SCCP IP 電話用 SSL VPN クライアント

SSL VPN クライアントに関する情報

DTLS を使用した Cisco Unified CME での SSL VPN サポート

Communications Manager Express 8.6 以降のバージョンでは、企業ネットワークの外部にある 7945、7965、7975 などの Cisco Unified SCCP IP 電話を、SSL VPN 接続を介して Cisco Unified CME に登録できます。 SSL VPN 接続は、電話機と VPN ヘッドエンドの間で設定されます。 VPN ヘッドエンドは、Adaptive Secure Appliance (ASA 5500) または Datagram Transport Layer Security (DTLS) 対応の IOS SSL VPN ルータのいずれかになります Cisco Unified IP Phone と VPN ヘッドエンド(ASA および DTLS)間の VPN 接続。 ASA ヘッドエンドの VPN 機能のサポートは、Cisco Unified CME 8.5 で追加されました。 詳細については、SCCP IP 電話用 SSL VPN クライアント を参照してください。

図 1. Cisco Unified IP Phone と VPN ヘッドエンド(ASA および DTLS)間の VPN 接続

Cisco Unified CME 8.6 は、ヘッドエンドまたはゲートウェイとして IOS SSL DTLS を使用します。 電話機と VPN ヘッドエンド間の VPN 接続を確立するには、電話機に VPN 設定パラメータを設定する必要があります。 VPN 構成パラメータには、VPN ヘッドエンド アドレス、VPN ヘッドエンド資格情報、ユーザまたは電話 ID、資格情報ポリシーが含まれます。 これらのパラメータは機密情報とみなされるため、署名された構成ファイルまたは署名および暗号化された構成ファイルを使用して安全な環境で配信する必要があります。 電話機を企業ネットワークの外部に配置する前に、電話機を企業ネットワーク内でプロビジョニングする必要があります。

電話機が信頼できる環境に「ステージング」された後、VPN ヘッドエンドを接続できる場所に電話機を展開できます。 電話機の VPN 構成パラメータによって、電話機のユーザ インターフェイスと動作が決まります。

電話またはクライアント認証

VPN DTLS 経由で Cisco Unified CME に登録しようとしているリモート電話が正規の電話であることを確認するには、電話認証が必要です。 電話またはクライアント認証は、次の種類の認証で実行できます。

  1. ユーザ名とパスワードの認証。

  2. 証明書ベースの認証(電話機の認証は、電話機の LSC または MIC 証明書を使用して行われます)。 証明書ベースの認証は、次の 2 つのレベルで構成されます。

    • 証明書のみの認証 - 電話機の LSC のみが使用されます (ユーザは電話機でユーザ名やパスワードを入力する必要がありません)。

    • AAA または 2 要素による認証 - 電話の LSC とユーザ名とパスワードの組み合わせを使用して電話を認証します。 2 要素認証は、ユーザ名の事前入力の有無にかかわらず実行できます。 (ユーザ名が事前に入力されている場合、電話機はユーザ名を要求せず、関連するトラストポイントの設定に応じてユーザ名が選択されます。)


(注)  

証明書認証には LSC を使用することをお勧めします。 証明書認証に MIC を使用することはお勧めしません。 また、証明書認証を行うときは、ephone を「認証済み」(暗号化されていない)セキュリティ モードで設定することをお勧めします。 証明書のみの認証と 2 要素認証の詳細については、次の場所を参照してください https://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_ssl_vpn_ps6350_TSD_Products_Configuration_Guide_Chapter.html#wp1465191

Cisco Unified CME は暗号化モードで設定できますが、暗号化された SCCP 電話機ではメディア コールフローのサポートが制限されます。 認証モードで電話を使用する場合、メディア関連のコールフローの制限はありません。

SCCP IP 電話における SSL VPN クライアントのサポート

Cisco Unified CME 8.5 以降のバージョンでは、7945、7965、7975 などの SCCP IP 電話機で Secure Sockets Layer(SSL)仮想プライベート ネットワーク(VPN)がサポートされています。

Cisco Unified CME 8.5 では、図に示すように、企業ネットワーク外の SCCP IP 電話は VPN 接続を介して Cisco Unified CME 8.5 に登録できます 電話と VPN ヘッドエンド間の接続

図 2. 電話と VPN ヘッドエンド間の接続

SSL VPN は、2 つのエンドポイント間で送信されるデータやその他の情報に対して安全な通信メカニズムを提供します。 VPN 接続は、SCCP IP 電話と VPN ヘッドエンドまたは VPN ゲートウェイの間で設定されます。 Cisco Unified CME 8.5 は、Adaptive Security Appliance(ASA モデル 55x0)を VPN ヘッドエンドまたはゲートウェイとして使用します。

電話機と VPN ゲートウェイ間の VPN 接続を確立するには、VPN ゲートウェイ アドレス、VPN ヘッドエンド資格情報、ユーザまたは電話機 ID、資格情報ポリシーなどの VPN 構成パラメータを使用して電話機を構成する必要があります。 これらのパラメータには機密情報が含まれているため、署名された構成ファイルまたは署名および暗号化された構成ファイルを使用して安全な環境で配信する必要があります。 電話機を企業ネットワークの外部に配置する前に、電話機を企業ネットワーク内でプロビジョニングする必要があります。

信頼できる安全な環境で電話機をプロビジョニングすると、VPN ヘッドエンドに到達できる任意の場所から電話機を Cisco Unified CME に接続できるようになります。 電話機の VPN 構成パラメータは、電話機のユーザ インターフェイスと動作を制御します。 SCCP IP 電話での SSL VPN 機能の設定の詳細については、ASA(ゲートウェイ)を VPN ヘッドエンドとして設定するを参照してください。

エクスポート可能なキーを使用してトラストポイントを生成し、それを SAST1 として使用する必要があります。 CME システム管理者セキュリティ トークンの詳細について 

SCCP IP 電話の SSL VPN クライアントの設定に関する制限

SSL VPN クライアントは、Unified CME 上の Cisco 4000 シリーズ サービス統合型ルータではサポートされません。

Unified CME では、サイト間 VPN 構成のみがサポートされます。

SSL VPN クライアントの設定

ASA を VPN ヘッドエンドとして SSL VPN クライアントを構成する

SCCP IP 電話で SSL VPN 機能を設定するには、ここに示す順序で次の手順に従います。

  1. Cisco Unified CME の基本設定

  2. Cisco Unified CME を CA サーバとして設定する

  3. 電話の登録と電話の読み込みを確認する

  4. ASA(ゲートウェイ)を VPN ヘッドエンドとして設定する

  5. Cisco Unified CME で VPN グループとプロファイルを設定する

  6. VPN グループとプロファイルを SCCP IP 電話に関連付ける

  7. 電話で代替 TFTP アドレスを設定する

  8. 遠隔地から電話を登録する

前提条件

  • Cisco Unified CME 8.5 以降のバージョン。

  • ISR-G2 プラットフォーム用の Securityk9 ライセンス。

  • 電話イメージ 9.0 以降を搭載した Cisco Unified SCCP IP 電話 7942、7945、7962、7965、および 7975。

  • イメージ asa828-7-k8.bin 以降を搭載した ASA 5500 シリーズ ルータ。

  • SSLVPN 機能を設定するにはパッケージ anyconnect-win-2.4.1012-k9.pkg が必要ですが、電話機にダウンロードされません。

  • VPN クライアントが接続できるようにするには、適切な ASA ライセンス (Cisco VPN Phone 用の AnyConnect) を ASA にインストールする必要があります。 www.cisco.com/go/license にアクセスして PAK を入力すると、新しいアクティベーション キーが電子メールで返信されます。


