Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
NAC 認証フェール オープン
NAC 認証フェール オープン
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

NAC 認証フェール オープン

機能情報の確認

この章の構成

NAC 認証フェール オープンの前提条件

NAC 認証フェール オープンの制約事項

ネットワーク アドミッション コントロールの概要

ネットワークに対する許可の制御

AAA サーバが到達不能である場合のネットワーク アドミッション コントロール

NAC 認証フェール オープンの設定方法

NAC ルールに関連付けられたポリシーのデバイスに対するグローバルな設定

前提条件

特定のインターフェイスへの NAC ポリシーの適用

認証および認可方式の設定

RADIUS サーバ パラメータの設定

RADIUS サーバの識別

RADIUS サーバが到達不能である場合の判断

設定された AAA サーバのステータスの表示

NAC の設定の表示

EAPoUDP の設定の表示

EOU ロギングのイネーブル化

NAC 認証フェール オープンの設定例

NAC 認証フェール オープンの設定例:例

RADIUS サーバの設定例:例

show ip admission configuration の出力:例

show eou の出力:例

show aaa servers 出力:例

EOU ロギングの出力:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

NAC 認証フェール オープンの機能情報

NAC 認証フェール オープン

Network Admission Control(NAC; ネットワーク アドミッション コントロール)の展開では、ネットワーク アクセスを許可する前に、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバがクライアントのアンチウイルス ステータスを検証します。このプロセスは、ポスチャ検証と呼ばれます。AAA サーバが到達不能である場合、クライアントはネットワークにアクセスできません。NAC 認証フェール オープン機能を使用すると、管理者は、AAA サーバが到達不能である場合にユーザがネットワークにアクセスできるようにするためのポリシーを適用できます。管理者は、デバイスに適用するグローバル ポリシーや、特定のインターフェイスに適用するルール ベースのポリシーを設定できます。

AAA サーバが到達可能な状態に戻ると、NAC 認証フェール オープン機能を使用したポスチャ検証がクライアントに対して再開されます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「NAC 認証フェール オープンの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

NAC 認証フェール オープンの前提条件

セキュリティを確保するために、NAC および AAA サーバを使用してこの機能をネットワークに設定できます。NAC は、Cisco IOS リリース 12.3(8) 以降のリリースを実行している Cisco IOS ルータに実装されます。

NAC 認証フェール オープンの制約事項

AAA サーバが到達不能である場合に、デバイスまたはインターフェイスにローカル ポリシーを適用するには、 aaa authorization network default local コマンドを設定する必要があります。

ネットワーク アドミッション コントロールの概要

次の概念を理解しておく必要があります。

「ネットワークに対する許可の制御」

「AAA サーバが到達不能である場合のネットワーク アドミッション コントロール」

ネットワークに対する許可の制御

NAC は、ウイルスに感染したデバイスがネットワークに悪影響を与えないようにするアクセス コントロール ポリシーを強制することで、ウイルスに感染したエンドポイント装置やクライアント(PC やサーバなど)からネットワークを保護します。また、デバイスにネットワーク アクセスを許可する前に、エンドポイント システムやクライアントのアンチウイルスの状態( ポスチャ といいます)を確認します。NAC は、非準拠のデバイスへのアクセスを拒否し、非セキュアなノードを検疫ネットワーク セグメントに配置するか、コンピューティング リソースへのアクセスを制限することによって、非セキュアなノードからネットワークが感染するのを防ぎます。

NAC によって、Network Access Device(NAD; ネットワーク アクセス装置)は、ホストのアンチウイルス ソフトウェアの状態に基づいて、ホストのネットワーク アクセスを許可または拒否することができます。このプロセスは、ポスチャ検証と呼ばれます。

ポスチャ検証は次のアクションで構成されます。

クライアントのアンチウイルスの状態またはクレデンシャルの確認。

ネットワーク クライアントからのセキュリティ ポスチャ クレデンシャルの評価。

システム ポスチャに基づいた、NAD への適切なネットワーク アクセス ポリシーの提供。

AAA サーバが到達不能である場合のネットワーク アドミッション コントロール

NAC の一般的な展開では、AAA サーバを使用してクライアントのポスチャが検証され、ポリシーが NAD に渡されます。ポスチャ検証が行われるときに AAA サーバが到達不能である場合、一般的な反応としてはネットワーク アクセスを拒否します。管理者は、AAA サーバが到達不能である間にホストが少なくとも制限付きでネットワークにアクセスできるように、NAC 認証フェール オープンを使用してデフォルト ポリシーを設定できます。

