Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
デバイス管理:CAS の追加、フィルタ の追加
デバイス管理:CAS の追加、フィルタの追加
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

デバイス管理:CAS の追加、フィルタの追加

CAS との連携

管理ドメインへの CAS の追加

CAS 追加時のトラブルシューティング

CAS の管理

CAS の状態確認

CAS の切断

CAS の再起動

管理ドメインからの CAS の削除

グローバルおよびローカルの管理設定値

グローバルおよびローカルの設定値

デバイスおよびサブネットのグローバル フィルタリング

概要

デバイス フィルタとライセンスのユーザ数制限

複数エントリの追加

MAC アドレスによる企業資産の認証とポスチャ評価

インバンド配置のデバイス フィルタ

アウトオブバンド配置のデバイス フィルタ

VoIP 電話を使用するアウトオブバンド配置のデバイス フィルタ

デバイス フィルタおよび CAS との IPSec/L2TP/PPTP 接続

デバイス フィルタとゲーム ポート

グローバルとローカル(CAS 固有)のフィルタ

デバイス フィルタの設定

グローバル デバイス フィルタの追加

デバイス フィルタ ポリシーの表示と検索

順序デバイス フィルタ ワイルドカード/範囲ポリシー

デバイス フィルタ ポリシーのテスト

Active L2 Device Filter ポリシーの表示

デバイス フィルタ ポリシーの変更

デバイス フィルタ ポリシーの削除

サブネット フィルタの設定

デバイス管理:CAS の追加、フィルタの追加

この章では、Clean Access Manager(CAM)から Clean Access Server(CAS)の追加や管理を行う方法と、デバイスまたはサブネットのフィルタの設定方法を説明します。この章の内容は、次のとおりです。

「CAS との連携」

「グローバルおよびローカルの管理設定値」

「デバイスおよびサブネットのグローバル フィルタリング」

Cisco NAC アプライアンスの導入作業として最初に行うのは、CAM の管理ドメインにデバイスを設定することです。CAS を Web コンソールで直接管理するためには、CAS を CAM に追加しなければなりません。

デフォルトでは、Cisco NAC アプライアンスは、CAS の非信頼側にあるユーザ デバイスに対し、ネットワークへのアクセス試行時に強制的に認証を行います。

非信頼ネットワークのユーザに対して、次の章に説明されているとおりに、ユーザ ロール、ユーザ認証、ユーザ Web ページ、インバンド ユーザ トラフィックのトラフィック ポリシーを設定する必要があります。

第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」

第 7 章「ユーザ管理:認証サーバの設定」

第 8 章「ユーザ管理:トラフィック制御、帯域幅、スケジュール」

アウトオブバンド配置の Cisco NAC アプライアンスを設定する場合は、CAM を 第 4 章「スイッチ管理:アウトオブバンド(OOB)配置の設定」 に説明されているとおりに設定する必要もあります。

Cisco NAC アプライアンスをネットワークの非信頼側のユーザ トラフィックに設定したあと、非信頼側のデバイスが認証および Clean Access 証明を回避することを許可する必要があります(プリンタまたは VPN ボックスなど)。この種のデバイスに対して CAM でフィルタを設定する方法については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

CAS との連携

CAS は実行時パラメータを CAM から取得するので、CAM のドメインに追加されるまで動作できません。CAS がインストールされ、CAM に追加されれば、CAS にローカル パラメータを設定し、Web 管理コンソールを通じてその CAS を監視できます。

ここでは、次の項目について説明します。

管理ドメインへの CAS の追加

CAS 追加時のトラブルシューティング

CAS の管理

CAS の状態確認

CAS の切断

CAS の再起動

管理ドメインからの CAS の削除

ローカル CAS 固有の設定の詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

管理ドメインへの CAS の追加

CAS を CAM に追加するには、CAS が稼働していなければなりません。


) CAS を Virtual Gateway モード(インバンドまたはアウトオブバンド)に設定する場合は、Web 管理コンソールを通じて、CAM への CAS の追加が完了するまで、その CAS の非信頼インターフェイス(eth1)をディセーブルにするか、またはケーブルを外しておく必要があります。eh1 インターフェイスが接続された状態のまま Virtual Gateway モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。
Virtual Gateway モードで VLAN マッピングを使用する場合(インバンドまたはアウトオブバンド)は、Device Management > CCA Servers > Manage [CAS_IP] > Advanced > VLAN Mapping で、VLAN マッピングの適切な設定が完了するまで、CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。

詳細は、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Release 4.1(1) を参照してください。


CAS の追加手順

1. Device Management から、ナビゲーション メニューの CCA Servers リンクをクリックします。

 

2. New Server タブをクリックします。

図3-1 新しいサーバの追加

 

3. Server IP address フィールドに、CAS の信頼側インターフェイス(eth0)の IP アドレスを入力します。


) CAS の IP アドレス(eth0)は、管理 IP アドレスと同じです。


4. (任意) Server Location フィールドに、その CAS の所在地またはその他の識別情報を入力します。

5. インバンド動作の場合は、 Server Type リストから、その CAS の動作モードをとして次のいずれかを選択します。

Virtual Gateway ― L2 トランスペアレント ブリッジとして動作し、IPSec、フィルタリング、ウイルス保護、その他のサービスを提供します。

Real-IP Gateway ― 非信頼ネットワークのデフォルト ゲートウェイとして機能します。

NAT Gateway ― IP ルータ/デフォルト ゲートウェイとして機能し、非信頼ネットワークの Network Address Translation(NAT; ネットワーク アドレス変換)サービスも提供します。


