Cisco Intercompany Media Engine インストレーション コンフィギュレーション ガイド、リリース 9.0(1)
Cisco ASA の設定
Cisco ASA の設定

目次

Cisco ASA の設定

Cisco 適応型セキュリティ アプライアンス(ASA)ファイアウォールは、Cisco Intercompany Media Engine ソリューションのセキュリティにおいて、重要な役割を果たします。 この項では、コマンドライン インターフェイス、および Web ベースの GUI アプリケーションである ASDM を使用した ASA の設定について説明します。

プロキシ設定のガイドラインと制限事項

コンテキスト モード ガイドライン

シングル コンテキスト モードのみがサポートされています。

ファイアウォール モード ガイドライン

ルーティング ファイアウォール モードのみがサポートされています。

IPv6 ガイドライン

IPv6 アドレスはサポートされていません。

その他のガイドラインおよび制限事項

Cisco Intercompany Media Engine には、以下の制限があります。

  • ファクスはサポートされていません。 ファクス機能を SIP トランクで無効にする必要があります。

  • Cisco Unified Intercompany Media Engine のステートフル フェールオーバーはサポートされていません。 フェールオーバーの間は、Cisco Intercompany Media Engine プロキシを通過中の既存のコールは切断されますが、フェールオーバーが終了した後、新規のコールはこのプロキシを正常に通過します。

  • Cisco UCM が複数の適応型セキュリティ アプライアンス インターフェイス上に存在することは、Cisco Intercompany Media Engine プロキシではサポートされません。 特にオフパス配置では、適応型セキュリティ アプライアンスでマッピング サービスのリスニング インターフェイスを指定する必要があり、Cisco UCM は 1 つの信頼できるインターフェイスに接続されなければならないため、Cisco UCM が 1 つの信頼できるインターフェイス上に存在することが必要です。

  • 複数 MIME はサポートされていません。

  • 既存の SIP の機能およびメッセージのみがサポートされています。

  • RTCP はサポートされていません。 適応型セキュリティ アプライアンスは、内部インターフェイスから外部インターフェイスに送信されるすべての RTCP トラフィックをドロップします。 適応型セキュリティ アプライアンスでは、内部インターフェイスからの RTCP トラフィックは SRTP トラフィックに変換されません。

  • 適応型セキュリティ アプライアンスで設定された Cisco Intercompany Media Engine プロキシは、リモート環境への各接続のダイナミック SIP トランクを作成します。 ただし、SIP トランクごとに一意なサブジェクト名を設定できません。 Cisco Intercompany Media Engine プロキシは、プロキシに設定されるサブジェクト名を 1 つだけ保持します。

    また、Cisco Intercompany Media Engine プロキシに設定したサブジェクト名 DN は、ローカル Cisco UCM に設定したドメイン名と一致します。

  • Cisco Intercompany Media Engine プロキシのサービス ポリシー ルールが削除され(no service policy コマンドを使用)、再設定されると、適応型セキュリティ アプライアンスを経由する最初のコールは失敗します。 Cisco UCM は接続がクリアされたことを認識せず、シグナリングのためにそのクリアされた IME SIP トランクの使用を試行するため、コールは PSTN にフェールオーバーします。

    この問題を解決するには、さらに clear connection all コマンドを入力し、適応型セキュリティ アプライアンスを再起動する必要があります。 フェールオーバーのための失敗の場合は、プライマリ適応型セキュリティ アプライアンスからの接続はスタンバイ適応型セキュリティ アプライアンスに同期されません。

  • UC-IME プロキシが有効な適応型セキュリティ アプライアンスで clear connection all コマンドが発行され、IME コールが PSTN にフェールオーバーされた後、SCCP IP Phone の発信側と着信側の間の次の IME コールは完了しますが、音声はなく、シグナリング セッションが確立するとドロップされます。

    SCCP IP Phone 間の IME コールは、両方向の IME SIP トランクを使用します。 つまり、発信側から着信側へのシグナリングは IME SIP トランクを使用します。 次に着信側は、リターン シグナリングおよびメディア変換のためにリバース IME SIP トランクを使用します。 しかし、この接続は、適応型セキュリティ アプライアンス上ですでにクリアされているため、IME コールは失敗します。

    次の IME コール(clear connection all コマンドが発行されてから 3 番目のコール)は正常に完了します。


    (注)  


    この制限は、発信側および着信側の IP Phone が SIP で設定されている場合、適用されません。


  • 適応型セキュリティ アプライアンスは、その IME コールの量を扱うのに十分な TLS プロキシ セッションのライセンスが取得され、設定される必要があります。 TLS プロキシ セッションに関するライセンス要件の項は、『Cisco ASA 5500 Series Configuration Guide using the CLI』を参照してください。

    この制限は、IME コールを完了するために必要な TLS プロキシ セッションが十分に残されていないと、IME コールが PSTN にフォールバックできないために発生します。 2 つの SCCP IP Phone 間の IME コールでは、適応型セキュリティ アプライアンスが 2 つの TLS プロキシ セッションを使用して TLS ハンドシェイクを正常に完了する必要があります。

    たとえば、適応型セキュリティ アプライアンスが最大 100 個の TLS プロキシ セッションを使用できるように設定されていて、SCCP IP Phone 間の IME コールが 101 個の TLS プロキシ セッションを確立するとします。 この例では、次の IME コールは発信側の SCCP IP Phone によって正常に開始されますが、着信側 SCCP IP Phone によって受け取られると失敗します。 着信側 IP Phone の呼び出し音は鳴りますが、コールに応答すると、TLS ハンドシェイクが完了していないために、そのコールは切断します。 コールは PSTN にフォールバックされません。

プロキシ CLI 設定

Cisco IME のセットアップ

以下のタスクには、記載されている図に基づくコマンド ラインの例が含まれています。

基本配置で Cisco Intercompany Media Engine を構成する場合、次のタスクを実行します。

手順
    ステップ 1   次のいずれかの設定をセットアップします。
    ステップ 2   Cisco Intercompany Media Engine プロキシのアクセス リストを作成します。 Cisco IME プロキシのアクセス リストのセットアップを参照してください。
    ステップ 3   Cisco Intercompany Media Engine プロキシのメディア ターミネーション アドレス インスタンスを作成します。 メディア ターミネーション インスタンスの作成を参照してください。
    ステップ 4   Cisco Intercompany Media Engine プロキシを作成します。 Cisco IME プロキシの作成を参照してください。
    ステップ 5   トラストポイントを作成し、Cisco Intercompany Media Engine プロキシの証明書を生成します。 トラストポイントの作成と証明書の生成を参照してください。
    ステップ 6   TLS プロキシを作成します。 TLS プロキシの作成を参照してください。
    ステップ 7   Cisco Intercompany Media Engine プロキシの SIP インスペクションを設定します。 Cisco IME プロキシの SIP インスペクションの有効化を参照してください。
    ステップ 8   (任意)企業内の TLS を設定します。 ローカル環境での TLS のセットアップを参照してください。
    ステップ 9   (任意)オフパス シグナリングを設定します。 オフパス シグナリングのセットアップを参照してください。
    (注)     

    ステップ 9 は、Cisco Intercompany Media Engine Proxy をオフパス配置で設定するときにだけ実行します。


    基本(インライン)配置タスクの例

    以下の図に、Cisco Intercompany Media Engine の基本配置の例を示します。

    図 1.




