- IP アドレス節約のための NAT 設定
- NAT でのアプリケーション レベル ゲートウェイの使用
- キャリア グレード ネットワーク アドレス変換
- ハイ アベイラビリティ用 NAT の設定
- ステートフル シャーシ間冗長化の設定
- ゾーンベースのファイアウォールおよび NAT に対するシャーシ間非対称ルーティング サポート
- MPLS VPN と NAT の統合
- NAT のモニタリングおよびメンテナンス
- VRF 単位での NAT の High-Speed ロギングのイネーブル化
- ステートレス ネットワーク アドレス変換 64
- ステートフル ネットワーク アドレス変換 64
- ステートフル ネットワーク アドレス変換 64 シャーシ間冗長化
- 変換を使用したアドレスおよびポートのマッピング
- ファイアウォールおよび NAT 対応の MSRPC ALG サポート
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
- ファイアウォールおよび NAT に対するハイ アベイラビリティ サポートを備えた ALG - H.323 vTCP
- NAT およびファイアウォールに対する SIP ALG 強化
- NAT の Match-in-VRF サポート
- IP マルチキャスト ダイナミック NAT
- NAT での Paired-Address-Pooling サポート
- PPTP ポート アドレス変換
IP アドレッシング:NAT コンフィギュレーション ガイド、Cisco IOS XE Release 3S(ASR 1000)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月22日
章のタイトル: NAT およびファイアウォールに対する SIP ALG 強化
目次
- NAT およびファイアウォールに対する SIP ALG 強化
- 機能情報の確認
- NAT およびファイアウォールに対する SIP ALG 強化の制約事項
- NAT およびファイアウォールに対する SIP ALG 強化について
- SIP の概要
- アプリケーション レベル ゲートウェイ
- SIP ALG ローカル データベース管理
- SIP ALG Via ヘッダーのサポート
- SIP ALG 方式のロギング サポート
- SIP ALG PRACK コール フロー サポート
- SIP ALG Record-Route ヘッダー サポート
- NAT およびファイアウォールに対する SIP ALG 強化の設定方法
- SIP に対する NAT サポートのイネーブル化
- SIP インスペクションのイネーブル化
- ゾーン ペアの設定および SIP ポリシー マップの付加
- NAT およびファイアウォールに対する SIP ALG 強化の設定例
- 例:SIP に対する NAT サポートのイネーブル化
- 例:SIP インスペクションのイネーブル化
- 例:ゾーン ペアの設定および SIP ポリシー マップの付加
- NAT およびファイアウォールに対する SIP ALG 強化に関するその他の関連資料
- NAT およびファイアウォールに対する SIP ALG 強化の機能情報
NAT およびファイアウォールに対する SIP ALG 強化機能は、既存のネットワーク アドレス変換(NAT)およびファイアウォール対応のセッション開始プロトコル(SIP)アプリケーション レベル ゲートウェイ(ALG)サポートよりも優れたメモリ管理および RFC 準拠を提供します。 この機能では、次の拡張機能が提供されます。
- すべての SIP レイヤ 7 データのローカル データベースの管理
- Via ヘッダーの処理
- 追加の SIP メソッドのロギングのサポート
- Provisional Response Acknowledgment(PRACK)コール フローのサポート
- Record-Route ヘッダーのサポート
上記の拡張機能はデフォルトで使用可能です。NAT またはファイアウォールでの追加の設定は必要ありません。
このモジュールでは、SIP ALG 拡張機能について説明し、SIP の NAT およびファイアウォール サポートをイネーブルにする方法について説明します。
- 機能情報の確認
- NAT およびファイアウォールに対する SIP ALG 強化の制約事項
- NAT およびファイアウォールに対する SIP ALG 強化について
- NAT およびファイアウォールに対する SIP ALG 強化の設定方法
- NAT およびファイアウォールに対する SIP ALG 強化の設定例
- NAT およびファイアウォールに対する SIP ALG 強化に関するその他の関連資料
- NAT およびファイアウォールに対する SIP ALG 強化の機能情報
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
NAT およびファイアウォールに対する SIP ALG 強化の制約事項
SIP の概要
セッション開始プロトコル(SIP)は、1 人または複数の参加者とのセッションを作成、変更、および終了するためのアプリケーション層コントロール(シグナリング)プロトコルです。 SIP セッションには、インターネット電話の通話、マルチメディアの配布、マルチメディア会議などがあります。 SIP は HTTP のような要求/応答トランザクション モデルに基づいています。 各トランザクションは、サーバで特定のメソッドまたは関数を呼び出す 1 つの要求と 1 つ以上の応答で構成されます。
セッションの作成に使用される SIP の招待は、互換性のあるメディア タイプのセットに参加者が同意できるセッション記述を伝送しています。 SIP は、プロキシ サーバと呼ばれる要素を利用して、ユーザの所在地への要求のルーティング、サービスのためのユーザ認証および許可、プロバイダーのコールルーティング ポリシーの実装、およびユーザへの機能提供を行っています。 また、SIP には、プロキシ サーバから使用できるように、ユーザの所在地をアップロードできる登録機能があります。 SIP は複数のトランスポート プロトコルを基礎として実行されます。
アプリケーション レベル ゲートウェイ
ファイアウォールがピンホールを開き、NAT は、アプリケーション層データ ストリームで送信元および宛先 IP アドレスを伝送しない TCP または UDP トラフィックで変換サービスを実行します。 IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには、ALG のサポートが必要です。
