Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
Cisco Unified Presence の設定
Cisco Unified Presence の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

Cisco Unified Presence の設定

Cisco Unified Presence に関する情報

Cisco Unified Presence のアーキテクチャ

プレゼンス フェデレーションの信頼関係

Cisco UP とセキュリティ アプライアンス間でのセキュリティ証明書の交換

Cisco Unified Presence のライセンス

Cisco Unified Presence の設定

Cisco Unified Presence の設定のタスク フロー

トラストポイントの作成と証明書の生成

証明書のインストール

TLS プロキシ インスタンスの作成

SIP 検査での TLS プロキシのイネーブル化

Cisco Unified Presence の監視

Cisco Unified Presence の設定例

Cisco Unified Presence の機能履歴

Cisco Unified Presence の設定

この章では、Cisco Unified Presence 向けに適応型セキュリティ アプライアンスを設定する方法を説明します。

この章には、次の項があります。

「Cisco Unified Presence に関する情報」

「Cisco Unified Presence のライセンス」

「Cisco Unified Presence の設定」

「Cisco Unified Presence の監視」

「Cisco Unified Presence の設定例」

「Cisco Unified Presence の機能履歴」

Cisco Unified Presence に関する情報

この項は、次の内容で構成されています。

「Cisco Unified Presence のアーキテクチャ」

「プレゼンス フェデレーションの信頼関係」

「Cisco UP とセキュリティ アプライアンス間でのセキュリティ証明書の交換」

Cisco Unified Presence のアーキテクチャ

図 49-1 は、適応型セキュリティ アプライアンスを(TLS プロキシとして実装されている)プレゼンス フェデレーション プロキシとして使用する、Cisco Unified Presence/LCS フェデレーションのシナリオを示しています。TLS 接続を使用する 2 つのエンティティは、企業 X の「ルーティング プロキシ」(専用の Cisco UP)と、企業 Y のMicrosoft アクセス プロキシです。ただし、構成はこのシナリオに制限されません。適応型セキュリティ アプライアンスの左側には、あらゆる Cisco UP または Cisco UP クラスタを展開できます。リモート エンティティには任意のサーバ(LCS、OCS、または別の Cisco UP)を使用できます。

次のアーキテクチャは、TLS 接続で SIP(または他の適応型セキュリティ アプライアンス検査プロトコル)を使用する 2 つのサーバの一般的なアーキテクチャです。

エンティティ X:企業 X の Cisco UP/ルーティング プロキシ

エンティティ Y:企業 Y の LCS/OCS 用の Microsoft アクセス プロキシ/エッジ サーバ

図 49-1 標準的な Cisco Unified Presence/LCS フェデレーション シナリオ

 

上記のアーキテクチャでは、適応型セキュリティ アプライアンスはファイアウォール、NAT、および TLS プロキシとして機能します。これは推奨のアーキテクチャです。ただし、適応型セキュリティ アプライアンスは、NAT および TLS プロキシのみとして機能し、既存のファイアウォールを使用することもできます。

いずれかのサーバが TLS ハンドシェイクを開始できます(クライアントだけが TLS ハンドシェイクを開始できる IP テレフォニーまたは Cisco Unified Mobility とは異なります)。双方向の TLS プロキシ規則と設定があります。各企業は、適応型セキュリティ アプライアンスを TLS プロキシとして使用できます。

図 49-1 では、NAT または PAT を使用して、エンティティ X のプライベート アドレスを非表示にできます。この状況では、スタティック NAT または PAT を、接続または TLS ハンドシェイク(着信)を開始した外部サーバ(エンティティ Y)に設定する必要があります。通常、パブリック ポートは 5061 にする必要があります。次のスタティック PAT コマンドは、着信接続を受け入れる Cisco UP で必要です。

hostname(config)# static (inside,outside) tcp 192.0.2.1 5061 10.0.0.2 5061 netmask 255.255.255.255
 

次のスタティック PAT は、(SIP SUBSCRIBE を送信して)外部サーバへの接続を開始できる各 Cisco UP に対して設定する必要があります。

アドレスが 10.0.0.2 の Cisco UP の場合は、次のコマンドを入力します。

hostname(config)# static (inside,outside) tcp 192.0.2.1 5062 10.0.0.2 5062 netmask 255.255.255.255
hostname(config)# static (inside,outside) udp 192.0.2.1 5070 10.0.0.2 5070 netmask 255.255.255.255
hostname(config)# static (inside,outside) tcp 192.0.2.1 5060 10.0.0.2 5060 netmask 255.255.255.255
 

アドレスが 10.0.0.3 の別の Cisco UP の場合は、45062 または 45070 などの PAT ポートの異なるセットを使用する必要があります。

hostname(config)# static (inside,outside) tcp 192.0.2.1 45061 10.0.0.3 5061 netmask 255.255.255.255
hostname(config)# static (inside,outside) tcp 192.0.2.1 45062 10.0.0.3 5062 netmask 255.255.255.255
hostname(config)# static (inside,outside) udp 192.0.2.1 45070 10.0.0.3 5070 netmask 255.255.255.255
hostname(config)# static (inside,outside) tcp 192.0.2.1 5070 10.0.0.2 5070 netmask 255.255.255.255
hostname(config)# static (inside,outside) tcp 192.0.2.1 45060 10.0.0.3 5060 netmask 255.255.255.255
 

ダイナミック NAT または PAT を、発信接続または TLS ハンドシェイクの残りに対して使用できます。適応型セキュリティ アプライアンス SIP 検査エンジンは、必要な変換(フィックスアップ)を処理します。

hostname(config)# global (outside) 102 192.0.2.1 netmask 255.255.255.255
hostname(config)# nat (inside) 102 0.0.0.0 0.0.0.0
 

図 49-2 は、適応型セキュリティ アプライアンス上のプレゼンス フェデレーション プロキシを通じてエンティティ Y に接続されているエンティティ X を抽象化したシナリオを示しています。プロキシは、エンティティ X と同じ管理ドメイン内に存在します。エンティティ Y は別の適応型セキュリティ アプライアンスをプロキシとして使用できますが、ここでは簡略化のために省略されています。

図 49-2 2 つのサーバ エンティティ間の抽象化されたプレゼンス フェデレーション プロキシ シナリオ

 

 

適応型セキュリティ アプライアンスがそのクレデンシャルを保持している場合にエンティティ X のドメイン名を正しく解決するには、適応型セキュリティ アプライアンスを、エンティティ X に対して NAT を実行するように設定します。またドメイン名は、適応型セキュリティ アプライアンスがプロキシ サービスを提供するエンティティ X のパブリック アドレスとして解決されます。

プレゼンス フェデレーションの信頼関係

企業内では、自己署名した証明書を使用して信頼関係を設定するか、内部 CA で信頼関係を設定できます。

企業間または管理ドメイン間における信頼関係の確立は、フェデレーションにとって重要です。企業間では、信頼できる第三者 CA(VeriSign など)を使用する必要があります。適応型セキュリティ アプライアンスは、Cisco UP の Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して証明書を取得します(証明書偽装)。

TLS ハンドシェイクの場合、2 つのエンティティが、信頼できる第三者認証局への証明書チェーンを通じてピア証明書を検証できます。両方のエンティティが CA に登録されます。TLS プロキシとしての適応型セキュリティ アプライアンスは、両方のエンティティによって信頼されている必要があります。適応型セキュリティ アプライアンスは、企業のいずれかに常に関連付けられています。企業(図 49-1 の企業 X)内では、エンティティと適応型セキュリティ アプライアンスは、ローカル CA を通じて、または自己署名した証明書を使用して相互に認証を行うことができます。

適応型セキュリティ アプライアンスとリモート エンティティ(エンティティ Y)間で信頼関係を確立するために、適応型セキュリティ アプライアンスはエンティティ X(Cisco UP)の代わりに CA に登録できます。登録要求で、エンティティ X の ID(ドメイン名)が使用されます。

図 49-3 に、信頼関係を確立する方法を示します。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスが Cisco UP であるかのように、Cisco UP FQDN を使用して第三者 CA に登録します。

図 49-3 セキュリティ アプライアンスで Cisco Unified Presence を表す方法:証明書偽装

 

Cisco UP とセキュリティ アプライアンス間でのセキュリティ証明書の交換

適応型セキュリティ アプライアンスで使用される証明書のキー ペア( cup_proxy_key など)を生成し、TLS ハンドシェイクで適応型セキュリティ アプライアンスから Cisco UP に送信された自己署名証明書を識別するためのトラストポイント( cup_proxy など)を設定します。

適応型セキュリティ アプライアンスで Cisco UP の証明書を信頼するためには、Cisco UP からの証明書を識別するトラストポイント( cert_from_cup など)を作成し、登録タイプを端末として指定して、Cisco UP から受信した証明書を端末に貼り付けることを示します。

Cisco Unified Presence のライセンス

適応型セキュリティ アプライアンスでサポートされる Cisco Unified Presence 機能には、Unified Communications Proxy ライセンスが必要です。

Cisco Unified Presence 機能は、TLS セッションによってライセンスされます。フェデレーション プロキシの場合、各エンドポイントは 1 つの Unified Communications Proxy セッションを利用します。

表 49-1 に、Unified Communications Proxy ライセンス詳細をプラットフォーム別に示します。

 

表 49-1 セキュリティ アプライアンスのライセンス要件

セキュリティ アプライアンス プラットフォーム
最大 UC Proxy ライセンス
UC Proxy ライセンスの段階

ASA 5505

24

24

ASA 5510

100

24, 50, 100

ASA 5520

1,000

24, 50, 100, 250, 500, 750, 1000

ASA 5540

2,000

24, 50, 100, 250, 500, 750, 1000, 2000

ASA 5550

3,000

24, 50, 100, 250, 500, 750, 1000, 2000, 3000

Unified Communications Proxy ライセンスは、 activation-key コマンドを使用して、他のライセンス機能(SSL VPN など)と同様に適用します。適応型セキュリティ アプライアンスでライセンスを確認するには、 show version コマンドまたは show activation-key コマンドを次のように使用します。

hostname# show activation-key
Serial Number: P3000000179
Running Activation Key: 0xa700d24c 0x98caab35 0x88038550 0xaf383078 0x02382080
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 150
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 10
GTP/GPRS : Enabled
VPN Peers : 750
WebVPN Peers : 750
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Enabled
UC Proxy Sessions : 1000
This platform has an ASA 5520 VPN Plus license.
 
The flash activation key is the SAME as the running key.
hostname#
 

ライセンスの追加情報については、次のリンクを参照してください。Cisco.com の登録ユーザの場合、Unified Communications Proxy ライセンスを入手するには、次の Web サイトにアクセスしてください。

http://www.cisco.com/go/license

Cisco.com の登録ユーザでない場合は、次の Web サイトにアクセスしてください。

https://tools.cisco.com/SWIFT/Licensing/RegistrationServlet

姓名、電子メール アドレス、および show version コマンド出力で表示される適応型セキュリティ アプライアンスのシリアル番号を入力してください。

Cisco Unified Presence の設定

ここでは、次の項目について説明します。

「Cisco Unified Presence の設定のタスク フロー」

「トラストポイントの作成と証明書の生成」

「証明書のインストール」

「TLS プロキシ インスタンスの作成」

「SIP 検査での TLS プロキシのイネーブル化」

Cisco Unified Presence の設定のタスク フロー

ローカル ドメイン内にある単一の Cisco UP を含み Cisco UP と適応型セキュリティ アプライアンスの間で自己署名した証明書を使用する(図 49-1 のシナリオを参照)適応型セキュリティ アプライアンスを TLS プロキシとして使用する Cisco Unified Presence/LCS フェデレーション シナリオを設定するには、次のタスクを実行します。


ステップ 1 Cisco UP を含むローカル ドメインで次のスタティック NAT を作成します。

Cisco UP を含むローカル ドメインへの着信接続の場合は、次のコマンドを入力してスタティック PAT を作成します。

hostname(config)# static (real_ifc,mapped_ifc) tcp mapped_ip mapped_port netmask mask
 

