- はじめに
- Cisco WAAS の概要
- WAAS ネットワークの計画
- デバイス グループとデバイス位置の使用
- トラフィック代行受信の設定
- ネットワーク設定の構成
- 管理ログインの認証、許可、およびアカウン ティングの設定
- 管理者ユーザ アカウントおよびグループの作 成と管理
- WAAS デバイス用の IP ACL の作成および 管理
- その他のシステム設定の構成
- WAE Device Manager GUI の使用方法
- WAFS の設定
- アプリケーション アクセラレーションの設定
- WAAS レガシー印刷サービスの設定および 管理
- 仮想ブレードの設定
- WAAS システムの保守
- WAAS ネットワークのモニタリングおよび トラブルシューティング
- SNMP モニタリングの設定
- 定義済みのアプリケーション ポリシー
- トランザクション ログ形式
- 索引
Cisco Wide Area Application Services コンフィギュレーション ガイド(software version 4.2.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月29日
章のタイトル: アプリケーション アクセラレーションの設定
アプリケーション アクセラレーションの設定
この章では、Wide Area Application Service(WAAS)システムで、WAN 経由で加速化されるアプリケーション トラフィックの種類を決定するアプリケーション ポリシーを設定する方法について説明します。
(注) この章では、ネットワークに存在する WAAS Central Manager と Wide Area Application Engine(WAE)を総称する用語として「WAAS デバイス」を使用します。WAE という用語は、WAE アプライアンス、WAE ネットワーク モジュール(NME-WAE ファミリのデバイス)、および WAAS を実行する SM-SRE モジュールを指します。
アプリケーション アクセラレーションについて
WAAS ソフトウェアには、WAAS システムが最適化し、加速化するアプリケーション トラフィックの種類を決定する、150 を超える定義済みのアプリケーション ポリシーが組み込まれています。これらの定義済みポリシーは、ネットワークで最も一般的な種類のアプリケーション トラフィックを網羅しています。定義済みポリシーのリストについては、 付録 A「定義済みのアプリケーション ポリシー」 を参照してください。
•
アプリケーション定義:アプリケーション名、トラフィックに適用される Differentiated Services Code Point(DSCP; DiffServ コード ポイント)マーキング値、および WAAS Central Manager がこのアプリケーション用の統計情報を収集するかどうかなど、特定のアプリケーションに関する一般情報を識別します。
• 分類子:特定の種類のトラフィックを識別する一致条件を含んでいます。たとえば、デフォルトの HTTP 分類子は、ポート 80、8080、8000、8001、および 3128 へ進むすべてのトラフィックと一致します。最大 512 の分類子と 1024 の一致条件を作成できます。
• ポリシー:アプリケーション定義と分類子を 1 つのポリシーにまとめます。また、このポリシーは、WAAS デバイスが定義されたトラフィックに適用する最適化とアクセラレーション機能を決定します(存在する場合)。最大 512 のポリシーを作成できます。また、ポリシーにはトラフィックに適用され、アプリケーション レベルまたはグローバル レベルで設定された DSCP 値を上書きする DSCP マーキング値も含まれます。
WAAS Central Manager GUI を使用すると、定義済みポリシーを変更し、他のアプリケーション用の追加ポリシーを作成できます。アプリケーション ポリシーを作成する方法については、「新しいトラフィック アプリケーション ポリシーの作成」を参照してください。レポートの表示、ポリシーの復元、アプリケーションのモニタリング、およびその他の機能については、「アプリケーション アクセラレーションの管理」を参照してください。
(注) WAAS Central Manager で設定されたすべてのアプリケーション定義は、デバイス グループ メンバシップ設定を無視して、WAAS Central Manager に登録されているすべての WAAS デバイスにグローバルに適用されます。
グローバル最適化機能の有効化と無効化
グローバル最適化機能は、デバイスまたはデバイス グループで、TFO 最適化、Data Redundancy Elimination(DRE; データ冗長性除去)、および永続的圧縮を有効にするかどうかを決定します。デフォルトで、これらの機能は、すべて有効です。これらの機能の 1 つを無効にすると、デバイスは、それが代行受信するトラフィックに完全な WAAS 最適化手法を適用できなくなります。
さらに、グローバル最適化機能には、EPM、CIFS、HTTP MAPI、NFS、SSL、およびビデオの各アプリケーション アクセラレータが含まれます。デフォルトで、すべてのアプリケーション アクセラレータは有効です。アプリケーション アクセラレータには、動作するための特定のライセンスも必要です。ライセンスのインストールの詳細については、「ソフトウェア ライセンスの管理」を参照してください。
すべてのアプリケーション アクセラレータが動作するには、WAN リンクのどちらか一方の側にあるピア WAE の両方でアクセラレータを有効化する必要があります。
グローバル最適化機能を有効または無効にするには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 グローバル最適化機能を変更するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [Enabled Features] を選択します。
[Enabled Features] ウィンドウが表示されます(図 12-1 を参照)。
ステップ 4 有効にする最適化機能を選択し、無効にする機能の選択を解除します。各最適化機能の詳細な説明については、「Cisco WAAS の主なサービス」を参照してください。
ステップ 5 [HTTP Accelerator] チェックボックスを選択した場合、[HTTP Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については「HTTP アクセラレーションの設定」を参照してください。
ステップ 6 [Video Accelerator] チェックボックスを選択した場合、[Video Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「ビデオ アクセラレーションの設定」を参照してください。
ステップ 7 [MAPI Accelerator] チェックボックスを選択した場合、[MAPI Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「MAPI アクセラレーションの設定」を参照してください。
ステップ 8 [CIFS Accelerator] チェックボックスを選択した場合は、次のオプションがあります。
• Window Print Accelerator:クライアントと Windows プリント サーバ間のプリント トラフィックを加速するには、このボックスを選択します。CIFS アクセラレータが有効である場合、このアクセラレータはデフォルトで有効です。
(注) WAFS レガシー モードから CIFS アクセラレータに変更する場合、CIFS アクセラレータを有効化する前に WAFS レガシー モードを無効にする必要があります。WAFS レガシー モードを無効にするには、Data Center および Branch ファイル サービスを無効にする必要があります。WAFS の設定情報については、「WAFS の設定」を参照してください。
(注) クライアントのプリント サービスの使用に影響を及ぼす可能性があるため、クライアント セッション中には Windows プリント アクセラレーションを無効にしないでください。Windows プリント アクセラレーションを無効にする必要がある場合は、クライアント セッションを切断し、その後再度確立してください。
ステップ 9 [Advanced Settings] の領域では、[Blacklist Operation] 機能を無効にする場合、この機能の選択を解除します。この機能により、WAE は、オプションのある TCP 設定パケットがブロックされるか、または WAE デバイスに戻らない状況に対し、よりよい対処を行うことができます。この動作は、オプションのある TCP 設定パケットをブロックするネットワーク デバイス(ファイアウォールなど)および非対称ルートにより発生する可能性があります。WAE はオプションのある TCP パケットを受信できない元のサーバ(ファイアウォールの後ろにあるサーバなど)を追跡できるので、オプションのある TCP パケットをこれらのブラックリスト サーバに送信しないことを学習します。WAAS は、オプションのある TCP パケットが削除される状況においても、ブランチ WAE とデータセンター WAE 間のトラフィックを加速化できます。この機能を有効にしておくことを推奨します。
ステップ 10 60 分のデフォルトのブラックリスト サーバ アドレス保持時間を変更する場合は、[Blacklist Server Address Hold Time] フィールドに、新しい時間(分)を入力します。有効な範囲は、1 ~ 10080 分(1 週間)です。
サーバ IP アドレスがブラックリストに追加されると、そのアドレスは設定された保持時間の間ブラックリストに残ります。その後の接続の試みでは、サーバが TCP オプションを受信できるかどうかを WAE が再決定できるように、再び TCP オプションが含まれるようになります。ネットワーク パケットの損失により、サーバが誤ってブラックリストに載せられる可能性があるため、TCP オプションの送信を定期的に再試行することは有用です。
[Blacklist Server Address Hold Time] フィールドを変更することにより、ブラックリスト時間を短くしたり長くしたりできます。
CLI から、TFO 最適化、DRE、および永続的圧縮を設定するには、 tfo optimize グローバル コンフィギュレーション コマンドを使用します。
CLI から EPM アクセラレーションを設定するには、 accelerator epm グローバル コンフィギュレーション コマンドを使用します。
CLI から HTTP アクセラレーションを設定するには、 accelerator http グローバル コンフィギュレーション コマンドを使用します。
CLI から NFS アクセラレーションを設定するには、 accelerator nfs グローバル コンフィギュレーション コマンドを使用します。
CLI から MAPI アクセラレーションを設定するには、 accelerator mapi グローバル コンフィギュレーション コマンドを使用します。
CLI からビデオ アクセラレーションを設定するには、 accelerator video グローバル コンフィギュレーション コマンドを使用します。
CLI から SSL アクセラレーションを設定するには、 accelerator ssl グローバル コンフィギュレーション コマンドを使用します。
CLI から CIFS アクセラレーションを設定するには、 accelerator cifs 、および accelerator cifs preposition グローバル コンフィギュレーション コマンドを使用します。
CLI から Windows プリント アクセラレーションを設定するには、 accelerator windows-print グローバル コンフィギュレーション コマンドを使用します。
CLI から ブラックリスト動作機能を設定するには、 tfo auto-discovery グローバル コンフィギュレーション コマンドを使用します。
CLI からアプリケーション アクセラレータのステータスと統計情報を表示するには、 show accelerator および show statistics accelerator EXEC コマンドを使用します。Windows プリント アクセラレータの統計情報を表示するには、 show statistics windows-print requests EXEC コマンドを使用します。
