ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
Cisco Intercompany Media Engine Proxy の設定
Cisco Intercompany Media Engine Proxy の設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

Cisco Intercompany Media Engine Proxy の設定

Cisco Intercompany Media Engine Proxy に関する情報

Cisco Intercompany Media Engine Proxy の機能

PSTN およびインターネットでの UC-IME の動作

チケットとパスワード

PSTN へのコール フォールバック

Cisco Intercompany Media Engine のアーキテクチャと導入シナリオ

アーキテクチャ

基本配置

パス外配置

Cisco Intercompany Media Engine のライセンス

ガイドラインと制限事項

Cisco Intercompany Media Engine Proxy の設定

Cisco Intercompany Media Engine の設定のタスク フロー

Cisco Intercompany Media Engine Proxy の NAT の設定

Cisco UCM サーバの PAT の設定

Cisco Intercompany Media Engine Proxy のアクセス リストの作成

メディア ターミネーション インスタンスの作成

Cisco Intercompany Media Engine Proxy の作成

トラストポイントの作成と証明書の生成

TLS プロキシの作成

Cisco Intercompany Media Engine Proxy の SIP インスペクションのイネーブル化

(任意)ローカルの企業内での TLS の設定

(任意)パス外シグナリングの設定

UC-IME Proxy ペインによる Cisco UC-IMC プロキシの設定

Unified Communications Wizard を使用した Cisco UC-IMC Proxy の設定

Cisco Intercompany Media Engine Proxy の機能履歴

Cisco Intercompany Media Engine Proxy の設定

この章では、Cisco Intercompany Media Engine Proxy 向けに適応型セキュリティ アプライアンスを設定する方法について説明します。

この章は、次の項で構成されています。

「Cisco Intercompany Media Engine Proxy に関する情報」

「Cisco Intercompany Media Engine のライセンス」

「ガイドラインと制限事項」

「Cisco Intercompany Media Engine Proxy の設定」

「Cisco Intercompany Media Engine Proxy の機能履歴」

Cisco Intercompany Media Engine Proxy に関する情報

この項は、次の内容で構成されています。

「Cisco Intercompany Media Engine Proxy の機能」

「PSTN およびインターネットでの UC-IME の動作」

「チケットとパスワード」

「PSTN へのコール フォールバック」

「Cisco Intercompany Media Engine のアーキテクチャと導入シナリオ」

Cisco Intercompany Media Engine Proxy の機能

Cisco Intercompany Media Engine により、企業はインターネット経由での相互接続をオンデマンドで行うことが可能になり、VoIP テクノロジーによる高度な機能を利用できます。Cisco Intercompany Media Engine では、ピアツーピア、セキュリティ、および SIP プロトコルを使用してビジネス間にダイナミック SIP トランクを作成することにより、異なる企業内の Cisco Unified Communications Manager クラスタの間で企業間フェデレーションを実現できます。企業の集合は、最終的にそれらの間にクラスタ間トランクが存在する 1 つの大きなビジネスであるかのように連携します。

適応型セキュリティ アプライアンスの既存の TLS プロキシ機能、SIP Application Layer Gateway(ALG)機能、および SIP 検証機能は、Cisco Intercompany Media Engine の機能に適用されます。

Cisco Intercompany Media Engine は、次の重要な特徴を備えています。

既存の電話番号で動作:Cisco Intercompany Media Engine は、企業が現在所有している電話番号で動作するので、Cisco Intercompany Media Engine を使用するために企業が新しい番号を覚えたりプロバイダーを変更したりする必要はありません。

既存の IP 電話で動作:Cisco Intercompany Media Engine は、企業内の既存の IP 電話で動作します。ただし、企業間コールにおけるフィーチャ セットは、IP 電話の機能だけに制限されます。

新しいサービスの購入は不要:Cisco Intercompany Media Engine を使用するために、サービス プロバイダーから新しいサービスを購入する必要はありません。お客様は、現在所有している PSTN 接続とインターネット接続を引き続き使用します。Cisco Intercompany Media Engine により、コールは PSTN からインターネットへ徐々に移行されます。

Cisco Unified Communications の機能をすべて提供:Cisco Intercompany Media Engine では企業間にクラスタ間 SIP トランクが作成されるため、SIP トランク経由で動作し、SIP トランクだけを必要とする Unified Communication 機能は、Cisco Intercompany Media Engine ですべて動作します。したがって、Unified Communication の機能がすべての企業にわたって提供されます。

インターネット上で動作:Cisco Intercompany Media Engine はインターネット上で動作するように設計されています。また、管理されたエクストラネット上でも動作します。

世界中に到達可能:Cisco Intercompany Media Engine では、Cisco Intercompany Media Engine テクノロジーを稼働している企業であれば、世界中の任意の企業に接続できます。地域的な制限は存在しません。これは、Cisco Intercompany Media Engine で利用される 2 つのネットワーク(インターネットと PSTN)が、どちらも世界中に到達できるからです。

無制限に拡張可能:Cisco Intercompany Media Engine は、任意の数の企業と連携できます。

自己学習型:このシステムは基本的に自己学習します。お客様は、電話プレフィックス、IP アドレス、ポート、ドメイン名、証明書など、他のビジネスに関する情報を入力する必要はありません。お客様は、自分たちのネットワークに関する情報を設定する必要があり、Cisco Intercompany Media Engine の範囲を制限する場合はポリシー情報も入力します。

安全:Cisco Intercompany Media Engine は安全であり、多数のさまざまなテクノロジーを使用してこのセキュリティを実現しています。

組み込みのアンチスパム機能:Cisco Intercompany Media Engine では、電話コールで企業にスパム メッセージを送るインターネット上のソフトウェアが設定されるのを防止します。非常に強固な侵入障壁が提供されます。

QoS 管理の提供:Cisco Intercompany Media Engine では、RTP トラフィックの QoS をリアルタイムでモニタし、問題が発生したら自動で PSTN にフォールバックする機能など、お客様がインターネット上で QoS を管理するのに役立つ機能が提供されます。

PSTN およびインターネットでの UC-IME の動作

Cisco Intercompany Media Engine では、インターネットと PSTN の 2 つのネットワークが利用され、どちらも世界中に到達できます。お客様は、所有している PSTN 接続を引き続き使用します。Cisco Intercompany Media Engine により、コールは PSTN からインターネットへ徐々に移行されます。しかし、QoS の問題が生じると、Cisco Intercompany Media Engine Proxy は RTP トラフィックの QoS をリアルタイムでモニタし、自動で PSTN にフォールバックします。

Cisco Intercompany Media Engine は、PSTN コールからの情報を使用して、発信側がコールした番号を終端側が所有していることを検証します。PSTN コールの終了後、そのコールに関与した企業は、そのコールに関する情報をそれらの Cisco IME サーバに送信します。発信側の Cisco IME サーバは、そのコールを検証します。図 56-1 に、PSTN 経由の初期コール フローを示します。

検証に成功した場合、終端側は、コール発信者に特定の番号への Cisco IME コールを行う権限を与えるチケットを作成します。詳細については、「チケットとパスワード」を参照してください。

図 56-1 UC-IME プロキシと PSTN の相互関係

 

チケットとパスワード

Cisco Intercompany Media Engine では、チケットとパスワードを利用して、企業の検証が行われます。チケットの作成を介した検証により、インターネットからの Denial of Service(DOS; サービス拒絶)攻撃や終わりのない VoIP スパム コールから企業が守られます。チケットの検証では、VoIP 発信者にコスト(PSTN コールのコスト)が生じるため、スパムと DOS 攻撃が防止されます。悪意のあるユーザは、インターネット上にオープン ソースの Asterisk PBX を設定するだけでは、Cisco Intercompany Media Engine を稼働している企業に対して SIP コールの送信を開始できません。Cisco Intercompany Media Engine Proxy でチケットが検証されることにより、ある企業からのある番号への着信コールは、その企業が以前にその電話番号を PSTN 上でコールしたことがある場合に限り許可されます。

企業内のすべての電話機にスパムの VoIP コールを送信するには、Cisco Intercompany Media Engine と Cisco Unified Communications Manager を購入し、企業内の各電話番号を PSTN 経由でコールし、各コールを成功させておくことが必要になります。その後に限り、VoIP コールを各番号に送信できます。

Cisco Intercompany Media Engine サーバはチケットを作成し、ASAはそれらを検証します。ASAと Cisco Intercompany Media Engine サーバは、信頼できる Cisco Intercompany Media Engine サーバによって作成されたチケットをASAで検出できるように、設定されるパスワードを共有します。チケットには、ターゲット企業の特定の電話番号をコールする許可が企業に与えられていることを示す情報が含まれています。チケットの検証プロセスと、それが送信元コールの企業と終端コールの企業の間でどのように動作するかについては、図 56-2 を参照してください。


) 最初のコールは PSTN 経由であるため、電話セールスに関する各国の規制はすべて適用されます。たとえば、米国内では、National Do Not Call Registry の対象となります。


図 56-2 Cisco Intercompany Media Engine によるチケットの検証プロセス

 

図 56-2 に示されているように、 企業 B は企業 A に PSTN コールを行います。そのコールは正常に完了します。その後、企業 B の Cisco Intercompany Media Engine サーバは、企業 A との検証手順を開始します。これらの検証手順は成功します。検証ハンドシェイク時、企業 B からそのドメイン名が企業 A に送信されます。企業 A は、このドメイン名がブラックリストのドメイン集合に存在しないことを確認します。存在しなければ、企業 A はチケットを作成します。

その後、企業 B の誰かがその番号を再びコールします。企業 B から企業 A へのそのコール セットアップ メッセージには、SIP INVITE メッセージの X-Cisco-UC-IME-Ticket ヘッダー フィールド内のチケットが含まれます。このメッセージは企業 A のASAに到着します。このASAは、署名を検証し、チケットに対して複数のチェックを計算して、そのチケットが有効であることを確認します。チケットが有効ならば、ASAは、その要求を Cisco UCM に転送します(チケットも含む)。有効なチケットのない要求はASAによって廃棄されるため、不正なコールが Cisco UCM で受信されることはありません。

チケット パスワードは、128 ビットのランダム キーです。これは、適応型セキュリティ アプライアンスと Cisco Intercompany Media Engine サーバの間の共有パスワードと見なすこともできます。このパスワードは、Cisco Intercompany Media Engine の SIP トランク間でのコールを許可するチケットを生成するために、Cisco Intercompany Media Engine サーバによって生成され、Cisco Intercompany Media Engine の SIP トランクで使用されます。チケットは、署名付きオブジェクトであり、特定の番号への Cisco Intercompany Media Engine コールを行う権限を発信側ドメインに与える複数のフィールドが含まれています。このチケットは、チケット パスワードによって署名されます。

Cisco Intercompany Media Engine では、パスワードのエポックを設定することも必要です。このエポックには、パスワードが変更されるたびに更新される整数が保管されます。プロキシを初めて設定し、パスワードを初めて入力したとき、エポックの整数として 1 を入力します。このパスワードを変更するたびに、エポックを増やして新しいパスワードを示します。パスワードを変更するたびに、エポックの値を増やす必要があります。

