ネットワークとシステム設定

ネットワーク設定

このセクションでは、Web インターフェイスのシステム メニューに表示されるネットワーク サービスと設定関連のオプションについて説明します。 これらのオプションを使用すると、Expressway の IP 設定、ファイアウォール ルール、侵入保護、Expressway で使用される外部サービス (DNS、NTP、SNMP など) など、Expressway が配置されているネットワークに関連して Expressway を設定できます。

イーサネット設定


(注)  

このページの速度設定は、Cisco Expressway 物理アプライアンス上で実行されているシステムのみに適用されます。 これらは仮想マシン (VM) ベースのシステムには適用されません。 VM システムに表示される接続速度は無効であり、基盤となる物理 NIC の実際の速度に関係なく、常に 10000 Mb/s として表示されます。 これは、VM が物理 NIC から実際の速度を取得できないためです。

[イーサネット] ページ ([システム] > [ネットワーク インターフェース] > [イーサネット]) には、Expressway とそれが接続されているイーサネット ネットワーク間の接続速度が表示されます。 Expressway は自動ネゴシエーションのみをサポートしているため、 速度 は常に 自動になります。 Expressway と接続されたスイッチは、接続の速度とデュプレックス モードを自動的にネゴシエートします。

IP 設定の構成

IP ページ (システム > ネットワーク インターフェース > IP) は、Expressway の IP プロトコルとネットワーク インターフェース設定を構成するために使用されます。

IP プロトコル構成

Expressway が IPv4、IPv6、または両方のバージョンの IP プロトコル スイートを使用するかどうかを設定できます。 デフォルトは 両方です。

  • IPv4 のみ: IPv4 アドレスを使用するエンドポイントからの登録のみを受け入れ、IPv4 経由で通信する 2 つのエンドポイント間の通話のみを取得します。 他のシステムとの通信は IPv4 経由でのみ行われます。

  • IPv6 のみ: IPv6 アドレスを使用するエンドポイントからの登録のみを受け入れ、IPv6 経由で通信する 2 つのエンドポイント間の呼び出しのみを実行します。 他のシステムとの通信は IPv6 経由でのみ行われます。

  • 両方: IPv4 または IPv6 アドレスのいずれかを使用してエンドポイントからの登録を受け入れ、いずれかのプロトコルを使用して通話を受けます。 通話が IPv4 のみのエンドポイントと IPv6 のみのエンドポイントの間で行われる場合、Expressway は IPv4 から IPv6 へのゲートウェイとして機能します。 いずれかのプロトコルを介して他のシステムと通信します。

一部のエンドポイントは IPv4 と IPv6 の両方をサポートしていますが、エンドポイントは Expressway に登録するときに 1 つのプロトコルしか使用できません。 使用するプロトコルは、エンドポイント上の Expressway の IP アドレスを指定するために使用される形式によって決まります。 エンドポイントが IPv4 または IPv6 のいずれかを使用して登録されると、Expressway はこのアドレス指定スキームを使用してのみエンドポイントに通話を送信します。 別のアドレス指定方式を使用して別のデバイスからそのエンドポイントに発信された通話は、Expressway によって変換 (ゲートウェイ処理) されます。

Expressway で設定されているすべての IPv6 アドレスは、/64 ネットワーク プレフィックス長を持つものとして扱われます。

IPv4 から IPv6 への相互運用

Expressway は、IPv4 デバイスと IPv6 デバイス間の通話のゲートウェイとして機能できます。 この機能を有効にするには、両方IP プロトコルを選択します。 Expressway が IPv4 から IPv6 へのゲートウェイとして機能している通話はトラバーサル通話であり、リッチ メディア セッション ライセンスが必要です。

IP ゲートウェイ

Expressway で使用されるデフォルトの IPv4 ゲートウェイIPv6 ゲートウェイ を設定できます。 これらは、Expressway のローカル サブネットに含まれない IP アドレスに対する IP 要求が送信されるゲートウェイです。

  • デフォルトの IPv4 ゲートウェイは 127.0.0.1 ですが、コミッショニング プロセス中に変更する必要があります。

  • IPv6 ゲートウェイを入力する場合は、静的グローバル IPv6 アドレスにする必要があります。 リンクローカルまたはステートレス自動構成 (SLAAC) IPv6 アドレスにすることはできません。

LAN 設定

LAN 1 は、Expressway 上のプライマリ ネットワーク ポートです。 このポートの IPv4 アドレスとサブネット マスクIPv6 アドレス、および 最大伝送単位 (MTU) を設定できます。 Expressway には、デフォルトの IP アドレス 192.168.0.100 (両方の LAN ポート) が設定されて出荷されます。 これにより、Expressway をネットワークに接続し、デフォルトのアドレス経由でアクセスして、リモートで構成できるようになります。

IPv6 アドレスを入力する場合は、静的グローバル IPv6 アドレスである必要があります。 リンクローカル アドレスまたはステートレス自動構成 (SLAAC) アドレスにすることはできません。

最大転送単位 (MTU) のデフォルトは 1500 バイトです。

高度なネットワーク を有効にしている場合は、LAN 2 ポートに対してこれらのオプションを構成することもできます。

ネットワーク上の重複した IPv4 アドレスの検出

ネットワーク内の重複 IPv4 アドレスの検出は、有効なすべての LAN インターフェイスで 300 秒 (5 分) ごとに実行されます。 重複した IPv4 アドレスが検出されると、アラームが発生します。 特定のインターフェースに対して発生したアラームは、競合が解決されてから 5 分以内に解除されます。 この重複アドレスは、ユーザー インターフェイスと CLI コマンドで確認することができます。 このコマンドは重複した IPv4 アドレスのみを検出します。 IPv6 アドレスを検出しません。

専用管理インターフェース

Expressway の DMI を有効にする場合:

手順

ステップ 1

[専用管理インターフェイスを使用する(Use Dedicated Management Interface)][はい(Yes)] に設定します。

ステップ 2

LAN3 - DMI セクション:

  1. LAN3 ポートの IPv4 アドレスまたは IPv6 アドレスを指定します。

  2. IPv4 の場合はサブネット マスクも指定します。

  3. IPv6 の場合は、静的なグローバル アドレスを使用します。 リンクローカルまたはステートレス SLAAC にすることはできません。

  4. オプションで、ポートの 最大転送単位 (MTU) を設定して、DMI 経由で送信できる最大イーサネット パケット サイズを変更します。 デフォルトは 1500 バイトです。

ステップ 3

システムを再起動する。 これらの変更を有効にするには再起動が必要です。

DMI は、管理トラフィックのインターフェースとして LAN3 上でアクティブ化されました。 DMI を 唯一の 管理インターフェースにする場合は、次のタスクに進みます。

次のタスク

(オプション)DMI 単独のインターフェイスを作成する

DMI 単独のインターフェイスを作成する
(オプション) DMI を唯一のインターフェイスにする - サーバー管理トラフィック用

このタスクを使用して、管理トラフィックが DMI を使用するようにします (Expressway がサーバです)。

  1. これは、管理サービス (Web ユーザ インターフェイス、REST API、CLI) や SNMP に対して実行できます。 DMI のみに設定するサービスに応じて、次の手順のいずれかまたは両方を実行します。

    • [システム] > [SNMP] ページに移動し、 [構成] セクションで、 [専用管理インターフェースを使用する][はい]のみに設定します。

    • [(システム(System)] > [管理設定(Administration settings)]ページに移動し、[サービス(Services)] セクションで、[専用管理インターフェイスのみを使用(管理用)(Use Dedicated Management Interface only (for administration))]はいに設定します。

  2. ウェブ ユーザー インターフェイスと API の変更を有効にするには、システムを再起動する必要があります。これらの変更は、再起動するまで LAN1 / LAN2 からアクセス可能です。 変更は、再起動の有無にかかわらず、コマンド ライン インターフェイス (SSH) および SNMP サービスに対してすぐに有効になります。

指定された管理サービスには、DMI/LAN3 ポートからのみアクセスできるようになりました。


(注)  

管理サービスが DMI を唯一のインターフェースとして使用するように設定されている場合は、Expressway で DMI を無効にすることはできません。
(オプション) DMI を唯一のインターフェースにする - サブネット外のクライアント管理トラフィック

Expressway ソフトウェアのバージョンによっては、Expressway がクライアントとして機能する管理トラフィックの場合、ターゲット サーバが DMI/LAN3 ポートと同じサブネットにある場合にのみ、トラフィックが DMI に送信されることがあります。 この問題が当てはまるかどうかを確認するには、リリース ノートを確認してください。 そうである場合、かつ LAN3 と同じサブネットにサーバーを導入できない場合は、オプションとして、サービスごとに LAN3 の静的 IP ルートを設定することにより、Expressway 管理トラフィックに DMI を使用するように強制することができます。

高度なネットワーキングとデュアルネットワークインターフェースについて

高度なネットワーキング機能により、Expressway-E の LAN 2 イーサネット ポートが有効になり、Expressway にセカンダリ IP アドレスを使用できるようになります。 また、Expressway-E が静的 NAT デバイスの背後に配置され、パブリック IP アドレスとプライベート IP アドレスを別々に持つことができる展開もサポートされています。

デュアルネットワークインターフェースの構成

デュアル ネットワーク インターフェイスは、Expressway-E システムでのみサポートされており、Expressway-C には展開できません。

デュアル ネットワーク インターフェイスは、Expressway-E が、別々のネットワーク セグメント上の 2 つの別々のファイアウォール間の DMZ に配置されている展開を対象としています。 このような展開では、ルータによって内部ネットワーク上のデバイスが IP トラフィックをパブリック インターネットにルーティングできなくなるため、トラフィックは Expressway-E などのアプリケーション プロキシを通過する必要があります。

デュアルネットワークインターフェースを有効にするには
始める前に

  • LAN 2 ポートを設定する前に、LAN 1 ポートを設定し、Expressway を再起動します。

  • LAN 1、LAN 2、および LAN 3 インターフェイスは、重複しない異なるサブネット上に存在する必要があります。

  • Expressway-E が DMZ 内にある場合、Expressway-E の外部 IP アドレスはパブリック IP アドレスである必要があります。また、静的 NAT モードが有効になっている場合は、静的 NAT アドレスがパブリックにアクセス可能である必要があります。

  • Expressway-E は、企業内の内部ファイアウォールを通過するためにも使用できます。 この場合、 "パブリック" IP アドレスは一般にはアクセスできない可能性がありますが、企業の他の部分からはアクセス可能な IP アドレスになります。

  • 一方または両方のインターフェースの IP アドレスを変更する必要がある場合は、UI または CLI を介して変更できます。 必要に応じて両方を同時に変更することができ、新しいアドレスは再起動後に有効になります。

