導入とプロビジョニング

展開とプロビジョニングの概要

Cisco ATA 191 および 192 アナログ電話アダプタ (ATA) は、VoIP サービス プロバイダーによる家庭および中小企業の顧客への大量導入を目的としています。 ビジネスまたはエンタープライズ環境では、これらの ATA はターミナル ノードとして機能できます。 これらのデバイスはインターネット上に広く分散されており、顧客構内のルーターやファイアウォールを介して接続されています。

ATA は、サービス プロバイダーのバックエンド機器のリモート拡張機能として使用できます。 リモート管理と構成により、顧客構内の IP テレフォニー デバイスの適切な動作が保証されます。

このカスタマイズされた継続的な構成は、次の機能によってサポートされています。

  • エンドポイントの信頼性の高いリモート制御

  • エンドポイントを制御する通信の暗号化

  • 簡素化されたエンドポイントアカウントバインディング

電話機は、設定プロファイルまたは更新されたファームウェアをリモート サーバーからダウンロードするようにプロビジョニングできます。 ダウンロードは、電話機がネットワークに接続されたとき、電源が投入されたとき、および設定された間隔で実行できます。 プロビジョニングは通常、サービス プロバイダーに共通する大容量の Voice-over-IP (VoIP) 展開の一部です。 構成プロファイルまたは更新されたファームウェアは、TFTP、HTTP、または HTTPS を使用してデバイスに転送されます。

電話のプロビジョニング プロセスの概要は次のとおりです。
  1. 電話機がまだ設定されていない場合は、プロビジョニング サーバーの情報が次のいずれかのオプションを通じて電話機に適用されます。

    1. HTTPS 経由で Cisco EDOS RC サーバーからダウンロードされました。

    2. ローカル DHCP サーバーからクエリされます。

    3. Cisco 電話の Web ベースの設定ユーティリティから入力します。

  2. 電話機は、プロビジョニング サーバー情報を使用して、HTTPS、HTTP、または TFTP 経由で構成 XML をダウンロードして適用します。

  3. 電話機は、必要に応じて、HTTPS、HTTP、または TFTP 経由で更新されたファームウェアをダウンロードして適用します。

  4. VOIP サービスは、指定された構成とファームウェアを使用して確立されます。

このドキュメントでは、「電話」および「デバイス」という用語は ATA を意味します。

展開

これらの ATA は、次の 2 つの展開モデルに基づいて、プロビジョニングのための便利なメカニズムを提供します。

  • 一括配布:サービス プロバイダーはこれらの ATA を大量に取得し、社内で事前プロビジョニングするか、シスコから RC ユニットを購入します。 デバイスは、VoIP サービス契約の一部として顧客に提供されます。

  • 小売販売 - 顧客は小売店から ATA を購入し、サービス プロバイダーに VoIP サービスを要求します。 サービス プロバイダーは、デバイスの安全なリモート設定をサポートする必要があります。

バルク配布

このモデルでは、サービス プロバイダーが、VoIP サービス契約の一部として顧客に電話機を提供します。 デバイスは RC ユニットであるか、社内で事前プロビジョニングされています。

シスコでは RC ユニットを事前プロビジョニングして、デバイス プロファイルとファームウェアのアップデートをダウンロードするシスコ サーバーと再同期します。

サービス プロバイダーは、次のようなさまざまな方法で、再同期を制御するパラメータを含む、目的のパラメータを使用して電話機を事前プロビジョニングできます。

  • 社内で DHCP および TFTP を使用する

  • リモートで TFTP、HTTP、または HTTPS を使用する

  • 社内およびリモート プロビジョニングを組み合わせる

小売配布

小売配布モデルでは、顧客が電話機を購入し、特定のサービスに加入します。 インターネット電話サービス プロバイダー(ITSP)は、プロビジョニング サーバーを設定および保守し、サービス プロバイダーのサーバーと再同期するよう電話機を事前プロビジョニングします。

