Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
Cisco Mobility Advantage の設定
Cisco Mobility Advantage の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Cisco Mobility Advantage の設定

Cisco Mobility Advantage Proxy 機能に関する情報

Cisco Mobility Advantage Proxy 機能

Mobility Advantage Proxy の導入シナリオ

NAT/PAT を使用した Mobility Advantage Proxy

Cisco UMA の導入の信頼関係

Cisco Mobility Advantage Proxy 機能のライセンス

Cisco Mobility Advantage の設定

Cisco Mobility Advantage の設定のタスク フロー

Cisco UMA サーバの証明書のインストール

TLS プロキシ インスタンスの作成

MMP 検査での TLS プロキシのイネーブル化

Cisco Mobility Advantage のモニタリング

Cisco Mobility Advantage の設定例

例 1:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

例 2:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシとしてだけ機能するセキュリティ アプライアンス

Cisco Mobility Advantage の機能履歴

Cisco Mobility Advantage の設定

この章では、Cisco Unified Communications Mobility Advantage Proxy 機能向けに適応型セキュリティ アプライアンスを設定する方法について説明します。

この章には、次の項があります。

「Cisco Mobility Advantage Proxy 機能に関する情報」

「Cisco Mobility Advantage Proxy 機能のライセンス」

「Cisco Mobility Advantage の設定」

「Cisco Mobility Advantage のモニタリング」

「Cisco Mobility Advantage の設定例」

「Cisco Mobility Advantage の機能履歴」

Cisco Mobility Advantage Proxy 機能に関する情報

ここでは、次の項目について説明します。

「Cisco Mobility Advantage Proxy 機能」

「Mobility Advantage Proxy の導入シナリオ」

「Cisco UMA の導入の信頼関係」

Cisco Mobility Advantage Proxy 機能

Cisco Mobility Advantage ソリューション向けの Cisco UMA をサポートするため、Mobility Advantage Proxy(TLS プロキシとして実装)には次の機能が含まれます。

クライアントとのハンドシェイク中にクライアントの認証を許可しない機能

サーバにインポートされた PKCS-12 証明書をプロキシの証明書として許可する機能

適応型セキュリティ アプライアンスには、Cisco UMA Mobile Multiplexing Protocol(MMP; モバイル多重化プロトコル)を検証するための検査エンジンが含まれます。

MMP は、Cisco UMA クライアントとサーバとの間でデータ エントリを送信するための転送プロトコルです。図 46-1 に示すように、MMP はコネクション型プロトコル(基礎となる転送)の上で実行する必要があり、TLS などのセキュアな転送プロトコルの上で実行することを意図しています。Orative Markup Language(OML)プロトコルは、データの同期を目的とした MMP に加えて、大規模なファイルのアップロードとダウンロードのための HTTP プロトコルの上で実行することを意図しています。

図 46-1 MMP スタック

 

TCP/TLS のデフォルト ポートは 5443 です。埋め込まれた NAT やセカンダリ接続はありません。

Cisco UMA クライアントおよびサーバ通信は TLS を通じてプロキシ処理ができます。ここで、データを復号化して検査 MMP モジュールに渡し、エンドポイントに転送する前にデータを再暗号化します。検査 MMP モジュールは MMP ヘッダーの整合性を確認し、OML/HTTP を適切なハンドラに渡します。適応型セキュリティ アプライアンスは、MMP ヘッダーおよびデータで次のアクションを実行します。

クライアント MMP ヘッダーの形式が適切であることを確認します。間違った形式のヘッダーを検出すると、TCP セッションは終了します。

クライアントからサーバへの MMP ヘッダーの長さを超えていないことを確認します。MMP ヘッダーの長さを超えている場合は(4096)、TCP セッションは終了します。

クライアントからサーバへの MMP コンテンツの長さを超えていないことを確認します。エンティティのコンテンツの長さを超えている場合は(4096)、TCP セッションは終了します。


) 4096 は、MMP の実装で現在使用されている値です。


MMP ヘッダーとエンティティはパケット間で分割できるため、適応型セキュリティ アプライアンスはデータをバッファリングして、検査の一貫性を確保します。Stream API(SAPI; ストリーム API)は、保留中の検査を実行できるようにデータのバッファリングを処理します。MMP ヘッダー テキストは大文字と小文字を区別しないものとして処理されます。ヘッダー テキストと値の間にスペースが入ります。MMP の状態の再要求は、TCP 接続の状態をモニタすることによって実行されます。

