セキュリティ : Cisco NAC アプライアンス(Clean Access)

Clean Access Server に関する FAQ

2006 年 2 月 2 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 10 月 13 日) | フィードバック

質問

概要
Clean Access Server の DHCP サービスが再起動しなかったり、時々停止したりします。どうすればよいですか。
Cisco Clean Access Server ネットワーク インターフェイス カードのデュプレックスおよび速度はどのように設定すればよいですか。
一定の非アクティブ時間の後にデバイスをシステムからログオフさせるように、ハートビート タイマーを設定しました。イベント ログには、デバイスへ ping できないことが示されているのに、デバイスはトラフィックの受け渡しを続けます。どうすれば修正できますか。
Cisco Clean Access Server でネットワーク インターフェイス カード(NIC)のデュプレックスと速度はどうすれば確認できますか。
Cisco Clean Access Manager(旧名称 SmartManager)が Cisco Clean Access Server をタイム アウトにして、「SecureSmart 2004-08-26 12:26:42 192.168.1.1 にアクセスできない」とうメッセージを表示するまでにどのくらい時間がかかりますか。
一定の非アクティブ時間の後にデバイスをシステムからログオフさせるように、ハートビート タイマーを設定しました。イベント ログにはデバイスへ ping できないことが示されているのに、デバイスはトラフィックの受け渡しを続けます。どうすれば修正できますか。
Cisco Clean Access Server のネットワーク インターフェイス カード(NIC)を変更すると、どんな影響がありますか。
Dell 1750 またはその他の LSI SCSI ドライバはどうすればインストールできますか。
Broadcom ドライバはどのように設定すればよいですか。
Cisco Clean Access Server を NAT ゲートウェイの背後に設定するにはどうすればよいですか。
/var/log/messages や /var/log/ha-log messages にフェールオーバーのハートビート メッセージが複数あります。原因と修正方法を教えてください。
Clean Access DHCP サーバから IP アドレスを取得できるのに、その後、外部アドレスへのブラウザを開こうとすると「Page Not Found」メッセージが表示されます。Web のログイン ページへどうしてもリダイレクトされません。なぜですか。
Clean Access サーバを追加できないというエラー メッセージが出るのはなぜですか。
障害のある Cisco Clean Access Server を交換した後、何か更新が必要ですか。
Cisco Clean Access Server 1 台あたりにサポートされる VPN 接続はいくつありますか。
Cisco Clean Access Server の IP アドレスはどうすれば変更できますか。Cisco Clean Access Server を一度削除してから、追加し直す必要がありますか。
SSH アクセスを Cisco Clean Access Server に限定するにはどうすればよいですか。
Bandwidth Burst 設定はどうすれば機能しますか。
『Clean Access Server インストレーションおよび管理ガイド リリース 3.3 ベータ』の 68 ページに、Clean Access Server 1 台あたりの最大サブネット数は 1000 が推奨されると書いてあるのを読みました。1000 以上のサブネットを作成する必要があります。この制限は何ですか。
Clean Access Server によって管理される特定の VLAN 内のアクセス ポイントのバッチを管理するにはどうすればよいですか。アクセス ポイントを Access Point Device Management に追加しています。
各 VLAN にセカンダリ(場合によっては複数のセカンダリ)サブネットがあります。150 のサブネットはクライアント用であり、172 のサブネットはビル内のネットワーク機器管理用です。Clean Access Server は 1 つの VLAN で複数のサブネットを取り扱えますか。
イベントログに「Clean Access Server 2004-08-30 11:30:28 192.168.151.60 System Stats:Load factor 0 (max since reboot:3) Mem:261160960 237854720 23306240 212992 47259648 99737600 cpu 188552 153 91405324 194183」というメッセージが表示されます。これはどういう意味ですか。
イベント ログに、Authentication 2004-11-01 15:53:40 Server communication error, [00:0E:35:5F:F9:91 ## 172.19.168.42] bart and Authentication 2004-11-01 15:53:13 Server communication error, [00:0E:35:5F:F9:91 ## 172.19.168.42] bart errors が表示されます。どうすれば修正できますか。
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco Clean Access Server (旧名称 Perfigo SecureSmart Server)に関する FAQ について記述します。

製品名は変更されました。次の表に、新名称と旧名称を示します。

旧名称 新名称
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Q.Clean Access Server の DHCP サービスが再起動しなかったり、時々停止したりします。どうすればよいですか。

A. Clean Access Server では、DHCP の設定は「コンパイル」されます。コンパイルされた設定が破損することがあり、特に Clean Access Server ソフトウェアへアップグレードした後に起こります。解決策としては、Clean Access Server でこの設定を強制的に再コンパイルします。これを行うには、変更を行ってから [update] をクリックします。

症状:

DHCP サーバが Clean Access Server 上で起動しなかったり、時々障害が発生したりします。

手順

  1. サーバの dhcp デーモンが起動しない場合は、マネージャから問題のサーバを開き、[manage] をクリックします。
  2. [Network] > [DHCP] > [Subnet List] を選択し、サブネット リストの 1 つで [edit] をクリックします。
  3. サブネットに変更を加え(たとえば、リース タイムを 1 分増やす)、[update] をクリックします。
  4. ステータス ページに戻り、DHCP サービスが起動しているか確認します。この時点で、DHCP 設定は再コンパイルされているはずです。

注:  DHCP サーバが起動しないもう 1 つのケースとして、サブネット設定がオーバーラップしている場合もあります。これについても調べます。

Q. Cisco Clean Access Server ネットワーク インターフェイス カードのデュプレックスおよび速度はどのように設定すればよいですか。

A. /etc/modules.conf ファイルで適切なネットワーク インターフェイス カードを設定するには、次のことをガイドとして使用してください。

注:  vi エディタで /etc/modules.conf ファイルを使用する場合は、最後にオプション パラメータを付けます。

  • Broadcom 5700 カードを 100 Mbps 全二重に設定します。
      options bcm5700 line_speed=100,100 auto_speed=0,0 duplex=1,1
      
  • Broadcom 5700 カードを 1000 Mbps 全二重に設定します。
      options bcm5700 line_speed=1000,1000 auto_speed=0,0 duplex=1,1 
      
  • e1000 カードを 100 Mbps 全二重に設定します。
      options e1000 Speed=100,100 Duplex=2,2
      
  • e1000 カードを 1000 Mbps 全二重に設定します。
      options e1000 Speed=1000,1000 Duplex=2,2
      
  • eepro100 カードを 100 Mbps 全二重に設定します。
      options eepro100 option="0x30,0x30"
      

Q. 一定の非アクティブ時間の後にデバイスをシステムからログオフさせるように、ハートビート タイマーを設定しました。イベント ログには、デバイスへ ping できないことが示されているのに、デバイスはトラフィックの受け渡しを続けます。どうすれば修正できますか。

A. これはエラーの例です。

  Authentication  2004-08-26 12:13:48  
  Unable to ping 149.151.206.251, going to logout user user1

デバイスに Cisco Clean Access Server からの ARP パケットをブロックするビルトインのファイアウォールがないか確認します。Cisco Clean Access Server は ARP ping を行います。これは ARP メッセージなのでブロックすべきでありません。

Q. Cisco Clean Access Server ネットワーク インターフェイス カード(NIC)のデュプレックスと速度はどうすれば確認できますか。

A. コマンド ラインから mii-tool ユーティリティを実行します。このユーティリティはオンボード NIC では機能しますが、ファイバ NIC はサポートしません。

ファイバ NIC の場合は、/var/log/messages で grep 'eth0' コマンドを使用します。

また、/var/log/messages で tail -f コマンドを発行することもできます。こうすると、NIC がアクティブまたは非アクティブになるたびにメッセージが表示されます。

Q. Cisco Clean Access Manager(旧名称 SmartManager)が Cisco Clean Access Server をタイム アウトにして、「SecureSmart 2004-08-26 12:26:42 192.168.1.1 にアクセスできない」とうメッセージを表示するまでにどのくらい時間がかかりますか。

A. Cisco Clean Access Manager が各 Cisco Clean Access Server をタイムアウトにし、「Not Connected」ステータスを表示するまでには 3 分間かかります。

Q. 一定の非アクティブ時間の後にデバイスがシステムからログオフさせるように、ハートビート タイマーを設定しました。イベント ログにはデバイスへ ping できないことが示されているのに、デバイスはトラフィックの受け渡しを続けます。どうすれば修正できますか。

