ネットワーク設定
ここでは、Web インターフェイスの [システム(System)] メニューに表示されるネットワーク サービスと設定に関連するオプションについて説明します。これらのオプションによって、IP 設定、ファイアウォール ルール、侵入からの保護、Expressway が使用する外部サービス(DNS、NTP、SNMP など)といった、Expressway が存在するネットワークに関連する設定を行うことができます。
イーサネット設定
(注) |
このページで設定する速度は、Cisco Expressway 物理アプライアンス上で稼働するシステムにのみ適用されます。仮想マシン(VM)ベースのシステムには適用されません。VM システムに対して示される接続速度は無効であり、基礎となる物理 NIC の実際の速度とは関係なく常に 10000 Mb/s として表示されます。これは、VM では物理 NIC から実際の速度を取得できないためです。 |
「イーサネット(Ethernet)」ページ(
)には、Expressway とその接続先イーサネットネットワークとの間の接続速度が表示されます。Expressway では自動ネゴシエーションのみがサポートされるため、[速度(Speed)] は常に [自動(Auto)] に設定されます。Expressway とこれに接続されているスイッチは、接続の速度とデュプレックス モードを自動的にネゴシエートします。IP の設定
「IP」ページ(
)を使用して、Expressway の IP プロトコルとネットワーク インターフェイスの設定を行います。IP プロトコルの設定
Expressway が IPv4 と IPv6 のどちらを使用するか、あるいは IP プロトコル スイートの両方のバージョンを使用するかを設定できます。デフォルトは [両方(Both)] です。
-
[IPv4 のみ(IPv4 only)]:IPv4 アドレスを使用したエンドポイントからの登録のみを許可し、IPv4 で通信する 2 つのエンドポイント間のコールのみを受け入れます。IPv4 でのみ他のシステムと通信します。
-
[IPv6 のみ(IPv6 only)]:IPv6 アドレスを使用したエンドポイントからの登録のみを許可し、IPv6 で通信する 2 つのエンドポイント間のコールのみを受け入れます。IPv6 でのみ他のシステムと通信します。
-
[両方(Both)]:IPv4 または IPv6 のいずれかのアドレスを使用したエンドポイントからの登録を許可し、どちらのプロトコルを使用したコールでも受け入れます。IPv4 のみのエンドポイントと IPv6 のみのエンドポイント間のコールの場合は、Expressway が IPv4 から IPv6 へのゲートウェイとして機能します。他のシステムとはいずれかのプロトコルで通信します。
一部のエンドポイントは IPv4 と IPv6 の両方をサポートしますが、Expressway に登録するときにエンドポイントが使用できるプロトコルは 1 つのみです。エンドポイントに Expressway の IP アドレスを指定するために使用した形式によって、どちらのプロトコルを使用するかが決定します。IPv4 または IPv6 のいずれかを使用してエンドポイントを登録すると、Expressway はこのアドレッシング スキームを使用してコールのみを送信します。別のアドレッシング スキームを使用した別のデバイスからのそのエンドポイントへのコールは Expressway によって変換されます(ゲートウェイ機能)。
Expressway で設定されたすべての IPv6 アドレスは、/64 ネットワーク プレフィックス長があるものとして処理されます。
IPv4 と IPv6 のインターワーキング
Expressway は IPv4 デバイスと IPv6 デバイス間のコールのゲートウェイとして機能します。この機能を有効にするには、[IP プロトコル(IP protocol)] に [両方(Both)] を選択します。Expressway が IPv4 から IPv6 へのゲートウェイとして機能するコールはトラバーサル コールであるため、リッチ メディア セッション ライセンスが必要です。
IP ゲートウェイ
Expressway が使用するデフォルトの [IPv4 ゲートウェイ(IPv4 gateway)] と [IPv6 ゲートウェイ(IPv6 gateway)] を設定できます。これらは、Expressway のローカル サブネットの範囲内にない IP アドレスに対して IP 要求を送信するゲートウェイです。
-
デフォルトの [IPv4 ゲートウェイ(IPv4 gateway)] は 127.0.0.1 です。デフォルトを変更する場合は、コミッション プロセス時に変更する必要があります。
-
入力されている場合、[IPv6 ゲートウェイ(IPv6 gateway)] はスタティック グローバル IPv6 アドレスである必要があります。リンクローカルまたはステートレス自動設定(SLAAC)IPv6 アドレスを指定することはできません。
