セキュリティ : Cisco NAC アプライアンス(Clean Access)

レイヤ 3 のアウトオブバンドの NAC Profiler および NAC サーバ コレクタの設定ガイド

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、レイヤ 3 のアウトオブバンドの導入で NAC Profiler および NAC Server Collector を実装する方法について説明します。 ハイ アベイラビリティ(HA)に NAC Server を配置すると、1 つの Collector のみアクティブになり、他はスタンバイになります。 HA をしない場合、プロファイラーの各収集装置を別々に追加し、収集装置として動作する両方の NAC サーバを持つことができます。 このガイドは HA サーバ配置に反映します。

前提条件

要件

このガイドの必要条件は各製品のためのインストールおよびコンフィギュレーション ガイドに従って NAC マネージャ、NAC サーバ、NAC プロファイラーおよびネットワークインフラストラクチャを設定したことです。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • NAC Manager

  • NAC サーバ

  • NAC プロファイラー

  • 3750 ディストリビューションスイッチ

  • 3750 のリモートサイト アクセス スイッチ

  • 2800 リモートサイトルータ

  • 3800 ディストリビューションルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

NAC プロファイラー外観

効率的に適切なネットワーク アクセスを確認し、維持するために、デバイスの種類に関係なく展開し、どうにかして Cisco NAC Profiler 有効ネットワーク管理者 識別とのさまざまなスケールおよび複雑な状況のエンタープライズ ネットワーク、すべての付属のネットワーク エンドポイントの機能の位置および判断のネットワーク アドミッション コントロール(NAC)を。 検出する Cisco NAC Profiler は agentless システム、カタログおよびプロファイル ネットワークに接続されるすべてのエンドポイントです。

NAC 外観

別名 Cisco Clean Access の Cisco Network Admission Control (NAC)アプライアンスは強力で、使いやすいアドミッション制御および準拠性適用ソリューションです。 広範囲のセキュリティ機能によって、インバンドかアウトオブバンド デプロイメントオプション、ユーザ認証ツールおよび帯域幅およびトラフ ィック フィルタリング制御は、Cisco NAC アプライアンス ネットワークを制御し、保護する完全なソリューションです。 ネットワークのための中央アクセス 管理ポイントとして、Cisco NAC アプライアンスは多くのデバイスのネットワーク全体のポリシーを伝搬させる必要の代りに 1 インポートのセキュリティ、アクセスおよび準拠性ポリシーを設定することを可能にします。

配置ガイド 外観

図 1 では、レイヤ3 アウトオブバンド デバイスのためのエンフォースメント ポイントとして機能する中央 HA NAC サーバとの簡単なリモートサイト配備があります。 NAC プロファイラーおよび NAC マネージャはサーバおよび収集装置から同じ管理ネットワークで置かれ、情報を送信 し、受け取ります。 またデータセンタまたはコアレイヤの SPAN によってデバイスについての必要な DHCP 情報をつかむスタンドアロン 収集装置があります。 リモートエンドポイントおよびこのガイドが配備で助けることができることを検出する複数の方法があります。 収集装置の各モジュールがどのように使用することができる、そしてあなたのためのプロファイル デシジョンをどのように作るためにエンドポイント データがプロファイラーによって見られるか必須ガイドであることを意図しませんが、示します。

NAC サーバ 収集装置が使用する必須およびオプションのツールのリストは提供されます。

必須収集装置 モジュール

NetTrap —このモジュールは新 MAC 通知またはリンク Up/Down 通知のためのスイッチによって送信 される SNMPトラップを聞き取ります。 このモジュールはプロファイルのためのプロファイラーへのすべての新しい MAC アドレスを送信 します。 この機能は Cisco IOS の Snmp-server 設定コマンド・ラインのスイッチごとに定義されます

NetMap —このモジュールは収集装置で置かれ、一定間隔でリモートブランチのデバイスの SNMP ポーリングをする役割があります。 図 1 のダイアグラムでは、CAS1a 収集装置 SNMP はスイッチに読み取り アクセスを用いる特定の MIB 情報のためのリモートスイッチおよびルータをポーリングします。 このポーリングはポート情報に MAC アドレスのような事柄を、インターフェイス、リンクステータス、dot1x 情報、システム情報等提供します。

NetWatch (SPAN) — NetWatch モジュールはスイッチの SPAN ポートで受信し、プロファイラーに摂取されたトラフィック情報を送り返すことができます。 NAC サーバは各 NAC サーバの追加インターフェイスがデータを収集するように要求します。 これはプロファイラーがデバイスおよび他のアプリケーショントラフィック一致を渡される DHCP 情報に主に基づいているので必要です。

オプションの収集装置 モジュール

SPAN か Netflow を使用できます。 それは配備および顧客要件までありますが、1 つは収集装置 モジュールおよび実行しなければ NAC サーバがならない他の NAC 機能に送られるトラフィック量による NAC サーバだけで推奨されます。 また DHCP ベンダー情報のような Netflow が付いているデバイスについてのより重要な情報ピースを、URL 宛先、Web クライエント ヒント、Webサーバ ヒント等失います。

NetRelay — (Netflow)インターフェイス基礎ごとの a の各ルータで設定され、宛先は NAC サーバの管理IPアドレスです。 Netflow エージェントは NAC サーバで置かれ、プロファイラーで設定される交通規則およびネットワークに基づいて NetFlow情報を解析します。

NetInquiry —これは TCP 開港のような事柄に基づく受動およびアクティブなメカニズムです。 たとえば NAC サーバは SYN/ACK をし、次に開いた TCP ポートのための特定のサブネット 範囲か範囲をポーリングするために接続を破棄します。 応答がある場合、ポーリングされる IP アドレスおよび TCPポートのプロファイラーに情報を送信 します。

NetInquiry に関しては、Netflow か NetWatch と達するか、または見られる場合がないホストか特定のサブネットだけを追加して下さい。 NetInquiry はメモリのような追加 処理およびハードウェアリソースと正しく設定されなくて NAC サーバおよび CPU稼働率を過剰にすることができます。 最終的な解決策としてこの機能を使用して下さい。

スタンドアロン 収集装置があれば同じデバイスの Netflow および SPAN を両方有効に し 収集装置をオーバーサブスクライブしないことを確かめることができます。

図 1

profiler-layer3-oob-config-guide-01.gif

設定

レイヤ3 OOB トポロジーの NAC プロファイラーを設定して下さい

  • NAC サーバは標準 NAC HA セットアップによって設定される必要があります。

  • NAC 収集装置はプロファイラーと通信するのに NAC サーバの仮想 IP アドレスを利用します。

  • NAC 収集装置 HA ペアはプロファイラーの単一 記入項目として追加され、CAS の仮想 IP アドレスと通信します。

図 2

profiler-layer3-oob-config-guide-02.gif

設定

次の手順を実行します。

  1. プロファイラーは新しい NAC 収集装置のためのクライアント接続を必要とします。

  2. プロファイラーはディストリビューションの近くに坐るスタンドアロン デバイスのためのサーバ接続を必要とします|データセンタ|ネットワークダイアグラムのサービス 層。

  3. 『Configuration』 を選択 して下さい > NAC 型彫機モジュール– NAC 型彫機モジュールをリストし、次に Server タブをクリックして下さい。

    ページの一番下にスクロールし、接続を『Add』 をクリック して下さい。

    図3

    profiler-layer3-oob-config-guide-03.gif

  4. HA 収集装置のサービス IP アドレスおよび秘密鍵 情報を入力し、接続を『Add』 をクリック して下さい。

    図 4

    profiler-layer3-oob-config-guide-04.gif

  5. 接続を再度『Add』 をクリック して下さい。

    図 5

    profiler-layer3-oob-config-guide-05.gif

    図 6

    profiler-layer3-oob-config-guide-06.gif

  6. スタンドアロン収集装置が接続するサーバ接続を設定するために IP アドレスを入力して下さい。

  7. Server Configuration ページに到達するために終了後接続を『Edit』 をクリック して下さい。

  8. Server Configuration ページのサーバを『Update』 をクリック して下さい。

    図 7

    profiler-layer3-oob-config-guide-07.gif

プロファイラーに 2 つの新しい収集装置を追加して下さい。 次の手順を実行します。

  1. > NAC プロファイラー モジュール > Add 収集装置 『Configuration』 を選択 して下さい。

    図 8

    profiler-layer3-oob-config-guide-08.gif

  2. NAC サーバ HA ペアの新しい収集装置名前を追加して下さい。 これはによってほしかったり収集装置 設定で一致する必要がある何でもである場合もあります。

    収集装置 name — CAS-OOB-Pair1

    IP アドレス 192.168.97.10 (NAC サーバの仮想アドレス)