このポリシーによって、次の 2 つの利点が得られます。

AAA が使用できない間、制限があるにしても、ホストのネットワークへの接続は維持されます。

AAA サーバが到達可能になると、ユーザは再検証を受けることができ、Access Control Server(ACS)からユーザのポリシーをダウンロードできます。


) AAA サーバが到達不能である場合は、ホストに既存のポリシーが関連付けられていない場合にのみ、NAC 認証フェール オープン ポリシーが適用されます。通常、再検証の実行中に AAA サーバが到達不能になった場合、そのホストですでに有効になっているポリシーが保持されます。


NAC 認証フェール オープンの設定方法

NAC 認証フェール オープン ポリシーは、インターフェイスごとに設定するか、デバイスに対してグローバルに設定できます。NAC 認証フェール オープンの設定は任意です。次のタスクが含まれます。

「NAC ルールに関連付けられたポリシーのデバイスに対するグローバルな設定」

「特定のインターフェイスへの NAC ポリシーの適用」

「認証および認可方式の設定」

「RADIUS サーバ パラメータの設定」

「設定された AAA サーバのステータスの表示」

「NAC の設定の表示」

「EAPoUDP の設定の表示」

「EOU ロギングのイネーブル化」

NAC ルールに関連付けられたポリシーのデバイスに対するグローバルな設定

このタスクは、NAC ルールを作成し、AAA サーバが到達不能である間に適用するポリシーを関連付けます。その装置にアクセスするすべてのユーザに同じレベルのネットワーク アクセスを提供する場合は、ネットワーク アクセス装置のすべてのインターフェイスに対してグローバルにポリシーを適用できます。

前提条件

AAA サーバが設定済みであり、NAC が NAD に実装済みである必要があります。

手順の概要

1. enable

2. configure terminal

3. ip admission name admission-name [ eapoudp [ bypass ] | proxy { ftp | http | telnet } | service-policy type tag { service-policy-name }] [ list { acl | acl-name }] [ event ] [ timeout aaa ] [ policy identity { identity - policy - name }]

4. ip admission admission-name [ event timeout aaa policy identity identity-policy-name]

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip admission name admission-name [ eapoudp [ bypass ] | proxy { ftp | http | telnet } | service-policy type tag { service-policy-name }] [ list { acl | acl-name }] [ event ] [ timeout aaa ] [ policy identity { identity-policy-name }]

 

Router (config)# ip admission name greentree event timeout aaa policy identity aaa-down

(任意)その装置に対してルール固有のポリシーをグローバルに設定します。

ルールが設定されている場合、その装置に設定された他のグローバルなイベント タイムアウト ポリシーの代わりに適用されます。

その装置に対してグローバルに適用されたルールを削除するには、このコマンドの no 形式を使用します。

ステップ 4

ip admission admission-name [ event timeout aaa policy identity identity-policy-name]

 

Router (config)# ip admission event timeout aaa policy identity AAA_DOWN

(任意)その装置に対して、指定された IP NAC ポリシーをグローバルに設定します。

その装置に適用された IP NAC ポリシーを削除するには、このコマンドの no 形式を使用します。

(注) このポリシーは、ルール固有のポリシーが設定されていない場合にのみ適用されます。

ステップ 5

end

 

Router (config)# end

グローバル コンフィギュレーション モードを終了します。

特定のインターフェイスへの NAC ポリシーの適用

NAC 認証フェール オープン ポリシーを持つ IP アドミッション ルールをインターフェイスに対応付けることができます。このタスクによって NAC 認証フェール オープン ポリシーがルールに対応付けられ、そのルールが装置の指定されたインターフェイスに適用されます。

手順の概要

1. enable

2. configure terminal

3. interface interface-id

4. ip access-group { access-list-number | name } in

5. ip admission admission-name

6. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface-id

 

Router (config)# interface fastEthernet 2/1

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip access-group { access-list-number | name } in

 

Router (config-if)# ip access-group ACL15 in

指定されたインターフェイスのアクセスを制御します。

ステップ 5

ip admission admission-name

 

Router (config-if)# ip admission AAA_DOWN

グローバルに設定された IP アドミッション ルールを、指定されたインターフェイスに対応付けます。

インターフェイスのルールを削除するには、このコマンドの no 形式を使用します。

ステップ 6

exit

 

Router (config)# exit

グローバル コンフィギュレーション モードに戻ります。

認証および認可方式の設定

このタスクでは、デバイスに認証方式と認可方式を設定します。これらの方式を使用して許可されたアクセスは、AAA サーバが使用できない間に再認可しようとしたユーザにも有効です。AAA サーバが到達不能である場合にネットワークにアクセスしようとするユーザに適用するポリシーを設定する前に、この方式を設定する必要があります。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication eou default group radius