) NAT Gateway モードは、テストの簡易化を主目的としているため、最低限のネットワーク設定だけで、簡単に初期セットアップが可能です。ただし、NAT Gateway は、処理できる接続数が限られているので、このモード(インバンドでもアウトオブバンドでも)を実働環境で使用することはサポートされていません。Cisco NAC アプライアンス バージョン 4.1/4.0/3.6 は、NAT Gateway モード用にポート 20000-65535(45536 接続)を使用します。


6. アウトオブバンド動作の場合は、次に示すアウトオブバンド動作タイプのいずれかを選択する必要があります。

Out-of-Band Virtual Gateway ― 認証および証明の処理中は Virtual Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。

Out-of-Band Real-IP Gateway ― 認証および証明の処理中は Real-IP Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。

Out-of-Band NAT Gateway ― 認証および証明の処理中は NAT Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。


) NAT Gateway(インバンドもアウトオブバンドも)は、実働環境での利用にはサポートされていません。


CAM は、そのドメイン内のインバンド CAS とアウトオブバンド CAS のどちらも制御できます。ただし、CAS 自体は、インバンドとアウトオブバンドの いずれか一方 に設定しなければなりません。

アウトオブバンド配置に関する詳細は、 第 4 章「スイッチ管理:アウトオブバンド(OOB)配置の設定」 を参照してください。

CAS の動作モードと NAT ゲートウェイの NAT session throttling の詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

7. Add Clean Access Server をクリックします。CAM は、ネットワーク上でその CAS を探し、管理対象サーバのリスト(図3-2)に追加します。

これで、CAS は CAM の管理ドメインに追加されました。

CAS 追加時のトラブルシューティング

トラブルシューティングの詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

CAS の管理

CAS の追加が完了したのち、VLAN マッピングや DHCP コンフィギュレーションなど、CAS 固有のパラメータを設定できます。トラフィック制御ポリシーなど、一部のパラメータは、CAS で設定することにより CAM のグローバル設定を上書きできます。

CAM に CAS を追加すると、 List of Servers タブに、その CAS が管理対象サーバの 1 つとして表示されます(図3-2)。

図3-2 List of Servers タブ

 

各 CAS エントリには、IP アドレス、サーバ タイプ、場所、その CAS の接続状態が表示されます。さらに、 Manage Disconnect Reboot Delete という 4 つの管理制御アイコンが表示されます。

CAS の管理を行うには、 Manage アイコンをクリックします。


) CAS の設定(DHCP またはハイ アベイラビリティなど)についての具体的な説明は、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』Release 4.1(1) を参照してください。


CAS の状態確認

各 CAS の動作状態は、 Status カラムに表示されます。

Connected ― CAM はその CAS に正常に到達できます。

Not connected ― その CAS は再起動中であるか、または CAM と CAS の間のネットワーク接続が切断されています。

意図せずに CAS の状態が Not connected になっている場合(つまり、定期メンテナンスなどによる停止ではない場合)は、 Manage ボタンをクリックして、強制的に接続を試行します。正常に接続されれば、状態表示は Connected に変わります。状態表示が変わらない場合は、CAM とその CAS の間の接続に問題がないか調べ、CAS が稼働していることを確認します。必要な場合は、CAS の再起動を試行します。


) CAM は、管理対象のすべての CAS の接続状況を監視します。CAM は、未接続の CAS への接続試行を 5 分間隔で試行します。


CAS の切断

CAS が切断されると、その CAS は Not Connected と表示されますが、CAM ドメイン内にそのまま残されています。 Manage をクリックすれば、いつでもその CAS を接続状態にして設定できます。

切断オプションは、メンテナンス作業のために CAS をオフラインにしておく必要がある場合に便利です。さらに、CAS が CAM との同期から外れた場合、その CAS を切断してから再接続できます。再接続すると、CAM はその CAS に設定されたデータを再度発行し、その CAS との同期を維持します。

これとは対照的に、CAS を削除すると、セカンダリ コンフィギュレーションの設定値はすべて失われます。

CAS の再起動

List of Servers タブの Reboot ボタンをクリックすると、CAS のグレースフル リブートを実行できます。グレースフル リブートでは、CAS はロギング データのディスクへの書き込みなど、正常なシャットダウン手順すべてを再起動前に実行します。

管理ドメインからの CAS の削除

List of Servers タブの CAS を削除すると、サーバの一覧表およびシステムから、その CAS が除外されます。CAS を削除するには、その CAS の横にある Delete ボタンをクリックします。削除した CAS を再利用するには、その CAS を再度 CAM に追加しなければなりません。

CAS を削除すると、その CAS 固有のセカンダリ コンフィギュレーションの設定値はすべて削除されます。セカンダリ設定値は、インストール時や service perfigo config スクリプトを通じて設定された値 ではありません 。セカンダリ設定値には、ポリシー フィルタ、トラフィック ルーティング、暗号化パラメータなどがあります。

インターフェイス アドレスなど、インストール時に 設定された 値は、CAS 上に保存されているので、その CAS が CAM の管理ドメインに再度追加されると、復元されます。

アクティブな CAS を削除した場合、削除時にその CAS を通じてネットワークにアクセスしているユーザに次のような影響が生じます。

CAS を削除した時点で、その CAS と CAM が接続されていた場合、アクティブ ユーザのネットワーク接続は即座に切断されます。ユーザはネットワークにアクセスできなくなります(これは、CAM がその CAS のコンフィギュレーションを即座に削除したため、アクティブ ユーザに割り当てられた IP アドレスが CAS に適用されるセキュリティ ポリシーとの関連で無効になるからです)。新しいユーザはネットワークにログインできなくなります。

CAS を削除した時点でその CAS と CAM の接続が切断されていた場合、アクティブ ユーザは接続が再確立するまで、ネットワークへのアクセスを継続できます。これは、CAM がその CAS のコンフィギュレーションをすぐに削除できないためです。新しいユーザはネットワークにログインできなくなります。

グローバルおよびローカルの管理設定値

CAM の Web 管理コンソールには、次のような種類の設定値があります。

CAM 管理設定値 は、CAM だけに関連する設定値です。これらの値には、IP アドレスとホスト名、SSL 証明書情報、ハイ アベイラビリティ(フェールオーバー)の設定値などがあります。

グローバル管理設定値 は、CAM で設定され、CAM からすべてのCAS に送信されます。これらの値には、認証サーバ情報、グローバル デバイス/サブネット フィルタ ポリシー、ユーザ ロール、Clean Access コンフィギュレーションなどがあります。

ローカル管理設定値 は、CAS 管理ページで 1 つの CAS に対して設定され、その CAS だけに適用されます。これらの値には、CAS ネットワークの設定値、SSL 証明書、DHCP および 1:1 NAT コンフィギュレーション、VPN コンセントレータ コンフィギュレーション、IPSec キー変更、ローカル トラフィック制御ポリシー、ローカル デバイス/サブネット フィルタ ポリシーなどがあります。

設定値のグローバルまたはローカルの範囲は、図3-3 のように、Web 管理コンソールの Clean Access Server カラムに表示されます。

図3-3 設定値の範囲

 

GLOBAL ― CAM Web 管理コンソールからグローバル形式で作成されたエントリです。この CAM のドメイン内のすべての CAS に適用されます。

<IP アドレス> ― CAS 管理ページからローカル形式で作成されたエントリです。この IP アドレスを持つ CAS だけに適用されます。

通常、グローバル設定値(GLOBAL の表記)が表示されているページには、使いやすくするためにローカル設定値(CAS の IP アドレスで表記)も表示されています。これらのローカル設定値はたいていグローバル ページから修正や削除を実行できますが、ローカル設定値の 追加 は、特定の CAS 用のローカル CAS 管理ページからしか実行できません。

グローバルおよびローカルの設定値

多くの場合、1 つの CAS に、グローバル設定値(すべての CAS 用に CAM で設定された値)とローカル設定値(CAS 固有の値)が両方あります。グローバルとローカルの設定値が衝突した場合は、常にローカル設定値の方がグローバル設定値よりも優先されます。次の点に注意してください。

デバイス/サブネット フィルタ ポリシー(認証/証明要件の回避)に関しては、ローカル(CAS 固有)設定値がグローバル(CAM)設定値よりも優先されます。

トラフィック制御ポリシーなど、その他の設定値の場合、グローバルとローカルのどちらのポリシーが強制されるかは、ポリシーのプライオリティ(高または低)によって決まります。

一部の機能は、CAS で(CAS 管理ページで)イネーブルにして CAM コンソールで設定しなければなりません。例えば、次のような機能が該当します。

L 3 サポート(マルチホップ L3 配置用)は CAS ごとにイネーブルになっていますが、CAM のログイン ページ/Agent 設定が必要なことがあります。

帯域幅管理は CAS ごとにイネーブルになっていますが、CAM のすべてのロールに設定できます。

Active Directory SSO は CAS ごとに設定されますが、CAM の認証プロバイダーが必要です。

Cisco VPN コンセントレータ SSO は CAS ごとに設定されますが、CAM の認証プロバイダーが必要です。

Clean Access の条件およびネットワーク スキャン プラグインは、CAM からグローバルとして設定され、すべての CAS に適用されます。

デバイスおよびサブネットのグローバル フィルタリング

ここでは、次の項目について説明します。

概要

デバイス フィルタとライセンスのユーザ数制限

複数エントリの追加

MAC アドレスによる企業資産の認証とポスチャ評価

インバンド配置のデバイス フィルタ

アウトオブバンド配置のデバイス フィルタ

VoIP 電話を使用するアウトオブバンド配置のデバイス フィルタ

デバイス フィルタおよび CAS との IPSec/L2TP/PPTP 接続

デバイス フィルタとゲーム ポート

グローバルとローカル(CAS 固有)のフィルタ

デバイス フィルタの設定

サブネット フィルタの設定

概要

デフォルトでは、Cisco NAC アプライアンスは、CAS の非信頼側にあるユーザ デバイスに対し、ネットワークへのアクセス試行時に認証を強制します。

非信頼側にあるデバイスの認証とポスチャ評価(このマニュアルでは「Clean Access 証明」と呼んでいます)を回避する必要がある場合は、デバイスまたはサブネットのフィルタを設定します。

Clean Access の回避は、フィルタ リストと免除リストという 2 つの方法で実行できます。

フィルタ リスト( Device Management > Filters で設定)は、MAC、IP、またはサブネットで設定できます。また、ロール割り当ての自動設定も可能です。フィルタを使用すると、ユーザが 認証と Clean Access 証明(ポスチャ評価)の両方とも 回避するように設定できます。ここでは、デバイスおよびサブネット フィルタの設定方法を説明します。

免除リストは MAC アドレスで設定します( Device Management > Clean Access > Certified Devices > Add Exempt Device )。免除リストで回避できるのは、 Clean Access 証明(ポスチャ評価)だけ です。免除リストに関する詳細は、「免除デバイスの追加」を参照してください。

デバイス フィルタは、デバイスの MAC アドレス(任意で IP も可)で指定し、IB(インバンド)配置または OOB(アウトオブバンド)配置のどちらかに設定できます。MAC アドレスの入力と認証は CAM を通じて実行しますが、認証動作を行うデバイスは CAS です。OOB の場合は、Port Profile( ポート プロファイルの追加を参照)でデバイス フィルタの使用もイネーブルにする必要があります。IB と OOB のいずれでも、フィルタ リストに入力されたデバイスに対しては、認証と証明が回避されます。

サブネット フィルタを設定できるのは IB 配置の場合だけです。サブネット フィルタは、サブネット アドレスとサブネット マスク(CIDR 形式)で指定します。

デバイスまたはサブネットのフィルタを設定することによって、次のことが可能です。

IB:そのデバイス/サブネットに対してログイン/証明を回避し、すべてのトラフィックを許可する。
OOB:そのデバイスに対してログイン/証明を回避し、デフォルト アクセス VLAN を割り当てる。

IB:そのデバイス/サブネットに対してネットワーク アクセスをブロックする。
OOB:そのデバイスに対してネットワーク アクセスをブロックし、認証 VLAN を割り当てる。

IB:そのデバイス/サブネットに対してログイン/証明を回避し、ユーザ ロールを割り当てる。
OOB:そのデバイスに対してログイン/証明を回避し、アウトオブバンド ユーザ ロール VLAN(ユーザ ロールで設定されたアクセス VLAN)を割り当てる。


) フィルタ エントリ内のデバイスは、認証なしのアクセスが許可または拒否されるので、Online Users リスト(詳細は オンライン ユーザ リストを参照)には表示されません。


デバイス フィルタは、次のような用途に利用できます。

ユーザ VLAN 上にプリンタがある場合、そのプリンタの MAC アドレスに対して「許可」のデバイス フィルタを設定すると、そのプリンタと Windows サーバとの通信が可能になります。OOB 配置でもプリンタにデバイス フィルタを設定することを推奨します。これによって、認証回避を目的としてユーザがプリンタ ポートに接続するのを防ぐことができます。

インバンドの Cisco NAC アプライアンス L3/VPN コンセントレータ配置の場合は、信頼ネットワーク上にある VPN コンセントレータと通信するために、信頼ネットワーク上の認証サーバからのトラフィックを許可するようなデバイスまたはサブネット フィルタを設定できます。

デバイス フィルタとライセンスのユーザ数制限

Device Filter リスト(認証/ポスチャ評価/修復の回避)で「ALLOW」オプションを使用して指定された MAC アドレスは、ライセンスのユーザ数制限には数えられません。

Device Filter リスト(認証は回避するがポスチャ評価/修復は実行する)で「CHECK」オプションを使用して指定された MAC アドレスは、ライセンスのユーザ数制限には数えられます。


) フィルタを設定できるデバイス(ユーザ以外)の最大数は、メモリ容量によって決まり、ライセンスのユーザ数制限とは直接的な関係はありません。各 CAS が問題なくサポートできる MAC アドレス数は約 5,000 です。


複数エントリの追加

デバイス フィルタ リストに入力する MAC アドレスが広範囲の場合は、次の方法で入力できます。

1. デバイス フィルタの設定時にワイルドカードと MAC アドレスの範囲を指定する。

2. New Device Filter フォームに個々の MAC アドレス(1 行に 1 つ)をコピーして貼り付け、これらすべてを 1 回のクリックで追加する。

3. API (cisco_api.jsp) addmac 関数を使用し、プログラムを通じて MAC アドレスを追加する。詳細は、「API サポート」を参照してください。

MAC アドレスによる企業資産の認証とポスチャ評価

Cisco NAC アプライアンスでは、CCA にログインせずにクライアント マシンに対して MAC ベースの認証およびポスチャ評価(Clean Access 証明)を実行できます。この機能は、グローバルおよびローカル デバイス フィルタの「CHECK」デバイス フィルタ制御、および CAA によって実装されます(詳細は CAA によるすべての使用可能なアダプタの IP/MAC の送信を参照)。

次のデバイス フィルタ設定オプションを使用できます。

CHECK および IGNORE デバイス フィルタ オプション

ROLE および CHECK フィルタでは、ドロップダウン メニューから User Role を選択する必要があります。

IGNORE は OOB 専用です。IB では、このオプションを選択しても効力がありません。

IGNORE はグローバル フィルタ専用です。CAS New/Edit フィルタ ページには表示されません。

IGNORE デバイス フィルタは、旧リリースで IP 電話に指定された "allow" デバイス フィルタを置き換えます。


) 不要な MAC-notification トラップが作成されないように、管理者は IP 電話に対して IGNORE オプションを使用するようにデバイス フィルタを再設定する必要があります。詳細については、「VoIP 電話を使用するアウトオブバンド配置のデバイス フィルタ」を参照してください。


