配置CUCM以实现节点之间的IPsec连接

简介

本文档介绍如何在集群内的Cisco Unified Communications Manager(CUCM)节点之间建立IPsec连接。

注意：默认情况下，CUCM节点之间的IPsec连接处于禁用状态。 

先决条件

要求

Cisco建议您了解CUCM。

使用的组件

本文档中的信息基于CUCM 10.5(1)版。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

使用本节中描述的信息配置CUCM并在集群中的节点之间建立IPsec连接。

配置概述

以下是此过程涉及的步骤，以下各节将详细介绍这些步骤：

1. 检验节点之间的IPsec连接。
   
   
2. 检查IPsec证书。
   
   
3. 从用户节点下载IPsec根证书。
   
   
4. 将IPsec根证书从订阅服务器节点上传到发布服务器节点。
   
   
5. 配置IPsec策略。

检验IPsec连接

要验证节点之间的IPsec连接，请完成以下步骤：

1. 登录到CUCM服务器的“操作系统(OS)管理”(Operating System [OS] Administration)页面。
   
   
2. 导航到服务> Ping。
   
   
3. 指定远程节点IP地址。
   
   
4. 选中Validate IPsec复选框并单击Ping。

如果没有IPsec连接，则会看到类似以下结果：

 

检查IPsec证书

完成以下步骤以检查IPsec证书：

1. 登录操作系统管理页面。
   
   
2. 导航到安全>证书管理。
   
   
3. 搜索IPsec证书（分别登录到发布服务器和订阅服务器节点）。

注意：用户节点IPsec证书通常无法从发布服务器节点查看；但是，您可以看到所有用户节点上的发布服务器节点IPsec证书作为IPsec-Trust证书。

要启用IPsec连接，您必须将来自一个节点的IPsec证书设置为另一个节点上的ipsec-trust证书：

从用户下载IPsec根证书

要从用户节点下载IPsec根证书，请完成以下步骤：

1. 登录订用服务器节点的OS管理页面。
   
   
2. 导航到安全>证书管理。
   
   
3. 打开IPsec根证书并以.pem格式下载：
   
   
   
   

将IPsec根证书从用户上传到发布服务器

要将IPsec根证书从订阅服务器节点上传到发布服务器节点，请完成以下步骤：

1. 登录发布服务器节点的OS Administration页面。
   
   
2. 导航到安全>证书管理。
   
   
3. 单击Upload Certificate/Certificate chain，然后上传用户节点IPsec根证书作为ipsec-trust证书：
   
   
   
   
4. 上传证书后，验证用户节点IPsec根证书是否如下所示：
   
   

注意：如果需要在集群中的多个节点之间启用IPsec连接，则必须同时下载这些节点的IPsec根证书，并通过相同过程将其上传到发布方节点。

配置IPsec策略

要配置IPsec策略，请完成以下步骤：

1. 分别登录到发布服务器和订阅服务器节点的OS Administration页面。
   
   
2. 导航到安全> IPSEC配置。
   
   
3. 使用此信息配置IP和证书详细信息：
   

   *****
   
   PUBLISHER : 10.106.122.155 & cucm912pub.pem
   SUBSCRIBER: 10.106.122.15 & cucm10sub.pem
   
   *****

   

验证

完成以下步骤以验证您的配置是否有效，以及节点之间是否建立了IPsec连接：

1. 登录到CUCM服务器的操作系统管理。
   
   
2. 导航到服务> Ping。
   
   
3. 指定远程节点IP地址。
   
   
4. 选中Validate IPsec复选框并单击Ping。

如果已建立IPsec连接，则会看到类似以下内容的消息：

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 思科统一通信操作系统管理指南，版本8.6(1) — 设置新的IPsec策略
• 技术支持和文档 - Cisco Systems