5. aaa authorization network default local

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router (config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authentication eou default group radius

 

Router (config)# aaa authentication eou default group radius

Extensible Authorization Protocol over User Datagram Protocol(EAPoUDP)用の認証方式を設定します。

EAPoUDP の認証方式を削除するには、このコマンドの no 形式を使用します。

ステップ 5

aaa authorization network default local

 

Router (config)# aaa authorization network default local

認可方式をローカルに設定します。認可方式を削除するには、このコマンドの no 形式を使用します。

RADIUS サーバ パラメータの設定

このタスクでは、AAA サービスにネットワーク アクセス装置を提供する RADIUS サーバの ID とパラメータを設定します。RADIUS サーバ パラメータ を設定するには、次の概念を理解しておく必要があります。

「RADIUS サーバの識別」

「RADIUS サーバが到達不能である場合の判断」

RADIUS サーバの識別

RADIUS サーバは次の項目によって識別できます。

ホスト名

IP アドレス

ホスト名と特定の UDP ポート番号

IP アドレスと特定の UDP ポート番号

RADIUS サーバの IP アドレスと特定の UDP ポート番号の組み合わせを使用して固有識別情報が作成されます。この情報によって、同じ IP アドレスのサーバの複数の UDP ポートに RADIUS 要求を送信できます。1 台の RADIUS サーバ上にある異なる 2 つのホスト エントリが 1 つのサービス(認証など)に設定されている場合、設定されている 2 番目のホスト エントリは最初のホスト エントリのバックアップとして動作します。試行される RADIUS ホスト エントリの順序は、設定された順序に従います。

RADIUS サーバが到達不能である場合の判断

RADIUS サーバを使用できない場合に NAC 認証フェール オープン機能はローカル ポリシーを適用するため、RADIUS サーバが使用できない状態を識別する「デッド条件」を設定する必要があります。設定可能なデッド条件は次の 2 つです。

時間:AAA サービスの要求に対して応答がない状態の間隔(秒)

試行回数:AAA サービスが連続して要求を送信し、応答がなかった場合の回数

デッド条件を設定しない場合、これらの条件は、サーバ設定とサーバに送信された要求回数に基づいて動的に計算されます。

また、使用不可であるために拒否された後、RADIUS サーバとの通信を再開しようとする前に待機する時間(分)を設定することもできます。

手順の概要

1. enable

2. configure terminal

3. radius-server dead-criteria [ time seconds] [ tries number-of- tries ]

4. radius-server deadtime minutes

5. radius-server host { hostname | ip-address } [ test username user-name ] [ auth-port port-number ] [ ignore-auth-port ] [ acct-port port-number ] [ ignore-acct-port ] [ timeout seconds ] [ retransmit retries ] [ key string ] [ alias { hostname | ip-address }] [ idle-time seconds ]

6. radius-server attribute 8 include-in-access-req

7. radius-server vsa send [ accounting | authentication]

8. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

radius-server dead-criteria [time seconds] [tries number-of- tries]

 

Router (config)# radius-server dead-criteria time 30 tries 20

 

(任意)RADIUS サーバが使用不可能または デッド 状態であると判断するのに使用される条件を設定します。

seconds の範囲は 1 ~ 120 秒です。デフォルトでは、NAD は seconds の値を 10 ~ 60 秒の範囲内で動的に決定します。

number-of-tries の範囲は 1 ~ 100 です。デフォルトでは、NAD は number-of-tries パラメータを 10 ~ 100 の範囲内で動的に決定します。

ステップ 4

radius-server deadtime minutes

 

Router (config)# radius-server deadtime 60

(任意)RADIUS サーバがデッド状態であると判明した後に要求を送信しない時間(分)を設定します。範囲は 0 ~ 1440 分(24 時間)です。デフォルトは 0 分です。

ステップ 5

radius-server host ip-address [ acct-port udp-port ] [ auth-port udp-port ] [ key string ] [ test username name [ idle-time time ]

 
Router (config)# radius-server host 10.0.0.2 acct-port 1550 auth-port 1560 test username user1 idle-time 30 key abc1234

 

(任意)次のキーワードを使用して RADIUS サーバ パラメータを設定します。

acct-port udp-port :RADIUS アカウンティング サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 です。デフォルトは 1646 です。ポート番号を 0 に設定すると、そのホストはアカウンティングに使用されません。

auth-port udp-port :RADIUS 認証サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 です。デフォルトは 1645 です。ポート番号を 0 に設定すると、そのホストは認証に使用されません。

