この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Jabber Guest は仮想サーバとして導入され、VMware サーバがホストとして機能する必要があります。 サーバのオペレーティング システムが、CentOS です。 Cisco Jabber Guest はオンプレミスの導入です。すべてのサービスがエンタープライズ ネットワークで設定、管理、維持されます。
Cisco Jabber Guest が OVA イメージとして提供され、手動で導入されます。
作成後に仮想マシンを起動するには、コンソール ウィンドウで [電源オン(Power On)] を選択します。
ネットワーク内に設置されたサーバの種類に応じて Cisco TelePresence Video Communication Server の適切な SIP トランクまたは Cisco Unified Communications Manager の適切なゾーンを設定します。
(注) |
仮想マシンが VLAN の IP アドレスを取得できない場合は、ネットワーク eth0 に関連しているブートアップ障害を表示します。 |
作成後に仮想マシンを起動するには、コンソール ウィンドウで [電源オン(Power On)] を選択します。
(注) |
仮想マシンで DHCP がデフォルト値に設定されます。 スタティック IP アドレスを使用して仮想マシンを設定する場合は、IP アドレス、ネットワーク マスク、ホスト名、ゲートウェイ IP アドレスと、少なくとも 1 つの DNS サーバの IP アドレスのプロパティの編集が必要です。 |
ネットワーク内に設置されたサーバの種類に応じて Cisco TelePresence Video Communication Server の適切な SIP トランクまたは Cisco Unified Communications Manager の適切なゾーンを設定します。
(注) |
仮想マシンが VLAN の IP アドレスを取得できない場合は、ネットワーク eth0 に関連しているブートアップ障害を表示します。 |
Google Chrome 18 以降か Mozilla Firefox 10 以降を搭載した Mac または Windows、および Microsoft Internet Explorer 11 以降を搭載した Windows で Cisco Jabber Guest Administration にアクセスできます。
Cisco Jabber Guest サーバはデフォルトのクレデンシャルで設定されます。
セッションは、非アクティブな状態が 30 分続くとタイムアウトします。
Cisco Jabber Guest サーバのコマンドライン インターフェイス(CLI)は、デフォルトのクレデンシャルで設定されます。
ステップ 1 | ユーザ ID に root と入力します。 |
ステップ 2 | パスワードに jabbercserver と入力します。 パスワードは、初回サインイン時に変更する必要があります。 |
ステップ 3 | 新しいパスワードを入力します。 |
Cisco Jabber Guest をインストールすると、自己署名証明書がデフォルトでインストールされます。 希望に応じて、サードパーティ(信頼できる認証局)によって署名された証明書をインストールすることもできます。 Cisco Jabber Guest は、DER がエンコードした証明書と PEM がエンコードした証明書のインストールをサポートします。
デフォルトでインストールされている証明書を使用する場合は、サーバのホスト名を変更したときに、新しい自己署名証明書を生成しなければなりません。
Cisco Jabber Guest クラスタを導入済みの場合は、クラスタ内の各サーバに証明書をインストールする必要があります。
新しい証明書署名要求を作成した場合、現在の証明書が無効になります。
デフォルトでインストールされる自己署名証明書を使用していて、サーバのホスト名を変更する場合は、新しい自己署名証明書を生成しなければなりません。
新しい自己署名証明書を生成する場合、現在の証明書が無効になります。
デフォルトでは、サーバのタイム ゾーンは協定世界時(UTC)に設定されます。 タイム ゾーンを変更するには、次の手順を実行します。
タイム ゾーンの変更はすぐに反映されます。
Cisco Jabber Guest は、サーバの導入後にネットワークの他の要素と連携するように設定する必要があります。
両方の導入が NAT を使用する Cisco Expressway-E をサポートします。
実稼動環境では、Cisco Jabber Guest は Cisco Unified Communications Managerと Cisco Expressway とを連携するように設定する必要があります。
(注) |
Cisco Expressway-E がリバース プロキシ機能に使用されている場合、Cisco Jabber Guest URL は https://expressway-e.example.com/call のようになり、expressway-e.example.com が Cisco Expressway-E の FQDN になります。 |
以下に、Cisco Jabber Guest サーバの単一の NIC を導入した Cisco Expressway-E のコール制御フローの例を示します。
以下に、Cisco Jabber Guest サーバのデュアル NIC を導入した Cisco Expressway-E のコール制御フローの例を示します。
Cisco Jabber Guest サーバ とCisco Expressway-E の間の SIP フロー これには、5060 上の(TCP over SIP)または 5061 上の(SIP over TLS)の 2 台のサーバ間で双方向の TCP トラフィックが必要です。 その後、SIP トラフィックがトラバーサル ゾーンを通じて Cisco Expressway-C に向かうでしょう。
私たちは、Cisco Expressway-E でネットワーク トラフィックを伝送しているルータ/ファイアウォール上の SIP と H323 アプリケーション レベル ゲートウェイを無効にすることを推奨します。
2 つの Cisco Expressway-E NIC 間のメディアがヘアピンするため、TURN トラフィックと SIP トラフィックが同じ Cisco Expressway-E サーバ上に存在する必要があります。 Cisco Jabber Guest サーバの Cisco Expressway-E のスタティック NAT アドレス、DMZ の外部アドレスと DMZ の内部アドレスを設定します。