デバイス フィルタ ポリシーの適用範囲は L2 配置(CAS がエンド ポイント/ユーザ デバイスと L2 近接する配置)と L3 配置(CAS がエンド ポイント/ユーザ デバイスと 1 ホップ以上離れている配置)では異なります。L3 配置では、Clean Access がエンド ポイントの MAC アドレスを取得できるように、エンド ポイントで Web ブラウザ(アプレット/ActiveX)または CAA を使用してネットワークにアクセスする必要があります。 表3-1 で、L2 と L3 配置の動作の違いについて説明します。

 

表3-1 CAM L2/L3 デバイス フィルタ オプション

オプション
L2
L3

ALLOW

エンドポイントからのすべてのトラフィックを許可します。認証またはポスチャ評価は不要です。

MAC アドレスが認識されると(この時点まで、エンドポイントからのトラフィックは Unauthenticated ロールのポリシーに準拠します)、エンドポイントからのすべてのトラフィックを許可します。認証またはポスチャ評価は不要です。

DENY

エンドポイントからのすべてのトラフィックを拒否します。

MAC アドレスが認識されると(この時点まで、エンドポイントからのトラフィックは Unauthenticated ロールのポリシーに準拠します)、エンドポイントからのすべてのトラフィックを拒否します。

ROLE

エンドポイントからのトラフィックを、ロール トラフィック ポリシーで指定された認証またはポスチャ評価なしで許可します(CCA 3.x との下位互換性のために、引き続き同じように適用されます)。

MAC アドレスが認識されたあと、設定されている場合はポスチャ評価が実行されます。これ以後、トラフィックはロール トラフィック ポリシーに従って許可されます。

CHECK

ロールに対して指定されたとおりにポスチャ評価が実行され、これ以後、トラフィックはロール トラフィック ポリシーに従って許可されます。

同上

IGNORE

OOB 専用 ― 指定された MAC アドレスに対して、管理対象スイッチ ポートからの SNMP トラップを無視します。

OOB 専用 ― 指定された MAC アドレスに対して、管理対象スイッチ ポートからの SNMP トラップを無視します。

インバンド配置のデバイス フィルタ

Cisco NAC アプライアンスは、認証属性を用いて、またはデバイス/サブネット フィルタ ポリシーを通じて、ユーザにユーザ ロールを割り当てます。そのため、特定の MAC アドレスまたはサブネットにシステム ユーザ ロールを指定する能力は、デバイス/サブネット フィルタ ポリシー コンフィギュレーションの主要な機能となっています。Cisco NAC アプライアンスがロールの割り当てに使用するプライオリティの順序は次のとおりです。

1. MAC アドレス

2. サブネット/IP アドレス

3. ログイン情報(ログイン ID、認証サーバから得たユーザの属性、ユーザ マシンの VLAN IDなど)

したがって、あるクライアント マシンが MAC アドレスでは「ロール A」に関連付けられているのに、ユーザのログイン ID では「ロール B」に関連付けられている場合は、「ロール A」が使用されます。

ユーザ ロールに関する詳細は、 第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。


) • 信頼ネットワーク側から AP(アクセス ポイント)を管理する場合は、Device Management > Filters > Devices でフィルタ ポリシーを設定すれば、信頼側から AP に到達できるようにすることが可能です(SNMP、HTTP を通じて、またはどんな管理プロトコルでも)。

4.1(x) にアップグレードすると、EOLed AP Management 機能を使用して追加されたデバイス フィルタは無効になります。


 

アウトオブバンド配置のデバイス フィルタ

OOB(アウトオブバンド)配置の場合、CAM は、グローバルの Device Filters リストを尊重します。IB(インバンド)配置の場合と同様、OOB でも、グローバル デバイス フィルタ リストの MAC アドレスに設定されたルールには、ユーザ/デバイス処理において最高の優先順位が与えられます。OOB でのルール処理の優先順位は、次のとおりです。

1. デバイス フィルタ(MAC アドレスで設定され、OOB でイネーブルになっている場合)

2. Certified Devices リスト

3. Out-of-Band Online User リスト

OOB 用に設定された MAC アドレス デバイス フィルタには、次の選択肢および動作があります。

ALLOW ― ログインおよびポスチャ評価(認証)を回避し、 デフォルト アクセス VLAN をポートに割り当てる。

DENY ― ログインおよびポスチャ評価(認証)を回避し、 認証 VLAN をポートに割り当てる。

ROLE ― ログインおよび L2 ポスチャ評価(認証)を回避し、 ユーザ ロール VLAN をポートに割り当てる

CHECK ― ログインを回避し、ポスチャ評価を適用して、 ユーザ ロール VLAN をポートに割り当てる

IGNORE ― 管理対象スイッチ(IP 電話)から SNMP トラップを無視する


) • OOB にグローバル デバイス フィルタを使用するには、ポート プロファイルに対して Change VLAN according to global device filter list オプションをイネーブルにする必要があります(Switch Management > Profiles > Port > New または Edit で)。詳細は、「ポート プロファイルの追加」を参照してください。

この機能は、グローバル デバイス フィルタだけに適用されます(CAS 固有のデバイス フィルタには適用されません)。

ユーザ ロールを通じた VLAN の割当てに関する詳細は、「Out-of-Band User Role VLAN」を参照してください。


 

