Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

SSLVPN com exemplo de configuração dos Telefones IP

12 Agosto 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (19 Dezembro 2013) | Feedback


Índice


Introdução

Este documento descreve como configurar Telefones IP sobre uma camada de soquetes seguros VPN (SSLVPN), igualmente conhecida como um WebVPN. Dois gerentes das comunicações unificadas de Cisco (CallManagers) e três tipos de Certificados são usados com esta solução. Os CallManagers são:

  • Gerente das comunicações unificadas de Cisco (CUCM)

  • Cisco Unified Communications Manager Express (CME unificado Cisco)

Os tipos do certificado são:

  • Certificados auto-assinados

  • Os Certificados da terceira, como confiam, Thawte, e GoDaddy

  • Certificate Authority (CA) da ferramenta de segurança do Cisco IOS ®/Adaptive (ASA)

O conceito chave a compreender é que, uma vez a configuração no Gateway SSLVPN e o CallManager estão terminados, você deve juntar-se aos Telefones IP localmente. Isto permite os telefones de juntar-se ao CUCM e de usar a informação de VPN e os Certificados corretos. Se os telefones não são juntados localmente, não podem encontrar o Gateway SSLVPN e não têm os Certificados corretos para terminar o aperto de mão SSLVPN.

A maioria de configurações comum são CUCM/Unified CME com certificados auto-assinados ASA e certificados auto-assinados do Cisco IOS. Conseqüentemente, são o mais fáceis de configurar.

Nota: Contribuído por Nicholas Carrieri, por William Ryan Bennett, e por Walter López, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Licença do prêmio ASA.

  • Licença do telefone de AnyConnect VPN.

    • Para o ASA libere 8.0.x, a licença é AnyConnect para o telefone de Linksys.

    • Para o ASA libere 8.2.x ou mais tarde, a licença é AnyConnect para o telefone de Cisco VPN.

  • Gateway SSLVPN: ASA 8,0 ou mais atrasado (com um AnyConnect para a licença do telefone de Cisco VPN), ou Cisco IOS 12.4T ou mais tarde.

    • O Cisco IOS não é apoiado 12.4T ou mais tarde formalmente como documentado no guia de configuração de VPN SSL.

    • No Cisco IOS Release 15.0(1)M, o Gateway SSLVPN é uma característica Seat-contada licenciar em Cisco 880, em Cisco 890, em Cisco 1900, no Cisco 2900, e no Cisco 3900 Plataformas. Uma licença válida é exigida para uma sessão bem sucedida SSLVPN.

  • CallManager: CUCM 8.0.1 ou mais atrasado, ou CME unificado 8,5 ou mais atrasado.

Componentes Utilizados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração básica ASA SSLVPN

A configuração básica ASA SSLVPN é descrita nestes documentos:

Uma vez que esta configuração está completa, um teste remoto PC deve poder conectar ao Gateway SSLVPN, conecta através de AnyConnect, e sibila o CUCM. Assegure-se de que o ASA tenha um AnyConnect para a licença do Cisco IP Phone (comando show ver). A porta 443 TCP e UDP deve estar aberta entre o Gateway e o cliente.

Configuração básica IO SSLVPN

cuidado Cuidado: Os Telefones IP são designados como não apoiado em IO SSLVPN; as configurações estão no melhor esforço somente.

A configuração básica do Cisco IOS SSLVPN é descrita nestes documentos:

Uma vez que esta configuração está completa, um teste remoto PC deve poder conectar ao Gateway SSLVPN, conecta através de AnyConnect, e sibila o CUCM. No Cisco IOS 15,0 e mais atrasado, você deve ter uma licença válida SSLVPN terminar esta tarefa. A porta 443 TCP e UDP deve estar aberta entre o Gateway e o cliente.

CUCM: ASA SSLVPN com configuração dos certificados auto-assinados

Veja o telefone IP SSL VPN ao ASA usando AnyConnect para mais informação detalhada.

O ASA deve ter uma licença para AnyConnect para o telefone de Cisco VPN. Depois que você configura o SSLVPN, você configura então seu CUCM para o VPN.

  1. Use este comando a fim exportar o certificado auto-assinado do ASA:

    ciscoasa(config)# crypto ca export trustpoint name identity-certificate
    
    

    Este comando indica um certificado de identidade codificado PEM ao terminal.

  2. A cópia e cola o certificado a um editor de texto, e salvar o como um arquivo do .pem. Seja certo incluir o CERTIFICADO do COMEÇO e EXTREMIDADE linhas do CERTIFICADO ou o certificado não importará corretamente. Não altere o formato do certificado porque isto problemas quando o telefone tenta autenticar ao ASA.

  3. Navegue a Cisco unificou o > gerenciamento de certificado do > segurança da administração do sistema operacional > o certificado/certificate chain da transferência de arquivo pela rede a fim carregar o arquivo certificado à seção de gerenciamento de certificado do CUCM.

  4. Transfira os Certificados CallManager.pem, CAPF.pem, e Cisco_Manufacturing_CA.pem da mesma área usada para carregar os certificados auto-assinados do ASA (veja etapa 1), e salvar os a seu desktop.

    1. Por exemplo, a fim importar o CallManager.pem ao ASA, use estes comandos:

      ciscoasa(config)# crypto ca trustpoint certificate-name
      
      
      ciscoasa(config-ca-trustpoint)# enrollment terminal
      
      ciscoasa(config)# crypto ca authenticate certificate-name
      
      
    2. Quando você é alertado copiar e colar o certificado correspondente para o ponto confiável, abra o arquivo que você salvar do CUCM, a seguir da cópia e cole o certificado Base64-encoded. Seja certo incluir o CERTIFICADO do COMEÇO e TERMINAR linhas do CERTIFICADO (com hífens).