手順

ステップ 1

デュアル ネットワーク インターフェイスを使用するはいに設定します。

ステップ 2

外部 LAN インターフェース 設定で LAN2 をインターフェースとして選択します。

外部インターフェースで静的 NAT を有効にすることを選択できるようになりました。 この設定では、TURN サーバ リレーを割り当てるポートも決定します。

トラブルシューティングのヒント:
高度なネットワーキングを有効にしているが、1 つのイーサネットポートだけを設定したい場合は、デュアルネットワークインターフェイスを使用するいいえに切り替えます。

静的 NAT の設定

静的 NAT デバイスの背後に Expressway-E を展開して、パブリック IP アドレスとプライベート IP アドレスを別々に持つことができます。 この機能は、Expressway-E が DMZ に配置され、高度なネットワーキング機能が有効になっている導入で使用することを目的としています。

これらの展開では、プライベート IPv4 アドレスとパブリック IPv4 アドレスの両方を使用するために、外部向け LAN ポートで静的 NAT が有効になっています。 内部向けの LAN ポートでは静的 NAT が有効になっていないため、単一の IP アドレスが使用されます。 このような展開では、トラバーサル クライアントは Expressway-E の内部 IP アドレスを使用するように設定する必要があります。

静的 NAT を有効にするには
外部向け LAN ポートの場合は、次の設定を指定します。
手順

ステップ 1

IPv4 アドレス フィールドに、ポートのプライベート IP アドレスを入力します。

ステップ 2

[IPv4 静的 NAT モード(IPv4 static NAT mode)] [オン(On)] に設定します。

ステップ 3

IPv4 静的 NAT アドレス フィールドに、ポートのパブリック IP アドレス (変換後に表示される IP アドレス (NAT 要素の外側)) を入力します。

IPv6 モードの機能と制限

Expressway の IP インターフェイスを IPv6 のみ モードに設定すると、それらのインターフェイスは IPv6 のみを使用します。 他のシステムとの通信に IPv4 は使用されず、IPv4 と IPv6 (デュアル スタック) 間の相互運用も行われません。

明示的な IPv6 対応機能

  • Expressway に登録された IPv6 エンドポイント間の通話。

  • DiffServ トラフィック クラス (TC) のタグ付け。

  • TURN サーバ (Expressway-E 上)。

  • 自動侵入防止。

  • DNS ルックアップ。

  • ポートの使用状況とステータスページ。

  • モバイル& Remote Access(MRA)

サポートされている RFC

  • RFC 2460: インターネット プロトコル バージョン 6 (IPv6) 仕様 (部分的に実装: 静的グローバル アドレスのみ)。

  • RFC 2464: イーサネット ネットワーク経由の IPv6 パケットの送信。

  • RFC 3596: IP バージョン 6 をサポートするための DNS 拡張。

  • RFC 4213: IPv6 ホストおよびルーターの基本的な移行メカニズム。

  • RFC 4291: IP バージョン 6 アドレス指定アーキテクチャ。

  • RFC 4443: インターネット プロトコル バージョン 6 (IPv6) 仕様のインターネット制御メッセージ プロトコル (ICMPv6)。

  • RFC 4861: IP バージョン 6 (IPv6) の近隣探索。

  • RFC 5095: IPv6 におけるタイプ 0 ルーティング ヘッダーの廃止。

  • RFC 6156: IPv6 の Traversal Using Relays around NAT (TURN) 拡張。

IPv6 モードの既知の制限

  • IPv6 アドレスは静的である必要があり、リンク ローカル アドレスや SLAAC アドレスにすることはできません。

  • Expressway の IP アドレスまたはゲートウェイの IP アドレスを変更する場合は、Expressway を再起動する必要があります。

  • 配布された証明書失効リストから失効ステータスを取得することは、IPv6 モードではサポートされていません。

DNS 設定の構成

DNS ページ (システム > DNS) は、Expressway 上の DNS サーバと DNS 設定を構成するために使用されます。

システムのホスト名とドメイン名の設定

システム ホスト名 は、この Expressway が認識される DNS ホスト名を定義します。

  • クラスター内の各ピアごとに一意である必要があります。

  • これは、リモート ログ サーバ上の Expressway を識別するために使用されます ( "システム ホスト名" が指定されていない場合は、デフォルト名の TANDBERG が使用されます)。

  • 文字、数字、ハイフン、アンダースコアのみを含める必要があります。 最初の文字は文字で、最後の文字は文字または数字でなければなりません。

ドメイン名 は、修飾されていないサーバ アドレス (例: ldapserver) を解決しようとするときに使用されます。 クエリが DNS サーバに送信される前に、非修飾サーバ アドレスに追加されます。 サーバ アドレスが完全修飾されている場合 (たとえば、 ldapserver.mydomain.com)、または IP アドレスの形式である場合、DNS サーバに照会する前にドメイン名はサーバ アドレスに追加されません。 ドメイン名は、次の Expressway 構成設定に適用されます。

  • LDAPサーバ

  • NTP サーバ

  • 外部マネージャーサーバ

  • リモートログサーバ

すべてのサーバ アドレスに IP アドレスまたは FQDN (完全修飾ドメイン名) を使用することをお勧めします (Expressway の FQDN は、 システム ホスト名ドメイン名 を組み合わせたものです)。

SIP メッセージングへの影響

システム ホスト名ドメイン名 は、エンドポイントが Expressway を SIP プロキシとして FQDN 形式 (IP アドレスではなく、非推奨) で設定している場合、SIP メッセージングでこの Expressway への参照を識別するためにも使用されます。

この場合、たとえば、エンドポイントに設定されている FQDN が、Expressway に設定されている システム ホスト名 および ドメイン名 と一致しない場合、Expressway は INVITE 要求を拒否することがあります。


(注)  

このチェックは、エンドポイントから Expressway に送信される SIP 要求のルート ヘッダーに SIP プロキシ FQDN が含まれているために行われます。
カスタムドメイン検索

検索ドメイン 設定は、外部ホストが Expressway-C とは異なる DNS ドメインにあり、非修飾ホスト名で設定されている Edge 展開に関係します。 オプションでこの設定を使用して、1 つ以上の DNS ドメインを指定できます。 Expressway はこれらのドメインを非修飾ホスト名に 1 つずつ追加し、結果として得られる FQDN を DNS に照会します。 DNS が IP アドレスを返すまでこのプロセスを繰り返します。 つまり、ホスト間の接続を構成するときに FQDN を入力する必要はありません。

複数のアドレスを区切るにはスペースを使用します。

DNS リクエスト

デフォルトでは、DNS 要求はシステムの一時ポート範囲内のランダムなポートを使用します。 必要に応じて、 [DNS 要求のポート範囲][カスタム ポート範囲を使用する] に設定し、 [DNS 要求のポート範囲の開始] フィールドと [DNS 要求のポート範囲の終了] フィールドを定義することで、カスタム ポート範囲を指定できます。


(注)  

送信元ポートの範囲を狭く設定すると、DNS スプーフィング攻撃に対する脆弱性が高まります。

DNS サーバアドレスの設定

以下を使用する場合は、アドレス解決のために照会する DNS サーバを少なくとも 1 つ指定する必要があります。

  • 外部アドレスを指定するときは、IP アドレスではなく FQDN を使用します (たとえば、LDAP サーバ、NTP サーバ、ネイバー ゾーン、ピアなど)。

  • URI ダイヤルENUM ダイヤルなどの機能

デフォルトの DNS サーバ

最大 5 つのデフォルト DNS サーバを指定できます。 Expressway は一度に 1 つのサーバのみを照会します。 そのサーバが利用できない場合、Expressway はリストから別のサーバを試します。

サーバの指定順序は重要ではありません。 Expressway は、最後に利用可能であったことがわかっているサーバを優先します。

ドメインごとの DNS サーバ

5 つのデフォルトの DNS サーバに加えて、指定したドメインに対して最大 5 つの明示的な DNS サーバを追加で指定できます。 これは、特定のドメイン階層を明示的な権限にルーティングする必要がある展開で役立ちます。

追加のドメインごとの DNS サーバ アドレスごとに、最大 2 つのドメイン名を指定できます。 これらのドメインのすべての DNS クエリは、デフォルトの DNS サーバではなく、指定された DNS サーバに転送されます。

冗長化されたドメインごとのサーバーを指定するには、ドメインごとの DNS サーバーアドレスを追加し、それを同じドメイン名に関連付けます。 これらのドメインに対する DNS 要求は、両方の DNS サーバに並行して送信されます。

DNS ルックアップ ツール (メンテナンス > ツール > ネットワーク ユーティリティ > DNS ルックアップ) を使用して、特定のホスト名の要求にどのドメイン ネーム サーバ (DNS サーバ) が応答しているかを確認できます。

転送プロトコル

Expressway は DNS 解決に UDP と TCP を使用し、DNS サーバは通常 UDP 応答と TCP 応答の両方を送信します。 UDP 応答が 512 バイトの UDP メッセージ サイズ制限を超える場合、Expressway は UDP 応答を処理できません。 代わりに Expressway が TCP 応答を処理できるため、通常はこれは問題にはなりません。

ただし、ポート 53 で TCP 受信をブロックし、UDP 応答が 512 バイトを超える場合、Expressway は DNS からの応答を処理できません。 この場合、DNS ルックアップ ツールを使用しても結果は表示されず、要求されたアドレスを必要とする操作はすべて失敗します。

DNS レコードのキャッシュ

パフォーマンスを向上させるために、DNS ルックアップがキャッシュされる場合があります。 DNS 構成が変更されるたびにキャッシュは自動的にフラッシュされます。また、オプションで [DNS キャッシュをフラッシュ] をクリックして強制的にフラッシュすることもできます。

DSCP / Quality of Service 設定を設定する

DSCP マーキングについて

X8.9 以降、Expressway は、モバイルおよびリモート アクセスを含むファイアウォールを通過するトラフィックに対して、改善された DSCP (Differentiated Service Code Point) パケット マーキングをサポートします。 DSCP は、パケットのサービス品質レベルを測る指標です。 トラフィックの優先順位をより細かく制御するために、次の個別のトラフィック タイプに対して DSCP 値が設定 (マーク) されます。

トラフィック タイプ

提供されたデフォルト値

Web UI フィールド

ビデオ

34

QoS ビデオ

音声

46

QoS オーディオ

XMPP

24

QoS XMPP

[シグナリング(Signaling)]

24

QoS シグナリング

X8.9 より前は、すべてのシグナリング トラフィックとメディア トラフィックに DSCP 値をまとめて適用する必要がありました。

オプションで、[システム(System)] > [(サービス品質Quality of Service)] ウェブ UI ページ (または CLI) からデフォルトの DSCP 値を変更できます。

注:

  • DSCP 値 "0 " は標準のベストエフォート サービスを指定します。

  • DSCP マーキングは SIP および H.323 トラフィックに適用されます。

  • TURN トラフィックが実際に Expressway によって処理される場合、DSCP マーキングが TURN メディアに適用されます。

  • メディア タイプを識別できない場合は、デフォルトでトラフィック タイプ "ビデオ" が割り当てられます。 (たとえば、異なるメディア タイプが同じポートで多重化されている場合など)。

既存の QoS/DSCP コマンドと API は廃止されました

(注)  

X8.9 以降では、QoS/DSCP 値を指定するための以前の方法はサポートされなくなりました。 以前の Web UI 設定 QoS モードと QoS 値、CLI コマンド xConfiguration IP QoS モードxConfiguration IP QoS 値 、および対応する API は廃止されました。 これらのコマンドは使用しないでください。

現在これらのコマンドを使用している場合はどうなりますか?

