この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified IP Phone 向け Cisco VPN Client により、在宅勤務の従業員のためのセキュアな VPN 接続が実現します。Cisco VPN Client の設定はすべて Cisco Unified CM Administration で設定します。社内で電話を設定したら、ユーザはその電話をブロードバンド ルータにつなぐだけで瞬時に組織のネットワークに接続できます。
(注) | VPN メニューとそのオプションは、米国無制限輸出対象バージョンの Cisco Unified Communications Manager では利用できません。 |
電話を事前にプロビジョニングし、社内ネットワーク内で初期接続を確立し、電話の設定を取得します。設定はすでに電話に取り込まれているため、これ以降は VPN を使用して接続を確立できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Cisco IOS の前提条件の完了 | Cisco IOS の前提条件を満たします。Cisco IOS VPN を設定するには、このアクションを実行します。 |
ステップ 2 | IP Phone をサポートするための Cisco IOS SSL VPN の設定 | IP Phone で VPN クライアントの Cisco IOS を設定します。Cisco IOS VPN を設定するには、このアクションを実行します。 |
ステップ 3 | AnyConnect 用の ASA 前提条件への対応 | AnyConnect の ASA 前提条件を満たします。ASA VPN を設定するには、このアクションを実行します。 |
ステップ 4 | IP Phone での VPN クライアント用の ASA の設定 | IP Phone で VPN クライアントの ASA を設定します。ASA VPN を設定するには、このアクションを実行します。 |
ステップ 5 | VPN ゲートウェイごとに VPN コンセントレータを設定します。 |
ユーザがリモート電話のファームウェアや設定情報をアップグレードする際は、長い遅延を回避するため、ネットワーク内で TFTP サーバまたは Cisco Unified Communications Manager サーバの近くで VPN コンセントレータをセットアップします。これがネットワーク内で不可能な場合、代替 TFTP サーバまたはロード サーバを VPN コンセントレータの横にセットアップすることもできます。 |
ステップ 6 | VPN コンセントレータの証明書のアップロード | VPN コンセントレータの証明書をアップロードします。 |
ステップ 7 | VPN ゲートウェイの設定 | VPN ゲートウェイを設定します。 |
ステップ 8 | VPN グループの設定 | VPN グループを作成した後、設定した VPN ゲートウェイのいずれかをそのグループに追加できます。 |
ステップ 9 | 次のいずれかの操作を行います。 | VPN プロファイルを設定する必要があるのは、複数の VPN グループを使用している場合だけです。[VPN Profle] フィールドは、[VPN Feature Configuration] フィールドよりも優先されます。 |
ステップ 10 | 共通の電話プロファイルへの VPN の詳細の追加 | 共通の電話プロファイルに VPN グループおよび VPN プロファイルを追加します。 |
ステップ 11 | Cisco Unified IP Phone のファームウェアを、VPN をサポートしているバージョンにアップグレードします。 | Cisco VPN クライアントを実行するには、サポートされている Cisco Unified IP Phone でファームウェア リリース 9.0(2) 以降が稼動している必要があります。ファームウェアのアップグレード方法の詳細については、使用している Cisco Unified IP Phone モデルの『Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
ステップ 12 | VPN をサポートしている Cisco Unified IP Phone を使用し、VPN 接続を確立します。 | Cisco Unified IP Phone を VPN に接続します。 |
VPN ゲートウェイごとに VPN コンセントレータを設定します。
ステップ 1 | ASA ソフトウェア(バージョン 8.0.4 以降)および互換性のある ASDM をインストールします。 |
ステップ 2 | 互換性のある AnyConnect パッケージをインストールします。 |
ステップ 3 | ライセンスをアクティベートします。 |
ステップ 4 | デフォルト以外の URL を使用してトンネル グループが設定されていることを次のように確認してください。
tunnel-group phonevpn type remote-access tunnel-group phonevpn general-attribute address-pool vpnpool tunnel-group phonevpn webvpn-attributes group-url https://172.18.254.172/phonevpn enableデフォルト以外の URL を設定するときは、次のことを考慮してください。
|
(注) | ASA 証明書を置き換えると、Cisco Unified Communications Manager は使用できなくなります。 |
ステップ 1 | ローカル設定 | ||
ステップ 2 | Cisco Unified Communications Manager と ASA に必要な証明書を生成して登録します。
Cisco Unified Communications Manager のこれらの証明書をインポートするには、次の手順を実行します。 | ||
ステップ 3 | VPN 機能を設定します。以下に示すサンプル ASA 設定の概要を、設定のガイドとして利用できます。
