この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
モバイル コネクト(以前のシングル ナンバー リーチ(SNR))は、Cisco Jabber が利用できないときに誰かがオフィスの番号にコールした場合に、ネイティブな携帯電話番号が鳴ることを可能にします。
Cisco Jabber が実行中で、企業のネットワークに接続されており、そのため VoIP コールを受信できる場合は、モバイル コネクトは自動的に非アクティブになります。
ユーザは、Cisco Jabber VoIP コールをモバイル ボイス ネットワークに転送するためのモバイル ID を必要とします。
(注) |
Cisco Jabber for Android のコールをモバイル ボイス ネットワークに移動するオプションは、ユーザが VPN を使用してモバイル データ ネットワークまたは社外 Wi-Fi ネットワーク経由で社内ネットワークに接続している場合は使用できません。 |
ユーザが社内 Wi-Fi ネットワークの中にいる場合、アクティブな VoIP コールを Cisco Jabber for Android からモバイル ボイス ネットワーク上の携帯電話に転送できます。 この機能は、ユーザが通話しながら社内 Wi-Fi ネットワークを離れる場合(たとえば、建物を離れて車まで歩いていくときなど)や、Wi-Fi ネットワークを経由すると音声品質に問題がある場合に便利です。 Cisco Jabber for Android のこの機能を「モバイル ネットワークを使用」と呼びます。
(注) |
Cisco Jabber for Android のコールをモバイル ボイス ネットワークに移動するオプションは、ユーザが VPN を使用してモバイル データ ネットワークまたは社外 Wi-Fi ネットワーク経由で社内ネットワークに接続している場合は使用できません。 |
システム レベル設定で、電話のコール状態が「接続中(Connected)」および「オンフック(On-hook)」のときに、[モビリティ(Mobility)] ソフトキーが表示されることを確認します。
Cisco Unified Communications Manager のユーザ単位およびデバイス単位の設定で、特定のデバイスからコールをモバイル ボイス ネットワークに転送するときに [モビリティ(Mobility)] ソフトキーを使用するように設定します。 モバイルデバイスに対してモバイル ID およびモバイル コネクトの両方をセットアップしていることを確認します。 転送機能が動作するようになったら、ユーザは自分の都合に合わせて、転送機能をいじることなくモバイル コネクトを有効にしたり無効にしたりできるようになります。
VoIP からアクティブなコールをモバイル ネットワークに転送して、設定をテストします。
ステップ 1 | [Unified CM の管理(Unified CM Administration)] ポータルにサインインします。 | ||
ステップ 2 | BOTXXXX デバイスの [電話の設定(Phone Configuration)] 画面に移動します。 | ||
ステップ 3 | [デバイス情報(Device Information)] セクションで、[モビリティ ユーザ ID(Mobility User ID)] の値を確認します。 | ||
ステップ 4 | 関連付けられたデスクフォンの [電話設定(Phone Configuration)] 画面に移動します。 | ||
ステップ 5 | [デバイス情報(Device Information)] セクションで、デスクフォンの [オーナーのユーザ ID(Owner User ID)] の値が、BOTXXXX デバイスの [モビリティ ユーザ ID(Mobility User ID)] の値と一致することを確認します。 | ||
ステップ 6 |
[デバイス情報(Device Information)] セクションの [ソフトキー テンプレート(Softkey Template)] ドロップダウン リストから、[モビリティ(Mobility)] を選択します。
|
この機能は、Unified CM Release 8.6 以降でのみ使用できます。
Dial Via Office(DVO)機能を使用すると、ユーザはデバイスの音声計画を使用して、勤務先番号で Cisco Jabber 発信コールを開始できます。 着信コールは、ユーザがクライアントで設定した Jabber 通話オプションに従い、モバイル コネクトまたはインターネットを使用します。
Dial Via Office(DVO)機能を設定するには、次の手順を実行します。
DVO をサポートするように Unified CM を設定するには、次の手順を実行します。
すべての Dial via Office コールに対してエンタープライズ機能アクセス番号を設定するには、次の手順を使用します。
Dial via Office のリバース コールバック コールの場合、エンタープライズ機能アクセス番号は、Cisco Unified Communications Manager が携帯電話および着信番号をコールするのに使用する番号です。
Cisco Jabber デバイスのモビリティ プロファイルを設定するには、次の手順を使用します。
モビリティ プロファイルを使用して、モバイル クライアントの Dial-via-Office リバースを設定できます。 モビリティ プロファイルを設定した後、ユーザまたはユーザのグループ(ある地域または場所のユーザなど)に割り当てることができます。
