vTCP と NAT/ファイアウォールおよび ALG との関係
Cisco ASR 1000 シリーズ ルータで RTSP をイネーブルにして vTCP を有効化
例:Cisco ASR 1000 シリーズ ルータでの RTSP コンフィギュレーション
Virtual Transport Control Protocol(vTCP)機能は、Transport Control Protocol(TCP; 伝送制御プロトコル)セグメンテーションを適切に処理し、Cisco ファイアウォール、Network Address Translation(NAT; ネットワーク アドレス変換)、およびその他のアプリケーションでセグメントを解析するため、各種 Application Layer Gateway(ALG; アプリケーション層ゲートウェイ)プロトコル用のフレームワークを提供します。
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「vTCP for ALG サポートに関する機能情報」を参照してください。
プラットフォーム サポートと Cisco ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
Cisco IOS XE Release 3.1 以降の Cisco IOS XE ソフトウェア リリースをシステムで実行している必要があります。最新版の NAT またはファイアウォール ALG を設定している必要があります。
vTCP は、データ チャネル トラフィックをサポートしません。システム リソースを保護するため、vTCP は 8K を超えるメッセージの再構成をサポートしません。
vTCP は Hardware Availability(HA; ハードウェア アベイラビリティ)機能をサポートしません。HA は、主にファイアウォールまたは NAT に依存して、スタンバイ フォワーディング エンジンとのセッション情報を同期します。
vTCP は、現在のところ、Real Time Streaming Protocol(RTSP; リアルタイム ストリーミング プロトコル)と Domain Name System(DNS; ドメイン ネーム システム)プロトコルをサポートしています。将来のリリースでは、Session Initiation Protocol(SIP)、H323、Skinny プロトコルに対する vTCP サポートが追加される予定です。
• 「vTCP と NAT/ファイアウォールおよび ALG との関係」
レイヤ 7 プロトコルは TCP を使用してデータ転送を行い、ペイロードは Maximum Segment Size(MSS; 最大セグメント サイズ)、アプリケーション設計、TCP ウィンドウ サイズなどのさまざまな理由によりセグメント化が可能です。解析を実行するには、これらの TCP セグメントを適切に認識することが必要です。したがって、TCP セグメンテーションに対処するため、vTCP と呼ばれる汎用フレームワークがさまざまな ALG で使用されます。
SIP や NAT などの一部のアプリケーションでは、埋め込みデータを書き直すためにペイロード全体が必要になります。加えて、現在の ALG は、ファイアウォールで必要となるパケット間のデータ分割を考慮していません。そのため、vTCP は、現在の ALG に変更を加えずにファイアウォールに対処することが必要になります。NAT およびファイアウォール ALG コンフィギュレーションにより、vTCP 機能が有効になります。
vTCP は 2 つの TCP ホストに存在するため、TCP セグメントを他のホストに送信するまで一時的に保存するためのバッファ スペースが必要です。この処理中、vTCP はデータ送信がホスト間で適切に行われていることを保証します。これを行うため、vTCP は送信ホストに対して TCP 確認応答(ACK)を行います(さらにデータが必要な場合)。このプロセスとは別に、vTCP は TCP フローの始めから受信側ホストから送信される ACK を追跡し、確認応答されたデータを注意深くモニタします。
vTCP は、TCP セグメントを再構成します。着信セグメントの IP および TCP ヘッダー情報は、確実に送信されるように vTCP バッファに保存されます。
NAT 対応アプリケーションの発信セグメントの長さに変更が生じていないかをモニタできます。vTCP は最後のセグメントのデータ長を長くするか、新しいセグメントを作成して、追加のデータを伝送することができます。新しく作成されたセグメントの IP または TCP ヘッダーは、オリジナルの着信セグメントから派生したものです。IP ヘッダーの合計の長さと TCP ヘッダーのシーケンス番号は、必要に応じて調整されます。
ALG は、NAT およびファイアウォールのサブコンポーネントです。NAT とファイアウォールのいずれにも、ダイナミックに ALG を連結させるためのフレームワークがあります。ファイアウォールで L7 インスペクションが実行されると、または NAT で L7 フィックスアップが実行されると、ALG によって登録された解析機能が呼び出され、ALG がパケット インスペクションを引き継ぎます。vTCP は、NAT またはファイアウォールと、これらのアプリケーションを使用する ALG との間に介入します。言い換えると、パケットはまず vTCP によって処理されてから、ALG に渡されます。vTCP は、TCP 接続内で両方向の TCP セグメントを再構成します。
RTSP、DNS、NAT、およびファイアウォール コンフィギュレーションでは、デフォルトで vTCP 機能が有効になります。そのため、vTCP 機能を有効にするための新しいコンフィギュレーションは必要ありません。
• 「Cisco ASR 1000 シリーズ ルータで RTSP をイネーブルにして vTCP を有効化」
3. class-map type inspect match-any class-map-name
4. match protocol protocol-name
6. policy-map type inspect policy-map-name
7. class type inspect class-map-name
16. zone-pair security zone-pair-name source source - zone-name destination destination - zone-name
17. service-policy type inspect policy-map-name
20. zone-member security zone-name1
表 1 に、この機能のリリース履歴を示します。
プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
この機能は、Cisco ASR 1000 シリーズ ルータ上で Cisco IOS XE ソフトウェアのファイアウォールおよび NAT ALG の TCP セグメンテーションおよび再構成を処理するための拡張機能を提供します。 |