安全 : Cisco AnyConnect 安全移动客户端

AnyConnect VPN电话- IP电话, ASA和CUCM排除故障

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 6 月 9 日) | 反馈

简介

本文描述如何排除故障使用安全套接字协议层(SSL)协议与IP电话的问题(Cisco AnyConnect安全移动客户端)为了连接到使用的思科可适应安全工具(ASA), VPN网关和为了连接对使用作为语音服务器的Cisco Unified Communications Manager (CUCM)。

对于AnyConnect配置示例用VPN电话,参考:

贡献用瓦特卢佩茨和爱德华多萨拉萨尔, Cisco TAC工程师。

要求

在您部署与IP电话前的SSL VPN,请确认您符合了AnyConnect许可证的这些最初的要求ASA的和CUCM的美国出口限制的版本的。

确认VPN在ASA的电话许可证

VPN电话许可证启用在ASA的功能。为了确认能连接AnyConnect用户的数量(它是否是IP电话),请检查AnyConnect高级版SSL许可证。参考什么ASA许可证为IP电话和移动VPN连接是需要的?以获取更多详细信息。

在ASA,请使用show version命令为了检查功能是否启用。许可证名称用ASA版本有所不同:

  • ASA版本8.0.x :许可证名称是Linksys电话的AnyConnect。
  • ASA版本8.2.x和以后:许可证名称是思科VPN电话的AnyConnect。

这是ASA版本的8.0.x一示例:

ASA5505(config)# sh ver

Cisco Adaptive Security Appliance Software Version 8.0(5)
Device Manager Version 7.0(2)
<snip>
Licensed features for this platform:
VPN Peers : 10
WebVPN Peers : 2
AnyConnect for Linksys phone : Disabled
<snip>
This platform has a Base license.

这是ASA版本的8.2.x一示例和以后:

ASA5520-C(config)# sh ver

Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 7.1(1)
<snip>
Licensed features for this platform:
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
<snip>
This platform has an ASA 5520 VPN Plus license.

限制的出口和出口不受限制CUCM

您应该部署CUCM美国出口限制的版本VPN电话功能的。

如果使用CUCM美国出口不受限制版本,请注释那:

  • 修改IP电话安全配置为了禁用信令和媒体加密;这包括VPN电话功能提供的加密。
  • 您不能通过导入/导出导出VPN详细信息。
  • VPN配置文件、VPN网关、VPN组和VPN功能的复选框配置没有显示。

注意:一旦升级对CUCM美国出口不受限制版本,您不能升级以后对,或者请执行一个新安装,此软件美国出口限制的版本。

在ASA的常见问题

注意

使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

证书为在ASA的使用

在ASA,您能使用自已签署的SSL证书、第三方SSL证书和通配符证书;中的任一这些安全IP电话和ASA之间的通信。

仅一身份证书,因为仅一证书可以分配到每个接口,可以使用。

对于第三方SSL证书,请安装在ASA的完整一系列,并且包括所有中间和根证明。

信任点/ASA出口和CUCM导入的证书

ASA提交到IP电话在SSL协商时的证书必须从ASA导出和导入到CUCM。检查信任点分配到IP电话连接为了知道的接口导出的哪证书从ASA。

请使用show run ssl命令为了验证(证书)将导出的信任点。参考有证书验证配置示例的AnyConnect VPN电话欲知更多信息。

注意:如果部署一第三方证书对一个或更多ASA,共享在所有防火墙之间的您能也导出根CA证书;一旦执行此,您不需要导出每个ASA的每身份证书然后导入它到CUCM。

IP电话用户的验证的外部数据库

您能使用外部数据库验证IP电话用户。协议类似轻量级目录访问协议(LDAP)或远程认证拨入用户服务(RADIUS)可以用于VPN电话用户的验证。

证书在ASA证书和VPN电话托拉斯列表之间的哈希匹配

切记您必须下载分配到ASA SSL接口的证书和上传它作为在CUCM的一电话VPN托拉斯证书。不同的情况也许导致ASA提交的此证书的哈希不匹配CUCM服务器生成并且穿过对VPN电话配置文件的哈希。

一旦配置完成,请测试IP电话和ASA之间的VPN连接。如果连接继续发生故障,检查ASA证书的哈希是否匹配哈希IP电话预计:

  1. 检查ASA提交的安全散列算法1 (SHA1)哈希。
  2. 请使用TFTP为了下载从CUCM的IP电话配置文件。
  3. 解码哈希从十六进制到base64或从base64到十六进制。

检查SHA1哈希

ASA提交证书应用与ssl信任点on命令IP电话连接的接口。要检查此证书,请打开浏览器(在本例中, Firefox),并且输入(group-url)电话应该连接的URL :

116162-trouble-anyconnect-vpn-phone-01.jpg

下载IP电话配置文件

从有直接访问的PC对CUCM,请下载电话的TFTP配置文件有连接问题的。两个下载方法是:

  • 打开在Windows的命令行界面(CLI),并且请使用tftp - i <TFTP Server> GET SEP <Phone MAC地址>.cnf.xml命令
  • 请使用一应用程序类似Tftpd32to下载文件:

    116162-trouble-anyconnect-vpn-phone-02.jpg

一旦文件下载,请打开XML,并且查找vpngroup配置。此示例显示将验证的部分和certHash :

<vpnGroup>
<mtu>1290</mtu>
<failConnectTime>30</failConnectTime>
<authMethod>2</authMethod>
<pswdPersistent>0</pswdPersistent>
<autoNetDetect>0</autoNetDetect>
<enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.198.16.140/VPNPhone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>5X6B6plUwUSXZnjQ4kGM33mpMXY=</certHash1>
</credentials>
</vpnGroup>

解码哈希

确认两个Hash值配比。浏览器提交在十六进制格式的哈希,而XML文件使用base64,因此转换一个格式对其他为了确认匹配。有可用许多的译码器;一示例是译码器,二进制

116162-trouble-anyconnect-vpn-phone-03.jpg

注意:如果上一个Hash值不配比, VPN电话不委托协商与ASA的连接,并且连接发生故障。

VPN负载均衡和IP电话

负载均衡的SSL VPN不为VPN电话支持。VPN电话不执行实时证书确认,反而使用切细增加由CUCM验证服务器。由于VPN负载平衡基本上是HTTP重定向,要求电话验证多份证书,导致失败。VPN负载平衡失败症状包括:

  • 电话交替在服务器之间并且格外需要一很长时间接通或最终出故障。
  • 电话日志包含消息例如这些:

    909: NOT 20:59:50.051721 VPNC: do_login: got login response
    910: NOT 20:59:50.052581 VPNC: process_login: HTTP/1.0 302 Temporary moved
    911: NOT 20:59:50.053221 VPNC: process_login: login code: 302 (redirected)
    912: NOT 20:59:50.053823 VPNC: process_login: redirection indicated
    913: NOT 20:59:50.054441 VPNC: process_login: new 'Location':
    /+webvpn+/index.html
    914: NOT 20:59:50.055141 VPNC: set_redirect_url: new URL
    <https://xyz1.abc.com:443/+webvpn+/index.html>

CSD和IP电话

目前, IP电话不支持Cisco Secure Desktop (CSD)和不连接,当CSD启用为隧道群或全局在ASA时。

首先,确认,如果ASA有启用的CSD。运行show run webvpn命令在ASA CLI :

ASA5510-F# show run webvpn
webvpn
enable outside
csd image disk0:/csd_3.6.6210-k9.pkg
csd enable

anyconnect image disk0:/anyconnect-win-3.1.00495-k9.pkg 1
anyconnect enable
ASA5510-F#

在IP电话连接时要检查CSD问题,请检查日志或调试在ASA。

ASA日志

%ASA-4-724002: Group <VPNPhone> User <Phone> IP <172.6.250.9> WebVPN session not 
terminated. Cisco Secure Desktop was not running on the client's workstation.

ASA调试

debug webvpn anyconnect 255
<snip>
Tunnel Group: VPNPhone, Client Cert Auth Success.
WebVPN: CSD data not sent from client
http_remove_auth_handle(): handle 24 not found!
<snip>

注意:在与AnyConnect用户高负载的一大的部署,思科建议您没有启用调试WebVPN anyconnect。其输出不可能由IP地址过滤,因此很多信息也许创建。

在ASA版本8.2和以上,您必须实施没有CSD命令在隧道群的WebVPN属性下:

tunnel-group VPNPhone webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/VPNPhone enable
without-csd

