电话tftp服务器ip

排除AnyConnectVPN电话故障-IP电话、ASA和CUCMContentsIntroduction背景信息确认VPN在ASA的电话许可证被限制的导出和导出无限制的CUCM在ASA的常见问题证书为在ASA的使用信任点/ASA导出和CUCM导入的认证ASA而不是被配置的RSA认证的存在ECDSA自签证书IP电话用户的认证的外部数据库认证在ASA认证和VPN电话信任列表之间的哈希匹配检查SHA1哈希下载IP电话配置文件解码哈希VPN负荷-平衡和IP电话CSD和IP电话ASA日志ASA调试DAP规则从DfltGrpPolicy或其他组的被继承的值支持的加密密码在CUCM的常见问题VPN设置没适用于IP电话证书验证方法主机标识符检查另外的故障排除使用的日志和调试在ASAIP电话日志在ASA日志和IP电话日志之间的关联的问题ASA日志电话日志对PC端口功能的间距IP电话配置更改,当连接由VPN时ASASSL认证的续订Introduction使用安全套接字协议层(SSL)协议的本文描述如何用IP电话排除问题故障(CiscoAnyConnect安全移动客户端)为了连接到使用的Cisco可适应的安全工具(ASA),VPN网关和为了联络到CiscoUnified通信使用作为语音服务器的管理器(CUCM).
关于AnyConnect配置示例用VPN电话,请参见这些文件:与IP电话配置示例的SSLVPNq有证书验证配置示例的AnyConnectVPN电话q背景信息在您配置与IP电话前的SSLVPN,请确认您符合了AnyConnect许可证的这些最初的要求的ASA和的CUCM的美国导出被限制的版本.
确认VPN在ASA的电话许可证VPN电话许可证enable(event)在ASA的功能.
为了确认能连接AnyConnect用户的数量(它是否是IP电话),请检查AnyConnect优质SSL许可证.
参考什么ASA许可证为IP电话和便携VPN连接是需要的以获取更多详细信息.
在ASA,请使用showversion命令为了检查功能是否是启用的.
许可证名字有所不同与ASA版本:ASA版本8.
0.
x:许可证名字是Linksys电话的AnyConnect.
qASA版本8.
2.
x和以后:许可证名字是CiscoVPN电话的AnyConnect.
q这是ASA版本的8.
0.
x一个示例:ASA5505(config)#showverCiscoAdaptiveSecurityApplianceSoftwareVersion8.
0(5)DeviceManagerVersion7.
0(2)Licensedfeaturesforthisplatform:VPNPeers:10WebVPNPeers:2AnyConnectforLinksysphone:DisabledThisplatformhasaBaselicense.
这是ASA版本的8.
2.
x一个示例和以后:ASA5520-C(config)#showverCiscoAdaptiveSecurityApplianceSoftwareVersion9.
1(1)DeviceManagerVersion7.
1(1)Licensedfeaturesforthisplatform:AnyConnectPremiumPeers:2perpetualAnyConnectEssentials:DisabledperpetualAnyConnectforCiscoVPNPhone:DisabledperpetualThisplatformhasanASA5520VPNPluslicense.
被限制的导出和导出无限制的CUCM您应该配置CUCM的美国导出被限制的版本VPN电话功能的.
如果使用CUCM的美国导出无限制的版本,请注释那:修改IP电话安全配置为了禁用信令和媒体加密;这包括VPN电话功能提供的加密.
q您不能通过导入/导出导出VPN详细资料.
qVPN配置文件、VPN网关、VPN组和VPN功能的复选框配置没有显示.
qNote:一旦升级到CUCM的美国导出无限制的版本,您不能以后升级对,或者请执行一个新安装,此软件的美国导出被限制的版本.
在ASA的常见问题Note:您能使用CiscoCLI分析器(仅限注册用户)为了查看show命令输出分析.
在您使用调试指令前,您应该也是指关于调试Cisco命令文件的重要信息.
证书为在ASA的使用在ASA,您能使用自已签署的SSL证书、第三方SSL证书和通配符证书;中的任一这些安全IP电话和ASA之间的通信.
仅一个身份认证,因为仅一个认证可以分配到每个接口,可以使用.
对于第三方SSL证书,在ASA上请安装完全一系列,并且包括所有中间和根证明.