    connection —どれもとしてそれを今のところ残さないで下さい。 リッスン モードにあるサーバ接続にこれを後で変更できます。

  3. 収集装置 ボタンを『Add』 をクリック して下さい。

    図 9

    profiler-layer3-oob-config-guide-09.gif

  4. 収集装置 サービスモジュールを設定して下さい。 NetMap および NetTrap を放っておいて下さい。

    図 10

    profiler-layer3-oob-config-guide-10.gif

  5. ディストリビューションスイッチの SPAN ポートに接続される NetWatch インターフェイス(eth3)を追加して下さい。

    図 11

    profiler-layer3-oob-config-guide-11.gif

  6. アクセス ネットワークから来る関連 トラフィックを聞き取るために NetInquiry モジュールのためのサブネット ブロックを追加して下さい。 ない税額に関してネットワークで不必要に特定で NAC サーバであって下さい。 このラボ の セットアップでは、それは 192.168.0.0 全私用領域である場合もあります。

    図 12

    profiler-layer3-oob-config-guide-12.gif

    ディセーブルにされる Ping スイープおよび DNS 収集を残して下さい。 最終的な解決策としてこれを使用して下さい。 Ping スイープおよび DNS 収集は ping を引き起こし、IP の範囲の nslookups はネットワーク ブロック セクションに置きますサブネット化します。 これは推奨されないし、まれに使用されます。

  7. IP アドレス 192.168.97.10 (VIP)および TCPポート 31416 で受信するためにフォワーダを設定して下さい。 これは収集装置がサーバとして機能し、プロファイラーからの特定の TCPポートへの接続を聞き取るようにします。 これはサーバコンフィギュレーションのためのはじめの幾つかのステップに反映します。

  8. 収集装置ペアのためのイネーブル Netflow。 (オプション)

    Netflow がリモートコレクタによるリモートルータから渡されないのでこれをここにすることができます。

  9. 描写されるようにリモートサイトのための IP アドレス ブロックを入力して下さい。 この例では、192.168.0.0 全私用領域は使用されます。

    図 13

    profiler-layer3-oob-config-guide-13.gif

  10. 設定を保存するために収集装置を『SAVE』 をクリック して下さい。

プロファイラーに追加スタンドアロン 収集装置を追加して下さい

次の手順を実行します。

  1. 収集装置を『Add』 をクリック して下さい。

    図 14

    profiler-layer3-oob-config-guide-14.gif

  2. 収集装置名前はほしい何でもである場合もあります。 この例では、それは CAS2 です。

  3. フォワーダ IP アドレス自体はあります。 eth0 の IP アドレスは管理のためです。

    この例では、それは 192.168.97.12 です。

    接続はプロファイラーの IP アドレスであるはずです。 この場合、それは 192.168.96.21 です。

  4. 収集装置を『Add』 をクリック して下さい。

    図 15

    profiler-layer3-oob-config-guide-15.gif

  5. これの後で、収集装置 設定 ページに持って来られます。 前のセクションのステップ 5 – 9 を完了して下さい。 これはスタンドアロン収集装置のユニークな IP アドレスおよびコンフィギュレーションの設定を修正し、追加することを可能にします。

  6. スタンドアロン 収集装置の 1 つのユニークな設定は NetWatch 設定にマルチプルインターフェイスを追加する機能です。 複数のインターフェイスを追加できます従ってリモートエンドポイントからの DHCP、DNS および IP テレフォニーについてはトラフィックを表示できます。

  7. セットアップ用の NetWatch インターフェイスを設定して下さい。 この例では、3 つのインターフェイスはスタンドアロン 収集装置の SPAN トラフィックに追加されました。

