音声とユニファイド コミュニケーション : Cisco Unified Border Element

Unified Border Element SIP TLS の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Unified Border Element(CUBE)は、Transport Layer Security(TLS)を使用する SIP コールに対してセッション開始プロトコル(SIP)をサポートします。 TLS は、通信する 2 つのアプリケーション間の SIP シグナリング メッセージのプライバシーとデータ整合性を提供します。 TLS は、TCP のような高信頼性転送プロトコルの上位の層に位置します。

CUBE での TLS は、TLS が非 TLS SIP コールを出来るようにレッグ単位を基本に設定できます。 同様に、SIP レッグを使用する間、シグナリングを確保し、H.323 レッグを使用して H.323 から SIP へのコールをサポートするために、CUBE では IPsec を使用します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • (ダイヤルピアなどの)Cisco IOS の音声機能を設定および使用する方法の基本的な知識

  • CUBE の設定および使用方法に関する基礎知識

  • 暗号化、証明書、認証局、PKI(キー)、および認証などの基本的なセキュリティの概念に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS Release 12.4T を使用する ISR のリリース上の CUBE

  • 認証局(CA)として設定された Cisco IOS ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

次の図では、SIP TLS 接続を使用した CUBE の例を示します。

/image/gif/paws/100446/cube_sip_tls01.gif

  • 発信元ゲートウェイ(OGW)、終端ゲートウェイ(TGW)、および CUBE のデバイスが CA サーバによって認証および登録されます。 証明書が CA サーバによって署名されます。

  • コールが行われると、TLS ハンドシェイクがデバイス(たとえば、OGW および CUBE)の間で開始され、ハンドシェイク時に共通に信頼できる CA によって署名された証明書を交換するために IOS PKI インフラストラクチャが使用されます。

  • TLS ハンドシェイク時に、ダイナミックに生成された対称キーと暗号化のアルゴリズムはデバイス間でネゴシエートされます。

  • TLS ハンドシェイクが完了したら、デバイス間に SIP セッションが確立されます。 TLS ハンドシェイク プロセス中に交換されるキーはすべての SIP シグナリング メッセージの暗号化または復号化に使用されます。 URI の方式の「sips」 が SIP TLS メッセージに使用されます。

CUBE での TLS の RFC サポート

SIP RFC 3261 に基づいて TLS に必要な暗号スイートは次のとおりです。

  • TLS_RSA_WITH_AES_128_CBC_SHA(必須)

  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (任意選択):ネットワーク サーバ(下位互換性のためのプロキシ サーバやリダイレクト サーバなど)の場合は必須

TLS_RSA_WITH_AES_128_CBC_SHA のスイートのみ CUBE に適用され、サポートされます。 同様に、CUBE での TLS 実装では RFC 2246 の必須の暗号スイートのみがサポートされます。

SIP プロトコルは、ピアツーピア モデルを使用します。 そのため、CUBE は TLS 接続のサーバまたはクライアントのどちらにもなることができ、両側に実装できます。 CUBE はサーバ側の場合、常に相互認証を実行します。

設定手順

CA サーバの設定

暗号化イメージを使用してロードされた Cisco IOS ルータを設定するには、グローバル コンフィギュレーション モードでで次のコマンドを使用できます。

router(config)#crypto pki server <ca-server-name>
router(cs-server)#no shutdown

注:

  • HTTP サーバが CA サーバとして設定されたルータで動作していることを確認するには、グローバル コンフィギュレーション モードで ip http server コマンドを使用します。 CA サーバから証明書を受信するためにクライアントのトラストポイント(CUBE/OGW/TGW)が HTTP を使用するため、これは必要です。

  • CA サーバとクライアントのトラストポイント(CUBE/OGW/TGW)のクロックが同期している必要があります。 同期していない場合、CA サーバによって発行される証明書の有効性の問題が発生することがあります。 Cisco IOS ルータのクロックを同期化するには show clock コマンドおよび clock set コマンドを使用できます。 また、クロックを同期するために NTP サーバを導入できます。

