Cisco ACE XML ゲートウェイ インストレーション アドミニストレーションガイド Software Version 5.1
インストールの計画
インストールの計画
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 597KB) | フィードバック

インストールの計画

計画の概要

  • ACE XML Gateway の日常的な運用には、その前提となる、さまざまなアグリーメント、プロトコル、および物理接続があります。ACE XML Gateway を実装するには、アプライアンスでこれらの設定を行う必要があります。アプライアンスをインストールする際、アプライアンス自体に必要な設定だけでなく、その周囲のネットワークの調整(たとえば、隣接するファイアウォールや管理ホストの設定など)も必要になるのが普通です。
  • インストールを開始する前に、インストール先の環境について、できるだけ多くの情報を収集しておくことを推奨します。事前の計画立案を行うと、アプライアンスのインストールおよびメンテナンス作業が容易になります。
  • ACE XML アプライアンスをインストールする環境としては、次のようないくつかのタイプがあります。
  • 実稼働用の設定では、ネットワーク DMZ(通常、ロード バランサの後ろ側)に 1 つまたは複数のクラスタの ACE XML Gateway を配置します。この設定では、アプライアンスは外部要求を受信し、組織内外のバックエンド サーバと通信します。
  • 開発用の設定では、保護されたネットワーク内に ACE XML Gateway を配置し、ポリシーの作成とテストに使用します。
  • 各 ACE XML Gateway は、それぞれ 1 つの ACE XML Manager で制御する必要があります。Gateway ポリシーの作成者は、マネージャの Web インターフェイスにアクセスする必要があります。ただし、ACE XML Manager は通常、内部の保護されたネットワークに含める必要があり、外部トラフィックにさらさないのが普通です。

ACE XML Gateway および Manager が使用するポート

  • ネットワークで ACE XML アプライアンス が正常に機能するには、既存のネットワーク要素(内部ファイアウォールなど)で、このアプライアンスの使用するトラフィック タイプが許可されている必要があります。
  • ACE XML Gateway および Manager のインストールによって影響されるファイアウォールは、具体的には次のとおりです。
  • 各 ACE XML Gateway と、それを制御する ACE XML Manager の中間にあるファイアウォール
  • ACE XML Manager と、Web コンソールのアクセスに使用するコンピュータの中間にあるファイアウォール
  • Gateway と外部ネットワークの中間にあるファイアウォール
  • 次の各項で、開放する必要があると考えられるポートを示します。

システム トラフィック用のポート

  • 次のポートは、ACE XML システムの動作(つまり、サービス トラフィック以外のトラフィック)に使用されます。ここで示す情報は、内部ファイアウォールの設定にのみ適用されます。ポートの使用法は、実装ごとに異なります。たとえば、Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用しない場合には、ポート 123 で TCP/UDP トラフィックを許可するようにファイアウォールを設定する必要はありません。
  • ACE XML Manager は、次のポートおよびプロトコルを使用します。
  • ICMP(任意のデバイスから)
  • ポート 22、TCP(任意のデバイスから)。このポートは、ACE XML Manager で端末セッションを起動する管理者向けに SSH 接続を提供します。
  • ポート 8243、TCP(任意のデバイスから)。このポートは、ブラウザ アクセス用に ACE XML Manager Web コンソール接続を提供します。
  • 上記以外のポートで Web コンソールを提供するように ACE XML Manager を設定することも可能です。
  • ポート 53、UDP(任意のデバイスから)。ACE XML Manager は、このポートを使用して DNS lookup を実行します。
  • ポート 161、UDP(任意のデバイスから)。ACE XML Manager はこのポートによって SNMP クエリーを受信できます。
  • ポート 514、UDP(特定の ACE XML Gateway からのみ)。ACE XML Manager は、このポートをリッスンして Gateway から Syslog 情報を受信します。この情報を集約してイベント ログが作成されます。
  • Gateway では、次のポートおよびプロトコルを使用してトラフィックの送受信を行います。
  • ICMP(任意のデバイスから)
  • ポート 22、TCP(任意のデバイスから)。このポートは、Gateway で端末セッションを起動する管理者向けに SSH 接続を提供します。
  • ポート 8200、TCP(ACE XML Manager からのみ)。Gateway が対応する ACE XML Manager から制御メッセージを受信できるよう、このポートを開放する必要があります。
  • ポート 53、UDP(任意のデバイスから)。Gateway はこのポートによって DNS lookup を実行できます。
  • ポート 161、UDP(任意のデバイスから)。Gateway はこのポートによって SNMP クエリーを受信できます。
  • 各 Gateway が ACE XML Manager に送信するトラフィックは、その目的のために ACE XML Manager 上で開放されているポートに送信されます。これに加え、ACE XML Manager と Gateway アプライアンスは、次のポートでネットワーク トラフィック生成する場合があります。
  • ポート 123、TCP/UDP(NTP 用)
  • ポート 25、TCP(SMTP 経由での E メール アラートの送信用)
  • ポート 162、UDP(SNMP トラップ用)

サービス トラフィック用のポート

  • ACE XML のインストールに適応するように外部ファイアウォールを設定する際、システム トラフィック用のポートで説明したシステム トラフィックに必要なポートでトラフィックを許可することに加えて、サービス ポートについてもポリシー内で考慮する必要があります。
  • サービス トラフィックに使用するポートはポリシーによって異なりますが、一般にポート 80 および 443(それぞれ標準の HTTP および HTTPS トラフィックに対応)を含めます。

ロード バランサに関する考慮事項

  • 通常、1 つまたは複数のロード バランサ デバイスの後ろ側に複数の ACE XML Gateway を配置すると、最良のパフォーマンスが得られます。専用の ACE XML Manager アプライアンスまたは Gateway-D については、前方にロード バランサを配置する必要はありません。これらは通常、大量のトラフィックを処理しないからです。
  • 使用するロード バランサの数は、各 Gateway で処理すると見込まれるトラフィック量のほか、ロード バランサの仕様によって左右されます。必要なロード バランサ数を決定する際に支援が必要であれば、ロード バランサの製造元に問い合わせてください。
  • ロード バランサは、Gateway の可用性を監視することが可能でなければなりません。ACE XML Gateway は、アプリケーションレベルの監視をサポートしています。ロード バランサは Gateway に HTTP 要求を送信し、Gateway の状態を示す HTML ページまたは SOAP メッセージを取得できます。
  • ロード バランサからのヘルス チェックへの応答を設定するには、ポリシー内のポート オブジェクトで固定応答メッセージを設定します。詳細については、『 Cisco ACE XML ゲートウェイ User's Guide 』の「Opening Ports on the Gateway」の章を参照してください。

アプライアンスのネットワーク インターフェイスに関する考慮事項

  • ACE XML アプライアンスは、ネットワーク通信にイーサネットを使用します。イーサネット以外のネットワーク(トークン リング、PS/2 ネットワークなど)はサポートしていません。最高のギガビット イーサネット パフォーマンスを達成するには、ネットワークを構成するケーブルの規格が CAT 5e 以上であることが必要です。このアプライアンスでは、標準の RJ-45 イーサネット コネクタを使用できます。
  • この 1U のプラットフォームには、サービス トラフィックを受信できる 4 つのネットワーク インターフェイスが装備されています(追加の RJ-45 インターフェイスは、Integrated Lights-Out [iLO] モジュールの接続専用です)。これらのインターフェイスは、全二重モードの 10BASE-T、100BASE-T、またはギガビット イーサネット速度で動作するように設定できます。
  • この設定を自動的にネゴシエートするようにインターフェイスを設定できますが、自動ネゴシエーションを回避し、各インターフェイスが固有の速度で動作するように設定すれば、最良のパフォーマンスが得られます。このように推奨する理由は、帯域幅の設定を自動ネゴシエートするために費やされる時間によって、少量とはいえパフォーマンス オーバーヘッドが生じるからです。ネットワーク条件の変化によって、帯域幅の設定についての不要な再ネゴシエーションが行われる可能性があり、さらにパフォーマンスが低下します。帯域幅の自動ネゴシエーションを使用すると、他のネットワーク デバイス(ファイアウォール、ルータなど)に問題が発生した場合に、パフォーマンスの低下が伝播する可能性があります。1 台のルータが故障すると、理論上、そのルータと連携し自動ネゴシエーションを実行しているすべての ACE XML Gateway で全トラフィックにボトルネックが発生し、故障したルータと無関係なゾーンでも速度が低下する可能性があります。
  • 自動ネゴシエーションを使用すると、パフォーマンス問題の原因を特定するのが困難になる可能性があります。一方、帯域幅を固定的に設定すれば、ほとんどの場合、問題のあるルータ、ファイアウォール、または ACE XML Gateway をすばやく特定できます。

Gateway の IP アドレス

  • ACE XML アプライアンス のモデルに応じて、アプライアンス シャーシには最大 5 つのイーサネット ポートがあります。iLO ポートは管理目的でのみ使用し、サービス トラフィックには使用しません。
  • 通常、ACE XML Gateway のトラフィック処理には、1 つのインターフェイスと IP アドレスを使用するだけで十分です。場合によっては、管理者がサービス トラフィックを Gateway 向けの ACE XML Manager トラフィックと区別し、2 つの異なるイーサネット ポートを使用することもできます。ただし、これはセキュリティの強化を目的とするオプションの設定です。
  • もう 1 つの設定オプションとして、1 つの特定の Gateway インターフェイスに対応付けられた複数の IP アドレスを使用し、異なる仮想ホスト上のさまざまなサービス用のトラフィックを受け付ける場合があります。この設定を行うには、このマニュアルに記載された方法に従って、Gateway アプライアンスのネットワーク設定でこれらのアドレスを指定する必要があります。そのあとポリシーで、追加の IP アドレスにポート定義を関連付けます。ポート設定についての詳細は、『 Cisco ACE XML Gateway User's Guide 』を参照してください。

Manager の IP アドレス

  • 各 ACE XML Manager は、1 つのイーサネット ポートおよび 1 つの固定 IP アドレスのみを使用します。複数の物理イーサネット ポートのあるアプライアンス シャーシでは、任意のイーサネット ポートを使用して ACE XML Manager をネットワークに接続できます。
  • デフォルトでは、ACE XML Manager は TCP ポート 8243 で Web コンソールを提供します。ただし、必要であれば別のポートを使用するように ACE XML Manager を設定することもできます。
  • セキュリティを強化するために、ネットワーク管理者が Manager アプライアンスを専用のファイアウォールの後ろ側に配置する場合もあります。通常、このファイアウォールは DMZ の後ろ側にある企業イントラネットに存在します。この構成では、実稼働 Manager アプライアンスと、エクストラネットから着信するパケットとの間で、最低 3 つのファイアウォール バリアと 1 つの Gateway が配置されることになります。

Gateway-D アプライアンスの IP アドレス

  • Gateway-D でのイーサネット ポート、論理ポート、および IP アドレスの設定は、Manager および Gateway アプライアンスの場合と同様です。Gateway-D は通常、開発または QA 専用です。したがって、この種のマシンは専用の追加的なファイアウォールの後ろ側に配置するのが普通です。これにより、実質的に DMZ ネットワーク内部に QA または開発ゾーンが作成されます。

root パスワードの入手

  • アプライアンスの設定を開始する前に、各アプライアンスの root アカウント用のパスワードが必要です。このパスワードを入手するには、Cisco ACE XML Gateway サポート担当者にご連絡ください。