概要
このドキュメントでは、クラスタ内のCisco Unified Communications Manager(CUCM)ノード間でIPSec接続を確立する方法について説明します。
注:デフォルトでは、CUCMノード間のIPsec接続は無効になっています。
前提条件
要件
CUCMに関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、CUCMバージョン10.5(1)に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
設定
このセクションで説明されている情報を使用して、CUCMを設定し、クラスタ内のノード間でIPSec接続を確立します。
設定の概要
次に、この手順に含まれる手順を示します。各手順については、以降のセクションで詳しく説明します。
- ノード間のIPSec接続を確認します。
- IPSec証明書を確認します。
- サブスクライバノードからIPsecルート証明書をダウンロードします。
- サブスクライバノードからパブリッシャノードにIPsecルート証明書をアップロードします。
- IPsecポリシーを設定します。
IPSec接続の確認
ノード間のIPSec接続を確認するには、次の手順を実行します。
- CUCMサーバの[Operating System (OS) Administration]ページにログインします。
- [Services] > [Ping] に移動します。
- リモートノードのIPアドレスを指定します。
- [Validate IPsec] チェックボックスをオンにして、[Ping] をクリックします。
IPSec接続がない場合は、次のような結果が表示されます。
IPsec証明書の確認
IPSec証明書を確認するには、次の手順を実行します。
- [OS Administration]ページにログインします。
- [Security] > [Certificate Management] に移動します。
- IPsec証明書を検索します(パブリッシャノードとサブスクライバノードに別々にログインします)。
注:通常、サブスクライバノードのIPsec証明書はパブリッシャノードからは表示できません。ただし、パブリッシャノードのIPsec証明書は、すべてのサブスクライバノードでIPsec-Trust証明書として表示されます。
IPSec接続を有効にするには、一方のノードのIPSec証明書を他方のノードのipsec-trust証明書として設定する必要があります。
サブスクライバからのIPsecルート証明書のダウンロード
サブスクライバノードからIPsecルート証明書をダウンロードするには、次の手順を実行します。
- サブスクライバノードの[OS Administration]ページにログインします。
- [Security] > [Certificate Management] に移動します。
- IPSecルート証明書を開き、.pem形式でダウンロードします。
サブスクライバからパブリッシャへのIPsecルート証明書のアップロード
サブスクライバノードからパブリッシャノードにIPsecルート証明書をアップロードするには、次の手順を実行します。
- パブリッシャノードの[OS Administration]ページにログインします。
- [Security] > [Certificate Management] に移動します。
- [Upload Certificate/Certificate chain] をクリックし、サブスクライバノードIPsecルート証明書をipsec-trust証明書としてアップロードします。
- 証明書をアップロードした後、サブスクライバノードIPsecルート証明書が次のように表示されることを確認します。
注:クラスタ内の複数のノード間でIPsec接続を有効にする必要がある場合は、これらのノードのIPsecルート証明書もダウンロードし、同じ手順でパブリッシャノードにアップロードする必要があります。
IPSecポリシーの設定
IPSecポリシーを設定するには、次の手順を実行します。
- パブリッシャとサブスクライバノードのOS Administrationページに個別にログインします。
- [Security] > [IPSEC Configuration] に移動します。
- IPと証明書の詳細を設定するには、次の情報を使用します。
*****
PUBLISHER : 10.106.122.155 & cucm912pub.pem
SUBSCRIBER: 10.106.122.15 & cucm10sub.pem
*****
確認
次の手順を実行して、設定が機能していること、およびノード間のIPSec接続が確立されていることを確認します。
- CUCMサーバのOS Administrationにログインします。
- [Services] > [Ping] に移動します。
- リモートノードのIPアドレスを指定します。
- [Validate IPsec] チェックボックスをオンにして、[Ping] をクリックします。
IPSec接続が確立されると、次のようなメッセージが表示されます。
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
関連情報