Cisco NAC アプライアンス - Clean Access Manager コンフィギュレーション ガイド
スイッチ管理:アウトオブバンド配置の設定
スイッチ管理:アウトオブバンド配置の設定
発行日;2012/02/01 | 英語版ドキュメント(2012/01/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

スイッチ管理:アウトオブバンド配置の設定

概要

インバンドとアウトオブバンド

アウトオブバンドの要件

SNMP 制御

「Off Line」アウトオブバンド スイッチ用のネットワーク リカバリ

使用モード

基本的な接続

OOB Virtual Gateway 配置

OOB VGW モードのフロー

OOB Real-IP ゲートウェイ配置

OOB Real-IP/NAT モードのフロー

L3 OOB 配置

アウトオブバンド配置のネットワークの設定

スイッチの設定

設定に関する注意事項

スイッチの設定手順の例

OOB ネットワークの設定/設定ワークシート

CAM における OOB スイッチ管理の設定

アウトオブバンドの Clean Access Server の追加と環境設定

IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定

グループ プロファイルの設定

グループ プロファイルの追加

グループ プロファイルの編集

スイッチ プロファイルの設定

スイッチ プロファイルの追加

ポート プロファイルの設定

ポート プロファイルの追加

VLAN プロファイルの設定

VLAN プロファイルの追加

VLAN プロファイルの編集

SNMP Receiver の設定

SNMP トラップ

高度な設定

スイッチの追加および管理

新しいスイッチの追加

新しいスイッチの検索

Discovered Clients

スイッチ ポートの管理

[Ports] 管理ページ

個別ポートの管理(MAC Notification)

個別ポートの管理(Linkup/Linkdown)

複数ポートへのポート プロファイルの同時割り当て

[Config] タブ

認証 VLAN 変更設定へのアクセスの設定

OOB ユーザ

OOB ユーザ セクション

有線および無線 OOB ユーザ リストの概要

OOB のトラブルシューティング

アップグレード後の OOB スイッチ トランク ポート

スイッチ管理:アウトオブバンド配置の設定

この章では、Out-of-Band(OOB;アウトオブバンド)配置の Cisco NAC アプライアンスの設定方法を説明します。この章の内容は次のとおりです。

「概要」

「使用モード」

「アウトオブバンド配置のネットワークの設定」

「スイッチの設定」

「CAM における OOB スイッチ管理の設定」

「認証 VLAN 変更設定へのアクセスの設定」

「OOB ユーザ」

「OOB のトラブルシューティング」

L3 OOB 配置の詳細については、『 Cisco NAC Appliance - Clean Access Server Administration Guide Release 4.7(1) 』を参照してください。

概要

従来のインバンド Cisco NAC アプライアンス配置では、クライアントとの間のすべてのネットワーク トラフィックが Clean Access Server を通ります。高スループットまたは高ルーティング環境では、OOB 配置の Cisco NAC アプライアンスを導入することにより、クライアント トラフィックが Cisco NAC アプライアンス ネットワークを通過するのは、アクセス ネットワークに直接接続される前の認証および証明時だけにすることができます。ここでは、次の事項について説明します。

「インバンドとアウトオブバンド」

「アウトオブバンドの要件」

「SNMP 制御」

インバンドとアウトオブバンド

表 3-1 に、インバンドとアウトオブバンドそれぞれの特徴をまとめてあります。

 

表 3-1 インバンド配置と アウトオブバンド配置

インバンド配置の特徴
アウトオブバンド配置の特徴

Clean Access Server(CAS)は、常にユーザ トラフィックを処理します(認証、ポスチャ評価、修復の前および後の両方)。ポリシーの強制は、ユーザ トラフィックが通過することによって達成されます。

CAS は、認証、評価、修復のプロセス中にだけ、ユーザ トラフィックを処理します。その後、ユーザ トラフィックは CAS を通過しません。ポリシーの強制は、SNMP を使用したスイッチ制御とポートへの VLAN 割り当てによって達成されます。

CAS を使用すると、トラフィック ポリシー(ポート、プロトコル、サブネット単位)、帯域幅ポリシーなどによって、認証済みおよび未認証のユーザ トラフィックを安全に制御できます。

CAS は、認証、評価、修復のフェーズ中にユーザ トラフィックを制御できますが、トラフィックがアウトオブバンドであるため、修復後はトラフィックを制御できません。

スイッチ ポート レベルの制御は提供しません。

必要に応じて、ポートを特定の VLAN に割り当てることにより、ポート レベルの制御を提供します。

無線ネットワークに使用する場合は、インバンド配置にします。

無線 OOB では、特定のネットワーク トポロジと設定が必要です。詳細については、 第 4 章「Wireless LAN コントローラの管理:ワイヤレス アウトオブバンド配置の設定」 を参照してください。

Cisco スイッチをサポートする Cisco NAC アプライアンス インバンド配置は 802.1x と互換性があります。

OOB 配置での 802.1x の使用は推奨できません。スイッチ インターフェイス/ポートに VLAN を設定する、Cisco NAC アプライアンス OOB と 802.1x の間に衝突が生じる可能性があります。

アウトオブバンドの要件

アウトオブバンドの Cisco NAC アプライアンス を使用するには、次の条件を満たす必要があります。

制御対象のスイッチは、少なくとも最小サポート バージョンの IOS または CatOS(MAC change notification/MAC move notification または linkup/linkdown SNMP トラップをサポートするもの)を使用するサポート対象モデル(またはサービス モジュール)であること

サポート対象のスイッチ モデルは次のとおりです。

Cisco Catalyst Express 500 シリーズ

Cisco Catalyst 2900 XL

Cisco Catalyst 2940/2950/2950 LRE/2955/2960

Cisco Catalyst 3500 XL

Cisco Catalyst 3550/3560/3750

Cisco Catalyst 4000/4500/4948

Cisco Catalyst 6000/6500

Cisco 2800/3800 サービス統合型ルータ(ISR)のサポート対象 3750 サービス モジュールは次のとおりです。

NME-16ES-1G

NME-16ES-1G-P

NME-X-23ES-1G

NME-X-23ES-1G-P

NME-XD-24ES-1S-P

NME-XD-48ES-2S-P

Cisco NAC アプライアンス の製品ライセンスによって OOB がイネーブルになっていること


) 管理者はサポート対象スイッチのオブジェクト ID(OID)を Clean Access Manager (CAM)更新によって更新できます([Device Management] > [Clean Access] > [Updates] > [Summary] | [Settings])。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は、CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Update を実行するだけでそのスイッチ OID をサポート対象にすることができます。

スイッチ OID 更新機能は、既存のモデルにだけ適用されます。新規スイッチ シリーズが導入された場合、管理者はアップグレードを実行して、新規スイッチに対して OOB サポートを確保する必要があります。「アップデートの設定およびダウンロード」を参照してください。



) • IOS release 12.2.25(SEG) for CE500 では、すべての Smartport ロールに対して MAC 通知 SNMP トラップがサポートされています(DESKTOP ロールと IPPHONE ロールを含む)。12.2.25(SEG) へのアップグレード後、ユーザは CAM で [OOB Management] > [Devices] > [List] > [Config [Switch IP]] > [Config] > [Advanced] を選択して、CE500 に対して MAC 通知 を設定できます。Cisco NAC アプライアンス 3.6.2、3.6.3、4.0.0、4.0.1、4.0.2 に対して、CE500 はデフォルトで linkup/linkdown SNMP 通知をサポートしており、MAC 通知 トラップに変更するときに「OTHER ロール」警告メッセージを無視できます。今後の Cisco NAC アプライアンス リリースでは、この警告メッセージは削除され、CE500 のデフォルト制御メソッドは MAC 通知トラップになります。

12.2(25) SEG よりも前の IOS バージョンが実行されている場合は、スイッチの Smartports 設定で CE500 スイッチ ポートが OTHER ロール(デスクトップまたは IP 電話ではなく)に割り当てられていなければなりません。割り当てられていない場合、MAC 通知は送信されません。


 


) Cisco NAC アプライアンス OOB は Cisco Catalyst 3750 StackWise テクノロジーをサポートしています。スタック構成で、MAC 通知を使用し、スタック上に 252 を超えるポートがある場合は、CAM を使用して 252 番目のポートに MAC 通知を設定したり設定解除したりできません。次の 2 つの回避策があります。1)linkup/linkdown SNMP 通知だけを使用します。2)MAC 通知を使用する場合は、252 番目のポートを使用せず、エラーを無視すれば、その他のポートは正常に機能します。

クラスタはサポートされていません。



) スイッチ model/IOS/CatOS バージョンのサポートの最新情報については、『Switch Support for Cisco NAC Appliance』を参照してください。


SNMP 制御

アウトオブバンド配置では、Clean Access Manager のドメインにスイッチを追加し、SNMP(簡易ネットワーク管理プロトコル)を使用して特定のスイッチ ポートを制御できます。SNMP は、ネットワーク管理ツールがネットワーク デバイス間の管理情報の交換に使用するアプリケーション レイヤのプロトコルです。Cisco NAC アプライアンスは、次の SNMP バージョンをサポートしています。

 

CAM から OOB スイッチ
OOB スイッチから CAM(トラップ)
読み取り:

SNMP V1

SNMP V2c(コミュニティ ストリング使用の V2)

書き込み:

SNMP V1

SNMP V2c

SNMP V3

SNMP V1

SNMP V2c

SNMP V3

まず、Clean Access Manager との間で SNMP トラフィックを送受信するようにスイッチを設定してから、そのスイッチとの間でトラフィックを送受信する Clean Access Manager 上でマッチングの設定値を設定します。これにより、Clean Access Manager は、そのスイッチから VLAN とポート情報を取得し、管理対象スイッチ ポートの VLAN を設定できるようになります。

Cisco NAC アプライアンスは、FIPS 140-2 準拠ネットワークで稼動する CAM で SNMP 管理を設定する際に必要になる、SHA-1 および 3DES 暗号化もサポートします。

「Off Line」アウトオブバンド スイッチ用のネットワーク リカバリ

Cisco NAC アプライアンス には、アウトオブバンド管理対象スイッチ用に設定可能な SNMP ポーリング動作があり、CAM は、スイッチが通常動作に復帰するときに発生するネットワーク スイッチの問題を通信できます。この機能がないと、Cisco NAC アプライアンス は、管理対象スイッチとの通信ができなくなり、かなりの時間検出されない状態になり、そのため Cisco NAC アプライアンス 管理者は手動で介入してスイッチの動作を解決し、CAM とスイッチの間の通信を再確立しなければならなくなる可能性があります。

この機能を設定するには、CAM CLI の smartmanager_conf 表の次の設定を使用します。

OobSnmpErrorLimit :連続的 SNMP タイマウアウト失敗の最大数 連続失敗の数がこの値になると、スイッチはディセーブルに設定されます。管理者が限界を 0 以下に指定した場合、この機能はディセーブルになります。デフォルト値は 10 です。

OobSnmpRecoverInterval :ディセーブルにされたスイッチがオンラインに復帰するかどうか検査するために、リカバリ プロセスが待機する時間(分単位)。デフォルト値は 10 です。

使用モード

ここでは、Virtual Gateway および Real-IP でのアウトオブバンド配置について説明します。いずれのゲートウェイ モードでも、Cisco NAC アプライアンス アウトオブバンドをネットワークに組み入れるためには、ネットワークに認証 VLAN を追加し、すべての認証 VLAN を Clean Access Server の非信頼インターフェイスにトランクする必要があります。

「基本的な接続」

「OOB Virtual Gateway 配置」

「OOB Real-IP ゲートウェイ配置」

「L3 OOB 配置」

基本的な接続

次の図に、アウトオブバンド配置に接続されたクライアントの基本的な「前」および「後」の VLAN 設定を示します。図 3-1はインバンド クライアント、図 3-2はアウトオブバンドのときのクライアントを示しています。

図 3-1 前:クライアントは認証/証明のためにインバンドになる

 

未認証のクライアントが最初に管理対象スイッチの管理対象ポートに接続されると(図 3-1)、CAM はクライアント ポートをそのポートのポート プロファイルで指定されている認証(隔離)VLAN から変更するようスイッチに指示します。スイッチは、その認証 VLAN クライアントからのすべてのトラフィックを CAS の非信頼インターフェイスに送信します。クライアントは、CAS を通じて認証され、ロールまたはデバイスに設定された Nessus スキャン/ポスチャ評価が実行されます。クライアントは認証 VLAN 上にあるため、そのクライアントのトラフィックはすべて CAS を通過しなければならず、クライアントはインバンドと見なされます。

図 3-2 後:証明後、クライアントはアウトオブバンドになる

 

クライアントの認証と証明が終了すると(Certified Devices List に追加されると)、CAM はそのクライアント ポートの VLAN を、そのポートのポート プロファイルに指定されているアクセス VLAN に変更します(図 3-2)。クライアントが Access VLAN に配置されると、スイッチはそのクライアントのトラフィックを CAS の非信頼インターフェイスには送信しません。この時点で、クライアントは信頼ネットワーク上に置かれ、アウトオブバンドと見なされます。

ユーザがそのクライアント マシンの再起動やネットワークからの切断を実行した場合や、スイッチ ポートが停止状態になった場合、スイッチは CAM に linkdown トラップを送信します。その後のクライアント ポートの動作は、その特定ポートのポート プロファイルの設定によって決まります(詳細は「ポート プロファイルの追加」を参照)。

Cisco NAC アプライアンス システムが OOB クライアント セッションを終了し(たとえば、システム管理者がユーザを「キック」アウトせざるを得ない場合)、スイッチがクライアント のアクセス ポート 用の VLAN 割り当てをアクセス VLAN から本来の認証 VLAN へ変更する場合、クライアント マシンは VLAN 変更を検出し、設定されている場合は IP アドレスの更新を開始し、ユーザがネットワークに接続されたままであることを確認します。ポーリング方法と設定のガイドラインに関する詳細は、「認証 VLAN 変更設定へのアクセスの設定」を参照してください(以前のリリースでは、クライアント マシンがスイッチを認識するのは、クライアント IP アドレスに関する DHCP リースが無効になり、再接続できない場合だけでした)。


) ポートの初期 VLAN をアクセス VLANに設定することもできます。詳細については、「ポート プロファイルの追加」を参照してください。


OOB Virtual Gateway 配置

OOB Virtual Gateway 配置には次のような利点があります。

IP アドレス取得時から実際にクライアントがアクセス VLAN 上のネットワーク アクセスを取得するまで、クライアントは IP アドレスを変更する必要がありません。

L2 ユーザの場合、スタティック ルートは必要ありません。

OOB Virtual Gateway モードでは、Clean Access Server は、VLAN マッピング機能を使用して未認証クライアントの許可トラフィック(DNS または DHCP 要求など)の再タグ付けを行います(認証 VLAN から Access VLANへ、またはその逆方向へ)。この方法では、クライアントが最終的にAccess VLAN に変更されても、新しいクライアント IP アドレスは必要ありません。なぜなら、DHCP 取得 IP アドレスはすでに Access VLAN ID と組み合わせられているからです。


) CAS への 802.1q トランクが存在する環境では、CAS は 2 つの VLAN をブリッジします。この「再タグ付け」では、新しい VLAN ID のある 802.1q Ethernet ヘッダーを再書き込みします。この機能は、1 つの認証 VLAN と 1 つの Access VLAN だけしかない場合、フレームにタグ付けされないため適用されません。


図 3-3は、L3 ルータ/スイッチを使用した OOB Virtual Gateway モードを図示したものです。ルータ/スイッチは、認証 VLAN からのトラフィックをレイヤ 2 トラフィックとして受信し、これを Clean Access Server の非信頼側に転送します。Virtual Gateway モードの Clean Access Server は、認証 VLAN(非信頼インターフェイス)からアクセス VLAN(信頼インターフェイス)への許可トラフィック(DNS、DHCP)またその反対方向の許可トラフィックの VLAN マッピングを実行します。ルータ/スイッチは、Access VLAN から Layer 3 トラフィックとしてトラフィックを受信し、適切にルーティングします。図 3-3に、次に説明する OOB Virtual Gateway の例のクライアント認証とアクセス パスを図示します。この例では、認証 VLAN は 100、Access VLAN は 10 です。

図 3-3 OOB VGW モード:Catalyst 6500 シリーズの例

 

OOB VGW モードのフロー

1. この未認証ユーザはアクセス レイヤ スイッチを通じてクライアント マシンをネットワークに接続します。

2. スイッチはクライアントの MAC 通知または linkup/linkdown SNMP トラップを CAM に送信します。クライアントがまだ Certified Devices List/Online Users リストにないため、CAM は SNMP SET トラップをスイッチに送信して、クライアント ポートをポート プロファイル(100)で指定されている認証 VLAN に変更するように指示します。CAM はクライアントを OOB Wired Clients リストに追加します([OOB Management] > [Devices] > [Discovered Clients] > [Wired Clients])。


) さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンス は、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。


3. クライアントは DHCP アドレスを取得しようとします。認証 VLAN トラフィックはすべて、コア L2 スイッチを通じて OOB Virtual Gateway CAS に転送されます。

4. CAS は、その非信頼インターフェイスで VLAN 100 トラフィックを受信します(802.1q トランク経由)。

5. 認証 VLAN とアクセス VLAN のマッピング用にあらかじめ VLAN マッピング ルールが設定されています([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping])。CAS は、このルールに従って、許可 DHCP トラフィックを非信頼側の VLAN 100 から信頼側の VLAN 10 へと再タグ付けし、信頼インターフェイス上の再タグ付けトラフィックを L3 ルータ/DHCP サーバに転送します。


) CAS が Virtual Gateway の場合、DHCP Passthrough モードしか使用できません。アウトオブバンドで VLAN マッピングが使用されると、フィルタのデフォルト権限により非信頼インターフェイスからの DNS および DHCP トラフィックが透過的に許可されるため、そのほかにトラフィック制御を設定する必要はありません。VLAN マッピングの詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』を参照してください。


6. ルータの観点からは、これはVLAN 10 からの要求です。ルータは DHCP 応答を CAS 上の VLAN 10 に返します。

7. VLAN マッピング ルールがイネーブルになっている場合、CAS は許可トラフィック(802.1q トランクの)を VLAN 10 から VLAN 100 に再タグ付けし、送信元クライアントに DHCP 応答を転送します。

8. クライアントは、Web ログインまたは Agent により、CAS を通じて認証されます。設定に応じて、クライアントは CAS への認証 VLAN(100)上でトラフィックを送受信しながら、ポスチャ評価プロセスを通過します。修正が許可されたトラフィックはすべて CAS を通過でき、VLAN 10 上に配置されます。トラフィックが許可されない場合はドロップされます。認証されたクライアントは、Certified Devices List に追加されます。

9. この時点で、CAM は SNMP SET トラップをスイッチに送信し、クライアント ポートを認証 VLAN(100)からアクセス VLAN(10)に(ポート プロファイルの指定に従って)変更するようにスイッチに指示し、クライアントの MAC アドレスを OOB Online Users リストに追加します([Monitoring] > [Online Users] > [View Online Users] > [Out-of-Band])。

10. OOB Virtual Gateway 配置のため、クライアントはすでに Access VLAN に関連付けられた IP アドレスを取得しているため、Access VLAN への変更後にクライアント ポートがバウンスされることはありません。

11. Access VLAN に置かれたクライアントは、信頼ネットワーク上に配置され、それ以降、そのクライアントのトラフィックは、Clean Access Server を通過しません。


) Cisco NAC アプライアンス システムが OOB クライアント セッションを終了し(たとえば、システム管理者がユーザを「キック」アウトせざるを得ない場合)、スイッチがクライアント のアクセス ポート 用の VLAN 割り当てをアクセス VLAN から本来の認証 VLAN へ変更する場合、クライアント マシンは VLAN 変更を検出し、設定されている場合は IP アドレスの更新を開始し、ユーザがネットワークに接続されたままであることを確認します。ポーリング方法と設定のガイドラインに関する詳細は、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


12. 証明済みクライアントのポート プロファイル フォーム([OOB Management] > [Profiles] > [Port] > [New] または [Edit])には、次のオプションがあります(詳細は、「ポート プロファイルの追加」を参照してください)。クライアントを次のように変更できます。

ポート プロファイル フォームに指定されている Access VLAN。

ロールベースのポート プロファイルの使用を選択した場合は、そのクライアントの ユーザ ロール に指定されたアクセス VLAN(詳細は、図 3-9を参照)。

そのポートの初期 VLAN。この設定では、クライアント ポートは、認証/証明のために認証 VLAN に変更されますが、クライアントの証明後は、スイッチ追加時に CAM で保存されたそのポートの初期 VLAN に戻ります。

次の点にも注意してください。

クライアントの MAC アドレスが Certified Devices List にあるのに、OOB Online Users リストにない場合(つまり、クライアントは認証済みだが、ネットワークからログオフした場合)、次回のログイン時にそのクライアントを Access VLAN 上に保つこともできますし(信頼されたネットワーク アクセスを許可)、また、次回のログイン時には認証 VLAN に置き、そのユーザに再度 CAS を通じた認証を強制することもできます。クライアントはすで認証されているため、Nessus スキャンを通過せず、ポスチャ アセスメントだけを通過します。

Certified Devices List から OOB クライアントを削除すると、そのアウトオブバンド ユーザは OOB Online Users リストから削除されます。任意で、ポートがバウンスされるように設定することもできます。

クライアント マシンのシャットダウンや再起動によって、スイッチから CAM へ linkdown トラップ(スイッチに設定されている場合)が送信されます。クライアントの動作(Agent または Web ログイン)は、その特定ポートのポート プロファイルの設定値によって決まります。

CAM が停止中で、CAS が VLAN マッピングを「fail open」状態で実行中の間は、CAS を再起動しないでください。これは、CAM がオンラインに戻るまで VLAN マッピングの機能が失われているためです。

設定に関する詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Understanding VLAN Settings」および「VLAN Mapping in Virtual Gateway Mode」を参照してください。

OOB Real-IP ゲートウェイ配置

OOB Real-IP ゲートウェイ配置では、ポートが認証 VLAN からアクセス VLAN に変更されるときにクライアントの IP アドレスを変更する必要があります。

図 3-4は、次のシーケンスを図示したものです。この例では、認証 VLAN は 100、Access VLAN は 10 です。

図 3-4 OOB Real-IP ゲートウェイ配置

 

OOB Real-IP/NAT モードのフロー

1. この未認証ユーザはエッジ スイッチを通じてクライアント マシンをネットワークに接続します。

2. スイッチはクライアントの MAC 通知または linkup/linkdown SNMP トラップを CAM に送信します。クライアントがまだ Certified Devices List/Online Users リストにないため、CAM は SNMP SET トラップをスイッチに送信して、クライアント ポートをポート プロファイル(100)で指定されている認証 VLAN に変更するように指示します。CAM はクライアントを OOB Wired Clients リストに追加します([OOB Management] > [Devices] > [Discovered Clients] > [Wired Clients])。


) さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンス は、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。


3. 未認証クライアントは、認証 VLAN の IP アドレス(x.x.100.x.)を要求し受信します。

4. クライアントは、Web ログインまたは Agent により、CAS を通じて認証されます。設定に応じて、クライアントは CAS への認証 VLAN(100)上でトラフィックを送受信しながら、ポスチャ評価プロセスを通過します。クリーンであることが明らかとなったクライアントは、Certified Devices List に追加されます。クライアントの修復時に、CAS はデフォルト ゲートウェイとして動作します。許可されたトラフィックだけが、非信頼インターフェイスから信頼側インターフェイスへの通過を許可されます。

5. この時点で、CAM はそのクライアント スイッチ ポートを認証 VLAN(100)からAccess VLAN(10)に(ポート プロファイルに従って)変更するようにスイッチに指示し、そのクライアントの MAC アドレスを OOB Online Users リスト([Monitoring] > [Online Users] > [View Online Users] > [Out-of-Band])に追加します。

6. クライアント ポートは Access VLAN に切り替わり、バウンスされます(ポート プロファイルの設定どおりに)。ポートがバウンスされると、クライアントはネットワーク ケーブルが外されているように動作して、インターフェイスの DHCP バインディングをリリースします。ポートがシャットダウン状態から回復すると、クライアントは最初にネットワークに接続されたかのように、DHCP 更新または DHCP 検出を実行します。スイッチ ポートは別の VLAN 上にあるため、クライアントはアクセス サブネットで有効な新規 IP アドレスを受信します。

7. 次に、クライアントはアクセス VLANの IP アドレス(x.x.10.x)を使用して、信頼ネットワーク上のトラフィックをポート プロファイルで指定されている Access VLAN 上に転送します。

8. クライアントが Access VLAN 上に配置されると、そのクライアントのトラフィックは CAS を通過しなくなります。


) Cisco NAC アプライアンス システムが OOB クライアント セッションを終了し(たとえば、システム管理者がユーザを「キック」アウトせざるを得ない場合)、スイッチがクライアント のアクセス ポート 用の VLAN 割り当てをアクセス VLAN から本来の認証 VLAN へ変更する場合、クライアント マシンは VLAN 変更を検出し、設定されている場合は IP アドレスの更新を開始し、ユーザがネットワークに接続されたままであることを確認します。ポーリング方法と設定のガイドラインに関する詳細は、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


9. 証明済みクライアントのポート プロファイル フォーム([OOB Management] > [Profiles] > [Port] > [New] または [Edit])には、次のオプションがあります(「ポート プロファイルの追加」を参照)。クライアントを次のように変更できます。

ポート プロファイル フォームに指定されている Access VLAN。

ロールベースのポート プロファイルの使用を選択した場合は、そのクライアントの ユーザ ロール に指定されたアクセス VLAN(詳細は、図 3-9を参照)。

そのポートの初期 VLAN。この設定では、クライアント ポートは、認証/証明のために認証 VLAN に変更されますが、クライアントの証明後は、スイッチ追加時に CAM によって保存されたそのポートの初期 VLAN に戻ります。


) • クライアントの MAC アドレスが Certified List にあるのに、OOB Online Users リストにない場合(つまり、クライアントは認証済みだが、ネットワークからログオフした場合)、次回のログイン時にそのクライアントをアクセス VLAN 上に保つこともできますし、また、次回のログイン時には認証 VLAN に置き、そのユーザに再度 CAS を通じた認証を強制することもできます。クライアントはすで認証されているため、Nessus スキャンを通過せず、ポスチャ アセスメントだけを通過します。

Certified Devices List から OOB クライアントを削除すると、OOB Online Users リストからそのアウトオブバンド ユーザが削除され、そのポートはバウンスされます。任意で、ポートがバウンスされないようにポート プロファイルを設定することもできます。


 

L3 OOB 配置

L3 OOB についての詳細は、次の項を参照してください。

「ログイン ページ用に Web クライアントをイネーブル化」

Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Configuring Layer 3 Out-of-Band (L3 OOB)」

アウトオブバンド配置のネットワークの設定

CAM は、管理ネットワークを通じてアウトオブバンドの CAS とスイッチを管理します。CAS の信頼側インターフェイスでは、管理ネットワークに接続し、CAS の非信頼インターフェイスでは、管理されたクライアント ネットワークに接続します。

クライアントが管理対象スイッチの管理対象ポートに接続すると、そのポートは認証 VLAN に設定され、そのクライアントとの間のトラフィックは Clean Access Server を通過します。クライアントの認証と証明が Clean Access Server を通じて完了すると、そのクライアントに接続されているポートは Access VLAN に変更されます。Access VLAN に到達すると、認証側クライアントとの間のトラフィックは Clean Access Server を迂回します。

(デフォルトの Access VLAN がポート プロファイル内の Access VLAN である L2 OOB 仮想ゲートウェイを除く)ほとんどの OOB 配置で、ポスチャ評価の後、クライアントは別の IP アドレスを Access VLAN から取得する必要があります。

Real-IP/ NAT-Gateway 設定の場合、クライアント ポートはバウンスされ、クライアントは管理/Access VLANから新しい IP アドレスを取得するよう促されます。

次の項では、OOB 配置を設定するために必要な設定手順について説明します。

「スイッチの設定」

「CAM における OOB スイッチ管理の設定」

「認証 VLAN 変更設定へのアクセスの設定」


) CAS を OOB Virtual Gateway として設定している場合、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピングを適切に設定するまで、CAS の非信頼側インターフェイスをスイッチに接続しないでください。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』を参照してください。


スイッチの設定

ここでは、Cisco NAC アプライアンス OOB で使用するスイッチの設定に必要な手順を説明します。

「設定に関する注意事項」

「スイッチの設定手順の例」

「OOB ネットワークの設定/設定ワークシート」

設定に関する注意事項

OOB 用のスイッチを設定する際には、次の事項を考慮する必要があります。

 

Cisco NAC アプライアンス OOB はスイッチ トランク ポートを制御できるため、アップグレード後に、管理対象スイッチのアップリンク ポートを unmanaged(管理対象外)ポートに設定してください。そのためには、次の 2 つの方法のいずれかで実行できます。

アップグレード前に、スイッチ全体の [Default Port Profile] を [unmanaged] に変更します(「[Config] タブ」を参照)。

アップグレード後に、そのスイッチの該当するアップリンク ポートの [Profile] を [unmanaged] に変更します(「[Ports] 管理ページ」を参照)。

これによって、スイッチの Default Port Profile が管理/制御対象ポート プロファイルとして設定されている場合に、余計な問題が発生しなくなります。

Cisco NAC アプライアンス OOB は 3750 StackWise テクノロジーをサポートしています。スタック構成で、MAC 通知を使用し、スタック上に 252 を超えるポートがある場合は、CAM を使用して 252 番目のポートに MAC 通知を設定したり設定解除したりできません。回避策が 2 つあります。

linkup/linkdown SNMP 通知だけを使用します。

MAC 通知を使用する場合は、252 番目のポートを使用せず、エラーを無視すれば、その他のポートは正常に機能します。

スイッチ クラスタはサポートされていません。回避策として、各スイッチに IP アドレスを割り当ててください。

スイッチで ifindex persistence をイネーブルにすることを推奨します。

アクセス ポート(クライアント マシンと直接に接続されているポート)上で portfast を有効にすることを推奨します。

mac-address aging-time を最小の 3600 秒に設定することを推奨します。

シスコ製スイッチの一部のモデル(4507R、IOS Version 12.2(18) EW など)では、[Port Security] がイネーブルになると、特定のポートに接続されている MAC アドレスが入手できなくなる場合があります。

ハイ アベイラビリティを使用する場合は、CAS および CAM が接続されているスイッチのインターフェイスで [Port Security] をイネーブルにしないでください。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

スイッチが確実に適切に動作するよう、スイッチの VLAN データベースに Access VLAN があることを確認する必要があります。シスコ製スイッチの一部のモデル(6506、IOS Version 12.2(18) SXD3 など)では、特定のポートに接続されている MAC アドレスは、そのポートの Access VLAN が VLAN データベース内にないと、入手できない場合があります。

表示されるのは、イーサネット(Fa、Gi、ファイバ)ポート タイプ(SNMPでレポートされるもの)だけです。

Clean Access Manager が正常に稼動していない場合、CAM への接続が復元されるまで、ポートは VLAN にとどまります。

スイッチの設定手順の例


ステップ 1 マシンとスイッチを接続します。管理 VLAN、Access VLAN、認証 VLAN およびその他の情報を書き留めます(詳細なリストは 表 3-2 を参照)。

 

CAM:

172.16.1.61

CAM 管理 VLAN:

VLAN 2

CAS:

10.60.3.2

CAS 管理 VLAN:

VLAN 3

Access VLAN:

10, 20

認証 VLAN:

31, 41

スイッチ(Catalyst 2950):

172.16.1.64

CAS の信頼側インターフェイスは、Access VLAN 10、20 のトランク ポートに接続され、CAS の非信頼側インターフェイスは、認証 VLAN 31、41 のトランク ポートに接続されます。

特定のスイッチ モデルの設定についての詳細は、そのスイッチのマニュアルを参照してください。

ステップ 2 IP アドレス(172.16.1.64)および Access VLAN(10、20)を設定します。

ステップ 3 VLAN マッピングによる Virtual Gateway を使用する場合は、既存のレイヤ 3 スイッチまたはルータ(CAT 6500 など)上に認証 VLAN 用の VLAN インターフェイスがないことを確認します。たとえば、CAS にアクセス VLAN 10 および認証 VLAN 31 の VLAN マッピングが設定されていて、L3 スイッチ/ルータにすでにこの認証 VLAN 用のインターフェイスがある場合は、次のコマンドを使用して、これをオフにします。

(config)# no int vlan 31
(config)# vlan 31
 

最初のコマンドはインターフェイスをオフにし、次のコマンドは VLAN 31(認証 VLAN)が VLAN データベース テーブル内にあることを確認します。さらに、図 3-8に示されているように、CAS で VLAN マッピングをイネーブルにすることも必要です。


) CAM が停止中で、CAS が VLAN マッピングを「fail open」状態で実行中の間は、CAS を再起動しないでください。これは、CAM がオンラインに戻るまで VLAN マッピングの機能が失われているためです。


ステップ 4 Real-IP Gateway の場合は、管理対象サブネットのトラフィックを各 CAS の信頼側インターフェイスにルーティングするために L3 スイッチまたはルータにスタティック ルートを追加します。

ステップ 5 その他の SNMP 設定値を指定します。

(config)# snmp-server location <location_string>
(config)# snmp-server contact <admin_contact_info>

) スイッチの SNMP 設定を指定する場合、コミュニティ ストリングで「@」文字は使用しないでください。


ステップ 6 「スイッチ プロファイルの設定」で使用される SNMP read コミュニティ ストリングを設定します。SNMP read-only コミュニティ ストリングは、「c2950_read:」です。

(config)# snmp-server community c2950_read RO
 

ステップ 7 「スイッチ プロファイルの設定」で使用される SNMP write コミュニティ ストリング(V1/V2c)または username/password(V3)を設定します。

SNMP V1/V2c の設定値(SNMP read-write コミュニティ ストリングは、「c2950_write」)

(config)# snmp-server community c2950_write RW
 

SNMP V3 設定(username:「c2950_user;」、password:「c2950_auth」)

(config)# snmp-server view v1default iso included
(config)# snmp-server group c2950_group v3 auth read v1default write v1default
(config)# snmp-server user c2950_user c2950_group v3 auth md5 c2950_auth
 

ステップ 8 MAC 通知または Linkup/Linkdown SNMP トラップをイネーブルにし、そのスイッチに必要であれば、MAC address table aging-time を設定します。

さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンス は、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。MAC notification トラップをイネーブルにする場合は、MAC address table aging-time をゼロ以外の値に設定しなければなりません。スイッチの MAC アドレス用のスペースが限られている場合は、MAC address table aging-time を少なくとも 3600 秒に設定することを推奨します。また、スイッチが多数の MAC エントリに十分に対応できる場合は、もっと大きな値(1000000 など)に設定することを推奨します。スイッチが MAC 通知トラップをサポートしている場合、Cisco NAC アプライアンスは linkdown トラップ(ユーザの削除用)に加え、MAC 変更通知/MAC 移動通知トラップもデフォルトで使用します。スイッチがMAC 変更通知/MAC 移動通知トラップをサポートしていない場合は、Clean Access Manager は linkup/linkdown トラップだけを使用します。

(config)# snmp-server enable traps mac-notification
(config)# snmp-server enable traps snmp linkup linkdown
(config)# mac-address-table aging-time 3600
 

ステップ 9 スイッチをイネーブルにして、Clean Access Manager に SNMP MAC 通知 および linkup トラップを送信できるようにします。ここで使用するスイッチ コマンドは、「SNMP Receiver の設定」の SNMP トラップの設定に使用された SNMP バージョンによって異なります。


) セキュリティを向上させるため、管理者には SNMP V3 を使用し、ACL を定義してスイッチへの SNMP 書き込みアクセスを制限するよう推奨します。

さまざまなスイッチ設定をサポートするため、Cisco NAC アプライアンス は、MAC 変更通知トラップと MAC 移動通知トラップの両方の使用をサポートしています。


SNMP v1(SNMP コミュニティ ストリングは「cam_v1」)。

(config)# snmp-server host 172.16.1.61 traps version 1 cam_v1 udp-port 162 mac-notification snmp
 

SNMP v2c(SNMP コミュニティ ストリングは「cam_v2」)。

(config)# snmp-server host 172.16.1.61 traps version 2c cam_v2 udp-port 162 mac-notification snmp
 

SNMP v3 (SNMP username/password は「cam_user」/「cam_auth」)。グループ コマンドは、ユーザ コマンドおよびホスト コマンドの後に実行しなければなりません。

(config)# snmp-server user cam_user cam_group v3 auth md5 cam_auth
(config)# snmp-server host 172.16.1.61 traps version 3 auth cam_user udp-port 162 mac-notification snmp
(config)# snmp-server group cam_group v3 auth read v1default write v1default notify v1default
 

ステップ 10 Port Fast コマンドをイネーブルにすることにより、ポートが即座に Spanning-Tree Protocol(STP; スパニングツリー プロトコル)フォワーディング ステートになるようにします。この処理は、全インターフェイスのスイッチ設定レベル、または個別インターフェイスのインターフェイス設定レベルで行うことができます。

スイッチ設定レベル

(config)# spanning-tree portfast default
 

インターフェイス設定レベル

(config-if)# spanning-tree portfast
 


 

図 3-5に、OOB 設定の例を図示します。

図 3-5 物理的な設定例

 


) CAS インターフェイスは CAM VLAN および Access VLAN とは別の VLAN になければなりません。


図 3-6 L3 スイッチの設定例

 

OOB ネットワークの設定/設定ワークシート

表 3-2 に、スイッチと Clean Access Manager の設定の必要事項をまとめます。

 

表 3-2 コンフィギュレーション ワークシート

コンフィギュレーションの設定項目
スイッチの設定

スイッチの IP アドレス:

 

Access VLAN:

 

認証 VLAN:

 

location_string:

 

admin_contact_info:

 

使用する SNMP バージョン:

 

SNMP(V1/V2c)read コミュニティ ストリング:

 

SNMP(V1/V2c)write コミュニティ ストリング:

 

SNMP(V3)auth method/username/password:

 

MAC 通知または linkup:

 

SNMP トラップ V1/V2c コミュニティ ストリング、または SNMP トラップ V3 auth method/usr/pwd(CAM へのトラップの送信):

 

CAM/CAS のコンフィギュレーション

CAM の IP アドレス:

 

CAS の IP アドレス:

 

CAS 非信頼 IP アドレス:

 

CAM VLAN(管理):

 

CAS VLAN(管理):

 

CAM SNMP トラップ レシーバ:

 

SNMP トラップ V1 スイッチのコミュニティ ストリング:

 

SNMP トラップ V2c スイッチのコミュニティ ストリング:

 

SNMP トラップ V3 スイッチの auth method/ username/password:

 

CAM における OOB スイッチ管理の設定

ここでは、アウトオブバンドで使用する場合の Web 管理コンソールの設定手順を説明します。通常は、まず [OOB Management] > [Profiles] で、グループ、スイッチ、ポート プロファイルと、Clean Access Manager の SNMP Receiver の設定を行います。プロファイルの設定が完了したら、制御対象のスイッチを Clean Access Manager のドメインに追加し([OOB Management] > [Devices])、スイッチにプロファイルを適用します。

スイッチが追加されると、スイッチのポートが検出され、[OOB Management] > [Devices] > [Devices] > [List] に、[Port] ボタンと [Config] のボタンおよび各スイッチのページが表示されます。

管理 [Ports] ボタンをクリックすると、[Ports] タブが表示されます。[Ports] ページでは、管理対象ポート プロファイルを特定のポートに適用し、信頼ネットワークへのアクセスを許可する前に認証/証明のためにクライアントのトラフィックが一時的に CAS を通過するようなルーティングを設定します。

設定手順は次のとおりです。

1. 前述の「スイッチの設定」の説明に従って、設定値を決め、管理対象スイッチを設定してください。

2. 「アウトオブバンドの Clean Access Server の追加と環境設定」

3. 「IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定」

4. 「グループ プロファイルの設定」

5. 「スイッチ プロファイルの設定」

6. 「ポート プロファイルの設定」

7. 「VLAN プロファイルの設定」

8. 「SNMP Receiver の設定」

9. 「スイッチの追加および管理」

10. 「スイッチ ポートの管理」

アウトオブバンドの Clean Access Server の追加と環境設定


) CAM と CAS の間で初めて安全な通信チャネルを確立するには、CAM と CAS がそれぞれ互いの証明書を信頼できるように、各アプライアンスのルート証明書をもう片方のアプライアンスの信頼できるストアにインポートする必要があります。


アウトオブバンド配置の CAM/CAS の設定は、ほとんどが Web 管理コンソールの [OOB Management] モジュールから直接実行できます。[OOB Management] モジュールによる設定を除けば、OOB の設定は従来のインバンドの設定とほとんど同じです。インバンドの場合と異なるのは次の点です。


ステップ 1 Clean Access Server を追加する際に、アウトオブバンドのゲートウェイ タイプを選択します(図 3-7)。

図 3-7 新しい OOB サーバを追加する

 

新しい Clean Access Server を追加するためのドロップダウン メニューにアウトオブバンド [Server Types] が表示されます。

OOB Virtual Gateway

OOB Real-IP Gateway

Clean Access Server は、インバンドとアウトオブバンドの いずれか一方 に設定しなければなりません。Clean Access Manager は、そのドメイン内のインバンド CAS とアウトオブバンド CAS のどちらも制御できます。


) • Virtual Gateway(インバンドもアウトオブバンドも)の場合、Web コンソールを通じた CAS の CAM への追加が完了するまで、その CAS の非信頼側インターフェイス(eth1)をスイッチに接続しないでください。

Virtual Gateway モードで VLAN マッピングを使用する場合(インバンドまたはアウトオブバンド)は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で、VLAN マッピングが適切に設定されるまで、CAS の非信頼側インターフェイス(eth1)をスイッチに接続しないでください。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。


 

ステップ 2 OOB Virtual Gateways を使用する場合、スイッチで設定されている各 Auth/Access VLAN ペアの CAS で VLAN マッピング(図 3-8)をイネーブルにして設定する必要があります。これは、認証 VLAN から Access VLAN(またはその逆)への未認証クライアントの許可トラフィック(DHCP/DNS など)の再タグ付けを行うために必要です。Virtual Gateway モードで動作する CAS アプライアンスの VLAN プルーニングをイネーブルにすることもできます。VLAN マッピングおよび VLAN プルーニングの詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』を参照してください。

図 3-8 OOB Virtual Gateways の VLAN マッピングをイネーブルにする

 

ステップ 3 ロール ベースのポート プロファイルを使用する場合は(「ポート プロファイルの設定」を参照)、新規ユーザ ロール作成時に [Out-of-Band User Role VLAN] フィールドに Access VLAN を指定します(図 3-9)。詳細については、「新しいロールの追加」を参照してください。

図 3-9 アクセス VLAN でユーザ ロールを設定する

 

 


) ポート プロファイルで、または アウトオブバンド ユーザ ロール VLAN に対して VLAN 名または VLAN ID を指定できます。VLAN ID には番号だけ指定できます。VLAN Name では大文字と小文字が区別されますが、VLAN Name にはワイルドカードを指定できます。スイッチではワイルドカード VLAN 名の初回一致が使用されます。


ステップ 4 アウトオブバンドがイネーブルになっていると、[Monitoring] > [View Online Users] ページに [In-Band] と [Out-of-Band] の両方のユーザのリンクと設定値が表示されます(図 3-10 を参照)。詳細については、「OOB ユーザ」を参照してください。

図 3-10 アウトオブバンド オンライン ユーザを表示する

 


 

IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定

OOB 配置の重要な機能の 1 つは、IP 電話からの MAC 通知イベントによって VLAN 変更などのネットワーク接続の変更が開始されるときに、クライアント マシンからネットワークへの接続に使用する IP 電話によって間違ってクライアント接続が終了しないようにすることです。次の内容を実行します。

IP 電話の MAC アドレスの [Ignore] オプションでグローバル デバイス フィルタ([Device Management] > [Filters] > [Devices] > [New] または [Edit])を設定し、Cisco NAC アプライアンスが IP 電話からの SNMP トラップ イベントを無視するようにします。

ポート プロファイルを設定するときに、[Change VLAN according to global device filter list] オプションをイネーブルにします(「ポート プロファイルの追加」を参照)。

詳細については、「IP 電話を使用するアウトオブバンド配置のデバイス フィルタ」を参照してください。設定手順の詳細は、「グローバル デバイス フィルタの追加」を参照してください。

グループ プロファイルの設定

最初にスイッチを Clean Access Manager のドメインに追加するときに([OOB Management] > [Devices])、グループ プロファイルを適用して、新しいスイッチを追加する必要があります。あらかじめ定義された [default] というグループ プロファイルがあります(図 3-11を参照)、追加されたスイッチはすべて、自動的に [default] グループに入ります。この [default] グループ プロファイルから抜けることも、また必要に応じて新しいグループ プロファイルを作成することも可能です。多数のスイッチを追加し、管理している場合は、複数のグループ プロファイルを作成することによって、スイッチ リストに表示するデバイスの数を絞り込むことができます([OOB Management] > [Devices] > [Devices] > [List])。

図 3-11 グループ プロファイルのリスト

 

グループ プロファイルの追加


ステップ 1 [OOB Management] > [Profiles] > [Group] > [New] の順に進みます(図 3-12を参照)。

図 3-12 新しいグループ

 

ステップ 2 [Group Name] に、グループ名を示す単語を 1 つ入力します。数字とアンダースコアは使用できますが、スペースは使用できません。

ステップ 3 (任意)[Description] に、スイッチの説明を入力します。

ステップ 4 [Add] をクリックします。[OOB Management] > [Profiles] > [Group] > [List] に、新しいグループ プロファイルが表示されます。


 

グループ プロファイルの編集


ステップ 1 作成後にプロファイルを編集する場合は、実際にスイッチが追加されてから、[OOB Management] > [Profiles] > [Group] > [List] の順に進み、新しいグループ プロファイルの [Edit] ボタンをクリックします。

ステップ 2 [Edit] ページが表示されます(図 3-13)。

図 3-13 グループの編集

 

ステップ 3 [Member Switches] または [Available Switches] カラムからスイッチの IP アドレスを選択し、目的に応じて [Join] または [Remove] ボタンをクリックすれば、そのグループ プロファイルに属すスイッチを変更できます。

ステップ 4 [Update] ボタンをクリックして、変更を保存します。


) グループ プロファイルを削除するには、まず加入しているスイッチをそのプロファイルから削除しなければなりません。



 

スイッチ プロファイルの設定

最初に [OOB Management] > [Profiles] > [Device] > [New] で、スイッチ プロファイルを作成してから、新しいスイッチを追加するときに、プロファイルを適用します。各スイッチ プロファイルによって、同じモデルのスイッチや同じ SNMP 設定値のスイッチを分類できます(図 3-14を参照)。スイッチ プロファイルでは、特定タイプのスイッチに対して、CAM がポートの設定(アクセス/認証 VLAN など)の読み取り、書き込み、変更をどのように実行するのかを設定します。

図 3-14 スイッチ プロファイルのリスト

 

[OOB Management] > [Profiles] > [Device] > [List] のスイッチ プロファイル リストには、3 つのボタンがあります。

[Devices]:このボタンをクリックすると、追加されたスイッチと WLC のリストが [OOB Management] > [Devices] > [Devices] > [List] で表示されます(図 3-28 を参照)。

[Edit]:このボタンをクリックすると、スイッチ プロファイルの Edit スイッチ プロファイル フォームが表示されます(図 3-16 を参照)。

[Delete]:このアイコンをクリックすると、スイッチ プロファイルが削除されます(まず、設定ダイアログが表示されます)。

スイッチ プロファイルの追加

スイッチ プロファイルの追加は、次の手順で行います。


ステップ 1 [OOB Management] > [Profiles] > [Device] > [New] の順に進みます(図 3-15を参照)。

図 3-15 新しいスイッチ プロファイル

 

ステップ 2 [Profile Name] に、プロファイルの名前を示す単語を 1 つ入力します。数字とアンダースコアは使用できますが、スペースは使用できません。


) スイッチ プロファイル名には、スイッチ モデルや SNMP の read および write のバージョンを示す名前(例:2950v2v3)を入力することを推奨します。


ステップ 3 ドロップダウン メニューから、そのプロファイルの [Device Model] を選択します。

ステップ 4 [SNMP Port] に、トラップ送受信用に設定されているそのスイッチの SNMP ポートを入力します。デフォルトのポートは 161 です。

ステップ 5 (任意)[Description] に、スイッチの説明を入力します。

ステップ 6 [SNMP Read Settings] では、そのスイッチと一致する SNMP read の設定値を指定します。

[SNMP Version] で、[SNMP V1] または [SNMP V2C] を選択します。

[Community String] に、スイッチに設定されているコミュニティ ストリングを入力します。

ステップ 7 [SNMP Write Settings] では、そのスイッチと一致する SNMP write の設定値を指定します。

[SNMP Version] で、[SNMP V1]、[SNMP V2C]、または [SNMP V3] を選択します。

[Community String] に、そのスイッチに設定されている SNMP V1 または SNMP V2C のコミュニティ ストリングを入力します。

ステップ 8 スイッチのSNMP write 設定に SNMP v3 が使用されている場合は、スイッチに合わせて、次の設定値を指定します。

[Security Method] のドロップダウン メニューから、[NoAuthNoPriv]、[AuthNoPriv(MD5)]、[AuthNoPriv(SHA)]、[AuthPriv(MD5+DES-CBC)]、または [AuthPriv(SHA+DES-CBC)] を選択します。

[User Name] を入力します。

[User Auth] を入力します。

[User Priv] を入力します。

ステップ 9 [Add] をクリックします。これによって、このスイッチ プロファイルが [OOB Management] > [Profiles] > [Device] > [List] に追加されます(図 3-28 を参照)。

図 3-16に、同じ SNMP 設定値(SNMP V2c、read コミュニティ ストリングは [c2950_read]、write コミュニティ ストリングは「c2950_write」)を持つ Cisco Catalyst 2950 スイッチを定義するスイッチ プロファイルを示します。

図 3-16 スイッチ プロファイルの例

 


 

ポート プロファイルの設定

ポート プロファイルによって、そのポートが管理対象か管理対象外か、そのクライアント ポートに使用される認証 VLAN とアクセス VLAN、そのポートのその他の動作が決まります(「[Ports] 管理ページ」を参照)。スイッチ ポートのポート プロファイルには、次に示す 4 つのタイプがあります(図 3-17を参照)。

Unmanaged:クライアントに接続されない制御対象外のスイッチ ポート(プリンタ、サーバ、スイッチなど)。これは通常、デフォルトのポート プロファイルです。

Managed with Auth VLAN/Default Access VLAN:ポート プロファイルに定義された認証 VLAN とデフォルトのアクセス VLAN を使用してクライアント ポートを制御します。

Managed with Auth VLAN/User Role VLAN:ポート プロファイルに定義された認証 VLAN とユーザ ロールに定義されたアクセス VLAN を使用してクライアント ポートを制御します(図 3-9を参照)。

Managed with Auth VLAN/ Initial Port VLAN:ポート プロファイルに定義された認証 VLAN と、そのスイッチ ポートの初期ポート VLANとして設定されているアクセス VLAN を使用してクライアント ポートを制御します。

クライアントに接続されないスイッチ ポートには通常、unmanaged ポート プロファイルが使用されます。クライアントが接続されるスイッチ ポートには、managed ポート プロファイルが使用されます。クライアントが管理対象ポートに接続すると、そのポートは、認証 VLAN に設定されます。そのクライアントの認証と証明が完了すると、ポートはポート プロファイルに指定されているアクセス VLAN(デフォルト アクセス VLAN、ユーザ ロール VLAN、または初期ポート VLAN)に設定されます。

OOB Real-IP ゲートウェイ モードでは、CAM は認証および証明完了後にクライアントが新しい IP アドレスを取得できるように、ポート バウンスをイネーブルにします。OOB Virtual Gateway モードでは、認証および証明完了後にクライアントは同じ IP アドレスを使用するため、ポート バウンスは必要ありません。


) Cisco NAC アプライアンス システムが OOB クライアント セッションを終了し(たとえば、システム管理者がユーザを「キック」アウトせざるを得ない場合)、スイッチがクライアント のアクセス ポート 用の VLAN 割り当てをアクセス VLAN から本来の認証 VLAN へ変更する場合、クライアント マシンは VLAN 変更を検出し、設定されている場合は IP アドレスの更新を開始し、ユーザがネットワークに接続されたままであることを確認します。ポーリング方法と設定のガイドラインに関する詳細は、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。


図 3-17 ポート プロファイルのリスト

 


) ポリシー同期機能によって、OOB ポート プロファイルと VLAN プロファイルはマスター CAM から受信者 CAM にエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。


ポート プロファイルの追加

スイッチに設定する認証/アクセス VLAN の組み合わせごとにポート プロファイルを 1 つ追加する必要があります。


) OOB Virtual Gateways を使用する場合、スイッチで設定されている各認証/アクセス VLAN ペアの CAS で VLAN マッピングをイネーブルにして設定する必要があります。詳細については、図 3-8を参照してください。



ステップ 1 [OOB Management] > [Profiles] > [Port] > [New] の順に進みます(図 3-18)。

図 3-18 新規ポート プロファイル

 

ステップ 2 [Profile Name] に、プロファイルの名前を示す単語を 1 つ入力します。数字とアンダースコアは使用できますが、スペースは使用できません。そのポート プロファイルが管理対象か管理対象外かがわかるような名前を指定してください。


) このプロファイルを適用するポートが管理対象か管理対象外かがわかるポート プロファイル名を指定するほかに、ネットワーク IP 電話を介して信頼性の高いクライアント マシン接続を確保したい場合は、ポート プロファイルの性質に関する情報も入力することをお奨めします。


ステップ 3 (任意) [Description] に、そのポート プロファイルの説明を入力します。

ステップ 4 [Manage this port] のチェックボックスをオンにして、このポート プロファイルの設定をイネーブルにします。これにより、ページのポート管理オプションがイネーブルになります。

ステップ 5 [Auth VLAN] でドロップダウン メニューから [VLAN ID] (デフォルト)または [VLAN Name] を選択し、このポート プロファイルに使用される認証/隔離 VLAN ID または VLAN 名を入力します。

[VLAN ID] を選択する場合:テキスト フィールドに指定できるのは数字だけです。

[VLAN Name] を選択する場合:テキスト フィールドでは大文字と小文字を区別します。VLAN 名には abc、*abc、abc*、*abc* などのワイルドカードを指定できます。スイッチではワイルドカード VLAN 名の初回一致が使用されます。名前には特殊文字も使用できます。

ステップ 6 [Default Access VLAN] でドロップダウン メニューから [VLAN ID] (デフォルト)または [VLAN Name] を選択し、このポート プロファイルのデフォルト アクセス VLAN に使用される VLAN ID または VLAN 名を入力します。

[VLAN ID] を選択する場合:テキスト フィールドに指定できるのは数字だけです。

[VLAN Name] を選択する場合:テキスト フィールドでは大文字と小文字を区別します。VLAN 名には abc、*abc、abc*、*abc* などのワイルドカードを指定できます。スイッチではワイルドカード VLAN 名の初回一致が使用されます。名前には特殊文字も使用できます。


) スイッチで指定された VLAN が検出されない場合(VLAN Name の入力ミスなど)、(イベント ログではなく)perfigo.log にエラーが表示されます。


ステップ 7 [Access VLAN] で、ドロップダウン メニューから次のいずれかのオプションを選択します。

[Default Access VLAN]:CAM は、認証済みのユーザと証明済みデバイスを、ポート プロファイルに指定されているデフォルト アクセス VLAN上に配置します。

[User Role VLAN]:CAM は、認証済みユーザと証明済みデバイスを、ユーザ ロールに指定されているアクセス VLAN上に配置します(詳細は、図 3-9アクセス VLAN でユーザ ロールを設定する」および「Out-of-Band User Role VLAN」を参照してください)。

[Initial Port VLAN]:CAM は、認証済みユーザと証明済みデバイスを [Ports] 設定ページでそのポートに指定されている [Initial VLAN] 上に配置します(詳細は、「[Ports] 管理ページ」を参照してください)。初期 VLAN とは、スイッチ追加時にそのポートの VLAN として CAM に保存された値です。指定されたアクセス VLAN を使用するのではなく、クライアントは認証および証明のために、初期ポート VLAN から認証 VLAN に変更され、証明完了後に再び初期ポート VLAN に戻ります。

ステップ 8 VLAN プロファイル定義を使用してアクセス VLAN を指定する場合は、「VLAN プロファイルの追加」で作成した VLAN プロファイル 名の 1 つを選択するか、ドロップダウン メニューから [Default] を選択して、このポート プロファイルと関連付ける VLAN プロファイルを指定します。


) Default を選択する場合、またはまだカスタム VLAN プロファイルを作成していない場合、CAM は VLAN 名から VLAN ID へのマッピングについて問題の管理対象スイッチだけを照会して、ユーザのアクセス VLAN を決定します。


デバイスがポートに接続された場合のポート プロファイル オプション

CAM は、受信した SNMP MAC 変更通知/MAC 移動通知または linkup トラップから、スイッチ ポートに接続されているデバイスを検出します。そのデバイスが証明済みでない場合、そのポートには 認証 VLAN が割り当てられ、そのデバイスが証明済みで、ユーザが認証済みであれば、 アクセス VLAN が割り当てられます。さらに次のオプションも設定できます。

ステップ 9 [Change VLAN according to global device filter list]

ネットワークで IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定した場合、または CAM のグローバル デバイス フィルタ ルールを使用してポートの VLAN を設定する場合は、このオプションをクリックします。この機能を有効にするためには、[Device Management] > [Filters] > [Devices] で、デバイス フィルタが追加されていなければなりません。OOB の場合のデバイス フィルタ ルールは次のとおりです。

[ALLOW]:ログインおよびポスチャ評価(認証)を回避し、 デフォルト アクセス VLAN をポートに割り当てる。

[DENY]:ログインおよびポスチャ評価(認証)を回避し、 認証 VLAN をポートに割り当てる。

[ROLE]:ログインおよび L2 ポスチャ評価(認証)を回避し、 ユーザ ロール VLAN をポートに割り当てる(「Out-of-Band User Role VLAN」を参照)。

[CHECK]:ログインを回避し、ポスチャ評価を適用して、 ユーザ ロール VLAN をポートに割り当てる(「Out-of-Band User Role VLAN」を参照)。

[IGNORE]:管理対象スイッチ(IP 電話)から SNMP トラップを無視する。


) グローバル デバイス フィルタ リスト上の MAC アドレスに設定されているルールは、OOB 配置と IB 配置のいずれにおいても、ユーザ/デバイス処理に関して最高のプライオリティが与えられています。詳細については、「アウトオブバンド配置のデバイス フィルタ」を参照してください。

指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


ステップ 10 [Change to [Auth VLAN | Access VLAN] if the device is certified, but not in the out-of-band user list]

このオプションは、ポートが管理対象になると自動的にイネーブルになります。デバイスが証明済みで、ユーザがそのポートに再接続した場合に使用する VLAN を選択します。

[Default Auth VLAN]:このポート上のアクセス VLAN クライアントに対して、次回のネットワーク接続時に、認証 VLAN での再認証を強制します。

[Default Access VLAN]:クライアントは次回のネットワーク接続時に、再ログインを必要とせず、信頼ネットワークにそのまま接続できます。

ステップ 11 [Bounce the port after VLAN is changed]

Real-IP の場合は、このボックスをオンにします。このオプションを選択すると、アクセス VLAN への変更後にクライアントが新しい IP アドレスを取得するよう促されます。

Virtual Gateways モードの場合は、このボックスを選択しないでください。


) バージョン 4.1.2.0 以降の Windows Agent、ActiveX コントロール、Java アプレットを使用してクライアントの DHCP IP アドレスを更新する場合は、[Port Profile] の [Bounce the switch port after VLAN is changed] はディセーブルのままでもかまいません。「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。また、DHCP リリース、VLAN の変更、DHCP 更新遅延を設定する際の詳細は「認証 VLAN 変更設定へのアクセスの設定」「高度な設定」を参照してください。


 

ステップ 12 [Bounce the port based on role settings after VLAN is changed]

このオプションをイネーブルにすると、ネットワークにアクセスするポートの VLAN が認証 VLAN からアクセス VLAN に切り替わるときに、スイッチは関連するユーザ ロールに従ってポート バウンシングおよび IP アドレス更新/動作更新を決定します。両方のユーザ ロール オプションは、[User Management] > [User Roles] > [New Role] ページにあります。


) 上述のステップ 11 で [Bounce the port after VLAN is changed] オプションをイネーブルにした場合、このオプションは使用できません。


ステップ 13 [Generate event logs when there are multiple MAC addresses detected on the same switch port]

このボックスを選択して、同一スイッチ ポートで複数の MAC アドレスが検出された場合にイベント ログを生成できます。

デバイスがポートから切断された場合のポート プロファイル オプション

次のいずれかのイベントの発生後、デバイスは切断されたと見なされます。

ユーザはネットワークから切断し、CAM は SNMP リンクダウン トラップを受信します。

管理者は OOB ユーザ リストからユーザを削除します。

図 3-19 オプション:ポートから切断されたデバイス

 

OOB Online Users リストから OOB ユーザを削除し、クライアント マシンがネットワークから切断したスイッチ ポートの VLAN 割り当てを判定するために、次のオプションを設定できます。

ステップ 14 [Remove out-of-band online user when SNMP linkdown trap is received, and then [do nothing | change to Auth VLAN | change to Restricted VLAN]]

このオプションをクリックし、クライアントが Cisco NAC アプライアンス ネットワークから切断するとき、スイッチからリンクダウン トラップを受信した後、どの VLAN を CAM がスイッチ ポートに割り当てるかを指定します(linkdown トラップに関する詳細は、「[Advanced]」を参照してください)。

クライアントが切断し(リンクダウン トラップが送信されるようにする)ときに、このオプションがオンで [do nothing] を指定すると、スイッチ ポートは割り当てられた最後の VLAN に留まるか、または [Change to [Auth VLAN]] | [Access VLAN] if the device is certified, but not in the out-of-band user list] オプションで指定された VLAN に再割り当てされます。


) クライアントが Certified Devices List に含まれていない場合、クライアントは認証 VLAN に置かれます。


このオプションがオンで、[change to Auth VLAN] を指定する場合、クライアントが Certified Devices List にあるかどうかに無関係に、リンクダウン SNMP トラップの受信後、CAM は認証 VLAN にスイッチ ポートを設定します。

このオプションがオンで、[change to Restricted VLAN] を指定する場合、CAM はスイッチ ポートを、事前に設定した [VLAN Name] (詳細は、「VLAN プロファイルの設定」を参照)またはこの設定の下に表示されているテキスト フィールドにユーザが入力した特定の [VLAN ID] 番号のいずれかに割り当てます。[change to Auth VLAN] オプションと同様、この VLAN 割り当ては、クライアントが Certified Devices List に含まれているかどうかに関係なく、CAM が linkdown トラップを受信したときに行われます。

ステップ 15 [Remove other out-of-band online users on the switch port when a new user is detected on the same port]

この機能により、同一ポート上で新規ユーザが検出された場合、管理者はスイッチ ポート上の他のオンライン OOB ユーザを削除できます。既存ユーザが別にスイッチポートで検出された場合にポート プロファイルを変更することもできます。

このオプションを選択することで、1 つのスイッチ ポートに対して 1 度に 1 人の有効ユーザだけを許可できます。オンライン ユーザ(「user1」など)が現在スイッチ ポート(スイッチ「c2950」の 「fa0/1」)に存在していて、そのポートに適用されているポート プロファイルでこのオプションがイネーブルになっている場合、他のユーザ(「user2」など)が同一スイッチ ポートからサイン インするか、または、他の場所からこのポートに移動すると、「user1」は削除されます。

ステップ 16 [Remove out-of-band online user without bouncing the port]

任意のユーザが OOB Online Users リストから削除されると、ポートはアクセス VLAN から認証 VLAN に変更されます。また、Certified Device List から削除されたユーザは、常に Online User List(IB または OOB)からも削除されます。[Remove out-of-band online user without bouncing the port] オプションが選択されている場合、ユーザが OOB Online Users リストから削除されたときにポートはバウンスされません。このオプションが選択されていない場合、ユーザが OOB Online Users リストから削除されたときにポートはバウンスされます。

このオプションは、クライアント マシンが IP 電話を通じて接続しているスイッチ ポートのバウンスを防ぐことを目的としています。この機能を利用すると、Cisco NAC アプライアンスはスイッチ ポートに接続されている IP 電話の動作に影響を与えることなく、クライアント マシン(ラップトップ/デスクトップ)の認証/評価/隔離/修復を実行できます。OOB Virtual Gateways モードでこのオプションが選択されていると、次の場合にクライアント ポートがバウンスされません。

OOB Online Users リストからユーザが削除された場合

Certified Devices List からデバイスが削除された場合

ただし、そのポートのアクセス VLAN は認証 VLAN に変更されます。

ステップ 17 [Add] をクリックします。これによって、このポート プロファイルが [OOB Management] > [Profiles] > [Port] > [List] に追加されます。

ポート プロファイルについての詳細は、「スイッチ ポートの管理」および [Ports] 設定ページを参照してください。

オンライン ユーザのモニタリングに関する詳細は、「イベント ログの意味」を参照してください。


 

VLAN プロファイルの設定

Cisco NAC アプライアンスでは、ネットワーク上の複数のアクセス ポイントに対して均一な L3 OOB サポートを確保しながら、VLAN プロファイルを使用して VLAN 名から VLAN ID へのマッピングを解決できます。VLAN プロファイルとポート プロファイルによって、VLAN 名から VLAN ID へのマッピングのセットに基づいてユーザ セッションのアクセス VLAN が指定されます。ネットワーク上にリモート ユーザの単一アクセス ポイントがある場合、VLAN プロファイルが果たす役割はほとんどありません。しかし、ネットワークに 2 つ、3 つ、あるいは多数のアクセス ポイントがある場合、VLAN プロファイルを使用して、システムで設定されているユーザ プロファイルに関連付けられたユーザ フレンドリな VLAN 名割り当てに基づいて、リモート ユーザに動的にアクセス VLAN ID を割り当てることができます。

リモート ユーザが認証のためにネットワークにアクセスすると、Cisco NAC アプライアンスはネットワーク アクセスを許可する前にユーザ セッションを認証 VLAN に割り当てます。ユーザが認証されると、CAM はデフォルト アクセス VLAN、ユーザ ロール VLAN、または初期ポート VLAN 定義に基づいて VLAN ID を管理対象ポートに割り当てるようにアクセス スイッチ(ユーザがネットワークのアクセスに使用しているスイッチ)に指示します。

VLAN 名から VLAN ID へのマッピング基準を決定するには、2 つの方法があります。

ローカル(CAM)VLAN プロファイルを照会する

アクセス スイッチで VLAN 名から VLAN ID へのマッピングを照会する

ローカル データベースだけ、スイッチ データベースだけ、または両方のデータベースを指定した順序で照会するように CAM を設定できます。ユーザが指定のアクセス ポイントからネットワークにログインし、認証されたとき、ユーザはあるスイッチについては 1 つの VLAN ID を割り当てられ、別のスイッチについては異なる VLAN ID を割り当てられます。図 3-20には、リモート アクセス シナリオにおけるこの機能の例があります。

図 3-20 VLAN プロファイル機能の例

 

1. 朝には、user1 はネットワークにリモート アクセスしようとし、このセッションはスイッチ A 経由で到達します。スイッチ A ではユーザ認証レベルのアクセスができ、user1 は CAM への認証認定書を受けます。

2. 認証要求を受け取ると、CAM は user1 のセッションのアクセス VLAN が、関連するユーザ ロールで定義されていることを検出します。これにより VLAN 名 「VPN_access」が指定されます。

3. CAM は VLAN プロファイル割り当てを照会して 「VPN_access」に対応する VLAN ID を探し、VLAN 5 が指定されたスイッチ A のポート プロファイルに関連付けられた VLAN プロファイルを検出します。

4. user1 は認証され、CAM は VLAN 5 を管理対象ポートに割り当てるようにスイッチ A に指示します。

5. user1 は内部ネットワークへの VPN アクセスを取得します。

6. 午後に、クライアントに訪問中、user1 は再びネットワークへのアクセスを試行しました。ただし、今回 user1 のセッションはアクセス スイッチ B に到達します。

7. 午前中のスイッチ A と同様、スイッチ B はユーザ認証レベル アクセスを許可し、user1 は CAM に認証証明書を渡します。ここでは、ユーザ ロール アソシエーションが同じであるため user1 のセッションのアクセス VLAN は VLAN 名「VPN_access」に指定されます。

8. CAM は VLAN プロファイル割り当てを照会して「VPN_access」に対応する VLAN ID を探します。スイッチ B は関連 CAM スイッチ プロファイル マッピングで使用された別の VLAN ID 割り当てモデルを採用しているため、CAM は VLAN 15 が指定されたスイッチ B のポート プロファイルに関連付けられた VLAN プロファイルを検出します。

9. CAM は VLAN 15 を管理対象スイッチ ポートに割り当てるようにスイッチ B に指示して、user1 に VPN アクセスを許可します。

この例で示すように、VLAN アクセス名は両方のセッションで同じですが、CAM に 2 つの別個の VLAN プロファイルが設定されることにより、user1 はネットワーク上の両方のアクセス ポイントから同じレベルの認証を受けることができます。

図 3-21に、VLAN Profiles List ページを示します。

図 3-21 VLAN プロファイル

 


) ポリシー同期機能によって、OOB ポート プロファイルと VLAN プロファイルはマスター CAM から受信者 CAM にエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。


VLAN プロファイルの追加

新規 VLAN プロファイルを作成するには、次の手順に従います。


ステップ 1 [OOB Management] > [Profiles] > [VLAN] > [New] (図 3-22)に進みます。

図 3-22 新規 VLAN プロファイル

 

ステップ 2 [Profile Name] に、新規 VLAN プロファイルの一意なプロファイル名を指定します。

ステップ 3 (任意) [Description] に、VLAN プロファイルの説明を入力します。

ステップ 4 [VLAN Name Resolution] で、ドロップダウン リストから VLAN 名解決方法を選択します。

[Local Lookup Only]:ローカル マッピングだけを使用可能な解決値として使用して、指定された VLAN 名を解決するように、CAM に指示します。このオプションを選択すると、CAM はアクセス スイッチで使用可能なデータを使用した VLAN 名解決は実行しません。

[Switch Query Preferred]:指定された VLAN 名を解決する場合、まずアクセス スイッチで使用可能なデータを検索し、次に(見つからない場合)VLAN プロファイルで見つかった VLAN 名から VLAN ID へのマッピングで名前を解決するように、CAM に指示します。

[Local Lookup Preferred]:指定された VLAN 名を解決する場合、まず VLAN プロファイルで見つかった VLAN 名から VLAN ID へのマッピングで名前を検索し、次に(見つからない場合)アクセス スイッチで使用可能なデータを検索して名前を解決するように、CAM に指示します。

ステップ 5 [VLAN Name] に、CAM がリモート ユーザへのアクセス許可に使用するアクセス VLAN(VLAN ユーザに割り当てられた「共通」名でネットワークにアクセス可能)の名前を入力します。この機能により、特定の VLAN 番号ではなく VLAN 名を使用して、ユーザがネットワーク アクセスに使用するポートに割り当てるように、CAM がアクセス スイッチに指示する VLAN ID を識別できます。ユーザはさまざまなネットワーク アクセス ポイントにある複数のアクセス スイッチの 1 つからネットワークにアクセスする可能性があるため、VLAN 名から VLAN ID へのマッピング機能を使用して、単一の VLAN プロファイル定義に基づいて特定 VLAN 名をユーザまたはグループ プロファイルに関連付けて、ネットワーク中のさまざまなアクセス デバイスからのアクセスを許可できます。

ステップ 6 [VLAN ID] に VLAN ポリシーの VLAN ID を入力します。これは、ユーザがログインして内部ネットワークへのアクセスを「クリアされた」あと、CAS がリモート ユーザのスイッチ ポートに割り当てるようにスイッチに指示する、実際の VLAN 番号です。VLAN ID はスイッチによって異なることがある(および異なる可能性がある)ため、CAM またはアクセス スイッチ自体で定義された VLAN 名から VLAN ID へのマッピングに基づいて、ユーザまたはグループ プロファイルにアクセスを許可できます。

ステップ 7 [Add] をクリックします。


 

VLAN プロファイルの編集

既存の VLAN プロファイルを編集するには、次の手順に従います。


ステップ 1 [OOB Management] > [Profiles] > [VLAN] > [List] に進みます(図 3-23)。

図 3-23 VLAN プロファイル

 

ステップ 2 更新する既存の VLAN プロファイルの [Edit] アイコンをクリックします。

Edit VLAN Profile ウィンドウ(図 3-24)が表示されます。

図 3-24 VLAN プロファイルの編集

 

ステップ 3 [Profile Name]、[Description] に新しいプロファイル名と説明を入力し、[VLAN Name Resolution] で VLAN プロファイルの別の検索方法を指定し、[Update] をクリックします。

ステップ 4 VLAN 名から VLAN ID へのマッピングを更新するには、次の手順に従います。

a. 新しい VLAN 名から VLAN ID へのマッピングを追加する場合は、[Add a New VLAN Name Mapping] の下の [VLAN Name] と [VLAN ID] に VLAN 名と VLAN ID を追加して、[Map] をクリックします。

b. 1 つ以上の VLAN 名から VLAN ID へのマッピングを再割り当てする場合は、更新するマッピングの [Edit] アイコンをクリックし、[Edit VLAN Name Mapping] の下の [VLAN ID] で新しい VLAN ID を指定して、[Update] をクリックします(図 3-25 を参照)。

図 3-25 VLAN 名マッピングの編集 - VLAN ID

 


 

SNMP Receiver の設定

[SNMP Receiver] フォームでは、MAC 変更通知/MAC 移動通知または linkup/linkdown ユーザ イベントが発生した場合(ユーザがネットワークに物理的に接続した場合など)に、Clean Access Manager で稼動している SNMP Receiver が管理対象のすべてのスイッチから SNMP トラップ通知をどのように受信し応答するのかを設定します。スイッチの設定は、CAM の SNMP Receiver の設定と一致させ、CAMにトラップを送信できるようにしなければなりません。

Cisco NAC アプライアンスは、FIPS 140-2 準拠ネットワークで稼動する CAM で SNMP 管理を設定する際に必要になる、SHA-1 および 3DES 暗号化もサポートします。

SNMP トラップ

このページでは、CAM がすべてのスイッチから受信する SNMP トラップの設定値を定めます。個々のスイッチが SNMP の異なるバージョン(V1、V2c、V3)を使用する可能性があるようなスイッチ グループを制御する場合、Clean Access Manager の SNMP Receiver は異なるバージョンの SNMP の同時使用に対応できます。


ステップ 1 [OOB Management] > [Profiles] > [SNMP Receiver] > [SNMP Trap] の順に進みます(図 3-26を参照)。

図 3-26 CAM SNMP Receiver

 

ステップ 2 [Trap Port on Clean Access Manager] では、デフォルトのトラップ ポート(162)を使用するか、またはここに新しいポート番号を入力します。

ステップ 3 [SNMP V1 Settings] には、SNMP V1 を使用するスイッチで使用される [Community String] を入力します。

ステップ 4 [SNMP V2c Settings] には、SNMP V2c を使用するスイッチで使用される [Community String] を入力します。

ステップ 5 [SNMP V3 Settings] では、次の各フィールドを通じて、SNMP V3 を使用するスイッチに関する設定を行います。

[Security Method (Auth/Priv)] ドロップダウン メニューを使用して、SNMP V3 認証とプライバシーの組み合わせを指定します。

NoAuth、MD5(非 FIPS の場合のみ)、SHA-1

NoPriv、DES(非 FIPS の場合のみ)、3DES


) FIPS 140-2 準拠 CAM に関して認証とプライバシーの組み合わせを指定する場合、使用できる設定は SHA-1 認証と 3DES プライバシー タイプだけです。


[User Name] を入力します。

[User Auth] を入力します。

[User Priv] を入力します。

ステップ 6 [Update] をクリックして設定値を保存します。


 

高度な設定

このページでは、タイムアウトや遅延など、CAM が送受信する SNMP トラップに関する高度な設定を行います。デフォルトの設定値を変更する場合は、次の手順で行います。スイッチが追加および設定されたあと、このページでデフォルト設定を編集できます。

デフォルト SNMP の変更


ステップ 1 [OOB Management] > [Profiles] > [SNMP Receiver] > [Advanced Settings] (図 3-27)に進みます。

図 3-27 SNMP Receiver の Advanced Settings 画面

 

ステップ 2 次のように、オプションの高度な設定を設定します。

[MAC-NOTIFICATION Trap Timeout] (デフォルトは 60 秒):CAM は、受信した MAC 変更通知/MAC 移動通知トラップのタイムスタンプを刻印し、トラップ処理時にタイムスタンプを調査します。タイムスタンプと現在時の時間差が [MAC-NOTIFICATION Trap Timeout] の設定値よりも大きいと、そのトラップは廃棄されます。設定フィールドにより、CAM がタイムリーなトラップだけを処理することが保証されます。

[Linkup Trap Bounce Timeout] (デフォルトは 180 秒):CAM は、リンクアップ トラップを受信したときに、ポートに接続された MAC アドレスを解決しようとします。この時点では、MAC アドレスを入手できない場合もあります。CAM は MAC アドレスを入手できないと、[Linkup Trap Retry Query Interval] フィールドに指定された秒数後に、再度入手を試行します。ポートの制御を維持し、CAM が MAC アドレスの解決を試行する回数を制限するために、CAM は [Linkup Trap Bounce Timeout] に指定された秒数後にポートをバウンスし、スイッチが新しい linkup トラップを生成するように強制します。

[Linkup Trap Retry Query Interval] (デフォルトは 4 秒):CAM は、リンクアップ トラップを受信するとき、ポートに接続された MAC アドレスのスイッチを問い合せる必要があります。それでもなお MAC アドレスを取得できなければ、CAM は、[Linkup Trap Retry Query Interval] フィールドに指定されている秒数だけ待ってから、再試行します。

[Port-Security Delay] (デフォルトは 3 秒):スイッチでポート セキュリティがイネーブルにされている場合、VLAN にスイッチが入れられた後、CAM は [Port-Security Delay] フィールドで指定された秒数だけ待機してから、スイッチにポートセキュリティ情報を設定する必要があります。


) DHCP IP アドレスを更新するためには、通常、Agent または ActiveX/Java アプレットは VLAN の変更前に DHCP リリースを実行し、VLAN の変更後に DHCP 更新を行います。DHCP リリース、VLAN 変更、DHCP 更新を実行する際の遅延は、設定可能です。詳細については、「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。ポート バウンスの代わりに DHCP リリース/更新を使用する場合は、「認証 VLAN 変更設定へのアクセスの設定」も参照してください。


[DHCP Release Delay] (デフォルトは 1 秒):このフィールドは、ユーザ ログインと DHCP リリースの間に遅延を設定します。

[VLAN Change Delay] (デフォルトは 2 秒):このフィールドは、ユーザ ログインと VLAN 変更の間に遅延を設定します。[DHCP Release Delay] よりも大きい値を設定する必要があります。


) [VLAN Change Delay] 設定は [DHCP Release Delay] より大きい必要がありますが、[DHCP Release Delay] と [DHCP Renew Delay] の持続時間を合わせたものより小さい必要があります。これは、VLAN 変更の前に DHCP リリース、VLAN 変更の後に DHCP 更新が行われるようにするためです。


[Port Bounce Interval] (デフォルトは 5 秒):Port Bounce Interval は、ポートのオフとオンの間の時間遅延です。この遅延は、クライアント マシンが DHCP 要求を発行するときに役立ちます。

[DHCP Renew Delay] (デフォルトは 3 秒):このフィールドは DHCP リリースと DHCP 更新の間の遅延を設定します。[VLAN Change Delay] から [DHCP Release Delay] を引いた値よりも大きい値を設定する必要があります。

[Redirection Delay without Bouncing] (デフォルトは 1 秒):このフィールドでは、ポート プロファイルでポート バウンシングなしが設定されているポートの、(クライアント ポスチャ評価後の)VLAN 変更と Web ページ リダイレクション間の遅延を設定します。これにより、ポート バウンシングが不要な場合にリダイレクション時間を最小限に抑えることができます。ポート プロファイルで VLAN の変更(Virtual Gateway など)後にポートのバウンシングが不要な場合、このオプション設定により、ここで指定された秒数後(1 秒など)にユーザ ページがリダイレクトされます。

ポートがバウンスされない場合、ユーザが経験する合計リダイレクション間隔は、[Redirection Delay without Bouncing] フィールドの値になります。


) ユーザがログイン/ポスチャ評価後に引き続きログイン ページにリダイレクトされる場合、通常、スイッチがポートの VLAN を(認証からアクセスへ)変更できるようになる前に、Web ページ リダイレクションが行われます。この場合、この問題を解決するために、Redirection Delay を 2 秒または 3 秒に増やします。


[Redirection Delay with Bouncing] (デフォルトは 15 秒):このフィールドは、ポート プロファイルで Bounce the port after VLAN is changed オプションをオンにしたポートについて、(クライアント ポスチャ アセスメントの後)ポート バウンシングと Web ページ リダイレクションの間の遅延を設定します。これにより、ポート バウンシングに要する時間を設定できます。

ポートがバウンスされる場合、ユーザが経験する合計リダイレクション間隔は、[Redirection Delay with Bouncing] と [Port Bounce Interval] の 2 つのフィールドの合計になります。

ポート プロファイルで VLAN の変更後にポートのバウンシングが必要な場合、ユーザ ログイン後、このフィールドで指定された秒数および [Port Bounce Interval] で指定された秒数後に、[Renewing IP address] ページが表示されます。次の例を参考にしてください。

ポート バウンス(5 秒) + リダイレクション遅延(15 秒) = リダイレクション間隔(合計 20 秒)

[SNMP Timeout] (デフォルトは 5 秒):このフィールドは Clean Access Manager が指示したときに、現在(実行中)の設定を保存する管理対象スイッチからの SNMP トラップ メッセージ応答用 SNMP タイアウト値を(秒単位で)指定できるようにします。

ステップ 3 [Update] をクリックして設定値を保存します。


 

スイッチの追加および管理

[OOB Management] > [Devices] > [Devices] タブで表示されるページを使用すると、IP 範囲内の新しい管理対象スイッチの検出と追加、正確な IP アドレスによる管理対象スイッチの追加、制御対象スイッチのリストの管理を行うことができます。新しい管理対象スイッチを追加するには、2 つの方法があります。

「新しいスイッチの追加」

「新しいスイッチの検索」

図 3-28 スイッチのリスト

 

[OOB Management] > [Devices] > [Devices] > [List] で表示されるスイッチ リストには、[New] または [Search] フォームで追加されたすべてのスイッチおよび WLC が含まれています。このリストのスイッチ エントリには、スイッチの IP アドレス、MAC アドレス、説明、スイッチ プロファイルがあります。[Device Group]、[Device Profile]、または [Port Profile] のドロップダウンでリストのエントリをソートすることも、また [Device IP] に入力し、Enter キーを押してアドレスからスイッチまたは WLC を検索することもできます。さらに、このリストにはリンクが 1 つとボタンが 3 つあります。

[Profile]:[Profile] リンクをクリックすると、そのスイッチのプロファイルが表示されます(図 3-15 を参照)。

Config:Config ボタンをクリックすると、そのスイッチの「[Config] タブ」が表示されます。

[Ports]:[Ports] ボタンをクリックすると、そのスイッチの「[Ports] 管理ページ」が表示されます。


) WLC デバイス プロファイルはポート プロファイル設定を使用しません。したがって、[Ports] アイコンはテーブルのどの WLC についても「グレイアウト」されています。


[Delete]:[Delete] ボタンをクリックすると、リストからそのスイッチが削除されます(まず、設定ダイアログが表示されます)。


) ループバック アドレスに基づいてスイッチを追加するとき、[OOB Management] > [Devices] > [Devices List] と進むと、スイッチの MAC アドレス 00:00:00:00:00:00 が表示されます。これは予想された動作です。このインターフェイスに表示された MAC アドレスは、情報を示すだけのためのもので、OOB の機能には影響しません。


新しいスイッチの追加

スイッチの正確な IP アドレスがわかっている場合は、[New] ページを使用してスイッチを追加できます。


ステップ 1 [OOB Management] > [Devices] > [Devices] > [New] に進みます(図 3-29)。

図 3-29 新しいスイッチの追加

 

ステップ 2 [Device Profile] のドロップダウン メニューから、追加するスイッチまたは WLC に適用するスイッチ プロファイルを選択します。

ステップ 3 ドロップダウン メニューからスイッチまたは WLC 用の [Device Group] を選択します。

ステップ 4 [Default Port Profile] のドロップダウン メニューから、デフォルトのポート プロファイルを選択します。通常、デフォルト ポート プロファイルは uncontrolled にします。

ステップ 5 追加するスイッチの [IP Addresses] を入力します。各 IP アドレスは行を分けてください。

ステップ 6 (任意)新しいスイッチの説明を [Description] フィールドに入力します。

ステップ 7 [Add] ボタンをクリックすると、そのスイッチまたは WLC が追加されます。

ステップ 8 [Reset] ボタンをクリックすると、フォームがリセットされます。


 

新しいスイッチの検索

[Search] ページでは、IP 範囲内の非管理スイッチの検索と追加を実行できます。


ステップ 1 [OOB Management] > [Devices] > [Devices] > [Search] に進みます(図 3-30)。

図 3-30 スイッチの検索

 

ステップ 2 [Device Profile] のドロップダウン リストから、デバイス プロファイルを選択します。選択したデバイス プロファイルの read コミュニティ ストリングは、一致する read 設定を持つスイッチの検索に使用されます。

ステップ 3 [IP Range] のテキストボックスに、IP 範囲を入力します。検索に使用できる最大 IP 範囲は 256 です。

ステップ 4 デフォルトでは、[Don't list devices already in the database] チェックボックスはすでにオンになっています。このボックスをオフにすると、すでに追加したスイッチと WLC が検索結果に含まれます。ただし、すでに管理対象となっているスイッチは、各エントリの左にある Commit チェックボックスがディセーブルになっています。

ステップ 5 ドロップダウンから [Device Group] を選択し、検索で見つかった非管理デバイスに適用します。

ステップ 6 ドロップダウンから [Default Port Profile] を選択し、検索で見つかった非管理デバイスに適用します。

ステップ 7 CAM によって管理する各管理対象外デバイスの左にある チェックボックス をオンにします。カラムの一番上にあるチェックボックスをオンにすると、検索された管理対象外デバイス すべて が追加されます。


) 検索に使用したスイッチプロファイルの read コミュニティ ストリングと一致するすべてのスイッチが一覧表示されますが、[Commit] ボタンで追加されるのは、read SNMP バージョンとコミュニティ ストリングが一致するスイッチだけです。スイッチの write SNMP 設定が Clean Access Manager のスイッチ プロファイルでの設定と一致していないと、スイッチを制御することはできません。


ステップ 8 [Commit] ボタンをクリックすると、新しいスイッチが追加されます。これらのスイッチは [OOB Management] > [Devices] > [Devices] > [List] でリストされます。


 

Discovered Clients

図 3-31に、[OOB Management] > [Devices] > [Discovered Clients] > [Wired Clients] ページを示します。Wired Clients ページには、SNMP MAC 変更通知/MAC 移動通知およびリンクアップ/リンクダウン トラップを使用して Clean Access Manager によって検出されたすべてのクライアントがリストされます。このページには、Clean Access Manager が受信した SNMP トラップ情報に基づいて、アウトオブバンド クライアント(VLAN に関係なく)のアクティビティが記録されます。

クライアントが認証 VLAN 上のポートに接続されると、トラップが送信され、Clean Access Manager が Wired Clients ページにエントリを作成します。Clean Access Manager は、クライアントの MAC アドレス、送信元スイッチの IP アドレス、スイッチ ポート番号をアウトオブバンド Discovered Clients リストに追加します。その後、そのクライアントの新しい SNMP トラップ情報を受信するたびに CAM はそのエントリを更新します。

Wired Clients リストからエントリを削除すると、そのアウトオブバンド クライアントのステータス情報が CAM から消去されます。


) CAM が VLAN を変更するスイッチポートを判断するためには、Wired Clients リストにエントリが必要です。Wired Clients リスト内のエントリが削除されると同時にユーザがログインした場合、CAM はそのスイッチ ポートを検出できません。


図 3-31 Discovered Clients

 

このページは、次の要素で構成されています。

[Show clients connected to switch with IP]:デフォルト値である ALL を表示したままにするか、またはドロップダウン メニューから特定のスイッチを選択します。ドロップダウン メニューには、システム内のすべての管理対象スイッチが表示されます。

[Show client with MAC]:特定の MAC アドレスを入力して Enter キーを押すと、特定のクライアントが表示されます。

[Clients/Page]:各ページに 25 エントリが表示されるデフォルト値のままにするか、またはドロップダウン メニューから、[50]、[100]、[200]、または [ALL] を選択して、各ページのエントリ数を設定します。

[Delete All Clients]:このボタンを使用すると、リストのすべてのクライアントが削除されます。

[Delete Selected]:このボタンを使用すると、このページの一番右にあるチェックカラムで選択されているクライアントだけが削除されます。

次のいずれかのカラムの見出しをクリックすると、そのカラムを基準にして検出結果を並び替えることができます。

[MAC]:検出されたクライアントの MAC アドレス。

[IP]:クライアントの IP アドレス。

[Switch]:送信元の管理対象スイッチの IP。IP アドレスをクリックすると、そのスイッチの [OOB Management] > [Devices] > [Switch [IP]] > [Config] > [Basic] ページが表示されます。

[Switch Port]:そのクライアントのスイッチ ポート。ポート番号をクリックすると、そのスイッチの [OOB Management] > [Devices] > [Switch [IP]] > [Ports] 設定ページが表示されます。

[Auth VLAN]:認証(隔離)VLAN。
このカラムに「N/A」と表示されている場合、そのポートが管理対象外であるか、またはこの MAC アドレスの VLAN ID をスイッチから入手できない状態です

[Access VLAN]:クライアントのアクセス VLAN。
このカラムに「N/A」と表示されている場合、そのクライアントのアクセス VLAN ID が入手不能であることを示しています。たとえば、ユーザが認証 VLAN に変更されたのに、Cisco NAC アプライアンスに正常にログインできない(ユーザ証明書が不適切なため)場合、このマシンはアクセス VLAN に到達できません。

[Last Update]:CAM がそのエントリの情報を最終した更新時刻。

アウトオブバンド ユーザの監視に関するその他の事項は、「OOB ユーザ」 を参照してください。

スイッチ ポートの管理

スイッチの追加後、[Ports] タブおよび [Config] タブ/ページが表示されるのは、スイッチが [OOB Management] > [Devices] > [Devices] > [List] に追加された後です。

[Ports] ページは、スイッチ上のポートを一元的に管理する場所です。ポート プロファイルの個別ポートまたは複数ポートへの適用、VLAN 設定の変更、ポートのバウンス、およびすべての変更内容のスイッチ設定への適用を実行できます。

クライアントに接続されないスイッチ ポートには、通常、unmanaged ポート プロファイルが使用されます。クライアントに接続されるスイッチ ポートには、管理対象のポート プロファイルが使用されます。スイッチが MAC 通知をサポートしている場合は、スイッチ ポートを設定し、[Update] ボタンによって設定値を保存したのちに、[Setup] ボタンをクリックして、そのスイッチ ポートを初期化する必要があります。

Cisco NAC アプライアンスは、ポートがトラック ポートでネイティブ VLAN がデータ VLAN であるような Cisco IP Phone の OOB 配置に対応しています。CAM はスイッチのアクセス ポートだけでなく、スイッチのトランク ポートも管理できます。


) Cisco NAC アプライアンスは OOB(リリース 3.6(1) 以降から開始)のスイッチ トランク ポートを制御できるため、アップグレード後に、管理対象スイッチのアップリンク ポートを uncontrolled(非制御)ポートに設定してください。そのためには、次の 2 つの方法のいずれかで実行できます。

アップグレード前に、[OOB Management] > [Devices] > [Devices] > [List] > [Config[Switch_IP]] > [Default Port Profile] | [uncontrolled] で、スイッチ全体の [Default Port Profile] を [uncontrolled] に変更します。

アップグレード後に、[OOB Management] > [Devices] > [Devices] > [List] > [Ports [Switch_IP] | Profile] で、スイッチの適用可能なアップリンク ポートの [Profile] を [uncontrolled] に変更します。

これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる不必要な問題を回避できます。


 

[Ports] 管理ページ

[Ports] 管理ページには、Clean Access Manager がダイレクト SNMP クエリから受け取る情報に従って、スイッチ上のすべてのイーサネット ポートの情報が読み込まれます(図 3-32図 3-33を参照)。たとえば、CAM に追加されたスイッチに 24 のファスト イーサネット ポートと 2 つのギガビット イーサネット アップリンクがある場合、[Ports] タブには各 ポートに 1 つずつ、26 の行が表示されます。[Ports] ページで、スイッチに設定されているトランク ポートは、背景がブルーに表示されるため区別できます。これらのポートの VLAN 値は、トランク ポートのネイティブ VLAN を表しています。

スイッチが MAC 変更通知/MAC 移動通知トラップをサポートしていない場合は、[Setup] ボタン([Set up mac-notification on managed switch ports])と [MAC Not.] カラムはページには表示されません。その場合は、Linkup/Linkdown トラップがスイッチおよび Clean Access Manager でサポートされ、設定されている必要があります。Linkup/Linkdown だけのポートを制御するポート管理ページについては、「個別ポートの管理(Linkup/Linkdown)」を参照してください。

個別ポートの管理(MAC Notification)

ここでは、ポート プロファイルを個々のスイッチ ポートに割り当てて管理する方法について説明します。この方法はポートが少数の場合に有効です。しかし、同一ポート プロファイルを同時に多数のポートに割り当てる場合は、「複数ポートへのポート プロファイルの同時割り当て」を参照してください。

図 3-32 Ports タブ

 

新しいスイッチの追加後、そのスイッチ ポートの [Ports] 設定ページ(図 3-32)で次のように設定を行います。


ステップ 1 [Ports] リストに表示されるスイッチ プロファイルを制限する場合は、検索基準を指定して [Show] をクリックします (P.3-50)

ステップ 2 [Profile] (P.3-52) で、そのポートに使用する管理対象または管理対象外のプロファイルを選択します。

ステップ 3 [Update] (P.3-50) をクリックして、そのポートのポート プロファイルを CAM に保存します。

ステップ 4 [Advanced/Simple] 切り替えボタンをクリックして、スイッチ ポートに使用可能な拡張ポート割り当て機能を表示します。

ステップ 5 スイッチ ポート上の MAC 変更通知または MAC 移動通知(スイッチ上で利用できる場合)を初期化するには、[Setup] (P.3-49) をクリックします。

ステップ 6 [Save] (P.3-49) をクリックして、そのスイッチの実行コンフィギュレーションを、そのスイッチのスタートアップ コンフィギュレーションに保存します。

[Reset All] (初期 VLAN ポート プロファイルのみ)

[Reset All] をクリックすると、そのスイッチのすべてのポートの [Current VLAN] 値 (P.3-51) がコピーされ、これらが [Initial VLAN] 設定(アクセス ポートの場合)およびトランク ネイティブ VLAN 設定(トランク ポートの場合)として CAM およびスイッチの実行コンフィギュレーションに設定されます (P.3-51) 。このボタンを使用すると、スイッチ上のすべてのポートの初期 VLAN を同時に変更できます。確認プロンプトで [OK] をクリックすると、値がリセットされます。

 

[Set New Ports] (初期 VLAN ポート プロファイルのみ)

[Set New Ports] (図 3-32)をクリックすると、既存のポートの設定値は変更されませんが、そのスイッチの新しいポートの [Current VLAN] 値が新しいポートにコピーされ、[Initial VLAN] 設定(アクセス ポートの場合)およびトランク ネイティブ VLAN 設定(トランク ポートの場合)として、CAM およびスイッチの実行コンフィギュレーションに設定されます。このボタンは、スイッチに新しいポートを追加した場合、たとえばCatalyst 4500 シリーズ ラックに新しいブレードを追加した場合などに便利です。この場合、新しいポートが追加されたときに [Initial VLAN] カラムには「N/A」と表示されます。[Set New Ports] をクリックすると、すべての「N/A」ポートについて、[Current VLAN] カラムから [Initial VLAN] カラムにこれらの値がコピーされ、これらの値が CAM とスイッチに設定されます。スイッチの既存のポートの初期 VLAN 値(「N/A」以外)は変更されません。確認プロンプトで [OK] をクリックし、新しい値を設定します。

 

[Setup] ボタン(MAC 通知スイッチのみ) (5)

スイッチが MAC 変更通知/MAC 移動通知トラップをサポートしている場合、CAM のアップデート後に [Setup] ボタンをクリックし、管理対象スイッチ ポートに MAC 通知を設定し、そのスイッチの実行コンフィギュレーションを保存します。[OK] をクリックすると、そのスイッチのポートが初期化されます。

 

[Save] (6)

[Save] ボタンをクリックすると、実行コンフィギュレーションがスイッチの不揮発性メモリ(スタートアップ コンフィギュレーション)に保存されます。確認プロンプトで [OK] をクリックします。

 


) [Save] ボタンをクリックするまで、スイッチのスタートアップ コンフィギュレーション内でのそのポートの VLAN 割り当ては変更されません。


[Update] (3)

該当するポート プロファイルを選択して、管理対象ポートを設定したら、[Update] ボタンをクリックして、設定値を CAM に保存する必要があります。[Update] をクリックすると、次のことが実行されます。

そのポートのプロファイルが CAM データベースに保存される。

そのポートの Notes カラムの情報が CAM データベースに保存される。

ポート プロファイルで、[Initial Port VLAN] がアクセス VLAN として設定され、[Change to Access VLAN if the device is certified and in the out-of-band user list] が選択されている場合は、[Update] をクリックすると、さらに次のことも実行されます。

そのポートの [Initial VLAN] カラムの値が CAM データベースに保存される。

そのポートの [Current VLAN] 値が変更された場合は、そのポートの新しい VLAN ID がスイッチの実行コンフィギュレーションに保存される。

[Show] (1)

[Ports] タブ ビューに表示されるスイッチ ポートの範囲を狭めるために、[Search For] フィルタリング機能を使用して検索基準を指定し、検索対象のテキスト文字列を指定できます。次を指定することができます。

検索する情報タイプ:[Port Name] または [Port Description]

情報修飾子:[equals]、[starts with]、[ends with]、または [contains] の中から選択

検索を定義するテキスト文字列(次の例では「/11」)

検索基準を指定したら、[Show] をクリックします。

 

[Name]

ポート名。例:Fa0/1、Fa0/24、Gi0/1、Gi0/21(シスコ製スイッチの場合)

[Index]

スイッチ上のポート番号。例:1、24、25、26

[Description]

ポートのタイプ。例:FastEthernet0/1、FastEthernet0/24、GigabitEthernet0/1、GigabitEthernet0/2

[Status]

ポートの接続状態

グリーンのボタンは、そのポートにデバイスが接続されていることを示しています。

レッドのボタンは、そのポートにデバイスが接続されていないことを示しています。

[Bounce]

このボタンをクリックすると、初期化された管理対象ポートがバウンスされます。ポートがバウンスされる前に確認メッセージが表示されます。この機能を使用できるのは、管理対象ポートに対してだけです。接続されていても管理対象外のポートはバウンスできません。トランク ポートの場合は、デフォルトでこの機能がディセーブルになっています。

 

[Initial VLAN] (初期 VLAN ポート プロファイルのみ)

CAM に保存されているこのポートの初期 VLAN 値。このカラムを使用できるのは、その管理対象ポート プロファイルのアクセス VLAN として [Initial Port VLAN] が設定され、[Change to Access VLAN if the device is certified and in the out-of-band user list] が選択されている(「ポート プロファイルの追加」を参照)の場合だけです。スイッチ追加時には、このカラムは Current VLAN カラムと一致しています。スイッチに新しいポートが追加された場合、[Set New Ports] ボタンがクリックされるまで( (P.3-49) )、このカラムには「N/A」が表示されます。

ポートの初期 VLAN を変更するには、次のようにします。

a. そのポートのポート プロファイルのアクセス VLAN として [Initial Port VLAN] が設定され、[Change to Access VLAN if the device is certified and in the out-of-band user list] が選択されていることを確認します。

b. そのポートの変更後の VLAN を [Initial VLAN] フィールドに入力します。

c. [Update] ボタンをクリックして、変更した設定を CAM に保存します。

「[Reset All] (初期 VLAN ポート プロファイルのみ)」「[Set New Ports] (初期 VLAN ポート プロファイルのみ)」、および 「[Save] (6)」も参照してください。

Current VLAN

そのポートに割り当てられている現行の VLAN ID。新しいスイッチの追加時には、Current VLAN カラムには、ネットワーク管理者がそのスイッチにあらかじめ設定した VLAN 割り当て値が表示されます。その後、このカラムの値は変化し、そのスイッチの現行 VLAN 割り当てが表示されます(保存されている VLAN 割り当てとは限りません)。トランク ポートの場合、現行 VLAN は、そのトランク ポートのネイティブ VLAN です。

ポートの現行 VLAN 割り当てを変更するには、次のようにします。

a. そのポートの変更後の値を [Current VLAN] フィールドに入力します。

b. [Update] ボタンをクリックして、変更した設定を CAM とスイッチの実行コンフィギュレーションに保存します。

c. [Save] ボタンをクリックして、そのスイッチの実行コンフィギュレーションを、スタートアップ コンフィギュレーションに保存します。

「[Reset All] (初期 VLAN ポート プロファイルのみ)」「[Set New Ports] (初期 VLAN ポート プロファイルのみ)」、および 「[Save] (6)」も参照してください。

[MAC Not.]

MAC 通知機能。このカラムがある場合、スイッチは SNMP MAC 変更通知/MAC 移動通知トラップを使用しています。スイッチが MAC 通知トラップをサポートしていない場合、または Advanced configuration ページ(「[Advanced]」を参照)で Linkup Notification が選択されている場合は、[MAC Not.] カラムと [Setup] ボタンは [Ports] 設定ページに表示されません。この場合は、Linkup/Linkdown トラップを使用する必要があります。

[MAC Not.] カラムに(グリーンのチェック)が表示されるのは、スイッチの該当ポートでこのトラップがイネーブルになっている場合です。

(グレーの x)が表示されるのは、そのポートでこのトラップがイネーブルになっていないか、またはそのポートが管理対象外の場合です。

(グリーンのチェックまたはグレーの x とレッドの感嘆符(!))が表示されるのは、スイッチ上のポートの設定と Clean Access Manager 上のポートの設定に不一致がある場合です。スイッチに設定を保存する前に不一致を解決するように促すため、[Update] のクリック後、[Setup] をクリックするまでの間、感嘆符が表示されます。

[Client MAC]

このボタンをクリックすると、このポートに接続されているクライアントの MAC アドレス、そのスイッチの IP アドレス、クライアントが接続されているポートの名前を示すダイアログ ボックスが表示されます。管理対象ポートの場合は、接続されているクライアント デバイスごとに MAC アドレスが 1 つだけ表示されます。管理対象外のポートの場合は、そのポートに関連付けられているすべての MAC アドレスがこのダイアログ ボックスに表示されますが、これらの MAC アドレスがデバイス上にあるというわけではありません(他のスイッチ上にある可能性もあります)。

 


) 特定のポートに接続されている MAC アドレスは、そのポートのアクセス VLAN が VLAN データベース内にないと、入手できない場合があります。これは、シスコ製スイッチの一部のモデル(6506、IOS Version 12.2(18) SXD3など)で発生します。


[Profile] (2)

CAM からポートを制御するには、ドロップダウン メニューから管理対象のポート プロファイルを選択してから、[Update] と [Setup] をクリックします。クライアントが接続されているポートから SNMP トラップを取得できるようにするために、これらのポートに管理対象ポート ファイルを適用します。プロファイルはトランク ポートにも適用できます。他のポートはすべて管理対象外にしなければなりません。ポート プロファイルは [OOB Management] > [Profiles] > [Port] > [New] であらかじめ設定されている必要があります(「ポート プロファイルの設定」を参照)。ドロップダウン リストには、必ず 2 つのオプションがあります。1 つは uncontrolled、もう 1 つは Default [] です。最初は、すべてのポートに Default[uncontrolled] ポート プロファイルが割り当てられます。この Default [] ポート プロファイルの割り当ては、[OOB Management] > [Devices] > [Config] タブで変更できます。


) Cisco NAC アプライアンス OOB はスイッチ トランク ポートを制御できるため、アップグレードする際、管理対象スイッチのアップリンク ポートを 「uncontrolled」(非制御)ポートに設定してください。そのためには、アップグレード前に [OOB Management] > [Devices] > [Devices] > [List] > [Config[Switch_IP]] > [Default Port Profile] (「[Config] タブ」を参照)でスイッチ全体のデフォルト ポート プロファイルが 「uncontrolled」になっていることを確認するか、またはアップグレード後に Ports 設定ページでスイッチの該当アップリンク ポートの Profileを 「uncontrolled」に変更します。このようにすれば、スイッチのデフォルト ポート プロファイルが管理/制御対象ポート プロファイルに設定された場合に生じる不必要な問題を回避できます。


(注)

このフィールドには、設定するポートの説明を入力できます(任意)。[Update] をクリックすると、このフィールドの情報が CAM に保存されます。

個別ポートの管理(Linkup/Linkdown)

スイッチが MAC 変更通知/MAC 移動通知トラップをサポートしていない場合は、[MAC Not.] カラムと [Setup] ボタンはこのページには表示されません(図 3-33 を参照)。その場合は、Linkup/Linkdown トラップがスイッチおよび Clean Access Manager でサポートされ、設定されている必要があります。

Linkup/Linkdown トラップの使用に関する詳細は、「[Advanced]」を参照してください。

図 3-33 Ports タブ - Linkup/Linkdown

 

複数ポートへのポート プロファイルの同時割り当て

スイッチ設定に、同じポート プロファイル割り当てによってリモート ユーザにネットワークへの認証およびアクセスを提供する多数のアクセス ポートが含まれる場合は、[OOB Management] > [Devices] > [Switch [x.x.x.x]] > [Ports] > [Manage] ページを使用して、同じポート プロファイルを複数のスイッチ ポートに同時に割り当てることができます。ポート プロファイルを割り当てるべきポートが 2 ~ 3 個しかない場合は、「個別ポートの管理(MAC Notification)」の手順を参照してください。


ステップ 1 [OOB Management] > [Devices] > [Switch [x.x.x.x]] > [Ports] > [Manage] の順に進みます(図 3-34を参照)。

図 3-34 [OOB Management] > [Devices] > [Switch [x.x.x.x]] > [Ports] > [Manage]

 

ステップ 2 [Member Switch Ports of Port Profile] ドロップダウン メニューから、対象スイッチ ポートに割り当てる既存のポート プロファイルを選択します。

ステップ 3 [Available Switch Ports] リストで、指定したポート プロファイルを割り当てる 1 つ以上のスイッチ ポートを強調表示します。

ステップ 4 [Join>>] をクリックします。

ステップ 5 スイッチ ポート上の MAC 変更通知または MAC 移動通知(スイッチ上で利用できる場合)を初期化するには、[Setup] (P.3-49) をクリックします。

ステップ 6 [Save] (P.3-49) をクリックして、そのスイッチの実行コンフィギュレーションを、そのスイッチのスタートアップ コンフィギュレーションに保存します。


 

[Config] タブ

[Config] タブを使用すると、特定のスイッチの [Basic]、[Advanced]、[Group] のプロファイル設定を変更できます。

[Basic]

[Advanced]

[Group]

[Basic]

[Basic] タブには(図 3-35)そのスイッチの設定値が次のように表示されます。

図 3-35 Basic Config

 

次の値は、スイッチの初期設定から入手されます。

[IP Address]

[MAC Address]

[Location]

[Contact]

[System Info] (そのスイッチの MIB から変換されたシステム情報)

[Device Profile]:[OOB Management] > [Profiles] > [Device] に、このスイッチ設定を使用しているデバイス プロファイルが表示されます。デバイス プロファイルには、モデル タイプ、SNMP トラップを送信する SNMP ポート、read および write の SNMP バージョン、および該当するコミュニティ ストリングまたは認証パラメータ(SNMP V3 Write)が設定されています。

[Default Port Profile]:[Ports] タブ上のスイッチの未設定ポートに適用されるデフォルト ポート プロファイルが表示されます。ここで設定値を変更しなければ、すべてのポートの初期のデフォルト プロファイルは、「uncontrolled」になります。デフォルト ポート プロファイルを変更するには、ドロップダウン メニューから別のプロファイルを選択し、[Update] をクリックします。


) Cisco NAC アプライアンス OOB はスイッチ トランク ポートを制御できるため、アップグレードする際、管理対象スイッチのアップリンク ポートを 「uncontrolled」(非制御)ポートに設定してください。そのためには、アップグレード前にここでスイッチ全体のデフォルト ポート プロファイルが [uncontrolled] になっていることを確認するか、アップグレード後に [OOB Management] > [Devices] > [Devices] > [List] > [Ports [Switch_IP]] | [Profile] (「[Ports] 管理ページ」を参照)でスイッチの該当するアップリンク ポートのプロファイルを [uncontrolled] に変更します。これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる不必要な問題を回避できます。


[Description]:スイッチの説明(任意)。このフィールドを変更するには、新しい説明を入力し、[Update] をクリックします。

[Advanced]

Advanced Config ページ(図 3-36)を使用すると、特定のスイッチポートに対して CAM SNMP Receiver が使用する SNMP トラップ通知タイプを表示し、設定することができます。

[MAC Notification]:スイッチが MAC 通知をサポートする場合、CAM はこのオプションを自動的にイネーブルにします。


) さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンス は、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。


[Linkup Notification]:スイッチが MAC 通知をサポートしていない場合、CAM は代わりに Linkup Notification オプションをイネーブルにします。この場合、スイッチがこの機能をサポートしていると、管理者はオプションでスイッチの [Port Security] をイネーブルにできます。詳細については、「[Port Security]」を参照してください。

スイッチが [MAC Notification] と [Linkup Notification] の両方をサポートしている場合、管理者は [Linkup Notification] を代わりに選択し、[Update] をクリックすることで、オプションで MAC 通知をディセーブルにできます。

図 3-36 Advanced Config

 

Linkup/Linkdown は、スイッチ上のグローバル システム設定であり、接続が非稼動状態か稼動状態であるかを追跡します。Linkup/Linkdown トラップ方式を使用する場合、Clean Access Manager は各ポートをポーリングし、ポート上のMACの数を判断しなければなりません。

Linkdown トラップ

クライアント マシンのシャットダウンまたは再起動が発生すると、そのスイッチから CAM に linkdown トラップが送信されます(ポート プロファイルによってスイッチと CAM に linkdown トラップが設定されている場合)。その後のクライアント ポートの動作は、そのポートのポート プロファイルの設定によって決まります。

SNMP Receiver が MAC 通知と Linkup のどちらに設定されていても、CAM はユーザの削除に linkdown トラップを使用します。linkdown トラップが使用されるのは、次のような場合です。

OOB オンライン ユーザが削除され、ポート プロファイルに [Kick Out-of-Band online user when linkdown trap is received] オプションが設定されている場合

そのスイッチで [Port Security] がイネーブルになっている場合

[Port Security]

[Port Security] は、ポートにアクセスできるステーションの MAC アドレスを制限および接続してインターフェイスへの入力を制限するスイッチ機能です。

SNMP 制御方式を [Mac Notification] から [Linkup Notification] に変更するとき( Port Security のイネーブル設定 を参照)、スイッチがこの機能をサポートする場合、[Port Security] のチェックボックスが [Advanced] ページに表示されます(図 3-37を参照)。Linkup 通知を使用する場合、Port Security 機能は、ユーザが認証するときにポートが 1 つの MAC アドレスだけを使用できるようにして、セキュリティを向上できます。たとえそのポートがハブに接続されていても、トラフィックの送信が許可されるのは、最初に認証された MAC だけです。Port Security 機能を使用できるかどうかは、スイッチ モデルと使用する OS によって決まります。

CAM で Port Security をイネーブルにするとき、スイッチ設定はただちには変更されません。代わりに、次のクライアントがそのポートに接続するときに、スイッチがポートに設定を追加し、これによってその MAC アドレスについての Port Security がオンになります。他の接続が試みられた場合、スイッチは、その MAC アドレスをそのポートへの接続が許される唯一の MAC アドレスとして追加します。

Port Security のイネーブル設定


ステップ 1 [OOB Management] > [Devices] > [List] に進み、制御するスイッチの [Config] ボタンをクリックします。

ステップ 2 [Config] タブで、[Advanced] リンクをクリックします。

ステップ 3 [Linkup Notification] のオプションをクリックします。スイッチが機能をサポートする場合、[Port Security] のチェックボックスが表示されます。

ステップ 4 [Enable] のチェックボックス([Port Security] 用)をクリックします。

ステップ 5 [Update] をクリックします。

ステップ 6 プロンプト(図 3-37)が表示され、[Do you want to clear the mac-notification settings on the switch too? Press CANCEL to update without clearing the mac-notification settings on the switch.] というメッセージが表示されます。

[OK] をクリックすると、CAM は Port Security 設定を保存し、「 snmp-server enable traps mac-notification 」という行がスイッチ設定から削除されます。

[Cancel] をクリックすると、CAM は Port Security 設定を保存し、「 snmp-server enable traps mac-notification 」という行はスイッチ設定から削除されません。管理者が後で MAC 通知制御を変更する予定がある場合、このオプションはその際に保存できます(詳細は、「MAC 通知の再イネーブル」を参照)。

図 3-37 CAM から Port Security をイネーブル設定

 


) • [Port Security] をイネーブルにできるのは、ポートが Access モードに設定されている(Trunk モードではない)場合だけです。

[Port Security] がイネーブルになると、特定のポートに接続されている MAC アドレスが入手できなくなる場合があります。これは、シスコ製スイッチの一部のモデル(4507R、IOS Version 12.2(18) EW など)で発生します。

ハイ アベイラビリティを使用する場合は、CAS および CAM が接続されているスイッチのインターフェイスで [Port Security] がイネーブルに設定されてい ない ことを確認してください。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。


 

MAC 通知の再イネーブル


ステップ 1 [OOB Management] > [Devices] > [List] に進み、制御するスイッチの [Config] ボタンをクリックします。

ステップ 2 [Config] タブで、[Advanced] リンクをクリックします。

ステップ 3 [Mac Notification] のオプションをクリックします。

ステップ 4 [Update] をクリックします。

ステップ 5 プロンプト(図 3-38)が次のメッセージを表示します。[The running configuration of this switch needs to be updated.Do you want to update the switch running configuration?]

[OK] をクリックすると、実行中の設定がスイッチでアップデートされます。

[Cancel] をクリックすると、[Ports] ページで制御対象ポートを再設定する必要があります(「個別ポートの管理(MAC Notification)」を参照)。

図 3-38 CAM から MAC 通知に復帰

 


 

[Group]

このページには、Clean Access Manager に設定されているすべてのグループ プロファイルと、現在そのスイッチが加入しているグループ プロファイルが表示されます。スイッチを他のグループに追加したり、加入しているグループからスイッチを削除したりすることが可能です。すべてのスイッチのグループ メンバーシップを変更する場合は、[OOB Management] > [Profiles] > [Group] に進みます(「グループ プロファイルの設定」を参照)。

図 3-39 Config Group

 

認証 VLAN 変更設定へのアクセスの設定


注意 Access to Authentication VLAN Change Detection(認証 VLAN 変更設定へのアクセス)機能は、クライアント DHCP IP 更新が必要な OOB 配置にだけ使用してください。DHCP 更新は [Administration] > [User Pages] > [Login Page] > [List] > [Edit] > [General] | [Use web client to release and renew IP address when necessary (OOB)] で設定します。OOB 配置がポート バウンシングを使用するとき、この機能は不用であり、設定してはなりません。詳細については、「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。

認証 VLAN に割り当てられたままのインバンド クライアントと OOB クライアントの場合、Agent は SWISS ディスカバリ パケットを使用して、CAS との接続を確認します。クライアント マシンが OOB ネットワークにあり、CAS と直接通信することがもはやない場合は、クライアントがまだ Access VLAN にあるか、または認証 VLAN に移動されたかを判定するために、追加設定が必要です。バージョン 4.1.3.0 以前の Agent では、クライアント ポートがアクセス VLAN から認証 VLAN にスイッチしたことを識別できず、Agent に DHCP リリース/更新の実行を強制して新しい IP アドレス割り当てを取得するため、クライアント マシンの DHCP リースの無効化が必要になります。

Cisco NAC アプライアンス管理者がユーザを締め出す必要がある(セッションを認証 VLAN に戻す)ときに OOB ユーザがネットワーク接続を保てるように、Cisco NAC アプライアンス システムが DHCP リリース/更新を使用して Agent の IP アドレスを更新するように設定できます。

この VLAN 変更検出は、次のシナリオに適用されます。

L3 OOB(Real-IP またはバーチャル ゲートウェイ)

L2 OOB Real-IP ゲートウェイ

ユーザロールをベースにした VLAN 割り当てのある L2 OOB バーチャル ゲートウェイ

Agent が変更を検出すると、クライアント マシンは DHCP リリース/更新を使用して IP アドレスを自動的に更新します。デフォルトで、Agent は、スイッチ上の VLAN 割り当てについて 5 秒ごとに自動的にポーリングします。この間隔を増減するには、「VlanDetectInterval」クライアント設定を調整します。

ユーザがログアウトし、クライアント ポートがアクセス VLAN から 認証 VLAN に変更されたとき、クライアント IP の変更を必要とする OOB 配置の場合、クライアント マシンの IP アドレスも認証 VLAN から割り当てられるように変更する必要があります。OOB では、ユーザがアクセス VLAN にあるとき、Agent は CAM または CAS と通信しなくなります。このため、CAM がクライアント ポート用の VLAN を変更した時点を Agent は認識しません。CAM はクライアントで IP アドレスを変更するようポートをバウンスできますが、このソリューションは音声サービスを妨害する可能性があるため、IP 電話環境には推奨できません。

Cisco NAC Agent をインストールした Windows クライアントで認証 VLAN 変更検出へのアクセスのサポートをイネーブルにし、設定を指定するには、以下を実行します。


ステップ 1 使用中のネットワークおよび NACAgentCFG.xml Agent コンフィギュレーション ファイルで認証 VLAN 変更検出へのアクセス機能をイネーブルにするために、「RetryDetection」、「PingArp」、「PingMaxTimeout」、または「VlanDetectInterval」の各パラメータに対して指定する設定を決定します (「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」 を参照)。

ステップ 2 Windows で Cisco NAC Agent を適切に動作させるために使用する設定を指定したら、 NACAgentCFG.xml Agent コンフィギュレーション ファイルをローカルに保存し、CAM にアップロードしてから、Windows クライアント マシンのユーザが次に Cisco NAC アプライアンスで認証を行うときにこの新しいバージョンを使用できるようにします(詳細については、「[Installation] ページ」を参照してください)。


) Cisco NAC Agent は、初期インストール時にだけクライアント マシンに対する管理権限を必要とします。Cisco NAC Agent がクライアント マシンに正しくインストールされた後は、管理権限を持っていないユーザも認証 VLAN 変更検出へのアクセスなどの機能を実行できます。



 


Windows および Mac OS X の Clean Access Agent クライアント マシンでの「VlanDetectInterval」の設定に関する詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください。


OOB ユーザ

OOB ユーザ セクション

次のトリガは、OOB がいつログオフしたかを検出し、再評価を行います。

リンクダウン SNMP トラップ(ユーザがプラグを抜いたとき、またはリブートしたとき)

MAC 通知トラップ


) さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンス は、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。


認証済みタイマーの期限切れ

セッション タイマーの期限切れ

CAM からの手動削除

詳細については、「イベント ログの意味」および「証明済みデバイスの管理」も参照してください。

有線および無線 OOB ユーザ リストの概要

表 3-3 に、アウトオブバンド ユーザの追跡用のリストを示します。

 

表 3-3 アウトオブバンド ユーザ リストの概要

ユーザ リスト
説明

In-Band Online Users

[In-Band Online Users] リスト(図 11-14)では、ネットワークにログインしたインバンド ユーザが追跡されます。

ユーザが Web ログインまたは Agent を通じてネットワークにログインすると、CAM はこのリストにクライアントの IP アドレスまたは MAC アドレス(該当する場合)を追加します。

このオンライン ユーザ リストからユーザを削除すると、そのユーザはインバンド ネットワークからログオフされます。

[Certified Devices List]

[Certified Devices List](図 11-10)には、アウトオブバンドかインバンドかに関係なく、Agent の要件を満たしている「証明済みの」全クライアント デバイスの MAC アドレスが表示されます。

クライアント デバイスがポスチャ評価を通過し、Agent の要件を満たすと、CAM はクライアント MAC アドレスを Certified Devices List に追加します。

Certified Devices List からクライアントを削除すると、次のことが実行されます。

[In-Band Online Users] リストからインバンド ユーザが削除される。

[Out-of-Band Online Users] リストから OOB ユーザが削除され(これにより、ポートはアクセス VLAN から認証 VLAN に変更される)、ポート プロファイルで [Remove out-of-band online user without bouncing the port] がオンになっていない限り、そのポートがバウンスされる。

[Wired Clients] と [Wireless Clients]

[Wired Clients] と [Wireless Clients] には(図 3-31図 4-17を参照)、CAM が受信する SNMP トラップ情報に基づいて、(VLAN に無関係に)OOB クライアントのアクティビティが記録されます。

Wired OOB クライアントの場合、CAM は、スイッチからクライアントの SNMP 情報を受信すると、アウトオブバンドの Discovered Clients リストにそのクライアントの MAC アドレス、送信元スイッチの IP アドレス、スイッチ ポート番号を追加します。そのクライアントの新しい SNMP トラップ情報を受信するたびに CAM はそのエントリを更新します。

Wireless OOB クライアントの場合、CAM は「クライアント」の MAC アドレス、IP アドレス、関連付けられた WLC、Access Point MAC アドレス、および認証(Quarantine)とアクセス VLAN 割り当てを Wireless Clients に追加します。その後、無線クライアントの新しい SNMP トラップ情報を受信するたびに CAM はそのエントリを更新します。

Wired Clients または Wireless Clients リストからエントリを削除すると、その OOB クライアントのステータス情報が CAM から消去されます。

(注) Wired OOB クライアントの場合、CAM が VLAN を変更するスイッチ ポートを判定するために、Wired Clients リストにエントリがなければなりません。Discovered Clients リスト内のエントリが削除されると同時にユーザがログインした場合、CAM はそのスイッチ ポートを検出できません。

Out-of-Band Online Users

[Out-of-Band Online Users] リスト(図 11-15)では、アクセス VLAN 上(信頼ネットワーク上)のすべての認証済みアウトオブバンド ユーザが追跡されます。

クライアントがアクセス VLAN に切り替えられた後、CAM はそのクライアントの MAC アドレスを OOB Online Users リストに追加します。

(注) OOB オンライン ユーザの「User IP」は、認証 VLAN 上のユーザの IP アドレスです。定義上は、Cisco NAC アプライアンスはユーザが一旦アクセス VLAN 上に配置されると、そのユーザを追跡しません。したがって、OOB ユーザは Cisco NAC アプライアンス ネットワーク内に存在する間、認証 VLAN IP アドレスによって追跡されます。

ユーザが OOB Online Users リストから削除されると、CAM はスイッチまたは Wireless LAN Controller にポートの VLAN をアクセス VLAN から認証 VLAN に変更するように指示します。

(注) Wired OOB クライアントの場合、Cisco NAC アプライアンス システムが OOB クライアント セッションを終了し(たとえば、システム管理者がユーザを「キック」アウトせざるを得ない場合)、スイッチがクライアント のアクセス ポート 用の VLAN 割り当てをアクセス VLAN から本来の認証 VLAN へ変更する場合、クライアント マシンは VLAN 変更を検出し、設定されている場合は IP アドレスの更新を開始し、ユーザがネットワークに接続されたままであることを確認します。ポーリング方法と設定のガイドラインに関する詳細は、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。

さらに、ポート プロファイル(Real-IP ゲートウェイ)に [Bounce the port after VLAN is changed] が選択されている場合は、次も実行されます。

1. CAM がスイッチ ポートをバウンスします(オフおよびオン)。

2. スイッチが CAM に SNMP トラップを再送信します。

3. CAM は、受信した SNMP MAC 変更通知/MAC 移動通知または linkup トラップから、スイッチ ポートに接続されているデバイスを検出します。

4. デバイスが証明済みでない場合、ポートには認証 VLAN が割り当てられます。

5. CAM はポート プロファイルの設定に従ってポートの VLAN を変更します。

OOB のトラブルシューティング

「アップグレード後の OOB スイッチ トランク ポート」

「Unable to Control <Switch IP>」

「OOB Error: connected device <client_MAC> not found」

アップグレード後の OOB スイッチ トランク ポート

Cisco NAC アプライアンスは OOB(リリース 3.6(1) 以降より開始)のスイッチ トランク ポートを制御できるため、アップグレードの前または後に、管理対象スイッチのアップリンク ポートを uncontrolled(非制御)ポートに設定する必要があります(『 Release Notes for Cisco NAC Appliance, Version 4.7(1) 』の「Settings That May Change With Upgrade」を参照)。

そのためには、次の 2 つの方法のいずれかで実行できます。

アップグレード前に、[OOB Management] > [Devices] > [Devices] > [List] > [Config [Switch_IP]] > [Default Port Profile] | [uncontrolled] で、スイッチ全体の [Default Port Profile] を [uncontrolled] に変更します。

アップグレード後に、[OOB Management] > [Devices] > [Devices] > [List] > [Ports [Switch_IP] | Profile] で、スイッチの適用可能なアップリンク ポートの [Profile] を [uncontrolled] に変更します。

これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる不必要な問題を回避できます。

何らかの理由で上述のステップが省略されたためにスイッチが切断された場合、次の手順を実行します。


ステップ 1 スイッチを CAM のスイッチ リストから削除します([OOB Management] > [Devices] > [Devices] > [List])。

ステップ 2 CLI を使用してスイッチを設定し、CAM によってアップリンク ポートに加えられた変更を元に戻します(トランク ネイティブ VLAN および MAC change notification/MAC move notification)。次に、例を示します。

(config-if)# switchport trunk native vlan xxx
(config-if)# no snmp trap mac-notification added
 

ステップ 3 スイッチを CAM に追加し([OOB Management] > [Devices] > [Devices] > [New または Search])、デフォルトのポート プロファイルとして [uncontrolled] を適用します。

ステップ 4 「uncontrolled」ポート プロファイルをアップリンク ポートおよび他の非制御ポートに割り当てます([OOB Management] > [Devices] > [Devices [x.x.x.x]] > [Ports])。

ステップ 5 スイッチのデフォルト ポート プロファイルをリセットします([OOB Management] > [Devices] > [Switches [x.x.x.x]] > [Config])。

スイッチ ポートを初期化します([OOB Management] > [Devices] > [Devices [x.x.x.x]] > [Ports])。


 

Unable to Control <Switch IP>

[OOB Management] > [Devices] > [Devices] > [New] でスイッチを追加する際、[Unable to control "<Switch_IP>"] というエラー メッセージがコンソールに表示された場合:

スイッチ プロファイルがスイッチ タイプと一致していることを確認します。たとえば、スイッチが 3750 であるのにスイッチ プロファイルで 2950 に指定した場合、CAM は 2950 プロファイルを使用して 3750 を追加しようとして失敗します。プロファイルを 3750 に変更すると、この問題は解決します。

SNMP トラップがイネーブルになっていること、および SNMP コミュニティ ストリングがスイッチで適切に設定されていることを確認します。詳細については、「スイッチの設定手順の例」を参照してください。

OOB Error: connected device <client_MAC> not found

スイッチ プロファイルの設定が不適切なために、クライアント接続エラーが発生することがあります。Agent を使用してネットワークにログインしようとした場合に、Agent によって次のエラーが表示されます。「 Login Failed!OOB Error: connected device <client_MAC> not found Please contact your network administration.

[OOB Management] > [Devices] > [Devices] > [New] で、スイッチ プロファイルがスイッチ タイプと一致していることを確認します。

たとえば、スイッチが 3750 であるのに、スイッチを追加するときにスイッチ プロファイル 2950 を指定した場合、CAM が(Agent エラー メッセージで指定された MAC アドレスで)接続しているクライアント用にスイッチから SNMP リンクアップ トラップを受信するときに、CAM はそのスイッチに接続して MAC アドレスを見つけようとします。スイッチに間違ったプロファイルが指定されている場合、または CAM でスイッチがまだ設定されていない場合、CAM はそのスイッチに接続できません。スイッチ プロファイルを 3750 に変更すると、この問題は解決します。