信任点/ASA导出和CUCM导入的认证ASA提交到IP电话在SSL协商时的认证必须从ASA导出和导入到CUCM.
检查信任点分配到IP电话连接为了知道的接口导出的哪个认证从ASA.
请使用showrunssl命令为了验证(认证)将被导出的信任点.
参考有证书验证配置示例的AnyConnectVPN电话欲知更多信息.
Note:如果配置了一个第三方认证对一个或更多ASA,您需要从每个ASA导出每个身份认证然后导入它CUCM作为电话VPN信任.
ASA而不是被配置的RSA认证的存在ECDSA自签证书当此问题出现时,新模型电话无法接通,而更旧的式样电话不遇到任何问题.
这,当此问题出现时,请是注册电话:ASA5520-C(config)#showverCiscoAdaptiveSecurityApplianceSoftwareVersion9.
1(1)DeviceManagerVersion7.
1(1)Licensedfeaturesforthisplatform:AnyConnectPremiumPeers:2perpetualAnyConnectEssentials:DisabledperpetualAnyConnectforCiscoVPNPhone:DisabledperpetualThisplatformhasanASA5520VPNPluslicense.
在版本9.
4.
1和以上,椭圆曲线密码学为SSL/TLS支持.
当一椭圆曲线能够SSLVPN客户端例如一个新的电话型号连接到ASA时,椭圆曲线密码套件协商,并且ASA提交与一个椭圆曲线认证的SSLVPN客户端,既使当对应的接口配置有一基于RSA的信任点.
为了防止ASA提交一个自已签署的SSL认证,管理员必须去除通过ssl密码命令对应的密码套件.
例如,为配置有RSA信任点的接口,管理员能执行此命令,以便仅基于RSA的密码协商:sslciphertlsv1.
2custom"AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA"使用CiscoBugIDCSCuu02848的实施,优先级制定配置.
总是使用明确配置的证书.
自署名的认证在没有一个被配置的认证时只使用.
提出的客户端密码RSA仅CertEC仅Cert两Certs无RSA只加密使用RSAcert使用RSA密码使用RSA自已签署的cert使用RSA密码使用RSAcert使用RSA密码使用RSA自已签署的cert使用RSA密码EC只加密(少见)连接发生故障使用ECcert使用EC密码使用ECcert使用EC密码使用EC自已签署的cert使用EC密码仅两个密码使用RSAcert使用RSA密码使用ECcert使用EC密码使用ECcert使用EC密码使用EC自已签署的cert使用EC密码IP电话用户的认证的外部数据库您能使用外部数据库为了验证IP电话用户.
协议例如轻量级目录访问协议(LDAP)或远程认证拨入用户服务(RADIUS)可以用于VPN电话用户的认证.
认证在ASA认证和VPN电话信任列表之间的哈希匹配切记您必须下载分配到ASASSL接口的认证和加载它作为在CUCM的电话VPN信任认证.
不同的情况也许导致ASA提交的此认证的哈希不匹配CUCM服务器生成并且穿过对VPN电话配置文件的哈希.
一旦配置完成,请测试IP电话和ASA之间的VPN连接.
如果连接继续发生故障,检查ASA认证的哈希是否匹配哈希IP电话预计:检查ASA提交的安全散列算法1(SHA1)哈希.
1.
请使用TFTP为了从CUCM下载IP电话配置文件.
2.
解码哈希从十六进制到base64或从base64到十六进制.
3.
检查SHA1哈希ASA提交认证应用与ssl信任点on命令IP电话接通的接口.
要检查此认证,请打开浏览器(在本例中,Firefox),并且输入(组URL)电话应该接通的URL:下载IP电话配置文件从有直接访问的PC对CUCM,请下载电话的TFTP配置文件有连接问题的.
两个下载方法是:开始在Windows的一次CLI会话,并且请使用tftp-iGETSEP.
cnf.
xml命令.
Note:如果下面收到一个错误类似于那个,您应该确认TFTP客户端特性是启用的.
1.
请使用一个应用程序例如Tftpd32下载文件:2.
一旦下载文件,请打开XML并且查找vpngroup配置.
此示例显示将被验证的部分和certHash:1290302000https://10.
198.
16.
140/VPNPhone05X6B6plUwUSXZnjQ4kGM33mpMXY=3.
解码哈希确认两个Hash值配比.