    図 16

    profiler-layer3-oob-config-guide-16.gif

  8. : 設定を > 加えます変更 > アップデート モジュールを設定を保存するために選択して下さい。

    profiler-layer3-oob-config-guide-17.gif

NAC サーバの NAC 収集装置 モジュールを設定して下さい

この設定は収集装置すべてで動作する必要があります。

この設定はフローし始めるようにプロファイラーおよび収集装置がデバイスについての情報のための信頼できる接続を伝え、確立するようにします。 次の手順を実行します。

  1. コンソールからのルートとして収集装置への SSH かコンソールおよびログオンか SSH セッションからのビーコン

  2. サービス収集装置 config コマンドを入力して下さい。

  3. NAC 収集装置部分を設定するために設定 スクリプトを通って実行して下さい。

    HA 収集装置例

    収集装置はサーバ接続コネクション タイプとして設定されます:

    [root@cas1 ~]#service collector config
    
    Enable the NAC Collector (y/n) [y]:
    Configure NAC Collector (y/n) [y]:
    Enter the name for this remote collector.  Please note that if
    this collector exists on a HA pair that this name must match
    its pair’s name for proper operation. (24 char max) [cas1]: CAS-OOB-Pair1
    Network configuration to connect to a NAC Profiler Server
    Connection type (server/client) [server]:
    Listen on IP [192.168.97.10]:

    NPS の IP アドレスを入力するように頼まれます。 これはこの収集装置によって使用されるアクセス制御リストを設定して必要です。 NPS が HA ペアの一部である場合、フェールオーバーの場合には適切な接続を確認するために各依存しない NPS およびバーチャルIP の実際のIPアドレスを含んで下さい。 NAC プロファイラーの IP アドレスを入力して下さい。

    (Finish by typing ‘done’) [127.0.0.1]: 192.168.96.20  (Real IP address of  NAC Server1)
    Enter the IP address(es) of the NAC Profiler.
    (Finish by typing ‘done’) [192.168.96.20]: 192.168.96.21 (Virtual IP of NAC Server)
    Enter the IP address(es) of the NAC Profiler.
    (Finish by typing ‘done’) [done]: 192.168.96.22 (Real IP of NAC Server2)
    Enter the IP address(es) of the NAC Profiler.
    (Finish by typing ‘done’) [done]: done
    Port number [31416]:
    Encryption type (AES, blowfish, none) [none]: AES
    Shared secret []: cisco123
    •	Configured CAS-OOB-Pair1-fw
    •	Configured CAS-OOB-Pair1-nm
    •	Configured CAS-OOB-Pair1-nt
    •	Configured CAS-OOB-Pair1-nw
    •	Configured CAS-OOB-Pair1-ni
    •	Configured CAS-OOB-Pair1-nr
    
    NAC Collector has been configured.
  4. 収集装置 サービスを開始して下さい。

    [root@cas1 ~]#service collector start
    

    収集装置例だけを立てて下さい

    [root@cas2 ~]#service collector config
    
    Enable the NAC Collector (y/n) [y]:
    Configure NAC Collector (y/n) [y]:
    Enter the name for this remote collector.  Please note that if
    this collector exists on a HA pair that this name must match
    its pair's name for proper operation. (24 char max) [cas2]:
    Network configuration to connect to a NAC Profiler Server
      Connection type (server/client) [client]:
      Connect to IP [192.168.96.21]:
      Port number [31416]:
      Encryption type (AES, blowfish, none) [none]:
      Shared secret []:
    -- Configured cas2-fw
    -- Configured cas2-nm
    -- Configured cas2-nt
    -- Configured cas2-nw
    -- Configured cas2-ni
    -- Configured cas2-nr
    
    
            NAC Collector has been configured.
    
