セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC 4.5: ポリシーのインポート、エクスポートの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco NAC リリース 4.5 のポリシー インポート エクスポート(PIE)機能を設定する方法の段階的な手順について説明します。 この機能の目的は、NAC Manager(Clean Access Manager)間のデバイス フィルタ、トラフィック/修復ルール、およびポート プロファイルを同期することです。 この機能が説明されているとき、ポリシーが定義される NAC マネージャは押すことができたりまたは 10 人の NAC マネージャ(Clean Access マネージャ)多数のポリシーを同期する Receivers と呼ばれるマスターと、問い合わせられます。 ポリシーはプリセットする タイマーによってまたは手動同期化によって自動的に同期することができます。

前提条件

Cisco は一般的に設定されるポリシーおよびが Cisco NAC マネージャ(Clean Access Manager) Webインターフェイスとの習熟度があることを推奨します。 サポートされ、サポートされないものがについての円で情報に関しては Cisco NAC リリース 4.5 に関するリリース ノートを参照して下さい。

要件

Cisco NAC インストレーション コンフィギュレーション ガイドに従って NAC マネージャおよびサーバを設定して下さい。 NAC マネージャ ポリシー輸出入のどのマネージャが使用された同様にマスターである必要があるどれを識別するために設定に関する最良 の 推奨事項をレシーバか参照すれば。 この資料はマスターおよびレシーバ NAC マネージャが識別され、最良 の 推奨事項が使用されると仮定します。

使用するコンポーネント

この文書に記載されている情報は Cisco NAC ソフトウェア 4.5.0 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

注: 始める前に、マスターおよびレシーバが正確の同じバージョン実行することを確認して下さい。 また、マスターおよびすべてのレシーバのデバイス管理 > Clean Access > 更新 > アップデート一致の下でように Ruleset アップデート設定して下さい。

NAC は設定します

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

NAC マネージャ間のポリシー インポート/エクスポートを設定するためにこれらのステップを完了して下さい。

  1. マスター NAC マネージャのポリシー同期化を有効に して下さい:

    1. マスター NAC マネージャで、Administration > CCA マネージャ > ポリシー同期化 > イネーブルにナビゲート して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-1.gif

    2. イネーブル ポリシー同期化ボックスをチェックして下さい。 マスター(割り当てポリシー エクスポート)オプションを選択し、『Update』 をクリック して下さい。

  2. 押されるべきポリシーを識別して下さい:

    このステップでは、基本カムとレシーバの間で同期する必要があるポリシーを識別します。 この例に関しては、目標はマネージャ間のグローバル トラフィック交通制御ポリシーを同期することです。 この場合、グローバル な IPベース トラフィック ポリシーはユーザの役割 > トラフィック制御 > IP の下で選択する必要があります(信頼できない一時ロールを > 示されているようにドロップするで信頼されて、選択して下さい。 [Select] をクリックします。 このルールはレシーバにまだあっていません。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-2.gif

    追加します IP トラフィック ポリシーを設定する方法の情報に関してはグローバル な IPベース トラフィック ポリシーを参照して下さい。

    > Clean Access Manager > ポリシー同期化 > 設定し、マスターを示されているようにチェックし、Enable チェックボックスを『Update』 をクリック します 『管理』 を選択 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-3.gif

    注: 同期することはまた必要としますルール、必要条件、役割要件、デバイス フィルター(ロール、チェック型)およびロールを同期することを交通担当警察。

  3. レシーバを追加して下さい/識別して下さい:

    マスターに 10 台のサポートされたレシーバに集計できます。 この例では、マスター NAC マネージャに 1 台のレシーバを追加します。

    1. > Clean Access Manager > ポリシー同期化 > 設定しますマスターを『管理』 を選択 して下さい。 受信側ホスト Name/IP の下で、ホスト名(マスター NAC マネージャはホスト名のための DNS を解決できる)またはレシーバの IP アドレスを追加して下さい。 オプション の 記述を追加し、『Add』 をクリック して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-4.gif

