配置CUCM以实现节点之间的IPsec连接

简介

本文档介绍如何在集群内的Cisco Unified Communications Manager (CUCM)节点之间建立IPsec连接。

注意：默认情况下，CUCM节点之间的IPsec连接处于禁用状态。 

先决条件

要求

思科建议您应具备CUCM的相关知识。

使用的组件

本文档中的信息基于CUCM版本10.5(1)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

使用本节中描述的信息配置CUCM并在集群中的节点之间建立IPsec连接。

配置概述

以下是此过程中涉及的步骤，以下各节将详细介绍每个步骤：

1. 验证节点之间的IPsec连接。
   
   
2. 检查IPsec证书。
   
   
3. 从Subscriber节点下载IPsec根证书。
   
   
4. 将IPsec根证书从订阅服务器节点上传到发布服务器节点。
   
   
5. 配置IPSec策略。

验证IPSec连接

要验证节点之间的IPsec连接，请完成以下步骤：

1. 登录CUCM服务器的“操作系统(OS)管理”(Operating System [OS] Administration)页面。
   
   
2. 导航到服务> Ping。
   
   
3. 指定远程节点IP地址。
   
   
4. 选中Validate IPsec 复选框并单击Ping。

如果没有IPsec连接，则会看到类似以下的结果：

 

检查IPsec证书

要检查IPsec证书，请完成以下步骤：

1. 登录到OS Administration页面。
   
   
2. 导航到安全>证书管理。
   
   
3. 搜索IPsec证书（分别登录到发布服务器和订阅服务器）。

注意：通常无法从发布服务器节点查看订阅服务器节点的IPsec证书；但是，可以将所有订阅服务器节点上的发布服务器节点的IPsec证书作为IPsec-Trust证书查看。

要启用IPsec连接，必须具有一个节点的IPsec证书，该证书在另一个节点上设置为ipsec-trust证书：

从用户下载IPsec根证书

要从Subscriber节点下载IPsec根证书，请完成以下步骤：

1. 登录到Subscriber节点的OS Administration页面。
   
   
2. 导航到安全>证书管理。
   
   
3. 打开IPsec根证书并以.pem格式下载它：
   
   
   
   

从用户上传IPsec根证书到发布服务器

要将IPsec根证书从订阅服务器节点上传到发布服务器节点，请完成以下步骤：

1. 登录到Publisher节点的OS Administration页面。
   
   
2. 导航到安全>证书管理。
   
   
3. 点击上传证书/证书链，然后上传用户节点IPsec根证书作为ipsec-trust证书：
   
   
   
   
4. 上传证书后，验证Subscriber node IPsec root certificate是否按如下所示显示：
   
   

注意：如果需要在集群中的多个节点之间启用IPsec连接，则还必须下载这些节点的IPsec根证书，并通过相同过程将其上传到发布方节点。

配置IPsec策略

要配置IPsec策略，请完成以下步骤：

1. 分别登录发布服务器和订阅服务器节点的OS Administration页面。
   
   
2. 导航到安全> IPSEC配置。
   
   
3. 使用此信息配置IP和证书详细信息：
   

   *****
   
   PUBLISHER : 10.106.122.155 & cucm912pub.pem
   SUBSCRIBER: 10.106.122.15 & cucm10sub.pem
   
   *****

   

验证

完成以下步骤以验证您的配置是否工作正常，以及节点之间是否已建立IPsec连接：

1. 登录CUCM服务器的操作系统管理。
   
   
2. 导航到服务> Ping。
   
   
3. 指定远程节点IP地址。
   
   
4. 选中Validate IPsec复选框并单击Ping。

如果已建立IPsec连接，则会看到类似以下内容的消息：

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 思科统一通信操作系统管理指南，版本8.6(1) -设置新的IPsec策略
• 技术支持和文档 - Cisco Systems