セキュリティ : Cisco NAC アプライアンス(Clean Access)

ACL による Cisco NAC レイヤ 3 OOB

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Network Admission Control(NAC)は、ネットワーク アクセスを要求するすべてのデバイスに対して組織のネットワーク セキュリティ ポリシーを適用します。 Cisco NAC は対応のおよび信頼されたエンドポイント デバイスただ、PC のような、ネットワークにサーバおよび PDA、許可します。 アクセスは不適合なデバイスのために制限 されます、出現セキュリティの脅威および危険性からの潜在的 な 損傷を制限する。 Cisco NAC は不正アクセスを防ぐことに組織に強力な、役割ベース 方式を与え、ネットワーク弾力性を改善します。

Cisco NAC ソリューションは次のビジネス上の利点を提供します:

  • セキュリティポリシー 準拠性: エンドポイントがセキュリティポリシーに合致するようにします; インフラストラクチャおよび従業員の生産性を保護します; 管理された管理対象外のアセットを保護します; 内部環境およびゲスト アクセスをサポートします; 危険 レベルにポリシーを合わせます。

  • 既存の投資を保護します: サードパーティ製の管理アプリケーションと互換性があります; 適用範囲が広いデプロイメントオプションはインフラストラクチャ アップグレードのための必要を最小限に抑えます。

  • ウイルス、ワームおよび不正アクセスからの危険性を軽減します: 制御は大規模 な インフラストラクチャ 中断を減らし、; 移動、 追加および変更をダイナミックおよび自動化されるようにより高い IT 効率を有効に するすることによって操業費を減らします、; 他の Cisco 自己防衛 ネットワーク コンポーネントと広範囲の機密保持を提供するために統合。

ソリューションの概要

このセクションは Access Control List (ACL) メソッドを使用して簡潔に Cisco Network Admission Control (NAC)アーキテクチャを設定するためにレイヤ3 Out-of-Band (OOB)をもたらします。

ソリューション 説明

ネットワークインフラストラクチャで Cisco NAC がネットワークリソースにアクセスを追求するすべてのデバイスのセキュリティポリシー 準拠性を実施するのに使用されています。 ネットワーク アクセスを認められる前に認証し、承認しユーザ、評価するべき Cisco NAC 割り当てネットワーク管理者および remediate を関連するマシン。 このタスクを完了するのに使用できるがレイヤ3 Out-of-Band (OOB)に NAC における最も普及した配備方式の急速になった 1 つがあります複数の構成方法があります。 人気のこのシフトはハードウェアリソースのよりよい利用を含む複数の原動力に、基づいています。

レイヤ3 OOB 方法論の Cisco NAC の展開によってより多くのユーザを取り扱うために、単一 Cisco NAC アプライアンスは(Cisco NAC マネージャまたは Cisco NAC サーバ)スケーリングできます。 それはまた NAC アプライアンスが中央にキャンパスか組織を渡って配られるよりもむしろあるようにします。 従って、レイヤ3 OOB 配備は資本および操作上経費観点からはるかに費用効果が高い です両方。

このガイドはレイヤ3 OOB 配備で Cisco NAC の ACL ベース 実装を記述します。

ソリューション アーキテクチャ

図が 1)キー ソリューション コンポーネントおよび統合ポイントを特定することをソリューション アーキテクチャ(参照して下さい。

図 1: 典型的なキャンパス 環境の Cisco NAC アプライアンス 配置

nac-oob-acls-01.gif

以降のセクションは典型的なキャンパス アーキテクチャを構成するアクセス層、ディストリビューションレイヤ、コアレイヤをおよびデータセンタ サービス 統合ポイントを記述します。

アクセス層

Cisco レイヤ3 OOB NAC ソリューションはルーティングされたアクセス キャンパスデザインに適当です。 ルーティングされたアクセス モードでは、レイヤ3 はアクセス スイッチでスイッチド仮想インターフェイス(SVIs)設定され、そこにアクセスとディストリビューションスイッチ間のレイヤ3 リンクです。

注: 用語「アクセス スイッチ」および「エッジ スイッチ」はこの資料で相互に使用されます。

図 2 に見られるように、レイヤ3 アクセス VLAN (たとえば、VLAN はエッジ スイッチで 14)設定されます、レイヤ3 ルーティングはスイッチからアップストリーム ディストリビューションスイッチまたはルータへのサポートされ、Cisco NAC マネージャはアクセス スイッチのポートを管理します。

図 2: エッジへのレイヤ3 が付いているアクセス スイッチ

/image/gif/paws/112168/nac-oob-acls-02.gif

ディストリビューションレイヤ

ディストリビューションレイヤはレイヤ3 ルーティングに責任があります。 レイヤ2 ソリューションとは違って、Cisco NAC サーバはディストリビューションレイヤにある必要はありません。 その代り、それはデータセンタ サービス ブロックに中央に置かれます。

コアレイヤ

コアレイヤは Cisco IOS ベース ルータを使用します。 コアレイヤはサービスなしで高速ルーティングのために予約済み、です。 サービスはデータセンタにサービス スイッチに置くことができます。

データセンタ サービス 層

データセンタ サービスは使用 Cisco IOS ベース ルータおよびスイッチを層にします。 Cisco NAC マネージャおよび Cisco NAC サーバはデータセンタ サービス ブロックに中央にあります。

ソリューション コンポーネント

このセクションは Cisco NAC アプライアンス ソリューションのコンポーネントを記述します。

Cisco NAC マネージャ

Cisco NAC マネージャは Cisco NAC アプライアンス配備のすべての Cisco NAC サーバ、ユーザおよびポリシーの設定 および モニタリングを中心にするアドミニストレーションサーバおよびデータベースです。 OOB NAC 配備に関しては、マネージャはおよびマネージャのドメインの制御スイッチを追加し、スイッチポートを設定するために OOB 管理提供します。

Cisco NAC サーバ

Cisco NAC サーバは信頼できない(管理された)ネットワークと信頼された(内部)ネットワーク間のエンフォースメント ポイントです。 サーバはポリシングを行ないます Cisco NAC マネージャで定義されて実施し、エンドポイントは認証の間にサーバと通信します。 この設計では信頼できないのおよび信頼できるネットワークを分けるために、サーバは論理的にまたは物理的に「インラインに」置かれません。 この概念は「Out-of-Band (OOB) モード」セクションの以降をより詳しく当たります。

Cisco NAC エージェント

Cisco NAC エージェントは Cisco NAC ソリューションのオプション コンポーネントです。 エージェントが Cisco NAC 配備のために有効に なるとき、エージェントはネットワーク大会にシステム ポスチャ必要条件アクセスするコンピュータが規定 するようにします。 Cisco NAC エージェントはユーザ マシンに常駐する読み取り専用、使いやすい、小型フットプリント プログラムです。 ユーザがネットワークにアクセスするように試みるときエージェントは必要とする、ヘルプ ユーザは抜けた更新かソフトウェアを得ますソフトウェアがあるようにクライアント システムを確認し。

Out-of-Band (OOB) モード

Cisco NAC アプライアンス OOB 配備では、Cisco NAC サーバは認証プロセスの間にだけエンドホストと通信しましたり、アセスメントおよび治療をポーズをとらせます。 それが証明された後、エンドホストはサーバと通信しません。 OOB モードでは、Cisco NAC マネージャはポートのために制御スイッチおよび set vlan 割り当てに簡易ネットワーク管理プロトコル(SNMP)を使用します。 Cisco NAC Manager および Server が OOB のために設定されるとき、マネージャはサポートされたスイッチのスイッチポートを制御できます。 サポートされたスイッチのリストに関しては、に行って下さい:

http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.html#wp40017

これからのダイアグラムはユーザがネットワークにアクセスをどのように得るか制御するのに Cisco NAC マネージャがどのように OOB を使用するか示します。 シーケンスは次の通りです:

  1. PC はネットワークのスイッチに物理的に接続されます(図を 3)参照して下さい。

  2. スイッチは SNMP を使用して Cisco NAC マネージャへの MAC アドレスを送信 します(図を 3)参照して下さい。

  3. Cisco NAC マネージャは PC が「」。証明されるかどうか確認します

    1. PC が証明されない場合、Cisco NAC マネージャは認証 VLAN に PC のスイッチポートを割り当てるようにスイッチに指示します(図を 4)参照して下さい。 ステップ 4 からステップ 6.と続けて下さい。

    2. PC が証明される場合、ステップ 5.に行って下さい。

  4. PC は Cisco NAC サーバと通信し、認証、ポスチャ アセスメントおよび治療を通過します(図を 4)参照して下さい。

  5. Cisco NAC サーバは PC が「証明される」こと Cisco NAC マネージャを知らせます(図を 5)参照して下さい。

  6. PC は信頼されたデバイスとしてネットワークに接続されます。

図 3: OOB SNMP 通信(3)の 1

nac-oob-acls-03.gif

図 4: OOB SNMP 通信(3)の 2

nac-oob-acls-04.gif

図 5: OOB SNMP 通信(3)の 3

nac-oob-acls-05.gif

設計上の考慮事項

レイヤ3 OOB NAC 配備を考慮するとき、複数の設計上の考慮事項を検討する必要があります。 次のサブセクションで論議されるこれらの考慮事項はリストされて重要性の簡潔な検討は含まれています。

エンド ポイント分類

複数のファクタはデバイスの種類およびユーザの役割を含むエンドポイント 分類に、貢献します。 デバイスの種類およびユーザの役割は両方エンドポイント ロールに影響を与えます。

可能性のある デバイスの種類

  • 団体デバイス

  • 非団体デバイス

  • 非 PC デバイス

可能性のある ユーザの役割

  • Employee

  • Contractor

  • ゲスト

最初に、すべてのエンドポイントは非認証 VLAN に割り当てられます。 他のロールへのアクセスは識別の後で許可され、ポスチャ プロセスは完了しました。

エンドポイント ロール

エンドポイントの各型のロールは最初に判別する必要があります。 典型的なキャンパス配備は複数のロールが、従業員のような、プリンタ、ワイヤレスアクセスポイントおよび IP カメラのようなゲストおよび建築業者および他のエンドポイント、含まれています。 ロールはエッジ スイッチ VLAN にマッピング されます。

注: 非認証ロールは 1 回目の認証のための非認証 VLAN に最初にすべてのユーザをマッピング します。

分離ロールの

Cisco NAC ソリューションを設定するときエンドポイント ロールを隔離することは重要です。 非認証および不正 ホスト マシンからの発信するすべてのトラフィックにトラフィックおよびパス分離を提供するために適切な施行メカニズムを選択して下さい。 レイヤ3 OOB 環境では、レイヤ3 エッジ スイッチは間の分離を「確認するエンフォースメント ポイントとして(ACL を使用して)きれいになります」「非認証」ネットワーク機能し。

トラフィック フロー

NAC はエンドポイントが NAC 管理されたスイッチに接続すると始まります処理します。 「非認証として」分類されるトラフィックは非認証 VLAN で適用される ACL によって制限 されます。 エンドポイントはポスチャ アセスメントおよび治療プロセスによって続くために Cisco NAC サーバの「信頼できない」インターフェイスと通信することができます(ポスチャ アセスメントをおよび行う「Cisco NAC マネージャの Cisco.com からのアップデート ポリシーの説明されていた以降」。の複数のメソッドが治療をあります セクション)。 認証の後で、エンドポイントは信頼された VLAN に移動されます。

Cisco NAC サーバモード

Cisco NAC サーバはバーチャル ゲートウェイ(ブリッジ)モードまたはリアル IP ゲートウェイ(ルーティングされる)モードで展開することができます。

バーチャル ゲートウェイ(ブリッジ)モード

バーチャル ゲートウェイ(ブリッジ)モードは一般的に Cisco NAC サーバがエンドポイントに隣接してレイヤ2 のとき使用されます。 このモードでは、サーバはブリッジとして機能し、ネットワークトラフィックのルーティング決定に関連しません。

注: バーチャル ゲートウェイ(ブリッジ)モードはレイヤ3 OOB ACL 設計のための適用されないです。

リアル IP ゲートウェイ(ルーティングされる)モード

リアル IP ゲートウェイ(ルーティングされる)モードは Cisco NAC サーバがエンドポイントからの複数のホップのとき適当です。 リアル IP ゲートウェイとしてサーバを使用するとき、2 つのインターフェイスの IP アドレスを規定 して下さい: 信頼された側のための 1 IP アドレス(Cisco NAC マネージャからの管理を提供するため)および信頼できない側のための 1 IP アドレス。 2 アドレスは異なるサブネットであるはずです。 信頼できないインターフェイス IP アドレスは信頼できないサブネットのエンドポイントと通信するために使用されます。 ACL を使用してレイヤ3 OOB 配備はエンドポイントが認証 および 権限目的で信頼できないインターフェイスと通信するように要求します。 実質 IP モードが信頼できないインターフェイスのために有効 な IP アドレスを使用するので、Cisco NAC サーバはリアル IP ゲートウェイ モードで機能するために設定する必要があります。

拡張性

標準 Cisco NAC サーバは 5000 人までの同時エンドユーザを管理できます。 レイヤ3 OOB ACL 設計は 5000 人以下のユーザを動作するサイトに適しません。 複数 の サイトがある場合、サイトごとの追加サーバがあることができます。 5000 人以上のユーザを動作する必要がある単一 サイトがあれば単一 サイトのための 5000 人以上のユーザをスケーリングする(たとえば、アプリケーション コントロール エンジン(ACE)ロードつりあい機)外部ロード バランシング手法を使用できます。

注: ACE ロードつりあい機説明はこの資料の範囲を超えてあります。

ディスカバリ ホスト

ディスカバリ ホストは完全修飾ドメイン名 (FQDN)またはネットワーク上の Cisco NAC サーバによって見つけられる複数のホップを検出するのに Cisco NAC エージェントによって使用される信頼できないインターフェイス IP アドレスです。 エージェントは既知 ディスカバリ ホスト アドレスへ UDP パケットを送信 することによって発見のプロセスを開始します。 ディスカバリ パケットは応答を受け取るために NAC サーバ 信頼できないインターフェイスに到着する必要があります。 レイヤ3 OOB 配備の場合には、サーバは認証 VLAN のデータトラフィックのパスにありません。 従って、ディスカバリ ホスト設定はエージェントがサーバにディスカバリ パケットを直接送信できるように Cisco NAC サーバの信頼できないインターフェイスの IP アドレスであるために行う必要があります。

ユーザ エクスペリエンス(Cisco NAC エージェントと)

通常、社内ネットワーク 管理者はクライアントマシンでユーザにそれらのマシンを発行する前に Cisco NAC エージェントをインストールします。 Cisco NAC エージェントのディスカバリ ホスト IP アドレスか解決可能な名前は NAC サーバの信頼できないインターフェイスに送信 されるべき NAC プロセスによって自動的にクライアントマシンをガイドするディスカバリ パケットを引き起こします。

ユーザ エクスペリエンス(Cisco NAC エージェントなしで)

Cisco NAC エージェント(可能性が高いゲスト、建築業者および非団体アセット)のないエンドポイントは NAC プロセスによって自動的に続かないかもしれません。 手動のおよびガイドされたメソッドはエージェントがないエンドポイントを助けるためにあります。 詳細は、「Cisco NAC サーバ通信へのエンドポイント」セクションを参照して下さい。

注: 最もよいエンドユーザ体験に関しては可能な限り、エンドユーザのブラウザによって信頼される使用 認証。 Cisco NAC サーバの自己生成認証を使用する実稼働環境のために推奨されません。

Cisco NAC プロセスフロー

このセクションは NAC OOB ソリューションのための基本 プロセス フローを説明します。 シナリオはクライアントマシンでインストールされる Cisco NAC エージェントの有無にかかわらず記述されていた両方です。 このセクションは Cisco NAC マネージャが制御メディアとして SNMP を使用してスイッチポートをどのように制御するか示します。 これらのプロセス フローは、マクロ分析的な性質があり、機能決定手順だけを含んでいます。 プロセスフローは発生する含まれていませんエンドポイント アセスメント 基準に基づいている許可デシジョンが歩まないし、各オプションが含まれないし。

図 6.説明される一周されたステップについては図 7 示されているプロセスフロー流れ図を参照して下さい。

図 6: レイヤ3 アウトオブバンド NAC ソリューションのための NAC プロセスフロー

nac-oob-acls-06.gif

図 7: プロセスフロー流れ図

nac-oob-acls-07.gif

Cisco NAC ソリューション 実装

レイヤ3 OOB NAC 設計では ACL を使用する、Cisco NAC Server Guide 認証は機能しますが、サーバはネットワークの Policy Enforcement Point ではないです。 エッジ スイッチは認証、検疫およびアクセス ステージの間にエンフォースメント ポイントとして機能します。 このシフトに基づいて、エッジ スイッチでいくつかの追加変更が必要となります。

分離ロールの

正常な NAC 配備に関しては、エンドポイントの分離は重要です。 エンドポイント 分類 設計が判別された後、クラス間の権限は判別する必要があります。 推奨される アプローチは図 8.に基づいて、続きます。

図 8: Cisco NAC OOB ソリューションのアプローチ ロールの分離

nac-oob-acls-08.gif

注: Cisco NAC マネージャ インターフェイスおよび Cisco NAC サーバの信頼されたインターフェイスは異なる VLAN で上で説明されます。 ただし、これら二つのインターフェイスは同じ VLAN にサーバがリアル IP ゲートウェイ モードで展開される場合であることができます。

非認証 VLAN はこれらのリソースにアクセスを必要とします:

  • DHCP および DNS のようなインフラストラクチャ サービス

  • 認証サーバ、一般的に NAC 検証前の Windows ドメイン ログオンのためのドメインコントローラ

  • NAC サーバの信頼できないインターフェイス

  • 治療サーバ(オプションの)

従業員 VLAN はすべてのリソースに一般的に 無制限のアクセスをアクセスできます、建築業者 VLAN にリソースのサブセットに一般的に 制限されたアクセスがあり、ゲスト VLAN はインターネットにだけアクセスできます一般的に。

アクセス リスト手法

アクセス リスト (ACL)がネットワークトラフィックを規定 するのに使用されています。 ACL のトラフィックを規定 した後、トラフィックのいろいろな事柄をすることができます。 たとえば、それを許可するか、否定するか、制限するか、またはルーティング更新を制限するのに使用できます。

ACL 手法では、一組の ACL は必要条件に基づいて作成する各々の新しい VLANインターフェイスに適用されます。 次の部分で与えられる CLI コマンドが VLAN ACL を使用して信頼されたおよび信頼できないネットワーク パス隔離設定するために必要なコマンドを示します。 ACL を設定するために下記のプロシージャに従って下さい。

注: それらの VLAN の分離ロールののための VLAN の付加はおよび設定 ACL 各エッジ スイッチで実行された必要があります。 この作業は NAC 配備準備の一部であるはずです。

  1. NAC を設定する前に、既存のVLAN構成を検査して下さい。

    次のテキストで示されている CLI コマンドは NAC が設定されている前に従業員 VLAN が一般的にどのように設定されるか示します。

    !
    int vlan
    200description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
  2. 追加 VLAN を設定して下さい。

    配置前 NAC 計画は VLANインターフェイスに適用される追加 VLAN および関連した ACL を設定することを必要とします。 一例として、次の CLI テキストは非認証、従業員、建築業者およびゲスト ロールのそれぞれのための新しいレイヤ3 VLAN を追加する方法を示します。

    ! 
    int vlan
    100description UNAUTHENTICATED_Vlan
    ip address 172.16.1.1 255.255.255.0
    !
    int vlan
    200description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
    int VLAN
    210description CONTRACTORS_Vlan
    ip address 10.120.1.1 255.255.255.0
    !
    int vlan
    300description GUESTS_Vlan
    ip address 192.168.1.1 255.255.255.0
    !
  3. 非認証ロールの実装する制限。

    非認証ロールの非認証デバイスは DNS、DHCP、アクティブ ディレクトリおよび治療サーバのようなはっきりしたネットワークのリソースに一般的に アクセスを、必要とします。 それらはまた 10.10.10.0/24 のネットワークおよび Cisco NAC サーバの信頼できないインターフェイスのリソースに下記の設定 例の Cisco NAC サーバの信頼できないインターフェイスにアクセスを、非認証ロール アクセスできます必要とします。

    ! 
    ! this access-list permits traffic destined to devices on 10.10.10.x
    ! this should be a consistent ACL that can be applied across all L3 
    switches
    !
    ip host NAC_SERVER_UNTRUSTED_INTERFACE <IP_Address>
    access-list 100 permit ip any host NAC_SERVER_UNTRUSTED_INTERFACE
    access-list 100 permit ip any 10.10.10.0 255.255.255.0
    !
    !
    ! then apply this access-list to the UNAUTHENTICATED_Vlan
    !
    int vlan100
    description UNAUTHENTICATED_Vlan
    ip address 172.16.1.1 255.255.255.0
    ip access-group 100 in
    !
    int vlan200
    description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
    int vlan300
    description GUESTS_Vlan
    ip address 192.168.1.1 255.255.255.0
    !
  4. ゲスト VLAN の実装する制限。

    通常、ゲスト ロールにインターネットだけにアクセスできます。 要らないリソースへのすべてのアクセスは、すべての内部ネットワークのような、明示的に拒否する必要があります。 唯一の例外は内部DNSサーバであるかもしれません。

    ! 
    ! ACL 100 permits traffic destined to devices on 10.10.10.0 / 24
    ! this should be a consistent ACL that can be applied across all L3 
    switches
    !
    access-list 100 permit ip any 10.10.10.0 255.255.255.0
    !
    !
    ! ACL 101 for Guests should deny access to all internal networks
    ! while DNS is permitted 
    !
    access-list 101 permit udp any host GUEST_DNS_SERVER eq 53
    access-list 101 deny ip any 10.0.0.0 255.0.0.0
    access-list 101 deny ip any 192.168.0.0 255.255.0.0
    access-list 101 deny ip any 172.16.0.0 255.240.0.0
    access-list 101 permit ip any any
    !
    int VLAN100
    description UNAUTHENTICATED_VLAN
    ip address 172.16.1.1 255.255.255.0
    ip access-group 100 in
    !
    int VLAN200
    description EMPLOYEES_VLAN
    ip address 10.100.1.1 255.255.255.0
    !
    !
    int VLAN300
    description GUESTS_VLAN
    ip address 192.168.1.1 255.255.255.0
    ip access-group 101 in
    !