(注)  

ASDM 経由で設定する場合は、互換性のある Adaptive Security Device Manager (ASDM) イメージが必要です。

Cisco Unified CME の基本設定

次の手順は、SSL VPN 機能を構築するための基本的な Cisco Unified 設定です。

手順の概要

  1. 有効化
  2. configure terminal
  3. ip dhcp pool プール名
  4. ネットワーク ip-address [ マスク | プレフィックス長]
  5. option 150 ip ip-address
  6. default-router ip-address
  7. exit
  8. 電話サービス
  9. max-ephones max-phones
  10. max-dnmax-directory-numbers [ preference preference-order] [ no-reg primary | both]
  11. ip source-addressip-address portport [ any-match | strict-match]
  12. cnf-file{ perphone}
  13. load [ phone-type firmware-file]
  14. no shutdown
  15. exit
  16. ephone-dndn-tag [ デュアルライン]
  17. 番号番号 [ セカンダリ番号] [ 登録なし [ 両方 | プライマリ]]
  18. ephone phone-tag
  19. descriptionstring
  20. デバイスのセキュリティモード{ 認証済み| なし | 暗号化済み}
  21. MAC アドレス MAC アドレス
  22. タイプ 電話タイプ [ アドオン 1 モジュール タイプ [ 2 モジュール タイプ] ]
  23. button button-number { separator} dn-tag [ ,dn-tag...] [ button-number{ x} overlay-button-number] [ button-number...]
  24. exit
  25. 電話サービス
  26. cnf ファイルを作成する
  27. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:
Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:
Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

ip dhcp pool プール名

例:
Router(config)# ip dhcp pool mypool

DHCP サーバ アドレス プールの名前を作成し、DHCP プール設定モードに入ります。

(注)  

 

DHCP IP アドレス プールをすでに設定している場合は、手順 2 から手順 7 をスキップし、手順 8 から続行します。

ステップ 4

ネットワーク ip-address [ マスク | プレフィックス長]

例:
Router(config-dhcp)#network 192.168.11.0 255.255.255.0 

設定する DHCP アドレス プールの IP アドレスを指定します。

ステップ 5

option 150 ip ip-address

例:
Router(config-dhcp)# option 150 ip 192.168.11.1

Cisco Unified IP Phone がイメージ設定ファイルをダウンロードする TFTP サーバ アドレスを指定します。

  • これは Cisco Unified CME ルーターのアドレスです。

ステップ 6

default-router ip-address

例:
Router(config-dhcp)# default router 192.168.11.1

(オプション) IP 電話がローカル サブネットの外部にある IP トラフィックを送受信するために使用するルータを指定します。

  • Cisco Unified CME ルータがネットワーク上の唯一のルータである場合、このアドレスは Cisco Unified CME の IP 送信元アドレスである必要があります。 IP 電話がローカル サブネット上のデバイスとのみ IP トラフィックを送受信する必要がある場合は、このコマンドを省略できます。

  • デフォルト ルータに指定した IP アドレスは、フォールバックの目的で IP 電話によって使用されます。 Cisco Unified CME の IP 送信元アドレスが到達不能になった場合、IP 電話はこのコマンドで指定されたアドレスに登録を試みます。

ステップ 7

exit

例:
Router(config-dhcp)# end

DHCP プール設定モードを終了します。

ステップ 8

電話サービス

例:
Router(config)# telephony-service

テレフォニーサービス設定モードに移行します。

ステップ 9

max-ephones max-phones

例:
Router(config-telephony)# max-ephones 24

Cisco Unified CME に登録できる電話機の最大数を設定します。

  • 最大数はプラットフォームとバージョンによって異なります。 ? と入力して範囲を確認してください。

  • Cisco Unified CME 7.0/4.3 以降のバージョンでは、登録できる電話機の最大数は、設定できる電話機の最大数とは異なります。 設定できる電話機の最大数は 1000 台です。

  • Cisco Unified CME 7.0/4.3 より前のバージョンでは、このコマンドによってルータに設定できる電話機の数が制限されていました。

ステップ 10

max-dnmax-directory-numbers [ preference preference-order] [ no-reg primary | both]

例:
Router(config-telephony)# max-dn 24 no-reg primary

このルータでサポートされるディレクトリ番号の数を制限します。

  • 最大数はプラットフォームとバージョンによって異なります。 値には「?」と入力します。

ステップ 11

ip source-addressip-address portport [ any-match | strict-match]

例:
Router(config-telephony)# ip source-address 192.168.11.1 port 2000

Cisco Unified CME ルータが IP 電話の登録に使用する IP アドレスとポート番号を識別します。

  • port port —(オプション) SCCP に使用する TCP/IP ポート番号。 値の範囲は 2000 ~ 9999 です。デフォルトは 2000 です。

  • any-match — (オプション) 登録時の厳密な IP アドレス チェックを無効にします。 これはデフォルトです。

  • strict-match :(オプション)電話機が使用する IP サーバーアドレスが送信元アドレスと完全に一致しない場合、ルータに IP 電話の登録試行を拒否するように指示します。

ステップ 12

cnf-file{ perphone}

例:
Router(config-telephony)#xnf-file perphone

システムが IP 電話ごとに個別の構成 XML ファイルを生成するように指定します。

  • セキュリティのために、エンドポイントごとに個別の構成ファイルが必要です。

(注)  

 

電話機ごとに個別の XML ファイルを生成するには、cnf-file (perphone) コマンドを設定する必要があります。

ステップ 13

load [ phone-type firmware-file]

例:
Router(config-telephony)# load 7965 SCCP45.9-0-1TD1-36S.loads

電話機の種類を電話機のファームウェア ファイルに関連付けます。 電話機ファームウェアバージョン 9.0 以降では、すべての電話機タイプでファイルのサフィックスを含む完全なファイル名(たとえば、7965 SCCP45.9-0-1TD1-36S)を使用する必要があります。

ステップ 14

no shutdown

例:
Router(config-telephony)# no shutdown

SCCP サービス リスニング ソケットを有効にすることができます。

ステップ 15

exit

例:
Router(config-telephony)# end

テレフォニー サービス設定モードを終了します。

ステップ 16

ephone-dndn-tag [ デュアルライン]

例:
 Router(config)# ephone-dn 1

Ephone dn 設定モードを開始して、IP 電話、インターコム回線、音声ポート、またはメッセージ待機インジケータ (MWI) のディレクトリ番号を定義します。

  • dn-tag :設定タスク中に特定のディレクトリ番号を識別します。 範囲は 1 から、ルータ プラットフォームで許可されるディレクトリ番号の最大数までです。 範囲を表示するには ? と入力します。

ステップ 17

番号番号 [ セカンダリ番号] [ 登録なし [ 両方 | プライマリ]]

