ファイアウォール トラバーサル

ファイアウォール越えについて

ファイアウォールの目的は、ネットワークに入る IP トラフィックを制御することです。 ファイアウォールは通常、一方的な着信要求をブロックするため、ネットワーク外部からの呼び出しはすべて阻止されます。 ただし、ファイアウォールは、特定の信頼できる宛先への送信要求を許可し、それらの宛先からの応答を許可するように構成できます。 この原理は、あらゆるファイアウォールの安全な通過を可能にするために、Cisco の Expressway テクノロジーによって使用されています。

Expressway ソリューション

Expressway ソリューションは次の要素で構成されています。

  • パブリック ネットワーク上のファイアウォールの外側または DMZ 内に配置され、ファイアウォール トラバーサル サーバとして機能する Expressway-E。

  • プライベート ネットワーク内に配置され、ファイアウォール トラバーサル クライアントとして機能する Expressway-C またはその他のトラバーサル対応エンドポイント。

2 つのシステムが連携して動作し、両者間のすべての接続がアウトバウンドとなる環境を構築します。 つまり、クライアントからサーバに確立されます。 そして、ファイアウォールを正常に通過できるようになります。

連鎖ファイアウォール トラバーサル

Business-to-Business(B2B)Expressway の導入では、ファイアウォール ウォール トラバーサルの連鎖を設定できます。 Expressway-E は、トラバーサル サーバとして機能するだけでなく、別の Expressway-E へのトラバーサル クライアントとしても機能します。

図 1. 2 つの Expressway-E の連鎖の例

たとえば、2 つの Expressway-E を連結する場合 (図を参照)、最初の Expressway-E は Expressway-C のトラバーサル サーバになります。 最初の Expressway-E は、2 番目の Expressway-E のトラバーサル クライアントでもあります。 2 番目の Expressway-E は、最初の Expressway-E のトラバーサル サーバです。


(注)  

  • トラバーサル連鎖は、モバイルおよびリモートアクセスの導入ではサポートされていません。

  • この機能は、Cisco Expressway シリーズのバージョン X8.10 で正式に導入されました。 ファイアウォール トラバーサルが導入されて以来、Cisco TelePresence VCS ではそれが可能になりました。

推奨事項と前提条件


(注)  

Expressway-E と Expressway-C の両方で同じソフトウェア バージョンを実行することをお勧めします。

ファイアウォールが Expressway-E と Expressway-C を区別できないため、これらに共有アドレスを使用しないでください。 Expressway-E の IP アドレス指定に静的 NAT を使用する場合は、Expressway-C の NAT 操作が同じトラフィック IP アドレスに解決されないようにしてください。 Expressway-E と Expressway-C 間の共有 NAT アドレスはサポートされていません。

それはどのように機能するか教えてください。

トラバーサル クライアントは、ファイアウォールを介してトラバーサル サーバ上の指定されたポートへの接続を常に維持します。 この接続は、クライアントが定期的にサーバにパケットを送信することで維持されます。 トラバーサル サーバは、トラバーサル クライアントへの着信呼び出しを受信すると、この既存の接続を使用して、着信呼び出し要求をクライアントに送信します。 次に、クライアントは、通話メディアやシグナリングに必要な発信接続を開始します。

このプロセスにより、ファイアウォールの観点からは、すべての接続がファイアウォール内のトラバーサル クライアントからトラバーサル サーバに開始されることが保証されます。

ファイアウォール トラバーサルが正しく機能するには、Expressway-E に接続するクライアント システムごとに 1 つのトラバーサル サーバ ゾーンが設定されている必要があります (これには、Expressway-E に直接登録されるトラバーサル対応エンドポイントは含まれません。これらの接続の設定は別の方法で構成されます)。 同様に、各 Expressway クライアントには、接続先のサーバごとに 1 つのトラバーサル クライアント ゾーンが設定されている必要があります。

クライアント サーバ ゾーンの各ペアに構成されるポートとプロトコルは同じである必要があります。 各システムで必要な構成の概要については、「 トラバーサル クライアントとサーバの構成 」を参照してください。 Expressway-E は特定のポート上でクライアントからの接続をリッスンするため、Expressway-C にトラバーサル クライアント ゾーンを作成する前に、Expressway-E にトラバーサル サーバ ゾーンを作成することをお勧めします。

トラバーサル クライアントとトラバーサル サーバは両方とも Cisco Expressway システムである必要があります (どちらも Cisco VCS にすることはできません)。

エンドポイントトラバーサル技術の要件

ファイアウォール トラバーサルをサポートするための "遠端" (自宅やホテルなど) エンドポイントの要件を以下にまとめます。

  • H.323 の場合、エンドポイントは Assent または H460.18 と H460.19 をサポートする必要があります。

  • SIP の場合、エンドポイントは標準の SIP をサポートするだけで済みます。

    • 登録メッセージにより、Expressway がそのエンドポイントにメッセージを送信できるように、 "遠端の" ファイアウォール ポートが開いたままになります。 Expressway は、ファイアウォールの背後にあるエンドポイントからのメディアを待機してから、同じポートでメディアを返します。エンドポイントは同じポートでのメディアの送受信をサポートする必要があります。

    • Expressway は SIP アウトバウンドもサポートしています。これは、完全な登録メッセージを使用するオーバーヘッドなしでファイアウォールを開いたままにする代替方法です。

