セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP
ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の機能により、H.323 アプリケーション レベル ゲートウェイ(ALG)が拡張され、単一 H.323 メッセージではない TCP セグメントがサポートされます。 仮想 TCP(vTCP)は、TCP セグメント再構成をサポートします。 この機能の導入前、H.323 ALG は、TCP セグメントが完全な H.323 メッセージである場合にだけ TCP セグメントを処理していました。 TCP セグメントが複数のメッセージである場合、H.323 ALG はその TCP セグメントを無視し、パケットは処理せずに渡されていました。

このモジュールでは、ファイアウォール対応のハイ アベイラビリティ(HA)サポート付き ALG-H.323 vTCP を設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の制約事項

  • 着信 TCP セグメントが完全な H.323 メッセージでない場合、H.323 ALG は、残りのメッセージを待機している間、TCP セグメントをバッファします。 バッファされたデータは、ハイ アベイラビリティ(HA)用のスタンバイ デバイスに同期されません。
  • vTCP がデータのバッファを開始すると、H.323 ALG のパフォーマンスが影響を受ける場合があります。

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG—H.323 vTCP について

アプリケーション レベル ゲートウェイ

アプリケーション レベル ゲートウェイ(ALG)は、アプリケーション層ゲートウェイとも呼ばれ、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。 ALG は、アプリケーション層プロトコルを解釈し、ファイアウォールおよびネットワーク アドレス変換(NAT)アクションを実行するために使用されます。 これらのアクションは、ファイアウォールおよび NAT の設定に応じて次の 1 つまたは複数のアクションになります。
  • クライアント アプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバ アプリケーションと通信できるようにします。
  • アプリケーション固有のコマンドを認識し、それらに対するきめ細かいセキュリティ制御を提供します。
  • データ交換を行う 2 台のホスト間のデータの複数のストリームまたはセッションを同期します。
  • アプリケーション ペイロードで使用できるネットワーク層アドレス情報を変換します。

ファイアウォールはピンホールを開き、NAT は、アプリケーション層データ ストリームの送信元および宛先 IP アドレスを伝送しない TCP または UDP トラフィックに対する変換サービスを実行します。 IP アドレス情報を埋め込む特定のプロトコルまたはアプリケーションには ALG のサポートが必要です。

基本的な H.323 ALG サポート

H.323 は、パケットベース ネットワーク経由のマルチメディア伝送用の一連のネットワーク要素やプロトコルを定義した、ITU-T により公開された推奨技術です。 H.323 は、マルチメディア伝送で使用されるネットワーク要素の数を定義します。

今日のほとんどの H.323 実装がシグナリング用の転送メカニズムとして TCP を利用しますが、H.323 バージョン 2 では基本的な UDP トランスポートがイネーブルになります。

  • H.323 端末:この要素は、別の H.323 端末またはゲートウェイとの双方向通信を提供する、ネットワークのエンドポイントです。
  • H.323 ゲートウェイ:この要素は、H.323 端末と、H.323 をサポートしない他の端末との間のプロトコル変換を提供します。
  • H.323 ゲートキーパー:この要素は、アドレス変換、ネットワーク アクセス コントロール、帯域幅管理とアカウントなどのサービスを H.323 端末およびゲートウェイに提供します。

次のコア プロトコルが、H.323 仕様で規定されています。

  • H.225:このプロトコルは、通信を確立するために任意の 2 つの H.323 エンティティ間で使用されるコール シグナリング方式を説明します。
  • H.225 登録、アドミッション、およびステータス(RAS):このプロトコルは、アドレス解決およびアドミッション制御サービスのために H.323 エンドポイントとゲートウェイによって使用されます。
  • H.245:このプロトコルは、マルチメディア通信機能の交換のため、および音声、ビデオ、およびデータに論理チャネルを開いたり閉じたりするために使用されます。

一覧したプロトコルに加えて、H.323 仕様では、リアル タイム転送(RTP)プロトコルとオーディオ(G.711、G.729 など)およびビデオ(H.261、H.263、および H.264)コーデックなどのさまざまな IETF プロトコルの使用を説明しています。

NAT では、パケット ペイロード内の埋め込み IP アドレスやポート番号の変換、制御チャネルからの新しい接続/セッション情報の抽出などのレイヤ 7 プロトコル固有サービスを処理するために、さまざまな ALG が必要となります。 H.323 ALG は、これらの H.323 メッセージ固有のサービスを実行します。

vTCP for ALG のサポートの概要

レイヤ 7 プロトコルが TCP を転送に使用する場合、TCP ペイロードは、アプリケーション設計、最大セグメント サイズ(MSS)、TCP ウィンドウ サイズなどのさまざまな理由でセグメント化される場合があります。 ファイアウォールおよび NAT がサポートする ALG には、パケット インスペクションで TCP フラグメントを認識する機能がありません。 vTCP は、ALG が TCP セグメントを認識し、TCP ペイロードを解析するために使用する汎用フレームワークです。

vTCP は、NAT や Session Initiation Protocol(SIP)など、埋め込みデータを書き直すために TCP ペイロード全体を必要とするアプリケーションに役立ちます。 ファイアウォールは vTCP を使用して、ALG がパケット間のデータ分割をサポートするのを支援します。

ファイアウォールおよび NAT ALG を設定すると、vTCP 機能がアクティブ化されます。

TCP 確認応答と確実な送信

vTCP は 2 つの TCP ホストに存在するため、TCP セグメントを他のホストに送信するまで一時的に保存するためのバッファ スペースが必要です。 vTCP により、データ伝送がホスト間で適切に行われます。 vTCP は、多くのデータをデータ伝送する必要がある場合、TCP 確認応答(ACK)を送信します。 vTCP は、受信ホストから送信される ACK を TCP フローの始めから追跡し、確認応答されたデータを注意深くモニタします。

vTCP は、TCP セグメントを再構成します。 着信セグメントの IP ヘッダーおよび TCP ヘッダー情報は、確実な送信のために vTCP バッファに保存されます。

vTCP は、NAT 対応アプリケーションの発信セグメントの長さに軽微な変更を行うことができます。 vTCP は最後のセグメントのデータ長を長くするか、新しいセグメントを作成して、追加のデータを伝送することができます。 新しく作成されたセグメントの IP ヘッダーまたは TCP ヘッダーは、オリジナルの着信セグメントから派生したものです。 IP ヘッダーの合計の長さと TCP ヘッダーのシーケンス番号は、必要に応じて調整されます。

vTCP と NAT およびファイアウォール ALG

ALG は、NAT およびファイアウォールのサブコンポーネントです。 NAT とファイアウォールのいずれにも、ダイナミックに ALG を連結させるためのフレームワークがあります。 ファイアウォールがレイヤ 7 インスペクションを実行すると、または NAT がレイヤ 7 フィックスアップを実行すると、ALG によって登録された解析機能が呼び出され、ALG がパケット インスペクションを引き継ぎます。 vTCP は、NAT およびファイアウォールと、これらのアプリケーションを使用する ALG との間に介入します。 言い換えると、パケットはまず vTCP によって処理されてから、ALG に渡されます。 vTCP は、TCP 接続内で両方向の TCP セグメントを再構成します。

ハイ アベイラビリティ サポート付き ALG-H.323 vTCP の概要

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の機能により、H.323 アプリケーション レベル ゲートウェイ(ALG-H)が拡張され、単一 H.323 メッセージではない TCP セグメントがサポートされます。 H.323 ALG を vTCP と組み合わせると、ファイアウォールおよび NAT は vTCP を介して H.323 ALG と対話します。 vTCP がデータのバッファを開始すると、ハイ アベイラビリティ(HA)機能が影響を受けます。これは、vTCP がバッファされたデータをスタンバイ デバイスに同期できないためです。 vTCP がデータをバッファしているときにスタンバイ デバイスへのスイッチオーバーが発生した場合、バッファされたデータがスタンバイ デバイスに同期されていないと、接続がリセットされる可能性があります。 バッファされたデータが vTCP によって確認された後、データは失われ、接続はリセットされます。 ファイアウォールおよび NAT は、HA のためにデータを同期します。 vTCP は、スタンバイ デバイスへの現在の接続ステータスのみを同期し、エラーの場合、接続はリセットされます。

ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の設定方法

ファイアウォール対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の設定

手順の概要

    1.    enable

    2.    configure terminal

    3.    class-map type inspect match-any class-map-name

    4.    match protocol protocol-name

    5.    match protocol protocol-name

    6.    exit

    7.    policy-map type inspect policy-map-name

    8.    class type inspect class-map-name

    9.    inspect

    10.    exit

    11.    class class-default

    12.    exit

    13.    zone security zone-name

    14.    exit

    15.    zone-pair security zone-pair-name source source-zone destination destination-zone

    16.    service-policy type inspect policy-map-name

    17.    exit

    18.    interface type number

    19.    zone member security zone-name

    20.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable 
     
    特権 EXEC モードをイネーブルにします。
    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal 
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 class-map type inspect match-any class-map-name


    例:
    Device(config)# class-map type inspect match-any h.323-class 
     

    検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

     
    ステップ 4 match protocol protocol-name


    例:
    Device(config-cmap)# match protocol h323 
     

    指定されたプロトコルを基づいて、クラス マップの一致基準を設定します。

     
    ステップ 5 match protocol protocol-name


    例:
    Device(config-cmap)# match protocol h323ras 
     

    指定されたプロトコルを基づいて、クラス マップの一致基準を設定します。

     
    ステップ 6 exit


    例:
    Device(config-cmap)# exit 
     

    QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 7 policy-map type inspect policy-map-name


    例:
    Device(config)# policy-map type inspect h.323-policy 
     

    検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 8 class type inspect class-map-name


    例:
    Device(config-pmap)# class type inspect h.323-class 
     

    アクションを実行するクラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

     
    ステップ 9 inspect


    例:
    Device(config-pmap-c)# inspect 
     

    ステートフル パケット インスペクションをイネーブルにします。

     
    ステップ 10 exit


    例:
    Device(config-pmap-c)# exit 
     

    QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、ポリシーマップ コンフィギュレーション モードを開始します。

     
    ステップ 11 class class-default


    例:
    Device(config-pmap)# class class-default 
     
    ポリシー マップ設定を定義済みのデフォルト クラスに適用します。
    • 設定済みクラス マップの一致基準のいずれともトラフィックが一致しない場合、事前に定義されたデフォルト クラスに誘導されます。
     
    ステップ 12 exit


    例:
    Device(config)# exit 
     

    QoS ポリシーマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 13 zone security zone-name


    例:
    Device(config)# zone security inside 
     
    インターフェイスを割り当てることができるセキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • 設定には、ゾーン ペアを作成するために、2 つのセキュリティ ゾーン(送信元ゾーンと宛先ゾーン)が含まれている必要があります。
    • ゾーン ペアでは、送信元ゾーンまたは宛先ゾーンとしてデフォルト ゾーンを使用できます。
     
    ステップ 14 exit


    例:
    Device(config-sec-zone)# exit 
     

    セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 15 zone-pair security zone-pair-name source source-zone destination destination-zone


    例:
    Device(config)# zone-pair security inside-outside source inside destination outside 
     
    セキュリティ ゾーンのペアを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。
    • ポリシーを適用するには、ゾーン ペアを設定する必要があります。
     
    ステップ 16 service-policy type inspect policy-map-name


    例:
    Device(config-sec-zone-pair)# service-policy type inspect h.323-policy 
     
    ファイアウォール ポリシー マップを宛先ゾーン ペアに付加します。
    • ゾーンのペア間でポリシーが設定されない場合、トラフィックはデフォルトでドロップされます。
     
    ステップ 17 exit


    例:
    Device(config-sec-zone-pair)# exit 
     

    セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

     
    ステップ 18 interface type number


    例:
    Device(config)# interface gigabitethernet 0/0/1 
     

    インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 19 zone member security zone-name


    例:
    Device(config-if)# zone member security inside 
     
    インターフェイスを指定したセキュリティ ゾーンに割り当てます。
    • インターフェイスをセキュリティ ゾーンのメンバーにした場合、方向に関係なくインターフェイスを通過するすべてのトラフィック(ルータ宛のトラフィックまたはルータ発信のトラフィックを除く)は、デフォルトでドロップされます。 トラフィックがインターフェイス通過するには、ゾーンをポリシーの適用先のゾーン ペアの一部にする必要があります。 ポリシーがトラフィックを許可すると、トラフィックはそのインターフェイスを通過できます。
     
    ステップ 20 end


    例:
    Device(config-if)# end 
     

    インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の設定例

    例:ファイアウォール対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の設定

    Device# configure terminal
    Device(config)# class-map type inspect h.323-class
    Device(config-cmap)# match protocol h323
    Device(config-cmap)# match protocol h323ras
    Device(config-cmap)# exit
    Device(config)# policy-map type inspect h323-policy
    Device(config-pmap)# class type inspect h323
    Device(config-pmap-c)# inspect
    Device(config-pmap-c)# exit
    Device(config-pmap)# class class-default
    Device(config-pmap)# exit
    Device(config)# zone security inside
    Device(config-sec-zone)# exit
    Device(config)# zone security outside
    Device(config-sec-zone)# exit
    Device(config)# zone-pair security inside-outside source inside destination outside
    Device(config-sec-zone-pair)# service-policy type inspect h.323-policy 
    Device(config-sec-zone-pair)# exit
    Device(config)# interface gigabitethernet 0/0/1
    Device(config-if)# zone-member security inside
    Device(config-if)# exit
    Device(config)# interface gigabitethernet 0/1/1
    Device(config-if)# zone-member security outside
    Device(config-if)# end
          

    ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の追加情報

    シスコのテクニカル サポート

    説明

    リンク

    シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

    http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

    ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の機能情報

    次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

    プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

    表 1 ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の機能情報

    機能名

    リリース

    機能情報

    ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP

    Cisco IOS XE Release 3.7S

    ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP の機能により、H.323 ALG が拡張され、単一 H.323 メッセージではない TCP セグメントがサポートされます。 vTCP は、セグメント再構成をサポートします。 この機能の導入前は、H.323 ALG は、TCP セグメントが完全な H.323 メッセージである場合だけ TCP セグメントを処理していました。 TCP セグメントが複数のメッセージである場合、H.323 ALG はその TCP セグメントを無視し、パケットは処理せずに渡されていました。