目次

SIP フェデレーションの冗長性のロード バランサ構成

ロード バランサについて

冗長性とハイ アベイラビリティを持たせるために、フェデレーテッド ネットワークにロード バランサを組み込むことができます。 シスコでは、IM and Presence サービス ノードと Cisco Adaptive Security Appliance(ASA)の間に Cisco CSS 11500 Content Services Switch を配置することを推奨します(SIP フェデレーションのハイ アベイラビリティを参照してください)。

ロード バランサは、Cisco Adaptive Security Appliance(ASA)からの着信 TLS 接続を終端したうえで、TLS 接続を新たに開始して適切なバックエンド IM and Presence サービス ノードへデータをルーティングします。

IM and Presence サービス ノードの更新

冗長性のためにロード バランサを使用する場合は、IM and Presence サービスのパブリッシャ ノードおよびサブスクライバ ノードの設定を更新する必要があります。

手順

タスク

手順

フェデレーション ルーティング パラメータの更新

[Cisco Unified IM and Presence Administration(Cisco Unified IM and Presence Administration)] にログインし、[Service(サービス)] メニューから [System(システム)] > [Service Parameters(サービス パラメータ)] > [Cisco SIP Proxy(Cisco SIP プロキシ)] を選択し、これらの値を入力します。

  • [Virtual IP Address(仮想 IP アドレス)]: ロード バランサに設定されているバーチャル IP アドレスを入力します。
    1. [Server Name(サーバ名)]: ロード バランサの FQDN に設定します。
    2. [Federation Routing IM and Presence FQDN(フェデレーション ルーティング プレゼンス FQDN)]: ロード バランサの FQDN に設定します。

新規 TLS ピア サブジェクトの作成

  1. [Cisco Unified IM and Presence Administration(Cisco Unified IM and Presence Administration)] へのログインは、[System(システム)] > [Security(セキュリティ)] > [TLS Peer Subjects(TLS ピア件名)]を選択します。

  2. [Add New(新規追加)] をクリックして、次の値を入力します。

    • [Peer Subject Name(ピア件名)]: ロード バランサの外部 FQDN を入力します。
    • [Description(説明)]: ロード バランサの名前を入力します。

TLS ピア サブジェクト リストへの TLS ピアの追加

  1. [Cisco Unified IM and Presence Administration(Cisco Unified IM and Presence Administration)] へのログインは、[System(システム)] > [Security(セキュリティ)] > [TLS Context Configuration(TLS コンテキスト設定)]を選択します。

  2. [Find(検索)] をクリックします。

  3. [Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context(Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context)] をクリックします。

  4. ロード バランサ フェデレーション:TLS ピア サブジェクトを TLS ピア サブジェクト リストに移動します。

Cisco Adaptive Security Appliance(ASA)の更新

ロード バランサを使用しても、外部ドメインはメッセージをパブリック IM and Presence サービス アドレスに送信しますが、Cisco Adaptive Security Appliance(ASA)によって、このアドレスはロード バランサのバーチャル IP アドレスにマップされます。 つまり、Cisco Adaptive Security Appliance(ASA)は、外部ドメインからメッセージを受信した場合、それをロード バランサに転送するということです。 ロード バランサは適切な IM and Presence サービス ノードへ渡します。

このような設定を実現するには、Cisco Adaptive Security Appliance(ASA)を一部変更する必要があります。

スタティック PAT メッセージの更新

ロード バランサの詳細を含むよう、スタティック PAT メッセージを更新する必要があります。

手順

タスク

Cisco Adaptive Security Appliance Release 8.2 のコマンド

Cisco Adaptive Security Appliance Release 8.3 のコマンド

IM and Presence Service パブリッシュに対して必要な変更

 

パブリック IM and Presence Service アドレスに対して未使用の任意のポートを使用するよう、スタティック PAT を変更します。

変更前:

static (inside,outside) tcp public_imp_ip_address 5061 routing_imp_private_ip_address 5062 netmask 255.255.255.255

が、次のように変わります。

static (inside,outside) tcp public_imp_ip_address 55061 routing_imp_publisher_ private_ip_address 5062 netmask 255.255.255.255

変更前:

object service obj_tcp_source_eq_5061 # service tcp source eq 5061

nat (inside,outside) source static obj_host_routing_imp_private_ip_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5062 obj_tcp_source_eq_5061

が、次のように変わります。

object service obj_tcp_source_eq_55061 # service tcp source eq 55061

nat (inside,outside) source static obj_host_routing_imp_private_ip_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5062 obj_tcp_source_eq_55061

(どのポートでロード バランサが TLS メッセージをリッスンする場合でも)パブリック IM and Presence Service アドレスに送信されたメッセージを仮想ポート アドレスに転送できるようにする、新しいスタティック PAT を追加します。

static (inside,outside) tcp public_imp_address 5061 load_balancer_vip 5062 netmask 255.255.255.255

object network obj_host_load_balancer_vip # host routing_imp_private_address

object service obj_tcp_source_eq_5061 # service tcp source eq 5061

nat (inside,outside) source static obj_host_load_balancer_vip obj_host_public_imp_ip_address service obj_tcp_source_eq_5062 obj_tcp_source_eq_5061

IM and Presence Service サブスクライバに対して必要な変更

ロード バランサのバーチャル IP アドレスへの新規アクセス リストを追加します。 IM and Presence Service がアクセスする必要のある外部ドメインごとに、アクセス リストを追加する必要があります。

access-list ent_lber_to_external_ocs extended permit tcp host subscriber_private_ip_address host external_domain_public_ip_address 5061

access-list ent_lcs_to_lber_routg_imp extended permit tcp host external_domain_public_ip_address host imp_public_ip_address 65061

ロード バランサのバーチャル IP アドレスが設定されている場合に IM and Presence Service サーバへのメッセージを開始できるようにするには、拡張許可TCP ホスト外部ドメインの新規アクセス リストを追加します。 IM and Presence Service にアクセスする必要のある外部ドメインごとに、アクセス リストを追加する必要があります。

アクセス リストの更新

ロード バランサをサポートするには、導入シナリオに固有の Cisco Adaptive Security Appliance(ASA)のアクセス リストを更新する必要があります。


(注)  


IM and Presence サービスのパブリック IP アドレスは、Cisco Adaptive Security Appliance(ASA)で DNS レコードに設定されされた、IM and Presence サービス ドメインのパブリック IP アドレスのことです。 このレコードには、Cisco Adaptive Security Appliance(ASA)のパブリック IP を含む、ロード バランサの FQDN が記載されます。


手順

配置シナリオ: 1 つ以上の外部ドメインと連携する IM and Presence サービス ノード

タスク

設定例

新しいロード バランサのバーチャル IP アドレスへの新規アクセス リストを追加します。 IM and Presence サービスがアクセスする必要のある外部ドメインごとに、アクセス リストを追加する必要があります。

パブリッシャの場合

Cisco Adaptive Security Appliance(ASA)Release 8.2 および 8.3 のコマンド:

access-list ent_lber_to_external_ocs extended permit tcp host virtual_IP_address host external_domain_public_ip_address eq 5061

ロード バランサの仮想 IP アドレスが、IM and Presence サービス ノードに初期メッセージに外部ドメインの新しいアクセス リストを追加します。 IM and Presence サービスにアクセスする必要のある外部ドメインごとに、アクセス リストを追加する必要があります。

パブリッシャの場合

Cisco Adaptive Security Appliance(ASA)Release 8.2 のコマンド:

access-list ent_lcs_to_lber_routgimp extended permit tcp host external_domain_public_ip_address host imp_public_ip_address eq 5062

Cisco Adaptive Security Appliance(ASA)Release 8.3 のコマンド:

access-list ent_external_server_to_lb extended permit tcp host external_public_address host loadbalancer_virtual_ip_address eq 5062

アクセス リストごとに、新しいアクセス リストを組み込むための新しいクラスを追加します。

class ent_lber_to_external_ocs match access-list ent_lber_to_external_ocs

クラスごとに、IM and Presence サービスによって開始されたメッセージのエントリを policy-map global_policy に作成します。

policy-map global_policy class ent_lber_to_external_ocs inspect sip sip_inspect tls-proxy ent_imp_to_external

クラスごとに、外部ドメインで開始されたメッセージのエントリを policy-map global_policy に作成します。

policy-map global_policy class ent_lcs_to_lber_routgimp inspect sip sip_inspect tls-proxy ent_external_to_imp

配置シナリオ: 外部ドメインが 1 つ以上のクラスタ間 IM and Presence サービス ノードに追加される IM and Presence サービス フェデレーションへの IM and Presence サービス

タスク

設定例

外部ドメインの Adaptive Security Appliance は、ローカル ドメインのパブリッシャとサブスクライバに選択された任意のポートへのアクセスを許可する必要があります。

access-list ent_imp_to_externalPubimpwlber extended permit tcp host external_domain_private_imp_address host public_imp_address_local_domain 55061

access-list ent_imp_to_externalPubimpwlber extended permit tcp host external_domain_private_imp_address host public_imp_address_local_domain 65061

アクセス リストごとに、新しいアクセス リストを組み込むための新しいクラスを追加します。

クラスごとに、policy-map global_policy にエントリを作成します。

TLS プロキシ インスタンスの更新

Cisco Adaptive Security Appliance で TLS プロキシ インスタンスを更新します。

手順

変更前:

tls-proxy ent_external_to_imp server trust-point msoft_public_fqdn

client trust-point imp_proxy

client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

tls-proxy ent_imp_to_external

server trust-point imp_proxy

client trust-point msoft_public_fqdn

client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

が、次のように変わります。

tls-proxy ent_external_to_imp server trust-point msoft_public_fqdn

client trust-point msoft_public_fqdn

client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

tls-proxy ent_imp_to_external

server trust-point msoft_public_fqdn

client trust-point msoft_public_fqdn

client cipher-suite aes128-sha1 aes256-sha1 3des-sha1 null-sha1

CA 署名付きセキュリティ証明書の更新

設定にロード バランサを追加する場合は、次の項で説明する、ロード バランサと Cisco Adaptive Security Appliance(ASA)および IM and Presence サービス ノードの間の CA 署名付きセキュリティ証明書も作成する必要があります。

ロード バランサと Cisco Adaptive Security Appliance 間のセキュリティ証明書の設定

このトピックでは、ロード バランサと Cisco Adaptive Security Appliance の間でのセキュリティ証明書を設定するために必要な手順の概要を示します。 詳細については、次の URL にある Cisco CSS 11500 Content Services Switch のマニュアルを参照してください。http:/​/​www.cisco.com/​en/​US/​products/​hw/​contnetw/​ps792/​products_​installation_​and_​configuration_​guides_​list.html

手順

タスク

手順

Cisco Adaptive Security Appliance でロード バランサ用の CA 署名付き証明書を作成します。

crypto ca enroll コマンドを使用して、ロード バランサの FQDN を指定します。

Cisco Adaptive Security Appliance からロード バランサに CA 署名付き証明書をインポートします。

copy ssl コマンドを使用します。

ロード バランサで Cisco Adaptive Security Appliance 用の CA 署名付き証明書を作成します。

手順の概要を次に示します(詳細については、『CSS SSL Configuration Guide(CSS SSL 設定ガイド)』を参照してください)。

  1. グローバル設定モードに入ります(configure terminal)。

  2. 交換に使用される RSA キー ペアを作成します(ssl genrsa)。

  3. 作成された RSA キー ペアをファイルに関連付けます(ssl associate)。

  4. 証明書署名要求を作成します(ssl gencsr)。

  5. CA からルート CA 証明書を取得します。

  6. CSR を CA に転送します。

  7. 署名証明書をロード バランサに再インポートします(copy ssl および ssl associate)。

ロード バランサから Cisco Adaptive Security Appliance に CA 署名付き証明書をインポートします。

crypto ca trustpoint コマンドを使用します。

証明書がインポートされたことを確認するには、show crypto ca certificate コマンドを使用します。

ロード バランサと IM and Presence Service ノード間のセキュリティ証明書の設定

このトピックでは、ロード バランサと IM and Presence Service ノードの間でセキュリティ証明書を設定するために必要な手順の概要を示します。

手順

タスク

手順

パブリッシャ ノードとサブスクライバ ノードの両方で CA 署名付き証明書を作成します。

CA 署名付き証明書を使用して証明書を交換する手順に従ってください。

(パブリッシャ ノードとサブスクライバ ノードから)ロード バランサに CA 署名付き証明書をインポートします。

copy ssl および ssl associate コマンドを使用します。

Microsoft コンポーネントの更新

ロード バランサの詳細を使用して、一部の Microsoft コンポーネントを更新する必要があります。

手順

タスク

手順

FQDN のすべてのインスタンスをロード バランサの FQDN に一致するよう更新します。

ロード バランサを使用して、IM プロバイダ リストのドメイン名を更新します。

  1. 外部アクセス エッジ サーバで、[Start(スタート)] > [Administrative Tools(管理ツール)] > [Computer Management(コンピュータの管理)] を選択します。

  2. 左側のペインで、[Microsoft Office Communications Server 2007] を右クリックします。

  3. [IM Provider(IM プロバイダ)] タブをクリックします。

  4. [Add(追加)] をクリックします。

  5. [Allow the IM service provider(IM サービス プロバイダを許可する)] のチェックボックスをオンにします。

IM サービス プロバイダのネットワーク アドレスをロード バランサのパブリック FQDN として定義します。

AOL コンポーネントの更新

ご使用の AOL フェデレーション導入にロード バランサを組み込む場合は、ロード バランサに関するいくつかの細目を AOL に提供する必要があります。 詳細については、関連項目内の項を参照してください。

ロード バランサ設定

このトピックでは、この統合をサポートするために、Cisco CSS 11500 Content Services Switch を設定する際に必要となるタスクの概要を示します。 Cisco CSS 11500 Content Services Switch には、バックエンド SSL モードでインストールされ、設定されている SSL アクセラレーション モジュールがなければなりません。 各タスクの詳細については、次の URL で Cisco CSS 11500 Content Services Switch のマニュアルを参照してください。

http:/​/​www.cisco.com/​en/​US/​products/​hw/​contnetw/​ps792/​products_​installation_​and_​configuration_​guides_​list.html

手順

タスク

追加の注意事項

Cisco CSS 11500 Content Services SwitchIM and Presence サービスの間の証明書交換を設定します。

  • CA または自己署名証明書は、SSL モジュールで使用できます。
  • Cisco CSS 11500 Content Services Switch 用の証明書を作成して、リモート サーバにインポートする必要があります。
  • リモート サーバからの証明書を Cisco CSS 11500 Content Services Switch にインポートする必要があります。

Cisco CSS 11500 Content Services Switch と Cisco Adaptive Security Appliance(ASA)の間の証明書交換を設定します。

SSL モジュールが適切にクライアントからの SSL 通信を処理して終了し、サーバへの HTTP 接続を開始できるよう、SSL プロキシ リストに仮想 SSL サーバを定義する必要があります。

  • Cisco Adaptive Security Appliance(ASA)がポイントしている IP アドレスおよびポート番号を指定する必要があります。
  • Cisco Adaptive Security Appliance(ASA)に対して、既存の証明書の名前とキー ペアを指定する必要があります。

IM and Presence サービス ノードごとに、SSL プロキシ リスト内にバックエンド SSL サーバ エントリを作成します。

  • IM and Presence サービス ノードのアドレスを指定する必要があります。 IM and Presence サービス ノード(バックエンド サーバ)は、VIP のアドレスとは異なるサブネットに含まれている必要があります。
  • バックエンド サーバ接続には、フロントエンドと異なる TLS 暗号スイートか TCP を使用できます。
  • Cisco CSS 11500 Content Services Switch で TLS のトラフィックを受信するポートを指定する必要があります。
  • TLS のトラフィックを IM and Presence サービス ノードに送信するポートを指定する必要があります。

IM and Presence サービス ノードごとに、SSL 終了用の SSL サービスを作成します。

  • キープアライブ ポートを指定する場合、ポート番号は、バックエンド SSL サーバ エントリ用に設定したのと同じポート番号にする必要があります。
  • キープアライブ メッセージ タイプの値は「tcp」である必要があります。

SSL モジュールを作成します。

  • SSL モジュールの物理スロット番号を指定する必要があります。 CSS コマンド "show chassis" を使用して、このスロット番号を取得します。
  • SSL モジュールで、SSL サービスと IM and Presence サービス ノードを関連付けなければなりません。たとえば ssl_list1 と呼ばれる ssl-proxy-list を追加します。

Cisco Adaptive Security Appliance から IM and Presence サービス ノードに復号化データのパスを指定する内部コンテンツ ルールを作成します。

復号化とロード バランシングのために TLS データを SSL モジュールにルーティングするコンテンツ ルールを作成します。

VIP と IM and Presence サービス バックエンド ノードの間の NAT 割り当てを作成します。

IM and Presence サービスと Microsoft OCS の間で直接(Cisco Adaptive Security Appliance(ASA)なしで)Cisco CSS 11500 Content Services Switch を使用する場合は、OCS を使用して、IM and Presence サービス ノードの証明書件名共通名を IM and Presence サービスの IP アドレスに解決できることが必要です。 また、それぞれの IM and Presence サービス ノードの件名共通名が OCS ホスト承認リストに記載されている必要があります。