2019-04-21 08:53 PM
本ドキュメントでは、Mobile and Remote Access (MRA) における ICE (Interactive Connectivity Establishment) Media Optimization の設定方法の概要を紹介します。
本ドキュメントでは、対象となるクライアントは Jabber のみ紹介し、Unified CM 12.5(1)、Cisco Expressway X12.5 の設定を元に記載しています。事前準備として既に MRA として接続できていることを前提として記載しています。
詳細は以下をご参照ください。
Cisco Unified Communications Manager (Unified CM) の MRA ICE Media Optimization の設定について説明します。
MRA クライアントが ICE を利用する場合、エンドツーエンドでシグナリングおよびメディアパケットが暗号化されている必要があります。そのため Expressway-C と Unified CM 間は TLS で SIP を送受信する必要があります。
Unified CM と Expressway-C 間を TLS で接続するために、Mixed Mode と SIP OAuth のいずれかの方法を選択する必要があります(システムとして両方有効にしてもかまいません)。
Mixed Mode を用いて Jabber を TLS で接続する場合、オンプレミスで接続して CAPF (Certificate Authority Proxy Function) をインストールする必要があります。MRA では CAPF のインストールはサポートされていません。
Unified CM で Mixed Mode を有効にする方法は以下の通りです。コマンド実行後は Cisco CallManager サービスと Cisco CTIManager サービスを再起動する必要があります。
admin:utils ctl set-cluster mixed-mode
This operation will set the cluster to Mixed mode. Do you want to continue? (y/n): y
Please restart Cisco CallManager service and Cisco CTIManager services on all the nodes
in the cluster that run these services.
SIP OAuth を使うことによって、CAPF をインストールすることなしにデバイスと Unified CM 間の暗号化通信を行うことができます。
SIP OAuth を利用する場合は、Unified CM で OAuth を有効にする必要があります。
[System] > [Enterprise Parameters]
Unified CM で SIP OAuth を有効にする方法は以下の通りです。コマンド実行後は Cisco CallManager サービスを再起動する必要があります。
admin:utils sipOAuth-mode enable
SIP OAuth mode enabled.
Please restart the Cisco CallManager service on all nodes in the cluster where it is running.
[System] > [Enterprise Parameters]
また、show open ports regexp 5090 および show open ports regex 5091 コマンドで、ポート 5090 (SIP Phone OAuth Port) およびポート 5061 (SIP MRA OAuth Port) がオープン (LISTEN) されているか確認できます。
admin:show open ports regexp 5091
ccm 25663 ccmbase 353u IPv4 121725 0t0 TCP 192.168.98.40:5091 (LISTEN)
[System] > [Security] > [Phone Security Profile] から新規の Security Profile を作成します。この時、Jabber のテンプレート (Cisco Unified Client Services Framework や Cisco Dual Mode for xxx) もしくは [Universal Device Template] を選択します。
Phone Security Profile の Name の文字列は Expressway-C のサーバ証明書の SAN (Subject Alternative Names) に設定します。
[Device] > [Phone] > [該当のデバイスの設定] を選択し、作成した Security Profile をデバイスに割り当てます。
デバイスに ICE の設定を行います。この例では共通の Common Phone Profile を作成していますが、デバイス毎に設定しても構いません。
[Device] > [Device Settings] > [Common Phone Profile] を選択して新規 Common Phone Profile を作成(もしくはデフォルトをコピー)し、[Interactive Connectivity Establishment (ICE)] の項目を以下の通りに設定します。
[Device] > [Phone] > [該当のデバイスの設定] を選択し、作成した Common Phone Profile をデバイスに割り当てます。
Expressway-C の MRA ICE Media Optimization の設定について説明します。
Unified CM で設定したセキュリティプロファイルの名前は、Expressway-C のサーバ証明書の SAN (Subject Alternative Names) に含める必要があります。
[Maintenance] > [Security] > [Server certificate] を選択し、Certificate signing request (CSR) の [Generate CSR] をクリックします。[Unified CM phone security profile names] にセキュリティプロファイル名を記載し、他の必要事項を埋め、[Generate CSR] をクリックして CSR を生成します。
この CSR を使って CA 局でサーバ証明書を発行し、[Maintenance] > [Security] > [Server certificate] の [Upload server certificate] でサーバ証明書を Expressway-C にインストールします。
Expressway-C で ICE を終端せず、パススルーするために ICE Passthrough を有効にします。
[Configuration] > [Unified Communications] > [Unified CM servers]
[Configuration] > [Zones] > [Zones] > [Expressway-E との Unified Communications traversal Zone]
SIP OAuth を利用する場合は、Unified CM と同様に Expressway-C においても OAuth を有効にする必要があります。
[Configuration] > [Unified Communications] > [Configuration]
Unified CM で SIP OAuth を有効した場合、Expressway-C に OAuth Neighbor Zone が自動生成されていることを確認します。
[Configuration] > [Unified Communications] > [Unified CM servers] を選択し、該当の Unified CM をクリックして [Refresh servers] をクリックします。
[Configuration] > [Zones] > [Zones] を選択すると、CEOAuth-<Unified CM 名> という名前の Zone が自動生成されていることを確認します。[Unified CM servers] の設定が反映されているか確認します。ポート番号はデフォルト 5091 となります。
Expressway-E の MRA ICE Media Optimization の設定について説明します。
Expressway-E で TURN サーバを起動するために、TURN Relays オプションキーをインストールする必要があります。
[Maintenance] > [Option keys] を選択し、TURN Relays オプションキーをインストールします。
[Configuration] > [Traversal] > [TURN] を選択し、TURN サーバの設定を行います。
[Configure TURN client credentials on local database] をクリックし、認証用のユーザ名とパスワードを設定します。
Expressway-E で ICE を終端せず、パススルーするために ICE Passthrough を有効にします。
[Configuration] > [Zones] > [Zones] > [Expressway-C との Unified Communications traversal Zone]
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます