この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified IP Phone 向け Cisco VPN Client により、在宅勤務の従業員のためのセキュアな VPN 接続が実現します。Cisco VPN Client の設定はすべて [Cisco Unified CM の管理(Cisco Unified CM Administration)] で設定します。社内で電話を設定したら、ユーザはその電話をブロードバンド ルータにつなぐだけで瞬時に組織のネットワークに接続できます。
(注) | VPN メニューとそのオプションは、米国無制限輸出対象バージョンの Cisco Unified Communications Manager では利用できません。 |
電話を事前にプロビジョニングし、社内ネットワーク内で初期接続を確立して電話の設定を取得します。設定はすでに電話に取り込まれているため、これ以降は VPN を使用して接続を確立できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Cisco IOS の前提条件の完了 | Cisco IOS の前提条件を満たします。Cisco IOS VPN を設定するには、このアクションを実行します。 |
ステップ 2 | IP フォンをサポートするための Cisco IOS SSL VPN の設定 | IP Phone で VPN クライアントの Cisco IOS を設定します。Cisco IOS VPN を設定するには、このアクションを実行します。 |
ステップ 3 | AnyConnect 用の ASA 前提条件の充足 | AnyConnect の ASA 前提条件を満たします。ASA VPN を設定するには、このアクションを実行します。 |
ステップ 4 | IP Phone での VPN クライアント用の ASA の設定 | IP Phone で VPN クライアントの ASA を設定します。ASA VPN を設定するには、このアクションを実行します。 |
ステップ 5 | VPN ゲートウェイごとに VPN コンセントレータを設定します。 |
ユーザがリモート電話のファームウェアや設定情報をアップグレードする際は、長い遅延を回避するため、ネットワーク内で TFTP サーバまたは Cisco Unified Communications Manager サーバの近くで VPN コンセントレータをセットアップします。これがネットワーク内で不可能な場合、代替 TFTP サーバまたはロード サーバを VPN コンセントレータの横にセットアップすることもできます。 |
ステップ 6 | VPN コンセントレータの証明書のアップロード | VPN コンセントレータの証明書をアップロードします。 |
ステップ 7 | VPN ゲートウェイの設定 | VPN ゲートウェイを設定します。 |
ステップ 8 | VPN グループの設定 | VPN グループを作成した後、設定した VPN ゲートウェイのいずれかをそのグループに追加できます。 |
ステップ 9 | 次のいずれかを実行します。 | VPN プロファイルを設定する必要があるのは、複数の VPN グループを使用している場合だけです。[VPN Profile] フィールドは、[VPN Feature Configuration] フィールドよりも優先されます。 |
ステップ 10 | 共通の電話プロファイルへの VPN の詳細の追加 | 共通の電話プロファイルに VPN グループおよび VPN プロファイルを追加します。 |
ステップ 11 | Cisco Unified IP Phone のファームウェアを、VPN をサポートしているバージョンにアップグレードします。 | Cisco VPN クライアントを実行するには、サポートされている Cisco Unified IP Phone でファームウェア リリース 9.0(2) 以降が稼動している必要があります。ファームウェアのアップグレード方法の詳細については、使用している Cisco Unified IP Phone モデルの『Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
ステップ 12 | VPN をサポートしている Cisco Unified IP Phone を使用し、VPN 接続を確立します。 | Cisco Unified IP Phone を VPN に接続します。 |
VPN ゲートウェイごとに VPN コンセントレータを設定します。
ステップ 1 | ASA ソフトウェア(バージョン 8.0.4 以降)および互換性のある ASDM をインストールします。 |
ステップ 2 | 互換性のある AnyConnect パッケージをインストールします。 |
ステップ 3 | ライセンスをアクティベートします。 |
ステップ 4 | デフォルト以外の URL をもったトンネル グループが設定されていることを次のように確認してください。
tunnel-group phonevpn type remote-access tunnel-group phonevpn general-attribute address-pool vpnpool tunnel-group phonevpn webvpn-attributes group-url https://172.18.254.172/phonevpn enableデフォルト以外の URL を設定するときは、次のことを考慮してください。
|
(注) | ASA 証明書を置き換えると、Cisco Unified Communications Manager は使用できなくなります。 |
ステップ 1 | ローカル設定 | ||
ステップ 2 | Cisco Unified Communications Manager および ASA に必要な証明書を生成して登録します。
Cisco Unified Communications Manager のこれらの証明書をインポートするには、次の手順を実行します。 | ||
ステップ 3 | VPN 機能を設定します。次の項に示したサンプルの ASA 設定の概要を設定のガイドとして利用できます。
|
ASA 証明書の設定の詳細については、http://www.cisco.com/en/US/products/sw/voicesw/ps556/products_configuration_example09186a0080bef910.shtml を参照してください