通常、エポックは連続的に増やします。しかし、ASAでは、エポックを更新するときに任意の値を選択できます。エポック値を変更すると、リモートの企業で使用中のチケットは無効になります。終端の企業が新しいエポック値とパスワードでチケットを再発行するまで、リモートの企業からの着信コールは PSTN にフォールバックされます。

ASA上で設定するエポックおよびパスワードは、Cisco Intercompany Media Engine サーバ上で設定されたエポックおよびパスワードと一致する必要があります。ASA上でパスワードまたはエポックを変更した場合は、それらを Cisco Intercompany Media Engine サーバ上で更新する必要があります。詳細については、Cisco Intercompany Media Engine サーバのマニュアルを参照してください。

PSTN へのコール フォールバック

Cisco Intercompany Media Engine では、RTP トラフィックの QoS をリアルタイムでモニタし、問題が発生したら自動で PSTN にフォールバックする機能などといった、インターネット上で QoS を管理する機能が提供されます。インターネット VoIP コールから Public Switched Telephone Network(PSTN; 公衆電話交換網)へのコール フォールバックは、接続品質の変化と Cisco Intercompany Media Engine の信号障害の 2 つの理由によって起こる可能性があります。

インターネット接続は、時間とともに品質が大幅に変化する可能性があります。そのため、接続の品質が良くてコールが VoIP 上で送信されたとしても、その接続品質は通話中に低下する可能性があります。エンド ユーザに対して全体にわたって良好な通話を保証するために、Cisco Intercompany Media Engine では通話中のフォールバックの実行が試みられます。

通話中のフォールバックを実行するには、インターネットから着信する RTP パケットを適応型セキュリティ アプライアンスでモニタし、情報を RTP Monitoring Algorithm(RMA)API に送信する必要があります。これにより、フォールバックが必要かどうかが適応型セキュリティ アプライアンスに示されます。フォールバックが必要になると、コールを PSTN へフォールバックする必要があることを通知するために、適応型セキュリティ アプライアンスから Cisco UCM に REFER メッセージが送信されます。

Cisco UCM からの TLS シグナリング接続は適応型セキュリティ アプライアンスで終端され、TCP または TLS 接続が Cisco UCM に対して開始されます。外部の IP 電話から内部ネットワークの IP 電話に適応型セキュリティ アプライアンス経由で送信される SRTP(メディア)は、RTP に変換されます。適応型セキュリティ アプライアンスは、Cisco UCM 間の SIP トランク経由で送信される SIP シグナリング メッセージを変更することにより、自身をメディア パスに挿入します。TLS(シグナリング)と SRTP は、常に適応型セキュリティ アプライアンスで終端されます。

シグナリングの問題が発生すると、コールは PSTN へフォール バックします。Cisco UCM は PSTN フォール バックを開始し、適応型セキュリティ アプライアンスは REFER メッセージを送信しません。

Cisco Intercompany Media Engine のアーキテクチャと導入シナリオ

この項は、次の内容で構成されています。

「アーキテクチャ」

「基本配置」

「パス外配置」

アーキテクチャ

企業内で、Cisco Intercompany Media Engine は、それぞれに役割を持つ次のコンポーネントで展開されます。

適応型セキュリティ アプライアンス:Cisco Intercompany Media Engine Proxy でイネーブルにされます。境界セキュリティ機能を提供し、SIP トランク間の SIP シグナリングを検査します。

Cisco Intercompany Media Engine(UC-IME)サーバ:DMZ に配置されます。特定の電話番号への新しい VoIP ルートを学習し、それらのルートを Cisco UCM に記録することにより、自動化されたプロビジョニング サービスを提供します。Cisco Intercompany Media Engine サーバでは、コール制御は実行されません。

Cisco Unified Communications Manager(Cisco UCM):コール制御と処理を担当します。Cisco UCM は、アクセス プロトコルを使用してアップデートの発行と交換を行うことにより、Cisco Intercompany Media Engine サーバと接続します。このアーキテクチャは、企業内において単一の Cisco UCM または Cisco UCM クラスタで構成できます。

Cisco Intercompany Media Engine(UC-IME)ブートストラップ サーバ:Cisco Intercompany Media Engine に、証明書を必要とするパブリック ピアツーピア ネットワークへのアクセス許可を提供します。

図 56-3 に、基本配置での Cisco Intercompany Media Engine のコンポーネントを示します。

図 56-3 基本配置での Cisco Intercompany Media Engine アーキテクチャ

 

基本配置

基本配置では、Cisco Intercompany Media Engine Proxy は、インターネット ファイアウォールとともにインラインに配置され、すべてのインターネット トラフィックが適応型セキュリティ アプライアンスを経由します。この配置では、単一の Cisco UCM または Cisco UCM クラスタが、Cisco Intercompany Media Engine サーバ(場合によってはバックアップも)とともに企業内の中央に配置されます。

図 56-4 に示すように、適応型セキュリティ アプライアンスは、企業のエッジに位置し、企業間のダイナミック SIP トランクを作成することにより、SIP シグナリングを検査します。

図 56-4 基本配置シナリオ

 

パス外配置

パス外配置では、インバウンドとアウトバウンドの Cisco Intercompany Media Engine コールは、Cisco Intercompany Media Engine Proxy でイネーブルにされた適応型セキュリティ アプライアンスを通過します。この適応型セキュリティ アプライアンスは、DMZ 内に配置され、Cisco Intercompany Media Engine トラフィック(SIP シグナリングと RTP トラフィック)だけをサポートするように設定されます。通常のインターネットに向かうトラフィックは、この適応型セキュリティ アプライアンスを通過しません。

すべてのインバウンド コールのシグナリングは、宛先の Cisco UCM のグローバル IP アドレスが適応型セキュリティ アプライアンス上に設定されているため、適応型セキュリティ アプライアンスに誘導されます。アウトバウンド コールの場合、着信側はインターネット上の任意の IP アドレスになる可能性があります。そのため、適応型セキュリティ アプライアンスには、インターネット上の着信側のグローバル IP アドレスごとに適応型セキュリティ アプライアンス上で内部 IP アドレスを動的に提供するマッピング サービスが設定されます。

Cisco UCM は、すべてのアウトバウンド コールを、インターネット上の着信側のグローバル IP アドレスではなく、適応型セキュリティ アプライアンス上のマッピング内部 IP アドレスに直接送信します。その後、適応型セキュリティ アプライアンスによって、それらのコールは着信側のグローバル IP アドレスに転送されます。

図 56-5 に、パス外配置での Cisco Intercompany Media Engine のアーキテクチャを示します。

図 56-5 適応型セキュリティ アプライアンスのパス外配置

 

Cisco Intercompany Media Engine のライセンス

ASAでサポートされる Cisco Intercompany Media Engine 機能には、Unified Communications Proxy ライセンスが必要です。

次の表に、Unified Communications Proxy ライセンスの詳細を示します。


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件

他のすべてのモデル

Intercompany Media Engine ライセンス

Intercompany Media Engine(IME)ライセンスをイネーブルにすると、TLS プロキシ セッションを設定された TLS プロキシの制限まで使用できます。また、Unified Communications(UC; ユニファイド コミュニケーション)ライセンスがインストールされており、その制限数がデフォルトの TLS プロキシの制限数より多い場合、お使いのモデルに応じて、ASA が UC ライセンスの制限数にまでセッション数を加えた制限を設定します。[Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して、TLS プロキシの制限を手動で設定できます。UC ライセンスもインストールすると、UC で使用できる TLS プロキシ セッションは IME セッションでも使用可能になります。たとえば、設定された制限が 1000 TLS プロキシ セッションの場合、750 セッションの UC ライセンスを購入すると、最初の 250 IME セッションまでは、UC に使用可能なセッション数に影響を与えません。IME に 250 を超えるセッションが必要になると、プラットフォームの制限の残りの 750 セッションが UC と IME によって先着順に使用されます。

「K8」で終わるライセンス製品番号の場合、TLS プロキシ セッションは 1000 までに制限されます。

「K9」で終わるライセンス製品番号の場合、TLS プロキシ制限は、使用する設定とプラットフォーム モデルに依存します。

(注) K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスの場合、SRTP セッションは 250 までに制限されます。

K9 ライセンスの場合、制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

ライセンスの詳細については、「機能のライセンスの管理」を参照してください。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードでだけサポートされます。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードでだけサポートされています。

IPv6 のガイドライン

IPv6 アドレスはサポートされません。

その他のガイドラインと制限事項

Cisco Intercompany Media Engine には、次の制限事項があります。

ファクスはサポートされません。ファクス機能は、SIP トランク上でディセーブルにする必要があります。

Cisco Unified Intercompany Media Engine のステートフル フェールオーバーはサポートされません。フェールオーバー時、Cisco Intercompany Media Engine Proxy を経由している既存のコールは切断します。ただし、フェールオーバー完了後、新しいコールはそのプロキシを正常に経由できます。

Cisco UCM が複数のASA インターフェイス上に存在することは、Cisco Intercompany Media Engine Proxy ではサポートされません。特にパス外配置では、ASAでマッピング サービスのリスニング インターフェイスを指定する必要があり、Cisco UCM は 1 つの信頼できるインターフェイスに接続されなければならないため、Cisco UCM が 1 つの信頼できるインターフェイス上に存在することが必要です。

マルチパート MIME はサポートされません。

既存の SIP 機能とメッセージだけがサポートされます。

H.264 はサポートされません。

RTCP はサポートされません。ASAでは、内部インターフェイスから外部インターフェイスに送信される RTCP トラフィックは廃棄されます。ASAでは、内部インターフェイスからの RTCP トラフィックは SRTP トラフィックに変換されません。

ASA上で設定された Cisco Intercompany Media Engine Proxy では、リモートの企業への接続ごとにダイナミック SIP トランクが作成されます。しかし、各 SIP トランクに対して独自のサブジェクト名は設定できません。Cisco Intercompany Media Engine Proxy では、そのプロキシに対して 1 つのサブジェクト名だけ設定できます。

さらに、Cisco Intercompany Media Engine Proxy に対して設定するサブジェクト DN は、ローカルの Cisco UCM に設定されているドメイン名と一致します。

Cisco Intercompany Media Engine Proxy のサービス ポリシー ルールが削除され(no service policy コマンドを使用)、再設定されると、ASAを経由する最初のコールは失敗します。Cisco UCM は、接続がクリアされてもわからず、最近クリアされた IME SIP トランクをシグナリングに使用しようとするため、そのコールは PSTN にフェールオーバーします。

この問題を解決するには、さらに clear connection all コマンドを入力し、ASAを再起動する必要があります。フェールオーバーによる失敗の場合、プライマリASAからの接続はスタンバイASAと同期化されません。

UC-IME Proxy でイネーブルにされたASA上で clear connection all コマンドを実行し、IME コールが PSTN にフェールオーバーした後、次に行われる送信元と終端の SCCP IP 電話間の IME コールは完了しますが、音声はなく、シグナリング セッションの確立後にドロップされます。

SCCP IP 電話間の IME コールでは、IME SIP トランクが両方向で使用されます。つまり、発信側から着信側へのシグナリングで IME SIP トランクが使用されます。その後、着信側で、リターン シグナリングとメディア交換のために逆方向の IME SIP トランクが使用されます。しかし、この接続は、ASA上ですでにクリアされているため、IME コールは失敗します。

その次の IME コール( clear connection all コマンドを実行してから 3 回目のコール)は完全に成功します。


) この制限事項は、送信元と終端の IP 電話が SIP で設定されている場合は適用されません。


ASAは、その IME コールの量を扱うのに十分な TLS プロキシ セッションでライセンスされ、設定される必要があります。TLS プロキシ セッションのライセンス要件の詳細については、 Cisco Intercompany Media Engine のライセンスを参照してください。

この制限事項は、IME コールを完了するために必要な TLS プロキシ セッションが十分残っていないときに、IME コールが PSTN にフォール バックできないために発生します。2 台の SCCP IP 電話間の IME コールには、TLS ハンドシェイクを正常に完了するために、ASAで 2 つの TLS プロキシ セッションを使用する必要があります。

たとえば、ASAが最大で 100 個の TLS プロキシ セッションを持てるように設定され、SCCP IP 電話間の IME コールによって 101 個の TLS プロキシ セッションが確立されるとします。この例では、次の IME コールは、送信元の SCCP IP 電話によって正常に開始されますが、終端の SCCP IP 電話でそのコールが受け入れられた後に失敗します。終端の IP 電話の呼び出し音は鳴りますが、そのコールに応答すると、TLS ハンドシェイクが不完全なため、コールはハングします。このコールは、PSTN にフォール バックしません。

Cisco Intercompany Media Engine Proxy の設定

ここでは、次の項目について説明します。

「Cisco Intercompany Media Engine の設定のタスク フロー」

「Cisco Intercompany Media Engine Proxy の NAT の設定」

「Cisco UCM サーバの PAT の設定」

「Cisco Intercompany Media Engine Proxy のアクセス リストの作成」

「メディア ターミネーション インスタンスの作成」

「Cisco Intercompany Media Engine Proxy の作成」

「トラストポイントの作成と証明書の生成」

「TLS プロキシの作成」

「Cisco Intercompany Media Engine Proxy の SIP インスペクションのイネーブル化」

「(任意)ローカルの企業内での TLS の設定」

「(任意)パス外シグナリングの設定」

Cisco Intercompany Media Engine の設定のタスク フロー

図 56-6 に、Cisco Intercompany Media Engine の基本配置の例を示します。次の作業には、図 56-6 に基づいたコマンドラインの例が含まれています。

図 56-6 基本(インライン)配置タスクの例

 


ステップ 1 からステップ 8 は、基本(インライン)配置とパス外配置の両方に適用されます。ステップ 9 は、パス外配置にだけ適用されます。


基本配置の Cisco Intercompany Media Engine を設定するには、次の作業を実行します。


ステップ 1 Cisco UCM のスタティック NAT を設定します。「Cisco Intercompany Media Engine Proxy の NAT の設定」を参照してください。

または

UCM サーバの PAT を設定します。「Cisco UCM サーバの PAT の設定」を参照してください。

ステップ 2 Cisco Intercompany Media Engine Proxy のアクセス リストを作成します。「Cisco Intercompany Media Engine Proxy のアクセス リストの作成」を参照してください。

ステップ 3 Cisco Intercompany Media Engine Proxy のメディア ターミネーション アドレス インスタンスを作成します。「メディア ターミネーション インスタンスの作成」を参照してください。

ステップ 4 Cisco Intercompany Media Engine Proxy を作成します。「Cisco Intercompany Media Engine Proxy の作成」を参照してください。

ステップ 5 トラストポイントを作成し、Cisco Intercompany Media Engine Proxy の証明書を生成します。「トラストポイントの作成と証明書の生成」を参照してください。

ステップ 6 TLS プロキシを作成します。「TLS プロキシの作成」を参照してください。

ステップ 7 Cisco Intercompany Media Engine Proxy の SIP インスペクションを設定します。「Cisco Intercompany Media Engine Proxy の SIP インスペクションのイネーブル化」を参照してください。

ステップ 8 (任意)企業内で TLS を設定します。「(任意)ローカルの企業内での TLS の設定」を参照してください。

ステップ 9 (任意)パス外シグナリングを設定します。「(任意)パス外シグナリングの設定」を参照してください。


ステップ 9 は、Cisco Intercompany Media Engine Proxy をパス外配置で設定するときにだけ実行します。



 

Cisco Intercompany Media Engine Proxy の NAT の設定

自動 NAT を設定するには、先にオブジェクトを設定します。その後、オブジェクト コンフィギュレーション モードで nat コマンドを使用します。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。

あるいは、Cisco Intercompany Media Engine Proxy の PAT を設定することもできます。「Cisco UCM サーバの PAT の設定」を参照してください。

図 56-7 配置のための NAT の設定例

 

Cisco UCM サーバの自動 NAT ルールを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# object network name
Examples:
hostname(config)# object network ucm_real_192.168.10.30
hostname(config)# object network ucm_real_192.168.10.31

変換する Cisco UCM の実際のアドレスを表すネットワーク オブジェクトを設定します。

ステップ 2

hostname(config-network-object)# host ip_address
Examples:
hostname(config-network-object)# host 192.168.10.30
hostname(config-network-object)# host 192.168.10.31

Cisco UCM ホストの実際の IP アドレスをそのネットワーク オブジェクトに指定します。

ステップ 3

(任意)

hostname(config-network-object)# description string
Example:
hostname(config-network-object)# description “Cisco UCM Real Address”

ネットワーク オブジェクトの説明を定義します。

ステップ 4

hostname(config-network-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 5

hostname(config)# object network name
Example:
hostname(config)# object network ucm_map_209.165.200.228

Cisco UCM のマッピング アドレスのネットワーク オブジェクトを設定します。

ステップ 6

hostname(config-network-object)# host ip_address
Example:
hostname(config-network-object)# host 209.165.200.228

Cisco UCM ホストのマッピング IP アドレスをそのネットワーク オブジェクトに指定します。

ステップ 7

(任意)

hostname(config-network-object)# description string
Example:
hostname(config-network-object)# description “Cisco UCM Mapped Address”

ネットワーク オブジェクトの説明を定義します。

ステップ 8

hostname(config-network-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 9

hostname(config)# nat (inside,outside) source static real_obj mapped_obj
Examples:
hostname(config)# nat (inside,outside) source static ucm_real_192.168.10.30 ucm_209.165.200.228
hostname(config)# nat (inside,outside) source static ucm_real_192.168.10.31 ucm_209.165.200.228

これまでの手順で作成したネットワーク オブジェクトに対してアドレス変換を指定します。

ここで、 real_obj は、この作業の で作成した name です。

ここで、 mapped_obj は、この作業の で作成した name です。

次の作業

Cisco Intercompany Media Engine Proxy のアクセス リストを作成します。「Cisco Intercompany Media Engine Proxy のアクセス リストの作成」を参照してください。

Cisco UCM サーバの PAT の設定

Cisco Intercompany Media Engine Proxy の NAT を設定する代わりに、この作業を実行します。

図 56-8 配置のための PAT の設定例

 


) この手順は、Cisco UCM サーバに NAT を設定しないときにだけ実行します。


Cisco UCM サーバの PAT を設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# object network name
Examples:
hostname(config)# object network ucm-pat-209.165.200.228

変換する Cisco UCM の外部 IP アドレスを表すネットワーク オブジェクトを設定します。

ステップ 2

hostname(config-network-object)# host ip_address
Example:
hostname(config-network-object)# host 209.165.200.228

Cisco UCM ホストの実際の IP アドレスをそのネットワーク オブジェクトに指定します。

ステップ 3

hostname(config-network-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 4

hostname(config)# object service name
Examples:
hostname(config)# object service tcp_5070
hostname(config)# object service tcp_5071

Cisco Intercompany Media Engine の外部ポートを表すサービス オブジェクトを作成します。

ステップ 5

hostname(config-service-object)# tcp source eq port
Examples:
hostname(config-service-object)# tcp source eq 5070
hostname(config-service-object)# tcp source eq 5071

ポート番号を指定します。

ステップ 6

hostname(config-service-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 7

hostname(config)# object network name
Examples:
hostname(config)# object network ucm-real-192.168.10.30
hostname(config)# object network ucm-real-192.168.10.31

Cisco UCM の実際の IP アドレスを表すネットワーク オブジェクトを設定します。

ステップ 8

hostname(config-network-object)# host ip_address
Examples:
hostname(config-network-object)# host 192.168.10.30
hostname(config-network-object)# host 192.168.10.31

Cisco UCM ホストの実際の IP アドレスをそのネットワーク オブジェクトに指定します。

ステップ 9

hostname(config-network-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 10

hostname(config)# object service name
Examples:
hostname(config)# object service tcp_5570
hostname(config)# object service tcp_5571

Cisco UCM SIP ポートを表すサービス オブジェクトを作成します。

ステップ 11

hostname(config-service-object)# tcp source eq port
Example:
hostname(config-service-object)# tcp source eq 5570
hostname(config-service-object)# tcp source eq 5571

ポート番号を指定します。

ステップ 12

hostname(config-service-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 13

hostname(config)# nat (inside,outside) source static real_obj mapped_obj service real_port mapped_port
Examples:
hostname(config)# nat (inside,outside) source static ucm-real-192.168.10.30 ucm-pat-209.165.200.228 service tcp_5070 tcp_5570
hostname(config)# nat (inside,outside) source static ucm-real-192.168.10.31 ucm-pat-128.106.254.5 service tcp_5071 tcp_5571

Cisco UCM のスタティック マッピングを作成します。

ここで、real_obj は、この作業の で作成した name です。

ここで、mapped_obj は、この作業の で作成した name です。

ここで、real_port は、この作業の で作成した name です。

ここで、mapped_obj は、この作業の で作成した name です。

Cisco Intercompany Media Engine Proxy のアクセス リストの作成

Cisco UCM サーバに到達するための Cisco Intercompany Media Engine Proxy のアクセス リストを設定するには、次の手順を実行します。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。

 

コマンド
目的

ステップ 1

hostname(config)# access-list id extended permit tcp any host ip_address eq port
Example:
hostname(config)# access-list incoming extended permit tcp any host 192.168.10.30 eq 5070

Access Control Entry(ACE; アクセス コントロール エントリ)を追加します。アクセス リストは、同じアクセス リスト ID を持つ 1 つ以上の ACE で構成されます。この ACE では、指定したポート上での Cisco Intercompany Media Engine 接続の着信アクセスを許可することにより、アクセスを制御します。

ip_address 引数には、Cisco UCM の実際の IP アドレスを指定します。

ステップ 2

hostname(config)# access-group access-list in interface interface_name
Example:
hostname(config)# access-group incoming in interface outside

アクセス リストをインターフェイスにバインドします。

ステップ 3

hostname(config)# access-list id extended permit tcp any host ip_address eq port
Example:
hostname(config)# access-list ime-inbound-sip extended permit tcp any host 192.168.10.30 eq 5070

