セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
Skinny Client Control Protocol のファイアウォール サポート
Skinny Client Control Protocol のファイアウォール サポート
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

Skinny Client Control Protocol のファイアウォール サポート

Skinny Client Control Protocol のファイアウォール サポート機能により、Cisco IOS XE ファイアウォールは、VoIP および Skinny Client Control Protocol(SCCP)をサポートできます。 Cisco IP Phone は SCCP を使用して、Cisco Unified Communications Manager に接続および登録します。 スケーラブルな環境で IP フォンと Cisco Unified Communications Manager 間に Cisco IOS XE ファイアウォールを設定するには、ファイアウォールは SCCP を検出し、メッセージ内で渡される情報を理解する必要があります。 Skinny Client Control Protocol のファイアウォール サポート機能では、ファイアウォールは、Skinny クライアント(IP フォンなど)と Cisco Unified Communications Manager 間で交換される Skinny 制御パケットを検査し、Skinny データ チャネルがルータを経由できるようにルータを設定します。 この機能はビデオ チャネルに対応するために SCCP のサポートを拡張します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

Skinny Client Control Protocol のファイアウォール サポートの前提条件

  • Cisco IOS XE Release 2.1 以降のリリースをシステムで実行している必要があります。
  • SCCP アプリケーション レベル ゲートウェイ(ALG)のファイアウォールが動作できるようにする必要があります。
  • SCCP の TFTP ALG が動作できるようにする必要があります。これは、Skinny を使用する IP フォンが Cisco Unified Communications Manager の TFTP コンフィギュレーション ファイルを必要とするためです。

Skinny Client Control Protocol のファイアウォール サポートの制約事項

  • IPv6 のアドレス検査およびアドレス変換はサポートされません。
  • TCP セグメンテーションはサポートされません。

Skinny Client Control Protocol のファイアウォール サポートについて

アプリケーション レベル ゲートウェイ

アプリケーション レベル ゲートウェイ(ALG)は、アプリケーション層ゲートウェイとも呼ばれ、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。 ALG は、アプリケーション層プロトコルを解釈し、ファイアウォールおよびネットワーク アドレス変換(NAT)アクションを実行するために使用されます。 これらのアクションは、ファイアウォールおよび NAT の設定に応じて次の 1 つまたは複数のアクションになります。
  • クライアント アプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバ アプリケーションと通信できるようにします。
  • アプリケーション固有のコマンドを認識し、それらに対するきめ細かいセキュリティ制御を提供します。
  • データ交換を行う 2 台のホスト間のデータの複数のストリームまたはセッションを同期します。
  • アプリケーション ペイロードで使用できるネットワーク層アドレス情報を変換します。

ファイアウォールはピンホールを開き、NAT は、アプリケーション層データ ストリームの送信元および宛先 IP アドレスを伝送しない TCP または UDP トラフィックに対する変換サービスを実行します。 IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには ALG のサポートが必要です。

SCCP インスペクションの概要

SCCP インスペクションにより、Cisco Unified Communications Manager を使用して 2 つの SCCP クライアント間での音声通信が可能になります。 Cisco Unified Communications Manager は、TCP ポート 2000(デフォルトの SCCP ポート)を使用して、SCCP クライアントにサービスを提供します。 最初に、SCCP クライアントは、TCP 接続を確立してプライマリ Cisco Unified Communications Manager に接続し、可能な場合は、セカンダリ Cisco Unified Communications Manager に接続します。 TCP 接続が確立されると、SCCP クライアントは、リブートまたはキープアライブ障害が発生するまで Cisco Unified Communications Manager の制御として使用されるプライマリ Cisco Unified Communications Manager に登録します。 このため、SCCP クライアントと Cisco Unified Communications Manager 間の TCP 接続は永続し、クライアントへのコールやクライアントからのコールを確立するために使用されます。 TCP 接続が失敗すると、セカンダリ Cisco Unified Communications Manager が使用されます。 最初の Cisco Unified Communications Manager で確立されたすべてのデータ チャネルはアクティブなままとなり、コールが終了すると閉じられます。