ステップ 1 | [Unified CM の管理(Unified CM Administration)] ポータルにサインインします。 |
ステップ 2 | の順に選択します。 |
ステップ 3 | [新規追加(Add New)] をクリックします。 |
ステップ 4 | [電話のタイプ(Phone Type)] ドロップダウン リストから、[Cisco Dual Mode for Android] を選択します。 |
ステップ 5 | [次へ(Next)] をクリックします。 |
ステップ 6 |
[プロダクト固有の設定(Product Specific Configuration Layout)] セクションまでスクロール ダウンし、[Dial via Office] ドロップダウン リストが表示されることを確認します。 [Dial via Office] ドロップダウン リストが表示された場合、COP ファイルはご使用のシステムにすでにインストールされています。 [Dial via Office] ドロップダウン リストが表示されない場合は、正しい COP ファイルを探してダウンロードします。 詳細については、必要なファイルを参照してください。 |
各 Cisco Jabber デバイスに対して Dial Via Office を設定するには、次の手順を使用します。
モバイル コネクト(以前のシングル ナンバー リーチ(SNR))は、Cisco Jabber が利用できないときに誰かがオフィスの番号にコールした場合に、ネイティブな携帯電話番号が鳴ることを可能にします。
Cisco Jabber が実行中で、企業のネットワークに接続されており、そのため VoIP コールを受信できる場合は、モバイル コネクトは自動的に非アクティブになります。
ユーザは、Cisco Jabber VoIP コールをモバイル ボイス ネットワークに転送するためのモバイル ID を必要とします。
(注) |
Cisco Jabber for Android のコールをモバイル ボイス ネットワークに移動するオプションは、ユーザが VPN を使用してモバイル データ ネットワークまたは社外 Wi-Fi ネットワーク経由で社内ネットワークに接続している場合は使用できません。 |
各デバイスで Dial Via Office を有効にするには、次の手順を使用します。
Visual Voicemail 機能は、基本ボイス メール サービスの代替機能の 1 つです。
Visual Voicemail を使用すると、ボイス メールボックスにダイヤルインしなくても、メッセージのリストを表示できます。 このリストから、次を行うことができます。
Visual Voicemail をセットアップするには、次の手順を実行します。
ご使用の Cisco Unity Connection が正しい VMREST サービスでセットアップされ、Visual Voicemail を Cisco Jabber for Android でサポートしていることを確認するには、次の手順を実行します。
Cisco Jabber for Android でのセキュアなボイス メッセージの再生をサポートするように Cisco Unity Connection をセットアップするには、この手順を使用します。
(注) |
基本的なメッセージ受信インジケータを有効にするには、使用するリリース用の Cisco Unified Communications Manager のマニュアルに記載されている手順に従ってください。 このクライアントに固有の設定はありません。 |
導入環境で拡張メッセージ受信インジケータがサポートされる場合は、このオプションを Cisco Unity Connection Administration ポータルで有効にします。
ステップ 1 | Cisco Unity Connection Administration にサインインします。 |
ステップ 2 | 左ペインで、 に移動します。 |
ステップ 3 | 目的の電話システムのリンクを選択します。 |
ステップ 4 | [メッセージ受信インジケータ(Message Waiting Indicators)] セクションで、[送信メッセージ数(Send Message Counts)] にチェックを入れます。 |
ステップ 5 | [保存(Save)] を選択します。 |
この手順を使用すると、ディレクトリ サーバに接続するときに Cisco Jabber で使用する設定値を指定できます。 これらの設定値は、ユーザが Cisco Jabber をセットアップしたときに自動的に設定されます。
(注) |
Cisco Jabber for Android は、Open LDAP を使用する場合はレポート構造機能をサポートしません。 この機能は、Microsoft Active Directory を使用する場合にのみサポートされます。 レポート構造をセットアップするには、Cisco Jabber for Android で、マネージャ(Manager)、ダイレクト レポート(Direct reports)、役職(Title)、および部署(Department)という要素を使用します。 |
社内のディレクトリ スキーマで、アプリケーションのデフォルトとは異なる属性、または追加された属性を特定します。 変更されている属性は、この手順の後の方でマッピングする必要があります。
要素 |
要素名 |
デフォルトの Active Directory 属性 |
他のすべての LDAP サーバのデフォルト属性 |
異なる場合は、実際の値 |
---|---|---|---|---|