Expressway をアップグレードすると、定義した既存の QoS 値が新しいフィールドに自動的に適用され、指定されたデフォルトが置き換えられます。 たとえば、値 20 を定義した場合、4 つの DSCP 設定 (QoS オーディオ、QoS ビデオ、QoS XMPP、QoS シグナリング) もすべて 20 に設定されます。

ダウングレードはサポートしていません。 アップグレード前のソフトウェア バージョンに戻す必要がある場合、QoS 設定は元のデフォルトにリセットされます。 したがって、QoS モードは [なし] に設定され、QoS 値は 0 に設定されています。使用する値を手動で再定義する必要があります。

DSCP 値の設定

提供された DSCP のデフォルト値をオプションで変更するには、 [サービス品質] ページ ([システム] > [サービス品質]) に移動し、使用する新しい値を指定します。

静的ルート

Expressway から IPv4 または IPv6 アドレス範囲への静的ルートを定義できます。 [システム(System)] > [ネットワーク インターフェイス(Network interfaces)] > [静的ルート(Static routes)]に移動します。

このページでは、静的ルートを表示、追加、削除できます。

高度なネットワーク オプションを使用し、Expressway を DMZ に展開する場合は、静的ルートが必要になることがあります。 他の複雑なネットワーク展開でも必要になる場合があります。

静的ルートを追加するには

手順

ステップ 1

この Expressway からの新しい静的ルートの基本宛先アドレスを入力します。

たとえば、 203.0.113.0 または 2001:db8:: と入力します。

ステップ 2

範囲を定義するプレフィックスの長さを入力します。

例を拡張すると、 24 と入力して IPv4 範囲 203.0.113.0 - 203.0.113.255 を定義したり、 32 と入力して IPv6 範囲 2001:db8:: から 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff を定義したりできます。

アドレス範囲フィールドには、Expressway が IP アドレスとプレフィックスの長さから計算した範囲が表示されます。

ステップ 3

新しいルートのゲートウェイの IP アドレスを入力します。

ステップ 4

新しいルートのイーサネット インターフェイスを選択します。

このオプションは、2 番目のイーサネット インターフェイスが有効になっている場合にのみ使用できます。 そのインターフェース経由のルートを強制するには LAN 1 または LAN 2 を選択し、Expressway がどちらのインターフェースでもこのルートを作成できるようにするには 自動 を選択します。

ステップ 5

[ルートを作成(Create route)] をクリックします。

新しい静的ルートがテーブルにリストされます。 必要に応じて、このテーブルからルートを削除できます。

(注)  

 

  • IP ルートは、CLI を使用して xCommand RouteAdd コマンドと xConfiguration IP Route コマンドを使用して設定することもできます。

  • 最大 50 個のネットワークとホストの組み合わせに対してルートを設定できます。

  • root としてログインし、 ip route ステートメントを使用して IP ルートを設定しないでください。

侵入防止

ファイアウォールルールの設定

ファイアウォール ルールでは、IP テーブル ルールを構成して、Expressway へのアクセスを IP レベルで制御できます。 Expressway では、これらの規則はグループに分類されており、次の順序で適用されます。

  • 動的システム ルール: これらのルールにより、確立されたすべての接続/セッションが維持されます。 また、特定のアドレスをブロックするために自動検出機能によって挿入されたルールも含まれます。 最後に、ループバック インターフェイスからのアクセスを許可するルールが含まれます。

  • 構成不可能なアプリケーション ルール: これには、SNMP トラフィックや H.323 ゲートキーパーの検出を許可するなど、必要なアプリケーション固有のルールがすべて組み込まれています。

  • ユーザが設定可能なルール: これには、Expressway にアクセスできるものを絞り込み、通常は制限する、手動で設定されたファイアウォール ルール (このセクションで説明) がすべて組み込まれています。 このグループには、Expressway LAN 1 インターフェイス (および Advanced Networking オプション キーがインストールされている場合は LAN 2 インターフェイス) 宛てのすべてのトラフィックを許可する最終ルールがあります。

また、前のルールによって明示的に許可または拒否されていないブロードキャスト トラフィックまたはマルチキャスト トラフィックをすべてドロップする、構成できない最終ルールもあります。

デフォルトでは、Expressway の特定の IP アドレス宛てのすべてのトラフィックのアクセスが許可されますが、Expressway が明示的にそのトラフィックをリッスンしていない場合、そのトラフィックはドロップされます。 システムを自分の仕様に合わせてロックダウンするには、追加のルールを積極的に構成する必要があります。


(注)  

送信接続からの戻りトラフィックは常に受け入れられます。

ユーザ設定のルール

ユーザ設定のルールは通常、Expressway にアクセスできるものを制限するために使用されます。 次の操作を実行できます。

  • トラフィックを許可または拒否する送信元 IP アドレス サブネットを指定します。

  • 拒否されたトラフィックをドロップするか拒絶するかを選択します。

    特定のシナリオでは、特定の着信トラフィックをドロップまたは拒否するファイアウォール ルールがあっても、Expressway はトラフィックをプロキシします。 これは、ファイアウォール ルールが新しい受信トラフィックにのみ適用されるためです。 内部ネットワーク上のデバイスが送信接続を開始すると、外部ネットワーク上のデバイスは同じポートを使用して応答します。 IP テーブルには既存のメディアパス情報が含まれているため、ファイアウォール ルールよりも優先度が高いです。

  • SSH、HTTP/HTTPS などのよく知られたサービスを構成するか、トランスポート プロトコルとポート範囲に基づいてカスタマイズされたルールを指定します。

  • LAN 1 および LAN 2 インターフェイスに異なるルールを設定します ( Advanced Networking オプション キーがインストールされている場合)。ただし、マルチキャスト アドレスなどの特定の宛先アドレスを設定することはできないことに注意してください。

  • ルールが適用される優先順位を指定します。

ファイアウォールルールの設定と有効化

ファイアウォール ルールの構成 ページを使用して、新しいファイアウォール ルール セットを設定してアクティブ化します。

表示されるルール セットは、最初は現在アクティブなルールのコピーです。 (ファイアウォール ルールが定義されていないシステムでは、リストは空になります。) ルールが多数ある場合は、 フィルター オプションを使用して、表示されるルールのセットを制限できます。


(注)  

組み込みルールはこのリストには表示されません。

新しいルールを追加したり、既存のルールを変更または削除したりすることで、ファイアウォール ルールのセットを変更できます。 現在アクティブなルールへの変更は保留状態になります。 変更が完了したら、新しいルールをアクティブ化して以前のセットを置き換えます。 UDP 関連のルールについては、新しいルールは次回のシステム再起動時にのみ有効になることに注意してください (ただし、UDP ルールを削除した場合は、ルール セットをアクティブ化するとすぐに非アクティブになります)。

ルールを設定してアクティブ化するには:
手順

ステップ 1

[システム(System)] > [保護(Protection)] > [ファイアウォール ルール(Firewall rules)] > [設定(Configuration)]に移動します。

ステップ 2

必要に応じてルールを追加、変更、または削除して変更を加えます。

ルールの順序を変更するには、上/下矢印 を使用して、隣接するルールの優先順位を入れ替えます。

  • 新しいルールまたは変更されたルールは、 保留中状態 列)として表示されます。

  • 削除されたルールは 削除保留中として表示されます。

ステップ 3

新しいファイアウォール ルール セットの構成が完了したら、 [ファイアウォール ルールをアクティブ化] をクリックします。

ステップ 4

新しいルールをアクティブ化することを確認します。 これにより、既存のアクティブなルール セットが、構成したセットに置き換えられます。

新しいルールを有効にすることを確認すると、ルールが検証され、エラーがあれば報告されます。

ステップ 5

エラーがなければ、新しいルールが一時的に有効になり、 ファイアウォール ルールの確認 ページが表示されます。

新しいルールを維持するかどうかを確認するのに 15 秒の猶予があります。

  • ルールを永続的に適用するには、 [変更を承認] をクリックします。

  • 15 秒の制限時間が経過するか、 [変更をロールバック] をクリックすると、以前のルールが復元され、構成ページに戻ります。

    15 秒の時間制限によって提供される自動ロールバック メカニズムにより、変更をアクティブ化したクライアント システムは、新しいルールが適用された後も引き続きシステムにアクセスできるようになります。 クライアント システムが変更を確認できない場合 (Web インターフェイスにアクセスできなくなったため)、ロールバックによってシステムにアクセスする機能が回復されます。

ステップ 6

この手順は、UDP ルールを追加する場合にのみ適用されます。 つまり、 Transport=UDP を含む 1 つ以上のカスタム ルールです。 新しい UDP ルールは、次回のシステムの再起動まで有効になりません。 この特殊なケースでは、ファイアウォール ルールを有効にするだけでは不十分です。 削除された UDP ルールにはこの要件がないため、ルール セットをアクティブ化するとすぐに非アクティブになります。

ファイアウォール ルールを構成するときに、 すべての変更を元に戻すオプションもあります。 これにより、保留中の変更がすべて破棄され、ルールの作業コピーが現在のアクティブなルールと一致するようにリセットされます。

ルール設定

各ルールの設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

Priority

ファイアウォール ルールが適用される順序。

最も優先度の高いルール (1、2、3 など) が最初に適用されます。

ファイアウォール ルールには一意の優先順位が必要です。 同じ優先度のルールが複数ある場合、ルールのアクティブ化は失敗します。

インターフェイス(Interface)

