链路故障：拔掉主用 CUBE 的 WAN 网线，验证切换
测试电源故障：直接断电，验证切换

UAT（用户验收测试）清单

选定10-20 名种子用户（覆盖不同部门）
提供用户操作手册（一页纸，图文版）
每位用户每天进行 5+ 通真实业务通话，连续一周
每日收集反馈：通话质量、易用性、问题
统计 NPS（净推荐值），目标 ≥ 8

5.6 阶段五：上线运维（持续）

第一性原理：分批切换 = 风险可控

绝对不要"一刀切"地把所有用户一次性迁移到新系统。即使 UAT 完美通过，真实生产环境永远会出现意料之外的问题。正确的做法是：分批、分地区、分部门、分时段，每批之间留出观察窗口。

📅 推荐分批切换节奏

批次	用户范围	用户数占比	观察窗口	关注重点
第 1 批：种子用户	IT 部门 + 早期志愿者	1-2%	1 周	基础功能 + 故障排查能力
第 2 批：试点部门	1-2 个非关键业务部门	5-10%	2 周	用户体验 + 常见问题
第 3 批：分地区滚动	按地区/分公司逐个推进	每批 20-30%	每批 1 周	地区性问题（运营商、网络）
第 4 批：核心业务	客服、销售、高管	剩余 30%	2 周	关键业务连续性
第 5 批：全员完成	所有剩余用户	100%	—	旧系统退役

📊 上线后必须建立的运维机制

📈 实时监控仪表盘

CUBE CPU、内存、并发呼叫数（每分钟更新）
SIP Trunk OPTIONS 心跳状态
HA 主备状态
证书剩余有效期（到期前 60 天告警）
呼叫成功率（ASR）、平均通话时长（ACD）

🚨 关键告警阈值

CPU > 80%（持续 5 分钟）
呼叫成功率 < 95%
HA 切换发生
SIP Trunk 失联 > 60 秒
RTP 丢包 > 3%
证书剩余 < 30 天

🛠️ 故障响应流程

L1：值班工程师初判，30 分钟响应
L2：CUBE 专家，深度排查
L3：Cisco TAC + 微软 Premier 支持
建立RCA（根因分析）模板
每月召开问题复盘会

🔄 配置变更管理

所有变更走 ITIL 流程（审批 + 维护窗口）
变更前必须备份 running-config
变更必须有书面回退方案
变更后必须执行 Smoke Test
每季度演练一次 DR 切换

5.7 一页纸：30 天可执行行动清单

最后，把整个项目压缩成一份"明天就能开干"的 30 天行动清单。这份清单适用于已经决定采用 Direct Routing + CUBE 方案的中型企业（500-2000 用户）：

天数	阶段	关键动作	负责人
D1-D3	规划	召开项目启动会，确定方案模式与平台	项目经理 + IT 总监
D4-D5	规划	完成《业务需求文档》《技术方案书》	架构师
D6-D7	规划	提交采购清单（CUBE + 许可证 + 证书）	IT 采购
D8-D10	准备	注册 SBC FQDN，提交公共 CA 证书申请	网络/PKI 团队
D8-D14	准备	启动运营商对接（多次会议）	语音工程师
D11-D14	准备	申请公网 IP、配置防火墙策略	网络团队
D15	准备	证书签发到位，导入 CUBE 测试环境	语音工程师
D15-D17	部署	实验环境完整跑通 Direct Routing	语音工程师
D18-D19	部署	生产环境 CUBE 配置（含 HA）	语音工程师
D20	部署	Microsoft Teams Admin Center 配置 + PowerShell 脚本	Teams 管理员
D21-D23	测试	功能测试 + 性能测试 + HA 切换测试	测试团队
D24-D25	测试	10 名种子用户 UAT，收集反馈	项目经理
D26	上线	第 1 批切换：IT 部门	项目经理
D27-D28	上线	第 2 批切换：1 个试点部门	项目经理
D29	运维	建立监控仪表盘 + 告警机制	运维团队
D30	运维	项目阶段总结，规划全员推广节奏	项目经理

30 天后，您将拥有：① 完整运行的 Direct Routing 环境，② 已验证的 HA 主备机制，③ 至少两批试点用户成功切换，④ 完善的运维监控体系。剩下的工作是按节奏推进剩余用户切换 + 持续优化。

项目的成功 = 60% 的规划 + 30% 的执行 + 10% 的运气——而最后那 10%，是给不偷懒的人的奖励。

回到开头：那座等待被打开的城门

本白皮书开篇我们说："SIP 是语言，RTP 是声音，CUBE 是翻译官——而 Microsoft Teams Calling，是一座等待这位翻译官打开的城门。"

五章过后，您应该已经清晰地理解了：

第一章奠定地基——SIP/RTP 是语音通信的底层协议，CUBE 是企业 SBC，Teams Phone 是云端 PBX
第二章展示骨架——Direct Routing 三层架构，Media Bypass 优化路径，三种部署模式各有所长
第三章检查通行证——八大维度三十项准备清单，缺一不可
第四章展示工具箱——Cisco 提供从硬件到云、从 SBC 到客户端集成的完整方案
第五章给出落地路径——五阶段二十里程碑，30 天行动清单，让您从今天就能动手

