セキュリティ : Cisco NAC アプライアンス(Clean Access)

既存のアウトオブバンド NAC への NAC Profiler の導入

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この導入ガイドでは、アウトオブバンド(OOB)のキャンパス導入内に Cisco NAC Profiler Server と Cisco NAC Profiler Collector(Cisco NAC アプライアンス Clean Access Server にある)を実装する方法について説明します。 この資料はどのように最もよい導入を既存の OOB 高可用性の NAC 配備の Cisco NAC Profiler 記述したものです。 Cisco NAC アプライアンスによって統合 Cisco NAC Profiler ソリューションの基本的な機能およびトポロジーを理解するのを助けることを意図します。 それはまたすべての NAC なしのデバイスについてのエンドポイント情報が収集装置からプロファイラー サーバにどのように送られるか理解するのを助けます。 ソリューションの目標はエンドポイントをプロファイルし、適切なポリシーを適用するために Cisco NAC アプライアンス Clean Access Manager (CAM)のデバイス フィルター リストへ追加することです。

前提条件

要件

各製品のためのインストールおよびコンフィギュレーション ガイドに従って最初に Cisco NAC マネージャ、Cisco NAC サーバおよび Cisco NAC Profiler 設定して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • NAC マネージャ(192.168.96.10 HA サービス IP)

  • NAC サーバ(192.168.97.10 HA サービス IP)

  • NAC プロファイラー(192.168.96.21)

  • 3560 アクセス スイッチ(192.168.100.35)

  • 3750 ディストリビューションスイッチ(192.168.97.1)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

NAC プロファイラー外観

効率的に適切なネットワーク アクセスを確認し、維持するためにすべての付属のネットワーク エンドポイントの機能の識別、位置および、デバイスの種類に関係なく展開し、どうにかして Cisco NAC Profiler 有効ネットワーク管理者判断によってさまざまなスケールおよび複雑な状況のエンタープライズ ネットワークのネットワーク アドミッション コントロール(NAC)を。 検出する Cisco NAC Profiler はシステム、カタログおよびプロファイル エージェントなしのエンドポイントのプロファイルの特定のタスクとネットワークに接続されるすべてのエンドポイントです。

NAC 外観

Cisco Network Admission Control (NAC)アプライアンス(別名 Cisco Clean Access)は強力で、使いやすいアドミッション制御および準拠性適用ソリューションです。 広範囲のセキュリティ機能によって、インバンドかアウトオブバンド デプロイメントオプション、ユーザ認証ツールおよび帯域幅およびトラフ ィック フィルタリング制御は、Cisco NAC アプライアンス ネットワークを制御し、保護する完全なソリューションです。 ネットワークのための中央アクセス 管理ポイントとして、Cisco NAC アプライアンス多くのデバイスのネットワーク全体のポリシーを伝搬させなければならないかわりにセキュリティを、1 インポートのアクセスおよび準拠性ポリシーは設定することを可能にします。

設定

コンフィギュレーション ガイド 外観

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ダイアグラムは図 1 ディストリビューションスイッチを渡る高可用性の(HA) NAC サーバとの基本層 2 キャンパス配備を示します。 プロファイラー サーバおよび NAC マネージャは同じ管理ネットワークで置かれ、NAC サーバおよび収集装置から情報を送信 し、受け取ることができます。 Cisco NAC Profiler が非 NAC リモートエンドポイントを検出できるこのガイドはもっとも一般的なおよび推奨される方法を記述しますこと複数の方法があり。 このコンフィギュレーション ガイドはこれらを達成する方法を記述します:

  • NAC 収集装置にアクセス スイッチに出入して SNMP 通信を追加して下さい。

  • エンドポイントについての DHCP ベンダー クラス 情報 アトリビュートに最も興味があるので、アクセス層 デバイスからのすべてのトラフィックを、とりわけエンドポイントからの DHCP トラフィック キャプチャ するために設定して下さいディストリビューションスイッチの SPAN ポートを。

  • 収集装置によって収集されるすべての情報を受け取るために Cisco NAC Profiler サーバおよび収集装置通信をそれに応じて設定して下さい。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

図 1: Cisco NAC Profiler との OOB Cisco NAC アプライアンス配備

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-1.gif

設定

この資料はアウトオブバンド ソリューションの NAC プロファイラーおよび収集装置を設定するのにこれらのコンフィギュレーションを使用します:

アウトオブバンド ソリューションの NAC プロファイラーおよび収集装置を設定して下さい

  • NAC サーバは標準 NAC HA セットアップによって設定される必要があります。

  • 収集装置はプロファイラーと通信するのに NAC サーバの仮想 IP アドレスを利用します。

  • NAC 収集装置 HA ペアはプロファイラーの単一 記入項目として追加され、NAC サーバの仮想 IP アドレスと伝えられます。

  1. プロファイラーに新しい収集装置を追加して下さい。

    設定 > NAC プロファイラー モジュール > Add 収集装置に行って下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-3.gif

  2. NAC サーバ HA ペアの新しい収集装置名前を追加して下さい。 これはほしいと思ったり収集装置 設定が一致する必要がある何でもである場合もあります。

    • 収集装置名前: CAS-OOB-Pair1

    • IPアドレス 192.168.97.10 (NAC サーバの仮想アドレス)

    • Connection: どれもとしてそれを今のところ残さないで下さい

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-4.gif

  3. 収集装置 サービスモジュールを設定して下さい。 NetMap および NetTrap を放っておいて下さい(設定はデフォルトで必要ではないです)。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-5.gif

  4. ディストリビューションスイッチの SPAN ポートに接続される NetWatch インターフェイス(ETH3)を追加して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-6.gif

  5. アクセス ネットワークから来る関連 トラフィックを聞き取るために NetInquiry モジュールのためのサブネット ブロックを追加して下さい。 ネットワークで特定で、NAC サーバに不必要に課税しないで下さい。 このラボ の セットアップでは、それは 192.168.0.0 全体の私用領域である場合もあります。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-7.gif

    ディセーブルにされる Ping スイープおよび DNS 収集を残して下さい。

  6. IP アドレス 192.168.97.10 (VIP)および TCPポート 31416 のリッスンとしてフォワーダを設定して下さい。 これは収集装置がサーバとして機能し、プロファイラーからの特定のポートへの接続を聞き取るようにします。

  7. NetRelay 設定に NetFlow をディセーブルにされる(Netwatch /SPAN セッションが利用されるので)残して下さい。 保存収集装置 ボタンを設定を保存するためにクリックするように確かめて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-8.gif

  8. Configuration タブ> 加えます変更 > アップデート モジュールを行って下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-9.gif

NAC 収集装置を設定して下さい

この設定は両方のデバイスにあるように丁度動作する必要があります。

  1. 収集装置への SSH およびルートとしてログオン。

  2. サービス収集装置構成を入力し、設定 スクリプトを通って NAC 収集装置部分を設定するために実行して下さい。

    [root@NAC Server1 ~]#  service collector config
    Enable the NAC Collector (y/n) [y]:
    Configure NAC Collector (y/n) [y]:
    Enter the name for this remote collector.  
    Please note that if this collector exists on a HA pair that this name must match
    its pair's name for proper operation. (24 char max) [NAC Server1]: CAS-OOB-Pair1
    Network configuration to connect to a NAC Profiler Server
      Connection type (server/client) [server]:
      Listen on IP [192.168.97.10]:
    
      You will be asked to enter the IP address(es) of the NPS.  This
      is necessary to configure the access control list used by this
      collector.  If the NPS is part of an HA pair then you must include
      the real IP address of each independent NPS and the virtual IP to
      ensure proper connectivity in the NAC Server of failover.
    
      Enter the IP address(es) of the NAC Profiler.
       (Finish by typing 'done') [127.0.0.1]: 192.168.96.20  (Real IP address of  NAC Profiler1)
      Enter the IP address(es) of the NAC Profiler.
       (Finish by typing 'done') [192.168.96.20]: 192.168.96.21 (Virtual IP of NAC Profiler)
      Enter the IP address(es) of the NAC Profiler.
       (Finish by typing 'done') [done]: 192.168.96.22 (Real IP of NAC Profiler2)
      Enter the IP address(es) of the NAC Profiler.
       (Finish by typing 'done') [done]: done
      Port number [31416]:
      Encryption type (AES, blowfish, none) [none]: AES
      Shared secret []: cisco123
    -- Configured NAC SERVER-OOB-Pair1-fw
    -- Configured NAC SERVER-OOB-Pair1-nm
    -- Configured NAC SERVER-OOB-Pair1-nt
    -- Configured NAC SERVER-OOB-Pair1-nw
    -- Configured NAC SERVER-OOB-Pair1-ni
    -- Configured NAC SERVER-OOB-Pair1-nr