浏览器提交哈希以十六进制格式,而XML文件使用base64,因此转换一种格式成其他为了确认匹配.
有可用许多的译码器;一个示例是译码器,二进制.
Note:如果早先Hash值不配比,VPN电话不委托与ASA协商的连接,并且连接发生故障.
VPN负荷-平衡和IP电话负载均衡的SSLVPN不为VPN电话支持.
VPN电话不执行实际证书确认,反而使用切细增加由CUCM验证服务器.
由于VPN负载平衡基本上是HTTP重定向,要求电话验证多重证明,导致故障.
VPN负载平衡故障的症状包括:电话交替在服务器之间并且需要格外很长时间接通或最终出故障.
q电话日志包含消息例如这些:1290302000https://10.
198.
16.
140/VPNPhone05X6B6plUwUSXZnjQ4kGM33mpMXY=qCSD和IP电话目前,IP电话不支持CiscoSecureDesktop(CSD)和不连接,当CSD是启用的为隧道组或全局在ASA.
首先,确认ASA是否有被启用的CSD.
输入webvpn命令的showrun在ASACLI:ASA5510-F#showrunwebvpnwebvpnenableoutsidecsdimagedisk0:/csd_3.
6.
6210-k9.
pkgcsdenableanyconnectimagedisk0:/anyconnect-win-3.
1.
00495-k9.
pkg1anyconnectenableASA5510-F#为了在IP电话连接时检查CSD问题,请检查日志或调试在ASA.
ASA日志ASA5510-F#showrunwebvpnwebvpnenableoutsidecsdimagedisk0:/csd_3.
6.
6210-k9.
pkgcsdenableanyconnectimagedisk0:/anyconnect-win-3.
1.
00495-k9.
pkg1anyconnectenableASA5510-F#ASA调试debugwebvpnanyconnect255TunnelGroup:VPNPhone,ClientCertAuthSuccess.
WebVPN:CSDdatanotsentfromclienthttp_remove_auth_handle():handle24notfound!
Note:在与AnyConnect用户高负载的一大的部署,Cisco建议您不enable(event)调试WebVPNanyconnect.
其输出不可能由IP地址过滤,因此很多信息也许被创建.
在ASA版本8.
2和以上,您必须适用没有csd发出命令在隧道组的WebVPN属性下:tunnel-groupVPNPhonewebvpn-attributesauthenticationcertificategroup-urlhttps://asa5520-c.
cisco.
com/VPNPhoneenablewithout-csd在ASA中的老版本,这不是可能的,因此唯一的解决方法是禁用CSD全局.
在CiscoAdaptiveSecurityDeviceManager(ASDM)如此示例所显示,您能禁用一个特定连接配置文件的CSD:Note:请使用一个组URL为了关闭CSD以为特色.
DAP规则多数配置不仅连接IP电话到ASA,而且连接不同种类的机器(Microsoft,Linux,MacOS)和移动设备(机器人,iOS).
为此,查找动态访问策略(DAP)是正常的规则的一个现有配置,大多时间,在DfltAccessPolicy下的默认动作是连接的终端.
如果这是实际情形,请创建VPN电话的一个分开的DAP规则.
请使用一个特定参数,例如连接配置文件,并且设置动作继续:如果不创建IP电话的一个特定DAP策略,ASA显示命中在DfltAccessPolicy和一个失败的连接下:%ASA-6-716038:GroupUserIPAuthentication:successful,SessionType:WebVPN.
%ASA-7-734003:DAP:UserCP-7962G-SEP8CB64F576113,Addr172.
16.
250.
9:SessionAttributeaaa.
cisco.
grouppolicy=GroupPolicy_VPNPhone%ASA-6-734001:DAP:UserCP-7962G-SEP8CB64F576113,Addr172.
16.
250.
9,ConnectionAnyConnect:ThefollowingDAPrecordswereselectedforthisconnection:DfltAccessPolicy%ASA-5-734002:DAP:UserCP-7962G-SEP8CB64F576113,Addr172.
16.
250.
9:ConnectionterminatedbythefollowingDAPrecords:DfltAccessPolicy一旦创建IP电话的一个特定DAP策略以动作集继续,您能连接:%ASA-7-746012:user-identity:AddIP-Usermapping10.
10.
10.