その他の事項については、 第 4 章「スイッチ管理:アウトオブバンド(OOB)配置の設定」 を参照してください。

VoIP 電話を使用するアウトオブバンド配置のデバイス フィルタ

クライアント マシンがネットワークへの接続に使用する IP 電話を無視する MAC アドレスのグローバル デバイス フィルタ リストを作成する必要があります。個々の MAC アドレスのコレクションをコンパイルし(この方法は小規模構成にのみ推奨されます)、範囲デリミタおよびワイルドカード文字を使用して MAC アドレスの範囲を指定することで、MAC アドレスのリストを定義できます。MAC アドレスのリストは、Cisco CallManager など既存の IP 電話管理アプリケーションから抽出することもできます。

適用可能な IP 電話の MAC アドレスのリストを作成したら、OOB 用に CCA を設定する際に、ポート プロファイルで Change VLAN according to global device filter list オプションをイネーブルにして( Switch Management > Profiles > Port > New または Edit で)、CCA がこれらの MAC アドレスを無視するように設定する必要があります。これにより、IP 電話の MAC-notification 動作はある VLAN から別の VLAN への(たとえば、アクセス VLAN から認証 VLAN への)切り替えを開始できなくなるため、関連するクライアント マシンの接続が間違って終了することがなくなります。詳細は、「CAM における OOB スイッチ管理の設定」を参照してください。

デバイス フィルタおよび CAS との IPSec/L2TP/PPTP 接続

MAC フィルタ リストで許可されたデバイスは、CAS との間で IPSec/L2TP/PPTP 接続を確立できません。CAS との間で IPSec/L2TP/PPTP 接続を確立できるのは、Web ログインまたは Clean Access Agent を通じたユーザ ログインだけです。

CAS とエンド ユーザ デバイスの間の安全な接続の設定方法については、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) の「User Traffic Encryption」を参照してください。


警告 IPSec/L2TP/PPTP およびローミングは望ましくないため、今後のリリースで削除される予定です。


デバイス フィルタとゲーム ポート

Microsoft XBOX Live などのゲーム サービスを許可する場合は、ゲーム ユーザ ロールを作成し、そのデバイスの MAC アドレスのフィルタを追加して( Device Management > Filters > Devices > New )、作成したゲーム ロールをそのデバイスに割り当てることを推奨します。このようにすれば、そのゲーム ロールのトラフィック ポリシーを作成し、ゲーム ポートのトラフィックを許可できます。詳細は、以下を参照してください。

「ゲーム ポートの許可」

http://www.cisco.com/warp/customer/707/ca-mgr-faq2.html#q16

「新しいロールの追加」

グローバルとローカル(CAS 固有)のフィルタ

デバイス/サブネット フィルタは、CAM の Filters ページに表示されるすべての CAS に対してグローバル レベルで追加することも、また、CAS 管理ページで特定の CAS に対して追加することも可能です。CAM には両方のアクセス フィルタが保存され、グローバル フィルタ ポリシーはすべての CAS に、ローカル フィルタ ポリシーは該当する CAS に配布されます。

デバイス/サブネット フィルタ ポリシーのグローバル設定値とローカル設定値が衝突した場合は、グローバル設定値よりもローカル設定値の方が優先されます(グローバルおよびローカルの管理設定値を参照してください)。

ここでは、グローバル アクセス フィルタ ポリシーを追加するときに使用するフォームと手順について説明します。ローカル アクセス フィルタ ポリシーの追加方法は、『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。


) OOB 配置の場合、CAM はグローバル デバイス フィルタ リストを優先します(CAS 固有のフィルタではなく)。


グローバル デバイス フィルタの追加

デバイス フィルタ リストに MAC アドレス エントリがある場合、Clean Access のポリシーごとにマシンをチェックすることもできます(Agent ベース チェック、ネットワーク スキャナ チェックなど)。デバイスは MAC アドレスに基づいて認証されますが、それでもスキャニングを実行する必要があります(ネットワークおよび Agent)。

以下の手順で設定されたデバイス フィルタは、その CAM ドメイン内のすべての CAS に適用されます。

1. Device Management > Filters > Devices > New の順番に進みます。

図3-4 新しいデバイス フィルタ

 

2. New Device Filter フォームに該当するデバイスの MAC アドレスを入力します。このデバイスに対するポリシーをテキスト フィールドに作成します。次の形式で 1 行に 1 つずつエントリを入力します。

<MAC>/<optional_IP> <optional_entry_description>
 

次の点に注意してください。

複数の MAC アドレスを指定する場合は、ワイルドカード [ * ] または範囲 [ - ] を使用できます。

複数のデバイスを入力する場合、改行を使用してデバイスを区切ります。

任意で、MAC とともに IP アドレスを入力することもできます。このようにすると、MAC アドレスのスプーフィングによるネットワーク アクセス権の取得を防ぐことができます。MAC アドレスと IP アドレスを両方入力した場合、両方に一致するクライアントにルールが適用されます。

デバイスの記述は、デバイス単位で、またはすべてのデバイスに対して指定できます。 Description (all entries) フィールドのすべてのデバイス用の記述よりも、特定のデバイスに対する記述(MAC Address フィールド)の方が優先されます。各デバイス エントリ内の記述にはスペースを入力することはできません(図3-4 を参照)。