SIP ALG ローカル データベース管理
セッション開始プロトコル(SIP)トランクは、SIP を使用した IP ネットワーク経由での IP PBX からサービス プロバイダーへの直接接続です。 SIP トランクには、多数の同時発生コールが存在できます。 コール セットアップ プロセス中、すべてのコールは、コールの確立に同じ制御チャネルを使用します。 複数のコールが、コール セットアップに同じ制御チャネルを使用します。 同じ制御チャネルが複数のコールで使用される場合、制御チャネル セッションに保存されているステートフル情報の信頼性が失われます。 SIP ステートフル情報は、メディア データを送信するためにクライアントおよびサーバのエンドポイントで使用される IP アドレスやポート番号などのメディア チャネル情報で構成されます。 メディア チャネル情報は、ファイアウォールおよび NAT で、D チャネル用のファイアウォール ピンホールおよびネットワーク アドレス変換(NAT)ドアをそれぞれ作成するために使用されます。 複数のコールがコール セットアップに同じ制御チャネルを使用するため、メディア データのセットが複数存在します。
SIP トランクでは、複数のコールが同じファイアウォールおよび NAT セッションを共有します。 NAT およびファイアウォールでは、SIP パケットの 5 タプル(送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、およびプロトコル)を使用して、SIP セッションを識別および管理します。 5 タプルを使用してコールを識別および照合する従来の方法では、SIP トランキングが完全にはサポートされません。そのため、多くの場合、レイヤ 7 データのメモリ リークやコールの照合の問題が発生します。
他のアプリケーション レベル ゲートウェイ(ALG)とは対照的に、SIP ALG では、通常の SIP コールおよび SIP トランクに埋め込まれている SIP コールに含まれるすべてのメディア関連情報を保存するために、ローカル データベースを使用して SIP レイヤ 7 データを管理します。 SIP ALG では、SIP メッセージに含まれる Call-ID ヘッダー フィールドを使用して、コールの照合のためにローカル データベースを検索したり、コールを管理および終了したりします。 Call-ID ヘッダー フィールドは、同じ SIP ダイアログに属するメッセージを識別するダイアログ ID です。
SIP ALG では、コール ID を使用して、ローカル データベースでの検索およびメモリ リソースの管理を行います。 SIP ALG がレイヤ 7 データ レコードをデータベースから解放できない特定のシナリオでは、データベース内にコール レコードが残っていないことを確認するために、セッション タイマーを使用してリソースが管理および解放されます。
 (注) |
すべてのレイヤ 7 データはローカル データベースを使用して SIP ALG により管理されるため、SIP ALG が SIP レイヤ 7 データを解放するためにファイアウォールおよび NAT で応答することはありません。SIP ALG 自身がデータを解放します。 すべての NAT 変換およびファイアウォール セッションをクリアするために clear コマンドを使用する場合、ローカル データベース内の SIP レイヤ 7 データは解放されません。 |
SIP ALG Via ヘッダーのサポート
セッション開始プロトコル(SIP)INVITE 要求には、Via ヘッダー フィールドが含まれます。 Via ヘッダー フィールドは、SIP 要求が通過するトランスポート パスを示します。 Via ヘッダーには、後続の SIP 応答のリターン パスに関する情報も含まれています。これには、応答メッセージが送信される IP アドレスとポートが含まれます。
SIP ALG では、受信した各 SIP 要求の Via ヘッダー フィールドの最初の値に基づいて、ファイアウォール ピンホールまたはネットワーク アドレス変換(NAT)ドアを作成します。ただし、確認応答(ACK)メッセージは除きます。 ポート番号情報が最初の Via ヘッダーに含まれていない場合、ポート番号は 5060 と想定されます。
SIP ALG 方式のロギング サポート
NAT およびファイアウォールに対する SIP ALG 強化機能では、セッション開始プロトコル(SIP)アプリケーション レベル ゲートウェイ(ALG)統計で、次の方式の詳細ロギングをサポートします。
SIP ALG 統計に記録される既存の SIP 方式には、ACK、BYE、CANCEL、INFO、INVITE、MESSAGE、NOTIFY、REFER、REGISTER、SUBSCRIBE、および 1XX-6XX があります。
SIP ALG PRACK コール フロー サポート
セッション開始プロトコル(SIP)では、最終応答と暫定応答の 2 種類の応答が定義されています。 最終応答では要求の処理結果が伝達され、信頼性の高い方法で送信されます。 一方、暫定応答では要求処理の進行状況に関する情報が伝えられ、信頼性の高い方法では送信されません。
Provisional Response Acknowledgement(PRACK)は、暫定応答用の確認応答(ACK)システムを提供する SIP 方式です。 PRACK を使用すると、SIP エンドポイント間の SIP の暫定応答を確実に交換できます。 SIP の信頼性の高い暫定応答は、メディア情報が交換され、リソース予約がコールの接続前に実行できるようにします。
SIP は、接続ネゴシエーション中に、セッション記述プロトコル(SDP)の接続、メディア、および属性のフィールドを使用します。 SIP アプリケーション レベル ゲートウェイ(ALG)は、PRACK メッセージ内の SDP 情報をサポートします。 メディア情報が PRACK メッセージ内に存在する場合、SIP ALG はメディア情報を取得して処理します。 また、SIP ALG は後続のメディア ストリームでのメディア チャネルの作成を行います。 SIP ALG では、PRACK メッセージ内の SDP 情報に基づいて、ファイアウォール ピンホールおよび NAT ドアを作成します。
SIP ALG Record-Route ヘッダー サポート
