この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Expressway-Eデュアルネットワークインターフェイスの実装にCisco適応型セキュリティアプライアンス(ASA)で必要なネットワークアドレス変換(NAT)設定を実装する方法について説明します。
ヒント:この導入は、NATリフレクションを使用したシングルNIC実装ではなく、Expressway-E実装に推奨されるオプションです。
次の項目に関する知識があることが推奨されます。
Cisco ASAの基本設定とNATの設定
Cisco Expressway-E および Expressway-C 基本設定
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェア バージョン 8.0 以降を実行する Cisco ASA 5500 および 5500-X シリーズ アプライアンス。
Cisco ExpresswayバージョンX8.0以降
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
注:ドキュメント全体では、ExpresswayデバイスをExpressway-EおよびExpressway-Cと呼びます。ただし、Video Communication Server(VCS)ExpresswayおよびVCS Controlデバイスにも同じ設定が適用されます。
設計により、Cisco Expressway-Eは非武装地帯(DMZ)またはインターネットに面したインターフェイスに配置でき、プライベートネットワーク内のCisco Expressway-Cと通信できます。Cisco Expressway-EをDMZに配置すると、次のような利点が得られます。
ヒント:TelePresence 実装の詳細については、『Cisco Expressway-E と Expressway-C - 基本設定導入ガイド』と『パブリック インターネットではなく DMZ への Cisco VCS Expressway の配置』を参照してください。
この図は、デュアルネットワークインターフェイスとスタティックNATを使用したExpressway-Eの展開例を示しています。Expressway-Cはトラバーサルクライアントとして機能します。ファイアウォールは2つあります(FW AとFWB)。 通常、このDMZ設定では、FW AはトラフィックをFW Bにルーティングできず、FW AのサブネットからFW Bのサブネットへのトラフィックの検証と転送には、Expressway-Eなどのデバイスが必要です(逆も同様)。
この導入は、次のコンポーネントから成ります。
DMZ サブネット 1 – 10.0.10.0/24
DMZ サブネット 2 – 10.0.20.0/24
LAN サブネット – 10.0.30.0/24
この実装の詳細:
Expressway-Eが両方のLANインターフェイスを使用するように設定されている場合、トラフィックが正しいインターフェイスに送信されるように、LAN1インターフェイスとLAN2インターフェイスを重複しないサブネットに配置する必要があります。
Advanced Networkingオプションを設定してExpresswayデバイスをクラスタリングする場合、各クラスタピアには独自のLAN1インターフェイスアドレスを設定する必要があります。さらに、[Static NAT mode] が有効になっていないインターフェイス上でクラスタリングが設定される必要があります。したがって、LAN2を外部インターフェイスとして使用することを推奨します。外部インターフェイスでは、必要に応じてスタティックNATを適用および設定できます。
IP 設定ページ上の外部 LAN インターフェイス設定は、どのネットワーク インターフェイスが Transversal Using Relays around NAT(TURN)を使用するかを制御します。 デュアルネットワークインターフェイスExpressway-E設定では、通常、これはExpressway-E外部LANインターフェイスに設定されます。
このシナリオでは、Expressway-E をデフォルト ゲートウェイ アドレス 10.0.10.1 に設定する必要があります。これは、LAN2 から送出されるすべてのトラフィックがデフォルトで IP アドレス 10.0.10.1 に送信されることを意味します。
FW Bが10.0.30.0/24サブネットから送信されたトラフィックをExpressway-E LAN1インターフェイス(Expressway-CトラバーサルクライアントトラフィックやTMSサーバ管理トラフィックなど)に変換すると、FWB外部インターフェイス(10.0.20.1)から送信されたトラフィックになりますトラフィックの明白な送信元が同じサブネットにあるため、1インターフェイス。
NATがFW Bで有効な場合、Expressway-CからExpressway-E LAN1に送信されたトラフィックは10.0.30.2から送信されます。Expresswayに10.0.30.0/24サブネットのスタティックルートが追加されていない場合、10.0.30.0/24が内部ファイアウォールののの背後にに存在FW B)。 そのため、スタティックルートを追加する必要があります。ExpresswayへのSSHセッションを介して、xCommand RouteAdd CLIコマンドを実行します。
この特定の例では、LAN1 インターフェイスを介して到達可能な FW B の背後にある 10.0.30.0/24 サブネットに到達できることを Expressway-E が認識する必要があります。これを行うには、次のコマンドを実行します。
xCommand RouteAdd Address: 10.0.30.0 PrefixLength: 24 Gateway: 10.0.20.1 Interface: LAN1
注: Sスタティックルートの設定は、Expressway-E GUIおよび[System/Network] > [Interfaces/Static Routes]のセクションを介して適用できます。
この例では、ゲートウェイ アドレス(10.0.20.1)が LAN1 経由でのみ到達可能であるため、Interface パラメータを Auto に設定することもできます。
NATがFW Bで有効にされておらず、Expressway-EがFW Bの背後にあるサブネット(10.0.30.0/24以外)内のデバイスと通信する必要がある場合は、これらのデバイス/サブネットにスタティックルートを追加する必要があります。
注:これには次のものが含まれます ネットワーク管理ワークステーションまたはNTP、DNS、LDAP/AD、SyslogなどのネットワークサービスからのSSHおよびHTTPS接続。
xCommand RouteAddコマンドと構文の詳細については、『VCS Administrator Guide』を参照してください。
このセクションでは、ASAでのExpressway-Eデュアルネットワークインターフェイス実装に必要なスタティックNATの設定方法について説明します。SIP/H323トラフィックを処理するための追加のASAモジュラポリシーフレームワーク(MPF)設定の推奨事項が含まれています。
この例では、IPアドレスの割り当てが次のアドレスです。
Expressway-C IP アドレス:10.0.30.2/24
Expressway-C デフォルト ゲートウェイ:10.0.30.1(FW-B)
Expressway-EのIPアドレス:
LAN2上:10.0.10.2/24
LAN1 上:10.0.20.2/24
Expressway-Eデフォルトゲートウェイ:10.0.10.1(FW-A)
TMS IP アドレス:10.0.30.3/24
このドキュメントの「背景説明」セクションで説明したように、FW-Aには、パブリックIPアドレス64.100.0.10のインターネットからExpressway-Eに到達できるスタティックNAT変換があります。最後の1つは、Expressway-E LAN2 IPアドレス10.0.10.2/24に変換されます。
ASA バージョン 8.3 以降の場合:
! To use PAT with specific ports range: object network obj-10.0.10.2
host 10.0.10.2
object service obj-udp_3478-3483 service udp source range 3478 3483 object service obj-udp_24000-29999 service udp source range 24000 29999 object service obj-udp_36002-59999 service udp source range 36002 59999 object service obj-tcp_5222 service tcp source eq 5222 object service obj-tcp_8443 service tcp source eq 8443 object service obj-tcp_5061 service tcp source eq 5061 object service obj-udp_5061 service udp source eq 5061 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_3478-3483 obj-udp_3478-3483 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_24000-29999 obj-udp_24000-29999 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_36002-59999 obj-udp_36002-59999 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_5222 obj-tcp_5222 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_8443 obj-tcp_8443 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_5061 obj-tcp_5061 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_5061 obj-udp_5061 OR ! To use with static one-to-one NAT: object network obj-10.0.10.2 nat (inside,outside) static interface
