はじめに

本ドキュメントでは、Mobile and Remote Access (MRA) における ICE (Interactive Connectivity Establishment) Media Optimization の設定方法の概要を紹介します。

本ドキュメントでは、対象となるクライアントは Jabber のみ紹介し、Unified CM 12.5(1)、Cisco Expressway X12.5 の設定を元に記載しています。事前準備として既に MRA として接続できていることを前提として記載しています。

詳細は以下をご参照ください。

• System Configuration Guide for Cisco Unified Communications Manager, Release 12.5(1)
• Mobile and Remote Access via Cisco Expressway Deployment Guide (X12.5)

Unified CM の設定

Cisco Unified Communications Manager (Unified CM) の MRA ICE Media Optimization の設定について説明します。

セキュリティの設定 (Mixed Mode or SIP OAuth)

MRA クライアントが ICE を利用する場合、エンドツーエンドでシグナリングおよびメディアパケットが暗号化されている必要があります。そのため Expressway-C と Unified CM 間は TLS で SIP を送受信する必要があります。

Unified CM と Expressway-C 間を TLS で接続するために、Mixed Mode と SIP OAuth のいずれかの方法を選択する必要があります（システムとして両方有効にしてもかまいません）。

A. Mixed Mode

Mixed Mode を用いて Jabber を TLS で接続する場合、オンプレミスで接続して CAPF (Certificate Authority Proxy Function) をインストールする必要があります。MRA では CAPF のインストールはサポートされていません。

Unified CM で Mixed Mode を有効にする方法は以下の通りです。コマンド実行後は Cisco CallManager サービスと Cisco CTIManager サービスを再起動する必要があります。

admin:utils ctl set-cluster mixed-mode
This operation will set the cluster to Mixed mode. Do you want to continue? (y/n): y
Please restart Cisco CallManager service and Cisco CTIManager services on all the nodes 
in the cluster that run these services.

B. SIP OAuth

SIP OAuth を使うことによって、CAPF をインストールすることなしにデバイスと Unified CM 間の暗号化通信を行うことができます。

SIP OAuth を利用する場合は、Unified CM で OAuth を有効にする必要があります。

[System] > [Enterprise Parameters]

• [OAuth with Refresh Login Flow]: Enabled
• [OAuth Access Token Expiry Timer (minutes)]: 60
• [OAuth Refresh Token Expiry Timer (days)]: 60

Unified CM で SIP OAuth を有効にする方法は以下の通りです。コマンド実行後は Cisco CallManager サービスを再起動する必要があります。

admin:utils sipOAuth-mode enable
SIP OAuth mode enabled.
Please restart the Cisco CallManager service on all nodes in the cluster where it is running.

[System] > [Enterprise Parameters]

また、show open ports regexp 5090 および show open ports regex 5091 コマンドで、ポート 5090 (SIP Phone OAuth Port) およびポート 5061 (SIP MRA OAuth Port) がオープン (LISTEN) されているか確認できます。

admin:show open ports regexp 5091
ccm       25663    ccmbase  353u  IPv4  121725      0t0  TCP 192.168.98.40:5091 (LISTEN)

Phone セキュリティプロファイルの設定

[System] > [Security] > [Phone Security Profile] から新規の Security Profile を作成します。この時、Jabber のテンプレート (Cisco Unified Client Services Framework や Cisco Dual Mode for xxx) もしくは [Universal Device Template] を選択します。

Phone Security Profile の Name の文字列は Expressway-C のサーバ証明書の SAN (Subject Alternative Names) に設定します。

• [Device Encryption Mode] : Encrypted
• [Enable OAuth Authentication]: チェック (SIP OAuth を使う場合)
• [SIP Phone Port]: 5091 (デフォルト値：設定項目がある場合)

[Device] > [Phone] > [該当のデバイスの設定] を選択し、作成した Security Profile をデバイスに割り当てます。

ICE の設定

デバイスに ICE の設定を行います。この例では共通の Common Phone Profile を作成していますが、デバイス毎に設定しても構いません。

[Device] > [Device Settings] > [Common Phone Profile] を選択して新規 Common Phone Profile を作成（もしくはデフォルトをコピー）し、[Interactive Connectivity Establishment (ICE)] の項目を以下の通りに設定します。

