Cisco Wide Area Application Services コンフィギュレーション ガイド ソフトウェア バージョン 5.0.1
アプリケーション アクセラレーションの設定
アプリケーション アクセラレーションの設定
発行日;2012/10/17 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

アプリケーション アクセラレーションの設定

アプリケーション アクセラレーションについて

グローバル最適化機能の有効化と無効化

DRE 設定の設定

HTTP アクセラレーションの設定

HTTP メタデータ キャッシングについて

HTTP アクセラレータ サブネットの使用

MAPI アクセラレーションの設定

暗号化 MAPI アクセラレーションの設定

暗号化 MAPI 設定のタスク フロー

暗号化 MAPI 設定の設定

マシン アカウント アイデンティティを設定する

ユーザ アカウントの作成と設定

Microsoft Active Directory の設定

ドメイン アイデンティティおよび暗号化 MAPI 状態の管理

ビデオ アクセラレーションの設定

SMB アクセラレーションの設定

CIFS アクセラレータ エクスプレスの設定

ICA アクセラレーションの設定

SSL アクセラレーションの設定

SSL アクセラレーションを使用するための準備

セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化

SSL グローバル設定の構成

サービス証明書と秘密キーの設定

暗号リストの操作

認証局の操作

SSL マネジメント サービスの設定

SSL ピアリング サービスの設定

SSL アクセラレーション サービスの使用

新しいトラフィック最適化ポリシーの作成

最適化ポリシーを作成するための準備

アプリケーション定義の作成

最適化ポリシーの作成

アプリケーション アクセラレーションの管理

アクセラレータ負荷インジケータしきい値

アプリケーションのリストの表示

ポリシー レポートの表示

クラス マップ レポートの表示

最適化ポリシーとクラス マップの復元

アプリケーションおよびクラス マップのモニタリング

デフォルトの DSCP マーキング値の定義

デフォルトの DSCP マーキング値の定義

最適化ポリシーの位置の変更

アクセラレーション TCP 設定の変更

高い BDP リンク用の TCP バッファの計算

TCP 適応バッファリング設定の変更

アプリケーション アクセラレーションの設定

この章では、WAAS システムで、WAN 経由で加速されるアプリケーション トラフィックの種類を決定する最適化ポリシーを設定する方法について説明します。


) この章では、ネットワークに存在する WAAS Central Manager と Wide Area Application Engine(WAE)を総称する用語として「WAAS デバイス」を使用します。WAE という用語は、WAE アプライアンス、WAE ネットワーク モジュール(NME-WAE ファミリのデバイス)、および WAAS を実行する SM-SRE モジュールを指します。


この章の内容は、次のとおりです。

「アプリケーション アクセラレーションについて」

「グローバル最適化機能の有効化と無効化」

「新しいトラフィック最適化ポリシーの作成」

「アプリケーション アクセラレーションの管理」

アプリケーション アクセラレーションについて

WAAS ソフトウェアには、WAAS システムが最適化し、加速するアプリケーション トラフィックの種類を決定する 150 を超える事前定義された最適化ポリシーが組み込まれています。これらの事前定義されたポリシーは、ネットワークで最も一般的な種類のアプリケーション トラフィックを網羅しています。定義済みポリシーのリストについては、 付録 A「定義済み最適化ポリシー」 を参照してください。

各最適化ポリシーには、次の要素があります。

アプリケーション定義:アプリケーション名や WAAS Central Manager がアプリケーション用の統計情報を収集するかどうかなど、特定のアプリケーションに関する一般的な情報を識別します。

クラス マップ:特定のタイプのトラフィックを識別する一致条件が含まれます。たとえば、デフォルトの HTTP クラス マップは、ポート 80、8080、8000、8001、および 3128 へ進むすべてのトラフィックと一致します。最大 512 のクラス マップと 1024 の一致条件を作成できます。

ポリシー:アプリケーション定義とクラス マップを単一のポリシーとして結合します。また、このポリシーは、WAAS デバイスが定義されたトラフィックに適用する最適化とアクセラレーション機能を決定します(存在する場合)。最大 512 のポリシーを作成できます。また、ポリシーには、トラフィックに適用され、アプリケーション レベルまたはグローバル レベルで設定された DSCP を上書きする DiffServ コード ポイント(DSCP)マーキング値も含めることができます。

WAAS Central Manager GUI を使用すると、事前定義されたポリシーの変更と、他のアプリケーション用の追加ポリシーの作成ができます。最適化ポリシーを作成する方法については、「新しいトラフィック最適化ポリシーの作成」を参照してください。レポートの表示、ポリシーの復元、アプリケーションのモニタリング、およびその他の機能については、「アプリケーション アクセラレーションの管理」を参照してください。


) WAAS Central Manager で設定されたすべてのアプリケーション定義は、デバイス グループ メンバーシップ設定を無視して、WAAS Central Manager に登録されているすべての WAAS デバイスにグローバルに適用されます。


WAAS ポリシーは、2 種類の最適化を、一致するトラフィックに適用できます。

TFO、DRE、および LZ 圧縮を含むレイヤ 4 最適化。これらの機能はすべてのタイプの TCP トラフィックに適用できます。

アプリケーション固有のプロトコルを高速化するレイヤ 7 最適化。アプリケーション アクセラレータはこれらの種類の最適化を制御します。

特定の最適化ポリシーに対して、DRE 機能でさまざまなキャッシュ モードを使用できます(ソフトウェア バージョン 4.4.1 以降)。

双方向:ピア WAE は着信トラフィックと発信トラフィックに同一のキャッシュを維持します。このキャッシュ モードは、ピア間で一方の方向に発生するトラフィックの大部分が、逆方向でも発生する場合に最適です。4.4.1 よりも前のソフトウェア バージョンでは、サポートされるキャッシュ モードがこのモードだけです。

単方向:ピア WAE は着信トラフィックと発信トラフィックに異なるキャッシュを維持します。このキャッシュ モードは、ピア間で一方の方向に発生するトラフィックの大部分が、逆方向では発生しない場合に最適です。

アダプティブ:ピア WAE は、ピア間で発生するトラフィックの特性に基づいて、双方向または単方向のキャッシュをネゴシエートします。

事前定義された最適化ポリシーは、一般的なアプリケーション トランクに基づいて最適な DRE キャッシュ モードを使用するように設定されています。ただし、必要に応じてモードを変更することもできます。

グローバル最適化機能の有効化と無効化

グローバル最適化機能は、デバイスまたはデバイス グループで、TFO 最適化、Data Redundancy Elimination(DRE; データ冗長性除去)、および永続的圧縮を有効にするかどうかを決定します。デフォルトで、これらの機能は、すべて有効です。これらの機能の 1 つを無効にすると、デバイスは、それが代行受信するトラフィックに完全な WAAS 最適化手法を適用できなくなります。

さらに、グローバル最適化機能には、EPM、CIFS、HTTP、MAPI、NFS、SSL、SMB、ICA、およびビデオの各アプリケーション アクセラレータが含まれます。デフォルトで、SMB を除くすべてのアプリケーション アクセラレータが有効です。暗号化 MAPI も、デフォルトで有効ではありません。アプリケーション アクセラレータには、動作するための特定のライセンスも必要です。ライセンスのインストールの詳細については、を参照してください。

すべてのアプリケーション アクセラレータが動作するには、WAN リンクのどちらか一方の側にあるピア WAE の両方でアクセラレータを有効化する必要があります。

グローバル最適化機能を有効または無効にするには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Enabled Features] を選択します。

[Enabled Features] ウィンドウが表示されます。(図 13-1 を参照)。


WAAS Express デバイスの場合、標準機能のサブセットのみが使用できます。(図 13-2 を参照)。


図 13-1 [Enabled Features] ウィンドウ

 

図 13-2 に、 WAAS Express デバイス に対して使用可能な標準機能のサブセットを示します。

図 13-2 [Enabled Features] ウィンドウ:WAAS Express

 

WAAS Express の場合、アプリケーション アクセラレータの次の Express バージョンがサポートされます。

CIFS アクセラレータ エクスプレス(「CIFS アクセラレータ エクスプレスの設定」参照)

HTTP アクセラレータ エクスプレス(「HTTP アクセラレーションの設定」参照)

SSL アクセラレータ エクスプレス(「SSL アクセラレーションの設定」参照)

アプリケーション アクセラレータの WAAS Express バージョンにおいて、標準 WAAS デバイスのすべてのプロパティが使用できるわけではありません。


) サポートされていない WAAS Express デバイスで DRE を有効にしようとすると、サポートされていないことを示すメッセージが表示されます。


WAAS Express の [Restore Predefined Settings] アイコンは、HTTP/HTTPS、CIFS、および SSL 暗号リストと SSL ピアリング サービスの定義済み設定に適用できます。

ステップ 3 有効にする最適化機能を選択し、無効にする機能の選択を解除します。各最適化機能の詳細な説明については、を参照してください。

ステップ 4 [Data Redundancy Elimination] チェックボックスを選択した場合、[DRE Settings Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「DRE 設定の設定」を参照してください。

ステップ 5 [HTTP Accelerator] チェックボックスを選択した場合、[HTTP Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「HTTP アクセラレーションの設定」を参照してください。

ステップ 6 [Video Accelerator] チェックボックスを選択した場合、[Video Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「ビデオ アクセラレーションの設定」を参照してください。

ステップ 7 [MAPI Accelerator] チェックボックスを選択した場合、[MAPI Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「MAPI アクセラレーションの設定」を参照してください。

ステップ 8 [Encrypted MAPI Traffic Optimization] チェックボックスを選択した場合、[Encrypted Services Configuration] ウィンドウへのショートカットとして [Mandatory Encryption Configuration] リンクをクリックできます。


) 暗号化 MAPI 機能は、拡張ベータ トライアルに含まれています。この機能を有効にする前に、承認のため、Cisco アカウント チームへの CC を行った上で、waas-emapi-cs@external.cisco.com にご連絡ください。承認された顧客のみ、ベータ評価がサポートされます。


詳細については、「暗号化 MAPI アクセラレーションの設定」を参照してください。

ステップ 9 [CIFS Accelerator] チェックボックスを選択した場合は、次のオプションがあります。

Window Print Accelerator:クライアントと Windows プリント サーバ間のプリント トラフィックを加速するには、このボックスを選択します。CIFS アクセラレータが有効である場合、このアクセラレータはデフォルトで有効です。


) クライアントのプリント サービスの使用に影響を及ぼす可能性があるため、クライアント セッション中には Windows プリント アクセラレーションを無効にしないでください。Windows プリント アクセラレーションを無効にする必要がある場合は、クライアント セッションを切断し、その後再度確立してください。


ステップ 10 [SMB Accelerator] チェックボックスを選択した場合、[SMB Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「SMB アクセラレーションの設定」を参照してください。

ステップ 11 [ICA Accelerator] チェックボックスを選択した場合、[ICA Acceleration Configuration] ウィンドウへのショートカットとして [Advanced Settings] リンクをクリックできます。詳細については、「ICA アクセラレーションの設定」を参照してください。

ステップ 12 [Advanced Settings] の領域では、[Blacklist Operation] 機能を無効にする場合、この機能の選択を解除します。この機能により、WAE は、オプションのある TCP 設定パケットがブロックされるか、または WAE デバイスに戻らない状況に対し、よりよい対処を行うことができます。この動作は、オプションのある TCP 設定パケットをブロックするネットワーク デバイス(ファイアウォールなど)および非対称ルートにより発生する可能性があります。WAE はオプションのある TCP パケットを受信できない元のサーバ(ファイアウォールの後ろにあるサーバなど)を追跡できるので、オプションのある TCP パケットをこれらのブラックリスト サーバに送信しないことを学習します。WAAS は、オプションのある TCP パケットが削除される状況においても、ブランチ WAE とデータセンター WAE 間のトラフィックを加速できます。この機能を有効にしておくことを推奨します。

ステップ 13 60 分のデフォルトのブラックリスト サーバ アドレス保持時間を変更する場合は、[Blacklist Server Address Hold Time] フィールドに、新しい時間(分)を入力します。有効な範囲は、1 ~ 10080 分(1 週間)です。

サーバ IP アドレスがブラックリストに追加されると、そのアドレスは設定された保持時間の間ブラックリストに残ります。この時間の経過後、以降の接続時にも、サーバが受信できるかどうかを WAE が再確認できるように、TCP オプションが含まれます。ネットワーク パケットの損失により、サーバが誤ってブラックリストに載せられる可能性があるため、TCP オプションの送信を定期的に再試行することは有用です。

[Blacklist Server Address Hold Time] フィールドを変更することにより、ブラックリスト時間を短くしたり長くしたりできます。

ステップ 14 [Submit] をクリックします。

変更がデバイスまたはデバイス グループに保存されます。


 

CLI から、TFO 最適化、DRE、および永続的圧縮を設定するには、 tfo optimize グローバル コンフィギュレーション コマンドを使用します。

CLI から EPM アクセラレーションを設定するには、 accelerator epm グローバル コンフィギュレーション コマンドを使用します。

CLI から HTTP アクセラレーションを設定するには、 accelerator http グローバル コンフィギュレーション コマンドを使用します。

CLI から NFS アクセラレーションを設定するには、 accelerator nfs グローバル コンフィギュレーション コマンドを使用します。

CLI から MAPI アクセラレーションを設定するには、 accelerator mapi グローバル コンフィギュレーション コマンドを使用します。

CLI からビデオ アクセラレーションを設定するには、 accelerator video グローバル コンフィギュレーション コマンドを使用します。

CLI から SSL アクセラレーションを設定するには、 accelerator ssl グローバル コンフィギュレーション コマンドを使用します。

CLI から CIFS アクセラレーションを設定するには、 accelerator cifs 、および accelerator cifs preposition グローバル コンフィギュレーション コマンドを使用します。

CLI から Windows プリント アクセラレーションを設定するには、 accelerator windows-print グローバル コンフィギュレーション コマンドを使用します。

CLI から SMB アクセラレーションを設定するには、 accelerator smb グローバル コンフィギュレーション コマンドを使用します。

CLI から ICA アクセラレーションを設定するには、 accelerator ica グローバル コンフィギュレーション コマンドを使用します。

CLI から Blacklist Operation 機能を設定するには、 tfo auto-discovery グローバル コンフィギュレーション コマンドを使用します。

CLI からアプリケーション アクセラレータのステータスと統計情報を表示するには、 show accelerator および show statistics accelerator EXEC コマンドを使用します。Windows プリント アクセラレータの統計情報を表示するには、 show statistics windows-print requests EXEC コマンドを使用します。

各アプリケーション アクセラレータを設定する詳細については、次の項を参照してください。

「HTTP アクセラレーションの設定」

「MAPI アクセラレーションの設定」

「暗号化 MAPI アクセラレーションの設定」

「ビデオ アクセラレーションの設定」

「CIFS アクセラレータ エクスプレスの設定」

「SMB アクセラレーションの設定」

「ICA アクセラレーションの設定」

「SSL アクセラレーションの設定」

CIFS の場合:

DRE 設定の設定

DRE 設定を有効化するには、[Enabled Features] ウィンドウで、[DRE Settings] チェックボックスを選択します(図 13-1 を参照)。

DRE 自動バイパスおよび負荷モニタ設定を行うには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [DRE Settings] を選択します。

[DRE Settings] ウィンドウが表示されます。

ステップ 3 アラーム、および DRE 自動バイパス アプリケーション トラフィックを生成するには、[Enable DRE auto bypass] チェックボックスを選択します。

ステップ 4 負荷レポートを有効にするには、[Enable DRE Load Monitor] チェックボックスを選択します。

ステップ 5 [Submit] をクリックします。

変更がデバイスまたはデバイス グループに保存されます。


 

CLI から DRE 自動バイパスを有効にするには、dre auto-bypass enable グローバル コンフィギュレーション コマンドを使用します。

CLI から DRE 負荷モニタを有効にするには、 dre load-monitor report グローバル コンフィギュレーション コマンドを使用します。

HTTP アクセラレーションの設定

HTTP アプリケーション アクセラレータは、HTTP トラフィックを加速します。HTTPS を使用する SSL トラフィックは、SSL と HTTP の両方の最適化によって最適化できます。

デフォルトの Web 最適化ポリシーでは、トラフィックを HTTP アクセラレータに送信することが定義されています。Web 最適化ポリシーは、HTTP クラス マップを使用し、これはポート 80、8080、8000、8001、および 3128 上のトラフィックと一致します。他のポート上でも HTTP トラフィックが存在すると予測される場合は、HTTP クラス マップにそのポートを追加します。

HTTP アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[HTTP Accelerator] チェックボックスを選択します(図 13-1 を参照)。

HTTP アクセラレーション設定を構成するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [HTTP/HTTPS Settings] を選択します。

[HTTP Acceleration Settings] ウィンドウが表示されます。(図 13-3 を参照)。


) WAAS Express の場合、HTTP アクセラレーション設定は同じですが、[HTTP/HTTPS Settings] ウィンドウのフィールドの配置が異なります。


図 13-3 [HTTP Acceleration Settings] ウィンドウ

 

ステップ 3 [Enable HTTP metadatacache caching] チェックボックスを選択して、WAE による HTTP ヘッダー(メタデータ)情報のキャッシングを有効にします。デフォルト設定では、有効になっています。

[Metadata Cache Settings] 内のその他の設定を有効にするには、このチェックボックスを選択する必要があります。このチェックボックスがオンになっていない場合は、ヘッダーのキャッシングは一切行われません。

HTTP メタデータのキャッシングの詳細については、「HTTP メタデータ キャッシングについて」を参照してください。

ステップ 4 [Enable HTTPS metadatacache caching] チェックボックスを選択して、WAE による HTTPS ヘッダー(メタデータ)情報のキャッシングを有効にします(SSL トラフィックのペイロードとしての HTTP)。デフォルト設定では、有効(オン)になっています。

HTTP メタデータのキャッシングの詳細については、「HTTP メタデータ キャッシングについて」を参照してください。

ステップ 5 [Maximum age of a cache entry] フィールドに、HTTP ヘッダー情報をキャッシュ内に保持する最大秒数を入力します。デフォルトは 86400 秒(24 時間)です。有効な期間の範囲は 5 ~ 2592000 秒(30 日)です。

ステップ 6 [Minimum age of a cache entry] フィールドに、HTTP ヘッダー情報をキャッシュ内に保持する最小秒数を入力します。デフォルトは 60 秒です。有効な期間の範囲は 5 ~ 86400 秒(24 時間)です。

ステップ 7 [Enable local HTTP 301 redirect messages] チェックボックスを選択して、WAE によるキャッシングと、HTTP 301 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。

ステップ 8 [Enable local HTTP 401 Authentication-required messages] チェックボックスを選択して、WAE によるキャッシングと、HTTP 401 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。

ステップ 9 [Enable local HTTP 304 Not-Modified messages] チェックボックスを選択して、WAE による HTTP 200 および 304 メッセージのキャッシングと、HTTP 304 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。

ステップ 10 メタデータのキャッシングが適用される特定のファイル拡張子を設定するには、右端にある [File extension filters] フィールドにファイル拡張子を入力します。複数の拡張子をカンマで区切り(たとえば、jpeg, gif, png)、ファイル拡張子の先頭にはドット(.)を付けないでください。[<< Add] ボタンをクリックして、入力したファイル名拡張子を、左側に表示されているアクティブなリストに追加します。最大 20 個の拡張子を入力できます。

リストから拡張子を削除するには、アクティブなリストで拡張子を選択し、[>> Delete] ボタンをクリックします。

デフォルトでは、ファイル拡張子フィルタが定義されないため、メタデータのキャッシングがすべてのファイル タイプに適用されます。

ステップ 11 [Suppress server compression for HTTP and HTTPS] チェックボックスを選択して、クライアントとサーバの間のサーバ圧縮を抑制するように WAE を設定します。デフォルト設定では、有効になっています。

このチェックボックスを選択することにより、WAE に HTTP および HTTPS 要求ヘッダーから Accept-Encoding 値を削除するように指示して、Web サーバがクライアントに送信する HTTP および HTTPS データを圧縮しないようにできます。これにより、WAE はその独自の圧縮を HTTP および HTTPS データに適用できるようになります。通常は、ほとんどのファイルについて、Web サーバが行うよりもはるかに圧縮率が高くなります。ほとんど変化のない一部のファイル タイプ(.css ファイルや .js ファイルなど)については、この設定は無視され、Web サーバによる圧縮が許可されます。

ステップ 12 [Enable DRE Hints for HTTP and HTTPS] チェックボックスを選択することにより、DRE パフォーマンスを向上させるために DRE ヒントを DRE モジュールに送信します。DRE ヒント機能は、デフォルトで有効になっています。

ステップ 13 [Submit] をクリックします。

変更がデバイスまたはデバイス グループに保存されます。


 

CLI から HTTP アクセラレーションを設定するには、 accelerator http グローバル コンフィギュレーション コマンドを使用します。

メタデータ キャッシュの内容を表示するには、 show cache http-metadatacache EXEC コマンドを使用します。

メタデータ キャッシュをクリアするには、 clear cache http-metadatacache EXEC コマンドを使用します。

特定のクライアントまたは IP サブセットに対して特定の HTTP アクセラレータ機能を有効または無効にするには、HTTP サブネット機能を使用します。詳細については、「HTTP アクセラレータ サブネットの使用」を参照してください。

HTTP メタデータ キャッシングについて

メタデータ キャッシング機能を使用すると、ブランチ WAE の HTTP アクセラレータで特定のサーバ応答をキャッシュし、クライアントにローカルに応答することができます。次のサーバ応答メッセージがキャッシングされます。

HTTP 200 OK(If-None-Match 要求および If-Modified-Since 要求に適用される)

HTTP 301 リダイレクト

HTTP 304 未変更(If-None-Match 要求および If-Modified-Since 要求に適用される)

HTTP 401 認証が必要

次の場合には、メタデータ キャッシングは適用されません。

RFC 標準に準拠していない要求と応答

255 文字を超える URL

cookie ヘッダーを持つ 301 および 401 応答

HEAD 方式が使用されている

パイプライン化されたトランザクション


) メタデータ キャッシング機能は、WAAS バージョン 4.2.1 で導入されましたが、バージョン 4.2.1 が必要になるのはブランチ オフィスの WAE でだけです。この機能は、もっと低いバージョンのデータセンター WAE 上の HTTP アクセラレータとも相互運用性があります。


HTTP アクセラレータ サブネットの使用

HTTP アクセラレータ サブネット機能を使用すると、ACL を使用して特定の IP サブネットに対して特定の HTTP 最適化機能を選択して有効または無効にすることができます。この機能は、HTTP 最適化(HTTP メタデータ キャッシング、HTTPS メタデータ キャッシング、DRE ヒント、サーバ圧縮の抑制)に適用できます。

IP サブネットを定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用します。サブネットの設定方法については、『 Cisco Wide Area Application Services Command Reference 』のこのコマンドを参照してください。標準 ACL と拡張 ACL の両方を使用できます。

HTTP アクセラレータ機能のサブネットを設定するには、次の手順を実行します。


ステップ 1 使用するすべての HTTP アクセラレータ機能に対してグローバル コンフィギュレーションを有効にします。

ステップ 2 トラフィックのサブネットに使用する IP アクセス リストを作成します。

WAE(config)# ip access-list extended md_acl
WAE(config-ext-nacl)# permit ip 1.1.1.0 0.0.0.255 any
WAE(config-ext-nacl)# permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
WAE(config-ext-nacl)# exit
 

ステップ 3 ACL を特定の HTTP アクセラレータ機能に関連付けます。ACL の HTTP アクセラレータ機能への関連付けの詳細については、『 Cisco Wide Area Application Services Command Reference 』の accelerator http グローバル コンフィギュレーション コマンドを参照してください。

WAE(config)# accelerator http metadatacache access-list md_acl
 

この例では、HTTP メタデータ キャッシュ機能が、拡張アクセス リスト md_acl で指定された条件と一致するすべての接続に適用されます。


 

次の例では、HTTP suppress-server-encoding 機能が、標準アクセス リスト 10 で指定された条件と一致するすべての接続に適用されます。

WAE(config)# ip access-list standard 10
WAE(config-std-nacl)# permit 1.1.1.0 0.0.0.255
WAE(config-std-nacl)# exit
WAE(config)# accelerator http suppress-server-encoding accesslist 10
 

ACL が関連付けられていない機能(この例では、DRE ヒントと HTTPS メタデータ キャッシュ)の場合、グローバル コンフィギュレーションが使用され、すべての接続に適用できます。

MAPI アクセラレーションの設定

MAPI アプリケーション アクセラレータは、Messaging Application Programming Interface(MAPI)プロトコルを使用する Microsoft Outlook Exchange トラフィックを加速させます。Microsoft Outlook 2000 ~ 2010 のクライアントがサポート対象です。クライアントは、キャッシュ モードまたは非キャッシュ モードのいずれかの Outlook で設定できます。いずれのモードも加速されます。

メッセージ認証(署名)を使用するセキュア接続は、加速されません。また、MAPI over HTTP は加速されません。


) Microsoft Outlook 2007 および 2010 では、デフォルトで暗号化が有効です。MAPI アプリケーション アクセラレータを利用するには、暗号化を無効にする必要があります。


MAPI アプリケーション アクセラレータが動作するには、EPM アプリケーション アクセラレータを有効にする必要があります。EPM は、デフォルトで有効です。さらに、システムでは、タイプ EPM の最適化ポリシーを定義し、MAPI UUID を指定して、MAPI の [Accelerate] 設定を行う必要があります。このポリシー(E メールとメッセージング アプリケーション用の MAPI)は、デフォルトで定義されます。

MAPI など、EPM トラフィックでは通常定義済みのポートを使用しません。Outlook 管理者が標準的ではない方法でスタティック ポートを使用するように Outlook を設定している場合、Outlook 用に設定されたスタティック ポートと一致するクラス マップで MAPI トラフィックを加速する新しい基本最適化ポリシーを作成する必要があります。


) WAE が接続により過負荷状態になると、MAPI アプリケーション アクセラレータは、内部的に予約されている接続リソースを使用して MAPI 接続の高速化を続けます。予約されていたリソースも使い果たすと、接続リソースに空きができるまで、新しい MAPI 接続はパススルーされます。


MAPI アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[MAPI Accelerator] チェックボックスを選択します(図 13-1 を参照)。

MAPI アクセラレーション設定を構成するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [MAPI Settings] を選択します。

[MAPI Acceleration Settings] ウィンドウが表示されます (図 13-4 を参照)。

図 13-4 [MAPI Acceleration Settings] ウィンドウ

 

ステップ 3 [Reserved Pool Size Maximum Percent] フィールドに、TFO の過負荷時の MAPI 最適化のために予約される最大接続数を制限する、最大接続割合を入力します。プラットフォームの TFO 接続制限に対する割合で指定します。有効な割合の範囲は、5 ~ 50% です。デフォルトは 15% です。この場合、MAPI アクセラレータで最適化されるクライアントとサーバの間のアソシエーション グループ(AG)ごとに約 0.5 の接続が予約されます。

クライアントは、接続するサーバごとに少なくとも 1 つの AG を維持し、AG あたり約 3 つの接続が平均で使用されます。AG あたりの平均接続数がそれよりも多い、または TFO の過負荷が頻繁に発生する配置では、予約されるプール サイズの最大割合により大きい値を指定することを推奨します。

デバイスが TFO 過負荷になっていない場合は、予約された接続が使用されないままになっています。予約された接続は、AG が終了すると解放されます。

ステップ 4 [Submit] をクリックします。変更がデバイスまたはデバイス グループに保存されます。


 

暗号化 MAPI アクセラレーションの設定

暗号化 MAPI アクセラレーション機能は、ドメイン内のクライアントおよび/またはサーバの認証に MS-Kerberos セキュリティ プロトコルおよび Windows Active Directory アイデンティティを使用して、セキュア MAPI アプリケーション プロトコルの WAN 最適化を行います。


) 暗号化 MAPI 機能は、拡張ベータ トライアルに含まれています。この機能を有効にする前に、承認のため、Cisco アカウント チームへの CC を行った上で、waas-emapi-cs@external.cisco.com にご連絡ください。承認された顧客のみ、ベータ評価がサポートされます。


ここでは、次の内容について説明します。

「暗号化 MAPI 設定のタスク フロー」

「暗号化 MAPI 設定の設定」

「マシン アカウント アイデンティティを設定する」

「ユーザ アカウントの作成と設定」

「Microsoft Active Directory の設定」

「ドメイン アイデンティティおよび暗号化 MAPI 状態の管理」

暗号化 MAPI 設定のタスク フロー

暗号化 MAPI トラフィック アクセラレーションを設定するには、 表 13-1 に示す作業を完了します。必要がない(またはオプション)の記述が特にない限り、これらのタスクはデータセンターとブランチ オフィスの WAE の両方で実行する必要があります。

 

表 13-1 暗号化 MAPI 設定のタスク

作業
追加情報と手順
DNS 設定を行う。

DNS 設定を行うには、を参照してください。

NTP 設定を行う。

Active Directory を使用して時間を同期するには、を参照してください。

WAE デバイスが WAAS Central Manager に登録され、オンラインになっていることを確認する。

WAE デバイスが WAAS Central Manager に登録され、オンラインになっていることを確認するには、を参照してください。

SSL ピアリング サービスを設定する。

SSL ピアリング サービスを設定するには、「SSL ピアリング サービスの設定」を参照してください。

WAN Secure モードがイネーブルであるか確認する。

WAN Secure モードがイネーブルであるか確認するには、show accelerator wansecure EXEC コマンドを使用します。

Windows ドメイン設定を行い、ドメイン参加を実行する。

(ドメイン参加機能は Active Directory にマシン アカウントを自動的に作成します)。

Windows ドメイン サーバ認証設定を行うには、を参照してください。

ブランチ オフィスの WAE デバイスでは、WAE のドメイン参加の実行が必要ないことに注意してください。

ドメイン アイデンティティ(マシン アカウントおよびオプションのユーザ アカウント用)を設定する。

マシン アカウント アイデンティティを設定するには、「マシン アカウント アイデンティティを設定する」を参照してください。

(オプション)ユーザ アカウントを作成し、ユーザ アカウント アイデンティティを設定するには、「ユーザ アカウントの作成と設定」を参照してください。

ブランチ オフィスの WAE デバイスでは、ドメイン アイデンティティの設定は必要ないことに注意してください。

Windows Domain 暗号化サービスを有効にする。

Windows Domain 暗号化サービスを有効にするには、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] ページに移動し、[Enable Encrypted Service] チェックボックスを選択します。

暗号化 MAPI トラフィック最適化を有効にする。

暗号化 MAPI トラフィックを有効にするには、「グローバル最適化機能の有効化と無効化」を参照してください。

暗号化 MAPI 設定の設定

暗号化 MAPI アクセラレーションを設定するには、次の手順に従ってください。


ステップ 1 DNS 設定を行う。

トラフィック暗号化の DNS クエリーを解決するため、WAAS DNS サーバは Windows Active Directory ドメインの DNS システムの一部であることが必要です。

DNS 設定を行うには、を参照してください。

ステップ 2 Active Directory で時間を同期するために、NTP 設定を行う。

暗号化 MAPI アクセラレーションのために、WAAS デバイスは Active Directory と同期される必要があります。暗号化を必要とするトラフィックのために、WAAS NTP サーバは Active Directory ドメイン コントローラ ドメインで時間同期を共有する必要があります。時間が同期されない場合、暗号化 MAPI アクセラレーションは失敗します。

Active Directory を使用して時間を同期するには、を参照してください。

ステップ 3 WAE デバイスが WAAS Central Manager に登録され、オンラインになっていることを確認する。

WAE デバイスが WAAS Central Manager に登録され、オンラインになっていることを確認するには、を参照してください。

ステップ 4 SSL ピアリング サービスを設定する。


) SSL アクセラレータを有効にし、実行状態にする必要があります。


SSL ピアリング サービスを設定するには、「SSL ピアリング サービスの設定」を参照してください。

ステップ 5 WAN Secure モードがイネーブルであるか確認する。

デフォルトのモードは Auto です。次の EXEC コマンドを使用して WAN Secure モードの状態を確認できます。

show accelerator wansecure

必要に応じて、次のグローバル コンフィギュレーション コマンドを使用して WAN Secure モードの状態を変更できます。

accelerator mapi wansecure-mode {always | auto | none}

ステップ 6 Windows ドメイン設定を行い、ドメイン参加を実行する。(ドメイン参加は Active Directory にマシン アカウントを自動的に作成します)。


) ブランチ オフィスの WAE デバイスでは、WAE のドメイン参加の実行が必要ありません。



) ユーザ アカウントが次の手順のドメイン アイデンティティ設定にのみ使用される場合、データセンター WAE で、この手順はオプションです。


Windows ドメイン サーバ認証設定を行うには、を参照してください。


) 暗号化 MAPI アクセラレーションには、Kerberos 認証を使用する必要があります。NTLM 認証方式はサポートされません。


ステップ 7 ドメイン アイデンティティを設定する。(ブランチ オフィスの WAE では必要ありません)。

1 つのドメイン アイデンティティを持つように設定された、ユーザ アカウントまたはマシン アカウントのどちらかのアカウントが少なくとも 1 つ必要です。各デバイスは、1 つのマシン アカウント アイデンティティと 4 つのアカウント アイデンティティの最大 5 つのドメイン アイデンティティをサポートできます。これによって、WAAS デバイスは最大 5 つのドメイン ツリーを加速できます。加速されるクライアントを持つ Exchange サーバのある各ドメインに対して、ドメイン アイデンティティを設定する必要があります。

a. マシン アカウント アイデンティティを設定する。

コア デバイスのマシン アカウントは、以前の手順の Windows Domain サーバ認証手順の参加プロセスの中で自動的に作成されました。マシン アカウントを使用している場合は、このアカウントのマシン アカウント アイデンティティを設定する必要があります。

各デバイスは、1 つのマシン アカウント アイデンティティしかサポートしません。

マシン アカウント アイデンティティを設定するには、「マシン アカウント アイデンティティを設定する」を参照してください。

b. オプションのユーザ アカウントを作成して設定する。

さらなるセキュリティのために、最大 4 つのオプションのユーザ アカウントを使用できます。複数のユーザ アカウントを使用すると、すべてのコア デバイスが単一のユーザ アカウントを使用するよりも安全性が高まります。既存のユーザ アカウントを使用する場合も、新規に作成する場合にも、各ユーザ アカウントにユーザ アカウント アイデンティティを設定する必要があります。

ユーザ アカウントを作成して、ユーザ アカウント アイデンティティを設定するには、「ユーザ アカウントの作成と設定」を参照してください。

ステップ 8 Windows Domain 暗号化サービスを有効にする。(デフォルトでは、イネーブル)。

a. WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

b. メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。[Encrypted Services] ウィンドウが表示されます。

c. [Enable Encrypted Service] チェックボックスを選択します。

d. [Submit] をクリックして変更を保存します。

ステップ 9 暗号化 MAPI トラフィック最適化を有効にする。

[Enabled Features] ウィンドウで [Encrypted MAPI Traffic Optimization] チェックボックスを選択し([MAPI Accelerator] チェックボックスも選択する必要があります)、[Submit] をクリックします。暗号化 MAPI トラフィック最適化はデフォルトでは無効になっています。


) 暗号化 MAPI 機能は、拡張ベータ トライアルに含まれています。この機能を有効にする前に、承認のため、Cisco アカウント チームへの CC を行った上で、waas-emapi-cs@external.cisco.com にご連絡ください。承認された顧客のみ、ベータ評価がサポートされます。


[Enabled Features] ウィンドウの詳細については、「グローバル最適化機能の有効化と無効化」を参照してください。


 

マシン アカウント アイデンティティを設定する

マシン アカウントのアイデンティティを設定するには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。[Encrypted Services] ウィンドウが表示されます。

ステップ 3 新しいマシン アカウント アイデンティティを追加するには、[Add Domain Identity] ボタンをクリックします。(図 13-6 を参照)。

加速する各 WAAS デバイスは、ドメイン アイデンティティを持つ必要があります。

図 13-5 ドメイン アイデンティティの追加--マシン アカウント

 

a. [Account Type] ドロップダウン リストから、[Machine Account] を選択します。


) マシン アカウント ドメイン アイデンティティの作成の前に、Windows ドメイン参加が完了していることが必要です。


b. [Identity Name] フィールドにアイデンティティ名を入力します。英数字のみ(スペース、?、| を含まない)で最長 32 文字を入力します。


) 必要なドメイン情報を複製して暗号化トラフィックを最適化するために、ドメイン アイデンティティは、Windows Domain Active Directory で十分な特権を持つ必要があります。特権を設定するには、「Microsoft Active Directory の設定」を参照してください。


ステップ 4 [OK] をクリックします。ドメイン アイデンティティは、[Encrypted Services Domain Identities] リストに表示されます。(図 13-6 を参照)。

図 13-6 Encrypted Services--Domain Identity

 


 

CLI から暗号化サービス ドメイン アイデンティティを設定し、確認するには、 windows-domain encrypted-service グローバル コンフィギュレーション コマンド、および show windows-domain encrypted-service EXEC コマンドを使用します。

ユーザ アカウントの作成と設定

ユーザ アカウントを作成し、ユーザ アカウント アイデンティティを設定するには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。

[Encrypted Services] ウィンドウが表示されます。(図 13-7 を参照)。

図 13-7 Encrypted Services

 

ステップ 3 ユーザ アカウント ドメイン アイデンティティを追加するには Add Domain Identity ボタンをクリックします。[Domain Identity] ウィンドウが表示されます。(図 13-8 を参照)。

図 13-8 ドメイン アイデンティティの追加--ユーザ アカウント

 

a. [Account Type] ドロップダウン リストから、[user account] を選択します。

b. [Identity Name] フィールドにアイデンティティ名を入力します。英数字のみ(スペース、?、| を含まない)で最長 32 文字を入力します。

c. ユーザ名とパスワード情報を入力します。

d. ドメイン名を入力します。

e. Kerberos 領域を入力します。


) 必要なドメイン情報を複製して暗号化トラフィックを最適化するために、ドメイン アイデンティティは、Windows Domain Active Directory で十分な特権を持つ必要があります。特権を設定するには、「Microsoft Active Directory の設定」を参照してください。


ステップ 4 [OK] をクリックします。ドメイン アイデンティティは、[Encrypted Services Domain Identities] リストに表示されます。


 

CLI から暗号化サービス ドメイン アイデンティティを設定し、確認するには、 windows-domain encrypted-service グローバル コンフィギュレーション コマンド、および show windows-domain encrypted-service EXEC コマンドを使用します。

Microsoft Active Directory の設定

Exchange 暗号化 E メール セッションを加速するために Cisco WAAS 特権を付与するには、次の手順を実行します。


ステップ 1 Domain Administrator 特権のあるアカウントを使用して、Active Directory Users and Computers アプリケーションを起動します。

ステップ 2 新しいグループを作成します。


) このグループは、Exchange トラフィックを最適化するために WAAS が使用するアカウントのグループです。一般ユーザおよびコンピュータをこのグループに追加してはいけません。


a. 新しいグループを含む組織ユニット(OU)を右クリックし、[New] > [Group] を選択します(図 13-9を参照)。

図 13-9 Active Directory--グループの追加

 

b. [Group name] フィールドに名前を入力し、次の属性を選択します。

Group scope:Universal

Group type:Security

c. [OK] をクリックします。

ステップ 3 WAAS に必要な特権を設定します。

a. [Active Directory Users and Computers] アプリケーション ウィンドウのメニュー バーで [View] > [Advanced Features] を選択します。

b. ドメインのルートを右クリックし、[Properties] を選択します。

c. [Security] タブを選択します。(図 13-10 を参照)。

図 13-10 Active Directory--[Security] タブ

 

d. [Group or User Names] セクションの [Add] をクリックします。

e. [Enter the object names to select] フィールドに、この手順で作成した新しいグループの名前を入力し、[OK] をクリックして新しいグループをリストに追加します。

f. [Group or user names] リストの新しいグループを選択し、次の特権を [Allow] に設定します。

Replicating Directory Changes

Replicating Directory Changes All

g. [OK] をクリックします。

ステップ 4 グループにアカウントを追加します。

ユーザまたはワークステーション(コンピュータ)アカウントを WAAS Exchange 暗号化 E メールの最適化のための新しいグループに追加する必要があります。

a. 追加するアカウントを右クリックし、[Member Of] タブを選択します。

b. [Add] をクリックします。

c. 作成した新しいグループを選択し、[OK] をクリックします。

Active Directory 特権の設定は完了です。


 

ドメイン アイデンティティおよび暗号化 MAPI 状態の管理

ここでは、次の内容について説明します。

「既存のドメイン アイデンティティの編集」

「既存のドメイン アイデンティティの削除」

「暗号化 MAPI の無効化」

「暗号化 MAPI アクセラレーションの統計情報」

既存のドメイン アイデンティティの編集

必要に応じて WAAS デバイスの既存のドメイン アイデンティティの属性を変更できます。


) Active Directory でユーザ アカウントのパスワードが変更されている場合、WAAS デバイスのアカウント ドメイン アイデンティティを編集して、新しい Active Directory パスワードに一致させる必要があります。


次の制約事項が適用されます。

マシン アカウント アイデンティティの場合、WAAS デバイスからは、ドメイン アイデンティティの状態(有効または無効)だけが変更できます。

ユーザ アカウント アイデンティティの場合、WAAS デバイスからは、ドメイン アイデンティティの状態(有効または無効)とパスワードだけが変更できます。

Active Directory のアカウントのパスワードが変更された場合に、WAAS デバイスのユーザ アカウント ドメイン アイデンティティのパスワードを変更するには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。

[Encrypted Services] ウィンドウが表示されます。

ステップ 3 変更するユーザ アカウント ドメイン アイデンティティを選択して、[Edit] アイコンをクリックします。

[Domain Identity] ウィンドウが表示されます。

ステップ 4 [Password] フィールドのパスワードを変更します。パスワードは、Active Directory のアカウントのパスワードと同じである必要があります。

ステップ 5 [OK] をクリックします。


 

既存のドメイン アイデンティティの削除

WAAS デバイスのドメイン アイデンティティを削除するには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。

[Encrypted Services] ウィンドウが表示されます。

ステップ 3 削除する 1 つまたは複数のドメイン アイデンティティを選択し、[Delete] アイコンをクリックして、WAAS デバイスに設定されたドメイン アイデンティティを削除します。

ドメイン アイデンティティが暗号化トラフィックの最適化に使用されている場合は、警告メッセージが表示されます。

ステップ 4 認める場合は [OK] をクリックし、手順を中断する場合は [Cancel] をクリックします。


 

暗号化 MAPI の無効化

暗号化 MAPI を無効にするには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 暗号化サービスを無効にします。

a. メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。

[Encrypted Services] ウィンドウが表示されます。

b. [Enable Encrypted Service] チェックボックスの選択を解除します。

c. [Submit] をクリックして変更を保存します。

ステップ 3 暗号化 MAPI トラフィック最適化を無効にします。

a. メニューで、[Configure] > [Acceleration] > [Enabled Features] を選択します。

[Enabled Features] ウィンドウが表示されます。

b. [Encrypted MAPI Traffic Optimization] チェックボックスの選択を解除します。

c. [Submit] をクリックして変更を保存します。


 

暗号化 MAPI アクセラレーションの統計情報

暗号化 MAPI 接続の統計情報を表示するには、を参照し、MAPI アクセラレーション レポートを参照してください。

ビデオ アクセラレーションの設定

ビデオ アプリケーション アクセラレータは、RTSP over TCP を使用する Windows Media ライブ ビデオ ブロードキャストを加速させます。ビデオ アクセラレータは、自動的に、WAN からの 1 つのソース ビデオ ストリームを複数のストリームに分割し、LAN 上の複数のクライアントに供給します。

ビデオ アクセラレータは、自動的に、UDP ストリームを要求しているクライアントがプロトコル ロールオーバーを行って、TCP を使用できるようにします(クライアントとサーバの両方で TCP が可能な場合)。

ストリーミング最適化ポリシーのデフォルトの RTSP クラス マップは、ビデオ アクセラレータにトラフィックを送信するように定義されています。

デフォルトでは、ビデオ アクセラレータは加速されていないビデオ トラフィックをすべて送信して、ネゴシエーション済みの標準 TCP 最適化ポリシーにより処理されるようにします(ビデオ アクセラレータがこのようなトラフィックをドロップするよう明示的に設定されていない場合)。すべての加速されていないビデオ トラフィック、または過負荷状態が原因で加速されていないトラフィックだけをドロップするように選択できます。

ビデオ アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[Video Accelerator] チェックボックスを選択します(図 13-1 を参照)。

ビデオ アクセラレーション設定を構成するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Video Settings] を選択します。

[Video Acceleration Configuration] ウィンドウが表示されます (図 13-11 を参照)。

図 13-11 [Video Acceleration Configuration] ウィンドウ

 

ステップ 3 [Client First Message Reception Timeout] フィールドでは、ビデオ アクセラレータで接続が受け入れられてから接続のタイムアウトが発生するまで、クライアントからの最初のメッセージおよびサーバからの最初の応答を待機する時間(秒)を入力します。有効範囲は、10 ~ 180 秒です。デフォルトは 60 です。

ステップ 4 ドロップダウン リストで、加速されていないビデオ トラフィックのドロップ方法を次の中から選択します。

[All]:サポート対象外の伝送や形式、あるいは過負荷が原因で加速されないすべてのビデオ トラフィックをドロップします。すべての Windows Media ビデオオンデマンド トラフィックおよびすべての非 Windows Media RTSP トラフィックはドロップされます。

[Overload Only]:アクセラレータの過負荷だけが原因で加速されないすべてのビデオ トラフィックをドロップします。

[None]:加速されていないビデオ 接続をネゴシエーション済みの TCP 最適化ポリシーで処理します (トラフィックはドロップされません)。


) 有効なライセンスがない場合や特定のエラー状態など、一部の条件下ではビデオ アクセラレータがポリシー エンジンに登録されません。加速されていないすべてのビデオ トラフィックをドロップするようにビデオ アクセラレータを設定すると、ポリシー エンジンはすべてのビデオ トラフィックをドロップします(ビデオ アクセラレータがポリシー エンジンに正しく登録されていれば加速されるようなトラフィックであっても同様です)。


ステップ 5 [Enable transaction logs] チェックボックスを選択して、トランザクション ログ機能を有効にします。この機能により、大量のログ データが生成されます。デフォルトで、このボックスは選択されていません。[More Settings] リンクをクリックして、[Windows Media Transaction Log Settings] 設定ページに移動します。

ステップ 6 [Enable log forwarding] チェックボックスを選択して、Windows Media ログのアップストリーム Windows Media Server への転送を有効にします。デフォルトで、このボックスは選択されています。

ステップ 7 [Client Idle Connection timeout] フィールドでは、最初のクライアント要求の後、接続のタイムアウトが発生するまで、クライアント接続がアイドル状態のまま待機する最大時間(秒)を入力します。有効範囲は、30 ~ 300 秒です。デフォルトは 60 です。

ステップ 8 [Submit] をクリックします。

変更がデバイスまたはデバイス グループに保存されます。


 

CLI からビデオ アクセラレーションを設定するには、 accelerator video グローバル コンフィギュレーション コマンドを使用します。

SMB アクセラレーションの設定

SMB アプリケーション アクセラレータは、ファイル サーバの動作の最適化を処理します。次のファイル サーバ最適化の実行を設定できます。

先行読み出し最適化:SMB アクセラレータは、oplock 機能を使用するファイルに関する先行読み出し最適化を行います。クライアントがファイルの読み出し要求を送信したとき、同じファイルの読み出し要求を追加発行する可能性が高くなります。ファイル サーバの WAN 経由でこの機能を実行するネットワーク帯域幅使用を削減するため、SMB アクセラレータは、クライアントが最初に要求したよりも多くのファイル データを事前対応的に読むことによって、先行読み出しの最適化を実行します。

ディレクトリ リスト作成の最適化:ネットワークのトラフィックの主な部分は、ディレクトリ リストの取得のためのものです。SMB アクセラレータは、プリフェッチによってファイル サーバからのディレクトリ リスト作成を最適化します。ディレクトリのプリフェッチの場合、クライアントからの要求は拡大され、最大 64 KB のディレクトリ リストの内容がプリフェッチされます。SMB アクセラレータは、クライアントがすべてのデータの要求し終わるまで、プリフェッチしたディレクトリ リスト データをバッファします。ディレクトリ リストのサイズが 64 KB を超える場合は、後続のクライアントからの要求が SMB アクセラレータによって拡張され、最大 64 KB の情報がプリフェッチされます。これが、ディレクトリのすべてのエントリがクライアントに返されるまで続けられます。

メタデータ最適化:SMB アクセラレータは、メタデータのプリフェッチによってファイル サーバからのメタデータのフェッチを最適化します。追加のメタデータ要求は、クライアント要求とともにタグ付けされてファイル サーバに送信され、クライアントが要求したよりも高い情報レベルがプリフェッチされます。

名前付きパイプ最適化:SMB アクセラレータは、Windows Explorer からファイル サーバへの、頻繁な共有情報、サーバ情報、およびワークステーション情報の取得要求を最適化します。これらの各要求には、名前付きパイプのオープンとバインド、RPC 要求、および名前付きパイプのクローズを含む一連の動作が含まれます。各動作では、ファイル サーバへのラウンド トリップが発生します。ファイル サーバの WAN 経由でこの機能を実行するネットワーク帯域幅使用を削減するため、SMB アクセラレータは、名前付きパイプ セッションおよびポジティブ RPC 応答のキャッシングによって、ネットワークのトラフィックを最適化します。

書き込み最適化:SMB アクセラレータは、クライアントに対して可能な場合は常に書き込み要求を確認し、同時に WAN 経由のサーバへの書き込み要求をストリーミングして、クライアントへの書き込み応答を高速化することによって書き込みの最適化を行います。

Not-Found メタデータ キャッシング:アプリケーションが、ファイル サーバに存在しないディレクトリおよびファイルに関する要求を送信することがあります。たとえば、Windows Explorer は、発見したファイルのオルタネート データ ストリーム(ADS)にアクセスします。ネガティブ Not-Found(NF)メタデータ キャッシングによって、同じディレクトリおよびファイルに対して後に発生する要求がローカルな拒否を受け、ファイル サーバへの要求送信のラウンド トリップを節約できるように、これらの存在しないディレクトリおよびファイルへの完全なパスがキャッシュされます。

DRE-LZ ヒント:SMB アクセラレータは、システムの性能および資源の使用率を向上するための DRE ヒントを提供します。接続レベルでは、SMB アクセラレータは、最良の圧縮が得られるためすべての接続に対して BEST_COMP 遅延感度レベルを使用します。メッセージレベルでは、SMB アクセラレータは、WAN を経由して転送される各メッセージに対してメッセージ ベースの DRE ヒントを提供します。

Microsoft 最適化:SMB アクセラレータは、Microsoft Office アプリケーションがサポートするファイル名パターンに対するロック要求シーケンスを識別することによって、Microsoft アプリケーションのファイル動作を最適化します。

無効な FID 最適化:SMB アクセラレータは、ファイル サーバに該当する要求を送るのではなく、無効なファイル ハンドル値を使用してファイルにアクセスしようとすることをローカルに拒否することで、SMB2 クライアントを最適化します。

バッチ クローズ最適化:SMB アクセラレータは、SMB2 トラフィックにおいて非同期ファイルクローズの最適化を行います。

SMB アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[SMB Accelerator] チェックボックスを選択します。


) CIFS アクセラレータと SMB アクセラレータは排他的です。同時に両方を有効にすることはできません。


SMB アクセラレーション設定を背手値するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [SMB Settings] を選択します。

[SMB Optimization Bypass Settings] ウィンドウが表示されます。(図 13-12 を参照)。

図 13-12 SMB アクセラレータ設定ウィンドウ

 

ステップ 3 [Highest Dialect Optimized] ドロップダウン リストで、最適化する最上位の方言を選択します。次のオプションを使用できます。

NTLM 0.12 または NTLM 1.0

SMB 2.0

SMB 2.1

ステップ 4 [Highest Dialect Optimized Exceed Action] ドロップダウン リストで、最適化する最上位のダイアレクトとして選択されたダイアレクトよりも上位のダイアレクトに対する対処を、次のように選択します。

Handoff:ネゴシエーション済みのダイアレクトが、選択した最適化する最上位のダイアレクトよりも上位である場合、接続は汎用アクセラレータにハンドオフされます。

Mute:最適化する最上位のダイアレクトとして選択されたダイアレクトよりも上位であるダイアレクトは、ネゴシエーション リストから削除されます。

ステップ 5 [Bypass File Name Pattern] テキスト ボックスに、SMB アクセラレータに最適化をバイパスさせるファイル名のパターンを入力します。指定された式に一致する名前のファイルは最適化されません。

ステップ 6 ファイルの先行読み出しデータ量の SMB による最適化を有効にするには、[Read Ahead Optimization] チェックボックスを選択します。SMB は、oplocks 機能を使用してファイルが開かれた場合にのみ、先行読み出し最適化を行います。デフォルトで、このボックスは選択されています。

ステップ 7 メタデータ最適化を有効にするには、[Meta Data Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 8 名前付きパイプセッションとポジティブ RPS 応答のキャッシングによる名前付きパイプの最適化を有効にするには、[Named Pipe Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 9 クライアントへの書き込み応答を高速化することによる書き込み最適化を有効にするには、[Write Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 10 Microsoft Office のすべてのバージョンの最適化を有効にするには、[Microsoft Office Optimization] チェックボックスを選択します。この最適化が無効である場合、SMB アクセラレータは、Microsoft Office の先行読み出し、書き込み最適化、および先行ロックを行いません。デフォルトで、このボックスは選択されています。

ステップ 11 見つからないファイルのパス名のキャッシングを有効にするには、['Not Found' Cache Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 12 無効なファイル ハンドル値によるファイル操作の最適化を有効にするには、[Invalid FID Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 13 非同期ファイルクローズ最適化を有効にするには、[Batch Close Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 14 [Submit] をクリックして変更を保存します。


 

CLI から SMB アクセラレーションを設定するには、accelerator smb グローバル コンフィギュレーション コマンドを使用します。

CIFS アクセラレータ エクスプレスの設定

CIFS アプリケーション アクセラレータ エクスプレスは、WAAS Express デバイスでのファイル サーバ動作の最適化を処理します。標準 WAAS デバイスの標準 CIFS アクセラレータ、または標準 SMB アクセラレータのうちのいずれかと相互運用しています。

CIFS アクセラレータ エクスプレスは、次のファイル サーバ最適化の実行を設定できます。

書き込み最適化:CIFS アクセラレータ エクスプレスは、クライアントに対して可能な場合は常に書き込み要求を確認し、同時に WAN 経由のサーバへの書き込み要求をストリーミングして、クライアントへの書き込み応答を高速化することによって書き込みの最適化を行います。

先行読み出し最適化:CIFS アクセラレータ エクスプレスは、oplock 機能を使用するファイルに関する先行読み出し最適化を行います。クライアントがファイルの読み出し要求を送信したとき、同じファイルの読み出し要求を追加発行する可能性が高くなります。ファイル サーバの WAN 経由でこの機能を実行するネットワーク帯域幅使用を削減するため、SMB アクセラレータは、クライアントが最初に要求したよりも多くのファイル データを事前対応的に読むことによって、先行読み出しの最適化を実行します。

ADS ネガティブ キャッシング:アプリケーションがファイル サーバに存在しないディレクトリおよびファイルに関する要求を送信することがあります。たとえば、Windows Explorer は、発見したファイルのオルタネート データ ストリーム(ADS)にアクセスします。ADS ネガティブ キャッシングによって、同じディレクトリおよびファイルに対して後に発生する要求がローカルな拒否を受け、ファイル サーバへの要求送信のラウンドトリップを節約できるように、これらの存在しないディレクトリおよびファイルへの完全なパスがキャッシュされます。

CIFS アクセラレータ エクスプレスを有効化するには、[Enabled Features] ウィンドウで、[CIFS Accelerator Express] チェックボックスを選択します。

CIFS アクセラレータ エクスプレス設定を行うには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [CIFS Settings] を選択します。

[CIFS Optimization Bypass Settings] ウィンドウが表示されます。

ステップ 3 クライアントへの書き込み応答を高速化することによる書き込み最適化を有効にするには、[Write Optimization] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 4 ファイルからの先行読み出しデータ量の CIFS アクセラレータ エクスプレスによる最適化を有効にするには、[Read Ahead Optimization] チェックボックスを選択します。CIFS アクセラレータ エクスプレスは、oplocks 機能を使用してファイルが開かれた場合にのみ、先行読み出し最適化を行います。デフォルトで、このボックスは選択されています。

ステップ 5 見つからないファイルのパス名のキャッシングを有効にするには、[ADS Negative Cache] チェックボックスを選択します。デフォルトで、このボックスは選択されています。

ステップ 6 [Submit] をクリックして変更を保存します。


 

CLI から CIFS アクセラレータ エクスプレスを設定するには、accelerator cifs グローバル コンフィギュレーション コマンドを使用します。

ICA アクセラレーションの設定

ICA アプリケーション アクセラレーションは、バーチャル デスクトップ インフラストラクチャ(VDI)へのアクセスに使用される ICA (Independent Computing Architecture)トラフィックに対して、WAAS デバイス上で WAN 最適化を行います。これは、クライアントとサーバに対して自動的でかつ透過的なプロセスを通じて実行されます。

ICA アクセラレーションはデフォルトで、WAAS デバイスで有効です。

ICA アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[ICA Accelerator] チェックボックスを選択します(図 13-13 を参照)。

ICA アクセラレーション設定を行うには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [ICA Settings] を選択します。

[ICA Acceleration Configuration] ウィンドウが表示されます。(図 13-11 を参照)。

図 13-13 [ICA Acceleration Configuration] ウィンドウ

 

ステップ 3 [WAN Secure Mode] ドロップダウン リストで、次のモードを選択します。

None :ICS の WAN Secure モードを無効にします。

Always :ICS の WAN Secure モードを有効にします。これはデフォルトです。


) ブランチ オフィスの WAE およびデータセンターの WAE の両方の WAN Secure モードの状態は、ICA アクセラレータによって最適化される接続と一致しなければなりません。


ステップ 4 [Submit] をクリックします。

変更がデバイスまたはデバイス グループに保存されます。


 

CLI から ICA アクセラレーションを設定するには、 accelerator ica グローバル コンフィギュレーション コマンドを使用します。

CLI から WAN Secure モードの状態を確認するには、show accelerator wansecure EXEC コマンドを使用します。

SSL アクセラレーションの設定

SSL アプリケーション アクセラレータでは、Secure Sockets Layer(SSL)暗号化接続上のトラフィックが最適化されます。SSL アクセラレーションを有効にすると、WAAS ソフトウェア DRE 最適化は SSL 暗号化トラフィックに対してあまり効果はありません。SSL アプリケーション アクセラレーションは、接続のセキュリティを維持しながら、WAAS で復号化を行い、最適化を適用できるようにします。


) WAAS Express デバイスでは、SSL 暗号リスト、SSL 認証局、および SSL ピアリング サービス設定のみがサポートされます。



) SSL アクセラレータは、SSL/TLS ハンドシェイクが先頭バイトから開始されないプロトコルを最適化しません。唯一の例外は、プロキシを通過する HTTPS です(HTTP アクセラレータが SSL/TLS の開始を検出します)。この場合、HTTP と SSL の両方のアクセラレータが接続を最適化します。

SSL アプリケーション アクセラレータは、SSL Version 3(SSLv3)および Transport Layer Security Version 1(TLSv1)プロトコルをサポートしています。TLSv1.1 と TLSv1.2 プロトコルはサポートされません。


表 13-2 に、SSL アクセラレーションを設定して有効にするために完了する必要がある手順の概要を示します。

 

表 13-2 SSL アクセラレーションを設定するためのチェックリスト

作業
追加情報と手順
SSL アクセラレーションの設定を準備する。

SSL アクセラレーションを WAAS デバイス上で設定する前に収集する必要のある情報を特定します。詳細については、「SSL アクセラレーションを使用するための準備」を参照してください。

セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションを有効にする。

Central Manager セキュア ストアの設定方法、Enterprise ライセンスを有効にする方法、SSL アクセラレーションを有効にする方法について説明します。セキュア ストア モードは、SSL 暗号化証明書およびキーを安全に扱うために必要です。詳細については、「セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化」を参照してください。

SSL アプリケーション最適化を有効にする。

SSL アクセラレーション機能をアクティブにする方法について説明します。詳細については、「グローバル最適化機能の有効化と無効化」を参照してください。

SSL アクセラレーション設定を構成する。

(任意)SSL アクセラレーションの基本設定を行う方法を説明します。詳細については、「SSL グローバル設定の構成」を参照してください。

暗号リストを作成して管理する。

(任意)WAAS デバイスで使用される暗号アルゴリズムの選択方法と設定方法について説明します。詳細については、「暗号リストの操作」を参照してください。

CA 証明書を設定する。

(任意)認証局(CA)証明書を選択、インポート、および管理する方法を説明します。詳細については、「認証局の操作」を参照してください。

SSL マネジメント サービスを設定する。

(任意)Central Manager と WAE デバイスの間で使用される SSL 接続を設定する方法について説明します。詳細については、「SSL マネジメント サービスの設定」を参照してください。

SSL ピアリング サービスを設定する。

(任意)最適化された SSL トラフィックを伝送するピア WAE デバイス間で使用される、SSL 接続の設定方法を説明します。詳細については、「SSL ピアリング サービスの設定」を参照してください。

SSL アクセラレーション サービスを設定し、有効にする。

SSL アプリケーション最適化機能によって加速されるサービスの追加方法、設定方法、および有効化方法について説明します。詳細については、「SSL アクセラレーション サービスの使用」を参照してください。

SSL アクセラレーションを使用するための準備

SSL アクセラレーションを設定する前に、次の点を確認しておく必要があります。

SSL トラフィックを加速するサービス

サーバの IP アドレスとポート情報

証明書共通名と認証局署名情報を含めて、公開キー インフラストラクチャ(PKI)証明書および秘密キー情報

サポートされる暗号スイート

サポートされる SSL バージョン

図 13-14 に、WAAS ソフトウェアによる SSL アプリケーション最適化の処理方法を示します。

図 13-14 SSL アクセラレーションのブロック図

 

SSL アクセラレーションを設定する場合、サーバ側(データセンター)の WAE デバイスで SSL アクセラレーション サービスを設定する必要があります。クライアント側(ブランチ オフィス)の WAE では、セキュア ストアを初期化してそのロックを解除するか開く必要がありますが、SSL アクセラレーション サービスを設定する必要はありません。ただし、SSL アクセラレーション サービスが動作するには、データセンターとブランチの両方の WAE で SSL アクセラレータを有効にする必要があります。WAAS Central Manager は、SSL マネジメント サービスを提供し、暗号化証明書とキーを保持します。

セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化

SSL アクセラレーションを WAAS システム上で使用するには、次の手順を実行しておく必要があります。


ステップ 1 Central Manager でセキュア ストア暗号化を有効にします。

セキュア ストア暗号化を有効にするには、を参照してください。

ステップ 2 Enterprise ライセンスを有効にします。

Enterprise ライセンスを有効にするには、を参照してください。

ステップ 3 SSL アクセラレーションをデバイス上で有効にします。

SSL アクセラレーション機能を有効にするには、「グローバル最適化機能の有効化と無効化」を参照してください。


) SSL アクセラレータがすでに稼働しているときに、新しい WAE を Central Manager に登録した場合は、データフィード ポーリングが 2 サイクル実行されてから、設定変更を行う必要があります。そうしなければ、変更は無効になる可能性があります。



 

SSL グローバル設定の構成

基本的な SSL アクセラレーション設定を構成するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Security] > [SSL] > [Global Settings] を選択します。

[SSL Global Settings] ウィンドウが表示されます(図 13-15 を参照)。

図 13-15 [SSL Global Settings] ウィンドウ

 

 

ステップ 3 特定のデバイス グループの SSL 設定を使用するようにデバイスを設定するには、SSL グローバル設定ツールバーにある [Select a Device Group] ドロップダウン リストからデバイス グループを選択します。デバイスには、独自の SSL 設定、またはデバイス グループの SSL 設定を使用できます。ただし、複数のデバイス グループの SSL 設定を使用するように、デバイスを設定することはできません。

ステップ 4 [SSL version] フィールドで、使用する SSL プロトコルの種類を選択します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を許可する場合は [All] を選択します。

ステップ 5 (任意)証明書失効の Online Certificate Status Protocol(OCSP)パラメータを設定します。

a. [OCSP Revocation check] ドロップダウン リストで、OCSP 失効チェック方法を選択します。

[ocsp-url] を選択すると、SSL アクセラレータは、[OCSP Responder URL] フィールドに指定された OCSP レスポンダを使用して証明書の失効ステータスをチェックします。[ocsp-cert-url] を選択すると、証明書を署名した認証局証明書に指定されている OCSP レスポンダ URL を使用します。

b. [Ignore OCSP failures] チェックボックスが選択されている場合、SSL アクセラレータは、OCSP レスポンダから明確な応答を得ていなくても、OCSP 失効チェックを成功として処理します。

ステップ 6 [Cipher List] フィールドで、SSL アクセラレーションに使用される暗号スイートのリストを選択します。詳細については、「暗号リストの操作」を参照してください。

ステップ 7 証明書/キー ペアの方法を選択します(図 13-16 を参照)。

図 13-16 サービス証明書と秘密キーの設定

 

WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。

既存の証明書/キー ペアをアップロードまたは張り付けるには、[Import Existing Certificate Key] をクリックします。

現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。

既存の証明書/キー ペアを更新または置き換えるには、[Generate Certificate Signing Request] をクリックします。Certificate Signing Request(CSR; 証明書署名要求)は、新しい証明書を生成するために認証局で使用されます。

インポートまたはエクスポートするファイルは、PKCS12 形式と PEM 形式のいずれかである必要があります。

サービス証明書と秘密キーの設定手順については、「サービス証明書と秘密キーの設定」を参照してください。

ステップ 8 [Submit] をクリックします。


 

サービス証明書と秘密キーの設定

サービス証明書と秘密キーを設定するには、次の手順に従ってください。


ステップ 1 自己署名証明書と秘密キーを生成するには(図 13-17 を参照)、次の手順に従ってください。

図 13-17 自己署名証明書と秘密キー

 

a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。

b. 証明書と秘密キーのフィールドに必要事項を入力します。

ステップ 2 既存の証明書または証明書チェーン、および(必要に応じて)秘密キーをインポートするには(図 13-18 を参照)、次の手順に従ってください。


) WAAS SSL 機能は、RSA の署名/暗号化アルゴリズムとキーだけをサポートします。


図 13-18 既存の証明書または証明書チェーンのインポート

 

a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。

b. 既存の証明書または証明書チェーン、および秘密キーをインポートするには、次のいずれかを実行します。

証明書とキーを PKCS#12 形式で(または Microsoft PFX 形式として)アップロードする。

証明書と秘密キーを PEM 形式でアップロードする。

証明書と秘密キーの PEM の内容を貼り付ける。

証明書と秘密キーがすでに設定されている場合は、証明書だけアップデートできます。この場合、Central Manager では、インポートされた証明書と現在の秘密キーを使用して、証明書と秘密キーのペアが構築されます。この機能は、既存の自己署名証明書を認証局によって署名されたものにアップデートする場合や、期限の切れる証明書をアップデートするために使用できます。

Central Manager では、証明書チェーンをインポートできます。このチェーンは、最初にエンド証明書が指定され、その後にエンド証明書または中間 CA 証明書を署名する中間 CA 証明書のチェーンが続き、最後はルート CA で終わる必要があります。

Central Manager では、このチェーンが検証され、CA 証明書の使用期限が切れているか、チェーン内の署名順序が論理的でない場合、そのチェーンは拒否されます。

c. 秘密キーを復号化するパスフレーズを入力します。秘密キーが暗号化されていない場合は、該当するフィールドを空のままにします。

ステップ 3 設定された証明書と秘密キーをエクスポートするには(図 13-19 を参照)、次の手順に従ってください。

図 13-19 証明書とキーのエクスポート

 

a. 暗号化パスフレーズを入力します。

b. 現在の証明書および秘密キーを PKCS#12 形式または PEM 形式でエクスポートします。PEM 形式の場合、証明書と秘密キーの両方が 1 つの PEM ファイルに含められます。


) 生成またはインポート時にエクスポート不可能と指定した証明書と秘密キーは、Central Manager でエクスポートできません。


ステップ 4 現在の証明書と秘密キーから証明書署名要求を生成するには(図 13-20 を参照)、次の手順に従ってください。

図 13-20 証明書署名要求の生成

 

現在の証明書を、認証局によって署名されたものにアップデートするには、次の手順を実行します。

a. PKCS#10 証明書署名要求を生成します。

b. 生成された証明書署名要求を、証明書の生成と署名を行う認証局に送信します。

c. 認証局から受信した証明書を、[Importing existing certificate and optionally private key] オプションを使用してインポートします。


) 生成された証明書要求のキーのサイズは、現在の証明書のキーのサイズと同じです。



 

暗号リストの操作

暗号リストは、SSL アクセラレーション設定に割り当て可能な暗号スイートの集合です。暗号スイートは、キー交換アルゴリズム、暗号化アルゴリズム、および Secure Hash Algorithm を含む SSL 暗号化方式です。

暗号リストを設定するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Security] > [SSL] > [Cipher Lists] を選択します。

[SSL Cipher Lists] ウィンドウが表示されます(図 13-21 を参照)。


) WAAS Express デバイスの場合、[SSL Cipher Lists] ウィンドウに、同じ名前フィールドと暗号フィールドが少し異なる形式で表示されます。


図 13-21 [SSL Cipher Lists] ウィンドウ

 

ステップ 3 [Create] をクリックして、新しい暗号リストを追加します。

[Creating New SSL Cipher List] ウィンドウが表示されます(図 13-22 を参照)。


) WAAS Express デバイスの場合、[Add Cipher List] をクリックして新しい暗号リストを追加します。


図 13-22 [Creating New SSL Cipher List] ウィンドウ

 

ステップ 4 [Cipher List Name] フィールドに暗号リストの名前を入力します。

ステップ 5 [Add Cipher] をクリックして、暗号スイートを暗号リストに追加します。


) WAAS Express デバイスの場合、追加する暗号を選択します。ステップ 12 にスキップします。


ステップ 6 追加する暗号スイートを [Ciphers] フィールドで選択します。


) Microsoft IIS サーバに対して SSL 接続を確立する場合は、DHE ベースの暗号スイートを選択してはなりません。


ステップ 7 選択した暗号スイートの優先順位を [Priority] フィールドで選択します。


) SSL ピアリング サービスが設定されている場合は、コア デバイス上の暗号リストに関連付けられた優先順位が、エッジ デバイス上の暗号リストに関連付けられた優先順位よりも優先されます。


ステップ 8 [Add] をクリックして、選択した暗号スイートを暗号リストに加えます。あるいは、[Cancel] をクリックして、暗号リストを元の状態のままにします。

ステップ 9 ステップ 5 からステップ 8 を繰り返して、必要なだけ暗号スイートを暗号リストに追加します。

ステップ 10 (任意)暗号スイートの優先順位を変更するには、暗号スイートのチェックボックスを選択し、暗号リストの下にある上向き矢印または下向き矢印のボタンを使用して優先順位を設定します。


) アクセラレーション サービスに暗号リストが適用される場合、ここで割り当てた暗号リストの優先順位は、クライアントで指定された暗号の順序で上書きされます。この暗号リストで割り当てた優先順位は、暗号リストが SSL ピアリング サービスとマネジメント サービスに適用される場合に限り有効です。


ステップ 11 (任意)暗号リストから暗号スイートを削除するには、暗号スイートのチェックボックスを選択し、[Delete] をクリックします。

ステップ 12 暗号リストの設定が完了したら、[Submit] をクリックします。


) WAAS Express デバイスの場合、[OK] をクリックして暗号リストの設定を保存します。

SSL 設定変更は、デバイスでセキュリティ ライセンスが有効にされるまで、デバイスに適用されません。



 

認証局の操作

WAAS SSL アクセラレーション機能を使用すると、システムで使用される認証局(CA)証明書を設定できます。WAAS に含まれる多くの既知の CA 証明書のいずれかを使用するか、独自の CA 証明書をインポートできます。

CA 証明書を管理するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Security] > [SSL] > [Certificate Authorities] を選択します。

[SSL CA Certificate List] ウィンドウが表示されます(図 13-23 を参照)。


) WAAS Express デバイスの場合、同じ [Name]、[Issued To]、[Issuer]、[Expiry Date] フィールドが [SSL CA Certificate List] に少し異なる形式で表示されます。

[Aggregate Settings] フィールドもあり、[Yes] または [No] に設定できます。WAAS Express の手順を終了するには、ステップ 4 にスキップします。


図 13-23 [SSL CA Certificate List] ウィンドウ

 

ステップ 3 WAAS に含まれるプリロードされた CA 証明書のいずれかを、次の手順に従って追加します。

a. [Well-known CAs] をクリックします。

b. 追加する既存の CA 証明書を選択し、[Import] をクリックします。選択した CA 証明書は、[SSL CA Certificate List] に表示されているリストに追加されます。

ステップ 4 独自の CA 証明書を次の手順に従って追加します。

a. [Create] をクリックします。[Creating New CA Certificate] ウィンドウが表示されます(図 13-24 を参照)。


) WAAS Express デバイスの場合、[Add CA] をクリックして独自の CA 証明書を追加します。名前と URL を入力し、[Get CA Certificate] をクリックします。ステップ 6 にスキップします。


図 13-24 [Creating New CA Certificate] ウィンドウ

 

b. 証明書の名前を [Certificate Name] フィールドに入力します。

c. (任意)CA 証明書の説明を [Description] フィールドに入力します。

d. [Revocation check] ドロップダウン リストで [disabled] を選択して、この CA によって署名された証明書の OCSP 失効チェックを無効にします。[Ignore OCSP failures] チェックボックスを選択して、OCSP 失効チェックが失敗しても失効チェックは成功したとマーク付けされるようにします。

e. 次の方法のうち 1 つを選択することで認証情報を追加します。

Upload PEM File

ファイルをアップロードする場合は、ファイルを Privacy Enhanced Mail(PEM; プライバシー強化メール)形式にする必要があります。使用するファイルを参照して、[Upload] をクリックします。

Paste PEM Encoded Certificate

CA 証明書情報を貼り付ける場合、PEM 形式の証明書のテキストを [Paste PEM Encoded certificate] フィールドに貼り付けます。

Get CA Certificate using SCEP

このオプションは、Simple Certificate Enrollment Protocol を使用して認証局を自動的に設定します。自動証明書登録手順を使用している場合は、CA URL を入力し、[Get Certificate] をクリックします。証明書の内容がテキストおよび PEM 形式で表示されます。

自動証明書登録手順を完了するには、「SSL 自動登録」の SSL 自動登録設定を行う必要があります。

f. [Submit] をクリックして変更を保存します。

ステップ 5 (任意)リストから認証局を削除するには、認証局を選択した後、ツールバーにある [Delete] アイコンをクリックします。

ステップ 6 CA 証明書リストの設定が完了したら、[Submit] をクリックします。


) WAAS Express デバイスの場合、[OK] をクリックして CA 証明書リストの設定を保存します。



 

SSL 自動登録

WAAS SSL アクセラレーション機能によって、SCEP を使用してデバイス(またはデバイス グループ)の証明書を自動的に登録できます。CA 証明書が取得されると、SSL 自動登録設定の設定が必要になります。


) 自動登録設定を行う前に、適切な認証局の設定が必要です。


SSL 自動登録設定を行うには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Security] > [SSL] > [Auto Enrollment] を選択します。

[SSL Auto Settings] ウィンドウが表示されます(図 13-25 を参照)。

図 13-25 SSL 自動登録設定ウィンドウ

 

ステップ 3 次の CA 設定を行います。

CA URL

CA:リストから適切な CA を選択します

Challenge Password


) CA、CA URL、およびチャレンジ パスワードの設定は、SSL 自動登録に必要です。


ステップ 4 次の証明書署名要求設定を行います。

Common Name

Organization and Organization Unit

Location, State, and Country

Email-Id

ステップ 5 キーのサイズ(512、768、1024、1536、または 2048)を設定します。

ステップ 6 [Enable Enroll] チェックボックスを選択します。

ステップ 7 [Submit] をクリックします。

[SSL Global Settings] ページおよび [Alerts] ページの [Machine Certificate] セクションで登録状態を確認できます。


 

SSL マネジメント サービスの設定

SSL マネジメント サービスは、Central Manager と WAE デバイスの間の安全な通信に影響を与える SSL 設定パラメータです(図 13-14 を参照)。使用される証明書/キー ペアは、WAAS デバイスごとに固有です。そのため、SSL マネジメント サービスは、個々のデバイスに対してだけ設定でき、デバイス グループには設定できません。

SSL マネジメント サービスを設定するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ] を選択します。

ステップ 2 [Configure] > [Security] > [Management Service] を選択します。

[Management Service] ウィンドウが表示されます(図 13-26 を参照)。

図 13-26 [Management Service] ウィンドウ

 

ステップ 3 [SSL version] フィールドで、使用する SSL プロトコルの種類を選択します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。


) WAAS Central Manager に設定されたマネジメント サービスの SSL バージョンと暗号設定も、WAAS Central Manager とユーザのブラウザの間の SSL 接続に適用されます。

プライマリおよびスタンバイの Central Manager は、マネジメント サービスのバージョンや暗号リストを共有する必要があります。マネジメント サービスのバージョンおよび暗号リストの設定を変更すると、プライマリ Central Manager とスタンバイ Central Manager と WAE デバイスの間の接続が失われる可能性があります。


表 13-3 に、Internet Explorer と Mozilla Firefox でサポートされる暗号リストを示します。

 

表 13-3 Internet Explorer と Mozilla Firefox でサポートされる暗号リスト

暗号
Internet Explorer
Firefox

dhe-rsa-with-aes-256-cbc-sha

IE7/Vista でサポート

サポート

rsa-with-aes-256-cbc-sha

IE7/Vista でサポート

サポート

dhe-rsa-with-aes-128-cbc-sha

IE7/Vista でサポート

サポート

rsa-with-aes-128-cbc-sha

IE7/Vista でサポート

サポート

dhe-rsa-with-3des-ede-cbc-sha

デフォルトでは使用不可

サポート

rsa-with-3des-ede-cbc-sha

デフォルトでは使用不可

サポート

rsa-with-rc4-128-sha

サポート

サポート

rsa-with-rc4-128-md5

サポート

サポート

dhe-rsa-with-des-cbc-sha

未サポート

デフォルトでは使用不可

rsa-export1024-with-rc4-56-sha

サポート

デフォルトでは使用不可

rsa-export1024-with-des-cbc-sha

サポート

デフォルトでは使用不可

dhe-rsa-export-with-des40-cbc-sha

未サポート

未サポート

rsa-export-with-des40-cbc-sha

未サポート

未サポート

rsa-export-with-rc4-40-md5

サポート

サポート


) Mozilla Firefox と Internet Explorer の両方で SSLv3 プロトコルと TLSv1 プロトコルがサポートされています。ただし、TLSv1 は、デフォルトでは使用できない場合があります。その場合は、ブラウザで TLSv1 を有効にする必要があります。

ブラウザでサポートされていない暗号またはプロトコルを設定すると、ブラウザと Central Manager の間の接続が失われます。この問題が発生した場合は、CLI から Central Manager マネジメント サービスの SSL 設定をデフォルトに設定して、接続を復元します。

Internet Explorer など、一部のブラウザは、Central Manager 上での SSL バージョンと暗号の設定変更に対して正しく対処しません。そのため、変更を送信した後にエラー ページがブラウザに表示されることがあります。この問題が発生した場合は、ページをリロードします。


ステップ 4 Cipher List ペインで、SSL アクセラレーションに使用される暗号スイートのリストを選択します。追加情報については、「暗号リストの操作」を参照してください。


 

SSL ピアリング サービスの設定

SSL ピアリング サービス設定パラメータは、SSL 接続を最適化すると同時に、WAE デバイス間に SSL アクセラレータによって確立される安全な通信を制御します(図 13-14 を参照)。ピアリング サービス証明書と秘密キーは、WAAS デバイスごとに固有です。そのため、個々のデバイスに対してだけ設定でき、デバイス グループには設定できません。

SSL ピアリング サービスの設定手順は次のとおりです。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ] を選択します。

ステップ 2 [Configure] > [Security] > [Peering Service] を選択します。

[Peering Service] ウィンドウが表示されます(図 13-27 を参照)。


) WAAS Express デバイスの場合、[Peering Service] ウィンドウに、標準の [Peering Service] ウィンドウのフィールドのサブセットが少し異なる形式で表示されます。

暗号リストの [Priority] 設定、および [Disable revocation check of peer certificates] オプションは WAAS Express に使用できません。


図 13-27 [SSL Peering Service] ウィンドウ

 

ステップ 3 [SSL Version] フィールドで、使用する SSL プロトコルの種類を選択するか、[Inherited] を選択してグローバル SSL 設定に設定されている SSL プロトコルを使用します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。


) WAAS Express デバイスの場合、SSL バージョンに対して、SSL3 および TLS1 のみがサポートされます。


ステップ 4 ピア証明書の検証を有効にするには、[Enable Certificate Verification] チェックボックスを選択します。証明書の検証を有効にすると、自己署名証明書を使用する WAAS デバイスは、相互にピア接続を確立することができなくなり、結果として、SSL トラフィックを加速できなくなります。

ステップ 5 [Disable revocation check for this service] チェックボックスを選択して、OCSP 証明書失効チェックを無効にします。


) WAAS Express デバイスの場合、このオプションは使用できません。


ステップ 6 [Cipher List] ペインで、WAE デバイス ピア間の SSL アクセラレーションに使用される暗号スイートのリストを選択するか、[Inherited] を選択して SSL グローバル設定に設定されている暗号リストを使用します。


) WAAS Express デバイスの場合、SSL アクセラレーションに使用される暗号スイートのリストは [Cipher List] ペインに表示されます。


追加情報については、「暗号リストの操作」を参照してください。

ステップ 7 [Submit] をクリックします。


) WAAS Express デバイスの場合、SSL 設定変更は、デバイスでセキュリティ ライセンスが有効にされるまで、デバイスに適用されません。



 

SSL アクセラレーション サービスの使用

WAAS システムで SSL アクセラレーションを有効にして設定した後、SSL パスで加速する少なくとも 1 つのサービスを定義する必要があります。SSL アクセラレーション サービスを設定するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [SSL Accelerated Services] を選択します。

ステップ 3 アクセラレーション サービスを削除するには、そのサービスを選択し、[Delete] をクリックします。

ステップ 4 [Create] をクリックして、アクセラレーション サービスを新しく定義します。最大 128 のアクセラレーション サービスを加速できます。[Basic SSL Accelerated Services Configuration] ウィンドウが表示されます(図 13-28 を参照)。

図 13-28 [SSL Accelerated Services--Basic] ウィンドウ

 

 

ステップ 5 サービスの名前を [Service Name] フィールドに入力します。

ステップ 6 このアクセラレーション サービスを有効にするには、[In service] チェックボックスを選択します。

ステップ 7 クライアント バージョンのロールバック チェックを有効にするには、[Client version rollback check] チェックボックスを選択します。

クライアント バージョンのロールバック チェックを有効にすると、正しくないクライアント バージョンの接続が最適化されなくなります。

ステップ 8 (任意)サービスの説明を [Description] フィールドに入力します。

ステップ 9 [Server] ドロップダウン リストから、SSL サービス エンドポイント タイプとして、[IP Address]、[Hostname]、または [Domain] を選択します。アクセラレーション サーバのサーバ IP アドレス、ホスト名、またはドメインを入力します。サーバの IP アドレスを指定するには、Any キーワードを使用します。最大 32 個の IP アドレス、32 個のホスト名、および 32 個のドメインが指定できます。


) ホスト名とドメイン サーバのアドレス タイプがサポートされるのは、WAAS ソフトウェアのバージョン 4.2.x 以上を使用している場合だけです。サーバ IP アドレス キーワードの Any がサポートされるのは、WAAS ソフトウェアのバージョン 4.2.x 以上を使用している場合だけです。


ステップ 10 加速するサービスに関連付けられたポートを入力します。[Add] をクリックして、各アドレスを追加します。サーバのホスト名を指定した場合、Central Manager はホスト名を IP アドレスに解決し、[Server IP] / [Server Ports] テーブルに追加します。

ステップ 11 リストから IP アドレスを削除するには、[Delete] をクリックします。

ステップ 12 証明書とキー ペアの方法を選択します(図 13-29 を参照)。

図 13-29 サービス証明書と秘密キーの設定

 

WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。

既存の証明書/キー ペアをアップロードまたは張り付けるには、[Import Existing Certificate Key] をクリックします。

現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。

既存の証明書/キー ペアを更新または置き換えるには、[Generate Certificate Signing Request] をクリックします。Certificate Signing Request(CSR; 証明書署名要求)は、新しい証明書を生成するために認証局で使用されます。

インポートまたはエクスポートするファイルは、PKCS12 形式と PEM 形式のいずれかである必要があります。

サービス証明書と秘密キーの設定手順については、「サービス証明書と秘密キーの設定」を参照してください。


) 既存の SSL アクセラレーション サービスの証明書またはキーを変更する場合は、[In service] チェックボックスの選択を解除して、[Submit] をクリックしてサービスを無効にし、5 分間待ってから [In service] チェックボックスを選択して、[Submit] をクリックしてサービスをサイド有効にする必要があります。または、WAE で、no inservice SSL アクセラレーション サービス コンフィギュレーション コマンドを使用して、数分間待ち、inservice コマンドを使用することもできます。複数の SSL アクセラレーション サービスの証明書またはキーを変更した場合は、SSL アクセラレータを無効にしてから再び有効にして、すべてのアクセラレーション サービスを再起動することができます。


ステップ 13 [Advanced Settings] タブをクリックして、サービスの SSL パラメータを設定します。[Advanced SSL Accelerated Services Configuration] ウィンドウが表示されます(図 13-30 を参照)。

図 13-30 [SSL Accelerated Services--Advanced] ウィンドウ

 

ステップ 14 (任意)[SSL version] フィールドで、使用する SSL プロトコルの種類を選択するか、[Inherited] を選択してグローバル SSL 設定に設定されている SSL プロトコルを使用します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。

ステップ 15 (任意)[Cipher List] フィールドで、WAE デバイス ピア間の SSL アクセラレーションに使用される暗号スイートのリストを選択するか、[Inherited] を選択して SSL グローバル設定に設定されている暗号リストを使用します。詳細については、「暗号リストの操作」を参照してください。

ステップ 16 (任意)証明書失効の Online Certificate Status Protocol(OCSP)パラメータを設定するには、次の手順を実行します。

a. クライアント証明書の検証を有効にするには、[Verify client certificate] チェックボックスを選択します。

b. [Disable revocation check for this service] チェックボックスを選択して、OCSP クライアント証明書失効チェックを無効にします。

c. サーバ証明書の検証を有効にするには、[Verify server certificate] チェックボックスを選択します。

d. [Disable revocation check for this service] チェックボックスを選択して、OCSP サーバ証明書失効チェックを無効にします。


) サーバとクライアントのデバイスが自己署名証明書を使用する場合、証明書の検証が有効になっていると、WAAS デバイスで SSL トラフィックを加速できなくなります。


ステップ 17 SSL アクセラレーション サービスの設定が完了したら、[Submit] をクリックします。


 

新しいトラフィック最適化ポリシーの作成

表 13-4 に、新しいトラフィック最適化ポリシーを作成するために完了する必要がある手順の概要を示します。

 

表 13-4 新しい最適化ポリシーを作成するためのチェックリスト

作業
追加情報と手順
最適化ポリシーを作成するための準備をする。

WAAS デバイスに新しい最適化ポリシーを作成する前に完了する必要がある作業を行います。詳細については、「最適化ポリシーを作成するための準備」を参照してください。

アプリケーション定義を作成します。

アプリケーション名や WAAS Central Manager がアプリケーション用の統計情報を収集するかどうかなど、最適化するアプリケーションに関する一般的な情報を識別します。詳細については、「アプリケーション定義の作成」を参照してください。

最適化ポリシーを作成します。

WAAS デバイスまたはデバイス グループが特定のアプリケーション トラフィックに対して実行する処理の種類を指定します。この手順では、次の処理を実行する必要があります。

WAAS デバイスが特定の種類のトラフィックを識別できるアプリケーション クラス マップを作成します。たとえば、特定の IP アドレスへ進むすべてのトラフィックと一致する条件を作成できます。

WAAS デバイスまたはデバイス グループが定義されたトラフィックに対して実行する処理の種類を指定します。たとえば、WAAS が、特定のアプリケーション用のすべてのトラフィックに TFO および LZ 圧縮を適用するように指定できます。

詳細については、「最適化ポリシーの作成」を参照してください。

最適化ポリシーを作成するための準備

新しい最適化ポリシーを作成する前に、次の準備作業を完了します。

WAAS システム上の最適化ポリシーのリストを参照し、これらのポリシーが定義する種類のトラフィックをまだ網羅していないことを確認します。WAAS システムに組み込まれている定義済みポリシーのリストを表示するには、 付録 A「定義済み最適化ポリシー」 を参照してください。

新しいアプリケーション トラフィック用の一致条件を識別します。たとえば、アプリケーションが特定の送信先または送信元ポートを使用する場合は、そのポート番号を使用して一致条件を作成できます。また、送信元または送信先 IP アドレスを一致条件に使用することもできます。

新しい最適化ポリシーを必要とするデバイスまたはデバイス グループを識別します。複数の WAAS デバイス全体でポリシーが一貫するように、デバイス グループに関する最適化ポリシーを作成することを推奨します。

アプリケーション定義の作成

最適化ポリシーを作成する最初の手順では、アプリケーション名や WAAS Central Manager がアプリケーション用の統計情報を収集するかというアプリケーションに関する一般情報を識別するアプリケーション定義を設定します。WAAS システムには、最大 255 のアプリケーション定義を作成できます。

新しいアプリケーション定義を作成するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューで、[Configure] > [Acceleration] > [Applications] を選択します。

[Applications] ウィンドウが表示され、WAAS システム上のすべてのアプリケーションのリストが表示されます。設定を取得元のデバイスまたはデバイス グループのリストも表示されます。このウィンドウから、次の作業を実行できます。

アプリケーションを選択し、タスクバーの [Edit] アイコンをクリックして編集するか、または、タスクバーの [Delete] アイコンをクリックして削除します。

WAAS システムがアプリケーション用の統計情報を収集するか決定します。アプリケーション用の統計情報が収集される場合、[Enable Statistics] 列に [Yes] が表示されます。

次の手順の説明に従って、新しいアプリケーション グループを作成します。

タスクバーの [Add Application] アイコンをクリックします。[Application] ウィンドウが表示されます。

ステップ 2 このアプリケーションの名前を入力します。

名前にはスペースや特殊文字は使用できません。

ステップ 3 (任意)[Comments] フィールドに、説明を入力します。

入力したコメントが [Applications] ウィンドウに表示されます。

ステップ 4 [Enable Statistics] チェックボックスを選択して、WAAS Central Manager がこのアプリケーションに関するデータを収集できるようにします。このアプリケーション用のデータ収集を無効にするには、このボックスの選択を解除します。

WAAS Central Manager GUI は、合わせて最大 100 個のアプリケーションおよびクラス マップに関する統計情報を表示できます。100 個を超えて統計情報を有効にしようとすると、エラーメッセージが表示されます。ただし、WAAS CLI を使用すると、特定の WAAS デバイスにポリシーが存在するすべてのアプリケーション用の統計情報を表示できます。詳細については、『 Cisco Wide Area Application Services Command Reference 』を参照してください。

アプリケーション用の統計情報を収集しているときに統計情報の収集を無効にすることにし、あとで統計情報の収集を再有効化する場合、履歴データは保持されますが、統計情報の収集が無効になっていた間のデータは欠落します。アプリケーションを使用する最適化ポリシーがある場合、そのアプリケーションは削除できません。ただし、統計情報を収集したアプリケーションを削除し、その後にアプリケーションを再作成する場合は、アプリケーション用の履歴データが失われます。アプリケーションの再作成時以降のデータだけが表示されます。


) 最適化ポリシー全体の作成が完了するまで、WAAS Central Manager はこのアプリケーションのデータ収集を開始しません。


ステップ 5 [OK] をクリックします。

アプリケーション定義は保存され、アプリケーション リストに表示されます。


 

最適化ポリシーの作成

アプリケーション定義を作成したら、指定したトラフィックに WAAS デバイスが実行する処理を決定する最適化ポリシーを作成する必要があります。たとえば、WAAS デバイスが特定のポートまたは特定の IP アドレスに到達するすべてのアプリケーション トラフィックに TCP 最適化および圧縮を適用する最適化ポリシーを作成できます。WAAS システムには、最大 512 の最適化ポリシーを作成できます。

トラフィック一致規則は、アプリケーションクラス マップに含まれます。一致条件と呼ぶこれらの規則は、TCP ヘッダーのレイヤ 2 およびレイヤ 4 の情報を使用してトラフィックを識別します。

最適化ポリシーを作成するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。

[Optimization Policies] ウィンドウが表示されます。(図 13-31 を参照)。


) WAAS Express デバイスの場合、[Optimization Policies] ウィンドウに、標準の [Optimization Policies] ウィンドウのフィールドのサブセットが表示されます。

[Enable Service Policy] オプション、[DSCP] オプション、ポリシー ルールのリストの [Protocol] カラムは、WAAS Express には適用されません。


図 13-31 [Optimization Policies] ウィンドウ

 

 

このウィンドウには、選択されたデバイスまたはデバイス グループに存在しているすべての最適化ポリシーに関する情報が表示されます。位置は、WAAS がアプリケーション トラフィックを処理する方法を決定するときにポリシーを参照する順序を決定します。ポリシーの位置を変更するには、「最適化ポリシーの位置の変更」を参照してください。このウィンドウは、各ポリシーに割り当てられた、クラス マップ、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、プロトコル、アプリケーション、処理、アクセラレータを表示します。


) バージョン 4.x デバイスがある場合、4.x デバイスで表示されるようにポリシーを表示するには、[Legacy View] タスクバー アイコンをクリックします。


[Optimization Policies] ウィンドウから、次の作業を実行できます。

[Description]、[Enable Service Policy] 設定、および [DSCP] 設定を行います。この [DSCP] 設定フィールドは、デバイス レベル(またはデバイス グループ レベル)で DSCP 設定を行います。


) デバイスは、このポリシー設定だけを使用して、[Enable Service Policy] が設定されている場合に実行される最適化を決定します。


削除する 1 つまたは複数の最適化ポリシーを選択してから、[Delete] アイコンをクリックして、選択したポリシーを削除します。

最適化ポリシーを選択し、 [Edit] アイコンをクリックして、選択したポリシーを編集します。

定義済みポリシーとクラス マップを復元します。詳細については、「最適化ポリシーとクラス マップの復元」を参照してください。

次の手順の説明に従って、最適化ポリシーを作成します。

ステップ 3 タスクバーの [Add Policy Rule] アイコンをクリックして、新しい最適化ポリシーを作成します。

[Optimization Policy Rule] ポップアップ ウィンドウが表示されます。(図 13-32 を参照)。

図 13-32 [Add Optimization Policy Rule] ウィンドウ

 

ステップ 4 [Class-Map Name] ドロップダウン リストからクラス マップを選択してこのポリシーに既存のクラス マップを選択するか、または [Create New] をクリックしてこのポリシーに新しいクラス マップを作成します。

既存クラス マップを選択している場合は、次の手順をスキップします。

ステップ 5 次の手順を実行して、新しいクラス マップを作成します。

a. このアプリケーション クラス マップの名前を入力します。名前にはスペースや特殊文字は使用できません。


) WAAS Express の場合、クラス マップ名に次のプレフィックスを含めることはできません(大文字と小文字を区別します):Class、optimize、passthrough、application、accelerate、tfo、dre、lz、または sequence-interval。これらのプレフィックスを含む既存のクラス マップ名は手作業で変更する必要があります。


b. (任意)説明を入力します。

c. [Type] ドロップダウン リストから、クラス マップの種類を選択します。種類を選択すると、一致条件を入力できます。

d. [Add Match Condition] アイコンをクリックして、条件を入力します。(図 13-33 を参照)。


) WAAS Express デバイスの場合、[Protocol] および [EPM Custom UUID] 設定は使用されません。


図 13-33 [Adding a New Match Condition] ウィンドウ

 

e. 送信先または送信元の条件フィールドに値を入力して、特定の種類のトラフィック用の条件を作成します。

たとえば、IP アドレス 10.10.10.2 へ進むすべてのトラフィックと一致するようにするには、[Destination IP Address] フィールドにその IP アドレスを入力します。


) IP アドレス範囲を指定するには、送信先または送信元の [IP Wildcard] フィールドにワイルドカード サブネット マスクを入力します。


f. [OK] をクリックします。[Optimization Policy] ウィンドウの作成中の新しいポリシーに戻ります。

ステップ 6 [Action] ドロップダウン リストから、定義されたトラフィックに WAAS デバイスが実行する必要がある処理を選択します。 表 13-5 で、各処理について説明します。


) WAAS Express デバイスの場合、処理のサブセットのみが使用できます。これらの処理には、Passthrough、TFO Only、TFO with LZ、TFO with DRE、および TFO with DRE and LZ があります。


 

表 13-5 処理の説明

アクション1
説明

Passthrough

TFO、DRE、または圧縮を使用して、WAAS デバイスが、このポリシーに定義されたアプリケーション トラフィックを最適化することを防止します。このポリシーに一致するトラフィックでも、[Accelerate] ドロップダウン リストからアクセラレータを選択すると、加速することができます。

TFO Only

一致するトラフィックにさまざまな Transport Flow Optimization(TFO; 転送フローの最適化)方式を適用します。TFO 方式には、BIC-TCP、ウィンドウ サイズの最大化と縮尺、および選択的受信確認があります。TFO 機能の詳細な説明については、を参照してください。

TFO with DRE(アダプティブ キャッシュ)

一致するトラフィックにアダプティブ キャッシング付きの TFO と DRE の両方を適用します。

TFO with DRE(単方向キャッシュ)

一致するトラフィックに単方向キャッシング付きの TFO と DRE の両方を適用します。

TFO with DRE(双方向キャッシュ)

一致するトラフィックに双方向キャッシング付きの TFO と DRE の両方を適用します。

TFO with LZ Compression

一致するトラフィックに TFO と LZ 圧縮アルゴリズムの両方を適用します。LZ 圧縮は DRE と同様に動作しますが、異なる圧縮アルゴリズムを使用してより小型のデータ ストリームを圧縮し、限られた圧縮履歴を維持します。

TFO with DRE(アダプティブ キャッシュ)および LZ

一致するトラフィックにアダプティブ キャッシング付きの TFO、DRE、および LZ 圧縮を適用します。

TFO with DRE(単方向キャッシュ)および LZ

一致するトラフィックに単方向キャッシング付きの TFO、DRE、および LZ 圧縮を適用します。

TFO with DRE(双方向キャッシュ)および LZ

一致するトラフィックに双方向キャッシング付きの TFO、DRE、および LZ 圧縮を適用します。

1.4.4.1 よりも前の WAAS バージョンを実行しているデバイスを設定する場合は、単一方向キャッシングまたはアダプティブ キャッシングなどのオプションが [Action] リストに表示されません。


) デバイス グループに最適化ポリシーを設定する場合は、デバイス グループに 4.4.1 よりも前の WAAS バージョンを実行しているデバイスが含まれている場合で、かつ単方向またはアダプティブ キャッシングを含むアクションを設定している場合、キャッシング モードは双方向に変換されます。同様に、4.4.1 よりも前の WAAS バージョンを実行しているデバイスが、単一方向またはアダプティブ キャッシングを使用する最適化ポリシーで設定されたデバイス グループに参加している場合、キャッシング モードは双方向に変換されます。このような場合は、すべてのデバイスを同じソフトウェア バージョンにアップグレードするか、互換性のないバージョンのデバイスに対して異なるデバイス グループを作成することを推奨します。


ステップ 7 [Accelerate] ドロップダウン リストから、定義されたトラフィックに WAAS デバイスが実行する必要がある次の追加アクセラレーション処理のいずれか 1 つを選択します。

[None]:追加アクセラレーションを行いません。

[MS PortMapper]:Microsoft Endpoint Port Mapper(EPM)を使用して加速します。

[CIFS Adaptor]:CIFS または SMB Accelerator を使用して加速します。

[HTTP Adaptor]:HTTP Accelerator を使用して加速します。

[MAPI Adaptor]:MAPI Accelerator を使用して加速します。

[NFS Adaptor]:NFS Accelerator を使用して加速します。

[VIDEO Adaptor]:VIDEO Accelerator を使用して加速します。

[ICA Adaptor]:ICA Accelerator を使用して加速します。


) WAAS Express デバイスの場合、使用できるアクセラレータは、CIFS Express および HTTP Express です。


ステップ 8 次のいずれかを実行して、このポリシーに関連付けるアプリケーションを指定します。

[Application] ドロップダウン リストから、「アプリケーション定義の作成」で作成したような既存のアプリケーションを選択します。このリストは、WAAS システム上のすべての事前定義されたアプリケーションと新しいアプリケーションを表示します。

アプリケーションを作成するには、[New Application] をクリックします。アプリケーション名の指定、統計情報の収集の有効化が可能です。アプリケーション詳細を指定したら、[OK] をクリックして新しいアプリケーションを保存し、[Optimization Policy] ウィンドウへ戻ります。新しいアプリケーションは、自動的にこのデバイスまたはデバイス グループに割り当てられます。

ステップ 9 (任意)[DSCP Marking] ドロップダウン リストから値を選択します。copy を選択して、着信パケットからの DSCP 値をコピーし、発信パケットで使用することもできます。ドロップダウン リストから [inherit-from-name] を選択した場合、アプリケーション レベルまたはグローバル レベルで定義された DSCP 値が使用されます。

DSCP は、ネットワーク トラフィックに異なるレベルのサービスを割り当てることができる IP パケットのフィールドです。ネットワーク上の各パケットに DSCP コードを付け、対応するサービスのレベルを関連付けて、サービスのレベルを割り当てます。DSCP は、IP precedence フィールドと Type of Service(ToS; タイプ オブ サービス)フィールドの組み合わせです。詳細については、RFC 2474 を参照してください。

DSCP マーキングは、パススルー トラフィックに適用されません。


) WAAS Express デバイスでは、[DSCP Marking] ドロップダウン リストが表示されません。


DSCP マーキング値に関して、グローバルなデフォルト値の使用を選択するか(「デフォルトの DSCP マーキング値の定義」を参照)、またはいずれかの他の定義済みの値を選択できます。copy を選択して、着信パケットからの DSCP 値をコピーし、発信パケットで使用することもできます。

ステップ 10 [OK] をクリックします。

[Optimization Policies] ウィンドウに新しいポリシーが表示されます。(図 13-31 を参照)。


 

アプリケーション アクセラレーションの管理

ここでは、次の内容について説明します。

「アクセラレータ負荷インジケータしきい値」

「アプリケーションのリストの表示」

「ポリシー レポートの表示」

「クラス マップ レポートの表示」

「最適化ポリシーとクラス マップの復元」

「アプリケーションおよびクラス マップのモニタリング」

「デフォルトの DSCP マーキング値の定義」

「最適化ポリシーの位置の変更」

「アクセラレーション TCP 設定の変更」

アクセラレータ負荷インジケータしきい値

WAE デバイスまたはデバイス グループ用のアクセラレータ負荷インジケータしきい値を変更するには、次の手順を実行します。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Accelerator Threshold] を選択します。[Accelerator Threshold] ウィンドウが表示されます。

ステップ 3 [Accelerator Load Indicator Threshold] フィールドに、80 ~ 100 の % 値を入力します。デフォルトは 95 です。

ステップ 4 [Submit] をクリックします。


 

アプリケーションのリストの表示

WAE デバイスまたはデバイス グループに存在するアプリケーションのリストを表示するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。[Optimization Policies] ウィンドウが表示されます。

ステップ 3 [Application] 列見出しをクリックして、特定のアプリケーションを見つけやすくするためにアプリケーション名で列を並べ替えます。


) バージョン 4.x デバイスがある場合、4.x デバイスで表示されるようにポリシーを表示するには、[Legacy View] タスクバー アイコンをクリックします。


最適化ポリシーを編集するには、アプリケーションの横にあるボックスを選択し、タスクバーの [Edit] アイコンをクリックします。

1 つまたは複数のポリシーを不要と判断した場合は、不要な各アプリケーションの横にあるボックスを選択して、[Delete] タスクバー アイコンをクリックします。

新しいポリシーが必要と判断した場合は、[Add Policy Rule] タスクバー アイコンをクリックしてポリシーを作成します(「最適化ポリシーの作成」を参照)。


 

ポリシー レポートの表示

各 WAE デバイスにまたはデバイス グループに存在するポリシーのレポートを表示するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューで、[Configure] > [Acceleration] > [Optimization Policy Report] を選択します。(図 13-34 を参照)。

[Policy Report for Devices] タブが表示されます。このレポートは、各デバイス(またはデバイス グループ)、および、このアプリケーションを参照するデバイス(またはデバイス グループ)の全ポリシー数を一覧で表示します。これには、アクティブ ポリシー(デバイスまたはデバイス グループで使用中のポリシー)とバックアップ ポリシー(デバイスがデバイス グループから設定を取得したときにデバイスが使用中ではないポリシー)の両方が含まれます。デバイスがデバイス グループから割り当てを解除されたとき、バックアップ ポリシーはデバイスに適用され、再度アクティブになります。

アプリケーションは、[No of Policies] フィールドが 0 になるまで削除できません。

図 13-34 最適化ポリシー レポート

 

ステップ 2 [Policy Report for Device-Groups] タブを選択して、デバイス グループごとのデバイスの数、およびデバイス グループ内のアクティブ ポリシーの数を表示します。

ステップ 3 特定のデバイスまたはグループに定義された最適化ポリシーを参照するには、デバイスまたはグループをクリックして、[Optimization Policies] ウィンドウにポリシーを表示します。


 

クラス マップ レポートを表示するには、「クラス マップ レポートの表示」を参照してください。

クラス マップ レポートの表示

各 WAE デバイスまたはデバイス グループに存在するクラス マップのレポートを表示するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューで、[Configure] > [Acceleration] > [Optimization Policy Report] を選択します。

[Policy Report for Devices] タブが表示されます。

ステップ 2 [Class-Map Report] タブをクリックして、クラス マップが設定されているデバイスおよびデバイス グループのレポートを表示します。

ステップ 3 クラス マップを選択し、 [View ] アイコンをクリックして、クラス マップが存在するデバイスまたはデバイス グループを表示します。


 