LAN の設定
Expressway のプライマリ ネットワーク ポートは LAN 1 です。このポートに [IPv4 アドレス(IPv4 address)] と [サブネットマスク(subnet mask)]、[IPv6 アドレス(IPv6 address)] と [最大転送単位(MTU)(Maximum transmission unit (MTU))] を構成できます。Expressway は、両方の LAN ポートにデフォルトの IP アドレス 192.168.0.100 が設定された状態で出荷されます。これにより、Expressway をネットワークに接続し、デフォルトのアドレスを使用してアクセスすることで、リモートから設定できます。
入力されている場合、[IPv6 アドレス(IPv6 address)] はスタティック グローバル IPv6 アドレスである必要があります。リンクローカルまたはステートレス自動設定(SLAAC)アドレスを指定することはできません。
デフォルトでは、[最大転送単位(MTU)(Maximum transmission unit (MTU))] は 1,500 バイトに設定されます。
高度なネットワーキングが有効になっている場合は、LAN 2 ポートに対してもこれらのオプションを設定できます。
ネットワーク上の重複 IPv4 アドレスの検出
ネットワーク内の重複 IPv4 アドレスの検出は、有効になっているすべての LAN インターフェイスで 300 秒(5 分)ごとに実行されます。重複する IPv4 アドレスが検出されると、アラームが発生します。特定のインターフェイスで発生したアラームは、競合が解決されてから 5 分以内に引き下げられます。この重複アドレスは、ユーザーインターフェイスおよび CLI コマンドで確認できます。このコマンドは、重複する IPv4 アドレスのみを検出します。IPv6 アドレスは検出されません。
専用管理インターフェイス
Expressway の DMI を有効にする場合は、次の方法を実行します。
手順
ステップ 1 |
[専用管理インターフェイスの使用(Use Dedicated Management Interface)] を [はい(Yes)] に設定します。 |
ステップ 2 |
[LAN3 - DMI] セクションで、次を実行します。
|
ステップ 3 |
システムを再起動します。これらの変更を有効にするには、再起動が必要です。 これで、DMI が管理トラフィック用のインターフェイスとして LAN3 でアクティブ化されました。DMI を管理用の唯一のインターフェイスとして使用する場合は、次のタスクに進みます。 |
次のタスク
DMI 単独のインターフェイス作成
(オプション)DMI を唯一のインターフェイスにする - サーバ管理トラフィック
Expressway がサーバである場合に、このタスクを使用して、管理トラフィックに DMIを使用します。
-
これは、管理サービス(Web ユーザインターフェイス、REST API、CLI)または SNMP に対して実行できます。DMI 専用に設定するサービスに応じて、次の手順のいずれかまたは両方を実行します。
-
ページに進み、[設定(Configuration)] セクションで、[専用管理インターフェイスのみを使用する(Use Dedicated Management Interface)] を [はい(Yes)] に設定します。
-
に進み、[サービス(Services)] セクションで、[管理インターフェイスのみを使用する(管理用)(Use Dedicated Management Interface only (for administration))] を [はい(Yes)] に設定します。
-
-
変更を Web ユーザインターフェイスと API に適用するにはシステムを再起動する必要があります。再起動するまで LAN1/LAN2 からアクセスできる状態が維持されます。変更は、再起動に関係なく、コマンドライン インターフェイス(SSH)および SNMP サービスに対して即時に有効になります。
指定された管理サービスに、DMI/LAN3 ポートからのみアクセスできるようになりました。
(注) |
Expressway では、管理サービスが DMI を唯一のインターフェイスとして使用するように設定されている間は、この DMI を無効にすることはできません。 |
(オプション)DMI を唯一のインターフェイスにする - サブネット外のクライアント管理トラフィック
Expressway ソフトウェアのバージョンに応じて、Expressway がクライアントとして動作する管理トラフィックでは、ターゲットサーバが DMI/LAN3 ポートと同じサブネット内にある場合にのみ、トラフィックを DMI に送信できます。リリースノートをチェックして、この問題が適用されるのか確認してください。適用される場合、LAN3 と同じサブネットにサーバを導入できない場合は、オプションで、サービスごとに LAN3 用のスタティック IP ルートを設定することで、Expressway 管理トラフィックに DMI の使用を強制できます。
