SSL VPN クライアントに関する情報
DTLS を使用した Cisco Unified CME での SSL VPN サポート
Communications Manager Express 8.6 以降のバージョンでは、企業ネットワークの外部にある 7945、7965、7975 などの Cisco Unified SCCP IP 電話を、SSL VPN 接続を介して Cisco Unified CME に登録できます。 SSL VPN 接続は、電話機と VPN ヘッドエンドの間で設定されます。 VPN ヘッドエンドは、Adaptive Secure Appliance (ASA 5500) または Datagram Transport Layer Security (DTLS) 対応の IOS SSL VPN ルータのいずれかになります Cisco Unified IP Phone と VPN ヘッドエンド(ASA および DTLS)間の VPN 接続。 ASA ヘッドエンドの VPN 機能のサポートは、Cisco Unified CME 8.5 で追加されました。 詳細については、SCCP IP 電話用 SSL VPN クライアント を参照してください。

Cisco Unified CME 8.6 は、ヘッドエンドまたはゲートウェイとして IOS SSL DTLS を使用します。 電話機と VPN ヘッドエンド間の VPN 接続を確立するには、電話機に VPN 設定パラメータを設定する必要があります。 VPN 構成パラメータには、VPN ヘッドエンド アドレス、VPN ヘッドエンド資格情報、ユーザまたは電話 ID、資格情報ポリシーが含まれます。 これらのパラメータは機密情報とみなされるため、署名された構成ファイルまたは署名および暗号化された構成ファイルを使用して安全な環境で配信する必要があります。 電話機を企業ネットワークの外部に配置する前に、電話機を企業ネットワーク内でプロビジョニングする必要があります。
電話機が信頼できる環境に「ステージング」された後、VPN ヘッドエンドを接続できる場所に電話機を展開できます。 電話機の VPN 構成パラメータによって、電話機のユーザ インターフェイスと動作が決まります。
電話またはクライアント認証
-
ユーザ名とパスワードの認証。
-
証明書ベースの認証(電話機の認証は、電話機の LSC または MIC 証明書を使用して行われます)。 証明書ベースの認証は、次の 2 つのレベルで構成されます。
-
証明書のみの認証 - 電話機の LSC のみが使用されます (ユーザは電話機でユーザ名やパスワードを入力する必要がありません)。
-
AAA または 2 要素による認証 - 電話の LSC とユーザ名とパスワードの組み合わせを使用して電話を認証します。 2 要素認証は、ユーザ名の事前入力の有無にかかわらず実行できます。 (ユーザ名が事前に入力されている場合、電話機はユーザ名を要求せず、関連するトラストポイントの設定に応じてユーザ名が選択されます。)
-
![]() (注) |
証明書認証には LSC を使用することをお勧めします。 証明書認証に MIC を使用することはお勧めしません。 また、証明書認証を行うときは、ephone を「認証済み」(暗号化されていない)セキュリティ モードで設定することをお勧めします。 証明書のみの認証と 2 要素認証の詳細については、次の場所を参照してください https://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_ssl_vpn_ps6350_TSD_Products_Configuration_Guide_Chapter.html#wp1465191。 |
Cisco Unified CME は暗号化モードで設定できますが、暗号化された SCCP 電話機ではメディア コールフローのサポートが制限されます。 認証モードで電話を使用する場合、メディア関連のコールフローの制限はありません。
SCCP IP 電話における SSL VPN クライアントのサポート
Cisco Unified CME 8.5 以降のバージョンでは、7945、7965、7975 などの SCCP IP 電話機で Secure Sockets Layer(SSL)仮想プライベート ネットワーク(VPN)がサポートされています。
Cisco Unified CME 8.5 では、図に示すように、企業ネットワーク外の SCCP IP 電話は VPN 接続を介して Cisco Unified CME 8.5 に登録できます 電話と VPN ヘッドエンド間の接続。

SSL VPN は、2 つのエンドポイント間で送信されるデータやその他の情報に対して安全な通信メカニズムを提供します。 VPN 接続は、SCCP IP 電話と VPN ヘッドエンドまたは VPN ゲートウェイの間で設定されます。 Cisco Unified CME 8.5 は、Adaptive Security Appliance(ASA モデル 55x0)を VPN ヘッドエンドまたはゲートウェイとして使用します。
電話機と VPN ゲートウェイ間の VPN 接続を確立するには、VPN ゲートウェイ アドレス、VPN ヘッドエンド資格情報、ユーザまたは電話機 ID、資格情報ポリシーなどの VPN 構成パラメータを使用して電話機を構成する必要があります。 これらのパラメータには機密情報が含まれているため、署名された構成ファイルまたは署名および暗号化された構成ファイルを使用して安全な環境で配信する必要があります。 電話機を企業ネットワークの外部に配置する前に、電話機を企業ネットワーク内でプロビジョニングする必要があります。
信頼できる安全な環境で電話機をプロビジョニングすると、VPN ヘッドエンドに到達できる任意の場所から電話機を Cisco Unified CME に接続できるようになります。 電話機の VPN 構成パラメータは、電話機のユーザ インターフェイスと動作を制御します。 SCCP IP 電話での SSL VPN 機能の設定の詳細については、ASA(ゲートウェイ)を VPN ヘッドエンドとして設定するを参照してください。
エクスポート可能なキーを使用してトラストポイントを生成し、それを SAST1 として使用する必要があります。 CME システム管理者セキュリティ トークンの詳細について
SCCP IP 電話の SSL VPN クライアントの設定に関する制限
SSL VPN クライアントは、Unified CME 上の Cisco 4000 シリーズ サービス統合型ルータではサポートされません。
Unified CME では、サイト間 VPN 構成のみがサポートされます。