注意:スタティックPATコマンドを適用すると、ASAコマンドラインインターフェイス(CLI)で「ERROR:NAT unable to reserve ports」というメッセージが表示されます。 この後、ASAのxlateエントリをクリアします。そのためには、clearxlatelocal x.x.x.xコマンドを実行します。x.x.x.xはASAの外部IPアドレスに対応します。このコマンドは、このIPアドレスに関連付けられたすべての変換をクリアし、実稼働環境で慎重に実行します。
ASA バージョン 8.2 以前の場合:
! Static PAT for a Range of Ports is Not Possible - A configuration line is required per port. This example shows only when Static one-to-one NAT is used. static (inside,outside) interface 10.0.10.2 netmask 255.255.255.255
『Unified Communication:Expressway(DMZ)からパブリックインターネットへのドキュメント、Expressway-EがFW-Aで許可するために必要なTCPポートとUDPポートのリストを次の図に示します。
これは、FW-A外部インターフェイスのインバウンドとして必要なACL設定です。
ASA バージョン 8.3 以降の場合:
access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222 access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443 access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 access-list outside-in extended permit udp any host 10.0.10.2 lt 3484 access-list outside-in extended permit udp any host 10.0.10.2 gt 23999 access-list outside-in extended permit udp any host 10.0.10.2 lt 30000 access-list outside-in extended permit udp any host 10.0.10.2 gt 36001 access-list outside-in extended permit udp any host 10.0.10.2 lt 60000 access-list outside-in extended permit udp any host 10.0.10.2 eq 5061 access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061 access-group outside-in in interface outside
ASA バージョン 8.2 以前の場合:
access-list outside-in extended permit tcp any host 64.100.0.10 eq 5222 access-list outside-in extended permit tcp any host 64.100.0.10 eq 8443 access-list outside-in extended permit udp any host 64.100.0.10 gt 3477 access-list outside-in extended permit udp any host 64.100.0.10 lt 3484 access-list outside-in extended permit udp any host 64.100.0.10 gt 23999 access-list outside-in extended permit udp any host 64.100.0.10 lt 30000 access-list outside-in extended permit udp any host 64.100.0.10 gt 36001 access-list outside-in extended permit udp any host 64.100.0.10 lt 60000 access-list outside-in extended permit udp any host 64.100.0.10 eq 5061 access-list outside-in extended permit tcp any host 64.100.0.10 eq 5061 access-group outside-in in interface outside
このドキュメントの「背景説明」セクションで説明されているように、FW Bは、内部サブネット10.0.30.0/24をFW Bの外部インターフェイスに移動する際にIPアドレス10.0.20.1に変換するために、ダイナミックNATまたはPAT設定を必要とします。
ASA バージョン 8.3 以降の場合:
object network obj-10.0.30.0 subnet 10.0.30.0 255.255.255.0 nat (inside,outside) dynamic interface
ASA バージョン 8.2 以前の場合:
nat (inside) 1 10.0.30.0 255.255.255.0 global (outside) 1 interface
ヒント:必要なすべてのTCPポートとUDPポートでExpressway-Cが正常に動作し、FW Bで開いていることを確認します。このドキュメントの「Cisco Expressway IP Port Usage for Firewall Traversal(ファイアウォールトラバーサルのCisco Expressway IPIPIPIPIPIPIPIPIPIPIPIPIP))))」でIPPort)」
ここでは、設定が正常に機能しているかどうかを確認します。
ASA 上でパケット トレーサを使用して、Expressway-E スタティック NAT 変換が適切に機能することを確認できます。
FW-A#packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5222 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/5222 to 10.0.10.2/5222 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 13, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
FW-A# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 8443 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/8443 to 10.0.10.2/8443 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 14, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
FW-1# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5061 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/5061 to 10.0.10.2/5061 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 15, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 24000 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/24000 to 10.0.10.2/24000 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 16, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 36002 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/36002 to 10.0.10.2/36002 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 17, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
パケット キャプチャは、ASA 入力インターフェイスと ASA 出力インターフェイスの両方で取得可能です.
