セキュリティ : Cisco NAC Appliance 4.1.0

トラフィック分離に VRF-Lite を使用する Cisco NAC レイヤ 3 OOB

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このガイドでは、Virtual Route Forwarding(VRF)-Lite に基づくレイヤ 3 のアウトオブバンド(OOB)導入での Cisco Network Admission Control(NAC)の実装について説明します。

ソリューションの概要

このセクションは VRF ライト メソッドを使用してレイヤ3 OOB に NAC アーキテクチャを設定するために簡単に紹介を与えます。

要約

Cisco NAC はネットワーク アクセスを追求するすべてのデバイスの組織のネットワークセキュリティポリシーを実施します。 Cisco NAC は対応のおよび信頼されたエンドポイント デバイスただ、PC のような、ネットワークにサーバおよび PDA、許可します。 出現セキュリティの脅威および危険性からの潜在的 な 損傷を制限する Cisco NAC は不適合なデバイスのアクセスを制限します。 Cisco NAC は組織に不正アクセスを防ぎ、ネットワーク弾力性を改善するために強力な、役割ベース 方式を与えます。

Cisco NAC ソリューションはこれらのビジネス上の利点を提供します:

  • セキュリティポリシー 準拠性—エンドポイントがセキュリティポリシーに合致するようにします; インフラストラクチャおよび従業員の生産性を保護します; 管理された管理対象外のアセットを保護します; 内部環境およびゲスト アクセスをサポートします; 危険 レベルにポリシーを合わせます

  • 保護します既存の投資—サードパーティ製の管理アプリケーションと互換性があります; 適用範囲が広いデプロイメントオプションはインフラストラクチャ アップグレードのための必要を最小限に抑えます

  • ウイルス、ワームおよび不正 な アクセスコントロールからの危険性を軽減し、大規模 な インフラストラクチャ 中断を減らします; 従って移動、 追加および変更をダイナミックおよび自動化されるようにすることによって操業費を減らしま、より高い IT 効率を有効に します; 他の Cisco 自己防衛 ネットワーク コンポーネントと広範囲の機密保持を提供するために統合

ソリューション 説明

Cisco NAC はネットワークインフラストラクチャでネットワークリソースにアクセスを追求するすべてのデバイスのセキュリティポリシー 準拠性を実施するために使用されます。 ネットワーク アクセスを認められる前に認証し、承認しユーザ、評価するべき Cisco NAC 割り当てネットワーク管理者および remediate を関連するマシン。 このタスクを完了するのに複数の構成方法を使用できます。 この資料は Cisco NAC サーバ(Cisco Clean Access サーバ)がリアル IP ゲートウェイ(ルーティングされる)モードで設定されるレイヤ3 OOB 配備の Cisco NAC の VRF ベースの実装にとりわけ焦点を合わせます。

レイヤ3 OOB は NAC における最も普及した配備方式の 1 つです。 人気のこのシフトはハードウェアリソースのよりよい利用を含む複数の原動力に基づいています。 レイヤ3 OOB 方法論の Cisco NAC の展開によってより多くのユーザを取り扱うために、単一 Cisco NAC アプライアンスはスケーリングできます。 それはまた Cisco NAC アプライアンスが中央にキャンパスか組織を渡って配られるよりもむしろあるようにします。 従って、レイヤ3 OOB 配備は資本および操作上経費観点からより費用効果が高い です両方。

このガイドは VRF ライトに基づいているレイヤ3 OOB 配備で Cisco NAC の実装を記述します。

VRF の簡単な定義

VRF デバイス 仮想化を検知 する 1 つの方法は VLAN の出現へそれを一致することです。 VLAN は単一 物理的 な スイッチからバーチャル スイッチを作成しました。 VRF はレイヤ2 境界を過ぎたその仮想化を拡張し、仮想ルータの作成を可能にします。 仮想ルータはエンドツーエンドからの完全仮想化されたネットワークを提供します。

VRF 設計を検知 するもう一つの方法は各 VRF が VPN かトンネルと同様に機能することです。 トラフィックはトラフィックまでの VRF (トンネル)の外でトンネル(宛先 VPN Router)を終えるデバイスを VRF に置かれる通ります通信できません。

注: これらの定義は新しい概念の導入を助けるように意味されます。 これらの定義は VRF の正確ではない表示または公式 定義ではないです。

図 1 VRF のデバイス 仮想化の実例を示します。 ダイアグラムの各々のカラリングされた層は別の仮想ルータ、か VRF を表します。 VRF 方法論は倍数によって隔離されるデータ平面を持つ機能と共にコントロール プレーンおよびデータ平らなパス分離を、提供します。 すなわち、それは別途の仮想ルータに可能性か環境で期待される各トラフィックタイプにネットワークを提供します Cisco NAC を使用する。 典型的なトラフィックタイプは次のとおりです:

  • 非認証ユーザ トラフィック

  • 認証済みユーザ トラフィック

  • 建築業者トラフィック

  • ゲスト トラフィック

図 1 –デバイス 仮想化

nac-layer3-01.gif

ソリューション アーキテクチャ

Cisco NAC サーバはインバンド アプライアンスであるために最初設計されました。 Ciscoネットワークインフラストラクチャの Cisco NAC アプライアンスの使用はすべてのネットワークトラフィックにインバンドであるようにアプライアンスを奪取 することを設計されていた可能にし OOB 方法論とそれを展開します。

図が 2) Cisco NAC サーバのキー ソリューション コンポーネントおよび統合ポイントを特定することをソリューション アーキテクチャ(参照して下さい。

注: この資料では、用語「エッジ スイッチ」および「アクセス スイッチ」は相互に使用されます。

図 2 –ソリューション アーキテクチャ

nac-layer3-02.gif

次の セクションはアクセス、ディストリビューション、コアをおよび典型的なキャンパス アーキテクチャを構成するデータセンタ層を記述します。

アクセス層

レイヤ3 OOB Cisco NAC ソリューションは経路選択済み アクセス キャンパスデザインに適当です。 ルーティングされたアクセス モードでは、レイヤ3 スイッチド仮想インターフェイス(SVIs)はアクセス スイッチで設定されます。 ように図 3 示します、レイヤ3 アクセス VLAN はスイッチからアップストリーム ディストリビューションスイッチまたはルータへのエッジ スイッチで(たとえば、VLAN 100)、レイヤ3 ルーティング サポートされます設定され、Cisco NAC マネージャはアクセス スイッチのポートを管理します。

図 3 –エッジへのレイヤ3 が付いているアクセス スイッチ

nac-layer3-03.gif

ディストリビューションレイヤ

ディストリビューションレイヤはアクセスレイヤスイッチのレイヤ3 ルーティングおよび集約に責任があります。 置くことができる間、レイヤ2 OOB のこの層の Cisco NAC サーバはレイヤ3 OOB 設計で、見つけませんそれらをここに設計します。 その代りソリューション アーキテクチャが示すように、データセンタ サービス ブロックに Cisco NAC サーバを中央に置いて下さい(2) 図

コアレイヤ

コアレイヤは Cisco IOS ベース ルータを使用します。 コアレイヤはサービスなしで高速ルーティングのために予約済み、です。 サービスのインポート サービスはデータセンタで切り替えます。

データセンタ サービス 層

データセンタ サービスはキャンパスネットワークの使用 Cisco IOS ベース ルータおよびスイッチを層にします。 Cisco NAC マネージャおよび Cisco NAC サーバはこのレイヤ3 OOB 設計にデータセンタ サービス ブロックに中央にあります。

ソリューション コンポーネント

Cisco NAC マネージャ

Cisco NAC マネージャは Cisco NAC アプライアンス配備のすべての Cisco NAC サーバ、ユーザおよびポリシーの設定 および モニタリングを中心にするアドミニストレーションサーバおよびデータベースです。 OOB Cisco NAC 配備に関しては、Cisco NAC マネージャはおよび Cisco NAC マネージャのドメインの制御スイッチを追加し、スイッチポートを設定するために OOB 管理提供します。

Cisco NAC サーバ

Cisco NAC サーバは信頼できない(管理された)ネットワークと信頼された(内部)ネットワーク間のエンフォースメント ポイントです。 サーバはポリシングを行ないます Cisco NAC マネージャで定義されて実施し、エンドポイントは認証の間にサーバと通信します。 この設計では、サーバは論理的に信頼できないのおよび信頼できるネットワークを分け、すべてのアクセス リスト(ACL)および信頼できないネットワークのデバイスの帯域幅制限用の中央集中型エンフォースメント ポイントとして動作します。 詳細については OOB モードセクションを参照して下さい。

Cisco NAC エージェント

Cisco NAC エージェントは Cisco NAC ソリューションのオプション コンポーネントです。 エージェントは Cisco NAC 配備のために有効に なるとき、ネットワーク大会にシステム ポスチャ必要条件アクセスするコンピュータが規定 するようにします。 エージェントはユーザ マシンに常駐する読み取り専用、使いやすい、小型フットプリント プログラムです。 ユーザがネットワークにアクセスするように試みるときエージェントは必要とするソフトウェアがあるようにクライアント システムを確認し、抜けた更新かソフトウェアを得るのを助けます。 ステップ 6 を参照して下さい: 詳細については Cisco NAC マネージャの Cisco.com からのポリシーをアップデートして下さい

