簡介
本文檔介紹如何在集群內的Cisco Unified Communications Manager(CUCM)節點之間建立IPsec連線。
附註:預設情況下,CUCM節點之間的IPsec連線處於禁用狀態。
必要條件
需求
思科建議您瞭解CUCM。
採用元件
本檔案中的資訊是根據CUCM版本10.5(1)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
使用本節中介紹的資訊配置CUCM並在集群中的節點之間建立IPsec連線。
組態概觀
以下是此過程中涉及的步驟,以下各節詳述了每個步驟:
- 檢驗節點之間的IPsec連線。
- 檢查IPsec證書。
- 從訂閱伺服器節點下載IPsec根證書。
- 將IPsec根證書從訂閱伺服器節點上傳到發佈伺服器節點。
- 配置IPsec策略。
檢驗IPsec連線
完成以下步驟,驗證節點之間的IPsec連線:
- 登入到CUCM伺服器的作業系統(OS)管理頁面。
- 導覽至Services > Ping。
- 指定遠端節點IP地址。
- 選中Validate IPsec覈取方塊並按一下Ping。
如果沒有IPsec連線,則會看到類似以下的結果:
檢查IPsec證書
完成以下步驟即可檢查IPsec憑證:
- 登入到「作業系統管理」頁。
- 導覽至Security > Certificate Management。
- 搜尋IPsec證書(分別登入到發佈伺服器和訂閱伺服器節點)。
附註:通常無法從發佈伺服器節點檢視訂閱伺服器節點IPsec證書;但是,可以將所有訂閱伺服器節點上的發佈伺服器節點IPsec證書視為IPsec-Trust證書。
要啟用IPsec連線,必須將來自一個節點的IPsec證書設定為另一個節點上的ipsec-trust證書:
從訂閱伺服器下載IPsec根證書
完成以下步驟,以便從訂閱伺服器節點下載IPsec根證書:
- 登入到訂閱伺服器節點的OS管理頁。
- 導覽至Security > Certificate Management。
- 開啟IPsec根證書並以.pem格式下載:
將IPsec根證書從訂閱伺服器上載到發佈伺服器
完成以下步驟,將IPsec根證書從訂閱伺服器節點上傳到發佈伺服器節點:
- 登入到發佈伺服器節點的「作業系統管理」頁。
- 導覽至Security > Certificate Management。
- 點選Upload Certificate/Certificate chain,然後上傳使用者節點IPsec根證書作為ipsec-trust證書:
- 上傳憑證後,確認訂閱者節點IPsec根憑證是否按以下方式顯示:
附註:如果需要啟用群集中多個節點之間的IPsec連線,則必須同時下載這些節點的IPsec根證書,並通過相同過程將其上傳到Publisher節點。
配置IPsec策略
完成以下步驟以配置IPsec策略:
- 分別登入到發佈伺服器和訂閱伺服器節點的「作業系統管理」頁。
- 導航到Security > IPSEC Configuration。
- 使用以下資訊設定IP和憑證詳細資訊:
*****
PUBLISHER : 10.106.122.155 & cucm912pub.pem
SUBSCRIBER: 10.106.122.15 & cucm10sub.pem
*****
驗證
完成以下步驟,驗證您的配置是否有效,以及節點之間是否建立了IPsec連線:
- 登入到CUCM伺服器的作業系統管理。
- 導覽至Services > Ping。
- 指定遠端節點IP地址。
- 選中Validate IPsec覈取方塊,然後按一下Ping。
如果已建立IPsec連線,則您會看到類似以下的訊息:
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