SCCP プロトコルは、ローカルで生成または終了された SCCP 制御チャネルを検査し、ファイアウォールから発信された、またはファイアウォールを宛先とするメディア チャネルのピンホールを開くかまたは閉じます。 ピンホールは、保護されたネットワークへのアプリケーション コントロール アクセスを可能にするために、ファイアウォールに開かれたポートです。

下の表に、データ セッションが開くまたは閉じるために必要なメッセージ セットを一覧表示します。 SCCP インスペクションは、アクセス リスト ピンホールを開いたり閉じたりするために使用されるデータ セッションを検査します。

表 1 SCCP データ セッション メッセージ

Skinny インスペクション メッセージ

説明

CloseReceiveChannel

コールを中断する必要があることを示します。 このメッセージを受信した場合、ファイアウォールおよび NAT により作成されたすべての中間セッションがクリーン アップされる必要があります。

OpenReceiveChannelACK

電話が、Cisco Unified Communications Manager から受信した OpenReceiveChannel メッセージを確認することを示します。

StartMediaTransmission

コールの送信元または宛先である電話のリアルタイム転送プロトコル(RTP)情報が含まれます。 メッセージには、IP アドレス、他の電話がリッスンしている RTP ポート、およびコールを一意に識別するコール ID が含まれます。

StopMediaTransmission

コールが終了したことを示します。 セッションは、このメッセージの受信後にクリーン アップできます。

StationCloseReceiveChannel

Skinny クライアントに対して(このメッセージ内の情報に基づいて)受信チャネルを閉じるように指示します。

StationOpenMultiMediaReceiveChannelAck

このメッセージを送信する Skinny クライアントの IP アドレスとポート情報が含まれます。 クライアントがビデオおよびデータ チャネルを受信するかどうかのステータスが含まれます。

StationOpenReceiveChannelAck

このメッセージを送信する Skinny クライアントの IP アドレスとポート情報が含まれます。 このメッセージには、クライアントが音声トラフィックを受信するかどうかのステータスも含まれます。

StationStartMediaTransmission

リモート Skinny クライアントの IP アドレスとポート情報が含まれます。

StationStartMultiMediaTransmit

Cisco Unified Communications Manager がビデオまたはデータ チャネルの OpenLogicalChannelAck メッセージを受信したことを示します。

StationStopMediaTransmission

Skinny クライアントに対して(このメッセージ内の情報に基づいて)音声トラフィックの送信を停止するように指示します。

StationStopSessionTransmission

Skinny クライアントに対して(このメッセージ内の情報に基づいて)特定のセッションを終了するように指示します。

ALG--SCCP バージョン 17 のサポート

ALG—SCCP バージョン 17 サポート機能により、SCCP ALG は SCCP バージョン 17 パケットを解析できます。 Cisco Unified Communications Manager 7.0 および Cisco Unified Communications Manager 7.0 を使用する IP フォンは、SCCP バージョン 17 メッセージだけをサポートします。 SCCP の形式は、IPv6 をサポートするために、バージョン 17 から変更されました。 SCCP ALG は、メッセージのプレフィックス内の SCCP バージョンをチェックしてから、バージョンに応じて解析します。 SCCP メッセージ バージョンは、メッセージ ヘッダーから抽出され、バージョン 17 よりも大きい場合、そのメッセージは、バージョン 17 形式を使用して解析され、IPv4 アドレスおよびポート情報が抽出されます。 SCCP ALG は、SCCP メッセージの IPv4 アドレス情報の検査および変換をサポートします。


(注)  


IPv6 のアドレス検査およびアドレス変換はサポートされません。


次の SCCP ALG 処理メッセージの IP アドレス形式は、バージョン 17 で変更されました。
  • StationOpenMultiMediaReceiveChannelAck
  • StationOpenReceiveChannelAckMessage
  • StationRegisterMessage
  • StationStartMediaTransmissionAckMessage
  • StationStartMultiMediaTransmissionAckMessage
  • StationStartMediaTransmissionMessage
  • StationStartMultiMediaTransmissionMessage

Skinny Client Control Protocol のファイアウォール サポートの設定方法

Skinny クラス マップおよびポリシー マップの設定

ファイアウォールの設定で(match protocol コマンドを使用して)SCCP をイネーブルにしている場合、(match protocol コマンドを使用して)TFTP をイネーブルにする必要があります。そうしないと、SCCP を使用する IP フォンは Cisco Unified Communications Manager と通信できません。 SCCP では、Cisco Unified Communications Manager を使用して、2 つの Skinny クライアント間での音声通信が可能です。

手順の概要

    1.    enable

    2.    configure terminal

    3.    class-map type inspect match-any class-map-name

    4.    match protocol protocol-name

    5.    match protocol protocol-name

    6.    exit

    7.    policy-map type inspect policy-map-name

    8.    class type inspect class-map-name

    9.    inspect

    10.    exit

    11.    class class-default

    12.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Router> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Router# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 class-map type inspect match-any class-map-name


    例:
    Router(config)# class-map type inspect match-any cmap1
     

    検査タイプ クラス マップを作成し、クラス マップ コンフィギュレーション モードを開始します。

     
    ステップ 4 match protocol protocol-name


    例:
    Router(config-cmap)# match protocol skinny
     

    Skinny クラス マップの一致基準を設定します。

     
    ステップ 5 match protocol protocol-name


    例:
    Router(config-cmap)# match protocol tftp
     

    TFTP クラス マップの一致基準を設定します。

     
    ステップ 6 exit


    例:
    Router(config-cmap)# exit
     

    クラスマップ コンフィギュレーション モードを終了します。

     
    ステップ 7 policy-map type inspect policy-map-name


    例:
    Router(config)# policy-map type inspect pmap1
     

    検査タイプ ポリシー マップを作成し、ポリシー マップ コンフィギュレーション モードを開始します。

     
    ステップ 8 class type inspect class-map-name


    例:
    Router(config-pmap)# class type inspect cmap1
     

    アクションを実行するクラスを指定し、ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 9 inspect


    例:
    Router(config-pmap-c)# inspect
     

    ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 10 exit


    例:
    Router(config-pmap-c)# exit
     

    ポリシーマップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードを開始します。

     
    ステップ 11 class class-default


    例:
    Router(config-pmap)# class class-default
     
    これらのポリシー マップ設定が事前に定義したデフォルト クラスに適用されることを指定します。
    • 設定済みクラス マップの一致基準のいずれともトラフィックが一致しない場合、事前に定義されたデフォルト クラスに誘導されます。
     
    ステップ 12 end


    例:
    Router(config-pmap)# end
     

    ポリシー マップ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    ゾーン ペアの設定および SCCP ポリシー マップの付加

    手順の概要

      1.    enable

      2.    configure terminal

      3.    zone security {zone-name | default}

      4.    exit

      5.    zone security {zone-name | default}

      6.    exit

      7.    zone-pair security zone-pair-name [source {source-zone-name | self | default} destination [destination-zone-name | self | default]]

      8.    service-policy type inspect policy-map-name

      9.    exit

      10.    interface type number

      11.    zone-member security zone-name

      12.    exit

      13.    interface type number

      14.    zone-member security zone-name

      15.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Router> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Router# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 zone security {zone-name | default}


      例:
      Router(config)# zone security zone1
       

      インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

       
      ステップ 4 exit


      例:
      Router(config-sec-zone)# exit 
       

      セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 5 zone security {zone-name | default}


      例:
      Router(config)# zone security zone2
       

      インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

       
      ステップ 6 exit


      例:
      Router(config-sec-zone)# exit 
       

      セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 7 zone-pair security zone-pair-name [source {source-zone-name | self | default} destination [destination-zone-name | self | default]]


      例:
      Router(config)# zone-pair security in-out source zone1 destination zone2
       

      ゾーン ペアを作成し、セキュリティ ゾーン ペア コンフィギュレーション モードを開始します。

      (注)     

      ポリシーを適用するには、ゾーン ペアを設定する必要があります。

       
      ステップ 8 service-policy type inspect policy-map-name


      例:
      Router(config-sec-zone-pair)# service-policy type inspect pmap1 
       

      ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。

      (注)     

      ゾーンのペア間でポリシーが設定されない場合、トラフィックはデフォルトでドロップされます。

       
      ステップ 9 exit


      例:
      Router(config-sec-zone-pair)# exit 
       

      セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

       
      ステップ 10 interface type number


      例:
      Router(config)# interface gigabitethernet 0/0/0
       

      インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 11 zone-member security zone-name


      例:
      Router(config-if)# zone-member security zone1
       

      インターフェイスを指定したセキュリティ ゾーンに割り当てます。

      (注)     

      インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(ルータ宛のトラフィックまたはルータ発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。

       
      ステップ 12 exit


      例:
      Router(config-if)# exit 
       

      インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。

       
      ステップ 13 interface type number


      例:
      Router(config)# interface gigabitethernet 0/1/1
       

      インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 14 zone-member security zone-name


      例:
      Router(config-if)# zone-member security zone2
       

      インターフェイスを指定したセキュリティ ゾーンに割り当てます。

       
      ステップ 15 end


      例:
      Router(config-if)# end
       

      インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      Skinny Control Protocol のファイアウォール サポートの設定例

      例:SCCP クラス マップおよびポリシー マップの設定

      Router# configure terminal
      Router(config)# class-map type inspect match-any cmap1
      Router(config-cmap)# match protocol skinny
      Router(config-cmap)# match protocol tftp
      Router(config-cmap)# exit
      Router(config)# policy-map type inspect pmap1
      Router(config-pmap)# class type inspect cmap1
      Router(config-pmap-c)# inspect
      Router(config-pmap-c)# exit
      Router(config-pmap)# class class-default
      Router(config-pmap)# end
            

      例:ゾーン ペアの設定および SCCP ポリシー マップの付加

      Router# configure terminal
      Router(config)# zone security zone1
      Router(config-sec-zone)# exit
      Router(config)# zone security zone2
      Router(config-sec-zone)# exit
      Router(config)# zone-pair security in-out source zone1 destination zone2
      Router(config-sec-zone-pair)# service-policy type inspect pmap1 
      Router(config-sec-zone-pair)# exit
      Router(config)# interface gigabitethernet 0/0/0 
      Router(config-if)# zone-member security zone1 
      Router(config-if)# exit  
      Router(config)# interface gigabitethernet 0/1/1
      Router(config-if)# zone-member security zone2
      Router(config-if)# end  
            

      Skinny Client Control Protocol のファイアウォール サポートの追加情報

      シスコのテクニカル サポート

      説明

      リンク

      シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

      http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

      Skinny Client Control Protocol のファイアウォール サポートの機能情報

      次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

      プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

      表 2 Skinny Client Control Protocol のファイアウォール サポートの機能情報

      機能名

      リリース

      機能情報

      ALG—SCCP V17 サポート

      Cisco IOS XE Release 3.5S

      ALG—SCCP バージョン 17 サポート機能により、SCCP ALG は SCCP バージョン 17 パケットを解析できます。 SCCP 形式は、IPv6 をサポートするために、バージョン 17 から変更されました。

      ファイアウォール:SCCP ビデオ ALG サポート

      Cisco IOS XE Release 2.4

      SCCP では、Cisco Unified Communications Manager を使用して、2 つの Skinny クライアント間での音声通信が可能です。 この機能により、Cisco ファイアウォールは Skinny クライアントと Cisco Unified Communications Manager の間で交換される Skinny 制御パケットを検査できます。

      次のコマンドが変更されました。match protocol

      Skinny Client Control Protocol のファイアウォール サポート

      Cisco IOS XE Release 2.1

      Skinny Client Control Protocol のファイアウォール サポート機能により、Cisco IOS XE ファイアウォールは、VoIP および SCCP をサポートできます。 Cisco IP Phone は SCCP を使用して、Cisco Unified Communications Manager に接続および登録します。 スケーラブルな環境で IP フォンと Cisco Unified Communications Manager 間に Cisco IOS XE ファイアウォールを設定するには、ファイアウォールは SCCP を検出し、メッセージ内で渡される情報を理解する必要があります。 Skinny Client Control Protocol のファイアウォール サポート機能では、ファイアウォールは、Skinny クライアント(IP フォンなど)と Cisco Unified Communications Manager 間で交換される Skinny 制御パケットを検査し、Skinny データ チャネルがルータを経由できるようにルータを設定します。 この機能はビデオ チャネルに対応するために SCCP のサポートを拡張します。