Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Ce document décrit comment configurer des téléphones IP sur un VPN SSL (Secure Sockets Layer VPN), également appelé WebVPN. Deux Cisco Unified Communications Manager (CallManager) et trois types de certificats sont utilisés avec cette solution. Les CallManager sont les suivants :
Les types de certificat sont les suivants :
Le concept clé à comprendre est que, une fois la configuration sur la passerelle VPN SSL et CallManager terminée, vous devez joindre localement les téléphones IP. Cela permet aux téléphones de rejoindre le CUCM et d'utiliser les informations et certificats VPN corrects. Si les téléphones ne sont pas connectés localement, ils ne trouvent pas la passerelle VPN SSL et ne disposent pas des certificats appropriés pour effectuer la connexion VPN SSL.
Les configurations les plus courantes sont CUCM/Unified CME avec certificats auto-signés ASA et certificats auto-signés Cisco IOS. Par conséquent, ils sont les plus faciles à configurer.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La configuration VPN SSL ASA de base est décrite dans ces documents :
Une fois cette configuration terminée, un PC de test distant doit pouvoir se connecter à la passerelle VPN SSL, se connecter via AnyConnect et envoyer une requête ping au CUCM. Assurez-vous que l'ASA dispose d'une licence AnyConnect pour téléphone IP Cisco. (Utilisez la commande show ver.) Les ports TCP et UDP 443 doivent être ouverts entre la passerelle et le client.
Référez-vous à VPN SSL de téléphone IP vers ASA utilisant AnyConnect pour plus d'informations.
L'ASA doit disposer d'une licence pour AnyConnect pour le téléphone VPN Cisco. Après avoir configuré le VPN SSL, vous configurez ensuite CUCM pour le VPN.
ciscoasa(config)# crypto ca export trustpoint name identity-certificateCette commande affiche un certificat d'identité codé en pem sur le terminal.
ciscoasa(config)# crypto ca trustpoint certificate-name
ciscoasa(config-ca-trustpoint)# enrollment terminal
ciscoasa(config)# crypto ca authenticate certificate-name
ciscoasa# configure terminal
ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone
enable
ciscoasa(config-tunnel-webvpn)# exit
Cette configuration est très similaire à la configuration décrite dans CUCM : Section Configuration de ASA SSLVPN avec certificats auto-signés, sauf que vous utilisez des certificats tiers. Configurez le VPN SSL sur l'ASA avec des certificats tiers comme décrit dans l'exemple de configuration d'ASA 8.x Installer manuellement des certificats de fournisseurs tiers pour une utilisation avec WebVPN.
La configuration VPN SSL de base de Cisco IOS est décrite dans ces documents :
Une fois cette configuration terminée, un PC de test distant doit pouvoir se connecter à la passerelle VPN SSL, se connecter via AnyConnect et envoyer une requête ping au CUCM. Dans Cisco IOS 15.0 et versions ultérieures, vous devez disposer d'une licence VPN SSL valide pour effectuer cette tâche. Les ports TCP et UDP 443 doivent être ouverts entre la passerelle et le client.
Cette configuration est similaire à la configuration décrite dans CUCM : Configuration ASA SSLVPN avec certificats tiers et CUCM : Sections de configuration ASA SSLVPN avec certificats auto-signés. Les différences sont les suivantes :
R1(config)# crypto pki export trustpoint-name pem terminal
R1(config)# crypto pki trustpoint certificate-name
R1(config-ca-trustpoint)# enrollment terminal
R1(config)# crypto ca authenticate certificate-name
La configuration de contexte WebVPN doit afficher le texte suivant :
gateway webvpn_gateway domain VPNPhone
Configurez CUCM comme décrit dans CUCM : Section Configuration de ASA SSLVPN avec certificats auto-signés.
Cette configuration est similaire à la configuration décrite dans CUCM : Section Configuration de ASA SSLVPN avec certificats auto-signés. Configurez votre WebVPN avec un certificat tiers.
La configuration de Unified CME est similaire aux configurations de CUCM ; par exemple, les configurations des points de terminaison WebVPN sont identiques. La seule différence significative est la configuration de l'agent d'appel Unified CME. Configurez le groupe VPN et la stratégie VPN pour Unified CME comme décrit dans Configuration du client VPN SSL pour les téléphones IP SCCP.
Afin d'exporter les certificats à partir de la passerelle WebVPN, référez-vous à la section ASA/routeur. Si vous utilisez un certificat tiers, vous devez inclure la chaîne de certificats complète. Afin d'importer les certificats dans Unified CME, utilisez la même méthode que celle utilisée pour importer les certificats dans un routeur :
CME(config)# crypto pki trustpoint certificate-name
CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name
Le modèle de téléphone IP UC 520 de la gamme Cisco Unified Communications 500 est très différent des configurations CUCM et CME.
Aucune procédure de vérification n'est disponible pour cette configuration.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
19-Dec-2013 |
Première publication |