管理 IPSec 策略

IPsec 策略概述

IPsec 是一个框架,它通过使用加密安全服务确保私人、安全的 IP 网络通信。 IPsec 策略用于配置 IPsec 安全服务。 策略为您网络中的大多数流量类型提供不同级别的保护。 您可以配置 IPsec 策略,以满足计算机、组织单位 (OU)、域、站点或全球企业的安全需求。

配置 IPsec 策略

  • 由于在系统升级过程中对 IPsec 策略所做的任何更改都会丢失,所以在升级期间不要修改或创建 IPsec 策略。

  • IPsec 需要双向部署,或每个主机(或网关)一个对等机。

  • 当您在两个节点上部署 IPsec 策略时,Unified Communications Manager一个 IPsec 策略协议设置为 “ANY”,另一个 IPsec 策略协议设置为 “UDP”“TCP”,如果从使用 “ANY” 协议的节点运行验证,可能会导致漏报。

  • IPsec,尤其是使用加密时,会影响系统性能。

  • 如果在当前版本或升级版本上配置了 IPsec 策略,但未在基本版本上配置,请确保在尝试将此版本切换到基本版本时删除或禁用 IPsec 策略。 这是因为 IPsec 策略将仅在其中一个节点上配置,而在切换回这两个版本之前,其他节点不会配置 IPsec 策略。 否则,这会导致连接问题。

  • Unified CM 节点重新启动后,如果 IPsec 连接未启动,请确保使用命令 utils ipsec restart 重新启动 IPsec 服务,以成功建立 IPsec 连接。 此解决方法是用来在建立网络连接之前缓解 IPsec 服务重新启动的任何问题。

  • 从版本 14 开始,IPsec 证书不再自动上传到 IPsec 信任列表。

    对 IPsec 证书进行更改时,需要重新启动 IPsec 服务。

过程

步骤 1

从 Cisco Unified 操作系统管理中,选择安全 > IPSec 配置

步骤 2

单击新增

步骤 3

配置 IPSEC 策略配置窗口中的字段。 请参阅联机帮助,了解有关字段及其配置选项的更多信息。

步骤 4

单击保存

步骤 5

(可选) 要验证 IPsec,选择服务 > Ping,选中验证 IPsec 复选框,然后单击 Ping

选中 IPsec 证书

使用此过程选中 IPsec 证书:

过程

步骤 1

从 Cisco Unified 操作系统管理中,选择安全 > 管理证书

步骤 2

指定搜索条件,然后单击查找

步骤 3

搜索 IPsec 证书(分别登录到发布方和订阅方节点)。

 

通常,无法在发布方节点上查看订阅方节点 IPsec 证书。 但是,可以在 IM and Presence 服务节点的订阅方节点上查看发布方节点 IPsec 证书。

要启用 IPsec 连接,必须在所有 Unified Communications Manager 节点上使用来自其他系统的 CA 签名 IPsec 证书作为 IPsec 信任证书。

在将新证书上载到 IPsec-信任之前,必须删除 IPsec-信任中具有相同公用名称的以前的证书

管理 IPsec 策略

过程

步骤 1

从 Cisco Unified 操作系统管理中,选择安全 > IPSEC 配置

步骤 2

要显示、启用或禁用策略,请执行这些步骤:

  1. 单击策略名称。

  2. 要启用或禁用策略,请选中或取消选中启用策略复选框。

  3. 单击保存

     
    在禁用 IPsec 策略后,请使用 show network cluster 命令来检查集群的身份验证状态。 如果在其间创建和禁用 IPsec 策略的节点未经过身份验证,请确保使用 utils ipsec restart 命令在两个节点上重新启动 IPsec 服务。

步骤 3

要删除一项或多项策略,请执行这些步骤:

  1. 选中您要删除的各项策略旁边的复选框。

    您可以单击全部选择以选择所有策略,或单击全部清除以清除所有复选框。

  2. 单击删除选定项