各アプリケーション アクセラレータを使用する詳細については、次の項を参照してください。
• CIFS の場合:「WAFS の設定」
HTTP アクセラレーションの設定
HTTP アプリケーション アクセラレータは、HTTP トラフィックを加速します。HTTPS を使用する SSL トラフィックは、SSL アクセラレータに渡されます。
デフォルトの Web アプリケーション ポリシーでは、トラフィックを HTTP アクセラレータに送信することが定義されています。Web アプリケーション ポリシーは、HTTP 分類子を使用し、ポート 80、8080、8000、8001、および 3128 上のトラフィックと一致します。他のポート上でも HTTP トラフィックが存在すると予測される場合は、HTTP 分類子にそのポートを追加します。
HTTP アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[HTTP Accelerator] チェックボックスを選択します(図 12-1 を参照)。
HTTP アクセラレーション設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 HTTP アクセラレーション設定を変更するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [HTTP Settings] を選択します。
[HTTP Acceleration Settings] ウィンドウが表示されます(図 12-2を参照)。
ステップ 4 [Enable HTTP metadatacache caching] チェックボックスを選択して、WAE による HTTP ヘッダー(メタデータ)情報のキャッシングを有効にします。デフォルト設定では、無効になっています。
[Metadata Cache Settings] 内のその他の設定を有効にするには、このチェックボックスをオンにする必要があります。このチェックボックスがオンになっていない場合は、ヘッダーのキャッシングは一切行われません。
HTTP メタデータのキャッシングの詳細については、「HTTP メタデータ キャッシングについて」を参照してください。
ステップ 5 [Maximum age of a cache entry] フィールドに、HTTP ヘッダー情報をキャッシュ内に保持する最大秒数を入力します。デフォルトは 86400 秒(24 時間)です。指定できる期間は、5 ~ 2592000 秒(30 日間)です。
ステップ 6 [Minimum age of a cache entry] フィールドに、HTTP ヘッダー情報をキャッシュ内に保持する最小秒数を入力します。デフォルトは、60 秒です。指定できる範囲は、5 ~ 86400 秒(24 時間)です。
ステップ 7 [Enable local HTTP 301 redirect messages] チェックボックスを選択して、WAE による HTTP 301 メッセージのキャッシングとローカルでのサービスを有効にします。デフォルト設定では、有効になっています。
ステップ 8 [Enable local HTTP 401 Authentication-required messages] チェックボックスを選択して、WAE による HTTP 401 メッセージのキャッシングとローカルでのサービスを有効にします。デフォルト設定では、有効になっています。
ステップ 9 [Enable local HTTP 304 Not-Modified messages] チェックボックスを選択して、WAE による HTTP 200 および 304 メッセージのキャッシングと、HTTP 304 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。
ステップ 10 特定のファイル名拡張子をメタデータ キャッシングの適用先として設定するには、そのファイル名拡張子を右端の [File extension filters] フィールドに入力します。複数の拡張子を指定する場合はカンマで区切ります(例:jpeg, gif, png)。ファイル名拡張子の先頭につくドットは含めません。[<< Add] ボタンをクリックして、入力したファイル名拡張子を、左側に表示されているアクティブなリストに追加します。最大 20 個のファイル名拡張子を入力できます。
リストから拡張子を削除するには、アクティブなリスト内でそれを選択してから [>> Delete] ボタンをクリックします。
デフォルトでは、ファイル名拡張子のフィルタは 1 つも定義されていないため、メタデータのキャッシングはすべての種類のファイルに適用されます。
ステップ 11 [Suppress server compression] チェックボックスを選択して、WAE にクライアントとサーバの間でのサーバ圧縮を停止させる設定を行います。デフォルト設定では、無効になっています。
このチェックボックスをオンにすることにより、WAE に HTTP 要求ヘッダーから Accept-Encoding 値を削除するように指示して、Web サーバがクライアントに送信する HTTP データを圧縮しないようにできます。これにより、WAE はその独自の圧縮を HTTP データに適用できるようになります。通常は、ほとんどのファイルについて、Web サーバが行うよりもはるかに圧縮率が高くなります。ほとんど変化のない一部のファイル タイプ(.css ファイルや .js ファイルなど)については、この設定は無視され、Web サーバによる圧縮が許可されます。
CLI から HTTP アクセラレーションを設定するには、 accelerator http グローバル コンフィギュレーション コマンドを使用します。
メタデータ キャッシュ内の内容を表示するには、 show cache http-metadatacache EXEC コマンドを使用します。
メタデータ キャッシュをクリアするには、 clear cache http-metadatacache EXEC コマンドを使用します。
HTTP メタデータ キャッシングについて
メタデータ キャッシング機能は、ブランチ オフィスの WAE の HTTP アクセラレータが特定のサーバ応答をキャッシングし、クライアントに対してローカルに応答できるようにします。次のサーバ応答メッセージがキャッシングされます。
• HTTP 200 OK(If-None-Match 要求および If-Modified-Since 要求に適用される)
• HTTP 304 未変更(If-None-Match 要求および If-Modified-Since 要求に適用される)
• cookie ヘッダーを持つ 301 および 401 応答
(注) メタデータ キャッシング機能は、WAAS バージョン 4.2.1 で導入されましたが、バージョン 4.2.1 が必要になるのはブランチ オフィスの WAE でだけです。この機能は、もっと低いバージョンのデータ センター WAE 上の HTTP アクセラレータとも相互運用性があります。
MAPI アクセラレーションの設定
MAPI アプリケーション アクセラレータは、Messaging Application Programming Interface(MAPI)プロトコルを使用する Microsoft Outlook Exchange トラフィックを加速させます。Microsoft Outlook 2000 ~ 2007 のクライアントがサポート対象です。クライアントは、キャッシュ モードまたは非キャッシュ モードのいずれかの Outlook で設定できます。いずれのモードも加速化されます。
メッセージ認証(署名)を使用するセキュア接続または暗号化は、加速化されません。また、MAPI over HTTP は加速化されません。
(注) Microsoft Outlook 2007 では、デフォルトで暗号化が有効です。MAPI アプリケーション アクセラレータを利用するには、暗号化を無効にする必要があります。
MAPI アプリケーション アクセラレータが動作するには、EPM アプリケーション アクセラレータを有効にする必要があります。EPM は、デフォルトで有効です。さらに、システムでは、タイプ EPM のアプリケーション ポリシーを定義し、MAPI UUID を指定して、MAPI の [Accelerate] 設定を行う必要があります。このポリシー(E メールとメッセージング アプリケーション用の MAPI)は、デフォルトで定義されます。
MAPI など、EPM トラフィックでは通常定義済みのポートを使用しません。Outlook の管理者が、スタティック ポートを使用するため、非標準的な方法で Outlook を設定している場合、Outlook に設定済みのスタティック ポートに一致する分類子により MAPI トラフィックを加速化させるという新しい基本アプリケーション ポリシーを作成する必要があります。
(注) WAE が接続により過負荷状態になると、MAPI アプリケーション アクセラレータは、内部的に予約されている接続リソースを使用して MAPI 接続の高速化を続けます。予約されていたリソースも使い果たすと、接続リソースに空きができるまで、新しい MAPI 接続はパススルーされます。
MAPI アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[MAPI Accelerator] チェックボックスを選択します(図 12-1 を参照)。
MAPI アクセラレーション設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 MAPI アクセラレーション設定を変更するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [MAPI Settings] を選択します。
[MAPI Acceleration Settings] ウィンドウが表示されます(図 12-3 を参照)。
ステップ 4 [Reserved Pool Size Maximum Percent] フィールドに、TFO の過負荷時の MAPI 最適化のために予約される最大接続数を制限する、最大接続割合を入力します。プラットフォームの TFO 接続制限に対する割合で指定します。有効な割合の範囲は、5 ~ 50% です。デフォルトは 15% です。この場合、MAPI アクセラレータで最適化されるクライアントとサーバの間の Association Group(AG)ごとに約 0.5 の接続が予約されます。
クライアントは、接続するサーバごとに少なくとも 1 つの AG を維持し、AG あたり約 3 つの接続が平均で使用されます。AG あたりの平均接続数がそれよりも多い、または TFO の過負荷が頻繁に発生する配置では、予約されるプール サイズの最大割合により大きい値を指定することを推奨します。
予約された接続は、デバイスが TFO の過負荷状態でないときは使用されません。予約された接続は、AG が終了すると解放されます。
ステップ 5 [Submit] をクリックします。変更がデバイスまたはデバイス グループに保存されます。
ビデオ アクセラレーションの設定
ビデオ アプリケーション アクセラレータは、RTSP over TCP を使用する Windows Media ライブ ビデオ ブロードキャストを加速化させます。ビデオ アクセラレータは、自動的に、WAN からの 1 つのソース ビデオ ストリームを複数のストリームに分割し、LAN 上の複数のクライアントに供給します。
ビデオ アクセラレータは、自動的に、UDP ストリームを要求しているクライアントがプロトコル ロールオーバーを行って、TCP を使用できるようにします(クライアントとサーバの両方で TCP が可能な場合)。
ストリーミング アプリケーション ポリシーのデフォルトの RTSP 分類子は、ビデオ アクセラレータにトラフィックを送信するように定義されています。
デフォルトでは、ビデオ アクセラレータは加速されていないビデオ トラフィックをすべて送信して、ネゴシエーション済みの標準 TCP 最適化ポリシーにより処理されるようにします(ビデオ アクセラレータがこのようなトラフィックをドロップするよう明示的に設定されていない場合)。すべての加速されていないビデオ トラフィック、または過負荷状態が原因で加速されていないトラフィックだけをドロップするように選択できます。
ビデオ アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[Video Accelerator] チェックボックスを選択します(図 12-1 を参照)。