設計上の考慮事項

レイヤ3 OOB NAC 配備を考慮するとき、複数の設計上の考慮事項を検討して下さい。 これらの考慮事項は重要性の簡潔な検討と共にこれらの部分に、リストされています。

OOB モード

Cisco NAC アプライアンス OOB 配備では、NAC サーバは認証プロセスの間にだけエンドホストと通信しましたり、アセスメントおよび治療をポーズをとらせます。 エンドホストは証明された後、サーバと通信しません。

OOB モードでは、Cisco NAC マネージャはポートのための簡易ネットワーク管理プロトコル(SNMP) 制御スイッチおよび set vlan 割り当てを使用します。 Cisco NAC Manager および Server が OOB のために設定されるとき、マネージャはサポートされたスイッチのスイッチポートを制御できます。 スイッチポートの制御は SNMP コントロール プレーンとして知られています。 サポートされたスイッチ モデルのリストに関しては、Cisco NAC アプライアンスのためのスイッチ サポートOOB によってサポートされるスイッチ セクションを参照して下さい。

OOB モードは配線された配備のために主に使用されます。 レイヤ3 OOB の VRF 方式が使用されるとき、信頼できない(汚れた) VLAN からのすべてのトラフィックは、エージェント トラフィックを含んで、すべての適用が起こる中央集中型 Cisco NAC サーバに達します。 サーバのトラフィック適用はレイヤ3 OOB の VRF 方式と ACL 方式間の主要 な 差別化要因です。

注: Cisco NAC サーバはインバンド デバイスであるために最初に設計されました。 すなわち、サーバが制御点であるようにするそれによるすべてのトラフィックフローがあるようにサーバは設計されていました。 レイヤ3 OOB の VRF 方式を使用する時、それがインバンド配備だったように丁度サーバによるすべての非認証ユーザ トラフィックフロー。 このトラフィックフローは一貫した、予想できる環境を可能にします。

エンドポイント 分類

複数のファクタはエンドポイント 分類に貢献し、デバイスの種類およびユーザの役割が含まれています。 デバイスの種類およびユーザの役割は両方エンドポイント ロールに影響を与えます。

これらは可能性のある デバイスの種類です:

  • 団体デバイス

  • 非団体デバイス

  • 非 PC デバイス

これらは可能性のある ユーザの役割です:

  • Employee

  • Contractor

  • ゲスト

最初に、すべてのエンドポイントは非認証 VLAN に割り当てられます。 他のロールへのアクセスは識別の後で許可され、ポスチャ プロセスは完了しました。

エンドポイント ロール

エンドポイントの各型のロールは最初に判別する必要があります。 典型的なキャンパス配備はプリンタ、ワイヤレスアクセスポイントおよび IP カメラのような従業員、ゲスト、建築業者および他のエンドポイントのような複数のロールが、含まれています。 ロールはエッジ スイッチ VLAN にマッピング されます。

注: すべてのエンドポイントが最初に属する認証に追加ロールが必要となります。 非認証「汚れた」VLAN へのマップこのロールの。

分離ロールの

NAC 設計のこの型に関しては、「汚れたとして」分類されるトラフィックは Cisco NAC サーバの「信頼できない」側にフローする必要があります。 Cisco NAC 実装を設計する間、このプリンシパルに留意して下さい。 さらに、互いに直接通信するために「きれいになります」「汚れた」ネットワーク許可しなければ。

非認証トラフィックは自身のバーチャルネットワークに隔離されて残ることをレイヤ3 OOB 設計が VRF を使用するとき、VRF は確認することを図 4 示します。 Cisco NAC サーバはエンフォースメント ポイントとして機能しますまたは確認するコントローラは間の分離およびセキュアコミュニケーションおよび「汚れた」ネットワーク「きれいになります」。

図 4 – Cisco NAC サーバは汚れた、きれいな側に接続します

nac-layer3-04.gif

トラフィック フロー

NAC はエンドポイントが NAC 管理されたスイッチポートに接続されるとき始まります処理します。 「汚れた」か「非認証として」分類されるトラフィックはネットワークの他から「汚れた」VRF にあると同時に分離されます。 このトラフィックは Cisco NAC サーバの信頼できないインターフェイスに分離され、送信 されます。 図 4 を参照してください。

注: Cisco NAC アプライアンスはトラフィックがそれにどのようにを示されるか気にとめないです。 すなわち、トラフィックが一般的ルーティングカプセル化によって到着するか、またはポリシー ベース ルーティング 設定、VRF 経路選択済み、または他のリダイレクション メソッドによってリダイレクトされるかどうかアプライアンス自体にプリファレンスがありません。

Cisco NAC サーバモード

これら二つのモードの 1 つの Cisco NAC サーバを展開できます:

バーチャル ゲートウェイ(ブリッジ)モード

バーチャル ゲートウェイ(ブリッジ)モードは一般的に Cisco NAC サーバがエンドポイントに隣接してレイヤ2 のとき使用されます。 このモードでは、サーバはブリッジとして機能し、ネットワークトラフィックのルーティング決定に関連しません。

注: このモードはこの特定の ACL 設計のための適用されないです。

リアル IP ゲートウェイ(ルーティングされる)モード

リアル IP ゲートウェイ(ルーティングされる)モードは Cisco NAC サーバがエンドポイントからのマルチプルレイヤ 3 ホップのレイヤ3 OOB のような設計でより適当です。 リアル IP ゲートウェイとしてサーバを使用するとき、2 つのインターフェイスの IP アドレスを規定 して下さい: 信頼された側(サーバ 管理)のための 1 つおよび信頼できない(汚れた)側のための 1。 2 アドレスは異なるサブネットである必要があります。 信頼できないインターフェイス IP は信頼できないサブネットのエンドポイントと通信するために使用されます。 このガイドが使用するモードはリアル IP ゲートウェイです。

ユーザ エクスペリエンス(Cisco NAC エージェントと)

通常、団体エンティティに端クライアントに先立って配置される Cisco NAC エージェントがあります。 エージェントのディスカバリ ホスト設定は NAC プロセスによって自動的にエンドポイントを続ける Cisco NAC サーバの信頼できないインターフェイスに送信 されるべきディスカバリ パケットを引き起こします。

VRF モデルのレイヤ3 OOB では、ディスカバリ ホストは Cisco NAC マネージャの DNS名または IP アドレスであるために一般的に 設定 されます。 はっきりしたネットワークで存在 して いるマネージャ。 「汚れた」ネットワークからのすべてのトラフィックが Cisco NAC サーバによってデフォルトでルーティングされるので、ディスカバリ パケットはサーバを自動的にフローします。 ここに記述されているトラフィックフローは VRF 方式へ利点の 1 つです。 このトラフィックフローは一貫した、予想できるエクスペリエンスを提供します。 詳細については Cisco NAC プロセスフローを参照して下さい。

ユーザ エクスペリエンス(Cisco NAC エージェントなしで)

Cisco NAC エージェントなしで操作する機能は VRF モデルのもう一つの利点です。 「汚れた」ネットワークからのすべてのトラフィックは Cisco NAC サーバによって自然にルーティングされます。 これは Cisco NAC エージェントのないマシンのユーザが Webブラウザしか開き、あらゆる有効な Webサイトにブラウズしなければならないことを意味します。 ブラウザ トラフィックはパススルーにサーバを試みます、それからブラウザー セッションをキャプチャ し、捕虜ポータルにそれをリダイレクトする。 詳細については Cisco NAC プロセスフローを参照して下さい。

注: 最もよいエンドユーザ体験に関しては可能な限り、エンドユーザのブラウザによって信頼される使用 認証。 Cisco NAC サーバおよび Cisco NAC の自己生成認証は実稼働環境のためにマネージャ推奨されません。

注: 信頼できないインターフェイスの IP アドレスの Cisco NAC サーバのための認証を常に生成して下さい。

Cisco NAC プロセスフロー

このセクションは NAC OOB ソリューションのための基本 プロセス フローを説明します。 シナリオはクライアントマシンでインストールされる Cisco NAC エージェントの有無にかかわらず記述されていた両方です。 このセクションは Cisco NAC マネージャが制御メディアとして SNMP を使用してスイッチポートをどのように制御するか示します。 これらのプロセス フローは、マクロ分析的な性質があり、機能決定手順だけを含んでいます。 プロセスフローは発生する含まれていませんエンドポイント アセスメント 基準に基づいている許可デシジョンが歩まないし、各オプションが含まれないし。

図 5.ある一周されたステップについてはプロセスフロー流れ図を図 6 参照して下さい

図 5 –レイヤ3 OOB Cisco NAC ソリューションのための NAC プロセスフロー

nac-layer3-05.gif

図 6 – Cisco NAC プロセスフロー ブロック ダイヤグラム

nac-layer3-06.gif

Cisco NAC ソリューション 実装

このセクションは Cisco NAC ソリューションを設定する方法を記述します。

トポロジ

図 7 このガイドの作成に使用するトポロジーを示します。 VLAN 200 および 210 で構成されている内部ネットワークはグローバル ルーティング テーブルの使用によってルーティングされます。 内部ネットワークにそれと関連付けられる VRF がありません。

汚れた VRF はすべての汚れたトラフィックのための単一 バーチャルネットワークを作成するため中央集中型 Cisco NAC サーバの汚れた側にフローするために必要である関連するトランジットネットワークおよび汚れた VLAN だけ含まれています。

ゲスト VRF はファイアウォールで個々のサブインターフェイスでゲスト VLAN から供給されるすべてのデータを終えるため必要である関連するトランジットネットワークおよびゲストが VLAN 含まれています。 3 つのバーチャルネットワークのそれぞれは(汚れた、ゲスト、グローバル)同じ物理的 な インフラストラクチャで運ばれ、完全なトラフィックおよびパス分離を提供します。

図 7 –このガイドで使用されるトポロジー

nac-layer3-07.gif

オペレーションの順序

Cisco NAC ソリューションの展開のためのオペレーションの順序は討論のため容易にです。 ネットワークが準備される前にソリューションの NAC 部分を設定しますか。 または Cisco NAC デバイスを設定する前に、ネットワークを準備しますか。

組織の為に、このガイドはネットワークコンフィギュレーションに最初に焦点を合わせます。 これはネットワークが NAC の準備ができていることを、そして Cisco NAC 製品の設定確認します。

ネットワーク設定

このガイドはパス分離のためのエンドツーエンド VRF ライトに焦点を合わせます。 既存のディストリビューションおよびコアレイヤを通してパス分離を可能にするために GREトンネルによって VRF を使用できるそれらのデバイスの設定を必要としないでことに注意することは重要です。 詳細についてはの 2 つのデバイス間の VRF が区分する延長ことをエンドツーエンド VRF と比較される GREトンネルを使用するためになぜ設計しなさい時、参照すれば。 またトラフィック 分離のために VRF ライトを使用する帯域 設計の指針から NAC レイヤ3 を参照できます。

この資料は GRE 方式の VRF ライトに焦点を当てられる完全な設計の指針です。

さらに、完全な Tagスイッチングは VRF ライトの代わりに適当ところに使用することができます。 Tagスイッチングはのスコープこの資料の目的で考慮されます。

VRF ライトに関する重要な問題

注: VRF ライトは 2つ以上のバーチャルネットワークをサポートすることを可能にする機能です。 VRF ライトはまたバーチャルネットワーク間のオーバーラップ IP アドレスを可能にします。 ただし、IP アドレス オーバーラップは NAC 実装のためにインフラストラクチャ自体がオーバーラップ アドレスをサポートする間、トラブルシューティング複雑な状況および不正確なレポートを作成できるので、推奨されません。

このセクション輪郭で提供されるステップで説明される詳細 VRF ライトを使用してパス分離のためのネットワークを設定するのに必要なステップ。 レイヤ3 OOB リアル IP ゲートウェイとしてネットワークに Cisco NAC アプライアンスを挿入するために必要な設定がまた提供されます。

VRF ライト使用インプットインターフェイス異なるバーチャルネットワークのためのルーティングを区別するためにおよびフォームは各 VRF の 1つ以上のレイヤ3 インターフェイスの関連付けによってバーチャルルーティング ルーティング・テーブルを分けます。 VRF のインターフェイスはイーサネットポートのような物理的、である場合もありますかまたはまたは、サブインターフェイス、トンネルインターフェイス、または VLAN スイッチ 仮想インターフェイス(SVIs)のような論理的ある場合もあります。

注: レイヤ3 インターフェイスは複数の VRF に一度に属することができません。

VRF ライトこれらの考慮事項に注意して下さい:

  • VRF ライトは定義される、VRF メンバシップはインプットインターフェイスによって判別されますスイッチにだけローカルで固有であり。 パケット ヘッダーまたはペイロードの操作は実行されません。

  • VRF ライトとのスイッチは複数のバーチャルネットワーク(セキュリティドメイン)によって共有され、すべてのセキュリティドメインに自身のユニークなルーティング テーブルがあります。

  • すべてのセキュリティ ドメインには独自の VLAN が必要になります。

  • VRF ライトはサポートしませんすべてのマルチプロトコル ラベル スイッチング(MPLS) -ラベル交換のような VRF 機能性、ラベル配布プロトコル (LDP)またある隣接関係、またはラベル付きパケットは Tagスイッチングとして確認します)。

  • レイヤ3 Ternary Content Addressable Memory (TCAM) リソースはすべての VRF の間で共有されます。 どの 1 VRF でも十分な連想記憶メモリ(CAM)スペースがあることを確認するために、maximum routes コマンドを使用して下さい。

  • VRF ライトを使用する Catalyst スイッチは 1 つのグローバル ネットワークおよび 64 まで VRF をサポートできます。 サポートされるルートの合計数は、TCAM のサイズによって限定されます。

  • VRF ライトを実行するデバイス間の Border Gateway Protocol (BGP)、Open Shortest Path First (OSPF)、Enhanced Interior Gateway Routing Protocol (EIGRP)、ルーティング情報プロトコル (RIP)およびスタティック ルーティングのようなほとんどのルーティング プロトコルを使用できます。

  • ほとんどの場合、VRF ライトと BGP を実行する必要がありません。

  • VRF-Lite は、パケット スイッチング レートに影響しません。

  • 同じレイヤ3 インターフェイスのマルチキャストおよび VRF ライトを同時に設定できません。

  • ネットワークデバイス間のルーティング プロトコルで OSPF を設定するとき router ospf の下で機能 VRF ライト サブコマンドを使用して下さい。

VRF を定義して下さい

この設計例では、パス分離は非認証か汚れたユーザおよびゲストに提供する必要があります。 他のトラフィックはすべて内部ネットワークを使用することができます。 この設定が示すと同時に 2 VRF を定義して下さい:

VRF 設定例

!--- This command creates a VRF for the DIRTY virtual network:

!
ip vrf DIRTY
!

!--- This command names the VRF and places you into VRF configuration mode:

!
description DIRTY_VRF_FOR_NAC
!

!--- Gives the VRF a user friendly description field for documentation

!
rd 100:3
!

!--- Creates a VRF table by specifying a route distinguisher. 
!--- Enter either an AS number and an arbitrary number (xxx:y) or an IP 
!--- address and arbitrary number (A.B.C.D:y).

!

!--- This document uses the Autonomous System number and a unique router-id in that AS. 
!--- This example signifies AS 100:Router-ID 3

!

注: ルート区分は VRF ライトのための要求されたコンフィギュレーションではないです。 ただし、それは Tagスイッチングをシームレスに使用するように未来のためのルート区分を設定する最良 の 方法とみなされます。


! -- Here we create a VRF for the GUEST Virtual Network:

!
ip vrf GUESTSdescription GUESTS_VRF_FOR_VISITORSrd 600:3
!

VLAN またはインターフェイスと VRF の関連付け

VRF がレイヤ3スイッチかルータで定義された後、属する VRF の VRF ライト設定に加わるだろうインターフェイスを関連付けて下さい。 VRF の物理的か仮想インターフェイスを関連付けることができます。 すべて VRF と関連付けられるこのセクション 物理インターフェイスの例を、補助的なインターフェイス、Switched Virtual Interface およびトンネルインターフェイスは提供します。

注: 例はサンプルだけで、この資料のトポロジーで使用されませんでした。

物理インターフェイス設定例
interface FastEthernet0/1
ip vrf forwarding GUESTS

!--- Associates the interface with the appropriate VRF defined in Step 1.

ip address 192.168.39.1 255.255.255.252

サブインターフェイス設定例
interface FastEthernet3/1.10
encapsulation dot1Q 10
ip vrf forwarding DIRTY
ip address 192.168.10.1 255.255.255.252

Switched Virtual Interface 設定例
interface Vlan100
ip vrf forwarding DIRTY
ip address 192.168.100.1 255.255.255.0

トンネルインターフェイス 設定例
interface Tunnel0
ip vrf forwarding GUESTS
ip address 192.168.38.2 255.255.255.252
tunnel source Loopback0
tunnel destination 192.168.254.1

2 つのデバイス間の VRF デバイスを拡張して下さい

インフラストラクチャの 2 つのピース間の VRF を伸ばすために使用できる複数の受諾可能な方式があります。 これらの基準に基づいている選択する方式ことを確かめて下さい:

  • プラットフォームの機能を考慮して下さい。 すべての Cisco 現在の層 3 可能な企業 切り替えおよびルーティング プラットフォームは VRF ライトをサポートします。 これらのプラットフォームは含んでいますが、に、Catalyst 6500、4500、3750、および 3560 のプラットフォーム制限されません。

  • ルーティング プラットフォームは適切な IOS を実行する必要があります。 プラットフォームは含んでいますが、に、7600、3900、3800、2900、2800、1900、1800、および 800 シリーズ 統合サービス ルータ(ISR)制限されません。

  • インフラストラクチャの関連したピース間のレイヤ3 ホップの数を考慮して下さい。 レイヤ3 ホップの数を判別するために、配備をできるだけ簡単に保存して下さい。 たとえば、5 つのレイヤ3 ホップがチャネル連携信号 (CAS) デバイスおよびクライアントをホストするインフラストラクチャの間にあれば、それは管理上のオーバーヘッドを作成できます。

適切ではないソリューションの場合、次のようになります。

  • レイヤ2 トランキングは非常に最適でない レイヤ2 トポロジーを作成します。

  • レイヤ3 サブインターフェイスは設定するために多くの追加インターフェイスを作成します。 設定するべきより多くのインターフェイスは追加管理 間接費および潜在的な IP アドレッシング問題を作成できます。 インフラストラクチャに冗長性がないという想定のもとで、ネットワークの各層に入力および出力 物理インターフェイスが両方あります。 サブインターフェイスの数のための計算はそれからあります(VRF の 2 つの*ネットワークの層の数*数)。 例に 2 VRF があります、従って数式はあります(2 *5 * 2)か 20 のサブインターフェイス。 冗長性が追加された後、この数はもっとより倍増します。 これを GRE 拡張に比較すると、GRE 拡張で同一の最終結果に必要とされるのは 4 つのインターフェイスだけです。 この比較は GRE が設定影響をどのように減らすか説明します。

レイヤ 2 トランキング

レイヤ2 トランキングはアクセス層 デバイスがサブインターフェイスをサポートしないシナリオで好まれます。 Catalyst 3560、3750、および 4500 のプラットフォームはサブインターフェイスをサポートしません。

レイヤ3 アクセス モデルではプラットフォームにサブインターフェイスをサポートしないプラットフォームに接続する、一方の使用 レイヤ2 トランキングおよび反対側の使用 サブインターフェイス。 この設定はレイヤ3 戸棚アーキテクチャのすべての利点を維持し、まだいくつかのプラットフォームのサブインターフェイス サポートの制限を克服します。

リンクの一方だけのレイヤ2 トランキングを設定するプライマリ長所の 1 つはスパニングツリーがレイヤ3 環境に再び導入されないことです。 3750 の関係のある構成例を 3750 アクセス スイッチ参照しなさい。 GRE かサブインターフェイスをサポートしないかどれが、6500 ディストリビューションスイッチに接続されます。 6500 ディストリビューションスイッチは GRE およびサブインターフェイスをサポートします。

3750 関係のある構成

この設定では、ネイティブ VLAN のデフォルト設定は FastEthernet 1/0/1 の VLAN 1 です。 この設定は変更されていません。 ただし、VLAN 1 はリンクを渡ってトランキングされることができません。 許可された VLAN はタグ付けされている VLAN だけに制限されます。

このレイヤ3 トポロジーのスイッチ間 トランクニゴシエーションまたは VLANトランク プロトコル(VTP)トラフィックのための必要がありません。 従って、またこのリンクで送信されるあらゆるタグなしトラフィックのための必要がありません。 この設定は不必要なレイヤ2 セキュリティホールを開発しないのでアーキテクチャのセキュリティ態勢を高めます。

3750 の関係のある構成例

!--- 3750 Switch configuration, related to connecting it to a 
!--- sub-interface capable switch (Catalyst 6500):

!
ip vrf DIRTY
 rd 100:1
!
ip vrf GUEST
 rd 600:1
!
interface GigabitEthernet1/0/48
 description Uplink to Cat6k
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 901-903,906
 switchport mode trunk
 spanning-tree portfast trunk
!

!--- Since the 3750 does not support sub-interfaces, 
!--- you must configure one SVI per transit network:

!
interface Vlan901
 description DIRTY_TRANSIT
 ip vrf forwarding DIRTY
 ip address 172.26.120.2 255.255.255.252
!
interface Vlan902
 description GLOBAL_TRANSIT
 ip address 172.26.120.6 255.255.255.252
!
interface Vlan906
 description GUEST_TRANSIT
 ip vrf forwarding GUEST
 ip address 172.26.120.14 255.255.255.252
!

!--- This configuration uses EIGRP as the routing protocol 
!--- of choice in this document.
!--- Each VRF is defined as a separate 
!--- Autonomous System under the Global AS.

!
router eigrp 26
 !
 address-family ipv4 vrf DIRTY
  network 172.26.120.0 0.0.0.255
  autonomous-system 100
  no auto-summary
 exit-address-family
 !
 address-family ipv4 vrf GUEST
  redistribute static
  network 172.26.120.0 0.0.0.255
  autonomous-system 600
  no auto-summary
 exit-address-family
 network 172.26.0.0

6500 関係のある構成

この設定では VLAN 901、902、および 906 と帯をタグ付けするために、dot1q カプセル化は使用されます。 選択するとき VLAN はサブインターフェイスで使用するためにスイッチの VLANデータベースで既にローカルで定義されている VLAN ナンバーを使用できませんタグ付けします。

6500 の関係のある構成例

!--- 6500 Switch configuration, related to connecting it 
!--- to a non-sub-interface capable switch (Catalyst 3750):

!
ip vrf DIRTY
 rd 100:26
!
ip vrf GUEST
 rd 600:26
!
interface FastEthernet1/34
 description NAC LAB - 3750
 no ip address
!
interface FastEthernet1/34.901
 encapsulation dot1Q 901
 ip vrf forwarding DIRTY
 ip address 172.26.120.1 255.255.255.252
!
interface FastEthernet1/34.902
 encapsulation dot1Q 902
 ip address 172.26.120.5 255.255.255.252
!
interface FastEthernet1/34.906
 encapsulation dot1Q 906
 ip vrf forwarding GUEST
 ip address 172.26.120.13 255.255.255.252
!

!--- EIGRP is the routing protocol of choice in this document.
!--- Each VRF is defined as a 
!--- separate Autonomous System under the Global AS.
!--- See Configure Routing for the VRF for more information.

!
router eigrp 26
 network 172.26.0.0 0.0.255.255
 no auto-summary
 passive-interface Vlan1
 redistribute static
!
 address-family ipv4 vrf DIRTY
  autonomous-system 100
  network 172.26.120.0 0.0.0.3
  network 172.26.160.0 0.0.0.255
  no auto-summary
  no default-information out
  redistribute static route-map gw-route
 exit-address-family
! address-family ipv4 vrf GUEST
  redistribute static
  network 172.26.120.0 0.0.0.255
  autonomous-system 600
  no auto-summary
 exit-address-family
!

VRF のためのルーティングを設定して下さい

先に VRF ライト使用セクションに関する重要な問題で説明されている通り、VRF ライトは BGP、OSPF および EIGRP をサポートします。 この設定例では、EIGRP は速やかな収束がどこに必要となるか Cisco がキャンパスネットワークの実装のために推奨するのはルーティング プロトコルであるので選択されます。

注: OSPF は VRF ライトを BGP ように、同様にうまく使用します。

注: トラフィックは VRF の間で「リークする」ことを設計が必要とする場合 BGP が必要となります。

EIGRP設定例の VRF のためのルーティング
!

!--- This base routing protocol configuration handles the routing 
!--- for the Global Routing Table.

!
router eigrp 26
 network 172.26.50.0 0.0.0.255
 network 172.26.51.0 0.0.0.255
 network 172.26.52.0 0.0.0.255
 network 172.26.55.0 0.0.0.255
 network 172.26.60.0 0.0.0.255
 network 172.26.61.0 0.0.0.255
 network 172.26.62.0 0.0.0.255
 network 172.26.120.4 0.0.0.3
 network 172.26.176.0 0.0.0.255
 network 172.26.254.1 0.0.0.0
 no auto-summary
 passive-interface Vlan1
 redistribute static
!

!--- You must define an address family for each VRF 
!--- that is to be routing using the routing protocol. 
!--- Routing protocol options such as auto-summarization, 
!--- AS number, and router id are all configured under the 
!--- address family. EIGRP does not form a neighbor 
!--- relationship without the AS specified under the address family. 
!--- Also, this AS number needs to be unique for 
!--- each VRF and cannot be the same as the global AS number.

!
 address-family ipv4 vrf DIRTY
  autonomous-system 100
  network 172.26.120.0 0.0.0.3
  network 172.26.160.0 0.0.0.255
  no auto-summary
  no default-information out 
  redistribute static route-map gw-route
 exit-address-family
! address-family ipv4 vrf GUEST
  redistribute static
  network 172.26.120.0 0.0.0.255
  autonomous-system 600
  no auto-summary
 exit-address-family
!

グローバル ルーティング テーブルと汚れた VRF 間のルート トラフィック

NAC 配置の要件によっては、ネットワークの信頼できないですか汚れた側から信頼されるにトラフィックを通過させるか、またはネットワークの側をきれいにすることは必要かもしれません。 たとえば、治療サービスは Cisco NAC アプライアンスの信頼された側で可能性としてはライブできます。 アクティブ ディレクトリ 単一 サインオン配備の場合には、対話型ログオン Kerberosチケット交換を許可するためにアクティブ ディレクトリにトラフィックのサブセットを通過させることは必要等です。

いずれにしても汚れた VRF に達する方法をグローバル ルーティング テーブルが知っていることは、そしてグローバル ルーティング テーブルに達する方法を汚れた VRF が 2 の間で渡るあらゆるデータ必要知っていること、非常に重要です。 これは方法論によって一般的に 図 8.処理されます

汚れた VRF は Cisco NAC アプライアンスの信頼できないですか汚れたインターフェイスにデフォルトで設定されます。 グローバルのに汚れた VLAN とみなされるサブネットにだけスタティック・ルートがあります。 それらのスタティック・ルートは Cisco NAC サーバのきれいな(信頼された)インターフェイスをネクスト ホップとして指定しています。

図 8 –フローのルーティング

nac-layer3-08.gif

Cisco NAC アプライアンスの信頼できないですか汚れた側の最初のレイヤ3 ホップは Cisco NAC アプライアンスに経路制御プロセスにデフォルト ルートをそのポイント再配布します。 信頼されるの最初のレイヤ3 ホップはまたは Cisco NAC アプライアンスの側を再配布しますアクセス層(この場合 172.26.123.0/26)の汚れた VLAN に属するサブネットのためのスタティック ルートをきれいにします。

注: Cisco NAC アプライアンスの反対側の最初のレイヤ3 ホップは同じ物理デバイスに、異なる VRF にある場合もあります。

注: この資料に使用するトポロジーでは Cisco NAC サーバの信頼できないですか汚れた側はグローバル ルーティング テーブルに VRF に、が信頼されてありましたりまたは Cisco NAC アプライアンスの側を残りますきれいにします。 ただし、インターフェイスは両方とも同じデータセンタ スイッチに接続されます。

Cisco NAC レイヤ3 OOB VRF ライト設定例

順調に Cisco NAC OOB ソリューションを展開するために、望ましいアーキテクチャを一致するために NAC コンポーネントを設定する必要があります。 VRF ライト配備を用いる NAC レイヤ3 OOB のための Cisco NAC マネージャ、Cisco NAC の関係のある構成を示すためにこのセクションでサーバおよびエッジ スイッチ使用するレイヤ3 Cisco NAC OOB ロジカルネットワーク ダイアグラムは図 9 あります。

図 9 – Cisco NAC レイヤ3 OOB 論理的 な トポロジー

nac-layer3-09.gif

レイヤ3 実質 IP OOB VRF Cisco NAC 配備を設定するためにこれらのセクションのステップを完了して下さい:

ステップ 1: エッジ スイッチを設定して下さい

これらの設定例が示すように、エッジ スイッチの 2 つのより多くの VLAN を(汚れた、ゲスト)作成して下さい。

既存の本番 VLAN (VLAN はすべての企業のシステムのために 200)使用されます。 この例は VLAN を、関連するトランジットネットワーク作成し、正しい VRF に両方を割り当てます。 適用は Cisco NAC サーバで起こります、従ってスイッチで各 VLAN に ACL を適用する必要はありません。

非認証ロール: VLAN 100、汚れた VRF 設定例

!--- Define the DIRTY VRF.

ip vrf DIRTY
 rd 100:3

!--- Create the SVI for the DIRTY VLAN.

interface Vlan100
 ip vrf forwarding DIRTY
 ip address 172.26.123.1 255.255.255.224
 ip helper-address vrf DIRTY 172.26.51.11

!--- Create the SVI for the DIRTY_TRANSIT_NETWORK.

interface Vlan301
 ip vrf forwarding DIRTY
 ip address 172.26.120.50 255.255.255.252

!--- Set the allowed VLAN on the trunk.

interface FastEthernet1/0/48
 switchport trunk allowed vlan add 301

!--- Set up the routing for the VRF.

router eigrp 26
 address-family ipv4 vrf DIRTY
  network 172.26.0.0
  autonomous-system 100
  no auto-summary
 exit-address-family

ゲスト ロール: VLAN 600、ゲスト VRF 設定例

!--- Define the GUEST VRF.

ip vrf GUEST
 rd 600:3 

!--- Create the SVI for the GUEST VLAN.

interface Vlan600
 ip vrf forwarding GUEST
 ip address 172.26.123.193 255.255.255.224 

!--- Create the SVI for the DIRTY_TRANSIT_NETWORK.

interface Vlan306
 ip vrf forwarding GUEST
 ip address 172.26.120.62 255.255.255.252 

!--- Set the allowed VLAN on the trunk.

interface FastEthernet1/0/48
 switchport trunk allowed vlan add 306

!--- Set up the routing for the VRF.
 
router eigrp 26
 address-family ipv4 vrf GUEST
  network 172.26.0.0
  autonomous-system 600
  no auto-summary
 exit-address-family

ステップ 2: コア スイッチを設定して下さい

このセクションの設定例は Catalyst 3750-E スイッチの縮小された コアのシミュレーションを示します。 ほとんどの環境では、これはエッジ クラス スイッチではないです。 ただし、スイッチはこの資料に使用したラボ 環境で構築されました。

トランジットネットワークのための 4 つのより多くの VLAN、汚れた VLAN のための 2 つおよびゲスト VLAN のための 2 つを作成して下さい。 図 10.参照して下さい

  • 汚れた VLAN

    • 芯を取るべきエッジから汚れた VLAN 301

    • コアからデータセンタに汚れた VLAN 901

  • ゲスト VLAN

    • 芯を取るべきエッジからの VLAN 306 ゲスト

    • コアからのデータセンタへの VLAN 906 ゲスト

トランジットネットワークはエッジからコア、およびコアのための秒データセンタへのへの構築されています。 トランジットネットワークは汚れたのおよびゲスト VRF のために完了する必要があります。 Tagスイッチングが VRF ライトの代りに有効に なる場合、これは必要ではないです。

注: この資料は VRF ライトに焦点を合わせ、Tagスイッチングはのスコープ考慮されます。

図 10 –トランジットネットワーク

nac-layer3-10.gif

の部分は次のとおりです。

芯を取るべきエッジから汚れた VLAN 301; コアからデータセンタ 設定例に汚れた VLAN 901

!--- This is the core switch.
!--- Define the DIRTY VRF.

ip vrf DIRTY
 rd 100:1

!--- Create the SVI for the DIRTY VLANs.

interface Vlan301
 desc This is the Transit Network between the Edge & Core
 ip vrf forwarding DIRTY
 ip address 172.26.120.49 255.255.255.252 

interface Vlan901
 desc This is the Transit Network between the Core and the DC
 ip vrf forwarding DIRTY
 ip address 172.26.120.2 255.255.255.252

!--- Set the allowed VLAN on the trunks.

interface GigabitEthernet1/0/3
 switchport trunk allowed vlan add 301

interface GigabitEthernet1/0/48
 switchport trunk allowed vlan add 901

!--- Set up the routing for the VRF. 

router eigrp 26
 address-family ipv4 vrf DIRTY
  network 172.26.0.0
  autonomous-system 100
  no auto-summary
 exit-address-family
exit-address-family

芯を取るべきエッジからの VLAN 306 ゲスト; コアからのデータセンタ 設定例への VLAN 906 ゲスト

!--- This is the core switch.

!

!--- Define the GUEST VRF.

ip vrf GUEST
 rd 600:1

!--- Create the SVI for the GUEST VLANS.

interface Vlan306
 desc This is the transit network between the Edge & Core
 ip vrf forwarding GUEST
 ip address 172.26.120.61 255.255.255.252 

interface Vlan906
 description Transit Network between Core & DC
 ip vrf forwarding GUEST
 ip address 172.26.120.14 255.255.255.252

!--- Set the allowed VLAN on the trunks.

interface GigabitEthernet1/0/3
 switchport trunk allowed vlan add 306

interface GigabitEthernet1/0/48
 switchport trunk allowed vlan add 906

!--- Set up the routing for the VRF.

router eigrp 26
 address-family ipv4 vrf GUEST
  network 172.26.0.0
  autonomous-system 600
  no auto-summary
 exit-address-family

ステップ 3: データセンタ スイッチを設定して下さい

設定例が示すと同時に、Cisco NAC サーバに同じ 6500 データセンタ スイッチに接続される両方のインターフェイスがあります。 信頼されたインターフェイスは VLAN 60 にあり、信頼できないインターフェイスは汚れた VRF にある VLAN 160 にあります。

  1. コアへの接続のための 4 つのより多くの VLAN を作成して下さい:

    • 汚れた VLAN (160)

    • きれいな VLAN (60)

    • 汚れたトランジットネットワーク(901)

    • きれいなトランジットネットワーク(906)

    1. 汚れた VRF に汚れた VLAN を追加して下さい。

    2. ゲスト DMZ のゲスト VRF を終えて下さい(999) Cisco ASA ファイアウォールを(この資料のためのスコープから)ゲストユーザをインターネットに接続し、ネットワーク アドレス変換(NAT) 機能を行うために使用しますその。

  2. 汚れたおよびゲスト中継サブインターフェイスを作成して下さい。

    データセンタ スイッチ設定例で示されているコマンドはこれらのタスクを行います:

    • 汚れたのおよびゲスト VRF を定義して下さい。

    • Cisco NAC サーバのための汚れた、はっきりしたネットワークを作成して下さい。

データセンタ スイッチ設定例

!--- Define the DIRTY and GUEST VRFs.

ip vrf DIRTY
 rd 100:26

ip vrf GUEST
 rd 600:26

!--- Create the sub-interface and switched virtual interface (SVI)
!--- for the DIRTY and GUEST VLANs.