  • SIP および H.323 エンドポイントは Expressway-E に登録できます。また、ローカル "DMZ" ファイアウォールで関連ポートが開かれているため、SIP および H.323 ポート経由で Expressway-E への通信が許可され、Expressway-E に通話を送信することもできます。

エンドポイントは、 ICE を使用して、エンドポイント間のメディア通信に最適なパス(エンドポイントの視点から見て最適なパス)を見つけることもできます。 メディアは、エンドポイントからエンドポイントへ直接送信することも、エンドポイントから宛先ファイアウォールの外部 IP アドレスを経由して宛先エンドポイントへ送信することも、エンドポイントから TURN サーバを経由して宛先エンドポイントへ送信することもできます。

  • Expressway は、Expressway がメディアを通過する必要がない通話に対して ICE をサポートします (たとえば、IPv4/IPv6 変換や SIP/H.323 変換が不要な場合)。通常、これは ICE をサポートできる 2 つのエンドポイントが Expressway-E クラスタに直接通信することを意味します。

  • Expressway-E には、ICE 対応エンドポイントをサポートするための独自の組み込み TURN サーバ があります。

H.323 ファイアウォールトラバーサルプロトコル

Expressway は、H.323 に対して 2 つの異なるファイアウォール トラバーサル プロトコル (Assent と H.460.18/H.460.19) をサポートしています。

  • Assent は Cisco 独自のプロトコルです。

  • H.460.18 と H.460.19 は、それぞれシグナリングとメディアのファイアウォール通過プロトコルを定義する ITU 標準です。 これらの標準は、オリジナルの Assent プロトコルに基づいています。

トラバーサル サーバとトラバーサル クライアントは、通信するために同じプロトコルを使用する必要があります。 2 つのプロトコルはそれぞれ異なる範囲のポートを使用します。

SIP ファイアウォールトラバーサルプロトコル

Expressway は、メディアの SIP ファイアウォール トラバーサル用の Assent プロトコルをサポートしています。

シグナリングは、クライアントからサーバに確立された TCP/TLS 接続を介して行われます。

メディア多重分離

Expressway-E は、次の通話シナリオでメディア多重分離を使用します。

  • Assent を使用するように設定されたトラバーサル ゾーンを通過する Expressway-C との間の H.323 または SIP コール レッグ。

  • デマルチプレクシング モードで H460.19 を使用するように設定されたトラバーサル サーバ ゾーンを通過する Expressway-C との間の H.323 コール レッグ。

  • Expressway-E と Assent または H.460.19 対応エンドポイント間の H.323 コール レッグ。

Expressway-E は、SIP エンドポイント (Assent または H.460.19 をサポートしていないエンドポイント) との間の直接のコール レッグに、またはトラバーサル サーバ ゾーンがデマルチプレックス モードで H.460.19 を使用するように設定されていない場合に、非デマルチプレックス メディアを使用します。

Expressway-E 上のメディア多重分離ポートは、 トラバーサル メディア ポートの一般的な範囲から割り当てられます。 これは、H.323 か SIP かに関係なく、すべての RTP/RTCP メディアに適用されます。

デフォルトのメディア トラバーサル ポートの範囲は 36000 ~ 59999 で、Expressway-C の [構成] > [ローカル ゾーン] > [トラバーサル サブゾーン] で設定されています。 大規模な Expressway システムでは、範囲の最初の 12 ポート (デフォルトでは 36000 ~ 36011) は常に多重化トラフィック用に予約されています。 Expressway-E はこれらのポートをリッスンします。 大規模システムでは、デマルチプレックス リスニング ポートの個別の範囲を構成することはできません。メディア ポート範囲の最初の 6 ペアが常に使用されます。 小規模/中規模システムでは、Expressway-E 上の多重化された RTP/RTCP トラフィックをリッスンする 2 つのポートを明示的に指定できます ([設定(Configuration)] > [トラバーサル(Traversal)] > [ポート(Ports)])。 特定のポート ペアを設定しないことを選択した場合 (Use configured demultiplexing ports = No)、Expressway-E はメディア トラバーサル ポート範囲の最初のポート ペア (デフォルトでは 36000 と 36001) をリッスンします。


(注)  

設定された逆多重化ポートの使用設定への変更を有効にするには、システムを再起動する必要があります。

たとえば、企業内から自宅のエンドポイントへの Expressway-C/Expressway-E ペア経由の SIP コールでは、Expressway-C に面した Expressway-E ポートでのみ逆多重化が行われます。

エンタープライズエンドポイント

Expressway-C

Expressway-E

ホームエンドポイント

デマルチプレックス

多重分離した

デマルチプレックス

多重分離した

RTP ポート

36002

36004

36000

36002

RTCP ポート

36003

36005

36001

36003

ただし、同じ Expressway-C/Expressway-E を経由して企業内から自宅の Assent 対応 H.323 エンドポイントに H.323 コールを送信すると、Expressway-E の両側で多重分離が実行されます。

エンタープライズエンドポイント

Expressway-C

Expressway-E

ホームエンドポイント

デマルチプレックス

デマルチプレックス

デマルチプレックス

デマルチプレックス

RTP ポート

36002

36004

36000

36000

RTCP ポート

36003

36005

36001

36001

Expressway-E に高度なネットワーキングがある場合、上記と同じポート番号が引き続き使用されますが、それらは内部 IP アドレスと外部 IP アドレスに割り当てられます。

ファイアウォールトラバーサル構成の概要

このセクションでは、Expressway がトラバーサル サーバまたはトラバーサル クライアントとして機能する方法の概要を説明します。

ファイアウォールトラバーサルクライアントとしての Expressway

Expressway は、登録されている SIP および H.323 エンドポイント、およびそれに隣接するすべてのシステムに代わって、ファイアウォール トラバーサル クライアントとして機能できます。 ファイアウォール トラバーサル クライアントとして機能するには、ファイアウォール トラバーサル サーバとして機能するシステムに関する情報を使用して Expressway を設定する必要があります。

これを行うには、Expressway クライアントにトラバーサル クライアント ゾーンを追加し (Configuration > Zones > Zones)、トラバーサル サーバの詳細を使用して構成します。 詳細については、「 トラバーサル クライアント ゾーンの構成 」を参照してください。 複数のトラバーサル サーバに接続する場合は、複数のトラバーサル クライアント ゾーンを作成できます。

Expressway-C か Expressway-E か?

  • 通常、Expressway-C はファイアウォール トラバーサル クライアントとして使用されます。 ただし、Expressway-E でもこの役割を担うことができます。

  • Expressway クライアントが使用するファイアウォール トラバーサル サーバは Expressway-E である必要があります。

ファイアウォールトラバーサルサーバとしての Expressway

Expressway-E には、Expressway-C のすべての機能(ファイアウォール トラバーサル クライアントとして機能する機能を含む)が備わっています。 ただし、その主な機能は、他の Cisco システムや、直接登録されているトラバーサル対応エンドポイントのファイアウォール トラバーサル サーバとして機能できることです。 また、ICE 対応エンドポイントに TURN リレー サービスを提供することもできます。

トラバーサルサーバゾーンの構成

Expressway-E が Cisco systems のファイアウォール トラバーサル サーバーとして機能するには、Expressway-E 上にトラバーサル サーバー ゾーン ([設定(Configuration)] > [ゾーン(Zones)] > [ゾーン(Zones)]) を作成し、トラバーサルクライアントの詳細を使用して設定する必要があります。 詳細については、「 トラバーサル サーバ ゾーンの構成 」を参照してください。

トラバーサル クライアントであるシステムごとに個別のトラバーサル サーバ ゾーンを作成する必要があります。

その他のトラバーサルサーバ機能の設定

ファイアウォールトラバーサルと高度なネットワーキング

高度なネットワーキング オプション キーにより、Expressway-E 上の LAN 2 インターフェイスが有効になります (このオプションは Expressway-C では使用できません)。 LAN 2 インターフェイスは、Expressway-E が 2 つの別個のネットワーク (内部 DMZ と外部 DMZ) で構成される DMZ に配置されており、2 つのネットワーク間の直接通信を防止するようにネットワークが構成されている場合に使用されます。

LAN 2 インターフェイスを有効にすると、DMZ 内のネットワークごとに 1 つずつ、2 つの個別の IP アドレスを使用して Expressway を設定できます。 その後、Expressway は 2 つのネットワーク間のプロキシ サーバとして機能し、DMZ を構成する内部ファイアウォールと外部ファイアウォールの間で通話を通過できるようになります。

高度なネットワークを有効にすると、ファイアウォール トラバーサルに関連するポートも含め、Expressway で設定されているすべてのポートが両方の IP アドレスに適用されます。IP アドレスごとにポートを個別に設定することはできません。

トラバーサルクライアントとサーバの構成

トラバーサル クライアントとサーバを構成する基本的な手順は次のとおりです。

ステップ

説明

Expressway-E で、トラバーサル サーバ ゾーンを作成します (これは、Expressway-C からの着信接続を表します)。 ユーザ名 フィールドに、Expressway-C の認証ユーザ名を入力します。

Expressway-E で、Expressway-C の認証ユーザ名とパスワードを資格情報としてローカル認証データベースに追加します。

Expressway-C で、トラバーサル クライアント ゾーンを作成します (これは Expressway-E への接続を表します)。

Expressway-E で指定したのと同じ認証 ユーザ名パスワード を入力します。

H.323 および SIP プロトコル セクションのすべてのモードとポートを、Expressway-E のトラバーサル サーバ ゾーンのものと完全に一致するように設定します。

ピア 1 アドレス フィールドに、Expressway-E の IP アドレスまたは FQDN を入力します。

ファイアウォール通過用のポートの設定


(注)  

特定のポート情報は別のドキュメントにまとめられています。 使用しているバージョンについては、『Cisco Expressway シリーズ コンフィギュレーション ガイド』ページの『Cisco Expressway IP ポート使用設定ガイド』を参照してください。

ポートはファイアウォールトラバーサルの構成において重要な役割を果たします。 接続を許可するには、Expressway-E、トラバーサル クライアント、およびファイアウォールに正しいポートを設定する必要があります。

ポートは、Expressway-E 管理者によって Expressway-E 上で最初に設定されます。 ファイアウォール管理者とトラバーサル クライアント管理者にポートを通知し、サーバ上のこれらの特定のポートに接続するようにシステムを構成する必要があります。 トラバーサル クライアントで必要なポート構成は、送信接続に使用するポートの範囲のみです。ファイアウォール管理者は、必要に応じてこれらのポートからの送信接続を許可するようにファイアウォールを構成できるように、この情報を知っておく必要があります。