10-LOCAL\CP-7962G-SEP8CB64F576113Succeeded-VPNuser%ASA-4-722051:GroupUserIPAddressassignedtosession%ASA-6-734001:DAP:UserCP-7962G-SEP8CB64F576113,Addr172.
16.
250.
9,ConnectionAnyConnect:ThefollowingDAPrecordswereselectedforthisconnection:VPNPhone从DfltGrpPolicy或其他组的被继承的值在许多情况下,DfltGrpPolicy设置几个选项.
默认情况下,这些设置为IP电话会话被继承,除非他们在IP电话应该使用的组策略手工指定.
也许影响连接的某些参数,如果他们从DfltGrpPolicy被继承是:group-lockqvpn-tunnel-protocolqvpn-simultaneous-loginsqvpn-filterq假设,您有此示例配置在DfltGrpPolicy和GroupPolicy_VPNPhone:group-policyDfltGrpPolicyattributesvpn-simultaneous-logins0vpn-tunnel-protocolikev1ikev2l2tp-ipsecssl-clientlessgroup-lockvalueDefaultWEBVPNGroupvpn-filtervalueNO-TRAFFICgroup-policyGroupPolicy_VPNPhoneattributeswins-servernonedns-servervalue10.
198.
29.
20default-domainvaluecisco.
com连接继承未明确地指定在GroupPolicy_VPNPhone下从DfltGrpPolicy的参数并且推进所有信息到IP电话在连接时.
为了避免此,请手工指定您直接地在组需要的值:group-policyGroupPolicy_VPNPhoneinternalgroup-policyGroupPolicy_VPNPhoneattributeswins-servernonedns-servervalue10.
198.
29.
20vpn-simultaneous-logins3vpn-tunnel-protocolssl-clientgroup-lockvalueVPNPhonevpn-filternonedefault-domainvaluecisco.
com为了检查DfltGrpPolicy的默认值,请使用showrun所有组策略命令;此示例澄清输出之间的区别:ASA5510-F#showrungroup-policyDfltGrpPolicygroup-policyDfltGrpPolicyattributesdns-servervalue10.
198.
29.
2010.
198.
29.
21vpn-tunnel-protocolikev1ikev2l2tp-ipsecssl-clientssl-clientlessdefault-domainvaluecisco.
comASA5510-F#ASA5510-F#shrunallgroup-policyDfltGrpPolicygroup-policyDfltGrpPolicyinternalgroup-policyDfltGrpPolicyattributesbannernonewins-servernonedns-servervalue10.
198.
29.
2010.
198.
29.
21dhcp-network-scopenonevpn-access-hoursnonevpn-simultaneous-logins3vpn-idle-timeout30vpn-idle-timeoutalert-interval1vpn-session-timeoutnonevpn-session-timeoutalert-interval1vpn-filternoneipv6-vpn-filternonevpn-tunnel-protocolikev1ikev2l2tp-ipsecssl-clientssl-clientless这是组策略的输出通过ASDM继承属性:支持的加密密码用7962GIP电话和固件版本9.
1.
1技术支持测试的AnyConnectVPN电话仅两个密码,是两高级加密标准(AES):AES256-SHA和AES128-SHA.
如果正确的密码在ASA没有指定,如ASA日志所显示,连接被拒绝,:%ASA-7-725010:Devicesupportsthefollowing2cipher(s).
%ASA-7-725011:Cipher[1]:RC4-SHA%ASA-7-725011:Cipher[2]:DES-CBC3-SHA%ASA-7-725008:SSLclientoutside:172.
16.
250.
9/52684proposesthefollowing2cipher(s).
%ASA-7-725011:Cipher[1]:AES256-SHA%ASA-7-725011:Cipher[2]:AES128-SHA%ASA-7-725014:SSLliberror.
Function:SSL3_GET_CLIENT_HELLOReason:nosharedcipher为了确认ASA是否有被启用的正确的密码,请输入showrun所有ssl并且显示ssl命令:ASA5510-F#showrunallsslsslserver-versionanysslclient-versionanysslencryptionrc4-sha1aes128-sha1aes256-sha13des-sha1ssltrust-pointSSLoutsideASA5510-F#ASA5510-F#showsslAcceptconnectionsusingSSLv2,SSLv3orTLSv1andnegotiatetoSSLv3orTLSv1StartconnectionsusingSSLv3andnegotiatetoSSLv3orTLSv1Enabledcipherorder:rc4-sha1aes128-sha1aes256-sha13des-sha1Disabledciphers:des-sha1rc4-md5dhe-aes128-sha1dhe-aes256-sha1null-sha1SSLtrust-points:outsideinterface:SSLCertificateauthenticationisnotenabledASA5510-F#在CUCM的常见问题VPN设置没适用于IP电话一旦在CUCM的配置被创建(网关,组队和配置文件),请应用在普通的电话配置文件的VPN设置:连接对设备>设备设置>普通的电话配置文件.
