ファイアウォール トラバーサルについて
ファイアウォールは、ネットワークに着信する IP トラフィックを制御することを目的としています。ファイアウォールは一般に、未承諾の着信要求をブロックします。つまり、ネットワーク外から発信されたすべてのコールが阻止されます。ただし、信頼できる特定の宛先への発信要求を許可したり、それらの宛先からの応答を許可するようにファイアウォールを設定できます。これが、すべてのファイアウォールのセキュアなトラバーサルを可能にするためにシスコの Expressway テクノロジーが用いている原則です。
Expressway ソリューション
Expressway ソリューションは次のように構成されています。
-
ファイアウォール トラバーサル サーバとして機能し、パブリック ネットワーク上のファイアウォールの外側または DMZ 内にある Expressway-E。
-
ファイアウォール トラバーサル クライアントとして機能し、プライベート ネットワーク内にある Expressway-C またはその他のトラバーサル対応のエンドポイント。
2 つのシステムは連携して、2 つの間のすべての接続が発信される環境を構築します。つまり、クライアントからサーバに確立されます。また、ファイアウォールを正常に通過することができます。
チェーン接続されたファイアウォール トラバーサル
企業間の Expressway 展開では、ファイアウォール トラバーサル チェーンを設定できます。Expressway-E は、トラバーサル サーバとして機能するだけでなく、別の Expressway-E へのトラバーサル クライアントとしても機能します。
たとえば、(図に示すように)2 つの Expressway-E をチェーン化した場合、最初の Expressway-E は Expressway-C のトラバーサル サーバです。その最初の Expressway-E は、2 番目の Expressway-E のトラバーサル クライアントでもあります。2 番目の Expressway-E は最初の Expressway-E のトラバーサル サーバです。
(注) |
|
推奨事項と前提条件
(注) |
Expressway-E と Expressway-C の両方で同じバージョンのソフトウェアを実行することを推奨します。 |
ファイアウォールが区別できないため、Expressway-E と Expressway-C に共有アドレスを使用しないでください。Expressway-E で IP アドレッシングにスタティック NAT を使用する場合は、Expressway-C 上の NAT が同じトラフィックの IP アドレスの解決を行わないことを確認します。Expressway-E と Expressway-C 間の共有 NAT アドレスはサポートされません。
動作の仕組み
トラバーサル クライアントは、トラバーサル サーバ上の指定ポートへの接続をファイアウォールを介して常に維持します。この接続は、クライアントがパケットを定期的にサーバへ送信することでアライブ状態が保持されます。トラバーサル サーバがトラバーサル クライアント宛の着信コールを受信すると、この既存の接続を使用して着信コール要求をクライアントに送信します。次に、クライアントはコール メディアまたは署名、あるいはその両方に必要なアウトバウンド接続を開始します。
この処理により、ファイアウォールの観点からはすべての接続がファイアウォール内部のトラバーサルクライアントからトラバーサル サーバに開始されることが保証されます。
ファイアウォール トラバーサルを正しく機能させるには、各クライアント システム用に Expressway-E 上で、Expressway-E に接続するクライアント システムごとに 1 つのトラバーサル サーバを設定する必要があります(これには、Expressway-E に直接登録するトラバーサル対応のエンドポイントは含まれません。これらの接続の設定値は別の方法で設定します)。同様に、各 Expressway クライアントには 1 つのトラバーサル クライアント ゾーンが必要です。これは、接続先のサーバごとに設定する必要があります。
クライアントとサーバ ゾーンの各ペアに設定するポートとプロトコルは同じである必要があります。各システムに必要な設定の概要については、「トラバーサルクライアントとサーバの設定」を参照してください。Expressway-E は特定のポート上のクライアントからの接続をリッスンするため、Expressway-C でトラバーサル クライアント ゾーンを作成する前に、Expressway-E でトラバーサル サーバ ゾーンを作成することを推奨します。
トラバーサルクライアントとトラバーサルサーバは両方とも Cisco Expressway システムである必要があります(どちらにも Cisco VCS は使用できません)。
エンドポイント トラバーサル テクノロジーの要件
ファイアウォールトラバーサルをサポートするための"遠端"(家庭やホテルなど)エンドポイントの要件の概要を以下に示します。
-
H.323 の場合、エンドポイントで Assent、または H460.18 および H460.19 をサポートする必要があります。
-
SIP の場合、エンドポイントは標準的な SIP のみをサポートする必要があります。
-
登録メッセージで Expressway に対して"遠端"のファイアウォール ポートを開いたままにし、そのエンドポイントにメッセージを送信します。Expressway はファイアウォールの背後にあるエンドポイントからのメディアを待機してから、その同じポート上のエンドポイントにメディアを返します。つまり、エンドポイントは同じポートでのメディア転送や受信をサポートする必要がありません。
-
また、Expressway は SIP アウトバウンドもサポートしています。これは、登録メッセージ全体を使用するオーバーヘッドなしにファイアウォールを開いたままにする代替方法です。
-
-
SIP エンドポイントと H.323 エンドポイントは Expressway-E に登録できます。または、SIP ポートや H.323 ポートを介して Expressway-E と通信できるようにローカル "DMZ" ファイアウォールで該当するポートを開いている場合、それらのエンドポイントは Expressway-E のみにコールを送信できます。