例:
Router(config-ephone-dn)# number 1001

内線番号をこのディレクトリ番号に関連付けます。

  • number :内線番号または E.164 電話番号を表す最大 16 桁の文字列。

ステップ 18

ephone phone-tag

例:
Router(config)# ephone 1

ephone 固有のパラメータを設定するために ephone 設定モードに移行します。

  • 電話タグ :電話機を識別する一意のシーケンス番号。 範囲はバージョンとプラットフォームに依存します。範囲を表示するには、 ? と入力してください。

ステップ 19

descriptionstring

例:
Router(config-ephone)description SSL VPN Remote Phone

拡張マークアップ言語 (XML) クエリを使用したネットワーク管理システムの ephone の説明。

  • string :スペースを含めて最大 128 文字まで入力できます。 文字の制限はありません。

ステップ 20

デバイスのセキュリティモード{ 認証済み| なし | 暗号化済み}

例:
Router(config-ephone)# device-security-mode none

Cisco Unified CME ルータとグローバルまたは ephone ごとに通信するデバイスの SCCP シグナリングのセキュリティ モードを設定できます。

  • 認証済み:TCP ポート 2443 上のセキュア TLS 接続を介してデバイスと Cisco Unified CME 間で SCCP シグナリングが行われます。

  • なし:SCCP シグナリングは安全ではありません。

  • 暗号化:デバイスと Cisco Unified CME 間の SCCP シグナリングは TCP ポート 2443 上のセキュア TLS 接続を介して行われ、メディアは Secure Real-Time Transport Protocol(SRTP)を使用します。

ステップ 21

MAC アドレス MAC アドレス

例:
Router(config-ephone)# mac-address 0022.555e.00f1

Cisco IP 電話の MAC アドレスを Cisco Unified CME システムの ephone 設定に関連付けます。

  • mac-address :IP 電話の MAC アドレスを識別します。電話の底面に貼付されたステッカーに記載されています。

ステップ 22

タイプ 電話タイプ [ アドオン 1 モジュール タイプ [ 2 モジュール タイプ] ]

例:
Router(config-ephone)# type 7965

電話の種類を指定します。

  • Cisco Unified CME 4.0 以降のバージョン:アドオン モジュールを適用できるタイプは、7960、7961、7961GE、および 7970 のみです。

ステップ 23

button button-number { separator} dn-tag [ ,dn-tag...] [ button-number{ x} overlay-button-number] [ button-number...]

例:
Router(config-ephone)# button 1:1

ボタン番号と回線特性を ephone-dn に関連付けます。 ボタンの最大数は電話機の種類によって決まります。

ステップ 24

exit

例:
Router(config-ephone)#exit

Ephone 設定モードを終了します。

ステップ 25

電話サービス

例:
Router(config)telephony-service

テレフォニーサービス設定モードに移行します。

ステップ 26

cnf ファイルを作成する

例:
Router(config-telephony)# create cnf-files

SCCP 電話に必要な XML 構成ファイルを構築します。

ステップ 27

end

例:
Router(config-telephony)# end

特権 EXEC モードに戻ります。

Cisco Unified CME を CA サーバとして設定する

CA サーバの基本構成により、SSL VPN 機能を有効にするために必要な IP 接続、ネットワーク タイム プロトコル (NTP)、時間同期が確保されます。

このセクションでは、CME と ASA の両方に証明書の署名を提供するために CME 上の CA サーバを構成する方法について説明しますが、実際の展開ではサードパーティの CA が使用されることがよくあります。 基本的な要件は、CME と ASA がそれぞれサードパーティ CA によって署名された ID 証明書を持ち、CME と ASA の両方が同じ CA 証明書を共有することです。 つまり、各デバイスには、同じ CA 証明書と、同じ CA によって署名された ID 証明書を含むトラストポイントがあります。

CA サーバを構成するには、次の手順に従います。

手順

ステップ 1

Cisco Unified CME ルータで IP アドレス、NTP および HTTP サーバを設定します。

例:

Router(config)# Interface GigabitEthernet0/0
Router(config-if)# no ip address
Router(config-if)# interface GigabitEthernet0/0.10
Router(config-subif)# description DATA VLAN 
Router(config-subif)# encapsulation dot1Q 10 native 
Router(config-subif)# ip address 192.168.10.1 255.255.255.0

Router(config)# interface GigabitEthernet0/0.11
Router(config-subif)# description VOICE VLAN 
Router(config-subif)# encapsulation dot1Q 11 
Router(config-subif)# ip address 192.168.11.1 255.255.255.0

Router(config)# interface GigabitEthernet0/1
Router(config-if)# description INTERFACE CONNECTED TO ASA 
Router(config-if)# ip address 192.168.20.1 255.255.255.0

Router(config)# ! Default router is ASA Inside Interface 
Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.20.254 
Router(config)# clock timezone PST -8
Router(config)# clock summer-time PST recurring

Router# ! Set clock to current time
Router# clock set 10:10:00 15 oct 2010

Router(config)# ntp source GigabitEthernet0/1
Router(config)# ntp master 2

Router(config)# ip http server
Router(config)# ip domain-name cisco.com

(注)  

 

Cisco Unified CME ルータの時刻と一致するようにクロックを手動で設定しないと、NTP 同期は失敗します。

ステップ 2

Cisco Unified CME を CA サーバとして設定します。 CME と ASA の両方が CA サーバから証明書を登録します。 次のサンプル設定は、Cisco Unified CME が CA サーバとして設定されていることを示しています。

例:

Router(config)# crypto pki server cme_root
Router(config)# database level complete
Router(cs-server)# database url nvram:
Router(cs-server)# grant auto
Router(cs-server)# lifetime certificate 7305
Router(cs-server)# lifetime ca-certificate 7305
Router(cs-server)# exit

Router(config)# crypto pki trustpoint cme_root
Router(ca-trustpoint)# enrollment url http://192.168.20.1:80
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair cme_root
Router(cs-server)# exit

Router(config)# crypto pki server cme_root
Router(cs-server)#no shutdown
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password: *****
Re-enter password: ****
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
Mar 10 16:44:00.576: %SSH-5-ENABLED: SSH 1.99 has been enabled% Exporting Certificate
Server signing certificate and keys...
% Certificate Server enabled.
Router(cs-server)#
Mar 10 16:44:41.812: %PKI-6-CS_ENABLED: Certificate server now enabled.

ステップ 3

2 番目のトラストポイントを作成し、トラストポイントを認証して CA に登録します。

例:

Router(config)# crypto pki trustpoint cme_cert
Router(ca-trustpoint)# enrollment url http://192.168.20.1:80
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate cme_cert
Certificate has the following attributes:
Fingerprint MD5: 995C157D AABB8EE2 494E7B35 00A75A88
Fingerprint SHA1: F934871E 7E2934B1 1C0B4C9A A32B7316 18A5858F
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
Router(config)# crypto pki enroll cme_cert
%
% Start certificate enrollment ..
% Create a challenge password.
You will need to verbally provide this password to the CA Administrator in order to revoke
your certificate. For security reasons your password will not be saved in the
configuration. Please make a note of it.
Password:
Jan 20 16:03:24.833: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair
Re-enter password:
% The subject name in the certificate will include: CME1.cisco.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose cme_cert' command will show the fingerprint.
! Verify Certificates

証明書の確認(オプション)