[ポート使用状況] ページ ( [メンテナンス] > [ツール] > [ポート使用状況] の下) には、Expressway で使用されているすべての IP ポート (着信と発信の両方) が一覧表示されます。 この情報をファイアウォール管理者に提供することで、ファイアウォールを適切に構成できるようになります。

高度なネットワークを有効にすると、ファイアウォール トラバーサルに関連するポートも含め、Expressway で設定されているすべてのポートが両方の IP アドレスに適用されます。IP アドレスごとにポートを個別に設定することはできません。

Expressway ソリューションは次のように機能します。

  1. 各トラバーサル クライアントは、ファイアウォールを介して Expressway-E 上の固有のポートに接続します。

  2. サーバは、接続を受信するポートと、クライアントによって提供される認証資格情報によって各クライアントを識別します。

  3. 接続が確立されると、クライアントは接続を維持するために定期的に Expressway-E にプローブを送信します。

  4. Expressway-E はクライアントへの着信コールを受信すると、この初期接続を使用してクライアントに着信コール要求を送信します。

  5. 次に、クライアントは 1 つ以上の送信接続を開始します。 これらの接続に使用される宛先ポートは、シグナリングやメディアによって異なり、使用されているプロトコルによって異なります (詳細については、次のセクションを参照してください)。

ファイアウォールの設定

Expressway ファイアウォール トラバーサルが正しく機能するには、ファイアウォールを次のように設定する必要があります。

  • クライアントから Expressway-E が使用しているポートへの初期送信トラフィックを許可します。

  • Expressway-E 上のこれらのポートから発信元クライアントへの戻りトラフィックを許可します。


(注)  

ファイアウォール上の H.323 および SIP プロトコルのサポートをオフにすることをお勧めします。 これらは Expressway ソリューションでは必要ありませんが、動作を妨げる可能性があります。

トラバーサルサーバポートの構成

Expressway-E には、ファイアウォール トラバーサルに使用される特定のリスニング ポートがあります。 これらのポートへの接続を許可するには、ファイアウォールでルールを設定する必要があります。 ほとんどの場合、デフォルトのポートを使用する必要があります。 ただし、必要に応じて、 [ポート] ページ ([構成] > [トラバーサル] > [ポート]) に移動してこれらのポートを変更するオプションがあります。

シグナリング用に設定可能なポートは次のとおりです。

  • H.323 Assentコールシグナリングポート

  • H.323 H.460.18コールシグナリングポート

RTP および RTCP メディア逆多重化ポート

ポート構成オプションは、 アプライアンスまたは VM のタイプによって異なります。

  • 小規模/中規模システム: RTP および RTCP メディア逆多重化ポートの 1 組が使用されます。 これらは明示的に指定することも、トラバーサル メディア ポートの一般的な範囲の先頭から割り当てることもできます。

  • 大規模システム: 6 組の RTP および RTCP メディア逆多重化ポートが使用されます。 これらは常にトラバーサル メディア ポート範囲の先頭から割り当てられます。

トラバーサルクライアントからの接続用のポートの設定

各トラバーサル サーバ ゾーンは、トラバーサル クライアントからの初期接続に使用する H.323 ポートと SIP ポートを指定します。 Expressway-E で新しいトラバーサル サーバ ゾーンを設定するたびに、次の接続のデフォルト ポート番号が割り当てられます。

  • H.323 ポートは UDP/6001 から始まり、新しいトラバーサル サーバ ゾーンごとに 1 ずつ増加します。

  • SIP ポートは TCP/7001 から始まり、新しいトラバーサル サーバ ゾーンごとに 1 ずつ増加します。

必要に応じてこれらのデフォルト ポートを変更できますが、各トラバーサル サーバ ゾーンのポートが一意であることを確認する必要があります。 Expressway-E で H.323 ポートと SIP ポートを設定した後、対応するトラバーサル クライアントで一致するポートを設定する必要があります。


(注)  

  • MXP エンドポイントからの初期接続に使用されるデフォルトのポートは、標準の RAS メッセージに使用されるポート (UDP/1719) と同じです。 Expressway-E ではこのポートを変更できますが、ほとんどのエンドポイントは UDP/1719 以外のポートへの接続をサポートしないため、デフォルトのままにしておくことをお勧めします。

  • 各 Expressway-E トラバーサル サーバ ゾーンに設定されている固有の SIP ポートと H.323 ポートのそれぞれに対して、ファイアウォール経由の送信接続を許可する必要があります。

通話のシグナリングポートは、[Configuration(設定)] > [トラバーサル(Traversal)] > [ポート(Ports)] を介して設定されます。 トラバーサル メディア ポートの範囲は、[設定(Configuration)] > [ローカルゾーン(Local Zone)] > [トラバーサルサブゾーン(Traversal Subzone)]を介して設定されます。

Expressway-E に直接登録されているエンドポイントがなく、クラスタの一部でない場合は、UDP/1719 は必要ありません。 したがって、Expressway-C と Expressway-E 間のファイアウォールを介してこのポートへの送信接続を許可する必要はありません。

TURN ポートの設定

Expressway-E を有効にすると、ICE 対応 SIP エンドポイントで使用できる TURN サービス (NAT を介したリレーを使用したトラバーサル) を提供できるようになります。