高度なネットワーキングおよびデュアルネットワークインターフェイスについて
高度なネットワーキング機能を使用すると、Expressway-E の LAN 2 イーサネット ポートを有効にして、Expressway のセカンダリ IP アドレスを取得できます。この機能には Expressway-E がスタティック NAT デバイスの背後にある導入環境に対するサポートも含まれているため、個別のパブリック IP アドレスとプライベート IP アドレスを取得できます。
デュアル ネットワーク インターフェイスの設定
デュアルネットワークインターフェイスは 、Expressway-E システムでのみサポート されています。Expressway-C では展開できません。
デュアル ネットワーク インターフェイスは、Expressway-E が個別のネットワーク セグメント上にある 2 つの個別ファイアウォール間の DMZ に存在する導入環境用のインターフェイスです。このような導入環境では、ルータが内部ネットワーク上のデバイスが IP トラフィックをパブリック インターネットにルーティングできないようにしますが、その代わりに、トラフィックは Expressway-E などのアプリケーション プロキシを通過する必要があります。
デュアルネットワークインターフェイスを有効にするには
始める前に
-
LAN 1 ポートを設定し、Expressway を再起動してから LAN 2 ポートを設定してください。
-
LAN 1 インターフェイスと LAN 2 インターフェイスは、重複しない別のサブネット上にある必要があります。
-
Expressway-E が DMZ にある場合、Expressway-E の外部 IP アドレスはパブリック IP アドレスである必要があります。また、スタティック NAT モードが有効になっている場合は、スタティック NAT アドレスにパブリック ネットワークからアクセス可能である必要があります。
-
また、Expressway-E を企業内の内部ファイアウォールを通過するために使用することができます。この場合、"「パブリック」"IP アドレスはパブリックネットワークからアクセスできませんが、企業内の別の部分へのアクセスが可能な IP アドレスです。
-
インターフェイスの一方または両方の IP アドレスを変更する必要がある場合は、UI または CLI を使用して変更することができます。必要に応じて、両方を同時に変更できます。また、新しいアドレスは、再起動後に有効になります。
手順
ステップ 1 |
[デュアル ネットワーク インターフェイスを使用する(Use dual network interfaces)] を [はい(Yes)] に設定します。 |
ステップ 2 |
[外部 LAN インターフェイス(External LAN interface)] 設定では、インターフェイスとして [LAN2] を選択します。 外部インターフェイスのスタティック NAT を有効にする選択を行えるようになりました。この設定はどのポートが TURN サーバ リレーを割り当てるかを決定します。 トラブルシューティングのヒント: |
スタティック NAT の設定
スタティック NAT デバイスの背後に Expressway-E を導入して、パブリック IP アドレスとプライベート IP アドレスを個別に取得できるようにします。この機能は、Expressway-E が DMZ 内にあり、高度なネットワーキング機能が有効にされた展開環境で使用することを目的としています。
このような展開環境では、プライベート IPv4 アドレスとパブリック IPv4 アドレスの両方を使用するために、外向きの LAN ポートで NAT が有効にされいます。内向きの LAN ポートではスタティック NAT が有効にされないため、単一の IP アドレスを使用します。このような導入環境においては、Expressway-E の内向きの IP アドレスを使用するようにトラバーサル クライアントを設定する必要があります。
静的 NAT を有効にするには
手順
ステップ 1 |
[IPv4アドレス(IPv4 address)] フィールドに、ポートのプライベート IP アドレスを入力します。 |
ステップ 2 |
[IPv4スタティックNATモード(IPv4 static NAT mode)] を [オン(On)] に設定します。 |
ステップ 3 |
[IPv4 スタティック NAT アドレス(IPv4 static NAT address)] フィールドに、ポートのパブリック IP アドレスを入力します。これは、(NAT 要素外部での)アドレス変換後の IP アドレスです。 |
IPv6 モードの機能と制限
Expressway の IP インターフェイスを [IPv6 のみ(IPv6 Only)] モードに設定すると、これらのインターフェイスは IPv6 のみを使用します。これらは他のシステムとの通信に IPv4 を使用せず、IPv4 と IPv6 の間(デュアル スタック)でインターワーキングを行いません。
サポートされている IPv6 の明示的な機能
-
Expressway 登録された IPv6 エンドポイント間のコール。
-
DiffServ トラフィック クラス(TC)のタギング。
-
TURN サーバ(Expressway-E 上)。
-
自動侵入防御。
-
DNS ルックアップ。
-
ポートの使用およびステータス ページ。
-
モバイル&リモートアクセス(MRA)
サポートされている RFC
-
RFC 2460:Internet Protocol, Version 6 (IPv6) Specification(この仕様のうち、スタティック グローバル アドレスのみを実装)。
-
RFC 2464:Transmission of IPv6 Packets over Ethernet Networks。
-
RFC 3596:DNS Extensions to Support IP Version 6。
-
RFC 4213:Basic Transition Mechanisms for IPv6 Hosts and Routers。
-
RFC 4291:IP Version 6 Addressing Architecture。
-
RFC 4443:Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification。
-
RFC 4861:Neighbor Discovery for IP version 6 (IPv6)。
-
RFC 5095:Deprecation of Type 0 Routing Headers in IPv6。
-
RFC 6156:Traversal Using Relays around NAT (TURN) Extension for IPv6。
IPv6 モードの既知の制限
-
IPv6 アドレスはスタティックである必要があります。これらは、リンクローカルまたは SLAAC アドレスにはなれません。
-
IP アドレスまたはそのゲートウェイの IP アドレスを変更した場合は、Expressway を再起動する必要があります。
-
分散証明書失効リストからの失効ステータスの取得は、IPv6 モードではサポートされません。
DNS の設定
[DNS] ページ(
)を使用して、Expressway の DNS サーバと DNS を設定します。システム ホスト名とドメイン名の設定
[システム ホスト名(System host name)] で、この Expressway を表す DNS ホスト名を定義します。
-
システム ホスト名はクラスタ内の各ピアに一意である必要があります。
-
リモートログサーバ上の Expressway を識別するために使用します([システムホスト名(System host name)] を指定しない場合は、デフォルト名の"「TANDBERG」"が使用されます。)
-
名前には、英字、数字、ハイフン、下線のみを使用できます。最初の文字は英字、最後の文字は英字または数字にする必要があります。
[ドメイン名(Domain name)] は、非修飾サーバ アドレス(例:ldapserver)の解決を試みるときに使用されます。クエリが DNS サーバに送信される前に、非修飾サーバ アドレスの末尾に追加されます。サーバアドレスが完全修飾の場合(ldapserver.mydomain.com など)、または IP アドレスの形式である場合は、DNS サーバに問い合わせるまではサーバアドレスの後ろにドメイン名は追加されません。ドメイン名は次の Expressway 設定に適用されます。
-
LDAP サーバ
-
NTP サーバ
-
外部マネージャ サーバ
-
リモート ロギング サーバ
すべてのサーバ アドレスには IP アドレスまたは FQDN(完全修飾ドメイン名)を使用することをお勧めします(Expressway の FQDN は、システムのホスト名とドメイン名をつなげた形式になります)。
SIP メッセージングへの影響
システムのホスト名とドメイン名は、SIP メッセージングでのこの Expressway への参照を識別するためにも使用されます。この場合、エンドポイントではその SIP プロキシとして、Expressway を(推奨されていない IP アドレス形式ではなく)FQDN 形式で設定しています。
この場合、たとえばエンドポイントに設定されている FQDN が Expressway に設定されているシステム ホスト名とドメイン名とが一致しなければ、Expressway は INVITE 要求を拒否します。
(注) |
SIP プロキシ FQDN は、エンドポイントが Expressway に送信した SIP 要求のルートヘッダーに組み込まれているために、このチェックが行われます。 |
カスタム ドメイン検索
[ドメイン検索(Search domains)] 設定は、外部ホストが Expressway-C とは異なる DNS ドメイン内にあり、非修飾ホスト名が設定されているエッジ展開に適しています。必要に応じて、この設定を使用して 1 つ以上の DNS ドメインを指定できます。Expressway は、指定されたドメインを 1 つずつ非修飾ホスト名に追加し、作成された FQDN を DNS でクエリします。DNS から IP アドレスが返されるまで、このプロセスが繰り返されます。つまり、ホスト間の接続を設定する際は、FQDN を入力する必要はありません。
複数のアドレスはスペースで区切ります。
DNS 要求
デフォルトでは、DNS 要求はシステムのエフェメラル ポート範囲にあるランダム ポートを使用します。その代わりに、必要に応じて、[DNS 要求のポート範囲(DNS requests port range)] を [カスタムポート範囲を使用(Use a custom port range)] に設定してから、[DNS 要求のポート範囲の開始(DNS requests port range start)] フィールドと [DNS 要求のポート範囲の終了(DNS requests port range end)] フィールドを定義することによって、カスタム ポート範囲を指定できます。
(注) |
設定したソースポート範囲が狭いと、DNS スプーフィング攻撃に対する脆弱性が高まります。 |
DNS サーバ アドレスの設定
次の場合は、アドレス解決のために 1 つ以上の DNS サーバをクエリするように指定する必要があります。
-
外部アドレスの指定時に、IP アドレスではなく FQDN を使用する場合(LDAP および NTP サーバや、ネイバー ゾーン、ピアなど)。
-
URI ダイヤリングや ENUM ダイヤリングなどの機能を使用する場合。
デフォルトの DNS サーバ
最大 5 つのデフォルトの DNS サーバを指定できます。Expressway は一度に 1 つのサーバをクエリします。そのサーバが利用不可の場合、Expressway はリスト内の別のサーバを試します。
サーバを指定する順序は重要ではありません。Expressway は、最後に利用可能であることが既知となったサーバを優先します。
ドメイン単位の DNS サーバ
5 つのデフォルトの DNS サーバに加え、指定したドメインに 5 つの明示的 DNS サーバを指定できます。これは、特定のドメイン階層が明示的部署にルーティングされる必要がある場合、導入で役に立ちます。
追加するドメイン別 DNS サーバの各アドレスに、最大 2 つのドメイン名を指定できます。これらのドメインでの DNS クエリは、デフォルト DNS サーバではなく、指定した DNS サーバに転送されます。
ドメインごとの冗長サーバを指定するには、ドメインごとの DNS サーバ アドレスをさらに追加し、そのアドレスを同じドメイン名に関連付けます。これらのドメインに対する DNS 要求は両方の DNS サーバに同時に送信されます。
特定のホスト名の要求に、どのドメインネーム サーバ(DNS サーバ)が応答しているかを確認するには、DNS ルックアップツール( )を使用します。
転送プロトコル
Expressway は UDP と TCP を使用して DNS 解決を行います。DNS サーバからは、通常、UDP とTCP 応答が送られます。UDP 応答が 512 バイトの UDP メッセージ サイズの制限を超えていると、Expressway は UDP 応答を処理できません。一般に、これが問題になることはありません。Expressway は代わりに TCP 応答を処理できるためです。
ただし、ポート 53 での TCP インバウンドをブロックしている場合、UDP 応答のサイズが 512 バイトを超えていると、Expressway は DNS からの応答を処理できません。この場合、DNS ルックアップ ツールを使用しても結果は表示されず、要求したアドレスを必要とするすべての操作は失敗します。
DNS レコードのキャッシング
DNS ルックアップをキャッシュすることでパフォーマンスを向上させることができます。DNS 設定が変更されるたびに、キャッシュが自動的に消去されます。必要に応じて、[DNS キャッシュの消去(Flush DNS cache)] をクリックして強制的に消去することもできます。
DSCP / Quality of Service の設定
DSCP マーキングについて