証明書を確認するには、Cisco Unified CME ルータで show crypto pki certificates コマンドを使用します。 

Router# sh crypto pki certificates
Certificate
Status: Available
Certificate Serial Number (hex): 07
Certificate Usage: General Purpose
Issuer:
cn=cme_root
Subject:
Name: CME1.cisco.com
hostname=CME1.cisco.com
Validity Date:
start date: 15:32:23 PST Apr 1 2010
end date: 09:44:00 PST Mar 10 2030
Associated Trustpoints: cisco2
Storage: nvram:cme_root#7.cer

Certificate
Status: Available
Certificate Serial Number (hex): 06
Certificate Usage: General Purpose
Issuer:
cn=cme_root
Subject:
Name: CME1.cisco.com
hostname=CME1.cisco.com
Validity Date:
start date: 15:30:11 PST Apr 1 2010
end date: 09:44:00 PST Mar 10 2030
Associated Trustpoints: cisco1
Storage: nvram:cme_root#6.cer

Certificate
Status: Available
Certificate Serial Number (hex): 02
Certificate Usage: General Purpose
Issuer:
cn=cme_root
Subject:
Name: CME1.cisco.com
hostname=CME1.cisco.com
Validity Date:
start date: 08:47:42 PST Mar 10 2010
end date: 09:44:00 PST Mar 10 2030
Associated Trustpoints: cme_cert
Storage: nvram:cme_root#2.cer

CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=cme_root
Subject:
cn=cme_root
Validity Date:
start date: 08:44:00 PST Mar 10 2010
end date: 09:44:00 PST Mar 10 2030
Associated Trustpoints: cisco2 cisco1 cme_cert cme_root
Storage: nvram:cme_root#1CA.cer

電話の登録と電話の読み込みを確認する

手順

ステップ 1

show ephone コマンドを使用して、電話機の登録の詳細を確認します。

例:

Router# show ephone

ephone-1[0] Mac:0022.555E.00F1 TCP socket:[2] activeLine:0 whisperLine:0 REGISTERED in SCCP ver 19/17 max_streams=5 mediaActive:0 whisper_mediaActive:0 startMedia:0 offhook:0 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 caps:9
IP:192.168.11.4 * 49269 7965 keepalive 0 max_line 6 available_line 6
button 1: cw:1 ccw:(0 0) dn 1 number 1001 CH1   IDLE CH2   IDLE 
Preferred Codec: g711ulaw 
Lpcor Type: none

(注)  

 

電話機に適切な電話ファームウェアがインストールされていることを確認し、電話機が Cisco Unified CME にローカルに登録されているかどうかを確認します。

ステップ 2

電話機の負荷を確認するには、 show ephone phone load コマンドを使用します。

例:

Router# show ephone phoneload

DeviceName        CurrentPhoneload       PreviousPhoneload LastReset      
		  
SEP0016C7EF9B13    9.0(1TD1.36S)          9.0(1TD1.36S) UCM-closed-TCP

ASA(ゲートウェイ)を VPN ヘッドエンドとして設定する

このセクションでは、ASA が CME CA サーバからの証明書を認証および登録するように設定されます。 CA 証明書のフィンガープリントは CME ルート証明書と同じになるため、電話機は保存されているハッシュに対して TLS ネゴシエーション中に ASA から送信された証明書を認証できます。

手順

ステップ 1

インターフェイス、IP ルーティング、および NTP を構成します。

例:

ciscoasa(config)# Interface Ethernet0/1
ciscoasa(config-if)# nameif Inside
ciscoasa(config-if)# description INTERFACE CONNECTED TO CUCME
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0

ciscoasa(config)# interface Ethernet 0/0
ciscoasa(config-if)# description INTERFACE CONNECTED TO WAN
ciscoasa(config-if)# nameif Outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 9.10.60.254 255.255.255.0
ciscoasa(config)# router ospf 100
ciscoasa(config-router)# network 9.10.60.0 255.255.255.0 area 1

ciscoasa(config-if)# ntp server 192.168.20.1

ステップ 2

ASA にトラストポイントを作成し、CME (CA) 証明書を取得します。

例:

ciscoasa(config)# crypto key generate rsa label cmeasa
ciscoasa(config)# crypto ca trustpoint asatrust
ciscoasa(config)# ! Enrollment URL = CA Server = CUCME
ciscoasa(config-ca-trustpoint)# enrollment url http://192.168.20.1:80
ciscoasa(config-ca-trustpoint)# subject-name cn=cmeasa.cisco.com
ciscoasa(config-ca-trustpoint)# crl nocheck
ciscoasa(config-ca-trustpoint)# keypair cmeasa

ciscoasa (config)# crypto ca authenticate asatrust
INFO: Certificate has the following attributes:
Fingerprint: 27d00cdf 1144c8b9 90621472 786da0cf
Do you accept this certificate? [yes/no]: yes
! Enroll the Trustpoint
ciscoasa(config)# crypto ca enroll asatrust
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password: ********
Re-enter password: ********
% The subject name in the certificate will be: cn=cmeasa.cisco.com
% The fully-qualified domain name in the certificate will be: ciscoasa.cisco.com
% Include the device serial number in the subject name? [yes/no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
ciscoasa(config)# The certificate has been granted by CA!
ciscoasa# show crypto ca certificates

ステップ 3

証明書の確認(オプション)

証明書を確認するには、ASA ルータで show crypto ca certificate コマンドを使用します。

例:

ciscoasa# show crypto ca certificate
Certificate
Status: Available
Certificate Serial Number: 03
Certificate Usage: General Purpose
Public Key Type: RSA (1024 bits)
Issuer Name:
cn=cme_root
Subject Name:
hostname=ciscoasa.cisco.com
cn=cmeasa.cisco.com
Validity Date:
start date: 09:04:40 PST Mar 10 2010
end date: 08:44:00 PST Mar 10 2030
Associated Trustpoints: asatrust

CA Certificate
Status: Available
Certificate Serial Number: 01
Certificate Usage: Signature
Public Key Type: RSA (1024 bits)
Issuer Name:
cn=cme_root
Subject Name:
cn=cme_root
Validity Date:
start date: 08:44:00 PST Mar 10 2010
end date: 08:44:00 PST Mar 10 2030
Associated Trustpoints: asatrust

ステップ 4

SSL パラメータを構成します。

例:

ciscoasa(config)# ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 null-sha1
ciscoasa(config)#
ciscoasa(config)# ssl trust-point asatrust
ciscoasa(config)# ssl trust-point asatrust inside
ciscoasa(config)# ssl trust-point asatrust outside
ciscoasa(config)# no ssl certificate-authentication interface outside port 443
ciscoasa(config)# ssl certificate-authentication interface inside port 443

ステップ 5

ローカル IP アドレス プールを構成します。

例:

ciscoasa(config)# ip local pool SSLVPNphone_pool 192.168.20.50-192.168.20.70 mask
255.255.255.0

ステップ 6

VPN 経由の NAT トラフィックを防止するためにアクセス リストを設定します。

例:

ciscoasa(config)# access-list no_nat_to_vpn extended permit ip any 9.10.60.0 255.255.255.0
ciscoasa(config)# ! 9.10.60.0/24 is the Outside subnet
ciscoasa(config)# nat (inside) 0 access-list no_nat_to_vpn

ステップ 7

VPN を設定します。 VPN の設定方法については、次のリンクを参照してください http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/svc.html

