名前
|
セキュリティ プロファイルの名前を入力します。新しいプロファイルを保存すると、[トランクの設定(Trunk Configuration)] ウィンドウの [SIP トランク セキュリティ プロファイルの設定(SIP Trunk Security
Profile)] ドロップダウンリストにその名前が表示されます。
|
説明
|
セキュリティ プロファイルの説明を入力します。説明には、任意の言語で最大 50 文字を指定できますが、二重引用符(")、パーセント記号(%)、アンパサンド(&)、バックスラッシュ(\)、山カッコ(<>)は使用できません。
|
[デバイス セキュリティ モード(Device Security Mode)]
|
ドロップダウンリストから、次のオプションのいずれかを選択します。
-
[非セキュア(Non Secure)]:イメージ認証以外のセキュリティ機能は適用されません。TCP または UDP 接続で Unified Communications Manager が利用できます。
-
[認証済み(Authenticated)]:Unified Communications Manager はトランクの整合性と認証を提供します。NULL/SHA を使用する TLS 接続が開きます。
-
[暗号化(Encrypted)]:Unified Communications Manager はトランクの整合性、認証、およびシグナリング暗号化を提供します。AES128/SHA を使用する TLS 接続がシグナリング用に開きます。
(注)
|
[認証済み(Authenticated)] として選択されている [デバイスセキュリティプロファイル(Device Security Profile)] を使用してトランクを設定した場合、Unified Communications Manager は、NULL_SHA 暗号を使用した TLS 接続(データ暗号化なし)を開始します。
これらのトランクは、通知先デバイスが NULL_SHA 暗号をサポートしていない場合は、そのデバイスを登録したり、コールを発信したりしません。
NULL_SHA 暗号をサポートしていない接続先デバイスでは、トランクを [暗号化(Encrypted)] として選択した [デバイスのセキュリティプロファイル(Device Security Profile)] オプションで設定する必要があります。このデバイスセキュリティプロファイルを使用すると、トランクは、データの暗号化を可能にする追加の TLS
暗号を提供します。
|
|
[Incoming Transport Type]
|
[デバイスセキュリティモード(Device Security Mode)] が [非セキュア(Non Secure)] の場合、転送タイプは TCP+UDP になります。
[デバイスセキュリティモード(Device Security Mode)] が [認証済(Authenticated)] または [暗号化(Encrypted)] の場合、TLS で転送タイプが指定されます。
(注)
|
Transport Layer Security(TLS)プロトコルによって、 Unified Communications Managerとトランク間の接続が保護されます。
|
|
[発信転送タイプ(Outgoing Transport Type)]
|
ドロップダウン リストから適切な発信転送モードを選択します。
[デバイスセキュリティモード(Device Security Mode)] が [非セキュア(Non Secure)] の場合は、[TCP] または [UDP] を選択します。
[デバイスセキュリティモード(Device Security Mode)] が [認証済(Authenticated)] または [暗号化(Encrypted)] の場合、TLS で転送タイプが指定されます。
(注)
|
TLS により、SIP トランクのシグナリング完全性、デバイス認証、およびシグナリング暗号化が保証されます。
|
ヒント
|
TCP 接続の再利用をサポートしていないUnified Communications Managerシステムと IOS ゲートウェイ間で SIP トランクを接続する場合は、発信トランスポートタイプとして UDP を使用する必要があります。
|
|
[ダイジェスト認証の有効化(Enable Digest Authentication)]
|
ダイジェスト認証を有効にするには、このチェックボックスをオンにします。このチェックボックスをオンにすると、Unified Communications Manager は、トランクからのすべての SIP 要求に対してチャレンジを行います。
ダイジェスト認証では、デバイス認証、完全性、および機密性は提供されません。これらの機能を使用するには、セキュリティ モード [認証済(Authenticated)] または [暗号化(Encrypted)] を選択してください。
ヒント
|
TCP または UDP 転送を使用しているトランクでの SIP トランク ユーザを認証するには、ダイジェスト認証を使用してください。
|
|
ナンス確認時間(Nonce Validity Time)
|
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Unified Communications Manager は新しい値を生成します。
(注)
|
ナンス値は、ダイジェスト認証をサポートする乱数であり、ダイジェスト認証パスワードの MD5 ハッシュを計算するときに使用されます。
|
|
安全な証明書の件名またはサブジェクトの別名
|
このフィールドは、着信転送タイプおよび発信転送タイプに TLS を設定した場合に適用されます。