在ASA的以前版本中,这不是可能的,因此唯一的应急方案是禁用CSD全局。

在Cisco Adaptive Security Device Manager (ASDM)如此示例所显示,您能禁用一个特定连接配置文件的CSD :

116162-trouble-anyconnect-vpn-phone-04.jpg

注意:请使用group-url为了关闭CSD功能。


DAP规则

多数部署不仅连接IP电话对ASA,而且连接不同种类的机器(Microsoft, Linux, Mac OS)和移动设备(机器人, iOS)。为此,查找动态访问策略(DAP)是正常的规则现有配置,大多时间,在DfltAccessPolicy下的默认操作是连接的终端。

如果这是实际情形,请创建VPN电话的一个分开的DAP规则。请使用一个特定参数类似连接配置文件,并且设置操作继续

116162-trouble-anyconnect-vpn-phone-05.jpg

如果不创建IP电话的特定DAP策略, ASA显示命中数在DfltAccessPolicy和失败的连接下:

%ASA-6-716038: Group <DfltGrpPolicy> User <CP-7962G-SEP8CB64F576113> IP 
<172.16.250.9> Authentication: successful, Session Type: WebVPN.
%ASA-7-734003: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9: Session
Attribute aaa.cisco.grouppolicy = GroupPolicy_VPNPhone
<snip>
%ASA-6-734001: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9,
Connection AnyConnect: The following DAP records were selected for this
connection: DfltAccessPolicy
%ASA-5-734002: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9: Connection
terminated by the following DAP records: DfltAccessPolicy

一旦创建IP电话的特定DAP策略与设置的操作继续,您能连接:

%ASA-7-746012: user-identity: Add IP-User mapping 10.10.10.10 - 
LOCAL\CP-7962G-SEP8CB64F576113 Succeeded - VPN user
%ASA-4-722051: Group <GroupPolicy_VPNPhone> User <CP-7962G-SEP8CB64F576113> IP
<172.16.250.9> Address <10.10.10.10> assigned to session
%ASA-6-734001: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9,
Connection AnyConnect: The following DAP records were selected for this
connection: VPNPhone

从DfltGrpPolicy或其他组的被继承的值

在许多情况下, DfltGrpPolicy设置几个选项。默认情况下,这些设置为IP电话会话被继承,除非他们在IP电话应该使用的组政策手工指定。

也许影响连接的某些参数,如果他们从DfltGrpPolicy被继承是:

  • group-lock
  • vpn-tunnel-protocol
  • vpn-simultaneous-logins
  • vpn-filter

假设您有此配置示例在DfltGrpPolicy和GroupPolicy_VPNPhone。

group-policy DfltGrpPolicy attributes
vpn-simultaneous-logins 0
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless
group-lock value DefaultWEBVPNGroup
vpn-filter value NO-TRAFFIC

group-policy GroupPolicy_VPNPhone attributes
wins-server none
dns-server value 10.198.29.20
default-domain value cisco.com

连接继承未明确地指定在GroupPolicy_VPNPhone下并且推送所有信息到IP电话在连接时从DfltGrpPolicy的参数。

要避免此,请手工指定您直接地在组中需要的值:

group-policy GroupPolicy_VPNPhone internal
group-policy GroupPolicy_VPNPhone attributes
wins-server none
dns-server value 10.198.29.20
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
group-lock value VPNPhone
vpn-filter none
default-domain value cisco.com

为了检查DfltGrpPolicy的默认值,请使用show run所有组政策命令;此示例澄清输出之间的差异:

ASA5510-F# show run group-policy DfltGrpPolicygroup-policy DfltGrpPolicy 
attributes dns-server value 10.198.29.20 10.198.29.21 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless default-domain value cisco.comASA5510-F#

ASA5510-F# sh run all group-policy DfltGrpPolicygroup-policy DfltGrpPolicy
internal
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server value 10.198.29.20 10.198.29.21
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
ipv6-vpn-filter none
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

这是组政策的输出通过ASDM继承属性:

116162-trouble-anyconnect-vpn-phone-06.jpg

支持的加密密码器

用7962G IP电话和固件版本9.1.1支持测试的AnyConnect VPN电话仅两密码器,是两高级加密标准(AES) :AES256-SHA和AES128-SHA。如果正确密码器在ASA没有指定,如ASA日志所显示,连接拒绝:

%ASA-7-725010: Device supports the following 2 cipher(s).
%ASA-7-725011: Cipher[1] : RC4-SHA
%ASA-7-725011: Cipher[2] : DES-CBC3-SHA
%ASA-7-725008: SSL client outside:172.16.250.9/52684 proposes the following
2 cipher(s).
%ASA-7-725011: Cipher[1] : AES256-SHA
%ASA-7-725011: Cipher[2] : AES128-SHA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no
shared cipher

要确认ASA有启用的正确密码器,检查:

ASA5510-F# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
ssl trust-point SSL outside
ASA5510-F#

ASA5510-F# sh ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 dhe-aes128-sha1 dhe-aes256-sha1 null-sha1
SSL trust-points:
outside interface: SSL
Certificate authentication is not enabled
ASA5510-F#

在CUCM的常见问题

VPN设置没应用对IP电话

一旦在CUCM的配置创建(网关、组和配置文件),请应用在普通的电话配置文件的VPN设置:

  1. 导航对设备>设备设置>普通的电话配置文件

    116162-trouble-anyconnect-vpn-phone-07.jpg

  2. 输入VPN信息:

    116162-trouble-anyconnect-vpn-phone-08.jpg

  3. 导航对Device > Phone,并且确认此配置文件分配到电话配置:

    116162-trouble-anyconnect-vpn-phone-09.jpg

证书验证方法

有两种方式配置IP电话的证书验证:制造商预装证书(MIC)和局部重要的证书(LSC)。有证书验证配置示例的参考的AnyConnect VPN电话为了选择您的情况的最好的选项。

当您配置证书验证时,请导出证书(根CA)从CUCM服务器并且导入他们对ASA :

  1. 登陆对CUCM。
  2. 导航统一OS管理> Security > Certificate Management
  3. 查找认证机关代理功能(CAPF)或Cisco_Manufacturing_CA;证书种类取决于您是否使用了MIC或LSC证书验证。
  4. 下载文件到本地计算机。

一旦文件下载,请登陆对ASA通过CLI或ASDM,并且导入证书作为CA证书。

116162-trouble-anyconnect-vpn-phone-10.jpg

自包括69XX/89XX/99XX)的79x1和以后的所有电话(来自与安装的MIC出厂。LSCs在电话必须手工和单个安装。

由于强化的安全风险,思科独自地推荐使用MICs为LSC安装和不为继续使用。配置思科IP电话为了使用MICs传输层安全的客户(TLS)验证或其他目的那么责任自负。

默认情况下,如果LSC在电话存在,验证使用LSC,不管MIC是否在电话存在。如果MIC和LSC在电话存在,验证使用LSC。如果LSC在电话不存在,但是MIC存在,验证使用MIC。

注意:切记,为证书验证,您应该导出从ASA的SSL证书和导入它到CUCM。

主机ID检查

如果在证书的主题的共同名称(CN)不匹配URL (group-url)电话使用为了接通到ASA通过VPN,禁用在CUCM的主机ID检查或请使用匹配在ASA的该URL的一证书在ASA。

这是必要的,当ASA的SSL证书是通配符证书时, SSL证书包含不同的SAN (附属的替代方案名称),或者URL创建用IP地址而不是完全合格的域名(FQDN)。

这是IP电话日志的示例,当证书的CN不匹配电话尝试到达的URL时。

1231: NOT 07:07:32.445560 VPNC: DNS has wildcard, starting checks...
1232: ERR 07:07:32.446239 VPNC: Generic third level wildcards are not allowed,
stopping checks on host=(test.vpn.com) and dns=(*.vpn.com)

1233: NOT 07:07:32.446993 VPNC: hostID not found in subjectAltNames
1234: NOT 07:07:32.447703 VPNC: hostID not found in subject name
1235: ERR 07:07:32.448306 VPNC: hostIDCheck failed!!

为了禁用主机ID请登记CUCM,导航对高级特性> VPN > VPN配置文件

116162-trouble-anyconnect-vpn-phone-11.jpg

其他故障排除

使用的日志和调试在ASA

在ASA,您能启用这些调试和日志排除故障的:

logging enable
logging buffer-size 1048576
logging buffered debugging

debug webvpn anyconnect 255

注意:在与AnyConnect用户高负载的一大的部署,思科建议您没有启用调试webvpnh anyconnect。其输出不可能由IP地址过滤,因此很多信息也许创建。

IP电话日志

为了访问电话日志,请启用Web访问功能。登陆对CUCM,并且导航对Device > Phone >电话配置。查找您要启用此功能的IP电话,并且查找Web访问的部分。应用对IP电话的配置更改:

116162-trouble-anyconnect-vpn-phone-12.jpg

一旦启用服务并且重置电话为了注入此新特性,您能访问IP电话登陆浏览器;以对该子网的访问使用电话的IP地址从计算机。去控制台日志,并且检查五日志文件。由于电话覆盖五个文件,您必须检查所有这些文件按顺序找到您寻找的信息。

116162-trouble-anyconnect-vpn-phone-13.jpg

在ASA日志和IP电话日志之间的关联的问题

这是示例如何关联从ASA和IP电话的日志。在本例中,因为在ASA的证书用不同的身份验证,替换证书的哈希在ASA的不匹配证书的哈希在电话的配置文件的。

ASA日志

%ASA-7-725012: Device chooses cipher : AES128-SHA for the SSL session with 
client outside:172.16.250.9/50091
%ASA-7-725014: SSL lib error. Function: SSL3_READ_BYTES Reason: tlsv1 alert
unknown ca

%ASA-6-725006: Device failed SSL handshake with client outside:172.16.250.9/50091

电话日志

 902: NOT 10:19:27.155936 VPNC: ssl_state_cb: TLSv1: SSL_connect: before/connect 
initialization
903: NOT 10:19:27.162212 VPNC: ssl_state_cb: TLSv1: SSL_connect: unknown state
904: NOT 10:19:27.361610 VPNC: ssl_state_cb: TLSv1: SSL_connect: SSLv3 read
server hello A
905: NOT 10:19:27.364687 VPNC: cert_vfy_cb: depth:1 of 1, subject:
</CN=10.198.16.140/unstructuredName=10.198.16.140>
906: NOT 10:19:27.365344 VPNC: cert_vfy_cb: depth:1 of 1, pre_err: 18 (self
signed certificate)
907: NOT 10:19:27.368304 VPNC: cert_vfy_cb: peer cert saved: /tmp/leaf.crt
908: NOT 10:19:27.375718 SECD: Leaf cert hash = 1289B8A7AA9FFD84865E38939F3466A61B5608FC
909: ERR 10:19:27.376752 SECD: EROR:secLoadFile: file not found </tmp/issuer.crt>
910: ERR 10:19:27.377361 SECD: Unable to open file /tmp/issuer.crt
911: ERR 10:19:27.420205 VPNC: VPN cert chain verification failed, issuer
certificate not found and leaf not trusted
912: ERR 10:19:27.421467 VPNC: ssl_state_cb: TLSv1: write: alert: fatal:
unknown CA

913: ERR 10:19:27.422295 VPNC: alert_err: SSL write alert: code 48, unknown CA
914: ERR 10:19:27.423201 VPNC: create_ssl_connection: SSL_connect ret -1 error 1
915: ERR 10:19:27.423820 VPNC: SSL: SSL_connect: SSL_ERROR_SSL (error 1)
916: ERR 10:19:27.424541 VPNC: SSL: SSL_connect: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
917: ERR 10:19:27.425156 VPNC: create_ssl_connection: SSL setup failure
918: ERR 10:19:27.426473 VPNC: do_login: create_ssl_connection failed
919: NOT 10:19:27.427334 VPNC: vpn_stop: de-activating vpn
920: NOT 10:19:27.428156 VPNC: vpn_set_auto: auto -> auto
921: NOT 10:19:27.428653 VPNC: vpn_set_active: activated -> de-activated
922: NOT 10:19:27.429187 VPNC: set_login_state: LOGIN: 1 (TRYING) --> 3 (FAILED)
923: NOT 10:19:27.429716 VPNC: set_login_state: VPNC : 1 (LoggingIn) --> 3
(LoginFailed)
924: NOT 10:19:27.430297 VPNC: vpnc_send_notify: notify type: 1 [LoginFailed]
925: NOT 10:19:27.430812 VPNC: vpnc_send_notify: notify code: 37
[SslAlertSrvrCert]
926: NOT 10:19:27.431331 VPNC: vpnc_send_notify: notify desc: [alert: Unknown
CA (server cert)]