VPN 機能をサポートするためにセットアップする際に、ASA で証明書を作成します。生成された証明書を PC またはワークステーションにダウンロードしてから、このセクションで説明されている手順で Cisco Unified Communications Manager にアップロードします。Cisco Unified Communications Manager は、電話と VPN 間の信頼リストの証明書を保存します。
ASA は SSL ハンドシェイク中にこの証明書を送信し、Cisco Unified IP Phone がこの証明書を電話と VPN 間の信頼リストに格納されている値と比較します。
Cisco Unified IP Phone は、製造元でインストールされる証明書(MIC)をデフォルトで送信します。認証局プロキシ機能(CAPF)サービスを設定すると、Cisco Unified IP Phone はローカルで有効な証明書(LSC)を送信します。
デバイス レベルの証明書認証を使用するには、ASA にルート MIC または認証局プロキシ機能(CAPF)をインストールして、Cisco Unified IP Phone が信頼されるようにします。
Cisco Unified Communications Manager に証明書をアップロードするには、Cisco Unified OS Administration を使用します。
ステップ 1 | [Cisco Unified OS の管理(Cisco Unified OS Administration)] から
を選択します。 [証明書の一覧(Certificate List)] ウィンドウが表示されます。 |
ステップ 2 | [証明書のアップロード] をクリックします。
[証明書のアップロード(Upload Certificate)] ダイアログボックスが表示されます。 |
ステップ 3 | [証明書目的(Certificate Purpose)] ドロップダウンリストで、[電話と VPN 間の信頼(Phone-VPN-trust)] を選択します。 |
ステップ 4 | [参照(Browse)] をクリックして、アップロードするファイルを選択します。 |
ステップ 5 | [ファイルのアップロード] をクリックします。 |
ステップ 6 | アップロードする別のファイルを選択するか、[閉じる(Close)] をクリックします。
証明書の管理の詳細については、http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.htmlの『Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
VPN ゲートウェイごとに VPN コンセントレータが設定されていることを確認します。VPN コンセントレータの設定後、VPN コンセントレータの証明書をアップロードします。詳細については、VPN コンセントレータの証明書のアップロードを参照してください。
ゲートウェイのメインの VPN コンセントレータの URL を入力します。
|
|||
↑キーと↓キーを使用して、ゲートウェイに証明書を割り当てます。ゲートウェイに証明書を割り当てないと、VPN クライアントはこのコンセントレータへの接続に失敗します。
|
[この VPN グループ内で選択されたゲートウェイ(Selected VPN Gateways in this VPN Group)] |
↑キーと↓キーを使用して、使用可能な VPN ゲートウェイをこの VPN グループの内外に移動します。 VPN クライアントで重要なエラーが発生し、特定の VPN ゲートウェイに接続できない場合は、リストの次の VPN ゲートウェイへの移動を試みます。
|
このチェックボックスをオンにすると、VPN クライアントは、社内ネットワークの外にいることを検出した場合に限り動作します。 |
|
このフィールドは、システムが VPN トンネルの作成中にログインを待つ、またはオペレーションに接続して完了するまでの時間を指定します。 |
|
このチェックボックスをオンにすると、ゲートウェイの証明書の subjectAltName または CN は、VPN クライアントが接続されている相手の URL と一致する必要があります。 |
|
このチェックボックスをオンにすると、ログインの失敗、ユーザによる手動のパスワードのクリア、電話のリセットまたは電源が切れるまで、ユーザのパスワードは電話に保存されます。 |
このフィールドは、システムがキープアライブ メッセージを送信するレートを指定します。
|
|||
このフィールドは、システムが VPN トンネルの作成中にログインを待つ、またはオペレーションに接続して完了するまでの時間を指定します。 |
|||
イネーブル パスワード永続化(Enable Password Persistence) |
True の場合、リセット ボタンまたは "**# **" がリセットに使用されると、ユーザ パスワードは電話機内に保存されます。電話機の電源が切断されたり、工場出荷時の状態にリセットすると、パスワードは保存されず電話にクレデンシャルの入力が求められます。 デフォルト:[いいえ(False)] |
||
True の場合、ゲートウェイの証明書の subjectAltName または CN が VPN クライアントが接続する URL に一致する必要があります。 |
ステップ 1 | [共通の電話プロファイルの検索と一覧表示(Find and List Common Phone Profiles)] ウィンドウが開きます。 の順に選択します。 |
ステップ 2 | 使用する検索条件を選択します。 |
ステップ 3 | [検索(Find)] をクリックします。 検索条件に一致する共通の電話プロファイルの一覧がウィンドウに表示されます。 |
ステップ 4 | VPN の詳細を追加する共通の電話プロファイルをクリックします。 [共通の電話プロファイルの設定(Find and List Common Phone Profiles)] ウィンドウが開きます。 |
ステップ 5 | [VPN 情報(VPN Information)] セクションで、適切な [VPN グループ(VPN Group)] および [VPN プロファイル(VPN Profile)] を選択します。 |
ステップ 6 | [保存(Save)] をクリックします。 |
ステップ 7 | [設定の適用(Apply Config)] をクリックします。 [設定を適用(Apply Configuration)] ウィンドウが表示されます。 |
ステップ 8 | [OK] をクリックします。 |