3. Access Type の選択肢の中から、そのデバイスのポリシーを選択します。

ALLOW
IB:ログインとポスチャ評価を回避し、アクセスを許可する。
OOB:ログインとポスチャ評価を回避し、デフォルトのアクセス VLAN を割り当てる。

DENY
IB:ログインとポスチャ評価を回避し、アクセスを拒否する。
OOB:ログインとポスチャ評価を回避し、認証 VLAN を割り当てる。

ROLE
IB:ログインと L2 ポスチャ評価を回避し、ロールを割り当てる。
OOB:ログインと L2 ポスチャ評価を回避し、ユーザ ロール VLAN を割り当てる。アウトオブバンド ユーザ ロール VLAN は、ユーザ ロールで設定されているアクセス VLAN です。詳細は、 第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。

CHECK
IB:ログインを回避し、ポスチャ評価とロールを割り当てる。
OOB:ログインを回避し、ポスチャ評価とユーザ ロール VLAN を割り当てる。

IGNORE
OOB 専用:管理対象スイッチ(IP 電話)からの SNMP トラップを無視する。


) OOB の場合、Switch Management > Profiles > Port > New または Edit の下の Port Profile レベルで、デバイス フィルタの使用をイネーブルにしなければなりません。詳細は、「ポート プロファイルの追加」を参照してください。


4. Add をクリックしてポリシーを保存します。

5. Devices タブの List ページが表示されます。

次の例はすべて有効なエントリです(同時に入力できます)。

00:16:21:11:4D:67/10.1.12.9 pocket_pc
00:16:21:12:* group1
00:16:21:13:4D:12-00:16:21:13:E4:04 group2

) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細は、「帯域利用の制御」を参照してください。



) トラブルシューティングのヒント:「Adding device MAC failed」というエラーが表示され、フィルタ リストにデバイスを追加できない場合は(どのオプションを選択したか、または IP アドレス/説明が入力されているかどうかに関係なく)、Event Logs を選択します。「xx:xx:xx:xx:xx:xx could not be added to the MAC list」が表示された場合、CAS の 1 つが切断されている可能性があります。


デバイス フィルタ ポリシーの表示と検索

範囲にプライオリティを定義できます(Order ページで)

単一 MAC アドレス デバイス フィルタ(00:14:6A:6B:6C:6D など)は、フィルタ リストで常にワイルドカード/範囲デバイス フィルタ(00:14:6A:6B:*、または 00:14:6A:* など)よりも優先されます。

新規ワイルドカード/範囲デバイス フィルタは、常に List ページの最後に置かれます。プライオリティの変更は、 Order ページで行います。

単一 MAC アドレス デバイス フィルタのロール割り当ては、常に他のフィルタより優先されます。 Test ページで MAC アドレスに使用されるロール割り当てをチェックできます。

Test ページに、入力された MAC アドレスに有効なフィルタが表示されます。

1. 以下の検索基準を使用して、フィルタ リスト( Device Management > Filters > Devices > List )に表示されるデバイスの数を絞り込むことができます。

CAS:すべての CAS、GLOBAL、または <CAS IP アドレス>

アクセス:すべてのアクセス、allow、deny、use role

MAC アドレス

IP アドレス

説明

MAC アドレス、IP アドレス、記述での検索では、検索テキスト フィールドに入力するテキストの演算子として、equals、starts with、ends with、または contains を選択できます。

2. 検索基準の入力後、View ボタンをクリックすると、目的の検索結果が表示されます。

図3-5 デバイス フィルタ リスト

 

3. Reset View をクリックすると、リストがリセットされ、すべてのエントリ(デフォルト)が表示されます。First、Previous、Next、Last のリンクを使用して、ページを移動できます。各ページには最大 25 のエントリを表示できます。

リストの Clean Access Server カラムには、そのポリシーの範囲が表示されます。CAS 管理ページでローカルに設定されたポリシーの場合は、このフィールドに該当する CAS の IP アドレスが表示されます。管理コンソールの Device Management > Filters モジュールですべての CAS 用としてグローバルに設定されたポリシーの場合は、このフィールドに GLOBAL と表示されます。

カラムの見出しラベル(MAC Address、IP Address、CAS、Description、Access Type)をクリックすると、カラム別にフィルタ リストを保存できます。

詳細は、「グローバルおよびローカルの管理設定値」および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』Release 4.1(1) を参照してください。

順序デバイス フィルタ ワイルドカード/範囲ポリシー

Order ページは、 ワイルドカード/範囲 デバイス フィルタ 専用 です。 Order ページを使用して、ワイルドカード/範囲デバイス フィルタのプライオリティを変更します。

例:

Order ページでフィルタが次のように設定されている場合:

1. 00:14:6A:* ― アクセス タイプ:DENY

2. 00:14:6A:6B:* ― アクセス タイプ:IGNORE

MAC アドレス 00:14:6A:6B:60:60 のデバイスは拒否されます。

Order ページで次のように設定されている場合:

1. 00:14:6A:6B:* ― アクセス タイプ:IGNORE

2. 00:14:6A:* ― アクセス タイプ:DENY

MAC アドレス 00:14:6A:6B:60:60 のデバイスのアクセス タイプは IGNORE になります。

ただし、MAC アドレスがちょうど 00:14:6A:6B:60:60 のデバイス フィルタが存在する場合、このフィルタのルールが適用され、既存のワイルドカード/範囲フィルタは使用されません。

1. Device Management > Filters > Devices > Order の順番に進みます。

図3-6 Order

 

 