ACE を追加します。この ACE では、ASAが Cisco Intercompany Media Engine のインバウンド SIP トラフィックを許可できるようにします。このエントリは、クラスおよびポリシー マップのトラフィックを分類するために使用されます。

(注) ここで設定するポートは、Cisco UCM に設定されたトランク設定と一致する必要があります。この設定の詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

ステップ 4

hostname(config)# access-list id extended permit tcp ip_address mask any range range
Example:
hostname(config)# access-list ime-outbound-sip extended permit tcp 192.168.10.30 255.255.255.255 any range 5000 6000

ACE を追加します。この ACE では、ASAが Cisco Intercompany Media Engine のアウトバウンド SIP トラフィック(この例では、送信元が 192.168.10.30 で、宛先ポート範囲が 5000 ~ 6000 の任意の TCP トラフィック)を許可できるようにします。このエントリは、クラスおよびポリシー マップのトラフィックを分類するために使用されます。

(注) Cisco UCM と Cisco Intercompany Media Engine サーバの間の TCP トラフィックがこのポート範囲を使用しないようにする必要があります(その接続がASAを経由する場合)。

ステップ 5

hostname(config)# access-list id permit tcp any host ip_address eq 6084
Example:
hostname(config)# access-list ime-traffic permit tcp any host 192.168.10.12 eq 6084

ACE を追加します。この ACE では、ASAが、Cisco Intercompany Media Engine サーバからリモートの Cisco Intercompany Media Engine サーバへのトラフィックを許可できるようにします。

ステップ 6

hostname(config)# access-list id permit tcp any host ip_address eq 8470
Example:
hostname(config)# access-list ime-bootserver-traffic permit tcp any host 192.168.10.12 eq 8470

ACE を追加します。この ACE では、ASAが、Cisco Intercompany Media Engine サーバから Cisco Intercompany Media Engine のブートストラップ サーバへのトラフィックを許可できるようにします。

次の作業

ASA上に Cisco Intercompany Media Engine Proxy のメディア ターミネーション インスタンスを作成します。「メディア ターミネーション インスタンスの作成」を参照してください。

メディア ターミネーション インスタンスの作成

ガイドライン

設定するメディア ターミネーション アドレスは、次の要件を満たす必要があります。

メディア ターミネーション アドレスを(グローバル インターフェイスを使用せずに)複数インターフェイスに設定する場合は、Cisco Intercompany Media Engine Proxy のサービス ポリシーの適用前に、少なくとも 2 つのインターフェイス(内部インターフェイスと外部インターフェイス)上にメディア ターミネーション アドレスを設定する必要があります。そうしないと、SIP インスペクションでそのプロキシをイネーブルにした際に、エラー メッセージが表示されます。


) グローバルなメディア ターミネーション アドレスを設定するのではなく、インターフェイス上に Cisco Intercompany Media Engine Proxy のメディア ターミネーション アドレスを設定することをお勧めします。


Cisco Intercompany Media Engine Proxy で一度に使用できるメディア ターミネーション インスタンスは 1 つのタイプだけです。たとえば、すべてのインターフェイスに対してグローバルなメディア ターミネーション アドレスを設定することも、インターフェイスごとにメディア ターミネーション アドレスを設定することもできます。しかし、グローバルなメディア ターミネーション アドレスと、インターフェイスごとに設定するメディア ターミネーション アドレスは同時に使用できません。

コマンドを使用してから、次の手順の説明に従ってメディア ターミネーション アドレスを再設定します。

手順

Cisco Intercompany Media Engine Proxy で使用するメディア ターミネーション インスタンスを作成します。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。

Cisco Intercompany Media Engine Proxy のメディア ターミネーション インスタンスを作成するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# media-termination instance_name
Example:
hostname(config)# media-termination uc-ime-media-term

Cisco Intercompany Media Engine Proxy に関連付けるメディア ターミネーション インスタンスを作成します。

ステップ 2

hostname(config-media-termination)# address ip_address interface intf_name
Examples:
hostname(config-media-termination)# address 209.165.200.228 interface outside

ASAの外部インターフェイスで使用されるメディア ターミネーション アドレスを設定します。

この外部 IP アドレスは、そのインターフェイスのアドレス範囲内で使用されていない、パブリックにルーティング可能な IP アドレスである必要があります。

UC-IME プロキシ設定の詳細については、「Cisco Intercompany Media Engine Proxy の作成」を参照してください。 no service-policy コマンドの詳細については、CLI 設定ガイドを参照してください。

ステップ 3

hostname(config-media-termination)# address ip_address interface intf_name
Examples:
hostname(config-media-termination)# address 192.168.10.3 interface inside

ASAの内部インターフェイスで使用されるメディア ターミネーション アドレスを設定します。

(注) この IP アドレスは、そのインターフェイス上の同じサブネット内の未使用 IP アドレスである必要があります。

ステップ 4

(任意)
hostname(config-media-termination)# rtp-min-port port1 rtp-maxport port2
Examples:
hostname(config-media-termination)# rtp-min-port 1000 rtp-maxport 2000

Cisco Intercompany Media Engine Proxy の rtp-min-port と rtp-max-port を設定します。Cisco Intercompany Media Engine でサポートされるコール数を拡大または縮小する必要があるときに、メディア ターミネーション ポイントの RTP ポート範囲を設定します。

ここで、 port1 には、メディア ターミネーション ポイントの RTP ポート範囲の最小値を指定します。port1 に使用可能な値の範囲は 1024 ~ 65535 です。デフォルトでは、 port1 の値は 16384 です。

ここで、 port2 には、メディア ターミネーション ポイントの RTP ポート範囲の最大値を指定します。port2 に使用可能な値の範囲は 1024 ~ 65535 です。デフォルトでは、 port2 の値は 32767 です。

次の作業

メディア ターミネーション インスタンスを作成したら、Cisco Intercompany Media Engine Proxy を作成します。「Cisco Intercompany Media Engine Proxy の作成」を参照してください。

Cisco Intercompany Media Engine Proxy の作成

Cisco Intercompany Media Engine Proxy を作成するには、次の手順を実行します。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。

(注) Cisco Intercompany Media Engine Proxy は、SIP インスペクションに対してイネーブルになっていると、次の手順に記述されている設定を変更できません。次の手順に記述されている設定を変更する前に、Cisco Intercompany Media Engine Proxy を SIP インスペクションから削除してください。

 

コマンド
目的

ステップ 1

hostname(config)# uc-ime uc_ime_name
Example:
hostname(config)# uc-ime local-ent-ime

Cisco Intercompany Media Engine Proxy を設定します。

ここで、 uc_ime_name は Cisco Intercompany Media Engine Proxy の名前です。name は 64 文字までに制限されています。

ASAには、Cisco Intercompany Media Engine Proxy を 1 つだけ設定できます。

ステップ 2

hostname(config-uc-ime)# media-termination mta_instance_name
Example:
hostname(config-uc-ime)# media-termination ime-media-term

Cisco Intercompany Media Engine Proxy で使用されるメディア ターミネーション インスタンスを指定します。

(注) メディア ターミネーション インスタンスは、Cisco Intercompany Media Engine Proxy で指定する前に作成しておく必要があります。

ここで、 mta_instance_name メディア ターミネーション インスタンスの作成 で作成した instance_name です。

メディア ターミネーション インスタンスの作成手順については、「メディア ターミネーション インスタンスの作成」を参照してください。

ステップ 3

hostname(config-uc-ime)# ucm address ip_address trunk-security-mode [ nonsecure | secure ]
Example:
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure

企業内の Cisco UCM サーバを指定します。Cisco UCM サーバの実際の IP アドレスを指定する必要があります。そのサーバのマッピング IP アドレスを指定してはいけません。

(注) Cisco Intercompany Media Engine の SIP トランクがイネーブルになっているクラスタ内の各 Cisco UCM に対してエントリを追加する必要があります。

ここで、 nonsecure オプションと secure オプションは、Cisco UCM または Cisco UCM クラスタのセキュリティ モードを指定します。

を指定すると、Cisco UCM または Cisco UCM クラスタで TLS を開始することが指定されます。したがって、コンポーネントに TLS を設定する必要があります。「(任意)ローカルの企業内での TLS の設定」を参照してください。

secure オプションは、この作業で設定することも、後で企業の TLS を設定するときに更新することもできます。「(任意)ローカルの企業内での TLS の設定」ステップ 11を参照してください。

ステップ 4

hostname(config-uc-ime)# ticket epoch n password password
Example:
hostname(config-uc-ime)# ticket epoch 1 password password1234

Cisco Intercompany Media Engine のチケットのエポックとパスワードを設定します。

ここで、 n は 1 ~ 255 の整数です。このエポックには、パスワードが変更されるたびに更新される整数が保管されます。プロキシを初めて設定し、パスワードを初めて入力したとき、エポックの整数として 1 を入力します。このパスワードを変更するたびに、エポックを増やして新しいパスワードを示します。パスワードを変更するたびに、エポックの値を増やす必要があります。

通常、エポックは連続的に増やします。しかし、ASAでは、エポックを更新するときに任意の値を選択できます。

エポック値を変更すると、現在のパスワードは無効になり、新しいパスワードを入力する必要があります。

ここで、 password には、US-ASCII 文字セットのなかの 10 ~ 64 文字の印刷可能文字を指定します。使用可能な文字は 0x21 ~ 0x73 であり、空白文字は除外されます。

20 文字以上のパスワードを推奨します。パスワードは一度に 1 つしか設定できません。

チケット パスワードはフラッシュ上に保存されます。 show running-config uc-ime コマンドの出力には、パスワードの文字列ではなく、***** が表示されます。

(注) ASA上で設定するエポックおよびパスワードは、Cisco Intercompany Media Engine サーバ上で設定されたエポックおよびパスワードと一致する必要があります。詳細については、Cisco Intercompany Media Engine サーバのマニュアルを参照してください。

ステップ 5

(任意)

hostname(config-uc-ime)# fallback monitoring timer timer_millisec | hold-down timer timer_sec
Examples:
hostname(config-uc-ime)# fallback monitoring timer 120
hostname(config-uc-ime)# fallback hold-down timer 30

Cisco Intercompany Media Engine のフォールバック タイマーを指定します。

monitoring timer を指定すると、インターネットから受信した RTP パケットをASAでサンプリングする時間間隔が設定されます。ASAは、このデータ サンプルを使用して、通話に対して PSTN へのフォールバックが必要かどうか判断します。

ここで、 timer_millisec はモニタリング タイマーの長さを指定します。デフォルトでは、モニタリング タイマーの長さは 100 ミリ秒です。指定可能な値の範囲は 10 ~ 600 ミリ秒です。

hold-down timer を指定すると、PSTN へフォール バックするかどうかを Cisco UCM に通知する前に、ASAが待機する時間の長さが設定されます。

ここで、 timer_sec はホールドダウン タイマーの長さを指定します。デフォルトでは、ホールドダウン タイマーの長さは 20 秒です。指定可能な値の範囲は 10 ~ 360 秒です。

