音声 : セッション開始プロトコル(SIP)

IOS SIP ゲートウェイと CallManager の間の SIP-TLS の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は Cisco IOS 間の SIP シグナリング 暗号化(Transport Layer Security 上の SIP)に設定 例を提供したものですか。 ゲートウェイおよび Cisco Unified CallManager。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOSゲートウェイ: Cisco 2821、高度企業 サービス 機能セットの Cisco IOSソフトウェア Release12.4(15)T1

  • Cisco CallManager 5.1.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/98746/ios_ccm_sip_tls-1.gif

設定

このドキュメントでは、次の設定を使用します。

Cisco Unified CallManager 自己署名証明書をダウンロードして下さい

次の手順を実行します。

  1. Cisco Unified CallManager の Cisco Unified OS 管理 ページに https:// <ccm IP アドレス >/platform_gui/でログイン し、> Certificate Management > ダウンロード Certificate/CTL を『Security』 を選択 して下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-2.gif

  2. 証明書を所有するために『Download』 をクリック して下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-3.gif

  3. 既存 の 認証型として『CallManager』 をクリック して下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-4.gif

  4. 証明書名をクリックして下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-5.gif

  5. [Continue] をクリックします。

    ios_ccm_sip_tls-6.gif

  6. CallManager.pem リンクを右クリックし、Savelink をように認証をダウンロードするために選択して下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-7.gif

Cisco IOS SIP ゲートウェイコンフィギュレーション

IOS SIP ゲートウェイコンフィギュレーション
maui-soho-01#


!--- Enable IP TCP MTU Path Discovery.


 ip tcp path-mtu-discovery 


!--- Configure NTP Server.


 ntp server 172.18.108.15 


!--- Upload the CCM Certificate to Cisco IOS Gateway.


crypto pki trustpoint CCM-Cert

 enrollment terminal

 revocation-check none

 
!--- Download the Cisco CallManager certificate, and paste 
 !--- the contents of the certificate, pem format.

 
Router(config)#crypto ca authenticate CCM-Cert 

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 

Certificate has the following attributes:
       Fingerprint MD5: 1EF154E3 70E40379 1C7003B9 B29E111B 
      Fingerprint SHA1: CAFA0F83 B04B2E65 71104B73 64BF6AEB ABE9EED9
 

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
 


!--- Configure a trustpoint in order to generate the self-signed 
!--- certificate of the Gateway.


 

crypto pki trustpoint CCM-SIP-1
 enrollment selfsigned
 fqdn none
 subject-name CN=SIP-GW
 revocation-check none
 rsakeypair CCM-SIP-1
 

Router(config)#crypto ca enroll CCM-SIP-1 
% The fully-qualified domain name will not be included in the certificate
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
 


!— View the certificate in PEM format, and copy the Self-signed CA certificate
!--- (output starting from “----BEGIN” to “CERTIFICATE----“) to a file named SIP-GW.pem 
 

 

Router(config)#crypto pki export CCM-SIP-1 pem terminal 
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 

% General Purpose Certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE----- 

 


!--- Configure the SIP stack in the Cisco IOS GW to use the self-signed 
!--- certificate of the router in order to establish a SIP TLS connection from/to 
!--- Cisco CallManager.


 
sip-ua 
 crypto signaling remote-addr 172.18.110.84 255.255.255.255 trustpoint CCM-SIP-1 strict-cipher
 


!--- Configure the T1 PRI.


 
controller T1 1/0/0
 framing esf
 linecode b8zs
 pri-group timeslots 1-24
 


!--- Configure the ISDN switch type and incoming-voice under the D-channel 
!--- interface.


 
interface Serial1/0/0:23
 no ip address
 encapsulation hdlc
 isdn switch-type primary-ni
 isdn incoming-voice voice
 no cdp enable
 


!--- Configure a POTS dial-peer that is used as an inbound dial-peer for calls 
!--- that come in across the T1 PRI line.


 
dial-peer voice 2 pots
 description PSTN PRI Circuit
 destination-pattern 9T
 incoming called-number .
 direct-inward-dial
 port 1/0/0:23
 