ビデオ アクセラレーション設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 ビデオ アクセラレーション設定を変更するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [Video Settings] を選択します。
[Video Acceleration Configuration] ウィンドウが表示されます(図 12-4 を参照)。
ステップ 4 [Client First Message Reception Timeout] フィールドでは、ビデオ アクセラレータで接続が受け入れられてから接続のタイムアウトが発生するまで、クライアントからの最初のメッセージおよびサーバからの最初の応答を待機する時間(秒)を入力します。有効範囲は、10 ~ 180 秒です。デフォルトは、60 です。
ステップ 5 ドロップダウン リストで、加速されていないビデオ トラフィックのドロップ方法を次の中から選択します。
• [All]:サポート対象外の伝送や形式、あるいは過負荷が原因で加速されないすべてのビデオ トラフィックをドロップします。すべての Windows Media ビデオオンデマンド トラフィックおよびすべての非 Windows Media RTSP トラフィックはドロップされます。
• [Overload Only]:アクセラレータの過負荷だけが原因で加速されないすべてのビデオ トラフィックをドロップします。
• [None]:加速されていないビデオ 接続をネゴシエーション済みの TCP 最適化ポリシーで処理します(トラフィックはドロップされません)。
(注) 有効なライセンスがない場合や特定のエラー状態など、一部の条件下ではビデオ アクセラレータがポリシー エンジンに登録されません。加速されていないすべてのビデオ トラフィックをドロップするようにビデオ アクセラレータを設定すると、ポリシー エンジンはすべてのビデオ トラフィックをドロップします(ビデオ アクセラレータがポリシー エンジンに正しく登録されていれば加速されるようなトラフィックであっても同様です)。
ステップ 6 [Enable transaction logs] チェックボックスを選択して、トランザクション ログ機能を有効にします。この機能により、大量のログ データが生成されます。デフォルトで、このボックスは選択されていません。[More Settings] リンクをクリックして、[Windows Media Transaction Log Settings] 設定ページに移動します。
ステップ 7 [Enable log forwarding] チェックボックスを選択して、Windows Media ログのアップストリーム Windows Media Server への転送を有効にします。デフォルトで、このボックスは選択されています。
ステップ 8 [Client Idle Connection timeout] フィールドでは、最初のクライアント要求の後、接続のタイムアウトが発生するまで、クライアント接続がアイドル状態のまま待機する最大時間(秒)を入力します。有効範囲は、30 ~ 300 秒です。デフォルトは、60 です。
CLI からビデオ アクセラレーションを設定するには、 accelerator video グローバル コンフィギュレーション コマンドを使用します。
SSL アクセラレーションの設定
SSL アプリケーション アクセラレータでは、Secure Sockets Layer(SSL)暗号化接続上のトラフィックが最適化されます。SSL アクセラレーションを有効にすると、WAAS ソフトウェア DRE 最適化は SSL 暗号化トラフィックに対してあまり効果はありません。SSL アプリケーション アクセラレーションにより、WAAS は、接続のセキュリティを保ったまま、復号化および最適化の適用が可能になります。
(注) SSL アクセラレータは、一番最初のバイトから SSL/TLS ハンドシェイクを開始しないプロトコルの最適化は行いません。唯一の例外は、プロキシを通過する HTTPS です(HTTP アクセラレータが SSL/TLS の開始を検出し、その接続を最適化されるように SSL アクセラレータに引き渡します)。
SSL アプリケーション アクセラレータは、SSL Version 3(SSLv3)および Transport Layer Security Version 1(TLSv1)プロトコルをサポートしています。TLSv1.1 および TLSv1.2 プロトコルはサポートされていません。
表 12-1 に、SSL を設定し、有効にするために完了しなければならない手順の概要を示します。
|
|
|
|---|---|
SSL アクセラレーションの設定を準備します。 |
SSL アクセラレーションを WAAS デバイス上で設定する前に収集する必要のある情報を特定します。詳細については、「SSL アクセラレーションを使用するための準備」を参照してください。 |
セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションを有効にします。 |
Central Manager セキュア ストアの設定方法、Enterprise ライセンスの有効化方法、および SSL アクセラレーションの有効化方法について説明します。セキュア ストア モードは、SSL 暗号化証明書およびキーを安全に扱うために必要です。詳細については、「セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化」を参照してください。 |
SSL アプリケーション最適化を有効にします。 |
SSL アクセラレーション機能の有効化方法について説明します。詳細については、「グローバル最適化機能の有効化と無効化」を参照してください。 |
SSL アクセラレーション設定を構成します。 |
(任意)SSL アクセラレーションの基本設定の構成方法について説明します。詳細については、「SSL グローバル設定の構成」を参照してください。 |
暗号リストを作成し、管理します。 |
(任意)WAAS デバイスで使用される暗号アルゴリズムの選択方法と設定方法について説明します。詳細については、「暗号リストの操作」を参照してください。 |
CA 証明書を設定します。 |
(任意)Certificate Authority(CA; 認証局)証明書の選択方法、インポート方法、および管理方法について説明します。詳細については、「認証局の操作」を参照してください。 |
SSL マネジメント サービスを設定します。 |
(任意)Central Manager と WAE デバイスの間で使用される SSL 接続を設定する方法について説明します。詳細については、「SSL マネジメント サービスの設定」を参照してください。 |
SSL ピアリング サービスを設定します。 |
(任意)最適化された SSL トラフィックを伝送するために、ピア WAE デバイス間で使用される SSL 接続を設定する方法について説明します。詳細については、「SSL ピアリング サービスの設定」を参照してください。 |
SSL アクセラレーション サービスを設定し、有効にします。 |
SSL アプリケーション最適化機能によって加速されるサービスの追加方法、設定方法、および有効化方法について説明します。詳細については、「SSL アクセラレーション サービスの使用」を参照してください。 |
SSL アクセラレーションを使用するための準備
SSL アクセラレーションを設定する前に、次の情報を確認する必要があります。
• Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)証明書と秘密キー情報(証明書共通名と認証局署名情報を含む)
図 12-5 に、WAAS ソフトウェアが SSL アプリケーション最適化を処理する方法を示します。
SSL アクセラレーションを設定する場合は、SSL アクセラレーション サービスをサーバ側(データセンター)の WAE デバイス上で設定する必要があります。クライアント側(ブランチ オフィス)の WAE では、セキュア ストアを初期化してそのロックを解除するか開く必要がありますが、SSL アクセラレーション サービスを設定する必要はありません。一方、SSL アクセラレータは、SSL アクセラレーション サービスが動作するために、データセンター WAE とブランチ WAE の両方で有効にする必要があります。WAAS Central Manager は、SSL マネジメント サービスを提供し、暗号化証明書とキーを保持します。
セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化
SSL アクセラレーションを WAAS システム上で使用するには、次の手順を実行しておく必要があります。
ステップ 1 Central Manager でセキュア ストア暗号化を有効にします。
セキュア ストア暗号化を有効にするには、「セキュア ストア設定の構成」を参照してください。
ステップ 2 Enterprise ライセンスを有効にします。
Enterprise ライセンスを有効にするには、「ソフトウェア ライセンスの管理」を参照してください。
ステップ 3 SSL アクセラレーションをデバイス上で有効にします。
SSL アクセラレーション機能を有効にするには、「グローバル最適化機能の有効化と無効化」を参照してください。
(注) SSL アクセラレータがすでに稼動しているときに、新しい WAE を Central Manager に登録した場合は、データフィード ポーリングが 2 サイクル実行されてから、設定変更を行う必要があります。そうしなければ、変更は無効になる可能性があります。
SSL グローバル設定の構成
基本的な SSL アクセラレーション設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 SSL アクセラレーションを設定したいデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [SSL] > [Global Settings] を選択します。
[SSL Global Settings] ウィンドウが表示されます(図 12-6 を参照)。
ステップ 4 特定のデバイス グループの SSL 設定を使用するようにデバイスを設定するには、SSL グローバル設定ツールバーにある [Select a Device Group] ドロップダウン リストからデバイス グループを選択します。デバイスには、独自の SSL 設定、またはデバイス グループの SSL 設定を使用できます。ただし、複数のデバイス グループの SSL 設定を使用するように、デバイスを設定することはできません。
ステップ 5 [SSL version] フィールドで、使用する SSL プロトコルの種類を選択します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を許可する場合は [All] を選択します。
ステップ 6 (任意)証明書失効の Online Certificate Status Protocol(OCSP)パラメータを設定します。
a. [OCSP Revocation check] ドロップダウン リストで、OCSP 失効チェック方法を選択します。
[ocsp-url] を選択すると、SSL アクセラレータは、[OCSP Responder URL] フィールドに指定された OCSP レスポンダを使用して証明書の失効ステータスをチェックします。[ocsp-cert-url] を選択すると、証明書を署名した認証局証明書に指定されている OCSP レスポンダ URL を使用します。
b. [Ignore OCSP failures] チェックボックスが選択されている場合、SSL アクセラレータは、OCSP レスポンダから明確な応答を得ていなくても、OCSP 失効チェックを成功として処理します。
ステップ 7 [Cipher List] フィールドで、SSL アクセラレーションに使用される暗号スイートのリストを選択します。詳細については、「暗号リストの操作」を参照してください。
ステップ 8 証明書/キー ペアの方法を選択します(図 12-7 を参照)。
• WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。
• 既存の証明書/キー ペアをアップロードまたは張り付けるには、[Import Existing Certificate Key] をクリックします。
• 現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。