(注) RADIUS アカウンティング サーバの UDP ポートと RADIUS 認証サーバの UDP ポートは、デフォルト以外の値に設定する必要があります。

key string :NAD と RADIUS デーモン間のすべての RADIUS 通信の認証および暗号化キーを指定します。

コマンド構文の最後の項目として設定してください。これは、先行するスペースは無視されますが、キーに含まれるスペースおよび末尾のスペースは使用されるためです。キーにスペースを使用する場合、そのキーを引用符で囲まないでください(そのキーに引用符が含まれる場合を除く)。このキーは、RADIUS デーモンで使用される暗号化と同じである必要があります。

test username name RADIUS サーバのステータスの自動テストをイネーブルにして、使用されるユーザ名を指定します。

idle-time time :NAD がサーバにテスト パケットを送信した後の間隔(分)を設定します。有効な範囲は、1 ~ 35791 分です。デフォルトは 60 分(1 時間)です。

複数の RADIUS サーバを設定するには、このコマンドを再度入力します。

ステップ 6

radius-server attribute 8 include-in-access-req

 

Router (config)# radius-server attribute 8 include-in-access-req

デバイスが非応答ホストに接続されている場合、Access-Request パケットまたは Accounting-Request パケットで Framed-IP-Address RADIUS アトリビュート(アトリビュート[8])を送信するようにデバイスを設定します。

Framed-IP-Address アトリビュートを送信しないようにデバイスを設定するには、 no radius-server attribute 8 include-in-access-req グローバル コンフィギュレーション コマンドを使用します。

ステップ 7

radius-server vsa send authentication

 

Router (config)# radius-server vsa send authentication

Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を認識して使用するように、ネットワーク アクセス サーバを設定します。

ステップ 8

end

 

Router (config)# end

特権 EXEC モードに戻ります。

設定された AAA サーバのステータスの表示

このタスクでは、デバイスに設定した AAA サーバのステータスを表示します。

手順の概要

1. enable

2. show aaa servers

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show aaa servers

 

Router# show aaa servers

デバイスに設定した AAA サーバのステータスを表示します。

NAC の設定の表示

このタスクでは、デバイスの NAC の現在の設定を表示します。

手順の概要

1. enable

2. show ip admission {[cacke] [configuration] [eapoudp]}

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip admission configuration

 

Router# show ip admission configuration

そのデバイスに設定された IP アドミッション コントロール ルールをすべて表示します。

EAPoUDP の設定の表示

このタスクでは、そのデバイスの現在の EAPoUDP の設定(有効な NAC 認証フェール オープン ポリシーなど)に関する情報を表示します。

手順の概要

1. enable

2. show eou { all | authentication {clientless | eap | static} | interface { interface-type } | ip { ip-address } | mac { mac-address } | posturetoken { name } } [{ begin | exclude | include } expression ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show eou ip 10.0.0.1

 

Router# show eou ip 10.0.0.1

指定されたインターフェイスの EAPoUDP の設定に関する情報を表示します。

EOU ロギングのイネーブル化

Cisco IOS リリース 12.4(11)T には、一連の新しいシステム ログが含まれています。これらの新しいログは、MethodList によって定義されたサーバのステータスや、NAC 認証フェール ポリシー設定を追跡します。EOU ロギングを有効にして、MethodList に定義された AAA サーバが使用できない場合に通知する syslog メッセージを生成し、NAC 認証フェール オープン ポリシーの設定を表示します。これには、グローバルまたはルール固有のポリシーが NAD またはインターフェイスに設定されているかどうかが表示されます。ポリシーが設定されていない場合、既存のポリシーが保持されます。

このタスクでは EOU ロギングをイネーブルにします。

手順の概要

1. configure terminal

2. eou logging

手順の詳細

コマンドまたはアクション
目的

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

eou logging

 

Router (config) # eou logging

EOU ロギングをイネーブルにします。

NAC 認証フェール オープンの設定例

ここでは、次の例について説明します。

「NAC 認証フェール オープンの設定例:例」

「RADIUS サーバの設定例:例」

「show ip admission configuration の出力:例」

「show eou の出力:例」

「show aaa servers 出力:例」

「EOU ロギングの出力:例」

NAC 認証フェール オープンの設定例:例

次の例では、NAC 認証フェール オープン機能の設定方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip admission name AAA_DOWN eapoudp event timeout aaa policy identity
global_policy
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default local
Switch(config)# aaa authentication eou default group radius
Switch(config)# identity policy global_policy
Switch(config-identity-policy)# ac
Switch(config-identity-policy)# access-group global_acl
Switch(config)# ip access-list extended global_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit

RADIUS サーバの設定例:例

次に、試行が 3 回失敗した後に RADIUS サーバが到達不能であると見なす例を示します。

Switch(config)# radius-server host 10.0.0.4 test username administrator idle-time 1 key
sample
Switch(config)# radius-server dead-criteria tries 3
Switch(config)# radius-server deadtime 30
Switch(config)# radius-server vsa send authentication
Switch(config)# radius-server attribute 8 include-in-access-req
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip admission AAA_DOWN
Switch(config-if)# exit

show ip admission configuration の出力:例

次に、AAA サーバが到達不能である場合に「global policy」という名前のポリシーを使用するよう設定する例を示します。

Switch# show ip admission configuration
 
Authentication global cache time is 60 minutes Authentication global absolute time is 0
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list
is disabled
 
 
Authentication Proxy Rule Configuration
 
Auth-proxy name AAA_DOWN
 
eapoudp list not specified auth-cache-time 60 minutes
 
Identity policy name global_policy for AAA fail policy

show eou の出力:例

次の例では、NAC 認証フェール ポリシー設定に定義された AAA サーバの設定を示します。

Router# show eou ip 10.0.0.1

Address : 10.0.0.1
MAC Address : 0001.027c.f364
Interface : Vlan333
! Authtype is show as AAA DOWN when in AAA is not reachable.
AuthType : AAA DOWN
! AAA Down policy name:
AAA Down policy : rule_policy
Audit Session ID : 00000000011C11830000000311000001
PostureToken : -------
Age(min) : 0
URL Redirect : NO URL REDIRECT
URL Redirect ACL : NO URL REDIRECT ACL
ACL Name : rule_acl
Tag Name : NO TAG NAME
User Name : UNKNOWN USER
Revalidation Period : 500 Seconds
Status Query Period : 300 Seconds
Current State : AAA DOWN

show aaa servers 出力:例

次の例では、設定された AAA サーバのステータス情報の例を示します。

Switch# show aaa servers
 
RADIUS: id 1, priority 1, host 10.0.0.4, auth-port 1645, acct-port 1646
 
State: current UP, duration 5122s, previous duration 9s
 
Dead: total time 79s, count 3
 
Authen: request 158, timeouts 14
 
Response: unexpected 1, server error 0, incorrect 0, time 180ms
 
Transaction: success 144, failure 1
 
Author: request 0, timeouts 0
 
Response: unexpected 0, server error 0, incorrect 0, time 0ms
 
Transaction: success 0, failure 0
 
Account: request 0, timeouts 0
 
Response: unexpected 0, server error 0, incorrect 0, time 0ms
 
Transaction: success 0, failure 0
 
Elapsed time since counters last cleared: 2h13mS
 

EOU ロギングの出力:例

次の例では、EOU ロギングがイネーブルの場合の表示を示します。

Router (config)# eou logging
EOU-5-AAA_DOWN: AAA unreachable.
METHODLIST=Default| HOST=17.0.0.1| POLICY=Existing policy retained.
EOU-5-AAA_DOWN: AAA unreachable.
METHODLIST=Default| HOST=17.0.0.1| POLICY=aaa_unreachable_policy

その他の参考資料

ここでは、NAC 認証フェール オープン機能に関する関連資料について説明します。

関連資料

内容
参照先

NAC の設定

Network Admission Control 」モジュール

セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

IEEE 802.1x

IEEE Standard 802.1X - 2004
「Port-Based Network Access Control」

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能がサポートする新規 RFC または改訂 RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

NAC 認証フェール オープンの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 NAC 認証フェール オープンの機能情報

機能名
リリース
機能情報

NAC 認証フェール オープン

12.3(8)T

Network Admission Control(NAC; ネットワーク アドミッション コントロール)の展開では、ネットワーク アクセスを許可する前に、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバがクライアントのアンチウイルス ステータスを検証します。このプロセスは、ポスチャ検証と呼ばれます。AAA サーバが到達不能である場合、クライアントはネットワークにアクセスできません。NAC 認証フェール オープン機能を使用すると、管理者は、AAA サーバが到達不能である場合にユーザがネットワークにアクセスできるようにするためのポリシーを適用できます。管理者は、デバイスに適用するグローバル ポリシーや、特定のインターフェイスに適用するルール ベースのポリシーを設定できます。

AAA サーバが到達可能な状態に戻ると、NAC 認証フェール オープン機能を使用したポスチャ検証がクライアントに対して再開されます。

この機能は、Cisco IOS リリース 12.3(8)T で導入されました。

次のコマンドが導入または変更されました。 ip admission ip admission name show eou show ip admission