デバイス認証では、SIP トランク デバイスのセキュアな証明書のサブジェクトまたはサブジェクト代替名を入力します。Unified Communications Manager クラスタを使用している場合、または TLS ピアに SRV ルックアップを使用している場合は、1 つのトランクが複数のホストに解決されることがあります。このように解決された場合、トランクに複数のセキュアな証明書のサブジェクトまたはサブジェクト代替名が設定されます。X.509
のサブジェクト名が複数存在する場合、スペース、カンマ、セミコロン、コロンのいずれかを入力して名前を区切ります。
このフィールドには、4096 文字まで入力できます。
ヒント
|
サブジェクト名は、送信元接続 TLS 証明書に対応します。サブジェクト名とポートごとにサブジェクト名が一意になるようにしてください。異なる SIP トランクに同じサブジェクト名と着信ポートの組み合わせを割り当てることはできません。例: ポート
5061 の SIP TLS trunk1 は、セキュリティ保護された証明書の件名またはサブジェクト代替名 my_cm1, my_cm2 を持っています。ポート 5071 の SIP TLS trunk2 には、セキュリティで保護された証明書のサブジェクトまたはサブジェクト代替名
my_cm2, my_cm3 があります。ポート 5061 の SIP TLS trunk3 は、セキュリティで保護された証明書の件名またはサブジェクト代替名my_ccm4を含むことができますが、安全な証明書のサブジェクトまたはサブジェクト代替名
my_cm1 を含めることはできません。
|
|
[着信ポート(Incoming Port)]
|
着信ポートを選択します。0 ~ 65535 の範囲の一意のポート番号値を 1 つ入力します。着信 TCP および UDP SIP メッセージのデフォルト ポート値として 5060 が指定されます。着信 TLS メッセージのデフォルトの保護された
SIP ポートには 5061 が指定されます。ここで入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。
ヒント
|
TLS を使用するすべての SIP トランクは同じ着信ポートを共有できます。TCP + UDP を使用するすべての SIP トランクは同じ着信ポートを共有できます。同じポートで、TLS SIP 転送トランクと TLS 以外の SIP 転送トランク
タイプを混在させることはできません。
|
|
[アプリケーション レベル認証を有効化(Enable Application Level Authorization)]
|
アプリケーション レベルの認証が、SIP トランクを介して接続されたアプリケーションに適用されます。
このチェックボックスをオンにする場合、[ダイジェスト認証を有効化(Enable Digest Authentication)] チェックボックスもオンにして、トランクのダイジェスト認証を設定する必要があります。Unified Communications Manager は、許可されているアプリケーション方式を確認する前に、SIP アプリケーションユーザを認証します。
アプリケーションレベルの許可が有効な場合、トランクレベルの許可が最初に発生してからアプリケーションレベルの許可が発生するため、Unified Communications Manager は [アプリケーションユーザの設定(Application User Configuration)] ウィンドウで SIP アプリケーションユーザに対して許可されたメソッドより先に、(このセキュリティプロファイル内の)トランクに対して許可されたメソッドをチェックします。
ヒント
|
アプリケーションを信頼性を識別できない場合、または特定のトランクでアプリケーションが信頼されない場合(つまり、予期したものとは異なるトランクからアプリケーション要求が着信する場合)には、アプリケーション レベル認証の使用を考慮してください。
|
|
[プレゼンスの SUBSCRIBE の許可(Accept Presence Subscription)]
|
Unified Communications Manager が SIP トランク経由で着信するプレゼンスサブスクリプション要求を受け付けるようにする場合は、このチェックボックスをオンにします。
[アプリケーション レベル認証を有効化(Enable Application level authorization)] チェックボックスをオンにした場合は、[アプリケーション ユーザの設定(Application User Configuration)] ウィンドウに移動し、この機能に関して許可されるアプリケーション ユーザの [プレゼンスの SUBSCRIBE の許可(Accept Presence Subscription)] チェックボックスをオンにします。
アプリケーション レベルの認証が有効な場合、[プレゼンスの SUBSCRIBE の許可(Accept Presence Subscription)] チェックボックスがアプリケーション ユーザに関してオンに設定され、トランクに関してはオンに設定されない場合、トランクに接続される SIP ユーザ エージェントに 403 エラー メッセージが送信されます。
|
Out-of-Dialog REFER の許可(Accept Out-of-dialog REFER)
|
Unified Communications Manager が SIP トランク経由で着信する非インバイトの Out-of-Dialog REFER 要求を受け付けるようにする場合は、このチェックボックスをオンにします。