• 既存の証明書/キー ペアを更新または置き換えるには、[Generate Certificate Signing Request] をクリックします。Certificate Signing Request(CSR; 証明書署名要求)は、新しい証明書を生成するために認証局で使用されます。
インポートまたはエクスポートするファイルは、PKCS12 形式と PEM 形式のいずれかである必要があります。
サービス証明書と秘密キーの設定手順については、「サービス証明書と秘密キーの設定」を参照してください。
サービス証明書と秘密キーの設定
サービス証明書と秘密キーを設定するには、次の手順に従ってください。
ステップ 1 自己署名証明書と秘密キーを生成するには(図 12-8 を参照)、次の手順に従ってください。
a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。
ステップ 2 既存の証明書または証明書チェーン、および(必要に応じて)秘密キーをインポートするには(図 12-9 を参照)、次の手順に従ってください。
(注) WAAS SSL 機能は、RSA の署名/暗号化アルゴリズムとキーだけをサポートします。
a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。
b. 既存の証明書または証明書チェーン、および秘密キーをインポートするには、次のいずれかを実行します。
• 証明書とキーを PKCS#12 形式で(または Microsoft PFX 形式として)アップロードする。
証明書と秘密キーがすでに設定されている場合は、証明書だけアップデートできます。この場合、Central Manager では、インポートされた証明書と現在の秘密キーを使用して、証明書と秘密キーのペアが構築されます。この機能は、既存の自己署名証明書を認証局によって署名されたものにアップデートする場合や、期限の切れる証明書をアップデートするために使用できます。
Central Manager では、証明書チェーンをインポートできます。このチェーンは、最初にエンド証明書が指定され、その後にエンド証明書または中間 CA 証明書を署名する中間 CA 証明書のチェーンが続き、最後はルート CA で終わる必要があります。
Central Manager では、このチェーンが検証され、CA 証明書の使用期限が切れているか、チェーン内の署名順序が論理的でない場合、そのチェーンは拒否されます。
c. 秘密キーを復号化するパスフレーズを入力します。秘密キーが暗号化されていない場合は、該当するフィールドを空のままにします。
ステップ 3 設定された証明書と秘密キーをエクスポートするには(図 12-10 を参照)、次の手順に従ってください。
b. 現在の証明書および秘密キーを PKCS#12 形式または PEM 形式でエクスポートします。PEM 形式の場合、証明書と秘密キーの両方が 1 つの PEM ファイルに含められます。
(注) 生成またはインポート時にエクスポート不可能と指定した証明書と秘密キーは、Central Manager でエクスポートできません。
ステップ 4 現在の証明書と秘密キーから証明書署名要求を生成するには(図 12-11 を参照)、次の手順に従ってください。
現在の証明書を、認証局によって署名されたものにアップデートするには、次の手順を実行します。
b. 生成された証明書署名要求を、証明書の生成と署名を行う認証局に送信します。
c. 認証局から受信した証明書を、[Importing existing certificate and optionally private key] オプションを使用してインポートします。
(注) 生成された証明書要求のキーのサイズは、現在の証明書のキーのサイズと同じです。
暗号リストの操作
暗号リストは、SSL アクセラレーション設定に割り当て可能な暗号スイートの集合です。暗号スイートは、キー交換アルゴリズム、暗号化アルゴリズム、および Secure Hash Algorithm を含む SSL 暗号化方式です。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 暗号リストを設定したいデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [SSL] > [Cipher Lists] を選択します。
[SSL Cipher Lists] ウィンドウが表示されます(図 12-12 を参照)。
ステップ 4 [Create] をクリックして、新しい暗号リストを追加します。
[Creating New SSL Cipher List] ウィンドウが表示されます(図 12-13 を参照)。
ステップ 5 [Cipher List Name] フィールドに暗号リストの名前を入力します。
ステップ 6 [Add Cipher] をクリックして、暗号スイートを暗号リストに追加します。
ステップ 7 追加する暗号スイートを [Ciphers] フィールドで選択します。
(注) Microsoft IIS サーバに対して SSL 接続を確立する場合は、DHE ベースの暗号スイートを選択してはなりません。
ステップ 8 選択した暗号スイートの優先順位を [Priority] フィールドで選択します。
(注) SSL ピアリング サービスが設定されている場合は、コア デバイス上の暗号リストに関連付けられた優先順位が、エッジ デバイス上の暗号リストに関連付けられた優先順位よりも優先されます。
ステップ 9 [Add] をクリックして、選択した暗号スイートを暗号リストに加えます。あるいは、[Cancel] をクリックして、暗号リストを元の状態のままにします。
ステップ 10 ステップ 6 からステップ 9 を繰り返して、必要なだけ暗号スイートを暗号リストに追加します。
ステップ 11 (任意)暗号スイートの優先順位を変更するには、暗号スイートのチェックボックスを選択し、暗号リストの下にある上向き矢印または下向き矢印のボタンを使用して優先順位を設定します。
(注) アクセラレーション サービスに暗号リストが適用される場合、ここで割り当てた暗号リストの優先順位は、クライアントで指定された暗号の順序で上書きされます。この暗号リストで割り当てた優先順位は、暗号リストが SSL ピアリング サービスとマネジメント サービスに適用される場合に限り有効です。
ステップ 12 (任意)暗号リストから暗号スイートを削除するには、暗号スイートのチェックボックスを選択し、[Delete] をクリックします。
ステップ 13 暗号リストの設定が完了したら、[Submit] をクリックします。
認証局の操作
WAAS SSL アクセラレーション機能では、システムで使用される Certificate Authority(CA; 認証局)証明書を設定できます。WAAS に含まれる多くの既知の CA 証明書のいずれかを使用するか、独自の CA 証明書をインポートできます。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 CA 証明書を管理したいデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [SSL] > [Certificate Authorities] を選択します。
[SSL CA Certificate List] ウィンドウが表示されます(図 12-14 を参照)。
ステップ 4 WAAS に含まれるプリロードされた CA 証明書のいずれかを、次の手順に従って追加します。
b. 追加する既存の CA 証明書を選択し、[Import] をクリックします。選択した CA 証明書は、[SSL CA Certificate List] に表示されているリストに追加されます。
ステップ 5 独自の CA 証明書を次の手順に従って追加します。
a. [Create] をクリックします。[Creating New CA Certificate] ウィンドウが表示されます(図 12-15 を参照)。
b. 証明書の名前を [Certificate Name] フィールドに入力します。
c. (任意)CA 証明書の説明を [Description] フィールドに入力します。
d. [Revocation check] ドロップダウン リストで [disabled] を選択して、この CA によって署名された証明書の OCSP 失効チェックを無効にします。[Ignore OCSP failures] チェックボックスを選択して、OCSP 失効チェックが失敗しても失効チェックは成功したとマーク付けされるようにします。
e. [Upload PEM File] または [Paste PEM Encoded Certificate] を選択して、証明書情報を追加します。
ファイルをアップロードする場合は、ファイルを Privacy Enhanced Mail(PEM; プライバシー強化メール)形式にする必要があります。使用するファイルの位置を指定し、[Upload] をクリックします。
CA 証明書情報を貼り付ける場合は、PEM 形式の証明書のテキストを [Paste PEM Encoded certificate] フィールドに貼り付けます。
ステップ 6 (任意)リストから認証局を削除するには、認証局を選択した後、ツールバーにある [Delete] アイコンをクリックします。
ステップ 7 CA 証明書リストの設定が完了したら、[Submit] をクリックします。
SSL マネジメント サービスの設定
SSL マネジメント サービスは、Central Manager と WAE デバイスの間の安全な通信に影響を与える SSL 設定パラメータです(図 12-5 を参照)。使用される証明書/キー ペアは、WAAS デバイスごとに固有です。そのため、SSL マネジメント サービスは、個々のデバイスに対してだけ設定でき、デバイス グループには設定できません。
SSL マネジメント サービスを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices] を選択します。
ステップ 2 SSL マネジメント サービスを設定したいデバイスの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [Management Service] を選択します。
[Management Services] ウィンドウが表示されます(図 12-16 を参照)。
ステップ 4 [SSL version] フィールドで、使用する SSL プロトコルの種類を選択します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。
(注) WAAS Central Manager に設定されたマネジメント サービスの SSL バージョンと暗号の設定は、WAAS Central Manager とユーザのブラウザの間の SSL 接続にも適用されます。
プライマリおよびスタンバイの Central Manager は、マネジメント サービスのバージョンや暗号リストを共有する必要があります。マネジメント サービスのバージョンおよび暗号リストの設定を変更すると、プライマリ Central Manager とスタンバイ Central Manager と WAE デバイスの間の接続が失われる可能性があります。
表 12-2 に、Internet Explorer と Mozilla Firefox でサポートされる暗号リストを示します。
|
|
|
|
|---|---|---|
(注) Mozilla Firefox と Internet Explorer の両方で SSLv3 プロトコルと TLSv1 プロトコルがサポートされています。ただし、TLSv1 は、デフォルトでは使用できない場合があります。その場合は、ブラウザで TLSv1 を有効にする必要があります。
ブラウザでサポートされていない暗号またはプロトコルを設定すると、ブラウザと Central Manager の間の接続が失われます。この問題が発生した場合は、CLI から Central Manager マネジメント サービスの SSL 設定をデフォルトに設定して、接続を復元します。
Internet Explorer など、一部のブラウザは、Central Manager 上での SSL バージョンと暗号の設定変更に対して正しく対処しません。そのため、変更を送信した後にエラー ページがブラウザに表示されることがあります。この問題が発生した場合は、ページをリロードします。
ステップ 5 Cipher List ペインで、SSL アクセラレーションに使用される暗号スイートのリストを選択します。詳細については、「暗号リストの操作」を参照してください。
SSL ピアリング サービスの設定