X8.9 から、Expressway では Mobile & Remote Access を含む、ファイアウォールを通過するトラフィックに対する、改善された DSCP(DiffServ コード ポイント)パケット マーキングがサポートされます。DSCP は、パケットの QoS レベルの測定です。トラフィックの優先順位付けに対してきめ細かい制御を提供するために、DSCP 値はこれらの個々のトラフィック タイプに対して送信(マーキング)されます。
トラフィックのタイプ(Traffic type) |
提供されたデフォルト値 |
Web UI フィールド |
---|---|---|
ビデオ |
34 |
QoS Video |
音声 |
46 |
QoS Audio |
XMPP |
24 |
QoS XMPP |
シグナリング |
24 |
QoS Signaling |
X8.9 以前は、すべてのシグナリングとメディア トラフィックにまとめて DSCP 値を適用する必要がありました。
必要に応じて、
の Web UI ページ(または [CLI])から、デフォルトの DSCP 値を変更できます。注:
-
DSCP 値"「0」"は標準のベストエフォートサービスを指定します。
-
DSCP マーキングは SIP と H.323 トラフィックに適用されます。
-
TURN トラフィックが実際に Expressway により処理される場合は、DSCP マーキングは TURN メディアに適用されます。
-
メディアタイプが特定できない場合、トラフィックタイプ"「ビデオ」"がデフォルトで割り当てられます。(たとえば、異なるメディア タイプが同じポートに多重化されている場合です)。
既存の QoS/DSCP コマンドと API の廃止
(注) |
X8.9 から QoS/DSCP 値を指定する、以前の方法をサポートしていません。以前の Web UI 設定の QoS モードおよび QoS 値、CLI コマンド |
現在これらのコマンドを使用している場合
Expressway をアップグレードするときに、定義された既存の QoS の値は新規フィールドに自動的に適用され、提供されたデフォルトを置き換えます。たとえば、値 20 を定義したら、4 つの DSCP すべての設定(QoS Audio、QoS Video、QoS XMPP、QoS Signaling)も 20 に設定されます。
ダウングレードはサポートされません。アップグレード前のソフトウェア バージョンに戻る必要があると、QoS の設定は、最初に提供されるデフォルト値にリセットされます。つまり、QoS モードは [なし(None)] に、QoS 値は [0] に設定されます。手動で、使用する値を定義し直す必要があります。
DSCP 値の設定
必要に応じて、指定された DSCP のデフォルト値を変更するには、[QoS(Quality of Service)] ページ( )に移動し、使用する新しい値を指定します。
スタティック ルート
Expressway から IPv4 または IPv6 のアドレス範囲へのスタティック ルートを定義できます。
に移動します。このページでは、スタティック ルートを表示、追加、削除できます。
[高度なネットワーキング(Advanced Networking)] オプションを使用して DMZ に Expressway を導入する場合は、スタティック ルートが必要になることがあります。また、他の複雑なネットワーク導入環境でも必要になることがあります。
スタティック ルートの追加:
手順
ステップ 1 |
この Expressway からの新しいスタティックルートの基本宛先アドレスを入力します。 203.0.113.0 または 2001:db8:: などと入力します。 |
||
ステップ 2 |
範囲を定義するプレフィックス長を入力します。 この例を拡張する場合、24 と入力して IPv4 範囲の 203.0.113.0 ~ 203.0.113.255 を定義するか、または 32 と入力して IPv6 範囲の 2001:db8:: ~ 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff を定義します。 アドレス範囲フィールドに、IP アドレスとプレフィックス長から Expressway が計算した範囲が表示されます。 |
||
ステップ 3 |
新しいルート用にゲートウェイの IP アドレスを入力します。 |
||
ステップ 4 |
新しいルートのイーサネットインターフェイスを選択します。 このオプションは、2 つ目のイーサネット インターフェイスが有効な場合にのみ、使用できます。[LAN 1] または [LAN 2] を選択してそのインターフェイスを介したルートを適用するか、[自動(Auto)] を選択して Expressway がいずれのインターフェイスでもこのルートをとれるようにします。 |
||
ステップ 5 |
をクリックします。 新しいスタティック ルートがテーブルに表示されます。必要に応じて、このテーブルからルートを削除できます。
|