A. シリアル ポートがフェールオーバー接続用に設定されていることを確認します。

Cisco Clean Access Server ソフトウェアが稼動するコンピュータに 2 つのシリアル ポートがある場合は、追加のポートをシリアル ケーブル接続に使用できます。デフォルトでは、サーバで最初に検出されるシリアル コネクタがコンソール入出力用(インストールや他の管理上のアクセスを行うためのもの)として設定されます。コンピュータに 1 つしかシリアルポート(ttyS0)がなく、それを管理上のアクセスに使用しない場合は、そのポートをフェールオーバー接続用に再設定できます。

ttyS0 をハートビート接続として再設定するには、次の手順を行います。

  1. SSH クライアントから、ルート ユーザとして Cisco Clean Access Server にアクセスします。
  2. /etc/lilo.conf を編集し、最後の行を削除またはコメント アウトします。
    append="console=ttyS0....."
    この行は、コンソールの出力をシリアル ポートにリダイレクトさせます。

    注: 行をコメント アウトするには、その行の先頭に # を付けます。この文字で始まる行は無視されます。

  3. /etc/inittab を編集し、最後の行を削除またはコメント アウトします。
    co:2345:respawn ...vt100
    この行は、ログイン ターミナルをシリアル ポートで起動させます。
  4. コマンド プロンプトで「lilo」と入力し、[Enter] キーを押します。これにより、Linux ブート ローダである Lilo が起動します。
  5. コンピュータを再起動するため、reboot コマンドを入力します。
  6. フェールオーバー ピアの、Cisco Clean Access Server でこの手順を繰り返します。

Q. Cisco Clean Access Server のネットワーク インターフェイス カード(NIC)を変更すると、どんな影響がありますか。

A. 非サイト ライセンスの場合、MAC アドレスの変更をシスコのテクニカルサポートへ連絡する必要はありません。Clean Access Server の数が変更される場合にだけ、シスコのテクニカルサポートへの連絡が必要です。サイト ライセンスをお持ちの場合は、シスコのテクニカルサポートへの連絡は必要ありません。

Q. Dell 1750 またはその他の LSI SCSI ドライバはどうすればインストールできますか。

A.次の手順を実行します。

  1. rawrite ファイルを C:\ および LSI ドライバに保存します。ファイルを同じディレクトリで更新します。
  2. コマンド プロンプトを開き、C:\rawrite と入力します。
  3. ソース ファイルのフルネームと、2 つのフロッピー ディスクの宛先を入力します。
  4. Clean Access Manager Machines(旧名称 CleanMachines)インストール CD を Cisco Clean Access Server または Cisco Clean Access Manager に挿入します。
  5. boot> プロンプトで、「custom」と入力します。
  6. 指示にしたがって アップデート ディスク、続いてドライバ ディスクを入力します。

Q. Broadcom ドライバはどのように設定すればよいですか。

A. 次の手順を行います。

  1. ボックスにコンソール接続します。
      cd /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700
      insmod ./bcm5700.o
  2. ステップ 1 でエラーが出なければ、vi /etc/modules.conf コマンドを入力して次の 2 行を追加します。
      alias eth0 bcm5700
      alias eth1 bcm5700

Q. Cisco Clean Access Server を NAT ゲートウェイの背後に設定するにはどうすればよいですか。

A. NAT ゲートウェイの背後に配備される各 Cisco Clean Access Server に対し、次の手順を行います。

  1. SecureSmart サーバへの SSH またはシリアル コンソールを使用して、ルートとしてログインします。
  2. /perfigo/access/bin/starttomcat ファイルを編集します。
  3. CATALINA_OPTS 変数行に「-Djava.rmi.server.hostname=<CAS_hostname>」を追加します。
  4. service perfigo restart を再始動します。
  5. SmartManager への SSH またはシリアル コンソールを使用して、ルートとしてログインします。
  6. /etc/hosts ファイルを編集して、次の行を追加します。

    <public_IP_address>  <securesmart_hostname> <securesmart_hostname> 

Q. /var/log/messages または /var/log/ha-log messages にフェールオーバーのハートビート メッセージが複数あります。原因と修正方法を教えてください。

A. 表示されるハートビート メッセージは次のようなものです。

  heartbeat: 2004/09/15_11:23:27 info: Heartbeat restart on node ss1
  heartbeat: 2004/09/15_14:19:17 info: Heartbeat restart on node ss1
  heartbeat: 2004/09/15_18:59:53 info: Heartbeat restart on node ss1
  heartbeat: 2004/09/15_19:36:18 info: Heartbeat restart on node ss1