SSL ピアリング サービス設定パラメータは、SSL 接続を最適化すると同時に、WAE デバイス間に SSL アクセラレータによって確立される安全な通信を制御します(図 12-5 を参照)。ピアリング サービス証明書と秘密キーは、WAAS デバイスごとに固有です。そのため、個々のデバイスに対してだけ設定でき、デバイス グループには設定できません。
SSL ピアリング サービスを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices] を選択します。
ステップ 2 SSL ピアリング サービスを設定したいデバイスの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Security] > [Peering Service] を選択します。
[Peering Service] ウィンドウが表示されます(図 12-17 を参照)。
ステップ 4 [SSL Version] フィールドで、使用する SSL プロトコルの種類を選択するか、[Inherited] を選択してグローバル SSL 設定に設定されている SSL プロトコルを使用します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。
ステップ 5 ピア証明書の検証を有効にするには、[Enable Certificate Verification] チェックボックスを選択します。証明書の検証を有効にすると、自己署名証明書を使用する WAAS デバイスは、相互にピア接続を確立することができなくなり、結果として、SSL トラフィックを加速できなくなります。
ステップ 6 [Disable revocation check for this service] チェックボックスを選択して、OCSP 証明書失効チェックを無効にします。
ステップ 7 [Cipher List] ペインで、WAE デバイス ピア間の SSL アクセラレーションに使用される暗号スイートのリストを選択するか、[Inherited] を選択して SSL グローバル設定に設定されている暗号リストを使用します。詳細については、「暗号リストの操作」を参照してください。
SSL アクセラレーション サービスの使用
WAAS システム上で SSL アクセラレーションを有効にし、その設定を完了したら、SSL パス上で加速されるサービスを少なくとも 1 つ定義する必要があります。SSL アクセラレーション サービスを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 アクセラレーション サービスを定義するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [SSL Accelerated Services] を選択します。
ステップ 4 アクセラレーション サービスを削除するには、そのサービスを選択し、[Delete] をクリックします。
ステップ 5 [Create] をクリックして、アクセラレーション サービスを新しく定義します。最大 128 のアクセラレーション サービスが可能です。[Basic SSL Accelerated Services Configuration] ウィンドウが表示されます(図 12-18 を参照)。
図 12-18 SSL アクセラレーション サービスの設定:基本
ステップ 6 サービスの名前を [Service Name] フィールドに入力します。
ステップ 7 このアクセラレーション サービスを有効にするには、[In service] チェックボックスを選択します。
ステップ 8 (任意)サービスの説明を [Description] フィールドに入力します。
ステップ 9 [Server] ドロップダウン リストから、[IP Address, Hostname]、または [Domain] を SSL サービスのエンドポイント タイプとして選択します。加速化されるサーバのサーバ IP アドレス、ホスト名、またはドメインを入力します。キーワード Any を使用して、任意のサーバ IP アドレスを指定します。最大 32 個の IP アドレス、32 個のホスト名、および 32 個のドメインが指定できます。
(注) ホスト名とドメイン サーバ アドレスのタイプは、WAAS ソフトウェアのバージョン 4.2.x 以上を使用している場合にだけサポートされます。サーバ IP アドレス キーワードの Any がサポートされるのは、WAAS ソフトウェアのバージョン 4.2.x 以上を使用している場合だけです。
ステップ 10 アクセラレーションが適用されるサービスと関連付けられるポートを入力します。[Add] をクリックして、各アドレスを追加します。サーバのホスト名を指定した場合、そのホスト名は Central Manager によって IP アドレスに解決されてから、[Server IP/Ports] テーブルに追加されます。
ステップ 11 リストから IP アドレスを削除するには、[Delete] をクリックします。
ステップ 12 証明書とキー ペアの方法を選択します(図 12-19 を参照)。
• WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。
• 既存の証明書/キー ペアをアップロードまたは張り付けるには、[Import Existing Certificate Key] をクリックします。
• 現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。
• 既存の証明書/キー ペアを更新または置き換えるには、[Generate Certificate Signing Request] をクリックします。Certificate Signing Request(CSR; 証明書署名要求)は、新しい証明書を生成するために認証局で使用されます。
インポートまたはエクスポートするファイルは、PKCS12 形式と PEM 形式のいずれかである必要があります。
サービス証明書と秘密キーの設定手順については、「サービス証明書と秘密キーの設定」を参照してください。
ステップ 13 [Advanced Settings] タブをクリックして、サービスの SSL パラメータを設定します。[Advanced SSL Accelerated Services Configuration] ウィンドウが表示されます(図 12-20 を参照)。
図 12-20 SSL アクセラレーション サービスの設定:詳細
ステップ 14 (任意)[SSL version] フィールドで、使用する SSL プロトコルの種類を選択するか、[Inherited] を選択してグローバル SSL 設定に設定されている SSL プロトコルを使用します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。
ステップ 15 (任意)[Cipher List] フィールドで、WAE デバイス ピア間の SSL アクセラレーションに使用される暗号スイートのリストを選択するか、[Inherited] を選択して SSL グローバル設定に設定されている暗号リストを使用します。詳細については、「暗号リストの操作」を参照してください。
ステップ 16 (任意)証明書失効の Online Certificate Status Protocol(OCSP)パラメータを設定します。
a. クライアント証明書チェックの検証を有効にするには、[Verify client certificate] チェックボックスを選択します。
b. [Disable revocation check for this service] チェックボックスを選択して、OCSP クライアント証明書失効チェックを無効にします。
c. サーバ証明書チェックの検証を有効にするには、[Verify server certificate] チェックボックスを選択します。
d. [Disable revocation check for this service] チェックボックスを選択して、OCSP サーバ証明書失効チェックを無効にします。
(注) サーバとクライアントのデバイスが自己署名証明書を使用する場合、証明書の検証が有効になっていると、WAAS デバイスで SSL トラフィックを加速できなくなります。
ステップ 17 SSL アクセラレーション サービスの設定が完了したら、[Submit] をクリックします。
新しいトラフィック アプリケーション ポリシーの作成
表 12-3 に、新しいトラフィック アプリケーション ポリシーを作成するために完了する必要がある手順の概要を示します。
|
|
|
|---|---|
アプリケーション ポリシーを作成するための準備をする。 |
WAAS デバイスに新しいアプリケーション ポリシーを作成する前に完了する必要がある作業を行います。詳細については、「アプリケーション ポリシーを作成するための準備」を参照してください。 |
アプリケーション定義を作成する。 |
アプリケーション名や WAAS Central Manager がこのアプリケーション用の統計情報を収集するかという、最適化するアプリケーションに関する一般情報を識別します。またこの手順では、デバイスまたはデバイス グループにアプリケーション定義を割り当てることができます。詳細については、「アプリケーション定義の作成」を参照してください。 |
アプリケーション ポリシーを作成する。 |
WAAS デバイスまたはデバイス グループが特定のアプリケーション トラフィックに対して実行する処理の種類を決定します。この手順では、次の処理を実行する必要があります。 • • 詳細については、「アプリケーション ポリシーの作成」を参照してください。 |
アプリケーション ポリシーを作成するための準備
新しいアプリケーション ポリシーを作成する前に、次の準備作業を完了します。
• WAAS システム上のアプリケーション ポリシーのリストを参照し、これらのポリシーが定義する種類のトラフィックをまだ網羅していないことを確認します。WAAS システムに組み込まれている定義済みポリシーのリストを表示するには、 付録 A「定義済みのアプリケーション ポリシー」 を参照してください。
• 新しいアプリケーション トラフィック用の一致条件を識別します。たとえば、アプリケーションが特定の送信先または送信元ポートを使用する場合は、そのポート番号を使用して一致条件を作成できます。また、送信元または送信先 IP アドレスを一致条件に使用することもできます。
• 新しいアプリケーション ポリシーが必要なデバイスまたはデバイス グループを識別します。複数の WAAS デバイス全体でポリシーが一貫するように、デバイス グループに関するアプリケーション ポリシーを作成することを推奨します。
アプリケーション定義の作成
アプリケーション ポリシーを作成する最初の手順では、アプリケーション名や WAAS Central Manager がアプリケーション用の統計情報を収集するかというアプリケーションに関する一般情報を識別するアプリケーション定義を設定します。アプリケーション定義を作成したら、デバイスまたはデバイス グループに割り当てます。WAAS システムには、最大 255 のアプリケーション定義を作成できます。
新しいアプリケーション定義を作成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[Configure] > [Acceleration] > [Applications] を選択します。
[Applications] ウィンドウが表示され、WAAS システム上のすべてのアプリケーションのリストが表示されます。このウィンドウから、次の作業を実行できます。
• 定義を変更または削除するアプリケーションの横にある [Edit] アイコンをクリックします。
• WAAS システムがアプリケーション用の統計情報を収集するか決定します。アプリケーション用の統計情報が収集される場合、[Monitor Enabled] 列に [Yes] が表示されます。
• 次の手順の説明に従って、新しいアプリケーション グループを作成します。
タスクバーの [Create New Application] アイコンをクリックします。[Creating Application] ウィンドウが表示されます。
ステップ 3 [Enable Statistics] チェックボックスを選択して、WAAS Central Manager がこのアプリケーションに関するデータを収集できるようにします。このアプリケーション用のデータ収集を無効にするには、このボックスの選択を解除します。