|
ASA 証明書の設定の詳細については、http://www.cisco.com/en/US/products/sw/voicesw/ps556/products_configuration_example09186a0080bef910.shtml を参照してください
VPN 機能をサポートするようにセットアップする際に、ASA で証明書を生成します。生成された証明書を PC またはワークステーションにダウンロードしてから、この項で説明されている手順に従い Cisco Unified Communications Manager にアップロードします。Cisco Unified Communications Manager は、電話と VPN 間の信頼リストにこの証明書を保存します。
ASA は SSL ハンドシェイク中にこの証明書を送信し、Cisco Unified IP Phone がこの証明書を電話と VPN 間の信頼リストに格納されている値と比較します。
Cisco Unified IP Phone は、製造元でインストールされる証明書(MIC)をデフォルトで送信します。CAPF サービスを設定すると、Cisco Unified IP Phone はローカルで有効な証明書(LSC)を送信します。
デバイス レベルの証明書認証を使用するには、ASA にルート MIC または CAPF 証明書をインストールして、Cisco Unified IP Phone が信頼されるようにします。
Cisco Unified Communications Manager に証明書をアップロードするには、Cisco Unified OS Administration を使用します。
ステップ 1 | [Cisco Unified OS Administration] から
を選択します。 [Certificate List] ウィンドウが表示されます。 |
ステップ 2 | [Upload Certificate] をクリックします。
[Upload Certificate] ダイアログボックスが表示されます。 |
ステップ 3 | [Certificate Purpose] ドロップダウンリストで、[Phone-VPN-trust] を選択します。 |
ステップ 4 | [Browse] をクリックして、アップロードするファイルを選択します。 |
ステップ 5 | [Upload File] をクリックします。 |
ステップ 6 | アップロードする別のファイルを選択するか、[Close] をクリックします。
証明書の管理の詳細については、http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.htmlの『Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
VPN ゲートウェイごとに VPN コンセントレータが設定されていることを確認します。VPN コンセントレータの設定後、VPN コンセントレータの証明書をアップロードします。詳細については、VPN コンセントレータの証明書のアップロードを参照してください。
ゲートウェイのメイン VPN コンセントレータの URL を入力します。
|
|||
上矢印キーと下矢印キーを使用して、ゲートウェイに証明書を割り当てます。ゲートウェイに証明書を割り当てないと、VPN クライアントはこのコンセントレータへの接続に失敗します。
|
上矢印キーと下矢印キーを使用して、使用可能な VPN ゲートウェイをこの VPN グループの内外に移動します。 VPN クライアントで重大なエラーが発生し、特定の VPN ゲートウェイに接続できない場合は、リストの次の VPN ゲートウェイへの移動を試みます。
|
このチェックボックスをオンにすると、VPN クライアントは、社内ネットワークの外にいることを検出した場合に限り動作します。 |
|
このチェックボックスをオンにした場合は、ゲートウェイの証明書の subjectAltName または CN が、VPN クライアントの接続先の URL と一致している必要があります。 |
|
このチェックボックスをオンにすると、ログインの失敗、ユーザによる手動のパスワードのクリア、電話のリセットまたは電源が切れるまで、ユーザのパスワードは電話に保存されます。 |
このフィールドは、システムがキープアライブ メッセージを送信するレートを指定します。
|
|||
[Enable Password Persistence] |
[True] の場合、[Reset] ボタンまたは "**# **" がリセットに使用されると、ユーザ パスワードは電話に保存されます。電話の電源が切断されたり、工場出荷時の状態にリセットされたりすると、パスワードは保存されず電話からクレデンシャルの入力が求められます。 デフォルト:False |
||
[True] の場合、ゲートウェイの証明書の subjectAltName または CN が、VPN クライアントが接続する URL に一致する必要があります。 |
ステップ 1 | [Find and List Common Phone Profiles] ウィンドウが開きます。 の順に選択します。 |
ステップ 2 | 使用する検索条件を選択します。 |
ステップ 3 | [Find] をクリックします。 検索条件に一致する共通の電話プロファイルの一覧がウィンドウに表示されます。 |
ステップ 4 | VPN の詳細を追加する共通の電話プロファイルをクリックします。 [Common Phone Profile Configuration] ウィンドウが開きます。 |
ステップ 5 | [VPN Information] セクションで、適切な [VPN Group] および [VPN Profile] を選択します。 |
ステップ 6 | [Save] をクリックします。 |
ステップ 7 | [Apply Config] をクリックします。 [Apply Configuration] ウィンドウが表示されます。 |
ステップ 8 | [OK] をクリックします。 |