Name
|
セキュリティ プロファイルの名前を入力します。新しいプロファイルを保存すると、[Trunk Configuration] ウィンドウの [SIP Trunk Security Profile] ドロップダウン リスト ボックスにその名前が表示されます。
|
[Description]
|
セキュリティ プロファイルの説明を入力します。説明には、任意の言語で最大 50 文字を指定できますが、二重引用符(")、パーセント記号(%)、アンパサンド(&)、バックスラッシュ(\)、山カッコ(<>)は使用できません。
|
[Device Security Mode]
|
ドロップダウン リスト ボックスから、次のいずれかのオプションを選択します。
- [Non Secure]:イメージ認証以外のセキュリティ機能は適用されません。TCP または UDP 接続が Unified Communications Manager に対して開きます。
- [Authenticated]:Unified Communications Manager はトランクの整合性と認証を提供します。NULL/SHA を使用する TLS 接続が開きます。
- [Encrypted]:Cisco Unified Communications Manager は、トランクの整合性、認証、およびシグナリング暗号化を提供しています。AES128/SHA を使用する TLS 接続がシグナリング用に開きます。
(注)
|
[認証済み] として選択されている [デバイスのセキュリティ プロファイル (トランク)] を使用して設定した場合、Cisco ユニファイドコミュニケーションマネージャーは、NULL_SHA 暗号を使用した TLS connection (データ暗号化なし)
を開始します。
これらのトランクは、通知先デバイスが NULL_SHA 暗号をサポートしていない場合は、そのデバイスを登録したり、コールを発信したりしません。
NULL_SHA 暗号をサポートしていない通知先デバイスでは、[暗号化 (Encrypted)] として選択した [デバイスのセキュリティ プロファイル (トランク)] で設定する必要があります。このデバイス セキュリティ プロファイルを使用すると、トランクは、データの暗号化を可能にする追加の
TLS 暗号を提供します。
|
|
[Incoming Transport Type]
|
[Device Security Mode] が [Non Secure] の場合、転送タイプは TCP+UDP になります。
[Device Security Mode] が [Authenticated] または [Encrypted] の場合、転送タイプは TLS になります。
(注)
|
Transport Layer Security(TLS)プロトコルは Unified Communications Manager とトランクとの間の接続を保護します。
|
|
[Outgoing Transport Type]
|
ドロップダウン リスト ボックスから適切な発信転送モードを選択します。
[Device Security Mode] が [Non Secure] の場合、TCP または UDP を選択します。
[Device Security Mode] が [Authenticated] または [Encrypted] の場合、転送タイプは TLS になります。
(注)
|
TLS により、SIP トランクのシグナリング整合性、デバイス認証、およびシグナリングの暗号化が実現します。
|
ヒント
|
Unified Communications Manager システムと TCP の再使用をサポートしない IOS ゲートウェイとの間の SIP トランクを接続する場合、出力転送タイプとして UDP を使用する必要があります。
|
|
[Enable Digest Authentication]
|
ダイジェスト認証を有効にする場合に、このチェックボックスをオンにします。このチェックボックスをオンにすると、Unified Communications Manager はトランクからのすべての SIP 要求に対してチャレンジを行います。
ダイジェスト認証ではデバイス認証、整合性、機密性は提供されません。これらの機能を使用するには、セキュリティ モードとして [Authenticated] または [Encrypted] を選択します。
ヒント
|
TCP または UDP 転送を使用しているトランクで SIP トランク ユーザを認証するには、ダイジェスト認証を使用します。
|
|
[Nonce Validity Time]
|
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Unified Communications Manager は新しい値を生成します。
(注)
|
ナンス値は、ダイジェスト認証をサポートする乱数であり、ダイジェスト認証パスワードの MD5 ハッシュを計算するときに使用されます。
|
|
安全な証明書の件名またはサブジェクトの別名
|
このフィールドは、着信転送タイプおよび発信転送タイプに TLS を設定した場合に適用されます。
デバイス認証では、SIP トランク デバイスのセキュアな証明書のサブジェクトまたはサブジェクト代替名を入力します。Unified Communications Manager クラスタがある場合、または TLS ピアに SRV ルックアップを使用する場合は、単一のトランクは複数のホストに解決されることがあります。このように解決された場合、トランクに複数のセキュアな証明書のサブジェクトまたはサブジェクト代替名が設定されます。X.509
のサブジェクト名が複数存在する場合、スペース、カンマ、セミコロン、コロンのいずれかを入力して名前を区切ります。
このフィールドには、最大 4096 文字を入力できます。
ヒント
|
サブジェクト名はソース接続の TLS 証明書に対応します。サブジェクト名が、サブジェクト名とポートで一意であることを確認します。異なる SIP トランクに同じサブジェクト名と着信ポートの組み合わせを割り当てることはできません。例: ポート 5061
の SIP TLS trunk1 は、セキュリティ保護された証明書の件名またはサブジェクト代替名 my_cm1, my_cm2 を持っています。ポート 5071 の SIP TLS trunk2 には、セキュリティで保護された証明書のサブジェクトまたはサブジェクト代替名
my_cm2, my_cm3 があります。ポート 5061 の SIP TLS trunk3 は、セキュリティで保護された証明書の件名またはサブジェクト代替名my_ccm4を含むことができますが、安全な証明書のサブジェクトまたはサブジェクト代替名
my_cm1 を含めることはできません。
|
|
[Incoming Port]
|
着信ポートを選択します。0 ~ 65535 の範囲で一意のポート番号を入力します。着信 TCP および UDP SIP メッセージ用のデフォルト ポート値は 5060 です。着信 TLS メッセージ用の SIP セキュア ポートのデフォルト ポート値は
5061 です。入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。
ヒント
|
TLS を使用するすべての SIP トランクは同じ着信ポートを共有できます。TCP + UDP を使用するすべての SIP トランクは同じ着信ポートを共有できます。同じポートで、SIP TLS 転送トランクと SIP 非 TLS 転送トランク