WAAS Central Manager GUI は、最大 20 のアプリケーション用の統計情報を表示でき、21 番めのアプリケーション用の統計情報を有効にしようとすると、エラー メッセージが表示されます。ただし、WAAS CLI を使用すると、特定の WAAS デバイスにポリシーが存在するすべてのアプリケーション用の統計情報を表示できます。詳細については、『 Cisco Wide Area Application Services Command Reference 』を参照してください。
アプリケーション用の統計情報を収集しているときに統計情報の収集を無効にすることにし、あとで統計情報の収集を再有効化する場合、履歴データは保持されますが、統計情報の収集が無効になっていた間のデータは欠落します。ただし、統計情報を収集しているアプリケーションを削除し、その後にアプリケーションを再作成する場合は、アプリケーション用の履歴データが失われます。アプリケーションを再作成したあとのデータだけが表示されます。
(注) WAAS Central Manager は、アプリケーション ポリシー全体の作成が完了するまで、このアプリケーション用のデータ収集を開始しません。
ステップ 4 (任意)[Comments] フィールドに、説明を入力します。
入力した説明は、[Applications] ウィンドウに表示されます。
アプリケーション定義が保存され、ナビゲーション ペインにデバイスまたはデバイス グループにアプリケーションを割り当てることができるオプションが表示されます。
ステップ 6 ナビゲーション ペインで、次のいずれかのオプションをクリックします。
• [Assign Device Groups]:1 つまたは複数のデバイス グループにアプリケーションを割り当てます。
• [Assign Devices]:1 つまたは複数の WAAS デバイスにアプリケーションを割り当てます。
選択したオプションによって、[Device Groups Assignments] ウィンドウまたは [WAE Assignments] ウィンドウが表示されます。
いずれのビューでも、割り当てウィンドウでは、リスト内の項目のビューをフィルタできます。フィルタにより、設定した基準に一致するリスト内の項目を見つけることができます。
ステップ 7 このアプリケーションに割り当てるデバイスまたはデバイス グループを選択します。デバイスを選択するには、次のいずれかの手順を使用します。
• タスクバーの
をクリックして、使用できるすべての WAAS デバイスまたはデバイス グループを割り当てます。
• 割り当てる各 WAAS デバイスまたはデバイス グループの横にある
をクリックします。選択すると、アイコンは
に変化します。デバイスまたはデバイス グループの割り当てを解除するには、もう一度アイコンをクリックします。
選択したデバイスの横にあるアイコンが
に変化し、アプリケーションが正常にデバイスに割り当てられたことを示します。
アプリケーション ポリシーの作成
アプリケーション定義を作成したら、指定したトラフィックに WAAS デバイスが実行する処理を決定するアプリケーション ポリシーを作成する必要があります。たとえば、WAAS デバイスが特定のポートまたは特定の IP アドレスに到達するすべてのアプリケーション トラフィックに TCP 最適化および圧縮を適用するアプリケーション ポリシーを作成できます。WAAS システムには、最大 512 のアプリケーション ポリシーを作成できます。
トラフィック一致規則は、アプリケーション分類子に含まれます。一致条件と呼ぶこれらの規則は、TCP ヘッダーのレイヤ 2 およびレイヤ 4 の情報を使用してトラフィックを識別します。
アプリケーション ポリシーを作成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 アプリケーション ポリシーを作成するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
[Device Dashboard] ウィンドウまたは [Modifying Device Group] ウィンドウが表示されます。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [Policy Definitions] を選択します。
[Application Policies] ウィンドウが表示されます(図 12-21 を参照)。
図 12-21 [Application Policies] ウィンドウ
このウィンドウは、選択したデバイスまたはデバイス グループに存在するすべてのアプリケーション ポリシーに関する情報を表示します。ポリシーの種類(Basic、WAFS transport、Port Mapper、または Other)とその種類の中でのポリシーの位置を表示します。位置は、WAAS がアプリケーション トラフィックを処理する方法を決定するときにポリシーを参照する順序を決定します。ポリシーの位置を変更するには、「アプリケーション ポリシーの位置の変更」を参照してください。また、このウィンドウは、分類子、アプリケーション定義、および各ポリシーに割り当てられている処理を表示します。
[Application Policies] ウィンドウから、次の作業を実行できます。
• 削除する 1 つまたは複数のアプリケーション ポリシーの横にチェックを付けてから、[Delete] ボタンをクリックして、チェックのついたポリシーを削除します。
• そのポリシーを変更または削除するアプリケーション ポリシーの横にある [Edit] アイコンをクリックします。
• 定義済みポリシーと分類子を復元します。詳細については、「アプリケーション ポリシーと分類子の復元」を参照してください。
• 次の手順の説明に従って、アプリケーション ポリシーを作成します。
ステップ 4 タスクバーの [Create New Policy] アイコンをクリックして、新しいアプリケーション ポリシーを作成します。
[Creating New Application Policy] ウィンドウが表示されます(図 12-22 を参照)。
ステップ 5 [Type] ドロップダウン リストから、アプリケーション ポリシーの種類を選択します。
表 12-4 で、アプリケーション ポリシーの種類について説明します。
|
|
|
|---|---|
Wide Area File Services(WAFS; 広域ファイル サービス)を有効にすると、ブランチ WAE とデータセンター WAE の間を流れるすべての CIFS トラフィックが最適化されます。ブランチ WAE とデータセンター WAE の間を流れる CIFS トラフィックについて(パススルーのような)別の処理を指定するには、[WAFS Transport] オプションを選択します。 ファイル サービスを有効にする方法については、「WAFS の設定」を参照してください。 |
|
EPM に基づくアプリケーション用のポリシーの種類。EndPoint Mapper(EPM; エンドポイント マッパー)は、特定のアプリケーションにダイナミックにサーバ ポートを割り当てるサービスです。常に同じポートを使用するほとんどのアプリケーションと異なり、EPM サービスに依存するアプリケーションは、要求ごとに異なるポートを割り当てることができます。 EPM アプリケーションは固定ポートを使用しないため、アプリケーション トラフィックを WAAS システムに識別するために、アプリケーションの UUID を指定する必要があります。 [EPM] オプションを選択すると、設定済みの EPM アプリケーションを選択したり、カスタム アプリケーション用の UUID を入力できるように、UUID フィールドが有効になります。 |
ステップ 6 ポリシーの種類に EPM を選択した場合は、[UUID] ドロップダウン リストから次のいずれかの EPM アプリケーションを選択します。
• [MAPI]:MAPI アプリケーションに関連付けられた定義済みの UUID(a4f1db00-ca47-1067-b31f-00dd010662da)を使用します。
• [MS-SQL-RPC]:SQL Session Manager アプリケーションに関連付けられた定義済みの UUID(3f99b900-4d87-101b-99b7-aa0004007f07)を使用します。
• [MS-AD-Replication]:Active Directory アプリケーションに関連付けられた定義済みの UUID(e3514235-4b06-11d1-ab04-00c04fc2dcd2)を使用します。
• [MS-FRS]:ファイル複製サービスに関連付けられた定義済みの UUID(f5cc59b4-4264-101a-8c59-08002b2f8426)を使用します。
• [Custom]:[Custom] フィールドに、カスタム EPM アプリケーション用の UUID を入力できます。
ステップ 7 次のいずれかを実行して、このポリシーに関連付けるアプリケーションを指定します。
• [Application] ドロップダウン リストから、「アプリケーション定義の作成」で作成したような既存のアプリケーションを選択します。このリストは、WAAS システム上のすべての事前定義されたアプリケーションと新しいアプリケーションを表示します。
既存のアプリケーションを変更するには、ドロップダウン リストからアプリケーションを選択し、[Edit Application] をクリックします。次に、アプリケーションの名前を変更する、説明を追加または削除する、およびアプリケーション用の統計情報の収集を有効または無効にすることができます。必要な変更を行ったら、[Submit] をクリックして変更を保存し、[Application Policies] ウィンドウへ戻ります。
• アプリケーションを作成するには、[New Application] をクリックします。アプリケーション名の指定、統計情報の収集の有効化、および DSCP マーキング値の指定が可能です。DSCP マーキングに関して、グローバルなデフォルト値の使用を選択するか(「デフォルトの DSCP マーキング値の定義」を参照)、またはいずれかの他の定義済みの値を選択できます。サポート対象の DSCP マーキング値の説明については、表 11-4 を参照してください。 表 11-4 に示されている値に加えて、copy を選択して、着信パケットからの DSCP 値をコピーし、発信パケットで使用することもできます。アプリケーション詳細を指定したら、[Submit] をクリックして新しいアプリケーションを保存し、[Application Policies] ウィンドウへ戻ります。新しいアプリケーションは、自動的にこのデバイスまたはデバイス グループに割り当てられます。
ステップ 8 [Application Classifier] ドロップダウン リストから分類子を選択して、このポリシー用の既存の分類子を選択します。
既存の分類子を変更するには、ドロップダウン リストから分類子を選択し、[Edit Classifier] をクリックします。次に、分類子の名前を変更する、説明を追加または削除する、新しい一致条件を作成する、または既存の一致条件を編集することができます。必要な変更を行ったら、[Submit] をクリックして変更を保存し、[Application Policies] ウィンドウへ戻ります。
ステップ 9 このポリシー用の新しい分類子を作成するには、[New Classifier] をクリックします。
新しい分類子を作成できるように、[Creating New Application Classifier] ウィンドウが表示されます。次の手順を実行して、新しい分類子を作成します。
a. このアプリケーション分類子の名前を入力します。名前にはスペースや特殊文字は使用できません。
b. (任意)図 12-21に示す [Application Policies] ウィンドウに表示する説明を入力します。
c. [Configure Match Conditions] セクションで、[Create New Match Condition] アイコンをクリックします(このページから移動するかどうかを確認するダイアログボックスが表示された場合は、[OK] をクリックします)。[Creating New Match Condition] ウィンドウが表示されます(図 12-23 を参照)。
d. すべてのトラフィックと一致する条件を作成するには、[Match All] チェックボックスを選択します。[Match All] チェックボックスを選択すると、ウィンドウの他のすべてのフィールドが自動的に無効になります。
e. 送信先または送信元の条件フィールドに値を入力して、特定の種類のトラフィック用の条件を作成します。