Cisco NAC サーバ通信へのエンドポイント

Cisco NAC サーバは device's MAC address を確認し、Cisco NAC マネージャに戻って報告するために ActiveX のために有効に なる Cisco NAC エージェントか Web ログイン ページから MAC 情報か Javaアプレットを得ます。

Cisco NAC エージェント

Cisco NAC エージェントはログイン プロセスを開始するために NAC サーバ 信頼できないインターフェイスと交信する必要があります。 エージェントは既知 ディスカバリ ホスト値に基づいてサーバを検出することを試みます。 図 9 に示すように、Cisco エージェント(nacs.nac.local)のディスカバリ ホスト値は信頼できないインターフェイスを指します(172.23.117.57) NAC サーバで。 図 9 3 つの画面の組み合せを示します。

参照して下さい「エージェント ログオンを」。 Cisco NAC エージェントを通ってログオンで詳細については区分して下さい。

図 9: NAC サーバの信頼できないインターフェイスを指すディスカバリ ホスト

nac-oob-acls-09.gif

注: Cisco NAC エージェントはエージェントが Cisco NAC サーバから応答背部を受け取れなければ場合現われません。

Web ログイン

ゲスト ログインセッションに Web ログオンが一般的に必要となります。 ACL 分離手法が使用されるとき、NAC サーバ 信頼できないインターフェイスはデータトラフィックのパスに直接ありません。 従って、ユーザはログイン ページに自動的にブラウザが最初に開くときリダイレクトされません。 2 つのオプションはログイン ページを得るためにエンドホストをイネーブルに設定できます。

オプション 1

  • ユーザに知られているゲスト ログオン URL を作成して下さい(たとえば、guest.cisco.com)。

  • ゲストはそしてブラウザを開き、ログイン ページにリダイレクトを引き起こすその URL を入力する必要があります。

オプション2

  • 非認証ユーザ サブネットのためのダミーの DNSサーバを作成して下さい。

  • このダミー DNSサーバは Cisco NAC サーバの信頼できないインターフェイスに各 URL を解決します。

  • ゲストが URL に関係なく彼が達することを試みているブラウザを開くとき彼はログイン ページにリダイレクトされます。

  • ユーザが彼のロールのための適切な VLAN にそれから移動されるとき、彼は IP リリースを行うとき新しい DNS アドレス 割り当てを得るか、または正常なログインで更新します。

レイヤ3 OOB 設計では、ユーザは Webページ ダウンロードを使用してログイン ActiveX コントロール(Internet Explorer ブラウザのために)または Javaアプレットを実行し、(非 IE ブラウザのために)。 ActiveX コントロール(か Java)次を行うために動作したにちがいありません:

  • IP アドレスおよび MAC アドレス マッピングを提供するために Cisco NAC サーバおよび Cisco NAC マネージャに報告されるホストの MAC アドレスを集めて下さい。

  • IP リリースを行い、エンドポイント クライアントの更新して下さい。

注: ゲストを内部か外部 DNS を使用することを許可するデシジョンは各組織が作る必要がある政策決定です。 公共ベースの DNS を使用する姿勢をこのアプローチの最少潜在的リスク保守して下さい。

Webページを通してログオンの Web ログオンを、詳細については参照して下さい。

NAC レイヤ3 OOB ACL構成例

順調に NAC OOB ソリューションを展開するために、NAC コンポーネントは望ましいアーキテクチャを一致するように設定される必要があります。 図 10 ACL を使用して NAC レイヤ3 OOB 配備のための Cisco NAC マネージャ、Cisco NAC の関係のある構成をサーバおよびエッジ スイッチ説明するのにこのセクションで使用するレイヤ3 NAC OOB ロジカルネットワーク ダイアグラムを示します。

図 10: NAC レイヤ3 OOB 論理的 な トポロジー ダイアグラム

nac-oob-acls-10.gif

レイヤ3 実質 IP OOB NAC 配備を設定するために、次の手順に従って下さい:

  1. 適用のためのエッジ スイッチを設定して下さい。

    1. 最初に、エッジ スイッチの 3 つの追加 VLAN を(非認証、建築業者およびゲスト)作成して下さい。 既存の本番 VLAN は従業員のために使用されます。

    2. 各 VLAN の ACL を assigned roles に基づいてネットワークにアクセスを制限するために設定および適用して下さい。

      • 非認証ロール: VLAN 17 および ACL 名前: UNAUTH_ACL

        ! Create SVI for Un-auth VLAN
        
        Edge Switch(config)#interface vlan 17
        Edge Switch (config)#ip address 192.168.7.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        ! 192.168.3.10 is the dhcp server (see Figure 10) 
        
        ! Configure ACL for Un-auth Role
        Edge Switch(conf)#ip access-list extended UNAUTH_ACL
           remark Allow Discovery packets from Agent to NAC Server
           permit udp any host 192.168.8.10 eq 8906
           remark Allow Discovery packets from Agent to NAC Server for ADSSO
           permit udp any host 192.168.8.10 eq 8910
           remark Allow Web traffic from PC to NAC Server
           permit tcp any host 192.168.8.10 eq www
           remark Allow SSL traffic from PC to NAC Server
           permit tcp any host 192.168.8.10 eq 443
           remark Allow DHCP permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark Allow Web traffic to the Remediation Server
           permit tcp any host 192.168.3.10 eq www
        
        ! Apply ACL for Un-auth VLAN Interface
        
        Edge Switch(config)#interface vlan 17
        Edge Switch(config)# ip access-group UNAUTH_ACL in
      • 建築業者ロール: VLAN 77 および ACL 名前: CONTRACTOR_ACL

        ! Create SVI for Contractor VLAN
        
        Edge Switch(config)#interface vlan 77
        Edge Switch (config)#ip address 192.168.77.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL for Contractor Role
        
        Edge Switch(conf)#ip access-list extended CONTRACTOR_ACL
           remark Allow DHCP permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark Allow traffic to DMZ Subnet 
           permit ip any 192.168.3.0 0.0.0.255
           remark deny rest of the internal resources
           deny ip any 10.0.0.0 255.0.0.0
           deny ip any 192.168.0.0 255.255.0.0
           deny ip any 172.16.0.0 255.240.0.0
           remark permit internet
           permit ip any any
        
        ! Apply ACL for Contractor VLAN Interface
        
        Edge Switch(config)#interface vlan 77
        Edge Switch(config)# ip access-group CONTRACTOR_ACL in
      • ゲスト ロール: VLAN 78 および ACL 名前: GUEST_ACL

        ! Create SVI for GUEST VLAN
        
        Edge Switch(config)#interface vlan 78
        Edge Switch (config)#ip address 192.168.78.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL for Guest Role
        
        Edge Switch(conf)#ip access-list extended GUEST_ACL
           remark Allow DHCP 
           permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark deny access to the internal resources
           deny ip any 10.0.0.0 255.0.0.0
           deny ip any 192.168.0.0 255.255.0.0
           deny ip any 172.16.0.0 255.240.0.0
           remark permit internet
           permit ip any any
        
        ! Apply ACL for GUEST VLAN Interface
        
        Edge Switch(config)#interface vlan 78
        Edge Switch(config)# ip access-group GUEST_ACL in
      • 従業員ロール: VLAN 14 および ACL: Production_ACL

