Cisco Unified Communications Manager Release 10.5(1)の IM and Presence サービスに対するドメイン間フェデレーション
SIP フェデレーションに関する Cisco Adaptive Security Appliance(ASA)の設定
SIP フェデレーションに関する Cisco Adaptive Security Appliance(ASA)の設定

目次

SIP フェデレーションに関する Cisco Adaptive Security Appliance(ASA)の設定


(注)  


IM and Presence サービス Release 9.0 以降では、Microsoft Lync とのドメイン間フェデレーションがサポートされています。 また IM and Presence サービス Release 9.0 以降の場合、OCS とのドメイン間フェデレーションへの参照には、別途明示的な指定がない限り、Microsoft Lync が指定されます。


Cisco Adaptive Security Appliance(ASA)のユニファイド コミュニケーション ウィザード

ご使用のドメイン間フェデレーション導入に単一の IM and Presence サービスを導入する場合は、Cisco Adaptive Security Appliance(ASA)でユニファイド コミュニケーション ウィザードを使用して、Cisco Adaptive Security Appliance(ASA)IM and Presence サービスの間のプレゼンス フェデレーション プロキシを設定できます。

ユニファイド コミュニケーション ウィザードが表示されている設定例を、次の URL にある IM and Presence サービスに関するドキュメンテーション wiki でご確認ください。

外部および内部インターフェイスの設定

Cisco Adaptive Security Appliance(ASA)で 2 つのインターフェイスを設定するには、次のようにします。

  • 1 つのインターフェイスを外部インターフェイスとして使用します。 これは、インターネットおよび外部ドメイン サーバ(例、Microsoft アクセス エッジ/アクセス プロキシ)へのインターフェイスです。

  • 2 番目のインターフェイスを内部インターフェイスとして使用します。 これは、ご使用の導入に応じて、IM and Presence サービスへのインターフェイスか、ロード バランサのインターフェイスになります。

  • インターフェイスを設定する際、イーサネットやギガビット イーサネットなどのインターフェイス タイプとインターフェイス スロットを指定する必要があります。 Cisco Adaptive Security Appliance(ASA)のスロット 0 には、4 つのイーサネット ポートまたはギガビット ポートが備わっています。 任意に、スロット 1 に SSM-4GE モジュールを追加して、スロット 1 で 4 つのギガビット イーサネット ポートを実現することもできます。

  • ルート トラフィックへのインターフェイスごとに、インターフェイス名と IP アドレスを設定する必要があります。 内部インターフェイスの IP アドレスと外部インターフェイスの IP アドレスは異なるサブネットに含まれる必要があります。つまり、異なるサブマスクがある必要があります。

  • 各インターフェイスのセキュリティ レベルは、0(最低)~ 100(最高)の間である必要があります。 セキュリティ レベル値 100 は、最もセキュアなインターフェイス(内部インターフェイス)です。 セキュリティ レベル値 0 は、最もセキュアでないインターフェイスです。 内部インターフェイスや外部インターフェイスに対してセキュリティ レベルを明示的に設定しない場合、Cisco Adaptive Security Appliance(ASA)によりデフォルトで 100 に設定されます。

  • CLI を使用して外部インターフェイスおよび内部インターフェイスを設定する方法の詳細については、『Cisco Security Appliance Command Line Configuration Guide』を参照してください。


(注)  


内部インターフェイスおよび外部インターフェイスは、ASDM 起動(ASDM startup)ウィザードを使用して設定することもできます。 また、ASDM で [Configuration(設定)] > [Device Setup(デバイス設定)] > [Interface(インターフェイス)] を選択することによってインターフェイスを表示または編集することもできます。


スタティック IP ルートの設定

Cisco Adaptive Security Appliance は、OSPF、RIP および EIGRP などのダイナミック ルーティング プロトコルとスタティック ルートを両方ともサポートしています。 本統合を実現するには、Cisco Adaptive Security Appliance の内部インターフェイスにルーティングされる IP トラフィックと、外部インターフェイスにルーティングされるトラフィックに対するネクスト ホップ アドレスを定義するスタティック ルートを設定する必要があります。 次の手順で、dest_ip マスクは接続先ネットワークの IP アドレス、gateway_ip 値はネクスト ホップのルータまたはゲートウェイのアドレスです。

Cisco Adaptive Security Appliance でデフォルト ルートおよびスタティック ルートを設定する方法の詳細については、『Cisco Security Appliance Command Line Configuration Guide(Cisco Security Appliance コマンド ライン設定ガイド)』を参照してください。

はじめる前に

外部および内部インターフェイスの設定 の手順を実行します。

手順
    ステップ 1   コンフィギュレーション モードに入ります。

    > Enable

    > <password>

    > configure terminal

    ステップ 2   次のコマンドを入力して、内部インターフェイスにスタティック ルートを追加します。

    hostname(config)# route inside dest_ip mask gateway_ip

    ステップ 3   次のコマンドを入力して、外部インターフェイスにスタティック ルートを追加します。

    hostname(config)# route outside dest_ip mask gateway_ip

    (注)     

    また、ASDM で [Configuration(設定)] > [Device Setup(デバイス設定)] > [Routing(ルーティング)] > [Static Route(スタティック ルート)] を選択することによってスタティック ルートを表示および設定することもできます。

    図 1. ASDM を介したスタティック ルートの表示




    次の作業

    Port Address Translation(PAT)

    Port Address Translation(PAT)

    本統合に必要なポート アドレス変換


    (注)  


    外部ドメインで別の IM and Presence Service のエンタープライズ導入とのフェデレーションを行う場合は、ポート アドレス変換も使用します。


    本統合を実現するため、Cisco Adaptive Security Applianceではポート アドレス変換(PAT)およびスタティック PAT を使用してメッセージ アドレス変換を行っています。 Cisco Adaptive Security Appliance では、本統合を実現するためにネットワーク アドレス変換(NAT)は使用していません。

    本統合では、PAT を使用して、IM and Presence Service から送信されたメッセージを外部ドメインに(プライベート メッセージをパブリック メッセージに)変換します。 ポート アドレス変換(PAT)とは、パケット内の実際のアドレスおよびソース ポートが接続先ネットワーク上でルーティング可能なマップされたアドレスおよび固有のポートに置換されることを意味します。 この変換方法で使用される二段階のプロセスでは、実際の IP アドレスとポートをマップされた IP アドレスとポートに変換します。戻ってくるトラフィックでは、変換が "元に戻されます"

    Cisco Adaptive Security Appliance は、IM and Presence Service のプライベート IP アドレスとポートをパブリック IP アドレスと 1 つ以上のパブリック ポートに変更することで、IM and Presence Service から外部ドメインに送信されたメッセージを(プライベート メッセージからパブリック メッセージに)変換します。 このため、ローカルの IM and Presence Service ドメインでは 1 つのパブリック IP アドレスのみを使用します。 Cisco Adaptive Security Applianceは、外部インターフェイスに NAT コマンドを割り当て、そのインターフェイスで受信された任意のメッセージの IP アドレスおよびポートを次の図に示すように変換します。
    図 2. IM and Presence Service から外部ドメインへのメッセージの PAT の例



    外部ドメインから IM and Presence Service へ送信された新しいメッセージの場合、Cisco Adaptive Security Appliance はスタティック PAT を使用して IM and Presence Service のパブリック IP アドレスとポートに送信されたメッセージを指定された IM and Presence Service ノードにマッピングします。 スタティック PAT を使用することで、実際の IP アドレスをマップされた IP アドレスに変換し、実際のポート番号をマップされたポート番号に変換できます。 実際のポート番号を同じポート番号にも異なるポート番号にも変換することができます。 この場合、ポート番号は次の図に示すように、適切な IM and Presence Service ノードを識別して、メッセージ要求を処理します。


    (注)  


    IM and Presence Service ノードにユーザが存在しない場合、IM and Presence Service ルーティング ノードはクラスタ間ルーティングを使用してメッセージをリダイレクトします。 すべての応答が、IM and Presence Service ルーティング ノードから Cisco Adaptive Security Appliance に送信されます。


    図 3. 外部ドメインから発信されたメッセージに対するスタティック PAT



    プライベートからパブリックへの要求の PAT

    本統合を実現するため、プライベート メッセージ アドレスのパブリック メッセージ アドレスへの変換には次の設定が必要になります。

    • 変換したい実際の IP アドレスおよびポート番号を識別する NAT ルールを定義します。 この場合、Cisco Adaptive Security Appliance が内部インターフェイスで受信された任意のメッセージに NAT 操作を適用するという NAT ルールを設定します。

    • 外部インターフェイスから発信されるメッセージに使用するマップされたアドレスを指定するグローバル NAT 操作を設定します。 本統合を実現するには、ただ 1 つのアドレスを指定します(PAT を使用するため)。 NAT 操作では、(内部インターフェイスで受信されたメッセージの)IP アドレスを IM and Presence Service のパブリック アドレスにマップします。

