Cisco NAC アプライアンス - Clean Access Server コンフィギュレーション ガイド
CAS の管理対象ネットワークの設定
CAS の管理対象ネットワークの設定
発行日;2012/02/06 | 英語版ドキュメント(2011/08/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

CAS の管理対象ネットワークの設定

概要

CAM への CAS の追加

新しいサーバの追加

IP アドレス指定に関する考慮事項

VLAN がマッピングされたバーチャル ゲートウェイの場合(L2 配置)のその他の注意事項

CAS のリスト

CAS と CAM の間の許可の設定

CAS と CAM の間の許可を設定するための手順の要約

許可をイネーブルにして許可された CAM を指定する

CAS を追加するときのトラブルシューティング

CAS のネットワークの設定

CAS 管理ページの操作

[IP] フォーム

CAS タイプの変更

NAT と Real-IP ゲートウェイ モード間の切り替え

バーチャル ゲートウェイと NAT または Real-IP ゲートウェイ モード間の切り替え

ネットワーク アクセスのイネーブル化(L3、L3 strict または L2 strict)

L3 サポートのイネーブル化

L3 strict モードのイネーブル化

L2 strict モードのイネーブル化

SWISS プロトコルを使用した CAS への接続

SWISS プロトコルとは

Discovery Host

VPN SSO に関する考慮事項

検出遅延につながるネットワーク遅延の問題への対応

帯域幅を節約するためのレイヤ 3 SWISS パケット遅延

クライアント マシン上での複数のアクティブな NIC のサポート

DHCP の設定

ネットワークの DNS サーバの設定

管理対象サブネットまたはスタティック ルートの設定

概要

L2 配置の管理対象サブネットの設定

管理対象サブネットの追加

L3 配置のスタティック ルートの設定

L2 配置用スタティック ルートの設定

スタティック ルートの追加

ARP エントリの設定

ARP エントリの追加

VLAN 設定の概要

バーチャル ゲートウェイ モードでのサブネットベース VLAN 再タグ付けのイネーブル化

バーチャル ゲートウェイ モードでの VLAN マッピング

ネイティブ VLAN、管理 VLAN、ダミー VLAN

インバンドの場合の VLAN マッピング

OOB 用の VLAN マッピング

OOB バーチャル ゲートウェイ モードのスイッチ設定

VLAN マッピングの設定

ローカル デバイスおよびサブネットのフィルタリング

ローカル デバイス アクセス フィルタ ポリシーの設定

アクティブ L2 デバイス フィルタ ポリシーの表示

サブネット アクセス フィルタ ポリシーの設定

CAS フォールバック ポリシー

CAS フォールバックの設定

CAS でのプロキシ サーバ設定

CAS の管理対象ネットワークの設定

この章では、Clean Access Server(CAS)の管理対象ドメインの設定方法について説明します。この章の内容は、次のとおりです。

「概要」

「CAM への CAS の追加」

「CAS のネットワークの設定」

「SWISS プロトコルを使用した CAS への接続」

「DHCP の設定」

「ネットワークの DNS サーバの設定」

「管理対象サブネットまたはスタティック ルートの設定」

「ARP エントリの設定」

「VLAN 設定の概要」

「バーチャル ゲートウェイ モードでの VLAN マッピング」

「ローカル デバイスおよびサブネットのフィルタリング」

「CAS フォールバック ポリシー」

「CAS でのプロキシ サーバ設定」

概要

CAS をインストールしたら、Clean Access Manager(CAM)のドメインに追加する必要があります。CAS を追加すると、その管理対象(非信頼)ネットワークを設定できます。

CAS 管理対象ネットワークの設定には、パススルー ポリシーの設定、管理対象サブネット(非信頼ネットワーク インターフェイスで指定されたアドレス スペースに含まれない管理対象サブネット)の指定、スタティック ルートの設定、およびここに記載されたその他のタスクが含まれます。

CAM への CAS の追加

ここでは、次の内容について説明します。

「新しいサーバの追加」

「IP アドレス指定に関する考慮事項」

「VLAN がマッピングされたバーチャル ゲートウェイの場合(L2 配置)のその他の注意事項」

「CAS のリスト」

「CAS と CAM の間の許可の設定」

「CAS を追加するときのトラブルシューティング」

CAS はほとんどすべての実行時パラメータを CAM から取得するので、CAM のドメインに追加されるまで、動作できません。CAM に追加された CAS は、管理コンソールを介して設定およびモニタできます。

新しいサーバの追加


) CAS を バーチャル ゲートウェイ モード(In-Band(インバンド)または Out-Of-Band(OOB; アウトオブバンド))に設定する場合は、Web 管理コンソールを通じて、CAM への CAS の追加が完了するまで、その CAS の信頼できないインターフェイス(eth1)をディセーブルにするか、またはケーブルを外しておく必要があります。eh1 インターフェイスが接続された状態のままバーチャル ゲートウェイ モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。

