Cisco VXC VPN
Cisco VXC VPN

Cisco VXC VPN

Cisco VXC の要件

Cisco VXC VPN 機能は、統合された VPN 機能を Cisco Virtualization Experience Client(Cisco VXC)2111 と 2112 に提供します。 この機能は、Cisco VXC 2111 クライアントと Cisco VXC 2112 クライアントが Cisco Unified IP Phone 8961、9951、または 9971 に接続される場合に、VPN トンネリングを有効にします。

Cisco VXC VPN と電話の VPN が、次の設定で同じトンネルまたは個別のトンネルを使用するように設定できます。

  • Cisco VXC VPN トラフィックと電話 VPN トラフィックの両方に対して 1 つのトンネル

  • 同じアクセス クレデンシャルを使用する 2 つのトンネル(Cisco VXC VPN トラフィックに 1 つと、電話 VPN トラフィックにもう 1 つ)

  • 異なるアクセス クレデンシャルを使用する 2 つのトンネル(Cisco VXC VPN トラフィックに 1 つと、電話 VPN トラフィックにもう 1 つ) この設定は、ワンタイム パスワードが適用される場合にのみサポートされます。

この機能を設定して、アクセス クレデンシャルを 1 回のみ尋ねるプロンプト([電話の VPN ログイン(Phone VPN Sign In)] ウィンドウ)、または電話の VPN([電話の VPN ログイン(Phone VPN Sign In)] ウィンドウ)および Cisco VXC VPN([VXC VPN ログイン(VXC VPN Sign In)] ウィンドウ)ごとに 1 回尋ねるプロンプトを設定できます。

Cisco VXC ファームウェア

VXC VPN 機能をサポートするために、Cisco VXC クライアントは次のファームウェアの最小リリースを実行する必要があります。

  • Cisco VXC 2112:ICA ファームウェア リリース 7.1_118

  • Cisco VXC 2111:PCoIP ファームウェア リリース 4.0(Q3CY12)

Cisco VXC VPN 用の Cisco Unified Communications Manager

Cisco VXC VPN をサポートするために、次の Cisco Unified Communications Manager 設定が必要となります。

PC ポートの有効化

[PC ポート(PC Port)] を [有効(Enabled)] に設定する必要があります。 [PC ポート(PC Port)] が [無効(Disabled)] 設定にされている場合、Cisco VXC はネットワークにアクセスできません。 この設定からは電話機には何の情報も提供されません。

PC ポートへのスパンの無効化

[PC ポートへのスパン(Span to PC Port)] オプションを [無効(Disabled)] に設定する必要があります。 Cisco VXC ではこの機能は必要ありません。

次のいずれかの設定ウィンドウを使用して、Cisco Unified Communications Manager の管理ページで上記パラメータを設定できます。

  • [電話の設定(Phone Configuration)] ウィンドウ([デバイス(Device)] > [電話(Phone)]

  • [共通の電話プロファイルの設定(Common Phone Profile Configuration)] ウィンドウ([デバイス(Device)] > [デバイスの設定(Device Settings)] > [共通の電話プロファイル(Common Phone Profile)]

  • [エンタープライズ電話の設定(Enterprise Phone Configuration)] ウィンドウ([システム(System)] > [エンタープライズ電話の設定(Enterprise Phone Configuration)]

Cisco VXC VPN の VPN コンセントレータ

この機能で使用する推奨 VPN コンセントレータは、Cisco ASA 5500 シリーズ Adaptive Security Appliance です。 Cisco VXC VPN をサポートするには、電話機が同じクレデンシャルを使用する 2 つのトンネルを確立できるように、マルチセッション サポートの ASA をセットアップする必要があります。

Cisco VXC VPN のネットワーク ガイドライン

次のネットワークのガイドラインは、Cisco VXC VPN 機能の実装に向けたものです。

  • 電話の VPN プロファイルの MTU サイズは設定可能な値です。 デフォルト値は 1290 です。

  • 電話機自体の最大 MTU 値は 1406 にハード コードされます。

  • 一部の IIS と仮想化サーバは 576 未満の値を受け入れられないため、MTU 値を 1406 以下で 576 以上にする必要があります。

  • 電話の VPN プロファイルに指定する MTU 値を許可するようにファイアウォールを設定する必要があります。

  • 電話機が証明書ファイルまたは電話機のコンフィギュレーション ファイルをダウンロードできない場合は、ネットワークで許可されているパケット サイズを確認します。

  • Cisco VXC VPN がトンネルを確立できない場合、VPN コンセントレータの IP アドレスをパケット サイズ(ロード)で ping し、VPN プロファイルが指定する MTU 値と照合します。

  • ping が失敗した場合、ロードを指定しないでもう一度 ping を試みます。 ロードなしでも ping が失敗する場合は、ルーティングの設定を確認します。

  • ロードを指定した場合にのみ ping が失敗する場合、必要な MTU が許可されるようにファイアウォールが設定されていることを確認します。

  • VPN コンセントレータの IP アドレスに traceroute を 実行してから、ロードを指定した ping を各ルートに実行し、問題の原因を特定します。