図 1. 小売配布

顧客はサービスにサインオンして、可能であればオンライン ポータル経由で VoIP アカウントを確立し、割り当てられたサービス アカウントにデバイスをバインドします。 プロビジョニングされていない電話機は、resync URL コマンドを通じて特定のプロビジョニング サーバーと再同期するよう指定されます。

次の例では、DHCP で割り当てられた IP アドレス 192.168.1.102 のデバイスが、SuperVoIP サービスに対して自身をプロビジョニングするよう指定されています。


http://192.168.1.102/admin/resync?https://prov.supervoip.com/cisco-init/ata.cfg

最初のアクセスと恒常的なアクセスどちらの場合にも、プロビジョニング サーバーは、認証に電話機のクライアント証明書を使用します。 プロビジョニング サーバーは、関連付けられたサービス アカウントに基づく適切な設定パラメータの値を指定します。

デバイスの電源が投入されるか、指定された時間が経過すると、電話は再同期し、最新のパラメータをダウンロードします。 これらのパラメータでは、ハント グループの設定、短縮ダイヤル番号の設定、ユーザーが変更できる機能の制限などの目標に対処できます。

再同期プロセス

各電話機のファームウェアには、新しい設定パラメータの値を受け入れる管理 Web サーバーが含まれています。 電話機は、デバイス プロファイルの resync URL コマンドによって、指定されたプロビジョニング サーバーでのリブート後、またはスケジュールされた間隔で設定を再同期するよう指定されている場合があります。

デフォルトでは、Web サーバーは有効化されています。 Web サーバーを無効または有効にするには、resync URL コマンドを使用します。

必要に応じて、「resync」アクション URL 経由で即時再同期を要求することができます。 

http://192.168.1.102/admin/resync?https://prov.supervoip.com/cisco-init/ata.cfg

この例では、DHCP で割り当てられた IP アドレス 192.168.1.102 のデバイスが、prov.supervoip.com の SuperVoIP サービスに対して自身をプロビジョニングするよう指定されています。 新しいアカウントのカスタマー ID 番号は 1234abcd です。 リモート プロビジョニング サーバーは、URL およびカスタマー ID に基づいて、再同期要求を実行している電話機をアカウントに関連付けます。

この初期の再同期操作で、電話機はシングル ステップで設定されます。 電話は、まず再同期に、その後サーバー上の恒常的な URL へと自動的に送信されます。

最初のアクセスと恒常的なアクセスどちらの場合にも、プロビジョニング サーバーは、認証にクライアント証明書を使用します。 サーバーは、関連付けられたサービス アカウントに基づいて設定パラメータの値を指定します。

プロビジョニング

リモート プロファイルに合わせて、電話機の内部の構成状態を定期的に、および電源投入時に、再同期するよう電話機を設定できます。 電話機は通常のプロビジョニング サーバー(NPS)または Access Control Server(ACS)に接続します。

デフォルトでは、プロファイルの再同期は電話機がアイドル状態のときにのみ実行されます。 この方法では、ソフトウェアのリブートがトリガーされたり、通話が中断されたりするアップグレードが回避されます。 以前のリリースから現在のアップグレード状態に到達するために中間のアップグレードが必要になった場合、アップグレード ロジックは、マルチステージ アップグレードを自動化できます。

通常のプロビジョニング サーバー

通常のプロビジョニング サーバー(NPS)には、TFTP、HTTP、または HTTPS サーバーを使用できます。 リモート ファームウェアのアップグレードは、ファームウェアに機密情報が含まれていないため、TFTP または HTTP、あるいは HTTPS を使用して実現されます。