2. Priority 列の矢印をクリックして、ワイルドカード/範囲フィルタのプライオリティを上または下に移動します。

3. Commit をクリックして変更を適用します。(変更をキャンセルするには、 Reset をクリックします。)

デバイス フィルタ ポリシーのテスト

管理者は Test ページ制御で、特定の CAS に指定された MAC アドレスに適用するデバイス フィルタとアクセス タイプを決定できます。

1. Device Management > Filters > Devices > Test の順番に進みます。

2. MAC Address フィールドに、デバイスの MAC アドレスを入力します。

3. テストする CAS を Clean Access Server ドロップダウン メニューから選択します。

4. Submit をクリックします。対応するデバイス フィルタに指定されたアクセス タイプが、下記リストの Access Type に表示されます。

図3-7 Test

 

Active L2 Device Filter ポリシーの表示

Active L2 In-Band Device Filters リストには、現在 CAS に接続されていてパケットを送信しているすべてのクライアントの情報、およびデバイス フィルタでの MAC アドレスが表示されます。このリストは、ユーザが認証(デバイス フィルタを介して)およびポスチャ評価(要件が強制されていない場合など)を回避するように設定されている場合に、特に便利です。定義によって、これらのユーザは Online Users リストまたは Certified Device リストには表示されませんが、Active L2 Device Filters リストを使用してインバンド ネットワークで追跡することはできます。

すべての CAS において、フィルタ ポリシーで有効な L2 デバイスを表示する方法は次のとおりです。

1. Device Management > Filters > Devices > Active の順番に進みます。

2. まず Show All ボタンをクリックして、 Active ページに、現在 CAS に接続されていてパケットを送信しているすべてのクライアントの情報、およびデバイス フィルタでの MAC アドレスを読み込みます。

クライアント IP または MAC アドレスで 検索 を実行して、ページにその結果を読み込むこともできます。デフォルトでは、実行された Search パラメータは、 Search IP/MAC Address フィールドに入力された値の「contains」と同値です。


) パフォーマンス上の理由により、Show All または Search をクリックしてページをリフレッシュすると、Active ページには最新のデバイス情報のみが表示されます。


図3-8 Active

 


) 個々の CAS のアクティブ デバイスを表示するには、Device Management > CCA Servers > Manage [CAS_IP] > Filter > Devices > Active の順番に進みます。


デバイス フィルタ ポリシーの変更

1. フィルタ リスト内のデバイス フィルタ ポリシーの横にある Edit ボタンをクリックします。 Edit ページが表示されます。

2. IP アドレス、記述、アクセス タイプ、使用ロールを変更できます。Save をクリックして変更を適用します。

3. MAC アドレスは、変更できないフィルタ ポリシー プロパティです。MAC アドレスを変更するには、新しいフィルタ ポリシーを作成して、既存のポリシーを削除します(後述の手順を参照してください)。

デバイス フィルタ ポリシーの削除

デバイス アクセス ポリシーは、2 通りの方法で削除できます。

リストで、目的のエントリの横にあるチェックボックスを選択し、削除ボタンをクリックします。この方法では、各ページで最大 25 のデバイス アクセス ポリシーを選択し削除できます。

検索基準を使用して目的のデバイス フィルタ ポリシーを選択し、Delete List をクリックします。この方法では、適用可能なページ全体で検索基準に合致したすべてのデバイスが削除されます。デバイス表示用の任意の検索基準を使用して選択的にデバイスを削除できます。Delete List をクリックした場合に削除されるデバイスの合計数は、図3-5 に示されている「検索済デバイス インジケータ」に表示されます。

サブネット フィルタの設定

Subnets タブ(図3-9)を使用すると、あるサブネット全体に対して、認証およびアクセス フィルタのルールを指定できます。そのサブネット上のネットワークにアクセスするすべてのデバイスにフィルタ ルールが適用されます。

サブネットベースのアクセス制御を設定するには、次のようにします。

1. Device Management > Filters > Subnets の順番に進みます。

図3-9 サブネット フィルタ

 

2. Subnet Address/Netmask フィールドに、CIDR 形式でサブネット アドレスとサブネット マスクを入力します。

3. (任意)そのポリシーまたはデバイスの記述を Description に入力します。

4. Access Type で、そのサブネットのネットワーク アクセスのタイプを選択します。

allow ― そのサブネット上のデバイスは認証なしでネットワークにアクセスできます。

deny ― そのサブネット上のデバイスはネットワークへのアクセスをブロックされます。

use role ― そのサブネットからネットワークにアクセスするユーザは、認証なしのアクセスが許可され、ロールが適用されます。このオプションを選択した場合は、これらのデバイスに適用するロールも選択します。ユーザ ロールに関する詳細は、 第 6 章「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。

5. Add をクリックしてポリシーを保存します。

このポリシーはすぐに有効になり、フィルタ ポリシー リストの一番上に表示されます。


) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細は、「帯域利用の制御」を参照してください。


サブネット フィルタを追加後、 Delete ボタンを使用してそのフィルタを削除したり、 Edit ボタンを使用して変更したりすることができます。サブネット アドレスは、変更できないフィルタ ポリシー プロパティです。サブネット アドレスを変更するには、新しいフィルタ ポリシーを作成し、既存のポリシーを削除する必要があります。

ポリシー リストの Clean Access Server カラムには、そのポリシーの範囲が表示されます。CAS でローカル設定値として設定されたポリシーの場合、このフィールドに表示される IP アドレスで CAS が識別されます。CAM でグローバルとして設定されたポリシーの場合は、このフィールドに GLOBAL と表示されます。

カラムの見出しラベル(Subnet、CAS、Description、Access Type)をクリックすると、カラム別にフィルタ リストを保存できます。