    プライベートからパブリックへの要求の PAT に、Cisco Adaptive Security Appliance Release 8.2 と 8.3 のグローバル アドレス変換コマンドの例を示します。 最初の行は、単一の IM and Presence Service の導入でも複数の IM and Presence Service の導入でも必須です。 2 番目の行は、単一の IM and Presence Service 導入のみを対象としています。 3 番目の行は、複数の IM and Presence Service の導入を対象としています。

    表 1 グローバル アドレス変換コマンドの例

    設定例

    Cisco Adaptive Security Appliance Release 8.2 グローバル コマンド

    Cisco Adaptive Security Appliance Release 8.3 グローバル コマンド

    この NAT 設定例は、内部インターフェイスに 1 つ以上の IM and Presence Service ノードがあり、それ以外のファイアウォール トラフィックがない導入で使用できます。

    global (outside) 1 public_imp_address nat (inside) 1 0 0

    object network obj_any host 0.0.0.0 nat (inside,outside) dynamic public_imp_address

    この NAT 設定例は、内部インターフェイスに 1 つの IM and Presence Service ノードとその他のファイアウォール トラフィックがある導入で使用できます。

    global (outside) 1 public_imp_address nat (inside) 1 private_imp_address 255.255.255.255 global (outside) 2 interface nat (inside) 2 0 0

    host private_imp_address nat (inside,outside) dynamic public_imp_address

    object network my_inside subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface

    この NAT 設定例は、内部インターフェイスに複数の IM and Presence Service ノードとその他のファイアウォール トラフィックがある導入で使用できます。

    global (outside) 1 public_imp_ip nat (inside) 1 private_imp_net private_imp_netmask

    global (outside) 2 interface nat (inside) 2 0 0

    object network obj_private_subnet.0_255.255.255.0 subnet private_subnet 255.255.255.0 nat (inside,outside) dynamic public_imp_address

    object network my_inside subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface


    (注)  


    プライベートからパブリックへの要求の PATで最後の行に示した設定例では、Cisco Adaptive Security Appliance の背後に複数の IM and Presence Service ノードがある場合に、これらの IM and Presence Service ノードがすべて同じサブネットに含まれることを想定しています。 具体例を挙げると、すべての内部 IM and Presence Service ノードが 2.2.2.x/24 ネットワーク内にある場合、NAT コマンドは nat (inside) 1 2.2.2.0 255.255.255.0 となります。


    新規要求に対するスタティック PAT

    本統合を実現するため、プライベート メッセージ アドレスのパブリック メッセージ アドレスへの変換には次の設定が必要になります。

    • TCP でポート 5060、5061、5062 および 5080 に対してスタティック PAT コマンドを設定します。

    • UDP でポート 5080 に対して別のスタティック PAT コマンドを設定します。

    本統合で使用するポートの説明は、次のとおりです。

    • 5060:このポートは、Cisco Adaptive Security Appliance で一般的な SIP 検査を行うために使用されます。

    • 5061:このポートに SIP 要求が送信され、それによって TLS ハンドシェイクがトリガーされます。

    • 5062、5080:これらのポートは、IM and Presence Service により SIP VIA/CONTACT ヘッダー内で使用されます。


    (注)  


    IM and Presence Service のピア認証リスナーを確認するには、Cisco Unified CM IM and Presence Administration にログインし、[System(システム)] > [Application Listeners(アプリケーション リスナー)] を選択します。


    ASDM での NAT ルール

    ASDM で NAT ルールを表示するには、[Configuration(設定)] > [Firewall(ファイアウォール)] > [NAT Rules(NAT ルール)] を選択します。 次の図に示されている最初の 5 つの NAT ルールはスタティック PAT エントリで、最後のダイナミック エントリはすべての発信トラフィックをパブリック IM and Presence Service IP アドレスおよびポートにマップする発信 PAT 設定です。

    図 4. ASDM での NAT ルールの表示

    スタティック PAT コマンドの例


    (注)  


    この項では、Cisco Adaptive Security Appliance Release 8.3 および Release 8.2 のコマンドの例を示します。 これらのコマンドは、フェデレーション用に Cisco Adaptive Security Appliance の新規設定を行う場合に実行する必要があります。


    IM and Presence サービス ノードをルーティングするための PAT 設定

    次の表に、ピア認証リスナー ポートが 5062 の場合に IM and Presence Service ノードをルーティングするための PAT コマンドを示します。


    (注)  


    Cisco Adaptive Security Appliance 8.3 設定の場合、オブジェクトは一度定義するだけで複数のコマンド内で参照できます。同じオブジェクトを何度も定義する必要はありません。


    表 2 IM and Presence Service ノードをルーティングするための PAT コマンド

    Cisco Adaptive Security Appliance Release 8.2 のスタティック コマンド

    Cisco Adaptive Security Appliance Release 8.3 の NAT コマンド

    static (inside,outside) tcp public_imp_ip_address 5061 routing_imp_private_address 5062 netmask 255.255.255.255

    ルーティングする IM and Presence Service のピア認証リスニング ポートが 5061 の場合は、次のコマンドを使用します。

    static (inside,outside) tcp public_imp_ip_address 5061 routing_imp_private_address 5061 netmask 255.255.255.255

    static (inside,outside) tcp public_imp_ip_address 5080 routing_imp_private_address 5080 netmask 255.255.255.255

    static (inside,outside) tcp public_imp_ip_address 5060 routing_imp_private_address 5060 netmask 255.255.255.255

    object network obj_host_public_imp_ip_address (for example object network obj_host_10.10.10.10) #host public_imp_ip_address

    object network obj_host_routing_imp_private_address host routing_imp_private_address

    object service obj_tcp_source_eq_5061 service tcp source eq 5061

    object service obj_tcp_source_eq_5062 service tcp source eq 5062

    nat (inside,outside) source static obj_host_routing_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5062 obj_tcp_source_eq_5061

    ルーティングする IM and Presence Service のピア認証リスニング ポートが 5061 の場合は、次のコマンドを使用します。

    nat (inside,outside) source static obj_host_routing_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5061 obj_tcp_source_eq_5061

    object service obj_tcp_source_eq_5080 service tcp source eq 5080 nat (inside,outside) source static obj_host_routing_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5080 obj_tcp_source_eq_5080

    object service obj_tcp_source_eq_5060 service tcp source eq 5060

    (注)     

    5060 はサービス オブジェクト内では "sip" と表示されます。

    nat (inside,outside) source static obj_host_routing_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5060 obj_tcp_source_eq_5060

    static (inside,outside) tcp public_imp_ip_address 5062 routing_imp_private_address 5062 netmask 255.255.255.255

    nat (inside,outside) source static obj_host_routing_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5062 obj_tcp_source_eq_5062

    クラスタ間またはクラスタ内 IM and Presence Service ノードの PAT 設定

    マルチノードまたはクラスタ間の IM and Presence Service の導入で IM and Presence Service クラスタ内の非ルーティング ノードが直接 Cisco Adaptive Security Appliance と通信する場合、これらのノードごとにスタティック PAT コマンドのセットを設定する必要があります。 次にリストするコマンドは、単一のノードに対して設定する必要があるスタティック PAT コマンドのセットの例です。

    任意のポートを使用できますが、未使用のポートである必要があります。 対応する番号を選択することを推奨します。たとえば、5080 の場合は、未使用の任意のポート X5080 を使用します。ここで、X は IM and Presence Service クラスタ間またはクラスタ内サーバに固有にマップされている番号に相当します。 例を挙げると、45080 は特定のノードに固有にマップされており、55080 は別のノードに固有にマップされています。

    次の表に、非ルーティング IM and Presence Service ノードに対する NAT コマンドを示します。 非ルーティング IM and Presence Service ノードごとにコマンドを繰り返します。


    (注)  


    Cisco Adaptive Security Appliance 8.3 設定の場合、オブジェクトは一度定義するだけで複数のコマンド内で参照できます。同じオブジェクトを何度も定義する必要はありません。


    表 3 非ルーティング IM and Presence Service ノードに対する NAT コマンド

    Cisco Adaptive Security Appliance Release 8.2 のスタティック コマンド

    Cisco Adaptive Security Appliance Release 8.3 の NAT コマンド

    static (inside,outside) tcp public_imp_address 45062 intercluster_imp_private_address 5062 netmask 255.255.255.255

    クラスタ間 IM and Presence Service のピア認証リスニング ポートが 5061 の場合は、次のコマンドを使用します。

    static (inside,outside) tcp public_imp_address 45061 intercluster_imp_private_address 5061 netmask 255.255.255.255

    object network obj_host_intercluster_imp_private_address host intercluster_imp_private_address

    object service obj_tcp_source_eq_45062 service tcp source eq 45062

    nat (inside,outside) source static obj_host_intercluster_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5062 obj_tcp_source_eq_45062

    クラスタ間 IM and Presence Service のピア認証リスニング ポートが 5061 の場合は、次のコマンドを使用します。

    object service obj_tcp_source_eq_45061 service tcp source eq 45061 nat (inside,outside) source static obj_host_intercluster_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5061 obj_tcp_source_eq_45061

    static (inside,outside) tcp public_imp_ip_address 45080 intercluster_imp_private_address 5080 netmask 255.255.255.255

    object service obj_tcp_source_eq_45080 service tcp source eq 45080 nat (inside,outside) source static obj_host_intercluster_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5080 obj_tcp_source_eq_45080

    static (inside,outside) tcp public_imp_ip_address 45060 intercluster_imp_private_address 5060 netmask 255.255.255.255

    object service obj_tcp_source_eq_45060 service tcp source eq 45060 nat (inside,outside) source static obj_host_intercluster_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5060 obj_tcp_source_eq_45060

    既存の導入に対する Cisco Adaptive Security Appliance(ASA)アップグレード オプション

    Cisco Adaptive Security Appliance(ASA)の Release 8.2 を Release 8.3 にアップグレードすると、Cisco Adaptive Security Appliance(ASA)では既存のコマンドがシームレスに移行されます。


    (注)  


    IM and Presence サービス Release 9.0 にアップグレードした場合は、Cisco Adaptive Security Appliance(ASA)に管理されている IM and Presence サービス 9.0 ノードごとに、Cisco Adaptive Security Appliance(ASA)のポート 5080 をオープンする必要があります。 これは、Cisco Adaptive Security Appliance(ASA)もアップグレードしたかどうかには無関係です。


    既存のフェデレーション導入で IM and Presence サービスと Cisco Adaptive Security Appliance(ASA)の両方をアップグレードする場合は、次のいずれかのアップグレード手順を使用してください。

    アップグレード手順オプション 1:
    1. IM and Presence サービスをリリース 9.0 にアップグレードします。

    2. Cisco Adaptive Security Appliance(ASA)のポート 5080 に NAT ルールを設定します。

    3. IM and Presence サービス のアップグレード後にフェデレーションが導入で機能していることを確認します。

    4. Cisco Adaptive Security Appliance(ASA)を リリース 8.3 にアップグレードします。

    5. Cisco Adaptive Security Appliance(ASA) のアップグレード後にフェデレーションが導入で機能していることを確認します。

    アップグレード手順オプション 2:
    1. IM and Presence サービス ノードを Release 9.0、Cisco Adaptive Security Appliance(ASA)を Release 8.3 にそれぞれアップグレードします。

    2. 両方のアップグレード後、Cisco Adaptive Security Appliance(ASA)のポート 5080 に NAT ルールを設定します。

    3. フェデレーションが導入で機能していることを確認します。

    Cisco Adaptive Security Appliance(ASA)に管理されているすべての IM and Presence サービス Release 9.0 ノードに対してポート 5080 をオープンするには、必要なコマンドがあります。

    表 4 ポート 5080 への Cisco ASA コマンド

    Cisco Adaptive Security Appliance(ASA)Release 8.2 のスタティック コマンド

    Cisco Adaptive Security Appliance(ASA)Release 8.3 の NAT コマンド

    static (inside,outside) tcp public_imp_ip_address 5080 routing_imp_private_address 5080 netmask 255.255.255.255

    static (inside,outside) tcp public_imp_ip_address 45080 intercluster_imp_private_address 5080 netmask 255.255.255.255

    (注)     

    クラスタ間 IM and Presence サービス 9.0 ノードごとにこれらのコマンドを設定し、サーバごとに異なる任意のポートを使用します。

    object service obj_tcp_source_eq_5080 # service tcp source eq 5080

    nat (inside,outside) source static obj_host_routing_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5080 obj_tcp_source_eq_5080

    object service obj_tcp_source_eq_45080 # service tcp source eq 45080

    nat (inside,outside) source static obj_host_intercluster_imp_private_address obj_host_public_imp_ip_address service obj_tcp_source_eq_5080 obj_tcp_source_eq_45080

    (注)     

    クラスタ間 IM and Presence サービス 9.0 ノードごとにこれらのコマンドを設定し、サーバごとに異なる任意のポートを使用します。