Integración de Jabber On-Demand con el cliente Anyconnect para dispositivos iOS de Apple

Introducción

El cliente móvil Jabber de Cisco para los dispositivos iOS de Apple, como el iPhone y el iPad, smartphones y tablets permite hacer y recibir llamadas de la empresa de voz o de voz y vídeo sobre IP. La aplicación cliente de Cisco Jabber móvil con dispositivos de Apple iOS se registra y comunica con el Unified Communications Manager (UCM), que utiliza el Protocolo de Iniciación de Sesión (SIP) como protocolo de señalización.

El cliente móvil de Cisco Jabber también permite funciones adicionales, como el acceso al directorio corporativo, correo de voz visual, y en algunos casos, la mensajería instantánea de la empresa, y su presencia.

Este documento contiene información y un ejemplo de configuración para AnyConnect con el Jabber On-Demand para los dispositivos de Apple iOS.

Contribución de Gustavo Medina y Walter López, Ingenieros de Cisco TAC.

Requisitos Previos

El Servidor Call Manager de Cisco debe estar preparado para soportar el Cisco Jabber de los dispositivos de Apple iOS. Consulte estos recursos para obtener más información.

Connect on Demand sólo admite conexiones basadas en certificados de autenticación, la autenticación por medio de certificados no se cubre en este documento. Antes de empezar, asegúrese de:

1.Confirmar que tiene un certificado SSL válido instalado en el dispositivo móvil.

2.Confirmar que el ASA está enrolado con un certificado SSL válido.

3.Confirmar que el ASA está configurado para autenticar la sesión con el uso de certificados.

Requisitos

Asegúrese de que cumple estos requisitos antes de realizar esta configuración:

  • Licencia AnyConnect Premium o licencia AnyConnect Essentials.
  • Licencia de AnyConnect móviles.

Referirse a ¿Qué licencia es necesaria en el ASA para conexiones VPN de un telefono IP y un dispositivo móvil? para más detalles.

Componentes Utilizados

Los requisitos del sistema pueden ser diferentes dependiendo de la versión de Jabber. Consulte las Notas de la versión utilizada para los requisitos exactos.

La información contenida en este documento es compatible con estas versiones de software y hardware:

  • Cisco Unified Communications Manager (CUCM) 7.1.5, 8.0.3, 8.5, 8.6, y 9.0
  • AnyConnect Secure Mobility Client versión 2.5.5130 o posterior
  • Cisco ASA 5500 Adaptive Security Appliance versión 8.4 (1) o posterior
  • Cisco Adaptive Security Device Manager (ASDM) versión 6.4 o posterior
  • iPhone 3GS modelo, 4, 4S y 5
  • iPod Touch tercera, cuarta generación, o quinta (tercera generación de iPod Touch requiere un micrófono externo para las llamadas)
  • iOS: iOS 5, 6 y 6.1
  • iPad 2 o iPad con Retina display

La información contenida en este documento ha sido creadoa a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento iniciaron con una configuración limpia (por defecto). Si la red es de producción, asegúrese de que entiende el impacto potencial de cualquier comando.

Convenciones

Referirse a Convenciones Técnicas de Cisco para más detalles sobre concenciones de documentos.

Función de Jabber On-Demand con el cliente Anyconnect

A muchos administradores les gusta la idea de que la aplicación Jabber inicie de forma automática la conexión de VPN cuando se necesite.

Por ejemplo, la apliceción Jabber funciona bien cuando los usuarios están en la red corporativa a través de una red inalámbrica y también a través de VPN cuando el cliente AnyConnect se conecta manualmente. Sin embargo, es posible que se desee evitar la interacción del usuario y teber una función de On-Demand en su lugar.

La aplicación Jabber primero contacta al servidor TFTP. Si no se puede alcanzar, después utiliza una búsqueda de DNS para la dirección VPN On-Demand definida en el dispositivo TCT en el Call Manager. Esto significa que si el cliente está en la red de la empresa, entonces el VPN no debe ser activado. Sin embargo, si el cliente se encuentra en una red externa, entonces se activa la función de On-Demand.

Con el fin de que el cliente Jabber pueda activar la conexión VPN de forma automática:

  • La misma URL que se utiliza en el TCT debe ser utilizada en el dominio On-Demand del AnyConnect.
  • La red de la empresa no debe estar directamente disponible cuando los usuarios inician Jabber.
  • El iPhone se puede conectar con el acceso On-Demand con la autenticación basada en certificados.
  • Jabber debe identificar un URL que este configurado para iniciar el VPN On-Demand, entonces usted debe introducir la URL en el cliente AnyConnect, el detonante de VPN On-Demand es una consulta DNS fallida hacia este dominio.

Con el fin de establecer el Jabber On-Demand función, utilice uno de estos métodos:

  1. Configure el CUCM para ser alcanzado a través de un nombre de dominio (no una dirección IP) y asegúrese de que el nombre de dominio no se puede resolver fuera del ASA. Incluir este dominio en la lista de Connect If Needed del cliente AnyConnect en la lista de dominos de On-Demand.
  2. Si no puede utilizar un nombre de dominio para acceder CUCM o no puede hacer que la búsqueda de DNS de ese nombre de dominio falle fuera del ASA, debe introducir un dominio inexistente en la URL On-Demand (esto hace que la consulta DNS falle dentro y fuera del ASA). A continuación, se debe añadir ese dominio a la lista Always Connect del cliente AnyConnect en la lista de dominos de On-Demand.

  • Los dispositivos iOS de Apple establecen una conexión VPN en nombre de una aplicación sólo si todos estos factores son verdaderos:
  • Una conexión VPN no está ya establecida.
  • Una aplicación especifica un destino con el nombre de dominio completo (FQDN) en lugar de una dirección IP.
  • La conexión está configurada para utilizar un certificado válido.
  • Connect On-Demand está habilitado para de conexión.
  • AnyConnect no coincide la solicitud de dominio con con ningun dominio definido en la lista Never Connect.
  • Cualquiera de las siguientes condiciones:
    • AnyConnect coincide la solicitud de dominio con un dominio definido en la lista Always Connect.
    • Una búsqueda de DNS falló, y AnyConnect coincide la solicitud de dominio con un dominio definido en la lista Connect if needed.

Experiencia del usuario, Iniciación del VPN en iOS

  • El usuario final remoto inicia el cliente de Jabber.
  • El cliente Jabber dispara el VPN On-Demand, y el cliente AnyConnect establece una conexión VPN SSL con el ASA utilizado una autenticación basada en certificados.
  • Jabber conecta al CUCM utilizando el túnel VPN SSL como medio de transporte.
  • Cuando el SSL VPN se establece como consecuencia de la función de On-Demand, el usuario no verá un mensaje emergente o, la única indicación de que el AnyConnect está conectado es el logotipo indicador de VPN en la barra superior.

1.png

Consideraciones Importantes

  • Apple iOS proporciona mecanismos, como On-Demand VPN, para iniciar automáticamente un túnel VPN para el usuario. Sin embargo, estos mecanismos no cierran o finalizan automáticamente el túnel cuando el usuario haya terminado su acceso a la red corporativa.
  • Recuerde que en AnyConnect Release 2.5.4038 y posterior, usted puede tomar ventaja de las adiciones específicas para móviles en el perfil XML de AnyConnect y configurar los atributos On-Demand en el perfil.
  • Los usuarios no pueden configurar manualmente On-Demand en los perfiles de conexión descargados del ASA.
  • Para la configuración de AnyConnect On-Demand en el perfil XML, utilice el misma URL que ha introducido en el CUCM como URL de VPN On-Demand.
  • La conexión SSL entre el AnyConnect y ASA debe utilizar un group-url o un mapeo de certificados con el fin de seleccionar a qué perfil de conexión (túnel-group) se conecta, la conexión no debería pedir ninguna interacción del usuario con el fin de la función On-Demand funcione adecuadamente.
  • Actualmente, Cisco Jabber IM (mensajería instantánea) no admite la función de On-Demand. Por lo tanto, debe establecer manualmente la conexión VPN para IM.

Ejemplo de configuración de la función On-Demand de Jabber

Nota: Use la Herramienta de búsqueda de comandos (Usuarios Registrados solamente) para obtener más información acerca de los comandos utilizados en esta sección.

Paso 1: Encontrar el dominio

Encontrar el dominio que el Jabber tiene que utilizar con el fin de activar la función de On-Demand. Esto se puede encontrar al abrir la aplicación de Jabber en el iPhone, por ejemplo. Vaya a Settings > Internet Calling > TFTP Server. En este ejemplo, el valor es cucm.cisco.com.

2.png

Paso 2: Crear un perfil XML

El siguiente paso es crear el perfil XML para el AnyConnect. Vaya al ASDM.

  1. Abra el perfil en el AnyConnect Client Profile Editor - ON_DEMAND,  y vaya a a la lista de servidores.

    3.png

  2. Seleccione la lista de servidores y haga click en Edit.

    4.png

  3. Seleccione la sección de Additional mobile-only settings y haga click en Edit. La ventana de ajustes para móviles se abrirá.

    5.png

  4. En la ventana de ajustes para móoviles, seleccione Connect on Demand (requires certificate authentication).

    6.png

En la sección Match Domain or Host/On-Demand Action, agregue el URL que el Jabber utilizará para conectar y seleccione la acción adecuada de connect On-Demand, dependiendo de sus necesidades (Always Connect o Connect If Needed).

7.png

Paso 3: Descargar el perfil XML y verificar el/los dominio(s) en el perfil

Cuando el perfil XML se descargue en el AnyConnect, compruebe los dominios en el iPhone y asegúrese de que el perfil XML es el mismo que se ha configurado en el ASDM.

8.png

Paso 4: Encontrar el Jabber Device ID en el Communications Manager del telefono

En este ejemplo, el Device ID muestra TCTIPHONE.

9.png

Paso 5: Encontrar el dispositivo en la sección de Administración del CUCM

En el CUCM, haga click  en Device > Phone y la lista the telefonos conectados (o configurados) serán mostrados. En este ejemplo, TCTIPHONE aparece en la lista.

10.png

Paso 6: Agregar el dominio al TCT del telefono

En la sección Phone Configuration, ingrese el URL en el campo On-Demand VPN URL.

Nota: El URL solo debe incluir el nombre de dominio. No incluya un protocolo o path.

En el TCT device, defina en el campo On-Demand VPN URL un valor que no pueda ser resuleto externamente. Esto solamente es para disparar la conexión. Por ejemplo, puede utilizar "cucm.cisco.com" sin https:// o http://. Además, asegurese que ud utilice el mismo dominio en el perfil XML del Anyconnect.

11.png

Información Relacionada

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎07-03-2013 09:54 AM
Actualizado por:
 
Etiquetas (1)