例:

ciscoasa(config-webvpn)# enable inside
INFO: WebVPN and DTLS are enabled on 'Inside'.
ciscoasa(config-webvpn)# enable outside
INFO: WebVPN and DTLS are enabled on 'Outside'.
ciscoasa(config-webvpn)# svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1
ciscoasa(config-webvpn)# svc enable
ciscoasa(config-webvpn)# group-policy SSLVPNphone internal
ciscoasa(config)# group-policy SSLVPNphone attribute
ciscoasa(config-group-policy)# banner none
ciscoasa(config-group-policy)# vpn-simultaneous-logins 10
ciscoasa(config-group-policy)# vpn-idle-timeout none
ciscoasa(config-group-policy)# vpn-session-timeout none
ciscoasa(config-group-policy)# vpn-tunnel-protocol svc webvpn
ciscoasa(config-group-policy)# address-pools value SSLVPNphone_pool
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# svc dtls enable
ciscoasa(config-group-webvpn)# svc keepalive 120
ciscoasa(config-group-webvpn)# svc ask none
ciscoasa(config-group-webvpn)#

ステップ 8

SSL VPN トンネルを構成します。 詳細については、http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/vpngrp.html を参照してください。

例:

ciscoasa(config)# tunnel-group SSLVPN_tunnel type remote-access
ciscoasa(config)# tunnel-group SSLVPN_tunnel general-attributes
ciscoasa(config-tunnel-general)#
ciscoasa(config-tunnel-general)#
ciscoasa(config-tunnel-general)# address-pool SSLVPNphone_pool
ciscoasa(config-tunnel-general)# default-group-policy SSLVPNphone
ciscoasa(config-tunnel-general)# tunnel-group SSLVPN_tunnel webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-url https://9.10.60.254/SSLVPNphone enable

ステップ 9

Cisco Unified CME 音声 VLAN への静的ルートを有効にします。 詳細については、http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/route_static.html を参照してください。

例:
ciscoasa(config)# route Inside 192.168.11.0 255.255.255.0 192.168.20.254 1

ステップ 10

ユーザの ASA ローカル データベースを設定します。 詳細については、http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/access_aaa.html#wpmkr108 を参照してください。

例:

ciscoasa(config)# username anyone password cisco
ciscoasa(config)# ! These credentials will be entered on the phone to log in.
ciscoasa(config)# username anyone attributes
ciscoasa(config-username)# vpn-group-policy SSLVPNphone
ciscoasa(config-username)# vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn
ciscoasa(config-username)# webvpn
ciscoasa(config-username-webvpn)# svc dtls enable
ciscoasa(config-username-webvpn)# svc ask none

ステップ 11

Inter-ASA メディア トラフィックを有効にします。

例:

ciscoasa(config)# same-security-traffic permit inter-interface
ciscoasa(config)# same-security-traffic permit intra-interface

Cisco Unified CME で VPN グループとプロファイルを設定する

このセクションでは、VPN ゲートウェイの IP アドレス、証明書ハッシュ アルゴリズム、および電話機の証明書トラストポイントを指定する VPN グループが設定されます。 この情報は後で電話の設定に追加されます。 Cisco Unified CME で VPN グループとプロファイルを設定するには、次の手順に従います。

手順の概要

  1. 有効にする
  2. configure terminal
  3. 音声サービス VoIP
  4. vpn-grouptag
  5. vpn-gateway[ number | url]
  6. vpn-trustpoint {[ number [ raw | trustpoint]}
  7. VPN ハッシュ アルゴリズムsha-1
  8. exit
  9. vpn-profile タグ
  10. ホスト ID チェック [ 有効 | 無効]
  11. 終わり

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効にする

例:
Router> enable

特権 EXEC モードを有効にします。 プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:
Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

音声サービス VoIP

例:
Router(config)#voice service voip

Voice over IP 設定モードに入ります。

ステップ 4

vpn-grouptag

例:
Router (conf-voi-serv)#vpn-group 1

Voice over IP 設定モードで VPN グループ モードに入ります。

  • tag :vpn-group タグ。 範囲: 1 または 2。

ステップ 5

vpn-gateway[ number | url]

例:
Router(conf-vpn-group)#vpn-gateway 1 https://9.10.60.254/SSLVPNphone

VPN のゲートウェイ URL を定義できます。

  • number —number—VPN ゲートウェイとして定義できるゲートウェイの数。 範囲は 1 から 3 です。

  • url :VPN ゲートウェイ URL。 SSLVPNphone は、ASA に設定されている VPN グループ ポリシーです。

ステップ 6

vpn-trustpoint {[ number [ raw | trustpoint]}

例:
Router(conf-vpn-group)#vpn-trustpoint
			 ?vpn-trustpoint 1 trustpoint cme_cert root

vpn-gateway trustpoint を入力できます。

  • number :トラストポイントの数を入力できます。 範囲は 1 ~ 10 です

  • raw :vpn-gateway trustpoint を raw 形式で入力できます。

  • trustpoint :IOS 形式で作成された VPN ゲートウェイ トラストポイントを入力できます。

  • root – CME ルート証明書は ASA の CA 証明書と同じハッシュを持つため、"root" 句はリーフ証明書ではなくルート証明書を選択するように設定されています。

ステップ 7

VPN ハッシュ アルゴリズムsha-1

例:
Router(conf-vpn-group)#vpn-hash-algorithm
			 sha-1

トラストポイントの VPN ハッシュアルゴリズムを入力できます。

  • sha-1 - 暗号化アルゴリズム。

ステップ 8

exit

例:
Router(conf-vpn-group)#exit

VPN グループ設定モードを終了します。

ステップ 9

vpn-profile タグ

例:
Router (conf-voi-serv)#vpn-profile 1

VPN プロファイル設定モードに入ります。

tag —VPN プロファイルのタグ番号。 範囲: 1~6。

ステップ 10

ホスト ID チェック [ 有効 | 無効]

例:
Router(conf-vpn-profile)#host-id-check
			 disable

VPN プロファイルでホスト ID チェック オプションを設定できます。

  • disable:ホスト ID チェックオプションを無効にします。

  • enable:ホスト ID チェックオプションを有効にします。 デフォルトは有効です。

ステップ 11

終わり

例:
Router(conf-vpn-profile)#end

特権 EXEC モードに移行します。

VPN グループとプロファイルを SCCP IP 電話に関連付ける

VPN グループとプロファイルを SCCP IP 電話に関連付けるには、次の手順に従います。

手順の概要

  1. 有効化
  2. configure terminal
  3. 電話サービス
  4. cnf-file perphone
  5. ephonephone-tag
  6. デバイスセキュリティモード {認証済み | なし | 暗号化済み}
  7. mac-address [mac-address]
  8. タイプ電話タイプ アドオン 1 [モジュールタイプ [2 モジュールタイプ ]]
  9. VPN グループ タグ
  10. vpn-profile タグ
  11. ボタン ボタン番号{セパレーター}dn タグ [,dn タグ...][ボタン番号{x}オーバーレイボタン番号] [ボタン番号...]
  12. exit
  13. 電話サービス
  14. cnf ファイルを作成する
  15. exit
  16. ephonephone-tag
  17. リセット
  18. 終わり

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:
Router> enable

特権 EXEC モードを有効にします。 プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:
Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

電話サービス

例:
Router#(config)telephony-service

テレフォニー サービス設定モードに入ります。

ステップ 4

cnf-file perphone

例:
Router(config-telephony)# create cnf-files

IP 電話に必要な XML 構成ファイルを構築します。

ステップ 5

ephonephone-tag

例:
Router(config)# ephone 1

SCCP 電話機の電話機固有のパラメータを設定するために、ephone 設定モードに入ります。

  • 電話タグ :電話機を識別する一意のシーケンス番号。 範囲はバージョンとプラットフォームに依存します。範囲を表示するには ? と入力してください。

ステップ 6

デバイスセキュリティモード {認証済み | なし | 暗号化済み}

例:
Router(config-telephony)# device-security-mode none

エンドポイントのセキュリティ モードを有効にします。

  • 認証済み - 暗号化なしで TLS 接続を確立するようにデバイスに指示します。 メディア パスに Secure Real-Time Transport Protocol (SRTP) がありません。

  • なし:SCCP シグナリングは安全ではありません。 これはデフォルトです。

  • 暗号化 - SRTP を使用してメディア パスを保護するために暗号化された TLS 接続を確立するようにデバイスに指示します。

  • Ephone コンフィギュレーション モードでこのコマンドに設定された値は、telephony-service コンフィギュレーション モードで設定された値よりも優先されます。

ステップ 7

mac-address [mac-address]

例:
Router(config-ephone)#mac-address 0022.555e.00f1

設定する IP 電話の MAC アドレスを指定します

ステップ 8

タイプ電話タイプ アドオン 1 [モジュールタイプ [2 モジュールタイプ ]]

例:
Router(config-ephone)# type 7965

電話の種類を指定します。

  • Cisco Unified CME 4.0 以降のバージョン:アドオン モジュールを適用できるタイプは 7960、7961、7961GE、および 7970 のみです。

  • Cisco CME 3.4 以前のバージョン:アドオン モジュールを適用できるタイプは 7960 のみです。

ステップ 9

VPN グループ タグ

例:
Router (config-ephone)# vpn-group 1

Voice over IP 設定モードで VPN グループ モードに入ります。

  • tag:vpn-group タグ。 範囲: 1 または 2。

ステップ 10

vpn-profile タグ

例:
Router (config-ephone)#vpn-profile 1

VPN プロファイル設定モードに入ります。

  • tag—VPN プロファイルのタグ番号。 範囲: 1~6。

ステップ 11

ボタン ボタン番号{セパレーター}dn タグ [,dn タグ...][ボタン番号{x}オーバーレイボタン番号] [ボタン番号...]

例:
Router(config-ephone)# button 1:5

ボタン番号と回線特性を ephone-dn に関連付けます。 ボタンの最大数は電話機の種類によって決まります。

ステップ 12

exit

例:
Router(config-ephone)exit

Ephone 設定モードを終了します。

ステップ 13

電話サービス

例:
Router(config)# telephony-service

テレフォニー サービス設定モードに入ります。

ステップ 14

cnf ファイルを作成する

例:
Router(config-telephony)# create cnf-files

IP 電話に必要な XML 構成ファイルを構築します。 まず「no create cnf-files」を使用して既存の設定ファイルをクリアしてから再度作成することをお勧めします。

ステップ 15

exit

例:
Router(Config-telephony)exit

テレフォニー サービス設定モードを終了します。

ステップ 16

ephonephone-tag

例:
Router(config)# ephone 1

ephone 設定モードに移行します。

  • phone-tag :設定タスク中にこの ephone を識別する一意のシーケンス番号。

ステップ 17

リセット

例:
Router(config-ephone)# reset

設定中の個々の SCCP 電話機を完全に再起動します。

ステップ 18

終わり

例:
Router(config-ephone)# end

特権 EXEC モードに移行します。

電話で代替 TFTP アドレスを設定する

手順

ステップ 1

電話から次の場所に移動します:

例:
Settings > Network Configuration > IPv4 Configuration > Alternate TFTP

Press **# to unlock
Select YES

If the phone is already registered, “TFTP Server 1” will already be populated. Otherwise, enter the CUCME address as the alternate TFTP Server 1.

ステップ 2

電話の設定を保存します。

ステップ 3

電話から VPN が有効になっているかどうかを確認します。

例:
Settings > Security Configuration > VPN

When you press “Enable” from this menu, it should prompt for username and password.

ステップ 4

電話から次の場所に移動します:

例:
Settings > Network Configuration > IPv4 Configuration > Alternate TFTP

Press **# to unlock and select YES.

If the phone is already registered, “TFTP Server 1” will already be populated. Otherwise, enter the CUCME address as the alternate TFTP Server 1.

ステップ 5

設定を保存します。

ステップ 6

自宅または遠隔地から電話をネットワークに接続します。

例:
Settings > Security Settings > VPN Configurations?

Enable VPN
Enter Username and Password. Phone will register with CUCME.

遠隔地から電話を登録する

リモート ロケーションから Cisco Unified IP Phone を登録するには、次の手順に従います。

手順

ステップ 1

自宅または遠隔地から電話をネットワークに接続します。 電話は DHCP を受信します。

ステップ 2

電話メニューから 設定 を選択し、 セキュリティ設定に移動します。

ステップ 3

[VPN 構成] を選択し、 [VPN を有効にする] を選択します

ステップ 4

ユーザ名とパスワードを入力します。 これで、電話機が Cisco Unified CME に登録されます。

Cisco Unified CME で VPN ヘッドエンドとして DTLS を使用した SSL VPN クライアントを設定する

始める前に、Cisco Unified CME で基本的な SSL VPN 設定が完了していることを確認してください(Cisco Unified CME の基本設定 を参照)。

SCCP IP 電話で DTLS を使用して SSL VPN クライアントを設定するには、ここに示す順序で次の手順に従います。

(注)  

構成する認証の種類に応じて、構成手順 3 から手順 11 は、このセクションで説明されている手順と若干異なる場合があります。

時計、ホスト名、ドメイン名を設定する

時計、ホスト名、ドメイン名を設定する必要があります。

手順

ステップ 1

次の例は、設定されたホスト名とドメイン名を示しています。

例:

hostname Router2811ip domain name cisco.com

Interfaces on the Router_2811:

interface FastEthernet0/0
ip address 1.5.37.13 255.255.0.0
duplex auto
speed auto

interface FastEthernet0/1
ip address 30.0.0.1 255.255.255.0
duplex auto
speed auto

ステップ 2

IOS で時計を表示する:

例:


Router# show clock
*10:07:57.109 pacific Thu Oct 7 2010

  1. 時計を直接設定します:

    例:

    
Router# clock set 9:53:0 Oct 7 2010

Set time zone (Pacific Standard Time)
Router# configure terminal
Router(config)# clock timezone pst -8

(optional)
Set summer-time
Router# configure terminal

Router(config)# clock summer-time pst recurring

    または 

    
Router(config)# clock summer-time pst date apr 11 2010 12:00 nov 11 2010 12:00

  2. NTP を使用して時計を設定します。

    例:

    
Router(config)# ntp server 192.18.2.1
Router(config)# ntp master 2

トラストポイントを設定し、証明書を登録する

トラストポイントを設定し、証明書サーバに登録するには、Cisco Unified CME を CA サーバとして設定するを参照してください。 WebVPN によって生成されたデフォルトの自己署名証明書を使用することもできます。 このデフォルトの trustpoint は、webvpn gateway gateway name コマンドが初めて入力されたときに生成されます。