但请记住：技术从来不是终点。Teams Calling 的真正价值不在于"能打电话"，而在于让每一位员工——无论他在总部、分支机构、还是家中——都能享受一致的、清晰的、安全的、随时可用的语音协作。

而 Cisco CUBE，就是这座连接微软云与企业现实的桥梁——稳定、安全、灵活，并随着您的业务一起生长。

✦ 桥已搭好，城门将启——剩下的路，您来走。 ✦

📖 完整术语表（Glossary）

本白皮书涉及的所有专业术语一览，按字母顺序排列。

术语	英文全称	含义
Azure AD / Entra ID	Azure Active Directory / Microsoft Entra ID	微软的云身份目录服务，是 Teams 用户身份的"户籍中心"
B2BUA	Back-to-Back User Agent	背靠背用户代理。SBC 同时扮演两个 SIP 用户，分别面对内外两侧
BYOL	Bring Your Own License	自带许可证。适用于 vCUBE 在公有云上部署，沿用 Cisco 许可证而非按云厂商订阅
CA	Certificate Authority	证书颁发机构。如 DigiCert、GlobalSign，签发受信任的 TLS 证书
Calling Plan	—	微软自营的 PSTN 接入服务，按用户订阅。仅在部分国家提供
CCUC	Cloud Connected UC	Cisco 提供的云端连接器，让本地 UCM 与 Webex 云端协同
CDR	Call Detail Record	话单。记录每通电话的起止时间、双方号码、时长等
CN / SAN	Common Name / Subject Alternative Name	证书的"姓名"字段。微软要求 CN 或 SAN 必须包含 SBC 的 FQDN
CPS	Calls Per Second	每秒新呼叫数。衡量 CUBE 处理突发呼叫能力的关键指标
CUBE	Cisco Unified Border Element	思科统一边界元素。Cisco 的企业级 SBC 产品
vCUBE	Virtual CUBE	CUBE 的虚拟化版本，可部署在 ESXi、AWS、Azure 等环境
CUCM / UCM	Cisco Unified Communications Manager	Cisco 的旗舰本地 PBX 产品
DID	Direct Inward Dialing	直拨号码。运营商分配给企业用户的外部可拨号码
Direct Routing	—	微软 Teams 的"自带 SBC"PSTN 接入模式，通过认证 SBC 连接企业现有运营商
DSCP	Differentiated Services Code Point	差分服务标记。用于网络 QoS 优先级标记，语音流量通常标 EF (46)
E.164	—	国际电话号码格式标准，如 `+8613800138000`
E911 / E112	Enhanced 911 / 112	增强紧急呼叫。要求传递呼叫者的位置信息
EKU	Extended Key Usage	证书扩展密钥用法。Direct Routing 要求证书包含 "Server Authentication" EKU
FQDN	Fully Qualified Domain Name	完全限定域名。如 `sbc.example.com`
HA	High Availability	高可用。通过冗余设计确保业务持续运行
HSEC	High Security	高安全许可证。Cisco 平台启用加密能力（TLS/SRTP）所需
ICE-Lite	Interactive Connectivity Establishment - Lite	简化版 ICE 协议，用于 NAT 穿越和媒体路径协商
IOS-XE	—	Cisco 路由器的下一代操作系统，CUBE 运行于其上
ISR	Integrated Services Router	Cisco 集成多业务路由器系列。CUBE 常见硬件平台之一
Media Bypass	—	媒体绕行。让媒体直接从 Teams 客户端流到 SBC，不经过 Teams 云
MPP	Multiplatform Phones	多平台话机。Cisco 提供给 Webex Calling 等云电话使用的 IP 话机
MTR	Microsoft Teams Rooms	Microsoft Teams 会议室设备模式
NTP	Network Time Protocol	网络时间同步协议。CUBE 与微软云时钟必须一致，否则 TLS 会失败
Operator Connect	—	微软认证运营商直接对接的 PSTN 接入模式
PBX	Private Branch Exchange	私有交换机。企业内部电话系统
PSTN	Public Switched Telephone Network	公共交换电话网。即传统电话网络
QoS	Quality of Service	服务质量。通过优先级标记确保语音流量低延迟低丢包
RG	Redundancy Group	冗余组。CUBE Box-to-Box HA 使用的协议
RP	Route Processor	路由处理器。ASR 高端路由器可装两块 RP 实现单机 HA
RTP	Real-time Transport Protocol	实时传输协议。承载语音/视频媒体数据
SBA	Survivable Branch Appliance	分支生存性设备。WAN 中断时仍能维持本地通话
SBC	Session Border Controller	会话边界控制器。CUBE 是 Cisco 的 SBC 产品
SDP	Session Description Protocol	会话描述协议。SIP 中描述媒体能力的载体
SIP	Session Initiation Protocol	会话发起协议。VoIP 信令的事实标准
SIP Profile	—	SIP 消息归一化规则。CUBE 用它修改头部以满足两侧需求
SIP Trunk	—	SIP 中继。运营商提供给企业的 SIP 通话通道
SRTP	Secure RTP	加密的 RTP。Direct Routing 强制要求
SSO	Single Sign-On	单点登录
STUN	Session Traversal Utilities for NAT	NAT 穿越工具。Media Bypass 时用于发现公网地址
Teams Phone	—	Microsoft Teams 的电话系统功能（前称 Phone System）
Tenant	—	租户。① 微软 365 中的企业账号；② CUBE 中的逻辑分组配置
TLS	Transport Layer Security	传输层安全协议。加密 SIP 信令
UAT	User Acceptance Testing	用户验收测试
VIP	Virtual IP	虚拟 IP。CUBE HA 主备共用的对外服务地址
VoIP	Voice over IP	IP 语音。基于 IP 网络承载的语音通话
Webex Calling	—	Cisco 的云电话服务，包括多租户版（MT）和专享版（DI）
WxCC	Webex Contact Center	Cisco 的云联络中心解决方案