アクセスを制御する LAN インターフェイス。

これは、 Advanced Networking オプション キーがインストールされている場合にのみ適用されます。

IP アドレスプレフィックス長

これら 2 つのフィールドを組み合わせて、ルールが適用される IP アドレスの範囲を決定します。

アドレス範囲 フィールドには、 IP アドレスプレフィックス長の組み合わせに基づいて、ルールが適用される IP アドレスの範囲が表示されます。

プレフィックスの長さの範囲は、IPv4 アドレスの場合は 0 ~ 32、IPv6 アドレスの場合は 0 ~ 128 です。

サービス

ルールを適用するサービスを選択するか、 [カスタム] を選択して独自のトランスポート タイプとポート範囲を指定します。

(注)  

 

その後、Expressway 上でサービスの宛先ポートが(たとえば 80 から 8080 に)再設定された場合は、古いポート番号を含むファイアウォール ルールは自動的に更新されません。

転送

ルールが適用されるトランスポート プロトコル。

カスタム サービスを指定する場合にのみ適用されます。

開始ポートと終了ポート

ルールが適用されるポート範囲。

UDP または TCP カスタム サービスを指定する場合にのみ適用されます。

アクション

ルールに一致するすべての IP トラフィックに対して実行するアクション。

許可: トラフィックを許可します。

ドロップ: 送信者に応答せずにトラフィックをドロップします。

拒否: 到達不能な応答でトラフィックを拒否します。 ""

トラフィックをドロップすると、潜在的な攻撃者には、どのデバイスがパケットをフィルタリングしているのか、またその理由についての情報が提供されなくなります。

安全な環境での展開では、すべてのサービスへのアクセスを拒否する低優先度ルール (たとえば、優先度 50000) のセットを構成してから、特定の IP アドレスへのアクセスを選択的に許可する高優先度ルール (たとえば、優先度 20) を構成することができます。

説明

ファイアウォール ルールのオプションの自由形式の説明。

ルールが多数ある場合は、説明でフィルタオプションを使用して、関連するルールのセットを見つけることができます。

現在アクティブなファイアウォールルール

現在アクティブなファイアウォール ルール ページ (システム > 保護 > ファイアウォール ルール > 現在アクティブなルール) には、現在システムに適用されているユーザ設定のファイアウォール ルールが表示されます。 このリストには表示されていない組み込みルールのセットもあります。

ルールを変更する場合は、 ファイアウォール ルールの構成 ページに移動し、新しいルール セットを設定してアクティブ化する必要があります。

自動侵入防止の設定

自動保護サービスを使用すると、悪意のあるトラフィックを検出してブロックし、辞書ベースのログイン セキュリティ侵害の試みから Expressway を保護することができます。

これは、システム ログ ファイルを解析して、SIP、SSH、web/HTTPS アクセスなどの特定のサービスカテゴリへのアクセスの繰り返し失敗を検出することによって機能します。 指定された時間枠内の障害数が設定されたしきい値に達すると、送信元ホスト アドレス (侵入者) と宛先ポートが指定された期間ブロックされます。 一時的に誤って構成された可能性のある本物のホストがロックアウトされないように、その期間が過ぎるとホスト アドレスは自動的にブロック解除されます。

1 つ以上のカテゴリから除外されるアドレスの範囲を設定できます ( 除外の設定 を参照)。

自動保護は、 ファイアウォール ルールと組み合わせて使用する必要があります。自動保護では特定の脅威を動的に検出して一時的にブロックし、ファイアウォール ルールでは既知のホスト アドレスの範囲を永続的にブロックします。

保護カテゴリについて

Expressway で利用可能な保護カテゴリのセットは、実行中のソフトウェア バージョンに応じて事前に構成されています。 各カテゴリを有効化、無効化、または構成することはできますが、新しいカテゴリを追加することはできません。

特定のログ ファイル メッセージを各カテゴリに関連付けるルールも事前に設定されており、変更することはできません。 [システム(System)] > [保護(Protection)] > [自動検出(Automated detection)] > [設定(Configuration)]に移動し、カテゴリの名前をクリックすると、特定のカテゴリでアクセス失敗/侵入として扱われるログエントリの例を表示できます。 例は、ページの下部にある ステータス セクションの上に表示されます。

自動保護の有効化

X8.9 以降、次のようなさまざまなカテゴリに対して自動侵入防止がデフォルトで有効になっています。

  • HTTP プロキシ認証失敗

  • HTTP プロキシプロトコル違反

  • SSH 認証失敗

  • SSH プロトコル違反

  • XMPP プロトコル違反

この変更は新しいシステムに影響します。 アップグレードされたシステムでは、既存の保護構成が維持されます。

手順

ステップ 1

システム > 管理に移動します

ステップ 2

自動保護サービスオンに設定します。

ステップ 3

[保存] をクリックします。

サービスは現在実行されていますが、環境に必要な保護カテゴリと免除を構成する必要があります。

保護カテゴリの設定

自動検出の概要ページ (システム > 保護 > 自動検出 > 構成) は、Expressway の保護カテゴリを有効にして構成し、現在のアクティビティを表示するために使用されます。

このページには、以下に示す利用可能なすべてのカテゴリの概要が表示されます。

  • ステータス: カテゴリが オン または オフに設定されているかどうかを示します。 オンの場合、カテゴリの状態も示されます。通常は アクティブですが、カテゴリが有効または無効になった直後は一時的に 初期化中 または シャットダウン中 と表示されることもあります。 失敗と表示されている場合はアラームを確認してください。

  • 現在ブロックされている: このカテゴリで現在ブロックされているアドレスの数。

  • 合計失敗回数: このカテゴリに関連付けられたサービスへのアクセス試行の失敗回数の合計。

  • 合計ブロック数: ブロックがトリガーされた回数の合計。


    (注)  

    • 合計ブロック数は通常、合計失敗回数より少なくなります(トリガー レベルが 1 に設定されていない限り)。

    • 同じアドレスをカテゴリごとに複数回ブロックおよび解除することができ、各発生は個別のブロックとしてカウントされます。

  • 免除: このカテゴリから免除されるように設定されているアドレスの数。

このページでは、現在ブロックされているアドレスや、特定のカテゴリに適用される免除も表示できます。

カテゴリの有効化または無効化
手順

ステップ 1

システム > 保護 > 自動検出 > 構成 に移動します。

ステップ 2

有効または無効にするカテゴリの横にあるチェックボックスを選択します。

ステップ 3

必要に応じて、 [有効にする] または [無効にする] をクリックします。

カテゴリのブロックルールの設定
手順

ステップ 1

[システム(System)] > [保護(Protection)] > [自動検出(Automated detection)] > [設定(Configuration)]に移動します。

ステップ 2

設定したいカテゴリの名前をクリックします。 そのカテゴリの設定ページに移動します。

ステップ 3

必要に応じてカテゴリを設定します。

  • 状態: そのカテゴリの保護が有効か無効かを示します。

  • 説明: カテゴリの自由形式の説明。

  • トリガー レベルと検出ウィンドウ: これらの設定を組み合わせて、カテゴリのブロックしきい値を定義します。 これらは、ブロックがトリガーされる前に発生する必要がある失敗したアクセス試行の数と、それらの失敗が発生する必要がある時間枠を指定します。

  • ブロック期間: ブロックが維持される期間。

ステップ 4

[保存(Save)] をクリックします。

免除の設定

自動検出免除ページ (システム > 保護 > 自動検出 > 免除) は、1 つ以上の保護カテゴリから常に免除される IP アドレスを構成するために使用されます。
手順

ステップ 1

[システム(System)] > [保護(Protection)] > [自動検出(Automated detection)] > [除外(Exemptions)]に移動します。

ステップ 2

設定する アドレス をクリックするか、 新規 をクリックして新しいアドレスを指定します。

ステップ 3

アドレスプレフィックス長 を入力して、除外する IP アドレスの範囲を定義します。

ステップ 4

アドレスを除外するカテゴリを選択します。

ステップ 5

アドレスを追加をクリックします。

(注)  

 

現在ブロックされているアドレスを除外すると、ブロック期間が終了するまでそのアドレスはブロックされたままになります( [ブロックされたアドレス] ページから手動でブロックを解除しない限り)。

ブロックされたアドレスの管理

ブロックされたアドレス ページ (システム > 保護 > 自動検出 > ブロックされたアドレス) は、自動保護サービスによって現在ブロックされているアドレスを管理するために使用されます。

  • 現在ブロックされているすべてのアドレスと、それらのアドレスがどのカテゴリでブロックされているかが表示されます。

  • アドレスのブロックを解除することも、アドレスのブロックを解除すると同時にそのアドレスを除外リストに追加することもできます。 アドレスを永続的にブロックする場合は、設定されたファイアウォール ルールのセットにそのアドレスを追加する必要があることに注意してください。

自動検出の概要 ページのリンクからこのページにアクセスすると、選択したカテゴリに応じてフィルタリングされます。 また、そのカテゴリからアドレスのブロックが解除されるまでの残り時間も表示されます。

アクセス障害と侵入の調査

特定のアクセスエラーや侵入試行を調査する必要がある場合は、各カテゴリに関連付けられているすべてのトリガー ログ メッセージを確認できます。 これを行うには:
手順

ステップ 1

システム > 保護 > 自動検出 > 構成 に移動します。

ステップ 2

調査したいカテゴリの名前をクリックします。

ステップ 3

[このカテゴリのすべての一致する侵入保護トリガーを表示(View all matching intrusion protection triggers for this category)] をクリックします。

システムでは、そのカテゴリに関連するすべてのイベントが表示されます。 その後、トリガー イベントのリストで、ユーザ名、アドレス、エイリアスなどの関連するイベントの詳細を検索できます。

自動保護サービスとクラスター化システム

クラスター化されたシステムで自動保護サービスが有効になっている場合:

  • 各ピアは独自の接続失敗数を保持しており、侵入者のアドレスがそのピアによってブロックされるためには、各ピアでトリガーしきい値に達する必要があります。

  • アドレスは、アクセス障害が発生したピアに対してのみブロックされます。 つまり、あるピアに対してアドレスがブロックされている場合でも、別のピアへのアクセスを試みることができる可能性があります (そのピアからもブロックされる可能性があります)。

  • ブロックされたアドレスは、現在のピアに対してのみブロック解除できます。 アドレスが別のピアによってブロックされている場合は、そのピアにログインしてブロックを解除する必要があります。

  • カテゴリ設定と免除リストはクラスター全体に適用されます。

  • 自動検出の概要 ページに表示される統計情報は、現在のピアのみに関するものです。

MRA 展開における自動保護

Expressway-C は、モバイルおよびリモート アクセスに使用されるときに、Unified CM および Expressway-E から大量の着信トラフィックを受信します。

Expressway-C で自動保護を使用する場合は、自動的に作成されたネイバー ゾーンと Unified Communications のセキュア トラバーサル ゾーンを使用するすべてのホストに対して例外を追加する必要があります。 Expressway は、検出された Unified CM または関連ノードに対して自動的に免除を作成しません。