Web クライアントが企業にメディアをトンネルするために Cisco Expressway-E に割り当てられた TURN リレーを使用します。 メディアは、UDP ポート 3478 を通じて TURN サーバへ STUN カプセル化パケットの形で送受信されます。
Cisco Jabber Guest クライアントが Cisco Jabber Guest サーバに HTTP を通じてコール リソースを割り当てます。
Cisco Jabber Guest サーバはセキュア HTTP 要求を通じて Cisco Expressway-C からの短期 TURN クレデンシャルを要求します。 管理者クレデンシャルが認証に使用されます。 設定済みドメインが Cisco Expressway-C になければならず、Jabber Guest サービスが有効になる必要があります。
Cisco Expressway-C が TURN クレデンシャルを作成し、Cisco Jabber Guest サーバに渡します。
Cisco Expressway-C が SSH トンネル(ポート 2222)を通じて TURN クレデンシャルを Cisco Expressway-E に伝搬します。
Cisco Jabber Guest サーバは、TURN クレデンシャルおよび TURN サーバ(Cisco Expressway-E)アドレス(DNS または IP)のある Cisco Jabber Guest クライアントに応答します(DNS または IP)。
Cisco Jabber Guest クライアントは、TURN サーバで TURN リレーを割り当てるために TURN クレデンシャルを使用します。
次の図は、Cisco Jabber Guest の単一の NIC を導入した Cisco Expressway-E のメディア フローの例です。
Cisco Jabber Guest メディアは Cisco Expressway-E と Cisco Expressway-C の間のトラバーサル リンクを通過しません。
Cisco Expressway-E がNAT の背後にある場合、スタティック NAT アドレスにメディア フローが行くのを回避するために、Cisco Jabber Guest サーバに追加の設定が必要です。 [スタティック NAT モード(Static NAT mode)] を有効にし、Cisco Jabber Guest サーバの Cisco Expressway-E のスタティック NAT アドレスと DMZ の外部アドレスを設定します。 これを利用すると、外側のファイアウォールで NAT のリフレクションを避けて、Cisco Expressway-E の DMZ の外部アドレスにメディアを送信することができます。
次の図は、Cisco Jabber Guest のデュアル NIC を導入した Cisco Expressway-E のメディア フローの例です。
メディアが Cisco Expressway-C と Cisco Expressway-E の内部 NIC の間のトラバーサル ゾーンを通過します。 これは、Cisco Expressway-E 上で Cisco Expressway-E の外部 NIC へヘアピンし、クライアント ブラウザへ送信される前に STUN/TURN にラッピングされます。
Cisco Expressway-E がNAT の背後にある場合、スタティック NAT アドレスにメディア フローが行くのを回避するために、Cisco Jabber Guest サーバに追加の設定が必要です。 [スタティック NAT モード(Static NAT mode)] を有効にし、Cisco Jabber Guest サーバの Cisco Expressway-E のスタティック NAT アドレス、DMZ の外部アドレス、DMZ の内部アドレスを設定します。 これを利用すると、外側のファイアウォールで NAT のリフレクションを避けて、Cisco Expressway-E の DMZ の外部アドレスにメディアを送信することができます。
インターネットの Cisco Jabber Guest クライアントからの HTTP および HTTPS トラフィックは、ポート 80 およびポート 443 の TCP にそれぞれ送信されます。 したがって、Cisco Expressway-E とパブリック インターネットとの間のファイアウォールは、Cisco Expressway-E アドレスを対象とするすべての TCP トラフィックのための宛先ポート 80 を 9980 へ変換し、宛先ポート 443 を 9443 へ変換する必要があります。
Cisco Expressway-E は、ポート 9980 の HTTP 要求を、9443 の HTTPS へリダイレクトします。
80/443 TCP は、Expressway のHTTP/S 標準管理インターフェイスです。 Cisco Expressway-E がインターネットに配置されているシステムから管理されている場合、ファイアウォールの変換も送信元アドレスを区別しなければならず、それらの管理システムから着信したトラフィックの宛先ポートを変換してはなりません。
また、Cisco Jabber Guest クライアントが Cisco Expressway-E に到達できるように、適切な DNS レコードが存在することを確認する必要があります。 DNS のCisco Expressway-E FQDN は Cisco Jabber Guest ドメインを含まなければなりません。 Cisco Jabber Guest ドメインは Cisco Expressway-C で設定されたドメインです。
目的 |
プロトコル(Protocol) |
インターネットのエンドポイント(発信元) |
Cisco Expressway-E(リスニング) |
---|---|---|---|
HTTP |
TCP |
TCP 発信元ポート |
99801 |
HTTPS プロキシ |
TLS |
TCP 発信元ポート |
94432 |
TURN サーバの制御/メディア |
UDP |
UDP 送信元ポート |
3478-3483(このポートに送信される制御およびメディア) |
目的 |
プロトコル(Protocol) |
Cisco Expressway-C(発信元) |
Cisco Expressway-E(宛先) |
---|---|---|---|
SSH(HTTP/S トンネル) |
TCP |
一時ポート |
2222(設定不可能) |
トラバーサル ゾーン SIP シグナリング |
TLS |
25000-29999 |
7001 |
メディア3 |
UDP |
36000-59999 |
24000-299994 60000-617995 |
目的 |