    [root@cas2 ~]#service collector start
    

NAC 収集装置に SNMPトラップを送るためにリモートアクセス スイッチを設定して下さい

この設定はプロファイラーが動的に MAC 通知トラップを通ってスイッチポートに接続するすべての新しいデバイスを受け取るようにします。 これはトポロジーに同じ ポートに接続される IP Phone および PC があるので特に重要です。

スイッチ(nac-3750-access#)へのコンソール または Telnet。

snmp-server community cleanaccess RW 
snmp-server community profiler RO  
snmp-server enable traps mac-notification 
snmp-server host 192.168.96.10 version 2c cleanaccess  
snmp-server host 192.168.97.10 version 1 profiler

SNMP 情報収集のためのプロファイラーのリモートアクセス スイッチを設定して下さい

次の手順を実行します。

  1. プロファイラーを GUI > 設定 > ネットワークデバイス > Add デバイス選択して下さい。

    図 18

    profiler-layer3-oob-config-guide-18.gif

  2. スイッチのホスト名および管理IPアドレスを追加して下さい。

  3. またスイッチで設定される読み取り専用 snmp ストリングを入力して下さい。 NAC 収集装置マッピング モジュール従って収集装置を選択されます SNMP ポーリングにアクセス スイッチ各時間選択し、プロファイラーへの情報を転送することを確かめて下さい。

  4. デバイスを『Add』 をクリック し、GUI の左ペインからのモジュールをアップデートするために変更を加えて下さい

    図 19

    profiler-layer3-oob-config-guide-19.gif

SNMP 情報収集のためのプロファイラーのリモートアクセス ルータを設定して下さい

これはプロファイラー データベースの MAC バインディングにレイヤ3 IP アドレスを可能にします。

  1. プロファイラーを GUI > 設定 > ネットワークデバイス > Add デバイス選択して下さい。

    図 20

    profiler-layer3-oob-config-guide-20.gif

    図 21 参照して下さい。

  2. ルータのホスト名および管理IPアドレスを追加して下さい。

  3. またルータで設定される読み取り専用 snmp ストリングを入力して下さい。 NAC 収集装置マッピング モジュール従って収集装置を選択されます SNMP ポーリングにアクセス スイッチ各時間選択し、プロファイラーへの情報を転送することを確かめて下さい。

  4. デバイスを『Add』 をクリック し、GUI の左ペインからのモジュールをアップデートするために変更を加えて下さい

    図 21

    profiler-layer3-oob-config-guide-21.gif

ローカルスイッチの SPAN トラフィックを受信するために NAC 収集装置を設定して下さい

これは NetWatch モジュールがプロファイラーにネットワークのトラフィックおよび前方情報を聞き取り始めるようにします。 NAC 収集装置のインターフェイスをオーバーサブスクライブしないことを確かめて下さい。 それに 1 GB/sec に関する制限事項があります。 スイッチのインターフェイスか VLAN のソースをたどることができそれはスイッチ モデルおよびコードのバージョンによって決まります。

最小限にアクセス スイッチのエンドポイントからの DHCP 要求および提供を見たいと思います。 これが可能性のあるではない場合、ネットワークの DHCP サーバにまたはの近くの NAC 収集装置を追加することを試みて下さい。 これはこのコンフィギュレーション ガイドでされます。

次の手順を実行します。

  1. 着信 リモートサイトおよびアウトゴーイングトラフィックのためのディストリビューションスイッチ #1 のモニタ セッションを設定して下さい:

    monitor session 1 source interface F0/0
    monitor session 1 destination interface Gi1/0/44
  2. 着信 リモートサイトおよびアウトゴーイングトラフィックのためのディストリビューションスイッチ #2 の重複したモニタ セッションを設定して下さい:

    monitor session 1 source interface F0/0
    monitor session 1 destination interface Gi1/0/44
  3. スタンドアロン 収集装置のための他のモニタ セッションを設定して下さい。 この例はコア スイッチに接続される重要性をもつ複数のインターフェイスを監察します。 これらはこのラボ の セットアップ用の DHCP、DNS および Cisco CallManager サーバです。

    monitor session 1 source interface G1/0/7-9
    monitor session 1 destination interface G1/0/48

リモートアクセス ルータをメインサイトの収集装置に NetFlowデータを送るために設定して下さい

次の手順を実行します。

  1. リモートルータへの Telnet。

  2. グローバルに イネーブル Netflow。

    ip flow-export version 5
    ip flow-export destination 192.168.97.12 2055

    Netflow のための UDP ポート 2055 の収集装置 リッスン。 Netflow を送信 する IP アドレスは収集装置 管理IPアドレス常にです。

  3. インターフェイスのイネーブル Netflow。

    interface FastEthernet0/1
     ip address 192.168.121.1 255.255.255.0
     ip flow ingress
     ip route-cache flow