CUBE に関する基本的設定

CUBE の IP 間ゲートウェイ機能をイネーブルにするには、次のコマンドを使用します。 これは、着信 VoIP コールの終了およびとのコールの発信 VoIP ダイヤルピアつ使ったコールの再度開始ができます。

voice service voip 
  allow-connections h323 to sip              
  allow-connections sip to h323              
  allow-connections sip to sip
  allow-connections h323 to h323

TLS 設定

CUBE(および OGW および TGW などの他のデバイス)で TLS を設定する手順は次のとおりです。

  1. RSA キー ペアを生成します。

    RSA のキー ペアを生成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

    router(config)#crypto key generate rsa general-keys label <label> modulus 1024
    
  2. PKI のトラストポイント(CUBE)を作成します。

    PKI のトラストポイント(CUBE)を作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

    router(config)#crypto pki trustpoint <ca-server-name>
    router(ca-trustpoint)#enrollment url <http://ca-server-ip>
    router(ca-trustpoint)#rsakeypair <rsa keypair label>
    
  3. CA サーバで PKI のトラストポイント(CUBE)を認証します。

    CA サーバで PKI のトラストポイント(CUBE)を認証するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

    router(config)#crypto pki authenticate <ca-server-name>
    

    この手順にによって CA サーバがトリガーされ、同意する必要があるトラストポイント(CUBE)に証明書が送信されます。

  4. CA サーバで PKI のトラストポイント(CUBE)を登録します。

    このコマンドは、グローバル コンフィギュレーション モードで使用します。

    router(config)#crypto pki enroll <ca-server-name>
    

    この手順では、チャレンジ パスワードを入力します。 CA サーバでは、このトラストポイント(CUBE)へ 2 つの証明書を発行します。 1 つは CA サーバを証明するもので、もう 1 つはトラストポイント(CUBE)を証明するものです。 show run コマンドでこの証明書を確認できます。

  5. セッション トランスポートとして TLS を設定します。

    セッション トランスポートは、TLS に「voice service voip」の下のグローバル レベルまたは適切な VoIP のダイヤル ピアのいずれかで session transport tcp tls コマンドを使用して設定できます。

    session transport が VoIP のダイヤル ピアに対して(受信または発信、またはその両方に)設定されている場合、TLS トランスポートは設定されたレッグにだけ使用されます。 TLS トランスポートは、レッグ間を基準にサポートされています。

  6. SIP UA のデフォルトのトラストポイントを設定します。

    SIP UA のデフォルトのトラストポイントを設定するには、「sip-ua」モードで次のコマンドを使用します.

    router(config-sip-ua)#[no] crypto signaling [(remote-addr subnet mask) | default] 
           trustpoint <label> [strict-cipher]
    

    トラストポイントのラベルは、登録のプロセスの一部として Cisco IOS PKI コマンドで生成される CUBE の証明書を参照します。 strict-cipher は、SIP TLS プロセスが SIP RFC で必須とされているその暗号スイートのみを使用することを意味します。

    現在、RFC 3261 では、TLS_RSA_WITH_AES_128_CBC_SHA および TLS_RSA_WITH_3DES_EDE_CBC_SHA スイートが指定されています。 strict-cipher コマンドを使用するとき、SIP で新しい暗号方式を規定する必要がある場合に引数によって設定の変更を回避します。

    Cisco IOS での SSL のレイヤは TLS_RSA_WITH_3DES_EDE_CBC_SHA をサポートしません。 したがって、CUBE は実行時にはストリクト モードでの TLS_RSA_WITH_AES_128_CBC_SHA のスイートのみを使用します。 strict-cipherが指定されていない場合、SIP TLS プロセスは SSL のレイヤでのサポートに依存して大きい暗号方式のセットを使用します。

