AnyConnect を使用して IP 電話 SSL VPN から ASA へ接続

CscTsWebDocs · ‎2011-03-30

CUCM 8.0.1 および IP Phone Firmware 9.X では、AnyConnect を使用して IP 電話から ASA へ直接接続できるようになりました。このドキュメントでは、初期設定時によくみられる問題とその対処方法について説明します。

必須ソフトウェアバージョン

CUCM：8.0.1.100000-4 以上

IP phone：9.0(2)SR1S - SCCP 以上

ASA：8.0.4 以上

AnyConnect VPN パッケージ：2.4.1012 以上

注：「Premium」ライセンスおよび「AnyConnect for Cisco VPN Phone」ライセンスが必要です。「AnyConnect for Cisco VPN Phone」の部品番号は L-ASA-AC-PH-55XX（XX = 05、10、20、40、50、80）です。

必要な電話機モデル

7942/7962/7945/7965/7975

必要な CUCM 設定

この機能に必要な CUCM 設定について詳しくは、以下のドキュメントを参照してください。

注：VPN ゲートウェイの URL に、ASA の適切なトンネルグループへ接続するための正しいフルアドレスが含まれていることを確認してください。

必要な電話設定

1. CUCM リリースノートをご参照の上、サポート対象の電話モデルを使用してください。

2. TFTP サーバで IP 電話機を手動で設定します。

3. ASA が使用するルート証明書または ID 証明書を、CUCM 経由で IP 電話機へインポートします。

必要な ASA 設定

ASA で Anyconnect VPN アクセスを設定し、ネットワークへアクセスできるようにします。

その他の要件

ASA で AnyConnect for Cisco VPN Phone ライセンスが有効になっている必要があります。ライセンス情報を確認するには、show version コマンドを使用します。
グループポリシーが split tunnel および split exclude に設定されていないことを確認します。サポートされているトンネリングポリシーは tunnel all だけです。
トンネルグループ DefaultWEBVPNGroup は使用できません。他のトンネルグループを作成し、「group-URLhttps://x.x.x.x/phonevpn enable を使用して正しいトンネルグループにマッピングします。
DTLS を有効にし、機能するようにネゴシエートします。そのためには、ASA と IP 電話間のすべてのデバイスで tcp/443 と udp/443 を開き、許可する必要があります。

トラブルシューティングの手順

内部インターフェイスと同じサブネットで電話をつなぎます。これによって、VPN を追加する前に、電話の設定が適切かどうかをテストします。
PC 上の AnyConnect に接続します。これにより、ASA が正しく設定され、AnyConnect が正常に機能することを確認します。
接続先の PC から TFTP サーバおよび CUCM サーバへ ping を実行します。これにより、これら 2 台のサーバへの基本的な IP 接続をテストします。
PCから、対象となる IP 電話の TFTP config ファイルをダウンロードします（- i <TFTP Server> GET SEP <MACアドレス>.cnf.xml）。これにより、TFTP サーバが正常に機能しており、接続可能であることを確認します。
PC から、CUCM サーバ上の TCP ポート 2000 へ telnet 接続します（telnet <CUCM IP> 2000）。これはすぐに改行され、ブランクカーソルとなります。これにより、SCCP サービスへの接続をテストします（SIP レジストレーションではポート 5060 を使用）。
通常の電話登録プロセスをテストします。

一般的な問題

音声が一方向のみ、または音声がまったく聞こえない。電話機を登録して電話をかけたが、音声が聞こえない。電話/RTP ストリームの 2 つのエンドポイント間のルーティングを確認してください。

-----------------------------------------------------------------------

DOC-9124