プロトコル(Protocol) |
Cisco Expressway-E(発信元) |
Cisco Expressway-C(宛先) |
---|---|---|---|
メディア |
UDP |
24000-299996 60000-617997 |
36000-59999 |
目的 |
プロトコル(Protocol) |
インターネットのエンドポイント(発信元) |
Cisco Expressway-E(リスニング) |
---|---|---|---|
HTTP |
TCP |
TCP 発信元ポート |
99808 |
HTTPS プロキシ |
TLS |
TCP 発信元ポート |
94439 |
TURN サーバの制御/メディア |
UDP |
UDP 送信元ポート |
3478-3483(このポートに送信される制御およびメディア) |
目的 |
プロトコル(Protocol) |
Cisco Expressway-C(発信元) |
Cisco Expressway-E(宛先) |
||
---|---|---|---|---|---|
SSH(HTTP/S トンネル) |
TCP |
一時ポート |
2222(設定不可能) |
||
トラバーサル ゾーン SIP シグナリング |
TLS |
25000-29999 |
7001 |
||
メディア
|
UDP |
36002-5999910 36002-5999911 50000-5499912 |
36000-3600113 36000-3601114 |
目的 |
プロトコル(Protocol) |
Cisco Jabber Guest(発信元) |
Cisco Expressway-E(宛先) |
---|---|---|---|
SIP |
TCP |
一時ポート |
5060(SIP over TCP) 5061(SIP over TLS) |
目的 |
プロトコル(Protocol) |
Cisco Expressway-E(発信元) |
Cisco Jabber Guest(宛先) |
---|---|---|---|
SIP |
TCP |
一時ポート |
5060(SIP over TCP) 5061(SIP over TLS) |
(注) |
内部 > DMZ のファイアウォール ルールにより発信トラフィックが許可される場合、メディアにルールは必要ありません。 メディアが発信のピンホールを通じて内部に伝送されます。 |
HTTP 要求が Cisco Expressway-E から Cisco Expressway-C サーバにCisco Jabber Guest送信されます。
HTTP 要求が Cisco Expressway-E から Cisco Expressway-C サーバにCisco Jabber Guest送信されます。
コール制御シグナリングに対して Session Initiation Protocol (SIP) over Transport Layer Security (TLS) を有効化し、セキュア メディアに対して Secure Real-Time Transfer Protocol(SRTP)を有効化することを推奨します。 セキュア メディアにはセキュア シグナリングが必要です。
コール制御シグナリングに対して Session Initiation Protocol (SIP) over Transport Layer Security (TLS) を有効化し、セキュア メディアに対して Secure Real-Time Transfer Protocol(SRTP)を有効化することを推奨します。 セキュア メディアにはセキュア シグナリングが必要です。
Cisco Jabber Guest クライアントには、Cisco Expressway-E の TURN リレーを割り当てるのに、TURN クレデンシャルが必要です。 Cisco Jabber Guestサーバは、Cisco Jabber Guest クライアントが接続するときに、Cisco Expressway-C のこれらのクレデンシャルをプロビジョニングします。
Cisco Jabber Guest サーバは、Cisco Expressway-C との通信に HTTP ベースの XML API を使用します。
Cisco Jabber Guest クライアントは、TURN リレーにどの Cisco Expressway-E を使用するかを把握しておく必要があります。
Cisco Jabber Guest クラスタ内の各ノードに対する [Cisco Jabber Guest のローカル FQDN(Cisco Jabber Guest local FQDN)] フィールドは、必ず入力してください。
Cisco Jabber Guest サーバでリンクを作成するには、Cisco Expressway で設定されたドメインを入力する必要があります。
VPN を使用するときなど、コール シナリオの中には、Cisco Expressway-E のデフォルトの最大伝送ユニット(MTU)が高すぎてパケット損失を引き起こすものもあります。 デフォルトの MTU は 1500 バイトです。 MTU を 1400 バイトに減らすことを推奨します。 MTU のサイズを減らさない場合、一方向のビデオなどの問題が発生する可能性があります。
ステップ 1 |
Cisco Expressway-Eで、 を選択します。 |
ステップ 2 | [LAN 1(LAN 1)] セクションで、[最大伝送ユニット(MTU)(Maximum transmission unit(MTU))] フィールドに 1400 を入力します。 |
ステップ 3 | [保存(Save)] をクリックします。 |
Cisco Expressway-C、Cisco Expressway-E および Cisco Jabber Guest サーバ クラスタのロードのバランスをとります。
ラウンド ロビン DNS ロード バランシングによって、DNS サーバが単一のホスト名に関連付けられた IP アドレスの順序付きリストを返します。 ホスト名の各新規クエリーによって、DNS サーバがリストを通じて持ち回りさせます。 異なる IP アドレスの複数サーバが、同じサービスを提供する新しい要求の処理を交代で行います。
TURN トラフィックの場合、ラウンド ロビン DNS ロード バランシングの利点は、冗長性も提供することです。 TURN サーバが停止しているか、到達不能の場合、クライアントは別のサーバを試します。
(注) |
DNS サーバがホスト名に指し示される何らかのロードの下にある場合、DNS ルックアップによって返された IP アドレス リストの順序は予測が困難です。 期待すべき重要な点は、ホスト名へのコールが別のサーバへ移動することです。 |