このコマンドでフォールバック タイマーを指定しなければ、フォールバック タイマーのデフォルトの設定がASAで使用されます。

ステップ 6

(任意)

hostname(config-uc-ime)# fallback sensitivity-file file_name
Example:
hostname(config-uc-ime)# fallback sensitivity-file ime-fallback-sensitvity.fbs

通話中の PSTN フォールバックに使用するファイルを指定します。

ここで、 file_name は、ディスク上で .fbs ファイル拡張子を持つファイルの名前である必要があります。

フォールバック ファイルは、Cisco Intercompany Media Engine が通話を PSTN に移動しなければならないほど、その通話の QoS が低下していないかどうかを判断するために使用されます。

次の作業

ローカル エンティティ トラストストアに証明書をインストールします。ローカル エンティティが信頼するローカル CA に証明書を登録することもできます。

トラストポイントの作成と証明書の生成

ASAで使用される証明書のキーペアを生成し、TLS ハンドシェイクでASAから送信される証明書を識別するトラストポイントを設定する必要があります。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。


) この作業では、ローカルの企業とリモートの企業のトラストポイントを作成する方法と、これら 2 つの企業間で証明書を交換する方法を説明します。この作業では、ローカルの Cisco UCM とローカルのASAの間でトラストポイントを作成し、証明書を交換する手順については説明しません。しかし、ローカルの企業内で追加のセキュリティが必要な場合は、オプションの作業である「(任意)ローカルの企業内での TLS の設定」を実行する必要があります。その作業を実行すると、ローカルの Cisco UCM とローカルのASAの間でセキュアな TLS 接続が可能になります。その作業の手順には、ローカルの Cisco UCM とローカルのASAの間でトラストポイントを作成する方法が説明されています。


証明書をインストールするための前提条件

リモート エンティティが信頼するプロキシ証明書をASAで作成するには、信頼できる CA から証明書を取得するか、リモートの企業のASAから証明書をエクスポートします。

リモートの企業から証明書をエクスポートするには、次のコマンドをリモートのASA上で入力します。

hostname(config)# crypto ca export trustpoint identity-certificate

ASAのプロンプトから端末画面に証明書が表示されます。端末画面から証明書をコピーします。この証明書は、この作業のステップ 5 で必要になります。

手順

トラストポイントを作成し、証明書を生成するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# crypto key generate rsa label key-pair-label modulus size
Example:
hostname(config)# crypto key generate rsa label local-ent-key modulus 2048

ASA上で、トラストポイントに使用可能な RSA キーペアを作成します。これは、ローカル エンティティの署名付き証明書のキーペアとトラストポイントです。

選択する係数キー サイズは、設定するセキュリティのレベルおよび証明書の取得先の CA によって課せられる制限によって決まります。選択する数値を大きくすると、証明書のセキュリティ レベルが高くなります。ただし、ほとんどの CA では、キー係数サイズとして 2048 が推奨されます。

(注) GoDaddy では、2048 のキー係数サイズが必要です。

ステップ 2

hostname(config)# crypto ca trustpoint trustpoint_name
Example:
hostname(config)# crypto ca trustpoint local_ent

ローカル エンティティのトラストポイントを作成するには、指定したトラストポイントのトラストポイント コンフィギュレーション モードに入ります。

トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。名前の最大長は 128 文字です。

ステップ 3

hostname(config-ca-trustpoint)# subject-name X.500_name
Example:
hostname(config-ca-trustpoint)# subject-name cn=Ent-local-domain-name**

登録時に、指定したサブジェクト DN を証明書に含めます。

Cisco UCM のドメイン名を設定する方法の詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

ステップ 4

hostname(config-ca-trustpoint)# keypair keyname
Example:
hostname(config-ca-trustpoint)# keypair local-ent-key

公開キーが認証の対象となるキー ペアを指定します。

ステップ 5

hostname(config-ca-trustpoint)# enroll terminal

このトラストポイントで「コピー アンド ペースト」による登録方法(手動登録とも呼ばれる)を使用することを指定します。

ステップ 6

hostname(config-ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 7

hostname(config)# crypto ca enroll trustpoint
Example:
hostname(config)# crypto ca enroll remote-ent
%
% Start certificate enrollment ...
% The subject name in the certificate will be:
% cn=enterpriseA
% The fully-qualified domain name in the certificate will @ be: ciscoasa
% Include the device serial number in the subject name? [yes/no]: no
Display Certificate Request to terminal? [yes/no]: yes
 

CA で登録プロセスを開始します。

ここで、 trustpoint は、ステップ 2 trustpoint_name として入力した値と同じです。

トラストポイントが手動登録に設定されている場合( enroll terminal コマンド)、ASAから base-64 で符号化された PKCS10 証明書要求がコンソールに出力され、その後に CLI プロンプトが表示されます。出力されたテキストをプロンプトからコピーします。

この証明書要求を CA に送信します。たとえば、プロンプトに表示されたテキストを CA Web サイト上の証明書署名要求登録ページに張り付けます。

CA から署名付きのアイデンティティ証明書が返信されたら、この作業内のステップ 8 に進みます。

ステップ 8

hostname(config)# crypto ca import trustpoint certificate
Example:
hostname(config)# crypto ca import remote-ent certificate

手動登録要求によって CA から受信した署名付き証明書をインポートします。

ここで、 trustpoint には、ステップ 2 で作成したトラストポイントを指定します。

ASAから、base-64 形式の署名付き証明書を端末上に貼り付けるように求められます。

ステップ 9

hostname(config)# crypto ca authenticate trustpoint
Example:
hostname(config)# crypto ca authenticate remote-ent

CA から受信したサードパーティのアイデンティティ証明書を認証します。このアイデンティティ証明書は、リモートの企業に対して作成されたトラストポイントと関連付けられます。

ASAから、CA からの base-64 形式のアイデンティティ証明書を端末上に張り付けるように求められます。

次の作業

Cisco Intercompany Media Engine の TLS プロキシを作成します。「TLS プロキシの作成」を参照してください。

TLS プロキシの作成

どちらの企業も(つまり、ローカルとリモートのいずれの Cisco UCM サーバも)TLS ハンドシェイクを開始できるため(クライアントだけが TLS ハンドシェイクを開始する IP テレフォニーや Cisco Mobility Advantage とは異なる)、双方向の TLS プロキシ ルールを設定する必要があります。各企業は、ASAを TLS プロキシとして使用できます。

接続を開始したローカル エンティティとリモート エンティティの TLS プロキシ インスタンスをそれぞれ作成します。TLS 接続を開始するエンティティは、「TLS クライアント」の役割になります。TLS プロキシでは「クライアント」と「サーバ」のプロキシが厳密に定義されるため、どちらのエンティティも接続を開始する可能性がある場合は、2 つの TLS プロキシ インスタンスを定義する必要があります。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。

TLS プロキシを作成するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# tls-proxy proxy_name
Example:
hostname(config)# tls-proxy local_to_remote-ent

アウトバウンド接続の TLS プロキシを作成します。

ステップ 2

hostname(config-tlsp)# client trust-point proxy_trustpoint
Example:
hostname(config-tlsp)# client trust-point local-ent

アウトバウンド接続の場合、適応型セキュリティ アプライアンスが TLS クライアントの役割になるときに TLS ハンドシェイクで使用されるトラストポイントおよび関連する証明書を指定します。この証明書は、適応型セキュリティ アプライアンスによって所有される必要があります(アイデンティティ証明書)。

ここで、 proxy_trustpoint には、「トラストポイントの作成と証明書の生成」ステップ 2 crypto ca trustpoint コマンドによって定義されたトラストポイントを指定します。

ステップ 3

hostname(config-tlsp)# client cipher-suite cipher_suite
Example:
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

アウトバウンド接続の場合、暗号スイートの TLS ハンドシェイク パラメータを制御します。

ここで、 cipher_suite には、des-sha1、3des-sha1、aes128-sha1、aes256-sha1、または null-sha1 を指定します。

クライアント プロキシ(サーバに対して TLS クライアントとして機能するプロキシ)の場合、ユーザ定義の暗号スイートによって、デフォルトの暗号スイート、または ssl encryption コマンドで定義された暗号スイートが置き換えられます。2 つの TLS セッションの間で異なる暗号を実現するには、このコマンドを使用します。Cisco UCM サーバでは、AES 暗号を使用する必要があります。

ステップ 4

hostname(config-tlsp)# exit

TLS プロキシ コンフィギュレーション モードを終了します。

ステップ 5

hostname(config)# tls-proxy proxy_name
Example:
hostname(config)# tls-proxy remote_to_local-ent

インバウンド接続の TLS プロキシを作成します。

ステップ 6

hostname(config-tlsp)# server trust-point proxy_trustpoint
Example:
hostname(config-tlsp)# server trust-point local-ent

インバウンド接続の場合、TLS ハンドシェイク時に提示されるプロキシ トラストポイント証明書を指定します。この証明書は、適応型セキュリティ アプライアンスによって所有される必要があります(アイデンティティ証明書)。

ここで、 proxy_trustpoint には、「トラストポイントの作成と証明書の生成」ステップ 2 crypto ca trustpoint コマンドによって定義されたトラストポイントを指定します。

TLS プロキシではクライアント プロキシとサーバ プロキシが厳密に定義されるため、どちらのエンティティも接続を開始する可能性がある場合は、2 つの TLS プロキシ インスタンスを定義する必要があります。

ステップ 7

hostname(config-tlsp)# client cipher-suite cipher_suite
Example:
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

インバウンド接続の場合、暗号スイートの TLS ハンドシェイク パラメータを制御します。

ここで、 cipher_suite には、des-sha1、3des-sha1、aes128-sha1、aes256-sha1、または null-sha1 を指定します。

ステップ 8

hostname(config-tlsp)# exit

TSL プロキシ コンフィギュレーション モードを終了します。

ステップ 9

hostname(config)# ssl encryption 3des-shal aes128-shal [ algorithms ]

SSL/TLS プロトコルで使用する暗号化アルゴリズムを指定します。3des-shal と aes128-shal の指定は必須です。他のアルゴリズムの指定は任意です。

(注) Cisco Intercompany Media Engine Proxy では、強力な暗号化を使用することが必要です。K9 ライセンスを使用してプロキシがライセンスされている場合、このコマンドを指定する必要があります。

次の作業

TLS プロキシを作成したら、そのプロキシを SIP インスペクション用にイネーブルにします。

Cisco Intercompany Media Engine Proxy の SIP インスペクションのイネーブル化

SIP インスペクションで TLS プロキシをイネーブルにし、接続を開始できる両方のエンティティのポリシーを定義します。

この作業のコマンドラインの例は、基本(インライン)配置に基づいています。この作業のコマンドライン例を説明している図については、図 56-6 を参照してください。


) SIP インスペクションをイネーブルにした後、Cisco Intercompany Media Engine Proxy の設定を変更する場合は、no service-policy コマンドを入力し、その後に次の手順の説明に従ってサービス ポリシーを再設定する必要があります。サービス ポリシーを削除し、再設定しても、既存のコールには影響しません。しかし、Cisco Intercompany Media Engine Proxy を経由する最初のコールは失敗します。clear connection コマンドを入力し、ASAを再起動します。


