Cisco 4700 シリーズ Application Control Engine Appliance Device Manager GUI コンフィギュレー ション ガイド
トラフィック ポリシーの設定
トラフィック ポリシーの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

トラフィック ポリシーの設定

クラス マップおよびポリシー マップの概要

クラス マップ

ポリシー マップ

レイヤ 3 およびレイヤ 4 ポリシー マップのパラメータ マップおよびその使用方法

アプリケーション プロトコル インスペクションの概要

仮想コンテキスト クラス マップの作成

クラス マップの削除

クラス マップの一致条件の設定

レイヤ 3/4 ネットワーク トラフィックのクラス マップに関する一致基準の設定

レイヤ 3/4 管理トラフィックのクラス マップに関する一致条件の設定

レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件の設定

一般的なサーバ ロード バランシングのクラス マップに関する一致条件の設定

RADIUS サーバ ロード バランシングのクラス マップに関する一致条件の設定

RTSP サーバ ロード バランシングのクラス マップに関する一致条件の設定

SIP サーバ ロード バランシングのクラス マップに関する一致条件の設定

レイヤ 7 HTTP ディープ パケット インスペクションのクラス マップに関する一致条件の設定

レイヤ 7 FTP コマンド インスペクションのクラス マップに関する一致条件の設定

レイヤ 7 SIP ディープ パケット インスペクションのクラス マップに関する一致条件の設定

仮想コンテキスト ポリシー マップの作成

ポリシー マップの規則およびアクションの設定

レイヤ 3/4 ネットワーク トラフィックのポリシー マップ規則およびアクションの設定

レイヤ 3/4 管理トラフィックのポリシー マップ規則およびアクションの設定

レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定

一般的なサーバ ロード バランシングのポリシー マップ規則およびアクションの設定

RADIUS サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

RTSP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

SIP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

RDP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

レイヤ 7 HTTP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定

レイヤ 7 FTP コマンド インスペクションのポリシー マップ規則およびアクションの設定

レイヤ 7 SIP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定

レイヤ 7 Skinny ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定

レイヤ 7 HTTP 最適化のポリシー マップ規則およびアクションの設定

文字列式の照合に使用できる特殊文字

アクション リストの設定

HTTP ヘッダー修正アクション リストの設定

HTTP ヘッダーの挿入、削除、および書き換えの設定

SSL URL 書き換えの設定

トラフィック ポリシーの設定

ACE Appliance Device Manager を使用すると、ACE Applianceで受信するトラフィックや通過するトラフィックをフィルタリングする、グローバルな分類レベルのクラス マップやポリシー マップを作成できます。作成したトラフィック ポリシーは、ACE Applianceに関連付けている 1 つ以上の Virtual LAN(VLAN; 仮想 LAN)インターフェイスに割り当てることで、一致するトラフィックに特定の機能を持ったアクションを割り当てることができます。ACE Applianceは、個々のトラフィック ポリシーを使用して、次のような機能を実装します。

Secure Shell(SSH; セキュア シェル)または Telnet を使用したリモート アクセス

サーバ ロード バランシング

Network Address Translation(NAT; ネットワーク アドレス変換)

Hyper Text Transfer Protocol(HTTP)トラフィックの最適化

HTTP ディープ パケット インスペクション、アプリケーション プロトコル インスペクション、File Transfer Protocol (FTP) コマンド インスペクション、Skinny Client Control Protocol(SCCP)ディープ パケット インスペクション、Session Initiation Protocol(SIP)インスペクション

Web ブラウザ(クライアント)と HTTP 接続間の Secure Socket Layer(SSL)セキュリティ サービス

TCP 終端、正規化、再利用

IP の正規化およびフラグメントの再構成

関連トピック

「クラス マップおよびポリシー マップの概要」

「仮想コンテキスト クラス マップの作成」

「クラス マップの一致条件の設定」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

「アクション リストの設定」

クラス マップおよびポリシー マップの概要

クラス マップを使用すると、ACE Applianceを宛先とする、または通過するインバウンド ネットワーク トラフィックを指定した一連のフロー一致基準に基づいて分類できます。各クラス マップでは、トラフィック分類、つまり自身に関係するネットワーク トラフィックを定義します。ポリシー マップでは、分類された 1 組のインバウンド トラフィックに適用する、一連のアクション(機能)を定義します。

クラス マップでは、次の基準に基づいたネットワーク トラフィックが分類されます。

レイヤ 3 およびレイヤ 4 トラフィック フロー情報:送信元または宛先 IP アドレス、送信元または宛先ポート、VIP アドレス、および IP プロトコル、IP ポート、管理プロトコル

レイヤ 7 プロトコル情報:HTTP cookie、HTTP URL、HTTP ヘッダー、HTTP コンテンツ、FTP 要求コマンド、Remote Authentication Dial-In User Service(RADIUS)、Remote Desktop Protocol(RDP)、Real Time Streaming Protocol(RTSP)、Skinny、SIP

表 10-1 に、ACE で使用できるポリシーを示します。

 

表 10-1 トラフィック ポリシー

ポリシー マップ
説明

レイヤ 3/4 管理トラフィック(First-Match)

ACE で受信するネットワーク管理トラフィックのためのレイヤ 3 および レイヤ 4 ポリシー マップ

レイヤ 3/4 ネットワーク トラフィック(First-Match)

ACE を通過するトラフィックのためのレイヤ 3 および レイヤ 4 ポリシー マップ

レイヤ 7 コマンド インスペクション - FTP(First-Match)

FTP コマンドを検査するためのレイヤ 7 ポリシー マップ

レイヤ 7 ディープ パケット インスペクション - HTTP(All-Match)

HTTP パケットを検査するためのレイヤ 7 ポリシー マップ

レイヤ 7 ディープ パケット インスペクション - SIP(All-Match)

SIP パケットを検査するためのレイヤ 7 ポリシー マップ

レイヤ 7 ディープ パケット インスペクション - Skinny

Skinny Client Control Protocol (SCCP)検査のためのレイヤ 7 ポリシー マップ

レイヤ 7 HTTP 最適化(First-Match)

HTTP トラフィックを最適化するためのレイヤ 7 ポリシー マップ

レイヤ 7 サーバ ロード バランシング(First-Match)

HTTP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

サーバ ロード バランシング - 汎用(First-Match)

サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

サーバ ロード バランシング - RADIUS(First-Match)

RADIUS サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

サーバ ロード バランシング - RDP(First-Match)

RDP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

サーバ ロード バランシング - RTSP(First-Match)

RTSP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

トラフィックの分類は 3 つのプロセスから成り立っています。

1. クラス マップの作成:レイヤ 3 と レイヤ 4 のトラフィック分類またはレイヤ 7 のプロトコル分類に関係した一致基準をまとめています。

2. ポリシー マップの作成:トラフィックの一致基準に基づいて実行するためにクラス マップを参照し一連のアクションを特定します。

3. ポリシー マップの有効化:ACE Applianceへのトラフィックをフィルタリングする仮想コンテキスト グローバル トラフィック ポリシーを作成することで、コンテキストに関連した特定の VLAN インターフェイスに、またはすべての VLAN インターフェイスへグローバルにポリシー マップを割り当てます。

トラフィック ポリシーを定義するコンポーネントについては、次の概要トピックで説明します。

「クラス マップ」

「ポリシー マップ」

「レイヤ 3 およびレイヤ 4 ポリシー マップのパラメータ マップおよびその使用方法」

「アプリケーション プロトコル インスペクションの概要」

「仮想コンテキスト グローバル トラフィック ポリシーの設定」

クラス マップ

クラス マップは、レイヤ 3 およびレイヤ 4 トラフィック クラスとレイヤ 7 プロトコル クラスの各タイプを定義します。クラス マップを作成することで、ACE Applianceで送受信されるトラフィックを分類できます。

レイヤ 3 および レイヤ 4 トラフィック クラスには、ACE Applianceを通過する IP ネットワーク トラフィック、または ACE Applianceで受信するネットワーク管理トラフィックを特定できる一致基準が記述されています。

レイヤ 7 プロトコル専用クラスは、HTTP トラフィックに基づいたサーバ ロード バランシング、HTTP トラフィックのディープ インスペクション、ACE ApplianceでのFTP コマンドのインスペクションを指定します

トラフィック クラスには、次のコンポーネントが含まれています。

クラス マップ名

クラス マップ タイプ

クラス マップの一致基準を定義する 1 つ以上の一致基準

トラフィック クラスで複数の一致ステートメントを指定した場合、ACE Applianceがそれを評価する方法

ACE は、システム全体で 8192 のクラス マップをサポートします。

個々の一致条件は、レイヤ 7 HTTP サーバ ロード バランシングおよびアプリケーション プロトコル指定フィールドと同様、レイヤ 3 やレイヤ 4 のネットワーク トラフィックを分類するための基準を指定しています。ACE Applianceはパケットを評価して、指定されている基準に一致しているかどうかを判断します。ステートメントが一致した場合、ACE Applianceはそのパケットがクラスのメンバであると見なし、トラフィック ポリシーに設定されている仕様に従って転送します。いずれの一致基準にも一致しないパケットは、そのように指定することで、デフォルトのトラフィック クラス メンバとして分類できます。

ACE Applianceでは、ネストされたトラフィック クラスに 2 つのレイヤ 7 HTTP ロード バランシング クラス マップを設定して、1 つのトラフィック クラスを作成できます。複雑な論理式には、レイヤ 7 クラス マップ ネスティングを実行できます。ネストされたクラス マップを別のクラス マップに含めることがないように、ACE Applianceではクラス マップのネストが 2 段階までに制限されます。

関連トピック

「クラス マップおよびポリシー マップの概要」

「ポリシー マップ」

「レイヤ 3 およびレイヤ 4 ポリシー マップのパラメータ マップおよびその使用方法」

「アプリケーション プロトコル インスペクションの概要」

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

ポリシー マップ

ポリシー マップはトラフィック ポリシーを作成します。トラフィック ポリシーの目的は、トラフィック クラスに関連した特定の ACE Appliance機能を実装することにあります。トラフィック ポリシーには、次のコンポーネントが含まれています。

ポリシー マップ名

以前作成されたトラフィック クラス マップ、または任意の Class-default クラス マップ

ACE Applianceが実行すべきアクションを指定する 1 つ以上のレイヤ 3 およびレイヤ 4 のポリシー、またはレイヤ 7 のポリシー

ACE Applianceは、システム全体で最大 4096 のポリシー マップをサポートします。

レイヤ 7 ポリシー マップは常にレイヤ 3 およびレイヤ 4 ポリシー マップ内に関連づけられ、トラフィック分類のエントリ ポイントを提供します。レイヤ 7 ポリシー マップは子ポリシーと見なされ、レイヤ 3 およびレイヤ 4 ポリシー マップ内だけでネストできます。レイヤ 3 およびレイヤ 4 ポリシー マップだけ、VLAN インターフェイス上で有効にできます。レイヤ 7 ポリシー マップをインターフェイス上に直接適用することはできません。たとえば、レイヤ 7 ロード バランシング ポリシー マップを適用する場合、レイヤ 3 およびレイヤ 4 ポリシー マップのアクション タイプを使用して、ロード バランシング ポリシー マップをネストさせる必要があります。

ポリシー マップの一致基準に分類が指定されていなければ、[Use Class Default] オプションで設定されたクラス マップに関わらず、ACE Applianceはデフォルトのクラス マップ(指定されている場合)を使用して指定のデフォルト アクションを実行します。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。[Use Class Default] 機能には、あらゆるトラフィック分類に一致させることができる暗黙の match-any 一致ステートメントがあります。

ACE Applianceは、ポリシー マップ内のクラス マップ順に柔軟性を持たせています。ACE Applianceは、最初に一致したトラフィック分類のアクションだけを実行するため、ポリシー マップ内のクラス マップ順は非常に重要です。ポリシーの参照順は、ACE Applianceのセキュリティ機能に基づいています。ポリシーの参照順はインターフェイスに設定したポリシー順とは関係なく、暗黙的に決められています。

ACE Applianceのポリシー参照順は、次のとおりです。

1. アクセス コントロール(パケットの許可または拒否)

2. 許可または拒否管理トラフィック

3. TCP/UDP 接続パラメータ

4. VIP に基づいたロード バランシング

5. アプリケーション プロトコル インスペクション

6. 送信元 NAT

7. 宛先 NAT

ACE Applianceが特定のポリシーに対応するアクションを適用する順序は、ポリシー内部のクラス マップに設定されているアクションとは無関係です。

関連トピック

「クラス マップおよびポリシー マップの概要」

「ポリシー マップ」

「レイヤ 3 およびレイヤ 4 ポリシー マップのパラメータ マップおよびその使用方法」

「アプリケーション プロトコル インスペクションの概要」

「トラフィック ポリシーの設定」

「仮想コンテキスト ポリシー マップの作成」

レイヤ 3 およびレイヤ 4 ポリシー マップのパラメータ マップおよびその使用方法

パラメータ マップを使用すると、レイヤ 3 およびレイヤ 4 ポリシー マップ内で関連したアクションを組み合わせることができます。たとえば、HTTP のパラメータ マップは、ACE Appliance インターフェイスに入るトラフィックに対し、特定の基準に基づいてアクションを実行するための手段を提供します。基準としては、HTTP ヘッダーや cookie の設定、サーバ接続の再使用、HTTP ヘッダーや cookie または URL が設定済み最大長を超えると実行されるアクションなどが使用されます。

ACE Applianceではポリシー マップを使用することによって、クラス マップとパラメータ マップを組み合わせてトラフィック ポリシーを生成し、ポリシーに設定された基準と一致するトラフィックに対して特定の設定済みアクションを実行します。

使用できる ACE Appliance パラメータ マップのリストについては、表 6-1 を参照してください。

関連トピック

「パラメータ マップの設定」

「クラス マップおよびポリシー マップの概要」

「クラス マップ」

「ポリシー マップ」

「レイヤ 3 およびレイヤ 4 ポリシー マップのパラメータ マップおよびその使用方法」

「アプリケーション プロトコル インスペクションの概要」

アプリケーション プロトコル インスペクションの概要

アプリケーションによっては、パケットが ACE を通過する際、そのデータに特別な処理をする必要があります。アプリケーション プロトコル インスペクションはプロトコルの動作を検証し、ACE を通過するときに不要なトラフィックや悪意のあるトラフィックを特定します。トラフィック ポリシーの仕様に従って ACE はパケットを受信または拒否し、アプリケーションやサービスの安全性を確保します。

アプリケーションによっては、パケットが ACE Applianceを通過する際、そのデータに特別な処理をする必要があります。アプリケーション プロトコル インスペクションはプロトコルの動作を検証し、ACE Applianceを通過するときに不要なトラフィックや悪意のあるトラフィックを特定します。トラフィック ポリシーの仕様に従って ACE Applianceはパケットを受信または拒否し、アプリケーションやサービスの安全性を確保します。

アプリケーション プロトコル インスペクションは、ACE を設定することで実行できます。アプリケーション プロトコル インスペクションは、次のようなアプリケーションに対してアプリケーション プロトコル「フィックスアップ」と呼ばれることもあります。

データ ペイロードを保持したデータ パケット内に IP アドレス情報を組み込んでいる

ダイナミックに割り当てられたポートのセカンダリ チャネルをオープンする

宛先サーバにパケットを通過させる前の最初の段階で、Domain Name System(DNS; ドメイン ネーム システム)、FTP(ファイル転送プロトコル)、H.323、HTTP、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)、Internet Locator Service(ILS)、Real-Time Streaming Protocol (RTSP)、Skinny Client Control Protocol (SCCP)、Session Initiation Protocol (SIP) などのアプリケーション インスペクションを ACE に実行させなければならない場合があります。HTTP の場合、ACE は HTTP プロトコルをステートフルにモニタするためにディープ パケット インスペクションを実行し、ユーザ定義のトラフィック ポリシーに従ってトラフィックを許可または拒否します。HTTP ディープ パケット インスペクションは、HTTP ヘッダーやその URL、ペイロードなど主に HTTP 属性を処理します。FTP の場合、ACE は FTP セッションに FTP コマンド インスペクションを実行するため、特定のコマンドを制限できます。

アプリケーション インスペクションにより、TCP や UDP フロー内の埋め込み IP アドレス情報の位置を特定できます。これにより、ACE は埋め込み IP アドレスを変換処理できるようになり、変換時に影響するチェックサムや他のフィールドをアップデートします。

プロトコルのペイロード内に埋め込まれた IP アドレスの変換は NAT(ユーザに明確に設定されている場合)やサーバ ロード バランシング(暗黙的な NAT)に特に重要です。

また、アプリケーション インスペクションは TCP や UDP セッションをモニタして、セカンダリ チャネルのポート番号を判断します。プロトコルによっては、パフォーマンスを改善するためにセカンダリ TCP や UDP ポートをオープンにしていることもあります。既知のポート上の最初のセッションでは、ダイナミックに割り当てられたポート番号のネゴシエートが行われます。アプリケーション プロトコル インスペクション機能は、これらのセッションをモニタしてダイナミック ポートの割り当て内容を特定します。以降は、セッション中、これらのポート上でのデータ交換が許可されます。

表 10-2 で、ACE にサポートされているアプリケーション インスペクション プロトコルおよびデフォルトの TCP/UDP プロトコルやポートを説明します。また、プロトコルが NAT や Port Address Translation(PAT)と互換性があるかどうかも説明します。

表 10-2 アプリケーション インスペクションのサポート

アプリケーション
プロトコル
トランスポート
プロトコル
ポート
NAT/
PAT のサポート
デフォルト時の
有効性
標準1
備考/制限

DNS

UDP

送信元:任意

宛先:53

NAT

無効

RFC 1123

宛先ポートが 53 への DNS パケットを検査します。検査する DNS パケットの最大長を指定することができます。

FTP

TCP

送信元:任意

宛先:21

両方

無効

RFC 959

FTP パケットを検査し、ペイロードに埋め込まれたアドレスとポートを変換したあと、データのセカンダリ チャネルをオープンします。

FTP Strict

TCP

送信元:任意

宛先:21

両方

無効

RFC 959

[FTP Strict] フィールドを使用すると、ACE Applianceが各 FTP コマンドと応答シーケンスを追跡できます。また、FTP クライアントは FTP サーバでサポートされている有効なユーザ名を決定できなくなります。

HTTP

TCP

送信元:任意

宛先:80

両方

無効

RFC 2616

HTTP パケットを検査します。

ICMP

ICMP

送信元:なし

宛先:なし

両方

無効

--

ICMP トラフィックに「セッション」を保持させ、TCP や UDP トラフィック同様に検査させることができます。

ICMP エラー

ICMP

送信元:なし

宛先:なし

NAT

無効

--

[ICMP Error] フィールドは、ICMP エラー メッセージの NAT をサポートします。ICMP エラー インスペクションを有効にすると、ACE Applianceは、ICMP エラー メッセージを送信する中間ホップに NAT 設定に基づいて変換セッションを生成します。ACE Applianceは、その変換した IP アドレスでパケットを上書きします。

ILS

TCP

送信元:任意

宛先:389

NAT

無効

RFC 2251
(LDAPv3)

RFC 1777(LDAPv2)のサポートも含みます。

参照要求および応答はサポートされていません。

複数のディレクトリにいるユーザは統合できません。

複数のディレクトリに複数の ID を持った単一のユーザは NAT に認識させることができません。

RTSP

TCP

送信元:任意

宛先:554

NAT

無効

RFC 2326、RFC 2327、RFC 1889

RTSP パケットを検査し、NAT 規則に基づいてペイロードを変換します。ACE は、音声とビデオのセカンダリ チャネルをオープンします。RFC に指定されているすべての RTSP メソッド(パケット タイプ)がサポートされているわけではありません。

SCCP

TCP

送信元:任意

宛先:2000

NAT

無効

--

ACE は、SCCP の PAT をサポートしていません。

SIP

TCP および UDP

送信元:任意

宛先:5060

NAT

無効

RFC 2543、
RFC 3261、
RFC 3265、
RFC 3428

ACE は、SIP の PAT をサポートしていません。

1.ACE はこれらの標準に準拠していますが、検査するパケットに準拠性を強制しているわけではありません。たとえば、特定の順番でサポートされている FTP コマンドですが、ACE ではその順番を強制していません。

関連トピック

「仮想コンテキスト ポリシー マップの作成」

「クラス マップの一致条件の設定」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

仮想コンテキスト クラス マップの作成

クラス マップは、レイヤ 3 およびレイヤ 4 トラフィック クラスとレイヤ 7 プロトコル クラスの各タイプを定義します。クラス マップを作成することで、ACE Applianceで送受信されるトラフィックを分類できます。

レイヤ 3 および レイヤ 4 トラフィック クラスには、ACE Applianceを通過する IP ネットワーク トラフィック、または ACE Applianceで受信するネットワーク管理トラフィックを特定できる一致基準が記述されています。

レイヤ 7 プロトコル専用クラスは、次の内容を特定します。

一般的な HTTP、RADIUS、RTSP、SIP トラフィックに基づいたサーバ ロード バランシング

ディープ インスペクションを行う HTTP または SIP トラフィック

コマンド インスペクションを実行する FTP トラフィック

トラフィック クラスは、次の内容を含んでいます。

クラス マップ名

クラス マップの一致基準を定義する 1 つ以上の一致コマンド

トラフィック クラスに複数の一致コマンドがある場合、ACE Applianceがそれを評価する方法


コンテキストからクラス マップを正常に削除するには、クラス マップがすでに使用されてない必要があります。複数のクラス マップを削除するには、そのすべてが使用されていないことが必要です。複数のクラス マップを削除しようとしてその内のいずれかがまだ使用されていた場合、使用されているクラス マップがあるというメッセージが表示され、すべてのクラス マップの削除が中止されます。まだ使用しているクラス マップを選択肢から削除し、[Delete] をクリックします。こうすることで選択したクラス マップをすべて削除できます。


手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しいクラス マップを追加するか、既存のクラス マップを選択し、 [Edit] をクリックして修正します。

ステップ 3 [Name] フィールドには、クラス マップ番号が自動的に割り当てられます(クラス マップ番号は 1 ずつ増えながら割り当てられます)。番号はそのまま使用することもできます。また、異なる一意の番号を入力することもできます。

ステップ 4 [Class Map Type] フィールドでは、作成するクラス マップ タイプを選択します(表 10-3)。

 

表 10-3 クラス マップ タイプ

クラス マップ
関連事項

レイヤ 3/4 管理トラフィック

「レイヤ 3/4 管理トラフィックのクラス マップに関する一致条件の設定」

レイヤ 3/4 ネットワーク トラフィック

「クラス マップの一致条件の設定」

レイヤ 7 コマンド インスペクション - FTP

「レイヤ 7 FTP コマンド インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 ディープ パケット インスペクション - HTTP

「レイヤ 7 HTTP ディープ パケット インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 ディープ パケット インスペクション - SIP

「レイヤ 7 SIP ディープ パケット インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 サーバ ロード バランシング

「レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - 汎用

「一般的なサーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - RADIUS

「RADIUS サーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - RTSP

「RTSP サーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - SIP

「SIP サーバ ロード バランシングのクラス マップに関する一致条件の設定」

ステップ 5 クラス マップに複数の一致条件が存在する場合、[Match Type] フィールドの [Layer 7 FTP Command Inspection] 以外はすべて、ACE Applianceが使用するメソッドを選択して複数の一致ステートメントを評価します。

[Match-any]:クラス マップに記載されている一致条件が少なくとも 1 つ満たされている場合、クラス マップは一致したことになります。

[Match-all]:クラス マップに記載されているすべての一致条件が満たされた場合だけ、クラス マップが一致したことになります。

ステップ 6 [Description] フィールドに、クラス マップの簡単な説明を入力します。

ステップ 7 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用して、このクラス マップの一致条件を設定します。詳細については、「クラス マップの一致条件の設定」を参照してください。

[Cancel] :入力した内容を保存せずに作業を終了し、[Class Maps] テーブルに戻ります。

[Next] :入力した内容を保存して、他のクラス マップを設定します。


 

関連トピック

「仮想コンテキストの設定」

「クラス マップの削除」

「クラス マップの一致条件の設定」

「仮想コンテキスト ポリシー マップの作成」

クラス マップの削除

コンテキストからクラス マップを正常に削除するには、クラス マップがすでに使用されてない必要があります。複数のクラス マップを削除するには、そのすべてが使用されていないことが必要です。

前提

削除するクラス マップが使用されていない。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 削除するクラス マップを選択し、 [Delete] をクリックします。

複数のクラス マップを削除しようとしてその内のいずれかがまだ使用されていた場合、使用されているクラス マップがあるというメッセージが表示され、すべてのクラス マップの削除が中止されます。まだ使用しているクラス マップを選択肢から削除し、 [Delete] をクリックします。[Class Maps] テーブルが更新され、削除されたクラス マップが表示されなくなります。


 

関連トピック

「クラス マップおよびポリシー マップの概要」

「仮想コンテキスト クラス マップの作成」

クラス マップの一致条件の設定

表 10-4 に、ACE で使用できるクラス マップと一致条件の設定に関するトピックのリンクを示します。

 

表 10-4 クラス マップおよび一致条件

クラス マップ
関連事項

レイヤ 3/4 管理トラフィック

「レイヤ 3/4 管理トラフィックのクラス マップに関する一致条件の設定」

レイヤ 3/4 ネットワーク トラフィック

「レイヤ 3/4 ネットワーク トラフィックのクラス マップに関する一致基準の設定」

レイヤ 7 コマンド インスペクション - FTP

「レイヤ 7 FTP コマンド インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 ディープ パケット インスペクション - HTTP

「レイヤ 7 HTTP ディープ パケット インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 ディープ パケット インスペクション - SIP

「レイヤ 7 SIP ディープ パケット インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 サーバ ロード バランシング

「レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - 汎用

「一般的なサーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - RADIUS

「RADIUS サーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - RTSP

「RTSP サーバ ロード バランシングのクラス マップに関する一致条件の設定」

サーバ ロード バランシング - SIP

「SIP サーバ ロード バランシングのクラス マップに関する一致条件の設定」

レイヤ 3/4 ネットワーク トラフィックのクラス マップに関する一致基準の設定

次の手順に従って、ACE Applianceのレイヤ 3/4 ネットワーク トラフィックのクラス マップに関する一致基準を指定します。

前提

レイヤ 3/4 クラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定するレイヤ 3/4 ネットワーク トラフィックのクラス マップを選択します。このとき、複数のクラス マップを選択して(エントリを選択しながら Shift キーを押します)、共通の一致条件を適用することもできます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップに使用する一致条件のタイプを選択し、表 10-5 での説明に従ってすべての一致仕様属性を設定します。

 

表 10-5 レイヤ 3/4 ネットワーク トラフィックのクラス マップに関する一致条件の属性

[Match Condition Type]
説明

[Access List]

アクセス リストがこの一致条件の一致タイプです。

[Extended ACL] フィールドで ACL を選択し、一致条件として使用します。

[Any]

ACE Applianceを通過するレイヤ 3 またはレイヤ 4 トラフィックであればすべて一致条件を満たします。

[Destination Address]

宛先アドレスがこの一致条件の一致タイプです。

1. [Destination Adress] フィールドに、この一致条件の宛先 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Destination Netmask] フィールドで、宛先 IP アドレスのサブネット マスクを選択します。

[Port]

UDP/TCP ポートまたは UDP/TCP ポート範囲がこの一致条件の一致タイプです。

1. [Port Protocol] フィールドで、一致条件のプロトコルとして TCP または UDP を選択します。

2. [Port Operator] フィールドで、ポートの一致基準を選択します。

[Any]:選択したプロトコルを使用しているポートであればすべて一致条件を満たします。

[Equal To]:選択したプロトコルを使用している特定のポートが一致条件を満たします。

[Port Number] フィールドに、一致させるポートを入力します。有効な値は 0 ~ 65535 の整数です。0 は、ACE Applianceのすべてのポートを意味します。

[Range]:一致条件を満たすには、ポートがポート範囲内にある必要があります。

a.[Lower Port Number] フィールドに、一致条件のポート範囲の最初のポート番号を入力します。

b.[Upper Port Number] フィールドに、一致条件のポート範囲の最後のポート番号を入力します。

有効な入力は 0 ~ 65535 の整数です。0 は、ACE Applianceのすべてのポートを意味します。

[Source Address]

送信元 IP アドレスがこの一致条件の一致タイプです。

1. [Source Address] フィールドに、この一致条件の送信元 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

[Virtual Address]

仮想 IP アドレスがこの一致条件の一致タイプです。

1. [Virtual IP Address] フィールドに、ACE Applianceの VIP サーバ IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Virtual IP Netmask] フィールドで、仮想 IP アドレスのサブネット マスクを選択します。

3. [Virtual Address Protocol] フィールドで、一致条件に使用するプロトコルを選択します。プロトコルおよび個々の番号のリストについては、表 2-13 を参照してください。

選択したプロトコルによっては、追加のフィールドが表示されます。追加のフィールドが表示された場合、次の手順に従って情報を入力してください。

4. [Port Operator] フィールドで、ポートの一致基準を選択します。

[Any]:選択したプロトコルを使用しているポートであればすべて一致条件を満たします。

[Equal To]:選択したプロトコルを使用している特定のポートが一致条件を満たします。

[Port Number] フィールドに、一致させるポートを入力します。有効な入力は 0 ~ 65535 の整数です。0 は、ACE Applianceのすべてのポートを意味します。

[Range]:一致条件を満たすには、ポートがポート範囲内にある必要があります。有効な入力は 0 ~ 65535 の整数です。0 は、ACE Applianceのすべてのポートを意味します。

a.[Lower Port Number] フィールドに、一致条件のポート範囲の最初のポート番号を入力します。

b.[Upper Port Number] フィールドに、一致条件のポート範囲の最後のポート番号を入力します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE Applianceはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :入力した内容を保存して、他の一致条件を設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「レイヤ 3/4 管理トラフィックのクラス マップに関する一致条件の設定」

「レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件の設定」

「仮想コンテキスト ポリシー マップの作成」

「仮想コンテキスト クラス マップの作成」

レイヤ 3/4 管理トラフィックのクラス マップに関する一致条件の設定

次の手順に従って、ACE Applianceで受信するネットワーク管理プロトコルを特定します。

前提

ネットワーク管理のクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定するレイヤ 3/4 管理のクラス マップを選択します。このとき、複数のクラス マップを選択して(エントリを選択しながら Shift キーを押します)、共通の一致条件を適用することもできます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 一致条件を入力します(表 10-6 を参照)。

 

表 10-6 管理クラス マップの一致条件

フィールド
説明

[Sequence Number]

回線番号を 2 ~ 255 の整数で入力します。ここに入力した番号は、優先順位や一致条件のシーケンスとは無関係です。

[Match Condition Type]

[Management] を選択し、これがレイヤ 3/4 管理トラフィックであることを示します。

(注) 一致条件タイプを変更する場合は、クラス マップを一旦削除して、再度正しい一致タイプで追加する必要があります。

[Management Protocol Type]

ACE Applianceで受信するネットワーク管理プロトコルを特定します。

この一致条件で許可するプロトコルを選択します。

[HTTP]:Hypertext Transfer Protocol (HTTP)を指定します。

[HTTPS]:ACE Applianceの ACE Appliance Device Manager GUI との接続に、セキュリティのある(SSL)HTTPを指定します。通信はポート 443 を使用して実行されます。

[ICMP]:ICMP(通常、ping を意味します)を指定します。

[KALAP UDP]:UDP に KeepAlive Appliance Protocol(KALAP)を指定します。

[SNMP]:Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を指定します。

[SSH]:ACE Applianceとの接続に Secure Shell (SSH)を指定します。

[TELNET]:ACE Applianceとの接続に Telnet を指定します。

[XML-HTTPS]:ACE Applianceと Network Management System(NMS; ネットワーク管理システム)間における XML 文書の送受信に使う転送プロトコルに HTTPS を指定します。通信はポート 10443 を使用して実行されます。

[Traffic Type]

次のトラフィック タイプを選択します。

[Any]:クライアントの送信元 IP アドレスであればすべて一致条件を満たします。

[Source Address]:特定の送信元 IP アドレスが一致条件に含まれます。

[Source Address]

このフィールドは、[Traffic Type] で [Source Address] が選択された場合に表示されます。

クライアントの送信元 IP アドレスをドット付き 10 進表記で入力します(例:192.168.11.1)。

[Source Netmask]

このフィールドは、[Traffic Type] で [Source Address] が選択された場合に表示されます。

送信元 IP アドレスのサブネット マスクを選択します。

ステップ 5 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE Applianceはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel]:入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next]:入力した内容を保存して、他の一致条件を設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「実サーバの設定」

「サーバ ファームの設定」

「スティッキ グループの設定」

レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件の設定

次の手順に従って、レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件を設定します。

前提

ロード バランシングのクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定するレイヤ 7 サーバ ロード バランシングのクラス マップを選択します。このとき、複数のクラス マップを選択して(エントリを選択しながら Shift キーを押します)、共通の一致条件を適用することもできます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドに、回線番号を 2 ~ 255 の整数で入力します。ここに入力した番号は、優先順位や一致条件のシーケンスとは無関係です。

ステップ 5 [Match Condition Type] フィールドで使用する一致タイプを選択し、表 10-7に従って条件仕様属性を設定します。

 

表 10-7 レイヤ 7 ロード バランシング クラス マップ一致条件

一致条件
説明

[Class Map]

一致条件の確立に、クラス マップを使用します。

[Class Map] フィールドで、一致条件に使用するクラス マップを選択します。

[HTTP Content]

HTTP entity-body に含まれている特定のコンテンツは、一致条件の確立に使用されます。

1. [Content Expression] フィールドに、照合するコンテンツを入力します。有効な入力は 1 ~ 255 文字の英数字ストリングです。

2. [Content Offset (Bytes)] フィールドに、ヘッダーとメッセージ ボディの間の空白行(CR、LF、CR、LF)より後ろにあって、メッセージ ボディの第 1 バイトから始まっていて無視するバイト数を入力します。有効な入力は 1 ~ 255 の整数です。

[HTTP Cookie]

一致条件の確立に HTTP cookie を使用します。

1. [Cookie Name] フィールドに、一意な cookie 名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Cookie Value] フィールドに、一意な cookie 値式を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。

3. この一致条件を満たすために ACE が cookie 名と cookie 値を使用させるには、[Secondary Cookie Matching] チェックボックスを選択します。この一致条件を満たすために ACE が cookie 名と cookie 値のいずれかを使用させるには、このチェックボックスをクリアします。

[HTTP Header]

一致条件の確立に HTTP ヘッダーを使用します。

1. [Header Name] フィールドで、次のいずれかの方法で一致させるヘッダーを指定します。

標準の HTTP ヘッダーではない HTTP ヘッダーを指定する場合、1 つめのラジオ ボタンを選択して、[Header Name] フィールドに HTTP ヘッダー名を入力します。有効な入力は、スペースを含まず引用符なしの最大 64 文字です。

標準の HTTP ヘッダーを指定する場合、2 つめのラジオ ボタンをクリックして、リストから HTTP ヘッダーを選択します。

2. 指定の HTTP ヘッダーのフィールド値と比較するため、[Header Value (Bytes)] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE は、照合に正規表現をサポートしています。文字列にスペースが含まれている場合は、引用符で囲みます。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[HTTP URL]

一致条件の確立に HTTP URL の一部を使用します。

1. [URL Expression] フィールドに、一致条件として URL またはその一部を入力します。有効な入力は、1 ~ 255 の英数字による URL ストリングで、www. hostname . domain の URL の一部だけを含めます。たとえば、URL www.anydomain.com/latest/whatsnew.html では、/latest/whatsnew.html だけを含めます。

2. [Method Expression] フィールドに、照合する HTTP メソッドを入力します。有効な値は、スペースを含まない引用符抜きの英数字で入力したメソッド名です(最大 15 文字)。メソッドは、標準 HTTP 1.1 メソッド名(OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、または CONNECT)の 1 つにすることも、または厳密に一致しなければならないテキスト文字列(CORVETTE など)にすることもできます。

[Source Address]

一致条件の確立に、送信元 IP アドレスを使用します。

1. [Source Address] フィールドに、クライアントの送信元 IP アドレスをドット付き 10 進表記で入力します(例:192.168.11.1)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

 

ステップ 6 次のいずれかをクリックします。

[Deploy Now]:ACE Applianceにこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE Applianceはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :入力した内容を保存して、他の一致条件を設定します。


 

関連トピック

「仮想コンテキストの使用」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

一般的なサーバ ロード バランシングのクラス マップに関する一致条件の設定

次の手順に従って、一般的なサーバ ロード バランシングのクラス マップに関する一致条件を設定します。

前提

一般的なサーバ ロード バランシングのクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定する一般的なサーバ ロード バランシングのクラス マップを選択します。[Match Condition] テーブルが表示されます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップに使用する一致条件のタイプを選択し、表 10-8 での説明に従ってすべての一致仕様基準を設定します。

 

表 10-8 一般的なサーバ ロード バランシングのクラス マップに関する一致条件

一致条件
説明

[Class Map]

一致条件の確立に、クラス マップを使用します。

[Class Map] フィールドで、一致条件に使用するクラス マップを選択します。

[Layer 4 Payload]

一致条件の確立に、一般的なデータ解析を使用します。

1. [Layer 4 Payload Regex] フィールドに、TCP または UDP エンティティ ボディ内に含まれているレイヤ 4 ペイロード式を入力し、一致条件として使用します。有効な入力は英数字ストリングで、最大 255 文字です。文字列式の照合に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

2. [Layer 4 Payload Offset] フィールドに、レイヤ 4 ペイロード式が検索を開始するオフセットを絶対値で入力します。オフセットは TCP または UDP ボディの最初のバイトから開始します。有効な入力は 0 ~ 999 の整数です。

[Source Address]

一致条件の確立に、送信元 IP アドレスを使用します。

1. [Source Address] フィールドに、この一致条件の送信元 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE にこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE はそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

RADIUS サーバ ロード バランシングのクラス マップに関する一致条件の設定

次の手順に従って、RADIUS サーバ ロード バランシングのクラス マップに関する一致条件を設定します。

前提

RADIUS サーバ ロード バランシングのクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定する RADIUS サーバ ロード バランシングのクラス マップを選択します。[Match Condition] テーブルが表示されます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップに使用する一致条件のタイプを選択し、表 10-9での説明に従ってすべての一致仕様基準を設定します。

 

表 10-9 RADIUS サーバ ロード バランシングのクラス マップに関する一致条件

一致条件
説明

[Calling Station ID]

一致条件の確立に、コーリング ステーションの一意の ID を使用します。

[RADIUS Calling Station ID] フィールドに、一致させるコーリング ステーション ID を入力します。有効な値は、1 ~ 64 の英数字の文字列です。文字列式の照合に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[User Name]

一致条件の確立に、ユーザ名を使用します。

[User Name] フィールドに、一致させる名前を入力します。有効な値は、1 ~ 64 の英数字の文字列です。文字列式の照合に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE にこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE はそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

RTSP サーバ ロード バランシングのクラス マップに関する一致条件の設定

次の手順に従って、RTSP サーバ ロード バランシングのクラス マップに関する一致条件を設定します。

前提

RTSP サーバ ロード バランシングのクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定する一般的な RTSP サーバ ロード バランシングのクラス マップを選択します。[Match Condition] テーブルが表示されます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップに使用する一致条件のタイプを選択し、表 10-10 での説明に従ってすべての一致仕様基準を設定します。

 

表 10-10 RTSP サーバ ロード バランシングのクラス マップに関する一致条件

一致条件
説明

[Class Map]

一致条件の確立に、クラス マップを使用します。

[Class Map] フィールドで、一致条件に使用するクラス マップを選択します。

[RTSP Header]

一致条件の確立に、RTSP ヘッダー内の名前と値を使用します。

1. [Header Name] フィールドで、次のいずれかの方法でヘッダーを指定します。

標準の RSTP ヘッダーではない RTSP ヘッダーを指定する場合、1 つめのラジオ ボタンを選択して、[Header Name] フィールドに RTSP ヘッダー名を入力します。有効な入力は、スペースを含まず引用符なしの最大 64 文字です。

標準の RTSP ヘッダーを指定する場合、2 つめのラジオ ボタンをクリックして、リストから RTSP ヘッダーを 1 つ選択します。

2. 指定の RTSP ヘッダーのフィールド値と比較するため、[Header Value] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE は、照合に正規表現をサポートしています。文字列にスペースが含まれている場合は、文字列を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[RTSP URL]

一致条件の確立に、URL またはその一部を使用します。

1. [URL Expression] フィールドに、照合する URL または URL の一部を入力します。ACE では、URL にホスト名が含まれているかどうかに関係なく、RTSP メソッドの後ろにある URL 文字列に対して照合を実行します。ACE は、URL 文字列の一致条件に正規表現をサポートしています。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

2. [Method Expression] フィールドに、照合する RTSP メソッドを入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。メソッドは、標準 RTSP メソッド名(DESCRIBE、ANNOUNCE、GET_PARAMETER、OPTIONS、PAUSE、PLAY、RECORD、REDIRECT、SETUP、SET_PARAMETER、TEARDOWN)の 1 つにすることも、または厳密に一致しなければならないテキストの文字列(STINGRAY など)にすることもできます。

[Source Address]

一致条件の確立に、送信元 IP アドレスを使用します。

1. [Source Address] フィールドに、この一致条件の送信元 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE にこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACEはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

SIP サーバ ロード バランシングのクラス マップに関する一致条件の設定

次の手順に従って、SIP サーバ ロード バランシングのクラス マップに関する一致条件を設定します。

前提

SIP サーバ ロード バランシングのクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定する SIP サーバ ロード バランシングのクラス マップを選択します。[Match Condition] テーブルが表示されます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップに使用する一致条件のタイプを選択し、表 10-11 での説明に従ってすべての一致仕様基準を設定します。

 

表 10-11 SIP サーバ ロード バランシングのクラス マップに関する一致条件

一致条件
説明

[Class Map]

一致条件の確立に、クラス マップを使用します。

[Class Map] フィールドで、一致条件に使用するクラス マップを選択します。

[SIP Header]

一致条件の確立に、SIP ヘッダー名と値を使用します。

1. [Header Name] フィールドで、次のいずれかの方法でヘッダーを指定します。

標準の SIP ヘッダーではない SIP ヘッダーを指定する場合、1 つめのラジオ ボタンを選択して、[Header Name] フィールドに SIP ヘッダー名を入力します。最大 64 文字を引用符で囲まず、スペースを使用しないで入力します。

標準の SIP ヘッダーを指定する場合、2 つめのラジオ ボタンをクリックして、リストから SIP ヘッダーを 1 つ選択します。

2. 指定の SIP ヘッダーのフィールド値と比較するため、[Header Value] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE は、照合に正規表現をサポートしています。文字列にスペースが含まれている場合は、文字列を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Source Address]

一致条件の確立に、送信元 IP アドレスを使用します。

1. [Source Address] フィールドに、この一致条件の送信元 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE にこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACEはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

レイヤ 7 HTTP ディープ パケット インスペクションのクラス マップに関する一致条件の設定

ACE Appliance Device Manager では、ACE ApplianceがHTTP ディープ パケット インスペクションに使用するレイヤ 7 クラス マップおよびポリシー マップを作成できます。これらの機能を設定すると、ACE Applianceはステートフルに HTTP プロトコルのディープ パケット インスペクションを実行し、ポリシー マップに定義されたアクションに基づいてトラフィックを許可または制限します。ACE Applianceが実行する HTTP ディープ パケット インスペクションでは、次のようなセキュリティ機能を設定できます。

HTTP エンティティ ボディ内の HTTP ヘッダー名、URL 名、コンテンツ式に基づいた正規表現の一致条件

コンテンツ、URL、HTTP ヘッダー長のチェック

MIME タイプ メッセージ インスペクション

転送延コーディング メソッド

コンテンツ タイプの検証およびフィルタリング

プロトコルのトンネル化によるポート 80 の悪用性

RFC 準拠性モニタリングおよび RFC メソッド フィルタリング

次の手順に従って、HTTP トラフィック ディープ パケット インスペクションのレイヤ 7 クラス マップを作成します。

前提

レイヤ 7 ディープ パケット インスペクション クラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定するレイヤ 7 HTTP ディープ パケット インスペクションのクラス マップを選択します。このとき、複数のクラス マップを選択して(エントリを選択しながら Shift キーを押します)、共通の一致条件を適用することもできます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドに、回線番号を 2 ~ 255 の整数で入力します。ここに入力した番号は、優先順位や一致条件のシーケンスとは無関係です。

ステップ 5 [Match Condition Type] フィールドで、一致条件の判断に使用するメソッドを選択し、 表 10-12 に従って条件仕様属性を設定します。

 

表 10-12 HTTP プロトコル インスペクションの一致条件タイプ

[Match Condition Type]
説明

[Content]

HTTP entity-body に含まれている特定のコンテンツは、アプリケーション インスペクションの決定に使用されます。

1. [Content Expression] フィールドに、照合するコンテンツを入力します。有効な入力は 1 ~ 255 文字の英数字ストリングです。

2. [Content Offset (Bytes)] フィールドに、ヘッダーとメッセージ ボディの間の空白行(CR、LF、CR、LF)より後ろにあって、メッセージ ボディの第 1 バイトから始まっていて無視するバイト数を入力します。有効な入力は 1 ~ 255 の整数です。

[Content Length]

アプリケーション インスペクションの判定に、HTTP メッセージのコンテンツ解析長を使用します。

1. [Content Length Operator] フィールドで、コンテンツ長の比較に使用するオペランドを選択します。

[Equal To]:コンテンツ長を [Content Length Value (Bytes)] フィールドの数値と同一にする必要があります。

[Greater Than]:コンテンツ長を [Content Length Value (Bytes)] フィールドの数値より大きくする必要があります。

[Less Than]:コンテンツ長を [Content Length Value (Bytes)] フィールドの数値より小さくする必要があります。

[Range]:コンテンツ長を [Content Length Lower Value (Bytes)] フィールドと [Content Length Higher Value (Bytes)] フィールドに指定された範囲におさめる必要があります。

2. 値を入力してコンテンツ長を比較します。

[Content Length Operator] フィールドで [Equal To]、[Greater Than]、[Less Than] を選択した場合、[Content Length Value (Bytes)] フィールドが表示されます。[Content Length Value (Bytes)] フィールドに、比較に使用するバイト数を入力します。有効な入力は 0 ~ 4294967295 の整数です。

[Content Length Operator] フィールドで [Range] を選択した場合、[Content Length Lower Value (Bytes)] フィールドと [Content Length Higher Value (Bytes)] フィールドが表示されます。

1. [Content Length Lower Value (Bytes)] フィールドに、一致条件の下限に使用するバイト数を入力します。有効な入力は 0 ~ 4294967295 の整数です。このフィールド内の数字は、[Content Length Higher Value (Bytes)] フィールドに入力した数字よりも小さい必要があります。

2. [Content Length Higher Value (Bytes)] フィールドに、一致条件の上限に使用するバイト数を入力します。有効な入力は 0 ~ 4294967295 の整数です。このフィールド内の数字は、[Content Length Lower Value (Bytes)] フィールドに入力した数字よりも大きい必要があります。

[Header]

アプリケーション インスペクションの判定に、HTTP ヘッダー名と値を使用します。

1. [Header] フィールドで、一致条件に使用する定義済み HTTP ヘッダーの 1 つを選択します。または [HTTP Header] を選択して他の HTTP ヘッダーを指定します。

2. [HTTP Header] を選択した場合、[Header Name] フィールドに比較させる HTTP ヘッダー名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

3. 指定の HTTP ヘッダーのフィールド値と比較するため、[Header Value] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE Applianceは、照合に正規表現をサポートしています。文字列にスペースが含まれている場合は、文字列を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Header Length]

アプリケーション インスペクションの判定に、HTTP メッセージのヘッダー長を使用します。

1. [Header Length Type] フィールドで、アプリケーション インスペクションの判定に使用する HTTP ヘッダー要求または応答メッセージを選択します。

[Request]:ヘッダー長について、HTTP ヘッダー要求メッセージが確認されます。

[Response]:ヘッダー長について、HTTP ヘッダー応答メッセージが確認されます。

2. [Header Length Operator] フィールドで、ヘッダー長の比較に使用するオペランドを選択します。

[Equal To]:ヘッダー長を [Header Length Value (Bytes)] フィールドの数値と同一にする必要があります。

[Greater Than]:ヘッダー長を [Header Length Value (Bytes)] フィールドの数値より大きくする必要があります。

[Less Than]:ヘッダー長を [Header Length Value (Bytes)] フィールドの数値より小さくする必要があります。

[Range]:ヘッダー長を [Header Length Lower Value (Bytes)] フィールドと [Header Length Higher Value (Bytes)] フィールドに指定された範囲におさめる必要があります。

3. 値を入力してヘッダー長を比較します。

[Header Length Operator] フィールドで [Equal To]、[Greater Than]、[Less Than] を選択した場合、[Header Length Value (Bytes)] フィールドが表示されます。[Header Length Value (Bytes)] フィールドに、比較に使用するバイト数を入力します。有効な入力は 0 ~ 255 の整数です。

[Header Length Operator] フィールドで [Range] を選択した場合、[Header Length Lower Value (Bytes)] フィールドと [Header Length Higher Value (Bytes)] フィールドが表示されます。

1. [Header Length Lower Value (Bytes)] フィールドに、一致条件の下限に使用するバイト数を入力します。有効な入力は 0 ~ 255 の整数です。このフィールド内の数字は、[Header Length Higher Value (Bytes)] フィールドに入力した数字よりも小さい必要があります。

2. [Header Length Higher Value (Bytes)] フィールドに、一致条件の上限に使用するバイト数を入力します。有効な入力は 1 ~ 255 の整数です。このフィールド内の数字は、[Header Length Lower Value (Bytes)] フィールドに入力した数字よりも大きい必要があります。

[Header MIME Type]

アプリケーション インスペクションの判定に、Multipurpose Internet Mail Extension(MIME; 多目的インターネット メール拡張)メッセージ タイプを使用します。

[Header MIME Type] フィールドで、一致条件に使用する MIME メッセージ タイプを選択します。

[Port Misuse]

このポート 80 (または HTTP が動作している他のポート)の誤用は、アプリケーション インスペクションの決定に使用されます。

この一致条件に使用するアプリケーション カテゴリを選択します。

[IM]:一致条件にインスタント メッセージング アプリケーションを使用します。

[P2P]:一致条件にピアツーピア アプリケーションを使用します。

[Tunneling]:一致条件にトンネリング アプリケーションを使用します。

[Request Method]

アプリケーション インスペクションの判定に、要求メソッドを使用します。

デフォルトの場合、ACE Applianceはすべての要求メソッドと拡張メソッドを許可します。このオプションを使用すると、RFC 2616 と HTTP 拡張メソッドに定義されている要求メソッドに準拠してアプリケーション インスペクションの判定を定義したクラス マップを設定できます。

1. [Request Method Type] フィールドで、アプリケーション インスペクションの判定に使用する準拠タイプを選択します。

[Ext]:アプリケーション インスペクションの判定に、HTTP 拡張メソッドを使用します。

[RFC]:アプリケーション インスペクションの判定に、RFC 2616 で定義された要求メソッドを使用します。

この選択によって、[Ext Request Method] フィールドまたは [RFC Request Method] フィールドが表示されます。

2. [Request Method] フィールドで、使用する特定の要求メソッドを選択します。

[Transfer Encoding]

HTTP transfer-encoding タイプは、アプリケーション インスペクションの決定に使用されます。[transfer-encoding general-header] フィールドは、送信側と受信側の間で安全にメッセージ ボディを転送するために、HTTP メッセージ ボディに適用されてきた変換のタイプ(存在する場合)を指定します。

[Transfer Encoding] フィールドで、確認するエンコーディングのタイプを選択します。

[Chunked]:メッセージ ボディは一連のチャンクとして転送されます。

[Compress]:エンコーディング フォーマットは、UNIX ファイル圧縮プログラム compress によって作成されます。

[Deflate]:.zlib フォーマットは、RFC 1951 に規定されている DEFLATE 圧縮メカニズムとともに、RFC 1950 に規定されています。

[Gzip]:エンコーディング フォーマットは、RFC 1952 に規定されているファイル圧縮プログラム GZIP(GNU zip)によって作成されます。

[Identity]:変換の使用を必要としないデフォルトの(identity)エンコーディングです。

[URL]

URL 名はアプリケーション インスペクションの決定に使用されます。

[URL] フィールドに、照合する URL または URL の一部を入力します。有効な入力は、1 ~ 255 の英数字による URL ストリングで、www. hostname . domain の URL の一部だけを含めます。たとえば、URL www.anydomain.com/latest/whatsnew.html では、/latest/whatsnew.html だけを含めます。

[URL Length]

[URL Length] は、アプリケーション インスペクションの決定に使用されます。

1. [URL Length Operator] フィールドで、URL 長の比較に使用するオペランドを選択します。

[Equal To]:URL 長を [URL Length Value (Bytes)] フィールドの数値と同一にする必要があります。

[Greater Than]:URL 長を [URL Length Value (Bytes)] フィールドの数値より大きくする必要があります。

[Less Than]:URL 長を [URL Length Value (Bytes)] フィールドの数値より小さくする必要があります。

[Range]:URL 長を [URL Length Lower Value (Bytes)] フィールドと [URL Length Higher Value (Bytes)] フィールドに指定された範囲におさめる必要があります。

2. 値を入力して URL 長を比較します。

[URL Length Operator] フィールドで [Equal To]、[Greater Than]、[Less Than] を選択した場合、[URL Length Value (Bytes)] フィールドが表示されます。[URL Length Value (Bytes)] フィールドに、比較に使用する値を入力します。有効な入力は、1 ~ 65535 バイトです。

[URL Length Operator] フィールドで [Range] を選択した場合、[URL Length Lower Value (Bytes)] フィールドと [URL Length Higher Value (Bytes)] フィールドが表示されます。

1. [URL Length Lower Value (Bytes)] フィールドに、一致条件の下限に使用するバイト数を入力します。有効な入力は 1 ~ 65535 の整数です。このフィールド内の数字は、[URL Length Higher Value (Bytes)] フィールドに入力した数字よりも小さい必要があります。

2. [URL Length Higher Value (Bytes)] フィールドに、一致条件の上限に使用するバイト数を入力します。有効な入力は 1 ~ 65535 の整数です。このフィールド内の数字は、[URL Length Lower Value (Bytes)] フィールドに入力した数字よりも大きい必要があります。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE Applianceはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト ポリシー マップの作成」

「クラス マップの一致条件の設定」

「レイヤ 3/4 管理トラフィックのクラス マップに関する一致条件の設定」

「レイヤ 7 サーバ ロード バランシングのクラス マップに関する一致条件の設定」

「レイヤ 7 FTP コマンド インスペクションのクラス マップに関する一致条件の設定」

レイヤ 7 FTP コマンド インスペクションのクラス マップに関する一致条件の設定

次の手順に従って、レイヤ 7 FTP コマンド インスペクションのクラス マップに関する一致条件を設定します。

前提

レイヤ 7 コマンド インスペクション クラス マップはすでに設定が終わっており、一致基準を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定するレイヤ 7 FTP コマンドインスペクションのクラス マップを選択します。このとき、複数のクラス マップを選択して(エントリを選択しながら Shift キーを押します)、共通の一致条件を適用することもできます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップの一致条件タイプに使用する [Request Method Name] を選択します。

ステップ 6 [Request Method Name] フィールドで、検査する FTP コマンドを選択します。表 10-13 に、検査できる FTP コマンド示します。

 

表 10-13 検査対象の FTP コマンド

FTP コマンド
説明

Appe

リモート ホストの指定ファイルの最後にデータを付加します。

Cdup

現在のディレクトリの親を変更します。

Cele

指定ファイルを削除します。

Get

リモート ホストからローカル システムに指定ファイルをコピーします。

Help

使用できる FTP コマンドをすべてリストします。

Mkd

パスとディレクトリ名を指定してディレクトリを作成します。

Put

ローカル システムからリモート ホストに指定ファイルをコピーします。

Rmd

指定ディレクトリを削除します。

Rnfr

現在のファイル名を指定して、ファイル名を変更します。 rnto と組み合わせて使用します。

Rnto

新しいファイル名を指定して、ファイル名を変更します。 rnfr と組み合わせて使用します。

Site

サイト指定のコマンドを実行します。

Stou

リモート ホストのファイルを保存し、一意の名前を付与します。

Syst

オペレーティング システム情報をリモート ホストに照会します。

ステップ 7 次のいずれかをクリックします。

[Deploy Now] :ACE Appliance にこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACE Applianceはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

レイヤ 7 SIP ディープ パケット インスペクションのクラス マップに関する一致条件の設定

次の手順に従って、SIP ディープ パケット インスペクションのクラス マップに関する一致条件を設定します。

前提

SIP ディープ パケット インスペクションのクラス マップはすでに設定が終わっており、一致条件を設定しようとしている。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Class Maps] の順に選択します。[Class Maps] テーブルが表示されます。

ステップ 2 [Class Maps] テーブルで、一致条件を設定する SIP ディープ パケット インスペクションのクラス マップを選択します。[Match Condition] テーブルが表示されます。

ステップ 3 [Match Condition] テーブルで、 [Add] をクリックして一致基準を追加します。または、修正する一致条件を選択して [Edit] をクリックします。[Match Condition] 設定画面が表示されます。

ステップ 4 [Sequence Number] フィールドで、2 ~ 255 の整数を入力します。

ステップ 5 [Match Condition Type] フィールドで、このクラス マップに使用する一致条件のタイプを選択し、表 10-14 での説明に従ってすべての一致仕様基準を設定します。

 

表 10-14 レイヤ 7 SIP ディープ パケット インスペクションのクラス マップに関する一致条件

一致条件
説明

[Called Party]

一致条件の確立に、SIP To ヘッダー内の URI の宛先またはコールド パーティを使用します。

[Called Party] フィールドに、この一致条件に対応する SIP To ヘッダーの URI の着信側を特定する正規表現を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE は、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[Calling Party]

一致条件の確立に、SIP From ヘッダー内の URI の送信元パーティまたはコーリング パーティを使用します。

[Calling Party] フィールドに、一致条件として SIP To ヘッダー内の URI のコールド パーティを特定する正規表現を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE は、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[IM Subscriber]

一致条件の確立に、IM サブスクライバを使用します。

[IM Subscriber] フィールドに、一致条件として IM サブスクライバを特定する正規表現を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE は、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[Message Path]

一致条件の確立に、特定の SIP プロキシ サーバから着信するメッセージまたは通過するメッセージを使用します。

[Message Path] フィールドに、この一致条件に対応する SIP プロキシ サーバを特定する正規表現を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE は、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[SIP Content Length]

一致条件の確立に、SIP メッセージ ボディ長を使用します。

1. [Content Operator] フィールドで、[Greater Than] が選択されていることを確認します。

2. [Content Length] フィールドに、SIP プロトコル インスペクションを実行しないで ACE が許可する SIP メッセージ ボディの最大サイズをバイト単位で入力します。SIP メッセージが指定値を超えると、ACE は、関連付けられたポリシー マップの定義に従って、SIP プロトコル インスペクションを実行します。有効な入力は 0 ~ 65534 の整数バイトです。

[SIP Content Type]

一致条件の確立に、SIP メッセージ ボディのコンテンツ タイプを使用します。

[Content Type] フィールドに、一致条件として SIP メッセージ ボディのコンテンツ タイプを特定する正規表現を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE は、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[SIP Request Method]

一致条件の確立に、SIP 要求メソッドを使用します。

[Request Method] フィールドで、一致させる要求メソッドを選択します。

[Third Party]

一致条件の確立に、他のユーザを登録する権限を持つサード パーティそのものを使用します。

[Third Party Registration Entities] フィールドに、一致条件としてサード パーティ登録の権限を持つ特権ユーザを特定する正規表現を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE は、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[URI Length]

一致条件の確立に、SIP Uniform Resource Identifier(URI; ユニフォーム リソース識別子)またはユーザ ID を使用します。

1. [URI Type] フィールドで、使用する URI タイプを選択します。

[SIP URI]:一致条件にコーリング パーティの URI を使用します。

[Tel URI]:一致条件に電話番号を使用します。

2. [URI Operator] フィールドで、[Greater Than] が選択されていることを確認します。

3. [URI Length] フィールドに、SIP URI または Tel URI の最大長をバイト単位で入力します。有効な入力は 0 ~ 254 の整数バイトです。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE にこの設定を適用して、[Match Condition] テーブルに戻ります。


[Deploy Now] をクリックした場合、変更したかどうかに関わらず、ACEはそのトラフィックを一度廃棄して再開します。既存の一致条件を変更しなかった場合、[Deploy Now] ではなく [Cancel] をクリックし、トラフィックを中断させないようにします。


[Cancel] :入力した内容を保存せずに作業を終了し、[Match Condition] テーブルに戻ります。

[Next] :このクラス マップの他の一致条件を設定します。


 

関連トピック

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

仮想コンテキスト ポリシー マップの作成

ポリシー マップは、ACE Applianceのトラフィック ポリシーを確立します。トラフィック ポリシーの目的は、トラフィック クラスに関連した特定の ACE Appliance機能を実装することにあります。トラフィック ポリシーは、次の内容を含んでいます。

ポリシー マップ名

以前作成されたトラフィック クラス マップ、または任意の Class-default クラス マップ

ACE Applianceが実行すべきアクションを指定する 1 つ以上のレイヤ 3/4 のポリシー、またはレイヤ 7 のポリシー

ACE Applianceは、first-match、multi-match、all-match に基づいてポリシー マップに指定されたアクションを実行します。

[first-match]:このポリシー マップを使用すると、ACE Applianceは一致した最初の分類に指定されたアクションだけを実行します。レイヤ 3/4 管理トラフィック、レイヤ 7 サーバ ロード バランシング、レイヤ 7 コマンド インスペクション - FTP、レイヤ 7 HTTP 最適化ポリシー マップが first-match ポリシー マップに該当します。

[multi-match]:このポリシー マップを使用すると、ACE Applianceは指定の分類に該当する可能性のあるすべてのアクションを実行します。レイヤ 3/4 ネットワーク トラフィック ポリシー マップが multi-match ポリシー マップに該当します。

[all-match]:このポリシー マップを使用すると、ACE Applianceは一致分類の指定条件をすべて一致させ、一致要求が拒否されるまで一致しているすべてのクラスのアクションを実行します。

[Policy Maps] テーブル( [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] )にあるコンテキストのポリシー マップやそのタイプは表示させることができます。

設定できるポリシー マップ タイプは、ACE のデバイス タイプによって異なります。表 10-15 に、ポリシー マップのタイプと簡単な説明、サポートしている ACE デバイスを示します。

 

表 10-15 ポリシー マップ

ポリシー マップ
説明
関連事項

レイヤ 3/4 管理トラフィック(First-Match)

ACE で受信するネットワーク管理トラフィックのためのレイヤ 3 および レイヤ 4 ポリシー マップ

「レイヤ 3/4 管理トラフィックのポリシー マップ規則およびアクションの設定」

レイヤ 3/4 ネットワーク トラフィック(Multi-Match)

ACE を通過するトラフィックのためのレイヤ 3 および レイヤ 4 ポリシー マップ

「レイヤ 3/4 ネットワーク トラフィックのポリシー マップ規則およびアクションの設定」

レイヤ 7 コマンド インスペクション - FTP(First-Match)

FTP コマンドを検査するためのレイヤ 7 ポリシー マップ

「レイヤ 7 FTP コマンド インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 ディープ パケット インスペクション - HTTP(All-Match)

HTTP パケットを検査するためのレイヤ 7 ポリシー マップ

「レイヤ 7 HTTP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 ディープ パケット インスペクション - SIP(All-Match)

SIP パケットを検査するためのレイヤ 7 ポリシー マップ

「レイヤ 7 SIP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 ディープ パケット インスペクション - Skinny

Skinny Client Control Protocol (SCCP)検査のためのレイヤ 7 ポリシー マップ

「レイヤ 7 Skinny ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 HTTP 最適化(First-Match)

HTTP トラフィックを最適化するためのレイヤ 7 ポリシー マップ

「レイヤ 7 HTTP 最適化のポリシー マップ規則およびアクションの設定」

レイヤ 7 サーバ ロード バランシング(First-Match)

HTTP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

「レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - 汎用(First-Match)

サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

「一般的なサーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - RADIUS(First-Match)

RADIUS サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

「RADIUS サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - RDP(First-Match)

RDP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

「RDP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - RTSP(First-Match)

RTSP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

「RTSP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - SIP(First-Match)

SIP サーバをロード バランシングするための一般的なレイヤ 7 ポリシー マップ

「SIP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

次の手順に従って、仮想コンテキストのポリシー マップを作成します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しいポリシー マップを追加するか、既存のポリシー マップを選択し、 [Edit] をクリックして修正します。

ステップ 3 [Policy Map Name] フィールドには、ポリシー マップ番号が自動的に割り当てられます(ポリシー マップ番号は 1 ずつ増えながら割り当てられます)。番号はそのまま使用することもできます。また、異なる一意の番号を入力することもできます。

ステップ 4 [Type] フィールドで、作成するポリシー マップ タイプを選択します。ポリシー マップのリストについては、表 10-15 を参照してください。

ステップ 5 [Description] フィールドに、ポリシー マップの簡単な説明を入力します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。このポリシー マップの規則およびアクションを定義するには、「ポリシー マップの規則およびアクションの設定」を参照してください。

[Cancel] :入力した内容を保存せずに作業を終了し、[Policy Maps] テーブルに戻ります。

[Next] :入力した内容を保存して、他のポリシー マップを設定します。


 

関連トピック

「仮想コンテキストの使用」

「仮想コンテキスト クラス マップの作成」

「実サーバの設定」

「サーバ ファームの設定」

「スティッキ グループの設定」

ポリシー マップの規則およびアクションの設定

表 10-16 に、規則およびアクションを設定するためのポリシー マップとその関連トピックを示します。

 

表 10-16 ポリシー マップの規則およびアクションのトピック参照先

ポリシー マップ タイプ
規則およびアクションの設定に関するトピック

レイヤ 3/4 管理トラフィック(First-Match)

「レイヤ 3/4 管理トラフィックのポリシー マップ規則およびアクションの設定」

レイヤ 3/4 ネットワーク トラフィック(First-Match)

「レイヤ 3/4 ネットワーク トラフィックのポリシー マップ規則およびアクションの設定」

レイヤ 7 コマンド インスペクション - FTP(First-Match)

「レイヤ 7 FTP コマンド インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 ディープ パケット インスペクション - HTTP(All-Match)

「レイヤ 7 HTTP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 ディープ パケット インスペクション - SIP(All-Match)

「レイヤ 7 SIP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 ディープ パケット インスペクション - Skinny

「レイヤ 7 Skinny ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 HTTP 最適化(First-Match)

「レイヤ 7 SIP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定」

レイヤ 7 サーバ ロード バランシング(First-Match)

「レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - 汎用(First-Match)

「一般的なサーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - RADIUS(First-Match)

「RADIUS サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - RDP(First-Match)

「RDP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - RTSP(First-Match)

「RTSP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

サーバ ロード バランシング - SIP(First-Match)

「SIP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定」

レイヤ 3/4 ネットワーク トラフィックのポリシー マップ規則およびアクションの設定

次の手順に従って、ネットワーク管理トラフィック以外のレイヤ 3/4 トラフィックの規則とアクションを設定します。

前提

レイヤ 3/4 ポリシー マップをすでに設定している。

クラス マップをすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定するレイヤ 3/4 ネットワーク トラフィックのポリシー マップを選択し、[Rule] タブをクリックします。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 設定画面が表示されます。

ステップ 4 [Type] フィールドで、[Class Map] が選択されていることを確認します。

ステップ 5 Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ステップ 6 規則に以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

c. [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションが設定されていません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

d. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 7 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用して、この規則のアクションを定義します(ステップ 8 を参照)。

[Cancel] :入力した内容を保存せずに作業を終了し、[Policy Maps] テーブルに戻ります。

[Next] :入力した内容を保存して、他の規則を設定します。


ステップ 6 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 8 この規則にアクションを追加する場合、[Action] テーブルの [Add] をクリックします。既存のアクションを選択する場合、[Edit] をクリックして修正します。[Action] 設定画面が表示されます。

ステップ 9 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 10 [Action Type] フィールドで、この規則で実行するアクション タイプを選択します。選択後、その関連属性を設定します。表 10-17 を参照してください。

 

表 10-17 レイヤ 3/4 ネットワーク トラフィックのポリシー マップ アクション

処理
説明/手順

[Appl-Parameter-DNS]

この規則に、DNS 関係のアクションを含む DNS パラメータ マップが実装されます。

[Parameter Map] フィールドで、使用する DNS パラメータ マップの名前を選択します。

[Appl-Parameter-Generic]

この規則に一般的なパラメータ マップが実装されます。

[Parameter Map] フィールドで、使用する一般的なパラメータ マップの名前を選択します。

[Appl-Parameter-HTTP]

この規則に、HTTP 関係のアクションを含む HTTP パラメータ マップが実装されます。

[Parameter Map] フィールドで、使用する HTTP パラメータ マップの名前を選択します。

[Appl-Parameter-RTSP]

この規則に、RTSP 関係のアクションを含む RTSP パラメータ マップが実装されます。

[Parameter Map] フィールドで、使用する RTSP パラメータ マップの名前を選択します。

[Appl-Parameter-SIP]

この規則に、SIP 関係のアクションを含む SIP パラメータ マップが実装されます。

[Parameter Map] フィールドで、使用する SIP パラメータ マップの名前を選択します。

[Appl-Parameter-Skinny]

この規則に、Skinny 関係のアクションを含む Skinny パラメータ マップが実装されます。

[Parameter Map] フィールドで、使用する Skinny パラメータ マップの名前を選択します。

[Connection]

この規則に、正規化と終了関連の TCP/IP 接続コマンドなどを含む Connection パラメータ マップが実装されます。

[Connection Parameter Maps] フィールドで、使用する Connection パラメータ マップを選択します。

[HTTP Optimize]

[HTTP Optimization Policy] フィールドで、使用する HTTP 最適化ポリシー マップを選択します。

[Inspect]

この規則にアプリケーション インスペクションが実装されます。

1. [Inspect Type] フィールドで、検査するプロトコルを選択します。

2. プロトコル専用情報を入力します。

表 10-18 に、アプリケーション インスペクションのアクションに使用できるオプションを示します。

[NAT]

ACE がこの規則に NAT を実装します。

1. [NAT Mode] フィールドで、使用する NAT タイプを選択します。

[Dynamic NAT]:NAT がローカル アドレスをグローバル アドレスのプールに変換します。ステップ 3 に進みます。

[Static NAT]:NAT が各ローカル アドレスを固定のグローバル アドレスに変換します。ステップ 2 に進みます。

2. [Static NAT] を選択した場合、次の手順に従います。

a. [Static Mapped Address] フィールドに、静的 NAT 変換に使用する IP アドレスを入力します。これにより、外見上は、一意のホストのグローバル IP アドレスが確立したと見なされます。ポリシー マップは、Access Control List(ACL; アクセス コントロール リスト)で指定されている送信元 IP アドレスのグローバル IP アドレス変換を実行します(クラス マップのトラフィック分類の課程として)。

b. [Static Mapped Netmask] フィールドで、サブネット マスクを選択して静的にマップされたアドレスに適用します。

c. [NAT Protocol] フィールドで、NAT に使用するプロトコルを選択します。

- [N/A]:このアトリビュートは設定されません。

- [TCP]:ACE は NAT に TCP を使用します。

- [UDP]:ACE は NAT に UDP を使用します。

d. [Static Port] フィールドに、静的なポート リダイレクトに使用する TCP または UDP ポートを入力します。有効な入力は 0 ~ 65535 の整数です。

e. [VLAN Id] フィールドで、NAT に使用する VLAN を選択します。

3. [Dynamic NAT] を選択した場合、次の手順に従います。

a. [NAT Pool Id] フィールドに、[VLAN Id] フィールドで指定した VLAN 内にある IP アドレスのプール数を入力します。有効な入力は 1 ~ 2147483647 の整数です。「VLAN インターフェイス NAT プールの設定」 を参照してください。

b. [VLAN Id] フィールドで、NAT に使用する VLAN を選択します。

(注) [Dynamic NAT] を選択した場合、ACE では、未設定 NAT プール ID をダイナミック NAT アクションに関連付けることができます。ただし、ANM は、NAT プール ID が設定されていない場合、ダイナミック NAT アクションを検出しません。ANM での検出が正しく行われるようにするには、設定済み NAT プール ID ダイナミック NAT アクションに関連付ける必要があります。

[Policymap]

ACE は、レイヤ 7 サーバ ロード バランシング ポリシー マップをレイヤ 3/4 ポリシー マップに関連付けます。

[Policy Map] フィールドで、レイヤ 7 ポリシー マップを選択してレイヤ 3/4 ポリシー マップに関連付けます。

[SSL-Proxy]

ACE は SSL プロキシ サーバ サービスを使用して、ハンドシェイクとその後の SSL セッション中に ACE が使用する SSL パラメータを定義します。

1. ACE が SSL クライアントと連動している場合、[SSL Proxy] フィールドで、ハンドシェイクとその後の SSL セッション時に使用する SSL プロキシ サーバ サービスを選択します。

2. [SSL Proxy Type] フィールドで、[Server] が選択されていることを確認して、ACE が SSL サーバとして認識されるように設定します。

[UDP-Fast-Age]

クライアントに応答を送信したあと、ACE は接続を即座にクローズし、UDP トラフィックのパケットごとのロード バランシングを実行します。

[VIP-ICMP-Reply]

VIP が ICMP 要求に ICMP ECHO-REPLY 応答を送信します。

1. 設定済み VIP がアクティブな場合だけ ACE が ICMP 要求に応答させるには、[Active] フィールドで、このチェックボックスをオンにします。VIP がアクティブでなく、アクティブ オプションが指定されている場合、ACE は ICMP 要求を廃棄し、この要求はタイムアウトになります。

2. バックアップ サーバ ファームの状態に関係なく、プライマリ サーバ ファームの状態が UP の場合だけ ACE が ICMP ping に応答させるには、[Primary Inservice] フィールドで、このチェックボックスをオンにします。このオプションが有効にされていて、プライマリ サーバ ファームの状態が DOWN の場合、ACE は ICMP 要求を廃棄し、この要求はタイムアウトになります。

[VIP-In-Service]

VIP サーバ ロード バランシング処理を行えるようにします。

 

 

表 10-18 ポリシー マップ アプリケーション インスペクションのオプション

インスペクション オプション
説明

[DNS]

DNS クエリー インスペクションが実装されます。DNS クエリーは、アクティブなタイムアウトに基づいた一般的な UDP 処理には従わないことから、DNS には、アプリケーション インスペクションが必要です。代わりに、DNS クエリーおよび応答関連の UDP 接続は、DNS クエリーに対する応答が着信したら即座に終了します。ACE Applianceは DNS パケットを再構築し、パケット長が設定の最大長よりも短いことを確認します。

[DNS Max. Length] フィールドに、最大 DNS 応答長をバイトで入力します。有効な入力は 512 ~ 65535 の整数です。

[FTP]

FTP インスペクションが実装されます。ACE Applianceは FTP パケットを検査し、ペイロードに埋め込まれたアドレスとポートを変換したあと、データのセカンダリ チャネルをオープンします。

1. [Parameter Map] フィールドで以前作成したパラメータ マップを指定し、FTP インスペクションのパラメータを定義します。

2. [FTP Strict] フィールドで、ACE Applianceがプロトコル RFC の準拠性に従って、Web ブラウザに FTP 要求での埋め込みコマンドを送信させないようにするかどうかを指定します。

[N/A]:このアトリビュートは設定されません。

[False]:ACE Applianceは、RFC への準拠性を確認せず、Web ブラウザに FTP 要求での埋め込みコマンドを送信させません。

[True]:ACE Applianceは RFC への準拠性を確認し、Web ブラウザに FTP 要求での埋め込みコマンドを送信させません。

3. [True] を選択した場合、[FTP Inspect Policy] フィールドでレイヤ 7 FTP コマンド インスペクション ポリシーを選択し、この規則に実装します。

[HTTP]

HHypertext Transfer Protocol (HTTP)トラフィックに強化した HTTP インスペクションを実行します。インスペクション検査は既存のレイヤ 7 ポリシー マップで設定されたパラメータに基づきます。内部の RFC 準拠性の検査については、ACE Applianceが実行します。デフォルトの場合、ACE Applianceはすべての要求メソッドを許可します。

1. [HTTP Inspect Policy] フィールドで、この規則に実装する HTTP インスペクション ポリシー マップを選択します。レイヤ 7 ポリシー マップを指定していない場合、ACE Applianceは一般的なレイヤ 3/4 プロトコル修正アクションと内部 RFC 準拠性検査を実行します。

2. [URL Logging] フィールドで、レイヤ 3/4 トラフィックをモニタするかどうかを選択します。

[N/A]:このアトリビュートは設定されません。

[False]:レイヤ 3/4 トラフィックをモニタしません。

[True]:レイヤ 3/4 トラフィックをモニタします。[True] を選択した場合、指定のトラフィック クラスへ送信されるすべての URL 要求(送信元 IP アドレス、宛先 IP アドレス、アクセスされた URL など)が記録されます。

[ICMP]

Internet Control Message Protocol (ICMP)ペイロード インスペクションを実行します。ICMP インスペクションを使用すると、ICMP トラフィックに「セッション」を保持させ、TCP や UDP トラフィック同様に検査させることができます。

[ICMP Error] フィールドで、ACE Applianceが ICMP エラー メッセージの名前アドレス変換を実行するかどうかを指定します。

[N/A]:このアトリビュートは設定されません。

[False]:ACE Applianceは、ICMP エラー メッセージの NAT を実行しません。

[True]:ACE Applianceは、ICMP エラー メッセージの NAT を実行します。[True] にすると、ACE Applianceは、NAT 設定に基づいて ICMP エラー メッセージを送信する中間ノードまたはエンドポイント ノードに変換セッションを生成します。ACE Applianceは、その変換した IP アドレスでパケットを上書きします。

[ILS]

ILS プロトコル インスペクションが実装されます。

[RTSP]

Real Time Streaming Protocol (RTSP)パケット インスペクションが実装されます。[RTSP] は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、Cisco IP/TV での接続に使用されます。ACE Applianceは、TCP ポート 554(UDP は非サポート)を使用して確立したコントロール チャネルの Setup および Response(200 まで OK)メッセージをモニタします。

[SIP]

SIP プロトコル インスペクションが実装されます。[SIP] は、セッションとインスタント メッセージを処理するコールに使用されます。ACE は、メディア接続アドレス、メディア ポート、初期接続のシグナル メッセージを検査します。また、ACE は NAT を使用してパケットのユーザ データ部に埋め込まれている IP アドレスも変換します。

1. [Parameter Map] フィールドで以前作成したパラメータ マップを指定し、SIP インスペクションのパラメータを定義します。

2. [SIP Inspect Policy] フィールドで、以前作成したレイヤ 7 SIP インスペクション ポリシー マップを選択し、レイヤ 7 SIP アプリケーション トラフィックのパケット インスペクションを実装します。

レイヤ 7 ポリシー マップを指定していない場合、ACE は一般的なレイヤ 3/4 HTTP 修正アクションと内部 RFC 準拠性検査を実行します。

[Skinny]

Cisco Skinny Client Control Protocol (SCCP)プロトコル インスペクションが実装されます。SCCP は Cisco が独自のプロトコルで、Cisco CallManager と VOiP フォン間で使用されます。ACE は NAT を使用して、SCCP パケット データに埋め込まれた IP アドレスとポート番号を変換します。

1. [Parameter Map] フィールドで以前作成し接続たパラメータ マップを指定し、Skinny インスペクションのパラメータを定義します。

2. [Skinny Inspect Policy] フィールドで、以前作成したレイヤ 7 Skinny インスペクション ポリシー マップを選択し、レイヤ 7 Skinny アプリケーション トラフィックのパケット インスペクションを実装します。

レイヤ 7 ポリシー マップを指定していない場合、ACE は一般的なレイヤ 3/4 HTTP 修正アクションと内部 RFC 準拠性検査を実行します。

ステップ 11 次のいずれかをクリックします。

[Deploy Now] :ACE Appliance にこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を保存して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 3/4 管理トラフィックのポリシー マップ規則およびアクションの設定

次の手順に従って、ACE Applianceで受信する IP 管理トラフィックの規則とアクションを設定します。

前提

ネットワーク管理ポリシー マップはすでに作成している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定するレイヤ 3/4 管理トラフィックのポリシー マップを選択し、[Rule] タブをクリックします。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、[Class Map] が選択されていることを確認します。

ステップ 5 Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ステップ 6 規則に以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

c. [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションが設定されていません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

d. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 7 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。[Action] テーブルが [Rule] テーブルの下に表示されます。この規則のアクションを定義する場合、ステップ 8 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Policy Maps] テーブルに戻ります。

[Next] :入力した内容を保存して、他の規則を設定します。


ステップ 6 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 8 この規則にアクションを追加する場合、[Action] テーブルの [Add] をクリックします。既存のアクションを選択する場合、 [Edit] をクリックして修正します。[Action] 設定画面が表示されます。

ステップ 9 [Action] 設定画面で、次の作業を行います。

a. [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

b. [Action Type] フィールドで、 [Mgmt-permit] を選択し、このアクションにネットワーク管理トラフィックを許可または拒否させます。

c. [Action] フィールドで、発生するアクションを指定します。

[Deny]:この規則が満たされた場合、ACE Applianceがネットワーク管理トラフィックを拒否します。

[Permit]:この規則が満たされた場合、ACE Applianceがネットワーク管理トラフィックを受信します。

ステップ 10 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を保存して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定

次の手順に従って、レイヤ 7 サーバ ロード バランシングのポリシー マップに関する規則とアクションを設定します。

前提

ロード バランシングのポリシー マップはすでに設定が終わっており、これに対応する規則とアクションを設定しようとしている。

このコンテキストの SSL プロキシ サービスをすでに設定している(SSL プロキシ アクションを設定する場合)。

HTTP ヘッダーの挿入、書き換え、削除を実行する場合、HTTP ヘッダー修正アクション リストがすでに設定されているか確認してください。詳細については、「HTTP ヘッダー修正アクション リストの設定」を参照してください。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定するロード バランシングのポリシー マップを選択し、[Rule] タブをクリックします。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、既存の規則を選択して [Edit] をクリックし、修正します。[Rule] 設定画面が表示されます。

ステップ 4 使用する規則タイプを選択します。

[Class Map]:ACE Applianceは、規則と対応するアクションの特定に既存のクラス マップを使用します。この規則タイプを選択した場合、ステップ 5 へ進みます。

[Match Condition]:ACE Applianceは、規則と対応するアクションの特定に条件セットを使用します。この規則タイプを選択した場合、ステップ 6 へ進みます。

ステップ 5 [Class Map] を選択した場合、[Use Class Default] チェックボックスを選択し、デフォルトのクラス マップを使用します。または以前作成したクラス マップを指定します。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

c. [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションが設定されていません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

d. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 6 一致条件を選択した場合、次の作業を実行します。

a. [Match Condition Name] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

b. [Match Condition Type] フィールドで、一致条件の判断に使用するメソッドとそれに対応する条件を選択します。これらの選択肢については、 表 10-19 を参照してください。

 

表 10-19 ポリシーの一致条件タイプ

一致条件
説明

[HTTP Content]

HTTP entity-body に含まれている特定のコンテンツは、一致条件の確立に使用されます。

1. [Content Expression] フィールドに、照合するコンテンツを入力します。有効な入力は 1 ~ 255 文字の英数字ストリングです。

2. [Content Offset (Bytes)] フィールドに、ヘッダーとメッセージ ボディの間の空白行(CR、LF、CR、LF)より後ろにあって、メッセージ ボディの第 1 バイトから始まっていて無視するバイト数を入力します。有効な入力は 1 ~ 4000 の整数です。

[HTTP Cookie]

HTTP cookie がこのルールに使用されます。

この方式を選択する場合

1. [Cookie Name] フィールドに、一意な cookie 名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Cookie Value] フィールドに、一意な cookie 値式を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。ACE Applianceは、文字列式の一致条件に正規表現をサポートしています。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

[HTTP Header]

HTTP ヘッダーおよび対応する値をこのルールに使用します。

この方式を選択する場合

1. [Header Name] フィールドに、HTTP ヘッダーの汎用フィールドの名前を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. 指定の HTTP ヘッダーのフィールド値と比較するため、[Header Value (Bytes)] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE Applianceは、照合に正規表現をサポートしています。スペースを含める場合は、文字列全体を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[HTTP URL]

HTTP URL の文字列に基づき、特定の接続から受信したパケット データに対して、正規表現照合を実行します。

この方式を選択する場合

1. [URL Expression] フィールドに、照合する URL または URL の一部を入力します。有効な入力は 1 ~ 255 文字の英数字の URL ストリングです。照合文には、www. hostname . domain に続く URL の一部だけを含めます。たとえば、URL www.anydomain.com/latest/whatsnew.html では、/latest/whatsnew.html だけを含めます。www.anydomain.com 部分と照合するために、この URL ストリングは URL の正規表現の形を取ることができます。ACE Applianceは、URL 文字列の一致条件に正規表現をサポートしています。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

2. [Method Expression] フィールドに、照合する HTTP メソッドを入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。方式は、標準 HTTP 1.1 方式名(OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、または CONNECT)の 1 つにすることも、または厳密に一致しなければならないテキスト ストリング(CORVETTE など)にすることもできます。

[Source Address]

このルールは、クライアントの送信元 IP アドレスを使用して一致条件を確立します。

この方式を選択する場合

1. [Source IP Address] フィールドに、クライアントの送信元 IP アドレスを入力します。ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.2)。

2. [Source Netmask] フィールドで、その IP アドレスのサブネット マスクを入力します。ドット付き 10 進表記でネットマスクを入力します(例:255.255.255.0)。デフォルト値は 255.255.255.255 です。

[SSL]

特定の SSL 暗号または暗号強度に基づいてロード バランシングの決定を定義します。ACE が、SSL 終了時に ACE との間でネゴシエートされる SSL 暗号化レベルに基づいて、各サーバ ファームにクライアント トラフィックを分散できるようにします。

この方式を選択する場合

1. [SSL Cipher Match Type] フィールドで、照合タイプを選択します。オプションは次のとおりです。

[Equal To]:ロード バランシング決定用に SSL 暗号を指定します。

[Less Than]:ロード バランシング決定用に SSL 暗号強度を指定します。

2. [Equal To] を選択した場合、[Cipher Name] フィールドには、ロード バランシング決定用の SSL 暗号を指定します。指定できる値は、次のとおりです。

RSA_EXPORT1024_WITH_DES_CBC_SHA

RSA_EXPORT1024_WITH_RC4_56_MD5

RSA_EXPORT1024_WITH_RC4_56_SHA

RSA_EXPORT_WITH_DES40_CBC_SHA

RSA_EXPORT_WITH_RC4_40_MD5

RSA_WITH_3DES_EDE_CBC_SHA

RSA_WITH_AES_128_CBC_SHA

RSA_WITH_AES_256_CBC_SHA

RSA_WITH_DES_CBC_SHA

RSA_WITH_RC4_128_MD5

RSA_WITH_RC4_128_SHA

3. [Less Than] を選択した場合、[Specify Minimum Cipher Strength] フィールドで、非包含最小 SSL 暗号ビット強度を指定します。たとえば、暗号強度に 128 を指定すると、128 に満たない SSL 暗号にはトラフィック ポリシーが適用されます。SSL 暗号が 128 ビット以上の場合、接続にはポリシーは適用されません。

指定できる値は、次のとおりです。

[56]:56 ビット強度

[128]:128 ビット強度

[168]:168 ビット強度

[256]:256 ビット強度

ステップ 7 クラス マップや一致条件によっては、[Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションは使用できません。

[False]:この規則を他に定義したポリシー規則よりも優先させません。

[True]:この規則を他のポリシー規則よりも優先させます。

[True] を選択した場合、[Insert Before Policy Rule] フィールドで、この規則が優先するポリシー規則を選択します。

ステップ 8 次のいずれかをクリックします。

[Deploy Now] :をクリックして、ACE Applianceにこの設定を適用します。[Action] テーブルが [Rule] テーブルの下に表示されます。この規則のアクションを定義する場合、ステップ 9 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を保存して、他の規則を設定します。


ステップ 7 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 9 [Action] テーブルで、 [Add] をクリックしてこの規則に新しいアクションを追加します。または、既存のアクションを選択して [Edit] をクリックし、修正します。

ステップ 10 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 11 [Action Type] フィールドの [Action] タブで実行するアクションを選択し、 表 10-20 に従ってアクション仕様属性を設定します。

 

表 10-20 ロード バランシングのポリシー マップ アクション

処理
説明

[Action]

ACE Applianceは、HTTP ヘッダーの挿入、書き換え、削除に HTTP ヘッダー修正アクション リストを使用します それ以外にも、SSL URL の書き換え機能の設定に使用されます。

設定された HTTP ヘッダー修正アクション リスト(「HTTP ヘッダー修正アクション リストの設定」を参照)が含まれている [Action List] のドロップ ダウンが表示されます。このリストから 1 つを選択します。

必要に応じて、 [Add] をクリックして新しい HTTP ヘッダー修正アクション リストを追加します。または、既存のアクション リストを選択して [Edit] をクリックし、修正します。

[Compress]

ACE Applianceは、このポリシー マップと一致したパケットを圧縮します。このオプションは、HTTP タイプのクラス マップとポリシー マップを関連付けた場合だけ使用できます。

[Compress Method] フィールドで、ACE Applianceがパケット圧縮に使用するメソッドを指定します。

[Deflate]:ACE Applianceは、クライアント ブラウザが DEFLATE と GZIP 圧縮メソッドをサポートしている場合、DEFLATE 圧縮メソッドを使用します。

[Gzip]:ACE Applianceは、クライアント ブラウザが DEFLATE と GZIP 圧縮メソッドをサポートしている場合、GZIP 圧縮メソッドを使用します。これは、デフォルト設定です。

[Drop]

ACE Applianceは、このポリシー マップと一致したパケットを廃棄します。

[Action Log] フィールドで、廃棄したパケットをソフトウェアに記録するかどうかを指定します。

[N/A]:このオプションは設定されません。

[False]:廃棄したパケットはソフトウェアに記録されません。

[True]:廃棄したパケットはソフトウェアに記録されます。

[Forward]

ACE Applianceは、このポリシー マップと一致した要求をロード バランシングせずに転送します。

[Insert-HTTP]

ACE Applianceは、このポリシー マップと一致した要求にレイヤ 7 ロード バランシングの HTTP ヘッダーを挿入します。

このオプションを使用すると、クライアントの HTTP 要求に一般的なヘッダーと文字列値が挿入されるため、ACE Applianceは NAT を使用して変換された IP アドレスのクライアントを特定できます。

1. [HTTP Header Name] フィールドに、HTTP ヘッダーの一般的なフィールド名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [HTTP Header Value] フィールドに、HTTP ヘッダーに挿入する値を入力します。有効な入力は、引用符なしの最大 255 文字の英数字です。ACE Applianceは、照合に正規表現をサポートしています。スペースを含める場合は、文字列全体を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Server Farm]

ACE Applianceは、サーバ ファームへのクライアントのコンテンツ要求を負荷分散します。

1. [Server Farm] フィールドで、コンテンツ要求が送信されるサーバ ファームを選択します。

2. [Backup Server Farm] フィールドで、コンテンツ要求が送信されるバックアップ サーバ ファームを選択します。

バックアップ サーバ ファームを使用しない場合、このフィールドを空白にします。

3. [Sticky Enabled] チェックボックスをオンにして、このポリシーに関連したプライマリ サーバ ファームへ適用するスティッキ グループを、バックアップ サーバ ファームにも適用します。[Sticky Enabled] チェックボックスをオフにすると、このポリシーに関連したポリシー内のプライマリ サーバ ファームへ適用するスティッキ グループはバックアップ サーバ ファームに適用されません。

4. [Aggregate State Enabled] チェックボックスをオンにして、ポリシー マップ クラスのロード バランシング状態を評価するときに、バックアップ サーバ ファームの運用状態が考慮されるようにします。このチェックボックスをオフにすると、ポリシー マップ クラスのロード バランシング状態を評価するときに、バックアップ サーバ ファームの運用状態が考慮されません。

[Server Farm-NAT]

ACE は、ダイナミック NAT をこのポリシー マップのトラフィックに適用します。

1. [NAT Pool ID] フィールドに、[VLAN Id] フィールドで指定した VLAN 内にある IP アドレスのプール数を入力します。有効な入力は 1 ~ 2147483647 の整数です。NAT プールの設定の詳細については、「VLAN インターフェイス NAT プールの設定」を参照してください。

2. [VLAN ID] フィールドで、NAT に使用する VLAN を選択します。有効な入力は 2 ~ 4094 の整数です。

3. [Server Farm Type] フィールドで、サーバ ファームをバックアップにするかプライマリ サーバ ファームにするかを指定します。

[Set-IP-TOS]

ACE は、IP Differentiated Services Code Point (DSCP) ビットを ToS バイトで設定します。IP DSCP ビットが設定されると、そのビット設定値で QoS サービスが動作可能です。

[IP TOS Rewrite Value (Bytes)] フィールドに、IP DSCP の値を入力します。有効な入力は 0 ~ 255 の整数です。

[SSL-Proxy]

ACE Applianceは SSL プロキシ クライアント サービスを使用して、ハンドシェイクとその後の SSL セッション中に ACE Applianceが使用する SSL パラメータを定義します。

1. [SSL Proxy] フィールドで、このアクションに使用する SSL プロキシ サーバ サービスを選択します。

2. [SSL Proxy Type] フィールドで [Client] を選択し、ACE Applianceが SSL クライアントとして認識されるように設定します。

[Sticky-Server Farm]

このポリシー マップに一致する要求は、スティッキ サーバ ファームへ負荷分散されます。

[Sticky Group] フィールドで、このポリシー マップに一致した要求に使用されるスティッキ サーバ ファームを選択します。

ステップ 12 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を保存して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

一般的なサーバ ロード バランシングのポリシー マップ規則およびアクションの設定

次の手順に従って、ACE で受信する一般的なトラフィックの規則とアクションを設定します。

前提

一般的なトラフィック ポリシー マップはすでに作成している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する一般的なトラフィックのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、表 10-21 の情報を使用して規則を設定します。

 

表 10-21 一般的なサーバ ロード バランシングのポリシー マップに関する規則

オプション
説明

[Class Map]

このトラフィック ポリシーにクラス マップを使用します。

1. Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ACE が作成した Well-known クラス マップである Class-default クラス マップを予約します。このクラスは削除も変更もできません。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。指定された分類がどれもトラフィックと一致しなかった場合、ACE は Class-default クラス マップで指定されたアクションを実行します。Class-default クラス マップには、暗黙の match any 文があり、あらゆるトラフィックと一致させることができます。

2. 以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

[Match Condition]

このトラフィック ポリシーに一致条件を使用します。

[Match Condition Name]

この一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

[Match Condition Type]

[Layer 4 Payload]

ネットワーク一致基準に、レイヤ 4 のペイロード データを使用します。

1. [Layer 4 Payload RegexMatch Condition] フィールドに、TCP または UDP エンティティ ボディ内に含まれているレイヤ 4 ペイロード式を入力します。有効な入力は 1 ~ 255 文字の英数字ストリングです。 表 10-31 は、文字列式の照合に使用できるサポート対象文字の一覧です。

2. [Layer 4 Payload Offset] フィールドに、レイヤ 4 ペイロード式が文字列の検索を開始するデータのオフセットを絶対値で入力します。オフセットは TCP または UDP ボディの最初のバイトから開始します。有効な入力は 0 ~ 999 の整数です。

[Source Address]

ネットワーク トラフィックの一致基準に、クライアントの送信元ホスト IP アドレスおよびサブネット マスクを使用します。

1. [Source IP Address] フィールドに、クライアントの送信元 IP アドレスをドット付き 10 進表記で入力します。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

[Insert Before]

1. ポリシー マップでこの規則を他の規則よりも優先させます。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

2. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 5 次のいずれかをクリックします。

[Deploy Now]:この設定を適用します。画面がリフレッシュされ、[Action] テーブルが表示されます。ステップ 6 に進みます。

[Cancel]:入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。


) [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 6 [Action] テーブルで、 [Add] をクリックしてエントリを追加します。または、既存のエントリを選択して [Edit] をクリックし、修正します。

ステップ 7 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 8 [Action Type] フィールドで、表 10-22 の情報を使用して規則に対するアクションを設定します。

 

表 10-22 一般的なサーバ ロード バランシングのポリシー マップのアクション

処理
説明

[Drop]

ACE は、ポリシー マップと一致したパケットを廃棄します。

[Action Log] フィールドで、廃棄したパケットをソフトウェアに記録するかどうかを指定します。

[Forward]

ACE は、このポリシー マップと一致したトラフィックを宛先に転送します。

[Server Farm]

ACE は、サーバ ファームへのクライアントのコンテンツ要求を負荷分散します。

1. [Server Farm] フィールドで、このポリシー マップ アクションのサーバ ファームを選択します。

2. [Backup Server Farm] フィールドで、このアクションのバックアップ サーバ ファームを選択します。

3. [Sticky Enabled] チェックボックスをオンにして、バックアップ サーバ ファームがスティッキであることを示します。バックアップ サーバ ファームをスティッキにしない場合は、このチェックボックスをオフにします。

4. [Aggregate State Enabled] チェックボックスをオンにして、ポリシー マップ クラスのロード バランシング状態を評価するときに、バックアップ サーバ ファームの運用状態が考慮されるようにします。このチェックボックスをオフにすると、ポリシー マップ クラスのロード バランシング状態を評価するときに、バックアップ サーバ ファームの運用状態が考慮されません。

[Server Farm-NAT]

ACE は、ダイナミック NAT をこのポリシー マップのトラフィックに適用します。

1. [NAT Pool ID] フィールドに、[VLAN Id] フィールドで指定した VLAN 内にある IP アドレスのプール数を入力します。有効な入力は 1 ~ 2147483647 の整数です。NAT プールの設定の詳細については、「VLAN インターフェイス NAT プールの設定」を参照してください。

2. [VLAN ID] フィールドで、NAT に使用する VLAN を選択します。有効な入力は 2 ~ 4094 の整数です。

3. [Server Farm Type] フィールドで、サーバ ファームをバックアップにするかプライマリ サーバ ファームにするかを指定します。

[Set-IP-TOS]

ACE は、IP Differentiated Services Code Point (DSCP) ビットを ToS バイトで設定します。IP DSCP ビットが設定されると、そのビット設定値で QoS サービスが動作可能です。

[IP TOS Rewrite Value (Bytes)] フィールドに、IP DSCP の値を入力します。有効な入力は 0 ~ 255 の整数です。

[Sticky-Server Farm]

ACE は、スティッキ サーバ ファームへのクライアントのコンテンツ要求を負荷分散します。

[Sticky Group] フィールドで、このポリシー マップに一致した要求に使用されるスティッキ サーバ ファームを選択します。

ステップ 9 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

RADIUS サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

次の手順に従って、ACE で受信する RADIUS トラフィックの規則とアクションを設定します。

前提

RADIUS サーバ ロード バランシング トラフィックのポリシー マップをすでに設定している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する RADIUS サーバ ロード バランシングのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、表 10-23 の情報を使用して規則を設定します。

 

表 10-23 RADIUS サーバ ロード バランシングのポリシー マップに関する規則

オプション
説明

[Class Map]

このトラフィック ポリシーに使用するクラス マップを指定します。

1. Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ACE が作成した Well-known クラス マップである Class-default クラス マップを予約します。このクラスは削除も変更もできません。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。指定された分類がどれもトラフィックと一致しなかった場合、ACE は Class-default クラス マップで指定されたアクションを実行します。Class-default クラス マップには、暗黙の match any 文があり、あらゆるトラフィックと一致させることができます。

2. 以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

[Match Condition]

このトラフィック ポリシーに使用する一致条件を指定します。

1. [Match Condition Name] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Match Condition Type] フィールドで、このポリシー マップに使用する一致条件タイプを選択します。

[Calling Station ID]:一致条件の確立に、コーリング ステーションの一意の ID を使用します。

[RADIUS Calling Station ID] フィールドに、一致させるコーリング ステーション ID を入力します。有効な値は、1 ~ 64 の英数字の文字列です。文字列式の照合に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[User Nname]:一致条件の確立に、ユーザ名を使用します。

[User Name] フィールドに、一致させる名前を入力します。有効な値は、1 ~ 64 の英数字の文字列です。文字列式の照合に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Insert Before]

1. ポリシー マップでこの規則を他の規則よりも優先させます。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

2. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 5 次のいずれかをクリックします。

[Deploy Now] :この設定を適用します。画面がリフレッシュされ、[Action] テーブルが表示されます。この規則のアクションを入力する場合、ステップ 6 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を適用して、他の規則を設定します。


) [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 6 [Action] テーブルで、 [Add] をクリックしてエントリを追加します。または、既存のエントリを選択して [Edit] をクリックし、修正します。

ステップ 7 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 8 [Action Type] フィールドで、表 10-22 の情報を使用して規則に対するアクションを設定します。

ステップ 9 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

RTSP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

次の手順に従って、ACE で受信する RTSP トラフィックの規則とアクションを設定します。

前提

RTSP サーバ ロード バランシング トラフィックのポリシー マップをすでに設定している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する RTSP サーバ ロード バランシングのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、表 10-24 の情報を使用して規則を設定します。

 

表 10-24 RTSP サーバ ロード バランシングのポリシー マップに関する規則

オプション
説明

[Class Map]

このトラフィック ポリシーに使用するクラス マップを指定します。

1. Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ACE が作成した Well-known クラス マップである Class-default クラス マップを予約します。このクラスは削除も変更もできません。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。指定された分類がどれもトラフィックと一致しなかった場合、ACE は Class-default クラス マップで指定されたアクションを実行します。Class-default クラス マップには、暗黙の match any 文があり、あらゆるトラフィックと一致させることができます。

2. 以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

[Match Condition]

このトラフィック ポリシーに使用する一致条件を指定します。

1. [Match Condition] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Match Condition Type] フィールドで、このポリシー マップに使用する一致条件のタイプを選択し、表 10-25 の情報を使用してすべてのタイプ仕様属性を設定します。

[Insert Before]

1. ポリシー マップでこの規則を他の規則よりも優先させます。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

2. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

 

表 10-25 RTSP ポリシー マップの一致条件

[Match Condition]
説明

[RTSP Header]

一致基準に RTSP ヘッダー情報を使用します。

1. [Header Name] フィールドで、次のいずれかの方法で一致させるヘッダーを指定します。

標準の RTSP ヘッダーではない RTSP ヘッダーを指定する場合、1 つめのラジオ ボタンを選択して、[Header Name] フィールドに RTSP ヘッダー名を入力します。有効な入力は、スペースを含まず引用符なしの最大 64 文字です。

標準の RTSP ヘッダーを指定する場合、2 つめのラジオ ボタンをクリックして、リストから RTSP ヘッダーを選択します。

2. 指定の RTSP ヘッダーのフィールド値と比較するため、[Header Value (Bytes)] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE は、照合に正規表現をサポートしています。文字列にスペースが含まれている場合は、文字列を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[RTSP URL]

一致基準に URL またはその一部を使用します。

1. [URL Expression] フィールドに、照合する URL または URL の一部を入力します。ACE では、URL にホスト名が含まれているかどうかに関係なく、RTSP メソッドの後ろにある URL 文字列に対して照合を実行します。ACE は、URL 文字列の一致条件に正規表現をサポートしています。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

2. [Method Expression] フィールドに、照合する RTSP メソッドを入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。メソッドは、標準 RTSP メソッド名(DESCRIBE、ANNOUNCE、GET_PARAMETER、OPTIONS、PAUSE、PLAY、RECORD、REDIRECT、SETUP、SET_PARAMETER、TEARDOWN)の 1 つにすることも、または厳密に一致しなければならないテキストの文字列(STINGRAY など)にすることもできます。

[Source Address]

一致基準に送信元 IP アドレスを使用します。

1. [Source Address] フィールドに、この一致条件の送信元 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

ステップ 5 [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

[Insert Before] フィールドで [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :この設定を適用します。画面がリフレッシュされ、[Action] テーブルが表示されます。ステップ 7 に進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を適用して、他の規則を追加します。


ステップ 5 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 7 [Action] テーブルで、 [Add] をクリックしてエントリを追加します。または、既存のエントリを選択して [Edit] をクリックし、修正します。

ステップ 8 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 9 [Action Type] フィールドで、表 10-22 の情報を使用して規則に対するアクションを設定します。

ステップ 10 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

SIP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

次の手順に従って、ACE で受信する SIP トラフィックの規則とアクションを設定します。

前提

SIP サーバ ロード バランシング トラフィックのポリシー マップをすでに設定している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する SIP サーバ ロード バランシングのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、表 10-26 の情報を使用して規則を設定します。

 

表 10-26 SIP サーバ ロード バランシングのポリシー マップに関する規則

オプション
説明

[Class Map]

このトラフィック ポリシーに使用するクラス マップを指定します。

1. Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ACE が作成した Well-known クラス マップである Class-default クラス マップを予約します。このクラスは削除も変更もできません。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。指定された分類がどれもトラフィックと一致しなかった場合、ACE は Class-default クラス マップで指定されたアクションを実行します。Class-default クラス マップには、暗黙の match any 文があり、あらゆるトラフィックと一致させることができます。

2. 以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

[Match Condition]

このトラフィック ポリシーに使用する一致条件を指定します。

1. [Match Condition] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Match Condition Type] フィールドで、このポリシー マップに使用する一致条件のタイプを選択し、表 10-27 の情報を使用してすべてのタイプ仕様属性を設定します。

[Insert Before]

1. ポリシー マップでこの規則を他の規則よりも優先させます。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

2. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

 

表 10-27 SIP サーバ ロード バランシングのポリシー マップに関する一致条件

[Match Condition]
説明

[SIP Header]

一致基準に SIP ヘッダー情報を使用します。

1. [Header Name] フィールドで、次のいずれかの方法で一致させるヘッダーを指定します。

標準の SIP ヘッダーではない SIP ヘッダーを指定する場合、1 つめのラジオ ボタンを選択して、[Header Name] フィールドに SIP ヘッダー名を入力します。有効な入力は、スペースを含まず引用符なしの最大 64 文字です。

標準の SIP ヘッダーを指定する場合、2 つめのラジオ ボタンをクリックして、リストから SIP ヘッダーを選択します。

2. 指定の SIP ヘッダーのフィールド値と比較するため、[Header Value (Bytes)] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE は、照合に正規表現をサポートしています。文字列にスペースが含まれている場合は、文字列を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Source Address]

一致基準に送信元 IP アドレスを使用します。

1. [Source IP Address] フィールドに、この一致条件の送信元 IP アドレスを入力します(192.168.11.1 のようなドット付き 10 進表記を使用)。

2. [Source Netmask] フィールドで、送信元 IP アドレスのサブネット マスクを選択します。

ステップ 5 次のいずれかをクリックします。

[Deploy Now] :この設定を適用します。画面がリフレッシュされ、規則のアクションを入力できる [Action] テーブルが表示されます。ステップ 6 に進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を適用して、他の規則を追加します。


ステップ 4 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 6 [Action] テーブルで、 [Add] をクリックしてエントリを追加します。または、既存のエントリを選択して [Edit] をクリックし、修正します。

ステップ 7 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 8 [Action Type] フィールドで、表 10-22 の情報を使用して規則に対するアクションを設定します。

ステップ 9 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

RDP サーバ ロード バランシングのポリシー マップ規則およびアクションの設定

次の手順に従って、ACE で受信する RDP トラフィックの規則とアクションを設定します。

前提

RDP サーバ ロード バランシング トラフィックのポリシー マップをすでに設定している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する RDP サーバ ロード バランシングのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、[Class Map] が選択されていることを確認します。

ステップ 5 Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ACE が作成した Well-known クラス マップである Class-default クラス マップを予約します。このクラスは削除も変更もできません。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。指定された分類がどれもトラフィックと一致しなかった場合、ACE は Class-default クラス マップで指定されたアクションを実行します。Class-default クラス マップには、暗黙の match any 文があり、あらゆるトラフィックと一致させることができます。

ステップ 6 以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

ステップ 7 [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

[Insert Before] フィールドで [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 8 次のいずれかをクリックします。

[Deploy Now] :この設定を適用します。画面がリフレッシュされ、[Action] テーブルが表示されます。この規則のアクションを入力する場合、ステップ 9 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を適用して、他の規則を設定します。


ステップ 7 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 9 [Action] テーブルで、 [Add] をクリックしてエントリを追加します。または、既存のエントリを選択して [Edit] をクリックし、修正します。

ステップ 10 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 11 [Action Type] フィールドで、表 10-22 の情報を使用して規則に対するアクションを設定します。

ステップ 12 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 7 HTTP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定

次の手順に従って、レイヤ 7 HTTP ディープ パケット インスペクションのポリシー マップに関する規則とアクションを追加します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定するレイヤ 7 ディープ パケット インスペクションのポリシー マップを選択し、[Rule] タブをクリックします。このとき、複数のポリシー マップを選択して(エントリを選択しながら Shift キーを押します)、共通の規則とアクションを適用することもできます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、既存の規則を選択して [Edit] をクリックし、修正します。[Rule] 設定画面が表示されます。

ステップ 4 [Type] フィールドで、使用する規則タイプを選択します。

[Class Map]:ACE Applianceは、規則と対応するアクションの特定に既存のクラス マップを使用します。ステップ 5 に進みます。

[Match Condition]:ACE Applianceは、規則と対応するアクションの特定に条件セットを使用します。ステップ 7 に進みます。

ステップ 5 クラス マップの場合、class-default クラス マップを使用するには [Use Class Default] チェックボックスをオンにします。このチェックボックスをオフにすると、以前作成したクラス マップが使用されます。

ステップ 6 [Use Class Default] チェックボックスをオフにした場合、次の作業を実行します。

a. [Class Map Name] フィールドで、使用するクラス マップを選択します。

b. [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションが設定されていません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

c. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 7 一致条件を選択した場合、次の作業を実行します。

a. [Match Condition Name] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

b. [Match Condition Type] フィールドで、一致条件の判断に使用するメソッドとそれに対応する条件を選択します。これらの選択肢については、 表 10-28 を参照してください。

 

表 10-28 HTTP ディープ パケット インスペクションの一致タイプ

[Match Condition Type]
説明

[Content]

アプリケーション インスペクションの判定に、HTTP エンティティのボディ内に含まれる特定のコンテンツを使用します。

1. [Content Expression] フィールドに、照合するコンテンツを入力します。有効な入力は 1 ~ 255 文字の英数字ストリングです。

2. [Content Offset (Bytes)] フィールドに、ヘッダーとメッセージ ボディの間の空白行(CR、LF、CR、LF)より後ろにあって、メッセージ ボディの第 1 バイトから始まっていて無視するバイト数を入力します。有効な入力は、1 ~ 4000 バイトです。

[Content Length]

アプリケーション インスペクションの判定に、HTTP メッセージのコンテンツ解析長を使用します。

1. [Content Length Operator] フィールドで、コンテンツ長の比較に使用するオペランドを選択します。

[Equal To]:コンテンツ長を [Content Length Value (Bytes)] フィールドの数値と同一にする必要があります。

[Greater Than]:コンテンツ長を [Content Length Value (Bytes)] フィールドの数値より大きくする必要があります。

[Less Than]:コンテンツ長を [Content Length Value (Bytes)] フィールドの数値より小さくする必要があります。

[Range]:コンテンツ長を [Content Length Lower Value (Bytes)] フィールドと [Content Length Higher Value (Bytes)] フィールドに指定された範囲におさめる必要があります。

2. 値を入力してコンテンツ長を比較します。

[Content Length Operator] フィールドで [Equal To]、[Greater Than]、[Less Than] を選択した場合、[Content Length Value (Bytes)] フィールドが表示されます。[Content Length Value (Bytes)] フィールドに、比較に使用するバイト数を入力します。有効な入力は 0 ~ 4294967295 の整数です。

[Content Length Operator] フィールドで [Range] を選択した場合、[Content Length Lower Value (Bytes)] フィールドと [Content Length Higher Value (Bytes)] フィールドが表示されます。

1. [Content Length Lower Value (Bytes)] フィールドに、一致条件の下限に使用するバイト数を入力します。有効な入力は 0 ~ 4294967295 の整数です。このフィールド内の数字は、[Content Length Higher Value (Bytes)] フィールドに入力した数字よりも小さい必要があります。

2. [Content Length Higher Value (Bytes)] フィールドに、一致条件の上限に使用するバイト数を入力します。有効な入力は 1 ~ 4294967295 の整数です。このフィールド内の数字は、[Content Length Lower Value (Bytes)] フィールドに入力した数字よりも大きい必要があります。

[Content Type Verification]

コンテンツの MIME-type メッセージをヘッダーの MIME-type で検証します。インライン一致コマンドは、ACE Applianceの通過が許可された HTTP メッセージの MIME-type を制限します。ヘッダーの MIME-type 値が、内部のサポートされている MIME-type リストにあるかどうか、また、ヘッダーの MIME-type がデータやメッセージのエンティティ ボディ部分の実際のコンテンツと一致しているかどうかを検証します。一致しない場合、ACE Applianceは指定のレイヤ 7 ポリシー マップ アクションを実行します。

(注) [Content Type Verification] は、唯一利用可能なインライン一致条件です。レイヤ 7 HTTP ディープ インスペクション一致条件は、他の一致条件と組み合わせられないため、インライン一致条件として表示されます。

[Header]

HTTP ヘッダーの名前および値は、アプリケーション インスペクションの決定に使用されます。

1. [Header] フィールドで、一致条件に使用する定義済み HTTP ヘッダーの 1 つを選択します。または [HTTP Header] を選択して他の HTTP ヘッダーを指定します。

2. [HTTP Header] を選択した場合、[Header Name] フィールドに比較させる HTTP ヘッダー名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

3. 指定の HTTP ヘッダーのフィールド値と比較するため、[Header Value] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE Applianceは、照合に正規表現をサポートしています。文字列にスペースを含める場合は、文字列全体を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Header Length]

HTTP メッセージのヘッダー長は、アプリケーション インスペクションの決定に使用されます。

1. [Header Length Type] フィールドで、アプリケーション インスペクションの判定に使用する HTTP ヘッダー要求または応答メッセージを選択します。

[Request]:ヘッダー長について、HTTP ヘッダー要求メッセージが確認されます。

[Response]:ヘッダー長について、HTTP ヘッダー応答メッセージが確認されます。

2. [Header Length Operator] フィールドで、ヘッダー長の比較に使用するオペランドを選択します。

[Equal To]:ヘッダー長を [Header Length Value (Bytes)] フィールドの数値と同一にする必要があります。

[Greater Than]:ヘッダー長を [Header Length Value (Bytes)] フィールドの数値より大きくする必要があります。

[Less Than]:ヘッダー長を [Header Length Value (Bytes)] フィールドの数値より小さくする必要があります。

[Range]:ヘッダー長を [Header Length Lower Value (Bytes)] フィールドと [Header Length Higher Value (Bytes)] フィールドに指定された範囲におさめる必要があります。

3. 値を入力してヘッダー長を比較します。

[Header Length Operator] フィールドで [Equal To]、[Greater Than]、[Less Than] を選択した場合、[Header Length Value (Bytes)] フィールドが表示されます。[Header Length Value (Bytes)] フィールドに、比較に使用するバイト数を入力します。有効な入力は 0 ~ 255 の整数です。

[Header Length Operator] フィールドで [Range] を選択した場合、[Header Length Lower Value (Bytes)] フィールドと [Header Length Higher Value (Bytes)] フィールドが表示されます。

1. [Header Length Lower Value (Bytes)] フィールドに、一致条件の下限に使用するバイト数を入力します。有効な入力は 0 ~ 255 の整数です。このフィールド内の数字は、[Header Length Higher Value (Bytes)] フィールドに入力した数字よりも小さい必要があります。

2. [Header Length Higher Value (Bytes)] フィールドに、一致条件の上限に使用するバイト数を入力します。有効な入力は 1 ~ 255 の整数です。このフィールド内の数字は、[Header Length Lower Value (Bytes)] フィールドに入力した数字よりも大きい必要があります。

[Header MIME Type]

Multipurpose Internet Mail Extension(MIME)メッセージ タイプは、アプリケーション インスペクションの決定に使用されます。

[Header MIME Type] フィールドで、一致条件に使用する MIME メッセージ タイプを選択します。

[Port Misuse]

アプリケーション インスペクションの判定に、ポート 80(または HTTP を実行している他のポート)の悪用性を使用します。

この一致条件にアプリケーション カテゴリを使用するように指定します。

[IM]:一致条件にインスタント メッセージング アプリケーションを使用します。

[P2P]:一致条件にピアツーピア アプリケーションを使用します。

[Tunneling]:一致条件にトンネリング アプリケーションを使用します。

[Request Method]

アプリケーション インスペクションの判定に、要求メソッドを使用します。

デフォルトの場合、ACE Applianceはすべての要求メソッドと拡張メソッドを許可します。このオプションを使用すると、RFC 2616 と HTTP 拡張メソッドに定義されている要求メソッドに準拠してアプリケーション インスペクションの判定を定義したクラス マップを設定できます

1. [Request Method Type] フィールドで、アプリケーション インスペクションの判定に使用する準拠タイプを選択します。

[Ext]:アプリケーション インスペクションの判定に、HTTP 拡張メソッドを使用します。

[RFC]:アプリケーション インスペクションの判定に、RFC 2616 で定義された要求メソッドを使用します。

この選択によって、[Ext Request Method] フィールドまたは [RFC Request Method] フィールドが表示されます。

2. [Request Method] フィールドで、使用する特定の要求メソッドを選択します。

[Strict HTTP]

メッセージが HTTP RFC 標準の RFC 2616 に準拠しているかどうか内部準拠検査が実行されます。HTTP メッセージが準拠していない場合、ACE Applianceは指定の レイヤ 7 ポリシー マップのアクションを実行します。

(注) [Strict HTTP] は、唯一利用可能なインライン一致条件です。レイヤ 7 HTTP ディープ インスペクション一致条件は、他の一致条件と組み合わせられないため、インライン一致条件として表示されます。

[Transfer Encoding]

アプリケーション インスペクションの判定に、HTTP 転送エンコーディング タイプを使用します。[transfer-encoding general-header] フィールドは、送信側と受信側の間で安全にメッセージ ボディを転送するために、HTTP メッセージ ボディに適用されてきた変換のタイプ(存在する場合)を指定します。

[Transfer Encoding] フィールドで、確認するエンコーディングのタイプを選択します。

[Chunked]:メッセージ ボディは一連のチャンクとして転送されます。

[Compress]:エンコーディング フォーマットは、UNIX ファイル圧縮プログラム compress によって作成されます。

[Deflate]:.zlib フォーマットは、RFC 1951 に規定されている DEFLATE 圧縮メカニズムとともに、RFC 1950 に規定されています。

[Gzip]:エンコーディング フォーマットは、RFC 1952 に規定されているファイル圧縮プログラム GZIP(GNU zip)によって作成されます。

[Identity]:変換の使用を必要としないデフォルトの(identity)エンコーディングです。

[URL]

アプリケーション インスペクションの判定に、URL 名を使用します。

[URL] フィールドに、照合する URL または URL の一部を入力します。有効な入力は、1 ~ 255 の英数字による URL ストリングで、www. hostname . domain の URL の一部だけを含めます。たとえば、URL www.anydomain.com/latest/whatsnew.html では、/latest/whatsnew.html だけを含めます。

[URL Length]

アプリケーション インスペクションの判定に、URL 長を使用します。

1. [URL Length Operator] フィールドで、URL 長の比較に使用するオペランドを選択します。

[Equal To]:URL 長を [URL Length Value (Bytes)] フィールドの数値と同一にする必要があります。

[Greater Than]:URL 長を [URL Length Value (Bytes)] フィールドの数値より大きくする必要があります。

[Less Than]:URL 長を [URL Length Value (Bytes)] フィールドの数値より小さくする必要があります。

[Range]:URL 長を [URL Length Lower Value (Bytes)] フィールドと [URL Length Higher Value (Bytes)] フィールドに指定された範囲におさめる必要があります。

2. 値を入力して URL 長を比較します。

[URL Length Operator] フィールドで [Equal To]、[Greater Than]、[Less Than] を選択した場合、[URL Length Value (Bytes)] フィールドが表示されます。[URL Length Value (Bytes)] フィールドに、比較に使用する値を入力します。有効な入力は、1 ~ 65535 バイトです。

[URL Length Operator] フィールドで [Range] を選択した場合、[URL Length Lower Value (Bytes)] フィールドと [URL Length Higher Value (Bytes)] フィールドが表示されます。

1. [URL Length Lower Value (Bytes)] フィールドに、一致条件の下限に使用するバイト数を入力します。有効な入力は 1 ~ 65535 の整数です。このフィールド内の数字は、[URL Length Higher Value (Bytes)] フィールドに入力した数字よりも小さい必要があります。

2. [URL Length Higher Value (Bytes)] フィールドに、一致条件の上限に使用するバイト数を入力します。有効な入力は 1 ~ 65535 の整数です。このフィールド内の数字は、[URL Length Lower Value (Bytes)] フィールドに入力した数字よりも大きい必要があります。

ステップ 8 [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このアトリビュートは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

ステップ 9 [Insert Before] フィールドに [True] を設定した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 10 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。[Action] テーブルが [Rule] テーブルの下に表示されます。この規則のアクションを定義する場合、ステップ 11 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Policy Maps] テーブルに戻ります。

[Next] :入力した内容を保存して、他の規則を設定します。


ステップ 8 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 11 この規則にアクションを追加する場合、[Action] テーブルの [Add] をクリックします。既存のアクションを選択する場合、 [Edit] をクリックして修正します。[Action] 設定画面が表示されます。

ステップ 12 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 13 [Action Type] フィールドで、この規則に適用するアクションを選択します。

[Permit]:指定の HTTP ディープ パケット インスペクションの一致基準を満たしていた場合、指定の HTTP トラフィックが許可されます。

[Reset]:指定の HTTP トラフィックは拒否されます。接続をクローズするため、TCP リセット メッセージがクライアントまたはサーバに送信されます。

ステップ 14 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :このポリシー マップや規則の他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 7 FTP コマンド インスペクションのポリシー マップ規則およびアクションの設定

File Transfer Protocol (FTP)インスペクションは、メッセージ アドレスを変換するときの FTP セッション、ポートのダイナミック オープン、要求または応答メッセージのステートフルな追跡に関する検査を実行します。指定された FTP コマンドは、それぞれ ACE が新しいコマンドを許可する前に認識させる必要があります。コマンドのフィルタリングを使用することで、ACE の特定のコマンドを制限できます。ACE がコマンドを拒否した場合、その接続がクローズされます。

FTP コマンド インスペクションの処理は ACE に実行されます。

ダイナミック セカンダリ データ接続を準備します。チャネルは、ファイル アップロード、ファイル ダウンロード、ディレクトリ一覧イベントに応じて割り当てられるため、事前にネゴシエートしておく必要があります。ポートは PORT または PASV コマンドによってネゴシエートされます。

FTP コマンド応答シーケンスを追跡します。ACE は、下記にリストされているコマンド検査を実行します。レイヤ 3/4 ポリシー マップの [FTP Strict] フィールドを指定している場合、ACE は各 FTP コマンドと応答シーケンスが下記の説明とは異なっているかどうかを追跡します。FTP Strict パラメータは、レイヤ 7 FTP ポリシー マップ(レイヤ 3/4 ポリシー マップ内でネストされている)と組み合わせて使用され、特定の FTP コマンドを拒否したりサーバの SYST 応答をマスクしたりします。


) FTP Strict パラメータを使用すると、RFC 標準に準拠していない FTP クライアントが影響されます。


切り捨てされたコマンド:PORT および PASV 応答コマンドのカンマ数を検査します(固定値は 5)。値が 5 ではない場合、ACE は PORT コマンドが切り捨てられている見なし、警告メッセージを発行して TCP 接続をクローズします。

不正なコマンド:RFC 959 に準拠して <CR><LF> 文字で FTP コマンドが終了しているかどうか検査します。FTP コマンドがこれらの文字で終了していない場合、ACE は接続をクローズします。

RETR コマンドと STOR コマンドのサイズ:固定の定数(256)と比較して RETR および STOR のコマンド サイズを検査します。サイズが定数より大きい場合、ACE はエラー メッセージを記録して接続をクローズします。

コマンド スプーフィング:PORT コマンドが常にクライアントから送信されているかどうか検査します。PORT コマンドがサーバから送信されている場合、ACE は TCP 接続を拒否します。

応答スプーフィング:PASV 応答コマンド(227)が常にサーバから送信されているかどうか検査します。PASV コマンドがクライアントから送信されている場合、ACE は TCP 接続を拒否します。これにより、ユーザが「227 xxxxx a1, a2, a3, a4, p1, p2」を実行したときのセキュリティ ホールを予防できます。

無効なポート ネゴシエーション:ネゴシエートされたダイナミック ポート値が 1024 を超えているか検査します(2 ~ 1024 の範囲にあるポート番号は Well-known 接続に予約されています)。ネゴシエートされたポートが予約済みの範囲内にある場合、ACE は TCP 接続をクローズします。

コマンド パイプライン:PORT および PASV 応答コマンド内のポート番号の後に続く文字数を定数(8)と比較して検査します。文字数が 8 より大きい場合、ACE は TCP 接続をクローズします。

NAT と組み合わせて使用されている埋め込み IP アドレスを変換します。FTP コマンド インスペクションは、アプリケーション ペイロード内の IP アドレスを変換します。この背景などの詳細は、RFC 959 を参照してください。

次の手順に従って、レイヤ 7 FTP コマンド インスペクションのポリシー マップに関する規則とアクションを追加します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定するレイヤ 7 FTP コマンド インスペクションのポリシー マップを選択し、[Rule] タブをクリックします。このとき、複数のポリシー マップを選択して(エントリを選択しながら Shift キーを押します)、共通の規則とアクションを適用することもできます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、既存の規則を選択して [Edit] をクリックし、修正します。[Rule] 設定画面が表示されます。

ステップ 4 [Type] フィールドで、使用する規則タイプを選択します。

[Class Map]:ACE Applianceは、規則と対応するアクションの特定に既存のクラス マップを使用します。

[Match Condition]:ACE Applianceは、規則と対応するアクションの特定に条件セットを使用します。

ステップ 5 クラス マップの場合、class-default クラス マップを使用するには [Use Class Default] チェックボックスをオンにします。このチェックボックスをオフにすると、以前作成したクラス マップが使用されます。

ステップ 6 [Use Class Default] チェックボックスをオフにした場合、次の作業を実行します。

a. [Class Map Name] フィールドで、使用するクラス マップを選択します。

b. [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションが設定されていません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

c. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 7 一致条件を選択した場合、次の作業を実行します。

a. [Match Condition Name] フィールドに、この規則に対する一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

b. [Match Condition Type] フィールドで、この規則の一致条件タイプに使用する [Request Method Name] を選択します。

c. [Request Method Name] フィールドで、この規則で検査する FTP コマンドを選択します。表 10-13 に、検査できる FTP コマンド示します。

ステップ 8 [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このアトリビュートは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

ステップ 9 [Insert Before] フィールドに [True] を設定した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 10 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。[Action] テーブルが [Rule] テーブルの下に表示されます。この規則のアクションを定義する場合、ステップ 11 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Policy Maps] テーブルに戻ります。

[Next] :入力した内容を保存して、他の規則を設定します。


ステップ 8 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 11 この規則にアクションを追加する場合、[Action] テーブルの [Add] をクリックします。既存のアクションを選択する場合、 [Edit] をクリックして修正します。[Action] 設定画面が表示されます。

ステップ 12 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 13 [Action Type] フィールドで、この規則に適用するアクションを指定します。

[Deny]:この規則が満たされた場合、ACE Applianceは指定の FTP コマンドを拒否します。

[Mask Reply]:ACE Applianceは、FTP の syst コマンド出力から機密性の高い情報をフィルタリングすることで、このコマンドへの応答をマスクします。このアクションは FTP の syst コマンドだけに適用されます。

ステップ 14 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を保存して、この規則に他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 7 SIP ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定

次の手順に従って、SIP ディープ パケット インスペクションのポリシー マップに関する規則とアクションを設定します。

前提

SIP ディープ パケット インスペクションのポリシー マップをすでに設定している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する SIP ディープ パケット インスペクションのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、表 10-29 の情報を使用して規則を設定します。

 

表 10-29 レイヤ 7 SIP ディープ パケット インスペクションのポリシー マップに関する規則

オプション
説明

[Class Map]

このトラフィック ポリシーに使用するクラス マップを指定します。

1. Class-default クラス マップを使用する場合、[Use Class Default] チェックボックスをオンにします。

ACE が作成した Well-known クラス マップである Class-default クラス マップを予約します。このクラスは削除も変更もできません。指定されたクラス マップで他の一致基準を満たせなかったすべてのトラフィックは、デフォルト トラフィック クラスに割り当てられます。指定された分類がどれもトラフィックと一致しなかった場合、ACE は Class-default クラス マップで指定されたアクションを実行します。Class-default クラス マップには、暗黙の match any 文があり、あらゆるトラフィックと一致させることができます。

2. 以前作成したクラス マップを使用する場合、次の手順に従います。

a. [Use Class Default] チェックボックスをクリアにします。

b. [Class Map Name] フィールドで、使用するクラス マップを選択します。

[Match Condition]

このトラフィック ポリシーに使用する一致条件を指定します。

1. [Match Condition] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Match Condition Type] フィールドで、このポリシー マップに使用する一致条件のタイプを選択し、表 3-7 の情報を使用してすべてのタイプ仕様属性を設定します。

[Insert Before]

1. ポリシー マップでこの規則を他の規則よりも優先させます。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

2. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 5 次のいずれかをクリックします。

[Deploy Now] :この設定を適用します。画面がリフレッシュされ、[Action] テーブルが表示されます。ステップ 6 に進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を適用して、他の規則を追加します。


) [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 6 [Action] テーブルで、 [Add] をクリックしてエントリを追加します。または、既存のエントリを選択して [Edit] をクリックし、修正します。

ステップ 7 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 8 [Action Type] フィールドで、この規則に適用するアクションを選択します。

[Drop]:指定の一致基準を満たした場合、SIP トラフィックが廃棄されます。

[Permit]:指定の一致基準を満たした場合、SIP トラフィックが許可されます。

[Reset]:指定の一致基準を満たした場合、SIP トラフィックが拒否されます。接続をクローズするため、TCP リセット メッセージがクライアントまたはサーバに送信されます。

ステップ 9 [Action Log] フィールドで、発生するアクションを記録するかどうか指定します。

[N/A]:このオプションは設定されません。

[False]:廃棄したパケットはソフトウェアに記録されません。

[True]:廃棄したパケットはソフトウェアに記録されます。

ステップ 10 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 7 Skinny ディープ パケット インスペクションのポリシー マップ規則およびアクションの設定

次の手順に従って、Skinny Client Control Protocol (SCCP)ディープ パケット インスペクションのポリシー マップに関する規則とアクションを設定します。

前提

Skinny ディープ パケット インスペクションのポリシー マップをすでに設定している。

クラス マップのクラス マップ規則をすでに定義している(Class-default クラス マップを使用しない場合)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定する Skinny ディープ パケット インスペクションのポリシー マップを選択します。[Rule] テーブルが表示されます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、修正する規則を選択して [Edit] をクリックします。[Rule] 画面が表示されます。

ステップ 4 [Type] フィールドで、[Match Condition] が選択されていることを確認します。

ステップ 5 [Match Condition Name] フィールドに、一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

ステップ 6 [Match Condition Type] フィールドで、[Message ID] が選択されていることを確認します。

ステップ 7 [Message ID Operator] フィールドで、一致基準が 1 つのメッセージ ID かメッセージ ID 範囲かを指定します。

[Equal To]:一致条件に 1 つのメッセージ ID が使用されます。

[Message ID Value] フィールドに、SCCP メッセージの ID を数字で入力します。有効な入力は 0 ~ 65535 の整数です。

[Range]:一致条件に メッセージ ID 範囲が使用されます。

a. [Message ID Low Range Value] フィールドに、SCCP メッセージ ID 範囲の下限を数字で入力します。有効な入力は 0 ~ 65535 の整数です。

b. [Message ID High Range Value] フィールドに、SCCP メッセージ ID 範囲の上限を数字で入力します。有効な値は、0 ~ 65535 の整数です。このフィールドの値は、[Message ID Low Range Value] フィールドに入力する値と同じか、それよりも大きくする必要があります。

ステップ 8 [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

ステップ 9 [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 10 次のいずれかをクリックします。

[Deploy Now] :をクリックして、ACEにこの設定を適用します。画面がリフレッシュされ、[Action] テーブルが表示されます。この規則のアクションを定義する場合、ステップ 11 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を適用して、他の規則を設定します。


ステップ 8 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 11 [Action] テーブルで、 [Add] をクリックしてこの規則に新しいアクションを追加します。または、既存のアクションを選択して [Edit] をクリックし、修正します。[Action] 設定画面が表示されます。

ステップ 12 [ID] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 13 [Action Type] フィールドで、[Reset] が選択されていることを確認します。

ステップ 14 [Action Log] フィールドで、発生するアクションを記録するかどうか指定します。

[N/A]:このオプションは設定されません。

[False]:廃棄したパケットはソフトウェアに記録されません。

[True]:廃棄したパケットはソフトウェアに記録されます。

ステップ 15 次のいずれかをクリックします。

[Deploy Now] :ACEにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を適用して、他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

レイヤ 7 HTTP 最適化のポリシー マップ規則およびアクションの設定

次の手順に従って、レイヤ 7 HTTP 最適化のポリシー マップに関する規則とアクションを追加します。

前提

HTTP 最適化アクション リストをすでに設定している。詳細については、「HTTP 最適化アクション リストの設定」を参照してください。

クラス マップをすでに定義している(Class-default クラス マップを使用しない場合)。詳細については、「仮想コンテキスト クラス マップの作成」を参照してください。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Policy Maps] の順に選択します。[Policy Maps] テーブルが表示されます。

ステップ 2 [Policy Maps] テーブルで、規則およびアクションを設定するレイヤ 7 HTTP 最適化のポリシー マップを選択し、[Rule] タブをクリックします。このとき、複数のポリシー マップを選択して(エントリを選択しながら Shift キーを押します)、共通の規則とアクションを適用することもできます。

ステップ 3 [Rule] テーブルで、 [Add] をクリックして新しい規則を追加します。または、既存の規則を選択して [Edit] をクリックし、修正します。[Rule] 設定画面が表示されます。

ステップ 4 [Type] フィールドで、使用する規則タイプを選択します。

[Class Map]:ACE Applianceは、規則と対応するアクションの特定に既存のクラス マップを使用します。

[Match Condition]:ACE Applianceは、規則と対応するアクションの特定に条件セットを使用します。

ステップ 5 クラス マップの場合、class-default クラス マップを使用するには [Use Class Default] チェックボックスをオンにします。このチェックボックスをオフにすると、以前作成したクラス マップが使用されます。

ステップ 6 [Use Class Default] チェックボックスをオフにした場合、次の作業を実行します。

a. [Class Map Name] フィールドで、使用するクラス マップを選択します。

b. [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このオプションが設定されていません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

c. [True] を選択した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 7 一致条件を選択した場合、次の作業を実行します。

a. [Match Condition Name] フィールドに、この規則に対する一致条件名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

b. [Match Condition Type] フィールドで使用する一致条件タイプを選択し、表 10-30 に従って条件仕様属性を設定します。

 

表 10-30 レイヤ 7 HTTP 最適化の一致条件タイプ

[Match Condition Type]
手順

[Cookie]

一致条件の確立に HTTP cookie を使用します。

1. [Cookie Name] フィールドに、一意な cookie 名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

2. [Cookie Value] フィールドに、一意な cookie 値式を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 255 文字)。

3. この一致条件を満たすために ACE が cookie 名と cookie 値のいずれかを使用させるには、[Secondary] フィールドでこのチェックボックスをクリアします。この一致条件を満たすために ACE が cookie 名と cookie 値のいずれかを使用させるには、このチェックボックスをクリアします。

[Header]

一致条件の確立に HTTP ヘッダーを使用します。

1. [Header] フィールドで、一致条件に使用する定義済み HTTP ヘッダーの 1 つを選択します。または [HTTP Header] を選択して他の HTTP ヘッダーを指定します。

2. [HTTP Header] を選択した場合、[Header Name] フィールドに比較させる HTTP ヘッダー名を入力します。有効な値は、スペースを含まない引用符抜きの英数字です(最大 64 文字)。

3. 指定の HTTP ヘッダーのフィールド値と比較するため、[Header Value (Bytes)] フィールドにヘッダー値の式ストリングを入力します。有効な入力は英数字ストリングで、最大 255 文字です。ACE Applianceは、照合に正規表現をサポートしています。文字列にスペースを含める場合は、文字列全体を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[HTTP URL]

一致条件の確立に HTTP URL の一部を使用します。

1. [URL Expression] フィールドに、一致条件として URL またはその一部を入力します。有効な入力は、1 ~ 255 の英数字による URL ストリングで、www. hostname . domain の URL の一部だけを含めます。たとえば、URL www.anydomain.com/latest/whatsnew.html では、/latest/whatsnew.html だけを含めます。

2. [Method Expression] フィールドに、照合する HTTP メソッドを入力します。有効な値は、スペースを含まない引用符抜きの英数字で入力したメソッド名です(最大 64 文字)。メソッドは、標準 HTTP 1.1 メソッド名(OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、または CONNECT)の 1 つにすることも、または厳密に一致しなければならないテキスト文字列(CORVETTE など)にすることもできます。

ステップ 8 [Insert Before] フィールドに、ポリシー マップでこの規則を他の規則よりも優先させるかどうかを指定します。

[N/A]:このアトリビュートは設定されません。

[False]:ポリシー マップでこの規則を他の規則よりも優先させません。

[True]:ポリシー マップでこの規則を他の規則よりも優先させます。

[Insert Before] フィールドに [True] を設定した場合、[Insert Before Policy Rule] フィールドが表示されます。現在の規則として優先させる規則を選択します。

ステップ 9 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。[Action] テーブルが [Rule] テーブルの下に表示されます。この規則のアクションを定義する場合、ステップ 10 へ進みます。

[Cancel] :入力した内容を保存せずに作業を終了し、[Rule] テーブルに戻ります。

[Next] :入力した内容を保存して、他の規則を設定します。


ステップ 8 で [Insert Before] オプションを選択し、[True] を指定した場合、次の手順を実行して、[Rule] タブをリフレッシュしてから、このルールにアクションを追加します。

1.[Rule] タブをクリックして、[Rule] テーブルをリフレッシュします。

2.[Rule] テーブルで、新しく追加した規則を選択します。

画面のリフレッシュ後に、空白のアクション リストが表示されます。


ステップ 10 この規則にアクションを追加する場合、[Action] テーブルの [Add] をクリックします。既存のアクションを選択する場合、 [Edit] をクリックして修正します。[Action] 設定画面が表示されます。

ステップ 11 [Id] フィールドで、自動的に割り当てられたアクションのエントリ番号を採用するか、一意の ID を指定します。

ステップ 12 [Action Type] フィールドで [Action-list] を選択し、一致基準が満たされた場合 HTTP 最適化アクション リストを適用することを指定します。

ステップ 13 [Action List] フィールドで、このポリシー マップと規則に適用する HTTP 最適化アクション リストを選択します。

必要に応じて、 [Add] をクリックして新しい HTTP 最適化アクション リストを追加します。または、既存のアクション リストを選択して [Edit] をクリックし、修正します。

ステップ 14 [Optimization Parameter Map] フィールドで、このポリシー マップと規則に適用する最適化パラメータ マップを選択します。

ステップ 15 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了し、[Action] テーブルに戻ります。

[Next] :入力した内容を保存して、この規則に他のアクションを設定します。


 

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「ポリシー マップの規則およびアクションの設定」

文字列式の照合に使用できる特殊文字

表 10-31 に、文字列式の照合に使用できる特殊文字を示します。置換パターンで %1 および %2 を使用する動的置換にはカッコ式を使用します。


) データ文字列の照合時の正規表現では、ピリオド(.)および疑問符(?)が文字どおりの意味を持たないことに注意してください。これらの記号を照合する場合は、角カッコ([ ])を使用します。たとえば、www.xyz.com の代わりに www[.]xyz[.]com を入力します。ドット(.)または疑問符(?)のエスケープとしてバックスラッシュ(\)を使用することもできます。


 

表 10-31 文字列式の照合に使用できる特殊文字

表記法
説明

.

任意の 1 文字

.*

ゼロ以上の任意の文字

\.

ピリオド(エスケープ)

\xhh

印刷できない文字

[ charset ]

範囲内の任意の 1 文字と一致

[^charset]

範囲内の文字はどれも一致しません。その他の文字はすべて、その文字のままです。

()

式のグループ化

expr1 | expr2

式の論理和

(expr)*

0 または複数の式

(expr)+

1 または複数の式

.\a

アラート(ASCII 7)

.\b

バックスペース(ASCII 8)

.\f

用紙送り(ASCII 12)

.\n

改行(ASCII 10)

.\r

復帰(ASCII 13)

.\t

タブ(ASCII 9)

.\v

垂直タブ(ASCII 11)

.\0

ヌル(ASCII 0)

.\\

バックスラッシュ

.\x##

2 桁の 16 進表記で指定された任意の ASCII 文字

関連トピック

「トラフィック ポリシーの設定」

「仮想コンテキスト クラス マップの作成」

「仮想コンテキスト ポリシー マップの作成」

「実サーバの設定」

「サーバ ファームの設定」

「スティッキ グループの設定」

アクション リストの設定

アクション リストは、レイヤ 7 ポリシー マップに関連付けられた名前付きのアクション グループです。ACE がサポートするアクション リストには次のタイプがあります。

HTTP 最適化アクション リストは、ACE に実行させる各アプリケーション アクセラレーションと最適化動作をまとめてグループにしたものです。HTTP 最適化アクション リストは、レイヤ 7 HTTP 最適化ポリシー マップに関連付けられています(「レイヤ 7 HTTP 最適化のポリシー マップ規則およびアクションの設定」を参照)。

HTTP ヘッダー修正アクション リストは、HTTP ヘッダーの挿入、書き換え、削除を実行する各機能をまとめてグループにしたものです。それ以外にも、SSL URL の書き換え機能の設定に使用されます。HTTP ヘッダー アクション リストは、レイヤ 7 サーバ ロード バランシング ポリシー マップに関連付けられています(「レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定」を参照)。

表 10-32 に、ACE を使用して設定できるアクション リストを示します。

 

表 10-32 アクション リスト

アクション リスト
トピック

最適化アクション リスト

「HTTP 最適化アクション リストの設定」

HTTP ヘッダー修正アクション リスト

「HTTP ヘッダー修正アクション リストの設定」

HTTP ヘッダー修正アクション リストの設定

HTTP ヘッダー修正アクション リストは、HTTP ヘッダーの挿入、書き換え、削除を実行する各機能をまとめてグループにしたものです。それ以外にも、SSL URL の書き換え機能の設定に使用されます。

ここでは、次の内容について説明します。

「HTTP ヘッダーの挿入、削除、および書き換えの設定」

「SSL URL 書き換えの設定」

HTTP ヘッダーの挿入、削除、および書き換えの設定

次の手順に従って、HTTP ヘッダーの挿入、書き換え、削除を実行する HTTP ヘッダー修正アクション リストを設定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Action Lists] > [HTTP Header Modify Action Lists] の順に選択します。[HTTP Header Modify Action List] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しい HTTP ヘッダー修正アクション リストを追加します。または、既存のアクション リストを選択して [Edit] をクリックし、修正します。

ステップ 3 新しいアクション リストの場合、[Action List Name] フィールドに一意の HTTP ヘッダー修正アクション リスト名を入力します。有効な入力は、引用符なしの最大 64 文字の英数字です。

ステップ 4 [Header Action] タブを選択します。[Header Action] テーブルが表示されます。

ステップ 5 [Add] をクリックして、[Header Action] テーブルに新しいエントリを追加します。[Header Action] 設定画面が表示されます。表 10-33に従って必要な情報を入力します。

 

表 10-33 [Header Action Configuration Screen] フィールド

[Header Action] フィールド
説明/処理

[Operator]

ACE Applianceがクライアントからの HTTP 要求やサーバからの応答(またはその両方)で実行する HTTP ヘッダー修正アクションを選択します。

[Delete]:クライアントからの要求やサーバからの応答(またはその両方)の HTTP ヘッダーを削除します。

[Insert]:クライアントからの HTTP 要求やサーバからの応答(またはその両方)にヘッダー名や値を挿入します。ACE で NAT を使用してクライアントの送信元 IP アドレスを VIP に変換する場合、TCP および IP リターン トラフィックに対応するクライアントを特定する方法がサーバに必要です。NAT を使用して送信元 IP アドレスが変換されているクライアントを特定する目的で、ユーザによって選択された総称ヘッダーと文字列値をクライアント HTTP 要求に挿入することを ACE に指示できます。

[Rewrite]:クライアントからの要求パケットやサーバからの応答パケット(またはその両方)の HTTP ヘッダーを書き換えます。

[Direction]

選択したオペレータ(Insert、Delete、Rewrite)に応じて ACE Applianceが実行する HTTP ヘッダー修正アクションを選択します。

[Insert]

[Both]:ACE は HTTP 要求パケットと応答パケット両方に HTTP ヘッダーを挿入します。

[Request]:ACE はクライアントからの HTTP 要求パケットだけに HTTP ヘッダーを挿入します。

[Response]:ACE はサーバからの HTTP 応答パケットだけに HTTP ヘッダーを挿入します。

[Delete]

[Both]:ACE は HTTP 要求パケットと応答パケット両方からヘッダーを削除します。

[Request]:ACE はクライアントからの HTTP 要求パケットにあるヘッダーだけ削除します。

[Response]:ACE はサーバからの HTTP 応答パケットにあるヘッダーだけ削除します。

[Rewrite]

[Both]:ACE は HTTP 要求パケットと応答パケット両方の HTTP ヘッダー文字列を書き換えます。

[Request]:ACE はクライアントからの HTTP 要求パケットにある HTTP ヘッダー文字列だけ書き換えます。

[Response]:ACE はサーバからの HTTP 応答パケットにある HTTP ヘッダー文字列だけ書き換えます。

[Header Name]

HTTP ヘッダーの識別子。最大 255 文字の英数字を、引用符で囲まずに入力します。

[Header Value]

要求パケット、応答パケット、または両方に挿入や置換を実行する HTTP ヘッダーの値を指定します。スペースを含まず引用符なしの英数字を入力します(最大 255 文字)。次の動的置換文字列を使用することもできます。

%is :HTTP ヘッダーに送信元 IP アドレスを挿入

%id :HTTP ヘッダーに宛先 IP アドレスを挿入

%ps :HTTP ヘッダーに送信元ポートを挿入

%pd :HTTP ヘッダーに宛先ポートを挿入

ACE Applianceは、照合に正規表現をサポートしています。文字列にスペースを含める場合は、文字列全体を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[Replace]

ヘッダー値の正規表現の代わりに使用するパターン文字列を指定します。ヘッダー値の最初と 2 番めのカッコ式を動的に置換するには、それぞれ %1 と %2 を使用します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel]:入力した内容を保存せずに作業を終了します。

[Next]:入力した内容を保存します。


 

関連トピック

「レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定」 表 10-20

SSL URL 書き換えの設定

クライアントが SSL 終了設定の暗号化トラフィックを ACE に送信した場合、ACE は SSL トラフィックを終了してサーバに空白のテキストを送信します。サーバは、クライアントと ACE 間の暗号化トラフィックには気づかないため、HTTP リダイレクト応答の Location ヘッダー(301:Moved Permanently または 302:Found)にある URL を https://www.cisco.com ではなく http://www.cisco.com 形式でクライアントに返すことがあります。その場合、クライアントは、元の要求がセキュリティのある URL だったにも関わらず、暗号化されていない無防備な URL へ要求を送信します。クライアント接続が HTTP に変更されているため、空白のテキスト接続を使用して要求データをサーバから取得できない場合があります。

ACE は SSL URL を書き換えることで、この問題を解決しています。これにより、クライアントに応答を送信する前に、サーバからの Location 応答ヘッダーにあるリダイレクト URL を http:// から https:// に変更できます。URL を書き換えることで、無防備な HTTP へのリダイレクトを回避できます。Web サーバへのすべてのクライアント接続が SSL になるため、セキュリティが確保された HTTPS コンテンツをクライアントへ返すことができます。ACE は、URL に書き換えが必要かどうかの判断に正規表現を一致条件として使用します。Location 応答ヘッダーが指定の正規表現と一致した場合、ACE は URL を書き換えます。さらに、ACE はパラメータを提供して SSL と空白のポート番号の追加と変更を実行します。

次の手順に従って、SSL URL の書き換えを実行する HTTP ヘッダー修正アクション リストを設定します。

手順


ステップ 1 [Config] > [Virtual Contexts] > [context] > [Expert] > [Action Lists] > [HTTP Header Modify Action Lists] の順に選択します。[HTTP Header Modify Action List] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しい HTTP ヘッダー修正アクション リストを追加します。または、既存のアクション リストを選択して [Edit] をクリックし、修正します。

ステップ 3 新しいアクション リストの場合、[Action List Name] フィールドに一意の HTTP ヘッダー修正アクション リスト名を入力します。有効な入力は、引用符なしの最大 64 文字の英数字です。

ステップ 4 [SSL Action] タブを選択します。[SSL Action] テーブルが表示されます。

ステップ 5 [Add] をクリックして、[SSL Action] テーブルに新しいエントリを追加します。[SSL Action] 設定画面が表示されます。表 10-34 に従って必要な情報を入力します。

 

表 10-34 [SSL Action Configuration Screen] フィールド

[Header Action] フィールド
説明/処理

[URL Expression]

URL 正規表現の一致条件に基づき Location 応答ヘッダー内の URL を書き換えます。Location ヘッダー内の URL が、指定した URL 正規表現文字列に一致した場合、ACE は URL を http:// から https:// に書き換えます。また、同時にポート番号も書き換えます。スペースを含まず引用符なしの英数字を入力します(最大 255 文字)。または、文字列全体を引用符(")で囲むことによって、スペースが含まれるテキスト文字列を入力することもできます。

入力した regex の場所は、ポートやパスが指定されていない元の URL(例:www/.cisco/.com)と同じにする必要があります。ポートを一致させるには、SSL Port と Clear Port パラメータを使用します。パスを一致させる必要がある場合、HTTP ヘッダーの書き換え機能を使用して文字列を書き換えます。HTTP ヘッダーの書き換え機能の詳細については、「HTTP ヘッダーの挿入、削除、および書き換えの設定」を参照してください。

ACE Applianceは、照合に正規表現をサポートしています。文字列にスペースを含める場合は、文字列全体を引用符で囲みます。ヘッダー マップのすべてのヘッダーは一致する必要があります。正規表現に使用できる、サポート対象文字の一覧については、 表 10-31 を参照してください。

[SSL Port]

サーバ リダイレクト応答をクライアントに送信する前に、ACE が空白のポート番号を変換する SSL ポート番号を指定します。1 ~ 65535 の整数を入力してください。デフォルトは 443 です。

[Clear Port]

サーバ リダイレクト応答をクライアントに送信する前に、ACE が SSL ポート番号を変換する 空白のポート番号を指定します。1 ~ 65535 の整数を入力してください。デフォルトは 80 です。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :ACE Applianceにこの設定を適用します。

[Cancel] :入力した内容を保存せずに作業を終了します。

[Next] :入力した内容を保存します。


 

関連トピック

「レイヤ 7 サーバ ロード バランシング トラフィックのポリシー マップ規則およびアクションの設定」 表 10-20