ラウンド ロビン DNS は、Cisco Jabber Guest コールを実行するためにクライアント ブラウザに使用される Cisco Jabber Guest コール URL が、Cisco Expressway-E クラスタの FQDN を使用する場合に有効になります。
クラスタ FQDN に HTTPS 要求を実行した連続的なクライアントは、Cisco Expressway-E クラスタ内の別のサーバに誘導されます。ただし、特定クライアントがラウンド ロビン DNS を後続のコールに使用するかどうか、あるいは使用する方法は、DNS キャッシングにより影響を受けることがあります。
次の作業新しいコール要求の数が Cisco Expressway-C の容量を超えないようにするには、スロットルのコール数/秒の制限を必ず変更してください。
新しいコール要求(SIP INVITES)の数が Cisco Expressway-C の容量を超えないようにするために、Cisco Jabber Guest サーバはコール スロットリング メカニズムを実装しています。
ラウンドロビン DNS によりロード バランシングが達成されるクラスタ Cisco Expressway-C 導入に対して、[throttleCallsPerSecLimit(throttleCallsPerSecLimit)] 設定を Cisco Jabber Guest が SIP を送信する Cisco Expressway-C クラスタ内のサーバ数に 10 を掛けた値に変更することを推奨します。 たとえば、Cisco Expressway-C クラスタ内に 2 台のサーバがある場合、[throttleCallsPerSecLimit(throttleCallsPerSecLimit)] を 20 に設定します。
CSV ラウンド ロビン ロード バランシングでは、CSV のリストを使用することにより、個々の特定サーバ間でラウンド ロビンの順序で要求を行えるように Cisco Jabber Guest サーバを設定できます。 サーバが使用されると、選択肢がリストの先頭に来てまた繰り返されるまで、リスト内の次のサーバが使用されます。
Cisco Jabber Guest サーバは、HTTP を送信する Cisco Expressway-C へ SIP と TURN のクレデンシャルを送信することにより、Cisco Expressway-C からの HTTP ロード バランシングを利用することができます。
連続する各 TURN 要求に対して異なるポートを使用することで、TURN 要求のロードバランシングの潜在力を利用できるように Cisco Jabber Guest を設定できます。
大規模な Cisco Expressway-E の導入では、最大 6 つの TURN 要求ポートを範囲として指定できます。 TURN サーバにラウンド ロビン DNS またはラウンド ロビン CSV と組み合わせて使用する場合、使用中の TURN 要求ポートの数が増加します。
Cisco Jabber Guest サーバは、Microsoft Windows プラットフォームの vSphere によってアップグレードされます。 アップグレードは ISO ファイルとして提供され、ISO イメージに接続できる CD または DVD ドライブが必要です。
目次
- Cisco Jabber Guest のインストールと導入
- Cisco Jabber Guest サーバのインストール
- vCenter Server にサーバをインストール
- ESXi ハイパーバイザにサーバをインストール
- Cisco Jabber Guest Administration へのサインイン
- Cisco Jabber Guest サーバの CLI にサインイン
- 証明書のインストール
- 認証局によって署名された証明書をインストール
- 自己署名証明書を生成
- サーバのタイムゾーンを変更
- Cisco Jabber Guest の導入
- ネットワーク トポロジ
- コール制御フロー
- コール制御フロー:単一の NIC を導入した Cisco Expressway-E
- コール制御フロー:デュアル NIC を導入した Cisco Expressway-E
- メディア フロー
- メディア フロー:単一の NIC を導入した Cisco Expressway-E
- メディア フロー:デュアル NIC を導入した Cisco Expressway-E
- ポートおよびプロトコル
- ポートおよびプロトコル:単一の NIC を導入した Cisco Expressway-E
- ポートおよびプロトコル:デュアル NIC を導入した Cisco Expressway-E
- Cisco Expressway-E および Cisco Expressway-C の設定
- Cisco Expressway-E と Cisco Expressway-C の設定:単一の NIC を導入した Cisco Expressway-E
- Cisco Expressway-E と Cisco Expressway-C の設定:デュアル NIC を導入した Cisco Expressway-E
- Cisco Jabber Guest の設定
- シグナリングおよびメディア
- シグナリングおよびメディア:単一の NIC を導入した Cisco Expressway-E
- シグナリングおよびメディア: デュアル NIC を導入した Cisco Expressway-E
- Cisco Expressway-E でスタティック NAT モードを設定
- TURN クレデンシャルのプロビジョニングを設定
- TURN サーバ情報を設定
- Cisco Jabber Guest サーバの FQDN を設定
- リンクに使用するドメインを設定
- MTU サイズの変更
- ロード バランシング
- ラウンド ロビンの DNS ロード バランシング
- スロットルのコール数/秒の制限を変更
- ラウンド ロビンの CSV ロード バランシング
- HTTP ロード バランシング
- ラウンド ロビン TURN のポート範囲のロード バランシング
- Cisco Jabber Guest サーバのアップグレード
Cisco Jabber Guest は仮想サーバとして導入され、VMware サーバがホストとして機能する必要があります。 サーバのオペレーティング システムが、CentOS です。 Cisco Jabber Guest はオンプレミスの導入です。すべてのサービスがエンタープライズ ネットワークで設定、管理、維持されます。
Cisco Jabber Guest が OVA イメージとして提供され、手動で導入されます。
Cisco Jabber Guest サーバのインストール
vCenter Server にサーバをインストール