HTTPS が推奨されますが、NPS との通信では、共有秘密キーを使用して更新されたプロファイルを暗号化できるため、セキュア プロトコルを使用する必要はありません。 HTTPS の利用の詳細については、通信の暗号化を参照してください。 安全な初回のプロビジョニングは、SSL 機能を使用するメカニズムを通じて提供されます。 プロビジョニングされていない電話機は、そのデバイスを対象にした 256 ビットの対称キーで暗号化されたプロファイルを受信できます。

TR-069

デジタル加入者線 (DSL) フォーラム TR-069、CPE WAN 管理プロトコル (CWMP) は、顧客構内設備 (CPE) デバイスと自動構成サーバー (ACS) 間の通信に使用されます。 TR-069 エージェントは、自動構成と動的なサービス プロビジョニング、ソフトウェア イメージ管理、ステータスとパフォーマンスの監視、および診断を主な機能として、CPE デバイスのコレクションを管理します。

次のような複数のシナリオをサポートします。

  • デバイス管理 - 管理者を認証し、コマンドを承認し、監査証跡を提供します

  • リモートアクセス - VPN やその他のリモートネットワークアクセスデバイスと連携してアクセスポリシーを適用します。

  • ネットワークアドミッション制御:ポスチャサーバーおよび監査サーバーと通信してアドミッション制御ポリシーを適用します。

TR-069 エージェント CPE デバイスを TR-069 用に設定し、有効にする必要があります。 TR-069 エージェントを有効にするには、CPE との通信に使用される ACS が TR-069 に準拠している必要があります。

プロビジョニング状態

プロビジョニング プロセスには、次のプロビジョニング状態が含まれます。

都道府県(State)

説明

MFG-RESET 製造リセット

デバイスは完全にプロビジョニングされていない状態に戻り、構成可能なすべてのパラメータはデフォルト値に戻ります。

工場出荷時設定へのリセットは、次の方法で実行できます。

  • IVR シーケンスを通じて ****73738#1#

  • ATA のリセット ボタンを押します。

  • Web インターフェイスを使用して、ATA を工場出荷時の設定にリセットします。

IVR をサポートしていない電話機の場合は、リセットボタンまたは LCD 工場出荷時の状態へのリセットエントリを押してデフォルト値にリセットします。

エンド ユーザーが工場出荷時の状態にリセットできるようにすることで、デバイスを常にアクセス可能な状態に戻すことができるようになります。

SP-CUST サービスプロバイダーのカスタマイズ

Profile_Rule パラメータは、サービス プロバイダーに固有のプロビジョニング サーバーを使用して、デバイス固有の構成プロファイルを指します。 再同期を開始する方法は次のとおりです。

  • ローカル DHCP サーバーによる自動構成。 TFTP サーバー名または IPv4 アドレスは DHCP によって指定されます。 TFTP サーバーは、構成ファイルに Profile_Rule パラメータを含めます。

  • 再同期 URL を入力します。 URL は Web ブラウザを起動し、URL 構文 http://x.x.x.x/admin/resync?tftp://prvserv/device.cfg を入力して特定の TFTP サーバーへの再同期を要求します。ここで、

    • x.x.x.x は IP テレフォニーデバイスの IP アドレスです。

    • prvserv はターゲット TFTP サーバーです。

    • device.cfg は、サーバー上の構成ファイルの名前です。

  • Web インターフェイスのプロビジョニング ペインを開き、Profile_Rule パラメータに TFTP URL を入力して、Profile_Rule パラメータを編集します。 たとえば、 tftp://prserv/spa112.cfg です。

  • 設定ファイル Profile_Rule を変更し、特定の TFTP サーバーに接続して、MAC アドレスで識別される設定ファイルを要求します。 たとえば、次のエントリはプロビジョニングサーバーに接続し、$MA パラメータで識別される MAC アドレスを持つデバイスに固有のプロファイルを要求します。

    プロファイル_ルール tftp.callme.com/profile/$MA/spa112.cfg;