追加情報

  • ホスト アドレスがブロックされているときにシステムにアクセスしようとすると、要求はドロップされます (ホストは応答を受信しません)。

  • ホスト アドレスは複数のカテゴリで同時にブロックできますが、必ずしもすべてのカテゴリでブロックされるわけではありません。 これらのブロックは異なる時間に期限切れになる場合もあります。

  • アドレスのブロックが解除されると (手動で、またはブロック期間の期限が切れた後)、そのカテゴリによって 2 度目にブロックされる前に、カテゴリのトリガーレベルで指定された回数だけ再度失敗しなければなりません。

  • カテゴリは有効にされると必ずリセットされます。 システムを再起動するか、自動保護サービスがシステム レベルで有効になっている場合は、すべてのカテゴリがリセットされます。 カテゴリがリセットされると:

    • 現在ブロックされているアドレスはブロック解除されます。

    • 失敗とブロックの合計はゼロにリセットされます。

  • 自動保護サービスに関連付けられているすべてのイベント ログ エントリを表示するには、自動検出の概要(Automated detection overview)ページで [すべての侵入保護イベントを表示(View all intrusion protection events)] をクリックしてください 。

  • X14.0 リリースから:

    • 新規インストールおよび工場出荷時設定へのリセットの場合、SIP 登録失敗はデフォルトで有効になっています。 アップグレードシナリオの場合、以前の値が保持されます。

    • 新規インストールおよび工場出荷時設定へのリセットの場合、SIP 認証の失敗はデフォルトで有効になっています。 アップグレードのシナリオの場合、以前の値が保持されます。

    • サービスに影響がある場合は、Expressway-C の SIP 認証失敗 jail ルールを無効にします。

レート制限の設定

[レート制限の概要(Rate limits overview)] ページ ([システム(System)] > [保護(Protection)] > [レート制限(Rate limits)] > [設定(Configuration)]) では、Expressway がクラッシュ、高い CPU 使用率、メモリ使用率の上昇などの問題が発生することなく実行できるレートにトラフィックのカテゴリを制限します。

X14.2 リリース以降、SIP および EDGE トラフィック カテゴリの新規接続に対してデフォルトのレート制限が設定されています。 管理 カテゴリも監視機能に含まれており、設定されたレベルを超える接続イベントの可視性とログ記録が可能になります。

  • デフォルトでは、カテゴリ固有のバースト制限により、1 秒あたり 100 件の接続が許可されます。 影響を受けるポートは、個々のカテゴリ編集ページにリストされます。

    • SIP のデフォルトの制限ポートは 5060、5061、および 5062 です。これらのポートは、SIP 設定で変更できます。

    • EDGE のデフォルトの制限ポートは 8443 と 9443 で、固定されています。

  • 1 秒あたりの接続数とバースト制限を有効/無効にしたり、変更したりできます。

    • 1 秒あたりの接続数の範囲の値は 1 ~ 250 で、デフォルト値は 100 です。

    • バースト制限の範囲値は 15 ~ 30 で、デフォルト値は 20 です。

    • モードは次のいずれかです:

      • 強制 - しきい値を超えるパケットをログに記録してドロップします。

      • モニター - しきい値を超えるパケットをログに記録してドロップします。

      • 無効 - このカテゴリの機能を無効にします。

  • 棒グラフには、時間の経過にわたって確立された接続の数とドロップされた接続の数、またはモニタモードのフラッド値が表示されます。

  • カテゴリ別にフィルタリングされたログ リンクは、 関連タスク セクションに記載されています。


重要

  • TCP プロトコルの場合のみ、 "NEW" 状態が新しい接続とみなされます。 関連する確立された接続はすべて同じ接続として扱われるため、既存の接続からパケットがドロップされることはありません。

  • UDP プロトコルの場合、関連する確立されたすべての接続が"新しい"接続として扱われます。

レート制限ルールの設定

レート制限ルールを構成するには:

  1. システム > 保護 > レート制限 > 構成に移動します

  2. 設定したいカテゴリの名前をクリックします。

    そのカテゴリの設定ページに移動します。

  3. 必要に応じてカテゴリを設定します。

    1. ステータス – レート制限モードが有効か無効か。

    2. 接続数(1 秒あたり) – 1 秒あたりの接続数を変更します。

    3. バースト制限 – 一致する接続/パケットの最大初期数。この数は、上記で指定した制限に達しないたびに、この数まで 1 つずつ補充されます。

  4. [保存(Save)] をクリックします。

ネットワーク サービス

システム名とアクセス設定の構成

システム管理 ページ (システム > 管理) は、次の設定を構成するために使用されます。

  • Cisco Expressway システムの名前。

  • 管理者がシステムにアクセスする方法。 シリアル ケーブルを使用してユニットに直接接続された PC から Expressway を管理することもできますが、IP 経由でシステムにリモート アクセスする必要がある場合もあります。 これは、HTTPS 経由の Web インターフェイスを使用するか、SSH 経由のコマンド ライン インターフェイスを使用して実行できます。

  • FindMe を使用するか、Cisco TelePresence Management Suite Provisioning Extension の他のプロビジョニング サービスを使用するか。

  • オプションで、管理サービス (Web ユーザ インターフェイス、REST API、CLI) の管理トラフィックを、LAN3 上の Expressway の専用管理インターフェイス (DMI) を使用するように誘導します。

表 1. システム管理ページの設定

フィールド

説明

使用上のヒント

システム名

Expressway を識別するために使用されます。 Web インターフェイスのさまざまな場所、およびユニットの前面パネルのディスプレイに表示されます (他のシステムと同じラック内にある場合に識別できるようにするため)。

システムを簡単に一意に識別できる名前を使用することをお勧めします。

一時ポート範囲

開始 値と 終了 値は、Expressway コール処理によって制約されない一時的な発信接続に使用するポート範囲を定義します。

サービス

シリアルポート/コンソール

VMware コンソール経由でシステムにローカルでアクセスできるかどうか。

デフォルトは オンです。

シリアル ポート/コンソール アクセスは、通常は無効になっている場合でも、再起動後 1 分間は常に有効になります。

SSH サービス

SSH および SCP 経由で Expressway にアクセスできるかどうか。

デフォルトはオンです。

Webインターフェイス(HTTPSによる)

Expressway に Web インターフェイス経由でアクセスできるかどうか。

デフォルトはオンです。

プロビジョニングサービス

Expressway ウェブ ユーザー インターフェイスで、[システム(System)] > [TMS Provisioning Extension サービス(TMS Provisioning Extension services)]ページにアクセスできるかどうかを確認します。 そこから、Cisco TelePresence Management Suite Provisioning Extension(Cisco TMSPE)と、ユーザー、デバイス、FindMe、電話帳のプロビジョニングサービスにアクセスできます。

デフォルトは オフです。

FindMe は、X12.5 以降の Expressway では非推奨となり、以降のリリースではサポートが廃止されます。

専用の管理インターフェースのみを使用する

オプションとして、管理サービス (Web ユーザーインターフェイス、REST API、CLI) の管理トラフィックには、LAN3 上の Expressway の専用管理インターフェイス (DMI) を使用する必要があります。

デフォルトは いいえです。

同じ機能は、 システム > SNMP ページから、SNMP 管理トラフィックに対しても使用できます。

セッション制限

セッションタイムアウト

管理セッション (シリアルポート、HTTPS、または SSH) または FindMe セッションがタイムアウトするまでの非アクティブな分数。 デフォルトは 30 分です。

アカウントごとのセッション制限

各 Expressway 上で各管理者アカウントに許可される同時セッションの数。

これには、Web、SSH、シリアル セッションが含まれます。 ルート アカウントにはセッション制限は適用されません。

値が 0 の場合、セッション制限はオフになります。

システムセッション制限

各 Expressway で許可される同時管理者セッションの最大数。

これには、Web、SSH、シリアル セッションが含まれます。 ルート アカウントにはセッション制限は適用されません。 ただし、アクティブなルート アカウント セッションは、現在の管理者セッションの合計数にカウントされます。

値が 0 の場合、セッション制限はオフになります。

システム保護

自動保護サービス

自動保護サービス がアクティブかどうか。

デフォルトは オンです

サービスを有効にした後、特定の 保護カテゴリを構成する必要があります。

自動検出保護

Cisco TMS などの管理システムがこの Expressway を検出する方法を制御します。

オフ: 自動検出が許可されます。

オン: この Expressway を検出するには、Cisco TMS を手動で設定し、管理者アカウントの資格情報を提供する必要があります。

デフォルトは オフです。

変更を有効にするには、システムを再起動してください。

Web サーバの構成

HTTP要求をHTTPSにリダイレクト

HTTP リクエストを HTTPS ポートにリダイレクトするかどうかを決定します。

デフォルトは オフです。

HTTP 経由のアクセスが機能するには、HTTPS も有効にする必要があります。

プロトコルを先頭に付けずにアドレスを入力すると、ブラウザは HTTP (ポート 80) であると想定します。 この設定が オン の場合、Expressway はブラウザを Web 管理者ポート にリダイレクトします。

HTTP 厳格なトランスポート セキュリティ (HSTS)

このサーバにアクセスする際に、Web ブラウザに安全な接続のみを使用するように指示するかどうかを決定します。 この機能を有効にすると、中間者 (MITM) 攻撃に対する保護が強化されます。

オン: Strict-Transport-Security ヘッダーは、Web サーバからのすべての応答とともに送信され、有効期限は 1 年です。

オフ: Strict-Transport-Security ヘッダーは送信されず、ブラウザは通常どおり動作します。

デフォルトは オンです

HSTS の詳細については、以下を参照してください。

Web 管理者ポート

管理者が Expressway Web インターフェイスにアクセスするための https リスニング ポートを設定します。

TCP 443 を必要とする機能 (Meeting Server Web Proxy など) を有効にする場合は、Expressway-E の Web 管理にデフォルト以外のポートを使用することを強くお勧めします。

この変更を有効にするには、Expressway を再起動してください。

デフォルト以外のポートを使用し、アドレスの先頭に https:// プロトコルを付加する場合は、ポートを追加する必要があります。 たとえば、ブラウザにアドレス https://vcse.example.com:7443 を入力します。 https://vcse.example.com を入力すると、ブラウザはポート 443 を想定し、Expressway はアクセスを拒否します。

ネットワーク要素が Web 管理ポートへのトラフィックをブロックすると、Expressway への Web アクセスが失われる可能性があります。必要に応じて、SSH またはコンソールを使用してポートを変更できます。

クライアント証明書ベースのセキュリティ

クライアント システム (通常は Web ブラウザ) が HTTPS 経由で Expressway と通信できるようにするために必要なセキュリティ レベルを制御します。

不要: クライアント システムは、いかなる形式の証明書も提示する必要はありません。

証明書の検証: クライアントシステムは、信頼できる認証局(CA)によって署名された有効な証明書を提示する必要があります。

(注)  

 

不要 から 証明書の検証に変更する場合は、再起動が必要です。

証明書ベースの認証: クライアント システムは、信頼できる CA によって署名され、クライアントの認証資格情報を含む有効な証明書を提示する必要があります。

デフォルト: 不要

重要

 

  • 証明書の検証を有効にすると 、ブラウザ (クライアント システム) は、Expressway の信頼された CA 証明書リスト内の CA によって署名された有効な (有効期限内で、CRL によって失効していない) クライアント証明書がある場合にのみ、Expressway Web インターフェイスを使用できるようになります。

  • この機能を有効にする前に、ブラウザに有効なクライアント証明書があることを確認してください。 ブラウザに証明書をアップロードする手順はブラウザの種類によって異なる場合があり、証明書を有効にするにはブラウザを再起動する必要がある場合があります。

  • 「信頼された CA 証明書リストの管理」 ページで CA 証明書をアップロードし、 「クライアント証明書のテスト」 ページでクライアント証明書をテストできます。

  • 証明書ベースの認証を有効にすると 、標準のログイン メカニズムは利用できなくなります。 ブラウザ証明書が有効であり、提供される資格情報が適切な承認レベルを持っている場合にのみログインできます。 「証明書ベースの認証設定」 ページで、Expressway がブラウザ証明書から認証情報を抽出する方法を設定できます。

  • この設定は、Expressway のサーバ証明書のクライアント検証には影響しません。

証明書失効リスト(CRL)のチェック

HTTPS クライアント証明書を証明書失効リスト (CRL) と照合するかどうかを指定します。

なし: CRL チェックは実行されません。

ピア: クライアントの証明書を発行した CA に関連付けられた CRL のみがチェックされます。

すべて: クライアントの証明書を発行した CA の信頼された証明書チェーン内のすべての CRL がチェックされます。

デフォルト: すべて

クライアント証明書ベースのセキュリティ が有効になっている場合にのみ適用されます。

CRL アクセス不能フォールバック動作

失効ソースに接続できない場合など、失効ステータスを確立できない場合の失効チェック動作を制御します。

  • 失効として扱う: 証明書を失効として扱います (したがって、TLS 接続は許可されません)。

  • 失効していないものとして扱う: 証明書を失効していないものとして扱います。

  • デフォルト: 失効していないものとして扱う

クライアント証明書ベースのセキュリティ が有効になっている場合にのみ適用されます。

導入設定

設定

システムのサイズを決定します。 可能なオプションは次のとおりです。

大規模: 8 個の CPU コア、6 GB のメモリ、1 Gbps または 10 Gbps の NIC。

中規模: 2 個の CPU コア、4 GB のメモリ、1 Gbps の NIC。

1 Gbps NIC を搭載した 中規模システム をアップグレードすると、Expressway は アプライアンスを自動的に大規模システムに変換します。 その結果、Expressway-E は大規模システムのデフォルトの多重化ポート (36000 ~ 36011) で多重化された RTP/RTCP トラフィックを待ち受けます。 この場合、これらのポートはファイアウォール上で開いていないため、Expressway は通話をドロップします。

この問題が発生した場合は、次のいずれかを実行してください。

  • システムのデフォルトサイズを「中規模」に変更し、多重化された RTP/RTCP トラフィック用に設定したポートを使用するには、中規模を選択します。

  • 大規模システムとして使用する場合は、ファイアウォールで大規模システムのデフォルトの逆多重化ポートを開きます。

このオプションは、Expressway-E として展開され、次の最小仕様を満たす CE1200 以降のアプライアンスでのみ使用できます。

  • サポートされている Expressway ソフトウェア バージョン (アプライアンスの『 Cisco Expressway CExxxx インストール ガイド 』に詳細が記載されています)

  • CPU: 8 コア

  • メモリ: 6 GB

  • NIC: 1 Gbps

デフォルトでは、HTTPS および SSH 経由のアクセスが有効になっています。 セキュリティを最適化するには、HTTPS と SSH を無効にし、シリアル ポートを使用してシステムを管理します。 シリアル ポートにアクセスするとパスワードをリセットできるため、Expressway は物理的に安全な環境にインストールすることをお勧めします。

HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) は、Web サーバが Web ブラウザーに安全な接続のみを使用して通信するように強制するメカニズムです。 バージョンによっては、すべてのブラウザでサポートされない場合があります。 HSTS を有効にすると、HSTS をサポートするブラウザは次のことを行います。

  • サーバにアクセスする前に、Web サイトへの安全でないリンクを安全なリンクに自動的に変換します (たとえば、 http://example.com/page/https://example.com/page/ に変更されます)。

  • 接続が安全な場合(たとえば、サーバの TLS 証明書が有効で、信頼されており、期限が切れていない)のみ、サーバへのアクセスを許可します。

HSTS をサポートしていないブラウザは Strict-Transport-Security ヘッダーを無視し、以前と同じように動作します。 引き続きサーバにアクセスすることができます。

準拠ブラウザは、IP アドレスではなく完全修飾名を使用してサーバにアクセスする場合にのみ、Strict-Transport-Security ヘッダーを尊重します。

SNMP 設定の構成

SNMP ページ (システム > SNMP) は、Expressway の SNMP 設定を構成するために使用されます。

Cisco TelePresence Management Suite (Cisco TMS) や HP OpenView などのツールは、SNMP ネットワーク管理システム (NMS) として機能する場合があります。 これらを使用すると、Expressway を含むネットワーク デバイスを監視して、管理上の注意が必要となる可能性のある状態を検出できます。 Expressway は、 RFC 1213 で定義されている最も基本的な MIB-II ツリー (.1.3.6.1.2.1) をサポートしています。

Expressway で公開される情報には次のものが含まれます。

  • システム稼働時間

  • システム名

  • Location

  • コールする

  • インターフェース

  • ディスク容量、メモリ、その他のマシン固有の統計

SNMP はデフォルトでは無効になっています。 したがって、Expressway を SNMP NMS (Cisco TMS を含む) で監視できるようにするには、代替の SNMP モードを選択する必要があります。 設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

SNMP モード

SNMP サポートのレベルを制御します。

無効: SNMP はサポートされません。

v3 セキュア SNMP: 認証と暗号化をサポートします。

v3 + TMS サポート: セキュアな SNMPv3 に加え、OID 1.3.6.1.2.1.1.2.0 へのセキュアでないアクセスのみ。

v2c: 非セキュアなコミュニティベースの SNMP。

安全な SNMPv3 を使用するが、外部マネージャとして Cisco TMS も使用する場合、v3 + TMS サポート を選択する必要があります。

説明

SNMP によって表示されるシステムのカスタム説明。 デフォルトでは、カスタムの説明はありません (空のフィールド)。

このフィールドを空のままにすると、システムはデフォルトの SNMP 説明を使用します。

コミュニティ名

Expressway の SNMP コミュニティ名。

デフォルトは 公開です。

v2c または v3 プラス TMS サポートを使用している場合にのみ適用されます。

システム連絡先

Expressway の問題に関して連絡可能な担当者の名前。

デフォルトは 管理者です。

システム連絡先 および 場所 は、管理者がクエリのフォローアップ時に参照目的で使用されます。

[所在地(Location)]

Expressway の物理的な場所を指定します。

ユーザ名

Expressway の SNMP ユーザ名。SNMP マネージャに対してこの SNMP エージェントを識別するために使用されます。

v3 セキュア SNMP または v3 プラス TMS サポート を使用している場合にのみ適用されます。

専用の管理インターフェースのみを使用する

オプションで、SNMP の管理トラフィックが LAN3 の Expressway 専用管理インターフェイス(DMI)を使用する必要があります。

デフォルトはいいえです。

システム > 管理設定 ページから、管理サービス (Web ユーザ インターフェイス、REST API、CLI) に関連する管理トラフィックにも同じ機能を使用できます。

v3 認証 設定(SNMPv3 にのみ適用)

認証モード

SNMPv3 認証を有効または無効にします。

Type

認証資格情報をハッシュするために使用されるアルゴリズム。

X12.5.7 以降では、SHA (セキュア ハッシュ アルゴリズム) が唯一サポートされるオプションです。 MD5 (Message-Digest アルゴリズム 5) パスワードはサポートされていません。

X14.2 からは、SHA (セキュア ハッシュ アルゴリズム) がデフォルトとなり、唯一サポートされるオプションになります。 MD5 (Message-Digest algorithm 5) パスワードは完全に削除されます。

パスワード

認証資格情報を暗号化するために使用されるパスワード。

8 文字以上である必要があります。

v3 プライバシー 設定(SNMPv3 にのみ適用)

プライバシーモード

SNMPv3 暗号化を有効または無効にします。

Type

メッセージを暗号化するために使用されるセキュリティ モデル。

AES: Advanced Encryption Standard 128 ビット暗号化。

デフォルトおよび推奨設定は AES です。

パスワード

メッセージを暗号化するために使用されるパスワード。

8 文字以上である必要があります。

Expressway は SNMP トラップまたは SNMP セットをサポートしていないため、SNMP 経由で管理することはできません。


(注)  

関係する情報は潜在的に機密性が高いため、SNMP はデフォルトで無効になっています。 パブリック インターネット上の Expressway や、内部システム情報を公開したくないその他の環境では、SNMP を有効にしないでください。

時間設定の構成

時間 ページ (システム > 時間) は、Expressway の NTP サーバを設定し、ローカル タイム ゾーンを指定するために使用されます。

NTP サーバは、Expressway が時刻の正確性を確保するために同期するリモート サーバです。 NTP サーバは Expressway に UTC 時刻を提供します。

システムを正しく動作させるには正確な時間が必要です。

NTP サーバの設定

システム時刻を同期するときに使用する 1 つ以上の NTP サーバを Expressway に設定するには、システムの DNS 設定に応じて、最大 5 台のサーバの アドレス を次のいずれかの形式で入力します (これらの設定は DNS ページの システム > DNS で確認できます)。

  • DNS サーバが設定されていない場合は、NTP サーバの IP アドレスを使用する必要があります。

  • 1 つ以上の DNS サーバ が設定されている場合は、NTP サーバの FQDN または IP アドレスを使用できます。

  • 1 つ以上の DNS サーバーに加えて DNS ドメイン名が設定されている場合は、NTP サーバーのサーバー名、FQDN、または IP アドレスを使用できます。

アドレス フィールドのうち 3 つは、デフォルトで Cisco が提供する NTP サーバに設定されています。

NTP サーバに接続する際に Expressway が使用する 認証 方法を設定できます。 各 NTP サーバ接続に対して、次のいずれかのオプションを使用します。