    (注)  


    ステップ 1 ~ ステップ 8 は、基本(インライン)配置およびオフパス配置の両方に適用され、ステップ 9 は、オフパス配置にのみ適用されます。


    Cisco IME の NAT のセットアップ

    自動 NAT を設定するには、まずオブジェクトを設定します。 次に、オブジェクト コンフィギュレーション モードで nat コマンドを使用します。

    このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 また、Cisco Intercompany Media Engine プロキシの PAT を設定することもできます。 Cisco UCM サーバの PAT のセットアップを参照してください。

    Cisco UCM サーバの自動 NAT ルールを設定するには、次の手順を実行します。

    手順
      ステップ 1   次のコマンドを実行して、変換する Cisco UCM の実際のアドレスのネットワーク オブジェクトを設定します。 hostname(config)# object network name

      例: hostname(config)# object network ucm_real_1
      ステップ 2   次のコマンドを実行して、ネットワーク オブジェクトの Cisco UCM ホストの実際の IP アドレスを指定します。hostname(config-network-object)# host ip_address

      例: hostname(config-network-object)# host 192.168.10.30
      ステップ 3   (任意) 次のコマンドを実行して、ネットワーク オブジェクトの説明を示します。hostname(config-network-object)# description string

      例: hostname(config-network-object)# description "Cisco UCM #1 Real IP Address"
      ステップ 4   変換する他の Cisco UCM ノードすべてについてステップ 1 ~ 3 を繰り返します。

      例:object ucm_real_2 will contain host 192.168.10.31
      ステップ 5   次のコマンドを実行して、Cisco UCM の外部(変換済み)IP アドレスのネットワーク オブジェクトを設定します。hostname(config)# object network name

      例:hostname(config) # object network ucm_map_1
      ステップ 6   次のコマンドを実行して、ネットワーク オブジェクトの Cisco UCM ホストの変換済み IP アドレスを指定します。hostname(config-network-object)# host ip_address

      例:hostname(config-network-object) # host 209.165.200.227
      ステップ 7   (任意) 次のコマンドを実行して、ネットワーク オブジェクトの説明を示します。hostname(config-network-object)# description string hostname(config-network-object)# description string

      例: hostname(config-network-object)# description "Cisco UCM Translated IP Address"
      ステップ 8   変換する他の Cisco UCM ノードすべてについてステップ 5 ~ 7 を繰り返します。

      例:object ucm_map_2 will contain host 209.165.200.228
      ステップ 9   次のコマンドを実行して、この例で作成されたネットワーク オブジェクトでのアドレス変換を指定します。

      例:

      hostname(config)# object network ucm_real_1

      hostname(config-network-object)# nat (inside,outside) static ucm_map_1

      hostname(config-network-object)# exit

      hostname(config)# object network ucm_real_2

      hostname(config-network-object)# nat (inside,outside) static ucm_map_2


      図 2. 配置のための NAT の設定例

      次の図は、NAT 配置設定の例を示しています。



      次の作業

      Cisco Intercompany Media Engine プロキシのアクセス リストを作成します。 Cisco IME プロキシのアクセス リストのセットアップを参照してください。

      Cisco UCM サーバの PAT のセットアップ

      Cisco Intercompany Media Engine プロキシの NAT を設定する別の方法としてこのタスクを実行します。

      Cisco UCM サーバの PAT を設定するには、次の手順を実行します。

      手順
        ステップ 1   次のコマンドを実行して、インバウンド Intercompany Media Engine コールのネットワーク オブジェクトを設定します。hostname(config)# object network name

        例:例:hostname(config)# object network ucm-pat-config1
        ステップ 2   次のコマンドを実行して、ネットワーク オブジェクトの Cisco UCM ホストの実際の IP アドレスを指定します。hostname(config-network-object)# host ip_address

        例:例:hostname(config-network-object)# host 192.168.30
        ステップ 3   次のコマンドを実行して、ネットワーク オブジェクトの説明を示します。hostname(config-network-object)# description string

        例:例:hostname(config-network-object)# description "PAT for Inbound Calls"
        ステップ 4   次のコマンドを実行して、外部ネットワーク上に設定されたポートから内部ネットワーク上の指定のポートへのインバウンド Intercompany Media Engine コールのスタティック PAT を設定します。hostname(config-network-object)# nat (inside,outside) static mapped_inline_ip service tcp real_port mapped_port

        例:例:hostname(config-network-object)# nat (inside,outside) static 209.165.200.228 service tcp 5570 5571
        ステップ 5   次のコマンドを実行して、オブジェクト コンフィギュレーション モードを終了します。hostname(config-network-object)# exit
        ステップ 6   次のコマンドを実行して、アウトバンド Intercompany Media Engine コールのネットワーク オブジェクトを設定します。hostname(config)# object network name

        例:例:hostname(config)# object network ucm-pat-config2
        ステップ 7   次のコマンドを実行して、ネットワーク オブジェクトのサブネットを指定します。hostname(config-network-object)# subnet ip_address mask

        例:例:hostname(config-network-object)# host 192.168.10.0 255.255.255.0
        ステップ 8   次のコマンドを実行して、ネットワーク オブジェクトの説明を示します。hostname(config-network-object)# description string

        例:例:hostname(config-network-object)# description "PAT for Outbound Calls"
        ステップ 9   次のコマンドを実行して、外部インターフェイス アドレスの背後に内部ネットワークが隠れているアウトバンド Intercompany Media Engine コールのダイナミック PAT を設定します。hostname(config-network-object)# nat (inside,outside) dynamic ip_address

        例:例:hostname(config-network-object)# nat (inside,outside) dynamic 209.165.200.228

        配置のための PAT の設定例

        次の図は、PAT 配置設定の例を示しています。

        (注)  


        Cisco UCM サーバに対して NAT を設定していないときのみ、この手順を実行できます。






        Cisco IME プロキシのアクセス リストのセットアップ

        Cisco UCM サーバに到達するように Cisco Intercompany Media Engine プロキシのアクセス リストを設定するには、次の手順を実行します。

        このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 このタスクのコマンド ラインの例の説明については、基本(インライン)配置タスクの図の例を参照してください。

        Cisco IME プロキシのアクセス リストをセットアップするには、次の手順を実行します。

        手順
          ステップ 1   次のコマンドを実行して、アクセス コントロール エントリ(ACE)を追加します。hostname(config)# access-list id extended permit tcp any host ip_address eq port

          例:例:hostname(config)# access-list incoming extended permit tcp any host 192.168.10.30 eq 5070

          アクセス リストは、同じアクセス リスト ID を使用する 1 つ以上の ACE によって構成されます。 この ACE は、指定されたポートでの Cisco Intercompany Media Engine 接続の着信アクセスを許可して、アクセス コントロールを提供します。

          ip_address 引数に、Cisco UCM の実際の IP アドレスを指定します。

          ステップ 2   次のコマンドを実行して、アクセス リストをインターフェイスにバインドします。hostname(config)# access-group access-list in interface interface_name

          例:例:hostname(config)# access-group incoming in interface outside
          ステップ 3   次のコマンドを実行して、インバウンド SIP トラフィックを許可する ACE を追加します。hostname(config)# access-list id extended permit tcp any host ip_address eq port

          例:例:hostname(config)# access-list ime-inbound-sip extended permit tcp any host 192.168.10.30 eq 5070

          この ACE では、適応型セキュリティ アプライアンスが Cisco Intercompany Media Engine のインバウンド SIP トラフィックを許可できるようにします。 このエントリは、クラス マップおよびポリシー マップのトラフィックを分類するために使用されます。

          (注)     

          ここで設定するポートは、Cisco UCM で設定されるトランクの設定に一致します。 この設定に関する詳細については、Cisco Unified Communications Manager の関連資料を参照してください。

          ステップ 4   次のコマンドを実行して、アウトバンド SIP トラフィックを許可する ACE を追加します。hostname(config)# access-list id extended permit tcp ip_address mask any range range

          例:例:hostname(config)# access-list ime-outbound-sip extended permit tcp 192.168.10.30 255.255.255.255 any range 5000 6000

          この ACE では、適応型セキュリティ アプライアンスが Cisco Intercompany Media Engine のアウトバウンド SIP トラフィック(この例では、送信元が 192.168.10.30 で、宛先ポート範囲が 5000 ~ 6000 の任意の TCP トラフィック)を許可できるようにします。 このエントリは、クラス マップおよびポリシー マップのトラフィックを分類するために使用されます。

          (注)     

          Cisco UCM と Cisco Intercompany Media Engine サーバの間の TCP トラフィックがこのポート範囲を使用しないようにする必要があります(その接続が適応型セキュリティ アプライアンスを経由する場合)。

          ステップ 5   次のコマンドを実行して、リモート サーバ トラフィックを許可する ACE を追加します。hostname(config)# access-list id permit tcp any host ip_address eq 6084

          例:例:hostname(config)# access-list ime-traffic permit tcp any host 192.168.10.12 eq 6084

          この ACE では、適応型セキュリティ アプライアンスが、Cisco Intercompany Media Engine サーバからリモートの Cisco Intercompany Media Engine サーバへのトラフィックを許可できるようにします。

          ステップ 6   次のコマンドを実行して、ブートストラップ サーバへのトラフィックを許可する ACE を追加します。hostname(config)# access-list id permit tcp any host ip_address eq 8470

          例:例:hostname(config)# access-list ime-bootserver-traffic permit tcp any host 192.168.10.12 eq 8470

          この ACE では、適応型セキュリティ アプライアンスが、Cisco Intercompany Media Engine サーバから Cisco Intercompany Media Engine のブートストラップ サーバへのトラフィックを許可できるようにします。


          次の作業

          Cisco Intercompany Media Engine プロキシの適応型セキュリティ アプライアンス上にメディア ターミネーション インスタンスを作成します。 メディア ターミネーション インスタンスの作成を参照してください。