最適化ポリシーとクラス マップの復元

WAAS システムでは、WAAS システムに組み込まれていた定義済みポリシーとクラス マップを復元できます。定義済みポリシーのリストについては、 付録 A「定義済み最適化ポリシー」 を参照してください。

定義済みポリシーに、WAAS デバイスがアプリケーション トラフィックを処理する方法に対してマイナスに影響するような変更を加えた場合、定義済みポリシー設定を復元することによって、その変更を上書きできます。

定義済みポリシーとクラス マップを復元するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。

[Optimization Policies] ウィンドウが表示されます。

ステップ 3 [Restore Default] タスクバー アイコンをクリックして、WAAS ソフトウェアに組み込まれていた 150 個を超えるポリシーとクラス マップを復元します。システム上で作成した新しいポリシーはすべて削除されます。定義済みポリシーが変更されていた場合、これらの変更は失われ、元の設定が復元されます。


 

アプリケーションおよびクラス マップのモニタリング

最適化ポリシーを作成したら、WAAS システムが期待通りにアプリケーション トラフィックを処理していることを確認するために、関連付けられたアプリケーションをモニタする必要があります。

アプリケーションをモニタするには、「アプリケーション定義の作成」の説明に従って、そのアプリケーションの統計情報収集が有効になっている必要があります。

クラス マップをモニタするには、WAAS Central Manager メニューで、[Configure] > [Acceleration] > [Monitor Classmaps] を選択します。統計情報を有効にするクラス マップを選択し、 [Enable] ボタンをクリックします。

WAAS Central Manager GUI は、合わせて最大 100 個のアプリケーションおよびクラス マップに関する統計情報を表示できます。100 個を超えて統計情報を有効にしようとすると、エラーメッセージが表示されます。ただし、WAAS CLI を使用すると、特定の WAAS デバイスにポリシーが存在するすべてのアプリケーション用の統計情報を表示できます。詳細については、『 Cisco Wide Area Application Services Command Reference 』を参照してください。

TCP 要約レポートを使用して、特定のアプリケーションをモニタできます。詳細については、を参照してください。

多くのチャートでは、チャートの [Edit] アイコンをクリックし、分類子シリーズを選択することで、クラス マップ データを表示するように設定できます。

デフォルトの DSCP マーキング値の定義

アプリケーション定義および最適化ポリシーで定義されたポリシーに従って、WAAS ソフトウェアでは処理するパケット上に DSCP 値を設定できます。

DSCP 値は、ネットワーク トラフィックに異なるレベルのサービスを割り当てることができる IP パケットのフィールドです。ネットワーク上の各パケットに DSCP コードを付け、対応するサービスのレベルを関連付けて、サービスのレベルを割り当てます。DSCP マーキングにより、接続用のパケットが WAAS に対して外部的に処理される方法が決定されます。DSCP は、IP precedence フィールドと Type of Service(ToS; タイプ オブ サービス)フィールドの組み合わせです。詳細については、RFC 2474 を参照してください。DSCP 値は、事前に定義されているため、変更できません。

この属性は、次のレベルで定義できます。

グローバル:[Optimization Policies] ページのデバイス(またはデバイス グループ)ごとに、そのデバイス(またはデバイス グループ)のグローバル デフォルト DSCP 値を定義できます。より低いレベルの値が定義されていない場合、この値がトラフィックに適用されます。

ポリシー:最適化ポリシー内の DSCP 値を定義できます。この値は、ポリシー内に定義されたクラス マップと一致するトラフィックにだけ適用され、アプリケーションまたはグローバルの DSCP 値を上書きします。

ここでは、次の内容について説明します。

「デフォルトの DSCP マーキング値の定義」

デフォルトの DSCP マーキング値の定義

グローバルなデフォルトの DSCP マーキング値を定義するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。[Optimization Policies] ウィンドウが表示されます。

ステップ 3 [DSCP] ドロップダウン リストから値を選択します。デフォルト設定は copy で、着信パケットからの DSCP 値をコピーし、発信パケットで使用します。

ステップ 4 [OK] をクリックして設定内容を保存します。


 

最適化ポリシーの位置の変更

各最適化ポリシーには、WAAS デバイスがトラフィックを分類するときにポリシーを参照する順序を決定する位置が割り当てられています。たとえば、WAAS デバイスは、トラフィックを代行受信するとき、トラフィックとアプリケーションを対応付けるために、リストの最初のポリシーを参照します。最初のポリシーに一致するものがない場合、WAAS デバイスはリスト内の次のポリシーへ移動します。

トラフィックを最適化せずにパススルーするポリシーの位置に注意する必要があります。これらのポリシーをリストの一番上に配置すると、リストの下の方にある最適化ポリシーが無効になるからです。たとえば、IP アドレス 10.10.10.2 へ進むトラフィックと一致する 2 つの最適化ポリシーがあり、最初のポリシーがこのトラフィックを最適化し、最初のポリシーより高い位置にある別のポリシーがこのトラフィックをパススルーさせる場合、10.10.10.2 へ進むすべてのトラフィックが最適化されずに WAAS システムを通過します。そのため、ポリシーの一致条件が重ならないことを確認し、作成したアプリケーションをモニタして、WAAS がトラフィックを期待通りに処理していることを確認する必要があります。アプリケーションをモニタする方法については、を参照してください。

最適化ポリシーの位置を変更するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。[Optimization Policies] ウィンドウが表示されます。(図 13-35 を参照)。


) WAAS Express デバイスの場合、すべてのポリシーは、waas_global category にグループ化されます。


定義済みポリシーのリストについては、 付録 A「定義済み最適化ポリシー」 を参照してください。

図 13-35 [Optimization Policies] ウィンドウ

 

ステップ 3 次のうちのいずれかの方法で、最適化ポリシーの位置を変更します。

移動するポリシーを選択し、タスクバーの上下矢印( )アイコンを使用してポリシーをリスト内で上または下に移動します。

移動するポリシーを選択し、[Move To] ボタンを使用して正確な位置を指定します。

ポリシーを選択し、該当する位置にドラッグします。


) 新しいポリシー位置を保存するには、[Save Moved Rows] アイコンをクリックする必要があります。


特定の位置のポリシーを選択して、[Insert] ボタンをクリックすることで、新しい最適化ポリシーをその位置に作成することもできます。

デバイスがリスト内のどのポリシーとも一致しない場合、WAAS デバイスはトラフィックを最適化せずに通過させます。


) WAAS Express デバイスでは、最後が class-default ポリシーになっている必要があります。このポリシーは、修正または削除できません。


ステップ 4 [Save Moved Rows] アイコンをクリックして、ポリシー位置の変更を保存します。

ステップ 5 ポリシーが必要でないと判断した場合は、次の手順に従ってポリシーを削除します。

a. 削除するポリシーを選択します。

b. タスクバーの [Delete] アイコンをクリックします。


) 任意のトラフィックに一致するデフォルト クラス マップにマップされたデフォルト ポリシーは、削除できません。


ステップ 6 新しいポリシーが必要と判断した場合は、[Add Policy] タスクバー アイコンをクリックしてポリシーを作成します(「最適化ポリシーの作成」を参照)。


 

アクセラレーション TCP 設定の変更

WAAS システムは、WAE デバイスのハードウェア プラットフォームに基づいて、自動的に加速 TCP 設定を構成するため、ほとんどの場合、アクセラレーション TCP 設定を変更する必要はありません。WAAS は、次の状況で自動的に設定を構成します。

ネットワークに最初に WAE デバイスを設置したとき。

デバイスで restore factory-default コマンドを入力したとき。このコマンドの詳細については、『 Cisco Wide Area Application Services Command Reference 』を参照してください。

WAAS システムでは、接続ごとに、クライアントまたはサーバのアドバタイズされた Maximum Segment Size(MSS; 最大セグメント サイズ)と一致するように、MSS が自動調整されます。WAAS システムでは、クライアントまたはサーバによってアドバタイズされた MSS 値と 1432 のいずれか小さい方が使用されます。

ネットワークに高い BDP リンクがある場合、WAE デバイス用に自動的に設定されるデフォルトのバッファ設定を調整する必要がある場合があります。詳細については、「高い BDP リンク用の TCP バッファの計算」を参照してください。

WAE デバイスで、デフォルトの TCP 適応バッファリング設定を調整する場合、「TCP 適応バッファリング設定の変更」を参照してください。

アクセラレーション TCP 設定を変更するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [TCP Settings] を選択します。[Acceleration TCP Settings] ウィンドウが表示されます。

ステップ 3 [Send TCP Keepalive] チェックボックスを選択した状態のままにします。

[Send TCP Keepalive] チェックボックスを選択すると、この WAE デバイスまたはグループは、TCP キープアライブ交換から応答を受信しない場合に、そのピア デバイスとの TCP 接続を切断できます。この場合、2 台のピア WAE デバイスは、TCP 接続経由で TCP キープアライブを交換し、特定の期間にわたってキープアライブの応答を受信しない場合、TCP 接続を切断します。キープアライブ オプションを有効にすると、WAN ネットワークでの短い中断によって、ピア WAE デバイス間の TCP 接続が切断されます。

[Send TCP Keepalive] チェックボックスを選択しないと、TCP キープアライブは送信されず、明示的に切断しないかぎり、接続は維持されます。デフォルトで、この設定は有効になっています。

ステップ 4 必要に応じて、TCP アクセラレーション設定を変更します。これらの設定の説明については、 表 13-6 を参照してください。

高い BDP 回線用にこれらの設定を計算する方法については、「高い BDP リンク用の TCP バッファの計算」を参照してください。

 

表 13-6 TCP 設定

TCP 設定
説明
Optimized Side

Maximum Segment Size

この WAAS デバイスと最適化された接続に参加する他の WAAS デバイス間で許可された最大パケット サイズ。デフォルトは、1432 バイトです。

Send Buffer Size

この WAAS デバイスから、最適化された接続に参加する他の WAAS デバイスへ送信される TCP パケットに許可される TCP 送信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。

Receive Buffer Size

最適化された接続に参加する他の WAAS デバイスからの着信 TCP パケットに許可される TCP 受信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。

Original Side

Maximum Segment Size

元のクライアントまたはサーバと、この WAAS デバイス間で許可される最大パケット サイズ。デフォルトは、1432 バイトです。

Send Buffer Size

この WAAS デバイスから元のクライアントまたはサーバへ送信される TCP パケットに許可される TCP 送信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。

Receive Buffer Size

元のクライアントまたはサーバからの着信 TCP パケットに許可される TCP 受信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。

ステップ 5 高い Bandwidth Delay Product(BDP; 帯域遅延積)リンク経由で WAE を配置している場合は、[Set High BDP recommended values] ボタンをクリックすると、送信バッファおよび受信バッファに推奨サイズを設定できます。高い BDP リンク用の TCP バッファを計算する方法の詳細については、「高い BDP リンク用の TCP バッファの計算」を参照してください。

ステップ 6 [Submit] をクリックします。


 


) オリジナルの最大セグメント サイズおよび最適化された最大セグメント サイズがデフォルト値に設定されていて、ジャンボ MTU 設定を行う場合、それらのセグメント サイズは、ジャンボ MTU 設定から 68 バイトを引いた値に変更されます。カスタム最大セグメント サイズを設定している場合は、ジャンボ MTU を設定しても、それらの値は変更されません。ジャンボ MTU の詳細については、を参照してください。


CLI から TCP キープアライブを設定するには、 tfo tcp keepalive グローバル コンフィギュレーション コマンドを使用します。

CLI から TCP アクセラレーション設定を構成するには、 tfo tcp optimized-mss tfo tcp optimized-receive-buffer tfo tcp optimized-send-buffer tfo tcp original-mss tfo tcp original-receive-buffer 、および tfo tcp original-send-buffer グローバル コンフィギュレーション コマンドを使用します。

TCP バッファ サイズを表示するには、 show tfo tcp EXEC コマンドを使用します。

高い BDP リンク用の TCP バッファの計算

WAAS ソフトウェアは、帯域幅、遅延、およびパケット損失のような複数のリンク特性を含む、さまざまなネットワーク環境で展開できます。すべての WAAS デバイスは、次の値までの最大帯域遅延積(BDP)を持つネットワークに対応できるように設定されています。

WAE-512:デフォルト BDP は 32 KB

WAE-612:デフォルト BDP は 512 KB

WAE-674:デフォルト BDP は 2048 KB

WAE-7341:デフォルト BDP は 2048 KB

WAE-7371:デフォルト BDP は 2048 KB

すべての WAVE プラットフォーム:デフォルト BDP は 2048 KB

ネットワークがより高い帯域幅を提供したり、高い遅延が含まれる場合は、次の計算式を使用して実際のリンク BDP を計算します。

BDP [キロバイト] = (リンク帯域幅 [キロバイト/秒] * ラウンドトリップ遅延 [秒])

WAE が最適化しているトラフィックに対するリンクが複数のリンク 1 ~ N である場合、最大 BDP は次のように計算する必要があります。

MaxBDP = Max (BDP(link 1),..,BDP(link N))

計算した MaxBDP が WAE モデルのデフォルト BDP より大きい場合は、計算した MaxBDP に対応できるようにアクセラレーション TCP 設定を変更する必要があります。

Max BDP のサイズが計算できたら、[Acceleration TCP Settings] ウィンドウで、最適化された接続のための [Send Buffer Size] と [Receive Buffer Size] に Max BDP の 2 倍以上の値を入力します。


) これらの手動で設定されたバッファ サイズは、TCP 適応バッファリングが無効な場合にだけ適用されます。TCP 適応バッファリングは通常有効であるため、バッファ サイズは WAAS システムにより直接変更されます。TCP 適応バッファリングの詳細については、「TCP 適応バッファリング設定の変更」を参照してください。


TCP 適応バッファリング設定の変更

WAAS システムは、ネットワーク帯域および各接続で発生する遅延に基づいて TCP 適応バッファリング設定を自動的に構成するため、ほとんどの場合、アクセラレーション TCP 適応バッファリング設定を変更する必要がありません。適応バッファリングにより、WAAS ソフトウェアは送受信されるバッファ サイズを直接変更して、パフォーマンスを向上させ、使用可能なネットワーク帯域をより効果的に利用できるようになります。

アクセラレーション TCP 適応バッファリング設定を変更するには、次の手順に従ってください。


ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。

ステップ 2 [Configure] > [Acceleration] > [TCP Adaptive Buffering Settings] を選択します。[TCP Adaptive Buffering Settings] ウィンドウが表示されます。

ステップ 3 TCP 適応バッファリングを有効化するには、[Enable] チェックボックスを選択します。デフォルトでは有効になっています。

ステップ 4 [Send Buffer Size and Receive Buffer Size] フィールドに、送受信されるバッファの最大サイズ(キロバイト)を入力します。

ステップ 5 [Submit] をクリックします。


 

CLI から TCP 適応バッファリング設定を構成するには、 tfo tcp adaptive-buffer-sizing グローバル コンフィギュレーション コマンドを使用します。

WAE(config)# tfo tcp adaptive-buffer-sizing receive-buffer-max 8192
 

CLI から TCP 適応バッファリング設定を無効にするには、 no tfo tcp adaptive-buffer-sizing enable グローバル コンフィギュレーション コマンドを使用します。

デフォルトの設定済みの適応バッファリング サイズを表示するには、 show tfo tcp EXEC コマンドを使用します。