ここでは、外部 OCS のエンタープライズ導入とフェデレーションを実行する
IM and Presence Service ノードの設定例を示します。 ローカルなエンタープライズ導入の場合は、さらに 2 つのクラスタ間 IM and Presence Service ノードがあります。
この設定例では、次の値が使用されます。
-
IM and Presence Service のパブリック IP アドレス = 10.10.10.10
-
IM and Presence Service のプライベート ルーティング IP アドレス = 1.1.1.1
-
IM and Presence Service のプライベート セカンド ルーティング IP アドレス = 2.2.2.2
-
IM and Presence Service のプライベート サード IP アドレス = 3.3.3.3
-
IM and Presence Service のピア認証リスナー ポート = 5062
-
ネットマスク = 255.255.255.255
-
外部ドメイン = abc.com
-
Microsoft OCS 外部インターフェイス = 20.20.20.20
次の PAT コマンドが(ルーティング)IM and Presence Service ノード用に定義されています。
(Cisco
Adaptive Security Appliance Release 8.2:)
static (inside,outside) tcp 10.10.10.10 5061 1.1.1.1 5062 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 5080 1.1.1.1 5080 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 5060 1.1.1.1 5060 netmask 255.255.255.255
(Cisco
Adaptive Security Appliance Release 8.3:)
nat (inside,outside) source static obj_host_1.1.1.1 obj_host_10.10.10.10 service obj_tcp_source_eq_5061 obj_tcp_source_eq_5062
nat (inside,outside) source static obj_host_1.1.1.1 obj_host_10.10.10.10 service obj_tcp_source_eq_5080 obj_tcp_source_eq_5080
nat (inside,outside) source static obj_host_1.1.1.1 obj_host_10.10.10.10 service obj_tcp_source_eq_5060 obj_tcp_source_eq_5060
エンタープライズ導入の場合、さらに 2 つのクラスタ間 IM and Presence Service ノード用に次の PAT コマンドを定義します。
(
Cisco Adaptive Security Appliance Release 8.2:)
static (inside,outside) tcp 10.10.10.10 45080 2.2.2.2 5080 netmask 255.255.255.255
static (inside,outside) udp 10.10.10.10 55070 3.3.3.3 5070 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 55070 3.3.3.3 5070 netmask 255.255.255.255
static (inside,outside) udp 10.10.10.10 45062 2.2.2.2 5062 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 55062 3.3.3.3 5062 netmask 255.255.255.255
(Cisco
Adaptive Security Appliance Release 8.3:)
nat (inside,outside) source static obj_host_2.2.2.2 obj_host_10.10.10.10 service obj_tcp_source_eq_5080 obj_tcp_source_eq_45080
nat (inside,outside) source static obj_host_3.3.3.3 obj_host_10.10.10.10 service obj_tcp_source_eq_5070 obj_tcp_source_eq_55070
nat (inside,outside) source static obj_host_3.3.3.3 obj_host_10.10.10.10 service obj_udp_source_eq_5070 obj_udp_source_eq_55070
nat (inside,outside) source static obj_host_2.2.2.2 obj_host_10.10.10.10 service obj_tcp_source_eq_5062 obj_tcp_source_eq_45062
nat (inside,outside) source static obj_host_3.3.3.3 obj_host_10.10.10.10 service obj_tcp_source_eq_5062 obj_tcp_source_eq_55062
この設定に対応するアクセス リストを次に示します。 フェデレーションを行う外部ドメインごとに、ドメイン abc.com 用に次のようなアクセス リストを追加する必要があります。
(Cisco
Adaptive Security Appliance Release 8.2:)
access-list ent_imp_to_abc extended permit tcp host 1.1.1.1 host 20.20.20.20 eq 5061
access-list ent_abc_to_imp extended permit tcp host 20.20.20.20 host 10.10.10.10 eq 5061
access-list ent_second_imp_to_abc extended permit tcp host 2.2.2.2 host 20.20.20.20 eq 5061
access-list ent_third_imp_to_abc extended permit tcp host 3.3.3.3 host 20.20.20.20 eq 5061
access-list ent_abc_to_second_imp extended permit tcp host 20.20.20.20 host 10.10.10.10 eq 45061
access-list ent_abc_to_third_imp extended permit tcp host 20.20.20.20 host 10.10.10.10 eq 55061
(Cisco
Adaptive Security Appliance Release 8.3:)
access-list ent_imp_to_abc extended permit tcp host 1.1.1.1 host 20.20.20.20 eq 5061
access-list ent_abc_to_imp extended permit tcp host 20.20.20.20 host 1.1.1.1 eq 5062
access-list ent_second_imp_to_abc extended permit tcp host 2.2.2.2 host 20.20.20.20 eq 5061
access-list ent_third_imp_to_abc extended permit tcp host 3.3.3.3 host 20.20.20.20 eq 5061
access-list ent_abc_to_second_imp extended permit tcp host 20.20.20.20 host 2.2.2.2 eq 5062
access-list ent_abc_to_third_imp extended permit tcp host 20.20.20.20 host 3.3.3.3 eq 5062
クラス マップにそれぞれのアクセス リストを関連付けます。
class-map ent_imp_to_abc
match access-list ent_imp_to_abc
class-map ent_abc_to_imp
match access-list ent_abc_to_imp
class-map ent_second_imp_to_abc
match access-list ent_second_imp_to_abc
class-map ent_third_imp_to_abc
match access-list ent_third_imp_to_abc
class-map ent_abc_to_second_imp
match access-list ent_abc_to_second_imp
class-map ent_abc_to_third_imp
match access-list ent_abc_to_third_imp
作成した各クラス マップのグローバル ポリシー マップを更新します。 この例では、IM and Presence Service から開始される TLS 接続の TLS プロキシ インスタンスは "imp_to_external" です。また、外部ドメインから開始される TLS 接続の TLS プロキシ インスタンスは "external_to_imp" です。
policy-map global_policy
class ent_imp_to_abc
inspect sip sip_inspect tls-proxy ent_imp_to_external
policy-map global_policy
class ent_abc_to_imp
inspect sip sip_inspect tls-proxy ent_external_to_imp
policy-map global_policy
class ent_second_imp_to_abc
inspect sip sip_inspect tls-proxy ent_imp_to_external
policy-map global_policy
class ent_third_imp_to_abc
inspect sip sip_inspect tls-proxy ent_imp_to_external
policy-map global_policy
class ent_abc_to_second_imp
inspect sip sip_inspect tls-proxy ent_external_to_imp
policy-map global_policy
class ent_abc_to_third_imp
inspect sip sip_inspect tls-proxy ent_external_to_imp