          メディア ターミネーション インスタンスの作成


          (注)  


          プロキシのメディア ターミネーション アドレスを作成した後に、Cisco Intercompany Media Engine プロキシ設定に何らかの変更を加えた場合、no media-termination コマンドを使用してメディア ターミネーション アドレスを再設定する必要があります。その際、以下の手順のように再設定します。


          このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 このタスクのコマンド ラインの例の説明については、基本(インライン)配置タスクの図の例を参照してください。

          Cisco Intercompany Media Engine プロキシ用にメディア ターミネーション インスタンスを作成するには、次の手順を実行します。

          はじめる前に
          設定するメディア ターミネーション アドレスは、以下の要件を満たしている必要があります。
          • グローバル インターフェイスを使用せずに、インターフェイスでメディア ターミネーション アドレスを設定する場合、Cisco Intercompany Media Engine プロキシのサービス ポリシーを適用する前に、少なくとも 2 つのインターフェイス(内部インターフェイスと外部インターフェイス)に 1 つのメディア ターミネーション アドレスを設定する必要があります。 設定しない場合、プロキシで SIP インスペクションを有効にしたときにエラー メッセージを受け取ります。

            (注)  


            シスコは、グローバル メディア ターミネーション アドレスを設定せずに、インターフェイスで Cisco Intercompany Media Engine プロキシのメディア ターミネーション アドレスを設定することをお勧めします。


          • Cisco Intercompany Media Engine プロキシは、一度に 1 つのタイプのメディア ターミネーション インスタンスを使用できます。たとえば、すべてのインターフェイス用の 1 つのグローバル メディア ターミネーション アドレスを設定するか、または異なるインターフェイスごとに 1 つのメディア ターミネーション アドレスを設定できます。 しかし、グローバル メディア ターミネーション アドレスとインターフェイスごとに設定されたメディア ターミネーション アドレスを同時に使用することはできません。
          手順
            ステップ 1   次のコマンドを実行して、Cisco Intercompany Media Engine プロキシに接続するメディア ターミネーション インスタンスを作成します。hostname(config)# media-termination instance_name

            例:例:hostname(config)# media-termination uc-ime-media-term
            ステップ 2   次のコマンドを実行して、適応型セキュリティ アプライアンスの外部インターフェイスによって使用されるメディア ターミネーション アドレスを設定します。hostname(config-media-termination)# address ip_address interface intf_name

            例:例:hostname(config-media-termination)# address 209.165.200.228 interface outside

            外部 IP アドレスは、パブリックにルーティング可能なアドレスで、そのインターフェイスのアドレス範囲内で未使用の IP アドレスである必要があります。

            UC-IME プロキシ設定については、Cisco IME プロキシの作成を参照してください。 no service-policy コマンドについては、『Cisco ASA 5500 Series Configuration Guide using the CLI』を参照してください。

            ステップ 3   次のコマンドを実行して、適応型セキュリティ アプライアンスの内部インターフェイスによって使用されるメディア ターミネーション アドレスを設定します。hostname(config-media-termination)# address ip_address interface intf_name

            例:例:hostname(config-media-termination)# address 192.168.10.3 interface inside
            (注)     

            この IP アドレスは、そのインターフェイスの同じサブネット内で未使用の IP アドレスである必要があります。

            ステップ 4   (任意)次のコマンドを実行して、Cisco Intercompany Media Engine プロキシの RTP 最小ポートおよび RTP 最大ポートの制限を設定します。hostname(config-media-termination)# rtp-min-port port1 rtp-maxport port2

            例:例:hostname(config-media-termination)# rtp-min-port 1000 rtp-maxport 2000

            Cisco Intercompany Media Engine がサポートするコール数を増やす必要があるときに、メディア ターミネーション ポイントの RTP ポート範囲を設定します。

            ここで、port1 には、メディア ターミネーション ポイントの RTP ポート範囲の最小値を指定します。port1 には、1024 ~ 65535 までの値を指定できます。 デフォルトでは、port1 の値は 16384 です。

            ここで、port2 には、メディア ターミネーション ポイントの RTP ポート範囲の最大値を指定します。port2 には、1024 ~ 65535 までの値を指定できます。 デフォルトでは、port2 の値は 32767 です。


            次の作業

            メディア ターミネーション インスタンスを作成したら、Cisco Intercompany Media Engine プロキシを作成します。 Cisco IME プロキシの作成を参照してください。

            Cisco IME プロキシの作成

            このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 このタスクのコマンド ラインの例の説明については、基本(インライン)配置タスクの図の例を参照してください。


            (注)  


            プロキシが SIP インスペクションに対して有効なときは、以下の手順で示されている Cisco Intercompany Media Engine プロキシのいかなる設定も変更できません。 この手順で説明されている設定のいずれかを変更するには、SIP インスペクションから Cisco Intercompany Media Engine プロキシを削除します。


            Cisco Intercompany Media Engine プロキシを作成するには、次の手順を実行します。

            手順
              ステップ 1   次のコマンドを実行して、Cisco Intercompany Media Engine プロキシを設定します。hostname(config)# uc-ime uc_ime_name

              例:例:hostname(config)# uc-ime local-ent-ime

              ここで、uc_ime_name は、Cisco Intercompany Media Engine プロキシの名前です。 この名前は、64 文字までに制限されています。 適応型セキュリティ アプライアンスでは、Cisco Intercompany Media Engine プロキシを 1 つだけ設定できます。

              ステップ 2   次のコマンドを実行して、Cisco Intercompany Media Engine プロキシによって使用されるメディア ターミネーション インスタンスを指定します。hostname(config-uc-ime)# media-termination mta_instance_name

              例:例:hostname(config-uc-ime)# media-termination ime-media-term
              ここで、mta_instance_name は、メディア ターミネーション インスタンスの作成のステップ 1 で作成した instance_name です。
              (注)     

              Cisco Intercompany Media Engine プロキシでメディア ターミネーション インスタンスを指定する前に、このインスタンスを作成する必要があります。

              ステップ 3   次のコマンドを実行して、環境内の Cisco UCM サーバを指定します。hostname(config-uc-ime)# ucm address ip_address trunk-security-mode [nonsecure | secure]

              例:例:hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
              Cisco UCM サーバの実際の IP アドレスを指定する必要があります。 サーバのマップされた IP アドレスを指定しないでください。 ここで、nonsecure オプションおよび secure オプションは、Cisco UCM または Cisco UCM のクラスタのセキュリティ モードを指定します。
              (注)     

              SIP トランクが有効な Cisco Intercompany Media Engine を使用するクラスタ内の各 Cisco UCM についてエントリを含める必要があります。

              Cisco UCM または Cisco UCM クラスタに対して secure を指定すると、Cisco UCM または Cisco UCM クラスタは TLS を開始します。そのため、コンポーネントの TLS を設定する必要があります。 ローカル環境での TLS のセットアップを参照してください。

              このタスクで secure オプションを指定できます。または、後で環境の TLS を設定する際に、このオプションを更新できます。 ローカル環境での TLS のセットアップのステップ 11 を参照してください。

              ステップ 4   次のコマンドを実行して、Cisco Intercompany Media Engine のチケット エポックおよびパスワードを設定します。hostname(config-uc-ime)# ticket epoch n password password

              例:例:hostname(config-uc-ime)# ticket epoch 1 password password1234

              ここで、n は 1 ~ 255 までの整数です。 エポックには、パスワードが変更されるたびに更新される整数が入ります。 プロキシを初めて設定し、パスワードを初めて入力するときに、エポックの整数として 1 を入力します。 パスワードを変更するたびに、新しいパスワードを示すためにエポックを増やします。 ユーザはパスワードを変更するたびにエポックの値を増やす必要があります。

              通常、エポックは連続的に増やします。しかし、適応型セキュリティ アプライアンスでは、エポックを更新するときに任意の値を選択できます。 エポック値を変更する場合、現在のパスワードは無効となり、新規パスワードを入力する必要があります。

              ここで、password には、US-ASCII 文字セットから印刷可能な 10 ~ 64 文字が入ります。 使用可能な文字には、0x21 ~ 0x73 までが含まれ、スペース文字は除外されます。 少なくとも 20 文字以上のパスワードが推奨されています。 同時に設定できるパスワードは 1 つだけです。

              チケット パスワードは、フラッシュに格納されます。 show running-config uc-ime コマンドの出力には、パスワード文字列の代わりに ***** が表示されます。

              (注)     