固有識別子(Unique identifier) |
ID |
distinguishedName |
distinguishedName |
|
表示名(Display Name) |
displayName |
displayName |
cn |
|
E メール アドレス(Email Address) |
emailAddress |
|
|
|
名(First name) |
firstName |
givenName |
givenName |
|
姓(Last name) |
lastName |
sn |
sn |
|
ユーザ ID |
userid |
sAMAccountName |
uid |
|
メイン電話番号(Main phone number) |
mainPhoneNumber |
telephoneNumber |
telephoneNumber |
|
自宅の電話番号(Home Phone Number) |
homePhoneNumber |
|||
自宅の電話番号(予備)(Second home phone number) |
homePhoneNumber2 |
|||
携帯電話番号(Mobile Phone Number) |
mobilePhoneNumber |
|||
携帯電話番号(予備)(Second mobile phone number) |
mobilePhoneNumber2 |
|||
ボイスメール直通電話番号(Direct to voicemail phone number) |
voicemailPhoneNumber |
voicemail |
||
ファクス番号(Fax number) |
faxPhoneNumber |
facsimileTelephoneNumber |
||
その他の電話番号(Other phone number) |
otherPhoneNumber |
|||
マネージャ |
manager |
manager |
||
ダイレクト レポート(Direct reports) |
directReports |
directReports |
||
タイトル |
title |
title |
||
部門 |
department |
department |
ステップ 1 | [Unified CM の管理(Unified CM Administration)] ポータルにサインインします。 | ||
ステップ 2 | ユーザの Cisco Dual Mode のデバイス ページに移動します。 | ||
ステップ 3 | [プロダクト固有の設定(Product Specific Configuration Layout)] セクションで、[LDAP ユーザ認証の有効化(Enable LDAP User Authentication)] の設定値を設定します。 | ||
ステップ 4 | [LDAP サーバ(LDAP Server)] フィールドに、LDAP サーバの IP アドレスまたはホスト名を入力します。 YourDirectoryServer.YourCompany.com:portnumber という形式を使用します。 IP アドレスまたはホスト名を入力し、ポートを入力しなかった場合、クライアントはポート 389 への接続を試みます。 | ||
ステップ 5 | [LDAP SSL の有効化(Enable LDAP SSL)] ドロップダウン リストが表示されます。 LDAP で SSL はサポートされないため、SSL はデフォルトで無効になっています。 [有効(Enabled)] または [無効(Disabled)] を選択しても影響はありません。 | ||
ステップ 6 |
次のいずれかの形式で LDAP 検索ベースを入力します。
デフォルトでは、このアプリケーションは、defaultNamingContext 属性の RootDSE 検索で見つかった検索ベースを使用します。 別の検索ベースを指定するためには、ユーザ情報が格納されている社内ディレクトリのルート ノードの識別名を入力します。 必要な名前を含んでいる最下位のノードを使用します。 上位のノードを使用すると大きな検索ベースが作成されるため、ディレクトリが非常に大規模な場合は、パフォーマンスが低下します。
|
||
ステップ 7 |
LDAP フィールド マッピングを入力します。 LDAP フィールド マッピングによって、ディレクトリ検索で検索して表示する情報を保持するディレクトリの属性を指定します。 「ディレクトリの要素および属性」テーブルを使用して、デフォルトと一致しないフィールド マッピングを name=value ペアとして入力します。各フィールドはセミコロン(;)で区切ります。 name" "には「要素名」列に入っている情報を入力します。 value" "には「異なる場合は、実際の値」列の情報を入力します。 例:displayName=nickname;emailAddress=email |
||
ステップ 8 |