手順
次の作業作成後に仮想マシンを起動するには、コンソール ウィンドウで [電源オン(Power On)] を選択します。
ネットワーク内に設置されたサーバの種類に応じて Cisco TelePresence Video Communication Server の適切な SIP トランクまたは Cisco Unified Communications Manager の適切なゾーンを設定します。
(注)
仮想マシンが VLAN の IP アドレスを取得できない場合は、ネットワーク eth0 に関連しているブートアップ障害を表示します。
ESXi ハイパーバイザにサーバをインストール
手順
次の作業作成後に仮想マシンを起動するには、コンソール ウィンドウで [電源オン(Power On)] を選択します。
(注)
仮想マシンで DHCP がデフォルト値に設定されます。 スタティック IP アドレスを使用して仮想マシンを設定する場合は、IP アドレス、ネットワーク マスク、ホスト名、ゲートウェイ IP アドレスと、少なくとも 1 つの DNS サーバの IP アドレスのプロパティの編集が必要です。
ネットワーク内に設置されたサーバの種類に応じて Cisco TelePresence Video Communication Server の適切な SIP トランクまたは Cisco Unified Communications Manager の適切なゾーンを設定します。
(注)
仮想マシンが VLAN の IP アドレスを取得できない場合は、ネットワーク eth0 に関連しているブートアップ障害を表示します。
Cisco Jabber Guest Administration へのサインイン
手順Google Chrome 18 以降か Mozilla Firefox 10 以降を搭載した Mac または Windows、および Microsoft Internet Explorer 11 以降を搭載した Windows で Cisco Jabber Guest Administration にアクセスできます。
Cisco Jabber Guest サーバはデフォルトのクレデンシャルで設定されます。
セッションは、非アクティブな状態が 30 分続くとタイムアウトします。
証明書のインストール
認証局によって署名された証明書をインストール
手順
自己署名証明書を生成
手順デフォルトでインストールされる自己署名証明書を使用していて、サーバのホスト名を変更する場合は、新しい自己署名証明書を生成しなければなりません。
新しい自己署名証明書を生成する場合、現在の証明書が無効になります。
サーバのタイムゾーンを変更
手順
Cisco Jabber Guest の導入
Cisco Jabber Guest は、サーバの導入後にネットワークの他の要素と連携するように設定する必要があります。
- ネットワーク トポロジ
- ポートおよびプロトコル
- Cisco Expressway-E および Cisco Expressway-C の設定
- Cisco Jabber Guest の設定
- MTU サイズの変更
ネットワーク トポロジ
実稼動環境では、Cisco Jabber Guest は Cisco Unified Communications Managerと Cisco Expressway とを連携するように設定する必要があります。
Cisco Jabber Guest を、試験導入用のみに対して Cisco Unified Communications Manager へ直接指し示すこともできます。 この導入に対して Cisco Unified Communications Manager で SIP トランクを設定しなければなりません。 このオプションは、Expressway の設定という追加オーバーヘッドなしに Cisco Jabber Guest に慣れることを目標としている試験導入に最も適しています。 ただし、Expressway を設定しないと、 Cisco Jabber Guest は本番環境ではサポートされません。
(注)
Cisco Expressway-E がリバース プロキシ機能に使用されている場合、Cisco Jabber Guest URL は https://expressway-e.example.com/call のようになり、expressway-e.example.com が Cisco Expressway-E の FQDN になります。
コール制御フロー
コール制御フロー:デュアル NIC を導入した Cisco Expressway-E
以下に、Cisco Jabber Guest サーバのデュアル NIC を導入した Cisco Expressway-E のコール制御フローの例を示します。
Cisco Jabber Guest サーバ とCisco Expressway-E の間の SIP フロー これには、5060 上の(TCP over SIP)または 5061 上の(SIP over TLS)の 2 台のサーバ間で双方向の TCP トラフィックが必要です。 その後、SIP トラフィックがトラバーサル ゾーンを通じて Cisco Expressway-C に向かうでしょう。
私たちは、Cisco Expressway-E でネットワーク トラフィックを伝送しているルータ/ファイアウォール上の SIP と H323 アプリケーション レベル ゲートウェイを無効にすることを推奨します。
重要:2 つの Cisco Expressway-E NIC 間のメディアがヘアピンするため、TURN トラフィックと SIP トラフィックが同じ Cisco Expressway-E サーバ上に存在する必要があります。 Cisco Jabber Guest サーバの Cisco Expressway-E のスタティック NAT アドレス、DMZ の外部アドレスと DMZ の内部アドレスを設定します。
メディア フロー
Web クライアントが企業にメディアをトンネルするために Cisco Expressway-E に割り当てられた TURN リレーを使用します。 メディアは、UDP ポート 3478 を通じて TURN サーバへ STUN カプセル化パケットの形で送受信されます。
TURN リレーのクレデンシャルが次のように取得され、使用されます。
Cisco Jabber Guest クライアントが Cisco Jabber Guest サーバに HTTP を通じてコール リソースを割り当てます。
Cisco Jabber Guest サーバはセキュア HTTP 要求を通じて Cisco Expressway-C からの短期 TURN クレデンシャルを要求します。 管理者クレデンシャルが認証に使用されます。 設定済みドメインが Cisco Expressway-C になければならず、Jabber Guest サービスが有効になる必要があります。