確認

設定がきちんと機能することを確認するためにトラブルシューティング 手順 セクションを参照して下さい。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

トラブルシューティング手順

次の手順に従って、設定のトラブルシューティングを行います。

  1. プロファイラーおよび収集装置が通信して、動作していることを確かめて下さい。 そうでない場合、ネットワークのデバイスについての情報を見ません。 問題がある場合、すべての収集装置 モジュールおよびサーバが動作するまで続行しないで下さい。

    プロファイラーで、> NAC プロファイラー モジュール > リスト NAC プロファイラー モジュール 『Configuration』 を選択 して下さい。

    profiler-layer3-oob-config-guide-22.gif

  2. 収集装置にアクセス スイッチ送信新 MAC 通知トラップを確認して下さい。 デバッグを有効に し、危険を知るはずであるとき注意して下さい。

    nac-3750-access#debug snmp packet 
    nac-3750-access#debug snmp header
    
  3. 収集装置にスイッチ ポーリングされる SNMP があることを確認して下さい:

    最後のスキャン カラムを検知 して下さい。

    profiler-layer3-oob-config-guide-23.gif

  4. スイッチの SNMP を再度デバッグして下さい。

  5. プロファイラーから、> ネットワークデバイス 『Configuration』 を選択 して下さい。 ネットワークデバイスをリストし、次にデバイスを選択することを選択して下さい。

  6. 『Query』 をクリック して下さい。

    profiler-layer3-oob-config-guide-24.gif

  7. SNMP に収集装置のためのスイッチのデバッグ 出力がスイッチをポーリングするのを視聴して下さい:

    *Mar 30 23:09:24: SNMP: Packet received via UDP from 192.168.97.11 on Vlan100
    *Mar 30 23:09:24: SNMP: Get-next request, reqid 1347517983, errstat 0, erridx 0
    ifType = NULL TYPE/VALUE
    *Mar 30 23:09:24: SNMP: Response, reqid 1347517983, errstat 0, erridx 0
    ifType.1 = 53
    *Mar 30 23:09:24: SNMP: Packet sent via UDP to 192.168.97.11
    
  8. スイッチの IP Phone のプラグを差し込むか、またはインターフェイスのそれから締められた no shut コマンドを発行して下さい:

    15w4d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/4, changed state to down
    15w4d: %ILPOWER-5-POWER_GRANTED: Interface Gi1/0/4: Power granted
    15w4d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/4, changed state to up
    15w4d: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/4, changed state to up
    15w4d: SNMP: Queuing packet to 192.168.97.12
    15w4d: Outgoing SNMP packet
    15w4d: v2c packet
    15w4d: community string: profiler
    15w4d: SNMP: V2 Trap, reqid 14430, errstat 0, erridx 0
     sysUpTime.0 = 949829672
     snmpTrapOID.0 = cmnMacChangedNotification
     cmnHistMacChangedMsg.0 =
    01 00  79 00   07 50  C6 82    27 00  04 00
    
  9. 収集装置が受け取った MAC アドレスのための新しいトラップ 要求を送信 することを確認して下さい:

    15w4d: SNMP: Packet received via UDP from 192.168.97.11 on Vlan120
    15w4d: SNMP: Get request, reqid 1576567642, errstat 0, erridx 0 
     system.1.0 = NULL TYPE/VALUE 
     ifIndex.10104 = NULL TYPE/VALUE 
     ifDescr.10104 = NULL TYPE/VALUE 
     ifType.10104 = NULL TYPE/VALUE 
     ifSpeed.10104 = NULL TYPE/VALUE 
     ifPhysAddress.10104 = NULL TYPE/VALUE 
     ifAdminStatus.10104 = NULL TYPE/VALUE 
     ifOperStatus.10104 = NULL TYPE/VALUE 
     ifName.10104 = NULL TYPE/VALUE 
     dot1xAuthAuthControlledPortStatus.10104 = NULL TYPE/VALUE 
     dot1xAuthAuthControlledPortControl.10104 = NULL TYPE/VALUE 
    paeMIBObjects.2.4.1.9.10104 = NULL TYPE/VALUE
    
    -------snip ----------
    ifIndex.10104 = 10104 
     ifDescr.10104 = GigabitEthernet1/0/4 
     ifType.10104 = 6 
     ifSpeed.10104 = 100000000 
     ifPhysAddress.10104 = 00 14 A8 2E A5 04  
     ifAdminStatus.10104 = 1 
     ifOperStatus.10104 = 1 
     ifName.10104 = Gi1/0/4 
     dot1xAuthAuthControlledPortStatus.10104 = 1 
     dot1xAuthAuthControlledPortControl.10104 = 3
    15w4d: SNMP: Packet sent via UDP to 192.168.97.11
  10. プロファイラーが収集装置から IP Phone の新しい MAC アドレスを受け取ったことを確認して下さい:

    エンドポイント コンソール > ビューを選択して下さい/デバイス ポートによってエンドポイント > ディスプレイ エンドポイントを > ungrouped > デバイスの表管理し、次にスイッチを選択して下さい。

    profiler-layer3-oob-config-guide-25.gif

  11. スイッチおよび収集装置の SPAN が作業トラフィックを受信していることを確認して下さい。

    SSH to the NAC Profiler :
    Type : tcpdump –i eth3 
    
    16:54:36.432218 IP cas2.nacelab2.cisco.com.9308 > elab2-dns-
    dhcp.nacelab2.cisco.com.domain:  48871+ PTR? 68.39.168.192.in-addr.arpa. (44)

    画面の出力を視聴して下さい。 出力の量について心配する場合、NAC 収集装置のファイルに出力を配管できます。 これを行う方法の Linux のマニュアル ページを参照して下さい。

  12. IP Phone エンドポイントについての DHCP トラフィックが SPAN ポートを通して見られた確認し、プロファイラーまで送信 しましたかどうか。

    1. エンドポイント コンソール > ビューを選択して下さい/デバイス ポートによってエンドポイント > ディスプレイ エンドポイントを > ungrouped > デバイスの表管理し、次にスイッチを選択して下さい。

    2. それからデバイスの MAC アドレスを選択して下さい。

    3. プロファイル データを『View』 をクリック して下さい。

      profiler-layer3-oob-config-guide-26.gif

      収集装置の NetWatch/SPAN トラフィックからキャプチャ される デバイスからの DHCP ベンダー クラス 情報を見るはずです。 この情報はルーティングおよび環境によって決まるクライアントに戻って SPAN ポートの DHCPサーバか DHCP オファーから来ることができます。

      profiler-layer3-oob-config-guide-27.gif

  13. Netflow がリモートルータから収集装置のマネージメントインターフェイスに通じていることを確認して下さい。

    NAC-2800-Remote#show ip flow export
    
    Flow export v5 is enabled for main cache
      Exporting flows to 192.168.97.12 (2055)
      Exporting using source IP address 10.0.0.2
      Version 5 flow records
      2602429 flows exported in 554968 udp datagrams
      0 flows failed due to lack of export packet
    
    NAC-2800-Remote#show ip flow top 10 aggregate source-address
    

    4 人の上話者があります:

    IPV4 SRC-ADDR         bytes        pkts       flows
    ===============  ==========  ==========  ==========
    192.168.122.60           44           1           1
    192.168.122.59           88           2           2
    192.168.121.90          367           3           3
    10.0.0.1              19320         322           1
  14. 収集装置からのプロファイラーが Netflow を受け取ることを確認して下さい。 リモートMAC かエンドポイント IP を選択し、プロファイルされたデータを検知 して下さい:

    1. エンドポイント コンソール > ビューを選択して下さい/デバイス ポートによってエンドポイント > ディスプレイ エンドポイントを > ungrouped > デバイスの表管理し、次にスイッチを選択して下さい。

    2. それからデバイスの MAC アドレスを選択して下さい。

    3. プロファイル データを『View』 をクリック して下さい。

      出力では、IP 192.168.70.50 および宛先ポート 2000 年に宛先 トラフィックを見ます。 これは Cisco Unified CallManager の IP アドレスであり、宛先ポート 2000 年は SCCP コントロール トラフィックのために使用されます。

      profiler-layer3-oob-config-guide-28.gif


関連情報


Document ID: 108318