FW-A# sh cap capture capout interface outside match ip host 64.100.0.100 host 64.100.0.10 capture capin interface inside match ip host 64.100.0.100 host 10.0.10.2
TCP/5222 における 64.100.0.10 のパケット キャプチャ:
FW-A# sh cap capout 2 packets captured 1: 21:39:33.646954 64.100.0.100.21144 > 64.100.0.10.5222: S 4178032747:4178032747(0) win 4128 <mss 1460> 2: 21:39:35.577652 64.100.0.100.21144 > 64.100.0.10.5222: S 4178032747:4178032747(0) win 4128 <mss 1460> 2 packets shown FW-A# sh cap capin 2 packets captured 1: 21:39:33.647290 64.100.0.100.21144 > 10.0.10.2.5222: S 646610520:646610520(0) win 4128 <mss 1380> 2: 21:39:35.577683 64.100.0.100.21144 > 10.0.10.2.5222: S 646610520:646610520(0) win 4128 <mss 1380> 2 packets shown
TCP/5061 における 64.100.0.10 のパケット キャプチャ:
FW-A# sh cap capout 2 packets captured 1: 21:42:14.920576 64.100.0.100.50820 > 64.100.0.10.5061: S 2023539318:2023539318(0) win 4128 <mss 1460> 2: 21:42:16.992380 64.100.0.100.50820 > 64.100.0.10.5061: S 2023539318:2023539318(0) win 4128 <mss 1460> 2 packets shown
FW-A# sh cap capin 2 packets captured 1: 21:42:14.920866 64.100.0.100.50820 > 10.0.10.2.5061: S 2082904361:2082904361(0) win 4128 <mss 1380> 2: 21:42:16.992410 64.100.0.100.50820 > 10.0.10.2.5061: S 2082904361:2082904361(0) win 4128 <mss 1380> 2 packets shown
ASAによるパケットドロップは、ASA ASPキャプチャによってキャプチャされます。オプションallは、ASAがパケットをドロップした理由として考えられるすべての理由をキャプチャします。原因の疑いがある場合は、これを絞り込むことができます。ASAがこれらのドロップを分類するために使用する理由のリストについては、コマンドshow asp dropを実行します。
capture asp type asp-drop all
show cap asp
OR
show cap asp | i 64.100.0.10
show cap asp | i 10.0.10.2
ヒント:このシナリオでは、ASA ASPキャプチャを使用して、Expressway-Eの特定のTCPまたはUDPポートを開く必要があるACLまたはNAT設定のミスが原因でASAがパケットをドロップするかどうかを確認します。
ヒント:各ASAキャプチャのデフォルトバッファサイズは512 KBです。ASAによってドロップされるパケットが多すぎる場合、バッファは迅速に満たされます。バッファサイズは、バッファオプションを使用して増大することができます。
SIP/H.323インスペクションが、関連するファイアウォールで完全に無効になっていることを確認します。
Expressway-Eとの間でネットワークトラフィックを処理するファイアウォールで、SIPおよびH.323インスペクションを無効にすることを強く推奨します。SIP/H.323インスペクションが有効になっている場合、Expresswayの組み込みファイアウォール/NATトラバーサル機能に悪影響を及ぼすことが頻繁に見られます。
次に、ASAでSIPおよびH.323インスペクションを無効にする方法の例を示します。
policy-map global_policy class inspection_default no inspect h323 h225 no inspect h323 ras no inspect sip
デュアルネットワークインターフェイス/デュアルNICを備えたExpressway-Eを実装する別のソリューションは、Expressway-Eを実装し、ファイアウォールに単一のNICとNATリフレクション設定を実装することです。次のリンクでは、この実装に関する詳細を示します。VCS Expressway TelePresenceデバイス用のASAでのNATリフレクションの設定。
ヒント:VCS Expresswayの推奨される実装は、このドキュメントで説明されているデュアルネットワークインターフェイス/デュアルNIC VCS Expresswayの実装です。