  • Don't Fragment(DF; フラグメントなし)ビットが、サーバ、ネットワーク、または IP Phone VPN トンネルに設定されないことを確認します。

Cisco VXC VPN の設定


(注)  


Cisco VXC クライアントでは、何も設定しなくても VPN がサポートされます。 すべての VPN 設定は、電話機に対してのみ行います。


手順
    ステップ 1   Cisco VXC VPN 機能を設定するには、Cisco Unified Communications Manager の管理ページで接続された IP Phone に VPN 機能をセットアップします。 [拡張機能(Advanced Features)] > [VPN]のサブメニューを使用します。
    ステップ 2   Cisco VXC VPN 機能を有効にするには、次のいずれかの設定ウィンドウを使用して、[MAC 用の VXC VPN を有効にする(Enable VXC VPN for MAC] フィールドに入力します。
    • [電話の設定(Phone Configuration)] ウィンドウ([デバイス(Device)] > [電話(Phone)]

    • [共通の電話プロファイルの設定(Common Phone Profile Configuration)]([デバイス(Device)] > [デバイスの設定(Device Settings)] > [共通の電話プロファイル(Common Phone Profile)]

    • [エンタープライズ電話の設定(Enterprise Phone Configuration)] ウィンドウ([システム(System)] > [エンタープライズ電話の設定(Enterprise Phone Configuration)]


    Cisco VXC VPN の説明

    次の表に、Cisco VXC VPN のフィールドを示します。

    表 1 Cisco VXC VPN のフィールド
    パラメータ名 パラメータの説明(Parameter Description)

    MAC 用の VXC VPN を有効にする(Enable VXC VPN for MAC)

    このフィールドは、Cisco VXC VPN 機能を有効または無効にします。 このフィールドに入力すると、電話機は指定された MAC アドレスを持つデバイスからのトラフィックを許可し、電話機の PC ポートに接続してトンネルにアクセスします。

    • このフィールドが空白の場合、電話機は Cisco VXC VPN トンネルを確立しません。

    • このフィールドが 1 つのブロードキャスト MAC アドレス(FFFFFFFFFFFF)を指定すると、電話機は Cisco VXC VPN トンネルを確立し、接続された Cisco VXC 2111/2112 デバイスによるトンネルへのアクセスを許可します。

    • このフィールドが 1 つの非ブロードキャスト MAC アドレスを指定する場合、電話機は Cisco VXC VPN トンネルを確立し、指定された MAC アドレスを持つ Cisco VXC デバイスによるトンネルへのアクセスだけを許可します。

    デフォルトでは、このフィールドは空白になります。

    VXC VPN オプション(VXC VPN Option)

    このフィールドは VXC VPN サポートのタイプを示します。

    • デュアル トンネル:電話機は、電話機に 1 つ、Cisco VXC デバイスに 1 つの、2 つの VPN トンネルを確立します。

      電話機の音声およびビデオ サービスに最高品質のサービスを確保するために、デフォルト設定であるデュアル トンネル設定を推奨します。 2 つの VPN トンネルを使用すると、ホストの Cisco Unified IP Phone で、Cisco VXC VPN トンネルに関連付けるデータよりも、電話の音声およびビデオ機能に関連付けるデータに、CPU とメモリ リソースを優先させることができます。 このアプローチでは、セキュリティ パラメータによって、1 つを電話の VPN、もう 1 つを Cisco VXC VPN の、2 つの手動ログイン エントリが必要になります。 2 つのトンネルのアプローチでは、2 つの VPN コンセントレータ ポートと 2 つの IP アドレスも必要になります。

    • シングル トンネル:電話機は、電話機と Cisco VXC デバイスで共有する 1 つの VPN トンネルのみを確立します。

      潜在的な音声とビデオの品質を、簡素化された運用モデルと交換することを希望する場合、シングル VPN トンネルのオプションが使用可能です。 音声、ビデオ、Cisco VXC サービス全体で使用可能な電話プロセッサとメモリ リソースを共有することにより、すべてのデータはシングル VPN トンネルを通過します。 IP phone は、1 つのサービスがもう 1 つのサービスより優先順位が付けられるデータ処理は行いません。 その結果、IP phone の CPU ロードにより、IP phone の音声とビデオ メディア処理および UI 機能のパフォーマンスが低下する場合があります。

    デフォルト:デュアル トンネル

    VXC チャレンジ(VXC Challenge)

    このフィールドは、Cisco VXC VPN のパスワード入力をユーザにチャレンジするかどうかを示します。

    1. チャレンジ:電話機は、Cisco VXC VPN を有効にするパスワードをユーザにチャレンジします。

    2. チャレンジなし:電話機は、Cisco VXC VPN を有効にするパスワードをユーザにチャレンジしません。

    デフォルト:チャレンジ

    (注)     