[アプリケーション レベル認証を有効化(Enable Application level authorization)] チェックボックスをオンにした場合は、[アプリケーション ユーザの設定(Application User Configuration)] ウィンドウに移動し、この方式に関して許可されるアプリケーション ユーザの [Out-of-Dialog REFER の許可(Accept Out-of-dialog REFER)] チェックボックスをオンにします。
|
[Unsolicited NOTIFY の許可(Accept Unsolicited Notification)]
|
Unified Communications Manager が SIP トランク経由で着信する非 INVITE、Unsolicited NOTIFY メッセージを受け入れるようにするには、このチェックボックスをオンにします。
[アプリケーション レベル認証を有効化(Enable Application level authorization)] チェックボックスをオンにした場合は、[アプリケーション ユーザの設定(Application User Configuration)] ウィンドウに移動し、この方式に関して許可されるアプリケーション ユーザの [Unsolicited NOTIFY の許可(Accept Unsolicited Notification)] チェックボックスをオンにします。
|
[ヘッダー置き換えの許可(Accept Replaces Header)]
|
Unified Communications Manager が既存の SIP ダイアログを置き換える新しい SIP ダイアログを受け付けるようにする場合は、このチェックボックスをオンにします。
[アプリケーション レベル認証を有効化(Enable Application level authorization)] チェックボックスをオンにした場合は、[アプリケーション ユーザの設定(Application User Configuration)] ウィンドウに移動し、この方式に関して許可される [ヘッダー置き換えの許可(Accept Header Replacement)] チェックボックスをオンにします。
|
[セキュリティ ステータスを送信(Transmit Security Status)]
|
Unified Communications Manager が、関連付けられた SIP トランクから SIP ピアにコールのセキュリティ アイコン ステータスを送信するようにする場合は、このチェックボックスをオンにします。
デフォルトでは、このボックスはオフになっています。
|
[SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)]
|
ドロップダウンリストから、次のフィルタ処理オプションのいずれかを選択します。
-
[デフォルトのフィルタを使用(Use Default Filter)]:SIP トランクは、[SIP V.150 アウトバウンド SDP オファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)] サービス パラメータで指定されたデフォルト フィルタを使用します。このサービスパラメータを見つけるには、 Cisco Unified Communications Manager Administrationで、 の順に移動します。
-
[フィルタなし(No Filtering)]:SIP トランクは、アウトバウンド オファー内の V.150 SDP 行のフィルタリングを実行しません。
-
[MER V.150 を削除(Remove MER V.150)]:SIP トランクは、アウトバウンド オファー内の V.150 MER SDP 行を削除します。 トランクが MER V.150 よりも前の Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
-
[Remove Pre-MER V.150]:SIP トランクは、アウトバウンド オファーで非 MER 対応 V.150 回線をすべて削除します。クラスタがプレ MER 回線でオファーを処理できない MER 準拠デバイスのネットワークに含まれる際のあいまいさを低減するには、このオプションを選択します。
|
[SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)]
|
ドロップダウンリストから、次のフィルタ処理オプションのいずれかを選択します。
-
[デフォルトのフィルタを使用(Use Default Filter)]:SIP トランクは、[SIP V.150 アウトバウンド SDP オファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)] サービス パラメータで指定されたデフォルト フィルタを使用します。このサービスパラメータを見つけるには、 Cisco Unified Communications Manager Administrationで、 の順に移動します。
-
[フィルタなし(No Filtering)]:SIP トランクは、アウトバウンド オファー内の V.150 SDP 行のフィルタリングを実行しません。
-
[MER V.150 を削除(Remove MER V.150)]:SIP トランクは、アウトバウンド オファー内の V.150 MER SDP 行を削除します。 トランクが MER V.150 よりも前の Unified Communications Manager に接続する際のあいまいさを低減するには、このオプションを選択します。
-
[Remove Pre-MER V.150]:SIP トランクは、アウトバウンド オファーで非 MER 対応 V.150 回線をすべて削除します。MER より前の行を使用するオファーを処理できない MER 準拠デバイスからなるネットワークにクラスタが含まれている場合、あいまいさを減らすには、このオプションを選択します。
|