グローバル最適化機能の有効化と無効化
グローバル最適化機能は、デバイスまたはデバイス グループで、トラフィック フロー最適化(TFO)、データ冗長性除去(DRE)、および永続的圧縮を有効にするかどうかを決定します。デフォルトで、これらの機能は、すべて有効です。これらの機能の 1 つを無効にすると、デバイスは、それが代行受信するトラフィックに完全な WAAS 最適化手法を適用できなくなります。
さらに、グローバル最適化機能には、EPM、HTTP、ICA、MAPI、NFS、SMB、および SSL の各アプリケーション アクセラレータが含まれます。デフォルトで、すべてのアプリケーション アクセラレータは有効です。アプリケーション アクセラレータには、動作するための特定のライセンスも必要です。ライセンスのインストールについては、第 10 章「その他のシステム設定の構成」のソフトウェア ライセンスの管理を参照してください。
すべてのアプリケーション アクセラレータが動作するには、WAN リンクのどちらか一方の側にあるピア WAE の両方でアクセラレータを有効化する必要があります。
グローバル最適化機能を有効または無効にするには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [Enabled Features] を選択します。
[Enabled Features] ウィンドウが表示されます。
(注) WAAS Express デバイスでは、標準機能の一部のみを使用できます。ISR-WAAS デバイスでは、SMB アプリケーション アクセラレータはデフォルトで有効になっています。デバイス グループの [Enabled Features] ウィンドウに、1 つは ISR-WAAS デバイス用、1 つは他のあらゆる種類の WAE 用の 2 つの SMB アクセラレーションのオプションが表示されます。
WAAS Express の場合、アプリケーション アクセラレータの次の Express バージョンがサポートされます。
アプリケーション アクセラレータの WAAS Express バージョンにおいて、標準 WAAS デバイスのすべてのプロパティが使用できるわけではありません。
(注) サポートされていない WAAS Express デバイスで DRE を有効にしようとすると、サポートされていないことを示すメッセージが表示されます。
WAAS Express の [Restore Predefined Settings] アイコンは、HTTP/HTTPS、および SSL 暗号リストと SSL ピアリング サービスの定義済み設定に適用できます。
ステップ 3 有効にする最適化機能の横にあるチェックボックスを選択し、無効にする機能の横にあるチェックボックスの選択を解除します。各最適化機能の説明については、第 1 章「Cisco WAAS の概要」のCisco WAAS の主なサービスを参照してください。
一部の機能には、設定名の横にあるリンクをクリックして実行できる追加設定があります。リンクの隣の小さなターゲット アイコンの上にカーソルを置いて、現在の設定を示すダイアログ ボックスを表示します。
- [Data Redundancy Elimination] チェックボックスを選択した場合、[DRE Settings Configuration] ウィンドウへのショートカットとして [DRE Settings] リンクをクリックできます。詳細については、DRE の設定を参照してください。
- [HTTP Accelerator] チェックボックスを選択した場合、[HTTP/HTTPS Settings] ウィンドウへのショートカットとして [HTTP Settings] リンクをクリックできます。詳細については、HTTP アクセラレーションの設定を参照してください。
- [ICA Accelerator] チェックボックスを選択した場合、[ICA Acceleration Configuration] ウィンドウへのショートカットとして [ICA Settings] リンクをクリックできます。詳細については、ICA アクセラレーションの設定を参照してください。
- [MAPI Accelerator] チェックボックスを選択した場合、[MAPI Settings] ウィンドウへのショートカットとして [MAPI Settings] リンクをクリックできます。詳細については、MAPI アクセラレーションの設定を参照してください。
(注) [MAPI Accelerator] チェックボックスを選択すると、[Encrypted MAPI Traffic Optimization] がデフォルトで有効になります。
- [Encrypted MAPI Traffic Optimization] チェックボックスを選択した場合、[Encrypted Services Configuration] ウィンドウへのショートカットとして [Mandatory Encryption Configuration] リンクをクリックできます。詳細については、暗号化 MAPI アクセラレーションの設定を参照してください。
(注) 暗号化された MAPI アクセラレーションを有効にするためには、MAPI アクセラレーションを最初に有効にする必要があります。
- [SMB Accelerator] チェックボックスを選択した場合、[SMB Acceleration Configuration] ウィンドウへのショートカットとして [SMB Settings] リンクをクリックできます。詳細については、SMB アクセラレーションの設定を参照してください。
- [SSL Accelerator] チェックボックスを選択した場合、SSL アクセラレーションを有効にするには、追加設定を実行する必要があります。詳細については、SSL アクセラレーションの設定を参照してください。
ステップ 4 オブジェクト キャッシュを有効にするには、[Object Cache Settings] セクションで、[Object Cache] チェックボックスを選択します。
WAAS は、クライアント アプリケーションによる SMB ファイル アクセスのパフォーマンスを向上させるために、オブジェクト キャッシングを実行します。また、オブジェクト キャッシングは、WAN でのデータ転送の繰り返しを防止することにより、WAN での帯域幅および遅延を最小限に抑えます。
個々のアプリケーション アクセラレータ オブジェクト キャッシュを有効にするには、次のガイドラインに従います。
- 個々のオブジェクト キャッシュを有効または無効にするためのコントロールが、そのアプリケーション アクセラレータの [Advanced Settings] 画面に表示されます。
(注) オブジェクト キャッシュと個々のアプリケーション アクセラレータ オブジェクト キャッシュが正常に動作していることを確認するには、次のガイドラインに留意してください。
- 各アプリケーション アクセラレータ オブジェクト キャッシュは、グローバル オブジェクト キャッシュが有効または無効のどちらであるかには関係なく、有効または無効にすることができます。
- オブジェクト キャッシュを有効にしても、個々のアプリケーション アクセラレータ オブジェクト キャッシュが自動的に有効になるわけではありません。
- 個々のアプリケーション アクセラレータ オブジェクト キャッシュは、関連付けられたアプリケーション アクセラレータが有効または無効のどちらであるかには関係なく、有効または無効にすることができます。
- オブジェクト キャッシュを有効にする前に、オブジェクト キャッシュに対してディスク割り当てが行われていることを確認してください。
- オブジェクト キャッシュには 15 GB に制限されています。この制限より大きいサイズの要求では、ファイル全体はキャッシュされません。たとえば、ファイル サイズが 25 GB の場合、このファイルのうち 15 GB のみがキャッシュされます。
(注) オブジェクト キャッシュと SMB アプリケーション アクセラレータを正常に動作させるために、SMB アプリケーション アクセラレータを有効にする前にオブジェクト キャッシュを有効にしてください。
ステップ 5 [Advanced Settings] の領域では、[Blacklist Operation] 機能を無効にする場合、このチェックボックスの選択を解除します。この機能により、WAE は、オプションのある TCP 設定パケットがブロックされるか、または WAE デバイスに戻らない状況に対し、よりよい対処を行うことができます。この動作は、オプションのある TCP 設定パケットをブロックするネットワーク デバイス(ファイアウォールなど)および非対称ルートにより発生する可能性があります。WAE はオプションのある TCP パケットを受信できない元のサーバ(ファイアウォールの後ろにあるサーバなど)を追跡できるので、オプションのある TCP パケットをこれらのブラックリスト サーバに送信しないことを学習します。WAAS は、オプションのある TCP パケットが削除される状況においても、ブランチ WAE とデータセンター WAE 間のトラフィックを加速できます。この機能を有効のままにしておくことを推奨します。
ステップ 6 60 分のデフォルトのブラックリスト サーバ アドレス保持時間を変更する場合は、[Blacklist Server Address Hold Time] フィールドに、新しい時間(分)を入力します。有効な範囲は、1 ~ 10080 分(1 週間)です。
サーバ IP アドレスがブラックリストに追加されると、そのアドレスは設定された保持時間の間ブラックリストに残ります。この時間の経過後、以降の接続時にも、サーバが受信できるかどうかを WAE が再確認できるように、TCP オプションが含まれます。ネットワーク パケットの損失により、サーバが誤ってブラックリストに載せられる可能性があるため、TCP オプションの送信を定期的に再試行することは有用です。
[Blacklist Server Address Hold Time] フィールドを変更することにより、ブラックリスト時間を短くしたり長くしたりできます。
ステップ 7 [Submit] をクリックします。
変更がデバイスまたはデバイス グループに保存されます。
CLI から、TFO 最適化、DRE、および永続的圧縮を設定するには、 tfo optimize グローバル コンフィギュレーション コマンドを使用します。
CLI から EPM アクセラレーションを設定するには、 accelerator epm グローバル コンフィギュレーション コマンドを使用します。
CLI から HTTP アクセラレーションを設定するには、 accelerator http グローバル コンフィギュレーション コマンドを使用します。
CLI から ICA アクセラレーションを設定するには、 accelerator ica グローバル コンフィギュレーション コマンドを使用します。
CLI から MAPI アクセラレーションを設定するには、 accelerator mapi グローバル コンフィギュレーション コマンドを使用します。
CLI から NFS アクセラレーションを設定するには、 accelerator nfs グローバル コンフィギュレーション コマンドを使用します。
CLI から SMB アクセラレーションを設定するには、 accelerator smb グローバル コンフィギュレーション コマンドを使用します。
CLI から SSL アクセラレーションを設定するには、 accelerator ssl グローバル コンフィギュレーション コマンドを使用します。
CLI からグローバル オブジェクト キャッシュを設定するには、object-cache enable グローバル コンフィギュレーション コマンドを使用します。
オブジェクト キャッシュを有効にすると、ディスクがまだオブジェクト キャッシュ用にパーティション分割されていない場合は SMB リソースを別の目的のために再利用することを確認するプロンプトが表示されます。
初めてオブジェクト キャッシュにディスク リソースを割り当てる場合、ディスク パーティション分割は次のリブート時まで有効にならないため、object-cache enable コマンドではデバイスをリブートするように促されます。その後設定が保存され、次のリブート時にオブジェクト キャッシュを再度有効にする必要はありません。
(注) object-cache enable コマンドが正常に終了したことを確認するには、次の 2 つの条件を確認します。
- このコマンドを使用する前にオブジェクト キャッシュに対するディスク割り当てが行われている。
- accelerator smb グローバル コンフィギュレーション コマンドを使用する前にこのコマンドを使用する。
指定されたアプリケーション アクセラレータ オブジェクト キャッシュを有効にするには、accelerator ao-name object-cache enable グローバル コンフィギュレーション コマンドを使用します。
(注) 各アプリケーション アクセラレータ オブジェクト キャッシュおよびグローバル オブジェクト キャッシュが正常に機能していることを確認するには、以下のガイドラインに注意してください。
- 各アプリケーション アクセラレータ オブジェクト キャッシュは、グローバル オブジェクト キャッシュが有効または無効のどちらであるかには関係なく、有効または無効にすることができます。
- no object-cache enable グローバル コンフィギュレーション コマンドを使用してグローバル オブジェクト キャッシュを無効にする前に、個々のアプリケーション アクセラレータ オブジェクト キャッシュをすべて無効にする必要があります。
- object-cache enable グローバル コンフィギュレーション コマンドは、自動的には個々のアプリケーション アクセラレータ オブジェクト キャッシュを有効にしません。
- 個々のアプリケーション アクセラレータ オブジェクト キャッシュは、関連付けられたアプリケーション アクセラレータが有効または無効のどちらであるかには関係なく、有効または無効にすることができます。
CLI から Blacklist Operation 機能を設定するには、 tfo auto-discovery グローバル コンフィギュレーション コマンドを使用します。
CLI からアプリケーション アクセラレータのステータスと統計情報を表示するには、 show accelerator および show statistics accelerator EXEC コマンドを使用します。
SMB プリント アクセラレータの統計情報を表示するには、 show statistics accelerator smb EXEC コマンドを使用します。
各アプリケーション アクセラレータを設定する詳細については、次の項を参照してください。
DRE の設定
DRE 設定を有効にするには、[Enabled Features] ウィンドウで [Data Redundancy Elimination] チェックボックスを選択します。
DRE の自動バイパスと負荷モニタを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [DRE Settings] を選択します。
[DRE Settings] ウィンドウが表示されます。
ステップ 3 アラーム、および DRE 自動バイパス アプリケーション トラフィックを生成するには、[Enable DRE auto bypass] チェックボックスを選択します。
ステップ 4 負荷レポートを有効にするには、[Enable DRE Load Monitor] チェックボックスを選択します。
- [disk latency maximum] は 1 ~ 1000 の範囲で設定できます。デフォルト値は 5 です。
- [DRE load threshold] は 50 ~ 99 の範囲で設定できます。デフォルト値は 95 です。
ステップ 5 [Submit] をクリックします。
変更がデバイスまたはデバイス グループに保存されます。
CLI から DRE 自動バイパスを有効にするには、dre auto-bypass enable グローバル コンフィギュレーション コマンドを使用します。
CLI から DRE 負荷モニタを有効にするには、 dre load-monitor report グローバル コンフィギュレーション コマンドを使用します。
HTTP アクセラレーションの設定
HTTP アプリケーション アクセラレータは、HTTP トラフィックを加速します。HTTPS を最適化するには、SSL と HTTP の両方を有効にし、プロトコル チェーンも有効にする必要があります。
デフォルトの Web 最適化ポリシーでは、トラフィックを HTTP アクセラレータに送信することが定義されています。Web 最適化ポリシーは、HTTP クラス マップを使用し、これはポート 80、8080、8000、8001、および 3128 上のトラフィックと一致します。他のポート上でも HTTP トラフィックが存在すると予測される場合は、HTTP クラス マップにそのポートを追加します。
HTTP アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[HTTP Accelerator] チェックボックスを選択します。
HTTP アクセラレーション設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [HTTP/HTTPS Settings] を選択します。
[HTTP Acceleration Settings] ウィンドウが表示されます(図 12-1)。
(注) WAAS Express の場合、HTTP アクセラレーション設定は同じですが、[HTTP/HTTPS Settings] ウィンドウのフィールドの配置が異なります。
図 12-1 [HTTP Acceleration Settings] ウィンドウ
ステップ 3 [Enable HTTP metadatacache caching] チェックボックスを選択して、WAE による HTTP ヘッダー(メタデータ)情報のキャッシングを有効にします。デフォルト設定では、有効になっています。
[Metadata Cache Settings] 内のその他の設定を有効にするには、このチェックボックスを選択する必要があります。このチェックボックスがオンになっていない場合は、ヘッダーのキャッシングは一切行われません。
HTTP メタデータのキャッシングの詳細については、HTTP メタデータ キャッシングについてを参照してください。
ステップ 4 [Enable HTTPS metadatacache caching] チェックボックスを選択して、WAE による HTTPS ヘッダー(メタデータ)情報のキャッシングを有効にします(SSL トラフィックのペイロードとしての HTTP)。デフォルト設定では、有効になっています。
HTTP メタデータのキャッシングの詳細については、HTTP メタデータ キャッシングについてを参照してください。
ステップ 5 [Maximum age of a Cache entry] フィールドに、HTTP ヘッダー情報をキャッシュ内に保持する最大秒数を入力します。デフォルトは 86400 秒(24 時間)です。有効な期間の範囲は 5 ~ 2592000 秒(30 日)です。
ステップ 6 [Minimum age of a Cache entry] フィールドに、HTTP ヘッダー情報をキャッシュ内に保持する最小秒数を入力します。デフォルトは 60 秒です。有効な期間の範囲は 5 ~ 86400 秒(24 時間)です。
ステップ 7 [Enable local HTTP 301 redirect messages] チェックボックスを選択して、WAE によるキャッシングと、HTTP 301 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。
ステップ 8 [Enable local HTTP 401 Authentication-required messages] チェックボックスを選択して、WAE によるキャッシングと、HTTP 401 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。
ステップ 9 [Enable local HTTP 304 Not-Modified messages] チェックボックスを選択して、WAE による HTTP 200 および 304 メッセージのキャッシングと、HTTP 304 メッセージのローカルでのサービスを有効にします。デフォルト設定では、有効になっています。
ステップ 10 メタデータのキャッシングが適用される特定のファイル拡張子を設定するには、右端にある [File extension filters] フィールドにファイル拡張子を入力します。複数の拡張子をカンマで区切り(たとえば、jpeg, gif, png)、ファイル拡張子の先頭にはドット(.)を付けないでください。
デフォルトでは、ファイル拡張子フィルタが定義されないため、メタデータのキャッシングがすべてのファイル タイプに適用されます。
ステップ 11 [Enable Pre-fetch Optimization] チェックボックスを選択して、エッジ WAAS デバイスにデータのプリフェッチを許可します。この設定はデフォルトでは有効になっていません。
この最適化は、Web ブラウザ ベースの Microsoft Office アプリケーションが Microsoft SharePoint Server 2010 でホストされる Microsoft Office ドキュメント(MS Word、Excel のみ)にアクセスするときに便利です。Word ドキュメントについては、クライアントに Microsoft Silverlight がインストールされている必要があります。
このチェックボックスを選択すると、エッジ WAAS デバイスに対して、クライアントがドキュメントの後続ページを実際に要求する前にそれらのページを SharePoint サーバからプリフェッチし、クライアントからの要求が到着したらキャッシュから提供するように指示します。コンテンツがロードされるのを待たずに、ドキュメントをシームレスにスクロールすることができます。
(注) SharePoint のプリフェッチの最適化はブラウザ モードの表示でのみ機能します。
ステップ 12 [Suppress server compression for HTTP and HTTPS] チェックボックスを選択して、クライアントとサーバの間のサーバ圧縮を抑制するように WAE を設定します。デフォルト設定では、有効になっています。
このチェックボックスを選択することにより、WAE に HTTP および HTTPS 要求ヘッダーから Accept-Encoding 値を削除するように指示して、Web サーバがクライアントに送信する HTTP および HTTPS データを圧縮しないようにできます。これにより、WAE はその独自の圧縮を HTTP および HTTPS データに適用できるようになります。通常は、ほとんどのファイルについて、Web サーバが行うよりもはるかに圧縮率が高くなります。ほとんど変化のない一部のファイル タイプ(.css ファイルや.js ファイルなど)については、この設定は無視され、Web サーバによる圧縮が許可されます。
ステップ 13 [Enable DRE Hints for HTTP and HTTPS] チェックボックスを選択することにより、DRE パフォーマンスを向上させるために DRE ヒントを DRE モジュールに送信します。DRE ヒント機能は、デフォルトで有効になっています。
ステップ 14 [Submit] をクリックします。
変更がデバイスまたはデバイス グループに保存されます。
CLI から HTTP アクセラレーションを設定するには、 accelerator http グローバル コンフィギュレーション コマンドを使用します。
メタデータ キャッシュの内容を表示するには、 show cache http-metadatacache EXEC コマンドを使用します。
メタデータ キャッシュをクリアするには、 clear cache http-metadatacache EXEC コマンドを使用します。
特定のクライアントまたは IP サブセットに対して特定の HTTP アクセラレータ機能を有効または無効にするには、HTTP サブネット機能を使用します。詳細については、HTTP アクセラレータ サブネットの使用を参照してください。
HTTP メタデータ キャッシングについて
メタデータ キャッシング機能を使用すると、ブランチ WAE の HTTP アクセラレータで特定のサーバ応答をキャッシュし、クライアントにローカルに応答することができます。次のサーバ応答メッセージがキャッシングされます。
- HTTP 200 OK (If-None-Match 要求および If-Modified-Since 要求に適用される)
- HTTP 301 redirect
- HTTP 304 not modified (If-None-Match 要求および If-Modified-Since 要求に適用される)
- HTTP 401 authentication required
次の場合には、メタデータ キャッシングは適用されません。
- RFC 標準に準拠していない要求と応答
- 255 文字を超える URL
- cookie ヘッダーを持つ 301 および 401 応答
- HEAD メソッドの使用
- パイプライン化されたトランザクション
(注) メタデータ キャッシング機能は、WAAS バージョン 4.2.1 で導入されましたが、バージョン 4.2.1 が必要になるのはブランチ オフィスの WAE でだけです。この機能は、もっと低いバージョンのデータセンター WAE 上の HTTP アクセラレータとも相互運用性があります。
HTTP アクセラレータ サブネットの使用
HTTP アクセラレータ サブネット機能を使用すると、ACL を使用して特定の IP サブネットに対して特定の HTTP 最適化機能を選択して有効または無効にすることができます。この機能は、HTTP 最適化(HTTP メタデータ キャッシング、HTTPS メタデータ キャッシング、DRE ヒント、サーバ圧縮の抑制)に適用できます。
IP サブネットを定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用します。サブネット設定の詳細については、『 Cisco Wide Area Application Services Command Reference 』でこのコマンドを参照してください。標準 ACL と拡張 ACL の両方を使用できます。
HTTP アクセラレータ機能のサブネットを設定するには、次の手順を実行します。
ステップ 1 使用するすべての HTTP アクセラレータ機能に対してグローバル コンフィギュレーションを有効にします。
ステップ 2 トラフィックのサブネットに使用する IP アクセス リストを作成します。
WAE(config)# ip access-list extended md_acl
WAE(config-ext-nacl)# permit ip 1.1.1.0 0.0.0.255 any
WAE(config-ext-nacl)# permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
WAE(config-ext-nacl)# exit
ステップ 3 ACL を特定の HTTP アクセラレータ機能に関連付けます。ACL と HTTP アクセラレータ機能の関連付けについては、『 Cisco Wide Area Application Services Command Reference 』で accelerator http グローバル コンフィギュレーション コマンドを参照してください。
WAE(config)# accelerator http metadatacache access-list md_acl
この例では、HTTP メタデータ キャッシュ機能が、拡張アクセス リスト md_acl で指定された条件と一致するすべての接続に適用されます。
次の例では、HTTP suppress-server-encoding 機能が、標準アクセス リスト 10 で指定された条件と一致するすべての接続に適用されます。
WAE(config)# ip access-list standard 10
WAE(config-std-nacl)# permit 1.1.1.0 0.0.0.255
WAE(config-std-nacl)# exit
WAE(config)# accelerator http suppress-server-encoding accesslist 10
ACL が関連付けられていない機能(この例では、DRE ヒントと HTTPS メタデータ キャッシュ)の場合、グローバル コンフィギュレーションが使用され、それらの機能をすべての接続に適用できます。
MAPI アクセラレーションの設定
MAPI アプリケーション アクセラレータは、Messaging Application Programming Interface(MAPI)プロトコルを使用する Microsoft Outlook Exchange トラフィックを加速させます。
- バージョンが 5.3.x よりも後の WAAS では、Microsoft Outlook 2000 ~ 2013 のクライアントをサポートします。
- バージョンが 5.2.x よりも前の WAAS では、Microsoft Outlook 2000 ~ 2010 のクライアントをサポートします。
クライアントは、キャッシュ モードまたは非キャッシュ モードのいずれかの Outlook で設定できます。いずれのモードも加速されます。
メッセージ認証(署名)を使用するセキュア接続は、加速されません。また、MAPI over HTTP は加速されません。
(注) Microsoft Outlook 2007 および 2010 では、デフォルトで暗号化が有効です。MAPI アプリケーション アクセラレータを利用するには、暗号化を無効にする必要があります。
MAPI アプリケーション アクセラレータが動作するには、EPM アプリケーション アクセラレータを有効にする必要があります。EPM は、デフォルトで有効です。さらに、システムでは、タイプ EPM の最適化ポリシーを定義し、MAPI UUID を指定して、MAPI の [Accelerate] 設定を行う必要があります。このポリシー(E メールとメッセージング アプリケーション用の MAPI)は、デフォルトで定義されます。
MAPI など、EPM トラフィックでは通常定義済みのポートを使用しません。Outlook 管理者が標準的ではない方法でスタティック ポートを使用するように Outlook を設定している場合、Outlook 用に設定されたスタティック ポートと一致するクラス マップで MAPI トラフィックを加速する新しい基本最適化ポリシーを作成する必要があります。
(注) WAE が接続により過負荷状態になると、MAPI アプリケーション アクセラレータは、内部的に予約されている接続リソースを使用して MAPI 接続の高速化を続けます。予約されていたリソースも使い果たすと、接続リソースに空きができるまで、新しい MAPI 接続はパススルーされます。
MAPI アクセラレータを有効化するには、[Enabled Features] セクションで、[MAPI Accelerator] チェックボックスを選択します。
(注) MAPI アクセラレーションを有効化すると、暗号化された MAPI アクセラレーションはデフォルトで有効になります。
MAPI アクセラレーション設定を構成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [MAPI Settings] を選択します。
[MAPI Acceleration Settings] ウィンドウが表示されます(図 12-2)。
図 12-2 [MAPI Acceleration Settings] ウィンドウ
ステップ 3 [Reserved Pool Size Maximum Percent] フィールドに、TFO の過負荷時の MAPI 最適化用に予約される最大接続数を制限するための、最大接続割合を入力します。プラットフォームの TFO 接続制限に対する割合で指定します。有効な割合の範囲は 5 ~ 50 パーセントです。デフォルトは 15% です。この場合、MAPI アクセラレータで最適化されるクライアントとサーバの間のアソシエーション グループ(AG)ごとに約 0.5 の接続が予約されます。
クライアントは、接続するサーバごとに少なくとも 1 つの AG を維持し、AG あたり約 3 つの接続が平均で使用されます。AG あたりの平均接続数がそれよりも多い、または TFO の過負荷が頻繁に発生する配置では、予約されるプール サイズの最大割合により大きい値を指定することを推奨します。
デバイスが TFO 過負荷になっていない場合は、予約された接続が使用されないままになっています。予約された接続は、AG が終了すると解放されます。
ステップ 4 [Submit] をクリックします。
変更がデバイスまたはデバイス グループに保存されます。
暗号化 MAPI アクセラレーションの設定
暗号化 MAPI アクセラレーション機能は、ドメイン内のクライアントまたはサーバ、またはその両方の認証に Microsoft Kerberos セキュリティ プロトコルおよび Microsoft Windows Active Directory アイデンティティを使用して、セキュア MAPI アプリケーション プロトコルの WAN 最適化を行います。
(注) 暗号化された MAPI アクセラレーションを有効にするためには、MAPI アクセラレーションを最初に有効にする必要があります。暗号化された MAPI アクセラレーションはデフォルトで有効です。
ここでは、次の内容について説明します。
暗号化 MAPI 設定のワークフロー
暗号化 MAPI トラフィック アクセラレーションを設定するには、 表 12-1 に示す作業を完了します。必要がない(またはオプション)と指定されていない限り、これらのタスクはデータセンターとブランチ オフィスの WAE の両方で実行する必要があります。
表 12-1 暗号化 MAPI 設定のタスク
|
|
DNS 設定を行う。 |
DNS 設定を構成するには、第 6 章「ネットワーク設定の構成」のDNS サーバの設定を参照してください。 |
NTP 設定を行う。 |
Active Directory で時間を同期させるには、第 10 章「その他のシステム設定の構成」のNTP 設定の構成を参照してください。 |
WAE デバイスが WAAS Central Manager に登録され、オンラインになっていることを確認する。 |
WAE デバイスが WAAS Central Manager に登録されてオンラインになっていることを確認するには、第 15 章「WAAS ネットワークのモニタリングおよびトラブルシューティング」の[Devices] ウィンドウを参照してください。 |
SSL ピアリング サービスを設定する。 |
SSL ピアリング サービスを設定するには、SSL ピアリング サービスの設定を参照してください。 |
WAN Secure モードがイネーブルであるか確認する。 |
WAN Secure モードがイネーブルであるか確認するには、show accelerator wansecure EXEC コマンドを使用します。 |
Windows ドメイン設定を行い、ドメイン参加を実行する。
(ドメイン参加機能は Active Directory にマシン アカウントを自動的に作成します) |
Windows ドメイン サーバ認証の設定を行うには、第 7 章『管理ログインの認証、許可、およびアカウンティングの設定』のWindows ドメイン サーバ認証設定の構成を参照してください。 ブランチ オフィスの WAE デバイスでは、WAE のドメイン参加の実行が必要ないことに注意してください。 |
ドメイン アイデンティティ(マシン アカウントおよびオプションのユーザ アカウント用)を設定する。 |
マシン アカウント アイデンティティを設定するには、マシン アカウント アイデンティティの設定を参照してください。 (任意)ユーザ アカウントを作成して、ユーザ アカウント アイデンティティを設定するには、ユーザ アカウントの作成と設定を参照してください。 ブランチ オフィスの WAE デバイスでは、ドメイン アイデンティティの設定は必要ないことに注意してください。 |
Windows Domain 暗号化サービスを有効にする。 |
Windows Domain 暗号化サービスを有効にするには、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] ページに移動し、[Enable Encrypted Service] チェックボックスを選択します。 |
暗号化 MAPI トラフィック最適化を有効にする。 |
暗号化 MAPI トラフィックを有効にするには、グローバル最適化機能の有効化と無効化を参照してください。 |
暗号化 MAPI 設定の設定
暗号化 MAPI を設定するには、次の手順に従ってください。
ステップ 1 DNS 設定を行う。
トラフィック暗号化の DNS クエリーを解決するため、WAAS DNS サーバは Windows Active Directory ドメインの DNS システムの一部であることが必要です。
DNS 設定を行う方法の詳細については、第 6 章『ネットワーク設定の構成』の DNS サーバの設定を参照してください。
ステップ 2 Active Directory で時間を同期するために、NTP 設定を行う。
暗号化 MAPI アクセラレーションのために、WAAS デバイスは Active Directory と同期される必要があります。WAAS NTP サーバは、トラフィックの暗号化を必要とする Active Directory ドメイン コントローラ ドメインと時間同期を共有する必要があります。時間が同期されない場合、暗号化 MAPI アクセラレーションは失敗します。
Active Directory での時間の同期の詳細については、第 10 章「その他のシステム設定の構成」のNTP 設定の構成を参照してください。
ステップ 3 WAE デバイスが WAAS Central Manager に登録され、オンラインになっているかどうかを確認する。
WAE デバイスが WAAS Central Manager に登録されてオンラインになっていることの確認方法の詳細については、第 15 章「WAAS ネットワークのモニタリングおよびトラブルシューティング」の[Devices] ウィンドウを参照してください。
ステップ 4 SSL ピアリング サービスを設定する。
(注) SSL アクセラレータを有効にし、実行状態にする必要があります。
SSL ピアリング サービスの設定の詳細については、SSL ピアリング サービスの設定を参照してください。
ステップ 5 WAN Secure モードがイネーブルであるか確認する。
デフォルトのモードは Auto です。次の EXEC コマンドを使用して WAN Secure モードの状態を確認できます。
show accelerator wansecure
必要に応じて、次のグローバル コンフィギュレーション コマンドを使用して WAN Secure モードの状態を変更できます。
accelerator mapi wansecure-mode {always | auto | none}
ステップ 6 (ユーザ アカウントが手順 7 のドメイン アイデンティティ設定にのみ使用される場合、データセンター WAE ではオプションです。)Windows ドメイン設定を行い、ドメイン参加を実行する。(ドメイン参加は Active Directory にマシン アカウントを自動的に作成します)。
(注) ブランチ オフィスの WAE デバイスでは、WAE のドメイン参加の実行が必要ありません。
Windows ドメイン サーバ認証の設定を行うには、第 7 章『管理ログインの認証、許可、およびアカウンティングの設定』のWindows ドメイン サーバ認証設定の構成を参照してください。
(注) 暗号化 MAPI アクセラレーションには Kerberos および Windows NT LAN Manager(NTLM)認証が使用されます。WAAS 5.3.1 の場合、EMAPI に対して暗号化 NTLM トラフィックがサポートされ、WAE デバイスは NTLM 認証を使用して設定されたドメインの NTLM トラフィックを最適化します。
ステップ 7 ドメイン アイデンティティを設定する。(ブランチ オフィスの WAE では必要ありません)。
1 つのドメイン アイデンティティを持つように設定された、ユーザ アカウントまたはマシン アカウントのどちらかのアカウントが少なくとも 1 つ必要です。各デバイスは、最大で、5 つのドメイン アイデンティティ、1 つのマシン アカウント アイデンティティ、および 4 つのユーザ アカウント アイデンティティをサポートします。これによって、WAAS デバイスは最大 5 つのドメイン ツリーを加速できます。加速されるクライアントを持つ Exchange サーバのある各ドメインに対して、ドメイン アイデンティティを設定する必要があります。
a. マシン アカウント アイデンティティを設定する。
コア デバイスのマシン アカウントは、以前の手順の Windows Domain サーバ認証手順のステップ 6 の参加プロセスの中で自動的に作成されました。マシン アカウントを使用している場合は、このアカウントのマシン アカウント アイデンティティを設定する必要があります。
各デバイスは、1 つのマシン アカウント アイデンティティしかサポートしません。
マシン アカウント アイデンティティを設定するには、マシン アカウント アイデンティティの設定を参照してください。
b. オプションのユーザ アカウントを作成して設定する。
さらなるセキュリティのために、最大 4 つのオプションのユーザ アカウントを使用できます。複数のユーザ アカウントを使用すると、すべてのコア デバイスが単一のユーザ アカウントを使用するよりも安全性が高まります。既存のユーザ アカウントを使用する場合も、新規に作成する場合にも、各ユーザ アカウントにユーザ アカウント アイデンティティを設定する必要があります。
ユーザ アカウントを作成して、ユーザ アカウント アイデンティティを設定するには、ユーザ アカウントの作成と設定を参照してください。
ステップ 8 Windows Domain 暗号化サービスを有効にする。(この設定はデフォルトで有効になっています)。
a. WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
b. メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。
[Encrypted Services] ウィンドウが表示されます。
c. [Enable Encrypted Service] チェックボックスをオンにします。
d. [Submit] をクリックして変更を保存します。
ステップ 9 暗号化 MAPI トラフィック最適化を有効にする。
[Enabled Features] ウィンドウで [Encrypted MAPI Traffic Optimization] チェックボックスを選択し([MAPI Accelerator] チェックボックスも選択する必要があります)、[Submit] をクリックします。(暗号化された MAPI トラフィックの最適化はデフォルトで有効です)。
[Enabled Features] ウィンドウの詳細については、グローバル最適化機能の有効化と無効化を参照してください。
マシン アカウント アイデンティティの設定
マシン アカウントのアイデンティティを設定するには、次の手順を実行します。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。
[Encrypted Services] ウィンドウが表示されます。
ステップ 3 [Add Domain Identity] ボタンをクリックします。
[Domain Identity] ダイアログボックスが表示されます(図 12-3)。
(注) 加速する各 WAAS デバイスは、ドメイン アイデンティティを持つ必要があります。
図 12-3 ドメイン アイデンティティの追加:マシン アカウント
a. 表示される [Domain Identity] ダイアログボックスで、[Account Type] ドロップダウン リストから [Machine Account] を選択します。
(注) マシン アカウント ドメイン アイデンティティの作成の前に、Windows ドメイン参加が完了していることが必要です。詳細については、第 7 章「管理ログインの認証、許可、およびアカウンティングの設定」のWAAS デバイス上の Windows ドメイン サーバ設定の構成を参照してください。
b. [Identity Name] フィールドにアイデンティティ名を入力します。使用できる文字は英数字のみです。スペース、?、および | は使用できません。長さは 32 文字を超えてはなりません。
(注) 必要なドメイン情報を複製して暗号化トラフィックを最適化するために、ドメイン アイデンティティは、Windows Domain Active Directory で十分な特権を持つ必要があります。特権を設定するには、Microsoft Active Directory の設定を参照してください。
ステップ 4 ドメイン アイデンティティが暗号化トラフィックを最適化する必要があるドメイン(デバイスが登録されているドメイン)の子ドメインを追加するには、[Add Match Domain] ボタンをクリックします。最大 32 個の子ドメインを追加できます。ドメイン アイデンティティでいずれかの子ドメインのトラフィックを最適化しない場合は、選択した一致ドメイン項目を削除できます。
(注) これは、WAAS バージョン 5.4 以降を実行しているデバイスでのみ使用できます。
ステップ 5 [OK] をクリックします。
ドメイン アイデンティティは、[Encrypted Services Domain Identities] リストに表示されます(図 12-4)。
図 12-4 Encrypted Services—Domain Identity
CLI から暗号化サービス ドメイン アイデンティティを設定し、確認するには、 windows-domain encrypted-service グローバル コンフィギュレーション コマンド、および show windows-domain encrypted-service EXEC コマンドを使用します。
ユーザ アカウントの作成と設定
ユーザ アカウントを作成し、ユーザ アカウント アイデンティティを設定するには、次の手順を実行します。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。
[Encrypted Services] ウィンドウが表示されます(図 12-5)。
図 12-5 Encrypted Services
ステップ 3 ユーザ アカウント ドメイン アイデンティティを追加するには [Add Domain Identity] をクリックします。
[Domain Identity] ウィンドウが表示されます(図 12-6)。
図 12-6 ドメイン アイデンティティの追加—ユーザ アカウント
a. [Account Type] ドロップダウン リストから、[user account] を選択します。
b. [Identity Name] フィールドにアイデンティティ名を入力します。使用できる文字は英数字のみです。スペース、?、および | は使用できません。長さは 32 文字を超えてはなりません。
c. ユーザ名とパスワードを入力します。
d. ドメイン名を入力します。
e. Kerberos 領域を入力します。
f. ドメイン アイデンティティが暗号化トラフィックを最適化する必要がある、選択したドメインの子ドメインを追加するには、[Add Match Domain] をクリックします。最大 32 個の子ドメインを追加できます。ドメイン アイデンティティでいずれかの子ドメインのトラフィックを最適化しない場合は、選択した一致ドメイン項目を削除できます。
(注) 必要なドメイン情報を複製して暗号化トラフィックを最適化するために、ドメイン アイデンティティは、Windows Domain Active Directory で十分な特権を持つ必要があります。特権の設定の詳細については、Microsoft Active Directory の設定を参照してください。
ステップ 4 [OK] をクリックします。
ドメイン アイデンティティは、[Encrypted Services Domain Identities] リストに表示されます。
(注) ユーザ アカウントのドメイン アイデンティティ パスワードには、セキュア ストア暗号化が使用されます。セキュア ストアを開けない場合、設定の更新がデバイスに保存できなかったことを示すアラームが発生します。セキュア ストアが開かれ、設定の更新がデバイスで正常に保存されると、アラームはクリアされます。
CLI から暗号化サービス ドメイン アイデンティティを設定し、確認するには、 windows-domain encrypted-service グローバル コンフィギュレーション コマンド、および show windows-domain encrypted-service EXEC コマンドを使用します。
Microsoft Active Directory の設定
Microsoft Exchange 暗号化 E メール セッションを加速するために Cisco WAAS 特権を付与するには、次の手順を実行します。
ステップ 1 ドメイン管理者の権限を持つアカウントを使用して、Active Directory Users and Computers アプリケーションを起動します。
ステップ 2 新しいグループを作成します。
(注) このグループは、Exchange トラフィックを最適化するために WAAS が使用するアカウント用です。一般ユーザおよびコンピュータをこのグループに追加してはいけません。
a. 新しいグループを含む [Unit] を右クリックし、[New] > [Group] を選択します(図 12-7)。
図 12-7 Active Directory:グループの追加
b. 名前を [Group name] フィールドに入力し、次の属性を選択します。
– Group scope:Universal
– Group type:Security
c. [OK] をクリックします。
ステップ 3 WAAS に必要な特権を設定します。
a. Active Directory Users and Computers アプリケーションのウィンドウで、メニュー バーから [View] > [Advanced Features] を選択します。
b. ドメインのルートを右クリックし、[Properties] を選択します。
c. [Security] タブをクリックします(図 12-8)。
図 12-8 Active Directory—[Security] タブ
d. [Group or User Names] セクションの [Add] をクリックします。
e. [Enter the object names to select] フィールドに新しいグループの名前を入力します。
f. [OK] をクリックすると、新しいグループがリストに追加されます。
g. [Group or user names] リストの新しいグループの横にあるチェックボックスをオンにし、次の特権を [Allow] に設定します。
– Replicating Directory Changes
– Replicating Directory Changes All
h. [OK] をクリックします。
ステップ 4 グループにアカウントを追加します。
ユーザまたはワークステーション(コンピュータ)アカウントを WAAS Exchange 暗号化 E メールの最適化のための新しいグループに追加する必要があります。
a. 追加するアカウントを右クリックし、[Member Of] タブを選択します。
b. [Add] をクリックします。
c. 作成した新しいグループを選択し、[OK] をクリックします。
Active Directory 特権の設定は完了です。
ドメイン アイデンティティおよび暗号化 MAPI 状態の管理
ここでは、次の内容について説明します。
既存のドメイン アイデンティティの編集
必要に応じて WAAS デバイスの既存のドメイン アイデンティティの属性を変更できます。
(注) ユーザ アカウントのパスワードが Active Directory で変更された場合、新しい Active Directory パスワードと一致するように WAAS デバイスのユーザ アカウント ドメイン アイデンティティを編集する必要があります。
次の制約事項が適用されます。
- マシン アカウント アイデンティティの場合、WAAS デバイスからは、ドメイン アイデンティティの状態(有効または無効)だけが変更できます。
- ユーザ アカウント アイデンティティの場合、WAAS デバイスからは、ドメイン アイデンティティの状態(有効または無効)とパスワードだけが変更できます。
Active Directory のアカウントのパスワードが変更された場合に、WAAS デバイスのユーザ アカウント ドメイン アイデンティティのパスワードを変更するには、次の手順を実行します。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。
[Encrypted Services] ウィンドウが表示されます。
ステップ 3 変更するユーザ アカウント ドメイン アイデンティティを選択して、[Edit] アイコンをクリックします。
[Domain Identity] ウィンドウが表示されます。
ステップ 4 [Password] フィールドのパスワードを変更します。パスワードは、Active Directory のアカウントのパスワードと同じである必要があります。
ステップ 5 [OK] をクリックします。
既存のドメイン アイデンティティの削除
WAAS デバイスのドメイン アイデンティティを削除するには、次の手順を実行します。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。
[Encrypted Services] ウィンドウが表示されます。
ステップ 3 削除する 1 つ以上のドメイン アイデンティティを選択して [Delete] アイコンをクリックして、WAAS デバイス上に設定されたドメイン アイデンティティを削除します。
暗号化されたトラフィックを最適化するためにそのドメイン アイデンティティが使用されている場合は、警告メッセージが表示されます。
ステップ 4 [OK] をクリックして受け入れるか、[Cancel] をクリックして手順を中止します。
暗号化された MAPI の無効化
暗号化 MAPI を無効にするには、次の手順を実行します。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 暗号化サービスを無効にします。
a. メニューで、[Configure] > [Security] > [Windows Domain] > [Encrypted Services] を選択します。
[Encrypted Services] ウィンドウが表示されます。
b. [Enable Encrypted Service] チェックボックスの選択を解除します。
c. [Submit] をクリックして変更を保存します。
ステップ 3 暗号化 MAPI トラフィック最適化を無効にします。
a. メニューで、[Configure] > [Acceleration] > [Enabled Features] を選択します。
[Enabled Features] ウィンドウが表示されます。
b. [Encrypted MAPI Traffic Optimization] チェックボックスの選択を解除します。
c. [Submit] をクリックして変更を保存します。
暗号化 MAPI アクセラレーションの統計情報
暗号化 MAPI 接続の統計情報を表示するには、第 15 章「WAAS ネットワークのモニタリングおよびトラブルシューティング」の定義済みのレポートを使用した WAAS のモニタを参照し、MAPI アクセラレーション レポートを参照してください。
Cisco WAAS MAPI RPC over HTTP
WAAS v5.5.3、および WAAS v6.1.1 以降の場合、Cisco WAAS は、HTTP および HTTPS プロトコルを介した Cisco WAAS MAPI RPC を使用して、Microsoft Outlook および Microsoft Exchange のトラフィックの最適化のサポートを有効にします。
このセクションでは、次の Cisco WAAS MAPI RPC over HTTP 機能について説明します。
Cisco WAAS MAPI RPC over HTTP でサポートされる Microsoft Outlook および Exchange のバージョン
表 2 は、WAAS MAPI RPC over HTTP をサポートするクライアントおよびサーバを示しています。
表 2 WAAS MAPI RPC over HTTP をサポートするクライアントとサーバ
|
|
Outlook 2013 (Windows 7 および Windows 8 の場合) |
Exchange 2013 (Windows Server 2012、2012 R2、2008 R2 [フル インストール] の場合) |
Outlook 2010 (Windows 7 および Windows 8 の場合) |
Exchange 2010 (Windows Server 2012、2012 R2、2008、および 2008 R2 の場合) |
Outlook 2007 (Windows Vista、Windows 7 の場合) |
|
(注) HTTP-AO または SSL-AO が無効になっている場合、MAPI RPC over HTTP 最適化機能は動作しません。
MAPI RPC over HTTPS の最適化
WAAS ソフトウェアは MAPI RPC over HTTPS の最適化をサポートします。これにより、クライアントおよびサーバは、暗号化された接続を介して DCE/RPC プロトコルを使用できます。
MAPI RPC over HTTPS の最適化をサポートするには、次の手順に従います。
ステップ 1 SSL アクセラレーションを設定します。SSL アクセラレーションの設定の詳細については、『 Cisco Wide Area Application Services Configuration Guide 』の「 Configuring SSL Acceleration 」セクションを参照してください。
ステップ 2 SSL アクセラレーションを設定するときには、必ずプロトコル チェーンを有効にしてください。これを行うには、[SSL Accelerated Services] ウィンドウで [Enable protocol chaining] チェックボックスを選択します。
(注) プロトコル チェーンが有効になっていない場合、WAAS デバイスは指定された IP アドレスとポートの SSL トラフィックのみを最適化します。
Cisco WAAS MAPI RPC over HTTP の CLI コマンド
MAPI RPC over HTTP 用の新しい CLI コマンド
以下の CLI コマンドは Cisco WAAS MAPI RPC over HTTP 用に追加されました。
- show statistics accelerator mapi
- show statistics accelerator mapi rpc-http
MAPI RPC over HTTP 用に変更された CLI コマンド
以下の CLI コマンドは Cisco WAAS MAPI RPC over HTTP 用に変更されました。
- show accelerator mapi
- [no] debug accelerator mapi rpc-http
Cisco WAAS MAPI RPC over HTTP の MAPI アクセラレーション チャート
MAPI アクセラレーション レポートには、MAPI アクセラレーションの統計情報が表示されます。WAAS バージョン 5.5.3 以降では、以下の MAPI アクセラレーション チャートが追加または変更されました。
- MAPI: Handled Traffic Pattern:MAPI AO によって処理される 3 つの異なるタイプのトラフィックを示す新しい円グラフ。詳細については、第 15 章「WAAS ネットワークのモニタリングおよびトラブルシューティング」の MAPI: Handled Traffic Pattern を参照してください。
- MAPI: Connection Details:MAPI セッション接続の統計情報を示す既存のグラフである [MAPI: Connection Details] には、最適化された TCP および RPC-HTTP(S) MAPI 接続に対する新しい分類が含まれています。詳細については、第 15 章「WAAS ネットワークのモニタリングおよびトラブルシューティング」の MAPI: Connection Details を参照してください。
SMB アクセラレーションの設定
SMB アプリケーション アクセラレータは、ファイル サーバの動作の最適化を処理します。これらの最適化は、SMBv1、SMBv2、および SMBv3 に適用されます。次のファイル サーバ最適化の実行を設定できます。
- SMB プリントの最適化:一元化された印刷環境により、管理オーバーヘッドを削減し、経費節約を促進します。SMB プリントの最適化は、データセンターに配置された一元的なプリント サーバを利用して、プリント トラフィックを最適化します。この結果、ローカル プリント サーバをブランチ オフィスに配置する必要がなくなります。一元化されたプリンタ サーバの最も一般的な使用方法は、ブランチ オフィス クライアントからブランチ オフィスのプリンタへの印刷、ブランチ オフィス クライアントからデータセンターのプリンタへの印刷、データセンター クライアントからブランチ オフィスのプリンタへの印刷の 3 つです。
- 先行読み出し最適化:SMB アクセラレータは、oplocks 機能を使用するファイルに関する先行読み出し最適化(SMBv1 のみ)を行います。クライアントがファイルの読み出し要求を送信したとき、アクセラレータが同じファイルの読み出し要求を追加発行する可能性が高くなります。ファイル サーバの WAN 経由でこの機能を実行するネットワーク帯域幅使用を削減するため、SMB アクセラレータは、クライアントが最初に要求したよりも多くのファイル データを事前対応的に読むことによって、先行読み出しの最適化を実行します。
- ディレクトリ リストの最適化:ネットワーク トラフィックの大部分はディレクトリ リストを取得するためのものです。SMB アクセラレータは、プリフェッチによってファイル サーバからのディレクトリ リストを最適化します。ディレクトリのプリフェッチの場合、クライアントからの要求は拡大され、最大 64 KB のディレクトリ リストの内容がプリフェッチされます。SMB アクセラレータは、クライアントがすべてのデータの要求し終わるまで、プリフェッチしたディレクトリ リスト データをバッファします。ディレクトリ リストのサイズが 64 KB を超える場合は、後続のクライアントからの要求が SMB アクセラレータによって拡張され、最大 64 KB の情報がプリフェッチされます。これが、ディレクトリのすべてのエントリがクライアントに返されるまで続けられます。
- ディレクトリ参照の最適化:SMB アクセラレータは、ファイル サーバから SMBv2 データをプリフェッチして WAE の RAM インフラストラクチャにキャッシュすることにより、ディレクトリ参照を最適化します。クライアントによってディレクトリ照会要求が行われると、キャッシュ データからデータが取得されます。複数のクライアント要求に対応するため、親ディレクトリおよび子ファイルにアクセスしているときはロック メカニズムが作動します。また、インフラストラクチャのメモリは限られているため、新しい要求はメモリを使用できる場合にのみキャッシュされます。
- メタデータ最適化:SMB アクセラレータは、メタデータのプリフェッチによってファイル サーバからのメタデータのフェッチを最適化します。追加のメタデータ要求は、クライアント要求とともにタグ付けされてファイル サーバに送信され、クライアントが要求したよりも高い情報レベルがプリフェッチされます。
- 名前付きパイプ最適化:SMB アクセラレータは、Windows Explorer からファイル サーバへの、頻繁な共有情報、サーバ情報、およびワークステーション情報の取得要求を最適化します。これらの各要求には、名前付きパイプのオープンとバインド、RPC 要求、および名前付きパイプのクローズを含む一連の動作が含まれます。各動作では、ファイル サーバへのラウンド トリップが発生します。ファイル サーバの WAN 経由でこの機能を実行するネットワーク帯域幅使用を削減するため、SMB アクセラレータは、名前付きパイプ セッションおよびポジティブ RPC 応答のキャッシングによって、ネットワークのトラフィックを最適化します。
- 書き込み最適化:SMB アクセラレータは、クライアントに対して可能な場合は常に書き込み要求を確認し、同時に WAN 経由のサーバへの書き込み要求をストリーミングして、クライアントへの書き込み応答を高速化することによって書き込みの最適化を行います。
- Not-Found メタデータ キャッシング:アプリケーションがファイル サーバに存在しないディレクトリおよびファイルに関する要求を送信することがあります。たとえば、Windows Explorer は、発見したファイルのオルタネート データ ストリーム(ADS)にアクセスします。ネガティブ Not-Found(NF)メタデータ キャッシングによって、同じディレクトリおよびファイルに対して後に発生する要求がローカルな拒否を受け、ファイル サーバへの要求送信のラウンド トリップを節約できるように、これらの存在しないディレクトリおよびファイルへの完全なパスがキャッシュされます。
- DRE-LZ ヒント:SMB アクセラレータは、システムの性能および資源の使用率を向上するための DRE ヒントを提供します。接続レベルでは、SMB アクセラレータは、最良の圧縮が得られるためすべての接続に対して BEST_COMP 遅延感度レベルを使用します。メッセージ レベルで、SMB アクセラレータは、WAN 経由で伝送される各メッセージについてメッセージベースの DRE ヒントを提供します。
- Microsoft 最適化:SMB アクセラレータは、Microsoft Office アプリケーションがサポートするファイル名パターンに対するロック要求シーケンスを識別することによって、Microsoft アプリケーションのファイル動作を最適化します。
- 無効な FID 最適化:SMB アクセラレータは、ファイル サーバに該当する要求を送るのではなく、無効なファイル ハンドル値を使用してファイルにアクセスしようとすることをローカルに拒否することで、SMB2 および SMB3 クライアントを最適化します。
- バッチ クローズ最適化:SMB アクセラレータは、すべての SMB トラフィックで非同期ファイル クローズ最適化を実行します。
- 読み取りキャッシュの最適化:SMB アクセラレータは、読み取り応答データをキャッシュしてファイルをローカルに提供できるようにすることにより、SMB2 での読み取り操作を最適化します。
- 書き込み最適化:SMB アクセラレータは、非同期書き込み操作を実行することにより、システム パフォーマンスを改善します。
- 署名最適化:SMB アクセラレータは、すべての SMB トラフィックの L7 最適化を提供します。詳細については、下記の手順 7 でその他の詳細を参照してください。
SMB アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[SMB Accelerator] チェックボックスを選択します。
SMB アクセラレーション設定を行うには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [SMB Settings] を選択します。
[SMB Settings] ウィンドウが表示されます(図 12-9)。
図 12-9 SMB アクセラレータの [Configuration] ウィンドウ
ステップ 3 [Highest Dialect Optimized] ドロップダウン リストで、最適化する最上位のダイアレクトを選択します。次のオプションを使用できます。
- NTLM 0.12 または NTLM 1.0
- SMB 2.0
- SMB 2.1
- SMB 3.0
- SMB 3.02
ステップ 4 [Highest Dialect Optimized Exceed Action] ドロップダウン リストで、最適化する最上位のダイアレクトとして選択されたダイアレクトよりも上位のダイアレクトに対する対処を選択します。
- Mute:最適化する最上位のダイアレクトとして選択されたダイアレクトよりも上位であるダイアレクトは、ネゴシエーション リストから削除されます。これはデフォルトの選択肢です。
- Handoff:ネゴシエーション済みのダイアレクトが、選択した最適化する最上位のダイアレクトよりも上位である場合、接続は汎用アクセラレータにハンドオフされます。
ステップ 5 [Bypass File Name Pattern] フィールドに、SMB アクセラレータに最適化をバイパスさせるファイル名のパターンを入力します。指定された式に一致する名前のファイルは最適化されません。
ステップ 6 SMB トラフィックのディスク キャッシングを有効にするには、[SMB Object Cache] チェックボックスをオンにします。
ステップ 7 署名された SMB v2 および v3 のトラフィックの最適化を有効にするには、[Signing Optimization] チェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
SMB 接続要求は、ブランチ オフィスからデータセンターへ、またはその逆です。すべての接続において、要求元の近くの WAE は Edge WAE の役割を果たし、SMB サーバの近くの WAE は Core WAE の役割を果たします。
署名された接続が最適化されるようにするには、Core および Edge WAE において次の前提条件を満たす必要があります。
a. Core WAE で、グローバル コンフィギュレーション コマンドを使用して SMB サーバの長期サービス キーを取得およびキャッシュする秘密キー取得を有効にするために、管理者権限を持つ有効なユーザ アイデンティティを設定します。
(config)#windows-domain encryption-service identity [identity] user-account name [admin-username] domain <your.domain] realm [YOUR.DOMAIN] password
次の EXEC コマンドを使用して、アイデンティティ設定を確認します。
sh windows-domain encryption-service identity detail
Kerberos 認証の場合、クライアント、サーバ、Core WAE、およびドメイン コントローラ間の時間同期を確認します。
接続が署名されているかどうかを確認する場合は、SMBv2 Negotiate パケットを調べます。Negotiate Request または Negotiate Response いずれかの交換で、Signing Required フィールドが「True」に設定されている必要があります。
これらの設定は eMAPI 設定に似ています。詳細については、暗号化 MAPI 設定の設定の手順 6 を参照してください。
b. WAN Secure モードが有効であることを確認します。WAN Secure のセキュアな接続により、キーを Edge WAE に伝送できます。
デフォルトの推奨モードは Auto です。次の EXEC コマンドを使用して WAN Secure モードの状態を確認できます。
show accelerator wansecure
必要に応じて、次のグローバル コンフィギュレーション コマンドを使用して WAN Secure モードの状態を変更できます。
accelerator smb wansecure-mode {always | auto | none}
c. WAE デバイスが WAAS Central Manager に登録され、オンラインになっていることを確認します。
ステップ 8 [SMBV1 Optimization Settings] タブをクリックして、次の作業を実行します。
– メタデータ最適化を有効にするには、[Meta Data Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– Microsoft Office のすべてのバージョンの最適化を有効にするには、[Microsoft Office Optimization] チェックボックスを選択します。この最適化が無効である場合、SMB アクセラレータは、Microsoft Office の先行読み出し、書き込み、および先行ロックの最適化を行いません。このチェックボックスは、デフォルトでオンになっています。
– 名前付きパイプセッションとポジティブ RPS 応答のキャッシングによる名前付きパイプの最適化を有効にするには、[Named Pipe Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 見つからないファイルのパス名のキャッシングを有効にするには、[‘Not Found’ Cache Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– SMB で一元化された印刷環境を構成できるようにするには、[SMB Print Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– ファイルの先行読み出しデータ量の SMB による最適化を有効にするには、[Read Ahead Optimization] チェックボックスを選択します。SMB は、oplocks 機能を使用してファイルが開かれた場合にのみ、先行読み出し最適化を行います。このチェックボックスは、デフォルトでオンになっています。
– クライアントへの書き込み応答を高速化することによる書き込み最適化を有効にするには、[Write Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
[SMBV2 Optimization Settings] タブをクリックして、次の作業を実行します。
– 非同期ファイルクローズ最適化を有効にするには、[Batch Close Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 無効なファイル ハンドル値によるファイルの最適化を有効にするには、[Invalid FID Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 読み取り応答キャッシングを有効にするには、[SMBV2 Read Cache Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 非同期書き込み操作を有効にするには、[SMBV2 Write Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– SMB v2 トラフィックのディレクトリ参照パフォーマンスの最適化を有効にするには、[Directory Service Optimization] チェックボックスを選択します。デフォルトでは、このチェックボックスはオフになっています。ディレクトリ サービスの最適化は、ソフトウェア イメージ 6.1.1 を実行しているデバイスまたはデバイス グループの場合にのみ使用できます。
[SMBV3 Optimization Settings] タブをクリックして、次の作業を実行します。
– 非同期ファイルクローズ最適化を有効にするには、[SMB v3 Batch Close Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 無効なファイル ハンドル値によるファイルの最適化を有効にするには、[SMB v3 Invalid FID Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 読み取り応答キャッシングを有効にするには、[SMB v3 Read Cache Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
– 非同期書き込み操作を有効にするには、[SMB v3 Write Optimization] チェックボックスを選択します。このチェックボックスは、デフォルトでオンになっています。
ステップ 9 [Submit] をクリックして変更を保存します。
CLI から SMB アクセラレーションを設定するには、accelerator smb グローバル コンフィギュレーション コマンドを使用します。
ICA アクセラレーションの設定
Independent Computing Architecture(ICA)のアプリケーション アクセラレータは、仮想デスクトップ インフラストラクチャ(VDI)へのアクセスに使用される ICA トラフィック用に、WAAS デバイス上の WAN 最適化を提供します。これは、クライアントとサーバに対して自動的でかつ透過的なプロセスを通じて実行されます。
ICA アクセラレーションはデフォルトで、WAAS デバイスで有効です。
ICA アクセラレータを有効化するには、[Enabled Features] ウィンドウで、[ICA Accelerator] チェックボックスを選択します(図 12-10)。
ICA アクセラレーション設定を行うには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [ICA Settings] を選択します。
[ICA Acceleration Configuration] ウィンドウが表示されます。
図 12-10 [ICA Acceleration Configuration] ウィンドウ
ステップ 3 [Enable Multi Stream ICA] チェックボックスを選択して、クライアントとサーバに最大で 3 つの追加 TCP 接続を許可して、マルチストリーム ICA トラフィックを最適化します。
ステップ 4 [WAN Secure Mode] ドロップダウン リストで、モードを選択します。次のオプションがあります。
- None :ICS の WAN Secure モードを無効にします。これはデフォルトです。
- [Always]:ICA の WAN Secure モードを有効にします。
(注) ブランチ オフィスの WAE およびデータセンターの WAE の両方の WAN Secure モードの状態は、ICA アクセラレータによって最適化される接続と一致しなければなりません。
ステップ 5 [ICA Streams] セクションの [DSCP Settings (QoS)] で [Enable DSCP Tagging] チェックボックスを選択して、MSI プライオリティ レベルの DSCP 値を設定します。これらの値はデフォルトを上書きします。有効な範囲は 0 ~ 63 です。
(注) 優先度の降順に MSI プライオリティ レベルの DSCP 値を設定します。
a. Very High-Priority MSI:通常はオーディオなどのリアルタイム トラフィックです。デフォルトは af41 です。
b. High-Priority MSI:通常は対話型トラフィックです。デフォルトは af41 です。
c. Medium-Priority MSI:通常はバルク データです。デフォルトは af21 です。
d. Low-Priority MSI:通常は印刷などのバックグラウンド トラフィックです。デフォルトは 0(ベスト エフォート)です。
e. [Non-MSI]:(デフォルトは af21 です)
(注) MSI プライオリティ設定は、WAAS バージョン 5.1.x よりも前のデバイスに適用されない場合があります。
ステップ 6 [Submit] をクリックします。
変更がデバイスまたはデバイス グループに保存されます。
(注) Citrix ICA バージョン 7.x(XenApp および XenDesktop)には、Citrix ICA バージョン 6.x での達成内容との比較で WAAS の最適化効率に影響する変更が含まれています。WAAS の効率を最大にするために、Citrix 管理者は次のように設定する必要があります。
適応ディスプレイ:無効
従来のグラフィック モード:有効
CLI から ICA アクセラレーションを設定するには、 accelerator ica グローバル コンフィギュレーション コマンドを使用します。
CLI から WAN Secure モードの状態を確認するには、show accelerator wansecure EXEC コマンドを使用します。
ICA over SSL の設定
WAAS ソフトウェアは ICA over SSL の最適化をサポートします。これにより、クライアントおよびサーバは暗号化された接続を介して ICA プロトコルを使用できます。ICA over SSL の最適化をサポートするには、次の手順を実行する必要があります。
(注) SSL アクセラレーションを設定するときは、必ずプロトコル チェーンを有効にしてください。プロトコル チェーンが有効になっていない場合、WAAS デバイスは指定された IP アドレスとポートの SSL トラフィックのみを最適化します。
SSL アクセラレーションの設定
SSL(Secure Sockets Layer)アプリケーション アクセラレータは、SSL 暗号化接続のトラフィックを最適化します。SSL アクセラレーションが有効になっていない場合、WAAS ソフトウェア DRE 最適化は SSL 暗号化トラフィックに対してあまり効果はありません。SSL アプリケーション アクセラレーションは、接続のセキュリティを維持しながら、WAAS で復号化を行い、最適化を適用できるようにします。
(注) WAAS Express デバイスでは、SSL 暗号リスト、SSL 認証局、および SSL ピアリング サービス設定のみがサポートされます。
(注) SSL アクセラレータは、SSL/TLS ハンドシェイクが先頭バイトから開始されないプロトコルを最適化しません。唯一の例外は、プロキシを通過する HTTPS です(HTTP アクセラレータが SSL/TLS の開始を検出します)。この場合、HTTP と SSL の両方のアクセラレータが接続を最適化します。
SSL アプリケーション アクセラレータは、SSL Version 3(SSLv3)および Transport Layer Security Version 1(TLSv1)プロトコルをサポートしています。TLSv1.1 または TLSv1.2 クライアント要求を受信した場合、TLS v1.0 にダウングレードするためのネゴシエーションが実行されます。クライアントによって拒否された場合、トラフィックはパススルーされます。
表 12-3 に、SSL アクセラレーションを設定して有効にするために完了する必要がある手順の概要を示します。
表 12-3 SSL アクセラレーションを設定するためのチェックリスト
|
|
SSL アクセラレーションの設定を準備する。 |
SSL アクセラレーションを WAAS デバイス上で設定する前に収集する必要のある情報を特定します。詳細については、SSL アクセラレーションを使用するための準備を参照してください。 |
セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションを有効にする。 |
Central Manager セキュア ストアの設定方法、Enterprise ライセンスを有効にする方法、SSL アクセラレーションを有効にする方法について説明します。セキュア ストア モードは、SSL 暗号化証明書およびキーを安全に扱うために必要です。詳細については、セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化を参照してください。 |
SSL アプリケーション最適化を有効にする。 |
SSL アクセラレーション機能をアクティブにする方法について説明します。詳細については、グローバル最適化機能の有効化と無効化を参照してください。 |
SSL アクセラレーション設定を構成する。 |
(任意)SSL アクセラレーションの基本設定を行う方法を説明します。詳細については、SSL グローバル設定の構成を参照してください。 |
暗号リストを作成して管理する。 |
(任意)WAAS デバイスで使用される暗号アルゴリズムの選択方法と設定方法について説明します。詳細については、暗号リストの操作を参照してください。 |
CA 証明書を設定する。 |
(任意)認証局(CA)証明書を選択、インポート、および管理する方法を説明します。詳細については、認証局の操作を参照してください。 |
SSL マネジメント サービスを設定する。 |
(任意)Central Manager と WAE デバイスの間で使用される SSL 接続を設定する方法について説明します。詳細については、SSL マネジメント サービスの設定を参照してください。 |
SSL ピアリング サービスを設定する。 |
(任意)最適化された SSL トラフィックを伝送するピア WAE デバイス間で使用される、SSL 接続の設定方法を説明します。詳細については、SSL ピアリング サービスの設定を参照してください。 |
SSL アクセラレーション サービスを設定し、有効にする。 |
SSL アプリケーション最適化機能によって加速されるサービスの追加方法、設定方法、および有効化方法について説明します。詳細については、SSL アクセラレーション サービスの使用を参照してください。 |
SSL アクセラレーションを使用するための準備
SSL アクセラレーションを設定する前に、次の点を確認しておく必要があります。
- SSL トラフィックを加速するサービス
- サーバの IP アドレスとポート情報
- 証明書共通名と CA 署名情報を含めて、公開キー インフラストラクチャ(PKI)証明書および秘密キー情報
- サポートされる暗号スイート
- サポートされる SSL バージョン
図 12-11 に、WAAS ソフトウェアによる SSL アプリケーション最適化の処理方法を示します。
図 12-11 SSL アクセラレーションのブロック図
SSL アクセラレーションを設定する場合、サーバ側(データセンター)の WAE デバイスで SSL アクセラレーション サービスを設定する必要があります。クライアント側(ブランチ オフィス)の WAE では、セキュア ストアを初期化してそのロックを解除するか開く必要がありますが、SSL アクセラレーション サービスを設定する必要はありません。ただし、SSL アクセラレーション サービスが動作するには、データセンターとブランチの両方の WAE で SSL アクセラレータを有効にする必要があります。WAAS Central Manager は、SSL マネジメント サービスを提供し、暗号化証明書とキーを保持します。
セキュア ストア、Enterprise ライセンス、および SSL アクセラレーションの有効化
SSL アクセラレーションを WAAS システム上で使用するには、次の手順を実行しておく必要があります。
ステップ 1 Central Manager でセキュア ストア暗号化を有効にします。
セキュア ストア暗号化を有効にするには、第 10 章「その他のシステム設定の構成」のセキュア ストア設定の構成を参照してください。
ステップ 2 Enterprise ライセンスを有効にします。
Enterprise ライセンスを有効にするには、第 10 章「その他のシステム設定の構成」のソフトウェア ライセンスの管理を参照してください。
ステップ 3 SSL アクセラレーションをデバイス上で有効にします。
SSL アクセラレーション機能を有効にするには、グローバル最適化機能の有効化と無効化を参照してください。
(注) SSL アクセラレータがすでに実行されている場合、設定変更を行う前に、Central Manager に新しい WAE を登録するときの 2 回のデータフィード ポーリング サイクルが完了するのを待つ必要があります。そうしないと、変更が適用されない可能性があります。
SSL グローバル設定の構成
SSL アクセラレーション グローバル設定を行うには、次の手順に従います。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Security] > [SSL] > [Global Settings] を選択します。
[SSL Global Settings] ウィンドウが表示されます(図 12-12)。
図 12-12 [SSL Global Settings] ウィンドウ
ステップ 3 特定のデバイス グループの SSL 設定を使用するようにデバイスを設定するには、SSL グローバル設定ツールバーにある [Select a Device Group] ドロップダウン リストからデバイス グループを選択します。デバイスには、独自の SSL 設定、またはデバイス グループの SSL 設定を使用できます。ただし、複数のデバイス グループの SSL 設定を使用するように、デバイスを設定することはできません。
ステップ 4 [SSL version] ドロップダウン リストから、使用する SSL プロトコルの種類を選択します。SSL バージョン 3 プロトコルの場合は [SSL3] を選択し、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1] を選択し、SSL3 プロトコルと TLS1 SSL プロトコルの両方を許可する場合は [All] を選択します。
ステップ 5 (任意)証明書失効の Online Certificate Status Protocol(OCSP)パラメータを設定します。
a. [OCSP Revocation check] ドロップダウン リストから、OCSP 失効チェック方法を選択します。
[ocsp-url] を選択すると、SSL アクセラレータは、[OCSP Responder URL] フィールドに指定された OCSP レスポンダを使用して証明書の失効ステータスをチェックします。[ocsp-cert-url] を選択すると、認証局で指定されている OCSP レスポンダ URL を使用します。
b. [Ignore OCSP failures] チェックボックスが選択されている場合、SSL アクセラレータは、OCSP レスポンダから明確な応答を得ていなくても、OCSP 失効チェックを成功として処理します。
ステップ 6 [Cipher List] ドロップダウン リストから、SSL アクセラレーションに使用される暗号スイートのリストを選択します。詳細については、暗号リストの操作を参照してください。
ステップ 7 証明書/キー ペアの方法を選択します(図 12-13)。
図 12-13 サービス証明書と秘密キーの設定
- WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。
- 既存の証明書/キー ペアをアップロードまたは貼り付けるには、[Import Existing Certificate Key] をクリックします。
- 現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。
- 既存の証明書/キー ペアを更新または置き換えるには、[Generate Certificate Signing Request] をクリックします。証明書署名要求は、新しい証明書を生成するために CA で使用されます。
(注) インポートまたはエクスポートするファイルは、PKCS12 形式と PEM 形式のいずれかである必要があります。
- クライアントで設定された証明書を使用するには、[Import existing client certificate and optionally private key] をクリックします。
サービス証明書と秘密キーの設定については、サービス証明書と秘密キーの設定を参照してください。
ステップ 8 [Submit] をクリックします。
サービス証明書と秘密キーの設定
サービス証明書と秘密キーを設定するには、次の手順に従ってください。
ステップ 1 自己署名証明書と秘密キーを生成するには(図 12-14)、次の手順に従ってください。
図 12-14 自己署名証明書と秘密キー
a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。
b. 証明書と秘密キーのフィールドに必要事項を入力します。
ステップ 2 既存の証明書または証明書チェーン、および(必要に応じて)秘密キーをインポートするには(図 12-15)、次の手順に従ってください。
(注) Cisco WAAS SSL 機能は、RSA の署名/暗号化アルゴリズムとキーだけをサポートします。
図 12-15 既存の証明書または証明書チェーンのインポート
a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。
b. 既存の証明書または証明書チェーン、および秘密キーをインポートするには、次のいずれかの作業を実行します。
- 証明書とキーを PKCS#12 形式で(または既知の Microsoft PFX 形式として)アップロードする。
- 証明書と秘密キーを PEM 形式でアップロードする。
- 証明書と秘密キーの PEM の内容を貼り付ける。
証明書と秘密キーがすでに設定されている場合は、証明書だけアップデートできます。この場合、Central Manager では、インポートされた証明書と現在の秘密キーを使用して、証明書と秘密キーのペアが構築されます。この機能は、既存の自己署名証明書を CA によって署名されたものにアップデートする場合や、期限の切れる証明書をアップデートするために使用できます。
Central Manager では、証明書チェーンをインポートできます。このチェーンは、最初にエンド証明書が指定され、その後にエンド証明書または中間 CA 証明書を署名する中間 CA 証明書のチェーンが続き、最後はルート CA で終わる必要があります。
Central Manager では、このチェーンが検証され、CA 証明書の使用期限が切れているか、チェーン内の署名順序が論理的でない場合、そのチェーンは拒否されます。
c. 秘密キーを復号化するパスフレーズを入力します。秘密キーが暗号化されていない場合は、該当するフィールドを空のままにします。
ステップ 3 設定された証明書と秘密キーをエクスポートするには(図 12-16)、次の手順に従ってください。
図 12-16 証明書とキーのエクスポート
a. 暗号化パスフレーズを入力します。
b. 現在の証明書および秘密キーを PKCS#12 形式または PEM 形式でエクスポートします。PEM 形式の場合、証明書と秘密キーの両方が 1 つの PEM ファイルに含められます。
(注) 生成またはインポート時にエクスポート不可能と指定した証明書と秘密キーは、Central Manager でエクスポートできません。
ステップ 4 現在の証明書と秘密キーから証明書署名要求を生成するには(図 12-17)、次の手順に従ってください。
図 12-17 証明書署名要求の生成
ステップ 5 現在の証明書を、認証局によって署名されたものにアップデートするには、次の手順を実行します。
a. PKCS#10 証明書署名要求を生成します。
b. 生成された証明書署名要求を、証明書の生成と署名を行う認証局に送信します。
c. 認証局から受信した証明書を、[Importing existing certificate and optionally private key] オプションを使用してインポートします。
(注) 生成された証明書要求のキーのサイズは、現在の証明書のキーのサイズと同じです。
ステップ 6 既存のクライアント証明書または証明書チェーン、および(必要に応じて)秘密キーをインポートするには(図 12-18)、次の手順に従ってください。
図 12-18 既存のクライアント証明書およびオプションの秘密キーのインポート
a. この証明書/キーを後で WAAS Central Manager およびデバイス CLI からエクスポートする場合は、[Mark private key as exportable] チェックボックスを選択します。
b. 既存のクライアント証明書および秘密キーをインポートするには、次のいずれかを実行します。
- 証明書とキーを PKCS#12 形式で(または Microsoft PFX 形式として)アップロードする。
- 証明書と秘密キーを PEM 形式でアップロードする。
- 証明書と秘密キーの PEM の内容を貼り付ける。
証明書と秘密キーがすでに設定されている場合は、証明書だけアップデートできます。この場合、Central Manager では、インポートされたクライアント証明書と現在の秘密キーを使用して、証明書と秘密キーのペアが構築されます。この機能は、既存の自己署名証明書を認証局によって署名されたものにアップデートする場合や、期限の切れる証明書をアップデートするために使用できます。
Central Manager では、証明書チェーンをインポートできます。このチェーンは、最初にエンド証明書が指定され、その後にエンド証明書または中間 CA 証明書を署名する中間 CA 証明書のチェーンが続き、最後はルート CA で終わる必要があります。
c. 秘密キーを復号化するパスフレーズを入力します。秘密キーが暗号化されていない場合は、該当するフィールドを空のままにします。
d. [Choose File] をクリックしてクライアントで設定された証明書に移動し、[Import Client Cert] をクリックしてその証明書を正常にインポートします。
暗号リストの操作
暗号リストは、SSL アクセラレーション設定に割り当て可能な暗号スイートの集合です。暗号スイートは、キー交換アルゴリズム、暗号化アルゴリズム、および Secure Hash Algorithm を含む SSL 暗号化方式です。
暗号リストを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Security] > [SSL] > [Cipher Lists] を選択します。
[SSL Cipher Lists] ウィンドウが表示されます(図 12-19)。
(注) WAAS Express デバイスでは、[SSL Cipher Lists] ウィンドウにはわずかに異なる形式で同じ名前と暗号フィールドが表示されます。
図 12-19 [SSL Cipher Lists] ウィンドウ
ステップ 3 [Create] をクリックして、新しい暗号リストを追加します。
[Creating New SSL Cipher List] ウィンドウが表示されます(図 12-20)。
(注) WAAS Express デバイスの場合、[Add Cipher List] をクリックして新しい暗号リストを追加します。
図 12-20 [Creating New SSL Cipher List] ウィンドウ
ステップ 4 [Cipher List Name] フィールドに暗号リストの名前を入力します。
ステップ 5 [Add Cipher] をクリックして、暗号スイートを暗号リストに追加します。
(注) WAAS Express デバイスの場合、追加する暗号を選択し、ステップ 12 に進みます。
ステップ 6 [Ciphers] ドロップダウン リストから、追加する暗号スイートを選択します。
(注) Microsoft IIS サーバに対して SSL 接続を確立する場合は、DHE ベースの暗号スイートを選択してはなりません。
ステップ 7 選択した暗号スイートの優先順位を [Priority] フィールドで選択します。
(注) SSL ピアリング サービスが設定されている場合は、コア デバイス上の暗号リストに関連付けられた優先順位が、エッジ デバイス上の暗号リストに関連付けられた優先順位よりも優先されます。
ステップ 8 [Add] をクリックして、選択した暗号スイートを暗号リストに加えます。あるいは、[Cancel] をクリックして、暗号リストを元の状態のままにします。
ステップ 9 ステップ 5 からステップ 8 を繰り返して、必要なだけ暗号スイートを暗号リストに追加します。
ステップ 10 (任意)暗号スイートの優先順位を変更するには、暗号スイートのチェックボックスを選択し、暗号リストの下にある上向き矢印または下向き矢印のボタンを使用して優先順位を設定します。
(注) アクセラレーション サービスに暗号リストが適用される場合、ここで割り当てた暗号リストの優先順位は、クライアントで指定された暗号の順序で上書きされます。この暗号リストで割り当てた優先順位は、暗号リストが SSL ピアリング サービスとマネジメント サービスに適用される場合に限り有効です。
ステップ 11 (任意)暗号リストから暗号スイートを削除するには、暗号スイートのチェックボックスを選択し、[Delete] をクリックします。
ステップ 12 暗号リストの設定が完了したら、[Submit] をクリックします。
(注) WAAS Express デバイスの場合、[OK] をクリックして暗号リストの設定を保存します。
SSL 設定変更は、デバイスでセキュリティ ライセンスが有効にされるまで、デバイスに適用されません。
認証局の操作
WAAS SSL アクセラレーション機能を使用すると、システムで使用される CA 証明書を設定できます。WAAS に含まれる多くの既知の CA 証明書のいずれかを使用するか、独自の CA 証明書をインポートできます。
CA 証明書を管理するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Security] > [SSL] > [Certificate Authorities] を選択します。
[SSL CA Certificate List] ウィンドウが表示されます(図 12-21)。
(注) WAAS Express デバイスの場合、同じ [Name]、[Issued To]、[Issuer]、[Expiry Date] フィールドが [SSL CA Certificate List] ウィンドウに少し異なる形式で表示されます。
[Yes] または [No] として設定可能な [Aggregate Settings] フィールドも存在します。WAAS Express の手順を完了するには、ステップ 4 に進みます。
図 12-21 [SSL CA Certificate List] ウィンドウ
ステップ 3 WAAS に含まれるプリロードされた CA 証明書のいずれかを、次の手順に従って追加します。
a. [Well-known CAs] をクリックします。
b. 追加する既存の CA 証明書を選択し、[Import] をクリックします。選択した CA 証明書は、[SSL CA Certificate List] に表示されているリストに追加されます。
ステップ 4 独自の CA 証明書を次の手順に従って追加します。
a. [Create] をクリックします。
[Creating New CA Certificate] ウィンドウが表示されます(図 12-22)。
(注) WAAS Express デバイスの場合、[Add CA] をクリックして独自の CA 証明書を追加します。名前と URL を入力し、[Get CA Certificate] をクリックします。この後、ステップ 6 に進みます。
図 12-22 [Creating New CA Certificate] ウィンドウ
b. 証明書の名前を [Certificate Name] フィールドに入力します。
c. (任意)CA 証明書の説明を [Description] フィールドに入力します。
d. [Revocation check] ドロップダウン リストから [Disable] を選択して、この CA によって署名された証明書の OCSP 失効を無効にします。[Ignore OCSP failures] チェックボックスを選択して、OCSP 失効チェックが失敗しても失効チェックは成功したとマーク付けされるようにします。
e. 次の方法のうち 1 つを選択することで証明書情報を追加します。
– Upload PEM File
ファイルをアップロードする場合は、ファイルを PEM 形式にする必要があります。使用するファイルを参照して、[Upload] をクリックします。
– Paste PEM-encoded Certificate
CA 証明書情報を貼り付ける場合、PEM 形式の証明書のテキストを [Paste PEM-encoded certificate] フィールドに貼り付けます。
– Get CA Certificate using SCEP
このオプションは、Simple Certificate Enrollment Protocol(SCEP)を使用して認証局を自動的に設定します。自動証明書登録手順を使用している場合は、CA URL を入力し、[Get Certificate] をクリックします。証明書の内容がテキストおよび PEM 形式で表示されます。
自動証明書登録手順を完了するには、SSL 自動登録の SSL 自動登録設定を行います。
f. [Submit] をクリックして変更を保存します。
ステップ 5 (任意)リストから CA を削除するには、CA を選択した後、ツールバーにある [Delete] アイコンをクリックします。
ステップ 6 CA 証明書リストの設定が完了したら、[Submit] をクリックします。
(注) WAAS Express デバイスの場合、[OK] をクリックして CA 証明書リストの設定を保存します。
SSL 自動登録
WAAS SSL アクセラレーション機能によって、SCEP を使用してデバイス(またはデバイス グループ)の証明書を自動的に登録できます。CA 証明書を取得した後で、SSL 自動登録の設定を行います。
(注) 自動登録の設定を行う前に、CA 機関を設定する必要があります。
SSL 自動登録設定を行うには、次の手順を実行します。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Security] > [SSL] > [Auto Enrollment] を選択します。
[SSL Auto Settings] ウィンドウが表示されます(図 12-23)。
図 12-23 SSL 自動登録設定ウィンドウ
ステップ 3 次の CA 設定を行います。
- CA URL
- CA:ドロップダウン リストから適切な CA を選択します
- Challenge Password
(注) CA、CA URL、およびチャレンジ パスワードは、SSL 自動登録に必要です。
ステップ 4 次の証明書署名要求設定を行います。
- Common Name
- Organization and Organization Unit
- Location, State, and Country
- Email-Id
ステップ 5 [Key Size] ドロップダウン リストから、キー サイズを選択します。有効な値は、512、768、1024、1536、または 2048 です。
ステップ 6 [Enable Enroll] チェックボックスを選択します。
ステップ 7 [Submit] をクリックします。
[SSL Global Settings] ページおよび [Alerts] ページの [Machine Certificate] セクションで登録状態を確認できます。
SSL マネジメント サービスの設定
SSL マネジメント サービスは、Central Manager と WAE デバイスの間の安全な通信に影響を与える SSL 設定パラメータです(図 12-11)。使用される証明書とキーのペアは、各 WAAS デバイスに固有です。したがって、SSL マネジメント サービスは、デバイス グループではなく個々のデバイスに対してのみ設定できます。
SSL マネジメント サービスを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ] を選択します。
ステップ 2 [Configure] > [Security] > [Management Service] を選択します。
[Management Service] ウィンドウが表示されます(図 12-24)。
図 12-24 [Management Service] ウィンドウ
ステップ 3 [SSL version] ドロップダウン リストから、使用する SSL プロトコルの種類を選択します。SSL バージョン 3 プロトコルの場合は [SSL3]、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1]、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。
(注) WAAS Central Manager に設定されたマネジメント サービスの SSL バージョンと暗号設定も、WAAS Central Manager とユーザのブラウザの間の SSL 接続に適用されます。
プライマリおよびスタンバイの Central Manager は、マネジメント サービスのバージョンや暗号リストを共有する必要があります。マネジメント サービスのバージョンおよび暗号リストの設定を変更すると、プライマリ Central Manager とスタンバイ Central Manager と WAE デバイスの間の接続が失われる可能性があります。
表 12-4 に、Internet Explorer と Mozilla Firefox でサポートされる暗号リストを示します。
表 12-4 Internet Explorer と Mozilla Firefox でサポートされる暗号リスト
|
|
|
dhe-rsa-with-aes-256-cbc-sha |
IE8 以降でサポート |
サポートあり |
rsa-with-aes-256-cbc-sha |
IE8 以降でサポート |
サポートあり |
dhe-rsa-with-aes-128-cbc-sha |
IE8 以降でサポート |
サポートあり |
rsa-with-aes-128-cbc-sha |
IE8 以降でサポート |
サポートあり |
dhe-rsa-with-3des-ede-cbc-sha |
デフォルトでは使用不可 |
サポートあり |
rsa-with-3des-ede-cbc-sha |
デフォルトでは使用不可 |
サポートあり |
rsa-with-rc4-128-sha |
サポートあり |
サポートあり |
rsa-with-rc4-128-md5 |
サポートあり |
サポートあり |
dhe-rsa-with-des-cbc-sha |
未サポート |
デフォルトでは使用不可 |
rsa-export1024-with-rc4-56-sha |
サポートあり |
デフォルトでは使用不可 |
rsa-export1024-with-des-cbc-sha |
サポートあり |
デフォルトでは使用不可 |
dhe-rsa-export-with-des40-cbc-sha |
未サポート |
未サポート |
rsa-export-with-des40-cbc-sha |
未サポート |
未サポート |
rsa-export-with-rc4-40-md5 |
サポートあり |
サポートあり |
(注) Mozilla Firefox と Internet Explorer の両方で SSLv3 プロトコルと TLSv1 プロトコルがサポートされています。ただし、TLSv1 は、デフォルトでは使用できない場合があります。その場合は、ブラウザで TLSv1 を有効にする必要があります。
ブラウザでサポートされていない暗号またはプロトコルを設定すると、ブラウザと Central Manager の間の接続が失われます。この問題が発生した場合は、CLI から Central Manager マネジメント サービスの SSL 設定をデフォルトに設定して、接続を復元します。
Internet Explorer など、一部のブラウザは、Central Manager 上での SSL バージョンと暗号の設定変更に対して正しく対処しません。そのため、変更を送信した後にエラー ページがブラウザに表示されることがあります。この問題が発生した場合は、ページをリロードします。
ステップ 4 Cipher List ペインで、SSL アクセラレーションに使用される暗号スイートのリストを選択します。詳細については、暗号リストの操作を参照してください。
SSL 管理サービスの設定
SSL CA 署名証明書をエクスポートして、WAAS Central Manager と Web ブラウザの間の信頼できる SSL 通信を有効にすることができます。SSL 通信を有効にするためのデフォルトの証明書は、WAAS Central Manager の自己署名証明書です。ただし、別の証明書を使用する場合は、ユーザが設定する必要があります。
SSL 証明書を設定するには、次の手順に従います。
ステップ 1 [WAAS Central Manager] メニューで、[Devices] > [CM] > [Configure] > [Security] > [SSL Admin Service] の順に選択します。
デフォルトの証明書が表示されます。
ステップ 2 PKI 操作を選択します
a. 既存の証明書/キー ペアをアップロードまたは貼り付けるには、[Import Existing Certificate Key] をクリックします。
b. 現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。
インポートまたはエクスポートするファイルは、PKCS12 形式と Privacy Enhanced Mail(PEM)形式のいずれかである必要があります。
c. Central Manager および WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。
ステップ 3 [Submit] をクリックして証明書を登録します。
Central Manager は、SSL 通信用に選択した証明書を使用します。
SSL ピアリング サービスの設定
SSL ピアリング サービス設定パラメータは、SSL 接続を最適化すると同時に、WAE デバイス間に SSL アクセラレータによって確立される安全な通信を制御します(図 12-11)。ピアリング サービス証明書と秘密キーは、WAAS デバイスごとに固有です。そのため、個々のデバイスに対してだけ設定でき、デバイス グループには設定できません。
SSL ピアリング サービスの設定手順は次のとおりです。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ] を選択します。
ステップ 2 [Configure] > [Security] > [Peering Service] を選択します。
[Peering Service] ウィンドウが表示されます(図 12-25)。
(注) WAAS Express デバイスの場合、[Peering Service] ウィンドウには標準の [Peering Service] ウィンドウの各フィールドのサブセットがわずかに異なる形式で表示されます。
暗号リストの [Priority] 設定、および [Disable revocation check of peer certificates] オプションは WAAS Express に使用できません。
図 12-25 [SSL Peering Service] ウィンドウ
ステップ 3 [SSL Version] ドロップダウン リストから、使用する SSL プロトコルの種類を選択するか、[Inherited] を選択してグローバル SSL 設定に設定されている SSL プロトコルを使用します。SSL バージョン 3 プロトコルの場合は [SSL3]、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1]、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。
(注) WAAS Express デバイスでは、SSL3 と TLS1 だけが SSL バージョンとしてサポートされます。
ステップ 4 ピア証明書の検証を有効にするには、[Enable Certificate Verification] チェックボックスを選択します。証明書の検証を有効にすると、自己署名証明書を使用する WAAS デバイスは、相互にピア接続を確立することができなくなり、結果として、SSL トラフィックを加速できなくなります。
ステップ 5 [Disable revocation check for this service] チェックボックスを選択して、OCSP 証明書失効チェックを無効にします。
(注) WAAS Express デバイスでは、このオプションは使用できません。
ステップ 6 [Cipher List] ペインで、WAE デバイス ピア間の SSL アクセラレーションに使用される暗号スイートのリストを選択するか、[Inherited] を選択して SSL グローバル設定に設定されている暗号リストを使用します。
(注) WAAS Express デバイスでは、SSL アクセラレーションに使用される暗号スイートのリストは [Cipher List] ペインに表示されます。
詳細については、暗号リストの操作を参照してください。
ステップ 7 [Submit] をクリックします。
(注) WAAS Express デバイスでは、SSL 設定変更は、デバイスでセキュリティ ライセンスが有効にされるまで、デバイスに適用されません。
SSL アクセラレーション サービスの使用
WAAS システムで SSL アクセラレーションを有効にして設定した後、SSL パスで加速する少なくとも 1 つのサービスを定義する必要があります。SSL アクセラレーション サービスを設定するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [SSL Accelerated Services] を選択します。
ステップ 3 アクセラレーション サービスを削除するには、そのサービスを選択し、[Delete] をクリックします。
ステップ 4 [Create] をクリックして、アクセラレーション サービスを新しく定義します。最大 512 のアクセラレーション サービスを加速できます。
[Basic SSL Accelerated Services Configuration] ウィンドウが表示されます(図 12-26)。
図 12-26 SSL アクセラレーション サービス:基本ウィンドウ
ステップ 5 サービスの名前を [Service Name] フィールドに入力します。
ステップ 6 このアクセラレーション サービスを有効にするには、[In service] チェックボックスを選択します。
ステップ 7 クライアント バージョンのロールバック チェックを有効にするには、[Client version rollback check] チェックボックスを選択します。
クライアント バージョンのロールバック チェックを有効にすると、正しくないクライアント バージョンの接続が最適化されなくなります。
ステップ 8 サブジェクト代替名を照合するには、[Match Server Name Indication] チェックボックスを選択します。詳細については、SaaS アプリケーションの SSL アクセラレーションの設定を参照してください。
ステップ 9 プロトコル チェーンを有効にするには、[Enable protocol chaining] チェックボックスを選択します。
プロトコル チェーンを有効にすると、他のプロトコルを SSL を介して最適化できます。
ステップ 10 (任意)サービスの説明を [Description] フィールドに入力します。
ステップ 11 [Server] ドロップダウン リストから、SSL サービス エンドポイント タイプとして、[IP Address]、[Hostname]、または [Domain] を選択します。
ステップ 12 アクセラレーション サーバのサーバ IP アドレス(またはプロキシ IP アドレス)、ホスト名、またはドメインを入力します。サーバの IP アドレスを指定するには、Any キーワードを使用します。
(注) 最大 32 個の IP アドレス、32 個のホスト名、および 32 個のドメインが指定できます。
(注) ホスト名とドメイン サーバのアドレス タイプがサポートされるのは、WAAS ソフトウェアのバージョン 4.2.x 以上を使用している場合だけです。サーバ IP アドレス キーワードの Any がサポートされるのは、WAAS ソフトウェアのバージョン 4.2.x 以上を使用している場合だけです。
ステップ 13 加速するサービスに関連付けられたポートを入力します。
ステップ 14 [Add] をクリックして、各アドレスを追加します。サーバのホスト名を指定した場合、Central Manager はホスト名を IP アドレスに解決し、[Server IP] / [Server Ports] テーブルに追加します。
ステップ 15 リストから IP アドレスを削除するには、[Delete] をクリックします。
ステップ 16 証明書とキー ペアの方法を選択します(図 12-27)。
図 12-27 サービス証明書と秘密キーの設定
- WAAS デバイスで SSL に自己署名証明書/キー ペアを使用するには、[Generate Self-signed Certificate Key] をクリックします。
- 既存の証明書/キー ペアをアップロードまたは貼り付けるには、[Import Existing Certificate Key] をクリックします。
(注) SaaS アプリケーションの場合、証明書にサブジェクト代替名(SAN)情報が必要です。
- 現在の証明書/キー ペアをエクスポートするには、[Export Certificate Key] をクリックします。
- 既存の証明書/キー ペアを更新または置き換えるには、[Generate Certificate Signing Request] をクリックします。証明書署名要求は、新しい証明書を生成するために CA で使用されます。
インポートまたはエクスポートするファイルは、PKCS12 形式と PEM 形式のいずれかである必要があります。
- クライアントで設定された証明書を使用するには、[Import existing client certificate and optionally private key] をクリックします。
サービス証明書と秘密キーの設定手順については、サービス証明書と秘密キーの設定を参照してください。
(注) 既存の SSL アクセラレーション サービスの証明書またはキーを変更する場合は、[In service] チェックボックスの選択を解除して、[Submit] をクリックしてサービスを無効にし、5 分間待ってから [In service] チェックボックスを選択して、[Submit] をクリックしてサービスを再度有効にする必要があります。または、WAE で、no inservice SSL アクセラレーション サービス コンフィギュレーション コマンドを使用して、数分間待ち、inservice コマンドを使用することもできます。複数の SSL アクセラレーション サービスの証明書またはキーを変更した場合は、SSL アクセラレータを無効にしてから再び有効にして、すべてのアクセラレーション サービスを再起動することができます。
ステップ 17 [Advanced Settings] タブをクリックして、サービスの SSL パラメータを設定します。
[Advanced SSL Accelerated Services Configuration] ウィンドウが表示されます(図 12-28)。
図 12-28 [SSL Accelerated Services—Advanced] ウィンドウ
ステップ 18 (任意)[SSL version] ドロップダウン リストから、使用する SSL プロトコルの種類を選択するか、[Inherited] を選択してグローバル SSL 設定に設定されている SSL プロトコルを使用します。SSL バージョン 3 プロトコルの場合は [SSL3]、Transport Layer Security バージョン 1 プロトコルの場合は [TLS1]、SSL3 プロトコルと TLS1 SSL プロトコルの両方を使用する場合は [All] を選択します。
ステップ 19 (任意)[Cipher List] ドロップダウン リストから、WAE デバイス ピア間の SSL アクセラレーションに使用される暗号スイートのリストを選択するか、[Inherited] を選択して SSL グローバル設定に設定されている暗号リストを使用します。詳細については、暗号リストの操作を参照してください。
ステップ 20 (任意)証明書失効の OCSP パラメータを設定するには、次の手順を実行します。
a. クライアント証明書の検証を有効にするには、[Verify client certificate] チェックボックスを選択します。
b. [Disable revocation check for this service] チェックボックスを選択して、OCSP クライアント証明書失効チェックを無効にします。
c. サーバ証明書の検証を有効にするには、[Verify server certificate] チェックボックスを選択します。
d. [Disable revocation check for this service] チェックボックスを選択して、OCSP サーバ証明書失効チェックを無効にします。
(注) サーバとクライアントのデバイスが自己署名証明書を使用する場合、証明書の検証が有効になっていると、WAAS デバイスで SSL トラフィックを加速できなくなります。
ステップ 21 SSL アクセラレーション サービスの設定が完了したら、[Submit] をクリックします。
SSL アクセラレーション サービスの証明書またはキーの更新
ある時点で SSL アクセラレーション サービスの証明書またはキーを更新する必要がある場合は、次の手順に従います。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [SSL Accelerated Services] を選択します。
ステップ 3 該当するサービスの [Name] 列で [Edit SSL Accelerated Service] ボタンをクリックします。
ステップ 4 自己署名証明書および秘密キーの再生成、または更新された証明書またはキーのインポートのいずれかを行うための、証明書とキーのペアの方法(図 12-27)を選択します。
ステップ 5 選択した方法に応じて必要な詳細を入力し、[Generate] または [Import] をクリックし、次に [Submit] をクリックします。
(注) SSL アクセラレーション サービスの証明書を更新して使用する際は、設定済みの SSL アクセラレーション サービスを停止してから起動することが重要です。既存の証明書とキーはアクセラレータのメモリに格納されているため、この手順が必要になります。上記の手順で証明書およびキーを更新しても、メモリ内の証明書およびキーは更新されないため不十分です。
更新された SSL アクセラレーション サービスの証明書が使用されていることを確認するために、次の手順も必ず実行してください。
ステップ 6 該当するサービスの [Name] 列で [Edit SSL Accelerated Service] ボタンをクリックします。
ステップ 7 [In service] のチェックマークを外し、[Submit] をクリックします。
ステップ 8 最後にもう一度、該当するサービスの [Name] 列で [Edit SSL Accelerated Service] ボタンをクリックします。
ステップ 9 [In service] のチェックマークを入れ、[Submit] をクリックします。
SaaS アプリケーションの SSL アクセラレーションの設定
SaaS アプリケーションは、通常は複数の SSL サーバ ファーム、つまり複数のデータセンターにわたる複数のホストからサービスを提供されます。エンタープライズ データセンターでホストされる SSL サービスの場合、IT 管理者は把握および管理している SSL サーバ IP をデータセンター WAAS に提供することができます。ただし、クラウド内のサードパーティ製 SaaS プロバイダーでホストされる SSL サービスの場合、クラウド プロバイダーが複数の Content Delivery Network(CDN)およびデータセンターを使用しているため、SSL サーバ IP アドレスは IT 管理者によって管理されません。単一の SaaS サービスの場合でも、動的に変動する複数のサーバ IP アドレスがある可能性があります。これは、SaaS アプリケーションの名前空間または証明書の不一致による不慮のエラーの原因となります。
これらのエラーを回避してこれらのアプリケーションが最適化されるようにするには、次の手順に従って SaaS アプリケーション用に SSL アクセラレーション サービスを設定します。
ステップ 1 SSL アクセラレーション サービスの使用に記載されているステップ 1 ~ 8 に従って、SaaS アプリケーション用の SSL アクセラレーション サービスを作成します。
ステップ 2 サブジェクト代替名を照合するには、[Match Server Name Indication] チェックボックスを選択します。または、コア WAAS デバイスで match sni コマンドを使用します。
有効になっている場合、SSL アクセラレータは、宛先ホスト名に関して初期 SSL 接続セットアップ メッセージを(Server Name Indication と呼ばれる SSL プロトコル拡張内で)解析し、それを使用して宛先ホスト名を WAAS デバイスの SSL 証明書内の Subject Alternate Names リストと照合します。
(注) SaaS サーバ ドメインおよび IP アドレスが変動するという性質によって引き起こされる名前空間または証明書の不一致エラーを回避するために、クラウド ベースの SaaS アプリケーションの最適化にはこの設定を推奨します。
(注) 現在のほとんどのブラウザでは Server Name Indication(SNI)がサポートされています。SNI をサポートするブラウザを使用していることを確認してください。
(注) [Match Server Name Indication] オプションは WAAS 5.3.5 以降を実行しているデバイスでのみ使用できます。
ステップ 3 キーワード Any を使用して、アクセラレーション サーバのサーバ IP アドレスを指定します。
ステップ 4 SAAS アプリケーションのすべての SSL トラフィックをポート 443 に向けます。
上記の設定は、ワイルドカード設定よりも優先されます。
(注) SaaS アプリケーション以外のトラフィック用にポート 443 が設定されている場合は、設定を確認して適切に再設定する必要があります。
ステップ 5 証明書/キー ペアをアップロードまたは貼り付けるには、[Import Existing Certificate Key] をクリックします。証明書は SaaS アクセラレーション サービス専用にする必要があり、最適化する必要があるサーバ ドメインのサブジェクト代替名が含まれている必要があります。SaaS アプリケーションで使用するサーバ ドメインの決定に記載されている手順に従って、SaaS アプリケーションを最適化するために追加する必要があるサーバ ドメインを識別します。
(注) 接続が最適化されていることを確認するために、リストから派生する欠落サーバ ドメイン名を使用して新しい証明書を定期的に作成する必要があります。
ステップ 6 [Submit] をクリックして、SaaS アプリケーション用の SSL アクセラレーション サービスの設定を完了します。
SaaS アプリケーションで使用するサーバ ドメインの決定
[Match Server Name Indication] チェックボックスを選択すると、コア WAAS デバイスにログインして sh crypto ssl services accelerated-service service-name コマンドを使用して、既存の SSL 証明書に一致しない(したがって最適化されない)サーバ ドメイン名のリストを表示できます。これらのサーバ ドメイン名のいずれかを最適化する場合は、次の手順を実行することで、サーバ ドメイン名を選択してから証明書に追加します。
サーバ ドメイン名のリストには、最大で 128 個のサーバ名が含まれます。
ステップ 1 追加する関連サーバを識別します。サーバ名のカウントおよび最終表示情報に関する詳細を参照するには、sh crypto ssl services accelerated-service service-name を使用します。
IP アドレスおよびホスト名を表示するための追加情報が必要な場合は、debug accelerator ssl sni コマンドを使用して SNI デバッグを有効にします。
ステップ 2 Microsoft Management Console(MMC)、OpenSSL、またはその他の使用可能な顧客ツールにログインし、証明書のサブジェクト代替名拡張に SaaS アプリケーションの関連サーバ ドメイン名が記載された新しい証明書署名要求(CSR)を作成します。次の証明書の例で強調されている部分を参照してください。
(注) 証明書に SAN を追加する場合、ドメイン名をカンマで区切る必要があります。ドメインのホスト名のリストを 1 つの証明書で保護できることに注意してください。たとえば、a.b.c.com と c.b.com を *.b.c.com として追加できます。ただし、別のドメインの新しいホスト名の場合、新しいエントリを作成する必要があります。たとえば、b.c.com の場合、b.c.com または *.c.com として追加する必要があります。また、同じ証明書内のさまざまな基本ドメインのホスト名を保護することもできます(たとえば、a.b.com や a.b.net など)。
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=California, L=San Jose, O=Cisco
CN=Cisco_WAAS_CA/emailAddress=support@cisco.com
Not Before: Jul 31 06:49:56 2013 GMT
Not After : Aug 30 06:49:56 2013 GMT
Subject: C=US, ST=California, L=San Jose, O=Cisco
CN=Office365/emailAddress=support@cisco.com
Public Key Algorithm: rsaEncryption
00:c6:85:0d:f9:df:4e:4f:c4:53:d5:3e:0f:c4:cb:
53:42:34:34:7d:92:7f:ea:c1:75:0b:21:3f:5f:a1:
be:34:f1:40:c3:32:52:a1:05:79:26:7b:a3:29:c5:
5e:9f:3f:92:6b:d1:b2:fd:bc:c9:2b:8b:e2:9f:1a:
91:83:9b:c8:7f:3f:d9:56:92:75:be:b6:ed:39:39:
2f:1a:2f:ba:39:1b:06:76:0a:17:b5:f0:ec:dd:4c:
fa:94:be:ea:7c:e0:4e:51:b4:d2:75:4d:8b:d9:6e:
de:34:10:c7:c5:e8:97:5f:f2:7f:97:1e:9a:e0:e2:
fc:b4:58:11:45:82:19:14:11
Exponent: 65537 (0x10001)
X509v3 Basic Constraints:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:*.office365.com, DNS:outlook.com, DNS:*.aadcdn.microsoftonline-p.com, DNS:*.aspnetcdn.com, DNS:*.client.hip.live.com, DNS:*.hip.live.com, DNS:*.linkedinlabs.com, DNS:*.live.com, DNS:*.microsoft.com, DNS:*.microsoftonline-p.com, DNS:*.microsoftonline-p.net, DNS:*.microsoftonline.com, DNS:*.microsoftonlineimages.com, DNS:*.microsoftonlinesupport.net, DNS:*.msecnd.net, DNS:*.msocdn.com, DNS:*.office.net, DNS:*.office365.com, DNS:*.officeapps.live.com, DNS:*.officecdn.microsoft.com, DNS:*.onmicrosoft.com, DNS:*.outlook.com, DNS:*.res.outlook.com, DNS:*.sharepoint.com, DNS:*.sharepointonline.com, DNS:*.telemetry.microsoft.com, DNS:*.testexchangeconnectivity.com, DNS:*.vo.msecnd.net, DNS:*.webtrends.com
Signature Algorithm: sha1WithRSAEncryption
46:db:34:7f:c0:8e:13:81:67:0b:3c:8d:15:3a:ee:1f:c7:cf:
d1:6b:de:00:2a:35:9b:13:d6:bf:79:43:ce:31:c6:f9:de:f7:
20:1f:0e:86:9e:d4:91:01:57:a2:7b:fe:91:00:de:cf:58:90:
85:97:49:b3:11:4c:e9:05:d0:a1:a7:73:7e:50:64:8f:80:f4:
ec:fa:a7:bb:7a:c2:df:5e:c5:e3:a8:52:c4:31:4e:8e:53:36:
59:e9:0f:27:82:71:4e:3b:79:a4:c9:4f:18:7e:06:7a:0c:34:
0a:cf:3c:3e:73:73:5a:52:7d:03:a0:75:50:5a:d4:a5:8b:a9:
ステップ 3 エンタープライズ CA に証明書を送信します。
ステップ 4 エンタープライズ CA から信頼できるルート認証局のストアに署名付き証明書をインポートします。
(注) エンタープライズ ルート CA は、信頼できるルート CA としてブラウザに存在している必要があります。
ステップ 5 [In service] チェックボックスをオフにし、[Submit] をクリックしてアクセラレーション サービスを無効にします。
ステップ 6 新しい証明書をアップロードし、サービスを再び有効にします。
Akamai Connect と WAAS
Akamai Connect 機能は、Cisco WAAS に追加された HTTP/HTTPS オブジェクト キャッシュ コンポーネントです。これは、既存の WAAS ソフトウェア スタックに統合されており、HTTP アプリケーション オプティマイザを介して使用されます。
Akamai Connect は、ビジネス アプリケーションおよび Web アプリケーションの HTTP/HTTPS トラフィックの遅延の削減に役立ち、Point of Sale(POS)、HD ビデオ、デジタル サイネージ、店舗での注文処理などの多くのアプリケーションのパフォーマンスを向上できます。これにより、大幅な目に見える WAN データのオフロードが提供され、1 番目と 2 番目のパスのアクセラレーションにおいて、DRE(重複排除)、LZ(圧縮)、TFO(トランスポート フローの最適化)、SSL アクセラレーション(セキュア/暗号化)などの既存の WAAS 機能との互換性があります。
ここでは、次の内容について説明します。
Akamai Connect および WAAS で使用される用語
Akamai Connect および WAAS について、以下の用語が使用されます。
- Akamai Connect:Akamai Connect は、Cisco WAAS に追加された HTTP/S オブジェクト キャッシュ コンポーネントであり、既存の WAAS ソフトウェア スタックに統合され、HTTP アプリケーション オプティマイザを介して使用されます。WAAS を Akamai Connect とともに使用すると、ビジネス アプリケーションおよび Web アプリケーションの HTTP/S トラフィックの遅延を削減できます。
- Akamai Connected Cache:Akamai Connected Cache は Akamai Connect のコンポーネントであり、キャッシュ エンジン(CE)が Akamai Intelligent Platform の Edge サーバによって配信されるコンテンツをキャッシュできます。
業界全体で、モード、プロファイル、およびポリシーの各用語は、キャッシング タイプおよびプロセスを説明するために同じ意味で使用される場合があります。このマニュアルでは、次のようにこれらの用語を使用します。
- モード:透過キャッシングのバージョン(Basic、Standard、Advanced、または Bypass)。
- プロファイル:グループに適用される一連のホスト ルールおよびキャッシング タイプ(CE の優先順位に従います)。
- ポリシー:個別に、またはグループとしてデバイスまたはデバイス グループに適用される、一連のルールおよびキャッシングの条件。
Akamai Connect を WAAS に追加する利点
以下に、Akamai Connect を WAAS に追加する利点の一部を示します。
- インテリジェントな透過オブジェクト キャッシング(Akamai のキャッシュの統合による)。
- WAAS ソフトウェアおよび設定への Akamai Connect のシームレスな統合(WAAS Central Manager および WAAS CLI を使用)。
- 低遅延コンテンツ配信ネットワーク転送を提供する Akamai の Edge Grid Network との統合(Akamai Connected Cache を使用)。
- 大幅な目に見える WAN データのオフロード。
- 指定した Web サイトのキャッシュ事前配置(ウォーミング)。
- 特定の Web サイトまたはドメインのキャッシュ制御のためのホスト名ルール。
- Akamai Connect と WAAS ミドルマイル機能の併用のための、1 番目と 2 番目のパスの高速化(DRE、LZ、TFO、および SSL の高速化など)
- 両面または片面のネットワーク配置(両面または片面のネットワーク配置で説明)。
両面または片面のネットワーク配置
Akamai Connect は、両面または片面いずれかの導入シナリオで導入できます。
両面導入(図 12-29)では、HTTP および HTTPS のトラフィックに関して既存の WAAS テクノロジーと Akamai キャッシングの利点が提供されます。
- 顧客が所有するイントラネット Web リソースの透過キャッシング。
- ブランチ内のみでのキャッシング。
- 事前配置が組み込まれています(非 SSL コンテンツの場合)。
図 12-29 両面導入
片面導入(図 12-30)は、HTTP オブジェクト キャッシングの利点を提供します。
- プロキシ固有の HTTP cache-control ヘッダーを活用する汎用 Web リソース。
- ブランチ内のみでのキャッシング。
- 事前配置が組み込まれています(非 SSL コンテンツの場合)。
- 片面導入は、デフォルトでは Standard モードの透過キャッシングでオンになっています。
図 12-30 片面導入
WAAS での Akamai Connect の使用に関する考慮事項
以下に、WAAS で Akamai Connect を使用する際の考慮事項を示します。
- キャッシュのコンテンツを表示することはできず、キャッシュに残すためにコンテンツを固定することはできません(たとえば、事前配置コンテンツの場合)。
- HTTPS コンテンツ用の別のキャッシュはありません。ただし、HTTP と HTTPS の両方がアクセスしている場合、同じサイトに対してデータが格納される方法は異なります(サイトがキャッシュに格納される方法は URL に基づいており、これは HTTP と HTTPS で異なります)。
CE は AppNav を明示的には統合していません。AppNav のステータスは、HTTP アプリケーション アクセラレータに基づいています。
(注) モード、プロファイル、およびポリシーの各用語は、キャッシング タイプおよびプロセスを説明するために同じ意味で使用される場合があります。このマニュアルでは、次のようにこれらの用語を使用します。
モード:透過キャッシングのバージョン(Basic、Standard、Advanced、または Bypass)。
プロファイル:グループに適用される一連のホスト ルールおよびキャッシング タイプ(CE の優先順位に従います)。
ポリシー:単一で、またはグループとしてデバイスまたはデバイス グループに適用される、一連のルールおよびキャッシングの条件。
キャッシング タイプ
WAAS は、透過キャッシング、Akamai Connected Cache、およびオーバーザトップ(OTT)キャッシングをサポートします。
キャッシング タイプ:優先順位
使用されているキャッシング モードおよびポリシーが複数存在する場合、CE はこれらの実行時に優先順位を適用します。優先順位の高いルールが最初に実行され、そのドメインまたはデジタル プロパティに適用されているその他のルールは無視されます。優先順位は次のとおりです。
1. 透過キャッシングのルール
2. OTT/Akamai Connected Cache
3. Default Transparent ポリシー
たとえば test.com が Akamai Connected Cache のプロパティであるが、このサイトに Adanced モードのキャッシュ ルールが設定されている場合、Advanced モードが優先され、Akamai Connected Cache はスキップされます。
(注) キャッシュ事前配置がオンになっている場合、その優先順位はその他のキャッシング タイプと同じです。
(注) Akamai Connect は、最も正確なホスト名一致、次にキャッシュ優先順位に基づいてキャッシュ タイプを決定します。www.host.com は *.host.com より正確です。このシナリオでは、Akamai Connected Cache(優先順位 #2)などの優先順位が低いキャッシュに透過(優先順位 #1)などの優先順位が高いキャッシュよりも正確な一致がある場合、より正確な一致と優先順位が低いキャッシュを使用してキャッシングが発生します。
透過キャッシング
透過キャッシング(RFC-2616 標準に準拠)は、コンテンツを変更せずに元のサーバからクライアントに配信します。透過キャッシングは、関連する認証を使用して、クライアントからサーバに要求を送信します。途中でプロキシ サーバによってヘッダーまたは返されるパケットのいずれにも変更が加えられることはありません。ただし、プロキシのアクションにマークを付けるいくつかのヘッダーがあり、これらのヘッダーはキャッシュ制御ヘッダーの変更を意味せずに変更されることがあります。
4 つのタイプの透過キャッシング モード(Basic、Standard、Advanced、および Bypass)があります。
透過キャッシングが動作できるモードは 2 つあります(片面モードと両面モード)。
(注) HTTPS を介して透過キャッシングにアクセスする場合、デフォルトのキャッシング モードは Basic モードです。この場合、機密コンテンツが誤ってキャッシュされることはありません(Basic モードでは、ユーザが明示的にマークを付けたコンテンツのみがキャッシュされます)。HTTPS を使用して別のモードでコンテンツをキャッシュする場合は、HTTPS サーバ ロケーションに一致するホスト ルールを作成します。ホスト ルールの作成の詳細については、キャッシング ポリシーの設定を参照してください。
Basic モード
Basic モードでは、CE は厳密な RFC-2616 動作で機能するため、任意のタイプの IP ネットワークを介したデータセンターからブランチ オフィスへのトラフィックを提供および加速するために、Cache-Control ヘッダーを使用して明示的にキャッシュ可能としてマークが付けられているか Expire ヘッダーがある応答のみがキャッシュされます。キャッシングはブランチまたはローカル ルータでのみ行われ、元の送信場所には関係なくインターネットからのコンテンツをキャッシュできます。
Standard モード(デフォルト)
Standard モード(デフォルト)でも、CE は cache control ヘッダーに関して RFC-2616 動作に従いますが、Basic モードとは次のように異なります。
- Standard モードでは、CE はクライアント キャッシュのオーバーライド動作には従いません(たとえば、must-revalidate や proxy-revalidate など)。
- cache-control ヘッダーも expire ヘッダーも存在しないが Last Modified Time はある場合、CE は Last Modified Time に基づいてヒューリスティックを実行し、見かけの経過時間の 10% のオブジェクトを格納します(最大で 1 日)。
注意 適切に設定された Web サイトは Standard モードでも動作しますが、キャッシュ可能であると適切にマークが付けられていないログイン ページ、クッキー設定ページ、または動的コンテンツでは、問題が発生する可能性があります。シスコは Web サイトをテストすることを推奨します。これは、新しく作成した Web サイトやユーザが少ないサイトの場合に特に重要です。
Advanced モード
Advanced モードでは、CE はよりアグレッシブにメディア タイプをキャッシュし、すべてのオブジェクト タイプをより長時間キャッシュします(明示的な有効期限がない場合)。Advanced の Standard モードに対する利点のほとんどは、Web サイトでキャッシュ可能なメディア コンテンツがまだ適切にマーク付けされていない場合に発生します。Advanced モードは、メディアリッチなイントラネット サイトに最適です。
cache-control ヘッダーも expire ヘッダーも存在しないが Last Modified Time はある場合、CE は Last Modified Time に基づいてヒューリスティックを実行し、見かけの経過時間の 20% のオブジェクトを格納します(最大で 1 日)。
表 12-5 にリストされている特定のメディア ファイル タイプは、そのメディア タイプがキャッシュ不可と指定されていないか、またはメディア タイプの要求に明らかな経過時間がない場合、Advanced モードによって丸 1 日キャッシュされます。その他のすべてのメディア タイプの場合、Last Modified Time があるかどうかには関係なく、システムは最短で 1 時間、最長で 7 日間オブジェクトをキャッシュします。
表 12-5 Advanced モード:丸 1 日キャッシュされる可能性があるメディア タイプ
Advanced モード:丸 1 日キャッシュされる可能性があるメディア タイプ (キャッシュ不可と指定されていないか、またはメディア タイプの要求に明らかな経過時間がない場合) |
3g2 |
3gp |
aac |
aif |
aiff |
asf |
asx |
au |
avi |
bin |
bmp |
cab |
carb |
cct |
cdf |
class |
css |
dcr |
doc |
docx |
dtd |
dv |
dvd |
dvr |
dvr-ms |
exe |
flv |
gcf |
gff |
gif |
grv |
hdml |
hqx |
ico |
ini |
jpeg |
jpg |
js |
m1v |
m4a |
midi |
mov |
mp3 |
mp4 |
mpeg |
mpg |
mpv |
nv |
pct |
pdf |
png |
ppc |
ppt |
pptx |
pws |
qt |
swa |
swf |
tif |
txt |
vbs |
w32 |
wav |
wbmp |
wma |
wml |
wmlc |
wmls |
wmlsc |
wmv |
xsd |
xsl |
xls |
xlsx |
zip |
|
|
注意 適切に設定された Web サイトは Advanced モードでも動作しますが、Advanced モードでは、わずかなキャッシング誤設定があった場合でも特定の Web ページの表示に問題が発生する可能性があります。シスコは、CE を実稼働環境に導入する前に、ご使用のアプリケーションに関してこのキャッシング モードのパフォーマンスをテストすることを推奨します。テストする際には、動的な URL、およびクライアントに対して認証を提示する必要があるコンテンツに特に注意してください。
Bypass Mode
Bypass モードでは、CE は 1 つ以上の設定済みサイトに対してキャッシングをオフにします。特定のホスト名に対して Transparent Bypass モードが設定されている場合、ルールで指定されているホスト名のキャッシングは抑制されます。
Bypass モードは、あるサイト、またはあるサイトの一部に対して Akamai Connected Cache または OTT キャッシングをオフにする場合に役立ちます。
たとえば、タイプ images#.bar.com のサーバがある場合、images2.bar.com のみがキャッシングから除外されるようにバイパス ルールを設定できます。その他のすべての images#.bar.com サーバは、継続して既存のルールの下でキャッシュされます。
Akamai Connected Cache
Akamai Connected Cache(図 12-31)を使用すると、CE は Akamai Intelligent Platform の Edge サーバによって配信されるコンテンツをキャッシュできます。これは、世界中の Akamai Content Delivery Network(CDN)によって提供されるコンテンツです。通常はエンタープライズ キャッシュ エンジンでキャッシュ可能ではありませんが、提供元のネットワーク エッジ要素との対話に基づいて Akamai CE にキャッシュできます。
図 12-31 Akamai Connected Cache
Akamai Connected Cache の機能
以下に、Akamai Connected Cache 機能のリストを示します。
- オブジェクト キャッシングは、クライアント側の WAAS デバイスでのみ行われます。
- 事前配置を活用して、Akamai Intelligent Platform を介して配信される HTTP Web サイトをキャッシュできます。
- HTTP オブジェクト キャッシュの有効化時および登録時に、各 WAE CE はクレデンシャルを取得するために Akamai ネットワークに接続します。
- WAAS/Akamai CE は、最初の応答の HTTP ヘッダーから Akamai Connected Cache で「Akamai 対応」にすることができるサイトを決定します。次に、CE および Akamai Edge Server は、クレデンシャルを交換し、Akamai Connected Cache が発生することに同意します。これも、HTTP 要求および応答内の HTTP ヘッダーで行われます。
- Akamai Edge Server は、処理中のオブジェクト(変更されないオブジェクト)を提供し、Akamai CE を使用した WAE と正しいクレデンシャルでこれらのオブジェクトをキャッシュできるようにすることができます。有効なクレデンシャルを持たないユーザまたはその他のキャッシュは、キャッシュすることを許可されません。
- Akamai Edge Server は、処理対象のオブジェクトに関して WAAS/Akamai CE がオブジェクトをキャッシュできるようにするための追加のヘッダーを提供します。CE は、これを対応するクライアントに転送します。CE とクライアントの間で渡されるヘッダーは、パス内に WAE がない場合にクライアントまたはエンタープライズ プロキシ サーバに表示されるヘッダーと類似しています。
Akamai Connected Cache の要件
Akamai Connect の [Cache Settings] タブ([Configure] > [Caching] > [Akamai Connect])で [Enable Akamai Connect] チェックボックスを選択すると、Akamai Connected Cache がデフォルトで有効になります。
Akamai Connected Cache が動作するためには、登録と認証キーが必要です。Akamai Connected Cache を無効または有効にする方法については、Akamai Connected Cache の有効化を参照してください。
OTT キャッシング
オーバーザトップ(OTT)キャッシングは、セッションおよびサイトに関連する URL を調べてそのオブジェクトが以前に CE キャッシュに格納されたオブジェクトと同一かどうかを判別することにより、動的コンテンツをキャッシュします。OTT は、ストリーム配信されるコンテンツ(特にビデオ コンテンツ)、およびセッションまたは認証方式に基づいた動的 URL を使用するサイトで使用されます。
OTT は、通常はキャッシュできないいくつかの人気サイトを WAAS がキャッシュして提供できるように Akamai が開発したキャッシング機能です。このキャッシング機能には、Akamai によって作成および配布される特殊なメタデータが必要です。OTT では、メタデータ ロジックを使用して、ビデオごとに固有のキャッシュ キーを決定します。これにより、動的 URL をキャッシュできます。
図 12-32 OTT キャッシング
このリストでは、OTT が WAAS とともにどのように機能するかを示します。
- 現在、CE は、1 つのサイト、YouTube に対してのみ OTT を使用しています。
- YouTube は HTTPS を介して配信されるため、SAAS 最適化の場合と同じプロセスに従う必要があります。詳細については、SaaS アプリケーションの SSL アクセラレーションの設定を参照してください。照合する必要があるドメインは、*.youtube.com、*.ytimg.com、*.googlevideo.com、および *.ggpht.com です。
- OTT はデフォルトで無効になっていますが、HTTP アプリケーション アクセラレータのオブジェクト キャッシュを有効にすると有効になります。OTT を有効または無効にする方法については、OTT キャッシングの有効化を参照してください。
以下に、WAAS および Akamai Connect を使用した OTT 機能のワークフローを示します。
1. 登録プロセスで、WAE CE は YouTube にメタデータを提供します。
2. クライアントが YouTube サイトにアクセスします。1 つのクライアント要求は、実際にはチャンクとしてビデオを要求することに注意してください(動的 ID の場合でも同様)。各チャンクには、ビデオの一部だけではなく、関連付けられたオーディオおよびビデオの品質(360p、480p、720p など)も含まれています。
3. Akamai CE は、メタデータ ロジックを使用して、動的 ID ごとに固有のキャッシュ キーを決定します。YouTube の動的 ID は通常は約 6 時間で期限切れになりますが、CE はこれを 1 日間格納します。
4. ビデオが再生されるたびに、要求は元のサーバにアクセスして動的 ID を取得します。次に、これをキャッシュ内の動的 ID とキャッシュ キーのペアと比較します。
ビデオに関連付けられた動的 ID が変更されると、ビデオは元のサーバから提供されますが、これは失敗します。その ID に対する新しいキャッシュ キーが生成され、格納されます。
一致が見つかると、ビデオはキャッシュから提供されます。
Akamai Connect の登録、アクティブ化、および有効化
ここでは、Akamai Connect の登録、アクティブ化、および有効化の方法、WAAS デバイスの登録解除および再登録の方法、および非アクティブまたは期限切れの Akamai Connect ライセンスの交換方法について説明します。
Akamai Connect 用の WAAS 設定の確認
Akamai Connect をアクティブにするための登録プロセスを開始する前に、WAAS 設定が次のようになっていることを確認します。
- WAAS CM および WAAS アプライアンスがソフトウェア バージョン 5.5.1 にアップデートされている。
- NTP 標準サーバ(NTP.org)から 30 秒以内であることが確認済みの NTP サービス。NTP サーバの設定方法については、第 10 章「その他のシステム設定の構成」のNTP サーバの設定を参照してください。
- WAAS デバイスおよび WAAS CM 上に設定された動作中の公開 DNS サーバ。DNS サーバの設定方法については、第 6 章「ネットワーク設定の構成」のDNS サーバの設定を参照してください。
- WAAS CM がポート 443 で HTTPS を介して Akamai の Luna システムに到達できる(カスタム ホスト名はアクティベーション ファイル内にあります)。
- WAAS デバイスが Akamai Management Gateway(AMG)に接続して認証キーを取得できる。Akamai Connect 用に設定された WAAS デバイスには、毎日 AMG にアクセスして正しいクレデンシャルと更新されたメタデータを取得するための正しいネットワーク接続が必要です。WAAS は、ポート 443 で AMG への HTTPS 接続を確立して、この情報を取得します。
インターネットに直接アクセスできない WAAS デバイスは、WAAS CM をプロキシとして使用するように設定できます。詳細については、次のサイトを参照してください。
(注) WAAS が AMG と 48 時間以上通信できないと、Akamai Connected Cache 機能は動作を停止します。
Akamai Connect の有効化
[Akamai Connect] 画面には次の 2 つのタブがあります。
Akamai Connect を有効にするには、次の手順に従います。Akamai Connect の詳細については、Akamai Connect と WAASを参照してください。
ステップ 1 WAAS Central Manager メニューの [Device Groups] タブまたは [Devices] タブのいずれかから、[Configure] > [Caching] > [Akamai Connect] の順に選択します。
[Cache Settings] と [Cache Prepositioning] という 2 つのタブがある [Akamai Connect] ウィンドウが表示されます。
ステップ 2 [Cache Settings] タブを選択します。
(注) デバイス グループに対して Akamai Connect 機能を設定する場合、そのデバイス グループには Akamai Connect をサポートするデバイスのみが含まれている必要があります。詳細については、Akamai キャッシングでサポートされる WAAS プラットフォームを参照してください。
ステップ 3 [Enable Akamai Connect] チェックボックスを選択して、Akamai Connect CE をオンにします。EULA(エンドユーザ ライセンス契約)が表示されたら、[Accept] をクリックします。
デバイスまたはグループ レベルで設定を初めて作成する場合、Akamai ライセンス アップロード ファイルが表示され、提供されたライセンス ファイルを選択し、[Submit] をクリックします。Akamai Connect ライセンスのアクティブ化の詳細については、Akamai Connect のライセンスのアクティブ化を参照してください。
(注) CE を有効にすると、アクティブ キャッシングが Standard モードで開始されます。Advanced モードまたは Bypass モードを希望する場合は、それを指定する必要があります。このステップについては、キャッシング ポリシーの設定で説明します。
ステップ 4 [Edit Settings] または [Advanced Cached Settings] に進みます。
(注) 詳細設定やキャッシュ事前配置などの設定を編集する場合は、Akamai Connect 機能を有効のままにしておく必要があります。
Akamai Connect のライセンスのアクティブ化
Akamai Connect をアクティブにするための登録プロセスを開始する前に、Akamai Connect 用の WAAS 設定の確認の説明に従って、WAAS 設定が準備できていることを確認します。
Akami Connect アクティベーション ファイルを受信してアクティブにするには、次の手順に従います。
ステップ 1 シスコのアカウント担当者または再販業者から Akamai Connect のライセンスを購入します。
ステップ 2 アカウント担当者または再販業者が Cisco Commerce Workspace(CCW)システムに注文を入力します。注文では、アクティベーション ファイルの電子配信のための電子メール アドレスを指定する必要があります。
ステップ 3 CCW は Akamai Luna ポータルにアクセスして、入力された Akamai ライセンスの数とタイプに対するライセンスを要求します。
ステップ 4 Akamai は、ライセンスを生成して、単一のアクティベーション ファイルの形式で CCW システムに送信します。
ステップ 5 CCW システムは、注文で指定されている電子メール アドレスにアクティベーション ファイルを添付した電子メールを送信します。CCW 注文内の電子メール アドレスを選択する際の優先順位は次のとおりです。
- 優先順位 1:電子配信用電子メール アドレス
- 優先順位 2:エンド カスタマーの電子メール アドレス
- 優先順位 3:出荷連絡先の電子メール アドレス
(注) 注文で電子メール アドレスを指定しないと、アクティベーション ファイルを受信しません。
ステップ 6 各 WAE で Akamai キャッシングを有効にします。[Akamai Connect] 画面に到達するために使用できるパスは 2 つあります。いずれかのパスを使用して、Akamai Connect で Akamai Connected Cache または OTT のいずれかの透過キャッシング方式を使用できるようにすることができます。今回初めて [Akamai Connect] 画面に移動する場合は、ライセンスのアクティベーション ファイルを指定するように求めるプロンプトが表示されます。
- WAAS CM から、[Device/Device Group] > [Configure] > [Caching] > [Akamai Connect] の順に選択します。
または
- WAAS CM から、[Home] > [Admin] > [Licenses] > [Akamai Connect] の順に選択します。必要に応じて、後でこのパスを使用してライセンスを追加できます。
[Akamai Connect] 画面が表示されます。
ステップ 7 [Upload Akamai Connect License file] フィールドで [Browse] をクリックし、アクティベーション ファイルを強調表示して [OK] をクリックします。
ステップ 8 [Upload] をクリックします。アクティベーション ファイル内の認証データが Akamai Luna ポータルに送信されます。
ステップ 9 デバイス メッセージが Luna ポータルに送信された後:
- Luna ポータルは、WAAS Central Manager および Akamai Management Gateway(AMG)に資格コードを送信します。
- WAAS Central Manager は、WAAS に資格コードを送信します。
- AMG は、Akamai Grid ネットワークの Edge サーバに資格コードを導入します。
資格コードは、Luna、AMG、および WAAS デバイスで維持されます。WAAS は、アドレス amg.terra.akamai.com を解決できるプロキシおよび DNS サーバを使用して AMG に接続します。
ステップ 10 [Status of devices with Akamai Connect feature configured] というタイトルのリストに、1 つ、一部、またはすべてのデバイスに関して次のタイプのステータスが表示されます。
- [Akamai Device Status]:[ActivationInProgress]、[Active]
- [Operational Status]:[Disconnected]、[Connected]、または [Running]
- [Connectivity to Akamai]:[Activating]、[Activated]、または [Connected]
デバイス登録、動作ステータス、および Akamai への接続は、3 つのステータス カテゴリ([Akamai Device Status]/[Operational Status]/[Connectivity to Akamai])に対する一連のステータス インジケータで進行します。
- [ActivationInProgress] /[Disconnected] /[Activating]
- [ActivationInProgress] /[Connected] /[Activating]
- [Active] /[Connected] /[Activated]
- [Active] /[Connected] /[Connected]
(注) WAAS デバイスのアクティベーション プロセスの完了には 15 ~ 60 分かかり、この間、[Connectivity to Akamai] ステータスは [Activating] と表示されます。アクティベーション プロセスが完了して [Connectivity to Akamai] ステータスが [Connected] と表示されるまではデバイスは AMG によって認識されないため、この間はデバイスが Akamai ネットワークと通信できない可能性があります。
ステップ 11 登録プロセスの最後の手順で、Luna は AMG および Akamai Grid ネットワークの Edge サーバに Connected Cache のクレデンシャルを送信します。AMG は Connected Cache のクレデンシャルを WAAS に転送します。Connected Cache のクレデンシャルが WAAS と Edge サーバの両方にあると、Connected Cache が有効になり、Edge サーバでキャッシング要求に対応できます。その後、この認証された接続は、Akamai Grid ネットワークの Edge サーバからの Connected Cache および OTT のキャッシング要求に対してサービスを提供できます
ステップ 12 各 WAE の登録が開始されます。WAAS CM は、Akamai Connect を実行する各デバイスに関する情報を Akamai Luna ポータルに提供します。
(注) [Connected] 動作ステータスの完了まで数分かかります。Edge サーバへのアクティベーションの導入の完了まで最大で 45 分程度かかります。いつ要求を行ったか、トラフィックの状態、およびその他の不確定要素に応じて、[Active] アクティベーション ステータスが表示されるまで数分から 2 時間かかります。
ステップ 13 資格コードを送信された各 WAE は、amg.terra.akamai.com を使用して AMG への SSL 接続を確立しようとします。Luna ポータルは、Akamai Connected Cache のクレデンシャルを AMG および Akamai Grid ネットワークに(Akamai Edge Server に)エクスポートします。
- AMG は、Akamai Connected Cache のクレデンシャルを Akamai Connected Cache 用に設定されている各 WAE にエクスポートします。OTT が有効になっている場合、YouTube のオブジェクトをキャッシュするために必要な OTT メタデータもこの時点で処理されます。
- Akamai Connected Cache は、元のサーバに向かうときに WAE CE によって送信されます。WAE CE が Akamai Edge Server に従った有効なクレデンシャルを持っている場合、Akamai Edge Server は通常は他のデバイスにキャッシュできないオブジェクトを WAE CE に提供します。
ステップ 14 WAE CE は毎日新しいクレデンシャルを要求し、2 日間有効です。接続は常に TCP 443 を介して WAE または WAAS CM から AMG に確立されます。
- セキュリティ上の理由で、ファイアウォールは通常は会社内から外部へのトラフィックに対してステートフル インスペクションを実行することにより展開されます。また、ファイアウォールは外部から内部への不明トラフィックをブロックするように設定されます。どのようなときでも AMG を起点とした WAAS CM または WAE への接続は必要ではないため、この設定に問題はないはずです。そのような接続が必要な場合、WAAS CM または WAE がポート 443 でデバイスと通信できるようにホールを作成する必要があります。
(注) [All Devices] 画面の [Devices listing] には [Akamai Connect] というタイトルの列が含まれており、各デバイスのステータス([Active]、[Not Supported]、[Connected]、[Disconnected])が表示されます。
ステップ 15 必要に応じて、Akamai ネットワークへの接続での HTTP プロキシの使用の説明に従って、HTTP プロキシまたは外部 HTTP プロキシを設定します。
WAAS デバイスの登録解除と再登録
WAAS デバイスを WAAS CM から登録解除すると、WAAS CM は Akamai 側のデバイス レコードの削除を開始し、それによって AMG デバイスと対話するために CE によって使用されている資格キーが無効になります。WAAS 側では、CE は継続して透過キャッシュ モードで動作します。
WAAS デバイスを WAAS CM に再登録すると、次の 2 つのいずれかが発生します。
- WAAS CM がデバイスをデバイス グループ(そのようにマークが付けられているもの)に自動的に割り当てます。これらのデバイス グループのいずれかに Akamai Connect/HTTP キャッシュ設定がある場合、WAAS CM は Akamai への登録を開始します。
- どのデバイス グループにも Akamai Connect/HTTP キャッシュ設定がない場合、登録は個別に行われます。
デバイスが登録されると、新しい資格キーを取得します。
非アクティブまたは期限切れの Akamai Connect ライセンスの交換
ライセンスが非アクティブまたは期限切れになった場合は、次の手順に従ってライセンスを交換します。
ステップ 1 ライセンスが非アクティブまたは期限切れになると、次の 2 つの WAAS CM 画面のいずれかに通知が表示されます。
- [Home] > [Admin] > [Licenses] > [Akamai Connect] 画面:「Akamai Connect License is Inactive.Please remoeve current license and import valid license.」
- [Home] > [Monitor] > [Troubleshoot] > [Akamai Diagnostics] 画面:「Akamai Connect License is Inactive.Please remove existing license and import new one using Akamai License page.」
ステップ 2 非アクティブまたは期限切れのライセンスを削除します。
ステップ 3 新しいライセンス ファイルをアップロードするには、[Home] > [Admin] > [Licenses] > [Akamai Connect] 画面で、[Choose File] をクリックして新しいライセンス ファイルを参照し、[Upload] をクリックします。
ステップ 4 期限切れのライセンスをインポートすると、次のメッセージが表示されます:「Unable to communicate to Akamai server (Error: License is inactive or expired).See Central Manager log file for detailed error information.」
ステップ 5 新しいライセンスを取得するには、シスコのアカウント担当者または再販業者にお問い合わせください。
Akamai Connected Cache の有効化
Akamai Connected Cache CE の設定は、デバイス グループ レベル(すべての登録済みデバイスに対して設定を適用する場合)またはデバイス レベル(特定の登録済みデバイスに対して設定を適用する場合)で行うことができます。
Akamai Connected Cache を有効にするには、次の手順に従います。Akamai Connected Cache の詳細については、 Akamai Connected Cacheを参照してください。
ステップ 1 Akamai キャッシングを有効にするには、[Akamai Connected Cache] チェックボックスをオンにします。デフォルトではイネーブルになっています。Akamai Connected Cache を有効にすると、すべての適切な Akamai 対応コンテンツに対して有効になります。
ステップ 2 [Submit] をクリックします。
ステップ 3 Akamai Connected Cache を有効にした後で、キャッシング ポリシーの設定の説明に従って、すべてのサイトに対してキャッシング ポリシーを設定するか、または特定のサイトに対して個別のキャッシング ポリシーを設定できます。
ステップ 4 Akamai Connected Cache を有効にした後で、キャッシュ事前配置の設定の説明に従ってキャッシュ事前配置を設定できます。
OTT キャッシングの有効化
OTT キャッシングを有効にするには、次の手順に従います。OTT キャッシングの詳細については、OTT キャッシングを参照してください。
ステップ 1 オーバーザトップ(OTT)キャッシングを有効にするには、[Over the Top Cache] チェックボックスをオンにします。初期リリースでは、OTT キャッシングは YouTube にのみ適用されます。
ステップ 2 [Submit] をクリックするか、または [Advanced Cache Settings] に進みます。[Advanced Cache Settings] の詳細については、Advanced モードを参照してください。
Akamai ネットワークへの接続での HTTP プロキシの使用
Akamai Connect を使用する場合、WAAS CM および WAAS デバイスは、Akamai ネットワークとの通信、WAAS デバイスのエントリのプロビジョニングのための Akamai Luna API サーバとの通信、および Akamai Connected Cache 機能と OTT 機能のための Akamai AMG デバイスとの通信が可能である必要があります。
ただし、一部の WAAS 導入環境では、インターネットへの発信接続が WAAS CM または WAAS デバイスに対して許可されない可能性があります。これらの導入環境では、WAAS デバイスは HTTP プロキシを使用して Akamai ネットワークに接続できます。
次のプロキシ設定が可能です。
これら 3 つのプロキシ設定について、WAAS は次の 5 つの導入シナリオをサポートします。
|
|
|
WAAS HTTP CE から
Akamai AMG
|
HTTP プロキシを使用しない |
直接/ 直接 |
直接 |
直接 |
WAAS CM を HTTP プロキシとして |
直接/ WAAS CM をプロキシとして |
直接 |
WAAS CM を HTTP プロキシとして |
外部 HTTP プロキシ |
直接/ 外部 HTTP プロキシ |
直接 |
外部 HTTP プロキシ |
外部 HTTP プロキシ |
外部 HTTP プロキシ/ 直接 |
外部 HTTP プロキシ |
直接 |
外部 HTTP プロキシ |
外部 HTTP プロキシ/ 外部 HTTP プロキシ |
外部 HTTP プロキシ |
外部 HTTP プロキシ |
次の考慮事項は、すべての HTTP プロキシ導入に適用されます。
- HTTP プロキシは WAAS CM から設定します。HTTP プロキシ用の CLI コマンドはありません。HTTP プロキシの設定には WAAS CM の再起動は不要です。
- HTTP プロキシは、HTTPS 接続のトンネリングのために HTTP Connect メソッドをサポートする必要があります。
- HTTP プロキシの設定には WAAS CM の再起動は不要です。
(注) WAAS v5.5.1 は HTTP プロキシ ユーザ認証をサポートしていません。IP アドレス ACL を使用してプロキシへのアクセスを制限することを推奨します。
WAAS CM を HTTP プロキシとして使用する
WAAS CM を Akamai ネットワークへのプロキシとして使用する際は、以下の考慮事項に注意してください。
- Akamai Connected Cache を使用してるときは、各 WAAS CE デバイスは Akamai ネットワークと通信しています。一部の WAAS 導入環境では、WAE デバイスがインターネットへの発信接続を確立することが許可されない可能性があります(つまり、プライベート ネットワークなど)。この場合、WAE デバイスは Akamai ネットワークへのすべての接続に WAAS CM デバイスをプロキシとして使用できます。
- WAAS CM が TCP ポート 443 で外部と通信するためのホールも必要な可能性があります。
- WAAS CM がプロキシ デバイスを使用してインターネットに到達するためのオプションはありません。
- すべての接続は WAAS CE デバイスまたは WAAS CM から外部の Akamai ネットワークに向けて確立されます。Akamai ネットワークから WAAS CE デバイスまたは WAAS CM に向けて確立されることはありません。
- この機能は、CLI ではなく WAAS CM のみから設定します。
WAAS CM を HTTP プロキシとして使用するには、次の手順に従います。
ステップ 1 [Devices] または [Device Groups] から、[Configure] > [Caching] > [Akamai Connect] に移動します。
ステップ 2 [Cache Settings] タブを選択します。
ステップ 3 [Use HTTP proxy for connections to Akamai network] チェックボックスを選択します。
ステップ 4 [HTTP Proxy:] ドロップダウン リストで、[Central Manager as HTTP Proxy] を選択します。
ステップ 5 [Submit] をクリックします。
外部 HTTP プロキシの設定
Akamai Connected Cache を使用してるときは、WAAS デバイスは Akamai ネットワークと通信しています。一部の導入環境では、インターネットへの発信接続が WAAS デバイスに対して許可されない可能性があります。これらの導入環境では、WAAS デバイスは HTTP プロキシを使用して Akamai ネットワークに接続できます。HTTP プロキシの詳細については、Akamai ネットワークへの接続での HTTP プロキシの使用を参照してください。
(注) HTTP プロキシは、HTTPS 接続のトンネリングのために HTTP CONNECT をサポートする必要があります。
外部 HTTP プロキシを設定するには、次の手順に従います。
ステップ 1 [Devices] または [Device Groups] から、[Configure] > [Caching] > [Akamai Connect] に移動します。
ステップ 2 [Use HTTP proxy for connections to Akamai network] チェックボックスを選択します。
ステップ 3 [HTTP Proxy:] ドロップダウン リストで、[External HTTP Proxy] を選択します。
ステップ 4 プロキシ ホストとプロキシ ポートを指定します。
- [Proxy Host] フィールド:ホスト名またはアドレスを入力します。
- [Proxy Port]:1 ~ 65,555 の範囲内の値を入力します。
(注) WAAS CM がすでに外部 HTTP プロキシを使用している場合、WAAS CM をプロキシとして使用するオプションは表示されません。これらのフィールドには、現在設定されている HTTP プロキシが表示されます。
ステップ 5 [Submit] をクリックします。
キャッシング ポリシーの設定
すべてのサイトに対して 1 つのキャッシング ポリシーを設定する方法、または特定のサイトに対して個々のキャッシング ポリシーを設定する方法については、次の手順に従います。
ステップ 1 [Devices] または [Device Groups] から、[Configure] > [Caching] > [Akamai Connect] に移動します。
ステップ 2 [Cache Settings] タブを選択します。
ステップ 3 [Advanced Cache Settings] セクションの [Default Transparent Caching Policy] ドロップダウン リストで、キャッシング ポリシーを選択します。
- Basic
- Standard(デフォルト)
- Advanced
- Bypass
ステップ 4 すべてのサイトのデフォルトのキャッシング ポリシーを設定するには、キャッシング ポリシーを選択して [Submit] をクリックします。特定のサイトの透過キャッシングを有効にするには、手順 5 を参照してください。
ステップ 5 特定のサイトの透過キャッシングを有効にするには、[Default Transparent Caching Policy] を [Bypass] に変更します。
ステップ 6 [Site Specific Transparent Caching Policy] セクションで、[Add Hostname/IP] をクリックします。[Site Caching Policy Task] ダイアログ ボックスが開きます。
a. [Hostname/IP] フィールドで、設定するサイトのホスト名を指定します。ホスト名は、特定のサーバ、またはワイルドカードを含むドメイン名(*.cisco.com など)です。
b. [Transparent Caching Policy] ドロップダウン リストで、このサイトのキャッシュ ポリシーを選択します(Basic、Standard、Advanced、または Bypass)。
c. [OK] をクリックします。新しいホスト名/IP が [Site Specific Transparent Caching Policy] テーブルの行項目として追加されます。
(注) ユーザが特定のサイトに対して設定したポリシーは、すべてのサイトに対して設定されたデフォルトのキャッシング ポリシーより優先されます。
サイト固有の透過キャッシング ポリシーごとに、最大で 512 個のホスト名を設定できます。
ステップ 7 Cisco クラウド Web セキュリティ(CWS)のユーザ ポリシーを設定します。詳細については、Cisco クラウド Web セキュリティのユーザ ポリシーの設定を参照してください。
ステップ 8 HTTP プロキシを設定します。
Cisco クラウド Web セキュリティのユーザ ポリシーの設定
Cisco クラウド Web セキュリティ機能は、HTTP およびセキュア HTTP/S トラフィックのコンテンツ スキャン、およびマルウェア防御サービスを Web トラフィックに提供します。CWS サーバは、Web トラフィックのコンテンツをスキャンし、設定されているポリシーに基づいてトラフィックを許可またはブロックします。サーバは、プライベート IP アドレス、ユーザ名、ユーザ グループなどのクレデンシャルを使用して、ユーザを識別して認証し、コンテンツ スキャンのためにトラフィックをリダイレクトします。
トラフィックは ASA または ISR によるプロキシで透過的にクラウド ベースの CWS サーバ(タワーと呼ばれる)に送信され、そこで Web トラフィックがスキャンされ、許容可能と思われる場合は元のサーバに提供されます。戻ってくるすべてのトラフィックは CWS タワーを経由します。
Cisco CWS オプションを使用する際は、次の考慮事項に注意してください。
- CWS は、パス内に 1 つの WAAS デバイスが存在する場合にのみ使用できます。
- CWS を有効にすると、Akamai CE は常に要求に「if modified since」ヘッダーを追加するため、リモートから元のサーバ(この場合は Scansafe タワー)に応答が送信される必要があります。したがって、すべての要求がスキャンされ、バイパスされるセキュリティはありません。「304 Not Modified」が返されると、Akamai CE はキャッシュ内のオブジェクトを提供します。「200 Okay」が返されると、オブジェクトは元のサーバからに取得されます。
- WAE CE によって Akamai Edge Server に渡される Akamai Connected Cache クレデンシャルが IP アドレスをクレデンシャルに関連付けるため、CWS と Akamai Connected Cache を併用することはできません。CWS タワーは、クライアントからの送信元 IP アドレスを元のサーバに送信するときに独自のアドレスに変更し、これにより Connected Cache の利点はなくなります。
- CWS は片面フロー専用に設計されています。
- 事前配置が有効になっており、フローが CWS タワーにリダイレクトされる可能性がある場合は、次の推奨事項に従ってください。
– (推奨される選択肢)WAE IP アドレスをバイパスするためのホワイトリストを ISR または CWS のタワーに設定します。
– CWS で、認証に関して WAE が入るように設定したユーザまたはグループに、事前配置が発生しているすべてのサイトへのアクセスを許可します。
Cisco CWS ユーザ ポリシーを適用するには、次の手順に従います。
ステップ 1 [Configure] > [Caching] > [Akamai Connect] > [Cache Settings] タブに移動します。
ステップ 2 [Advanced Settings] セクションで、[Cisco Cloud Web Security present] チェックボックスをオンにします。
ステップ 3 [Submit] をクリックします。
キャッシュ事前配置の設定
キャッシュ事前配置(キャッシュ ウォーミングとも呼ばれる)を使用すると、指定した時刻にコンテンツをプリフェッチしてキャッシュするためのポリシーを指定できます。たとえば、非ピーク時間帯にブランチ オフィス内の URL を持つコンテンツを事前配置すると、WAN リンクが大幅にオフロードされることにより、ピーク時間帯のパフォーマンスの改善に役立ちます。
キャッシュ事前配置は、その他のキャッシング タイプ(たとえば、Akamai Connected Cache や OTT など)と同じ優先順位で実行されます。
(注) HTTPS コンテンツを事前配置するためには、SSL アクセラレーション サービスを定義する必要があります。そうしないと、事前配置タスクが継続され、HTTP 経由で使用可能な任意のオブジェクトが取得されるにもかかわらず、ジョブで発生するすべての HTTPS 要求は失敗します。SSL アクセラレーション サービスの詳細については、SSL アクセラレーションの設定を参照してください。
スケジュール設定されたフェッチ操作が開始または完了すると、[Cache Preposition Status] テーブルに追加されます。
以下に、[Cache Prepositioning] タブ([Configure] > [Caching] > [Akamai Connect])でキャッシュ事前配置を設定する方法のワークフローを示します。
- 事前配置接続の DRE を有効にします(任意)。
- 新しい事前配置タスクを作成します。タスク名、事前配置のベース URL、include/exclude タイプ、ダウンロード速度、および再帰の深さを指定します。
- タスクの再帰遅延時間と再帰ホスト名を指定します。
- キャッシュ事前配置タスクのスケジュールを作成します。スケジュール名、頻度(毎年、毎月、毎週、毎日)、および開始時刻を指定します。
- キャッシュ事前配置タスクのステータス情報(開始時刻と終了時刻、バイト数とオブジェクト数、更新バイト数と更新数、キャッシュ不可のバイト数と数など)を表示します。
キャッシュ事前配置タスクを設定するには、次の手順に従います。
ステップ 1 [Devices] または [Device Groups] から、[Configure] > [Caching] > [Akamai Connect] に移動します。
[Cache Settings] と [Cache Prepositioning] という 2 つのタブがある [Akamai Connect] ウィンドウが表示されます。
ステップ 2 [Cache Prepositioning] タブを選択します。このタブでは、キャッシュ事前配置タスクの追加、編集、または削除、およびキャッシュ事前配置タスクのステータスのモニタを行うことができます。
ステップ 3 (任意)[Preposition with DRE] チェックボックスを選択し、事前配置接続の DRE を有効にします。デフォルトでは無効になっており、オブジェクト レベルで格納されるデータの DRE バイト キャッシュに悪影響が生じないようにしています。
ステップ 4 [Add Cache Preposition Task] をクリックします。
[Cache Prepositioning Task] ダイアログ ボックスが開きます。
ステップ 5 次のことを指定します。
|
|
名前 |
事前配置タスクの名前。事前配置タスク名は、47 文字以下の英数字識別子です。‘、/、\、{、}、(、)、?、”、<、>、[、]、&、*、” などの特殊文字は許可されません。 作業を指定する際は、次の点に注意してください。
- 作業あたり最大 10 個の URL を設定できます。
- 作業あたり最大 10 個のスケジュールを設定できます。
- デバイスまたはデバイス グループあたり最大 50 個の作業を設定できます。
|
URL |
事前配置のベース URL。URL の最大長は 900 文字です。URL で許可されない文字は、スペースと二重引用符(“)です。ASCII 文字は、ASCII 33 から ASCII 125 までの範囲で許可されます。
- 複数の URL はスペースで区切ります。
- 作業あたり最大 10 個の URL を設定できます。
|
Include Types |
キャッシングに含めるオブジェクト タイプ(.jsp や.asp など)。それぞれをカンマで区切ります。含めるオブジェクト名パターンのリストには、47 文字というパターン フィールド合計制限があります。 |
Exclude Types |
キャッシングから除外するオブジェクト タイプ(.jsp や.asp など)。それぞれをカンマで区切ります。除外するオブジェクト名パターンのリストには、47 文字というパターン フィールド合計制限があります。 |
Download Rate |
最大ダウンロード速度(KBps 単位)。0 ~ 10,000,000 Kbps の範囲内の任意の値を選択します。デフォルトは 20 Kbps です。0 を選択すると、無制限、または速度制限を適用しないことを示します。 |
Recursion Depth |
コンテンツを取得するリンク レベルの深さ。再帰の深さは、[Recursive Task] チェックボックスが選択されている場合にのみアクティブです。ドロップダウン リストから 1、2、3、5、8、13、または 21 を選択するか、またはカスタム値を 1 ~ 1000 の範囲で入力します。デフォルトは 1 です。
(注) 指定されたリンク レベルの数が大きくなると、キャッシュに格納されるデータ量が(場合により急激に)増大します。要求されたプリフェッチ データの量がキャッシュより大きくなると、新しく要求されたデータが以前に格納されたデータをすべてフラッシュし、キャッシュを使用しようとするその他の操作が遅くなる可能性があります。
|
持続時間 |
事前配置タスクが停止されるまでに実行できる最大時間(分単位)。デフォルトでは時間は設定されていません。時間を設定するには、1 ~ 2,147,483,647 分の範囲で選択します。 タスクの時間を設定すると、次の場合に特に役立ちます。
- 各事前配置タスクが相互に重ならないことを確認する。
- 事前配置タスクが、ユーザ トラフィックが高い時間帯と重ならないことを確認する。
|
Enable Task |
指定された事前設定タスクを実行できるようにするには、[Enable Task] チェックボックスを選択します。タスクを実行するには、少なくとも 1 つの URL と 1 つのスケジュールを指定する必要があります(手順 5 で説明)。 |
ステップ 6 [Cache Prepositioning Task] ダイアログ ボックスの [Advanced Settings] セクションで、再帰遅延時間と再帰ホスト名を指定できます。
|
|
Recursion Delay Time |
再帰ダウンロード時の要求間の遅延時間(秒単位)。これにより、ユーザ待機時間がシミュレートされます。一部のサーバでは要求間の時間の不足を Web スパイダの検出と制限に使用するため、再帰遅延時間が必要です。
- 0 ~ 600 秒の範囲内の値を入力します。デフォルト値は 2 秒です。
- Web スパイダ制限がない場合、値ゼロの場合に最高のパフォーマンスが得られます。
|
Recursion Domains |
再帰スパイダリングが許可されるサーバ ドメイン サフィックスのリスト。リストが空の場合、指定された URL と同じドメイン内でのみスパイダリングが許可されます。 最大 10 個のサーバを設定できます。
- サーバ名は、最大 255 文字です。
- サーバ名は、カンマまたはスペースで区切られます。
|
ステップ 7 [Cache Prepositioning Schedule] セクションで、[Add Schedule] をクリックします。
[Cache Prepositioning Schedule] ダイアログ ボックスが開きます。
ステップ 8 次のことを指定します。
|
|
Schedule Name |
この事前配置タスクのスケジュールの名前。スケジュール名は、256 文字以下の英数字識別子です。[Schedule Name] では、独自にスケジュールを表現することができます。たとえば、毎週の月曜日、水曜日、および金曜日の午前 10 時 30 分に発生するスケジュールの場合、 Weekly MWF 10:30AM または Every Week - MON-WED-FRI at 10:30AM という名前を付けることができます。 |
Frequency |
事前配置に対して指定される時間([yearly], [daily], [weekly], or [monthly days])。[monthly days] を選択すると、チェックボックスが付いたカレンダーが開き、このスケジュールに対して月の日付を 1 つ、いくつか、またはすべて選択します。 |
Start Time (HH:MM) |
2 つのドロップダウン リストから、タスク スケジュールを開始する時間と分を選択します。 |
ステップ 9 [Cache Prepositioning Schedule] ダイアログボックスで、[OK] をクリックします。
ステップ 10 [Cache Prepositioning Task] ダイアログボックスで、[OK] をクリックします。
ステップ 11 [Submit] をクリックします。
新しいキャッシュ事前配置タスクが、[Cache Prepositioning listing] テーブルの行項目として追加されます。
キャッシュ事前配置タスクのステータスの表示
キャッシュ事前配置タスクのステータスを示すために、[Cache Prepositioning] セクションでは 2 つのテーブルが提供されています。設定したキャッシュ事前配置タスクのステータスを表示するには、最初のテーブル([Cache Preposition Listing] テーブル)からタスクを選択します。2 番目のテーブル([Cache Prepositioning Status] テーブル)に、選択したタスクの情報が表示されます。
- 個々のデバイスの場合、[Cache Prepositioning Status] テーブルには現在のデバイスに関する選択したタスクのステータスが表示されます。
- デバイス グループの場合、[Cache Prepositioning Status] テーブルにはそのデバイス グループのすべてのデバイスに関する、選択したキャッシュ事前配置タスクのステータスが表示されます。
選択したタスクについて次のタイプの情報が表示されます。
|
|
デバイス名(Device Name) |
選択したデバイスの名前。 |
Start Time |
タスク スケジュールが開始する日付、時間、および分。 |
End Time |
タスク スケジュールが終了する日付、時間、および分。 |
Byte Count |
最新の事前配置タスク実行時のキャッシュ内のバイト総数。 |
Object Count |
最新の事前配置タスク実行時のキャッシュ内のオブジェクトの総数。 |
Refresh Bytes |
最新の事前配置タスク実行時にキャッシュ内で更新されたバイト数。 |
Refresh Count |
最新の事前配置タスク実行時にキャッシュ内で更新されたオブジェクトの数。 |
Store Bytes |
最新のタスク実行時にキャッシュ内で検出されたオブジェクトの未変更バイト数。 |
Store Count |
最新のタスク実行時にキャッシュ内で検出された未変更オブジェクトの数。 |
Uncacheable Bytes |
最新のタスク実行時に検出されたキャッシュ不可オブジェクトのバイト数。 |
Uncacheable Count |
最新のタスク実行時に検出されたキャッシュ不可オブジェクトの数。 |
Status(ステータス) |
タスクのステータス([Scheduled]、[Complete]、[Error] など)。 |
Error |
タスク ステータスが [Error] である場合、タスク ステータスを説明するエラー メッセージが表示されます。 |
キャッシュ事前配置タスクのコピー
v5.5.1 または 5.4.1 を実行している WAAS を使用している Akamai Connect 対応のデバイスまたはデバイス グループが含まれているキャッシュ事前配置タスクをコピーできます。キャッシュ事前配置タスクをコピーするには、次の方法を使用します。
- デバイスからデバイス
- デバイスからデバイス グループ
- デバイス グループからデバイス
- デバイス グループからデバイス グループ
(注) キャッシュ事前配置タスクと WAAS バージョン:[Copy Tasks] 機能を使用して、WAAS バージョン 5.5.1 のデバイスおよびデバイスグループとバージョン 5.5.1 より前の WAAS バージョンのデバイスおよびデバイス グループの間で、キャッシュ事前配置タスクをコピーすることもできます。
キャッシュ事前配置タスクをコピーするには、次の手順に従います。
ステップ 1 [Configure] > [Caching] > [Akamai Connect] > [Cache Prepositioning] タブ > [Cache Prepositioning] セクションの順に移動します。
ステップ 2 [Copy Tasks] ボタンをクリックします。
[Cache Prepositioning Task] ダイアログ ボックスが開きます。
ステップ 3 [From] ドロップダウン リストで、ソースとしてデバイスまたはデバイス グループを選択します。
ステップ 4 次のドロップダウン リストで、宛先としてデバイスまたはデバイス グループを選択します。
(注) デバイスおよびデバイス グループの間で同じ名前のタスクをコピーしようとすると、「One or more preposition tasks with the same name already exists in the destination device/DG.」というエラー メッセージが表示されます。
ステップ 5 [Existing Cache Prepositioning Tasks] テーブルで、コピー対象として 1 つ、いくつか、またはすべての事前配置タスクを選択します。
ステップ 6 [OK] をクリックします。
選択したキャッシュ事前配置タスクがソースから宛先にコピーされます。
シスコによる Microsoft Windows Update のサポート
シスコによる Microsoft Windows Update のサポートは、Windows OS およびアプリケーションのアップデートで使用されるオブジェクトのキャッシングを可能にします。シスコによる Microsoft Windows Update のサポートはデフォルトで有効になっており、特定のサイトに対してのみ有効です。
ここでは、次の内容について説明します。
シスコによる Microsoft Windows Update のサポートの利点
Microsoft OS およびアプリケーションのアップデートは、Microsoft Update などのアップデート クライアントによって管理されます。Microsoft Update は HTTP を介してアップデートをダウンロードします。ダウンロードしやすくするために、BITS(Background Intelligent Transfer Service)と組み合わせることがよくあります。クライアントは、HTTP 範囲要求を使用してアップデートを取得します。
アップデートを構成するオブジェクト(.cab ファイルなど)は通常はキャッシュ可能であるため、HTTP オブジェクト キャッシュはこのプロセスにおける重要な利点となります。
たとえば、ダイレクト インターネットまたは WSUS(Windows Server Update Services、バージョン 2012 および 2012R2)を介した Windows 7 および 8 OS のアップデートの場合、後続のアップデートではアップデート ファイル(cab,、exe、および.psf ファイル)の 98% 以上がキャッシュから提供されます。シスコによる Microsoft Windows Update のサポートにより、WAN オフロード バイト数が量的に削減され、後続の Windows Update の応答時間が短縮されます。
シスコによる Microsoft Windows Update のサポートの統計情報の表示
シスコによる Microsoft Windows Update のサポートによって生成されたデータを表示するには、次の 2 つの方法があります。
- 第 15 章「WAAS ネットワークのモニタリングおよびトラブルシューティング」で説明されている [Top Sites] レポートは、WAN 応答時間や WAN オフロード バイト数などの情報を提供します。
- WAAS Version 6.1.1 の場合、キャッシュ エンジンのアクセス ログ ファイルには Microsoft Windows Update 統計情報用の次の 2 つの新しいフィールドがあります。
– rm-w (range miss, wait):サブトランザクションが必要なバイト数を取得するのを待機したメイン トランザクションでのキャッシュ ミス。
– rm-f (range miss, full):サブトランザクションでのドキュメント全体のキャッシュ書き込み。
例 1:
例 1 では、キャッシュ内に存在しないオブジェクトの範囲が要求された場合の、メイン トランザクションとサブトランザクションに関する 2 つのログ行が示されています。
ws8-rt-kb2863725-x64_dd8522e527483cd69bf61d98ee849a2406b97172.psf - -
08/28/2015 12:22:29.663 (fl=27520) 300 13.164 0.000 446 - - 34912 172.25.30.4
191.234.4.50 2905 h - - rm-w 206 GET http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/secu/2013/07/windows8-rt-kb2863725- x64_dd8522e527483cd69bf61d98ee849a2406b97172.psf - -
08/28/2015 12:24:31.448 (fl=27520) 300 134.949 0.000 355 344 3591542 568 172.25.30.4 191.234.4.50 2f25 m-s - - rm-f 200 GET http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/secu/2013/07/windows8-rt-kb2863725-x64_dd8522e527483cd69bf61d98ee849a2406b97172.psf - -
例 2:
例 2 は、全体がキャッシュ内にあるか、またはダウンロードされている途中であるオブジェクトに関してある範囲が要求された場合の、キャッシュ ヒットを示しています。ダウンロードが進行中の場合、メイン トランザクションは例 1 で示されているようなサブトランザクションをラッチしています。
08/28/2015 03:34:36.906 (fl=26032) 300 0.000 50.373 346 - - 13169 172.25.30.4 8.254.217.62 2905 h - - - 206 GET http://fg.v4.download.windowsupdate.com/d/msdownload/update/software/secu/2013/07/windows8-\ rt-kb2863725-x64_dd8522e527483cd69bf61d98ee849a2406b97172.psf - -
シスコによる Microsoft Windows Update のサポートと Akamai Cache Engine
シスコによる Microsoft Windows Update のサポートにより、Akamai Cache Engine は次の 2 つの方法で Windows Update キャッシングをサポートできるようになります。
- キャッシュ内にはないオブジェクト内の範囲が要求された場合でも、オブジェクト全体をダウンロードしてキャッシュします。
- その後のオブジェクトに対する範囲要求にはキャッシュ内から提供できます。
ダウンロード機能のトリガーに関して、オブジェクトの先頭からのバイト数またはファイル長に対するパーセントで表される制限があります。この制限は Akamai Connect の登録プロセスで OTT メタデータで設定されます。設定されている制限を超えるサイズの要求ではオブジェクト全体のダウンロードは開始されず、要求はそのまま要求元に転送されます。
注意
シスコによる Microsoft Windows Update のサポートはデフォルトで有効になっており、特定のサイトに対してのみ有効です。対応サイトは OTT のメタデータによって更新されます。
シスコによる Microsoft Windows Update のサポートを無効にする場合は、OTT キャッシングを無効にする必要があります。これを行うには、[Over the Top Cache] チェックボックスの選択を解除します。ただし、[Over the Top Cache] チェックボックスの選択を解除すると、すべての OTT 機能(グローバルとカスタム両方の OTT 設定)が無効になることに注意してください。
Akamai Connect の登録プロセスの詳細については、Akamai Connect のライセンスのアクティブ化を参照してください。
アプリケーション アクセラレーションの管理
ここでは、次の内容について説明します。
アクセラレータの負荷インジケータと CPU ロード モニタリングしきい値の変更
CPU 使用率が高いと、現在の最適化された接続に悪影響を与える可能性があります。CPU の過負荷を回避するために、CPU ロード モニタリングを有効にしてロード モニタリングしきい値を設定することができます。デバイスでの CPU の平均使用率が設定されているしきい値を 2 分間超えると、デバイスは新しい接続の受け入れを停止し、新しい接続(ある場合)をパス スルーします。CPU の平均使用率がしきい値を 2 分間下回ると、デバイスは最適化された接続の受け入れを再開します。
ここでは、アクセラレータの負荷しきい値と CPU ロード モニタリングを変更する手順を示します。
(注) CPU の過負荷状態が発生すると、ポーリング間隔は 2 秒間隔に短縮されます。この間 CPU の平均使用率がしきい値を下回っていて過負荷状態がクリアされても、CPU アラームはまだ存在しています。CPU アラームがクリアされるのは、次の 2 分間のポーリング間隔で過負荷状態が再出現しない場合のみです。
WAE デバイスに対するアクセラレータ負荷インジケータのしきい値および CPU ロード モニタリングを変更するには、次の手順に従います。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [Accelerator Threshold] を選択します。
[Accelerator Threshold] ウィンドウが表示されます。
ステップ 3 CPU ロード モニタリングを有効にするには、[Enable] チェックボックスをオンにします(デフォルトでは有効になっています)。
ステップ 4 [Accelerator Load Indicator Threshold] フィールドに、80 ~ 100 の % 値を入力します。デフォルトは 95 です。
ステップ 5 [CPU Load Higher Monitoring Threshold] フィールドに、% 値を 1 ~ 100 の範囲で入力します。デフォルト値は 98 です。
ステップ 6 [CPU Load Lower Monitoring Threshold] フィールドに、% 値を 1 ~ 100 の範囲で入力します。デフォルトは 90 です。
ステップ 7 [Window Size] テキスト ボックスに、値を 1 ~ 16 の範囲で入力します。デフォルト値は 4 です。
ステップ 8 [Sampling Intervals Avg Time] フィールドに、値を 1 ~ 120 の範囲で入力します。デフォルトは 10 です。
ステップ 9 [Overloaded State Time] フィールドに、値を 1 ~ 120 の範囲で入力します。デフォルト値は 10 です。
ステップ 10 [Submit] をクリックします。
デバイス グループに 6.x ソフトウェア イメージがある場合、そのデバイス グループの CPU 負荷をモニタするための追加の設定を行うことができます。
ステップ 11 CPU ロード モニタリングを有効にするには、[Enable] チェックボックスをオンにします(デフォルトでは有効になっています)。
ステップ 12 Softirq モニタリングを有効にするには、[Enable softirq Monitoring] チェックボックスをオンにします。
ステップ 13 [Accelerator Load Indicator Threshold] フィールドに、80 ~ 100 の % 値を入力します。デフォルトは 95 です。
ステップ 14 [CPU Load Monitoring Threshold] フィールドに、% 値を 80 ~ 100 の範囲で入力します。デフォルトは 95 です。
ステップ 15 [CPU Load Higher Monitoring Threshold] フィールドに、% 値を 1 ~ 100 の範囲で入力します。デフォルト値は 98 です。
ステップ 16 [CPU Load Lower Monitoring Threshold] フィールドに、% 値を 1 ~ 100 の範囲で入力します。デフォルトは 90 です。
ステップ 17 [Window Size] テキスト ボックスに、値を 1 ~ 16 の範囲で入力します。デフォルト値は 4 です。
ステップ 18 [Sampling Intervals Avg Time] フィールドに、値を 1 ~ 120 の範囲で入力します。デフォルトは 10 です。
ステップ 19 [Overloaded State Time] フィールドに、値を 1 ~ 120 の範囲で入力します。デフォルト値は 10 です。
ステップ 20 [Submit] をクリックします。
アプリケーションのリストの表示
WAE デバイスまたはデバイス グループに存在するアプリケーションのリストを表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。
[Optimization Policies] ウィンドウが表示されます。
ステップ 3 [Application] 列見出しをクリックして、特定のアプリケーションを見つけやすくするためにアプリケーション名で列を並べ替えます。
(注) WAAS バージョン 4.x デバイスがある場合、WAAS バージョン 4.x デバイスで表示されるようにポリシーを表示するには、[Legacy View] タスクバー アイコンをクリックします。
最適化ポリシーを編集するには、アプリケーションの横にあるボックスを選択し、タスクバーの [Edit] アイコンをクリックします。
1 つまたは複数のポリシーを不要と判断した場合は、不要な各アプリケーションの横にあるボックスを選択して、[Delete] タスクバー アイコンをクリックします。
新しいポリシーが必要と判断した場合は、[Add Policy Rule] タスクバー アイコンをクリックします(最適化ポリシーの作成を参照)。
ポリシー レポートの表示
各 WAE デバイスにまたはデバイス グループに存在するポリシーのレポートを表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューで、[Configure] > [Acceleration] > [Optimization Policy Report] を選択します(図 12-36)。
[Policy Report for Devices] タブが表示されます。このレポートは、各デバイス(またはデバイス グループ)、および、このアプリケーションを参照するデバイス(またはデバイス グループ)の全ポリシー数を一覧で表示します。これには、アクティブ ポリシー(デバイスまたはデバイス グループで使用中のポリシー)とバックアップ ポリシー(デバイスがデバイス グループから設定を取得したときにデバイスが使用中ではないポリシー)の両方が含まれます。デバイスがデバイス グループから割り当てを解除されたとき、バックアップ ポリシーはデバイスに適用され、再度アクティブになります。
アプリケーションは、[No. of Policies] フィールドが 0 になるまで削除できません。
図 12-36 最適化ポリシー レポート
ステップ 2 [Policy Report for Device-Groups] タブを選択して、デバイス グループごとのデバイスの数、およびデバイス グループ内のアクティブ ポリシーの数を表示します。
ステップ 3 特定のデバイスまたはグループに対して定義されている最適化ポリシーを表示するには、対応するデバイスまたはデバイス グループをクリックします。[Optimization Policies] ウィンドウにポリシーが表示されます。
クラス マップ レポートの表示については、クラス マップ レポートの表示を参照してください。
クラス マップ レポートの表示
各 WAE デバイスまたはデバイス グループに存在するクラス マップのレポートを表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューで、[Configure] > [Acceleration] > [Optimization Policy Report] を選択します。
[Policy Report for Devices] タブが表示されます。
ステップ 2 [Class-Map Report] タブをクリックして、クラス マップが設定されているデバイスおよびデバイス グループのレポートを表示します。
ステップ 3 クラス マップを選択し、 [View ] アイコンをクリックして、クラス マップが存在するデバイスまたはデバイス グループを表示します。
最適化ポリシーとクラス マップの復元
WAAS システムでは、WAAS システムに組み込まれていた定義済みポリシーとクラス マップを復元できます。定義済みポリシーのリストについては、 付録 A「定義済み最適化ポリシー」 を参照してください。
定義済みポリシーに、WAAS デバイスがアプリケーション トラフィックを処理する方法に対してマイナスに影響するような変更を加えた場合、定義済みポリシー設定を復元することによって、その変更を上書きできます。
定義済みポリシーとクラス マップを復元するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。
[Optimization Policies] ウィンドウが表示されます。
ステップ 3 [Restore Default] タスクバー アイコンをクリックして、WAAS ソフトウェアに組み込まれていた 150 個を超えるポリシーとクラス マップを復元します。システム上で作成した新しいポリシーはすべて削除されます。定義済みポリシーが変更されていた場合、これらの変更は失われ、元の設定が復元されます。
デフォルトの DSCP マーキング値の定義
アプリケーション定義および最適化ポリシーで定義されたポリシーに従って、WAAS ソフトウェアでは処理するパケット上に DSCP 値を設定できます。
DSCP 値は、ネットワーク トラフィックに異なるレベルのサービスを割り当てることができる IP パケットのフィールドです。ネットワーク上の各パケットに DSCP コードを付け、対応するサービスのレベルを関連付けて、サービスのレベルを割り当てます。DSCP マーキングにより、接続用のパケットが WAAS に対して外部的に処理される方法が決定されます。DSCP は、IP precedence フィールドとタイプ オブ サービス(ToS)フィールドの組み合わせです。詳細については、RFC 2474 を参照してください。DSCP 値は、事前に定義されているため、変更できません。
この属性は、次のレベルで定義できます。
- グローバル:[Optimization Policies] ページのデバイス(またはデバイス グループ)ごとに、そのデバイス(またはデバイス グループ)の DSCP 値のグローバル デフォルトを定義できます。より低いレベルの値が定義されていない場合、この値がトラフィックに適用されます。
- ポリシー:最適化ポリシー内の DSCP 値を定義できます。この値は、ポリシー内に定義されたクラス マップと一致するトラフィックにだけ適用され、アプリケーションまたはグローバルの DSCP 値を上書きします。
ここでは、次の項目について説明します。
デフォルトの DSCP マーキング値の定義
グローバルなデフォルトの DSCP マーキング値を定義するには、次の手順に従います。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。
[Optimization Policies] ウィンドウが表示されます。
ステップ 3 [DSCP] ドロップダウン リストから値を選択します。デフォルト設定は copy で、着信パケットからの DSCP 値をコピーし、発信パケットで使用します。
ステップ 4 [OK] をクリックして設定内容を保存します。
最適化ポリシーの位置の変更
各最適化ポリシーには、WAAS デバイスがトラフィックを分類するときにポリシーを参照する順序を決定する位置が割り当てられています。たとえば、WAAS デバイスは、トラフィックを代行受信するとき、トラフィックとアプリケーションを対応付けるために、リストの最初のポリシーを参照します。最初のポリシーに一致するものがない場合、WAAS デバイスはリスト内の次のポリシーへ移動します。
トラフィックを最適化せずにパススルーするポリシーの位置に注意する必要があります。これらのポリシーをリストの一番上に配置すると、リストの下の方にある最適化ポリシーが無効になるからです。たとえば、IP アドレス 10.10.10.2 へ進むトラフィックと一致する 2 つの最適化ポリシーがあり、最初のポリシーがこのトラフィックを最適化し、最初のポリシーより高い位置にある別のポリシーがこのトラフィックをパススルーさせる場合、10.10.10.2 へ進むすべてのトラフィックが最適化されずに WAAS システムを通過します。そのため、ポリシーの一致条件が重ならないことを確認し、作成したアプリケーションをモニタして、WAAS がトラフィックを期待通りに処理していることを確認する必要があります。アプリケーションをモニタする方法については、Chapter15, “WAAS ネットワークのモニタリングおよびトラブルシューティング”を参照してください。
最適化ポリシーの位置を変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [Optimization Policies] を選択します。
[Optimization Policies] ウィンドウが表示されます(図 12-37)。
(注) WAAS Express デバイスの場合、すべてのポリシーは、waas_global category にグループ化されます。
定義済みポリシーのリストについては、 付録 A「定義済み最適化ポリシー」 を参照してください。
図 12-37 [Optimization Policies] ウィンドウ
ステップ 3 次のうちのいずれかの方法で、最適化ポリシーの位置を変更します。
- 移動するポリシーを選択し、タスクバーの上下矢印(
)アイコンを使用してポリシーをリスト内で上または下に移動します。
- 移動するポリシーを選択し、[Move To] をクリックして正確な位置を指定します。
- ポリシーを選択し、該当する位置にドラッグします。
(注) 新しいポリシー位置を保存するには、[Save Moved Rows] アイコンをクリックする必要があります。
特定の位置のポリシーを選択して、[Insert] をクリックすることで、新しい最適化ポリシーをその位置に作成することもできます。
デバイスがリスト内のどのポリシーとも一致しない場合、WAAS デバイスはトラフィックを最適化せずに通過させます。
(注) WAAS Express デバイスの場合、class default ポリシーを最後にする必要があります。このポリシーは、修正または削除できません。
ステップ 4 [Save Moved Rows] アイコンをクリックして、ポリシーの位置に加えた変更を保存します。
ステップ 5 ポリシーが必要でないと判断した場合は、次の手順に従ってポリシーを削除します。
a. 削除するポリシーを選択します。
b. タスクバーの [Delete] アイコンをクリックします。
(注) 任意のトラフィックに一致するデフォルト クラス マップにマップされたデフォルト ポリシーは、削除できません。
ステップ 6 新しいポリシーが必要と判断した場合は、[Add Policy] タスクバー アイコンをクリックしてポリシーを作成します(最適化ポリシーの作成を参照)。
アクセラレーション TCP 設定の変更
WAAS システムは、WAE デバイスのハードウェア プラットフォームに基づいて、自動的に加速 TCP 設定を構成するため、ほとんどの場合、アクセラレーション TCP 設定を変更する必要はありません。WAAS は、次の状況で自動的に設定を構成します。
WAAS システムでは、接続ごとに、クライアントまたはサーバのアドバタイズされた最大セグメント サイズ(MSS)と一致するように、MSS が自動調整されます。WAAS システムでは、クライアントまたはサーバによってアドバタイズされた MSS 値と 1432 のいずれか小さい方が使用されます。
ネットワークに高い BDP リンクがある場合、WAE デバイス用に自動的に設定されるデフォルトのバッファ設定を調整する必要がある場合があります。詳細については、高い BDP リンク用の TCP バッファの計算を参照してください。
WAE デバイスで、デフォルトの TCP 適応バッファリング設定を調整する場合、TCP 適応バッファリング設定の変更を参照してください。
アクセラレーション TCP 設定を変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [TCP Settings] を選択します。[Acceleration TCP Settings] ウィンドウが表示されます。
ステップ 3 [Send TCP Keepalive] チェックボックスをオンにします(デフォルトでは、このチェックボックスはオンになっています)。
[Send TCP Keepalive] チェックボックスを選択すると、この WAE デバイスまたはグループは、TCP キープアライブ交換から応答を受信しない場合に、そのピア デバイスとの TCP 接続を切断できます。この場合、2 台のピア WAE デバイスは、TCP 接続経由で TCP キープアライブを交換し、特定の期間にわたってキープアライブの応答を受信しない場合、TCP 接続を切断します。キープアライブ オプションを有効にすると、WAN ネットワークでの短い中断によって、ピア WAE デバイス間の TCP 接続が切断されます。
[Send TCP Keepalive] チェックボックスを選択しないと、TCP キープアライブは送信されず、明示的に切断しないかぎり、接続は維持されます。
ステップ 4 必要に応じて、TCP アクセラレーション設定を変更します。これらの設定の説明については、 表 12-9 を参照してください。
高い BDP 回線用にこれらの設定を計算する方法については、高い BDP リンク用の TCP バッファの計算を参照してください。
表 12-9 TCP 設定
|
|
|
Maximum Segment Size |
WAAS デバイスと最適化された接続に参加する他の WAAS デバイス間で許可された最大パケット サイズ。デフォルトは、1432 バイトです。 |
Send Buffer Size |
WAAS デバイスから、最適化された接続に参加する他の WAAS デバイスへ送信される TCP パケットに許可される TCP 送信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。 |
Receive Buffer Size |
最適化された接続に参加する他の WAAS デバイスからの着信 TCP パケットに許可される TCP 受信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。 |
|
Maximum Segment Size |
元のクライアントまたはサーバと、WAAS デバイス間で許可される最大パケット サイズ。デフォルトは、1432 バイトです。 |
Send Buffer Size |
WAAS デバイスから元のクライアントまたはサーバへ送信される TCP パケットに許可される TCP 送信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。 |
Receive Buffer Size |
元のクライアントまたはサーバからの着信 TCP パケットに許可される TCP 受信バッファ サイズ(キロバイト)。デフォルトは、32 KB です。 |
ステップ 5 高い帯域遅延積(BDP)リンク経由で WAE を配置している場合は、[Set High BDP recommended values] をクリックすると、送信バッファおよび受信バッファに推奨サイズを設定できます。高い BDP リンク用の TCP バッファを計算する方法の詳細については、高い BDP リンク用の TCP バッファの計算を参照してください。
ステップ 6 [Submit] をクリックします。
(注) オリジナルの最大セグメント サイズおよび最適化された最大セグメント サイズがデフォルト値に設定されていて、ジャンボ MTU 設定を行う場合、それらのセグメント サイズは、ジャンボ MTU 設定から 68 バイトを引いた値に変更されます。カスタム最大セグメント サイズを設定している場合は、ジャンボ MTU を設定しても、それらの値は変更されません。ジャンボ MTU の詳細については、第 6 章「ネットワーク設定の構成」のジャンボ MTU の設定を参照してください。
CLI から TCP キープアライブを設定するには、 tfo tcp keepalive グローバル コンフィギュレーション コマンドを使用します。
CLI から TCP アクセラレーション設定を構成するには、 tfo tcp optimized-mss 、 tfo tcp optimized-receive-buffer 、 tfo tcp optimized-send-buffer 、 tfo tcp original-mss 、 tfo tcp original-receive-buffer 、および tfo tcp original-send-buffer グローバル コンフィギュレーション コマンドを使用します。
TCP バッファ サイズを表示するには、 show tfo tcp EXEC コマンドを使用します。
高い BDP リンク用の TCP バッファの計算
WAAS ソフトウェアは、帯域幅、遅延、およびパケット損失のような複数のリンク特性を含む、さまざまなネットワーク環境で展開できます。すべての WAAS デバイスは、次の値までの最大帯域遅延積(BDP)を持つネットワークに対応できるように設定されています。
- WAE-512:デフォルト BDP は 32 KB
- WAE-612:デフォルト BDP は 512 KB
- WAE-674:デフォルト BDP は 2048 KB
- WAE-7341:デフォルト BDP は 2048 KB
- WAE-7371:デフォルト BDP は 2048 KB
- すべての WAVE プラットフォーム:デフォルト BDP は 2048 KB
ネットワークがより高い帯域幅を提供したり、高い遅延が含まれる場合は、次の計算式を使用して実際のリンク BDP を計算します。
BDP [キロバイト] = (リンク帯域幅 [キロバイト/秒] * ラウンドトリップ遅延 [秒])
WAE が最適化しているトラフィックに対するリンクが複数のリンク 1 ~ N である場合、最大 BDP は次のように計算する必要があります。
MaxBDP = Max (BDP(link 1),..,BDP(link N))
計算した MaxBDP が WAE モデルのデフォルト BDP より大きい場合は、計算した MaxBDP に対応できるようにアクセラレーション TCP 設定を変更する必要があります。
Max BDP のサイズが計算できたら、[Acceleration TCP Settings] ウィンドウで、最適化された接続のための [Send Buffer Size] フィールドと [Receive Buffer Size] フィールドに Max BDP の 2 倍以上の値を入力します。
(注) これらの手動で設定されたバッファ サイズは、TCP 適応バッファリングが無効な場合にだけ適用できます。TCP 適応バッファリングは通常有効であるため、バッファ サイズは WAAS システムにより直接変更されます。TCP 適応バッファリングの詳細については、TCP 適応バッファリング設定の変更を参照してください。
TCP 適応バッファリング設定の変更
WAAS システムは、ネットワーク帯域および各接続で発生する遅延に基づいて TCP 適応バッファリング設定を自動的に構成するため、ほとんどの場合、アクセラレーション TCP 適応バッファリング設定を変更する必要がありません。適応バッファリングにより、WAAS ソフトウェアは送受信されるバッファ サイズを直接変更して、パフォーマンスを向上させ、使用可能なネットワーク帯域をより効果的に利用できるようになります。
アクセラレーション TCP 適応バッファリング設定を変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Acceleration] > [TCP Adaptive Buffering Settings] を選択します。
[TCP Adaptive Buffering Settings] ウィンドウが表示されます。
ステップ 3 TCP 適応バッファリングを有効化するには、[Enable] チェックボックスを選択します。(デフォルトでは有効になっています)。
ステップ 4 [Send Buffer Size] フィールドと [Receive Buffer Size] フィールドに、送受信されるバッファの最大サイズ(キロバイト)を入力します。
ステップ 5 [Submit] をクリックします。
CLI から TCP 適応バッファリング設定を構成するには、 tfo tcp adaptive-buffer-sizing グローバル コンフィギュレーション コマンドを使用します。
WAE(config)# tfo tcp adaptive-buffer-sizing receive-buffer-max 8192
CLI から TCP 適応バッファリング設定を無効にするには、 no tfo tcp adaptive-buffer-sizing enable グローバル コンフィギュレーション コマンドを使用します。
デフォルトの設定済みの適応バッファリング サイズを表示するには、 show tfo tcp EXEC コマンドを使用します。