タイプとを混在させることはできません。
|
|
[Enable Application Level Authorization]
|
アプリケーション レベルの認証は、SIP トランクを介して接続されるアプリケーションに適用されます。
このチェックボックスをオンにする場合、[Enable Digest Authentication] チェックボックスもオンにして、トランクのダイジェスト認証を設定する必要があります。Unified Communications Manager は許可されているアプリケーション方式を確認する前に、SIP アプリケーション ユーザを認証します。
アプリケーション レベルの許可が有効な場合、トランク レベルの許可が最初に発生してからアプリケーション レベルの許可が発生するため、Unified Communications Manager は [Application User Configuration] ウィンドウで SIP アプリケーション ユーザに対して許可されたメソッドより先に、(このセキュリティ プロファイル内の)トランクに対して許可されたメソッドをチェックします。
ヒント
|
アプリケーションのアイデンティティを信頼しないか、またはアプリケーションが特定のトランクで信頼されていない場合は、アプリケーション レベルの許可の使用を検討してください。つまり、アプリケーション要求は想定外の別のトランクから送信される場合もあります。
|
|
[Accept Presence Subscription]
|
Unified Communications Manager が SIP トランク経由でのプレゼンス サブスクリプション要求を受け入れるようにするには、このチェックボックスをオンにします。
[Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、この機能について許可するすべてのアプリケーション ユーザの [Accept Presence Subscription] チェックボックスをオンにします。
アプリケーション レベルの許可が有効になっている場合に、アプリケーション ユーザの [Accept Presence Subscription] チェックボックスをオンにし、トランクのこのチェックボックスをオンにしない場合、トランクに接続された
SIP ユーザ エージェントに 403 エラー メッセージが送信されます。
|
[Accept Out-of-Dialog Refer]
|
Unified Communications Manager が SIP トランク経由で着信する非 INVITE、Out-of-Dialog REFER 要求を受け入れるようにするには、このチェックボックスをオンにします。
[Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、このメソッドについて許可するすべてのアプリケーション
ユーザの [Accept Out-of-Dialog refer] チェックボックスをオンにします。
|
[Accept unsolicited notification]
|
Unified Communications Manager が SIP トランク経由で着信する非 INVITE、Unsolicited NOTIFY メッセージを受け入れるようにするには、このチェックボックスをオンにします。
[Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、このメソッドについて許可するすべてのアプリケーション
ユーザの [Accept Unsolicited Notification] チェックボックスをオンにします。
|
[Accept replaces header]
|
Unified Communications Manager が既存の SIP ダイアログに代わる新規の SIP ダイアログを許可するようにするには、このチェックボックスをオンにします。
[Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、このメソッドについて許可するすべてのアプリケーション
ユーザの [Accept Header Replacement] チェックボックスをオンにします。
|
[Transmit Security Status]
|
Unified Communications Manager が関連付けられた SIP トランクからのコールのセキュリティ アイコン ステータスを SIP ピアに送信するようにするには、このチェックボックスをオンにします。
デフォルトでは、このチェックボックスはオフになっています。
|
[SIP V.150 Outbound SDP Offer Filtering]
|
ドロップダウン リスト ボックスから、次のフィルタ処理オプションのいずれかを選択します。
- [Use Default Filter]:SIP トランクは [SIP V.150 Outbound SDP Offer Filtering] サービス パラメータに示されているデフォルト フィルタを使用します。このサービス パラメータを検索するには、[Unified Communications Manager Administration] で に進みます。
- [No Filtering]:SIP トランクは、アウトバウンド オファーで V.150 SDP 回線のフィルタリングを行いません。
- [Remove MER V.150]:SIP トランクは、アウトバウンド オファーで V.150 MER SDP 回線を削除します。トランクが MER V.150 よりも前の Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
- [Remove Pre-MER V.150]:SIP トランクは、アウトバウンド オファーで非 MER 対応 V.150 回線をすべて削除します。クラスタがプレ MER 回線でオファーを処理できない MER 準拠デバイスのネットワークに含まれる際のあいまいさを低減するには、このオプションを選択します。
|
[SIP V.150 Outbound SDP Offer Filtering]
|
ドロップダウン リスト ボックスから、次のフィルタ処理オプションのいずれかを選択します。
- [Use Default Filter]:SIP トランクは [SIP V.150 Outbound SDP Offer Filtering] サービス パラメータに示されているデフォルト フィルタを使用します。このサービス パラメータを検索するには、[Unified Communications Manager Administration] で に進みます。
- [No Filtering]:SIP トランクは、アウトバウンド オファーで V.150 SDP 回線のフィルタリングを行いません。
- [Remove MER V.150]:SIP トランクは、アウトバウンド オファーで V.150 MER SDP 回線を削除します。トランクが MER V.150 よりも前の Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
- [Remove Pre-MER V.150]:SIP トランクは、アウトバウンド オファーで非 MER 対応 V.150 回線をすべて削除します。クラスタがプレ MER 回線でオファーを処理できない MER 準拠デバイスのネットワークに含まれる際のあいまいさを低減するには、このオプションを選択します。
|