1.
输入VPN信息:2.
连接对Device>Phone并且确认此配置文件分配到电话配置:3.
证书验证方法有两种方式配置IP电话的证书验证:制造商预装证书(MIC)和局部重要的认证(LSC).
参考有证书验证配置示例的AnyConnectVPN电话为了选择您的情况的最佳的选项.
当您配置证书验证时,从CUCM服务器请导出认证(根CA)并且导入他们ASA:登陆对CUCM.
1.
连接统一的OS管理>Security>CertificateManagement.
2.
查找认证机关代理功能(CAPF)或Cisco_Manufacturing_CA;认证的种类取决于您是否使用了MIC或LSC证书验证.
3.
下载文件到本地计算机.
4.
一旦下载文件,请登陆对ASA通过CLI或ASDM并且导入认证作为CA证书.
默认情况下,支持VPN的所有电话预先输入与MICs.
7960个和7940个式样电话不附有MIC并且要求特殊安装安装过程,以便LSC安全地注册.
最新的CiscoIP电话(8811,8841,8851和8861)包括由新的制造的SHA2CA签字的MIC证书:CUCM版本10.
5(1)包括并且委托新的SHA2证书.
q如果运行一个初期的CUCM版本,也许要求您下载新的制造CA证书和:加载它到CAPF信任,以便电话能验证与CAPF为了获得LSC.
如果要允许电话验证与SIP的5061,MIC请加载它到呼叫管理器信任.
q提示:如果CUCM当前运行一个更早版本,请点击此链路为了获得SHA2CA.
警告:Cisco建议您使用MICs仅LSC安装.
Cisco支持TLS连接的认证的LSCs与CUCM的.
由于MIC根证明可以折衷,配置电话使用MICsTLS认证或其他目的用户那么责任自负.
如果MICs折衷,Cisco不假设负债.
默认情况下,如果LSC存在于电话,认证使用LSC,不管MIC是否存在于电话.
如果MIC和LSC存在于电话,认证使用LSC.
如果LSC不存在于电话,但是MIC存在,认证使用MIC.
Note:切记,为证书验证,您应该从ASA导出SSL认证和导入它CUCM.
主机标识符检查如果在认证的主题的共同名称(CN)不匹配URL(组URL)电话使用为了接通到ASA通过VPN,禁用在CUCM的主机标识符检查或请使用匹配在ASA的该URL的一个认证在ASA.
这是必要的,当ASA的SSL认证是通配符认证时,SSL认证包含不同的SAN(附属的代替名字),或者URL用IP地址创建了而不是完全合格的域名(FQDN).
这是IP电话日志的示例,当认证的CN不匹配电话设法到达的URL时.
1231:NOT07:07:32.
445560VPNC:DNShaswildcard,startingchecks.
.
.
1232:ERR07:07:32.
446239VPNC:Genericthirdlevelwildcardsarenotallowed,stoppingchecksonhost=(test.
vpn.
com)anddns=(*.
vpn.
com)1233:NOT07:07:32.
446993VPNC:hostIDnotfoundinsubjectAltNames1234:NOT07:07:32.
447703VPNC:hostIDnotfoundinsubjectname1235:ERR07:07:32.
448306VPNC:hostIDCheckfailed!
!
为了禁用主机标识符请登记CUCM,连接对高级特性>VPN>VPN配置文件:另外的故障排除使用的日志和调试在ASA在ASA,您能enable(event)这些调试和日志排除故障的:1231:NOT07:07:32.
445560VPNC:DNShaswildcard,startingchecks.
.
.
1232:ERR07:07:32.
446239VPNC:Genericthirdlevelwildcardsarenotallowed,stoppingchecksonhost=(test.
vpn.
com)anddns=(*.
vpn.
com)1233:NOT07:07:32.
446993VPNC:hostIDnotfoundinsubjectAltNames1234:NOT07:07:32.