927: NOT 10:19:27.431841 VPNC: vpnc_send_notify: sending signal 28 w/ value 13 to
pid 14
928: ERR 10:19:27.432467 VPNC: protocol_handler: login failed

对PC端口功能的间距

您能连接计算机直接地到电话。电话有一交换机端口在底板。

配置电话,您以前,启用间距到在CUCM的PC端口和运用配置。电话开始发送每帧的复制到PC。请使用Wireshark在混杂模式捕获分析的流量。

116162-trouble-anyconnect-vpn-phone-14.jpg

IP电话配置更改,当连接由VPN时

常见问题是您是否能修改VPN配置,当IP电话连接在网络外面由AnyConnect时。答案是,但是您应该确认一些配置设置。

做在CUCM上的必要的更改,然后应用对电话的更改。有三个选项(请运用设置,重置,重新启动)推送新的配置到电话。虽然全部三个选项从电话和ASA断开VPN,您能自动地重新连接,如果使用证书验证;如果使用验证、授权和统计(AAA),再提示对于您的凭证。

116162-trouble-anyconnect-vpn-phone-15.jpg

注意:当IP电话在远端时,通常收到从一个外部DHCP服务器的一个IP地址。为了使接收的IP电话从CUCM的新的配置,应该与TFTP server联系在总部。通常CUCM是同样TFTP server。

为了接收有更改的配置文件,请确认TFTP server的IP地址在电话的网络设置正确地设置;对于确认,请使用从DHCP服务器的选项150或手工设置在电话的TFTP。此TFTP server通过AnyConnect会话是可取得。

如果IP电话接收从一个本地DHCP服务器的TFTP server,但是该地址不正确,您能使用备选TFTP server选项为了改写DHCP服务器提供的TFTP服务器IP地址。此步骤描述如何应用备选TFTP server :

  1. 导航对设置> Network Configuration > IPv4配置
  2. 移动对备选TFTP选项。
  3. 按电话的是软键能使用一代替TFTP server;否则,请勿按软键。如果选项锁定,请按** #为了取消锁定它。
  4. Save 软键。
  5. 应用备选TFTP server在TFTP server下1个选项。

直接地检查状态消息在Web浏览器或在电话菜单为了确认电话接收正确信息。如果通信正确地设置,您看到消息例如这些:

116162-trouble-anyconnect-vpn-phone-16.jpg

如果电话无法从TFTP server获取信息,您收到TFTP错误消息:

116162-trouble-anyconnect-vpn-phone-17.jpg

ASA SSL证书的续订

如果安排一个功能AnyConnect VPN电话设置,但是您的ASA SSL证书将超时,您不需要给主要站点带来所有IP电话为了注入新的SSL证书到电话;当VPN连接时,您能添加新的证书。

如果导出或导入ASA的根CA证书而不是身份证书,并且,如果要继续使用同一个供应商(CA)在此续订期间,更改在CUCM的证书是不必要的,因为保持同样。但是,如果使用了身份证书,此步骤是必要的;否则,在ASA和IP电话范围的Hash值不配比,并且连接没有由电话委托。

  1. 更新在ASA的证书。

    注意:关于详细信息,参考ASA 8.x :更新并且安装与ASDM的SSL证书。请创建一分开的信任点,并且请勿应用此新证书用ssl信任点<name>外部命令,直到您应用证书对所有VPN IP电话。

  2. 导出新证书。
  3. 导入新证书对CUCM作为电话VPN托拉斯证书。
  4. 导航对在CUCM的VPN网关配置,并且应用新证书。您当前有两证书:将超时的证书和未应用对ASA的新证书。
  5. 适用于此新建的配置IP电话。导航运用设置>重置>重新启动为了注入对IP电话的新的配置更改到VPN通道。保证所有IP电话通过VPN连接,并且他们能通过通道到达TFTP server。
  6. 请使用TFTP检查状态消息和配置文件为了确认IP电话接收有更改的配置文件。
  7. 应用在ASA的新的SSL信任点,并且取代证书。

注意:如果ASA SSL证书已经超时,并且,如果IP电话无法通过AnyConnect连接;您能推送更改(例如新的ASA证书哈希)对IP电话。手工设置在IP电话的TFTP为公网IP地址,因此IP电话能从那里获取信息。请使用一公共TFTP server主机配置文件;一示例是创建转发在ASA的端口和重定向流量对内部TFTP server。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116162