Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

SSLVPN con el ejemplo de configuración de los Teléfonos IP

16 Agosto 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (19 Diciembre 2013) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar los Teléfonos IP sobre Secure Sockets Layer VPN (SSLVPN), también conocido como WebVPN. Utilizan a dos encargados de las Comunicaciones unificadas de Cisco (CallManageres) y a tres tipos de Certificados con esta solución. Los CallManageres son:

  • Administrador de las Comunicaciones unificadas de Cisco (CUCM)

  • Cisco Unified Communications Manager Express (CME unificado Cisco)

Los tipos de certificado son:

  • Certificados autofirmados

  • Los Certificados de tercera persona, por ejemplo confían, Thawte, y GoDaddy

  • Certificate Authority (CA) del dispositivo de seguridad del Cisco IOS ®/Adaptive (ASA)

El concepto fundamental a entender es que, una vez la configuración en el gateway SSLVPN y el CallManager están completados, usted debe unirse a los Teléfonos IP localmente. Esto permite a los teléfonos para unirse al CUCM y para utilizar la información de VPN y los Certificados correctos. Si los teléfonos no se unen a localmente, no pueden encontrar el gateway SSLVPN y no tienen los Certificados correctos para completar el apretón de manos SSLVPN.

La mayoría de las configuraciones comunes son CUCM/Unified CME con los certificados autofirmados ASA y los certificados autofirmados del Cisco IOS. Por lo tanto, son las más fáciles de configurar.

Nota: Contribuido por Nicholas Carrieri, Guillermo Ryan Bennett, y Gualterio López, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Licencia del premio ASA.

  • Licencia del teléfono de AnyConnect VPN.

    • Para la versión 8.0.x ASA, la licencia es AnyConnect para el teléfono de Linksys.

    • Para la versión 8.2.x ASA o más adelante, la licencia es AnyConnect para el teléfono del Cisco VPN.

  • Gateway SSLVPN: ASA 8,0 o más adelante (con un AnyConnect para la licencia del teléfono del Cisco VPN), o Cisco IOS 12.4T o más adelante.

    • El Cisco IOS no se soporta 12.4T o más adelante formalmente como se documenta en la guía de configuración VPN SSL.

    • En el Cisco IOS Release 15.0(1)M, el gateway SSLVPN es una característica Seat-contada de la autorización en Cisco 880, Cisco 890, Cisco 1900, el Cisco 2900, y Cisco 3900 Plataformas. Una licencia válida se requiere para una sesión acertada SSLVPN.

  • CallManager: CUCM 8.0.1 o más adelante, o CME unificado 8,5 o más adelante.

Componentes Utilizados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Configuración básica ASA SSLVPN

La configuración básica ASA SSLVPN se describe en estos documentos:

Una vez que esta configuración es completa, una prueba remota PC debe poder conectar con el gateway SSLVPN, conecta vía AnyConnect, y hace ping el CUCM. Asegúrese que el ASA tenga un AnyConnect para la licencia del Cisco IP Phone (el comando show ver). El puerto 443 TCP y UDP debe estar abierto entre el gateway y el cliente.

Configuración básica IOS SSLVPN

precaución Precaución: Los Teléfonos IP se señalan como no soportado en IOS SSLVPN; las configuraciones están en mejor esfuerzo solamente.

La configuración básica del Cisco IOS SSLVPN se describe en estos documentos:

Una vez que esta configuración es completa, una prueba remota PC debe poder conectar con el gateway SSLVPN, conecta vía AnyConnect, y hace ping el CUCM. En el Cisco IOS 15,0 y posterior, usted debe tener una licencia válida SSLVPN de completar esta tarea. El puerto 443 TCP y UDP debe estar abierto entre el gateway y el cliente.

CUCM: ASA SSLVPN con la configuración de los certificados autofirmados

Vea el teléfono del IP SSL VPN al ASA usando AnyConnect para más información detallada.

El ASA debe tener una licencia para AnyConnect para el teléfono del Cisco VPN. Después de que usted configure el SSLVPN, usted entonces configura su CUCM para el VPN.

  1. Utilice este comando para exportar el certificado autofirmado del ASA:

    ciscoasa(config)# crypto ca export trustpoint name identity-certificate
    
    

    Este comando visualiza un certificado de identidad codificado PEM a la terminal.

  2. La copia y pega el certificado a un editor de textos, y lo salva como archivo del .pem. Esté seguro de incluir el CERTIFICADO del COMENZAR y las líneas del CERTIFICADO del EXTREMO o el certificado no importarán correctamente. No modifique el formato del certificado porque esto los problemas cuando el teléfono intenta autenticar al ASA.

  3. Navegue a Cisco unificó el Certificate Management (Administración de certificados) del > Security (Seguridad) de la administración del sistema operativo > el certificado/la Cadena de certificados de la carga para cargar el archivo de certificado a la sección de administración de certificados del CUCM.

  4. Descargue los Certificados CallManager.pem, CAPF.pem, y Cisco_Manufacturing_CA.pem de la misma área usada para cargar los certificados autofirmados del ASA (véase el paso 1), y sálvelos a su escritorio.

    1. Por ejemplo, para importar el CallManager.pem al ASA, utilice estos comandos:

      ciscoasa(config)# crypto ca trustpoint certificate-name
      
      
      ciscoasa(config-ca-trustpoint)# enrollment terminal
      
      ciscoasa(config)# crypto ca authenticate certificate-name
      
      
    2. Cuando a le indican que copie y pegue el certificado correspondiente para el trustpoint, abra el archivo que usted guardó del CUCM, después de la copia y pegue el certificado codificado en base64. Esté seguro de incluir el CERTIFICADO del COMENZAR y el CERTIFICADO del EXTREMO alinea (con los guiones).

    3. El extremo del tipo, entonces presiona la vuelta.

    4. Cuando se le pregunte para validar el certificado, teclee , entonces Presione ENTER.

    5. Relance los pasos a d para los otros dos Certificados (CAPF.pem, Cisco_Manufacturing_CA.pem) del CUCM.

  5. Configure el CUCM para las configuraciones VPN correctas, según lo descrito en CUCM IPphone VPN config.pdf.

La carga balanceada SSLVPN no se soporta para los teléfonos VPN.

Nota: El gateway de VPN configurado en el CUCM debe hacer juego el URL que se configura en el gateway de VPN. Si el gateway y el URL no hacen juego, el teléfono no puede resolver el direccionamiento, y usted no verá ninguna debugs en el gateway de VPN.

  • En el CUCM: El gateway de VPN URL es https://192.168.1.1/VPNPhone

  • En el ASA, utilice estos comandos:

    ciscoasa# configure terminal
    
    ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
    
    ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone enable
    
    ciscoasa(config-tunnel-webvpn)# exit
    
  • Usted puede utilizar estos comandos en el Administrador de dispositivos de seguridad adaptante (ASDM) o bajo perfil de la conexión.

CUCM: ASA SSLVPN con la configuración de tercera persona de los Certificados

Esta configuración es muy similar a la configuración descrita en CUCM: El ASA SSLVPN con la sección de configuración de los certificados autofirmados, salvo que usted están utilizando los Certificados de tercera persona. Configure SSLVPN en el ASA con los Certificados de tercera persona como descrito en ASA 8.x instale manualmente los Certificados del vendedor de las de otras compañías para el uso con el ejemplo de configuración del WebVPN.

Nota: Usted debe copiar la Cadena de certificados llena del ASA al CUCM e incluir todo el intermedio y certificados raíz. Si el CUCM no incluye el encadenamiento lleno, los teléfonos no tienen los Certificados necesarios a autenticar y fallarán el apretón de manos SSLVPN.

CUCM: IOS SSLVPN con la configuración de los certificados autofirmados

Esta configuración es similar a la configuración descrita en CUCM: ASA SSLVPN con la configuración de tercera persona de los Certificados y CUCM: ASA SSLVPN con las secciones de configuración de los certificados autofirmados. Las diferencias son:

  1. Utilice este comando para exportar el certificado autofirmado del router:

    R1(config)# crypto pki export trustpoint-name pem terminal
    
  2. Utilice estos comandos para importar los Certificados CUCM:

    R1(config)# crypto pki trustpoint certificate-name
    
    
    R1(config-ca-trustpoint)# enrollment terminal
    
    R1(config)# crypto ca authenticate certificate-name
    
    

La configuración del contexto del WebVPN debe mostrar este texto:

dominio webvpn_gateway VPNPhone del gateway

Configure el CUCM según lo descrito en CUCM: ASA SSLVPN con la sección de configuración de los certificados autofirmados.

CUCM: IOS SSLVPN con la configuración de tercera persona de los Certificados

Esta configuración es similar a la configuración descrita en CUCM: ASA SSLVPN con la sección de configuración de los certificados autofirmados. Configure su WebVPN con un certificado de tercera persona.

Nota: Usted debe copiar la Cadena de certificados llena del WebVPN al CUCM e incluir todo el intermedio y certificados raíz. Si el CUCM no incluye el encadenamiento lleno, los teléfonos no tienen los Certificados necesarios a autenticar y fallarán el apretón de manos SSLVPN.

CME unificado: ASA/Router SSLVPN con los certificados autofirmados/la configuración de tercera persona de los Certificados

La configuración para el CME unificado es similar a las configuraciones del CUCM; por ejemplo, las configuraciones del punto final del WebVPN son lo mismo. La única diferencia significativa es las configuraciones del agente unificado de la llamada CME. Configure el grupo VPN y la política del VPN para el CME unificado según lo descrito en configurar al cliente VPN SSL para los Teléfonos IP del SCCP.

Nota: El CME unificado soporta solamente el Skinny Call Control Protocol (SCCP) y no soporta el Session Initiation Protocol (SIP) para los teléfonos VPN.

Nota: No hay necesidad de exportar los Certificados del CME unificado al ASA o al router. Usted necesita solamente exportar los Certificados del ASA o el gateway del WebVPN del router al CME unificado.

Para exportar los Certificados del gateway del WebVPN, refiera a la sección ASA/router. Si usted está utilizando un certificado de tercera persona, usted debe incluir la Cadena de certificados llena. Para importar los Certificados al CME unificado, utilice el mismo método según lo utilizado a los Certificados de importación en un router:

CME(config)# crypto pki trustpoint certificate-name

CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name

Teléfonos IP UC 520 con la configuración SSLVPN

El teléfono del IP modelo UC 520 de las 500 Series de las Comunicaciones unificadas de Cisco es muy diferente de las configuraciones CUCM y CME.

  • Puesto que el teléfono del IP UC 520 es el CallManager y el gateway del WebVPN, no hay necesidad de configurar los Certificados entre los dos.

  • Configure el WebVPN en un router como usted normalmente con los certificados autofirmados o los Certificados de tercera persona.

  • El teléfono del IP UC 520 tiene construido en el cliente del WebVPN, y usted puede configurarlo apenas pues usted un PC normal conectaría con el WebVPN. Ingrese el gateway, entonces la Combinación de nombre de usuario/contraseña.

  • El teléfono del IP UC 520 es compatible con los teléfonos del teléfono del IP SPA 525G de la Pequeña empresa de Cisco.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 115945