SIP フェデレーション用の PAT コマンドとアクセス リストの構成例
このセクションでは、外部 OCS エンタープライズ展開とフェデレートしている IM および Presence サービス ノードの設定例を示します。ローカル エンタープライズ展開には、2 つの追加のクラスタ間 IM および Presence サービス ノードがあります。
以下の値は、以下のサンプル例で使用されています。
-
パブリック IM および Presence サービス IP アドレス = 10.10.10.10
-
プライベート ルーティング IM および Presence サービス IP アドレス = 1.1.1.1
-
プライベート セカンド IM および Presence サービス IP アドレス = 2.2.2.2
-
プライベート サード IM および Presence サービス IP アドレス = 3.3.3.3
-
IM および Presence サービスのピア認証リスナー ポート= 5062
-
Netmask = 255.255.255.255
-
外部ドメイン = abc.com
-
Microsoft OCS 外部インターフェイス = 20.20.20.20
次の PAT コマンドは、(ルーティング) IM および Presence サービス ノードに対して定義されます。
(Cisco 適応型セキュリティ アプライアンス リリース 8.2:)
static (inside,outside) tcp 10.10.10.10 5061 1.1.1.1 5062 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 5080 1.1.1.1 5080 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 5060 1.1.1.1 5060 netmask 255.255.255.255
(Cisco 適応型セキュリティ アプライアンス リリース 8.3:)
nat (inside,outside) source static obj_host_1.1.1.1 obj_host_10.10.10.10 service obj_tcp_source_eq_5061 obj_tcp_source_eq_5062
nat (inside,outside) source static obj_host_1.1.1.1 obj_host_10.10.10.10 service obj_tcp_source_eq_5080 obj_tcp_source_eq_5080
nat (inside,outside) source static obj_host_1.1.1.1 obj_host_10.10.10.10 service obj_tcp_source_eq_5060 obj_tcp_source_eq_5060
次の PAT コマンドは、エンタープライズ展開の 2 つの追加のクラスタ間 IM および Presence サービス ノードに対して定義されます。
(Cisco 適応型セキュリティ アプライアンス リリース 8.2:)
static (inside,outside) tcp 10.10.10.10 45080 2.2.2.2 5080 netmask 255.255.255.255
static (inside,outside) udp 10.10.10.10 55070 3.3.3.3 5070 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 55070 3.3.3.3 5070 netmask 255.255.255.255
static (inside,outside) udp 10.10.10.10 45062 2.2.2.2 5062 netmask 255.255.255.255
static (inside,outside) tcp 10.10.10.10 55062 3.3.3.3 5062 netmask 255.255.255.255
(Cisco 適応型セキュリティ アプライアンス リリース 8.3:)
nat (inside,outside) source static obj_host_2.2.2.2 obj_host_10.10.10.10 service obj_tcp_source_eq_5080 obj_tcp_source_eq_45080
nat (inside,outside) source static obj_host_3.3.3.3 obj_host_10.10.10.10 service obj_tcp_source_eq_5070 obj_tcp_source_eq_55070
nat (inside,outside) source static obj_host_3.3.3.3 obj_host_10.10.10.10 service obj_udp_source_eq_5070 obj_udp_source_eq_55070
nat (inside,outside) source static obj_host_2.2.2.2 obj_host_10.10.10.10 service obj_tcp_source_eq_5062 obj_tcp_source_eq_45062
nat (inside,outside) source static obj_host_3.3.3.3 obj_host_10.10.10.10 service obj_tcp_source_eq_5062 obj_tcp_source_eq_55062
この構成に対応するアクセス リストを次に示します。フェデレーションする外部ドメインごとに、ドメイン abc.com のアクセス リストと同様のアクセス リストを追加する必要があることに注意してください。
(Cisco 適応型セキュリティ アプライアンス リリース 8.2:)
access-list ent_imp_to_abc extended permit tcp host 1.1.1.1 host 20.20.20.20 eq 5061
access-list ent_abc_to_imp extended permit tcp host 20.20.20.20 host 10.10.10.10 eq 5061
access-list ent_second_imp_to_abc extended permit tcp host 2.2.2.2 host 20.20.20.20 eq 5061
access-list ent_third_imp_to_abc extended permit tcp host 3.3.3.3 host 20.20.20.20 eq 5061
access-list ent_abc_to_second_imp extended permit tcp host 20.20.20.20 host 10.10.10.10 eq 45061
access-list ent_abc_to_third_imp extended permit tcp host 20.20.20.20 host 10.10.10.10 eq 55061
(Cisco 適応型セキュリティ アプライアンス リリース 8.3:)
access-list ent_imp_to_abc extended permit tcp host 1.1.1.1 host 20.20.20.20 eq 5061
access-list ent_abc_to_imp extended permit tcp host 20.20.20.20 host 1.1.1.1 eq 5062
access-list ent_second_imp_to_abc extended permit tcp host 2.2.2.2 host 20.20.20.20 eq 5061
access-list ent_third_imp_to_abc extended permit tcp host 3.3.3.3 host 20.20.20.20 eq 5061
access-list ent_abc_to_second_imp extended permit tcp host 20.20.20.20 host 2.2.2.2 eq 5062
access-list ent_abc_to_third_imp extended permit tcp host 20.20.20.20 host 3.3.3.3 eq 5062
各アクセス リストをクラス マップに関連付けます。
class-map ent_imp_to_abc
match access-list ent_imp_to_abc
class-map ent_abc_to_imp
match access-list ent_abc_to_imp
class-map ent_second_imp_to_abc
match access-list ent_second_imp_to_abc
class-map ent_third_imp_to_abc
match access-list ent_third_imp_to_abc
class-map ent_abc_to_second_imp
match access-list ent_abc_to_second_imp
class-map ent_abc_to_third_imp
match access-list ent_abc_to_third_imp
作成した各クラス マップのグローバル ポリシー マップを更新します。この例では、IM および Presence サービスによって開始された TLS 接続の TLS プロキシ インスタンスは「 "imp_to_external"」と呼ばれ、外部ドメインによって開始された TLS 接続の TLS プロキシ インスタンスは「external_to_imp」と呼ばれます。
policy-map global_policy
class ent_imp_to_abc
inspect sip sip_inspect tls-proxy ent_imp_to_external
policy-map global_policy
class ent_abc_to_imp
inspect sip sip_inspect tls-proxy ent_external_to_imp
policy-map global_policy
class ent_second_imp_to_abc
inspect sip sip_inspect tls-proxy ent_imp_to_external
policy-map global_policy
class ent_third_imp_to_abc
inspect sip sip_inspect tls-proxy ent_imp_to_external
policy-map global_policy
class ent_abc_to_second_imp
inspect sip sip_inspect tls-proxy ent_external_to_imp
policy-map global_policy
class ent_abc_to_third_imp
inspect sip sip_inspect tls-proxy ent_external_to_imp