これらのサービスで使用されるポートは、 Configuration > Traversal > TURN を介して構成できます。

各 SIP エンドポイント上の ICE クライアントは、DNS の SRV レコードを使用するか、直接構成することによって、これらのポートを検出できる必要があります。

パブリックインターネットへの接続ポートの設定

Expressway-E がパブリック インターネット上のエンドポイントに接続しようとしている場合、接続先のエンドポイント上の正確なポートはわかりません。 これは、使用するポートがエンドポイントによって決定され、サーバがパブリック インターネット上でエンドポイントを見つけた後にのみ Expressway-E に通知されるためです。 これにより、Expressway-E が DMZ (Expressway-E とパブリック インターネットの間にファイアウォールがある) 内に配置されている場合、エンドポイントのポートに接続できるようにするルールを事前に指定できないため、問題が発生する可能性があります。

ただし、パブリック インターネット上のエンドポイントとの間の通話に使用される Expressway-E 上のポートを指定して、ファイアウォール管理者がこれらのポート経由の接続を許可できるようにすることができます。

使用しているバージョンについては、『Cisco Expressway シリーズ コンフィギュレーション ガイド』ページの『Cisco Expressway IP ポート使用設定ガイド』を参照してください。

ファイアウォール通過と認証

Expressway-E では、認証されたクライアント システムのみがトラバーサル サーバとして使用できます。

トラバーサル クライアントからの最初の接続要求を受信すると、Expressway-E はクライアントに認証資格情報を提供して認証するように要求します。 次に、Expressway-E は独自の認証データベースでクライアントの資格情報を検索します。 一致が見つかった場合、Expressway-E はクライアントからの要求を受け入れます。

認証に使用される設定は、トラバーサル クライアントの種類によって異なります。

トラバーサルクライアント

Expressway-E トラバーサル サーバ

Expressway-C(または Expressway-E)

Expressway クライアントは、 ユーザ名パスワードを提供します。 これらは、[設定(Configuration)] > [ゾーン(Zones)] > [ゾーン(Zones)] > [ゾーンの編集(Edit zone)] を使用して、[接続資格情報(Connection credentials)]セクションでトラバーサル クライアント ゾーンに設定されます。

Expressway クライアントのトラバーサル サーバー ゾーンは、クライアントの認証ユーザー名で設定する必要があります。 これは、Expressway-E の [構成] > [ゾーン] > [ゾーン] > [ゾーンの編集][接続資格情報] セクションで設定します。

また、Expressway-E の認証データベースには、対応するクライアントのユーザ名とパスワードのエントリも存在している必要があります。

エンドポイント(Endpoint)

エンドポイント クライアントは、 認証 ID認証パスワードを提供します。

Expressway-E の認証データベースには、対応するクライアントのユーザ名とパスワードのエントリが必要です。

(注)  

Expressway-E がエンドポイント クライアントに対してデバイス認証を使用していない場合でも、すべての Expressway トラバーサル クライアントは Expressway-E で認証する必要があります。

認証と NTP

H.323 をサポートするすべての Expressway トラバーサル クライアントは、Expressway-E で認証する必要があります。 認証プロセスではタイムスタンプが使用され、各システムが正確なシステム時間を使用することが求められます。 Expressway のシステム時間は、リモート NTP サーバによって提供されます。 したがって、ファイアウォール トラバーサルが機能するには、関係するすべてのシステムに NTP サーバの詳細を設定する必要があります

Expressway-E とトラバーサルエンドポイント通信の設定

トラバーサル対応の H.323 エンドポイントは Expressway-E に直接登録し、ファイアウォール トラバーサルに使用できます。

ローカルに登録されたエンドポイント ページ (構成 > トラバーサル > ローカルに登録されたエンドポイント) では、Expressway-E とトラバーサル対応エンドポイントの通信方法を設定できます。

利用可能なオプションは次のとおりです。

フィールド

説明

H.323 Assentモード

ファイアウォール トラバーサルの Assent モードを使用する H.323 通話が許可されるかどうかを決定します。

H.460.18モード

ファイアウォール トラバーサル用の H.460.18/19 モードを使用した H.323 通話が許可されるかどうかを決定します。

H.460.19 デマルチプレクスモード

ローカルに登録されたエンドポイントからの通話に対して、Expressway-E が多重分離モードで動作するかどうかを決定します。

オン: すべての通話にメディア逆多重化ポートを使用します。

オフ: 各通話はメディア用に別々のポート ペアを使用します。

H.323設定

エンドポイントが Assent と H.460.18 の両方をサポートしている場合、Expressway-E が使用するプロトコルを決定します。

UDPプローブ再試行間隔

ローカルに登録されたエンドポイントが Expressway-E に UDP プローブを送信する頻度 (秒単位)。

UDPプローブ再試行回数

ローカルに登録されたエンドポイントが Expressway-E に UDP プローブの送信を試みた回数。

UDPプローブキープアライブ間隔

ファイアウォールの NAT バインディングを開いたままにするために、通話が確立された後にローカルに登録されたエンドポイントが Expressway-E に UDP プローブを送信する間隔 (秒単位)。

TCPプローブ再試行間隔

ローカルに登録されたエンドポイントが Expressway-E に TCP プローブを送信する頻度 (秒単位)。

TCPプローブ再試行回数

ローカルに登録されたエンドポイントが Expressway-E に TCP プローブの送信を試みた回数。

TCPプローブキープアライブ間隔

ファイアウォールの NAT バインディングを開いたままにするために、通話が確立された後にローカルに登録されたエンドポイントが Expressway-E に TCP プローブを送信する間隔 (秒単位)。

