配置節點之間的CUCM IPsec連線

簡介

本文檔介紹如何在集群內的思科統一通訊管理器(CUCM)節點之間建立IPsec連線。

注意：預設情況下，CUCM節點之間的IPSec連線處於停用狀態。 

必要條件

需求

思科建議您瞭解CUCM。

採用元件

本文檔中的資訊基於CUCM版本10.5(1)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

使用本節中描述的資訊來配置CUCM並在集群中的節點之間建立IPsec連線。

配置概述

以下為此程式中所涉及的步驟，以下各節詳述其中的每個步驟：

1. 驗證節點之間的IPSec連線。
   
   
2. 檢查IPSec證書。
   
   
3. 從使用者節點下載IPsec根證書。
   
   
4. 將IPsec根證書從訂閱伺服器節點上傳到發佈伺服器節點。
   
   
5. 配置IPSec策略。

驗證IPSec連線

要驗證節點之間的IPSec連線，請完成以下步驟：

1. 登入到CUCM伺服器的「作業系統(OS)管理」(Operating System (OS) Administration)頁面。
   
   
2. 導航到服務> Ping。
   
   
3. 指定遠端節點IP位址。
   
   
4. 選中Validate IPsec覈取方塊並按一下Ping。

如果沒有IPSec連線，則會看到類似以下的結果：

 

檢查IPSec證書

完成以下步驟以檢查IPSec證書：

1. 登入「作業系統管理」頁面。
   
   
2. 導航到安全>證書管理。
   
   
3. 搜尋IPSec證書（分別登入到發佈伺服器和訂閱伺服器）。

注意：通常無法從發佈伺服器節點檢視訂閱伺服器節點IPsec證書；但是，您可以看到所有訂閱伺服器節點上的發佈伺服器節點IPsec證書為IPsec-Trust證書。

要啟用IPsec連線，您必須將來自一個節點的IPsec證書設定為另一個節點上的ipsec-trust證書：

從使用者下載IPsec根證書

要從Subscriber節點下載IPsec根證書，請完成以下步驟：

1. 登入「訂戶」節點的「作業系統管理」頁面。
   
   
2. 導航到安全>證書管理。
   
   
3. 打開IPsec根證書並以.pem格式下載它：
   
   
   
   

從使用者上傳IPsec根證書到發佈伺服器

要將IPsec根證書從訂閱伺服器節點上傳到發佈伺服器節點，請完成以下步驟：

1. 登入發行者節點的[OS管理]頁面。
   
   
2. 導航到安全>證書管理。
   
   
3. 按一下Upload Certificate/Certificate chain，然後上傳使用者節點IPsec根證書作為ipsec-trust證書：
   
   
   
   
4. 上傳憑證後，請確認訂閱者節點IPsec根憑證是否如下所示：
   
   

注意：如果需要啟用群集中多個節點之間的IPsec連線，則還必須下載這些節點的IPsec根證書，並透過相同過程將其上傳到發佈伺服器節點。

配置IPsec策略

要配置IPSec策略，請完成以下步驟：

1. 分別登入到發佈伺服器和訂閱伺服器節點的OS管理頁面。
   
   
2. 導航到安全> IPSEC配置。
   
   
3. 使用此資訊可以配置IP和證書的詳細資訊：
   

   *****
   
   PUBLISHER : 10.106.122.155 & cucm912pub.pem
   SUBSCRIBER: 10.106.122.15 & cucm10sub.pem
   
   *****

   

驗證

完成以下步驟以驗證您的配置是否有效，以及節點之間是否建立了IPSec連線：

1. 登入CUCM伺服器的作業系統管理。
   
   
2. 導航到服務> Ping。
   
   
3. 指定遠端節點IP位址。
   
   
4. 選中Validate IPsec覈取方塊並按一下Ping。

如果已建立IPSec連線，則會看到類似以下內容的消息：

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• 思科統一通訊作業系統管理指南，版本8.6(1) -設定新的IPsec策略
• 技術支援與文件 - Cisco Systems