447703VPNC:hostIDnotfoundinsubjectname1235:ERR07:07:32.
448306VPNC:hostIDCheckfailed!
!
Note:在与AnyConnect用户高负载的一大的部署,Cisco建议您不enable(event)调试webvpnhanyconnect.
其输出不可能由IP地址过滤,因此很多信息也许被创建.
IP电话日志为了访问电话日志,enable(event)Web访问功能.
登陆对CUCM,并且连接对Device>Phone>电话配置.
查找您想要对enable(event)此功能的IP电话,并且查找Web访问的部分.
应用对IP电话的配置更改:一旦enable(event)服务和重置电话为了注入此新功能,您能访问IP电话登陆浏览器;以对该子网的访问使用电话的IP地址从计算机.
去控制台日志并且检查五日志文件.
由于电话覆盖五个文件,您必须检查所有这些文件按顺序找到您寻找的信息.
在ASA日志和IP电话日志之间的关联的问题这是示例如何关联从ASA和IP电话的日志.
在本例中,因为在ASA的认证用不同的身份验证,替换认证的哈希在ASA的不匹配认证的哈希在电话的配置文件的.
ASA日志%ASA-7-725012:Devicechoosescipher:AES128-SHAfortheSSLsessionwithclientoutside:172.
16.
250.
9/50091%ASA-7-725014:SSLliberror.
Function:SSL3_READ_BYTESReason:tlsv1alertunknownca%ASA-6-725006:DevicefailedSSLhandshakewithclientoutside:172.
16.
250.
9/50091电话日志902:NOT10:19:27.
155936VPNC:ssl_state_cb:TLSv1:SSL_connect:before/connectinitialization903:NOT10:19:27.
162212VPNC:ssl_state_cb:TLSv1:SSL_connect:unknownstate904:NOT10:19:27.
361610VPNC:ssl_state_cb:TLSv1:SSL_connect:SSLv3readserverhelloA905:NOT10:19:27.
364687VPNC:cert_vfy_cb:depth:1of1,subject:906:NOT10:19:27.
365344VPNC:cert_vfy_cb:depth:1of1,pre_err:18(selfsignedcertificate)907:NOT10:19:27.
368304VPNC:cert_vfy_cb:peercertsaved:/tmp/leaf.
crt908:NOT10:19:27.
375718SECD:Leafcerthash=1289B8A7AA9FFD84865E38939F3466A61B5608FC909:ERR10:19:27.
376752SECD:EROR:secLoadFile:filenotfound910:ERR10:19:27.
377361SECD:Unabletoopenfile/tmp/issuer.
crt911:ERR10:19:27.
420205VPNC:VPNcertchainverificationfailed,issuercertificatenotfoundandleafnottrusted912:ERR10:19:27.
421467VPNC:ssl_state_cb:TLSv1:write:alert:fatal:unknownCA913:ERR10:19:27.
422295VPNC:alert_err:SSLwritealert:code48,unknownCA914:ERR10:19:27.
423201VPNC:create_ssl_connection:SSL_connectret-1error1915:ERR10:19:27.
423820VPNC:SSL:SSL_connect:SSL_ERROR_SSL(error1)916:ERR10:19:27.
424541VPNC:SSL:SSL_connect:error:14090086:SSLroutines:SSL3_GET_SERVER_CERTIFICATE:certificateverifyfailed917:ERR10:19:27.
425156VPNC:create_ssl_connection:SSLsetupfailure918:ERR10:19:27.
426473VPNC:do_login:create_ssl_connectionfailed919:NOT10:19:27.
427334VPNC:vpn_stop:de-activatingvpn920:NOT10:19:27.
428156VPNC:vpn_set_auto:auto->auto921:NOT10:19:27.
428653VPNC:vpn_set_active:activated->de-activated922:NOT10:19:27.
429187VPNC:set_login_state:LOGIN:1(TRYING)-->3(FAILED)923:NOT10:19:27.
429716VPNC:set_login_state:VPNC:1(LoggingIn)-->3(LoginFailed)924:NOT10:19:27.
430297VPNC:vpnc_send_notify:notifytype:1[LoginFailed]925:NOT10:19:27.
430812VPNC:vpnc_send_notify:notifycode:37[SslAlertSrvrCert]926:NOT10:19:27.