) (SIP SUBSCRIBE を送信して)外部サーバとの接続を開始できる各 Cisco UP の場合は、PAT ポートの異なるセットを使用してスタティック PAT を設定する必要もあります。


発信接続または TLS ハンドシェイクの場合は、ダイナミック NAT または PAT を使用します。適応型セキュリティ アプライアンス SIP 検査エンジンは、必要な変換(フィックスアップ)を処理します。

hostname(config)# global (mapped_ifc) nat_id mapped_ip netmask mask
hostname(config)# nat (real_ifc) nat_id real_ip mask
 

ステップ 2 リモート エンティティに必要な RSA キー ペアとプロキシ証明書(自己署名した証明書)を作成します。「トラストポイントの作成と証明書の生成」を参照してください。

ステップ 3 証明書をインストールします。「証明書のインストール」を参照してください。

ステップ 4 Cisco UP サーバに接続している Cisco UP クライアントの TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」を参照してください。

ステップ 5 SIP 検査で TLS プロキシをイネーブルにします。「SIP 検査での TLS プロキシのイネーブル化」を参照してください。


 

トラストポイントの作成と証明書の生成

適応型セキュリティ アプライアンスで使用される証明書のキー ペア( cup_proxy_key など)を生成し、TLS ハンドシェイクで適応型セキュリティ アプライアンスから Cisco UP に送信された自己署名証明書を識別するためのトラストポイント( cup_proxy など)を設定します。

 

 
コマンド
目的

ステップ 1

hostname(config)# crypto key generate rsa label key-pair-label modulus size
例:
crypto key generate rsa label ent_y_proxy_key modulus 1024
INFO: The name for the keys will be: ent_y_proxy_key
Keypair generation process begin. Please wait...
hostname(config)#

トラストポイントに使用できる RSA キー ペアを作成します。

キー ペアは、Cisco UP(リモート エンティティ用のプロキシ)を含むローカル ドメインに提示される自己署名した証明書で使用されます。

ステップ 2

hostname(config)# crypto ca trustpoint trustpoint_name
例:
hostname(config)# crypto ca trustpoint ent_y_proxy

リモート エンティティのトラストポイントを作成するには、指定したトラストポイントのトラストポイント コンフィギュレーション モードに入ります。

トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。

ステップ 3

hostname(config-ca-trustpoint)# enrollment self

自己署名した証明書を生成します。

ステップ 4

hostname(config-ca-trustpoint)# fqdn none

登録時に、Subject Alternative Name 拡張子に完全修飾ドメイン名(FQDN)を含めるかどうかを指定します。

ステップ 5

hostname(config-ca-trustpoint)# subject-name X.500_name
例:
hostname(config-ca-trustpoint)# subject-name cn=Ent-Y-Proxy

登録時に、指定したサブジェクト DN を証明書に含めます。

ステップ 6

hostname(config-ca-trustpoint)# keypair keyname
例:
hostname(config-ca-trustpoint)# keypair ent_y_proxy_key

公開キーが認証の対象となるキー ペアを指定します。

ステップ 7

hostname(config-ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 8

hostname(config)# crypto ca enroll trustpoint
例:
hostname(config)# crypto ca enroll ent_y_proxy

CA への登録プロセスを開始し、登録するトラストポイントの名前を指定します。

次の作業

ローカル エンティティ トラストストアに証明書をインストールします。ローカル エンティティが信頼するローカル CA に証明書を登録することもできます。「証明書のインストール」を参照してください。

証明書のインストール

「トラストポイントの作成と証明書の生成」で作成した適応型セキュリティ アプライアンスの自己署名証明書をエクスポートし、信頼された証明書としてローカル エンティティにインストールします。このタスクは、ローカル エンティティで適応型セキュリティ アプライアンスを認証するために必要です。

前提条件

リモート エンティティが信頼するプロキシ証明書を適応型セキュリティ アプライアンスで作成するには、信頼できる CA から証明書を取得します。信頼できる CA から証明書を取得する方法については、「証明書の設定」を参照してください。