これらのメッセージは、ピア サーバがリブート後アップになっているときに表示されます。次の場合、プライマリ サーバのログにも表示されることがあります。

  • ピアまたはスタンバイ マシンで service perfigo stop、続いてservice perfigo start を発行する。または、
  • ピアまたはスタンバイ マシンをリブートする。

注: service perfigo restart コマンドを発行すると、このログはトリガーされません。

Q. Clean Access DHCP サーバから IP アドレスを取得できるのに、その後、外部アドレスへのブラウザを開こうとすると「Page Not Found」メッセージが表示されます。Web のログイン ページへどうしてもリダイレクトされません。なぜですか。

A. 次の問題のどれかが起こっている可能性があります。

Q. Clean Access サーバを追加できないというエラー メッセージが出るのはなぜですか。

A. 次のことを確認してください。

  • Cisco Clean Access Server と Cisco Clean Access Manager の共有秘密が同じである。
  • 証明書が正しい。
  • Cisco Clean Access Server と Cisco Clean Access Manager の接続性、および RMI ポートをブロックするファイアウォール規則がない。

Q. 障害のある Cisco Clean Access Server を交換した後、何か更新が必要ですか。

A. 場合によっては、ss_key が異なっていることがあります。次の手順を実行します。

  1. Cisco Clean Access Manager へ SSH して、ss_key を取得します。
  2. psql -h 127.0.0.1 -U postgres controlsmartdb コマンドを発行します。
  3. securesmart_info から * を選択します。
      ss_key                | ss_group |     ss_type      |   ss_ip   | ss_loc
       00_40_33_60_43_D2_04_54_48_55_66_D5 |    | standard_gateway | 10.0.0.1 |
  4. Cisco Clean Access Server へ SSH して、ss_key を取得し、更新します。
  5. [root@securesmart etc]# cat /etc/.GUSSK コマンドを発行します。

      [root@securesmart etc]# cat /etc/.GUSSK
      00_30_48_80_43_D6_00_30_48_80_43_D5
  6. /etc/.GUSSK を編集し、Clean Access Manager の ss_key を使用してこれを更新します。
  7. リブートを実行します。

Q. Cisco Clean Access Server 1 台あたりにサポートされる VPN 接続はいくつありますか。

A. IPsec に関しては、制限はありません。

PPTP および L2TP は、現在 1 サーバにつき 32 トンネルに設定されています。

Q. Cisco Clean Access Server の IP アドレスはどうすれば変更できますか。Cisco Clean Access Server を一度削除してから、追加し直す必要がありますか。

A. Cisco Clean Access Server の IP アドレスは、Cisco Clean Access Manager の UI から変更することをお勧めします。Cisco Clean Access Server の IP アドレスを Manager の UI から変更する場合は、Cisco Clean Access Manager をリブートします。リブート時に、Cisco Clean Access Server は自動的に Cisco Clean Access Manager に接続しようとします。Cisco Clean Access Manager はデータベース内の Cisco Clean Access Server の IP アドレスを変更しますが、SSKEY は同じです。

注:  Cisco Clean Access Server を削除してから追加し直すと、Cisco Clean Access Server のすべての構成設定が失われます。

Q. SSH アクセスを Cisco Clean Access Server に限定するにはどうすればよいですか。

A. /etc/ssh/sshd_config ファイルを変更するため、次の例のような行を追加します。

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

次に例を示します。

ListenAddress 192.168.151.60 

SSHD プロセスを再起動するため、service sshd restart コマンドを発行します。

Q. Bandwidth Burst 設定はどうすれば機能しますか。

A. CleanMachines で [Windows All] のチェックをはずし、各 OS で個別に [Require Use of SmartEnforcer] を選択または選択をはずします。

ca-mgr-faq-3.gif

Q. 『Clean Access Server インストレーションおよび管理ガイド リリース 3.3 ベータ』の 68 ページに、Clean Access Server 1 台あたりの最大サブネット数は 1000 が推奨されると書いてあるのを読みました。1000 以上のサブネットを作成する必要があります。この制限は何ですか。

A. 1000 という制限は単なる警告です。マシンに十分な(1G を超える)メモリがあれば、2500 までのサブネットを設定することができます。

Q. Clean Access Server によって管理される特定の VLAN 内のアクセス ポイントのバッチを管理するにはどうすればよいですか。アクセス ポイントを Access Point Device Management に追加しています。

A. アクセス ポイントの MAC アドレスを、Access Point Device Management セクションではなく [Filters] > [Devices] エリアに追加します。

Q. 各 VLAN にセカンダリ(場合によっては複数のセカンダリ)サブネットがあります。150 のサブネットはクライアント用であり、172 のサブネットはビル内のネットワーク機器管理用です。Clean Access Server は 1 つの VLAN で複数のサブネットを取り扱えますか。

A. この問題の例を次に示します。

  ! 
    interface Vlan 106 
     ip address 150.135.47.1 255.255.255.0 
     ip address 172.16.10.1 255.255.255.192 secondary
    ! 

Clean Access Server が仮想ゲートウェイ モードにある場合:

  • この場合、Clean Access Server はサブネットの数やそれらに関連付けられている VLAN タグを確認しません。VLAN の情報は、例外なくすべて通過します。

Clean Access Server がゲートウェイ(実際の IP または NAT)モードにある場合:

  • この場合、Clean Access Server は DHCP リレーまたは DHCP サーバのどちらとしても機能します。どちらの場合も、割り当てられる IP アドレスの範囲は VLAN タグやゲートウェイ アドレスによって異なり、ゲートウェイ アドレスも VLAN タグによって異なります。したがって、Clean Access Server は同じ VLAN にある 2 つのサブネットを(DHCP の観点から)区別できません。1 つの制約として、同じ VLAN にある 2 つのサブネットのうち 1 つは、アドレスの割り当てに DHCP を使用すべきではありません。代わりに、静的に IP アドレスを割り当てる必要があります。ネットワーク内の 172 サブネットはネットワーク機器で構成されるため、これに当てはまると考えられます。

Q. イベントログに「Clean Access Server 2004-08-30 11:30:28 192.168.151.60 System Stats:Load factor 0 (max since reboot:3) Mem:261160960 237854720 23306240 212992 47259648 99737600 cpu 188552 153 91405324 194183」というメッセージが表示されます。これはどういう意味ですか。

A. デフォルトとして、Clean Access Manager が管理する各 Clean Access Server のシステム統計は 1 時間ごとに作成されます。レポートされる情報には、各サーバの負荷係数、リブート以降の最大負荷、メモリ、および CPU 使用状況が含まれます。

  • Load Factor— 負荷係数は、サーバによって処理されるのを待っているパケットの数を表す数字です(たとえば、Clean Access Server が処理する現時点の負荷)。負荷係数が高ければ、処理待ちのパケットがキューになっています。一定期間(たとえば 5 分間)、負荷係数が 500 を超える場合、Clean Access Server は着信トラフィック/パケットで恒常的に高負荷の状態にあるといえます。数字が 500 以上になったら注意する必要があります。
  • Max since reboot— 任意の時点でキューの中に含まれるパケット数の最大値(たとえば、Clean Access Server が処理する最大負荷)。
  • Mem— メモリ使用状況の統計。6 つの数字があります(単位はバイト)。これらの数字は合計メモリ、使用メモリ、空きメモリ、共有メモリ、バッファ メモリ、およびキャッシュ メモリを表します。
  • CPU— ハードウェアにおけるプロセッサの負荷。CPU の使用状況を示す数字は 4 つあります(ほとんどのシステムで単位はjiffies、1 jiffies は時間単位で 10 ms)。これらの数字は、ユーザ プロセス、ナイス プロセス、システム プロセス、およびアイドル プロセスのシステム使用時間を示します。

例では、system % = 91405324*100/(188552+153+91405324+194183) = 99.58% です。ほかの使用時間も同様に計算することができます。ただし、Clean Access Server では通常システム時間が 90% を超えます。これは健全なシステムを示します。

Q. イベント ログに、Authentication 2004-11-01 15:53:40 Server communication error, [00:0E:35:5F:F9:91 ## 172.19.168.42] bart and Authentication 2004-11-01 15:53:13 Server communication error, [00:0E:35:5F:F9:91 ## 172.19.168.42] bart errors が表示されます。どうすれば修正できますか。

A. 仮想ゲートウェイ モードでフェールオーバー Clean Access Server を実行している場合は、vi /etc/hosts ファイルを編集し、SS-1(Clean Access Server)のアドレスを Service IP(仮想アドレス)に変更します。アクティブとスタンバイ、両方の Clean Access Server を変更する必要があります。

  • 127.0.0.1 localhost localhost
  • 192.168.1.2 SS-1 SS-1

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63594