ICE および TURN サービスについて

ICE について

ICE (Interactive Connectivity Establishment) は、SIP クライアントの NAT トラバーサルのメカニズムを提供します。 ICE はプロトコルではなく、TURN (Traversal Using Relays around NAT) や STUN (Session Traversal Utilities for NAT) などのさまざまな技術をまとめたフレームワークです。

これにより、NAT デバイスの背後にあるエンドポイント (クライアント) は、メディアを渡すことができるパスを検出し、各パスを介してピアツーピア接続を確認し、最適なメディア接続パスを選択できるようになります。 使用可能なパスは通常、NAT デバイスで設定されている受信および送信接続の制限によって異なります。 このような動作は、 RFC 4787 で説明されています

ICE の使用例としては、2 人の在宅ワーカーがインターネット経由で通信することが挙げられます。 2 つのエンドポイントが ICE 経由で通信できる場合、Expressway-E は (NAT デバイスの設定方法に応じて) シグナリングのみを取得し、メディアを取得する必要がない場合があります (したがって、非トラバーサル コールになります)。 開始元の ICE クライアントが非 ICE クライアントに電話をかけようとすると、通話セットアップ プロセスは従来の SIP 通話に戻り、Expressway もメディアを取得するメディア ラッチによる NAT トラバーサルが必要になります。

ICE の詳細については、 RFC 5245 を参照してください

MRA 展開のための ICE パススルー

X12.5 以降では、Interactive Connectivity Establishment (ICE) パススルーをサポートし、MRA 登録エンドポイントが WAN と Cisco Expressway シリーズをバイパスしてエンドポイント間で直接メディアを渡すことができるようになりました。

ICE パススルーの設定の詳細と必要なバージョンについては、 『Cisco Expressway 経由のモバイルおよびリモート アクセス』ガイドExpressway 設定ガイド ページに記載されています。

TURN について

TURN サービスは、STUN ネットワーク プロトコルのリレー拡張機能であり、SIP クライアントが NAT デバイスの背後から UDP または TCP 経由で通信できるようにします。

TURN の詳細については RFC 5766 を参照してください。また、基本 STUN プロトコルの詳細については RFC 5389 を参照してください。

各 ICE クライアントは、通話のメディア コンポーネントのリレーを割り当てるように TURN サーバに要求します。 各クライアント間のメディア ストリーム内の各コンポーネントにはリレーが必要です。

リレーが割り当てられると、各 ICE クライアントには、メディアを送受信できる 3 つの潜在的な接続パス (アドレス) が与えられます。

  • NAT デバイスの背後にあるホスト アドレス (したがって、NAT の反対側のエンドポイントからは到達できません)。

  • NAT デバイス上のパブリックにアクセス可能なアドレス。

  • TURN サーバ上のリレー アドレス。

図 2. ICE メディア接続パス

次に、エンドポイントは ICE を介して接続チェックを実行し、通信方法を決定します。 NAT デバイスの構成方法に応じて、エンドポイントは NAT デバイス上の公開アドレス間で通信できる場合もあれば、TURN サーバ経由でメディアを中継しなければならない場合もあります。 両方のエンドポイントが同じ NAT デバイスの背後にある場合は、内部ホスト アドレスを使用してエンドポイント間で直接メディアを送信できます。

メディア ルートが選択された後、選択された接続パスに TURN サーバ経由のルーティングが含まれない場合は、TURN リレーの割り当てが解放されます。


(注)  

  • エンドポイントによって選択された最終的なメディア通信パスに関係なく、シグナリングは常に Expressway 経由で行われます。

    TURN サーバは、一方または両方が企業の内部ファイアウォール内にある場合でも、任意の 2 つの ICE クライアント間でメディアを中継できます。

  • TURN パスワードは管理者パスワードとは異なるパスワードにすることをお勧めします。

機能と制限事項

  • X12.6.1 以降、セキュリティ強化により、Expressway-E TURN サーバは汎用 STUN サーバとして機能しなくなり、認証されていない STUN バインディング要求を受け入れなくなります。 これにより、次のようなシナリオが考えられます。

    • シナリオ A: B2BUA を Microsoft 相互運用性の TURN クライアントとして使用する場合 ( 『Cisco Expressway with Microsoft Infrastructure Deployment Guide』で説明されているように)、B2BUA は TURN サーバがアクティブかどうかを確認するための STUN バインディング要求を TURN サーバに送信しません。 つまり、Expressway X12.6.1 からは、B2BUA が到達不可能な TURN サーバの使用を試みることがあり、その結果、 通話が失敗する可能性があります

    • シナリオ B: 導入されている CMS のバージョンによっては、CMS WebRTC ソリューションが Expressway-E 上の TURN サーバに対して STUN バインド要求を使用する可能性があり、障害が発生します。 したがって、Meeting Server WebRTC を使用する場合は、Expressway バージョン X12.6.1 以降のソフトウェアをインストールする前に、CMS バージョンに互換性があることを確認してください。 バグ ID CSCvv01243 を参照します。 (Expressway-E TURN サーバー設定の詳細については、『Cisco Expressway Web Proxy for Cisco Meeting Server 導入ガイド』を参照してください。)

