VoIP_voIPOptions
次のセクションでは、VoIP の設定について説明します。
For general information on VoIP, see VoIP の概要.
Dell SonicWALL ネットワーク セキュリティ装置を VoIP 配置用に設定した場合、Dell SonicWALL 管理インターフェース内の基本ネットワーク設定がその基盤となります。この章は、ご利用のネットワーク環境に合わせて Dell SonicWALL ネットワーク セキュリティ装置が設定されていることを前提としています。
サポートされているインターフェース
VoIP 機器は、次の SonicOS ゾーンでサポートされます。
• 保護ゾーン (LAN、VPN)
• 非保護ゾーン (WAN)
• パブリック ゾーン (DMZ)
• 無線ゾーン (WAN)
– 帯域幅管理
– サービス品質
SonicOS の VoIP 構成設定値は「VoIP > 設定」このページは、一般設定、SIP の設定、および H.323 設定の 3 つの構成設定セクションに分かれています。
既定では、SIP クライアントは自身のプライベート IP アドレスを、SIP プロキシ宛てに送信される SIPセッション定義プロトコル (SDP) メッセージに使用します。SIP プロキシが SonicWALL のパブリック (WAN) 側に配置されていて、SIP クライアントがファイアウォールのプライベート (LAN) 側に配置されている場合、SDP メッセージは変換されないため、SIP プロキシは SIP クライアントに到達できません。
「SIP を有効にする」を選択すると、LAN (信頼済み) と WAN/DMZ (信頼されていない) 間のSIP メッセージが変換されます。SonicWALL で SIP 変換を実行したい場合、「SIP を有効にする」設定のチェックボックスをオンにする必要があります。SIP プロキシが SonicWALL セキュリティ装置のパブリック (WAN) 側にあって SIP クライアントが LAN 側にある場合、既定では SIP クライアントは自身のプライベート IP アドレスを、SIP プロキシ宛てに送信される SIP/セッション定義プロトコル (SDP) メッセージの中に埋め込み/使用します。つまり、これらの SIP メッセージおよび SDP メッセージは未変更のままになるため、SonicWALL 背後のクライアントにメッセージを返信する方法を SIP プロキシは認識できません。「SIP を有効にする」を選択すると、SonicWALL が各 SIP メッセージを検査してプライベート IP アドレスおよび割り当て済みポートを変更できるようになります。また、「SIP を有効にする」が選択されていると、SIP セッション コールを実行するために開いている必要のある RTP (リアルタイム転送プロトコル) ポートや RTCP (RTP 制御プロトコル) ポートを制御して開くこともできます。NAT で第 3 層のアドレスは変換されますが、第 7 層の SIP/SDP アドレスは変換されません。 このため、SIP メッセージを変換するには「SIP を有効にする」を選択する必要があります。
Tip 一般的には「SIP を有効にする」チェックボックスをオンにする必要があります (ただし、NAT トラバーサル ソリューションがほかに存在していて、そのソリューションを使うためにはこの機能を無効にする必要のある場合を除きます)。SIP 変換は双方向モードで機能します。 つまり、LAN から WAN に送出されたメッセージに対しても、その逆に WAN から LAN に送出されたメッセージに対しても変換が実行されます。
「SIP シグナル送信ポート上で SIP 以外のパケットを許可する」を選択すると、追加の独自メッセージで SIP シグナル送信ポートを用いるアプリケーション (たとえば、Apple iChat や MSN Messengerなど) を使用できるようになります。このチェックボックスがオンの場合、不適切または無効な SIP トラフィックを濫用した悪意のある攻撃に対してネットワークが開放されてしまうおそれがあります。このチェックボックスは、既定では無効になります。
SonicWALL がボイス通話の両行程を確認できる場合 (たとえば、LAN 上の電話が同じ LAN 上の別の電話と通話する場合)、「SIP Back-to-Back ユーザ エージェント (B2BUA) サポートを有効にする」設定を有効にする必要があります。この設定を有効にする必要があるのは、SIP プロキシ サーバを B2BUA として使用する場合だけです。