当 Microsoft Teams 想要"打电话"Cisco CUBE 是那座关键的桥

地基先行：CUBE、SIP 与 Teams Calling 的本质

1.1 一切的起点：SIP 协议到底是什么？

苏格拉底之问

第一性原理拆解

SIP 的三个关键事实

1.2 进入正题：CUBE 到底是什么？

苏格拉底之问

第一性原理拆解

1.3 Microsoft Teams Calling：从"会议软件"到"企业电话"

苏格拉底之问

第一性原理拆解

1.4 三者合一：CUBE 如何让 Teams Calling 真正"通话"？

从这张图，我们能看到的关键真相

方案架构：Teams Calling 的"骨骼"长什么样？

2.1 鸟瞰全貌：Teams Calling 端到端架构

苏格拉底之问

第一性原理拆解

2.2 Direct Routing 深度剖析：信令与媒体如何流转？

苏格拉底之问

第一性原理拆解

Media Bypass 启用的前置条件

2.3 三种部署模式：哪种适合您的企业？

纯 Teams + CUBE 直通 PSTN

Teams + CUCM 双控制面共存

Teams + Webex Calling 互通

📌 模式 A：纯 Teams + CUBE → PSTN

📌 模式 B：Teams + CUCM 共存（最常见的迁移场景）

📌 模式 C：Teams + Webex Calling 双云互通

2.4 三种模式横向对比：哪个适合您？

2.5 在 Direct Routing 中，CUBE 必须具备哪些能力？

① TLS 1.2 加密信令

② SRTP 加密媒体

③ 公网可达 + 公共证书

④ 微软 IP 段白名单

⑤ SIP 协议归一化（SIP Profiles）

⑥ OPTIONS Keep-Alive

⑦ 高可用（Box-to-Box HA）

⑧ 紧急呼叫路由

动手之前：Teams Calling 落地需要哪些"通行证"？

3.1 准备工作的八大维度：从云到地

苏格拉底之问

第一性原理拆解

3.2 维度①：许可证 — 您必须为每位用户准备的"船票"

第一性原理：用户能不能打电话，看的是订阅

3.3 维度②：域名与证书 — 让微软"信任"您的 CUBE

苏格拉底之问

第一性原理：身份认证的本质 = 一张可信的"身份证"

域名与证书准备清单

3.4 维度③：网络 — 通话质量的"承重墙"

第一性原理：语音是"实时"业务，对网络极其敏感

🔌 带宽规划

🛡️ 防火墙策略

🚦 QoS（服务质量）规划

QoS 标记建议

3.5 维度④：CUBE 平台 — 选对"发动机"

第一性原理：硬件容量决定业务上限

📐 容量规划：从用户数推算并发

⚙️ CUBE 平台选型矩阵

📜 CUBE 软件许可证

三类许可证必须配齐

🌐 IOS-XE 版本要求

3.6 维度⑤：运营商 — PSTN 接入的"最后一公里"

第一性原理：CUBE 的对外能力，来自您的运营商合同

运营商对接前必须确认的清单

3.7 维度⑥：身份与目录 — 谁能打、能打给谁？

第一性原理：电话号码必须绑定到 Azure AD 用户

身份准备清单

3.8 维度⑦：合规与法规 — 别让"合规"成为最后的拦路虎

第一性原理：电话业务受到比 IT 更严格的法规约束

🚨 紧急呼叫合规

🎙️ 通话录音合规

🌍 数据驻留

📋 行业监管

3.9 维度⑧：运维 — 上线只是开始，运维才是日常

运维准备清单

3.10 一页纸：项目启动前必须打勾的 30 项准备清单

Cisco 解决方案：用一套"组合拳"应对所有场景

4.1 Cisco 协作工具箱：一张图看懂所有产品

苏格拉底之问

当 Microsoft Teams 想要"打电话"
Cisco CUBE 是那座关键的桥