 

 
コマンド
目的

ステップ 1

hostname(config)# crypto ca export trustpoint identity-certificate
例:
hostname(config)# crypto ca export ent_y_proxy identity-certificate

適応型セキュリティ アプライアンス自己署名した(ID)証明書をエクスポートします。

ステップ 2

hostname(config)# crypto ca trustpoint trustpoint_name
例:
hostname(config)# crypto ca trustpoint ent_x_cert
! for Entity X’s self-signed certificate

ローカル エンティティのトラストポイントを作成するには、指定したトラストポイントのトラストポイント コンフィギュレーション モードに入ります。

トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。

ステップ 3

hostname(config-ca-trustpoint)# enrollment terminal

このトラストポイントで使用するカット アンド ペースト登録(手動登録)を指定します。

ローカル エンティティで自己署名した証明書を使用する場合は、自己署名した証明書をインストールする必要があります。ローカル エンティティで CA によって発行された証明書を使用する場合は、CA 証明書をインストールする必要があります。この設定は、自己署名した証明書を使用するためのコマンドを示しています。

ステップ 4

hostname(config-ca-trustpoint)# exit

 

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 5

hostname(config)# crypto ca authenticate trustpoint
例:
hostname(config)# crypto ca authenticate ent_x_cert
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
[ certificate data omitted ]
Certificate has the following attributes:
Fingerprint: 21B598D5 4A81F3E5 0B24D12E 3F89C2E4
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

ローカル エンティティに作成したトラストポイントと関連付けられている CA 証明書をインストールし、認証します。

trustpoint には、CA 証明書を取得するトラストポイントを指定します。名前の最大長は 128 文字です。

適応型セキュリティ アプライアンスは、base-64 形式で CA 証明書を端末に貼り付けることを求めるプロンプトを表示します。

ステップ 6

hostname(config)# crypto ca trustpoint trustpoint_name
例:
hostname(config)# crypto ca trustpoint ent_y_ca
! for Entity Y’s CA certificate

次のコマンドを入力して、適応型セキュリティ アプライアンスでリモート エンティティ証明書に署名する CA 証明書をインストールします。これは、適応型セキュリティ アプライアンスでリモート エンティティを認証するために必要な手順です。

ステップ 7

hostname(config-ca-trustpoint)# enrollment terminal

このトラストポイントで使用するカット アンド ペースト登録(手動登録)を指定します。

ステップ 8

hostname(config-ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 9

hostname(config)# crypto ca authenticate trustpoint
例:
hostname(config)# crypto ca authenticate ent_y_ca
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==

ローカル エンティティに作成したトラストポイントと関連付けられている CA 証明書をインストールし、認証します。

適応型セキュリティ アプライアンスは、base-64 形式で CA 証明書を端末に貼り付けることを求めるプロンプトを表示します。

次の作業

適応型セキュリティ アプライアンスでローカル エンティティとリモート エンティティのトラストポイントを作成し、証明書を作成したら、TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」を参照してください。

TLS プロキシ インスタンスの作成

(TLS ハンドシェイクをクライアントのみが開始できる IP テレフォニーや Cisco Unified Mobility とは異なり)いずれかのサーバが TLS ハンドシェイクを開始できるので、双方向の TLS プロキシ規則を設定する必要があります。各企業は、適応型セキュリティ アプライアンスを TLS プロキシとして使用できます。

接続を開始したローカル エンティティとリモート エンティティの TLS プロキシ インスタンスをそれぞれ作成します。TLS 接続を開始するエンティティは、「TLS クライアント」の役割に含まれます。TLS プロキシには、「クライアント」プロキシと「サーバ」プロキシの厳密な定義があるため、いずれかのエンティティが接続を開始できる場合、2 つの TLS プロキシ インスタンスを定義する必要があります。

 

 
コマンド
目的

ステップ 1

! Local entity to remote entity
hostname(config)# tls-proxy proxy_name
例:
hostname(config)# tls-proxy ent_x_to_y