Record-Route ヘッダー フィールドは、セッション開始プロトコル(SIP)プロキシによって SIP 要求に追加され、SIP ダイアログにおける将来の要求がプロキシ経由でルーティングされるよう強制します。 これにより、ダイアログ内で送信されるメッセージはすべての SIP プロキシを経由し、SIP 要求に Record-Route ヘッダー フィールドが追加されます。 Record-Route ヘッダー フィールドには、プロキシを識別する、グローバルに到達可能な Uniform Resource Identifier(URI)が含まれます。
SIP アプリケーション レベル ゲートウェイ(ALG)は Contact ヘッダーを解析し、Contact ヘッダー内の IP アドレスおよびポート値を使用して、ファイアウォール ピンホールおよびネットワーク アドレス変換(NAT)ドアを作成します。 さらに、SIP ALG では、プロキシ経由でルーティングされる将来のメッセージ用にファイアウォール ピンホールおよび NAT ドアを作成するための Record-Route ヘッダーの解析をサポートします。
Record-Route ヘッダーを解析することにより、SIP ALG では次のシナリオをサポートします。
SIP に対する NAT サポートのイネーブル化
SIP に対する NAT サポートは、デフォルトでポート 5060 でイネーブルになります。 この機能がディセーブルの場合、SIP に対する NAT のサポートを再びイネーブルにするには、この作業を実行します。 SIP に対する NAT サポートをディセーブルにするには、no ip nat service sip コマンドを使用してください。
1. enable
2. configure terminal
3. ip nat service sip {tcp | udp} port port-number
4. end
手順の詳細
SIP インスペクションのイネーブル化
1. enable
2. configure terminal
3. class-map type inspect match-any class-map-name
4. match protocol protocol-name
5. exit
6. policy-map type inspect policy-map-name
7. class type inspect class-map-name
8. inspect
9. exit
10. class class-default
11. end
手順の詳細
ゾーン ペアの設定および SIP ポリシー マップの付加
1. enable
2. configure terminal
3. zone security {zone-name | default}
4. exit
5. zone security {zone-name | default}
6. exit
7. zone-pair security zone-pair-name [source {source-zone-name | self | default} destination [destination-zone-name | self | default]]
8. service-policy type inspect policy-map-name
9. exit
10. interface type number
11. zone-member security zone-name
12. exit
13. interface type number
14. zone-member security zone-name
15. end
手順の詳細
例:SIP に対する NAT サポートのイネーブル化
Device> enable Device# configure terminal Device(config)# ip nat service sip tcp port 5060 Device(config)# end
例:SIP インスペクションのイネーブル化
class-map type inspect match-any sip-class1 match protocol sip ! policy-map type inspect sip-policy class type inspect sip-class1 inspect ! class class-default
例:ゾーン ペアの設定および SIP ポリシー マップの付加
zone security zone1 ! zone security zone2 ! zone-pair security in-out source zone1 destination zone2 service-policy type inspect sip-policy ! interface gigabitethernet 0/0/0 zone security zone1 ! interface gigabitethernet 0/1/1 zone security zone2
NAT およびファイアウォールに対する SIP ALG 強化に関するその他の関連資料
関連資料
関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| NAT 設定 |
『IP Addressing: NAT Configuration Guide』 |
ファイアウォールの設定 |
『Security Configuration Guide: Zone-Based Policy Firewall』 |
NAT コマンド |
|
ファイアウォール コマンド |
|
NAT およびファイアウォール ALG サポート |
『NAT and Firewall ALG and AIC Support on Cisco ASR 1000 Series Aggregation Services Routers』マトリクス |
標準および RFC
標準/RFC |
タイトル |
|---|---|
RFC 3261 |
『SIP: Session Initiation Protocol』 |
シスコのテクニカル サポート
説明 |
リンク |
|---|---|
| シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
NAT およびファイアウォールに対する SIP ALG 強化の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
|---|---|---|
| NAT およびファイアウォールに対する SIP ALG 強化 |
Cisco IOS XE Release 3.8S |
NAT およびファイアウォールに対する SIP ALG 強化機能では、既存の NAT およびファイアウォールに対する SIP ALG サポートよりも優れたメモリ管理および RFC 準拠を提供します。 |