Cisco Expressway-C が TURN クレデンシャルを作成し、Cisco Jabber Guest サーバに渡します。
Cisco Expressway-C が SSH トンネル(ポート 2222)を通じて TURN クレデンシャルを Cisco Expressway-E に伝搬します。
Cisco Jabber Guest サーバは、TURN クレデンシャルおよび TURN サーバ(Cisco Expressway-E)アドレス(DNS または IP)のある Cisco Jabber Guest クライアントに応答します(DNS または IP)。
Cisco Jabber Guest クライアントは、TURN サーバで TURN リレーを割り当てるために TURN クレデンシャルを使用します。
メディア フロー:単一の NIC を導入した Cisco Expressway-E
次の図は、Cisco Jabber Guest の単一の NIC を導入した Cisco Expressway-E のメディア フローの例です。
Cisco Jabber Guest メディアは Cisco Expressway-E と Cisco Expressway-C の間のトラバーサル リンクを通過しません。
重要:Cisco Expressway-E がNAT の背後にある場合、スタティック NAT アドレスにメディア フローが行くのを回避するために、Cisco Jabber Guest サーバに追加の設定が必要です。 [スタティック NAT モード(Static NAT mode)] を有効にし、Cisco Jabber Guest サーバの Cisco Expressway-E のスタティック NAT アドレスと DMZ の外部アドレスを設定します。 これを利用すると、外側のファイアウォールで NAT のリフレクションを避けて、Cisco Expressway-E の DMZ の外部アドレスにメディアを送信することができます。
メディア フロー:デュアル NIC を導入した Cisco Expressway-E
次の図は、Cisco Jabber Guest のデュアル NIC を導入した Cisco Expressway-E のメディア フローの例です。
メディアが Cisco Expressway-C と Cisco Expressway-E の内部 NIC の間のトラバーサル ゾーンを通過します。 これは、Cisco Expressway-E 上で Cisco Expressway-E の外部 NIC へヘアピンし、クライアント ブラウザへ送信される前に STUN/TURN にラッピングされます。
重要:Cisco Expressway-E がNAT の背後にある場合、スタティック NAT アドレスにメディア フローが行くのを回避するために、Cisco Jabber Guest サーバに追加の設定が必要です。 [スタティック NAT モード(Static NAT mode)] を有効にし、Cisco Jabber Guest サーバの Cisco Expressway-E のスタティック NAT アドレス、DMZ の外部アドレス、DMZ の内部アドレスを設定します。 これを利用すると、外側のファイアウォールで NAT のリフレクションを避けて、Cisco Expressway-E の DMZ の外部アドレスにメディアを送信することができます。
ポートおよびプロトコル
重要:
インターネットの Cisco Jabber Guest クライアントからの HTTP および HTTPS トラフィックは、ポート 80 およびポート 443 の TCP にそれぞれ送信されます。 したがって、Cisco Expressway-E とパブリック インターネットとの間のファイアウォールは、Cisco Expressway-E アドレスを対象とするすべての TCP トラフィックのための宛先ポート 80 を 9980 へ変換し、宛先ポート 443 を 9443 へ変換する必要があります。
Cisco Expressway-E は、ポート 9980 の HTTP 要求を、9443 の HTTPS へリダイレクトします。
80/443 TCP は、Expressway のHTTP/S 標準管理インターフェイスです。 Cisco Expressway-E がインターネットに配置されているシステムから管理されている場合、ファイアウォールの変換も送信元アドレスを区別しなければならず、それらの管理システムから着信したトラフィックの宛先ポートを変換してはなりません。
また、Cisco Jabber Guest クライアントが Cisco Expressway-E に到達できるように、適切な DNS レコードが存在することを確認する必要があります。 DNS のCisco Expressway-E FQDN は Cisco Jabber Guest ドメインを含まなければなりません。 Cisco Jabber Guest ドメインは Cisco Expressway-C で設定されたドメインです。
ポートおよびプロトコル:単一の NIC を導入した Cisco Expressway-E
パブリック インターネットから Cisco Expressway-E(DMZ)への着信
表 1 パブリック インターネットから Cisco Expressway-E(DMZ)への着信 目的
プロトコル(Protocol)
インターネットのエンドポイント(発信元)
Cisco Expressway-E(リスニング)
HTTP
TCP
TCP 発信元ポート
99801
HTTPS プロキシ
TLS
TCP 発信元ポート
94432
TURN サーバの制御/メディア
UDP
UDP 送信元ポート
3478-3483(このポートに送信される制御およびメディア)
1 現在、 Cisco Expressway-E Administrator はポート 80 を使用し、したがって、ポート 80 の Cisco Jabber Guest クライアントから Cisco Expressway-E への着信要求は、 Cisco Expressway-E の前にあるファイアウォール(または類似するもの)のポート 9980 へリマップしなければなりません。2 現在、 Cisco Expressway-E Administrator はポート 443 を使用し、したがって、ポート 443 の Cisco Jabber Guest クライアントから Cisco Expressway-E への着信要求は、 Cisco Expressway-E の前にあるファイアウォール(または類似するもの)のポート 9443 へリマップしなければなりません。Cisco Expressway-C(プライベート)から Cisco Expressway-E(DMZ)への発信