TLS プロキシ インスタンスを作成します。

ステップ 2

hostname(config-tlsp)# server trust-point proxy_name
例:
hostname(config-tlsp)# server trust-point ent_y_proxy

TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定します。

証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

server trust-point コマンドの proxy_name には、リモート エンティティのプロキシ名を指定します。

ステップ 3

hostname(config-tlsp)# client trust-point proxy_trustpoint
例:
hostname(config-tlsp)# client trust-point ent_x_proxy

適応型セキュリティ アプライアンスが TLS クライアントの役割と見なす場合に、適応型セキュリティ アプライアンスが TLS ハンドシェイクで使用するトラストポイントおよび関連付けられた証明書を指定します。

証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

client trust-point コマンドの proxy_trustpoint には、ローカル エンティティのプロキシを指定します。

ステップ 4

hostname(config-tlsp)# client cipher-suite cipher_suite
例:
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

暗号スイートの設定を指定します。

クライアント プロキシ(サーバに対して TLS クライアントとして機能するプロキシ)の場合、ユーザ定義の暗号スイートによってデフォルトの暗号スイートが置き換えられます。

ステップ 5

! Remote entity to local entity
hostname(config)# tls-proxy proxy_name
例:
tls-proxy ent_y_to_x

TLS プロキシ インスタンスを作成します。

ステップ 6

hostname(config-tlsp)# server trust-point proxy_name
例:
hostname(config-tlsp)# server trust-point ent_x_proxy

TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定します。

server trust-point コマンドの proxy_name には、ローカル エンティティのプロキシ名を指定します。

ステップ 7

hostname(config-tlsp)# client trust-point proxy_trustpoint
例:
hostname(config-tlsp)# client trust-point ent_y_proxy

適応型セキュリティ アプライアンスが TLS クライアントの役割と見なす場合に、適応型セキュリティ アプライアンスが TLS ハンドシェイクで使用するトラストポイントおよび関連付けられた証明書を指定します。

client trust-point コマンドの proxy_trustpoint には、リモート エンティティのプロキシを指定します。

ステップ 8

hostname(config-tlsp)# client cipher-suite cipher_suite
例:
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

暗号スイートの設定を指定します。

次の作業

TLS プロキシ インスタンスを作成したら、そのインスタンスを SIP 検査用にイネーブルにします。「SIP 検査での TLS プロキシのイネーブル化」を参照してください。

SIP 検査での TLS プロキシのイネーブル化

SIP 検査で TLS プロキシをイネーブルにし、接続を開始できる両方のエンティティのポリシーを定義します。SIP アプリケーション検査の詳細については、「<<ここに新しい検査の章に関する相互参照が必要>>」を参照してください。

 

 
コマンド
目的

ステップ 1

hostname(config)# access-list id extended permit tcp host src_ip host dest_ip eq port
例:
access-list ent_x_to_y extended permit tcp host 10.0.0.2 host 192.0.2.254 eq 5061
access-list ent_y_to_x extended permit tcp host 192.0.2.254 host 192.0.2.1 eq 5061

アクセス コントロール エントリを追加します。アクセスリストを使用して、検査するトラフィックのクラスを指定します。

ステップ 2

hostname(config)# class-map class_map_name
例:
hostname(config)# class-map ent_x_to_y

検査するセキュア SIP クラスのトラフィックを設定します。

class_map_name には、SIP クラスマップの名前を指定します。

ステップ 3

hostname(config-cmap)# match access-list access_list_name
例:
hostname(config-cmap)# match access-list ent_x_to_y

検査するトラフィックを指定します。

ステップ 4

hostname(config-cmap)# exit

クラスマップ コンフィギュレーション モードを終了します。

ステップ 5

hostname(config)# policy-map type inspect sip policy_map_name
例:
hostname(config)# policy-map type inspect sip sip_inspect