        既存の本番 VLAN が非認証 VLAN から従業員 VLAN に従業員を移動するのに使用することができます。 端クライアントがこの VLAN に移動された後、Cisco NAC エージェントはまだ Cisco NAC サーバを検出するように試みます。 エージェントはこうすればを動作するように設計されています。 エージェントがサーバに達できれば場合エージェントはマシンが既にアクセスを認めてしまったのにポップアップし、ログイン プロセスを再度行うように試みます。 明らかに、これは不必要な動作であり、管理者はエージェントから起きる UDP 8906 ディスカバリ パケットが廃棄されるようにする必要があります。 Employee_ACL はこれらのディスカバリ パケットを廃棄するために設定されます。

        ! Use Existing Production Layer 3 VLAN for Employees 
        
        Edge Switch(config)#interface vlan 14
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL to prevent discovery packets from reaching the 
        untrusted interface on the NAC Server
        
        Edge Switch(conf)#ip access-list extended Employee_ACL
           remark Deny Discovery packets from Agent to NAC Server
           deny udp any host 192.168.8.10 eq 8906
           permit ip any any
        
        ! Apply ACL for Employee VLAN Interface
        
        Edge Switch(config)#interface vlan 14
        Edge Switch(config)# ip access-group Employee_ACL in
  2. Cisco NAC Manager および Server の初期セットアップを行って下さい。

    Cisco NAC Manager および Server インストールはコンソールアクセスによって実行された。 インストール ユーティリティはマネージャおよびサーバ両方のための初期設定によってガイドします。 初期セットアップを行うために、に行って下さい:

    http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html

  3. Cisco NAC マネージャにライセンスを適用して下さい。

    コンソールによって初期セットアップを行った後、Cisco NAC Manager および Server を設定し続けるように Cisco NAC マネージャGUI にアクセスして下さい。 最初にアプライアンスによって来たサーバライセンスおよびマネージャをアップロードして下さい。 ライセンスのアップロードのより多くの詳細に関しては、に行って下さい:

    http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html#wp1113597

    注: すべての Cisco NAC Manager および Server ライセンスはマネージャの eth0 MAC アドレスに基づいています。 フェールオーバー セットアップでは、ライセンスはプライマリおよびセカンダリ Cisco NAC マネージャの eth0 MAC アドレスに基づいています。

  4. Cisco NAC マネージャの Cisco.com からのポリシーをアップデートして下さい。

    Cisco NAC マネージャは Cisco にいる中央アップデート サーバから定期的なアップデートを取得するために設定する必要があります。 サポートされたウイルス対策および antispyware ベンダーおよびポスチャ アセスメントおよび治療のためのウイルス対策または antispyware ルールおよびウイルス対策または antispyware 定義 アップデート必要条件を設定するのに使用される製品バージョンの最新行列を提供する Cisco NAC アプライアンスによってサポートされる AV/AS 製品リストは中央集中型アップデート サーバから配られるバージョン付き XML ファイルです。 このリストは各 Cisco NAC エージェント リリースでサポートされるウイルス対策のためにおよび antispyware 製品およびバージョン定期的にアップデートされ、エージェント バージョンのための新製品が含まれています。 リストがバージョン情報だけを提供することに注目して下さい。 Cisco NAC マネージャがサポートされたウイルス対策および antispyware 製品リストをダウンロードするとき、最新バージョンがウイルス対策および antispyware 製品のためであるものについての情報をダウンロードしています; それは実際のパッチ ファイルかウイルス定義ファイルをダウンロードしていません。 この情報に基づいて、エージェントはそれからネイティブ ウイルス対策か更新を行うために antispyware アプリケーションを引き起こすことができます。 詳細については更新がどのようにに関する取得されるか、に行って下さい:

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html#wp1351880

  5. サード パーティ 認証局 (CA)から認証をインストールして下さい。

    インストールの間に、Cisco NAC マネージャおよび Cisco NAC 両方のためのコンフィギュレーションユーティリティ スクリプトはサーバ一時 SSL 認証を生成するように要求します。 ラボ 環境に関しては、自己署名証明書を使用し続けることができます; ただし、それらは実稼働 ネットワークのために推奨されません。

    サード パーティ CA から Cisco NAC マネージャで認証をインストールすることに関する詳細については、に行って下さい:

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_admin.html#wp1078189

    サード パーティ CA から Cisco NAC サーバで認証をインストールすることに関する詳細については、に行って下さい:

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_admin.html#wp1040111

    注: ラボ 環境、Cisco NAC マネージャおよび Cisco NAC サーバで自己サイン 認証を SSL > 信頼できる証明書機関信頼された認証局として両方のための認証をアップロードするように要求する他の認証を信頼する各必要使用していれば。

  6. Cisco NAC マネージャに Cisco NAC サーバを追加して下さい。

    NAC サーバを NAC マネージャに追加するために、次の手順に従って下さい:

    1. デバイス管理 ペインの下で CCA サーバをクリックして下さい(図 11 参照して下さい)。

    2. 新しい Server タブをクリックして下さい。

    3. NAC サーバの信頼されたインターフェイスの IP アドレスを追加するのにサーバのIPアドレス ボックスを使用して下さい。

    4. サーバ ロケーション ボックスでは、サーバ ロケーションとして OOB NAC サーバを入力して下さい。

    5. サーバタイプ ドロップダウン リストからアウトオブバンド リアル IP ゲートウェイを選択して下さい。

    6. Clean Access サーバを『Add』 をクリック して下さい。

      図 11: Cisco NAC マネージャに Cisco NAC サーバを追加する方法

      nac-oob-acls-11.gif

      Cisco NAC サーバを追加した後、サーバ タブのリストの下でリストに現われます(図 12 参照して下さい)。

      注: Cisco NAC マネージャおよび Cisco NAC サーバはサーバの追加に成功するためにマネージャのための互いの認証局 (CA)を信頼しなければなりません。

  7. Cisco NAC サーバを設定して下さい。

    1. 図 12 に示すように、サーバ タブのリストをクリックして下さい。

    2. 設定を続けるために Cisco NAC サーバのための Manage アイコンを(一周される)クリックして下さい。

      図 12: Cisco NAC マネージャが管理する Cisco NAC サーバ

      nac-oob-acls-12.gif

      Manage アイコンをクリックした後、示されている画面は図 13 現われます。

  8. イネーブル レイヤ3 サポート。

    1. Network タブをクリックして下さい(図 13)。

    2. イネーブル L3 サポート チェックボックスをチェックして下さい。

    3. Clean Access エージェント チェックボックスの NAT デバイスをブロックするためにイネーブル L3 厳密なモードをチェックして下さい。

    4. [Update] をクリックします。

    5. 指示されるように Cisco NAC サーバをリブートして下さい。

      図 13: Cisco NAC サーバネットワーク 詳細

      nac-oob-acls-13.gif

      注: 信頼できないインターフェイスの IP アドレスの Cisco NAC サーバのための認証を常に生成して下さい。 name-based 認証に関しては、名前は信頼できないインターフェイス IP アドレスに解決する必要があります。 NAC を始めるためにエンドポイントがサーバの信頼できないインターフェイスと通信するとき処理して下さい、サーバは認証ホスト名か IP にユーザをリダイレクトします。 信頼されたインターフェイスへの認証ポイントが、ログイン プロセス正しく機能しなければ。

      図 13 では 2 つのデフォルト ゲートウェイがあることが上で、わかります。 信頼されたインターフェイスで設定されるデフォルト ゲートウェイだけ適当です。 信頼できないインターフェイスの値はトラフィックを転送するために使用されません。 トラフィックは信頼できないインターフェイスから転送される次 の ステップでカバーされるスタティック ルートに依存しています。

  9. スタティック・ルートを設定して下さい。

    1. Cisco NAC サーバ リブートがサーバに、戻った、設定と繰り返される後。

      サーバは非認証 VLAN のエンドポイントと通信するのに信頼できないインターフェイスを使用する必要があります。

    2. 非認証 VLAN にルーティングを追加する高度 > スタティック・ルートに(図 14 参照して下さい)行って下さい。

    3. 非認証 VLAN のための適切なサブネットを記入して下さい。

    4. ルートを『Add』 をクリック して下さい。

    5. これらのルーティングに信頼できないインターフェイス [eth1] を選択して下さい。

      図 14: スタティック ルートの非認証ユーザ サブネットに到達するために追加方法

      nac-oob-acls-14.gif

  10. Cisco NAC マネージャのスイッチ用のセットアップ プロファイル。

    1. 選定された OOB 管理 > プロファイル > デバイス > Edit (図 15 参照して下さい)。

    2. ガイドとして例を使用してデバイス プロファイル 情報を、記入して下さい。

      各スイッチはプロファイルと関連付けられます。 Cisco NAC マネージャが管理するエッジ スイッチの各型のためのプロファイルを追加して下さい。 マネージャは SNMPv1、SNMPv2c および SNMPv3 をサポートします。 この例は SNMPv1 だけをカバーします。 マネージャとスイッチ間のセキュア SNMP 通信のための SNMPv2 か SNMPv3c を設定したいと思う場合もあります。

      図 15: スイッチを管理するのに使用される SNMP プロファイル

      /image/gif/paws/112168/nac-oob-acls-15.gif

    3. SNMP のためのスイッチ設定を設定して下さい。

      エッジ スイッチは Cisco NAC マネージャで設定されるそれらと同じ SNMP 読み書きコミュニティ ストリングのために設定する必要があります。 下記の CLI コマンドを参照して下さい。

      3560-remote(config)#snmp-server community cisco123 RO
      3560-remote(config)#snmp-server community cisco321 RW
    4. 選定された OOB 管理 > プロファイル > ポート > 新しい(図 16 参照して下さい)。

      個別のポート制御に関しては、デフォルト非認証 VLAN および既定のアクセス VLAN を含む OOB 管理 > プロファイル > ポートの下でポート プロファイルを設定して下さい。 アクセス VLANセクションでは、ドロップダウンなアクセス VLAN を使用して VLAN ユーザの役割の規定 して下さい。 Cisco NAC マネージャはユーザが属するロールで定義される VLAN に基づいてアクセス VLAN に非認証 VLAN を変更します。

      設定されるユーザの役割および VLAN に基づいてポートの VLAN を制御するためにポート プロファイルを定義して下さい。

      どの非認証デバイスが最初に割り当てられるか Auth VLAN は非認証 VLAN (への 17) VLAN です。

      既定のアクセス VLAN は従業員 VLAN (14) VLAN です。 この VLAN は認証済みユーザが役割ベース VLAN を定義してもらわない場合使用されます。

      アクセス VLAN はユーザの役割の下で定義される VLAN ユーザの役割のにデフォルトVLAN を無効にすることができます(設定ユーザの役割に関する詳細については、ユーザの役割を設定するために参照して下さい「」。 セクション)。 LDAP マッピングが LDAP グループに NAC のユーザの役割をマッピング するのに使用することができます。 詳細については、に行って下さい:

      http://www.cisco.com/en/US/products/ps6128/products_tech_note09186a0080846d7a.shtml

      図 16: スイッチポートを管理するポート プロファイル

      /image/gif/paws/112168/nac-oob-acls-17.gif

      注: また ID の代りに VLAN 名前を定義できます。 VLAN 名前を定義する場合、キャンパスを渡る異なるスイッチの異なる VLAN ID、特定のロールに接続される同じ VLAN 名前があることができます。

      追加オプションは IP リリースにポート プロファイルの下で利用でき、オプションを更新します。 これらのオプションを見るために図 16 示されているページをスクロールして下さい。

      ユーザが IP Phone の後ろにある場合、VLAN が変更されたチェックボックス(図 17 参照して下さい)だった後バウンスのポート チェックを外して下さい、場合チェックされたら、IP Phone をリブートするかもしれないポートが跳ねられるとき。

      図 17: さまざまなオプション 利用可能 な下ポート プロファイル

      nac-oob-acls-18.gif

  11. SNMP レシーバ設定を設定して下さい。

    read または write のための SNMP コミュニティストリングの設定に加えて、また Cisco NAC マネージャをスイッチから SNMPトラップを受け取るために設定して下さい。 これらのトラップはユーザがポートからの切断接続するとき送信 され。 Cisco NAC サーバがマネージャに特定のエンドポイントの MAC IP アドレス 情報を送信 するとき、マネージャは MAC/IP およびスイッチポートのためにマッピングテーブルを内部で作成します。

    注: トラップを送信 するためにすべてのスイッチを設定して下さい図 18 定義されるコミュニティ ストリングを使用している Cisco NAC マネージャに知らせます。

    1. 選定された OOB 管理 > プロファイル > SNMP レシーバ(図 18 参照して下さい)。

    2. ガイドで画面を使用して SNMPトラップ設定を図 18 設定して下さい。

      図 18: SNMPトラップおよび Informs を集める NAC マネージャ SNMP レシーバ設定

      nac-oob-acls-19.gif

    3. SNMPトラップのスイッチ設定を行うために、NAC OOB のために Cisco 最良 の 推奨事項毎に 1 時間(下記の CLI ボックスの 3600)にデフォルト スイッチ Clean Access Manager (CAM)フラッシュ タイマーを増長して下さい。 CLI サンプルは 3600 に mac-address-table エージング タイム パラメータ セットを示します。

      1 時間へのタイマーを設定 することは Cisco NAC マネージャに既に送信 される MAC 通知の周波数を接続装置から減らします。 トラップを送信するのに使用する送信元アドレスを規定 するのにソース トラップ コマンドを使用して下さい。

      snmp-server enable traps mac-notification
      snmp-server host 192.168.2.33 informs NacTraps
      snmp-server trap-source Vlan 2
      mac-address-table aging-time 3600

      任意で、Cisco NAC マネージャに設定して下さい(CLI サンプルで示されていない)送信 するために結合および LinkDown トラップを。 これらのトラップはエンドホストが IP Phone の後ろで接続されないデプロイメントシナリオでだけ使用されます。

      注: SNMP はそれらが SNMPトラップより信頼できるので推奨されます知らせます。 また、高トラフィック ネットワーク環境の SNMP のための QoS を考慮して下さい。

  12. Cisco NAC マネージャのデバイスとしてスイッチを追加して下さい。

    1. 選定された OOB 管理 > デバイス > デバイス > 新しい(図 19 参照して下さい)。

      ステップ 10 で作成されたスイッチ プロファイルがスイッチを追加するのに使用されます。

    2. デバイス プロファイルの下で、スイッチを追加するとき作成したプロファイルを使用して下さい、しかし Profile 値 デフォルトポートを変更しないで下さい。

      注: デフォルトポート プロファイルに関しては、決してアクセス スイッチのすべてのポートを管理しませんので「自由常に選択して下さい」。 最低 1 つのアップリンクポートは自由である必要があります。 従って、管理される必要がある自由なポート プロファイルのスイッチを追加し、次にポートを選択して下さい。