表 2 Cisco Expressway-C(プライベート)から Cisco Expressway-E(DMZ)への発信 目的
プロトコル(Protocol)
Cisco Expressway-C(発信元)
Cisco Expressway-E(宛先)
SSH(HTTP/S トンネル)
TCP
一時ポート
2222(設定不可能)
トラバーサル ゾーン SIP シグナリング
TLS
25000-29999
7001
メディア3
UDP
36000-59999
24000-299994
60000-617995
3 デフォルトでは、サーバがスタティック NAT Cisco Jabber Guest モードに設定されない限り、メディアが NAT インターフェイスに送信されます。4 Cisco Expressway-E 8. x の新しいインストールの場合。5 Cisco Expressway-E を 7. x からアップグレードする場合。Cisco Expressway-E(DMZ)から Cisco Expressway-C(プライベート)への着信
ポートおよびプロトコル:デュアル NIC を導入した Cisco Expressway-E
パブリック インターネットから Cisco Expressway-E(DMZ)への着信
表 4 パブリック インターネットから Cisco Expressway-E(DMZ)への着信 目的
プロトコル(Protocol)
インターネットのエンドポイント(発信元)
Cisco Expressway-E(リスニング)
HTTP
TCP
TCP 発信元ポート
99808
HTTPS プロキシ
TLS
TCP 発信元ポート
94439
TURN サーバの制御/メディア
UDP
UDP 送信元ポート
3478-3483(このポートに送信される制御およびメディア)
8 現在、 Cisco Expressway-E Administrator はポート 80 を使用し、したがって、ポート 80 の Cisco Jabber Guest クライアントから Cisco Expressway-E への着信要求は、 Cisco Expressway-E の前にあるファイアウォール(または類似するもの)のポート 9980 へリマップしなければなりません。9 現在、 Cisco Expressway-E Administrator はポート 443 を使用し、したがって、ポート 443 の Cisco Jabber Guest クライアントから Cisco Expressway-E への着信要求は、 Cisco Expressway-E の前にあるファイアウォール(または類似するもの)のポート 9443 へリマップしなければなりません。Cisco Expressway-C(プライベート)から Cisco Expressway-E(DMZ)への発信
表 5 Cisco Expressway-C(プライベート)から Cisco Expressway-E(DMZ)への発信 目的
プロトコル(Protocol)
Cisco Expressway-C(発信元)
Cisco Expressway-E(宛先)
SSH(HTTP/S トンネル)
TCP
一時ポート
2222(設定不可能)
トラバーサル ゾーン SIP シグナリング
TLS
25000-29999
7001
メディア
(注) 内部 > DMZ のファイアウォール ルールにより発信トラフィックが許可される場合、メディアにルールは必要ありません。
UDP
36002-5999910
36002-5999911
50000-5499912
36000-3600113
36000-3601114
10 Cisco Expressway-C バージョン 8.1 以降の場合11 8.1 以降の Cisco Expressway-C大規模な導入に対応。12 Cisco Expressway-C 7.1 からアップグレードした場合。13 Cisco Expressway-E バージョン 8.1 以降の場合14 8.1 以降の Cisco Expressway-E大規模な導入に対応。Cisco Expressway-E および Cisco Expressway-C の設定
Cisco Expressway-E と Cisco Expressway-C の設定:単一の NIC を導入した Cisco Expressway-E
手順
HTTP 要求が Cisco Expressway-E から Cisco Expressway-C サーバにCisco Jabber Guest送信されます。
Cisco Expressway-E と Cisco Expressway-C の設定:デュアル NIC を導入した Cisco Expressway-E
手順
HTTP 要求が Cisco Expressway-E から Cisco Expressway-C サーバにCisco Jabber Guest送信されます。
Cisco Jabber Guest の設定
シグナリングおよびメディア
シグナリングおよびメディア:単一の NIC を導入した Cisco Expressway-E
手順コール制御シグナリングに対して Session Initiation Protocol (SIP) over Transport Layer Security (TLS) を有効化し、セキュア メディアに対して Secure Real-Time Transfer Protocol(SRTP)を有効化することを推奨します。 セキュア メディアにはセキュア シグナリングが必要です。
シグナリングおよびメディア: デュアル NIC を導入した Cisco Expressway-E
手順コール制御シグナリングに対して Session Initiation Protocol (SIP) over Transport Layer Security (TLS) を有効化し、セキュア メディアに対して Secure Real-Time Transfer Protocol(SRTP)を有効化することを推奨します。 セキュア メディアにはセキュア シグナリングが必要です。
Cisco Expressway-E でスタティック NAT モードを設定
スタティック NAT モードが単一の NIC またはデュアル NIC を導入した Cisco Expressway-E で有効化されている場合、 Cisco Jabber Guest サーバはスタティック NAT のモードでも設定する必要があります。 これを利用すると、メディアが DMZ 内を流れることができ、NAT のリフレクションを回避(NAT アドレスにメディアを送信)できます。手順
TURN クレデンシャルのプロビジョニングを設定