SIP 検査アプリケーション トラフィックの特別なアクションを定義します。

ステップ 6

hostname(config-pmap)# parameters
! SIP inspection parameters

SIP 検査のパラメータを指定します。パラメータは、検査エンジンの動作に影響します。

パラメータ コンフィギュレーション モードで使用できるコマンドは、アプリケーションによって異なります。

ステップ 7

hostname(config-pmap)# exit

ポリシーマップ コンフィギュレーション モードを終了します。

ステップ 8

hostname(config)# policy-map name
例:
hostname(config)# policy-map global_policy

ポリシーマップを設定し、アクションをトラフィック クラスに関連付けます。

ステップ 9

hostname(config-pmap)# class classmap_ name
例:
hostname(config-pmap)# class ent_x_to_y

クラスマップ トラフィックにアクションを割り当てることができるように、クラスマップをポリシーマップに割り当てます。

classmap_name には、SIP クラスマップの名前を指定します。

ステップ 10

hostname(config-pmap)# inspect sip sip_map tls-proxy proxy_name
hostname(config-pmap)# inspect sip sip_inspect tls-proxy ent_x_to_y

指定された SIP 検査セッションで TLS プロキシをイネーブルにします。

ステップ 11

hostname(config-pmap)# exit

ポリシーマップ コンフィギュレーション モードを終了します。

ステップ 12

hostname(config)# service-policy policy_map_name global
例:
hostname(config)# service-policy global_policy global

すべてのインターフェイスで SIP 検査に対するサービス ポリシーをイネーブルにします。

policy-map コマンドの名前には、グローバル ポリシーマップの名前を指定します。

Cisco Unified Presence の監視

デバッグは、IP テレフォニーの TLS プロキシのデバッグと似ています。TLS プロキシ接続の問題をデバッグするために、SSL の syslog とともに TLS プロキシのデバッグ フラグをイネーブルにできます。

たとえば、TLS プロキシ関連のデバッグと syslog 出力だけをイネーブルにするには、次のコマンドを使用します。

hostname(config)# debug inspect tls-proxy events
hostname(config)# debug inspect tls-proxy errors
hostname(config)# logging enable
hostname(config)# logging timestamp
hostname(config)# logging list loglist message 711001
hostname(config)# logging list loglist message 725001-725014
hostname(config)# logging list loglist message 717001-717038
hostname(config)# logging buffer-size 1000000
hostname(config)# logging buffered loglist
hostname(config)# logging debug-trace
 

TLS プロキシのデバッグ方法および出力例については、 「TLS プロキシの監視」 を参照してください。

SIP 検査エンジンのデバッグを行うには、 debug sip コマンドをイネーブルにします。『 Cisco ASA 5500 Series Command Reference 』を参照してください。

また、次のコマンドを入力して、未加工のデータおよび復号化されたデータを TLS プロキシでキャプチャできます。

hostname# capture mycap interface outside (capturing raw packets)
hostname# capture mycap-dec type tls-proxy interface outside (capturing decrypted data)
hostname# show capture capture_name
hostname# copy /pcap capture:capture_name tftp://tftp_location

Cisco Unified Presence の設定例

次の例は、図 49-4 に示されている Cisco Unified Presence の TLS プロキシを実行するために必要な適応型セキュリティ アプライアンスの設定を示しています。この例では、単一の Cisco UP(エンティティ X)がローカル ドメイン内にあり、自己署名した証明書がエンティティ X と ASA 間で使用されていることを前提にしています。

(SIP SUBSCRIBE を送信して)外部サーバとの接続を開始できる Cisco UP ごとに、スタティック PAT も設定する必要があります。また、そのアドレス(この例では 10.0.0.3)を使用する別の Cisco UP がある場合は、PAT ポートの異なるセット(45062 や 45070 など)を使用する必要があります。ダイナミック NAT または PAT は、発信接続または TLS ハンドシェイクに使用できます。適応型セキュリティ アプライアンス SIP 検査エンジンは、必要な変換(フィックスアップ)を処理します。

必要な RSA キー ペアを作成すると、エンティティ X(エンティティ Y のプロキシ)に提示されるキー ペアは自己署名した証明書で使用されます。エンティティ Y に対するプロキシ証明書を作成すると、証明書はエンティティ X トラストストアにインストールされます。この証明書は、エンティティ X が信頼するローカル CA に登録することもできます。