    例 1

    次のコマンドは、1.2.3.0 のサブネット内のリモート デバイスとの TLS 接続を確立するか、または承諾する場合にトラスト ポイントのラベル mylabel を使用するために CUBE を設定します。 この場合の暗号スイートは、CUBE の SSL レイヤでサポートされる全体のセットです。

    crypto signaling remote-addr 1.2.3.0 255.255.255.0 trustpoint mylabel
    

    例 2

    次のコマンドは、個別のサブネット ラベル設定が一致しないときにいずれかのリモート デバイスとの TLS 接続を確立するか、または承諾する場合にトラスト ポイントのラベル chef を使用するために CUBE を設定します。

    crypto signaling default trustpoint chef
    

    例 3

    次のコマンドは、1.2.3.0 のサブネット内のリモート デバイスとの TLS 接続を確立するか、または承諾する場合にトラスト ポイントのラベル mylabel を使用するために CUBE を設定します。 TLS ハンドシェイク時に使用される暗号スイートは TLS_RSA_WITH_AES_128_CBC_SHA スイートに制限されます。

    crypto signaling remote-addr 1.2.3.0 255.255.255.0 trustpoint mylabel 
                     strict-cipher
    
  7. TLS のリスナー ポートを有効かします。

    TCP 5061 の TLS ポートでリッスンを有効にするようには、「sip-ua」モードで次のコマンドを発行します。

    transport tcp tls
    
  8. SIP URL 方式を設定します。

    「sips: 」URL 方式では、VoIP ダイヤルピア レベルまたはグローバル レベルのどちらでも設定できます。 次のコマンドは「sips: 」を VoIP ダイヤル ピアに設定するために使用します。

    voice-class sip url sips
    

    「sips:」 URL 方式を グローバル レベルで設定するには、「voice service voip」「sip」モードで次のコマンドを使用します。

    voice service voip 
     sip
       url sips
    

    SIP URL を使用する場合、シグナリング パスのすべてのホップが TLS および SIP を使用する必要があります。 これは、キーが SDP にある SRTP にとって、および情報をクリア テキストで送信するべきでないセキュアな接続にとって重要になります。 プロキシが SIPS で INVITE を受信されると(たとえば、INVITE sips:123@proxy SIP /2.0)、このプロキシは次のホップで SIPS を使用する必要があります。 TLS がそのままの SIP URL で使用される場合、すべてのホップで TLS が使用される保証はなく、このコールのエンドツーエンド セキュリティを危険にさらすおそれがあります。

    「sips」URL が設定されると、トランスポートは自動的に TLS に設定されます。

TLS の実装の注意事項

  • 現在の CUBE 動作では、セキュア メディアが設定されている場合(SRTP)、トランスポートとして TLS を使用する必要があります。 将来の機能拡張によってこの要件は削除される可能性があります。

  • メディア接続を保護するために SRTP が設定されている場合は、SIP シグナリング メッセージを保護するために TLS または IPSec も設定する必要があります。 SRTP 暗号化に使用されるキーは、シグナリング メッセージを介して交換されます。シグナリング チャネルが保護されていないと SRTP キーがクリア テキストで交換される結果になり、これはメディア接続用の SRTP のセキュリティを無駄にします。

  • 現在の CUBE 動作では、「sips:」 URI 方式を TLS のコールで使用する必要があります。 将来の機能拡張によってこの要件は削除される可能性があります。

  • 単一の CA サーバの使用でのみ、現在の CUBE 動作が確認されました。

設定例

CUBE

ipipgw
ipipgw#show run
Building configuration...
 