interface FastEthernet1/34.901
 desc Transit Network from Core to DC for DIRTY traffic
 encapsulation dot1Q 901
 ip vrf forwarding DIRTY
 ip address 172.26.120.1 255.255.255.252

interface FastEthernet1/34.906
 desc Transit Network from Core to DC for GUEST traffic
 encapsulation dot1Q 906
 ip vrf forwarding GUEST
 ip address 172.26.120.13 255.255.255.252

interface Vlan60
 desc Trusted (CLEAN) side of the NAC Server
 ip address 172.26.60.1 255.255.255.0

interface Vlan160
 desc Untrusted (DIRTY) side of the NAC Server
 ip vrf forwarding DIRTY
 ip address 172.26.160.1 255.255.255.0

interface Vlan999
 description GUEST VLAN SVI
 ip vrf forwarding GUEST
 ip address 192.168.26.254 255.255.255.0


!--- Set up the routing for the VRFs.


router eigrp 26
 network 172.26.60.0 0.0.0.255
 no auto-summary
 redistribute static

 address-family ipv4 vrf DIRTY
  autonomous-system 100
  network 172.26.120.0 0.0.0.3
  network 172.26.160.0 0.0.0.255
  no auto-summary
  redistribute static

exit-address-family

 address-family ipv4 vrf GUEST
  network 172.26.0.0
  network 192.168.26.0
  autonomous-system 600
  no auto-summary
  redistribute static
 exit-address-family

!--- Set up the static routes for redistribution for the VRFs.

ip route 172.26.123.0 255.255.255.192 172.26.60.2
ip route vrf DIRTY 0.0.0.0 0.0.0.0 172.26.160.2
ip route vrf GUEST 0.0.0.0 0.0.0.0 192.168.26.1

ステップ 4: Cisco NAC Manager および Server の初期セットアップを行って下さい

Cisco NAC Manager および Server インストールはコンソールアクセスによって実行された。 インストール ユーティリティはマネージャおよびサーバ両方のための初期設定によってガイドします。 Clean Access Manager および Clean Access サーバの初期セットアップを行うためにインストールに行って下さい。

ステップ 5: Cisco NAC マネージャにライセンスを適用して下さい

コンソールによって初期セットアップを行った後、Cisco NAC Manager および Server を設定し続けるために Cisco NAC マネージャGUI にアクセスして下さい。 最初にアプライアンスによって来たサーバライセンスおよびマネージャをアップロードして下さい。 ライセンスをアップロードする方法に関する詳細についてはアクセスClean Access Manager および Clean Access サーバのインストールCAM Webコンソール セクション行って下さい。

注: すべての Cisco NAC Manager および Server ライセンスはマネージャの eth0 MAC アドレスに基づいています。 フェールオーバー セットアップでは、ライセンスはプライマリおよびセカンダリ Cisco NAC マネージャの eth0 MAC アドレスに基づいています。

ステップ 6: Cisco NAC マネージャの Cisco.com からのアップデート ポリシー

Cisco NAC マネージャは Cisco にいる中央アップデート サーバから定期的なアップデートを取得するために設定する必要があります。 サポートされたウイルス対策および antispyware ベンダーおよびポスチャ アセスメントおよび治療のためのウイルス対策または antispyware ルールおよびウイルス対策または antispyware 定義 アップデート必要条件を設定するのに使用される製品バージョンの最新行列を提供する Cisco NAC アプライアンスによってサポートされる AV/AS 製品リストは中央集中型アップデート サーバから配られるバージョン付き XML ファイルです。 このリストは各 Cisco NAC エージェント リリースでサポートされるウイルス対策のためにおよび antispyware 製品およびバージョン定期的にアップデートされ、エージェント バージョンのための新製品が含まれています。 リストはバージョン情報だけを提供します。 Cisco NAC マネージャがサポートされたウイルス対策および antispyware 製品リストをダウンロードするとき、最新バージョンがウイルス対策および antispyware 製品のためであるものについての情報をダウンロードしています。 それは実際のパッチ ファイルかウイルス定義ファイルをダウンロードしていません。 この情報に基づいて、エージェントはそれからネイティブ ウイルス対策か更新を行うために antispyware アプリケーションを引き起こすことができます。 詳細については更新がどのようにに関する取得されるか、エージェント ログインおよびクライアント ポスチャ アセスメントのための Cisco NAC アプライアンスの設定クライアントマシン セクションのための必要とエージェント ログインに行って下さい。

ステップ 7: サード パーティ 認証局 (CA)から認証をインストールして下さい

インストールの間に、Cisco NAC マネージャおよび Cisco NAC 両方のためのコンフィギュレーションユーティリティ スクリプトはサーバ一時 SSL 認証を生成するように要求します。 ラボ 環境の場合、自己署名証明書を使用し続けることができます。 ただし、それらは実稼働 ネットワークのために推奨されません。

サード パーティ CA から Cisco NAC マネージャで認証をインストールすることに関する詳細については、CAM の管理Set system 時間および Clean Access サーバ ダイレクトアクセス Webコンソール セクションに行って下さい。

注: ラボ 環境、Cisco NAC マネージャおよび Cisco NAC サーバで自己サイン 認証を他の認証を信頼する各必要使用すれば。 これは信頼された認証局として両方のための認証をの下で SSL > 信頼できる証明書機関アップロードすることを必要とします。

ステップ 8: 確認 Cisco NAC サーバセットアップ

正常な NAC 設計のためにように図 11 示します汚れたとして分類されるトラフィックが NAC サーバの信頼できない側にフローする必要があることです覚えるべきほとんどの重要な事柄は:

図 11 – Cisco NAC サーバ配置

nac-layer3-11.gif

ステップ 9: Cisco NAC マネージャに Cisco NAC サーバを追加して下さい

Cisco NAC マネージャに Cisco NAC サーバを追加するためにこれらのステップを完了して下さい:

  1. デバイス管理 ペインの下で CCA サーバをクリックして下さい。 図 12 参照して下さい。

  2. 新しい Server タブをクリックして下さい。

  3. Cisco NAC サーバの信頼されたインターフェイスの IP アドレスを追加するためにサーバのIPアドレス ボックスを使用して下さい。

  4. サーバ ロケーション ボックスでは、サーバ ロケーションとして OOB Cisco NAC サーバを入力して下さい。

  5. サーバタイプ ドロップダウン リストからアウトオブバンド リアル IP ゲートウェイを選択して下さい。

  6. Clean Access サーバを『Add』 をクリック して下さい。

図 12 – Cisco NAC マネージャに Cisco NAC サーバを追加する方法

nac-layer3-12.gif

注: Cisco NAC マネージャおよび Cisco NAC サーバはマネージャがサーバの追加に成功することができるように互いの CA を信頼しなければなりません。

Cisco NAC サーバを追加した後、サーバ タブのリストの下でリストに現われます。 図 13 を参照してください。

ステップ 10: Cisco NAC サーバを設定して下さい

Cisco NAC サーバを設定するためにこれらのステップを完了して下さい:

  1. サーバ タブのリストをクリックして下さい。

  2. 設定を続けるために Cisco NAC サーバのための Manage アイコンをクリックして下さい。

図 13 – Cisco NAC マネージャが管理する Cisco NAC サーバ

nac-layer3-13.gif

Manage アイコンをクリックした後、示されている画面は図 14 現われます。

ステップ 11: イネーブル レイヤ3 サポート

レイヤ3 サポートを有効に するためにこれらのステップを完了して下さい:

  1. Network タブを選択して下さい。

  2. イネーブル L3 サポート チェックボックスをチェックして下さい。

  3. NAC エージェント チェックボックスの NAT デバイスをブロックするためにイネーブル L3 厳密なモードをチェックして下さい。

  4. [Update] をクリックします。

  5. 指示されるように Cisco NAC サーバをリブートして下さい。

図 14 – Cisco NAC サーバネットワーク 詳細

nac-layer3-14.gif

注: 信頼できないインターフェイスの IP アドレスの Cisco NAC サーバのための認証を常に生成して下さい。 name-based 認証に関しては、名前は信頼できないインターフェイス IP アドレスに解決する必要があります。 NAC を始めるためにエンドポイントがサーバの信頼できないインターフェイスと通信するとき処理して下さい、サーバは認証ホスト名か IP にユーザをリダイレクトします。 信頼されたインターフェイスへの認証ポイントが、ログイン プロセス正しく機能しなければ。

ステップ 12: スタティック・ルートを設定して下さい

スタティック・ルートを設定するためにこれらのステップを完了して下さい:

  1. Cisco NAC サーバ リブートがサーバに、戻った、設定と繰り返される後。

    Cisco NAC サーバは非認証 VLAN のエンドポイントと通信するために信頼できないインターフェイスを使用する必要があります。

  2. > スタティック・ルート ルーティングを非認証 VLAN に追加するために『Advanced』 を選択 して下さい。

  3. 非認証 VLAN のための適切なサブネットを記入して下さい。

  4. ルートを『Add』 をクリック して下さい。

  5. これらのルーティングに信頼できないインターフェイス [eth1] を選択して下さい。

図 15 –非認証ユーザサブネットに到達するためにスタティック ルートを追加して下さい

nac-layer3-15.gif

ステップ 13: Cisco NAC マネージャのスイッチ用のセットアップ プロファイル

Cisco NAC マネージャのスイッチ用のプロファイルを設定するためにこれらのステップを完了して下さい:

  1. OOB 管理 > プロファイル > デバイス > Edit を選択して下さい。

  2. デバイス プロファイル 情報を記入して下さい。 ガイドとして図 16 使用して下さい。

    各スイッチはプロファイルと関連付けられます。 Cisco NAC マネージャが管理するエッジ スイッチの各型のためのプロファイルを追加して下さい。 この例では、3750 スイッチは管理されます。

    図 16 –スイッチを管理するのに使用される SNMP プロファイル

    nac-layer3-16.gif

  3. SNMP のためのスイッチ設定を設定して下さい。

    Cisco NAC マネージャで設定される同じ SNMP 読み書きコミュニティ ストリングのためのエッジ スイッチを設定して下さい。

    snmp-server community Cisco123 RO
    snmp-server community Cisco1234 RW
  4. OOB 管理 > プロファイル > ポートを > 新しい選択して下さい。 図 17 参照して下さい。

    図 18 –さまざまなオプション 利用可能 な下ポート プロファイル

    nac-layer3-18.gif

ステップ 14: SNMP レシーバ設定を設定して下さい

読み書きのための SNMP コミュニティストリングの設定に加えて、またスイッチから SNMPトラップを受け取るために Cisco NAC マネージャを設定する必要があります。 これらのトラップはユーザがポートからの切断接続するとき送信 され。 Cisco NAC サーバがマネージャへの特定のエンドポイントの MAC IP アドレス 情報を送信 するとき、マネージャは MAC/IP およびスイッチポートのためにマッピングテーブルを内部で作成できます。

  1. OOB 管理 > プロファイル > SNMP レシーバを選択して下さい。

  2. この図が示すように SNMPトラップ設定を設定して下さい:

    図 19 – SNMPトラップおよび Informs を集める Cisco NAC マネージャ SNMP レシーバ設定

    nac-layer3-19.gif

  3. SNMPトラップのスイッチ設定を行うために、NAC OOB のために Cisco 最良 の 推奨事項毎に 1 時間にデフォルト スイッチ Clean Access Manager (CAM)フラッシュ タイマーを増長して下さい。 CLI サンプルは 3600 に mac-address-table エージング タイム パラメータ セットを示します。

    1 時間へのタイマーを設定 することは Cisco NAC マネージャに既に送信 される MAC 通知の周波数を接続装置から減らします。 トラップを送信するのに使用する送信元アドレスを規定 するためにソース トラップ コマンドを使用して下さい。

    3600 設定例
    snmp-server enable traps mac-notification
    snmp-server host 172.26.51.52 informs version 2c Cisco1234
    snmp-server trap-source Vlan 200
    mac-address-table aging-time 3600

    任意で、Cisco NAC マネージャに設定して下さい(CLI サンプルで示されていない)送信 するために結合および LinkDown トラップを。 これらのトラップはエンドホストが IP Phone の後ろで接続されないデプロイメントシナリオでだけ使用されます。

    注: SNMP はそれらが SNMPトラップより信頼できるので推奨されます知らせます。 また、高トラフィック ネットワーク環境の SNMP のための Quality of Service (QoS)を考慮して下さい。

ステップ 15: Cisco NAC マネージャのデバイスとしてスイッチを追加して下さい

Cisco NAC マネージャのデバイスとしてスイッチを追加するためにこれらのステップを完了して下さい:

  1. OOB 管理 > デバイス > デバイスを > 新しい選択して下さい。

    スイッチを追加するために作成されるステップ 13 でスイッチ プロファイルを使用して下さい。

  2. デバイス プロファイルの下で、作成したプロファイルを使用して下さい。 スイッチを追加するとき Profile 値 デフォルトポートを変更しないで下さい。

    図 20 – SNMP によって制御するために Cisco NAC マネージャのエッジ スイッチを追加して下さい

    nac-layer3-20.gif

  3. スイッチが Cisco NAC マネージャに追加された後、管理したいと思うポートを選択できます。

ステップ 16: デバイスのためのスイッチポートを NAC によって管理されるために設定して下さい

デバイスのためのスイッチポートを NAC によって管理されるために設定するためにこれらのステップを完了して下さい。

  1. OOB 管理 > デバイス スイッチ[IP アドレス] > ポート > リスト管理できる利用可能 な スイッチポートを見るために選択して下さい。

    図 21 –管理されたスイッチのために利用可能 な ポート コントロール選択

    nac-layer3-21.gif

    注: 「自由」として適切なインターフェイスを静的にマークできるまで「自由」として既定値 の プロファイルを残さないで下さい。 アップリンクポートおよび自由に残る必要がある他のどのオンオフ ポートの後でも設定 されます; それから制御されたポート プロファイルにデフォルトを変更して下さい。 この順序でそうする失敗はより少しにより好ましい結果という結果に終る場合があります。

  2. 選定された OOB 管理 > デバイス スイッチ[IP アドレス] > ポート > 複数のポートをすぐに管理するためにどうにかして

図 22 –加入 オプションのマルチポートを管理して下さい

nac-layer3-22.gif

ステップ 17: ユーザの役割を設定して下さい

この例では、各ロールに対応する VLAN はエッジ スイッチで既に作成されています。

  1. この図が示すように > ロール ユーザの役割の > Edit 『User Management』 を選択 し、従業員ロールを作成して下さい:

    図 23 –従業員ロールを作成し、データVLAN をマッピング して下さい

    nac-layer3-23.gif

  2. この図が示すように > ロール ユーザの役割の > Edit 『User Management』 を選択 し、ゲスト ロールを作成して下さい:

    図 24 –ゲスト ロールを作成し、ゲスト VLAN をマッピング して下さい

    nac-layer3-24.gif

ステップ 18: ユーザを追加し、ユーザの役割を割り当てるために割り当てて下さい

キャンパス 環境では、外部認証サーバと統合、特定のロールに LDAP アトリビュートによってユーザをマッピング します。 この例はロールとローカルユーザおよび関連をそのローカルユーザ使用します。

ステップ 19: Web ログインのためのユーザ ログイン ページをカスタマイズして下さい

デフォルト ログイン ページは Cisco NAC マネージャで既に作成されています。 オプションでウェブ ポータルの出現を変更するために Login ページをカスタマイズできます。 NAC レイヤ3 OOB ソリューションに関しては、端クライアントにこれらのタスクを行うために ActiveX または Java コンポーネントをダウンロードして下さい:

  • クライアントマシンの MAC アドレスを取出して下さい。

  • IP アドレス リリースを行い、更新して下さい。

  1. > ユーザページ 『管理』 を選択 して下さい。

  2. この図が示すようにオプションを有効に するためにページを編集して下さい:

図 25 – Web ログインの User ページ設定

nac-layer3-25.gif

ステップ 20: ユーザの役割のための Cisco NAC エージェントをカスタマイズして下さい

ユーザの役割のための Cisco NAC エージェントをカスタマイズするためにこれらのステップを完了して下さい:

  1. 管理 > Clean Access > 一般的 な セットアップ > エージェント ログインを『Device』 を選択 して下さい。

    エージェントをあらゆるユーザの役割のために必須にするために Cisco NAC マネージャを設定できます。 この例では、エージェントは従業員ロールのために必須です。 建築業者およびゲスト ロールは Web ログオンを使用する必要があります。

  2. エージェント チェックボックスの必要と使用をチェックして下さい。

図 26 –従業員ロールに必要なエージェント ログイン

nac-layer3-26.gif

ステップ 21: Cisco NAC エージェントのためのディスカバリ ホストを配って下さい

Cisco NAC エージェントソフトウェア ディストリビューション、インストールおよび設定は設定しますエージェント ログインおよびクライアント ポスチャ アセスメントのための Cisco NAC アプライアンスをカバーされます。 この例は Cisco NAC マネージャのディスカバリ ホストを設定したものです。

管理 > Clean Access > Clean Access エージェント > インストールを『Device』 を選択 して下さい:

図 27 – Cisco NAC エージェントのためのホストを検出して下さい

nac-layer3-27.gif

ディスカバリ [Host] フィールドは Cisco NAC エージェントが Cisco NAC サーバからダウンロードされる場合事前に読み込まれます。 図 27 を参照してください。

注: VRF モデルのレイヤ3 OOB では、ディスカバリ ホストは Cisco NAC マネージャの DNS名または IP アドレスであるために一般的に 設定 されはっきりしたネットワークで存在 します。 「汚れた」ネットワークからのすべてのトラフィックが Cisco NAC サーバによってデフォルトでルーティングされるので、ディスカバリ パケットはサーバを自動的にフローします。 ここに記述されているトラフィックフローは VRF 方式へ利点の 1 つです。 それは一貫した、予想できるエクスペリエンスを提供します。 詳細については Cisco NAC プロセスフローを参照して下さい。

ステップ 22: Web ログイン

Web によってログインするためにこれらのステップを完了して下さい:

  1. Cisco NAC マネージャが制御するエッジポートの 1 つを使用してクライアントマシンを接続して下さい。

    クライアントマシンは非認証 VLAN に置かれます。 マシンが非認証 VLAN サブネットから IP アドレスを受け取ることを確かめて下さい。

  2. ログオンを行うためにブラウザを開いて下さい。

    想定はこのクライアントマシンが既にインストールされる Cisco NAC エージェントを備えていないことです。 DNS エントリすべてが Cisco NAC サーバの信頼できないインターフェイスにリダイレクトされる場合、ログイン ページへの自動的にブラウザ リダイレクト。 それが場合、ログオンを行うために guest.nac.local のような仕様 URL に行くため:

図 28 – Web ログイン ページ

nac-layer3-28.gif

ステップ 23: エージェント ログイン

エンドユーザにあらゆるその他のソフトウェア アプリケーションと同様に Cisco NAC エージェントを配ることができますまたは Cisco NAC サーバを使用してそれを強制できます。

注: エージェント ディストリビューションおよびインストールの詳細な情報は Cisco NAC アプライアンス- Clean Access Manager コンフィギュレーション ガイド参照して下さい。

この図はエージェントがアクティブになるとき画面を示します現われる:

図 29 –エージェント ログイン

nac-layer3-29.gif

  1. サーバ ドロップダウン リストからサーバを選択して下さい。

  2. ユーザ名を入力して下さい。

  3. パスワードを入力します。

  4. [Log In] をクリックします。

    図 30 および 31 は現われる画面を示します:。

    図 30 – Cisco NAC エージェント実行 IP リリースはまたは更新します

    nac-layer3-31.gif

    図 31 – IP リフレッシュの後で完全なネットワーク アクセスを示す Cisco NAC エージェント

    nac-layer3-30.gif

  5. [OK] をクリックします。

付録

ハイ アベイラビリティ

ソリューションの個々の Cisco NAC マネージャおよび Cisco NAC のそれぞれはアクティブ スタンバイ設定で機能する 2 つのアプライアンスがあることを意味する高可用性のモードでサーバ設定することができます。

NAC マネージャ

アクティブ スタンバイ設定で行動する 2 人の NAC マネージャがある高可用性のモードの Cisco NAC マネージャを設定できます。 マネージャのコンフィギュレーション全体はデータベースで保存されます。 スタンバイ マネージャはアクティブなマネージャのデータベースとデータベースを同期します。 アクティブなマネージャに行うどのコンフィギュレーション変更でもスタンバイ マネージャにすぐに押されます。 これらのキーポイントは高可用性のマネージャ オペレーションの高レベル概略を提供します:

  • Cisco NAC マネージャ高可用性のモードはスタンバイ マネージャがアクティブなマネージャにバックアップとして行動する受動 2 サーバ 設定またはアクティブアクティブです。

  • アクティブな Cisco NAC マネージャはシステムのためのすべてのタスクを行います。 スタンバイ マネージャはアクティブなマネージャを監視し、データベースをアクティブなマネージャのデータベースと同期しておきます。

  • Cisco NAC マネージャは両方とも Eth0 によって信頼されるインターフェイスのための仮想 なサービス IP を共有します。 SSL 認証のためにこのサービス IP を利用して下さい。

  • プライマリおよびセカンダリ Cisco NAC マネージャは 2 秒毎に UDP ハートビート パケットを交換します。 ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

  • アクティブな Cisco NAC マネージャを確認することは利用可能、信頼されたインターフェイス(Eth0)稼働する必要があります常にです。 マネージャがアクティブ状況に陥らないようにして下さいであるが、アクセス可能ではない直通信頼されたインターフェイスではないです。 この条件はスタンバイ マネージャがアクティブなマネージャからハートビート パケットを受信するが、アクティブなマネージャの Eth0 インターフェイスは失敗します場合発生します。 リンク検出 メカニズムはアクティブなマネージャの Eth0 インターフェイスが利用できなくなるときスタンバイ マネージャが知ることを可能にします。

  • 「自動的に設定します」Administration > CCA マネージャの Eth1 インターフェイスを > Failover ページ選択できます。 ただし Cisco NAC マネージャのハイ アベイラビリティを設定する前に、IP アドレスおよびネットマスクの他の(Eth2 か Eth3)高可用性のインターフェイスを手動で設定して下さい。

  • Eth0、Eth1 および Eth2/Eth3 インターフェイスはハートビート パケットおよびデータベース 同期に使用することができます。 さらに、どの利用可能 なシリアル(COM)インターフェイスでもまたハートビート パケットに使用することができます。 これらのインターフェイスの 1 つ以上使用している場合、フェールオーバーはすべてのハートビート インターフェイスが失敗するときだけ発生します。

注: Cisco NAC マネージャ高可用性のペアはレイヤ3 リンクで分けることができません。

詳細については、ハイ アベイラビリティの設定で Cisco NAC マネージャ ドキュメントを参照して下さい。

Cisco NAC サーバ

保護をシングル ポイント障害に対して提供するために、高可用性のモードの Cisco NAC サーバを設定できます。 Cisco NAC サーバにおける高可用性のモードは Cisco NAC マネージャのそれに類似したで、またアクティブ スタンバイ設定を使用します。 Cisco NAC サーバはまだ仮想 IP アドレスを(サービス IP と呼ばれる)共有しますが、バーチャルMACアドレスを共有しません。

これらのキーポイントは高可用性の Cisco NAC サーバオペレーションのハイレベルな概要を提供します:

  • Cisco NAC サーバ高可用性のモードはスタンバイ Cisco NAC サーバ マシンがアクティブな Cisco NAC サーバにバックアップとして機能するアクティブ パッシブ 2 サーバ 設定です。

  • アクティブな Cisco NAC サーバはシステムのためのすべてのタスクを行います。 サーバコンフィギュレーションのほとんどが Cisco NAC マネージャで保存されるので、サーバ フェールオーバーが発生するとき、マネージャは新たにアクティブなサーバに設定を押します。

  • スタンバイ Cisco NAC サーバはインターフェイスの間でパケットを転送しません。

  • スタンバイ Cisco NAC サーバはハートビート インターフェイス(シリアルおよび 1つ以上の UDP インターフェイス)を通してアクティブなサーバの健全性を監察します。 ハートビート パケットはシリアルインターフェイス、専用 Eth2 インターフェイス、専用 Eth3 インターフェイス、または Eth0/Eth1 インターフェイスで(Eth2 か Eth3 インターフェイスが利用できなければ)送信することができます。

  • プライマリおよびセカンダリ Cisco NAC サーバは 2 秒毎に UDP ハートビート パケットを交換します。 ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

  • ハートビート ベースのフェールオーバーに加えて、Cisco NAC サーバはまた Eth0 か Eth1 リンク障害に基づいてリンク ベースのフェールオーバーを提供します。 Eth0 や Eth1 による外部 IPアドレスへのサーバ送信 ICMP Ping パケットはインターフェイスします。 フェールオーバーは 1 Cisco NAC サーバが外部アドレスを ping できるときだけ発生します。

詳細については、ハイ アベイラビリティの設定で Cisco NAC サーバドキュメンテーションを参照して下さい。

アクティブ ディレクトリ SingleSignOn (アクティブ ディレクトリ SSO)

Windows アクティブ ディレクトリ SSO はログインユーザへ既にバックエンド Kerberos ドメインコントローラ(アクティブディレクトリサーバ)に認証される Cisco NAC アプライアンスのための自動的に能力です。 この能力は既にドメイン ログイン されて いた後 Cisco NAC サーバにログイン する必要を省きます。 詳細については Cisco NAC アプライアンスのアクティブ ディレクトリ SSO の設定について、アクティブ ディレクトリ 単一 サインオンの設定に行って下さい。

Windows ドメイン 環境考慮事項

NAC 配備の準備で、ログオン スクリプト ポリシーへの変更が必要となるかもしれません。 Windows ログオン スクリプトは始動かシャットダウンおよびログオンまたはログオフ スクリプトとして分類することができます。 Windows は実行します「マシン コンテキストの始動およびシャットダウン スクリプトを」。 スクリプトを実行することはこれらのスクリプトが一般的に非認証ロールである PC で起動するか、またはシャットダウンする実行されるとき Cisco NAC アプライアンスが特定のロールにスクリプトによって必要な適切なネットワークリソースを開く場合その時だけ機能します。 ログオンおよびログオフ スクリプトは「ユーザー コンテキストで実行されます実行することを」、ユーザがたらい Windows ジナをログオンした後ログイン スクリプトが意味します。 ログイン スクリプトは実行しないために場合があります認証かクライアントマシン ポスチャ アセスメントが完了しないし、ネットワーク アクセスが時間に認められなければ場合。 これらのスクリプトはまた OOB ログオン イベントの後で Cisco NAC エージェントによって始められる IP アドレス リフレッシュによって割り込むことができます。 ログオン スクリプトへの必要な変更に関する詳細については、インターオペラビリティは Windows GPO スクリプトおよび Cisco NAC に行きます。

エージェント ログインおよびクライアント ポスチャ アセスメントのための Cisco NAC アプライアンスを設定して下さい

Cisco NAC エージェントおよび Cisco NAC Web エージェントはクライアントマシンにローカル ポスチャ アセスメントおよび治療を提供します。 ユーザはホスト レジストリ、プロセス、アプリケーションおよびサービスをチェックできる Cisco NAC エージェントまたは Cisco NAC Web エージェント(読み取り専用クライアントソフトウェア)ダウンロードし、インストールします。 詳細についてはエージェントについておよびポスチャ アセスメントおよび治療、エージェント ログインおよびクライアント ポスチャ アセスメントのための Cisco NAC アプライアンスの設定に行って下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112169