エンティティ X で適応型セキュリティ アプライアンスを認証するには、適応型セキュリティ アプライアンスの自己署名した証明書(ent_y_proxy)をエクスポートし、それをエンティティ X に信頼できる証明書としてインストールする必要があります。エンティティ X とのハンドシェイク中に適応型セキュリティ アプライアンスでエンティティ X を認証するには、エンティティ X の証明書をエクスポートし、それを適応型セキュリティ アプライアンスにインストールする必要があります。エンティティ X で自己署名した証明書を使用する場合は、自己署名した証明書をインストールする必要があります。エンティティ X で CA によって発行された証明書を使用する場合は、CA 証明書をインストールする必要があります。

信頼できる CA から証明書を取得する方法については、「証明書の設定」を参照してください。

適応型セキュリティ アプライアンスでエンティティ Y を認証するには、適応型セキュリティ アプライアンスにエンティティ Y の証明書に署名する CA 証明書をインストールする必要があります。

エンティティ X とエンティティ Y の TLS プロキシ インスタンスを作成する場合、TLS 接続を開始するエンティティは、「TLS クライアント」の役割に含まれます。TLS プロキシには、「クライアント」プロキシと「サーバ」プロキシの厳密な定義があるため、いずれかのエンティティが接続を開始できる場合、2 つの TLS プロキシ インスタンスを定義する必要があります。

SIP 検査で TLS プロキシをイネーブルにする場合は、接続を開始できる両方のエンティティに対してポリシーを定義する必要があります。

図 49-4 標準的な Cisco Unified Presence/LCS フェデレーション シナリオ

 

static (inside,outside) tcp 192.0.2.1 5061 10.0.0.2 5061 netmask 255.255.255.255
static (inside,outside) tcp 192.0.2.1 5062 10.0.0.2 5062 netmask 255.255.255.255
static (inside,outside) udp 192.0.2.1 5070 10.0.0.2 5070 netmask 255.255.255.255
static (inside,outside) tcp 192.0.2.1 45062 10.0.0.3 5062 netmask 255.255.255.255
static (inside,outside) udp 192.0.2.1 45070 10.0.0.3 5070 netmask 255.255.255.255
global (outside) 102 192.0.2.1 netmask 255.255.255.255
nat (inside) 102 0.0.0.0 0.0.0.0
crypto key generate rsa label ent_y_proxy_key modulus 1024
! for self-signed Entity Y proxy certificate
crypto ca trustpoint ent_y_proxy
enrollment self
fqdn none
subject-name cn=Ent-Y-Proxy
keypair ent_y_proxy_key
crypto ca enroll ent_y_proxy
crypto ca export ent_y_proxy identity-certificate
! for Entity X’s self-signed certificate
crypto ca trustpoint ent_x_cert
enrollment terminal
crypto ca authenticate ent_x_cert
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
[ certificate data omitted ]
quit
! for Entity Y’s CA certificate
crypto ca trustpoint ent_y_ca
enrollment terminal
crypto ca authenticate ent_y_ca
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
! Entity X to Entity Y
tls-proxy ent_x_to_y
server trust-point ent_y_proxy
client trust-point ent_x_proxy
client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1
! Entity Y to Entity X
tls-proxy ent_y_to_x
server trust-point ent_x_proxy
client trust-point ent_y_proxy
client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1
access-list ent_x_to_y extended permit tcp host 10.0.0.2 host 192.0.2.254 eq 5061
access-list ent_y_to_x extended permit tcp host 192.0.2.254 host 192.0.2.1 eq 5061
class-map ent_x_to_y
match access-list ent_x_to_y
class-map ent_y_to_x
match access-list ent_y_to_x
policy-map type inspect sip sip_inspect
parameters
! SIP inspection parameters
policy-map global_policy
class ent_x_to_y
inspect sip sip_inspect tls-proxy ent_x_to_y
class ent_y_to_x
inspect sip sip_inspect tls-proxy ent_y_to_x
service-policy global_policy global
 

Cisco Unified Presence の機能履歴

ここに情報を挿入