Tip SonicWALL がボイス通話の両行程を確認できない場合 (たとえば、通話先および通話受信元が WAN 上の各電話だけに限られる場合) は、「SIP Back-to-Back ユーザ エージェント (B2BUA) サポートを有効にする」設定を無効にして不要な CPU の使用を回避する必要があります。
「SIP シグナルのタイムアウト時間 (秒)」および「SIP メディアのタイムアウト時間 (秒)」で、通話のアイドル状態 (トラフィック交換のない状態) の許容時間数を定義します。この時間数の経過後は、SonicWALL により以降のトラフィックがブロックされます。通話は保留にされた場合、アイドル状態になります。「SIP シグナルのタイムアウト時間 (秒)」の既定の時間値は 1,800秒 (30 分) です。「SIP メディアのタイムアウト時間 (秒)」の既定の時間値は 120 秒 (2 分) です。
「追加で変換対象とする SIP シグナル UDP ポート (オプション)」設定が有効の場合、SIP シグナル トラフィックの搬送に使用される UDP ポートを標準以外のポートに指定変更することができます。SIP シグナル トラフィックは UDP ポート 5060 で搬送されるのが一般的ですが、市販 VOIP サービスによっては別のポート (たとえば 1560) を使用するものもあります。「追加で変換対象とする SIPシグナル UDP ポート」設定を使用すると、こうした標準以外のポート上でセキュリティ装置が SIP 変換を実行するようになります。
Tip Vonage の VoIP サービスには、UDP ポート 5061 が使用されます。
ステートフル H.323 プロトコルに対応したパケットのコンテンツを SonicWALL で検査/修正できるようにするには、「H.323 の設定」セクションの「H.323 を有効にする」を選択して「承諾」を選択します。H.323 パケット内の動的 IP アドレスとトランスポート ポートとのマッピング (信頼済みネットワーク/ゾーンおよび信頼されていないネットワーク/ゾーン内での H.323 通話相手どうしの通信に必要) も、SonicWALL によって実行されます。SonicWALL で H.323 固有処理の実行を省略する場合は、「H.323 を有効にする」を無効にしてください。
「ゲートキーパーからの着信通話のみ許可する」を選択すると、すべての着信通話がゲートキーパーの認証を受けます。認証に失敗した通話は、ゲートキーパーに拒絶されます。
「LDAP ILS サポートを有効にする」を選択すると、マイクロソフト ネットミーティング ユーザがインターネット上で特定のユーザを探して接続し、会議や共同作業を行うことができます。
「H.323 シグナル/メディア無動作時のタイムアウト (秒)」フィールドに、通話アイドル状態を許可する時間数を指定します。この時間数の経過後は、SonicWALL により以降のトラフィックがブロックされます。通話は保留にされた場合、アイドル状態になります。「H.323 シグナル/メディアのタイムアウト時間 (秒)」の既定の時間値は 300 秒 (5 分) です。
「デフォルト WAN/DMZ ゲートキーパー IP アドレス」フィールドの既定値は"0.0.0.0"です。このフィールドに既定の H.323 ゲートキーパー IP アドレスを入力すると、LAN ベースの H.323 機器がマルチキャスト アドレス"224.0.1.41"を使用して、ゲートキーパーを発見できるようになります。IP アドレスを入力しなかった場合は、LAN ベースの H.323 機器から送出されたマルチキャスト ディスカバリ メッセージに対して、設定済みマルチキャスト処理が施されます。
VoIP の最大の課題の 1 つは、IP ネットワーク上で高度な通話品質を保証することです。IP は遅延を許容する非同期データ トラフィックを主な処理対象として設計されていますが、VoIP は遅延とパケット損失に非常に敏感です。高品質なリアルタイム VoIP 通信を保証するには、アクセスの管理およびトラフィックの優先順位設定が重要な要件となります。
SonicWALL の統合帯域幅管理 (BWM) およびサービス品質 (QoS) 機能には、VoIP 通信の信頼性および品質を管理するためのツール群が提供されています。
