×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

NAPT環境での H.323 ビデオスタンドアロン WebEx 接続

ドキュメント

2017/03/09 - 03:49
3月 9th, 2017
User Badges:
  • Cisco Employee,

はじめに


社内のセグメントに設置されたCisco TelePresence ビデオエンドポイントを社内から社外に接続する場合下記の3つの方法が考えられます。


1. Cisco Expressway などエッジインフラを利用する

2. Cisco Spark サービスに登録する (CE8以降)

3. スタンドアロン H.323 を利用する


セキュリティを考慮すると1または2が推奨ですが、さまざまな理由により 3 で展開されるケースがあります。


3 のケースの場合、アドレスの割り当て方には3つのケースがあります。


3.1 Global IP Addressを端末に設定する

3.2 Private IP Address を端末に設定し、Global IP Address に 1:1 でマッピングする(1:1 NAT)

3.3 Private IP Address を端末に設定し、Global IP Address に N:1 でマッピングする

(NAT/NAPT/PAT/IPマスカレードなどさまざまな呼び方あり)


3.1は簡単ですが、さまざまな攻撃及び攻撃の踏み台にされる可能性があります。旧式のビデオ会議装置のデザインでは見かける構成ですが、セキュリティを考慮するのであれば避けるべきです。この構成が必要な場合はルータのアクセスリストなど、別のレイヤーでアクセスを制限する必要があります。

3.2は端末の設定と組み合わせることで可能です。Cisco TelePresence エンドポイントだと

- 端末IPアドレスは固定Private IP Address、ルータには固定Global IP Address であること

- Setup - H323 - NAT を ON にし、AddressにGlobal IP アドレスを記載すること

- ルータで 1:1 NATを設定すること

この3段階で設定完了です。


3.3 は割り当てられた Global IP Addressをビデオ端末以外の用途にも利用可能です。

ここでは、3.3の設定の仕方を解説します。


NAPT とビデオ端末動作

H.323/SIP をスタンドアロンで動作させた場合、端末は相手端末に対し自身のIP Address と Port 番号を伝えます。

NAPT 装置が含まれる場合は WebEx はどこにメディアを流して良いのかがわからず接続できません.




前提条件

ここからの解説は、 WebEx に発信する場合を考えます。

シグナリングについて着信を考えなくて良いのであれば、必ず端末からTCPで接続が開始されるため、ポートフォワーディングの設定は不要です。着信を考えるのであれば必要です。

メディアについては最低96個のポート番号を端末のレンジに割り当て、このポート番号を端末に到達できるように1:1でマッピングしてあげる必要があります。



解決方法 1: Cisco IOS FIX Up の場合

ルータでのNAT 変換時に FIX Upコマンド


ip nat service H225

がデフォルトで入っているため、こちらでFix Up を実施します。ただし、他社製端末やシスコ製端末でもバージョンによっては動作しない場合があります。また、逆に端末側の NAT 設定を利用する場合、このコマンドが不要ですので

no ip nat service H225

を忘れずに入れてください。

解決方法 2: Cisco IOS FIX Up なし の場合

通常のNAPT 設定、

no ip nat service H225

access-list 1 permit 192.168.0.0 0.0.0.255

ip nat inside source list 1 interface GigabitEthernet0/0 overload

interface GigabitEthernet0/0

 ip address Global IP Address

 ip nat outside

interface GigabitEthernet0/1

 ip address 192.168.0.1 255.255.255.0

 ip nat inside

を設定することで、端末のPort 番号が維持されたまま、IP アドレスが変換されるため接続可能です。

他サービスが端末のメディア用Port番号を利用する可能性がある場合、

ip nat inside source static udp 192.168.0.65 2326 Global IP 2326 extendable

ip nat inside source static udp 192.168.0.65 2327 Global IP 2327 extendable

...

ip nat inside source static udp 192.168.0.65 2327 Global IP 2422 extendable

 

のようにメディアのポートをStaticに記載します。

解決方法 3: YAMAHA RT シリーズの場合

NAT/NAPT の実装は各社さまざまです。 Cisco IOS の場合はデフォルトでできるだけ端末の Port 番号を維持しますが、YAMAHA RT シリーズの場合プールされたポート番号に付け替えます。

参考 : YAMAHA RT シリーズ NATディスクリプター機能 概要

これを防ぐには、 Cisco IOS の Static と同様に静的 IP マスカレードの設定が必要です。

nat descriptor masquerade static 200    1       192.168.100.3 udp       2326

nat descriptor masquerade static 200    2       192.168.100.3 udp       2327

--

nat descriptor masquerade static 200    96      192.168.100.3 udp       2421

nat descriptor masquerade static 200    97      192.168.100.3 udp       2422

複数台の端末が存在する場合は96 個ずつ Static にPort番号をずらし別IP Address にマッピングします。

参考 :解決方法2/3 CE8 側設定


IP Address: 固定Private IPアドレス

DNS設定:必要

Setup-H323


  • CallSetup Mode: Direct
  • NAT
    • Address: Global IP Address
    • Mode: On

NetworkServices

  • H323: On

RTP

  • Port を指定。96個必要。端末が複数存在する場合は被らないように設定

Conference

Protocol: H323

Auto など他設定の場合 h323: xxx@site.webex.com で発信

Loading.

アクション

このドキュメントについて