    NAC 収集装置は設定されます。

  3. 収集装置 サービスを開始して下さい。

    [root@NAC Server1 ~]# service collector start
    

NAC 収集装置に SNMPトラップを送るためにアクセス スイッチを設定して下さい

この設定はプロファイラーが動的にネットワーク全体のスイッチポートに接続するすべての新しいデバイスを受け取るようにします。

また既に標準 NAC 設定のために読み込まれる設定があることができます。 その場合、する必要があるのは新しいデバイスがスイッチポートに接続されるとき SNMPトラップを受け取るために SNMP 設定のホストとして CAS 収集装置を追加することだけです。

スイッチ(nac-3560-access#)へのコンソール/Telnet。

snmp-server community cleanaccess RW 
## Allows read-write access from the NAC Manager
snmp-server community profiler RO  
## Allows read only access from Collectors
snmp-server enable traps mac-notification 
## Enables new-mac notification traps

snmp-server host 192.168.97.10 version 1 profiler mac-notification snmp
## Allow traps to the NAC Collectors Managment IP addresss

SNMP 情報を収集するためにプロファイラーのアクセス スイッチを設定して下さい

プロファイラーのアクセス スイッチを SNMP 情報を収集するために設定するこれらの手順に従って下さい。

  1. プロファイラー GUI に行って下さい: 設定 > ネットワークデバイス > Add デバイス

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-10.gif

  2. スイッチのホスト名および管理IPアドレスを追加して下さい。

  3. スイッチで設定される読み取り専用 SNMP ストリングを入力して下さい。 選択され、SNMP ポーリングにアクセス スイッチ各時間プロファイラーに転送します情報を NAC 収集装置マッピング モジュール、従って収集装置を選択することを確かめて下さい。

  4. デバイスを『Add』 をクリック し、変更を加えて下さい。 GUI の左ペインからのモジュールをアップデートして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-11.gif

    読み書きアクセスは NAC マネージャがデバイスを既に制御しているので NAC 配備の NAC プロファイラーのために必要ではないです。 それが必要なときスイッチへ競合および余分オーバーヘッドがのどれある場合もあります。

SPAN のためのディストリビューションスイッチの NAC 収集装置の ETH3 スイッチポートを設定して下さい

これは NetWatch モジュールがプロファイラーにネットワークのトラフィックおよび前方情報を聞き取るようにします。 NAC 収集装置のインターフェイスをオーバーサブスクライブしないことを確かめて下さい。 それに 1GB/sec に関する制限事項があります。 スイッチ モデルおよびコードのバージョンによってスイッチのインターフェイスか VLAN のソースをたどって下さい。

最小限に、アクセス スイッチのエンドポイントからの DHCP 要求および提供を見たいと思います。 これが可能性のあるではない場合、ネットワークの DHCP サーバにまたはの近くの NAC 収集装置を追加して下さい。

ディストリビューションスイッチのモニタ セッションを設定して下さい。

monitor session 1 source interface Gi1/0/1 - 43 , Gi1/0/46 - 48
monitor session 1 source interface Po10
monitor session 1 destination interface Gi1/0/44

確認

ここでは、設定が正常に動作していることを確認します。

  • プロファイラーおよび収集装置が通信し、動作していることを確かめて下さい。 そうでない場合、ネットワークのデバイスについての情報を見ません。 問題がある場合、すべての収集装置 モジュールおよびサーバが動作するまで続行しないで下さい。

    プロファイラーで、設定 > NAC プロファイラー モジュール > リスト NAC プロファイラー モジュールに行って下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-12.gif

  • アクセス スイッチが収集装置に新 MAC 通知トラップを送信できることを確認して下さい。

    デバッグを有効に する注意し、危険を知って下さいとき。

    nac-3560-access# debug snmp packet 
    nac-3560-access# debug snmp header
    
    SNMP packet debugging is on
    SNMP packet debugging is on
    *Mar 30 22:45:12: SNMP: Queuing packet to 192.168.97.10
    *Mar 30 22:45:12: 
    Outgoing SNMP packet
    *Mar 30 22:45:12: v1 packet
    *Mar 30 22:45:12: community string: profiler
    *Mar 30 22:45:12: SNMP: V1 Trap, ent cmnMIBNotificationPrefix, 
       addr 192.168.100.35, gentrap 6, spectrap 1 
    cmnHistMacChangedMsg.0 = 
    01 00  65 00   04 23  B3 82    60 00  04 00    
    cmnHistTimestamp.0 = 258751290
    
  • プロファイラーが収集装置から新しい MAC アドレスを受け取ったことを確認して下さい。

    エンドポイント コンソール > ビューに行って下さい/デバイス ポート > Ungrouped > デバイスの表によってエンドポイント > ディスプレイ エンドポイントを > 管理して下さい(スイッチを選択して下さい)

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-13.gif

  • 収集装置がスイッチを SNMP ポーリングしたことを確認して下さい。

  1. 最後のスキャン カラムを検知 して下さい。 これは収集装置が 60 分毎にスイッチをデフォルトでスキャンしたことを確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-14.gif

  2. スイッチ CLI の再度デバッグ SNMP

  3. プロファイラー GUI から、設定 > ネットワークデバイス > リスト ネットワークデバイス> 行って下さい(デバイスを選択して下さい)

  4. 『Query』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-15.gif

  5. 収集装置 SNMP ポーリングのためのスイッチのデバッグ 出力をスイッチ視聴して下さい。

    *Mar 30 23:09:24: SNMP: Packet received via UDP from 192.168.97.11 on Vlan100
    *Mar 30 23:09:24: SNMP: Get-next request, reqid 1347517983, errstat 0, erridx 0
    ifType = NULL TYPE/VALUE
    *Mar 30 23:09:24: SNMP: Response, reqid 1347517983, errstat 0, erridx 0
    ifType.1 = 53
    *Mar 30 23:09:24: SNMP: Packet sent via UDP to 192.168.97.11
    
  6. スイッチおよび収集装置の SPAN 作業がトラフィックを受信できることを確認して下さい。

    1. NAC プロファイラーへの SSH。

    2. tcpdump – i eth3

      16:54:36.432218 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         48871+ PTR? 68.39.168.192.in-addr.arpa. (44)
      16:54:36.432223 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         48871+ PTR? 68.39.168.192.in-addr.arpa. (44)
      16:54:36.432468 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         58368+ PTR? 69.39.168.192.in-addr.arpa. (44)
      16:54:36.432472 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         58368+ PTR? 69.39.168.192.in-addr.arpa. (44)
      16:54:36.432842 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         1650+ PTR? 70.39.168.192.in-addr.arpa. (44)
      16:54:36.432846 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         1650+ PTR? 70.39.168.192.in-addr.arpa. (44)
      
  7. 画面の出力を視聴して下さい。 出力の量について心配する場合、NAC 収集装置のファイルに出力を配管できます。 Linux のメイン ページを参照して下さい。

  8. スイッチのエンドポイントについての DHCP トラフィックを表示できるかどうか確認して下さい。

    GUI > エンドポイント コンソール > ビューはプロファイラーに行きましたり/エンドポイントを管理します。 プロファイルをクリックして下さい; デバイスをクリックし、エンドポイント データをクリックして下さい。

    収集装置の NetWatch/SPAN トラフィックからキャプチャ される デバイスの DHCP ベンダー クラス 情報を見ます:

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/107703-profiler-oob-config-guide-16.gif

NTP の設定のためのサポート

NAC 型彫機はバージョン 3.1 および それ 以降とのだけ NTP 設定をサポートします。 それはメニュー方式 Webインターフェイスを通してタイム サーバーのための異なるオプションを設定することを割り当てます。 完全な詳細については Cisco NAC Profiler サーバセクションの設定 NTP を参照して下さい。

NAC 型彫機バージョンが 3.1 の前にある場合、NAC 型彫機バージョン 2.1.8 は Webインターフェイスを通してそれをする機能がないので NTP を設定できません。 NAC 型彫機バージョン 2.1.8 のリリース ノートで述べられる開いている警告を参照して下さい。 詳細については、Cisco バグ ID CSCsu46273登録ユーザのみ)を参照して下さい。

CLI によって同じを手動で設定することができます。 次の手順を実行します。

  1. SSH セッションからプロファイラーへの、/etc への cd は、ntp.conf ファイルを編集し。

  2. このファイルの適切な時間サーバを追加して下さい。

  3. 時刻時間帯を設定して下さい。

    mv /etc/localtime /etc/localtime-old
    ln -sf /usr/share/zoneinfo/<your_time_zone> /etc/localtime

関連情報


Document ID: 107703