Current configuration : 5096 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ipipgw
!
boot-start-marker
boot system flash c3845-adventerprisek9_ivs-mz.124-3.9.PI3a
boot-end-marker
!
logging buffered 10000000 debugging
no logging console
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
no ip domain lookup
!
voice-card 0
 no dspfarm
!
voice service voip 
 allow-connections sip to sip
 sip
 url sips
!
crypto pki trustpoint ca-server
 enrollment url http://9.13.46.14:80
 serial-number
 revocation-check crl
 rsakeypair kkp
!
crypto pki certificate chain ca-server
 certificate 04
  3082020D 30820176 A0030201 02020104 300D0609 2A864886 F70D0101 04050030 
  14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 39323231 
  37333435 315A170D 30363039 32323137 33343531 5A303431 32300F06 03550405 
  13084337 33323231 3333301F 06092A86 4886F70D 01090216 1270696E 612D3338 
  34352D69 70697067 77312E30 819F300D 06092A86 4886F70D 01010105 0003818D 
  00308189 02818100 BBCC2977 637E8E42 17EB7C26 FB2BA0A3 6E1ECECB E01A64F8 
  8F18200F 9837E4FA 7D908B3C 1297A4DE A403D315 C7BB96C6 50D95291 0433FA7B 
  CB8FFFFD 8FC1C211 CCC7BCA9 140FF942 C3ACF4BC 3EDCE2DC 28FCEA87 AA83629F 
  D217F833 A727940A 0BBB8624 3EA9D1EC 1F69228F E1DFC113 243246B7 BF57696C 
  2278F5C3 674EE0E1 02030100 01A34F30 4D300B06 03551D0F 04040302 05A0301F 
  0603551D 23041830 16801486 7414D5D6 9B8299C1 787211AB 1B265B06 D2B62D30 
  1D060355 1D0E0416 0414FED1 97051946 D2F870D8 0DE819C3 AA1F3830 AD35300D 
  06092A86 4886F70D 01010405 00038181 00845AB8 F6589AED 17D0BB10 2AEA48AA 
  9299C130 4B358EA1 96632C84 0387D2DE 4774C776 6A14F25B 5D062E12 45EF730D 
  27D45795 62C17F55 A0428259 B13669BC 022201C7 EB6B7ACF 4C7143FA 8A038301 
  CEA17A0B D0662887 26BA8F0E C44410BB 4F982706 11F0D248 77D8A0E5 4417F0F4 
  3F993CE3 F62F6BDE BA2DD6BB B843391D 6D
  quit
 certificate ca 01
  30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 39323031 
  37303335 375A170D 30383039 31393137 30333537 5A301431 12301006 03550403 
  13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D 
  00308189 02818100 BE7F0760 70D3B5C3 923D59FB C10AED17 71C6F477 7580851A 
  282FFAEB 43B918A1 2D867C1B 63963B36 F779FE18 D5DFFDB6 5E436276 459FC5EA 
  A729C386 CDDD922B 2A0439AE 68A5F4C4 3B05F168 5BB93EF2 DF737F11 0BA3F5EB 
  3E62F423 CB5364D3 C39CCA09 8ADECBFF 4C0515A6 0750A283 ABA39ED2 F5866B98 
  D3361C1A B88AA62B 02030100 01A36330 61300F06 03551D13 0101FF04 05300301 
  01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 16801486 
  7414D5D6 9B8299C1 787211AB 1B265B06 D2B62D30 1D060355 1D0E0416 04148674 
  14D5D69B 8299C178 7211AB1B 265B06D2 B62D300D 06092A86 4886F70D 01010405 
  00038181 00AC7DAF 0DF589CA C6175EC0 8F976C5F E08C3C91 85282FFA 94EE6F30 
  02EEE5B9 E60198ED 643151E0 CCE192FA A352BA3D 8BC5C006 EF89CFCF 59DA9B12 
  D729102C 3D6ADC3C 09931B96 3F1FB48C C0A85FDB 4F9A7C16 028673C3 91786D57 
  9D7C1016 62F9D4E9 78FED276 0C404815 B1FE3A11 4D215FCF 573536B4 477ECDB7 
  7060E221 31
  quit
!
interface GigabitEthernet0/0
 ip address 9.13.46.12 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 negotiation auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 9.13.46.1
!
ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
control-plane
!
call treatment on
!
dial-peer voice 1 voip
 session protocol sipv2
 incoming called-number 9000
 codec g711ulaw
!
dial-peer voice 2 voip
 destination-pattern 9000
 session protocol sipv2
 session target ipv4:9.13.46.200
 codec g711ulaw
!
dial-peer voice 3 voip
 session protocol sipv2
 incoming called-number 4000
 codec g711ulaw
!
dial-peer voice 4 voip
 destination-pattern 4000
 session protocol sipv2
 session target ipv4:9.13.32.75
 codec g711ulaw
!         
dial-peer voice 5 voip
 destination-pattern 5000
 session protocol sipv2
 session target ipv4:9.13.0.10
 codec g711alaw
!
dial-peer voice 7 voip
 destination-pattern 9999
 session protocol sipv2
 session target ipv4:9.13.2.36
 codec g711alaw
!
dial-peer voice 12 pots
 destination-pattern 8400
!
dial-peer voice 10 voip
 destination-pattern 50000
 session protocol sipv2
 session target ipv4:9.13.2.150
 codec g711alaw
!
dial-peer voice 11 voip
 session protocol sipv2
 session transport tcp tls
 incoming called-number 8004
 codec g711ulaw
!
dial-peer voice 13 voip
 destination-pattern 8004
 session protocol sipv2
 session target ipv4:9.13.2.70
 codec g711ulaw
!
dial-peer voice 20 voip
 destination-pattern 4444
 session target ipv4:9.13.46.111
 codec g711ulaw
!
dial-peer voice 21 voip
 incoming called-number 4444
 codec g711ulaw
!
sip-ua 
 retry invite 10
 crypto signaling default trustpoint ca-server 
!
gatekeeper
 shutdown
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 login
!
scheduler allocate 20000 1000
!
end