      図 19: Cisco NAC マネージャにエッジ スイッチを SNMP を使用して制御するために追加する方法

      nac-oob-acls-20.gif

    3. スイッチが Cisco NAC マネージャに追加された後、管理したいと思うポートを選択して下さい。

  13. デバイスのためのスイッチポートを NAC によって管理されるために設定して下さい。

    1. OOB 管理 > デバイス スイッチ[IP アドレス] > 管理できる利用可能 な スイッチポートを見るポート > リスト選択して下さい(図 20 参照して下さい)。

      図 20: 管理されたスイッチのために利用可能 な ポート コントロール選択

      nac-oob-acls-21.gif

    2. 選定された OOB 管理 > デバイス スイッチ[IP アドレス] > ポート > 複数のポートをすぐに管理することをどうにかして(図 21 参照して下さい)。

      図 21: 加入 オプションのマルチポートの管理

      nac-oob-acls-22.gif

  14. ユーザの役割を設定して下さい。

    この例では、3 つの追加ロールは作成されます。 既にロールにそれぞれによってが対応するエッジで作成される VLAN。

    1. > ロール ユーザの役割の > Edit 『User Management』 を選択 し、図 22 を使用してガイドとして従業員ロールを作成して下さい。

      図 22: 従業員ロールの作成および本番 VLAN 14 へマッピング すること

      nac-oob-acls-23.gif

    2. > ロール ユーザの役割の > Edit 『User Management』 を選択 し、図 23 を使用してガイドとして建築業者ロールを作成して下さい。

      図 23: 建築業者ロールおよびそれをマッピング することの制限されたアクセス VLAN 77 に作成

      nac-oob-acls-24.gif

    3. > ロール ユーザの役割の > Edit 『User Management』 を選択 し、図 24 を使用してガイドとしてゲスト ロールを作成して下さい。

      図 24: ゲスト ロールの作成およびインターネット VLAN だけにマッピング します

      nac-oob-acls-25.gif

      合計では、作成されるこのセクション(3 つの既定のロールおよび 3 つの新しいロール)の 6 つのロールを図 25 に示すように見るはずです。

      図 25: NAC マネージャにロールを追加する方法

      nac-oob-acls-26.gif

  15. ユーザを追加し、ユーザの役割を割り当てるために割り当てて下さい。

    キャンパス 環境では、外部認証サーバと統合、特定のロールに LDAP アトリビュートによってユーザをマッピング します。 この例はロールとローカルユーザおよび関連をそのローカルユーザ使用します。

  16. Web ログインのためのカスタマイズ ユーザ ログイン ページ。

    デフォルト ログイン ページは Cisco NAC マネージャで既に作成されています。 オプションでウェブ ポータルの出現を変更するためにログイン ページをカスタマイズできます。 NAC レイヤ3 OOB ソリューションに関しては次のタスクを行うために、ActiveX または Java コンポーネントは端クライアントにダウンロードする必要があります:

    1. クライアントマシンの MAC アドレスを取出して下さい。

    2. IP アドレス リリースを行い、更新して下さい。

    3. > ユーザページ 『管理』 を選択 して下さい(図 26 参照して下さい)。

    4. イネーブルに図 26 示されるオプションをするためにページを編集して下さい。

      図 26: Web ログインの User ページ設定

      /image/gif/paws/112168/nac-oob-acls-27.gif

  17. ユーザの役割のための Cisco NAC エージェントをカスタマイズして下さい。

    1. 管理 > Clean Access > 一般的 な セットアップ > エージェント ログインを『Device』 を選択 して下さい(図 27 参照して下さい)。

      Cisco NAC マネージャはエージェントをあらゆるユーザの役割のために必須にするために設定することができます。 この例では、エージェントは従業員ロールのために必須です。 建築業者およびゲスト ロールは Web ログオンを使用する必要があります。

    2. エージェント チェックボックスの必要と使用をチェックして下さい。

      図 27: 従業員ロールに必要なエージェント ログイン

      nac-oob-acls-28.gif

  18. Cisco NAC エージェントのためのディスカバリ ホストを配って下さい。

    Cisco NAC エージェントソフトウェア ディストリビューション、インストールおよび設定はエージェント ログインおよびクライアント ポスチャ アセスメント」セクションのための Cisco NAC アプライアンスを設定するの付録で「カバーされます。 この例は Cisco NAC マネージャのディスカバリ ホストを設定したものです。

    管理 > Clean Access > Clean Access エージェント > インストールを『Device』 を選択 して下さい(図 28 参照して下さい)。

    図 28: Cisco NAC エージェントのためのディスカバリ ホスト

    nac-oob-acls-29.gif

    ディスカバリ [Host] フィールドは図 28 に示すように Cisco NAC エージェントが Cisco NAC サーバからダウンロードされる場合事前に読み込まれます。

  19. Web ログオン。

    1. Cisco NAC マネージャが制御するエッジポートの 1 つを使用してクライアントマシンを接続して下さい。

      クライアントマシンは非認証 VLAN に置かれます。 マシンは非認証 VLAN サブネットから IP アドレスを得る必要があります。

    2. ログオンを行うためにブラウザを開いて下さい。

      想定はこのクライアントマシンが既にインストールされる Cisco NAC エージェントを備えていないことです。 DNS エントリすべてが Cisco NAC サーバの信頼できないインターフェイスにリダイレクトされる場合、ブラウザはログイン ページに自動的にリダイレクトする必要があります。 さもなければ、ログオンを行うことを仕様 URL に(たとえば、guest.nac.local)行って下さい(図 29)。

      図 29: Web ログイン ページ

      nac-oob-acls-30.gif

  20. エージェント ログオン。

    Cisco NAC エージェントはエンドユーザへのあらゆるその他のソフトウェア アプリケーションと同様に配ることができますか、または Cisco NAC サーバを使用して強制である場合もあります。

    注: エージェント ディストリビューションおよびインストールの詳細な情報は Cisco NAC アプライアンス- Clean Access Manager コンフィギュレーション ガイド参照して下さい。

    エージェントがアクティブになるとき、示されている画面は図 30 現われます。

    図 30: エージェント ログイン

    nac-oob-acls-31.gif

    1. サーバ ドロップダウン リストからサーバを選択して下さい。

    2. ユーザ名を入力して下さい。

    3. パスワードを入力します。

    4. [Log In] をクリックします。

      画面は図 31、図 32 によってやがて続かれて現われます。

      図 31: Cisco NAC エージェント実行 IP リリースは更新し、

      nac-oob-acls-32.gif

      図 32: IP リフレッシュの後で完全なネットワーク アクセスを示す Cisco NAC エージェント

      nac-oob-acls-33.gif

    5. [OK] をクリックします。

VLAN 割り当てを確認して下さい

この例のための管理されたポートは 0/7 です。 正常にログイン プロセスを完了した後、VLAN は非認証 VLAN 14 から従業員 VLAN 17 に変更されます。 どのポートが次のコマンドのか発行によって設定を実行しているか確認できます:

3560-remote#show run interface fast 0/7
Building configuration…

Current configuration : 153 bytes
!
interface FastEthernet0/7 
 switchport access VLAN 14 
 switchport mode access 
 snmp trap mac-notification change added 
 spanning-tree portfast
end

ワイヤレスのための NAC レイヤ3 OOB ACLソリューション

既存の NAC OOB ワイヤレスソリューションはバーチャル ゲートウェイ モードの Cisco NAC サーバのレイヤ2 OOB ソリューションに現在制限されます。 そのソリューションの制限はワイヤレス LAN コントローラ(WLC)が Cisco NAC サーバと隣接したレイヤ2 である必要があることです。 レイヤ2 OOB ワイヤレス配備に関する詳細については、に行って下さい:

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a138cc.shtml

注: 現在、Cisco はワイヤレス配備のための NAC レイヤ3 OOB ACLソリューションで動作しています。

付録

ハイ アベイラビリティ

ソリューションの個々の Cisco NAC マネージャおよび Cisco NAC のそれぞれはアクティブ スタンバイ設定で機能する 2 つのアプライアンスがあることを意味する高可用性のモードでサーバ設定することができます。