!--- Configure an outbound voip dial-peer in order to route calls to the 
!--- Cisco CallManager.


 
dial-peer voice 3 voip
 destination-pattern 75...
 session protocol sipv2
 session target ipv4:172.18.110.84:5061
 session transport tcp tls
 dtmf-relay rtp-nte
 codec g711ulaw 

Cisco Unified CallManager へのアップロード Cisco IOS SIP ゲートウェイの認証

次の手順を実行します。

  1. Cisco Unified CallManager の Cisco Unified OS 管理 ページに https:// <ccm IP アドレス >/platform_gui/でログイン し、> Certificate Management > アップ ロード Certificate/CTL を『Security』 を選択 して下さい。

    ios_ccm_sip_tls-8.gif

  2. 信頼証明書を『Upload』 をクリック して下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-9.gif

  3. CallManager 信頼をクリックして下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-10.gif

  4. 入力しか、または Cisco IOS 認証の位置に、the.pem ファイル参照し、『Upload』 をクリック して下さい。

    /image/gif/paws/98746/ios_ccm_sip_tls-11.gif

  5. アップロード結果を確認して下さい。

    ios_ccm_sip_tls-12.gif

Cisco Unified CallManager の SIP トランク の 設定

次の手順を実行します。

  1. https:// <ccm IP アドレス >/ccmadmin/で CallManager の Cisco Unified OS 管理 ページにログイン して下さい。 SIP トランク セキュリティプロファイルを設定して下さい:

    1. システム > Security プロファイル > SIP トランク セキュリティプロファイルを選択して下さい。

    2. この図で表示されるパラメータの Add New ボタンをクリックして下さい:

      ios_ccm_sip_tls-13.gif

  2. SIP トランクを設定して下さい:

    1. Device > Trunk の順に選択 して下さい。

    2. Add New ボタンをクリックして下さい。

    3. 示されているようにトランクタイプSIP トランクを、選択して下さい:

      ios_ccm_sip_tls-14.gif

      ios_ccm_sip_tls-15.gif

  3. ルートパターンを設定して下さい:

    1. > ルート/ハントする > ルートパターン 『Call Routing』 を選択 して下さい。

    2. 示されているように Add New ボタンを、クリックして下さい:

      /image/gif/paws/98746/ios_ccm_sip_tls-16.gif

確認

設定が Cisco IOS SIP ゲートウェイできちんと機能することを確認するためにこのセクションを使用して下さい。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • 暗号 PKI 認証 詳細表示 CCM-SIP-1 を示して下さい

    Router Self-Signed Certificate
    
      Status: Available
    
      Version: 3
    
      Certificate Serial Number: 0x1
    
      Certificate Usage: General Purpose
    
      Issuer: 
    
        cn=SIP-GW
    
      Subject:
    
        Name: SIP-GW
    
        cn=SIP-GW
    
      Validity Date: 
    
        start date: 16:01:07 EST Sep 5 2007
    
        end   date: 20:00:00 EST Dec 31 2019
    
      Subject Key Info:
    
        Public Key Algorithm: rsaEncryption
    
        RSA Public Key: (512 bit)
    
      Signature Algorithm: MD5 with RSA Encryption
    
      Fingerprint MD5: 3F9612FB C0E435F1 F445B5C4 0344E6A9 
    
      Fingerprint SHA1: E6520255 B799818F C1067042 1A7E2EE9 4DDFD0C8 
    
      X509v3 extensions:
    
        X509v3 Subject Key ID: 5EA09CEA 68ED563C 0472F899 B4AFC0DC 422A2EB6 
    
        X509v3 Basic Constraints:
    
            CA: TRUE
    
        X509v3 Subject Alternative Name:
    
            F340.28.25-2800-2
    
        X509v3 Authority Key ID: 5EA09CEA 68ED563C 0472F899 B4AFC0DC 422A2EB6 
    
        Authority Info Access:
    
