使用上のガイドライン
inspect h323 コマンドは、Cisco CallManager および VocalTec Gatekeeper などの H.323 準拠アプリケーションをサポートします。H.323 は、LAN 上でのマルチメディア会議用として、International
Telecommunication Union(ITU;国際電気通信連合)により定義されたプロトコル スイートです。FWSM は、H.323 v3 の単一コール シグナリング チャネル上での複数コール機能を含む、H.323 Version 4 をサポートしています。
H.323 検査をイネーブルにすると、FWSM は、H.323 Version 3 で導入された、単一コール シグナリング チャネル上での複数コールをサポートします。この機能により、コール セットアップ時間が短縮され、FWSM 上のポート使用率も削減されます。
H.323 検査には、次の 2 つの主要機能があります。
• H.225 および H.245 メッセージに組み込まれた必要な IPv4 アドレスの NAT(ネットワーク アドレス変換)。H.323 メッセージは、PER コード化形式でコード化されるので、FWSM は、H.323 メッセージのデコードに、ASN.1 デコーダを使用します。
• ネゴシエートされた H.245 および RTP/RTCP 接続をダイナミックに割り当てます。
H.323 の動作
H.323 の一連のプロトコルでは、2 つまでの TCP 接続および 4 ~ 6 の UDP 接続を集約的に使用できます。登録、アドミッション、およびステータス用に、FastStart は単一の TCP 接続だけを使用し、RAS は単一の UDP 接続を使用します。
H.323 クライアントは、Q.931 コール セットアップを要求するために、最初に TCP ポート 1720 を使用して H.323 サーバへの TCP 接続を確立することがあります。コール セットアップ プロセスの一環として、H.323 端末はクライアントに、H.245 TCP 接続用のポート番号を提供します。H.245 接続は、コールのネゴシエーションおよびメディア チャネルのセットアップに使用されます。H.323 ゲートキーパを使用する環境では、初回パケットは UDP を使用して転送されます。
H.323 検査は、Q.931 TCP 接続をモニタして、H.245 ポート番号を判別します。H.323 端末が FastStart を使用していない場合、FWSM は、H.225 メッセージの検査に基づいて H.245 接続をダイナミックに割り当てます。
(注) また、RAS を使用する場合にも、H.225 接続はダイナミックに割り当てられます。
各 H.245 メッセージで、H.323 の両エンドポイントは、以降の UDP データ ストリームに使用するポート番号を交換します。H.323 検査は、H.245 メッセージを検査して、これらのポートを判別し、メディア交換用の接続をダイナミックに作成します。Real-Time Transport Protocol(RTP)は、ネゴシエートされたポート番号を使用しますが、RTP Control Protocol(RTCP)は、次の上位ポート番号を使用します。
H.323 制御チャネルは、H.225、H.245 、および H.323 RAS を処理します。H.323 検査は、次のポートを使用します。
• 1718 ― ゲートキーパの検出に使用される UDP ポート
• 1719 ― RAS およびゲートキーパの検出に使用される UDP ポート
• 1720 ― TCP 制御ポート
ゲートキーパからの ACF メッセージが FWSM を通過する場合には、H.225 接続用のピンホールがオープンされます。H.245 シグナリング ポートは、H.225 シグナリングの両エンドポイント間でネゴシエートされます。H.323 ゲートキーパを使用する場合には、FWSM は、ACF メッセージの検査に基づいて H.225 接続をオープンします。 FWSM が ACF メッセージを検出しない場合には、H.225 コール シグナリング用に、既知 H.323 ポート 1720 にアクセス リストをオープンしなければならないことがあります。
FWSM は、H.225 メッセージの検査後に H.245 チャネルをダイナミックに割り当て、H.245 チャネルに接続し、回復します。つまり、FWSM を通過する H.245 メッセージはすべて、H.245 アプリケーション検査の対象となり、組み込み IP アドレスの NAT が実行され、ネゴシエートされたメディア チャネルがオープンされます。
H.323 ITU 規格では、信頼できる接続に渡す前に、H.225 および H.245 の前にメッセージ長を定義する TPKT ヘッダーを送信するよう規定しています。TPKT ヘッダーは、H.225 または H.245 メッセージと同じ TCP パケットで送信する必要はないので、FWSM は、メッセージを適切に処理またはデコードできるように TPKT の長さを記録しておく必要があります。FWSM は、各接続のデータ構造、つまり次に予測されるメッセージの TPKT 長を含むデータ構造を保持します。
NAT が必要な IP アドレスがある場合、FWSM はチェックサム、User-User Information Element(UUIE)長、および TPKT(H.225 メッセージが TCP パケットに含まれていた場合)を変更する必要があります。TPKT が異なる TCP パケットで送信された場合、FWSM はその TPKT にプロキシ ACK を実行し、新しい長さの H.245 メッセージに新しい TPKT を付加します。
(注) FWSMは、TPKT の プロキシ ACK では、TCP オプションをサポートしません。
H.323 検査対象のパケットを使用する各 UDP 接続は、H.323 接続としてマークされ、 timeout コマンドにより設定された H.323 タイムアウトに従って、タイムアウトになります。
制限および制約
H.323 アプリケーション検査の使用については、次のような既知の問題および制限事項があります。
• スタティック PAT(ポート アドレス変換)では、H.323 メッセージのオプション フィールドに組み込まれた IP アドレスが適切に変換されないことがあります。この問題が発生した場合には、H.323 にスタティック PAT を使用しないでください。
• NetMeeting クライアントが H.323 ゲートキーパに登録し、同じ H.323 ゲートキーパに登録されている H.323 ゲートウェイを呼び出そうと、接続は確立されますが、どちらの方向でも音声は認識されません。この問題は、FWSM とは無関係です。
• 設定したネットワーク スタティックが、サードパーティのネットマスクおよびアドレスと一致している場合、すべての発信 H.323 接続に失敗します。
シグナリング メッセージの検査
シグナリング メッセージを検査する場合、 inspect h323 コマンドで、メディア エンドポイント(IP Phone など)の位置の判別が必要になることがあります。
この情報は、手動設定を行わずに、メディア トラフィックがファイアウォールをトランスペアレントに通過できるよう、アクセス制御と NAT ステートを準備するために使用されます。
位置を判別する場合、 inspect h323 コマンドは、トンネル デフォルト ゲートウェイ ルートを 使用しません。 トンネル デフォルト ゲートウェイ ルートは、 route interface 0 0 metric tunneled 形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを書き換えます。したがって、VPN トラフィックに inspect h323 コマンドを適用する場合には、トンネル デフォルト ゲートウェイ ルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用してください。
H.225 マップの使用方法
H.225 マップにより、H.225 コール シグナリングに HSI が含まれている場合、FWSM で H.245 接続用のダイナミックなポート固有のピンホールをオープンできます。H.225 マップは、HSI および関連するエンドポイントの情報を提供します。これらは、FWSM によって保護されているネットワークのセキュリティを損なわずに接続を確立するために必要な情報です。
表15-1 に、必要なコンフィギュレーションを実行するためのコマンドの要約を示します。
表15-1 H.225 コンフィギュレーション コマンド
|
|
|
h225-map |
グローバル コンフィギュレーション モード |
H.225 アプリケーション検査マップを定義し、H.225 マップ コンフィギュレーション モードをイネーブルにします。1 つの H.225 マップに、最大 5 つの HSI グループを設定できます。 |
hsi-group |
H.225 マップ コンフィギュレーション モード |
HSI グループを定義し、HSI グループ コンフィギュレーション モードをイネーブルにします。各 HSI グループに、最大 10 のエンドポイントを設定できます。 |
hsi |
HSI グループ コンフィギュレーション モード |
HSI を識別します。 |
endpoint |
HSI グループ コンフィギュレーション モード |
HSI グループ内の 1 つまたは複数のエンドポイントを識別します。 |