(注)  

IOS SSL VPN の DTLS は SSL 認証中に子証明書を使用するため、「vpn-trustpoint」を設定するときに「leaf」オプションを選択する必要があります。

VPN ゲートウェイの設定

WebVPN ゲートウェイは、SSL VPN のデフォルトのトラストポイント名を使用します。

「webvpn ゲートウェイ <name>」と入力すると、自己署名証明書が生成されます。 IP アドレスは、WebVPN ゲートウェイのインターフェイスまたはループバック インターフェイスに設定されたパブリック IP アドレスである必要があります。 次の例は、WebVPN ゲートウェイに設定されているパブリック IP アドレスを示しています。 


Router(config)# webvpn gateway sslvpn_gw
Router(config-webvpn-gateway)# ip address 1.5.37.13 port 443
Router(config-webvpn-gateway)# ssl encryption 3des-sha1 aes-sha1
Router(config-webvpn-gateway)# ssl trustpoint cme_cert
Router(config-webvpn-gateway)# inservice

(注)  

WebVPN 自己生成トラストポイントではなく、Cisco ユニファイド CME 生成トラストポイントを使用することをお勧めします。

ユーザデータベースを構成する

ユーザ データベースは、CME 上でローカルに設定することも、Radius サーバからリモートで設定することもできます。

手順

ステップ 1

ローカル データベースを構成します。

例:


Router(config)# aaa new-model
username anyone password 0 cisco
aaa authentication login default local

ステップ 2

認証用のリモート AAA Radius サーバを設定します。

例:


Router(config)# aaa new-model
aaa authentication login default group radius
radius-server host 172.19.159.150 auth-port 1923 acct-port 1924
radius-server key cisco

詳細については、http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/aaa.html#wp1062044 を参照してください。

仮想コンテキストを構成する

ユーザは、WebVPN ゲートウェイにアクセスするときに、URL に「ドメイン名」を指定することによって仮想コンテキストにアクセスできます (例: https://1.5.37.13/SSLVPNphone)。 次の例は、設定された仮想 VPN コンテキストを示しています。 


Router(config)# webvpn context sslvpn_context
 ssl encryption 3des-sha1 aes-sha1
 ssl authenticate verify all
 gateway sslvpn_gw domain SSLVPNphone
 inservice


When inservice  was entered, the system prompted: 000304: Jan 7 00:30:01.206: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up

グループポリシーを構成する

電話機の SSL VPN クライアントはフル トンネル モードで動作するため、WebVPN ゲートウェイはゲートウェイにログインしている各クライアントに IP アドレスを提供します。 以下を構成します。 


Router(config)# ip local pool SSLVPNphone_pool 30.0.0.50 30.0.0.70
Router(config)# webvpn context SSLVPNphone
Router(config-webvpn-context)# policy group SSLVPNphone
Router(config-webvpn-group)# functions svc-enabled
Router(config-webvpn-group)# hide-url-bar
Router(config-webvpn-group)# svc address-pool "SSLVPNphone_pool" netmask 255.255.255.0
Router(config-webvpn-group)# svc default-domain "cisco.com"
Router(config-webvpn-group)# exit
Router(config-webvpn-context)# default-group-policy SSLVPNphone
Router(config-webvpn-context)# no aaa authentication domain local
Router(config-webvpn-context)# gateway sslvpn_gw domain SSLVPNphone

ユーザ名とパスワードの認証のみを使用する場合は、以下を設定します。 

Router(config-webvpn-context)# no authentication certificate

証明書ベースの認証を使用する場合は、以下を設定します。 


Router(config-webvpn-context)# authentication certificate

Router(config-webvpn-context)# ca trustpoint cme_cert
Router(config-webvpn-context)# inservice

IOS SSL VPN 接続を確認する

PC のブラウザ(MS Internet Explorer)で、https://1.5.37.13/SSLVPN電話に接続し、証明書を受け入れます。 ログインするには、ユーザ名とパスワード「anyone」と「cisco」を入力します。 IOS SSL VPN のホームページが表示されるはずです。

手順

ステップ 1

IOS WEBVPN デバッグ:

例:


debug ssl openssl errors
debug ssl openssl msg
debug ssl openssl states

debug webvpn sdps
debug webvpn aaa (login authentication)

debug webvpn http verbose (for authentication)
debug webvpn webservice verbose
debug webvpn tunnel

debug crypto pki transactions  
debug crypto pki validations
debug crypto pki messages

PC ブラウザから、https://1.5.37.13/SSLVPN を介して IOS(1.5.37.x ネットワーク上)に接続します。 デフォルトのバナーがポップアップ表示されます。 ユーザ名とパスワードを入力してください。

ステップ 2

デフォルトの IP ルートを提供します。 次に例を示します。

例:


Router (c3745): ip route 30.0.0.0 255.255.255.0 FastEthernet0/
Router (c3745): ip route 10.0.0.0 255.255.255.0 1.5.37.11

(この限定ルートを強制しないと失敗します)。

SSL VPN 用の Cisco Unified SCCP IP Phone の設定

手順

ステップ 1

電話ロードは、 Cisco Unified Communications Manager Express の概要からダウンロードできます。

ステップ 2

互換性情報を選択します。

ステップ 3

お使いの電話機に適した電話ロードバージョンを選択してください。

汎用ソフトウェアのダウンロードは、 製品/テクノロジー サポート からも入手できます。

ステップ 4

音声および統合コミュニケーション > IP テレフォニー > IP 電話を選択します。

(注)  

 

電話ロード バージョン 8.3 を電話ロード バージョン 9.0 にアップグレードする前に、電話ロード バージョン 8.4 をダウンロードすることをお勧めします。 電話ロード バージョンを 8.4 にアップグレードせずに電話ロードを 9.0 にアップグレードしても機能しません。

ステップ 5

ハードリセット (電源投入時に # を押す) 後、 term65.default.loads を使用して残りのイメージを読み込むことができます。

Cisco Unified SCCP IP Phone の設定

手順

ステップ 1

[設定] > [セキュリティ構成(4)] > [VPN 構成(8)] に移動します。

ステップ 2

VPN コンセントレータの IP アドレスを確認します。 VPN ヘッドエンドを指す必要があります。

ステップ 3

Alt-TFTP を確認します ( [設定] > [ネットワーク構成] > [IPv4 構成])。 TFTP サーバのアドレスを手動で入力するには、代替 TFTP オプションを「はい」に設定します。 関連付けられた IP アドレスは、Cisco Unified CME の IP アドレスです。

ステップ 4

VPN 設定を 有効に設定します。 ユーザ インターフェイスに、 「VPN 接続を試行しています...」 と表示されます。

ステップ 5

VPN 接続が確立されていることを確認します。 [設定] > [ネットワーク設定] に移動します。 「VPN」ラベルに 「接続済み」と表示されます

(注)  

 

電話機をセキュア モードで使用している場合は、ephone 設定モードで capf-ip-in-cnf コマンドを追加することを忘れないでください。

Cisco Unified CME で SSL VPN を構成する

Cisco Unified CME で SSL VPN を設定するには、Cisco Unified CME で VPN グループとプロファイルを設定するを参照してください。