              適応型セキュリティ アプライアンス上で設定するエポックおよびパスワードは、Cisco Intercompany Media Engine サーバ上で設定されたエポックおよびパスワードと一致する必要があります。 詳細については、Cisco Intercompany Media Engine サーバの関連資料を参照してください。

              ステップ 5   (任意)次のコマンドを実行して、Cisco Intercompany Media Engine のフォールバック タイマーを指定します。hostname(config-uc-ime)# fallback monitoring timer timer_millisec | hold-down timer timer_sec

              例:例:hostname(config-uc-ime)# fallback monitoring timer 120 hostname(config-uc-ime)# fallback hold-down timer 30

              モニタリング タイマーを指定すると、適応型セキュリティ アプライアンスがインターネットから受信する RTP パケットをサンプリングする時間間隔が設定されます。 適応型セキュリティ アプライアンスは、このデータ サンプルを使用して、コールに対して PSTN へのフォールバックが必要かどうか判断します。

              ここで、timer_millisec には、モニタリング タイマーの長さを指定します。 デフォルトでは、モニタリング タイマーの長さは 100 ミリ秒です。使用可能な範囲は、10 ~ 600 ミリ秒です。 ホールドダウン タイマーを指定すると、PSTN にフォールバックするかどうかを Cisco UCM に通知するまで適応型セキュリティ アプライアンスが待機する時間が設定されます。

              ここで、timer_sec には、ホールドダウン タイマーの長さを指定します。 デフォルトでは、ホールドダウン タイマーの長さは 20 秒です。使用可能な範囲は、10 ~ 360 秒です。 このコマンドを使用してフォールバック タイマーを指定しない場合、適応型セキュリティ アプライアンスはフォールバック タイマーのデフォルト設定を使用します。

              ステップ 6   (任意)次のコマンドを使用して、通話中の PSTN フォールバックに使用するファイルを指定します。hostname(config-uc-ime)# fallback sensitivity-file file_name

              例:例:hostname(config-uc-ime)# fallback sensitivity-file ime-fallback-sensitvity.fbs

              ここで、file_name は、.fbs ファイル拡張子を含むディスク上のファイルの名前である必要があります。

              フォールバック ファイルは、Cisco Intercompany Media Engine がコールを PSTN に転送するほどコールの QoS が低下しているかを識別するために使用されます。


              次の作業

              ローカル エンティティ信頼ストアに証明書をインストールします。 ローカル エンティティによって信頼されたローカル CA で証明書を登録することもできます。

              トラストポイントの作成と証明書の生成

              このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 このタスクのコマンド ラインの例の説明については、基本(インライン)配置タスクの図の例を参照してください。


              (注)  


              このタスクは、ローカル環境とリモート環境のトラストポイントを作成する方法、およびこれらの環境の間での証明書の交換方法を説明します。 このタスクでは、ローカル Cisco UCM とローカル適応型セキュリティ アプライアンスとの間でのトラストポイントの作成および証明書の交換に関する手順は説明しません。 しかし、ローカル環境内で追加のセキュリティが必要な場合は、オプションのタスクであるローカル環境での TLS のセットアップを実行する必要があります。 そのタスクを実行することにより、ローカル Cisco UCM とローカル適応型セキュリティ アプライアンスとの間でのセキュア TLS 接続が可能となります。 そのタスクの手順では、ローカル Cisco UCM とローカル適応型セキュリティ アプライアンスとの間のトラストポイントを作成する方法が説明されています。


              トラストポイントを作成し、証明書を生成するには、次の手順を実行します。

              はじめる前に

              リモート エンティティが信頼するプロキシ証明書を適応型セキュリティ アプライアンスで作成するには、信頼できる CA から証明書を取得するか、リモート環境の適応型セキュリティ アプライアンスから証明書をエクスポートします。

              リモート環境から証明書をエクスポートするには、次のコマンドをリモートの適応型セキュリティ アプライアンス上で入力します。

              hostname(config)# crypto ca export trustpoint identity-certificate

              適応型セキュリティ アプライアンスは、ターミナルの画面に証明書を表示します。 ターミナルの画面から証明書をコピーします。 この証明書は、このタスクのステップ 2 で必要になります。

              手順
                ステップ 1   次のコマンドを実行して、トラストポイントに使用可能な RSA キーペアを作成します。hostname(config)# crypto key generate rsa label key-pair-label modulus size

                例:例:hostname(config)# crypto key generate rsa label local-ent-key modulus 2048

                ローカルの適応型セキュリティ アプライアンスで、トラストポイントに使用可能な RSA キー ペアを作成します。 これは、ローカル エンティティの署名付き証明書に関するキー ペアおよびトラストポイントです。

                選択するモジュール キー サイズは、設定するセキュリティのレベル、および証明書を取得する CA によって課される制約によって異なります。 選択する数が増えれば増えるほど、証明書のセキュリティ レベルは高くなります。 ほとんどの CA では、キー モジュール サイズとして 2048 が推奨されています。ただし、

                (注)     

                GoDaddy では、キー モジュール サイズは 2048 である必要があります。

                ステップ 2   次のコマンドを実行して、ローカル エンティティのトラストポイントが作成できるように、指定したトラストポイントのトラストポイント コンフィギュレーション モードを開始します。hostname(config)# crypto ca trustpoint trustpoint_name

                例:例:hostname(config)# crypto ca trustpoint local_ent

                トラストポイントは、CA によって発行された証明書に基づく CA ID、場合によってはデバイス ID を表します。 名前の最大長は、128 文字です。

                ステップ 3   次のコマンドを実行して、登録時に、証明書に示されたサブジェクト名 DN を指定します。hostname(config-ca-trustpoint)# subject-name X.500_name

                例:例:hostname(config-ca-trustpoint)# subject-name cn=Ent-local-domain-name**
                (注)     

                ここで入力するドメイン名は、ローカル Cisco UCM で設定したドメイン名と一致する必要があります。 Cisco UCM のドメイン名の設定方法については、Cisco Unified Communications Manager の関連資料を参照してください。

                ステップ 4   次のコマンドを実行して、認証される公開キーのキー ペアを指定します。hostname(config-ca-trustpoint)# keypair keyname
                ステップ 5   次のコマンドを実行して、このトラストポイントを登録する方法として、コピー アンド ペースト(手動登録)の使用を指定します。hostname(config-ca-trustpoint)# enroll terminal

                例:例:hostname(config-ca-trustpoint)# keypair local-ent-key
                ステップ 6   次のコマンドを実行して、CA トラストポイント コンフィギュレーション モードを終了します。hostname(config-ca-trustpoint)# exit
                ステップ 7   次のコマンドを実行して、CA での登録プロセスを開始します。hostname(config)# crypto ca enroll trustpoint

                例:例:hostname(config)# crypto ca enroll remote-ent % % Start certificate enrollment ... % The subject name in the certificate will be: % cn=enterpriseA % The fully-qualified domain name in the certificate will @ be: ciscoasa % Include the device serial number in the subject name? [yes/no]: no Display Certificate Request to terminal? [yes/no]: yes

                ここで、trustpoint は、ステップ 2 でトラストポイント名に入力した値と同じです。

                トラストポイントが手動登録に設定されている場合(enroll terminal コマンド)、適応型セキュリティ アプライアンスから base-64 で符号化された PKCS10 証明書要求がコンソールに出力され、その後に CLI プロンプトが表示されます。 プロンプトからテキストをコピーします。

                証明書要求を CA に送信します。たとえば、プロンプトに表示されたテキストを CA Web サイトの証明書署名要求登録ページに貼り付けます。

                CA から署名付き ID 証明書が送られてきたら、この手順のステップ 8 に進みます。

                ステップ 8   次のコマンドを実行して、手動登録要求の返信として CA から受け取った署名付き証明書をインポートします。hostname(config)# crypto ca import trustpoint certificate

                例:例:hostname(config)# crypto ca import remote-ent certificate

                ここで、trustpoint には、ステップ 2 で作成したトラストポイントを指定します。 適応型セキュリティ アプライアンスから、base-64 形式の署名付き証明書をターミナルに貼り付けるように求められます。

                ステップ 9   次のコマンドを実行して、CA から受け取ったサードパーティ ID 証明書を認証します。hostname(config)# crypto ca authenticate trustpoint

                例:例: hostname(config)# crypto ca authenticate remote-ent

                この ID 証明書は、リモート環境用に作成したトラストポイントに関連付けられます。

                適応型セキュリティ アプライアンスにより、CA からの base-64 形式の ID 証明書をターミナルに貼り付けるよう求めるプロンプトが表示されます。


                次の作業

                Cisco Intercompany Media Engine の TLS プロキシを作成します。 TLS プロキシの作成を参照してください。

                TLS プロキシの作成

                接続を開始したローカルおよびリモートのエンティティそれぞれに TLS プロキシ インスタンスを作成します。 TLS 接続を開始するエンティティは、「TLS クライアント」の役割を担います。 TLS プロキシでは、「クライアント」プロキシと「サーバ」プロキシが厳密に定義されるため、どちらのエンティティも接続を開始する可能性がある場合は、2 つの TLS プロキシ インスタンスを定義する必要があります。

                このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 このタスクのコマンド ラインの例の説明については、基本(インライン)配置タスクの図の例を参照してください。

                TLS プロキシを作成するには、次の手順を実行します。

                手順
                  ステップ 1   次のコマンドを実行して、アウトバウンド接続用の TLS プロキシを作成します。 hostname(config)# tls-proxy proxy_name

                  例:例:hostname(config)# tls-proxy local_to_remote-ent
                  ステップ 2   次のコマンドを実行して、アウトバンド接続のトラストポイントおよび関連する証明書を指定します。hostname(config-tlsp)# client trust-point proxy_trustpoint

                  例:例:hostname(config-tlsp)# client trust-point local-ent

                  適応型セキュリティ アプライアンスが TLS クライアントの役割になるときに TLS ハンドシェイクで使用されるトラストポイントおよび関連する証明書を指定します。 適応型セキュリティ アプライアンスが証明書(ID 証明書)を所有する必要があります。

                  ここで、proxy_trustpoint には、トラストポイントの作成と証明書の生成のステップ 2 で crypto ca trustpoint コマンドによって定義されたトラストポイントを指定します。

                  ステップ 3   次のコマンドを実行して、アウトバウンド接続に対して、暗号スイートの TLS ハンドシェイク パラメータを制御します。 hostname(config-tlsp)# client cipher-suite cipher_suite

                  例:例:hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

                  ここで、cipher_suite には、des-sha1、3des-sha1、aes128-sha1、aes256-sha1、または null-sha1 が入ります。

                  クライアント プロキシ(このプロキシはサーバに対して TLS クライアントとして機能します)では、ユーザ定義の暗号スイートによって、デフォルトの暗号スイートまたは ssl encryption コマンドによって定義された暗号スイートが置き換えられます。 このコマンドを使用して、2 つの TLS セッション間で異なる暗号化を実現します。 AES 暗号を Cisco UCM サーバで使用する必要があります。

                  ステップ 4   次のコマンドを実行して、TLS プロキシ コンフィギュレーション モードを終了します。hostname(config-tlsp)# exit
                  ステップ 5   次のコマンドを実行して、インバウンド接続用の TLS プロキシを作成します。hostname(config)# tls-proxy proxy_name

                  例:例:hostname(config)# tls-proxy remote_to_local-ent
                  ステップ 6   次のコマンドを実行して、インバウンド接続の TLS ハンドシェイク時に提示するプロキシ トラストポイント証明書を指定します。hostname(config-tlsp)# server trust-point proxy_trustpoint

                  例:例:hostname(config-tlsp)# server trust-point local-ent

                  適応型セキュリティ アプライアンスが証明書(ID 証明書)を所有する必要があります。

                  ここで、proxy_trustpoint には、トラストポイントの作成と証明書の生成のステップ 2 で crypto ca trustpoint コマンドによって定義されたトラストポイントを指定します。

                  TLS プロキシではクライアント プロキシとサーバ プロキシが厳密に定義されるため、どちらのエンティティも接続を開始する可能性がある場合は、2 つの TLS プロキシ インスタンスを定義する必要があります。

                  ステップ 7   次のコマンドを実行して、インバウンド接続に対して、暗号スイートの TLS ハンドシェイク パラメータを制御します。hostname(config-tlsp)# client cipher-suite cipher_suite

                  例:例:hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

                  ここで、cipher_suite には、des-sha1、3des-sha1、aes128-sha1、aes256-sha1、または null-sha1 が入ります。

                  ステップ 8   次のコマンドを実行して、TSL プロキシ コンフィギュレーション モードを終了します。hostname(config-tlsp)# exit
                  ステップ 9   次のコマンドを実行して、SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定します。hostname(config)# ssl encryption 3des-sha1 aes128-sha1 [algorithms]

                  3des-shal と aes128-shal を指定する必要があります。 その他のアルゴリズムの指定は、オプションです。

                  (注)     

                  Cisco Intercompany Media Engine プロキシでは、強度の高い暗号化を使用する必要があります。 プロキシに K9 ライセンスを使用するライセンスがあるときは、このコマンドを指定する必要があります。


                  次の作業

                  TLS プロキシを作成したら、そのプロキシを SIP インスペクションに対して有効にします。

                  Cisco IME プロキシの SIP インスペクションの有効化

                  このタスクのコマンド ラインの例は、基本(インライン)配置に基づいています。 このタスクのコマンド ラインの例の説明については、基本(インライン)配置タスクの図の例を参照してください。


                  (注)  


                  SIP インスペクションを有効にした後、Cisco Intercompany Media Engine プロキシの設定を変更する場合、no service-policy コマンドを入力し、以下の手順で示されているようにサービス ポリシーを再設定する必要があります。 サービス ポリシーの削除および再設定は、既存のコールに影響しませんが、Cisco Intercompany Media Engine プロキシを通過する最初のコールは失敗します。 clear connection コマンドを入力し、適応型セキュリティ アプライアンスを再起動します。


                  Cisco Intercompany Media Engine プロキシの SIP インスペクションを有効にするには、次の手順を実行します。

                  手順
                    ステップ 1   次のコマンドを実行して、インバウンド Cisco Intercompany Media Engine SIP トラフィックのクラスを定義します。hostname(config)# class-map class_map_name

                    例:hostname(config)# class-map ime-inbound-sip
                    ステップ 2   次のコマンドを実行して、検査する SIP トラフィックを指定します。hostname(config-cmap)# match access-list access_list_name

                    例:hostname(config-cmap)# match access-list ime-inbound-sip

                    ここで、access_list_name は、Cisco IME プロキシのアクセス リストのセットアップのタスクのステップ 3 で作成したアクセス リストです。

                    ステップ 3   次のコマンドを実行して、クラス マップ コンフィギュレーション モードを終了します。hostname(config-cmap)# exit
                    ステップ 4   次のコマンドを実行して、Cisco Intercompany Media Engine からのアウトバウンド SIP トラフィックのクラスを定義します。hostname(config)# class-map class_map_name

                    例:hostname(config)# class-map ime-outbound-sip
                    ステップ 5   次のコマンドを実行して、検査するアウトバウンド SIP トラフィックを指定します。hostname(config)# match access-list access_list_name

                    例:hostname(config-cmap)# match access-list ime-outbound-sip

                    ここで、access_list_name は、Cisco IME プロキシのアクセス リストのセットアップのタスクのステップ 4 で作成したアクセス リストです。

                    ステップ 6   次のコマンドを実行して、クラス マップ コンフィギュレーション モードを終了します。hostname(config-cmap)# exit
                    ステップ 7   次のコマンドを実行して、トラフィックのクラスのアクションに関連するポリシー マップを定義します。hostname(config)# policy-map name

                    例:hostname(config)# policy-map ime-policy
                    ステップ 8   次のコマンドを実行して、アクションをクラス マップ トラフィックに割り当てることができるように、クラス マップをポリシー マップに割り当てます。hostname(config-pmap)# class classmap_name

                    例:hostname(config-pmap)# class ime-outbound-sip

                    ここで、classmap_name は、このタスクのステップ 1 で作成した SIP クラス マップの名前です。

                    ステップ 9   次のコマンドを実行して、TLS プロキシおよび Cisco Intercompany Media Engine プロキシを、指定した SIP インスペクション セッションに対して有効にします。hostname(config-pmap-c)# inspect sip [sip_map] uc-ime <uc_ime_map> tls-proxy <proxy_name>

                    例:hostname(config-pmap-c)# inspect sip uc-ime local-ent-ime tls-proxy local_to_remote-ent
                    ステップ 10   hostname(config-cmap-c)# exit

                    ポリシー マップ クラス コンフィギュレーション モードを終了します。

                    ステップ 11   次のコマンドを実行して、アクションをクラス マップ トラフィックに割り当てることができるように、クラス マップをポリシー マップに割り当てます。hostname(config-pmap)# class class_map_name hostname(config-pmap)# class ime-inbound-sip

                    ここで、classmap_name は、このタスクのステップ 4 で作成した SIP クラス マップの名前です。

                    ステップ 12   次のコマンドを実行して、TLS プロキシおよび Cisco Intercompany Media Engine プロキシを、指定した SIP インスペクション セッションに対して有効にします。hostname(config-pmap-c)# inspect sip [sip_map] uc-ime <uc_ime_map> tls-proxy <proxy_name>