LDAP 写真の場所に入力します。 HTTP サーバ上の画像ファイルのパス名を入力します。 必ず正しいグラフィック ファイル タイプを指定してください(jpg や png など)。 LDAP 属性を表すには、変数「%%LDAP Attribute %%」を使用します。 例:http://yourcompany.cisco.com/photo/std/%%userID%%.jpg 文字列の中にパーセント記号を 2 つ重ねて指定する必要があります。 Cisco Jabber for Android は必要に応じて画像のサイズを自動的に調整しますが、画像が小さいほど処理は速くなります。 写真は HTTP サーバ上に保存する必要があります。ファイル名は、LDAP ディレクトリ属性内の値と同一にします(ファイル名の拡張子は除きます)。 デフォルトでは、Cisco Jabber for Android は、この手順の前に説明した「ディレクトリの要素および属性」テーブルの userid 要素にマップされる属性を使用します。 [LDAP フィールド マッピング(LDAP Field Mappings)] フィールドで別の属性を指定できます。 例:ディレクトリのイメージ ファイルの名前が jsmith.jpg で、cn 属性の値が jsmith の場合は、[LDAP フィールド マッピング(LDAP Field Mappings)] フィールドを使用して userid 要素を LDAP ディレクトリの cn 属性にマップできます。 |
||
ステップ 9 | [保存(Save)] を選択します。 | ||
ステップ 10 | Cisco Jabber for Android を再起動します。 |
SIP ダイジェスト認証は、ユーザ デバイスを認証するための Unified CM のセキュリティ機能です。 詳細については、『Cisco Unified Communications Manager Security Guide』と『Cisco Unified Communications Manager Administration Guide』を参照してください。これらは、メンテナンス ガイド一覧から入手できます。
ステップ 1 | [Unified CM の管理(Unified CM Administration)] ポータルにサインインします。 |
ステップ 2 | デバイスのページにナビゲートします。 |
ステップ 3 | [デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リストの [プロトコル固有情報(Protocol Specific Information)] セクションで [Cisco Dual Mode for Android - 標準 SIP 非セキュア プロファイル(Cisco Dual Mode for Android - Standard SIP Non-Secure Profile)] を選択します。 |
ステップ 4 | [プロダクト固有の設定(Product Specific Configuration Layout)] セクションで認証の詳細を完成させます。 |
ステップ 5 | [保存(Save)] を選択します。 |
ステップ 6 | [設定の適用(Apply Config)] を選択します。 |
ステップ 7 | Cisco Jabber を再起動します。 |
ステップ 1 |
次のようにして、
の下で、Cisco Dual Mode for Android の新しいプロファイルを作成します。
|
ステップ 2 | [エンド ユーザ(End User)] ページの [ユーザ情報(User Information)] セクションで、次のタスクを実行します。 |
ステップ 3 | [Cisco Dual Mode for Android デバイス(Cisco Dual Mode for Android device)] ページごとに、[プロファイル固有情報(Protocol Specific Information)] セクションでプロファイル情報を完成させます。 |
ステップ 4 | 同じデバイス ページの [プロダクト固有の設定(Product Specific Configuration Layout)] セクションで、認証の詳細を完成させます。 |
ステップ 5 | [保存(Save)] を選択します。 |
ステップ 6 | [設定の適用(Apply Config)] を選択します。 |
ステップ 7 | Cisco Jabber を再起動します。 |
ステップ 1 |
次のようにして、
の下で、Cisco Dual Mode for Android の新しいプロファイルを作成します。
|
ステップ 2 | [エンド ユーザ(End User)] ページの [ユーザ情報(User Information)] セクションで、次のタスクを実行します。 このパスワードを書き留めてください。 後でこのパスワードをユーザに提供します。 |
ステップ 3 | [Cisco Dual Mode for Android デバイス(Cisco Dual Mode for Android device)] ページごとに、[プロトコル固有情報(Protocol Specific Information)] セクションで新しいプロファイル情報を入力します。 |
ステップ 4 |
同じデバイス ページの [プロダクト固有の設定(Product Specific Configuration Layout)] セクションで、認証の詳細を完成させます。
|
ステップ 5 | [保存(Save)] を選択します。 |
ステップ 6 | [設定の適用(Apply Config)] を選択します。 |
ステップ 7 | Cisco Jabber を再起動して、セットアップ ウィザードの手順をもう一度実行します。 |
ステップ 8 | [インターネット通話の設定(Internet Calling Settings)] 画面で、SIP ダイジェスト認証の資格情報を入力します。 このパスワードの大文字と小文字は区別されます。 |
Cisco AnyConnect Secure Mobility Client は、Cisco Jabber が Wi-Fi またはモバイル データ ネットワークを使用して、リモート ロケーションから企業ネットワークに安全に接続できるようにする VPN アプリケーションです。
以前、セキュア接続に対応した Cisco Jabber for Android を展開していた場合は、Release Notes の「What's New」の項を参照してください。
(注) |
企業外の Wi-Fi ネットワークまたはモバイル データ ネットワークでの音声品質は保証されません。 |
Cisco AnyConnect Secure Mobility Client をサポートするには、次の手順を使用してシステムを設定する必要があります。
(注) |
Cisco Jabber for Android と Cisco AnyConnect Secure Mobility Client の組み合わせがサポートされます。 他の VPN クライアントは正式にはサポートされませんが、他の VPN クライアントも Cisco Jabber for Android で使用できる可能性があります。 別の VPN クライアントを使用する場合は、次のように VPN を設定します。
|
ユーザが Cisco AnyConnect クライアントをデバイスにダウンロードした後、ASA はコンフィギュレーション プロファイルをアプリケーションにプロビジョニングする必要があります。
Cisco AnyConnect クライアントのコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、およびオンデマンド ポリシーなどの VPN ポリシー情報が含まれています。
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect クライアントにダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
VPN プロファイルを定義するには、次の手順に従います。
|
ユーザが企業の Wi-Fi ネットワーク外から Cisco Jabber を開く場合、Cisco Jabber には、Cisco UC アプリケーション サーバにアクセスするための VPN 接続が必要です。 Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。
Trusted Network Detection 機能は、ユーザの場所を基にして VPN 接続を自動化することによって、ユーザの体感品質を向上させます。 ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークから離れると、Cisco Jabber は、信頼ネットワークの外にいることを自動的に検出し、間接的に VPN を開始して UC インフラストラクチャへの接続を確保します。
(注) |
Trusted Network Detection 機能には、証明書ベース認証およびパスワード ベース認証の両方を使用できます。 ただし、証明書ベース認証の方が、よりシームレスな体感を与えることができます。 |
ステップ 1 | ASDM を使用して、Cisco AnyConnect のクライアント プロファイルを開きます。 | ||
ステップ 2 |
クライアントが社内 Wi-Fi ネットワークの中にいるときにインターフェイスで受信可能な、信頼できる DNS サーバおよび信頼できる DNS ドメイン サフィックスのリストを入力します。 Cisco AnyConnect クライアントは、現在のインターフェイス DNS サーバおよびドメイン サフィックスを、このプロファイルの設定と比較します。
Trusted Network Detection をセットアップするための詳細な手順については、『Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 2.5』の章「AnyConnect 機能の設定」で「Trusted Network Detection」の項を参照してください。 |
[設定済みの Wi-Fi ネットワーク(Preset Wi-Fi Networks)] フィールドを設定することによって、Cisco AnyConnect をサポートするように Unified CM をセットアップします。 ユーザ デバイスの追加を参照してください。
Cisco AnyConnect クライアントは、Microsoft Active Directory/LDAP パスワード、RADIUS ベースのワンタイム トークン、および証明書を含めて、多くの認証方式をサポートしています。 これらの方式のうち、クライアント証明書認証は最もシームレスな使用環境を提供します。
ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon など、さまざまな標準認証局(CA)サーバが発行した証明書をサポートします。
次の手順で、証明書ベースの認証用に ASA を設定する高レベルなステップの概要を示します。 詳細については、『Cisco ASA 5500 Series Configuration Guide using ASDM, 6.4 and 6.6』の「Configuring Digital Certificates」の項を参照してください。
ステップ 1 | ルート証明書を CA から ASA にインポートします。 |
ステップ 2 | ASA の ID 証明書を生成します。 |
ステップ 3 | SSL 認証用の ASA の ID 証明書を使用します。 |
ステップ 4 | 証明書失効リスト(CRL)または Online Certificate Status Protocol(OCSP)を設定します。 |