手順Cisco Jabber Guest クライアントには、Cisco Expressway-E の TURN リレーを割り当てるのに、TURN クレデンシャルが必要です。 Cisco Jabber Guestサーバは、Cisco Jabber Guest クライアントが接続するときに、Cisco Expressway-C のこれらのクレデンシャルをプロビジョニングします。
Cisco Jabber Guest サーバは、Cisco Expressway-C との通信に HTTP ベースの XML API を使用します。
TURN サーバ情報を設定
手順
Cisco Jabber Guest サーバの FQDN を設定
手順
次の作業Cisco Jabber Guest クラスタ内の各ノードに対する [Cisco Jabber Guest のローカル FQDN(Cisco Jabber Guest local FQDN)] フィールドは、必ず入力してください。
リンクに使用するドメインを設定
手順
MTU サイズの変更
手順VPN を使用するときなど、コール シナリオの中には、Cisco Expressway-E のデフォルトの最大伝送ユニット(MTU)が高すぎてパケット損失を引き起こすものもあります。 デフォルトの MTU は 1500 バイトです。 MTU を 1400 バイトに減らすことを推奨します。 MTU のサイズを減らさない場合、一方向のビデオなどの問題が発生する可能性があります。
ステップ 1 Cisco Expressway-Eで、 を選択します。 ステップ 2 [LAN 1(LAN 1)] セクションで、[最大伝送ユニット(MTU)(Maximum transmission unit(MTU))] フィールドに 1400 を入力します。 ステップ 3 [保存(Save)] をクリックします。
ロード バランシング
Cisco Expressway-C、Cisco Expressway-E および Cisco Jabber Guest サーバ クラスタのロードのバランスをとります。
以下の表は、ネットワーク間のトラフィックの異なる種類を配信するのに利用可能なロード バランシングの方法について説明します。関連タスク
ラウンド ロビンの DNS ロード バランシング
手順ラウンド ロビン DNS ロード バランシングによって、DNS サーバが単一のホスト名に関連付けられた IP アドレスの順序付きリストを返します。 ホスト名の各新規クエリーによって、DNS サーバがリストを通じて持ち回りさせます。 異なる IP アドレスの複数サーバが、同じサービスを提供する新しい要求の処理を交代で行います。
TURN トラフィックの場合、ラウンド ロビン DNS ロード バランシングの利点は、冗長性も提供することです。 TURN サーバが停止しているか、到達不能の場合、クライアントは別のサーバを試します。
(注)
DNS サーバがホスト名に指し示される何らかのロードの下にある場合、DNS ルックアップによって返された IP アドレス リストの順序は予測が困難です。 期待すべき重要な点は、ホスト名へのコールが別のサーバへ移動することです。
ラウンド ロビン DNS は、Cisco Jabber Guest コールを実行するためにクライアント ブラウザに使用される Cisco Jabber Guest コール URL が、Cisco Expressway-E クラスタの FQDN を使用する場合に有効になります。
クラスタ FQDN に HTTPS 要求を実行した連続的なクライアントは、Cisco Expressway-E クラスタ内の別のサーバに誘導されます。ただし、特定クライアントがラウンド ロビン DNS を後続のコールに使用するかどうか、あるいは使用する方法は、DNS キャッシングにより影響を受けることがあります。
次の作業新しいコール要求の数が Cisco Expressway-C の容量を超えないようにするには、スロットルのコール数/秒の制限を必ず変更してください。
スロットルのコール数/秒の制限を変更
手順新しいコール要求(SIP INVITES)の数が Cisco Expressway-C の容量を超えないようにするために、Cisco Jabber Guest サーバはコール スロットリング メカニズムを実装しています。
ラウンドロビン DNS によりロード バランシングが達成されるクラスタ Cisco Expressway-C 導入に対して、[throttleCallsPerSecLimit(throttleCallsPerSecLimit)] 設定を Cisco Jabber Guest が SIP を送信する Cisco Expressway-C クラスタ内のサーバ数に 10 を掛けた値に変更することを推奨します。 たとえば、Cisco Expressway-C クラスタ内に 2 台のサーバがある場合、[throttleCallsPerSecLimit(throttleCallsPerSecLimit)] を 20 に設定します。
ラウンド ロビンの CSV ロード バランシング
手順CSV ラウンド ロビン ロード バランシングでは、CSV のリストを使用することにより、個々の特定サーバ間でラウンド ロビンの順序で要求を行えるように Cisco Jabber Guest サーバを設定できます。 サーバが使用されると、選択肢がリストの先頭に来てまた繰り返されるまで、リスト内の次のサーバが使用されます。
HTTP ロード バランシング
手順Cisco Jabber Guest サーバは、HTTP を送信する Cisco Expressway-C へ SIP と TURN のクレデンシャルを送信することにより、Cisco Expressway-C からの HTTP ロード バランシングを利用することができます。
ラウンド ロビン TURN のポート範囲のロード バランシング
手順連続する各 TURN 要求に対して異なるポートを使用することで、TURN 要求のロードバランシングの潜在力を利用できるように Cisco Jabber Guest を設定できます。
大規模な Cisco Expressway-E の導入では、最大 6 つの TURN 要求ポートを範囲として指定できます。 TURN サーバにラウンド ロビン DNS またはラウンド ロビン CSV と組み合わせて使用する場合、使用中の TURN 要求ポートの数が増加します。
Cisco Jabber Guest サーバのアップグレード
手順Cisco Jabber Guest サーバは、Microsoft Windows プラットフォームの vSphere によってアップグレードされます。 アップグレードは ISO ファイルとして提供され、ISO イメージに接続できる CD または DVD ドライブが必要です。