認証方法

説明

無効

認証は使用されません。

対称キー

対称キー認証。 この方法を使用する場合は、 キー IDハッシュ 方式、および パスフレーズ を指定する必要があります。 ここで入力する値は、NTP サーバ上の同等の設定と完全に一致する必要があります。 複数の NTP サーバ間で同じ対称キー設定を使用できます。 ただし、各サーバに異なるパスフレーズを設定する場合は、各サーバに一意のキー ID があることも確認する必要があります。

秘密鍵

秘密鍵認証。 この方法では、自動的に生成された秘密キーを使用して、NTP サーバに送信されるメッセージを認証します。
NTP ステータス情報の表示

NTP サーバと Expressway 間の同期ステータスは、 ステータス 領域に次のように表示されます。

  • 開始: NTP サービスを開始しています。

  • 同期済み: Expressway は NTP サーバから正確なシステム時刻を正常に取得しました。

  • 同期されていません: Expressway は NTP サーバから正確なシステム時刻を取得できません。

  • ダウン: Expressway の NTP クライアントが実行されていません。

  • 拒否: NTP サービスは NTP 応答を受け入れていません。


(注)  

更新内容がステータス テーブルに表示されるまで数分かかる場合があります。

利用可能なその他のステータス情報は次のとおりです。

フィールド

説明

NTP サーバー

要求に応答した実際の NTP サーバ。 これは、NTP サーバ アドレス フィールドの NTP サーバとは異なる場合があります。

条件

各 NTP サーバの相対的なランキングを示します。 正確な時刻を提供しているすべてのサーバには 候補 のステータスが与えられます。その中で、Expressway が最も正確な時刻を提供していると判断して使用しているサーバには、 sys.peer のステータスが表示されます

フラッシュ

サーバの状態に関する情報を提供するコード。 00 ok は問題がないことを意味します。 完全なコードのリストについては、 フラッシュ ステータス ワード参照表 を参照してください。

認証

現在の認証方法のステータスを示します。 okbad 、または none のいずれか。 none は、 認証 方法が 無効の場合に指定されます。

イベント

NTP によって決定された最後のイベントを表示します (例: reachable または sys.peer)

到達可能性

Expressway と NTP サーバ間の最新の 8 回の接続試行の結果を示します。チェックマークは成功を示し、バツ印は失敗を示します。 最新の試行の結果は右端に表示されます。

NTP 構成が変更されるたびに、NTP クライアントが再起動され、到達の可能性フィールドは、再起動後の最初の接続試行の結果を示す右端のインジケータを除いて、すべてのインジケータが十字に戻ります。 ただし、再起動プロセス中は NTP サーバーへの接続が可能な状態である可能性があります。

オフセット

NTP サーバの時刻と Expressway の時刻の差。

遅延

NTP サーバと Expressway 間のネットワーク遅延。

地層

Expressway と基準クロック間の分離度。 1 は NTP サーバが基準クロックであることを示します。

参照 ID

基準クロックを識別するコード。

参照時間

NTP サーバが参照クロックと最後に通信した時刻。

このページの残りのフィールドの定義と NTP の詳細については、ネットワーク タイム プロトコルウェブサイトを参照してください。

推奨事項

以下にいくつかの推奨事項を示します。

  • 正確で信頼性の高いネットワーク タイム プロトコル (NTP) リファレンスは、トランスポート層セキュリティ (TLS) 接続にとって重要です。

  • Expressway X15.2 リリース以降、システムには ntp-4.2.8p18 パッケージが含まれ、RFC 5905 で定義されている厳格なポーリング検証チェックに準拠します。Expressway は、MINPOLL (4) と MAXPOLL (17) の範囲外の無効なポーリング フィールド値を持つ NTP サーバを拒否します。 この検証チェックは、サブネットの動的な動作を維持し、プロトコル エラーから保護するためのものです (参照: RFC 5905、セクション 13.2 ポーリング プロセス操作)。

Expressway の時刻表示とタイムゾーン

Web インターフェイス全体では現地時間が使用されます。 これは画面下部のシステム情報バーに表示され、イベント ログの各行の先頭に表示されるタイムスタンプを設定するために使用されます。


(注)  

イベント ログの各エントリの最後に UTC タイムスタンプが含まれます。

内部的には、Expressway はシステム時間を UTC で維持します。 これは Expressway のオペレーティング システム時間に基づいており、NTP サーバが設定されている場合はそのサーバを使用して同期されます。 NTP サーバが設定されていない場合、Expressway は独自のオペレーティング システム時間を使用して日付と時刻を決定します。

ローカルの タイムゾーン を指定すると、Expressway はシステムが配置されている場所のローカル時間を決定できます。 これは、選択されたタイムゾーンに関連付けられた時間数(または時間の一部)だけ UTC 時間をオフセットすることによって行われます。 また、必要に応じて、サマータイム(夏時間とも呼ばれます)を考慮して現地時間を調整します。

ログインページの設定

ログインページの設定ページ ([システム(System)] > [ログイン(Login)] ページ) を使用して、ログインページに表示されるメッセージと画像を指定します。 ようこそメッセージのタイトルテキスト は、管理者が CLI または Web インターフェイスを使用してログインするときに表示されます。

ウェブインターフェイスのログインページのようこそメッセージの上に表示される画像をアップロードできます。

  • サポートされている画像ファイル形式は JPG、GIF、PNG です。

  • 200x200 ピクセルより大きい画像は縮小されます。

オプションで、ログインするユーザーが続行する前に、ウェルカムメッセージの確認が必要であることを指定できます。 この場合、システムは承諾ボタンを表示し、ユーザーはそれをクリックして続行します。

Expressway が FindMe アカウント データを提供するために TMS Provisioning Extension サービス を使用している場合、ユーザは Expressway ではなく Cisco TMS を介して FindMe アカウントにログインします。


(注)  

この機能は CLI を使用して設定できません。

外部マネージャー設定の構成

外部マネージャ ページ (システム > 外部マネージャ) は、外部管理システムへの Expressway 接続を構成するために使用されます。

外部マネージャは、Cisco TelePresence Management Suite (Cisco TMS) などのリモート システムであり、Expressway で発生するイベント (通話試行、接続と切断など) を監視したり、Expressway がアラーム情報を送信できる場所として使用されます。 外部マネージャーの使用はオプションです。


(注)  

Cisco TMS は Expressway を "TANDBERG VCS" として識別します。

Cisco TMS への接続が失敗した場合でも、Expressway はサービスが中断されることなく動作し続けます。 これは、Expressway がクラスタ化されている場合にも適用されます。 接続が再確立されると、Expressway と Cisco TMS は自動的に相互に通信を再開するため、特別なアクションは必要ありません。

フィールド

説明

使用上のヒント

アドレスとパス

外部マネージャを使用するには、使用する外部マネージャの IP アドレスまたはホスト名とパスを使用して Expressway を設定する必要があります。

Cisco TMS を外部マネージャとして使用している場合は、デフォルトのパス tms/public/external/management/SystemManagementService.asmx を使用します。

Protocol(プロトコル)

外部マネージャーとの通信が HTTP 経由か HTTPS 経由かを決定します

デフォルトは HTTPS です

証明書検証モード

外部マネージャーによって提示された証明書が検証されるかどうかを制御します。

検証を有効にする場合は、Expressway の信頼された CA 証明書を含むファイルに、外部マネージャの証明書の発行者の証明書も追加する必要があります。 これは、 「信頼された CA 証明書リストの管理」 ページ (「メンテナンス」 > 「セキュリティ」 > 「信頼された CA 証明書」) から実行されます。

専用管理インターフェース(DMI)の構成

X12.7 以降、Expressway は専用管理インターフェイス (DMI) をサポートします。 これは、管理関連のアクティビティのために 3 番目の LAN ポート (LAN3) を使用して Expressway にアクセスする新しいネットワーク インターフェイスです。 ルーティング インターフェイスを他のトラフィックと共有する代わりに、管理トラフィックは LAN3 を介して送受信され、他のトラフィックはそのポートを使用しません。

DMI はデフォルトでは無効になっています。


(注)  

物理 CE1200 アプライアンスを使用している場合は、物理アプライアンスに用意されているポート 3a を接続し("図 2: Cisco Expressway の背面図"を参照)、「"背面パネルのレイアウト"」の章で説明されているように、DMI アドレスを設定します。 具体的な手順については、『Cisco Expressway CE1200 アプライアンス インストール ガイド』を参照してください。 ""

DMI の紹介

DMI を有効にするには、次の 2 つの側面があります。

  1. DMI 機能を有効にすると、管理トラフィック用の LAN3 ポートがオンになります。 ただし、これは排他的ではなく、LAN1 (および設定されている場合は LAN2) も使用できます。Expressway は、LAN3 ポートだけでなく、LAN1/LAN2 でも管理トラフィックをリッスンし続けます。

  2. LAN3 を管理トラフィックの唯一のインターフェースにしたい場合は、Expressway で個々の管理サービスを DMI 専用に設定する必要があります。


    (注)  

    LAN3 サブネットの外部に管理サーバがある場合、現在、トラフィックが LAN3 に送信されるよう、静的 IP ルートも構成する必要があります。

Expressway 管理トラフィックは、サーバベースまたはクライアントベースに分類できます。

Expressway がサーバとなる管理トラフィック:

  • HTTP(S) - ウェブ UI 管理および REST API 用

  • ssh - CLI 用 (MRA トンネル用ではありません)

  • SNMP

Expressway がクライアントとなる管理トラフィック。例:

  • HTTP(S) Cisco TMS などの外部マネージャへのフィードバック イベント用

  • NTP

  • ディレクトリ(LDAP、Active Directory)

  • リモート syslog

  • システムメトリック(collectd)

DMI の設定方法

[CDPのイネーブル化(Enable DMI)]

始める前に

DMI インターフェイスの新しい DNS 名を、Expressway サーバ証明書のサブジェクト別名 (SAN) として入力する必要があります。 インターフェイスへのアクセスに IP アドレス (または証明書内の SAN エントリではない DNS) が使用されている場合、証明書検証警告が発行され、アクセスがブロックされる可能性があります。

注意    

DMI は Expressway 構成へのアクセスを提供するため、適切に保護することが重要です。

手順

ステップ 1

[システム] > [ネットワーク インターフェイス] > [IP] に移動して、 [専用管理インターフェイスの使用][はい] に設定します。

ステップ 2

LAN3 - DMI セクションで:

  1. LAN3 ポートの IPv4 アドレスまたは IPv6 アドレスを指定します。

  2. IPv4 の場合はサブネット マスクも指定します。

  3. IPv6 の場合は、静的なグローバル アドレスを使用します。 リンクローカルまたはステートレス SLAAC にすることはできません。

  4. オプションで、ポートの 最大転送単位 (MTU) を設定して、DMI 経由で送信できる最大イーサネット パケット サイズを変更します。 デフォルトは 1500 バイトです。

ステップ 3

システムを再起動する。 これらの変更を有効にするには再起動が必要です。

DMI は、管理トラフィックのインターフェースとして LAN3 上でアクティブ化されました。 DMI を 唯一の 管理インターフェースにする場合は、次のタスクに進みます。

(注)  

 

Expressway VM の場合、OVF テンプレートには DMI IP アドレスを定義するためのカスタマイズ オプションが含まれています。

(オプション)DMI 単独のインターフェイスを作成する

(オプション) DMI をサーバ管理トラフィックの唯一のインターフェースにする

このタスクを使用して、管理トラフィックが DMI を使用するようにします (Expressway がサーバです)。


注意    

これを実行する前に、必要なサービスが LAN3 上でアクセス可能であることを確認してください。そうでない場合、DMI のみに変更した後に、必要なサービスにアクセスできなくなります。 これは管理サービスにとって特に重要です。管理サービスを回復する唯一の方法は、コンソール (シリアル/VMWare) を使用して DMI をオフにすることだからです。

  1. これは、管理サービス (Web ユーザ インターフェイス、REST API、CLI) や SNMP に対して実行できます。 DMI のみに設定するサービスに応じて、次の手順のいずれかまたは両方を実行します。

    • [システム(System)] > [SNMP]に移動し、[設定(Configuration)] セクションで [専用管理インターフェイスのみを使用する(Use Dedicated Management Interface only)][はい(Yes)] に設定します。

    • [システム] > [管理設定] に移動し、 [サービス] セクションで [専用の管理インターフェースのみを使用する (管理用)][はい]に設定します。

  2. Web ユーザ インターフェイスと API の変更を有効にするには、システムを再起動する必要があります。これらの変更は、再起動するまで LAN1 / LAN2 からアクセス可能です。 変更は、再起動の有無にかかわらず、コマンド ライン インターフェイス (SSH) および SNMP サービスに対してすぐに有効になります。

指定された管理サービスには、DMI/LAN3 ポートからのみアクセスできるようになりました。


(注)  

管理サービスが DMI を唯一のインターフェースとして使用するように設定されている場合は、Expressway で DMI を無効にすることはできません。
(オプション) DMI を唯一のインターフェースにする - サブネット外のクライアント管理トラフィック

Expressway がクライアントとして機能する管理トラフィックの場合、Expressway のバージョンに応じて、ターゲット サーバが DMI/LAN3 ポートと同じサブネットにある場合にのみトラフィックが DMI に送信されます。 LAN3 と同じサブネットにサーバーを導入できない場合は、オプションとして、サービスごとに LAN3 の静的 IP ルートを設定することにより、Expressway 管理トラフィックに DMI を使用するように強制することができます。

この例では、次のサブネットを持つ Expressway を想定しています。

  • LAN3 サブネット範囲: a.b.128.0 - a.b.191.255

  • LAN1 サブネット範囲: x.y.156.0 - x.y.159.255

たとえば、Expressway で NTP を設定したいとします。 NTP サーバは LAN1 サブネットにあります。 Expressway からの送信 NTP トラフィックと NTP からの受信応答に DMI/LAN3 を使用したいと考えています。 これは、次の設定で LAN3 の静的ルート (システム > ネットワーク インターフェイス > 静的ルート 追加を選択) を作成することで実現できます。

  • IP アドレス: x.y.151.0

  • プレフィックス長: 24

  • ゲートウェイ: 172.22.128.1 (LAN3 サブネットのゲートウェイ)

  • インターフェース: LAN3

詳細については、「 静的ルート」を参照してください。

TMS プロビジョニング拡張サービスの構成

Cisco TMSPE サービスは Cisco TMS 上でホストされます。 これらは、エンドポイント デバイスからのプロビジョニング要求に応じるために、Expressway の プロビジョニング サーバーで使用されるユーザー、デバイス、および電話帳のデータを提供します。 また、FindMe サービスの FindMe アカウント構成データも Expressway に提供します。

X8.11 以降、Cisco TMS ホストされているプロビジョニング サービスは、ウェブ ユーザー インターフェイスの [システム(System)] > [管理設定(Administration settings)]ページまたはデバイス プロビジョニング CLI コマンド (xconfiguration Administration DeviceProvisoning) を通じて有効になります。 これらのサービスを有効にするために特別なオプション キーやライセンスは必要ありません。 次のデバイス プロビジョニング サービスが利用可能です。

  • ユーザ(Users)

  • FindMe

  • 電話帳

  • デバイス 

新規インストールの場合、すべてのサービスはデフォルトで オフ になります。 既存のシステムの場合、現在のサービス設定は保持され、アップグレード後も変更されません。


(注)  

Cisco Expressway X14.0.1 以降のリリースには、HTTP ヘッダーのより安全な解析が含まれています。 したがって、複数の認証方法を有効にすると、Cisco TMS Provisioning Extension (TMSPE) サービスは Expressway で動作しなくなります。 Internet Information Services (IIS) Manager の仮想ディレクトリ tmsagent に対して "[基本認証(Basic Authentication)]" 方式のみを有効にします。

開始する前に

まだ行っていない場合は、 [システム] > [管理] に移動して、 [プロビジョニング サービス][オン]に設定します。 次に、[システム(System)] > [TMS Provisioning Extension サービス(TMS Provisioning Extension services)] ページを使用して、Expressway が Cisco TMSPE サービスに接続する方法と、必要なサービスを設定できます。 (サービス自体を設定するには、TMS を使用することをお勧めします。 Expressway 経由で行われた Cisco TMSPE サービス構成設定の変更は、TMS には適用されません。

FindMe は特別なケースです。 プロビジョニング サービスを有効にすると、次の構成警告アラームが表示される場合があります。 FindMe のみを使用し、他のプロビジョニング サービスは使用しない場合は、次のアラームを無視できます。

  • 電話帳リクエストが正しく機能するには、デフォルト サブゾーンとその他の関連サブゾーンで認証ポリシーを有効にする必要があります。エンドポイントが登録されていない場合は、デフォルト ゾーンでも認証を有効にする必要があります。

  • プロビジョニングが正しく機能するには、デフォルト ゾーンと、プロビジョニング要求を受信するその他の関連ゾーンで認証ポリシーを有効にする必要があります。

構成設定

プロビジョニング サービスの構成可能なオプションを次の表に示します。

表 2. プロビジョニング サービスの設定可能なオプション

フィールド

説明

使用上のヒント

デフォルトの接続構成

このセクションでは、Cisco TMSPE サービスにアクセスするためのデフォルトの接続設定を指定します。 各サービスでは、これらの設定を使用するか、独自の接続設定を指定するかを選択できます (たとえば、サービスごとに異なる Cisco TMSPE サーバが使用されている場合など)。

サーバーアドレス

サービスの IP アドレスまたは完全修飾ドメイン名 (FQDN)。

宛先ポート

Cisco TMSPE サービスのリスニング ポート。

暗号化

Cisco TMSPE サービスに接続するための暗号化。 詳細については、「 最小 TLS バージョンと暗号スイートの構成」を参照してください。

オフ: 暗号化なし。

TLS: TLS 暗号化を提供します。

デフォルトは TLSです。

TLS 接続が推奨されます。

証明書を確認する

Cisco TMSPE サービスによって提示された証明書が、Expressway の現在の信頼された CA リストおよび (存在する場合) 失効リストに対して検証されるかどうかを制御します。

デフォルトは はいです。

検証が有効になっている場合:

  • IIS (Cisco TMSPE サーバ上) は、署名付き証明書を使用してインストールされ、SSL 接続を強制するように設定されている必要があります。

  • Cisco TMSPE サーバの証明書の発行者の証明書を、Expressway の信頼できる CA 証明書を含むファイルに追加する必要があります。 これは、 「信頼された CA 証明書リストの管理」 ページ (「メンテナンス」 > 「セキュリティ」 > 「信頼された CA 証明書」) から実行します。

証明書のホスト名を確認する

Cisco TMSPE サービスによって提示された証明書に含まれるホスト名が Expressway によって検証されるかどうかを制御します。

デフォルトは はいです。

証明書の検証はいの場合に適用されます。

有効にした場合、証明書のホスト名 (共通名) は指定された サーバ アドレスと一致する必要があります。 サーバ アドレスが IP アドレスの場合、必要なホスト名は DNS ルックアップを通じて取得されます。

ベースグループ

Cisco TMSPE サービスでこの Expressway (または Expressway クラスタ) を識別するために使用される ID。

この値は TMS 管理者が提供します。

デバイスサービスで使用されるベース グループ ID は、通常、他のサービスで使用されるものとは異なるため、明示的に指定する必要があります。

認証ユーザ名パスワード

Expressway が Cisco TMSPE サービスで認証するために使用するユーザ名と対応するパスワード。

TLS 暗号化が有効になっていない場合、認証パスワードは暗号化されずに送信されます。

サービス固有の構成

Cisco TMSPE サービスごとに接続の詳細を指定できます: ユーザFindMe電話帳、および デバイス

このサービスに接続する

Expressway が Cisco TMSPE サービスに接続するかどうかを制御します。

デフォルトはいいえです。

はいの場合、有効な接続のステータスがフィールドの横に表示されます: チェック中アクティブ 、または 失敗。 (完全なステータス情報を表示するには、 詳細 をクリックしてください。)

ポーリング間隔

Expressway が Cisco TMSPE サービスの更新をチェックする頻度。 デフォルトは次のとおりです。

FindMe: 2 分

ユーザ: 2 分

電話帳: 1 日

デバイス サービスのポーリング間隔は 30 秒に設定されており、変更できません。

ページの下部にある [更新を確認] をクリックすると、すべてのサービスの即時更新をリクエストできます。

デフォルトの接続構成を使用する

サービスが Cisco TMSPE サービスのデフォルトの接続構成を使用するかどうかを制御します。

デフォルトは はいです。

いいえの場合、追加の接続構成パラメータのセットが表示されます。 ここで、サービスのデフォルトの接続設定を上書きするための代替接続詳細を指定できます。

TMS Provisioning Extension サービス ページで 完全同期を実行 をクリックすると、いつでも Expressway と Cisco TMS の間でデータの即時再同期を実行できます。 これにより、データが削除され更新される間、Expressway で数秒間サービスが利用できなくなります。 Cisco TMS の最新のアップデートを Expressway に適用するだけの場合は、代わりに [アップデートを確認] をクリックします。