SEC-PRV-1 セキュアプロビジョニング - 初期構成

SPC --target オプションを使用して CFG ファイルをコンパイルすることにより、デバイス固有の初期の CFG ファイルが IP テレフォニー デバイスを対象に設定されます。 これにより、キーの交換を必要としない暗号化が実現します。

デバイス固有の初期の CFG ファイルは、256 ビットの暗号化キーをプログラムし、ランダムに生成された TFTP ディレクトリを指すことで、より強力な暗号化を有効にするようにデバイス プロファイルを再構成します。 たとえば、CFG ファイルには次のような内容が含まれます。

Profile_Rule [--key $A] tftp.callme.com/profile/$B/spa112.cfg;
GPP_A 8e4ca259…; # 256 bit key
GPP_B Gp3sqLn…; # random CFG file path directory

SEC-PRV-2 セキュアプロビジョニング - フル構成

初期 SECPRV-1 プロビジョニング後のプロファイル再同期操作では、IP テレフォニー デバイスをプロビジョニング サーバーに同期された状態に維持する 256 ビット暗号化 CFG ファイルを取得します。

プロファイル パラメータは、この強力に暗号化されたプロファイルを通じて再構成され、維持されます。 SEC-PRV-2 構成の暗号化キーとランダム ディレクトリの場所は、セキュリティ強化のために定期的に変更できます。

設定のアクセス制御

電話機のファームウェアには、一部のパラメータへのエンドユーザー アクセスを制限する機能があります。 ファームウェアは、管理者アカウントまたはユーザー アカウントにサインインするための特定の権限を提供します。 それぞれをパスワードで保護することができます。

  • 管理者アカウント:サービス プロバイダーにすべての管理 Web サーバー パラメータへのフル アクセスを許可します。

  • ユーザー アカウント:ユーザーは管理 Web サーバー パラメータのサブセットを設定することができます。

サービス プロバイダーは、次の方法でプロビジョニング プロファイル内のユーザー アカウントを制限することができます。

  • 構成を作成するときに、ユーザー アカウントが利用できる設定パラメータを指定します。

  • 管理 Web サーバーへのユーザー アクセスを無効にします。

  • 再同期、アップグレード、回線1に対する SIP登録を目的として、デバイスからアクセスできるインターネット ドメインを制限します。

通信の暗号化

デバイスに送信される設定パラメータには、認証コード、または不正なアクセスからシステムを保護するその他の情報を含めることができます。 サービス プロバイダーの関心事は、不正な顧客のアクティビティを防ぐことです。 顧客の関心事は、アカウントの不正使用を防ぐことです。 サービス プロバイダーは、管理 Web サーバーへのアクセス制限に加え、プロビジョニング サーバーとデバイス間の設定プロファイルの通信を暗号化できます。

追加情報

関連資料

関連情報を入手するには、以下のセクションを参照してください。

ネットワーク輻輳時の電話機の挙動

ネットワークパフォーマンスの低下の原因となるものは、電話の音声に影響を及ぼすため、場合によっては、通話が中断される可能性があります。 ネットワーク パフォーマンスの低下は、次のような原因が考えられます。

  • 内部ポート スキャンやセキュリティ スキャンなどの管理タスク。

  • サービス拒否攻撃など、ネットワーク上で発生した攻撃。

通信、サービス、およびその他の情報

  • Cisco からタイムリーな関連情報を受け取るには、Cisco Profile Manager でサインアップしてください。

  • 重要な技術によりビジネス成果を得るには、Cisco サービスにアクセスしてください。

  • サービス要求を送信するには、Cisco サポートにアクセスしてください。

  • 安全で検証済みのエンタープライズクラスのアプリケーション、製品、ソリューション、およびサービスを探して参照するには、Cisco DevNet にアクセスしてください。

  • 一般的なネットワーク、トレーニング、認定関連の出版物を入手するには、Cisco Press にアクセスしてください。

  • 特定の製品または製品ファミリの保証情報を探すには、Cisco Warranty Finder にアクセスしてください。