    電話機が証明書だけを認証に使用する場合は、[サインイン(Sign in)] ウィンドウは表示されません。

    VXC-M サーバ(VXC-M Server)

    このフィールドは、各エントリがカンマで区切られた Cisco VXC Manager サーバの IP アドレスのリストを示します。

    最大長:255(文字長)

    デフォルト:空白

    (注)     

    VXC-M サーバは、VXC-M サーバおよびリポジトリ サーバを含む(存在する場合)IP アドレス リストです。 電話機は、この文字列の最初の IP アドレスを VXC-M サーバとして見なし、この情報を VXC デバイスに提供します。 したがって、VXC-M サーバを設定した後、VXC-M サーバの IP アドレスがリポジトリ サーバの IP アドレスの前に配置されていることを確認します。

    次の表に、[VXC VPN オプション(VXC VPN Option)] と [チャレンジ(Challenge)] フィールドの設定が Cisco VXC VPN 機能の動作をどのように変更するかについて説明します。

    表 2 VXC VPN オプションとチャレンジ設定で決定した Cisco VXC VPN 動作

    VXC VPN オプションの設定

    VXC チャレンジの設定

    VXC VPN 機能を有効にした後の結果(Cisco VXC が電話機に接続された状態)

    デュアル トンネル(デフォルト)

    チャレンジ(デフォルト)

    電話機に、パスワードを入力するようユーザに促す [VXC VPN ログイン(VXC VPN Sign In)] ウィンドウが表示されます。 ワンタイム パスワードが VPN コンセントレータに設定されている場合(つまり、トンネルを再認証するには新しいパスワードが常に必要になります)、電話の VPN トンネルに使用されたパスワードとは異なる Cisco VXC VPN のパスワードを入力する必要があります。

    デュアル トンネル(デフォルト)

    チャレンジなし

    電話機は、Cisco VXC VPN トンネルの電話の VPN クレデンシャルを再利用しようとします。 VPN コンセントレータにワンタイム パスワードが設定されている場合、試行は失敗し、電話の VPN パスワードとは異なるパスワードを入力するようユーザに促す [VXC VPN ログイン(VXC VPN Sign In)] ウィンドウが電話機に表示されることに注意してください。

    シングルトンネル

    課題

    電話機は電話の VPN トンネルを切断し、次に、パスワードを入力するようユーザに促す [電話の VPN ログイン(Phone VPN Sign In)] ウィンドウを表示して、電話の VPN トンネルを再確立します。 ユーザがアクティブ コール中の場合、電話機はコールが終了してからトンネルをティアダウンします。

    シングルトンネル

    チャレンジなし

    Cisco VXC トラフィックはチャレンジなしで電話の VPN を移動するサイレント権限を受け取ります。

    次の表に、機能がすでに有効になっている場合に、VXC VPN オプションの設定変更が VXC VPN 機能の動作をどのように変更するかについて説明します。

    表 3 VXC VPN オプションの変更によって決定される Cisco VXC VPN 動作

    VXC VPN アクション

    結果

    デュアル トンネルからシングル トンネルへの変更

    電話機は VXC VPN トンネルを切断し、電話の VPN トンネルをそのまま残します。

    Cisco VXC トラフィックは電話の VPN トンネルに移動する権限を受け取ります。

    シングル トンネルからデュアル トンネルへの変更

    電話機は、[VXC チャレンジ(VXC Challenge)] フィールドを考慮せずに Cisco VXC VPN トンネルの電話の VPN クレデンシャルをサイレント モードで再利用しようとします。

    VPN コンセントレータがワンタイム パスワードに設定されている場合、この試行は失敗し、電話機にユーザを別のパスワードを入力するように促す [VXC VPN ログイン(VXC VPN Sign In)] ウィンドウが表示されます。

    Cisco VXC VPN の制限事項および制約事項

    次の制限事項および制約事項が適用されます。

    • レイヤ 3 パケットだけがトンネリングされします。 Cisco VXC VPN 機能は、レイヤ 2 トンネリングをサポートしません。 したがって、Cisco VXC を VPN 経由で接続している場合、レイヤ 2 機能は失われます。

    • VPN クライアントは IPv4 アドレスだけをサポートします。

    • Cisco VXC VPN トンネルは Wi-Fi インターフェイス経由では確立できません。

    • [MAC 用の VXC VPN を有効にする(Enable VXC VPN for MAC)] オプションは、VPN グループおよび VPN プロファイルを含む、電話の VPN パラメータを設定した後にのみ設定できます。 この制限は、Cisco VXC VPN が電話の VPN と同じ VPN パラメータを共有できるために適用されます。

    • 電話の VPN に適用されるすべての既存の制限事項は、Cisco VXC VPN にも適用されます。


    (注)  


    9.2(3) 以前のロードにダウングレードする前に VPN をオンにすると、電話機は登録解除されます。