                    例:hostname(config-pmap-c)# inspect sip uc-ime local-ent-ime tls-proxy remote_to_local-ent
                    ステップ 13   次のコマンドを実行して、ポリシー マップ クラス コンフィギュレーション モードを終了します。hostname(config-pmap-c)# exit
                    ステップ 14   次のコマンドを実行して、ポリシー マップ コンフィギュレーション モードを終了します。hostname(config-pmap)# exit
                    ステップ 15   次のコマンドを実行して、すべてのインターフェイスの SIP インスペクションのサービス ポリシーを有効にします。hostname(config)# service-policy policymap_name global

                    例:hostname(config)# service-policy ime-policy global

                    ここで、policymap_name は、このタスクのステップ 7 で作成したポリシー マップの名前です。

                    UC-IME プロキシ設定については、Cisco IME プロキシの作成を参照してください。 no service-policy コマンドについては、『Cisco ASA 5500 Series Configuration Guide using the CLI』を参照してください。


                    次の作業

                    TLS プロキシを SIP インスペクションに対して有効にしたら、必要に応じて、環境内の TLS を設定します。 ローカル環境での TLS のセットアップを参照してください。

                    ローカル環境での TLS のセットアップ

                    Cisco UCM で Cisco Intercompany Media Engine トランクの転送セキュリティを変更した場合、同様に、適応型セキュリティ アプライアンスでも変更セキュリティを変更する必要があります。 一致していないと、コール失敗が発生します。

                    適応型セキュリティ アプライアンスは、非セキュア IME トランクを持つ SRTP をサポートしません。 適応型セキュリティ アプライアンスは、SRTP がセキュア トランクで許可されることを前提としています。 そのため、TLS を使用する場合、IME トランクの [SRTPを許可(SRTP Allowed)] をオンにする必要があります。 適応型セキュリティ アプライアンスは、セキュア IME トランク コールに対して RTP への SRTP フォールバックをサポートしています。

                    ローカル環境内で TLS を設定するには、ローカルの適応型セキュリティ アプライアンスで次の手順を実行します。

                    はじめる前に

                    ローカル Cisco UCM で、Cisco UCM 証明書をダウンロードします。 詳細については、Cisco Unified Communications Manager の関連資料を参照してください。 この証明書は、この作業のステップ 6 を実行するときに必要になります。

                    手順
                      ステップ 1   次のコマンドを実行して、自己署名証明書の RSA キーおよびトラストポイントを作成します。hostname(config)# crypto key generate rsa label key-pair-label hostname(config)# crypto ca trustpoint trustpoint_name hostname(config-ca-trustpoint)# enroll self hostname(config-ca-trustpoint)# keypair keyname hostname(config-ca-trustpoint)# subject-name x.500_name

                      例:hostname(config)# crypto key generate rsa label local-ent-key hostname(config)# crypto ca trustpoint local-asa hostname(config-ca-trustpoint)# enroll self hostname(config-ca-trustpoint)# keypair key-local-asa hostname(config-ca-trustpoint)# subject-name cn=Ent-local-domain-name**., o="Example Corp"

                      ここで、key-pair-label は、ローカル適応型セキュリティ アプライアンスの RSA キーです。

                      ここで、trustpoint_name は、ローカル適応型セキュリティ アプライアンスのトラストポイントです。

                      ここで、keyname は、ローカル適応型セキュリティ アプライアンスのキー ペアです。

                      ここで、x.500_name には、cn=Ent-local-domain-name** など、ローカル適応型セキュリティ アプライアンスの X.500 識別名を指定します。

                      (注)     

                      ここで入力するドメイン名は、ローカル Cisco UCM で設定したドメイン名と一致する必要があります。 Cisco UCM のドメイン名の設定方法については、Cisco Unified Communications Manager の関連資料を参照してください。

                      ステップ 2   次のコマンドを実行して、トラストポイント コンフィギュレーション モードを終了します。hostname(config-ca-trustpoint)# exit
                      ステップ 3   ID 証明書をエクスポートする前にトラスト ポイントを登録します。 (config mode) crypto ca enroll <trustpoint>

                      この場合、トラストポイントは local-asa です。

                      ステップ 4   次のコマンドを実行して、ステップ 1 で作成した証明書をエクスポートします。hostname(config)# crypto ca export trustpoint identity-certificate

                      例: hostname(config)# crypto ca export local-asa identity-certificate

                      証明書の内容は、ターミナルの画面に表示されます。

                      ターミナルの画面から証明書をコピーします。 この証明書により、Cisco UCM は、TLS ハンドシェイクで適応型セキュリティ アプライアンスが送信する証明書を検証できるようになります。

                      ローカル Cisco UCM で、証明書を Cisco UCM トラスト ストアにアップロードします。 詳細については、Cisco Unified Communications Manager の関連資料を参照してください。

                      (注)     

                      ローカル Cisco UCM に証明書をアップロードする際に入力したサブジェクト名は、Cisco UCM 上の SIP トランク セキュリティ プロファイルで入力された [X.509のサブジェクト名(X.509 Subject Name)] フィールドと比較されます。 たとえば、このタスクのステップ 1 で、Ent-local-domain-name と入力した場合、Cisco UCM 設定でも Ent-local-domain-name と入力する必要があります。

                      ステップ 5   次のコマンドを実行して、ローカル Cisco UCM のトラストポイントを作成します。hostname(config)# crypto ca trustpoint trustpoint_namehostname(config-ca-trustpoint)# enroll terminal

                      例:hostname(config)# crypto ca trustpoint local-ent-ucm hostname(config-ca-trustpoint)# enroll terminal

                      ここで、trustpoint_name は、ローカル Cisco UCM のトラストポイントです。

                      ステップ 6   次のコマンドを実行して、トラストポイント コンフィギュレーション モードを終了します。hostname(config-ca-trustpoint)# exit
                      ステップ 7   次のコマンドを実行して、ローカル Cisco UCM から証明書をインポートします。hostname(config)# crypto ca authenticate trustpoint

                      例:hostname(config)# crypto ca authenticate local-ent-ucm

                      ここで、trustpoint はローカル Cisco UCM のトラストポイントです。

                      ローカル Cisco UCM からダウンロードした証明書を貼り付けます。 この証明書により、適応型セキュリティ アプライアンスは、TLS ハンドシェイクで Cisco UCM が送信する証明書を検証できるようになります。

                      ステップ 8   次のコマンドを実行して、アウトバウンド接続用の TLS プロキシを更新します。hostname(config)# tls-proxy proxy_namehostname(config-tlsp)# server trust-point proxy_trustpoint hostname(config-tlsp)# client trust-point proxy_trustpoint hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

                      例:hostname(config)# tls-proxy local_to_remote-ent hostname(config-tlsp)# server trust-point local-asa hostname(config-tlsp)# client trust-point local-ent hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

                      ここで、proxy_name は、TLS プロキシの作成のタスクのステップ 1 で入力した名前です。

                      ここで、server trust point コマンドの proxy_trustpoint は、この手順のステップ 1 で入力したローカル適応型セキュリティ アプライアンスのトラストポイント名です。

                      ここで、client trust point コマンドの proxy_trustpoint は、トラストポイントの作成と証明書の生成のタスクのステップ 2 で入力した名前です。

                      (注)     

                      この手順では、クライアントとサーバに異なるトラストポイントを作成します。

                      ステップ 9   次のコマンドを実行して、TLS プロキシ コンフィギュレーション モードを終了します。hostname(config-tlsp)# exit
                      ステップ 10   次のコマンドを実行して、インバウンド接続用の TLS プロキシを更新します。hostname(config)# tls-proxy proxy_name hostname(config-tlsp)# server trust-point proxy_trustpoint hostname(config-tlsp)# client trust-point proxy_trustpoint hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

                      例:hostname(config)# tls-proxy remote_to_local-ent hostname(config-tlsp)# server trust-point local-ent hostname(config-tlsp)# client trust-point local-asa hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

                      ここで、proxy_name は、TLS プロキシの作成のタスクのステップ 5 で入力した名前です。

                      ここで、server trust point コマンドの proxy_trustpoint は、トラストポイントの作成と証明書の生成のタスクのステップ 2 で入力した名前です。

                      ここで、client trust point コマンドの proxy_trustpoint は、この手順のステップ 1 で入力したローカル適応型セキュリティ アプライアンスのトラストポイント名です。