例: 


voice service voip
 vpn-group 1
  vpn-gateway 1 https://1.5.37.13/SSLVPNphone
  vpn-trustpoint 1 trustpoint R2811_cert leaf
 vpn-profile 1
  host-id-check disable

crypto pki server R2811_root
 database level complete
 grant auto
 lifetime certificate 7305
 lifetime ca-certificate 7305
crypto pki token default removal timeout 0
!
crypto pki trustpoint R2811_root
 enrollment url http://30.0.0.1:80
 revocation-check none
 rsakeypair R2811_root
!
crypto pki trustpoint R2811_cert
 enrollment url http://30.0.0.1:80
 serial-number
 revocation-check none

telephony-service
 cnf-file perphone

ephone 2
 device-security-mode none
 mac-address 001E.7AC4.DD25
 type 7965
 vpn-group 1
 vpn-profile 1
 button 1:5

telephony-service
 create cnf-files

ephone 2
 reset

DTLS を使用した Cisco Unified CME の VPN 電話冗長性サポート

VPN 電話は、IOS と Cisco Unified CME による冗長性を 2 つの方法でサポートします。

  1. 同じ vpn-gateway 構成を 2 つ以上の VPN グループ内で使用する

  2. Cisco Unified CME 冗長設定と 1 つ以上の vpn-gateway 設定を使用します。 これには、1 つの VPN ゲートウェイのみが使用されている場合、DTLS および SSL VPN ヘッドエンド IP が稼働状態を維持する必要があります。

Cisco Unified CME の冗長性は、プライマリ CME からセカンダリ CME にトラストポイントをインポートすると機能します。 http://www.cisco.com/en/us/docs/ios/security/command/reference/sec_c5.htmlを参照してください。 冗長化された Cisco Unified CME の詳細については、SCCP 電話機向け冗長 Cisco Unified CME ルータを参照してください。

エクスポート可能なキーを使用してトラストポイントを生成し、それを sast1 として使用する必要があります。 

SSL VPN クライアントの設定例

ASA を VPN ヘッドエンドとして SSL VPN を設定する例

次の例は、ASA を VPN ヘッドエンドとして使用して CME を設定する方法を示しています。 


Router# show running config
!
!
!
crypto pki server cme_root
 database level complete
 no database archive
 grant auto
 lifetime certificate 7305
 lifetime ca-certificate 7305
!
crypto pki trustpoint cme_root
 enrollment url http://10.201.160.201:80
 revocation-check none
 rsakeypair cme_root
!
crypto pki trustpoint cme_cert
 enrollment url http://10.201.160.201:80
 revocation-check none
!
!
!
!
voice service voip
vpn-group 1
 vpn-gateway 1 https://10.201.174.36/SSLVPNphone
 vpn-trustpoint 1 trustpoint cme_cert root
 vpn-hash-algorithm sha-1
vpn-profile 1
 host-id-check disable
 sip
!
!
!
ip http server
no ip http secure-server
!
telephony-service
 max-ephones 20
 max-dn 10
 ip source-address 10.201.160.201 port 2000
 cnf-file location flash:
 cnf-file perphone
 max-conferences 8 gain -6
 transfer-system full-consult
 create cnf-files version-stamp Jan 01 2002 00:00:00
!
!
ephone-dn 1
 number 2223
 label TestPhone
!
!
ephone 1
 device-security-mode none
 mac-address 001F.6C81.110E
 type 7965
 vpn-group 1
 vpn-profile 1
 button 1:1
!
end

CME で VPN ヘッドエンドとして DTLS を使用した SSL VPN を設定する例

次の例は、VPN ヘッドエンドとして CME 上で DTLS を使用して CME を設定する方法を示しています。 


!
ip domain-name cisco.com
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
crypto pki server cme_root
 database level complete
 no database archive
 grant auto
 lifetime certificate 7305
 lifetime ca-certificate 7305
!
crypto pki trustpoint cme_root
 enrollment url http://10.201.160.201:80
 revocation-check none
 rsakeypair cme_root
!
crypto pki trustpoint cme_cert
 enrollment url http://10.201.160.201:80
 revocation-check none
!
crypto pki trustpoint TP-self-signed-4067918560
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4067918560
 revocation-check none
 rsakeypair TP-self-signed-4067918560
!
!
!
voice service voip
vpn-group 1
 vpn-gateway 1 https://10.201.160.201/SSLVPNphone
 vpn-trustpoint 1 trustpoint cme_cert leaf
 vpn-hash-algorithm sha-1
vpn-profile 1
 host-id-check disable
sip
!
username kurt privilege 15 password 0 cisco
!
!
interface GigabitEthernet0/0
 ip address 10.201.160.201 255.255.255.192
 duplex auto
 speed auto
!
ip local pool SSLVPNphone_pool 10.201.160.202 10.201.160.203
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
!
telephony-service
 max-ephones 20
 max-dn 10
 ip source-address 10.201.160.201 port 2000
 cnf-file location flash:
 cnf-file perphone
 max-conferences 8 gain -6
 transfer-system full-consult
 create cnf-files version-stamp Jan 01 2002 00:00:00
!
!
ephone-dn 1
 number 2223
 label TestPhone
!
!
ephone 1
 device-security-mode none
 mac-address 001F.6C81.110E
 type 7965
 vpn-group 1
 vpn-profile 1
 button 1:1
!
webvpn gateway sslvpn_gw
 ip address 10.201.160.201 port 443
 ssl encryption 3des-sha1 aes128-sha1
 ssl trustpoint cme_cert
 inservice
!
webvpn context SSLVPNphone
gateway sslvpn_gw domain SSLVPNphone
ca trustpoint cme_cert
!
ssl authenticate verify all
inservice
!
policy group SSLVPNphone
 functions svc-enabled
 svc address-pool "SSLVPNphone_pool" netmask 255.255.255.224
 svc default-domain "cisco.com"
 hide-url-bar
 default-group-policy SSLVPNphone
!
end

次の例は、VPN 構成を示しています。 


Router #show voice vpn
The Voice Service VPN Group 1 setting:
VPN Gateway 1 URL https://9.10.60.254/SSLVPNphone
VPN Trustpoint hash in sha-1
VPN Trustpoint 1 trustpoint cme_cert root fbUqFIbtWtaYSGSlTP/Umshcgyk= The Voice Service
VPN Profile 1 setting:
The host_id_check setting: 0

SSL VPN クライアントの機能情報

次の表は、このモジュールで説明されている機能に関するリリース情報を示しています。 この表には、特定のソフトウェア リリース トレインで特定の機能のサポートを導入したソフトウェア リリースのみが記載されています。 特に明記されていない限り、そのソフトウェア リリース トレインの後続リリースでもその機能がサポートされます。

Cisco Feature Navigator を使用して、プラットフォームのサポートと Cisco ソフトウェア イメージのサポートに関する情報を検索します。 Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/に進みます。 Cisco.com のアカウントは必要ありません。
表 1. SSL VPN クライアントの機能情報

機能名

Cisco Unified CME バージョン

機能情報

DTLS を使用した Cisco Unified CME のサポート

8.6

DTLS を使用した Cisco Unified CME のサポートが導入されました。

SCCP IP 電話における SSL VPN クライアントのサポート

8.5

SSL VPN クライアント サポート機能を導入しました。