      Associated Trustpoints: CCM-SIP-1
    
  • 暗号 PKI 認証 詳細表示 CCM 証明書を示して下さい

    CA Certificate
    
      Status: Available
    
      Version: 3
    
      Certificate Serial Number: 0x4B8C503776C8654A
    
      Certificate Usage: General Purpose
    
      Issuer: 
    
        cn=RTPMS-CCM-51
    
      Subject: 
    
        cn=RTPMS-CCM-51
    
      Validity Date: 
    
        start date: 19:22:49 EST Jul 23 2007
    
        end   date: 19:22:49 EST Jul 23 2012
    
      Subject Key Info:
    
        Public Key Algorithm: rsaEncryption
    
        RSA Public Key: (1024 bit)
    
      Signature Algorithm: SHA1 with RSA Encryption
    
      Fingerprint MD5: 1EF154E3 70E40379 1C7003B9 B29E111B 
    
      Fingerprint SHA1: CAFA0F83 B04B2E65 71104B73 64BF6AEB ABE9EED9 
    
      X509v3 extensions:
    
        X509v3 Key Usage: BC000000
    
          Digital Signature
    
          Key Encipherment
    
          Data Encipherment
    
          Key Agreement
    
          Key Cert Sign
    
        X509v3 Subject Key ID: 2BA425DB C1C459D3 D0243BB5 741E01E2 8622A967 
    
        X509v3 Subject Alternative Name:
    
        Authority Info Access:
    
      Associated Trustpoints: CCM-Cert
    
  • Show sip-ua 接続 TCP TLS 詳細

    Total active connections      : 2
    
    No. of send failures          : 0
    
    No. of remote closures        : 0
    
    No. of conn. failures         : 2
    
    No. of inactive conn. ageouts : 0
    
    Max. tls send msg queue size of 0, recorded for 0.0.0.0:0
    
    TLS client handshake failures : 2
    
    TLS server handshake failures : 0
    
     
    
    ---------Printing Detailed Connection Report---------
    
    Note:
    
     ** Tuples with no matching socket entry
    
        - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port>'
    
          to overcome this error condition
    
     ++ Tuples with mismatched address/port entry
    
        - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port> 
    	 
    	   id <connid>' to overcome this error condition
    
     
    
    Remote-Agent:172.18.110.84, Connections-Count:2
    
      Remote-Port Conn-Id Conn-State  WriteQ-Size
    
      =========== ======= =========== ===========
    
             5061       1 Established           0
    
            51180       2 Established           0
    
  • show call active voice brief
    11F0 : 7 8990160ms.1 +2670 pid:20001 Answer 7960 active
    
     dur 00:00:10 tx:483/83076 rx:510/81600
    
     Tele 1/0/0:23 (228) [1/0/0.1] tx:9660/9660/0ms g711ulaw noise:0 acom:0  i/0:0/0 dBm
    
     
    
    11F0 : 8 8990980ms.1 +1840 pid:3 Originate 75001 active
    
     dur 00:00:10 tx:483/1246360336 rx:513/82080
    
     IP 14.50.202.26:28232 SRTP: off rtt:0ms pl:4720/1ms lost:0/0/0 delay:0/0/0ms 
     
     g711ulaw TextRelay: off media inactive detected:n media contrl rcvd:n/a 
     
     timestamp:n/a long duration call detected:n long duration call 
     
     duration:n/a timestamp:n/a
    
     
    
    Telephony call-legs: 1
    
    SIP call-legs: 1
    
    H323 call-legs: 0
    
    Call agent controlled call-legs: 0
    
    SCCP call-legs: 0
    
    Multicast call-legs: 0
    
    Media call-legs: 0
    
    Total call-legs: 2
    

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

debug コマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

Cisco IOS ゲートウェイを設定して、ロギング バッファにデバッグ情報を記録し、logging console を無効にするようにします。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

これらはロギングバッファでデバッグを保存するためにゲートウェイを設定するために使用されるコマンドです:

  • service timestamps debug datetime msec

  • service sequence

  • no logging console

  • logging buffered 5000000 debug

  • clear log

これらはこの資料の設定をデバッグするために使用されるコマンドです:

  • debug isdn q931

  • debug voip ccapi inout

  • デバッグ ccsip すべて

  • デバッグ ssl openssl エラー

  • デバッグ ssl openssl メッセージ

  • デバッグ ssl openssl 状態

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 98746