Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

SSLVPN с Примером конфигурации IP-телефонов

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (19 декабря 2013) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить IP-телефоны через VPN Уровня защищенных сокетов (SSLVPN), также известный как WebVPN. Два Сisco Unified Communications Manager (CallManager) и три типа сертификатов используются с этим решением. CallManagers:

  • Сisco Unified Communications Manager (CUCM)

  • Встроенная IP телефонная станция (Cisco Unified CallManager Express) (Cisco унифицированный CME)

Типы сертификата:

  • Подписанные сертификаты

  • Сторонние сертификаты, те, которые Поручают, Thawte, и GoDaddy

  • Cisco Устройство защиты IOS®/Adaptive (ASA) центр сертификации (CA)

Ключевое понятие для общих сведений - то, что, как только конфигурация на шлюзе SSLVPN и CallManager завершена, необходимо присоединиться к IP-телефонам локально. Это включает телефоны присоединиться к CUCM и использовать корректную информацию VPN и сертификаты. Если к телефонам не присоединяются локально, они не могут найти шлюз SSLVPN и не имеют корректных сертификатов для завершения квитирования SSLVPN.

Наиболее распространенные конфигурации являются CME CUCM/Unified с подписанными сертификатами ASA и подписанными сертификатами Cisco IOS. Следовательно, их является самым простым настроить.

Примечание. Внесенный Николасом Каррьери, Уильямом Райаном Беннеттом, и Уолтером Лопесом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • ASA Premium лицензирует.

  • Лицензия Телефона VPN AnyConnect.

    • Для Выпуска 8.0.x ASA лицензия является AnyConnect для Телефона Linksys.

    • Для Выпуска 8.2.x ASA или позже, лицензия является AnyConnect для Телефона VPN Cisco.

  • SSLVPN шлюз: ASA 8.0 или позже (с AnyConnect для Лицензии Телефона VPN Cisco), или Cisco IOS 12.4T или позже.

    • Cisco IOS 12.4T или позже формально не поддерживается как задокументировано в Руководство Конфигурации VPN SSL.

    • В Cisco IOS Release 15.0 (1) М., шлюз SSLVPN является посчитанной на место функцией лицензирования на Cisco 880, Cisco 890, Cisco 1900, Cisco 2900, и платформах Cisco 3900. Действующая лицензия требуется для успешного сеанса SSLVPN.

  • Call Manager: CUCM 8.0.1 или позже, или Унифицированный CME 8.5 или позже.

Используемые компоненты

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в данном документе.

 Примечание. Используйте Средство поиска команд (только для зарегистрированных клиентов) для получения дополнительной информации по используемым в данном разделе командам.

Основной ASA конфигурация SSLVPN

Основной ASA конфигурация SSLVPN описан в этих документах:

Как только эта конфигурация завершена, удаленный тестовый ПК должен быть в состоянии соединиться со шлюзом SSLVPN, соединиться через AnyConnect, и прозвонить CUCM. Гарантируйте, что ASA имеет AnyConnect для лицензии Cisco IP Phone (команда версии показа). И TCP и порт UDP 443 должны быть открытыми между шлюзом и клиентом.

Основной IOS конфигурация SSLVPN

!--- внимание. !--- Внимание. IP-телефоны названы как не поддерживаемыми в IOS SSLVPN; конфигурации находятся в оптимальном уровне только.

Основная конфигурация средств поддержки SSL VPN в Cisco ISO описана в этих документах:

Как только эта конфигурация завершена, удаленный тестовый ПК должен быть в состоянии соединиться со шлюзом SSLVPN, соединиться через AnyConnect, и прозвонить CUCM. В Cisco IOS 15.0 и позже, у вас должна быть допустимая лицензия SSLVPN для выполнения этой задачи. И TCP и порт UDP 443 должны быть открытыми между шлюзом и клиентом.

CUCM: ASA SSLVPN с конфигурацией подписанных сертификатов

См. VPN SSL IP-телефона к ASA использование AnyConnect для более подробной информации.

ASA должен иметь лицензию для AnyConnect для Телефона VPN Cisco. После настройки SSLVPN вы тогда настраиваете свой CUCM для VPN.

  1. Используйте эту команду, чтобы экспортировать подписанный сертификат от ASA:

    ciscoasa(config)# crypto ca export trustpoint name identity-certificate
    
    

    Эта команда отображает закодированный сертификат идентификации pem к терминалу.

  2. Скопируйте и вставьте сертификат текстовому редактору, и сохраните его как файл.pem. Обязательно включайте НАЧАТЬ СЕРТИФИКАТ и КОНЕЧНЫЕ линии СЕРТИФИКАТА, или сертификат не будет импортировать правильно. Не модифицируйте формат сертификата, потому что это будет проблемы, когда телефон попытается подтвердить подлинность к ASA.

  3. Переместитесь к Cisco, Унифицированный> Certificate Management> Security Администрирования Операционной системы> Загружает Сертификат/Цепочку сертификатов, чтобы загрузить файл сертификата в РАЗДЕЛ УПРАВЛЕНИЯ СЕРТИФИКАТАМИ CUCM.

  4. Загрузите CallManager.pem, CAPF.pem, и сертификаты Cisco_Manufacturing_CA.pem от той же области, используемой для загрузки подписанных сертификатов из ASA (см. Шаг 1), и сохраните их к рабочему столу.

    1. Например, чтобы импортировать CallManager.pem к ASA, используйте эти команды:

      ciscoasa(config)# crypto ca trustpoint certificate-name
      
      
      ciscoasa(config-ca-trustpoint)# enrollment terminal
      
      ciscoasa(config)# crypto ca authenticate certificate-name
      
      
    2. Когда вы побуждены, чтобы скопировать и вставить соответствующий сертификат для точки доверия, открыть файл, вы сохранили от CUCM, затем скопируйте и вставьте Закодированный base64 сертификат. Обязательно включайте НАЧАТЬ СЕРТИФИКАТ и КОНЕЧНЫЕ линии СЕРТИФИКАТА (с дефисами).

    3. Введите конец, тогда нажмите клавишу возврата.

    4. Когда вызвано для принятия сертификата введите да, затем нажмите Enter.

    5. Повторите шаги a в d для других двух сертификатов (CAPF.pem, Cisco_Manufacturing_CA.pem) от CUCM.

  5. Настройте CUCM для корректных конфигураций VPN, как описано в CUCM IPphone VPN config.pdf.

Распределенный нагрузку SSLVPN не поддерживается для телефонов VPN.

Примечание. Шлюз VPN, настроенный на CUCM, должен совпасть с URL, который настроен на Шлюзе VPN. Если шлюз и URL не совпадают, телефон не может решить адрес, и вы не будете видеть любые отладки на Шлюзе VPN.

  • На CUCM: URL Шлюза VPN является https://192.168.1.1/VPNPhone

  • На ASA используйте эти команды:

    ciscoasa# configure terminal
    
    ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
    
    ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone enable
    
    ciscoasa(config-tunnel-webvpn)# exit
    
  • Можно использовать эти команды на Менеджере устройств адаптивной защиты (ASDM) (ASDM) или под профилем подключения.

CUCM: ASA SSLVPN со сторонней конфигурацией сертификатов

Эта конфигурация очень подобна конфигурации, описанной в CUCM: SSLVPN ASA с Разделом конфигурации Подписанных сертификатов, за исключением того, что вы используете сторонние сертификаты. Настройте SSLVPN на ASA со сторонними сертификатами как описано в ASA 8.x, Вручную Устанавливают Сертификаты Поставщика третьей стороны для использования с Примером конфигурации WebVPN.

Примечание. Необходимо скопировать полную цепочку сертификатов от ASA до CUCM и включать все промежуточное звено и корневые сертификаты. Если CUCM не включает полную цепочку, телефоны не имеют необходимых сертификатов для аутентификации и откажут квитирование SSLVPN.

CUCM: IOS SSLVPN с конфигурацией подписанных сертификатов

Эта конфигурация подобна конфигурации, описанной в CUCM: ASA SSLVPN со Сторонней Конфигурацией Сертификатов и CUCM: ASA SSLVPN с Разделами конфигурации Подписанных сертификатов. Различия:

  1. Используйте эту команду, чтобы экспортировать подписанный сертификат от маршрутизатора:

    R1(config)# crypto pki export trustpoint-name pem terminal
    
  2. Используйте эти команды, чтобы импортировать сертификаты CUCM:

    R1(config)# crypto pki trustpoint certificate-name
    
    
    R1(config-ca-trustpoint)# enrollment terminal
    
    R1(config)# crypto ca authenticate certificate-name
    
    

Конфигурация контекста WebVPN должна показать этот текст:

шлюз webvpn_gateway домен VPNPhone

Настройте CUCM как описано в CUCM: ASA SSLVPN с Разделом конфигурации Подписанных сертификатов.

CUCM: IOS SSLVPN со сторонней конфигурацией сертификатов

Эта конфигурация подобна конфигурации, описанной в CUCM: ASA SSLVPN с Разделом конфигурации Подписанных сертификатов. Настройте свой WebVPN со сторонним сертификатом.

Примечание. Необходимо скопировать полную цепочку сертификатов WebVPN к CUCM и включать все промежуточное звено и корневые сертификаты. Если CUCM не включает полную цепочку, телефоны не имеют необходимых сертификатов для аутентификации и откажут квитирование SSLVPN.

Унифицированный CME: ASA/Маршрутизатор SSLVPN с Самоподписанной Конфигурацией Сертификатов Сертификатов/Независимого поставщика

Конфигурация для Унифицированного CME подобна конфигурациям CUCM; например, конфигурации оконечного устройства WebVPN являются тем же. Единственное существенное различие является конфигурациями Унифицированного агента вызова CME. Настройте группу VPN и политику VPN для Унифицированного CME как описано в Клиенте VPN SSL Настройки для IP-телефонов sccp.

Примечание. Унифицированный CME поддерживает только Skinny протокол управления вызовами (SCCP) и не поддерживает Session Initiation Protocol (SIP) для телефонов VPN.

Примечание. Не требуется экспортировать сертификаты от Унифицированного CME до ASA или маршрутизатора. Только необходимо экспортировать сертификаты от ASA или шлюза WebVPN маршрутизатора к Унифицированному CME.

Чтобы экспортировать сертификаты от шлюза WebVPN, обратитесь к ASA/разделу Маршрутизатор. При использовании стороннего сертификата необходимо включать полную цепочку сертификатов. Чтобы импортировать сертификаты Унифицированному CME, используйте тот же метод как использующийся к сертификатам импорта в маршрутизатор:

CME(config)# crypto pki trustpoint certificate-name

CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name

UC 520 IP-телефонов с Конфигурацией SSLVPN

Унифицированная связь Cisco 500 Моделей серии UC 520 IP-телефонов очень отличается от конфигураций CME и CUCM.

  • Начиная с UC 520 IP-телефонов являются и CallManager и шлюз WebVPN, не требуется для настройки сертификатов между двумя.

  • Настройте WebVPN на маршрутизаторе, как вы обычно были бы со сторонними сертификатами или подписанными сертификатами.

  • UC 520 IP-телефонов имеют созданный в клиенте WebVPN, и можно настроить их так же, как вы были бы обычный ПК для соединения с WebVPN. Введите шлюз, тогда сочетание имени пользователя и пароля.

  • UC 520 IP-телефонов совместим с телефонами 525 г SPA IP-телефона Cisco для малого бизнеса.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 115945