IOS CA サーバ

ca-server
ca-server#show run
Building configuration...
 
Current configuration : 2688 bytes
!
! Last configuration change at 17:11:41 UTC Tue Sep 20 2005
! NVRAM config last updated at 16:57:43 UTC Tue Sep 20 2005
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ca-server
!
boot-start-marker
boot system flash c2800nm-adventerprisek9_ivs-mz.124-3.9.PI3a
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero       
!
ip cef
!
voice-card 0
 no dspfarm
!
crypto pki server ca-server
 grant auto
!
crypto pki trustpoint ca-server
 revocation-check crl
 rsakeypair ca-server
!
crypto pki certificate chain ca-server
 certificate ca 01
  30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 39323031 
  37303335 375A170D 30383039 31393137 30333537 5A301431 12301006 03550403 
  13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D 
  00308189 02818100 BE7F0760 70D3B5C3 923D59FB C10AED17 71C6F477 7580851A 
  282FFAEB 43B918A1 2D867C1B 63963B36 F779FE18 D5DFFDB6 5E436276 459FC5EA 
  A729C386 CDDD922B 2A0439AE 68A5F4C4 3B05F168 5BB93EF2 DF737F11 0BA3F5EB 
  3E62F423 CB5364D3 C39CCA09 8ADECBFF 4C0515A6 0750A283 ABA39ED2 F5866B98 
  D3361C1A B88AA62B 02030100 01A36330 61300F06 03551D13 0101FF04 05300301 
  01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 16801486 
  7414D5D6 9B8299C1 787211AB 1B265B06 D2B62D30 1D060355 1D0E0416 04148674 
  14D5D69B 8299C178 7211AB1B 265B06D2 B62D300D 06092A86 4886F70D 01010405 
  00038181 00AC7DAF 0DF589CA C6175EC0 8F976C5F E08C3C91 85282FFA 94EE6F30 
  02EEE5B9 E60198ED 643151E0 CCE192FA A352BA3D 8BC5C006 EF89CFCF 59DA9B12 
  D729102C 3D6ADC3C 09931B96 3F1FB48C C0A85FDB 4F9A7C16 028673C3 91786D57 
  9D7C1016 62F9D4E9 78FED276 0C404815 B1FE3A11 4D215FCF 573536B4 477ECDB7 
  7060E221 31
  quit
!
interface FastEthernet0/0
 ip address 9.13.46.14 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown 
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 9.13.46.1
!
ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
control-plane
!
gatekeeper
 shutdown
!
line con 0
line aux 0
line vty 0 4
 login
!
scheduler allocate 20000 1000
!
end

確認

コールが行われた後で、コールに使用されたトランスポートが TLS であるかどうかを確認するには、次の show コマンドを使用できます。

router#show sip-ua connections tcp tls ?
   brief Show summary of connections
   detail Show detail connection information

このコマンドの出力例を次の例で示します。

例 1: 詳細な出力:

==========================================================================
router#show sip-ua connections tcp tls detail 
Total active connections      : 1
No. of send failures          : 0
No. of remote closures        : 3
No. of conn. failures         : 0
No. of inactive conn. ageouts : 0
Max. tls send msg queue size of 0, recorded for 0.0.0.0:0
TLS client handshake failures : 0
TLS server handshake failures : 0
 
---------Printing Detailed Connection Report---------
Note:
 ** Tuples with no matching socket entry
    - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port>'
      to overcome this error condition
 ++ Tuples with mismatched address/port entry
    - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port> id <connid>'
      to overcome this error condition

Remote-Agent:9.13.46.12, Connections-Count:1
  Remote-Port Conn-Id Conn-State  WriteQ-Size
  =========== ======= =========== ===========
         5061       1 Established           0

==========================================================================

例 2: 簡単な出力:

==========================================================================
router#show sip-ua connections tcp tls brief 
Total active connections      : 2
No. of send failures          : 0
No. of remote closures        : 0
No. of conn. failures         : 0
No. of inactive conn. ageouts : 0
Max. tls send msg queue size of 0, recorded for 0.0.0.0:0
TLS client handshake failures : 0
TLS server handshake failures : 0
==========================================================================

また、 debug ccsip messages コマンドを使用して、 TLS に含まれる「Via:」ヘッダーを確認できます。 次の出力は、SIP TLS および「sips:」URI 方式を使用するコールの INVITE 要求 の例です。

INVITE sips:777@172.18.203.181 SIP/2.0
Via: SIP/2.0/TLS 172.18.201.173:5060;branch=z9hG4bK2C419
From: <sips:333@172.18.201.173>;tag=581BB98-1663
To: <sips:5555555@172.18.197.154>
Date: Wed, 28 Dec 2005 18:31:38 GMT
Call-ID: EB5B1948-770611DA-804F9736-BFA4AC35@172.18.201.173
Remote-Party-ID: "Bob" <sips:+14085559999@1.2.3.4>
Contact: <sips:123@host>
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, COMET, REFER, SUBSCRIBE, NOTIFY, INFO
Max-Forwards: 70
Cseq: 104 INVITE
Expires: 60
Timestamp: 730947404
Content-Length: 298
Content-Type: application/sdp
 
v=0
o=CiscoSystemsSIP-GW-UserAgent 8437 1929 IN IP4 172.18.201.173
s=SIP Call
c=IN IP4 1.1.1.1
t=0 0
m=audio 18378 RTP/AVP 0 19
c=IN IP4 1.1.1.1
a=rtpmap:0 PCMU/8000
a=rtpmap:19 CN/8000
a=ptime:20

トラブルシューティング

TLS のコールのトラブルシューティングのヒントは次のとおりです。

  • CA サーバがトラストポイントに証明書を発行できるためには、CA サーバとして設定されている IOS ルータで HTTP が有効になっていることを確認します(コマンド ip http server を使用します)。

  • CA サーバのクロックとトラストポイントのクロックが同期する必要があります。

  • TLS ハンドシェイクが 2 台のデバイス間(たとえば、OGW と CUBE)で失敗した場合、デバイスの証明書の有効性を確認してください。 debug crypto pki コマンドが TLS ハンドシェイク時の問題のトラブルシューティングに使用できます。

  • デバイス(たとえば、OGW および CUBE)が異なるサブネットにあることが時にあり、TCP ウィンドウ サイズのネゴシエーションの問題となることがあります。 その結果、I/O Send Error および I/O Read Error が起こります。 この問題は両方のデバイスで ip tcp path-mtu-discovery コマンドを実行すると解決できます。 この問題は、正常な TLS ハンドシェイク後に発生する場合があります。

  • TLS の接続を削除するために、sip-ua モードで「clear sip-ua connections」コマンドを使用します。

    Router#clear sip-ua tcp [tls] connections <id <conn id> | target 
              <ipv4:ip address:port>
    

    TLS が TCP の最上部にあるため tls オプションが tcp の後に表示されます。 このコマンドは、TCP と UDP の既存の clear コマンドと同様に機能します。


関連情報


Document ID: 100446