                      ステップ 11   次のコマンドを実行して、TLS プロキシ コンフィギュレーション モードを終了します。hostname(config-tlsp)# exit
                      ステップ 12   次のコマンドを実行して、Cisco Intercompany Media Engine プロキシをトランク セキュリティ モードに更新します。hostname(config)# uc-ime uc_ime_namehostname(config-uc-ime)# ucm address ip_address trunk-security-mode secure

                      例:hostname(config)# uc-ime local-ent-ime hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode secure

                      ここで、uc_ime_name は、Cisco IME プロキシの作成のタスクのステップ 1 で入力した名前です。

                      Cisco IME プロキシの作成のタスクのステップ 3 で非セキュアを入力した場合、この手順のみを実行します。


                      次の作業

                      環境内の TLS を設定したので、必要に応じて、オフパス配置のオフパス シグナリングを設定します。 オフパス シグナリングのセットアップを参照してください。

                      オフパス シグナリングのセットアップ

                      オフパス シグナリングでは、外部 IP アドレスを内部 IP アドレスに変換する必要があります。 Cisco Intercompany Media Engine プロキシでは、適応型セキュリティ アプライアンスが外部アドレスの内部 IP アドレスへのダイナミック マッピングを作成します。 インバウンドおよびアウトバンドのシグナリングについて、次の方法でアドレス変換を設定する必要があります。

                      インバウンド シグナリングの場合、外部 Cisco UCM アドレスは適応型セキュリティ アプライアンスの外部インターフェイスにルーティングされる必要があります。 このため、適応型セキュリティ アプライアンスが、実際の Cisco UCM アドレスを適応型セキュリティ アプライアンスの外部アドレスに変換するように設定する必要があります。 適応型セキュリティ アプライアンスの外部アドレスはルーティング可能なものでなければなりません。 こうすることにより、適応型セキュリティ アプライアンスが Cisco UCM に送信されたパケットを受信するようになります。

                      この変換を設定するということは、インバウンド シグナリング パケットの送信元 IP アドレスが適応型セキュリティ アプライアンスの内部インターフェイスに変換されることを意味します。 このトピックの例の場合、リモート適応型セキュリティ アプライアンスからのインバウンド シグナリング パケットは次のようになります。

                      送信元 10.10.0.24

                      宛先 209.165.200.228

                      次のように変換される

                      送信元 10.10.0.24

                      宛先 192.168.10.30

                      アウトバンド シグナリングの場合、Cisco UCM が接続を開始するとき、Cisco UCM には返信できる変換済みの送信元 IP アドレスを含むインバウンド パケットがありません。 このような状況に対応するには、適応型セキュリティ アプライアンス上にマッピング サービスを設定する必要があります。 マッピング サービスは、今後のためのインバウンド シグナリング パケットの送信元 IP アドレスを変換します。

                      オフパス シグナリングを設定した後、適応型セキュリティ アプライアンス マッピング サービスはインターフェイス「内部」で要求をリッスンします。 要求を受信すると、宛先アドレスとして「外部」の動的なマッピングを作成します。

                      オフパス配置では、アウトバンド メディア パケットおよびアウトバンド メディア パケットはメディア ターミネーション アドレスに基づいてルーティングされます。 適応型セキュリティ アプライアンスがメディア ターミネーション アドレスを使用してメディア パケットをルーティングする方法については、メディア ターミネーション インスタンスの作成を参照してください。

                      Cisco Intercompany Media Engine プロキシのオフパス シグナリングを設定するには、次の手順を実行します。

                      手順
                        ステップ 1   次のコマンドを実行して、オフパスの適応型セキュリティ アプライアンスのすべての外部アドレスを表すネットワーク オブジェクトを作成します。hostname(config)# object network name

                        例:例:hostname(config)# object network outside-any
                        ステップ 2   次のコマンドを実行して、サブネットの IP アドレスを指定します。hostname(config-network-object)# subnet ip_address

                        例:例:hostname(config-network-object)# subnet 0.0.0.0 0.0.0.0
                        ステップ 3   次のコマンドを実行して、リモート環境の Cisco UCM のマッピングを作成します。hostname(config-network-object)# nat (outside, inside) dynamic interface
                        ステップ 4   次のコマンドを実行して、オブジェクト コンフィギュレーション モードを終了します。hostname(config-network-object)# exit
                        ステップ 5   次のコマンドを実行して、Cisco Intercompany Media Engine プロキシを指定します。hostname(config)# uc-ime uc_ime_name

                        例:例:hostname(config)# uc-ime local-ent-ime

                        IME プロキシ作成タスクで作成した Cisco Intercompany Media Engine プロキシを指定します。

                        ここで、uc_ime_name は、Cisco IME プロキシの作成のタスクのステップ 1 で指定した名前です。

                        ステップ 6   次のコマンドを実行して、マッピング サービスを Cisco Intercompany Media Engine プロキシに追加します。hostname(config-uc-ime)# mapping-service listening-interface interface_name [listening-port port] uc-ime-interface uc-ime-interface_name

                        例:例:hostname(config-uc-ime)# mapping-service listening-interface inside listening-port 8060 uc-ime-interface outside

                        マッピング サービスを、オフパスの適応型セキュリティ アプライアンスの Cisco Intercompany Media Engine プロキシに追加します。

                        適応型セキュリティ アプライアンス マッピング サービスのインターフェイスおよびリスニング ポートを指定します。

                        Cisco Intercompany Media Engine プロキシにはマッピング サービスを 1 つだけ設定できます。

                        ここで、interface_name は、適応型セキュリティ アプライアンスがマッピング要求をリッスンするインターフェイスの名前です。

                        また、port は、適応型セキュリティ アプライアンスがマッピング要求をリッスンする TCP ポートです。 デバイス上のその他のサービス(Telnet または SSH など)との競合を避けるため、1024 ~ 65535 の間のポート番号を指定する必要があります。 デフォルトでは、ポート番号は TCP 8060 です。

                        ここで、uc-ime-interface_name は、リモート Cisco UCM に接続するインターフェイスの名前です。


                        オフパス配置でのオフパス シグナリングの設定例





                        ASDM を使用したプロキシ設定

                        プロキシ ペインを使用した Cisco UC-IMC プロキシのセットアップ

                        [Cisco Intercompany Media Engine(UC-IME)プロキシの設定(Configure Cisco Intercompany Media Engine (UC-IME) proxy)] ペインを使用して、Cisco Intercompany Media Engine プロキシ インスタンスを追加または編集します。


                        (注)  


                        Cisco Intercompany Media Engine プロキシは、このプロキシに必要なライセンスが適応型セキュリティ アプライアンスにインストールされていなければ、ナビゲーション ペインの [ユニファイドコミュニケーション(Unified Communications)] セクションにオプションとして表示されません。


                        このペインを使用してプロキシ インスタンスを作成しますが、UC-IME プロキシをフル機能で使用する場合、必要な NAT ステートメント、アクセス リスト、および MTA の作成、証明書の設定、TLS プロキシの作成、SIP インスペクションの有効化など追加のタスクを完了する必要があります。

                        UC-IME プロキシがインターネット トラフィックのオフパスまたはインラインのどちらで配置されているかに応じて、Cisco UCM の組み込み NAT ステートメント、または PAT ステートメントを使用し、適切なネットワーク オブジェクトを作成する必要があります。

                        手順
                          ステップ 1   [設定(Configuration)] > [ファイアウォール(Firewall)] > [ユニファイドコミュニケーション(Unified Communications)] > [UC-IMEプロキシ(UC-IME Proxy)] からペインを開きます。
                          ステップ 2   [Cisco UC-IMEプロキシの有効化(Enable Cisco UC-IME proxy)] チェックボックスをオンにして、機能を有効にします。
                          ステップ 3   [Unified CMサーバ(Unified CM Servers)] 領域で、Cisco Unified Communications Manager(Cisco UCM)の IP アドレスまたはホスト名を入力するか、省略記号をクリックしてダイアログを開き、IP アドレスまたはホスト名を参照します。
                          ステップ 4   [トランクセキュリティモード(Trunk Security Mode)] フィールドで、セキュリティ オプションを選択します。 Cisco UCM または Cisco UCM クラスタに secure を指定すると、Cisco UCM または Cisco UCM クラスタは TLS を開始します。
                          ステップ 5   [追加(Add)] をクリックして、Cisco Intercompany Media Engine プロキシの Cisco UCM を追加します。 SIP トランクが有効な Cisco Intercompany Media Engine を使用するクラスタ内の各 Cisco UCM についてエントリを含める必要があります。
                          ステップ 6   [チケットエポック(Ticket Epoch)] フィールドに、1 ~ 255 の整数を入力します。