たとえば、IP アドレス 10.10.10.2 へ進むすべてのトラフィックと一致するようにするには、[Destination IP Address] フィールドにその IP アドレスを入力します。
(注) IP アドレス範囲を指定するには、送信先または送信元の [IP Wildcard] フィールドにワイルドカード サブネット マスクを入力します。
f. [Update Classifier] をクリックします。[Creating New Application Classifier] ウィンドウへ戻ります。このウィンドウの一番下に、新しい一致条件が表示されます。
g. [Submit] をクリックします。[Creating New Application Policy] ウィンドウへ戻ります。
ステップ 10 [Action] ドロップダウン リストから、定義されたトラフィックに WAAS デバイスが実行する必要がある処理を選択します。 表 12-5 で、各処理について説明します。
|
|
|
|---|---|
TFO、DRE、または圧縮を使用して、WAAS デバイスが、このポリシーに定義されたアプリケーション トラフィックを最適化することを防止します。このポリシーに一致するトラフィックでも、[Accelerate] ドロップダウン リストからアクセラレータを選択すると、加速化することができます。 |
|
一致するトラフィックにさまざまな Transport Flow Optimization(TFO; 転送フローの最適化)方式を適用します。TFO 方式には、BIC-TCP、ウィンドウ サイズの最大化と縮尺、および選択的受信確認があります。TFO 機能の詳細な説明については、「TFO の最適化」を参照してください。 |
|
一致するトラフィックに TFO と Data Redundancy Elimination(DRE; データ冗長性除去)の両方を適用します。DRE は、WAN 経由で短縮されたデータ ストリームを送信する前に、冗長的な情報を削除します。DRE は、大型データ ストリーム(数十から数百バイト以上)で動作します。 |
|
一致するトラフィックに TFO と LZ 圧縮アルゴリズムの両方を適用します。LZ 圧縮は DRE と同様に動作しますが、異なる圧縮アルゴリズムを使用してより小型のデータ ストリームを圧縮し、限られた圧縮履歴を維持します。 |
|
ステップ 11 [Accelerate] ドロップダウン リストから、定義されたトラフィックに WAAS デバイスが実行する必要がある次の追加アクセラレーション処理のいずれか 1 つを選択します。
• [Do Not Set]:追加アクセラレーションを行いません。
• [MS Port Mapper]:Microsoft Endpoint Port Mapper(EPM)を使用して加速化します。
• [CIFS]:CIFS Accelerator を使用して加速化します。
• [HTTP]:HTTP Accelerator を使用して加速化します。
• [NFS]:NFS Accelerator を使用して加速化します。
• [MAPI]:MAPI Accelerator を使用して加速化します。
• [VIDEO]:VIDEO Accelerator を使用して加速化します。
ステップ 12 該当する [Position] オプション ボタンをクリックして、次の中からこのアプリケーション ポリシーの位置を選択します。
• [First]:このポリシーを位置リストの先頭に配置します。WAAS デバイスは、トラフィックを分類するとき、リストの第 2 位ポリシーへ移動する前に、このポリシーを最初に使用します。すでに先頭位置にポリシーがある場合、そのポリシーはリストの第 2 位に下がります。
• [Last]:このポリシーを位置リストの末尾に配置します。WAAS デバイスは、トラフィックを分類するとき、このポリシーを最後に使用します。すでに末尾位置にポリシーがある場合、そのポリシーはリストの最後から第 2 位になります。
デバイスがリスト内のどのポリシーとも一致しない場合、WAAS デバイスはトラフィックを最適化せずに通過させます。
• [Specific]:このポリシー用の特定の位置を入力できます。指定した位置にすでにポリシーがある場合、そのポリシーはリスト内で 1 つ下がります。
ステップ 13 (任意)[DSCP Marking] ドロップダウン リストから値を選択します。サポートされている値の説明については、表 11-4 を参照してください。 表 11-4 に示されている値に加えて、copy を選択して、着信パケットからの DSCP 値をコピーし、発信パケットで使用することもできます。ドロップダウン リストから [inherit-from-name] を選択した場合、アプリケーション レベルまたはグローバル レベルで定義された DSCP 値が使用されます。
DSCP は、ネットワーク トラフィックに異なるレベルのサービスを割り当てることができる IP パケットのフィールドです。ネットワーク上の各パケットに DSCP コードを付け、対応するサービスのレベルを関連付けて、サービスのレベルを割り当てます。DSCP は、IP precedence フィールドと Type of Service(ToS; タイプ オブ サービス)フィールドの組み合せです。詳細については、RFC 2474 を参照してください。
DSCP マーキングは、パススルー トラフィックに適用されません。
アプリケーション レベルで設定された DSCP 値は、アプリケーションに関するすべての分類子に適用されます。ポリシーで設定された DSCP 値は、アプリケーション レベルまたはグローバル レベルで設定された DSCP 値を上書きします。
ステップ 14 [Enabled] チェックボックスを選択して、このポリシーをアクティブにします。このポリシーを無効にするには、このボックスの選択を解除します。
[Application Policies] ウィンドウに新しいポリシーが表示されます(図 12-21 を参照)。
アプリケーション アクセラレーションの管理
アプリケーションのリストの表示
WAE デバイスまたはデバイス グループに存在するアプリケーションのリストを表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 アプリケーションを表示するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [Policy Definitions] を選択します。[Application Policies] ウィンドウが表示されます。
ステップ 4 [Application] 列見出しをクリックして、特定のアプリケーションを見つけやすくするためにアプリケーション名で列を並べ替えます。
ポリシー レポートの表示
各 WAE デバイスにまたはデバイス グループに存在するポリシーのレポートを表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[Configure] > [Acceleration] > [Policies] を選択します。
ポリシー レポートが表示されます。ポリシー レポートは、各デバイスまたはデバイス グループとデバイスまたはデバイス グループ上のアクティブなポリシーの数を表示します。
ステップ 2 デバイスまたはグループの横にある [Edit] アイコンをクリックして、そこに定義されているアプリケーション ポリシーを表示します。
分類子レポートの表示
各 WAE デバイスまたはデバイス グループに存在する分類子のレポートを表示するには、次の手順に従ってください。
WAAS Central Manager GUI ナビゲーション ペインで、[Configure] > [Acceleration] > [Classifiers]
を選択します。
分類子レポートが表示されます。分類子レポートは、定義されている各分類子とそれが設定されているデバイスの数を表示します。
ステップ 2 分類子の横にある [View] アイコンをクリックして、分類子が設定されているデバイスおよびデバイス グループのレポートを表示します。
ステップ 3 デバイスまたはグループの横にある [Edit] アイコンをクリックして、そこに定義されているアプリケーション ポリシーを表示します。
アプリケーション ポリシーと分類子の復元
WAAS システムでは、WAAS システムに組み込まれていた定義済みポリシーと分類子を復元できます。定義済みポリシーのリストについては、 付録 A「定義済みのアプリケーション ポリシー」 を参照してください。
定義済みポリシーに、WAAS デバイスがアプリケーション トラフィックを処理する方法に対してマイナスに影響するような変更を加えた場合、定義済みポリシー設定を復元することによって、その変更を上書きできます。
定義済みポリシーと分類子を復元するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 ポリシーを復元するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [Policy Definitions] を選択します。
[Application Policies] ウィンドウが表示されます。
ステップ 4 [Restore Predefined Policies and Classifiers] タスクバー アイコンをクリックして、WAAS ソフトウェアに組み込まれていた 150 個を超えるポリシーと分類子を復元します。システム上で作成した新しいポリシーはすべて削除されます。定義済みポリシーが変更されていた場合、これらの変更は失われ、元の設定が復元されます。
アプリケーションのモニタリング
アプリケーション ポリシーを作成したら、WAAS システムが期待通りにアプリケーション トラフィックを処理していることを確認するために、関連付けられたアプリケーションをモニタする必要があります。アプリケーションをモニタするには、「アプリケーション定義の作成」の説明に従って、そのアプリケーションの統計情報収集が有効になっている必要があります。
トラフィック最適化レポートを使用して、特定のアプリケーションをモニタできます。詳細については、「最適化概要レポート」を参照してください。
デフォルトの DSCP マーキング値の定義
アプリケーション定義およびアプリケーション ポリシーで定義されたポリシーに従って、WAAS ソフトウェアでは処理するパケット上に DSCP 値を設定できます。
DSCP 値は、ネットワーク トラフィックに異なるレベルのサービスを割り当てることができる IP パケットのフィールドです。ネットワーク上の各パケットに DSCP コードを付け、対応するサービスのレベルを関連付けて、サービスのレベルを割り当てます。DSCP マーキングにより、接続用のパケットが WAAS に対して外部的に処理される方法が決定されます。DSCP は、IP precedence フィールドと Type of Service(ToS; タイプ オブ サービス)フィールドの組み合せです。詳細については、RFC 2474 を参照してください。DSCP 値は、事前に定義されているため、変更できません。
• グローバル:DSCP 値にグローバルなデフォルトを設定できます。より低いレベルの値が定義されていない場合、この値がトラフィックに適用されます。
• アプリケーション:アプリケーション定義内の DSCP 値を、グローバルなアプリケーション定義レベルではなく、デバイスまたはデバイス グループ レベルで定義できます。この値は、特定のデバイスまたはデバイス グループ上のアプリケーションに関連付けられたすべてのトラフィックに適用され、グローバルなデフォルトを上書きします。
• ポリシー:アプリケーション ポリシー内の DSCP 値を定義できます。この値は、ポリシー内に定義された分類子と一致するトラフィックにだけ適用され、アプリケーションまたはグローバルの DSCP 値を上書きします。
デフォルトの DSCP マーキング値の定義
グローバルなデフォルトの DSCP マーキング値を定義するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 デフォルトの DSCP マーキング値を定義するデバイスまたはグループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [DSCP Marking] を選択します。[Global DSCP Settings] ウィンドウが表示されます。