  • 小規模 または 中規模 システムでは、最大 1800 個のリレー割り当てがサポートされます。 これは通常、同時通話の最大制限をサポートするのに十分ですが、ネットワーク トポロジと通話に使用されるメディア ストリーム コンポーネントの数によって異なります。 たとえば、一部の通話では Duo Video が使用され、他の通話では音声のみが使用されます。

  • 大規模 システムは最大 6000 個のリレーをサポートします。 ポート多重化が有効になっている場合は 1 つの外部ポートで完全なリレー容量が利用可能になり、ポート範囲が構成されている場合は 6 つの外部ポートに分散されます。 ポート間に分散されている場合、各ポートは 1000 個のリレーの処理に制限されます。

    この制限は厳密には適用されません。 そのため、DNS SRV レコードを作成し、ポートアドレスの範囲ごとに同じアドレスで 6 つの A/AAA エントリを作成することをお勧めします。 レコードを作成したら、Expressway-E TURN サーバの SRV レコードを使用してクライアントを設定します。 TURN 多重化が有効になっている場合は、TURN 要求をリッスンする外部ポートに対してのみ SRV レコードを作成することをお勧めします。

  • 大規模 システムでは、デフォルトで 3478 から 3483 までのポート範囲で TURN 要求をリッスンするように TURN サーバを構成できます。 X8.11 以降、TURN 多重化が有効になっている場合、Expressway-E は範囲の最初のポート (通常は UDP 3478) 上のすべての TURN 要求を受け入れます。 Expressway は内部的にこれらの要求をポート範囲に逆多重化します。 TURN クライアントは設定された単一ポートで要求を送信する必要がありますが、大規模な Expressway-E TURN サーバの全容量を利用できます。

  • X8.11 以降、Expressway-E は TCP ポート 443 で TURN 要求と Cisco Meeting Server 要求の両方をリッスンできます。Expressway-E はポート 443 経由で接続要求を受信すると、要求の種類に応じて、その要求を TURN サーバまたは Meeting Server Web プロキシに転送します。 その結果、外部ユーザは TURN サービスを使用し、ファイアウォール ポリシーが制限された環境から Meeting Server スペースに参加できるようになります。

    Web 管理者ポートがポート 443 (システム > 管理設定) でリッスンするように設定されている場合、X12.7 より前のバージョンの Expressway では、443 から他の有効なポートに変更する必要があります。 X12.7 以降では、Expressway が専用管理インターフェイスを唯一の管理インターフェイスとして使用するように設定されている場合は、これを行う必要はありません。 つまり、 システム > 管理設定 ページで、 専用管理インターフェースのみを使用する (管理用)はいに設定されます。

  • 大規模 システムでは、TCP 443 TURN サービスが有効になっており、TURN 多重化機能も有効な場合、6000 個の TCP TURN リレーがサポートされます。

  • クラスター化された Expressway: 要求された TURN サーバのリレーが完全に割り当てられている場合、サーバは要求元のクライアントに、クラスター内の代替サーバ (現在最も利用可能なリソースを持つ TURN サーバ) の詳細を応答します。

  • Expressway の TURN サービスは、単一およびデュアル ネットワーク インターフェイス (高度なネットワーキング オプション経由) でサポートされます。 デュアル ネットワーク インターフェイスの場合、TURN サーバは両方のインターフェイスをリッスンしますが、リレーは Expressway の外部に面した LAN インターフェイスにのみ割り当てられます。

  • Expressway-E の TURN サーバは、Microsoft ICE (標準ベースではない) をサポートしていません。 Microsoft Edge Server を通じて登録された Expressway と Microsoft クライアント間の通信を有効にするには、 Microsoft 相互運用性サービス を使用する必要があります。

  • TURN サーバは帯域幅要求をサポートしていません。 トラバーサルゾーンの帯域幅制限は適用されません。

  • Expressway-E TURN サーバは、TCP および UDP 経由の TURN メディアをサポートします。 サポートされているプロトコルの構成は、CLI コマンド xConfiguration Traversal Server TURN ProtocolMode を通じてのみ可能です。

  • Expressway-E TURN サーバは、TCP 経由の UDP リレーをサポートします。

STUN パケットが内部インターフェース経由で送信されることがある

Expressway は、外部 LAN IP アドレスをパケットの送信元アドレスとして使用し、外部 LAN インターフェイスを介して受信した STUN パケットを常に送信します。 通常、パケットは外部インターフェースから送信されるため、IP アドレスは通常一致します。 ただし、次の場合には、Expressway は STUN パケットを 内部 LAN インターフェイスから送信することに注意してください。

  • TURN クライアントがリレーセッションを使用して、Expressway-E の内部 IP と同じサブネット内のデバイスにメッセージを送信している場合、または

  • TURN クライアントがリレー セッションを使用して、Expressway-E の内部ゲートウェイ IP を使用する静的ルートに一致するサブネット内のデバイスにメッセージを送信している場合。

この動作により、IP アドレスが一致していないという印象を与える可能性があります。しかし、実際にはシステムは設計どおりに動作しています。

TURN サービスの設定

TURN リレー サービスは Expressway-E でのみ利用できます。 (X8.11 以降、TURN サービスを使用するために TURN リレー オプション キーは必要ありません。)