ステップ 5 | 認証にクライアント証明書を要求するように、ASA を設定します。 |
証明書をユーザに確実に発行できるように、システムをセットアップする必要があります。
ASA は証明書の配布を簡略化する Simple Certificate Enrollment Protocol(SCEP)をサポートします。
ASA は SCEP を使用して、クライアント認証に使用される証明書を安全に発行および更新できます。 次に、この手順の全体的な概要を示します。
|
VPN 接続を確立した後に ASA 上でセッション パラメータを設定して、Cisco AnyConnect Secure Mobility Client および Cisco Jabber のユーザ エクスペリエンスを定義できます。
ASA セッション パラメータには、次のものがあります。
ステップ 1 |
DTLS を使用するように、Cisco AnyConnect を設定します。 ASA セッション パラメータの設定方法については、「Enabling Datagram Transport Layer Security (DTLS) with AnyConnect (SSL) Connections」を参照してください。 |
ステップ 2 |
セッションの永続性(自動再接続)を設定します。
セッションの永続性を設定する方法の詳細については、「Configuring Auto-Reconnect」を参照してください。 |
ステップ 3 |
アイドル タイムアウト値を設定します。
アイドル タイムアウト値を設定する方法の詳細については、「vpn-idle-timeout」を参照してください。 |
ステップ 4 |
Dead Peer Detection(DPD)を設定します。
DPD を設定する方法の詳細については、「Enabling and Adjusting Dead Peer Detection」を参照してください。 |
VPN トンネルでトラフィックを転送する方法を指定するトンネル ポリシーを設定するには、次の手順に従います。
トンネル ポリシーを設定するには、まず使用するトンネル ポリシーのタイプを決定する必要があります。 トンネル ポリシーには、次のものがあります。
これはデフォルトのトンネル ポリシーです。 Cisco Jabber および Cisco AnyConnect の展開で最もセキュアなオプションが必要な場合は、このポリシーを使用します。 Full-Tunnel の場合、デバイス上のすべてのアプリケーションからのすべてのトラフィックは、VPN トンネルを介して ASA ゲートウェイに送信されます。 オプションで、ローカル LAN アクセス機能を有効にして、ローカル印刷とローカル ネットワーク ドライブ マッピングを有効にすることができます。
電話機から企業ネットワークに Cisco Jabber 固有のトラフィックだけを転送する場合は、このポリシーを使用します。 このポリシーは、宛先サブネットに基づいてトラフィックを転送します。 VPN を介して(暗号化して)送信されるトラフィックと、(暗号化せずに)平文で送信されるトラフィックを指定できます。
関連付けられている機能である Split-DNS は、VPN トンネルを介して解決される DNS トラフィックと、エンドポイント DNS リゾルバによって処理される DNS トラフィックを定義します。
このポリシーは、次の場合に使用します。
ASA で Split-Include ポリシーを使用すると、トラフィックの宛先 IP アドレスに基づいて VPN トンネル内で送信されるトラフィックを指定できます。
Cisco Unified CM クラスタ、ディレクトリ サーバ、および TFTP サーバの IP サブネットを含める必要があります。 Cisco Jabber は、企業 Wi-Fi ネットワーク上の IP Phone またはコンピュータ電話とのピアツーピア メディア接続を必要とします。 そのため、シスコは、Split-Include ポリシーに企業ネットワーク IP アドレス範囲を含めるよう推奨しています。 この設定は、一部の展開に対して適切ではない可能性があります(たとえば、買収やその他の事情のため、会社の IP 空間が連続していない場合)。
このポリシーはすべての内部トラフィックをトンネルに転送しますが、Facebook や YouTube など、クラウドベースのサービスがトンネルに入るのを防止できます。
(注) |
Split-Include ポリシーで指定したアドレス範囲に転送されるすべてのアプリケーション データがトンネル化されるため、Cisco Jabber 以外のアプリケーションもトンネルにアクセスできます。 他のアプリケーションが企業 Wi-Fi ネットワークを使用できないようにするには、VPN フィルタ(ネットワーク ACL)を適用して、使用可能なポートをさらに制限します。 |
Split-Include ポリシーで必要なサブネット全体を定義するのが現実的でない場合は、このポリシーを使用します。 Split-Exclude ポリシーを使用すると、VPN トンネルから既知のトラフィックを除外できます。 たとえば、帯域幅に問題がある場合は、NetFlix、Hulu、YouTube などのサービスの宛先サブネットを Split-Exclude リストに追加できます。
使用するトンネル ポリシーのタイプを決定した後、「Configuring Split-Tunneling Attributes」に説明されている詳細な手順に従い、適切なトンネル ポリシーでグループ ポリシーを設定します。