また、エンドポイントは ICE を使用して、エンドポイント間のメディア通信に最適な(エンドポイントにとって最適な)パスを検出することもできます。メディアはエンドポイントからエンドポイントへと直接送信したり、エンドポイントから宛先のファイアウォールの外部 IP アドレスを経由して宛先のエンドポイントに送信したり、エンドポイントから TURN サーバを経由して宛先のエンドポイントに送信したりできます。
-
Expressway がメディアを通過する必要がない場合(IPv4/IPv6 変換や SIP/H.323 変換の必要がないなど)、Expressway はコールの ICE をサポートします。通常これは、ICE をサポートできる 2 つのエンドポイントが Expressway-E クラスタと直接通信することを意味します。
-
Expressway-E は独自の組み込み TURN サーバを使用して ICE 対応のエンドポイントをサポートします。
H.323 ファイアウォール トラバーサル プロトコル
Expressway は、H.323 用の 2 つの異なるファイアウォール トラバーサル プロトコルである Assent と H.460.18/H.460.19 をサポートします。
-
Assent はシスコ独自のプロトコルです。
-
H.460.18 と H.460.19 は ITU 標準規格で、署名およびメディアのファイアウォール トラバーサルにそれぞれプロトコルを定義します。これらの標準規格は、元の Assent プロトコルに基づいています。
トラバーサル サーバとトラバーサル クライアントが通信するには、同じプロトコルを使用する必要があります。2 つのプロトコルはそれぞれが別の範囲のポートを使用します。
SIP ファイアウォール トラバーサル プロトコル
Expressway は、メディアの SIP ファイアウォール トラバーサル用の Assent プロトコルをサポートします。
クライアントからサーバへと確立された TCP/TLS 接続を通じてシグナリングが通過します。
メディアの逆多重化
Expressway-E は、次のようなシナリオでメディアの逆多重化を使用します。
-
Assent を使用するように設定されたトラバーサル ゾーンを通じて Expressway-C が送受信する H.323 または SIP のコール レッグ
-
逆多重化モードで H460.19 を使用するように設定されたトラバーサルサーバゾーンを通じて Expressway-C が送受信する H.323 のコールレッグ。
-
Expressway-E と Assent または H.460.19 対応のエンドポイント間の H.323 のコールレッグ。
Expressway-E は SIP エンドポイント(Assent または H.460.19 をサポートしないエンドポイント)が直接送受信するコール レッグに対して、または、トラバーサル サーバ ゾーンが逆多重化モードで H.460.19 を使用するように設定されていない場合は、非逆多重化メディアを使用します。
Expressway-E のメディア逆多重化ポートは、一般的な範囲のトラバーサル メディア ポートから割り当てられます。これは、H.323 か SIP かに関係なく、すべての RTP/RTCP メディアに適用されます。
デフォルトのメディアトラバーサルポートの範囲は 36000 ~ 59999 です。Expressway-C では
で設定できます。大規模 Expressway システムでは、その範囲の最初の 12 ポート(デフォルトでは、36000 ~ 36011)は多重化トラフィック用に常に予約されています。Expressway-E はそれらのポートでリッスンします。大規模システムでは逆多重化リスニング ポートの範囲を明示的に設定することはできません。常にメディア ポート範囲内の最初の 6 ペアが使用されます。小規模/中規模のシステムでは、Expressway-E で多重化 RTP/RTCP トラフィックをリッスンする 2 つのポートを明示的に指定できます( )。特定のペアのポートを設定しない場合([設定された逆多重化ポートを使用する(Use configured demultiplexing ports)] が [いいえ(No)])、Expressway-E はメディア トラバーサル ポート範囲内のポートの最初のペアでリッスンします(デフォルトでは 36000 と 36001)。(注) |
[設定済みの逆多重化ポートを使用(Use configured demultiplexing ports)] 設定を変更するには、システムを再起動して変更を有効にする必要があります。 |
たとえば、Expressway-C と Expressway-E のペアを通じての企業内から自宅のエンドポイントへの SIP コールでは、発生する逆多重化のみが Expressway-C に対向する Expressway-E ポートで実行されます。
企業のエンドポイント |
|
Expressway-C |
|
Expressway-E |
|
自宅のエンドポイント |
||
非 逆多重化 |
非 逆多重化 |
逆多重化 |
非 逆多重化 |
|||||
RTP ポート |
36002 |
36004 |
36000 |
36002 |
||||
RTCP ポート |
36003 |
36005 |
36001 |
36003 |
ただし、同じ Expressway-C/Expressway-E を通じた企業内から自宅の Assent 対応の H.323 エンドポイントへの H.323 コールは、Expressway-E の両側で逆多重化を実行します。
企業のエンドポイント |
|
Expressway-C |
|
Expressway-E |
|
自宅のエンドポイント |
||
非 逆多重化 |
非 逆多重化 |
逆多重化 |
逆多重化 |
|||||
RTP ポート |
36002 |
36004 |
36000 |
36000 |
||||
RTCP ポート |
36003 |
36005 |
36001 |
36001 |
Expressway-E で高度なネットワーキングを使用している場合も上記と同じポート番号を使用しますが、それらのポート番号は内部 IP アドレスと外部 IP アドレスに割り当てられます。