TURN ページ (構成 > トラバーサル > TURN) は、Expressway-E の TURN 設定を構成するために使用されます。 委任された資格情報チェック用に Expressway-E を設定している場合は、 認証レルム を介して、TURN サーバ要求の資格情報チェックが委任されるトラバーサル ゾーンを決定することもできます。

設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

TURN サービス

Expressway がトラバーサル クライアントに TURN サービスを提供するかどうかを決定します。

TURN サービス がすでに オンに設定されている場合に、他の TURN 設定を変更する必要がある場合:

  1. [TURN サービス(TURN services)]オフに変更し、保存します。

  2. 必要な TURN 設定を変更します。

  3. [TURN サービス(TURN services)]オンに変更し、保存します。

これは、他の TURN 設定の変更は、 TURN サービス が再起動されるまで有効にならないためです。

TCP 443 TURN サービス

TURN サーバが TCP ポート 443 で TURN クライアントからの TCP 要求をリッスンする必要があるかどうかを決定します。オプションは次のとおりです。

  • オン: TURN サーバは、TCP ポート 443 上の TURN クライアントからの TCP 要求と、構成されたポート上の UDP 要求をリッスンします。

  • オフ: TURN サーバは TCP ポート 443 で TURN クライアントをリッスンしません。ただし、この設定は TURN 要求をリッスンするように構成されたポートには影響しません。

この機能を有効にする前に、次の点を確認してください。

  • [TURN サービス(TURN services)]オンに設定されています。

  • X12.7 より前では、Web 管理者ポートがポート 443 (システム > 管理設定) をリッスンするように構成されている場合、443 から他の有効なポートに変更する必要があります。 X12.7 以降では、Expressway が専用管理インターフェイスを唯一の管理インターフェイスとして使用するように設定されている場合は、これを行う必要はありません。 つまり、[システム(System)] > [管理者設定(Administration settings)]ページで、[専用管理インターフェイス(管理者用)(Use Dedicated Management Interface only (for administration))]はいに設定されています。

TURN ポート多重化

大規模システムでは、単一のリスニングポートで Expressway TURN サーバーの全容量を活用し、それらの要求をポートの範囲に内部的に逆多重化します。

(注)  

 

このオプションは大規模システムでのみ使用できます。

可能なオプションは次のとおりです。

  • オン:

    • Expressway は、範囲ではなく、単一の設定可能な外部ポートをリッスンします。

    • TCP 443 TURN サービスオンの場合、構成可能な外部ポートは UDP TURN 要求のみを多重化します。

      (注)  

       

      TCP 443 TURN サービスオンの場合、技術的な制限により、外部ポートは TCP TURN 要求を多重化しません。

  • オフ: TURN サーバは、ポート範囲で TCP および UDP 要求をリッスンします。

この機能を有効にする前に、 TURN サービスオンに設定されていることを確認してください。

TURN リクエストポート

TURN リクエストのリスニング ポート。 デフォルト ポートは 3478 です。

大規模システムでは、このオプションは、 TURN ポート多重化オンに設定されている場合にのみ使用できます。

エンドポイントが TURN サービスを検出できるようにするには、 _turn._udp. および _turn._tcp (必要に応じて単一のポートまたはポートの範囲)の DNS SRV レコードを作成します。

TURN 要求ポート範囲の先頭

TURN ポート多重化オフの場合、このポートは大規模システムの設定可能範囲の最初のポートになります。

デフォルトのポート範囲の開始は 3478 です。

このオプションは、大規模システムで、 TURN ポート多重化オフに設定されている場合にのみ使用できます。

TURN 要求ポート範囲の末尾

TURN ポート多重化オフの場合、このポートは大規模システムの構成可能範囲の上限ポートを表します。

デフォルトのポート範囲の終了は 3483 です。

このオプションは、大規模システムで、 TURN ポート多重化オフに設定されている場合にのみ使用できます。

委任クレデンシャルチェック

TURN サーバ要求の資格情報チェックをトラバーサル ゾーン経由で別の Expressway に委任するかどうかを制御します。 関連付けられている 認証レルム によって、使用されるトラバーサル ゾーンが決まります。

オフ: 認証チャレンジを実行する Expressway 上の関連する資格情報チェック メカニズム (ローカル データベースまたは LDAP 経由の H.350 ディレクトリ) を使用します。

オン: 資格情報チェックをトラバーサル クライアントに委任します。

デフォルトは[Off]です。

詳細については、委任された資格情報の確認を参照してください。

認証領域

認証チャレンジでサーバーから送信されたレルム。

クライアントの資格情報がローカル認証データベースに保存されていることを確認します。

メディアポート範囲の先頭

TURN リレーの割り当てに使用される範囲の下位ポート。

デフォルトの TURN リレー メディア ポートの範囲は 24000 ~ 29999 です。

メディアポート範囲の末尾

TURN の割り当てに使用される範囲の上位ポート。

TURNサーバ状況

TURN サーバのステータスの概要が TURN ページの下部に表示されます。 TURN サーバがアクティブな場合、サマリーにはアクティブな TURN クライアントの数とアクティブなリレーの数も表示されます。

アクティブなリレー リンクをクリックすると、 TURN リレーの使用状況 ページにアクセスします。このページには、Expressway 上で現在アクティブなすべての TURN リレーが一覧表示されます。 権限、チャネル バインディング、カウンターなど、各 TURN リレーの詳細を確認することもできます。