                          エポックには、パスワードが変更されるたびに更新される整数が入ります。 プロキシを初めて設定し、パスワードを初めて入力するときに、エポックの整数として 1 を入力します。 パスワードを変更するたびに、新しいパスワードを示すためにエポックを増やします。 ユーザはパスワードを変更するたびにエポックの値を増やす必要があります。

                          通常、エポックは連続的に増やします。しかし、適応型セキュリティ アプライアンスでは、エポックを更新するときに任意の値を選択できます。

                          エポック値を変更する場合、現在のパスワードは無効となり、新規パスワードを入力する必要があります。

                          (注)     

                          適応型セキュリティ アプライアンスにおいてこの手順で設定するエポックおよびパスワードは、Cisco Intercompany Media Engine サーバ上で設定するエポックおよびパスワードと一致する必要があります。 詳細については、Cisco Intercompany Media Engine サーバの関連資料を参照してください。

                          ステップ 7   [チケットパスワード(Ticket Password)] フィールドに、US-ASCII 文字セットから印刷可能な少なくとも 10 文字を入力します。 使用可能な文字には、0x21 ~ 0x73 までが含まれ、スペース文字は除外されます。 チケット パスワードには、最長 64 文字まで指定できます。 入力したパスワードを確認します。 同時に設定できるパスワードは 1 つだけです。
                          ステップ 8   [MTAをUC-IME Linkプロキシに適用する(Apply MTA to UC-IME Link proxy)] チェックボックスをオンにし、メディア ターミネーション アドレスを Cisco Intercompany Media Engine プロキシと関連付けます。
                          (注)     

                          このアドレスを Cisco Intercompany Media Engine プロキシと関連付ける前に、メディア ターミネーション インスタンスを作成する必要があります。 必要に応じて、[MTAの構成(Configure MTA)] ボタンをクリックして、メディア ターミネーション アドレス インスタンスを設定します。

                          ステップ 9   Cisco Intercompany Media Engine プロキシがオフパス配置の一部として設定されている場合、[オフパスアドレスマッピングサービスの有効化(Enable off path address mapping service)] チェックボックスをオンにして、オフパス配置設定を行います。
                          • [リスニングインターフェイス(Listening Interface)] フィールドで、適応型セキュリティ アプライアンス インターフェイスを選択します。 これは、適応型セキュリティ アプライアンスがマッピング要求をリッスンするインターフェイスです。
                          • [ポート(Port)] フィールドに、適応型セキュリティ アプライアンスがマッピング要求をリッスンする TCP ポートとして 1024 ~ 65535 までの間の数字を入力します。 デバイス上のその他のサービス(Telnet または SSH など)との競合を避けるため、1024 以上のポート番号を指定する必要があります。 デフォルトでは、ポート番号は TCP 8060 です。
                          • [UC-IMEインターフェイス(UC-IME Interface)] フィールドで、インターフェイスを選択します。 これは、適応型セキュリティ アプライアンスがリモート Cisco UCM と接続するために使用するインターフェイスです。
                            (注)      オフパス配置で環境に配置している既存の適応型セキュリティ アプライアンスは、Cisco Intercompany Media Engine トラフィックを送信できません。 オフパス シグナリングでは、外部アドレスを(NAT を使用して)内部 IP アドレスに変換する必要があります。 内部インターフェイス アドレスは、このマッピング サービス設定に使用されます。 Cisco Intercompany Media Engine プロキシでは、適応型セキュリティ アプライアンスが外部アドレスの内部 IP アドレスへのダイナミック マッピングを作成します。
                          ステップ 10   [フォールバック(Fallback)] 領域で、以下の設定を指定して、Cisco Intercompany Media Engine のフォールバック タイマーを設定します。
                          • [フォールバック重要度ファイル(Fallback Sensitivity File)] フィールドに、適応型セキュリティ アプライアンスが通話中の PSTN フォールバックに使用するフラッシュ メモリ内のファイルへのパスを入力します。 入力するファイル名は .fbs ファイル拡張子を含むディスク上のファイルの名前である必要があります。 または、[フラッシュの参照(Browse Flash)] ボタンをクリックして、フラッシュ メモリからファイルを見つけて選択します。
                          • [コール音声品質評価の間隔(Call Quality Evaluation Interval)] フィールドに、10 ~ 600 の間の数字(ミリ秒単位)を入力します。 この数字は、適応型セキュリティ アプライアンスがインターネットから受信する RTP パケットをサンプリングする頻度を制御します。 適応型セキュリティ アプライアンスは、このデータ サンプルを使用して、コールに対して PSTN へのフォールバックが必要かどうか判断します。 デフォルトでは、このタイマーの間隔は 100 ミリ秒です。
                          • [通知間隔(Notification Interval)] フィールドに、10 ~ 360 の間の数字(秒単位)を入力します。 この数字は、PSTN にフォールバックするかどうかを Cisco UCM に通知するまで、適応型セキュリティ アプライアンスが待機する時間を制御します。 デフォルトでは、このタイマーの間隔は 20 秒です。
                            (注)      Cisco Intercompany Media Engine プロキシのフォールバック タイマーを変更すると、ASDM が自動で SIP インスペクションからプロキシを削除します。また、プロキシが再度有効化されるときに、SIP インスペクションが再適用されます。
                          ステップ 11   [適用(Apply)] をクリックして、Cisco Intercompany Media Engine プロキシの設定変更を保存します。

                          ユニファイド コミュニケーション ウィザードを使用した Cisco UC-IMC プロキシのセットアップ

                          ウィザードにより必要な TLS プロキシが自動で作成されます。その後ウィザードに従って、Intercompany Media Engine プロキシを作成し、必要な証明書のインポートおよびインストールを行うと、Intercompany Media Engine トラフィックの SIP インスペクションが自動で有効になります。

                          ウィザードに従って以下の手順を実行し、Cisco Intercompany Media Engine プロキシを作成します。

                          手順
                            ステップ 1   [Intercompany Media Engineプロキシ(Intercompany Media Engine Proxy)] オプションを選択します。
                            ステップ 2   Cisco Intercompany Media Engine プロキシのトポロジを選択します。 トポロジの値は、適応型セキュリティ アプライアンスがエッジ ファイアウォールとなりすべてのインターネット トラフィックを通過させるか、または適応型セキュリティ アプライアンスは主なインターネット トラフィックのオフパス(オフパス配置とも呼ばれます)となるかを決定します。
                            ステップ 3   Cisco UCM IP アドレスやチケット設定などプライベート ネットワーク設定を指定します。
                            ステップ 4   パブリック ネットワーク設定を指定します。
                            ステップ 5   Cisco UCM のメディア ターミネーション アドレスを指定します。
                            ステップ 6   ローカル側の証明書管理を設定します。 ローカル Cisco Unified Communications Manager サーバと適応型セキュリティ アプライアンスの間で交換される証明書を決定する必要があります。 ウィザードがこの手順で生成する ID 証明書は、このプロキシを使用するクラスタ内の各 Cisco Unified Communications Manager(UCM)サーバにインストールする必要があります。また、Cisco UCM からの各 ID 証明書を適応型セキュリティ アプライアンスにインストールする必要があります。 これらの証明書は、TLS ハンドシェイク時に適応型セキュリティ アプライアンスと Cisco UCM が互いをそれぞれ認証するために使用されます。 ウィザードでは、この手順の自己署名証明書のみがサポートされています。
                            ステップ 7   リモート側の証明書管理を設定します。

                            リモート サーバと適応型セキュリティ アプライアンスの間で交換される証明書を決定する必要があります。 この手順では、ウィザードは証明書署名要求(CSR)を生成します。 プロキシの ID 証明書要求が正常に生成された後、ウィザードはファイルを保存するか確認するプロンプトを表示します。

                            CSR テキスト ファイルを認証局(CA)に送信する(たとえば、テキスト ファイルを CA Web サイトの CSR 登録ページに貼り付ける)必要があります。 CA から ID 証明書が送られてきたら、その証明書を適応型セキュリティ アプライアンスにインストールする必要があります。 この証明書がリモート サーバに提示されることにより、リモート サーバは適応型セキュリティ アプライアンスを信頼できるサーバとして認証できるようになります。

                            適応型セキュリティ アプライアンスでリモート サーバが信頼できると判断できるように、ウィザードのこの手順に従って、リモート サーバから CA のルート証明書をインストールします。

                            ウィザードは、Cisco Intercompany Media Engine 用に作成された設定の概要を表示して完了します。 詳細については、このマニュアルのユニファイド コミュニケーション ウィザードに関する項を参照してください。