SonicOS は、送信 (発信) /受信 (着信) 管理インターフェースを通して、統合トラフィック シェーピング メカニズムを提供しています。保護ゾーンおよびパブリック ゾーン (たとえば、LAN や DMZ) で発生し、信頼されていない暗号化ゾーン (たとえば、WAN や VPN) 宛てに送信されるトラフィックには、発信 BWM を適用できます。信頼されていない暗号化ゾーンで発生し、保護ゾーンおよびパブリック ゾーン宛てに送信されるトラフィックには、着信帯域幅管理を適用できます。
帯域幅管理を有効にすると、保証されている最大帯域幅をサービスに割り当て、すべての WAN ゾーン上のトラフィックの優先順位を設定できるようになります。アクセス ルールを使用すると、インターフェース単位で帯域幅管理を有効化できます。帯域幅管理が有効化されたポリシーに属しているパケットは、対応する優先キューに入れられた後、帯域幅管理が有効化された WAN インターフェースで送信されます。帯域幅管理を使用するアクセス ルールは、帯域幅管理を使用しないアクセス ルールよりも優先順位が高くなります。帯域幅管理なしのアクセス ルールには、最も低い優先順位が指定されます。
QoS に包括されているメソッドには、予測可能なネットワーク動作およびパフォーマンスの実現を意図したものが多数あります。ネットワーク予測可能性は、VoIP と他のミッション クリティカル アプリケーションにとって不可欠です。この種類の予測可能性は、帯域幅量の調整では実現されません。なぜなら、ネットワークにおいては帯域幅をどんなに増やしても任意の時点でその容量まで使い果たされる結果になるためです。QoS を正しく設定し実装することによってのみ、トラフィックを適切に管理し、望ましいレベルのネットワーク サービスを保証することが可能になります。
SonicOS には、業界標準の 802.1p および DiffServe コード ポイント (DSCP) クラス オブ サービス (CoS) 指示子の識別、マップ、変更および生成を可能にする QoS 機能が組み込まれています。
BWM の設定を開始するにはまず、BWM を関連する WAN インターフェース上で有効にし、そのインターフェースで利用可能な帯域幅を Kbps 単位で指定します。この操作は、WAN インターフェースの「設定」アイコンを選択し、「詳細」タブに移動して、「ネットワーク > インターフェース」ページから実行します。
送信および受信帯域幅管理は、WAN インターフェース上で一緒に、または別々に有効にできます。送信帯域幅と受信帯域幅に異なる帯域幅の値を入力して、非対称リンクをサポートすることができます。ファスト イーサネット インターフェースに対しては最大 100,000 Kbps (100 Mbit) のリンク速度を宣言できますが、ギガビット イーサネット インターフェースは最大 1,000,000 Kbps (1 ギガビット) のリンク速度をサポートします。指定する帯域幅には、リンクで利用可能な実際の帯域幅が反映されていなければなりません。リンクのオーバーサブスクライブ (使用可能な帯域幅を上回る値を宣言すること) はお勧めしません。
WAN インターフェース上で BWM 設定のどちらか一方または両方を有効にし、利用可能な帯域幅を宣言すると、アクセス ルールに「帯域幅」タブが表示されます。詳細については、以下のVoIP アクセス ルールの設定を参照してください。
Dell SonicWALL ネットワーク セキュリティ装置上で帯域幅管理を設定するには:
1. 「ネットワーク > インターフェース」を選択します。
2. インターフェーステーブルの「WAN」(X1) 行の「設定」列にある編集アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。
3. 「詳細」 タブを選択します。
4. 「送信帯域幅管理を有効にする」チェックボックスをオンにし、「利用可能な送信帯域幅 (Kbps)」フィールドに利用可能な帯域幅を入力します。
5. 「受信帯域幅管理を有効にする」チェックボックスをオンにし、「利用可能な受信帯域幅 (Kbps)」フィールドに利用可能帯域幅を入力します。
6. 「OK」を選択します。
既定では、SonicWALL のステートフル パケット検査によって、LAN からインターネットへの通信はすべて許可され、インターネットから LAN に送出されるトラフィックはすべて遮断されます。既定のアクセス ルールを拡張または指定変更する、追加のネットワーク アクセス ルールを定義することもできます。