• [ICE]: Enable
• [Default Candidate Type]: Host (Host 以外未サポート)
  
• [Server Reflexive Address]: Enabled
• [Primary TURN Server Host Name or IP Address]: <プライマリ Expressway-E の グローバルアドレス (NAT アドレス): Jabber がインターネット側からアクセスできるアドレス>
• [Secondary TURN Server Host Name or IP Address]: 未サポートのため空欄
• [TURN Server Transport Type]: UDP
• [TURN Server Username]: <Expressway-E に設定する TURN サーバのユーザ名>
• [TURN Server Password]: <Expressway-E に設定する TURN サーバのパスワード>

[Device] > [Phone] > [該当のデバイスの設定] を選択し、作成した Common Phone Profile をデバイスに割り当てます。

Expressway-C の設定

Expressway-C の MRA ICE Media Optimization の設定について説明します。

サーバ証明書

Unified CM で設定したセキュリティプロファイルの名前は、Expressway-C のサーバ証明書の SAN (Subject Alternative Names) に含める必要があります。

[Maintenance] > [Security] > [Server certificate] を選択し、Certificate signing request (CSR) の [Generate CSR] をクリックします。[Unified CM phone security profile names] にセキュリティプロファイル名を記載し、他の必要事項を埋め、[Generate CSR] をクリックして CSR を生成します。

この CSR を使って CA 局でサーバ証明書を発行し、[Maintenance] > [Security] > [Server certificate] の [Upload server certificate] でサーバ証明書を Expressway-C にインストールします。

ICE Passthrough

Expressway-C で ICE を終端せず、パススルーするために ICE Passthrough を有効にします。

[Configuration] > [Unified Communications] > [Unified CM servers]

• [ICE Passthrough support]: On

[Configuration] > [Zones] > [Zones] > [Expressway-E との Unified Communications traversal Zone]

• [ICE support]: Off
• [ICE Passthrough support]: On

OAuth の設定 (SIP OAuth を利用する場合)

SIP OAuth を利用する場合は、Unified CM と同様に Expressway-C においても OAuth を有効にする必要があります。

[Configuration] > [Unified Communications] > [Configuration]

• [Authorize by OAuth token with refresh]: On

OAuth Neighbor Zone (SIP OAuth を利用する場合)

Unified CM で SIP OAuth を有効した場合、Expressway-C に OAuth Neighbor Zone が自動生成されていることを確認します。

[Configuration] > [Unified Communications] > [Unified CM servers] を選択し、該当の Unified CM をクリックして [Refresh servers] をクリックします。

[Configuration] > [Zones] > [Zones] を選択すると、CEOAuth-<Unified CM 名> という名前の Zone が自動生成されていることを確認します。[Unified CM servers] の設定が反映されているか確認します。ポート番号はデフォルト 5091 となります。

Expressway-E の設定

Expressway-E の MRA ICE Media Optimization の設定について説明します。

TURN リレーオプションキーのインストール

Expressway-E で TURN サーバを起動するために、TURN Relays オプションキーをインストールする必要があります。

[Maintenance] > [Option keys] を選択し、TURN Relays オプションキーをインストールします。

TURN サーバの設定

[Configuration] > [Traversal] > [TURN] を選択し、TURN サーバの設定を行います。

• [TURN services]: On
• [TURN requests port]: 3478

[Configure TURN client credentials on local database] をクリックし、認証用のユーザ名とパスワードを設定します。

ICE Passthrough

Expressway-E で ICE を終端せず、パススルーするために ICE Passthrough を有効にします。

[Configuration] > [Zones] > [Zones] > [Expressway-C との Unified Communications traversal Zone]

• [ICE support]: Off
• [ICE Passthrough support]: On

参考情報

• System Configuration Guide for Cisco Unified Communications Manager, Release 12.5(1)
• Mobile and Remote Access via Cisco Expressway Deployment Guide (X12.5)
• シスコ コラボレーションにおける ICE の概要
• MRA ICE Media Optimization の概要