Cisco Intercompany Media Engine Proxy の SIP インスペクションをイネーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# class-map class_map_name
Examples:
hostname(config)# class-map ime-inbound-sip

インバウンド Cisco Intercompany Media Engine SIP トラフィックのクラスを定義します。

ステップ 2

hostname(config-cmap)# match access-list access_list_name
Examples:
hostname(config-cmap)# match access-list ime-inbound-sip

検査する SIP トラフィックを指定します。

ここで、 access_list_name は、 Cisco Intercompany Media Engine Proxy のアクセス リストの作成「」で作成したアクセス リストです。

ステップ 3

hostname(config-cmap)# exit

クラス マップ コンフィギュレーション モードを終了します。

ステップ 4

hostname(config)# class-map class_map_name
Examples:
hostname(config)# class-map ime-outbound-sip

Cisco Intercompany Media Engine からのアウトバウンド SIP トラフィックのクラスを定義します。

ステップ 5

hostname(config)# match access-list access_list_name
Examples:
hostname(config-cmap)# match access-list ime-outbound-sip

どのアウトバウンド SIP トラフィックを検査するか指定します。

ここで、 access_list_name は、 Cisco Intercompany Media Engine Proxy のアクセス リストの作成「」で作成したアクセス リストです。

ステップ 6

hostname(config-cmap)# exit

クラス マップ コンフィギュレーション モードを終了します。

ステップ 7

hostname(config)# policy-map name
Examples:
hostname(config)# policy-map ime-policy

トラフィックのクラスに対するアクションを関連付けるポリシー マップを定義します。

ステップ 8

hostname(config-pmap)# class classmap_name
Examples:
hostname(config-pmap)# class ime-outbound-sip

クラス マップ トラフィックにアクションを割り当てることができるように、クラス マップをポリシー マップに割り当てます。

ここで、 classmap_name は、この作業の で作成した SIP クラス マップの名前です。

ステップ 9

hostname(config-pmap-c)# inspect sip [ sip_map ] tls-proxy proxy_name uc-ime uc_ime_map
Examples:
hostname(config-pmap-c)# inspect sip tls-proxy local_to_remote-ent uc-ime local-ent-ime

指定した SIP インスペクション セッションに対して TLS プロキシと Cisco Intercompany Media Engine Proxy をイネーブルにします。

ステップ 10

hostname(config-cmap-c)# exit

ポリシー マップ クラス コンフィギュレーション モードを終了します。

ステップ 11

hostname(config-pmap)# class class_map_name
Examples:
hostname(config-pmap)# class ime-inbound-sip

クラス マップ トラフィックにアクションを割り当てることができるように、クラス マップをポリシー マップに割り当てます。

ここで、 classmap_name は、この作業の で作成した SIP クラス マップの名前です。

ステップ 12

hostname(config-pmap-c)# inspect sip [ sip_map ] tls-proxy proxy_name uc-ime uc_ime_map
Examples:
hostname(config-pmap-c)# inspect sip tls-proxy remote-to-local-ent uc-ime local-ent-ime

指定した SIP インスペクション セッションに対して TLS プロキシと Cisco Intercompany Media Engine Proxy をイネーブルにします。

ステップ 13

hostname(config-pmap-c)# exit

ポリシー マップ クラス コンフィギュレーション モードを終了します。

ステップ 14

hostname(config-pmap)# exit

ポリシー マップ コンフィギュレーション モードを終了します。

ステップ 15

hostname(config)# service-policy policymap_name global
Examples:
hostname(config)# service-policy ime-policy global

すべてのインターフェイスで SIP インスペクションに対するサービス ポリシーをイネーブルにします。

ここで、 policymap_name は、この作業の で作成したポリシー マップの名前です。

UC-IME プロキシ設定の詳細については、「Cisco Intercompany Media Engine Proxy の作成」を参照してください。 no service-policy コマンドの詳細については、CLI 設定ガイドを参照してください。

次の作業

SIP インスペクションに対して TLS プロキシをイネーブルにしたら、必要に応じて、企業内の TLS を設定します。「(任意)ローカルの企業内での TLS の設定」を参照してください。

(任意)ローカルの企業内での TLS の設定

この作業は、内部ネットワーク内で TCP が許可されている場合は必要ありません。

企業内の TLS は、ASAから見た Cisco Intercompany Media Engine トランクのセキュリティ ステータスを参照します。


) Cisco Intercompany Media Engine トランクのトランスポート セキュリティが Cisco UCM 側で変化した場合は、ASA側も変更される必要があります。一致していないと、コールは失敗します。ASAは、ノンセキュア IME トランクによる SRTP をサポートしていません。ASAでは、セキュアなトランクで SRTP が許可されているものと仮定しています。したがって、TLS が使用される場合は、IME トランクに対して「SRTP Allowed」をオンにする必要があります。ASAは、セキュア IME トランク コールに対して SRTP から RTP へのフォールバックをサポートしています。


前提条件

ローカルの Cisco UCM 上で、Cisco UCM 証明書をダウンロードします。詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。この証明書は、この作業のステップ 6 を実行するときに必要になります。

手順

ローカルの企業内で TLS を設定するには、ローカルのASA上で次の手順を実行します。

コマンド
目的

ステップ 1

hostname(config)# crypto key generate rsa label key-pair-label
hostname(config)# crypto ca trustpoint trustpoint_name
hostname(config-ca-trustpoint)# enroll self
hostname(config-ca-trustpoint)# keypair keyname
hostname(config-ca-trustpoint)# subject-name x.500_name
Example:
hostname(config)# crypto key generate rsa label local-ent-key
hostname(config)# crypto ca trustpoint local-asa
hostname(config-ca-trustpoint)# enroll self
hostname(config-ca-trustpoint)# keypair key-local-asa
hostname(config-ca-trustpoint)# subject-name cn=Ent-local-domain-name** ., o="Example Corp"

自己署名証明書の RSA キーとトラストポイントを作成します。

ここで、 key-pair-label はローカルのASAの RSA キーです。

ここで、 trustpoint_name はローカルのASAのトラストポイントです。

ここで、 keyname はローカルのASAのキー ペアです。

ここで、 x.500_name には、 cn=Ent-local-domain-name** など、ローカルのASAの X.500 認定者名を指定します。

(注) ここで入力するドメイン名は、ローカルの Cisco UCM に設定済みのドメイン名と一致する必要があります。Cisco UCM のドメイン名を設定する方法の詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

ステップ 2

hostname(config-ca-trustpoint)# exit

トラストポイント コンフィギュレーション モードを終了します。

ステップ 3

hostname(config)# crypto ca export trustpoint identity-certificate
Example:
hostname(config)# crypto ca export local-asa identity-certificate

ステップ 1 で作成した証明書をエクスポートします。証明書の中身が端末画面に表示されます。

端末画面から証明書をコピーします。この証明書により、Cisco UCM は、TLS ハンドシェイクでASAから送信される証明書を検証できるようになります。

ローカルの Cisco UCM 上で、この証明書を Cisco UCM 信頼ストアにアップロードします。詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

(注) ローカルの Cisco UCM へ証明書をアップロードするときに入力するサブジェクト名は、Cisco UCM 上で [SIP Trunk Security Profile] に入力した [X.509 Subject Name] フィールドと比較されます。たとえば、この作業のステップ 1 では「Ent-local-domain-name」を入力しました。そのため、Cisco UCM の設定には「Ent-local-domain-name」を入力する必要があります。

ステップ 4

hostname(config)# crypto ca trustpoint trustpoint_name
hostname(config-ca-trustpoint)# enroll terminal
Example:
hostname(config)# crypto ca trustpoint local-ent-ucm
hostname(config-ca-trustpoint)# enroll terminal

ローカルの Cisco UCM のトラストポイントを作成します。

ここで、 trustpoint_name はローカルの Cisco UCM のトラストポイントです。

ステップ 5

hostname(config-ca-trustpoint)# exit

トラストポイント コンフィギュレーション モードを終了します。

ステップ 6

hostname(config)# crypto ca authenticate trustpoint
Example:
hostname(config)# crypto ca authenticate local-ent-ucm

ローカルの Cisco UCM から証明書をインポートします。

ここで、 trustpoint はローカルの Cisco UCM のトラストポイントです。

ローカルの Cisco UCM からダウンロードされた証明書を貼り付けます。この証明書により、ASAは、TLS ハンドシェイクで Cisco UCM から送信される証明書を検証できるようになります。

ステップ 7

hostname(config)# tls-proxy proxy_name
hostname(config-tlsp)# server trust-point proxy_trustpoint
hostname(config-tlsp)# client trust-point proxy_trustpoint
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1
Example:
hostname(config)# tls-proxy local_to_remote-ent
hostname(config-tlsp)# server trust-point local-ent-ucm
hostname(config-tlsp)# client trust-point local-ent
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

アウトバウンド 接続の TLS プロキシを更新します。

ここで、 proxy_name は、 TLS プロキシの作成ステップ 1 で入力した名前です。

ここで、 server trust-point コマンドの proxy_trustpoint は、この作業のステップ 4 で入力した名前です。

ここで、 client trust-point コマンドの proxy_trustpoint は、 トラストポイントの作成と証明書の生成ステップ 2 で入力した名前です。

(注) この手順では、クライアントとサーバに異なるトラストポイントを作成します。

ステップ 8

hostname(config-tlsp)# exit

TLS プロキシ コンフィギュレーション モードを終了します。

ステップ 9

hostname(config)# tls-proxy proxy_name
hostname(config-tlsp)# server trust-point proxy_trustpoint
hostname(config-tlsp)# client trust-point proxy_trustpoint
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1
Example:
hostname(config)# tls-proxy remote_to_local-ent
hostname(config-tlsp)# server trust-point local-ent
hostname(config-tlsp)# client trust-point local-ent-ucm
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

インバウンド接続の TLS プロキシを更新します。

ここで、 proxy_name は、 TLS プロキシの作成ステップ 5 で入力した名前です。

ここで、 server trust-point コマンドの proxy_trustpoint は、 トラストポイントの作成と証明書の生成ステップ 2 で入力した名前です。

ここで、 client trust-point コマンドの proxy_trustpoint は、この作業のステップ 4 で入力した名前です。

ステップ 10

hostname(config-tlsp)# exit

TLS プロキシ コンフィギュレーション モードを終了します。

ステップ 11

hostname(config)# uc-ime uc_ime_name
hostname(config-uc-ime)# ucm address ip_address trunk-security-mode secure
Example:
hostname(config)# uc-ime local-ent-ime
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode secure

Cisco Intercompany Media Engine Proxy を trunk-security-mode に更新します。

ここで、 uc_ime_name は、 Cisco Intercompany Media Engine Proxy の作成ステップ 1 で入力した名前です。

この手順は、 Cisco Intercompany Media Engine Proxy の作成ステップ 3 で nonsecure を入力した場合にだけ実行します。

次の作業

企業内の TLS を設定したら、必要に応じて、パス外配置のパス外シグナリングを設定します。「(任意)パス外シグナリングの設定」を参照してください。

(任意)パス外シグナリングの設定

この作業は、Cisco Intercompany Media Engine Proxy をパス外配置の一部として設定する場合にだけ実行します。既存のインターネット ファイアウォールを Cisco Intercompany Media Engine Proxy でイネーブルにされたASAと置き換えることなく、Cisco Intercompany Media Engine を使用したい場合に、パス外配置を選択することがあります。

パス外配置では、使用環境内に配置済みの既存のファイアウォールは、Cisco Intercompany Media Engine トラフィックを伝送できません。

パス外シグナリングでは、外部 IP アドレスが内部 IP アドレスに変換される必要があります。このマッピング サービス設定には、内部インターフェイス アドレスを使用できます。Cisco Intercompany Media Engine Proxy の場合、外部アドレスから内部 IP アドレスへの動的なマッピングがASAによって作成されます。したがって、アウトバウンド コール時にダイナミック NAT 設定を使用して、Cisco UCM から SIP トラフィックがこの内部 IP アドレスに送信されます。ASAではそのマッピングを使用して、インバウンド コール時の実際の宛先が決定されます。スタティックの NAT または PAT マッピングは、パス外設定でのインバウンド コールに対して使用されます。

図 56-9 パス外配置でのパス外シグナリングの設定例

 

パス外シグナリングを設定した後、ASA マッピング サービスはインターフェイス「inside」上で要求をリスンします。要求を受信すると、宛先インターフェイスが「outside」の動的なマッピングが作成されます。

Cisco Intercompany Media Engine Proxy のパス外シグナリングを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

hostname(config)# object network name
Example:
hostname(config)# object network outside-any

パス外のASAの場合、すべての外部アドレスを表すネットワーク オブジェクトを作成します。

ステップ 2

hostname(config-network-object)# subnet ip_address
Example:
hostname(config-network-object)# subnet 0.0.0.0 0.0.0.0

サブネットの IP アドレスを指定します。

ステップ 3

hostname(config-network-object)# nat (outside,inside) dynamic interface inside

リモートの企業の Cisco UCM に対するマッピングを作成します。

ステップ 4

hostname(config-network-object)# exit

オブジェクト コンフィギュレーション モードを終了します。

ステップ 5

hostname(config)# uc-ime uc_ime_name
Example:
hostname(config)# uc-ime local-ent-ime

「Cisco Intercompany Media Engine Proxy の作成」で作成した Cisco Intercompany Media Engine Proxy を指定します。

ここで、 uc_ime_name は、「Cisco Intercompany Media Engine Proxy の作成」ステップ 1 で指定した名前です。

ステップ 6

hostname(config)# mapping-service listening-interface interface_name [ listening-port port ] uc-ime-interface uc-ime-interface_name
Example:
hostname(config-uc-ime)# mapping-service listening-interface inside listening-port 8060 uc-ime-interface outside

パス外のASAの場合、マッピング サービスを Cisco Intercompany Media Engine Proxy に追加します。

ASA マッピング サービスのインターフェイスとリスニング ポートを指定します。

Cisco Intercompany Media Engine Proxy にはマッピング サーバを 1 つだけ設定できます。

ここで、 interface_name は、ASAがマッピング要求をリスンするインターフェイスの名前です。

ここで、port は、ASAがマッピング要求をリスンする TCP ポートです。このポート番号は、デバイス上の他のサービス(Telnet や SSH など)との競合を避けるために、1024 ~ 65535 の値にする必要があります。デフォルトでは、このポート番号は TCP 8060 です。

ここで、 uc-ime-interface_name は、リモートの Cisco UCM に接続するインターフェイスの名前です。

ここでは、次の項目について説明します。

「UC-IME Proxy ペインによる Cisco UC-IMC プロキシの設定」

「Unified Communications Wizard を使用した Cisco UC-IMC Proxy の設定」

UC-IME Proxy ペインによる Cisco UC-IMC プロキシの設定

[Configure Cisco Intercompany Media Engine (UC-IME) proxy] ペインを使用して、Cisco Intercompany Media Engine Proxy インスタンスの追加または編集を行います。


) Cisco Intercompany Media Engine Proxy は、このプロキシに必要なライセンスがASAにインストールされていなければ、ナビゲーション ペインの [Unified Communications] セクションにオプションとして表示されません。


このペインを使用して、プロキシ インスタンスを作成します。ただし、UC-IME プロキシの機能をすべて有効にするには、必要な NAT 文、アクセス リスト、および MTA の作成、証明書の設定、TLS プロキシの作成、SIP インスペクションのイネーブル化など、追加の作業をすべて実行する必要があります。

UC-IME プロキシをインターネット トラフィックのパス外とインラインのいずれで配置するかに従って、Cisco UCM の NAT/PAT 文が埋め込まれた適切なネットワーク オブジェクトを作成する必要があります。

このペインは、[Configuration] > [Firewall] > [Unified Communications] > [UC-IME Proxy] から使用できます。


ステップ 1 [Configuration] > [Firewall] > [Unified Communications] > [UC-IME Proxy] ペインを開きます。

ステップ 2 [Enable Cisco UC-IME proxy] チェックボックスをオンにして、この機能をイネーブルにします。

ステップ 3 [Unified CM Servers] 領域で、Cisco Unified Communications Manager(Cisco UCM)の IP アドレスまたはホスト名を入力するか、省略記号をクリックしてダイアログを開き、IP アドレスまたはホスト名を選択します。

ステップ 4 [Trunk Security Mode] フィールドで、セキュリティ オプションをクリックします。Cisco UCM または Cisco UCM クラスタに [secure] を指定すると、Cisco UCM または Cisco UCM クラスタで TLS を開始することが指定されます。

ステップ 5 [Add] をクリックして、Cisco Intercompany Media Engine Proxy の Cisco UCM を追加します。Cisco Intercompany Media Engine の SIP トランクがイネーブルになっているクラスタ内の各 Cisco UCM に対してエントリを追加する必要があります。

ステップ 6 [Ticket Epoch] フィールドに、1 ~ 255 の整数を 1 つ入力します。

このエポックには、パスワードが変更されるたびに更新される整数が保管されます。プロキシを初めて設定し、パスワードを初めて入力したとき、エポックの整数として 1 を入力します。このパスワードを変更するたびに、エポックを増やして新しいパスワードを示します。パスワードを変更するたびに、エポックの値を増やす必要があります。

通常、エポックは連続的に増やします。しかし、ASAでは、エポックを更新するときに任意の値を選択できます。

エポック値を変更すると、現在のパスワードは無効になり、新しいパスワードを入力する必要があります。


) ASAにおいてこの手順で設定するエポックおよびパスワードは、Cisco Intercompany Media Engine サーバ上で設定するエポックおよびパスワードと一致する必要があります。詳細については、Cisco Intercompany Media Engine サーバのマニュアルを参照してください。


ステップ 7 [Ticket Password] フィールドに、US-ASCII 文字セットのなかから 10 文字以上の印刷可能文字を入力します。使用可能な文字は 0x21 ~ 0x73 であり、空白文字は除外されます。チケット パスワードは最大 64 文字です。入力したパスワードを確認します。パスワードは一度に 1 つしか設定できません。

ステップ 8 [Apply MTA to UC-IME Link proxy] チェックボックスをオンにして、メディア ターミネーション アドレスを Cisco Intercompany Media Engine Proxy と関連付けます。


) メディア ターミネーション インスタンスは、Cisco Intercompany Media Engine Proxy と関連付ける前に作成しておく必要があります。必要な場合は、[Configure MTA] ボタンをクリックして、メディア ターミネーション アドレス インスタンスを設定します。


ステップ 9 Cisco Intercompany Media Engine Proxy がパス外配置の一環として設定される場合は、[Enable off path address mapping service] チェックボックスをオンにし、パス外配置の設定を行います。

a. [Listening Interface] フィールドから、ASA インターフェイスを選択します。これは、ASAがマッピング要求をリスンするインターフェイスです。

b. [Port] フィールドに、ASAがマッピング要求をリスンする TCP ポートとして 1024 ~ 65535 の数値を入力します。このポート番号は、デバイス上の他のサービス(Telnet や SSH など)との競合を避けるために、1024 以上にする必要があります。デフォルトでは、このポート番号は TCP 8060 です。

c. [UC-IME Interface] フィールドから、そのリスト内のインターフェイスの 1 つを選択します。これは、ASAがリモート Cisco UCM と接続するために使用するインターフェイスです。


) パス外配置では、使用環境内に配置済みの既存のASAは、Cisco Intercompany Media Engine トラフィックを伝送できません。パス外のシグナリングには、外部アドレスが内部 IP アドレスに変換されることが必要です(NAT を使用)。このマッピング サービス設定には、内部インターフェイス アドレスを使用できます。Cisco Intercompany Media Engine Proxy の場合、外部アドレスから内部 IP アドレスへの動的なマッピングがASAによって作成されます。


ステップ 10 [Fallback] 領域で、次の設定を指定して、Cisco Intercompany Media Engine のフォールバック タイマーを設定します。

a. [Fallback Sensitivity File] フィールドに、ASAが通話中の PSTN フォールバックのために使用するファイルへのフラッシュ メモリ内のパスを入力します。入力するファイル名は、.fbs ファイル拡張子を持つディスク上のファイルの名前である必要があります。あるいは、[Browse Flash] ボタンをクリックして、フラッシュ メモリからファイルを見つけて選択します。

b. [Call Quality Evaluation Interval] フィールドに、10 ~ 600 の数値を入力します(単位はミリ秒)。この数値により、インターネットから受信された RTP パケットをASAでサンプリングする頻度が制御されます。ASAは、このデータ サンプルを使用して、通話に対して PSTN へのフォールバックが必要かどうか判断します。デフォルトでは、このタイマーの長さは 100 ミリ秒です。

c. [Notification Interval] フィールドに、10 ~ 360 の数値を入力します(単位は秒)。この数値により、PSTN へフォール バックするかどうかを Cisco UCM に通知する前に、ASAが待機する時間の長さが制御されます。デフォルトでは、このタイマーの長さは 20 秒です。


) Cisco Intercompany Media Engine Proxy のフォールバック タイマーを変更するとき、ASDM によってそのプロキシが SIP インスペクションから自動的に削除されます。そのプロキシが再びイネーブルになると、SIP インスペクションが再適用されます。


ステップ 11 [Apply] をクリックして、Cisco Intercompany Media Engine Proxy の設定変更を保存します。


 

Unified Communications Wizard を使用した Cisco UC-IMC Proxy の設定

ASDM を使用して Cisco Intercompany Media Engine Proxy を設定するには、メニューから [Wizards] > [Unified Communications Wizard] を選択します。Unified Communications Wizard が開きます。最初のページから、[Business-to-Business] セクションの下にある [Cisco Intercompany Media Engine Proxy] オプションを選択します。

