Cisco Intercompany Media Engine(
Cisco IME)ソリューションは、IME ルートの動的学習と、組織間でのコール シグナリングおよびメディアの安全な暗号化を実現する複数のコンポーネントで構成されています。 コンポーネントには
Cisco IME サーバ、
Cisco Unified Communications Manager サーバ、
Cisco Intercompany Media Engine 有効 ASA、GoDaddy.com Web サイトからの証明書などがあります。
Cisco IME サーバは加入者宅内の非武装地帯(DMZ)に存在し、自動化されたプロビジョニング サービスとして機能します。 サーバは特定の電話番号への VoIP(または
Cisco IME)ルートを学習し、ルートを
Cisco Unified Communications Manager にプッシュします。
Cisco Unified Communications Manager サーバは Validation Access Protocol(VAP)という独自のプロトコルによって
Cisco IME サーバに接続します。
Cisco Unified Communications Manager は、コール処理機能すべてを標準の
Cisco Unified Communications Manager 導入として実行します。
Cisco Intercompany Media Engine 有効 ASA は、
Cisco Intercompany Media Engine ソリューションに周辺のセキュリティを提供します。 GoDaddy.com Web サイトでは、
Cisco IME サーバのリングが作成するピアツーピア ネットワークへの参加に必要な証明書を取得できます。
次の図に、
Cisco Intercompany Media Engine ネットワークのコンポーネントを示します。
図 3.
Cisco Intercompany Media Engine コンポーネント
以降の項で、
Cisco IME の各コンポーネントについて詳しく説明します。
Cisco Intercompany Media Engine(ピア)サーバ
DMZ 内に位置する
Cisco IME サーバは、Validation Access Protocol(VAP)によって
Cisco Unified Communications Manager サーバと通信し、他の
Cisco IME サーバとはインターネットを介して通信します。
Cisco IME サーバは協働して、公衆インターネット経由の IME 分散キャッシュ リングを作成するピアツーピア ネットワークを形成します。
IME 分散キャッシュ リング内の各
Cisco IME サーバは、リングが所有するデータの一部を格納します。 データは暗号化され、データを格納する
Cisco IME サーバが内容を読み取れないようになっています。 リング上の各
Cisco IME が、データをリングに格納し、リングからデータを取得することが可能です。 リングに格納されるダイヤル イン(DID)番号は、DHT に格納される前に一方向ハッシュされます。
Cisco IME サーバはコール制御を行いません。
Cisco IME サーバはダイヤル イン(DID)番号を IME 分散キャッシュ リングに格納し、リングから
Cisco Intercompany Media Engine に提供されるリモート DID へのルートを学習します。
Cisco IME のローカル管理とメンテナンスは、コマンドライン インターフェイス(CLI)を通じて行います。
Cisco Intercompany Media Engine(ブートストラップ)サーバ
Cisco IME の動作は、シスコが管理する一群のブートストラップ サーバに依存します。 ブートストラップ サーバは、どのピア サーバが IME 分散キャッシュ リングに加われるかを決定します。 ブートストラップ サーバは設定情報を配布します。 シスコがブートストラップ サーバ上で設定変更を行うと、変更はリング全体に伝搬され、他のすべてのノードの設定が更新されます。
Cisco Unified Communications Manager
Cisco Unified Communications Manager は
Cisco IME サーバから学習した VoIP ルートを格納し、
Cisco IME ソリューションのコール処理機能すべてを提供します。
Cisco Unified Communications Manager の管理ページは
Cisco Unified Communications Manager で
Cisco IME 機能を使用するためのプロビジョニングを助けます。
Cisco Unified Communications Manager の管理ページでは、
Cisco IME サーバ、
Cisco IME の使用を許可する電話番号、信頼するドメインなどを指定します。 パラメータを指定して、コール品質が許容レベル以下になった場合に
Cisco IME コールを公衆電話交換網(PSTN)にフォールバックさせることも可能です。
ASA
Cisco Intercompany Media Engine 対応の適応型セキュリティ アプライアンス(ASA)は
