Cisco IP Phone 7960G/7940G アドミニストレーション ガイド Cisco CallManager Release 4.1

機能の概要

Cisco IP Phone は、自動転送、コール転送、リダイヤル、短縮ダイヤル、電話会議、ボイス メッセージ システムへのアクセスなど、従来のテレフォニー機能を提供します。その他にも、多様な機能を備えています。Cisco IP Phone がサポートするテレフォニー機能の概要、およびそれらの機能を設定する際のヒントについては、「Cisco CallManager を使用したテレフォニー機能の設定」を参照してください。

他のネットワーク デバイスと同様に、Cisco IP Phone についても、Cisco CallManager や IP ネットワーク全体にアクセスできるように設定しておく必要があります。 DHCP を使用すると、電話機に設定する設定値の数が少なくなりますが、IP アドレス、TFTP サーバ、およびサブネット マスクは、ネットワークで必要な場合には手動で設定できます。Cisco IP Phone にネットワーク設定値を設定する手順については、「Cisco IP Phone のネットワーク設定値の設定」を参照してください。

Cisco IP Phone には、IP ネットワーク上の他のサービスやデバイスとの相互対話による拡張機能が用意されています。たとえば、Cisco IP Phone を社内の Lightweight Directory Access Protocol 3（LDAP3）標準ディレクトリに統合すると、ユーザはほかの社員の連絡先情報を自分の IP Phone から直接検索できるようになります。また、XML を使用すると、天気予報、株価情報、商品相場などの Web ベースの情報にアクセスすることもできます。このようなサービスの設定については、「社内ディレクトリの設定」および「サービスの設定」を参照してください。

Cisco IP Phone はネットワーク デバイスであるため、詳細なステータス情報を Cisco IP Phone から直接取得できます。このステータス情報は、IP Phone の使用時に発生した問題のトラブルシューティングに役立ちます。詳細については、「Cisco IP Phone でのモデル情報、ステータス、統計、およびセキュリティ情報の表示」を参照してください。

関連項目

• 「Cisco IP Phone のネットワーク設定値の設定」

• 「機能、テンプレート、サービス、およびユーザの設定」

• 「Cisco IP Phone のトラブルシューティング」

テレフォニー機能の設定

Cisco IP Phone に関するその他の設定は、Cisco CallManager Administration アプリケーションから変更できます。この Web ベースのアプリケーションは、主に、電話機の登録基準やコール検索スペースの設定、社内のディレクトリやサービスの設定、および電話ボタン テンプレートの変更に使用します。「Cisco CallManager を使用したテレフォニー機能の設定」を参照してください。

このマニュアルには、Cisco CallManager Administration に関連する手順については一部だけを説明している箇所もあります。これらの説明は、Cisco CallManager アプリケーション内の適切なページを示し、初歩的なガイダンスを提供することを目的としています。

Cisco CallManager Administration アプリケーションの詳細については、『 Cisco CallManager Administration Guide（Cisco CallManager アドミニストレーション ガイド） 』など、Cisco CallManager のマニュアルを参照してください。また、アプリケーションに用意されているコンテキスト ヘルプをガイダンスとして使用することもできます。

Cisco CallManager のマニュアル一覧は、次の URL で参照できます。

http://www.cisco.com/univercd/cc/td/doc/product/voice/c_callmg/index.htm

関連項目

• 「Cisco CallManager を使用したテレフォニー機能の設定」

Cisco IP Phone を使用したネットワーク機能の設定

DHCP、TFTP、IP の設定値などの機能は、電話機自体で設定できます。電話機の現在のコールやファームウェア バージョンに関する統計情報も取得できます。

電話機での機能の設定と統計情報の表示の詳細については、「Cisco IP Phone のネットワーク設定値の設定」および「Cisco IP Phone でのモデル情報、ステータス、統計、およびセキュリティ情報の表示」を参照してください。

関連項目

• 「Cisco IP Phone のネットワーク設定値の設定」

• 「Cisco IP Phone のトラブルシューティング」

ユーザへの機能情報の提供

システム管理者は、多くの場合、自分が管理するネットワークや社内の Cisco IP Phone ユーザから質問を受ける立場にあります。最新の機能や手順に関する情報を提供できるように、Cisco IP Phone のマニュアルを十分に理解しておく必要があります。次の Cisco IP Phone の Web サイトにアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/product/voice/c_ipphon/index.htm

このサイトから、各種ユーザ ガイドを表示できます。発注方法の詳細については、「技術情報の入手方法」を参照してください。

マニュアルの提供に加えて、利用可能な Cisco IP Phone 機能（自社固有の機能やご使用のネットワーク固有の機能も含む）、および、それらの機能の利用方法とカスタマイズ方法（可能な場合）をユーザに知らせることも重要です。

システム管理者が電話機のユーザに提供する必要がある主要な情報については、 付録A「Web サイトを使用したユーザへの情報提供」 を参照してください。

サポートされているセキュリティ機能の概要

この項では、電話機でサポートされているセキュリティ機能の概要を説明しています。 これらの機能の詳細、および Cisco CallManager と Cisco IP Phone のセキュリティの詳細については、『Cisco CallManager セキュリティ ガイド』を参照してください。

また、セキュリティの相互対話、制約事項、および制限のリストを入手する際にも、『Cisco CallManager セキュリティ ガイド』を参照してください。

電話機の現在のセキュリティの設定値を確認するには、 ［セッテイ］ >［セキュリティセッテイ］ の順に選択します。詳細については、「セキュリティセッテイ メニュー」を参照してください。

（注） ほとんどのセキュリティ機能は、Certificate Trust List（CTL; 証明書信頼リスト）が電話機にインストールされている場合にだけ利用可能になります。 CTL の詳細については、『Cisco CallManager セキュリティ ガイド』を参照してください。

• イメージ認証：ファームウェア イメージが電話機にロードされる前に、署名付きバイナリ ファイル（.sbn または .sb2 という拡張子を持つ）を使用して、ファームウェア イメージに対する改ざんを防止します。イメージが改ざんされると、電話機は認証プロセスに失敗し、そのイメージを拒否します。

• カスタマー サイト証明書のインストール：各 Cisco IP Phone は、デバイス認証に使用する固有の証明書を要求します。 この証明書は、電話機から直接インストールできます。または、CAPF サーバから自動的にインストールすることもできます。

• デバイス認証：各エンティティが他のエンティティの証明書を受信したときに、Cisco CallManager サーバと電話機の間で実行されます。デバイス認証は、電話機と Cisco CallManager の間で安全な接続が行われるかどうかを判別します。また、必要な場合には、TLS プロトコルを使用してエンティティ間に安全なシグナリング パスを作成します。セキュリティが設定されている場合、Cisco CallManager は、認証できない電話機は登録しません。

• ファイル認証：電話機がダウンロードするデジタル署名付きファイルを検証します。電話機は、署名を検証して、ファイル作成後にファイルが改ざんされていないことを確認します。認証に失敗したファイルは、電話機のフラッシュ メモリに書き込まれません。

• シグナリング認証：TLS プロトコルを使用して、伝送中のシグナリング パケットに対して改ざんが行われていないことを検証します。

• セキュアな SRST リファレンス：ユーザがセキュリティの SRST リファレンスを設定し Cisco CallManager Administration の従属デバイスをリセットした後に、TFTP サーバは SRST 証明書を電話機の cnf.xml ファイルに追加し、そのファイルを電話機に送信します。 その後、セキュアな電話機は、TLS 接続を使用して SRST 対応のルータと相互対話します。

• メディアの暗号化：SRTP を使用して、サポートされているデバイス間の音声メディア ストリームをセキュリティで保護するとともに、目的のデバイスだけがデータを受信して読み取ることができるようにします。 具体的には、デバイスのメディア マスター キー ペアの作成、デバイスへのキーの送信、および転送中のキーの送信に対するセキュリティ保護を行います。

• シグナリングの暗号化：デバイスと Cisco CallManager サーバ間で送信されるすべての SCCP シグナリング メッセージを暗号化します。

• CAPF（Certificate Authority Proxy Function）：電話機に代わって、Certificate Authority（CA; 認証権限）サーバと通信します。CAPF サーバは、非常に煩雑な証明書生成手順の一部を電話機のために実行します。また、電話機と相互対話しながら、キーの生成と証明書のインストールを行います。電話機に代わって、カスタマー固有の認証局から証明書を要求するように CAPF サーバを設定できます。または、ローカルで証明書を生成するように設定できます。 さらに、さまざまな処理を実行する指示を電話機に与えるように CAPF サーバを設定することもできます。具体的には、公開/秘密キー ペアの生成、一部のメッセージの暗号化、署名、復号化、証明書とキー ペアの保存、取得、削除などの処理です。

電話機に CAPF セッションのステータスが表示されます。 電話機は、CAPF サーバとの接続中に通信エラーまたは停電が発生した場合、自動的に再接続を試行します。

• 電話機のセキュリティの強化：次に示すセキュリティの追加オプションです。これらのオプションは、Cisco CallManager Administration から制御します。

–PC ポートの無効化

–Gratuitous ARP の無効化

–PC ボイス VLAN アクセスの無効化

–［セッテイ］ メニューへのアクセスの無効化、またはアクセス制限（［コントラスト］ や［ヨビダシオンタイプ］ の設定値へのアクセスおよび音量の設定変更の保存だけを許可する）