    3. Datilografe a extremidade, a seguir pressione o retorno.

    4. Quando alertado para aceitar sim o certificado, o tipo, pressiona então entra.

    5. Repita as etapas à d para outros dois Certificados (CAPF.pem, Cisco_Manufacturing_CA.pem) do CUCM.

  5. Configurar o CUCM para as configurações de VPN corretas, como descrito em CUCM IPphone VPN config.pdf.

A função de balanceamento de carga SSLVPN não é apoiada para telefones VPN.

Nota: O gateway de VPN configurado no CUCM deve combinar a URL que é configurada no gateway de VPN. Se o Gateway e a URL não combinam, o telefone não pode resolver o endereço, e você não verá que algum debuga no gateway de VPN.

  • No CUCM: O gateway de VPN URL é https://192.168.1.1/VPNPhone

  • No ASA, use estes comandos:

    ciscoasa# configure terminal
    
    ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
    
    ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone enable
    
    ciscoasa(config-tunnel-webvpn)# exit
    
  • Você pode usar estes comandos no Security Device Manager adaptável (ASDM) ou sob o perfil de conexão.

CUCM: ASA SSLVPN com configuração da terceira dos Certificados

Esta configuração é muito similar à configuração descrita em CUCM: O ASA SSLVPN com seção de configuração dos certificados auto-assinados, salvo que você estão usando Certificados da terceira. Configurar SSLVPN no ASA com os Certificados da terceira como descrito em ASA 8.x instalam manualmente Certificados do vendedor da 3ª parte para o uso com exemplo de configuração WebVPN.

Nota: Você deve copiar o certificate chain completo do ASA ao CUCM e incluir todo o intermediário e certificados de raiz. Se o CUCM não inclui a corrente completa, os telefones não têm os Certificados necessários a autenticar e falharão o aperto de mão SSLVPN.

CUCM: IO SSLVPN com configuração dos certificados auto-assinados

Esta configuração é similar à configuração descrita em CUCM: ASA SSLVPN com configuração da terceira dos Certificados e CUCM: ASA SSLVPN com seções de configuração dos certificados auto-assinados. As diferenças são:

  1. Use este comando a fim exportar o certificado auto-assinado do roteador:

    R1(config)# crypto pki export trustpoint-name pem terminal
    
  2. Use estes comandos a fim importar os Certificados CUCM:

    R1(config)# crypto pki trustpoint certificate-name
    
    
    R1(config-ca-trustpoint)# enrollment terminal
    
    R1(config)# crypto ca authenticate certificate-name
    
    

A configuração do contexto WebVPN deve mostrar este texto:

domínio webvpn_gateway VPNPhone do Gateway

Configurar o CUCM como descrito em CUCM: ASA SSLVPN com seção de configuração dos certificados auto-assinados.

CUCM: IO SSLVPN com configuração da terceira dos Certificados

Esta configuração é similar à configuração descrita em CUCM: ASA SSLVPN com seção de configuração dos certificados auto-assinados. Configurar seu WebVPN com um certificado da terceira.

Nota: Você deve copiar o certificate chain completo WebVPN ao CUCM e incluir todo o intermediário e certificados de raiz. Se o CUCM não inclui a corrente completa, os telefones não têm os Certificados necessários a autenticar e falharão o aperto de mão SSLVPN.

CME unificado: ASA/Router SSLVPN com certificados auto-assinados/configuração da terceira dos Certificados

A configuração para o CME unificado é similar às configurações do CUCM; por exemplo, as configurações do valor-limite WebVPN são as mesmas. A única diferença significativa é as configurações do agente unificado do atendimento CME. Configurar o grupo de VPN e a política de VPN para o CME unificado como descrito em configurar o cliente VPN SSL para Telefones IP SCCP.

Nota: O CME unificado apoia somente o Skinny Call Control Protocol (SCCP) e não apoia o Session Initiation Protocol (SIP) para telefones VPN.

Nota: Não há nenhuma necessidade de exportar os Certificados do CME unificado para o ASA ou o roteador. Você precisa somente de exportar os Certificados do ASA ou o Gateway do roteador WebVPN para o CME unificado.

A fim exportar os Certificados do Gateway WebVPN, refira a seção ASA/router. Se você está usando um certificado da terceira, você deve incluir o certificate chain completo. A fim importar os Certificados ao CME unificado, use o mesmo método que usado aos certificados de importação em um roteador:

CME(config)# crypto pki trustpoint certificate-name

CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name

Telefones IP UC 520 com configuração SSLVPN

O telefone IP modelo UC 520 do 500 Series das comunicações unificadas de Cisco é bastante diferente das configurações CUCM e CME.

  • Desde que o telefone IP UC 520 é o CallManager e o Gateway WebVPN, não há nenhuma necessidade de configurar Certificados entre os dois.

  • Configurar o WebVPN em um roteador como você normalmente com certificados auto-assinados ou os Certificados da terceira.

  • O telefone IP UC 520 tem construído no cliente WebVPN, e você pode configurar-lo apenas porque você um PC normal conectaria ao WebVPN. Entre no Gateway, então a combinação de nome de usuário/senha.

  • O telefone IP UC 520 é compatível com os telefones dos TERMAS 525G do telefone IP da empresa de pequeno porte de Cisco.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 115945