ステップ 4 [Global Default DSCP Marking] ドロップダウン リストから値を選択し、サポートされている値の説明について表 11-4を参照します。 表 11-4 に示された値に加えて、デフォルト設定は copy で、着信パケットからの DSCP 値をコピーし、発信パケットで使用します。
ステップ 5 [Submit] をクリックして、設定を保存します。
アプリケーション ポリシーの位置の変更
各アプリケーション ポリシーには、WAAS デバイスがトラフィックを分類するときにポリシーを参照する順序を決定する位置が割り当てられています。たとえば、WAAS デバイスは、トラフィックを代行受信するとき、トラフィックとアプリケーションを対応付けるために、リストの最初のポリシーを参照します。最初のポリシーに一致するものがない場合、WAAS デバイスはリスト内の次のポリシーへ移動します。
新しいポリシーに位置を割り当てる方法については、「アプリケーション ポリシーの作成」を参照してください。
トラフィックを最適化せずにパススルーするポリシーの位置に注意する必要があります。これらのポリシーをリストの一番上に配置すると、リストの下の方にある最適化ポリシーが無効になるからです。たとえば、IP アドレス 10.10.10.2 へ進むトラフィックと一致する 2 つのアプリケーション ポリシーがあり、最初のポリシーがこのトラフィックを最適化し、最初のポリシーより高い位置にある別のポリシーがこのトラフィックをパススルーさせる場合、10.10.10.2 へ進むすべてのトラフィックが最適化されずに WAAS システムを通過します。そのため、ポリシーの一致条件が重ならないことを確認し、作成したアプリケーションをモニタして、WAAS がトラフィックを期待通りに処理していることを確認する必要があります。アプリケーションをモニタする方法については、「WAAS ネットワークのモニタリングおよびトラブルシューティング」を参照してください。
アプリケーション ポリシーの位置を変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 変更するアプリケーション ポリシーを含むデバイスまたはグループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [Policy Prioritization] を選択します。
ステップ 4 [Application Policies] ウィンドウが表示されます。このウィンドウでは、ポリシーが、Basic、Other、Port Mapper、および WAFS のカテゴリに分類されています。
ステップ 5 適切なカテゴリの横にある矢印をクリックして、そのカテゴリのアプリケーションのリストを表示します(図 12-24 を参照)。
ほとんどの場合、位置を変更するアプリケーションは、Basic Policies カテゴリにあります。このカテゴリには、WAAS システムに組み込まれているほとんどの事前定義されたアプリケーションが含まれるためです。これらの定義済みポリシーのリストについては、 付録 A「定義済みのアプリケーション ポリシー」 を参照してください。
ステップ 6 ポリシー カテゴリの横にある矢印をクリックして、そのカテゴリのアプリケーションのリストを表示します。
ステップ 7 ポリシーの横にある上下の矢印(
)を使用して、リストでのそのポリシーの位置を上下に移動します。
ステップ 8 ポリシーが必要でないと判断した場合は、次の手順に従ってポリシーを削除します。
a. 削除するポリシーの横にある [Edit] アイコンをクリックします。
[Modifying Application Policy] ウィンドウが表示されます。
b. タスクバーの [Delete] アイコンをクリックします。
アクセラレーション TCP 設定の変更
WAAS システムは、WAE デバイスのハードウェア プラットフォームに基づいて、自動的に加速 TCP 設定を構成するため、ほとんどの場合、アクセラレーション TCP 設定を変更する必要はありません。WAAS は、次の状況で自動的に設定を構成します。
• デバイスで restore factory-default コマンドを入力したとき。このコマンドの詳細については、『 Cisco Wide Area Application Services Command Reference 』を参照してください。
WAAS システムでは、接続ごとに、クライアントまたはサーバのアドバタイズされた Maximum Segment Size(MSS; 最大セグメント サイズ)と一致するように、MSS が自動調整されます。WAAS システムでは、クライアントまたはサーバによってアドバタイズされた MSS 値と 1432 のいずれか小さい方が使用されます。
ネットワークに高い BDP リンクがある場合、WAE デバイス用に自動的に設定されるデフォルトのバッファ設定を調整する必要がある場合があります。詳細については、「高い BDP リンク用の TCP バッファの計算」を参照してください。
WAE デバイスで、デフォルトの TCP 適応バッファリング設定を調整する場合、「TCP 適応バッファリング設定の変更」を参照してください。
アクセラレーション TCP 設定を変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 アクセラレーション TCP 設定を変更するデバイスまたはデバイス グループの横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [TCP Settings] を選択します。[Acceleration TCP Settings] ウィンドウが表示されます。
ステップ 4 [Send TCP Keepalive] チェックボックスを選択した状態のままにします。
[Send TCP Keepalive] チェックボックスを選択すると、この WAE デバイスまたはグループは、TCP キープアライブ交換から応答を受信しない場合に、そのピア デバイスとの TCP 接続を切断できます。この場合、2 台のピア WAE デバイスは、TCP 接続経由で TCP キープアライブを交換し、特定の期間にわたってキープアライブの応答を受信しない場合、TCP 接続を切断します。キープアライブ オプションを有効にすると、WAN ネットワークでの短い中断によって、ピア WAE デバイス間の TCP 接続が切断されます。
[Send TCP Keepalive] チェックボックスを選択しないと、TCP キープアライブは送信されず、明示的に切断しないかぎり、接続は維持されます。デフォルトで、この設定は有効になっています。
ステップ 5 必要に応じて、TCP アクセラレーション設定を変更します。これらの設定の説明については、 表 12-6 を参照してください。
高い BDP 回線用にこれらの設定を計算する方法については、「高い BDP リンク用の TCP バッファの計算」を参照してください。
ステップ 6 高い Bandwidth Delay Product(BDP; 帯域遅延積)リンク経由で WAE を配置している場合は、[Set High BDP recommended values] ボタンをクリックすると、送信バッファおよび受信バッファに推奨サイズを設定できます。高い BDP リンク用の TCP バッファを計算する方法の詳細については、「高い BDP リンク用の TCP バッファの計算」を参照してください。
CLI から TCP キープアライブを設定するには、 tfo tcp keepalive グローバル コンフィギュレーション コマンドを使用します。
CLI から TCP アクセラレーション設定を構成するには、 tfo tcp optimized-mss 、 tfo tcp optimized-receive-buffer 、 tfo tcp optimized-send-buffer 、 tfo tcp original-mss 、 tfo tcp original-receive-buffer 、および tfo tcp original-send-buffer グローバル コンフィギュレーション コマンドを使用します。
高い BDP リンク用の TCP バッファの計算
WAAS ソフトウェアは、帯域幅、遅延、およびパケット損失のような複数のリンク特性を含む、さまざまなネットワーク環境で展開できます。すべての WAAS デバイスは、次の値までの最大帯域遅延積(BDP)を持つネットワークに対応できるように設定されています。
• WAE-511/512:デフォルト BDP は 32 KB
• WAE-611/612:デフォルト BDP は 512 KB
• WAE-674:デフォルト BDP は 2,048 KB
• WAE-7326:デフォルト BDP は 2,048 KB
• WAE-7341:デフォルト BDP は 2,048 KB
• WAE-7371:デフォルト BDP は 2,048 KB
• WAVE-274:デフォルト BDP は 2,048 KB
• WAVE-474:デフォルト BDP は 2,048 KB
• WAVE-574:デフォルト BDP は 2,048 KB
ネットワークがより高い帯域幅を提供したり、高い遅延が含まれる場合は、次の計算式を使用して実際のリンク BDP を計算します。
BDP [キロバイト] = (リンク帯域幅 [キロバイト/秒] × ラウンドトリップ遅延 [秒])
WAE が最適化しているトラフィックに対するリンクが複数のリンク 1 ~ N である場合、最大 BDP は次のように計算する必要があります。
MaxBDP = Max (BDP(link 1),..,BDP(link N))
計算した MaxBDP が WAE モデルのデフォルト BDP より大きい場合は、計算した MaxBDP に対応できるようにアクセラレーション TCP 設定を変更する必要があります。
Max BDP のサイズが計算できたら、[Acceleration TCP Settings] ウィンドウで、最適化された接続のための [Send Buffer Size] と [Receive Buffer Size] に Max BDP の 2 倍以上の値を入力します。
(注) これらの手動で設定されたバッファ サイズは、TCP 適応バッファリングが無効な場合にだけ適用されます。TCP 適応バッファリングは通常有効であるため、バッファ サイズは WAAS システムにより直接変更されます。TCP 適応バッファリングの詳細については、「TCP 適応バッファリング設定の変更」を参照してください。
TCP 適応バッファリング設定の変更
WAAS システムは、ネットワーク帯域および各接続で発生する遅延に基づいて TCP 適応バッファリング設定を自動的に構成するため、ほとんどの場合、アクセラレーション TCP 適応バッファリング設定を変更する必要がありません。適応バッファリングにより、WAAS ソフトウェアは送受信されるバッファ サイズを直接変更して、パフォーマンスを向上させ、使用可能なネットワーク帯域をより効果的に利用できるようになります。
アクセラレーション TCP 適応バッファリング設定を変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI ナビゲーション ペインで、[My WAN] > [Manage Devices](または [Manage Device Groups])を選択します。
ステップ 2 TCP 適応バッファリング設定を構成するデバイス名(またはデバイス グループ)の横にある [Edit] アイコンをクリックします。
ステップ 3 ナビゲーション ペインで、[Configure] > [Acceleration] > [TCP Adaptive Buffering Settings] を選択します。[TCP Adaptive Buffering Settings] ウィンドウが表示されます。
ステップ 4 TCP 適応バッファリングを有効化するには、[Enable] チェックボックスを選択します。デフォルトは有効です。
ステップ 5 [Send Buffer Size and Receive Buffer Size] フィールドに、送受信されるバッファの最大サイズ(キロバイト)を入力します。
CLI から TCP 適応バッファリング設定を構成するには、 tfo tcp adaptive-buffer-sizing グローバル コンフィギュレーション コマンドを使用します。
CLI から TCP 適応バッファリング設定を無効にするには、 no tfo tcp adaptive-buffer-sizing enable グローバル コンフィギュレーション コマンドを使用します。
デフォルトの設定済みの適応バッファリング サイズを表示するには、 show tfo tcp EXEC コマンドを使用します。
フィードバック