このウィザードにより、必要な TLS プロキシが自動的に作成されます。その後、ウィザードの指示に従って、Intercompany Media Engine プロキシを作成し、必要な証明書のインポートとインストールを行います。最後に、Intercompany Media Engine トラフィックの SIP インスペクションが自動的にイネーブルになります。

このウィザードでは、次の手順を実行して、Cisco Intercompany Media Engine Proxy を作成します。


ステップ 1 [Intercompany Media Engine Proxy] オプションを選択します。

ステップ 2 Cisco Intercompany Media Engine Proxy のトポロジを選択します。つまり、ASAはすべてのインターネット トラフィックが通過するエッジ ファイアウォールなのか、ASAは主要なインターネット トラフィックのパスから外れているのか(パス外配置と呼びます)を選択します。

ステップ 3 Cisco UCM IP アドレスなどのプライベート ネットワーク設定とチケット設定を指定します。

ステップ 4 パブリック ネットワーク設定を指定します。

ステップ 5 Cisco UCM のメディア ターミネーション アドレス設定を指定します。

ステップ 6 ローカル側の証明書管理を設定します。つまり、ローカルの Cisco Unified Communications Manager サーバとASAの間で交換される証明書を設定します。この手順でウィザードにより生成されるアイデンティティ証明書は、プロキシを持つクラスタ内の各 Cisco Unified Communications Manager(UCM)サーバにインストールする必要があります。Cisco UCM の各アイデンティティ証明書はASAにインストールする必要があります。これらの証明書は、TLS ハンドシェイク時にASAと Cisco UCM が互いをそれぞれ認証するために使用されます。このウィザードでは、この手順に対して自己署名証明書だけがサポートされています。

ステップ 7 リモート側の証明書管理を設定します。つまり、リモート サーバとASAの間で交換される証明書を設定します。この手順では、ウィザードによって Certificate Signing Request(CSR; 証明書署名要求)が生成されます。プロキシのアイデンティティ証明書要求の生成に成功した後、ウィザードからそのファイルを保存するように要求されます。

保存した CSR テキスト ファイルは、Certificate Authority(CA; 認証局)に送信する必要があります。たとえば、そのテキスト ファイルを CA Web サイトの CSR 登録ページに張り付けて送信します。CA からアイデンティティ証明書が返送されてきたら、その証明書をASAにインストールする必要があります。この証明書がリモート サーバに提示されることにより、リモート サーバはASAを信頼できるサーバとして認証できるようになります。

最後に、ASAでリモート サーバが信頼できると判断できるように、ウィザードのこの手順に従って、リモート サーバから CA のルート証明書をインストールします。


 

このウィザードは、Cisco Intercompany Media Engine に対して作成される設定の概要を表示して完了します。詳細については、このマニュアル内の Unified Communications Wizard に関するセクションを参照してください。

この項では、 show uc-ime コマンドの一部のオプションを使用して、Cisco Intercompany Media Engine Proxy に関するトラブルシューティング情報を取得する方法について説明します。これらのコマンドの構文の詳細については、コマンド リファレンスを参照してください。

show uc-ime signaling-sessions

Cisco Intercompany Media Engine Proxy によって保存されている、対応する SIP シグナリング セッションが表示されます。メディアまたはシグナリングのエラーをトラブルシューティングする場合に、このコマンドを使用します。このコマンドでは、SIP メッセージ ヘッダーから抽出されたフォールバック パラメータ、RTP モニタリングがイネーブルかディセーブルか、SRTP キーが設定されているかどうかも表示されます。

Cisco Intercompany Media Engine Proxy の使用によって、シグナリングだけでなくメディアも通信が保護されます。シグナリングの暗号化および SRTP がインターネット側に強制される SRTP/RTP 変換が提供されます。Cisco Intercompany Media Engine Proxy は、Cisco UCM からの SIP シグナリング メッセージを変更することにより、それ自身をメディア パスに挿入します。Cisco Intercompany Media Engine Proxy は、企業のエッジに位置し、企業間に作成された SIP トランク間の SIP シグナリングを検査します。このプロキシは、インターネットからの TLS シグナリングを終端し、ローカルの Cisco UCM への TCP または TLS を開始します。

hostname# show uc-ime signaling-sessions
1 in use, 3 most used
inside 192.168.10.30:39608 outside 10.194.108.118:5070
Local Media (audio) conn: 10.194.108.119/29824 to 10.194.108.109/21558
Local SRTP key set : Remote SRTP key set
Remote Media (audio) conn: 192.168.10.51/19520 to 192.168.10.3/30930
Call-ID: ab6d7980-a7d11b08-50-1e0aa8c0@192.168.10.30
FB Sensitivity: 3
Session ID: 2948-32325449-0@81a985c9-f3a1-55a0-3b19-96549a027259
SIP Trunk URI: 81a985c9-f3a1-55a0-3b19-9654@UCM-30;maddr=192.168.10.30
Codec-name: G722
Payload type: 9
 

) コールが Cisco Intercompany Media Engine を経由しない場合は、Cisco Intercompany Media Engine システム内のコンポーネント間の TLS ハンドシェイクの結果をトラブルシューティングするために、show tls-proxy session コマンドを使用することもできます。このコマンドの詳細については、コマンド リファレンスを参照してください。


show uc-ime signaling-sessions statistics

Cisco Intercompany Media Engine Proxy によって保存されている、対応するシグナリング セッションに関する統計情報が表示されます。Cisco Intercompany Media Engine でのシグナリング セッションは、チケットの検証やドメイン名の検証の失敗、インターネット経由の RTP の提供など、コール関連のさまざまな理由から失敗することがあります。

hostname# show uc-ime signaling-sessions statistics
10 in use, 20 most used
15 terminated
Ticket integrity check failed: 2
Ticket decode failed: 1
Ticket epoch mismatch: 1
Ticket DID mismatch: 0
Ticket timestamp invalid: 4
Ticket domain check failed: 2
Ticket not found: 0
Route domain name check failed: 1
RTP over UC-IME: 2
 

) コール関連の失敗は、たとえば、サービス ポリシーが再設定されていることや、プライマリのASAがフェールオーバー モードで動作していることが原因で発生することがあります。Cisco Intercompany Media Engine Proxy のサービス ポリシー ルールが削除され(no service policy コマンドを使用)、再設定されると、ASAを経由する最初のコールは失敗します。この問題を解決するには、さらに clear connection コマンドを入力し、ASAを再起動する必要があります。フェールオーバーによる失敗の場合、プライマリASAからの接続はスタンバイASAと同期化されません。


show uc-ime media-sessions detail

Cisco Intercompany Media Engine Proxy に保存されている、すべてのアクティブなメディア セッション(コール)に関する詳細が表示されます。正常なコールからの出力を表示するには、このコマンドを使用します。さらに、片通話など、IP 電話の音声に関する問題をトラブルシューティングする場合にも、このコマンドを使用します。アップ状態のコールが現在存在しなければ、この出力は空白になります。

hostname(config)# show uc-ime media-sessions detail
2 in use, 5 most used
Media-session: 10.194.108.109/21558 :: client ip 192.168.10.51/19520
Call ID: ab6d7980-a7d11b08-50-1e0aa8c0@192.168.10.30
Session ID: 2948-32325449-0@81a985c9-f3a1-55a0-3b19-96549a027259
Lcl SRTP conn 10.194.108.109/21558 to 10.194.108.119/29824 tx_pkts 20203 rx_pkts 20200
refcnt 3 : created by Inspect SIP, passthrough not set
RTP monitoring is enabled
Failover_state : 0
Sum_all_packets : 20196
Codec_payload_format : 9
RTP_ptime_ms : 20
Max_RBLR_pct_x100 : 0
Max_ITE_count_in_8_sec : 0
Max_BLS_ms : 0
Max_PDV_usec : 1000
Min_PDV_usec : 0
Mov_avg_PDV_usec : 109
Total_ITE_count : 0
Total_sec_count : 403
Concealed_sec_count : 0
Severely_concealed_sec_count : 0
Max_call_interval_ms : 118
Total_SequenceNumber_Resets : 0
Media-session: 192.168.10.3/30930 :: client ip 10.194.108.119/29824
Call ID: N/A
Lcl RTP conn 192.168.10.3/30930 to 192.168.10.51/19520 tx_pkts 20201 rx_pkts 20203
 

show uc-ime fallback-notification statistics

Cisco UMC への PSTN フォールバック通知に関する統計情報が表示されます。接続の品質が良くてコールが VoIP 上で送信されたとしても、その接続品質は通話中に低下する可能性があります。エンド ユーザに対して全体にわたって良好な通話を保証するために、Cisco Intercompany Media Engine では通話中のフォールバックの実行が試みられます。通話中のフォールバックの実行には、適応型セキュリティ アプライアンスで、インターネットから着信する RTP パケットをモニタする必要があります。フォールバックが必要になると、コールを PSTN へフォールバックする必要があることを通知するために、適応型セキュリティ アプライアンスから Cisco UCM に REFER メッセージが送信されます。

Cisco Intercompany Media Engine では、PSTN へフォール バックするかどうかを Cisco UCM に通知する前に適応型セキュリティ アプライアンスが待機する時間の長さを、設定可能なホールドダウン タイマーを使用して設定します。

hostname# show uc-ime fallback-notification statistics
UCM address: 172.23.32.37
Total Notifications Sent: 10
 

show uc-ime mapping-service-sessions

Cisco Intercompany Media Engine Proxy がパス外配置用に設定されている場合、そのプロキシとローカルの Cisco UMC との間でのマッピングサービスの要求と応答が表示されます。ASA上の TCP ポートの 1 つが、マッピング要求をリスンするように設定されます。

このポート番号は、デバイス上の他のサービス(Telnet や SSH など)との競合を避けるために、1024 以上にする必要があります。デフォルトでは、このポート番号は TCP 8060 です。

Hostname# show uc-b2blink mapping-service-sessions
Total active sessions: 2
Session client (IP:Port) Idle time
192.168.1.10:2001 0:01:01
192.168.1.20:3001 0:10:20
 

show uc-ime mapping-service-sessions statistics

パス外シグナリングで使用される Cisco Intercompany Media Engine Proxy マッピング サービスに関する統計情報が表示されます。

Hostname# show uc-ime mapping-service-sessions statistics
Total active sessions: 2
Session client Total Responses Failed Pending Idle
(IP:Port) requests sent requests responses time
192.168.1.10:2001 10 9 1 0 0:01:01
192.168.1.20:3001 19 19 0 0 0:10:20

Cisco Intercompany Media Engine Proxy の機能履歴

表 56-1 に、この機能のリリース履歴を示します。

 

表 56-1 Cisco 電話プロキシの機能履歴

機能名
リリース
機能情報

Cisco Intercompany Media Engine Proxy

8.3(1)

Cisco Intercompany Media Engine Proxy が導入されました。

次のペインが ASDM に追加されました。

[Configuration] > [Firewall] > [Unified Communications] > [UC-IME Proxy]

次のウィザードが ASDM に追加され、Unified Communication プロキシ(Cisco Intercompany Media Engine Proxy も含まれます)の設定ができるようになりました。

[Wizards] > [Unified Communications Wizard]