Cisco IME ソリューションのセキュリティの中核を担います。
Cisco Intercompany Media Engine 有効 ASA は、コール制御とメディアのインターフェイスをセキュアにします。
Cisco Intercompany Media Engine プロキシと同時に使用することで、ASA は周辺のセキュリティ機能を提供し、SIP トランク間の SIP シグナリングを検査します。
Cisco Intercompany Media Engine 有効 ASA は、具体的には次の機能を実行します。
-
SIP アプリケーション レベル ゲートウェイ(ALG):
Cisco Intercompany Media Engine 有効 ASA を通過する SIP シグナリング メッセージを検査します。
Cisco Intercompany Media Engine 有効 ASA は、SDP とさまざまな SIP ヘッダー フィールドを適用して、ネットワーク アドレス変換(NAT)が有効なケースを扱います。 SIP ALG はまた、メディア ストリームのためのピンホールを空けて(またはバインドを作成して)、メディアのフローの
Cisco Intercompany Media Engine 対応 ASA への出入りを可能にします。
-
SIP メッセージ検証:SIP メッセージが
Cisco Unified Communications Manager やネットワーク内の他のコンポーネントをクラッシュさせないようにします。
Cisco Intercompany Media Engine 有効 ASA は、Uniform Resource Identifier(URI)を許可するキー ヘッダー フィールドを解析し、検証します。
Cisco Intercompany Media Engine 有効 ASA は、SIP ステート ダイアグラムに準拠していないメッセージをブロックします。
-
SIP から SIP/TLS へ:
Cisco Unified Communications Manager がセキュア モードでない場合に、インターネットへの SIP/TLS 接続を終了し、
Cisco Unified Communications Manager への TCP だけの接続を再度開始します。
Cisco Unified Communications Manager がセキュア モードの場合、
Cisco Intercompany Media Engine 有効 ASA は
Cisco Unified Communications Manager への TLS 接続を開始します。
Cisco Intercompany Media Engine 有効 ASA は TLS プロキシとして動作するようになり、
Cisco Unified Communications Manager で SIP メッセージの参照や処理が行えるようになります。
Cisco Intercompany Media Engine 有効 ASA は、既知の認証局(CA)に対して遠端側エンタープライズから発行された証明書を検証します。
-
NAT:ASA は、インターネットとの使用でしばしば必要となる NAT と SIP ALG の機能を提供します。
-
RTP/SRTP:SRTP キーを作成し、コールの他端に送られる暗号化シグナリングを含めることで、
Cisco Intercompany Media Engine 有効 ASA の内側の RTP を、
Cisco Intercompany Media Engine 有効 ASA のインターネット側 SRTP に変換します。
-
チケットの検証:
Cisco IME チケットのヘッダーを検査し、
Cisco Unified Communications Manager へのシグナリングすべてがチケット内の情報に基づいて許可されていることを確認します。
Cisco Intercompany Media Engine 有効 ASA は、有効なチケットのない要求すべてを拒否します。
-
RTP のモニタリング:RTP ストリームの Quality of Service(QoS)をモニタします。
システムを設定することで、
Cisco IME トラフィックは
Cisco Intercompany Media Engine 有効 ASA を経由して送信し、他の企業トラフィックは既存の ASA を経由して送信するようにできます。 詳細については、配置モデルを参照してください。
登録サーバ(GoDaddy.com)
GoDaddy.com は
Cisco Intercompany Media Engine(
Cisco IME)サーバが
Cisco IME ピアツーピア ネットワークに参加できるようにするための証明書を提供します。 ライセンスを購入して
Cisco IME サーバにインストールした後、GoDaddy.com の Web サイトで
Cisco IME 証明書を購入します。 証明書購入プロセスでは、GoDaddy で
Cisco IME を一意で識別するために
Cisco IME サーバ ID を提供する必要があります。 GoDaddy がサーバを有効と判定した場合、GoDaddy は
Cisco IME サーバの証明書を返します。 証明書によって、分散キャッシュ リングを形成する
Cisco IME サーバ間の TLS 接続が可能になります。