Dit document beschrijft hoe u IP-telefoons kunt configureren via een Secure Socket Layer VPN (SSL VPN), ook bekend als een WebVPN. Twee Cisco Unified Communications Manager (CallManager) en drie typen certificaten worden met deze oplossing gebruikt. De CallManager is:
De certificeringstypes zijn:
Het belangrijkste concept om te begrijpen is dat, zodra de configuratie op de SSL VPN gateway en CallManager is voltooid, u zich lokaal bij de IP telefoons moet aansluiten. Dit stelt de telefoons in om zich aan te sluiten bij CUCM en de juiste informatie en certificaten van VPN te gebruiken. Als de telefoons niet lokaal worden aangesloten, kunnen zij de SSL VPN gateway niet vinden en hebben niet de juiste certificaten om de SSL VPN handdruk te voltooien.
De meest gebruikelijke configuraties zijn CUCM/Unified CME met ASA zelfgetekende certificaten en Cisco IOS zelfondertekende certificaten. Dientengevolge, zijn zij het makkelijkst te vormen.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De basisconfiguratie van ASA SSL VPN wordt in deze documenten beschreven:
Zodra deze configuratie is voltooid, moet een externe testpc in staat zijn om verbinding te maken met de SSL VPN-gateway, verbinding te maken via AnyConnect en de CUCM te typen. Zorg ervoor dat de ASA een AnyConnect heeft voor Cisco IP-telefoonlicentie. (Gebruik de opdracht tonen.) Zowel TCP- als UDP-poort 443 moet geopend zijn tussen de poort en de client.
Raadpleeg IP-telefoon SSL VPN naar ASA met AnyConnect voor meer informatie.
De ASA moet een licentie hebben voor AnyConnect voor Cisco VPN-telefoon. Nadat u SSL VPN vormt, kunt u vervolgens uw CUCM voor VPN configureren.
ciscoasa(config)# crypto ca export trustpoint name identity-certificateDeze opdracht geeft een pem-gecodeerd identiteitsbewijs aan de terminal weer.
ciscoasa(config)# crypto ca trustpoint certificate-name
ciscoasa(config-ca-trustpoint)# enrollment terminal
ciscoasa(config)# crypto ca authenticate certificate-name
ciscoasa# configure terminal
ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone
enable
ciscoasa(config-tunnel-webvpn)# exit
Deze configuratie lijkt erg op de configuratie die in CUCM is beschreven: ASA SSLVPN met de sectie zelfgetekende Certificaten Configuration, behalve dat u certificaten van derden gebruikt. Het configureren van SSL VPN op de ASA met certificaten van derden zoals beschreven in ASA 8.x Installeer handmatig 3-partijverkopers Certificaten voor gebruik met WebVPN Configuratievoorbeeld.
De basisconfiguratie van Cisco IOS SSL VPN wordt in deze documenten beschreven:
Zodra deze configuratie is voltooid, moet een externe testpc in staat zijn om verbinding te maken met de SSL VPN-gateway, verbinding te maken via AnyConnect en de CUCM te typen. In Cisco IOS 15.0 en hoger moet u een geldige SSL VPN-licentie hebben om deze taak te voltooien. Zowel TCP- als UDP-poort 443 moet geopend zijn tussen de poort en de client.
Deze configuratie is vergelijkbaar met de configuratie die in CUCM is beschreven: ASA LVPN met configuratie en CUCM van derden voor certificaten: ASA SSLVPN met zelfgetekende delen van de configuratie van certificaten. De verschillen zijn:
R1(config)# crypto pki export trustpoint-name pem terminal
R1(config)# crypto pki trustpoint certificate-name
R1(config-ca-trustpoint)# enrollment terminal
R1(config)# crypto ca authenticate certificate-name
De WebVPN context configuratie zou deze tekst moeten tonen:
gateway webvpn_gateway domain VPNPhone
Het CUCM configureren zoals in CUCM beschreven wordt: ASA SSLVPN met zelfgetekende sectie van de configuratie van certificaten.
Deze configuratie is vergelijkbaar met de configuratie die in CUCM is beschreven: ASA SSLVPN met zelfgetekende sectie van de configuratie van certificaten. Configureer uw Webex met een certificaat van een derde.
De configuratie van het Unified CME is vergelijkbaar met de configuraties van het CUCM; De WebVPN eindpuntconfiguraties zijn bijvoorbeeld hetzelfde. Het enige significante verschil is de configuraties van de Unified CME call agent. Configureer de VPN-groep en het VPN-beleid voor Unified CME zoals beschreven in SSL VPN-client configureren voor SCCP IP-telefoons.
Om de certificaten van de gateway WebVPN uit te voeren, verwijs naar de ASA/routersectie. Als u een certificaat van een derde gebruikt, moet u de volledige certificaatketen vermelden. Als u de certificaten aan het Unified CME wilt importeren, gebruikt u dezelfde methode als die gebruikt wordt om certificaten in een router in te voeren:
CME(config)# crypto pki trustpoint certificate-name
CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name
De Cisco Unified Communications 500 Series Model UC 520 IP-telefoon is aanzienlijk anders dan de CUCM- en CME-configuraties.
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Dec-2013 |
Eerste vrijgave |