Mobility Advantage Proxy の導入シナリオ

図 46-2図 46-3 に、Cisco Mobility Advantage ソリューションによって使用される TLS プロキシの 2 つの導入シナリオを示します。シナリオ 1(推奨される導入アーキテクチャ)では、適応型セキュリティ アプライアンスはファイアウォールと TLS プロキシの両方として機能します。シナリオ 2 では、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ機能し、既存のファイアウォールを使用します。いずれのシナリオでも、クライアントはインターネットから接続されます。

シナリオ 1 の導入では、適応型セキュリティ アプライアンスは Cisco UMA クライアントと Cisco UMA サーバの間にあります。Cisco UMA クライアントは、個々のスマートフォンにダウンロードされる実行可能ファイルです。Cisco UMA クライアント アプリケーションは、企業の Cisco UMA サーバに対するデータ接続(TLS 接続)を確立します。適応型セキュリティ アプライアンスは通信を代行受信し、クライアントが Cisco UMA サーバに送信するデータを検査します。


) Cisco Mobility Advantage ソリューションの TLS プロキシは、Cisco UMA クライアントが証明書を提供できないため、クライアント認証をサポートしません。次のコマンドを使用して、TLS ハンドシェイク中の認証をディセーブルにできます。
hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# no server authenticate-client


図 46-2 Mobility Advantage Proxy と MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

 

図 46-2 では、適応型セキュリティ アプライアンスは Cisco UMA サーバの 10.1.1.2 IP アドレスを 192.0.2.140 に変換することで、スタティック NAT を実行しています。

図 46-3 に導入シナリオ 2 を示します。ここでは、適応型セキュリティ アプライアンスがTLS プロキシとしてだけ機能し、企業ファイアウォールとしては機能しません。このシナリオでは、適応型セキュリティ アプライアンスと企業ファイアウォールは NAT を実行しています。企業ファイアウォールは、インターネットのどのクライアントを企業の Cisco UMA サーバに接続する必要があるのかを予測できません。したがって、この導入をサポートするために、次のアクションを実行することができます。

宛先 IP アドレス 192.0.2.41 を 172.16.27.41 に変換する着信トラフィックの NAT 規則を設定します。

すべてのパケットの送信元 IP アドレスを変換する着信トラフィックのインターフェイス PAT 規則を設定し、企業ファイアウォールがワイルドカード ピンホールを開く必要がないようにします。Cisco UMA サーバは送信元 IP アドレスが 192.0.12.183 のパケットを受信します。

hostname(config)# nat (outside) 1 0.0.0.0 0.0.0.0 outside
hostname(config)# global (inside) 1 192.0.2.183 netmask 255.255.255.255
 

詳細については、「ネットワーク オブジェクト NAT の設定」「Twice NAT の設定」を参照してください。


) このインターフェイス PAT 規則では、別の送信元ポートを使用して、適応型セキュリティ アプライアンスの外部インターフェイスの Cisco UMA クライアントの IP アドレスを、内部インターフェイスの 1 つの IP アドレスに収束します。このアクションは、多くの場合「外部 PAT」と呼ばれます。「外部 PAT」は、Cisco Mobility Advantage の TLS プロキシが、フォン プロキシ、Cisco Unified Presence、またはアプリケーション検査が必要なその他の機能を持つ適応型セキュリティ アプライアンスの同じインターフェイス上でイネーブルになっている場合にはお勧めしません。「外部 PAT」は、埋め込みアドレスの変換が必要な場合には、アプリケーション検査によって完全にサポートされるわけではありません。


図 46-3 Cisco UMC/Cisco UMA のアーキテクチャ - シナリオ 2:Mobility Advantage Proxy としてのみ機能するセキュリティ アプライアンス

 

NAT/PAT を使用した Mobility Advantage Proxy

いずれのシナリオ(図 46-2 および図 46-3)でも、NAT を使用して Cisco UMA サーバのプライベート アドレスを隠蔽できます。

シナリオ 2(図 46-3)では、PAT を使用して、すべてのクライアント トラフィックを 1 つの送信元 IP に収束し、ファイアウォールが着信トラフィックのためにワイルドカード ピンホールを開く必要がないようにします。

hostname(config)# access-list cumc extended permit tcp any host 172.16.27.41 eq 5443
 

 

hostname(config)# access-list cumc extended permit tcp host 192.0.2.183 host 172.16.27.41 eq 5443

Cisco UMA の導入の信頼関係

Cisco UMC クライアントと適応型セキュリティ アプライアンスとの間に信頼関係を確立するために、適応型セキュリティ アプライアンスは Cisco UMA サーバの証明書とキー ペアを使用します。または、適応型セキュリティ アプライアンスは Cisco UMA サーバ FQDN を使用して証明書を取得します(証明書偽装)。適応型セキュリティ アプライアンスと Cisco UMA サーバとの間では、適応型セキュリティ アプライアンスと Cisco UMA サーバは、自己署名証明書またはローカル認証局が発行した証明書を使用します。

図 46-4 に、Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインポートする方法を示します。Cisco UMA サーバが第三者 CA にすでに登録している場合は、秘密キーを使用して適応型セキュリティ アプライアンスに証明書をインポートできます。これで、適応型セキュリティ アプライアンスは Cisco UMA サーバの完全なクレデンシャルを持つことになります。Cisco UMA クライアントが Cisco UMA サーバに接続すると、適応型セキュリティ アプライアンスはハンドシェイクを代理受信し、Cisco UMA サーバの証明書を使用して、クライアントとのハンドシェイクを実行します。適応型セキュリティ アプライアンスは、サーバとのハンドシェイクも行います。

図 46-4 セキュリティ アプライアンスが Cisco UMA を表す方法 - 秘密キーの共有

 

 

図 46-5 に、信頼関係を確立する別の方法を示します。導入に関わる各コンポーネントが新たにインストールされているため、図 46-5 は新しい場所への導入を示しています。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスが Cisco UMA サーバであるかのように、Cisco UMA サーバ FQDN を使用して第三者 CA に登録します。Cisco UMA クライアントが適応型セキュリティ アプライアンスに接続すると、適応型セキュリティ アプライアンスは、Cisco UMA サーバ FQDN を持つ証明書を示します。Cisco UMA クライアントは、通信相手が Cisco UMA サーバであるものと信じています。

図 46-5 セキュリティ アプライアンスが Cisco UMA を示す方法 - 証明書の偽装

 

適応型セキュリティ アプライアンスと Cisco UMA サーバの間の信頼関係は、自己署名証明書を使用して確立できます。適応型セキュリティ アプライアンスの ID 証明書はエクスポートされ、Cisco UMA サーバのトラストストアにアップロードされます。Cisco UMA サーバの証明書がダウンロードされて、トラストポイントを作成し、 crypto ca authenticate コマンドを使用することにより、適応型セキュリティ アプライアンスのトラストストアにアップロードされます。

Cisco Mobility Advantage Proxy 機能のライセンス

適応型セキュリティ アプライアンスでサポートされる Cisco Unified Communications のプロキシ機能(Cisco Phone Proxy、暗号化音声検査の TLS プロキシ、および Cisco Presence Federation Proxy)には、Unified Communications Proxy ライセンスが必要です。ただし、バージョン 8.2(2) 以降では、Mobility Advantage Proxy に Unified Communications Proxy ライセンスは必要ありません。

次の表に、Mobility Advantage Proxy のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ライセンスの詳細については、「機能のライセンスの管理」を参照してください。

Cisco Mobility Advantage の設定

この項は、次の内容で構成されています。

「Cisco Mobility Advantage の設定のタスク フロー」

「Cisco UMA サーバの証明書のインストール」

「TLS プロキシ インスタンスの作成」

「MMP 検査での TLS プロキシのイネーブル化」

Cisco Mobility Advantage の設定のタスク フロー

図 46-2図 46-3 に示すように、TLS プロキシと MMP 検査を実行するように適応型セキュリティ アプライアンスを設定するには、次のタスクを実行します。

適応型セキュリティ アプライアンスと Cisco UMA サーバの間で自己署名証明書を使用するものと仮定します。

前提条件

適応型セキュリティ アプライアンスにインポートできるように、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートします。証明書は、Cisco UMA クライアントとのハンドシェイク中に使用されます。


ステップ 1 次のコマンドを入力し、Cisco UMA サーバのスタティック NAT を作成します。

hostname(config)# static (real_ifc,mapped_ifc) mapped_ip real_ip netmask mask
 

ステップ 2 次のコマンドを入力し、Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインポートします。

hostname(config)# crypto ca import trustpoint pkcs12 passphrase
[paste base 64 encoded pkcs12]
hostname(config)# quit
 

ステップ 3 Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインストールします。「Cisco UMA サーバの証明書のインストール」を参照してください。

ステップ 4 Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」を参照してください。

ステップ 5 MMP 検査で TLS プロキシをイネーブルにします。「MMP 検査での TLS プロキシのイネーブル化」を参照してください。


 

Cisco UMA サーバの証明書のインストール

Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインストールします。このタスクは、適応型セキュリティ アプライアンス プロキシと Cisco UMA サーバとの間のハンドシェイク中に適応型セキュリティ アプライアンスがCisco UMA サーバを認証するために必要です。

前提条件

適応型セキュリティ アプライアンスにインポートできるように、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートします。

 

 
コマンド
目的

ステップ 1

hostname(config)# crypto ca trustpoint trustpoint_name

例:

hostname(config)# crypto ca trustpoint cuma_server

Cisco UMA サーバのトラストポイントを作成するには、指定したトラストポイントのトラストポイント コンフィギュレーション モードに入ります。

トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。

ステップ 2

hostname(config-ca-trustpoint)# enrollment terminal

 

このトラストポイントで使用するカット アンド ペースト登録(手動登録)を指定します。

ステップ 3

hostname(config-ca-trustpoint)# exit

 

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 4

hostname(config)# crypto ca authenticate trustpoint

例:

hostname(config)# crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
 
[ certificate data omitted ]
 
Certificate has the following attributes:
Fingerprint: 21B598D5 4A81F3E5 0B24D12E 3F89C2E4
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
hostname(config)#

Cisco UMA サーバに作成したトラストポイントと関連付けられている CA 証明書をインストールし、認証します。

trustpoint には、CA 証明書を取得するトラストポイントを指定します。名前の最大長は 128 文字です。

適応型セキュリティ アプライアンスは、base-64 形式で CA 証明書を端末に貼り付けることを求めるプロンプトを表示します。

次の作業

トラストポイントを作成し、Cisco UMA 証明書を適応型セキュリティ アプライアンスにインストールしたら、TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」を参照してください。

TLS プロキシ インスタンスの作成

Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成します。

前提条件

TLS プロキシ インスタンスを作成する前に、Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインストールしている必要があります。

 

 
コマンド
目的

ステップ 1

hostname(config)# tls-proxy proxy_name

例:

tls-proxy cuma_tlsproxy

TLS プロキシ インスタンスを作成します。

ステップ 2

hostname(config-tlsp)# server trust-point proxy_name

例:

hostname(config-tlsp)# server trust-point cuma_proxy

TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定します。

証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

ステップ 3

hostname(config-tlsp)# client trust-point proxy_name

例:

hostname(config-tlsp)# client trust-point cuma_proxy

適応型セキュリティ アプライアンスが TLS クライアントの役割と見なす場合に、適応型セキュリティ アプライアンスが TLS ハンドシェイクで使用するトラストポイントおよび関連付けられた証明書を指定します。

証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

ステップ 4

hostname(config-tlsp)# no server authenticate-client

クライアント認証をディセーブルにします。

TLS クライアント認証のディセーブル化は、適応型セキュリティ アプライアンスが Cisco UMA クライアントや、クライアント証明書を送信できない Web ブラウザなどのクライアントと相互運用する場合に必要になります。

ステップ 5

hostname(config-tlsp)# client cipher-suite cipher_suite

例:

hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1

暗号スイートの設定を指定します。

クライアント プロキシ(サーバに対して TLS クライアントとして機能するプロキシ)の場合、ユーザ定義の暗号スイートによってデフォルトの暗号スイートが置き換えられます。

次の作業

TLS プロキシ インスタンスを作成したら、そのインスタンスを MMP 検査でイネーブルにします。「MMP 検査での TLS プロキシのイネーブル化」を参照してください。

MMP 検査での TLS プロキシのイネーブル化

Cisco UMA クライアントおよびサーバ通信は TLS を通じてプロキシ処理ができます。ここで、データを復号化して検査 MMP モジュールに渡し、エンドポイントに転送する前にデータを再暗号化します。検査 MMP モジュールは MMP ヘッダーの整合性を確認し、OML/HTTP を適切なハンドラに渡します。

 

 
コマンド
目的

ステップ 1

hostname(config)# class-map class_map_name

例:

hostname(config)# class-map cuma_tlsproxy

検査するトラフィックのクラスを設定します。Cisco UMA サーバとクライアントの間のトラフィックは MMP を使用し、MMP 検査で処理されます。

class_map_name には、MMP クラスマップの名前を指定します。

ステップ 2

hostname(config-cmap)# match port tcp eq port

例:

hostname(config-cmap)# match port tcp eq 5443

MMP 検査のアクションを適用する TCP ポートを照合します。

MMP 検査の TCP/TLS のデフォルト ポートは 5443 です。

ステップ 3

hostname(config-cmap)# exit

クラスマップ コンフィギュレーション モードを終了します。

ステップ 4

hostname(config)# policy-map name

例:

hostname(config)# policy-map global_policy

ポリシーマップを設定し、アクションをトラフィック クラスに関連付けます。

ステップ 5

hostname(config-pmap)# class classmap-name

例:

hostname(config-pmap)# class cuma_proxy

クラスマップ トラフィックにアクションを割り当てることができるように、クラスマップをポリシーマップに割り当てます。

classmap_name には、Skinny クラスマップの名前を指定します。

ステップ 6

hostname(config-pmap)# inspect mmp tls-proxy proxy_name

例:

hostname(config-pmap)# inspect mmp tls-proxy cuma_proxy

SCCP(Skinny)アプリケーション検査をイネーブルにし、指定した検査セッションに対して Phone Proxy をイネーブルにします。

ステップ 7

hostname(config-pmap)# exit

ポリシーマップ コンフィギュレーション モードを終了します。

ステップ 8

hostname(config)# service-policy policy_map_name global

例:

service-policy global_policy global

すべてのインターフェイスでサービス ポリシーをイネーブルにします。

Cisco Mobility Advantage のモニタリング

Cisco Mobility Advantage Proxy は、IP テレフォニーと同様にデバッグできます。TLS プロキシ接続の問題をデバッグするために、SSL の syslog とともに TLS プロキシのデバッグ フラグをイネーブルにできます。

たとえば、TLS プロキシ関連のデバッグと syslog 出力だけをイネーブルにするには、次のコマンドを使用します。

hostname# debug inspect tls-proxy events
hostname# debug inspect tls-proxy errors
hostname# config terminal
hostname(config)# logging enable
hostname(config)# logging timestamp
hostname(config)# logging list loglist message 711001
hostname(config)# logging list loglist message 725001-725014
hostname(config)# logging list loglist message 717001-717038
hostname(config)# logging buffer-size 1000000
hostname(config)# logging buffered loglist
hostname(config)# logging debug-trace
 

TLS プロキシのデバッグ方法および出力例については、「TLS プロキシのモニタリング」を参照してください

MMP 検査エンジンのデバッグを行うには、 debug mmp コマンドをイネーブルにします。

MMP:: received 60 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
MMP:: version OLWP-2.0
MMP:: forward 60/60 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
MMP:: received 100 bytes from inside:2.2.2.2/5443 to outside:1.1.1.1/2000
MMP:: session-id: ABCD_1234
MMP:: status: 201
MMP:: forward 100/100 bytes from inside:2.2.2.2/5443 to outside 1.1.1.1/2000
MMP:: received 80 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
MMP:: content-type: http/1.1
MMP:: content-length: 40
 

次のコマンドを入力して、未加工のデータおよび復号化されたデータを TLS プロキシでキャプチャすることもできます。

hostname# capture mycap interface outside (capturing raw packets)
hostname# capture mycap-dec type tls-proxy interface outside (capturing decrypted data)
hostname# show capture capture_name
hostname# copy /pcap capture:capture_name tftp://tftp_location

Cisco Mobility Advantage の設定例

「例 1:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス」

「例 2:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシとしてだけ機能するセキュリティ アプライアンス」

この項では、Cisco Mobility Advantage ソリューションによって使用される TLS プロキシの 2 つの導入シナリオに適用される設定例について説明します。シナリオ 1 では、適応型セキュリティ アプライアンスはファイアウォールと TLS プロキシの両方として機能し、シナリオ 2 では、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ機能します。いずれのシナリオでも、クライアントはインターネットから接続されます。

この例では、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートし、適応型セキュリティ アプライアンスにインポートします。証明書は、Cisco UMA クライアントとのハンドシェイク中に使用されます。

Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインストールする操作は、適応型セキュリティ アプライアンス プロキシと Cisco UMA サーバとの間のハンドシェイク中に適応型セキュリティ アプライアンスが Cisco UMA サーバを認証するために必要です。Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成します。最後に、MMP 検査で TLS プロキシをイネーブルにする必要があります。

例 1:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

図 46-6(シナリオ 1 -- 推奨アーキテクチャ)に示すように、適応型セキュリティ アプライアンスはファイアウォールと TLS プロキシの両方として機能します。シナリオ 1 の導入では、適応型セキュリティ アプライアンスは Cisco UMA クライアントと Cisco UMA サーバの間にあります。このシナリオでは、適応型セキュリティ アプライアンスは Cisco UMA サーバの 10.1.1.2 IP アドレスを 192.0.2.140 に変換することで、スタティック NAT を実行しています。

図 46-6 Cisco UMC/Cisco UMA のアーキテクチャ - シナリオ 1:TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

 

static (inside,outside) 192.0.2.140 10.1.1.2 netmask 255.255.255.255
crypto ca import cuma_proxy pkcs12 sample_passphrase
<cut-paste base 64 encoded pkcs12 here>
quit
!for CUMA server’s self-signed certificate
crypto ca trustpoint cuma_server
enrollment terminal
crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
tls-proxy cuma_proxy
server trust-point cuma_proxy
no server authenticate-client
client cipher-suite aes128-sha1 aes256-sha1
class-map cuma_proxy
match port tcp eq 5443
policy-map global_policy
class cuma_proxy
inspect mmp tls-proxy cuma_proxy
service-policy global_policy global

例 2:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシとしてだけ機能するセキュリティ アプライアンス

図 46-7(シナリオ 2)に示すように、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ機能し、既存のファイアウォールを使用します。適応型セキュリティ アプライアンスと企業ファイアウォールが NAT を実行しています。企業ファイアウォールは、インターネットのどのクライアントを企業の Cisco UMA サーバに接続する必要があるのかを予測できません。したがって、この導入をサポートするために、次のアクションを実行することができます。

宛先 IP アドレス 192.0.2.41 を 172.16.27.41 に変換する着信トラフィックの NAT 規則を設定します。

すべてのパケットの送信元 IP アドレスを変換する着信トラフィックのインターフェイス PAT 規則を設定し、企業ファイアウォールがワイルドカード ピンホールを開く必要がないようにします。Cisco UMA サーバは送信元 IP アドレスが 67.11.12.183 のパケットを受信します。

hostname(config)# nat (outside) 1 0.0.0.0 0.0.0.0 outside
hostname(config)# global (inside) 1 192.0.2.183 netmask 255.255.255.255

図 46-7 Cisco UMC/Cisco UMA のアーキテクチャ - シナリオ 2:TLS プロキシとしてだけ機能するセキュリティ アプライアンス

 

static (inside,outside) 192.0.2.140 172.16.27.41 netmask 255.255.255.255
nat (outside) 1 0.0.0.0 0.0.0.0 outside
global (inside) 1 192.0.2.183 netmask 255.255.255.255
crypto ca import cuma_proxy pkcs12 sample_passphrase
<cut-paste base 64 encoded pkcs12 here>
quit
!for CUMA server’s self-signed certificate
crypto ca trustpoint cuma_server
enrollment terminal
crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
tls-proxy cuma_proxy
server trust-point cuma_proxy
no server authenticate-client
client cipher-suite aes128-sha1 aes256-sha1
class-map cuma_proxy
match port tcp eq 5443
policy-map global_policy
class cuma_proxy
inspect mmp tls-proxy cuma_proxy
service-policy global_policy global
 

Cisco Mobility Advantage の機能履歴

表 46-1 に、この機能のリリース履歴の一覧を示します。

 

表 46-1 Cisco Phone Proxy の機能履歴

機能名
リリース
機能情報

Cisco Mobility Advantage Proxy

8.0(4)

Cisco Mobility Advantage Proxy 機能が導入されました。

Cisco Mobility Advantage Proxy

8.3(1)

Unified Communications Wizard が ASDM に追加されました。このウィザードを使用することにより、Cisco Mobility Advantage Proxy を設定できます。