    2. 追加されて、新しいレシーバは現われます。 こうすればマルチプル レシーバ(サポートされる 10 まで)を追加できます。 高可用性の(HA)シナリオでは、リストに HA ペアの仮想 な/共用ホスト名か仮想 な/共用 IP アドレスを追加する必要があります。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-5.gif

  4. レシーバを承認して下さい:

    レシーバを追加した後、マスターとレシーバ間の通信を保護することは重要です。 承認されたマスターだけレシーバにポリシーを押せます。 同様に、マスターは承認されたレシーバとだけ通信できる必要があります。 また、信頼はマスターおよびレシーバがだれであることを主張するかであることを確かめるために確立される必要があります。 SSL はこのために使用されます。 だけでなく、マスターおよびレシーバは認証の DN 情報によって互いを識別しなければなりませんがまた信頼された機関(CA)からの ID証明がある必要があります。 つまり、マスターおよびレシーバは互いの認証を信頼する必要があります。

    この資料がラボ の セットアップから生成されるので、自己署名証明書はこの例で使用されます。 ただし実稼働環境で CA 署名入り認証を使用する必要があることに、注目して下さい。 詳細については NAC マネージャ ポリシー輸出入の設定に関する最良 の 推奨事項を参照して下さい。

    1. レシーバで、> CCA マネージャ > SSL > X509 認証 『管理』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-6.gif

    2. CCA マネージャ認証を識別し、ビューの下でアイコンをクリックして下さい。 現われるウィンドウでは、(右クリックおよびコピー) DN 情報を選択し、コピーして下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-7.gif

    3. Administration の下のマスター NAC マネージャに戻 > CCA マネージャ > ポリシー同期化は > マスターを設定します。 認証 識別名による承認されたレシーバのリストの下の下部の、貼り付け前の手順のレシーバからコピーし、『Add』 をクリック する 認証 DN 情報。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-8.gif

  5. レシーバ NAC マネージャのイネーブル ポリシー同期化:

    1. レシーバ NAC マネージャ、Administration > CCA マネージャ > ポリシー同期化 > イネーブルへのナビゲート。

    2. イネーブル ポリシー同期化ボックスをチェックして下さい。 レシーバ(割り当てポリシー インポート)オプションを選択し、『Update』 をクリック して下さい。

      注: 上のバナーがレシーバであるこの NAC マネージャはイネーブルになっていることを示す赤く点灯することに注意して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-9.gif

  6. マスターを承認して下さい:

    1. マスターで、> CCA マネージャ > SSL > X509 認証 『管理』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-10.gif

    2. CCA マネージャ認証を識別し、ビューの下でアイコンをクリックして下さい。 現われるウィンドウでは、(右クリックおよびコピー) DN 情報を選択し、コピーして下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-11.gif

    3. Administration の下のレシーバ NAC マネージャに戻 > CCA マネージャ > ポリシー同期化は > レシーバを設定します。 承認されたマスターの隣で、前の手順のマスターからコピーし、『Update』 をクリック する 認証 DN 情報を貼り付けて下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-12.gif

  7. オート同期化(オプションの)を設定して下さい:

    ポリシー同期化は手動である場合もありましたりまたは自動化しました。 手動同期化は必要に応じて予定 時間に NAC マネージャ間のポリシー同期化を各 x 日数(最小は 1 日です)一度実行するためにオート同期化タイマーは自動的に設定することができるが実行されたことができます。 Cisco は NAC マネージャ間のオート同期化を有効に する前に行い、手動同期化を同期化が正常にはたらくことを確認します強く推奨します。 円に関する問題を解決するのにどのように手動同期化を使用できるか理解するために解決するために参照して下さい。

    1. オート同期化を有効に するために、Administration > CCA マネージャ > ポリシー同期化に > マスター NAC マネージャのオート同期化ナビゲート して下さい。

    2. _(hh から始まって同期を自動的にチェックして下さい: mm: ss)各_日チェックボックス。

    3. どの位の割りで(この例の 15 日毎に)そのオート同期化を実行したいと思うかこの例で同期化(1:00 AM)の時に入れば。

    4. 自動的に定期的な基礎のポリシーを受け取るチェックし、『Update』 をクリック して下さいレシーバを選択するためにボックスを自動の下で。

      http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-13.gif

確認

このセクションでは、設定が正常に機能していることを確認します。

  1. Administration > CCA マネージャ > ポリシー同期化へのナビゲート > マスターの手動同期化。

  2. 同期化説明の下で同期の名前(オプションの)を入力して下さい

  3. 同期化操作を行いたいと思うレシーバを選択して下さい。 ボックスを選択されるの下でチェックし、同期化をクリックして下さい。 この例では、1 台のレシーバだけ、172.23.117.10 あります、従って選択されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-14.gif

  4. この時点で、マスターはレシーバに対して前同期化正常性チェックを行います。 前同期化チェックは認証情報が正しいことマスターおよびレシーバ NAC マネージャが(ポリシーを受け取るため押し、)正しく設定される、および、先祖などようにします 設定または許可 エラーがある場合、前同期化チェックは適切なエラーメッセージと失敗します。 Troubleshoot セクションを参照して下さい。

  5. 設定または許可問題がない場合、マスターは正常な前同期化チェックを表示する。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-15.gif

  6. ヒットは正常に同期化を完了し続けます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-16.gif

  7. レシーバ NAC マネージャに行き、交通規則が同期されることを確認して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-17.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

ロギング

同期化概略は CCA マネージャ > マスターおよびレシーバのポリシー同期化 > 履歴の下で記録 されます。

マスター NAC マネージャ:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-18.gif

レシーバ NAC マネージャ:

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-19.gif

詳しいトランザクションログを調べるためにログイン順序の下で拡大鏡アイコンをクリックして下さい:

*************** Master Log ***************

Starting policy import/export on Policy Sync Master.
Created dump file for policy: User Management -> User Roles -> List of Roles/Schedule
Created dump file for policy: Device Management > Clean Access > Clean Access Agent > Role-Requirements
Created dump file for policy: Device Management > Filters > Devices
Created dump file for policy: User Management->Traffic Control->IP
Created dump file for policy: User Management->Traffic Control->Host
Created dump file for policy: User Management->Traffic Control->Ethernet
Dump file creation is complete.
Created policy import/export dump file. 
Created  policy import/export header file. 
Created policy import/export tar file. 


*************** Receiver Log ***************

Starting policy import on Policy Sync Receiver.
Hash value is a match. 
Policy Sync Master and Receiver CAM versions match. 
All SQL statements successfully executed 
All requirements are valid. 
All rules are valid. 
Role tables integrity check is successful.

正常にポリシー同期化レシーバで完了するポリシー インポート/エクスポート。

問題

  1. レシーバ拒否されたアクセス権。 この CAM はレシーバのポリシー同期化マスターとして承認されません。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-20.gif

    このエラーは一般的に マスター DN 情報がレシーバ NAC マネージャで不適切に設定されるのでレシーバがポリシー同期化を拒否することを意味します。 > CCA マネージャ > ポリシー同期化 > 設定し、レシーバのレシーバを「マスター」情報正しく設定される承認したことを確かめます『管理』 を選択 して下さい。

  2. このレシーバは承認されません

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-21.gif

    このメッセージは一般的に レシーバが許可のために設定されないか、またはマスター NAC マネージャで設定される許可 パラメータ(レシーバの DN 情報)が不正確であることを意味します。 > CCA マネージャ > ポリシー同期化 > 設定し、マスターのマスターを確かめ、認証 識別名によって承認されたレシーバのリストの下で存在 する レシーバの認証の DN 情報を正しく設定されます『管理』 を選択 して下さい。

  3. このホストはポリシー同期化レシーバで設定されません。

    http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/108332-nac-pie-22.gif

    ポリシー同期化のために有効に ならないまたはレシーバであることを設定しませんこのメッセージは一般的に マスターがホストに同期することを試みることを意味しますか。 > CCA マネージャ > レシーバであるためにおよびポリシー同期化によって有効に される ボックスはチェックされること、そしてするために選択される NAC マネージャのポリシー同期化 > 設定『管理』 を選択 して下さいポリシーをインポートすること許可しなさいことを)オプション ボタンはレシーバに(設定 されるように。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 108332