Inleiding
Dit document beschrijft hoe u IPsec-connectiviteit kunt instellen tussen de knooppunten van Cisco Unified Communications Manager (CUCM) binnen een cluster.
Opmerking: Standaard is de IPsec-verbinding tussen de CUCM-knooppunten uitgeschakeld.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van CUCM.
Gebruikte componenten
De informatie in dit document is gebaseerd op CUCM versie 10.5(1).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
Gebruik de informatie die in deze sectie wordt beschreven om de CUCM te configureren en IPsec-connectiviteit tussen de knooppunten in een cluster te realiseren.
Overzicht van configuratie
Hieronder volgen de stappen die bij deze procedure betrokken zijn. Deze worden allemaal in de volgende paragrafen beschreven:
- Controleer de IPsec-connectiviteit tussen de knooppunten.
- Controleer de IPsec-certificaten.
- Download de IPsec root certificaten van het Subscriber-knooppunt.
- Upload het IPsec root certificaat van het Subscriber-knooppunt naar het knooppunt van Uitgevers.
- Configureer het beleid van IPsec.
Controleer de connectiviteit van IPsec
Voltooi deze stappen om de IPsec-connectiviteit tussen de knooppunten te controleren:
- Log in op de beheerpagina van het besturingssysteem van de CUCM server.
- Navigeer naar services > Ping.
- Specificeer het IP-adres van het externe knooppunt.
- Controleer het aanvinkvakje IPsec valideren en klik op Ping.
Als er geen IPsec-connectiviteit is, ziet u resultaten vergelijkbaar:
IPsec-certificaten controleren
Voltooi de volgende stappen om de IPsec-certificaten te controleren:
- Log in op de pagina OS-beheer.
- Blader naar Security > certificaatbeheer.
- Zoeken naar de IPsec-certificaten (los van de knoppen Uitgever en Subscriber).
Opmerking: Het certificaat van Subscriber Node IPsec is gewoonlijk niet zichtbaar voor het knooppunt van Uitgevers. u kunt echter de IPsec-certificaten van het publiceerknooppunt op alle Subscriber-knooppunten zien als een IPsec-trust-certificaat.
Om IPsec-connectiviteit mogelijk te maken, moet u een IPsec-certificaat van één knooppunt hebben ingesteld als een ipsec-trust-certificaat voor het andere knooppunt:
IPsec Root-certificaat downloaden bij Subscriber
Voltooi deze stappen om het IPsec-wortelcertificaat te downloaden van het Subscriber-knooppunt:
- Log in op de pagina OS-beheer van het Subscriber-knooppunt.
- Blader naar Security > certificaatbeheer.
- Open het IPsec-wortelcertificaat en download het in .pem-indeling:
IPsec-wortelcertificaat uploaden van Subscriber naar Publisher
Voltooi deze stappen om het IPsec root certificaat van de Subscriber Node naar het knooppunt van de uitgever te uploaden:
- Log in op de pagina OS-beheer van het knooppunt Uitgever.
- Blader naar Security > certificaatbeheer.
- Klik op Upload certificaatketting/certificaatketting en uploaden het Subscriber Node IPsec-basiscertificaat als een ipsec-trust certificaat:
- Controleer na het uploaden van het certificaat of het Subscriber Node IPsec root certificaat verschijnt zoals wordt weergegeven:
Opmerking: Als u IPsec-connectiviteit tussen meerdere knooppunten in een cluster moet inschakelen en dan moet u ook de IPsec-wortelcertificaten voor die knooppunten downloaden en via dezelfde procedure naar het knooppunt van Uitgevers uploaden.
IPsec-beleid configureren
Voltooi deze stappen om het IPsec-beleid te configureren:
- Meld u afzonderlijk aan in de OS-beheerpagina van de uitgever en de Subscriber-knooppunten.
- Navigeer naar security > IPSEC-configuratie.
- Gebruik deze informatie om de IP- en certificaatgegevens te configureren:
*****
PUBLISHER : 10.106.122.155 & cucm912pub.pem
SUBSCRIBER: 10.106.122.15 & cucm10sub.pem
*****
Verifiëren
Voltooi deze stappen om te verifiëren dat uw configuratie werkt en dat de IPsec-connectiviteit tussen de knooppunten is vastgesteld:
- Log in op de OS-beheerder van de CUCM-server.
- Navigeer naar services > Ping.
- Specificeer het IP-adres van het externe knooppunt.
- Controleer het aanvinkvakje IPsec bevestigen en klik op Ping.
Als de IPsec-connectiviteit is gerealiseerd, ziet u een vergelijkbaar bericht:
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie