Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
デバイス管理:Clean Access Server の 追加、フィルタの追加
デバイス管理:Clean Access Server の追加、フィルタの追加
発行日;2012/02/22 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 23MB) | フィードバック

目次

デバイス管理:Clean Access Server の追加、フィルタの追加

Clean Access Server との連携

管理ドメインへの Clean Access Server の追加

Clean Access Server の管理

Clean Access Manager から Clean Access Server への許可の設定

Clean Access Manager から Clean Access Server への許可を設定する手順の要約

許可のイネーブル化および許可された Clean Access Server の指定

Clean Access Server の状態確認

Clean Access Server の切断

Clean Access Server のリブート

管理ドメインからの Clean Access Server の削除

Clean Access Server 追加時のトラブルシューティング

グローバルおよびローカルの管理設定値

グローバルおよびローカルの設定値

デバイスおよびサブネットのグローバル フィルタリング

概要

デバイス フィルタとライセンスのユーザ数制限

複数エントリの追加

MAC アドレスによる企業資産の認証とポスチャ評価

インバンド配置のデバイス フィルタ

アウトオブバンド配置のデバイス フィルタ

IP 電話を使用するアウトオブバンド配置のデバイス フィルタ

インバンドおよびアウトオブバンド デバイス フィルタの動作の比較

デバイス フィルタとゲーム ポート

グローバルとローカル(CAS 固有)のフィルタ

Cisco NAC Profiler のグローバル デバイス フィルタ リスト

デバイス フィルタの設定

グローバル デバイス フィルタの追加

デバイス フィルタ ポリシーの表示/検索/インポート/エクスポート

順序デバイス フィルタ ワイルドカード/範囲ポリシー

デバイス フィルタ ポリシーのテスト

Active Layer 2 Device Filter ポリシーの表示

デバイス フィルタ ポリシーの編集

デバイス フィルタ ポリシーの削除

サブネット フィルタの設定

デバイス管理:Clean Access Server の追加、フィルタの追加

この章では、Clean Access Manager から Clean Access Server の追加や管理を行う方法と、デバイスまたはサブネットのフィルタの設定方法を説明します。この章の内容は、次のとおりです。

「Clean Access Server との連携」

「グローバルおよびローカルの管理設定値」

「デバイスおよびサブネットのグローバル フィルタリング」

Cisco NAC アプライアンスの導入作業として最初に行うのは、Clean Access Manager(CAM)の管理ドメインでデバイスを設定することです。Clean Access Server を Web コンソールで直接管理するためには、CAS を CAM に追加する必要があります。

デフォルトでは、Cisco NAC アプライアンスは、CAS の非信頼側にあるユーザ デバイスに対し、ネットワークへのアクセス試行時に認証を強制します。

非信頼ネットワークのユーザに対して、次の章に説明されているとおりに、ユーザ ロール、ユーザ認証、ユーザ Web ページ、インバンド ユーザ トラフィックのトラフィック ポリシーを設定する必要があります。

「ユーザ管理:ユーザ ロールとローカル ユーザの設定」

「ユーザ管理:認証サーバの設定」

「ユーザ管理:トラフィック制御、帯域幅、スケジュール」

アウトオブバンド配置の Cisco NAC アプライアンスを設定する場合は、CAM を「スイッチ管理:アウトオブバンド配置の設定」に説明されているとおりに設定する必要もあります。

Cisco NAC アプライアンスをネットワークの非信頼側のユーザ トラフィックに設定した後で、非信頼側のデバイスが認証および Clean Access ポスチャ評価を 回避 することを許可する必要があります(プリンタまたは VPN コンセントレータなど)。この種のデバイスに対して Clean Access Manager でフィルタを設定する方法については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

Clean Access Server との連携

Clean Access Server はランタイム パラメータを Clean Access Manager から取得するため、CAM のドメインに追加されるまで動作できません。CAS がインストールされ、CAM に追加されれば、CAS にローカル パラメータを設定し、Web 管理コンソールを通じてその CAS を監視できます。

ここでは、次の項目について説明します。

管理ドメインへの Clean Access Server の追加

Clean Access Server の管理

Clean Access Manager から Clean Access Server への許可の設定

Clean Access Server の状態確認

Clean Access Server の切断

Clean Access Server のリブート

管理ドメインからの Clean Access Server の削除

Clean Access Server 追加時のトラブルシューティング

ローカル CAS 固有の設定の詳細は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』を参照してください。

管理ドメインへの Clean Access Server の追加

Clean Access Server を Clean Access Manager に追加するには、CAS が稼動している必要があります。


) Clean Access Server を Virtual Gateway モード(IB または OOB)で設定する場合は、Web 管理コンソールで CAM への CAS の追加が完了するまで、その CAS の非信頼インターフェイス(eth1)をディセーブルにするか、ケーブルを外しておく必要があります。eh1 インターフェイスが接続された状態のまま Virtual Gateway モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。
Virtual Gateway モードで VLAN マッピングを使用する場合(インバンドまたは OOB)は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で、VLAN マッピングの適切な設定が完了するまで、CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。

詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』を参照してください。


Clean Access Server の追加手順


ステップ 1 [Device Management] から、ナビゲーション メニューの [CCA Servers] リンクをクリックします。

 

ステップ 2 [New Server] タブをクリックします。

図 3-1 新しいサーバの追加

 

ステップ 3 [Server IP address] フィールドに、Clean Access Server の信頼側インターフェイス(eth0)の IP アドレスを入力します。


) CAS の IP アドレス(eth0)は、管理 IP アドレスと同じです。


ステップ 4 (任意)[Server Location] フィールドに、Clean Access Server の所在地の説明またはその他の識別情報を入力します。

ステップ 5 インバンド動作の場合は、[Server Type] リストから、その Clean Access Server の動作モードとして次のいずれかを選択します。

[Virtual Gateway]:L2 トランスペアレント ブリッジとして動作し、IPSec、フィルタリング、ウイルス保護、その他のサービスを提供します。

[Real-IP Gateway]:非信頼ネットワークのデフォルト ゲートウェイとして機能します。

[NAT Gateway]:IP ルータ/デフォルト ゲートウェイとして機能し、非信頼ネットワークの NAT(ネットワーク アドレス変換)サービスも提供します。


) NAT Gateway モードは、テストの簡易化を主目的としているため、最低限のネットワーク設定だけで、簡単に初期セットアップが可能です。ただし、NAT Gateway は、処理できる接続数が限られているため、実動環境では NAT Gateway モード(インバンドでもアウトオブバンドでも)はサポートされていません。Cisco NAC アプライアンス バージョン 4.5/4.1/4.0/3.6 では、NAT Gateway モード用にポート 20000-65535(45536 接続)が使用されます。


ステップ 6 アウトオブバンド動作の場合は、次に示すアウトオブバンド動作タイプのいずれかを選択する必要があります。

[Out-of-Band Virtual Gateway]:認証および証明の処理中は Virtual Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。

[Out-of-Band Real-IP Gateway]:認証および証明の処理中は Real-IP Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。

[Out-of-Band NAT Gateway]:認証および証明の処理中は NAT Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。


) 実動環境では、NAT Gateway(インバンドもアウトオブバンドも)はサポートされていません。


CAM は、そのドメイン内のインバンド Clean Access Server とアウトオブバンド CAS の両方を制御できます。ただし、CAS 自体は、インバンドとアウトオブバンドの いずれか一方 に設定しなければなりません。

アウトオブバンド配置に関する詳細は、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

CAS の動作モードと NAT ゲートウェイの NAT session throttling の詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』を参照してください。

ステップ 7 [Add Clean Access Server] をクリックします。Clean Access Manager は、ネットワーク上でその Clean Access Server を検索し、管理対象サーバのリスト(図 3-2)に追加します。これで、Clean Access Server は Clean Access Manager の管理ドメインに追加されました。


 

Clean Access Server の管理

Clean Access Server の追加が完了したのち、VLAN マッピングや DHCP 設定など、CAS 固有の設定を行うことができます。トラフィック制御ポリシーなどの一部のパラメータについては、CAS での設定により CAM のグローバル設定を上書きできます。

Clean Access Manager に CAS を追加すると、[List of Servers] タブに、その CAS が管理対象サーバの 1 つとして表示されます(図 3-2)。

図 3-2 List of Servers タブ

 

各 Clean Access Server エントリには、IP アドレス、サーバ タイプ、場所、その CAS の接続状態が表示されます。さらに、[Manage]、[Disconnect]、[Reboot]、[Delete] という 4 つの管理制御アイコンが表示されます。

Clean Access Server の管理を行うには、[Manage] アイコンをクリックします。


) Clean Access Server の設定(DHCP またはハイ アベイラビリティなど)の詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1)』を参照してください。


Clean Access Manager から Clean Access Server への許可の設定

Clean Access Server を CAM に追加する場合は、ネットワーク セキュリティを強化するために、アプライアンス間の相互許可をイネーブルにすることもできます。

管理者は、CAM の Authorization Web コンソール ページを使用して、CAM と CAS との間のセキュアな通信を確保するために、1 つ以上の CAS の識別名(DN)を入力できます。許可機能をイネーブルにして、1 つ以上の CAS を Authorized CCA Servers リストに追加すると、CAM では、リストにない CAS からの通信は受け入れられなくなります。そのため、ネットワーク内でこの機能を採用してイネーブルにすることを選択した場合は、ネットワーク内のすべての CAS について CAM と CAS 間の接続が維持されるように、管理対象の「すべての」 CAS を Authorized CCA Servers リストに追加する必要があります。

同様に、CAM/CAS 間の双方向の許可を確立するために、ネットワーク内のすべての CAS でこの機能をイネーブルにして CAM DN を指定する必要もあります。

HA 環境で CAM/CAS を配置した場合は、HA-Primary アプライアンスだけの DN を指定することによって、HA ペアの HA-Primary と HA-Secondary の両方のマシンについて許可をイネーブルにできます。たとえば、CAM で CAS HA ペアを管理する場合は、CAM の [Authorization] ページには HA-Primary CAS だけをリストする必要があります。同様に、CAM HA ペアによって管理される CAS でこの機能をイネーブルにする場合は、CAS の [Authorization] ページにリストする必要があるのは、HA-Primary CAM だけです。

Clean Access Manager から Clean Access Server への許可を設定する手順の要約


ステップ 1 CAM Web コンソールの [Device Management] > [Clean Access Servers] > [Authorization] で CAS Authorization を設定します(「許可のイネーブル化および許可された Clean Access Server の指定」を参照してください)。

ステップ 2 CAS Web コンソールの [Administration] > [Authorization] で CAM Authorization を設定します(『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Enable Authorization and Specify the Authorized Clean Access Manager」の項を参照してください)。

ステップ 3 実動環境に配置する前に、CAM と CAS の信頼できる CA 署名付き証明書を入手して、[Administration] > [SSL] > [Trusted Certificate Authorities](CAM の場合)および [Administration] > [SSL] > [Trusted Certificate Authorities](CAS の場合)を選択してこれらの証明書を CAM/CAS にインポートします。


警告 前の配置で不完全であるか、適切ではない SSL 証明書のチェーンを使用している場合は、リリース 4.5 へのアップグレード後に CAM/CAS 通信が失敗することがあります。リリース 4.5 に正常にアップグレードするには、証明書チェーンを訂正する必要があります。リリース 4.5 へのアップグレード後に CAM/CAS で証明書エラーを訂正する方法の詳細については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


ステップ 4 Cisco NAC アプライアンスのリリースをアップグレードする場合は、CAM の [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] と、CAS の [Administration] > [SSL] > [Trusted Certificate Authorities] で Trusted Certificate Authorities をクリーンアップしてください(それぞれ、「信頼できる認証局の管理」と、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「View and Remove Trusted Certificate Authorities」の項を参照してください)。


) CAM HA ペアで許可機能を使用する場合は、「CAM/CAS 許可設定のバックアップと復元」のガイドラインに従って、1 つの CAM の許可設定が正確にハイ アベイラビリティ CAM に複製されるようにしてください。



 

許可のイネーブル化および許可された Clean Access Server の指定

許可をイネーブルにして、CAM との通信が許可された CAS を指定するための手順を実行してください。


ステップ 1 [Device Management] > [Clean Access Servers] > [Authorization] に移動します(図 3-3を参照)。

図 3-3 [Device Management] > [Clean Access Servers] > [Authorization]

 

ステップ 2 [Enable CCA Server Authorization] をクリックして、Cisco NAC アプライアンスの許可機能をオンにします。


警告 CAM との安全な通信を許可する CAS の完全識別名を 1 つ以上入力せずに、[Enable CCA Server Authorization] オプションをクリックしないでください。この機能をイネーブルにする場合に、CAS 識別名を何も指定しないと、ネットワーク内のどの CAS とも通信できません。


ステップ 3 プラス アイコン「+」をクリックして、CAM との安全な通信を許可する CAS の完全識別名を入力してください。たとえば、「CN=110.21.5.123, OU=cca, O=cisco, L=sj, ST=ca, C=us」のようなテキスト文字列を [Distinguished Name] フィールドに入力します。


) 識別名の構文は正確である必要があります。そのため、CAM で CAS の正確な名前を指定できるよう、[Administration] > [SSL] > [X509 Certificate] CAS Web コンソール ページのエントリ リストの上部から CAS DN をコピーして、CAM の [Authorization] ページに貼り付けることをお勧めします。


ステップ 4 CAM がネットワーク内の CAS を許可して接続できるかどうかを最初にテストするには、[Test CCA Server Authorization] をクリックして、Authorized CCA Servers リストに含める CAS との接続をテストします。CAM によって、SSL 接続のログ メッセージが生成されます。これは、ステップ 5 で [Update] をクリックした後で、CAM の [Monitoring] > [Event Logs] Web コンソール ページに表示できます。

ステップ 5 [Update] をクリックして、追加した CAS が、CAM との相互通信が許可されているサーバ グループに含まれたことを確認します。

[Update] をクリックすると、CAM によって、CAM と、Authorized CCA Server リスト内の CAS すべての間のサービスが再起動されます。これにより、Cisco NAC アプライアンス システムにログインしているユーザのネットワークが短時間中断されることがあります。

[Test CCA Server Authorization] オプションをイネーブルにした場合、CAM が接続できない Clean Access Server が 1 つ以上 [Authorized CCA Server] リストにあると、イベント ログに警告(黄色のフラグ)メッセージが表示されます。

[Test CCA Server Authorization] オプションをイネーブルにしなかった場合、CAM が接続できない Clean Access Server が 1 つ以上 [Authorized CCA Server] リストにあると、イベント ログにエラー(赤いフラグ)メッセージが表示されます。

詳細については、「ログの表示」を参照してください。


 

Clean Access Server の状態確認

各 Clean Access Server の動作状態は、[Status] カラムに表示されます。

[Connected]:CAM は CAS に正常に到達できます。

[Not connected]:CAS はリブート中であるか、CAM と CAS の間のネットワーク接続が切断されています。

意図せずに Clean Access Server の状態が [Not connected] になっている場合(つまり、定期メンテナンスなどによる停止ではない場合)は、[Manage] ボタンをクリックして、強制的に接続を試行します。正常に接続されれば、状態表示は [Connected] に変わります。状態表示が変わらない場合は、CAM とその CAS の間の接続に問題がないか調べ、CAS が稼動していることを確認します。必要な場合は、CAS の再起動を試行します。


) Clean Access Manager は、設定済みのすべての Clean Access Server の接続状況を監視します。CAM は、未接続の CAS への接続試行を 3 分間隔で試行します。


Clean Access Server の切断

Clean Access Server が切断されると、その CAS の状態は [Not Connected] と表示されますが、Clean Access Manager ドメイン内にそのまま残されています。[Manage] をクリックすれば、いつでもその CAS を接続状態にして設定できます。

さらに、いずれかの時点で Clean Access Server が Clean Access Manager との同期から外れた場合、その Clean Access Server を切断してから再接続できます。再接続すると、Clean Access Manager はその Clean Access Server に設定されたデータを再度発行し、その CAS との同期を維持します。

これとは対照的に、Clean Access Server を削除すると、セカンダリ コンフィギュレーションの設定値はすべて失われます。

Clean Access Server のリブート

[List of Servers] タブの [Reboot] ボタンをクリックすると、Clean Access Server のグレースフル リブートを実行できます。グレースフル リブートでは、Clean Access Server はロギング データのディスクへの書き込みなど、正常なシャットダウン手順すべてを再起動前に実行します。

管理ドメインからの Clean Access Server の削除

[List of Servers] タブの Clean Access Server を削除すると、サーバのリストおよびシステムから、その CAS が除外されます。Clean Access Server を削除するには、その CAS の横にある [Delete] ボタンをクリックします。削除した Clean Access Server を再利用するには、その CAS を再度 Clean Access Manager に追加する必要があります。

Clean Access Server を削除すると、その CAS に固有のセカンダリ コンフィギュレーションの設定値はすべて削除されることに注意してください。セカンダリ設定値は、インストール時や service perfigo config スクリプトを通じて設定された値「ではありません」。セカンダリ設定値には、ポリシー フィルタ、トラフィック ルーティング、暗号化パラメータなどがあります。

インターフェイス アドレスなど、インストール時に「設定された」値は、Clean Access Server 上に保存されているため、その CAS が CAM の管理ドメインに後から再度追加されると、復元されます。

アクティブな CAS を削除した場合、削除時にその CAS を通じてネットワークにアクセスしているユーザに次のような影響が生じます。

CAS を削除した時点でその CAS と CAM が接続されていた場合、アクティブ ユーザのネットワーク接続は即座に切断されます。ユーザはネットワークにアクセスできなくなります (これは、CAM がその CAS の設定を即座に削除できるため、アクティブ ユーザに割り当てられた IP アドレスが CAS に適用されるセキュリティ ポリシーとの関連で無効になるからです)。新しいユーザは、ネットワークにログインできなくなります。

CAS を削除した時点でその CAS と CAM の接続が切断されていた場合、アクティブ ユーザは接続が再確立するまで、ネットワークへのアクセスを継続できます。これは、CAM がその CAS の設定をすぐに削除できないためです。新しいユーザはネットワークにログインできなくなります。

Clean Access Server 追加時のトラブルシューティング

トラブルシューティングの詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「Troubleshooting when Adding the Clean Access Server」を参照してください。

グローバルおよびローカルの管理設定値

CAM の Web 管理コンソールには、次のような種類の設定値があります。

Clean Access Manager 管理設定値 は、CAM 自体だけに関連する設定値です。これらの値には、IP アドレスとホスト名、SSL 証明書情報、ハイ アベイラビリティ(フェールオーバー)の設定値などがあります。

グローバル管理設定値 は Clean Access Manager で設定され、CAM から すべての Clean Access Server に送信されます。これらの値には、認証サーバ情報、グローバル デバイス/サブネット フィルタ ポリシー、ユーザ ロール、Clean Access 設定などがあります。

ローカル管理設定値 は、CAS 管理ページで 1 つの Clean Access Server に対して設定され、その CAS だけに適用されます。これらの値には、CAS ネットワークの設定値、SSL 証明書、DHCP および 1: 1 NAT 設定、VPN コンセントレータ設定、IPSec キー変更、ローカル トラフィック制御ポリシー、ローカル デバイス/サブネット フィルタ ポリシーなどがあります。

設定値のグローバルまたはローカルの範囲は、図 3-4 のように、Web 管理コンソールの [Clean Access Server] カラムに表示されます。

図 3-4 設定値の範囲

 

[GLOBAL]:CAM Web 管理コンソールからグローバル形式で作成されたエントリです。この CAM のドメイン内のすべての Clean Access Server に適用されます。

[<IP アドレス>] CAS 管理ページからローカル形式で作成されたエントリです。この IP アドレスを持つ CAS だけに適用されます。

通常、グローバル設定値(GLOBAL の表記)が表示されているページには、使いやすくするためにローカル設定値(CAS の IP アドレスで表記)も表示されています。これらのローカル設定値はたいていグローバル ページから編集または削除できますが、ローカル設定値の 追加 は、特定の Clean Access Server 用のローカル CAS 管理ページからしか実行できません。

グローバルおよびローカルの設定値

多くの場合、1 つの CAS に、グローバル設定値(すべての CAS 用に CAM で定義された値)とローカル設定値(CAS 固有の値)の両方があります。グローバル設定値とローカル設定値が競合している場合は、ローカル設定値がグローバル設定値よりも優先されるか、ポリシーのプライオリティによって、グローバルとローカルのどちらのポリシーが強制されるかが決まります。

MAC アドレスとトラフィック制御ポリシーの「範囲」に影響するデバイス フィルタ ポリシーでは、ポリシーのプライオリティ([Device Management] > [Filters] > [Devices] > [Order] の高または低)によって、グローバルとローカルのどちらのポリシーが強制されるかが決まります。個々の MAC アドレスを含むアドレスの「範囲」について、個々の MAC アドレスのデバイス フィルタ ポリシーはどれも、フィルタ ポリシー(グローバルまたはローカルのいずれか)より優先されます。

1 つのサブネット フィルタによって、より広範囲のサブネット フィルタでアドレス範囲のサブセットが指定されるサブネット フィルタ ポリシーでは、CAM により、サブネット アドレス範囲のサイズに基づいてフィルタのプライオリティが決まります。サブネットが小さくなるほど(/30 または /28 のサブネット マスクなど)、サブネット フィルタ階層でのプライオリティは高くなります。

一部の機能は、CAS で(CAS 管理ページで)イネーブルにして CAM コンソールで設定する必要があります。たとえば、次のような機能が該当します。

L 3 サポート(マルチホップ L3 配置用)は CAS ごとにイネーブルになっていますが、CAM のログイン ページ/Agent 設定が必要なことがあります。

帯域幅管理は CAS ごとにイネーブルになっていますが、CAM のすべてのロールに設定できます。

Active Directory SSO は CAS ごとに設定されますが、CAM の認証プロバイダーが必要です。

Cisco VPN コンセントレータ SSO は CAS ごとに設定されますが、CAM の認証プロバイダーが必要です。

Clean Access の要件およびネットワーク スキャン プラグインは、CAM からグローバルに設定され、すべての CAS に適用されます。

デバイスおよびサブネットのグローバル フィルタリング

ここでは、次の項目について説明します。

概要

デバイス フィルタとライセンスのユーザ数制限

複数エントリの追加

MAC アドレスによる企業資産の認証とポスチャ評価

インバンド配置のデバイス フィルタ

アウトオブバンド配置のデバイス フィルタ

IP 電話を使用するアウトオブバンド配置のデバイス フィルタ

インバンドおよびアウトオブバンド デバイス フィルタの動作の比較

デバイス フィルタとゲーム ポート

グローバルとローカル(CAS 固有)のフィルタ

Cisco NAC Profiler のグローバル デバイス フィルタ リスト

デバイス フィルタの設定

サブネット フィルタの設定

概要

デフォルトでは、Cisco NAC アプライアンスは、CAS の非信頼側にあるユーザ デバイスに対し、ネットワークへのアクセス試行時に認証(ログイン)を強制します。

非信頼側にあるデバイスによる認証を 回避 できる必要がある場合は、デバイスまたはサブネットのフィルタを設定します。

フィルタ リスト([Device Management] > [Filters] で設定)は、MAC、IP、またはサブネット アドレスで設定できます。また、デバイスにユーザ ロールを自動的に割り当てることができます。フィルタを使用すると、デバイス(ユーザまたはユーザ以外)による認証と(任意の)ポスチャ評価の両方を回避できます。ここでは、デバイスおよびサブネット フィルタの設定方法を説明します。

デバイス フィルタは、デバイスの MAC アドレス(および任意で IP)で指定し、インバンド(IB)配置またはアウトオブバンド(OOB)配置のいずれかに設定できます。MAC アドレスの入力と認証は CAM を通じて実行しますが、実際のフィルタリング アクションを実行するデバイスは CAS です。OOB の場合は、Port Profile(「ポート プロファイルの追加」を参照)でデバイス フィルタの使用もイネーブルにする必要があります。IB と OOB のいずれでも、フィルタ リストに入力されたデバイスでは認証が回避されます。

サブネット フィルタを設定できるのは IB 配置の場合だけです。サブネット フィルタは、サブネット アドレスとサブネット マスク(CIDR 形式)で指定します。

デバイスまたはサブネットのフィルタを設定することによって、次のことが可能です。

IB:そのデバイス/サブネットに対してログイン/ポスチャ評価を回避し、すべてのトラフィックを許可する。
OOB:そのデバイスに対してログイン/ポスチャ評価を回避し、デフォルト アクセス VLAN を割り当てる。

IB:そのデバイス/サブネットに対するネットワーク アクセスをブロックする。
OOB:そのデバイスに対するネットワーク アクセスをブロックし、認証 VLAN を割り当てる。

IB:そのデバイス/サブネットに対するログイン/ポスチャ評価を回避し、ユーザ ロールを割り当てる。
OOB:そのデバイスに対するログイン/ポスチャ評価を回避し、アウトオブバンド ユーザ ロール VLAN(ユーザ ロールで設定されたアクセス VLAN)を割り当てる。


) フィルタ エントリ内のデバイスは、認証なしのアクセスが許可または拒否されるため、レイヤ 2 配置の [Online Users] リストには表示されません (ただし、Active Layer 2 Device Filters リストを使用してインバンド ネットワークで追跡することはできます)。詳細については、「オンライン ユーザ リスト」を参照してください。


デバイス フィルタは、次のような用途に利用できます。

ユーザ VLAN 上にプリンタがある場合、そのプリンタの MAC アドレスに対して「許可」のデバイス フィルタを設定すると、そのプリンタと Windows サーバとの通信が可能になります。OOB 配置でもプリンタにデバイス フィルタを設定することを推奨します。これによって、認証回避を目的としてユーザがプリンタ ポートに接続するのを防ぐことができます。

インバンドの Cisco NAC アプライアンス L3/VPN コンセントレータ配置の場合は、信頼ネットワーク上にある VPN コンセントレータと通信するために、信頼ネットワーク上の認証サーバからのトラフィックを許可するようなデバイスまたはサブネット フィルタを設定できます。

NAC 以外のネットワーク デバイス(IP 電話、プリンタ、ファックス機など)の数が非常に多い場合は、これらのデバイスをデバイス フィルタ リストに追加して、Cisco NAC アプライアンスの認証、ポスチャ評価、および修復の機能を回避するようにできます。


) デバイス フィルタ リストは、Cisco NAC Profiler を使用して CAM で自動的に作成および更新することもできます。詳細については、「Cisco NAC Profiler のグローバル デバイス フィルタ リスト」を参照してください。



) ポリシー同期機能は、マスター CAM で作成されたグローバル デバイス フィルタをすべてレシーバ CAM にエクスポートします。マスター CAM のグローバル デバイス フィルタ リストにある MAC アドレスは、Cisco NAC Profiler によって生成されたフィルタを含めすべてエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。



) デバイス フィルタ設定やサブネット フィルタ設定は、CAS フォールバック ポリシーより優先されます。CAS フォールバック モードになっているときは、CAS デバイス フィルタ設定によって、クライアント MAC アドレスに基づいて動作が決まります。デバイス フィルタ設定が適用されない場合(たとえば、CAS がレイヤ 3 ゲートウェイであり、クライアントの MAC アドレスを判別できない場合)は、CAS フォールバック ポリシーの適用前に、CAS によって適用可能なサブネット フィルタも検索されます。詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide Release 4.5(1)』を参照してください。


デバイス フィルタとライセンスのユーザ数制限

Device Filter リスト(認証/ポスチャ評価/修復の回避)で [ALLOW] オプションを使用して指定された MAC アドレスは、ライセンスのユーザ数制限には 数えられません

Device Filter リスト(認証は回避するがポスチャ評価/修復は実行する)で [CHECK] オプションを使用して指定された MAC アドレスは、ライセンスのユーザ数制限に 数えられます


) フィルタを設定できるデバイス(ユーザ以外)の最大数は、メモリ容量によって決まり、ライセンスのユーザ数制限とは直接的な関係はありません。CAS で問題なくサポートできる MAC アドレス数は、1 GB のメモリあたり約 5,000 です。

Cisco NAC Profiler に関連するデバイス フィルタとライセンスのユーザ/エンドポイント数制限は、Cisco NAC Profiler システムの配置によって異なります。詳細については、『Cisco NAC Appliance Service Contract / Licensing Support』と『Cisco NAC Profiler Installation and Configuration Guide』を参照してください。


複数エントリの追加

デバイス フィルタ リストに入力する MAC アドレスが広範囲の場合は、次の方法で入力できます。

1. デバイス フィルタの設定時にワイルドカードと MAC アドレスの範囲を指定する。

2. New Device Filter フォームに個々の MAC アドレス(1 行に 1 つ)をコピーして貼り付け、これらすべてを 1 回のクリックで追加する。

3. API(cisco_api.jsp) addmac 関数を使用し、プログラムを通じて MAC アドレスを追加する。詳細については、「API サポート」を参照してください。


) Cisco NAC Profiler のソリューションを導入することによって、多数のエンドポイントの管理を自動化できます。設定時に、Cisco NAC Profiler Server/Collector によって、プロファイルを作成したエンドポイントについて、CAM でグローバル デバイス フィルタに自動的にデータが読み込まれ、保守されます。詳細については、「Cisco NAC Profiler のグローバル デバイス フィルタ リスト」を参照してください。


MAC アドレスによる企業資産の認証とポスチャ評価

Cisco NAC アプライアンスでは、ユーザが Cisco Clean Access にログインせずに、クライアント マシンの MAC ベースの認証およびポスチャ評価を実行できます。この機能は、グローバルおよびローカル デバイス フィルタの「CHECK」デバイス フィルタ制御、および Clean Access Agent によって実装されます(詳細については、「Agent によるすべての使用可能なアダプタの IP/MAC の送信」を参照してください)。Cisco NAC Web Agent によって、ポスチャ評価が実行されますが、修復のための手段は提供されません。ユーザは、クライアント マシンを手動で訂正または更新して、Web Agent のポスチャ評価要件を満たすために「再スキャン」する必要があります。


) CHECK 機能は、ポスチャ評価をサポートする Cisco NAC アプライアンス エージェントだけに適用されます。


次のデバイス フィルタ設定オプションを使用できます。

[CHECK] および [IGNORE] デバイス フィルタ オプションです。

[ROLE] および [CHECK] フィルタでは、ドロップダウン メニューから [User Role] を選択する必要があります。

[IGNORE] は OOB 専用です。IB では、このオプションを選択しても効力がありません。

[IGNORE] はグローバル フィルタ専用です。CAS New/Edit フィルタ ページには表示されません。

[IGNORE] デバイス フィルタは、旧リリースで IP 電話に指定された「allow」デバイス フィルタを置き換えます。


) 不要な MAC-notification トラップが作成されないように、管理者は、IP 電話で [IGNORE] オプションが使用されるようデバイス フィルタを再設定する必要があります。詳細については、「IP 電話を使用するアウトオブバンド配置のデバイス フィルタ」を参照してください。


デバイス フィルタ ポリシーの適用範囲は L2 配置(CAS がエンド ポイント/ユーザ デバイスと L2 近接する配置)と L3 配置(CAS がエンド ポイント/ユーザ デバイスと 1 ホップ以上離れている可能性がある配置)では異なります。L3 配置では、Clean Access がエンドポイントの MAC アドレスを取得できるように、エンドポイントで Web ブラウザ(Java アプレット/ActiveX)または Clean Access Agent/Cisco NAC Web Agent を使用してネットワークにアクセスする必要があることに注意してください。 表 3-1 で、L2 と L3 配置の動作の違いについて説明します。

 

表 3-1 CAM L2/L3 デバイス フィルタ オプション

オプション
L2
L3

[ALLOW]

エンドポイントからのすべてのトラフィックを許可します。認証またはポスチャ評価は不要です。

MAC アドレスが認識されると(この時点まで、エンドポイントからのトラフィックは Unauthenticated ロールのポリシーに準拠します)、エンドポイントからのすべてのトラフィックを許可します。認証またはポスチャ評価は不要です。

[DENY]

エンドポイントからのすべてのトラフィックを拒否します。

MAC アドレスが認識されると(この時点まで、エンドポイントからのトラフィックは Unauthenticated ロールのポリシーに準拠します)、エンドポイントからのすべてのトラフィックを拒否します。

[ROLE]

エンドポイントからのトラフィックを、ロール トラフィック ポリシーで指定された認証またはポスチャ評価なしで許可します(Cisco NAC アプライアンス 3.x との下位互換性のために、引き続き同じように適用されます)。

MAC アドレスが認識された後、設定されている場合はポスチャ評価が実行されます。これ以後、トラフィックはロール トラフィック ポリシーに従って許可されます。

[CHECK]

ロールに対して指定されたとおりにポスチャ評価が実行され、これ以後、トラフィックはロール トラフィック ポリシーに従って許可されます。

(同上)。

[IGNORE]

OOB 専用:指定された MAC アドレスに対して、管理対象スイッチ ポートからの SNMP トラップを無視します。

OOB 専用:指定された MAC アドレスに対して、管理対象スイッチ ポートからの SNMP トラップを無視します。

インバンド配置のデバイス フィルタ

Cisco NAC アプライアンスは、認証属性を使用して、またはデバイス/サブネット フィルタ ポリシーを通じて、ユーザにユーザ ロールを割り当てます。そのため、特定の MAC アドレスまたはサブネットにシステム ユーザ ロールを指定する能力は、デバイス/サブネット フィルタ ポリシー コンフィギュレーションの主要な機能となっています。Cisco NAC アプライアンスの処理では、ロールの割り当てには次の順序のプライオリティが使用されます。

1. MAC アドレス

2. サブネット/IP アドレス

3. ログイン情報(ログイン ID、認証サーバから得たユーザの属性、ユーザ マシンの VLAN ID など)

したがって、あるクライアントが MAC アドレスでは「ロール A」に関連付けられているのに、ユーザのログイン ID では「ロール B」に関連付けられている場合は、「ロール A」が使用されます。

ユーザ ロールに関する詳細は、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。



) 信頼側からアクセス ポイント(AP)を管理する場合は、[Device Management] > [Filters] > [Devices] でフィルタ ポリシーを設定すれば、信頼側から AP に到達できるようにすることが可能です(SNMP、HTTP を通じて、またはどのような管理プロトコルでも)。


アウトオブバンド配置のデバイス フィルタ

アウトオブバンド配置の場合、Clean Access Manager は、グローバルの Device Filters リストを尊重します。インバンド配置の場合と同様、OOB でも、グローバル デバイス フィルタ リストの MAC アドレスに設定されたルールには、ユーザ/デバイス処理において最高の優先順位が与えられます。OOB でのルール処理の優先順位は、次のとおりです。

1. デバイス フィルタ(MAC アドレスで設定され、OOB でイネーブルになっている場合)

2. Certified Devices List

3. Out-of-Band Online User リスト

OOB 用に設定された MAC アドレス デバイス フィルタには、次のオプションおよび動作があります。

[ALLOW]:ログインおよびポスチャ評価を回避し、 デフォルト アクセス VLAN をポートに割り当てる。

[DENY]:ログインおよびポスチャ評価を回避し、 認証 VLAN をポートに割り当てる。

[ROLE]:ログインおよび L2 ポスチャ評価を回避し、 ユーザ ロール VLAN をポートに割り当てる。

[CHECK]:ログインを回避し、ポスチャ評価を適用して、 ユーザ ロール VLAN をポートに割り当てる。

[IGNORE]:管理対象スイッチ(IP 電話)から SNMP トラップを無視する。


) • OOB にグローバル デバイス フィルタを使用するには、ポート プロファイルの [Change VLAN according to global device filter list] オプションをイネーブルにする必要があります([OOB Management] > [Profiles] > [Port] > [New] または [Edit] で)。詳細については、「ポート プロファイルの追加」を参照してください。

この機能はグローバル デバイス フィルタだけに適用されます。アウトオブバンド環境への配置時には、ローカル(CAS 固有の)デバイス フィルタを設定しないよう強くお勧めします。

ユーザ ロールを通じた VLAN の割り当てに関する詳細は、「Out-of-Band User Role VLAN」を参照してください。


 


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


その他の事項については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

IP 電話を使用するアウトオブバンド配置のデバイス フィルタ

クライアント マシンがネットワークへの接続に使用する IP 電話を 無視する よう設計されている MAC アドレスのグローバル デバイス フィルタ リストを作成する必要があります。個々の MAC アドレスのコレクションをコンパイルする(この方法は小規模構成にだけ推奨されます)ことで、MAC アドレスのリストを定義して、範囲デリミタおよびワイルドカード文字を使用して MAC アドレスの範囲を指定できます。MAC アドレスのリストは、Cisco CallManager など既存の IP 電話管理アプリケーションから抽出することもできます。

適用可能な IP 電話の MAC アドレスのリストを作成したら、OOB 用に Cisco NAC アプライアンス システムを設定する際に、ポート プロファイルの [Change VLAN according to global device filter list] オプションをイネーブルにして([OOB Management] > [Profiles] > [Port] > [New] または [Edit])、Cisco NAC アプライアンスでこれらの MAC アドレスが 無視される ようにしてください。これにより、IP 電話の MAC notification 動作はある VLAN から別の VLAN への(たとえば、アクセス VLAN から認証 VLAN への)切り替えを開始できなくなるため、関連するクライアント マシンの接続が間違って終了することがなくなります。詳細については、「CAM における OOB スイッチ管理の設定」を参照してください。

インバンドおよびアウトオブバンド デバイス フィルタの動作の比較

クライアント トラフィックがレイヤ 2 とレイヤ 3 インバンドのどちらであるかと、クライアント トラフィックがアウトオブバンドであるかどうかに応じて、VLAN 割り当て、ユーザが Online Users リストに表示されるかどうか、および関連するクライアント マシンが Certified Devices List に表示されるかどうかは、設定するフィルタ タイプ([ALLOW]、[DENY]、[ROLE]、[CHECK]、または [IGNORE])によって異なります。インバンド配置とアウトオブバンド配置のクライアント トラフィックの動作を判別する際には、次の一般的なガイドラインが適用されます。

インバンド トラフィックには、[Device Management] > [Filters] > [Devices] > [Order] で定義されている階層に応じて、グローバルと CAS 固有の両方のフィルタ割り当てが適用されます。

ポート プロファイルで [Change VLAN according to global device filter list] オプションがイネーブルになっている場合は、CAM は、ポートへの VLAN の割り当て時にローカル デバイス フィルタ設定に従うようスイッチに指示します。

特定のポート プロファイルに関連付けられたアウトオブバンド クライアント マシンは、グローバル デバイス フィルタだけによって管理されます。

 

表 3-2 レイヤ 2 とレイヤ 3 のインバンドおよびアウトオブバンド MAC アドレス フィルタの動作

デバイス フィルタ タイプ
レイヤ 2 インバンド
(グローバルおよび CAS)
レイヤ 3 インバンド
(グローバルおよび CAS)
Port Profile オプションが指定されていないアウトオブバンド(グローバル):アウトオブバンド(CAS)
Port Profile オプションが指定されたアウトオブバンド(グローバルだけ)

[ALLOW]

トラフィックを許可する

トラフィックを許可する(Online Users リスト/Certified Devices List エントリの追加、ポスチャ評価なし)

インバンド モードでのトラフィックを許可する

クライアント トラフィックはデフォルト アクセス VLAN に送信される

[DENY]

トラフィックを拒否する

MAC アドレスの認識後はトラフィックを拒否する

インバンド モードでのトラフィックを拒否する

クライアント トラフィックは認証 VLAN に送信される

[ROLE]

ロールを割り当てて、ロール ポリシーを適用する

ポスチャ評価を行い、Online Users リスト/Certified Devices List エントリを追加し、ロールを割り当てて、ロール ポリシーを適用する

ロールを割り当てて、インバンド モードでロール ポリシーを適用する

クライアント トラフィックはアクセス VLAN に送信される(ポート プロファイルに基づく)

[CHECK](Certified Devices List 内のデバイス)

ロールを割り当てて、ロール ポリシーを適用する(Online Users リスト エントリなし)

ポスチャ評価を行い、Online Users リスト/Certified Devices List エントリを追加し、ロールを割り当てて、ロール ポリシーを適用する

ロールを割り当てて、インバンド モードでロール ポリシーを適用する(Online Users リスト エントリなし)

クライアント トラフィックはアクセス VLAN に送信される(ポート プロファイルに基づき、Online Users リスト エントリなし)

[CHECK](Certified Devices List 内に ない デバイス)

ポスチャ評価を行い(Temporary ロールの In-Band Online Users リスト エントリ)、ポスチャ評価の後で Certified Devices List エントリを追加する(Online Users リスト エントリなし)

(同上)

ポスチャ評価を行い(Temporary ロールの In-Band Online Users リスト エントリ)、ポスチャの後で Certified Devices List エントリを追加し(Out-of-Band Online Users リスト エントリ)、アクセス VLAN に割り当てる(ポート プロファイルに基づく)

ポスチャ評価(Temp ロールの In-Band Online Users リスト エントリ)を行い、ポスチャの後で Certified Devices List エントリを追加し(Out-of-Band Online Users リスト エントリ)、アクセス VLAN に割り当てる(ポート プロファイルに基づく)

[IGNORE]

影響なし(通常の動作)

影響なし(通常の動作)

影響なし(通常の動作)

SNMP トラップは無視される

[Require users to be certified at every web login] オプションは、In-Band Online Users リストにだけ適用されます。このオプションをイネーブルにして、Online Users リスト エントリを削除すると、同じ MAC アドレスを使用する Online Users リスト(インバンドまたはアウトオブバンド)のエントリが他にない場合は、対応する Certified Devices List エントリが削除されます。

デバイス フィルタとゲーム ポート

Microsoft Xbox Live などのゲーム サービスを許可する場合は、ゲーム ユーザ ロールを作成し、そのデバイスの MAC アドレスのフィルタを追加して([Device Management] > [Filters] > [Devices] > [New])、作成したゲーム ロールをそのデバイスに割り当てることをお勧めします。このようにすれば、そのゲーム ロールのトラフィック ポリシーを作成し、ゲーム ポートのトラフィックを許可できます。詳細は、次の項目を参照してください。

「ゲーム ポートの許可」

http://www.cisco.com/warp/customer/707/ca-mgr-faq2.html#q16

「新しいロールの追加」

グローバルとローカル(CAS 固有)のフィルタ

デバイス/サブネット フィルタ ポリシーは、Clean Access Manager の [Filters] ページに表示されるすべての Clean Access Server に対してグローバル レベルで追加することも、CAS 管理ページで特定の Clean Access Server に対して追加することも可能です。CAM には両方のタイプのアクセス フィルタが保存され、グローバル フィルタ ポリシーはすべての Clean Access Server に、ローカル フィルタ ポリシーは該当する CAS に配布されます。

1 つのサブネット フィルタ によって、より広範囲のサブネット フィルタでアドレス範囲のサブセットが指定されるサブネット フィルタ ポリシー( [Device Management] > [Filters] > [Subnet] )では、CAM により、サブネット アドレス範囲のサイズに基づいてフィルタのプライオリティが決まります。サブネットが小さくなるほど(/30 または /28 のサブネット マスクなど)、サブネット フィルタ階層でのプライオリティは高くなります。たとえば、192.168.128.0/28 アドレス範囲からのトラフィックを許可するサブネット フィルタ ポリシーは、192.168.128.0/24 アドレス範囲からのトラフィックを拒否する別のサブネット フィルタ ポリシーよりも優先されます。サブネット フィルタ ポリシーがグローバルであるかローカルであるかは、プライオリティの判別時には重要ではありません。

複数のポリシーが同じ MAC アドレスに影響を与える可能性がある MAC アドレスの範囲を指定するデバイス フィルタ ポリシーでは、ポリシーのプライオリティ([Device Management] > [Filters] > [Devices] > [Order])によって、グローバルとローカルのどちらのポリシーが強制されるかが決まります。ただし、個々の MAC アドレスを指定するデバイス フィルタはどれも、個々の MAC アドレスを含むアドレスの 範囲 を定義するフィルタ ポリシー(グローバルまたはローカルのいずれか)より優先されます。

詳細については、「グローバルおよびローカルの管理設定値」を参照してください。

ここでは、グローバル アクセス フィルタ ポリシーを追加するときに使用するフォームと手順について説明します。ローカル アクセス フィルタ ポリシーの追加方法は、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』を参照してください。


) OOB 配置の場合、CAM では(CAS 固有のフィルタではなく)グローバル デバイス フィルタ リストが優先されます。


Cisco NAC Profiler のグローバル デバイス フィルタ リスト

ネットワーク プリンタ、IP 電話、UPS デバイス、HVAC センサー、ワイヤレス アクセス コントローラなど、ユーザ以外の多数のエンドポイント デバイスを作成して管理するには、Cisco NAC Profiler を配置します。Cisco NAC Profiler システムを使用すると、ユーザ認証やポスチャ評価が適用されない数百または場合によっては数千ものエンドポイントを自動的に検出、分類、および監視できます。

Cisco NAC Profiler のソリューションは、次の 2 つの主要なコンポーネントで構成されます。

Cisco NAC Profiler Server :Cisco NAC Profiler Server では、それぞれの Clean Access Server でイネーブルにした Cisco NAC Profiler Collector コンポーネントを管理します。Cisco NAC Profiler Server によって、CAM のグローバル デバイス フィルタ リスト([Device Management] > [Filters] > [Devices] > [List])に、プロファイルを作成して管理するエンドポイントのエントリが読み込まれます。Profiler エントリの Description リンクをクリックすると、 図 3-5図 3-6 に示すように、CAM Web コンソール内の右側に NAC Profiler Server のエンドポイント要約データが表示されます。Cisco NAC Profiler Server は、『 Cisco NAC Profiler Installation and Configuration Guide 』で説明されているように、独自の Web コンソール インターフェイスを使用して設定および管理されます。

Cisco NAC Profiler Collector :Cisco NAC Profiler Collector は、リリース 4.1(3) 以降を実行する NAC-3310 または NAC-3350 Clean Access Server でイネーブルにできるサービスです。Cisco NAC Profiler Server アプライアンスを購入し、Cisco NAC Profiler/Collector ライセンスを取得して Cisco NAC Profiler Server にインストールし、Cisco NAC Profiler のソリューションを導入する必要があります。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』の「CLI Commands for Cisco NAC Profiler」の項を参照してください。

図 3-5 CAM デバイス フィルタ内の Cisco NAC Profiler エントリ

 

図 3-6 エンドポイント要約

 


) ポリシー同期機能は、マスター CAM で作成されたグローバル デバイス フィルタをすべてレシーバ CAM にエクスポートします。マスター CAM のグローバル デバイス フィルタ リストにある MAC アドレスは、Cisco NAC Profiler によって生成されたフィルタを含めすべてエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。


グローバル デバイス フィルタの追加

デバイス フィルタ リストに MAC アドレス エントリがある場合、Clean Access のポリシーごとにマシンをチェックすることもできます(Agent ベース チェック、ネットワーク スキャナ チェックなど)。デバイスは MAC アドレスに基づいて認証されますが、それでもスキャンを実行する必要があります(ネットワークおよび Agent)。

次の手順で設定されたデバイス フィルタは、CAM ドメイン内のすべての Clean Access Server に適用されます。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。



ステップ 1 [Device Management] > [Filters] > [Devices] > [New] に移動します。

図 3-7 新しいデバイス フィルタ

 

ステップ 2 [New Device Filter] フォームに該当するデバイスの MAC アドレスを入力します。このデバイスに対するポリシーをテキスト フィールドに作成します。次の形式で 1 行に 1 つずつエントリを入力します。

<MAC>/<optional_IP> <optional_entry_description>
 

次の点に注意してください。

複数の MAC アドレスを指定する場合は、ワイルドカード 「 * 」または範囲「 - 」を使用できます。

複数のデバイスを入力する場合、改行を使用してデバイスを区切ります。

任意で、MAC とともに IP アドレスを入力することもできます。このようにすると、MAC アドレスのスプーフィングによるネットワーク アクセス権の取得を防ぐことができます。MAC アドレスと IP アドレスを両方入力した場合、ルールが適用されるためには、クライアントが両方に一致する必要があります。

デバイスの記述は、デバイス単位で、またはすべてのデバイスに対して指定できます。[Description (all entries)] フィールドのすべてのデバイス用の記述よりも、特定のデバイスに対する記述(MAC Address フィールド)の方が優先されます。各デバイス エントリ内の記述にはスペースを入力できません(図 3-7を参照)。

ステップ 3 [Access Type] の選択肢の中から、そのデバイスのポリシーを選択します。

[ALLOW]
IB:ログインとポスチャ評価を回避し、アクセスを許可する。
OOB:ログインとポスチャ評価を回避し、デフォルトのアクセス VLAN を割り当てる。

[DENY]
IB:ログインとポスチャ評価を回避し、アクセスを拒否する。
OOB:ログインとポスチャ評価を回避し、認証 VLAN を割り当てる。

[ROLE]
IB:ログインと L2 ポスチャ評価を回避し、ロールを割り当てる。
OOB:ログインと L2 ポスチャ評価を回避し、ユーザ ロール VLAN を割り当てる。アウトオブバンド ユーザ ロール VLAN は、ユーザ ロールで設定されているアクセス VLAN です。詳細については、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」を参照してください。

[CHECK]
IB:ログインを回避し、ポスチャ評価を適用し、ロールを割り当てる。
OOB:ログインを回避し、ポスチャ評価を適用し、ユーザ ロール VLAN を割り当てる。

[IGNORE]
OOB 専用:管理対象スイッチ(IP 電話)からの SNMP トラップを無視する。


) OOB の場合、[OOB Management] > [Profiles] > [Port] > [New] または [Edit] の下の Port Profile レベルで、グローバル デバイス フィルタの使用をイネーブルにする必要もあります。詳細については、「ポート プロファイルの追加」を参照してください。


ステップ 4 [Add] をクリックしてポリシーを保存します。

ステップ 5 [Devices] タブの [List] ページが表示されます。

次の例はすべて有効なエントリです(同時に入力できます)。

00:16:21:11:4D:67/10.1.12.9 pocket_pc
00:16:21:12:* group1
00:16:21:13:4D:12-00:16:21:13:E4:04 group2

) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細については、「帯域利用の制御」を参照してください。



) トラブルシューティングのヒント:「Adding device MAC failed」というエラーが表示され、フィルタ リストにデバイスを追加できない(どのオプションをオンにしたか、または IP アドレス/説明が入力されているかどうかに関係なく)場合は、Event Logs をオンにします。「xx:xx:xx:xx:xx:xx could not be added to the MAC list」が表示された場合、CAS の 1 つが切断されていることを示している可能性があります。



 

デバイス フィルタ ポリシーの表示/検索/インポート/エクスポート

範囲にプライオリティを定義できます([Order] ページで)。

単一 MAC アドレス デバイス フィルタ(00:14:6A:6B:6C:6D など)は、フィルタ リストで常にワイルドカード/範囲デバイス フィルタ(00:14:6A:6B:*、または 00:14:6A:* など)よりも優先されます。

新規ワイルドカード/範囲デバイス フィルタは、常に [List] ページの最後に置かれます。プライオリティの変更は、[Order] ページで行います。

単一 MAC アドレス デバイス フィルタのロール割り当ては、常に他のフィルタより優先されます。[Test] ページで MAC アドレスに使用されるロール割り当てをチェックできます。

[Test] ページに、入力された MAC アドレスに有効なフィルタが表示されます。

認識されているデバイスのリストのフィルタリング手順を実行してください。


ステップ 1 次の検索基準と、[Filter] ドロップダウン リストで選択可能なそれぞれの修飾子を使用して、フィルタ リスト([Device Management] > [Filters] > [Devices] > [List])に表示されるデバイスの数を絞り込むことができます。

 

フィルタ タイプ
修飾子
フィルタ エントリ

MAC Address

is、is not、contains、starts with、ends with

AA : BB : CC : DD : EE : FF 形式の完全な MAC アドレスまたは部分的な MAC アドレス

IP Address

is、is not、contains、starts with、ends with

A . B . C . D 形式の完全な IP アドレスまたは部分的な IP アドレス

Clean Access Server

is、is not

(ドロップダウン メニュー オプション)
GLOBAL、 <CAS_IP_address>

Description

is、is not、contains、starts with、ends with

任意のテキスト文字列

Access Type

is、is not

(ドロップダウン メニュー オプション)
Allow、Deny、Role-Based、Check-Based、Ignore

Priority

is、is not、contains、starts with、ends with

任意の数値

図 3-8 デバイス フィルタ リスト:Access Type の修飾子

 

ステップ 2 検索基準の入力後、[Filter] ボタンをクリックすると、フィルタリング済みの結果が表示されます。

リストの [Clean Access Server] カラムには、そのポリシーの範囲が表示されます。CAS 管理ページでローカルに設定されたポリシーの場合は、このフィールドに送信元の Clean Access Server の IP アドレスが表示されます。管理コンソールの [Device Management] > [Filters] モジュールですべての Clean Access Server 用としてグローバルに設定されたポリシーの場合は、このフィールドに GLOBAL と表示されます。

カラムの見出しラベル([MAC Address]、[IP Address]、[Clean Access Server]、[Description]、[Access Type]、または [Priority])をクリックすると、フィルタ リストをカラム別にソートできます。

詳細については、「グローバルおよびローカルの管理設定値」および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide Release 4.5(1) 』を参照してください。

[Reset] をクリックすると、[Filter] ドロップダウン メニューからオプションの検索基準はすべて失われ、リストがリセットされてすべてのエントリが表示されます(デフォルト)。

[Delete Selected] をクリックすると、ページの一番左にあるチェック カラムで選択されているデバイスは削除されます (表示から削除するデバイス エントリは 1 つ以上選択できます)。

デバイス フィルタ ポリシーのインポート/エクスポート

[Export] ボタンを使用すると、デバイス データが含まれている CSV ファイルをローカル ハード ドライブに保存して、トラブルシューティングまたは統計分析のために必要になるたびに検索、表示、および操作できます。

[Browse] ボタンと [Import] ボタンを使用すると、以前に保存した CSV ファイルからデバイス エントリの集計を見つけて、ロードすることもできます。


 

順序デバイス フィルタ ワイルドカード/範囲ポリシー

[Order] ページは、 ワイルドカード/範囲 デバイス フィルタ 専用 です。[Order] ページを使用して、ワイルドカード/範囲デバイス フィルタのプライオリティを変更します。

次の例を参考にしてください。

[Order] ページでフィルタが次のように設定されている場合:

1. 00:14:6A:* - Access Type:DENY

2. 00:14:6A:6B:* - Access Type:IGNORE

MAC アドレス 00:14:6A:6B:60:60 のデバイスは拒否されます。

[Order] ページで次のように設定されている場合:

1. 00:14:6A:6B:* - Access Type:IGNORE

2. 00:14:6A:* - Access Type:DENY

MAC アドレス 00:14:6A:6B:60:60 のデバイスのアクセス タイプは IGNORE になります。

ただし、MAC アドレスがちょうど 00:14:6A:6B:60:60 のデバイス フィルタが存在する場合、このフィルタのルールが適用され、既存のワイルドカード/範囲フィルタは使用されません。

1. [Device Management] > [Filters] > [Devices] > [Order] に移動します。

図 3-9 Order

 

2. [Priority] 列の矢印をクリックして、ワイルドカード/範囲フィルタのプライオリティを上または下に移動します。

3. [Commit] をクリックして変更を適用します (変更をキャンセルするには、[Reset] をクリックします)。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


デバイス フィルタ ポリシーのテスト

管理者は [Test] ページ制御で、特定の Clean Access Server に指定された MAC アドレスに適用するデバイス フィルタとアクセス タイプを決定できます。

1. [Device Management] > [Filters] > [Devices] > [Test] に移動します。

2. [MAC Address] フィールドに、デバイスの MAC アドレスを入力します。

3. テストする CAS を [Clean Access Server] ドロップダウン メニューから選択します。

4. [Submit] をクリックします。対応するデバイス フィルタに指定されたアクセス タイプが、下記リストの [Access Type] に表示されます。

図 3-10 Test

 

Active Layer 2 Device Filter ポリシーの表示

[Active Layer 2 In-Band Device Filters] リストには、現在 CAS に接続されていてパケットを送信しているすべてのクライアント、およびデバイス フィルタでの MAC アドレスが表示されます。このリストは、ユーザが認証(デバイス フィルタを介して)およびポスチャ評価(要件が強制されていない場合など)を回避するように設定されている場合に、特に便利です。定義によって、これらのユーザは [Online Users] リストまたは [Certified Devices] リストには表示されませんが、[Active Layer 2 Device Filters] リストを使用してインバンド ネットワークで追跡することはできます。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


すべての Clean Access Server において、フィルタ ポリシーで有効な Layer 2 デバイスを表示する方法の手順を実行してください。


ステップ 1 [Device Management] > [Filters] > [Devices] > [Active] に移動します。

ステップ 2 まず [Show All] ボタンをクリックして、[Active] ページに、現在 CAS に接続されていてパケットを送信しているすべてのクライアントの情報、およびデバイス フィルタでの MAC アドレスを読み込みます。

クライアント IP または MAC アドレスで 検索 を実行して、ページにその結果を読み込むこともできます。デフォルトでは、実行された Search パラメータは、[Search IP/MAC Address] フィールドに入力された値の「contains」と同値です。


) パフォーマンス上の理由により、[Show All] または [Search] をクリックしてページを更新すると、[Active] ページには最新のデバイス情報だけが表示されます。


図 3-11 Active

 


) 個々の CAS のアクティブ デバイスを表示するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Devices] > [Active] に移動します。



 

デバイス フィルタ ポリシーの編集


ステップ 1 フィルタ リスト内のデバイス フィルタ ポリシーの横にある [Edit] ボタンをクリックします。[Edit] ページが表示されます。

ステップ 2 IP アドレス、記述、アクセス タイプ、使用ロールを編集できます。[Save] をクリックして変更を適用します。


) MAC アドレスは、変更できないフィルタ ポリシー プロパティであることに注意してください。MAC アドレスを変更するには、新しいフィルタ ポリシーを作成して、既存のポリシーを削除します(後述の手順を参照)。



 

デバイス フィルタ ポリシーの削除

デバイス アクセス ポリシーは、2 とおりの方法で削除できます。

リストで、目的のエントリの横にあるチェックボックスを選択し、削除ボタンをクリックします。この方法では、各ページで最大 25 のデバイス アクセス ポリシーを選択し削除できます。

検索基準を使用して目的のデバイス フィルタ ポリシーを選択し、[Delete List] をクリックします。この方法では、適用可能なページ数にわたって検索基準でフィルタリングされたすべてのデバイスが削除されます。デバイス表示用の任意の検索基準を使用して選択的にデバイスを削除できます。[Delete List] をクリックした場合に削除されるフィルタリング済みデバイスの合計数は、図 3-8 に示されている「フィルタリング済みデバイス インジケータ」に表示されます。

サブネット フィルタの設定

[Subnets] タブ(図 3-12)を使用すると、あるサブネット全体に対して、認証およびアクセス フィルタのルールを指定できます。そのサブネット上のネットワークにアクセスするすべてのデバイスにフィルタ ルールが適用されます。

サブネットベースのアクセス制御を設定するには、次のようにします。


ステップ 1 [Device Management] > [Filters] > [Subnets] に移動します。

図 3-12 サブネット フィルタ

 

ステップ 2 [Subnet Address/Netmask] フィールドに、CIDR 形式でサブネット アドレスとサブネット マスクを入力します。

ステップ 3 (任意)そのポリシーまたはデバイスの記述を [Description] に入力します。

ステップ 4 [Access Type] で、そのサブネットのネットワーク アクセスのタイプを選択します。

[allow]:そのサブネット上のデバイスは認証なしでネットワークにアクセスできます。

[deny]:そのサブネット上のデバイスはネットワークへのアクセスをブロックされます。

[use role]:指定されたサブネットからネットワークにアクセスするユーザは、認証なしのアクセスが許可され、ロールが適用されます。このオプションを選択した場合は、これらのデバイスに適用するロールも選択します。ユーザ ロールに関する詳細は、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」を参照してください。

ステップ 5 [Add] をクリックしてポリシーを保存します。

このポリシーはすぐに有効になり、フィルタ ポリシー リストの一番上に表示されます。


) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細については、「帯域利用の制御」を参照してください。


サブネット フィルタを追加後、[Delete] ボタンを使用してそのフィルタを削除したり、[Edit] ボタンをクリックして編集したりすることができます。サブネット アドレスは、変更できないフィルタ ポリシー プロパティであることに注意してください。サブネット アドレスを変更するには、新しいフィルタ ポリシーを作成し、既存のポリシーを削除する必要があります。

ポリシー リストの [Clean Access Server] カラムには、そのポリシーの範囲が表示されます。Clean Access Server でローカル設定値として設定されたポリシーの場合、このフィールドに表示される IP アドレスで CAS が識別されます。Clean Access Manager でグローバルとして設定されたポリシーの場合は、このフィールドに GLOBAL と表示されます。

カラムの見出しラベル([Subnet]、[Clean Access Server]、[Description]、[Access Type])をクリックすると、カラム別にフィルタ リストをソートできます。