431331VPNC:vpnc_send_notify:notifydesc:[alert:UnknownCA(servercert)]927:NOT10:19:27.
431841VPNC:vpnc_send_notify:sendingsignal28w/value13topid14928:ERR10:19:27.
432467VPNC:protocol_handler:loginfailed对PC端口功能的间距您能连接计算机直接地到电话.
电话有一个交换端口在底板.
配置电话,您以前,enable(event)间距对在CUCM的PC端口和运用配置.
电话开始发送每个帧的复制到PC.
请使用Wireshark在混杂模式为了捕获分析的数据流.
IP电话配置更改,当连接由VPN时常见问题是您是否能修改VPN配置,当IP电话被连接在网络外面由AnyConnect时.
答案是,但是您应该确认一些配置设置.
做在CUCM的必要的更改,然后应用对电话的更改.
有(请运用设置,重置,重新启动)推进新的配置的三个选项对电话.
虽然全部三个选项从电话和ASA断开VPN,您能自动地重新连接,如果使用证书验证;如果使用验证、授权和统计(AAA),再提示对于您的证件.
Note:当IP电话在远端时,从外部DHCP服务器通常收到一个IP地址.
为了使IP电话接受新的配置从CUCM,应该与TFTPserver联系在总部.
通常CUCM是同样TFTPserver.
为了接收与更改的配置文件,请确认TFTPserver的IP地址在电话的网络设置正确地设置;对于确认,请使用从DHCP服务器的选项150或手工设置在电话的TFTP.
此TFTPserver通过AnyConnect会话是可取得.
如果IP电话从本地DHCP服务器接受TFTPserver,但是该地址是不正确的,您能使用备选TFTPserver选项为了改写DHCP服务器提供的TFTP服务器IP地址.
此程序描述如何适用备选TFTPserver:连接对设置>NetworkConfiguration>IPv4配置.
1.
移动到备选TFTP选项.
2.
按电话的是Softkey能使用一代替TFTPserver;否则,请勿按Softkey.
如果选项是锁着的,请按**#为了打开它.
3.
按保存Softkey.
4.
适用备选TFTPserver在TFTPserver下1个选项.
5.
直接地检查状态消息在Web浏览器或在电话菜单为了确认电话获得正确的信息.
如果通信正确地设置,您看到消息例如这些:如果电话无法从TFTPserver检索信息,您收到TFTP错误信息:ASASSL认证的续订如果安排一个功能AnyConnectVPN电话设置,但是您的ASASSL认证将到期,您不需要给主要站点带来所有IP电话为了注入新的SSL证书到电话;当VPN被连接时,您能添加新的证书.
如果导出了或导入了ASA的根CA证书而不是身份认证,并且,如果要继续使用同一个供应商(CA)在此续订期间,更改在CUCM的认证是不必要的,因为保持同样.
但是,如果使用了身份认证,此程序是必要的;否则,在ASA和IP电话范围的Hash值不配比,并且连接没有由电话委托.
更新在ASA的认证.
Note:关于详细资料,请参见ASA8.
x:更新并且安装与ASDM的SSL认证.
请创建一分开的信任点,并且请勿适用与ssl信任点的此新证书命令的外部,直到您应用了认证于所有VPNIP电话.
1.
导出新证书.
2.
导入新证书CUCM作为电话VPN信任认证.
Note:注意CSCuh19734与同样CN的加载的certs将重写在电话VPN信任的老cert3.
连接对在CUCM的VPN网关配置,并且适用新证书.
您当前有两证书:将到期的认证和未适用于ASA的新证书.
4.
适用于此新的配置IP电话.
连接运用设置>重置>重新启动为了注入对IP电话的新的配置更改到VPN隧道.
保证所有IP电话通过VPN被连接,并且他们能通过隧道到达TFTPserver.
5.
请使用TFTP检查状态消息和配置文件为了确认IP电话接收了与更改的配置文件.
6.
适用在ASA的新的SSL信任点,并且取代认证.
7.
Note:如果ASASSL认证已经过期,并且,如果IP电话无法通过AnyConnect连接;您能推进更改(例如新的ASA认证哈希)对IP电话.
请手工设置在IP电话的TFTP为一个公共IP地址,因此IP电话能从那里检索信息.
请使用一公共TFTPserver主机配置文件;一个示例是创建转发在ASA的端口和重定向数据流对内部TFTPserver.