WAN から VoIP サービス プロバイダを利用できるようにクライアントの VoIP アクセス許可を定義する場合は、ファイアウォール背後のクライアントによる VoIP 通話の送受信が許可されるように、送信元インターフェース/ゾーンと送信先インターフェース/ゾーンとの間のネットワーク アクセス ルールを設定してください。
Tip 着信 IP トラフィックを許可する個別ルールは作成可能ですが、SonicWALL は、SYN フラッドや Ping of Death 攻撃などのサービス妨害 (DoS) 攻撃に対する保護は無効にしません。
Note ネットワーク アクセス ルールに帯域幅管理を設定する前に、WANインターフェースの「ネットワーク > インターフェース」ページで「帯域幅管理」を選択しておく必要があります。
Dell SonicWALL ネットワーク セキュリティ装置で VoIP トラフィックに対するアクセス ルールを追加するには:
1. 「ファイアウォール > アクセス ルール」ページに移動します。
2. 「表示形式」で、「すべてのルールを表示」を選択します。
3. 「アクセス ルール」テーブルの下部にある「追加」を選択します。「ルールの追加」ウィンドウが表示されます。
「一般」タブで、「動作」リスト内でトラフィックを許可するものについて「許可」を選択します。
5. 「送信元ゾーン」メニューおよび「送信先ゾーン」メニューからそれぞれ送信元と送信先ゾーンを選択します。
6. 「サービス」リストから、アクセス ルールに影響されるサービスまたはサービスのグループを選択します。
– H.323 に関しては、次のいずれかを選択するか、または「グループの作成」を選択し、次のサービスのいずれかをグループに追加します。
• H.323 コール シグナリング
• H.323 ゲートキーパー ディスカバリ
• H.323 ゲートキーパー RAS
– SIP に関しては、「SIP」を選択します。
7. 「送信元」リストから、アクセス ルールに影響されるトラフィックの送信元を選択します。「ネットワークの作成」を選択すると、「アドレス オブジェクトの追加」ウィンドウが表示されます。
特定のユーザによるインターネット アクセスを制限するなどのアクセス ルールの影響を受ける送信元 IP アドレスを定義するには、「タイプ:」プルダウン メニューで「範囲」を選択します。「開始アドレス:」フィールドおよび「終了アドレス」フィールドにそれぞれ、最小 IP アドレスと最大 IP アドレスを入力します。
9. 「送信先」リストから、アクセス ルールに影響されるトラフィックの送信先を選択します。「ネットワークの作成」を選択すると、「アドレス オブジェクトの追加」ウィンドウが表示されます。
10. 「許可するユーザ」メニューから、アクセス ルールに影響されるユーザまたはユーザのグループを追加します。
11. VoIP へのアクセスを特定の時間帯に限り許可する場合は、「スケジュール」メニューからスケジュールを選択します。既定のスケジュールは「常に有効」です。「システム > スケジュール」ページで、スケジュール オブジェクトを指定できます。
12. 「コメント」フィールドに、アクセス ルールの識別に有効な任意のコメントを入力します。
13. 「帯域幅」タブを選択します。
14. 「帯域幅管理」を選択し、「保証された帯域幅」を Kbps 単位で入力します。
15. 「最大帯域幅」フィールドに、そのルールで常時利用できる最大帯域幅量を入力します。
16. 「帯域幅優先順位」リストで、0 (最大) から 7 (最低) までの優先順位を割り当てます。VoIP の通話品質を高めるためには、VoIP トラフィックに高い優先順位を割り当てるようにします。
Tip 帯域幅管理を使用したルールは、帯域幅管理のないルールよりも優先順位が高くなります。
「ログ > 種別」ページでは、VoIP イベントのログ記録を有効にできます。ログ エントリは「ログ > 表示」ページに表示されます。
ログ採取を有効にするには:
1. 「ログ > 種別」ページに移動します。
2. 「ログ種別」セクションの「表示形式」メニューから「拡張された種別」を選択します。
3. テーブル内の「VoIP (VOIP H.323/RAS、H.323/H.225、H.323/H.245 動作)」エントリを探します。
4. 「ログ > 表示」ページで、「ログ」を選択すると、VoIP ログ イベントの出力が有効になります。
5. 「警告」を選択すると、対象の種別に関する警告が発信されるようになります。
6. 「Syslog」を選択すると、SonicWALL のシステム ログにログ イベントが取り込まれるようになります。
7. 「適用」を選択します。