–電話機の Web ページへのアクセスの無効化

（注） ［PCポートヲムコウニスル］ 、［GARP Enabled（GARP を使う）］ 、および［Voice VLAN Enabled（ボイス VLAN を使う）］ の現在の設定値を表示するには、電話機の［ネットワークノセッテイ］ メニューを調べます。詳細については、「ネットワークノセッテイ メニューのオプション」を参照してください。

関連項目

• 「Cisco IP Phone のセキュリティ機能の概要」

• 「認証および暗号化されたコールの識別」

• 「セキュリティの制約事項」

• 「電話機リセット時の CAPF の相互対話」

認証および暗号化されたコールの識別

電話機にセキュリティが実装されている場合、認証および暗号化されたコールは、電話機の LCD スクリーンに表示されるアイコンで識別できます。

コールが認証された場合、そのコールの確立に関与したすべてのデバイスは Cisco CallManager によって認証されます。 進行中のコールがエンドツーエンドで認証されると、電話機の LCD スクリーンの通話時間を表示するタイマーの右側にあるコールの状態を示すアイコンが次のアイコンに変わります。

Cisco IP デバイス間のメディア ストリームが認証および暗号化されると、電話機の LCD スクリーンの通話時間を表示するタイマーの右側にあるコールの状態を示すアイコンが次のアイコンに変わります。 電話会議、コールの転送、保留などのタスクを実行したときに、このアイコンが表示されないことがあります。 これらのタスクに関連付けられているメディア ストリームが暗号化されない場合は、コールのセキュリティ ステータスは暗号化済みからノンセキュアに変わります。

（注） IP 以外のコール レッグ（たとえば H.323 や PSTN）を介してルーティングされるコールは、IP ネットワーク内では暗号化されているとしても、またロック アイコンがそのコールに関連付けられているとしても、ノンセキュアになります。

関連項目

• 「Cisco IP Phone のセキュリティ機能の概要」

• 「セキュリティの制約事項」

• 「電話機リセット時の CAPF の相互対話」

セキュリティの制約事項

暗号化されたコールには、次の制約事項が適用されます。

• 暗号化が設定されていて、ワイドバンド コーデック リージョンに関連付けられている電話機に対して、暗号化されたコールを確立する際に、Cisco CallManager はワイドバンド コーデックを無視し、電話機が提供するコーデック リストの中から別のサポートされているコーデックを選択します。 コール内の他のデバイスに暗号化が設定されていない場合、Cisco CallManager はワイドバンド コーデックを使用して、認証されたコールまたはノンセキュア コールを確立することがあります。

• 割り込みに使用される電話機に暗号化が設定されていない場合、ユーザは暗号化されたコールに対して割り込みを実行できません。 この場合、割り込みが失敗したときに、ユーザが割り込みを実行した電話機でリオーダー音（速いビジー音）が再生されます。

発信側の電話機に暗号化が設定されている場合、割り込みの発信側は、暗号化された電話機から認証されたコールまたはノンセキュア コールに対して割り込みを実行できます。 Cisco CallManager は、割り込みが実行されたコールをノンセキュアとして分類します。

発信側の電話機に暗号化が設定されている場合、割り込みの発信側は、暗号化されたコールに対して割り込みを実行でき、その電話機は対象のコールが暗号化されていることを示します。

割り込みに使用される電話機がノンセキュアの場合でも、ユーザは認証されたコールに対して割り込みを実行できます。 発信側の電話機がセキュリティをサポートしていない場合でも、認証アイコンはコール内の認証されたデバイスに引き続き表示されます。

電話機リセット時の CAPF の相互対話

次の例は、Cisco IP Phone が Cisco CallManager によってリセットされたときに、CAPF がその Cisco IP Phone と相互対話する方法を示しています。 これらの例では、LSC が電話機にまだ存在しない場合、および CAPF の Authentication Mode に対して By Existing Certificate が選択された場合に、CAPF 証明書の処理が失敗します。

例 1

この例では、Device Security Mode を Non-secure に設定し、CAPF の Authentication Mode を By Null String または By Existing Certificate（...に優先）に設定した後に、電話機がリセットされます。 リセットされた直後に、電話機はプライマリ Cisco CallManager に登録され、設定ファイルを受信します。 次に、電話機は自動的に CAPF とのセッションを開始して LSC をダウンロードします。 電話機に LSC がダウンロードされたら、Device Security Mode を Authenticated または Encrypted に設定する必要があります。

例 2

この例では、Device Security Mode を Authenticated または Encrypted に設定し、CAPF の Authentication Mode を By Null String または By Existing Certificate（...に優先）に設定した後に、電話機がリセットされます。 CAPF セッションが終了し、電話機に LSC がインストールされるまで、電話機はプライマリ Cisco CallManager に登録されません。 セッションが終了したら、電話機は登録され、認証済みまたは暗号化済みのモードでただちに実行されます。

正しい LSC が設定されていない電話機は自動的に CAPF サーバと交信せずに登録が失敗するので、この例では By Authentication String を設定することはできません。