セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC のポリシーのインポート、エクスポート(PIE)を実行するベスト プラクティス

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントの目的は、Cisco NAC のポリシー インポート エクスポート(PIE)機能の正常な実行を確保するためのベスト プラクティス ガイドラインを強調することです。

前提条件

要件

一般的に設定されるポリシーおよび Cisco NAC マネージャ(Clean Access Manager) Webインターフェイスの習熟度が必要となります。 あり、サポートされないものがの円で Cisco NAC リリース 4.5 に関するリリース ノートを参照して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco NAC ソフトウェア 4.5.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

円最良 の 推奨事項

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定

CAM ポリシー輸出入(円)機能の成功したインプリメンテーションを確認するために下記に記載されている推奨事項に従って下さい。

  1. Cisco はポリシー同期化を行う前にすべての NACMs に Cisco 同じ更新があることを確認するために両方のマスターおよびレシーバ NACMs の同じオート アップデート設定を(デバイス管理 > Clean Access > 更新 > アップデートの下で)行うことを推奨します。 これは異なるオート アップデート設定とレシーバ NACM の Cisco 更新を行い、次にポリシー同期化を行えばマスター上書きするの現在のチェック レシーバのあらゆるチェックという理由によります。

  2. IB だけライセンスの OOB NACM およびレガシー NACM がある場合、レシーバとしてマスター NACM として OOB NACM およびレガシー NACM を使用することを確かめて下さい。

  3. 円がマスターとマスターから押されるレシーバ間の特定のコンポーネントのために有効に なれば、レシーバ テーブル/情報は情報と完全に取り替えられます。 それは受信側で累積ではないです。 mcafee.com のためのたとえばレシーバに同期化が実行されれば cisco.com および abc.com への割り当てアクセス、ルール、レシーバおよびマスター同一のルールをこと割り当てが mcafee.com にアクセスするマスターに交通規則がある交通規則があれば持ち、: cisco.com および abc.com。 マスターにそのルールがなかったので mcafee.com のための交通規則が同期化の後にレシーバにないことに注目して下さい。 最良 の 方法はマスター NACM を望まれるように設定することレシーバのポリシー設定を修正しないでありではない。

  4. サポートされたレシーバの最大数は 10.です。 技術的な制限がレシーバの数へないが、最良 の 推奨事項はよりまたは 10)への等号へこれをサポートされた数(少数保存することです。

    注: NACM HA ペアに関しては、ポリシー同期化設定はスタンバイ NACM のために無効です。

  5. マスターおよびレシーバは Cisco NAC (4.5 またはより高い)リリースの同じバージョンを実行する必要があります。

  6. NAC マネージャが両方とも認証局 (CA) 署名入り認証および両方ともマスターおよびレシーバ互いの認証を信頼してもらうことを確認して下さい。 認証はキー マスターとレシーバ間の同期を保護するためにです。 マスターはレシーバによって示される認証をまた逆も同様信頼しなければなりません。 これのために、媒介手段が複雑である場合全部に信頼された CA リストでピア 認証(完全なチェーン)のルートCA があることを確認することは必要です。 実働配置では、最良 の 方法は CA 署名入り認証と NAC マネージャの自己署名証明書を取り替えることです。 つまり円を設定する前に NAC マネージャ SSL 認証 最良 の 方法が会うことを、確かめて下さい。

  7. 自動か手動ポリシー同期化を行うためにようにマスター NAC マネージャへの完全 な 制御 管理者ユーザ ログオンされることを確かめて下さい。

  8. オート同期化は各 X 日数自動ポリシー同期化をスケジュールすることを可能にします(最小は 1 日です)。 円のためにオート同期化を使用するために望む場合 Cisco は NAC マネージャ間のオート同期化を有効に する前に手動同期化を行い、同期化が正常にはたらくことを確認するためにことを強く推奨します。

確認

現在、この設定に使用できる確認手順はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 108331