NAC マネージャ

Cisco NAC マネージャはアクティブ スタンバイ設定で行動する 2 人の NAC マネージャがある高可用性のモードで設定することができます。 マネージャのコンフィギュレーション全体はデータベースで保存されます。 スタンバイ マネージャはアクティブなマネージャのデータベースとデータベースを同期します。 アクティブなマネージャに行うどのコンフィギュレーション変更でもスタンバイ マネージャにすぐに押されます。 次のキーポイントは高可用性のマネージャ オペレーションの高レベル概略を提供します:

  • Cisco NAC マネージャ高可用性のモードはスタンバイ マネージャがアクティブなマネージャにバックアップとして行動する受動 2 サーバ 設定またはアクティブアクティブです。

  • アクティブな Cisco NAC マネージャはシステムのためのすべてのタスクを行います。 スタンバイ マネージャはアクティブなマネージャを監視し、データベースをアクティブなマネージャのデータベースと同期しておきます。

  • Cisco NAC マネージャは両方とも Eth0 によって信頼されるインターフェイスのための仮想 なサービス IP を共有します。 サービス IP は SSL 認証に使用する必要があります。

  • プライマリおよびセカンダリ Cisco NAC マネージャは 2 秒毎に UDP ハートビート パケットを交換します。 ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

  • アクティブな Cisco NAC マネージャを確認することは利用可能、信頼されたインターフェイス(Eth0)稼働する必要があります常にです。 状況はマネージャがアクティブ陥らないようにするであるが、必要がありましたりアクセス可能ではない直通信頼されたインターフェイスではないですところに。 この条件はスタンバイ マネージャがアクティブなマネージャからハートビート パケットを受信するが、アクティブなマネージャの Eth0 インターフェイスは)失敗します場合発生します。 リンク検出 メカニズムはアクティブなマネージャの Eth0 インターフェイスが利用できなくなるときスタンバイ マネージャが知ることを可能にします。

  • 「自動的に設定します」Administration > CCA マネージャの Eth1 インターフェイスを > Failover ページ選択できます。 ただし Cisco NAC マネージャのハイ アベイラビリティを設定する前に、IP アドレスおよびネットマスクの他の(Eth2 か Eth3)高可用性のインターフェイスを手動で設定して下さい。

  • Eth0、Eth1 および Eth2/Eth3 インターフェイスはハートビート パケットおよびデータベース 同期に使用することができます。 さらに、どの利用可能 なシリアル(COM)インターフェイスでもまたハートビート パケットに使用することができます。 これらのインターフェイスの 1 つ以上使用している場合、フェールオーバーはすべてのハートビート インターフェイスが失敗するときだけ発生します。

注: Cisco NAC マネージャ高可用性のペアはレイヤ3 リンクで分けることができません。

詳細については、Cisco NAC マネージャ ドキュメントをで参照して下さい:

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

Cisco NAC サーバ

保護をシングル ポイント障害に対して提供するために、Cisco NAC サーバは高可用性のモードで設定することができます。 Cisco NAC サーバにおける高可用性のモードは Cisco NAC マネージャのそれに類似したで、またアクティブ スタンバイ設定を使用します。 Cisco NAC サーバはまだ仮想 IP アドレスを(サービス IP と呼ばれる)共有しますが、バーチャルMACアドレスを共有しません。

次のキーポイントは高可用性の Cisco NAC サーバオペレーションのハイレベルな概要を提供します:

  • Cisco NAC サーバ高可用性のモードはスタンバイ Cisco NAC サーバ マシンがアクティブな Cisco NAC サーバにバックアップとして機能するアクティブ パッシブ 2 サーバ 設定です。

  • アクティブな Cisco NAC サーバはシステムのためのすべてのタスクを行います。 サーバコンフィギュレーションのほとんどが Cisco NAC マネージャで保存されるので、サーバ フェールオーバーが発生するとき、マネージャは新たにアクティブなサーバに設定を押します。

  • スタンバイ Cisco NAC サーバはインターフェイスの間でパケットを転送しません。

  • スタンバイ Cisco NAC サーバはハートビート インターフェイス(シリアルおよび 1つ以上の UDP インターフェイス)を通してアクティブなサーバの健全性を監察します。 ハートビート パケットはシリアルインターフェイス、専用 Eth2 インターフェイス、専用 Eth3 インターフェイス、または Eth0/Eth1 インターフェイスで(Eth2 か Eth3 インターフェイスが利用できなければ)送信することができます。

  • プライマリおよびセカンダリ Cisco NAC サーバは 2 秒毎に UDP ハートビート パケットを交換します。 ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

  • ハートビート ベースのフェールオーバーに加えて、Cisco NAC サーバはまた Eth0 か Eth1 リンク障害に基づいてリンク ベースのフェールオーバーを提供します。 Eth0 や Eth1 による外部 IPアドレスへのサーバ送信 ICMP Ping パケットはインターフェイスします。 フェールオーバーは 1 Cisco NAC サーバが外部アドレスを ping できるときだけ発生します。

詳細については、Cisco NAC サーバドキュメンテーションをで参照して下さい:

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

アクティブ ディレクトリ SingleSignOn (アクティブ ディレクトリ SSO)

Windows アクティブ ディレクトリ SSO はログインユーザへ既にバックエンド Kerberos ドメインコントローラ(アクティブディレクトリサーバ)に認証される Cisco NAC アプライアンスのための自動的に能力です。 この能力は既にドメイン ログイン されて いた後 Cisco NAC サーバにログイン する必要を省きます。 詳細については Cisco NAC アプライアンスのアクティブ ディレクトリ SSO の設定について、に行って下さい:

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_adsso.html

Windows ドメイン 環境考慮事項

NAC 配備の準備で、ログオン スクリプト ポリシーへの変更が必要となるかもしれません。 Windows ログオン スクリプトは始動かシャットダウンおよびログオンまたはログオフ スクリプトとして分類することができます。 Windows は実行します「マシン コンテキストの始動およびシャットダウン スクリプトを」。 スクリプトを実行することはこれらのスクリプトが一般的に非認証ロールである PC で起動するか、またはシャットダウンする実行されるとき Cisco NAC アプライアンスが特定のロールにスクリプトによって必要な適切なネットワークリソースを開く場合その時だけ機能します。 ログオンおよびログオフ スクリプトは「ユーザー コンテキストで実行されます実行することを」、ユーザが Windows ジナを通ってログオンした後ログイン スクリプトが意味します。 ログイン スクリプトは実行しないために場合があります認証かクライアントマシン ポスチャ アセスメントが完了しないし、ネットワーク アクセスが時間に認められなければ場合。 これらのスクリプトはまた OOB ログオン イベントの後で Cisco NAC エージェントによって始められる IP アドレス リフレッシュによって割り込むことができます。 ログオン スクリプトへの必要な変更に関する詳細については、に行って下さい:

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a70c18.shtml

エージェント ログインおよびクライアント ポスチャ アセスメントのための Cisco NAC アプライアンスの設定

Cisco NAC エージェントおよび Cisco NAC Web エージェントはクライアントマシンにローカル ポスチャ アセスメントおよび治療を提供します。 ユーザはホスト レジストリ、プロセス、アプリケーションおよびサービスをチェックできる Cisco NAC エージェントまたは Cisco NAC Web エージェント(読み取り専用クライアントソフトウェア)ダウンロードし、インストールします。 詳細についてはエージェントについておよびポスチャ アセスメントおよび治療、に行って下さい:

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112168