VLAN がマッピングされたバーチャル ゲートウェイの場合(インバンドまたは OOB)、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピングが正しく設定されるまで、CAS の信頼できないインターフェイス(eth1)をスイッチに接続しないでください。
詳細については、「VLAN がマッピングされたバーチャル ゲートウェイの場合(L2 配置)のその他の注意事項」を参照してください。


1. Web ブラウザを開き、URL として CAM の IP アドレスを入力して、CAM Web 管理コンソールにアクセスします。

2. [Device Management] モジュールに移動して、[CCA Servers] をクリックします。

 

3. [New Server] タブをクリックして、新しい CAS を追加します。

図 4-1 New Server

 

4. [Server IP address] フィールドに、CAS の信頼できる(eth0)インターフェイスの IP アドレスを入力します。


) CAS の eth0 の IP アドレスは、Management IP アドレスと同じです。


5. [Server Type] ドロップダウン メニューで、CAS をブリッジとして機能させるのか、またはゲートウェイとして機能させるのかを設定します。インバンド処理の場合は、環境に応じて、次の CAS 動作モードの 1 つを選択します。

[Virtual Gateway]:CAS は非信頼ネットワークと既存ゲートウェイ間のブリッジとして機能します。


「VLAN がマッピングされたバーチャル ゲートウェイの場合(L2 配置)のその他の注意事項」を参照してください。


[Real-IP Gateway]:CAS は非信頼ネットワークのゲートウェイとして機能します。

6. OOB 対応ライセンスを Cisco NAC アプライアンス環境に適用すると、ドロップダウン メニューにアウトオブバンド サーバ タイプが表示されます。OOB では、クライアント トラフィックが認証および証明中にインバンド(Cisco NAC アプライアンス ネットワーク内)の間は、CAS はバーチャル ゲートウェイまたは Real-IP ゲートウェイとして機能します。認証および証明されたクライアントは「アウトオブバンド」(Cisco NAC アプライアンス ネットワークを通過しない)と見なされ、信頼ネットワークに直接接続できます。CAS の動作モードを次の中から 1 つ選択します。

[Out-of- Band Virtual Gateway]:認証および証明中は、CAS はバーチャル ゲートウェイとして動作します。その後、そのユーザは OOB に切り替わります(つまり、アクセス ネットワークに直接接続されます)。

[Out-of- Band Real-IP Gateway]:認証および証明中は、CAS は Real-IP ゲートウェイとして動作します。その後、そのユーザは OOB に切り替わります(つまり、アクセス ネットワークに直接接続されます)。

CAM は、そのドメイン内のインバンド CAS と OOB CAS のどちらも制御できます。ただし、 CAS 自体は、インバンドと OOB の いずれか一方 に設定しなければなりません。

インバンド動作モードの詳細については、「CAS の動作モード」を参照してください。OOB 動作モードの詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Switch Management and Configuring Out-of-Band (OOB) Deployment」を参照してください。

7. [Add Clean Access Server] をクリックします。CAM は、ネットワーク上でその CAS を探し、管理対象 CAS のリストに追加します。

IP アドレス指定に関する考慮事項


) • ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。

バーチャル ゲートウェイ(IB または OOB)の場合、CAS が Web コンソール経由で CAM に追加され、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピングが正しく設定された 後に なるまで、CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。


 

Real-IP モードの場合:

CAS の信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)を異なるサブネット上に配置しなければなりません。

スタティック ルートを L3 スイッチまたはルータに追加し、管理対象サブネットのトラフィックを各 CAS の信頼できるインターフェイスにルーティングする必要があります。

DHCP リレーを使用している場合は、管理対象サブネットに戻るルートが DHCP サーバにあることを確認してください。

バーチャル ゲートウェイ モードの場合:

CAS および CAM は異なるサブネット(または VLAN)上に配置する 必要があります

CAS の信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)に、同じ IP アドレスを使用できます。
(注:このアドレスは、L3 スイッチ仮想インターフェイス [SVI] の IP アドレスと同等のアドレスです)

 

ブリッジングされたサブネット内のすべてのエンド デバイスは、CAS の信頼できない側になければなりません。

管理対象サブネットは、CAS で管理されるすべてのユーザ サブネットの CAS で設定されている必要があります。管理対象サブネットを設定する場合、サブネット アドレスではなく、(CAS が使用する)そのサブネットで 未使用の IP アドレスを入力していることを確認してください。

バーチャル ゲートウェイ モードに設定すると、CAS は DHCP パススルーに自動的に設定されます。

クライアントからのトラフィックは、ゲートウェイに到達する前に CAS を通過する 必要があります

OOB バーチャル ゲートウェイ モードの場合:

CAS が OOB バーチャル ゲートウェイである場合、次の点も適用されます。

CAS インターフェイスは CAM と異なるサブネット(または VLAN)に配置しなければなりません。

CAS 管理 VLAN は、ユーザ VLAN やアクセス VLAN とは異なる VLAN に配置しなければなりません。

VLAN がマッピングされたバーチャル ゲートウェイの場合(L2 配置)のその他の注意事項

1. CAS の信頼できる IP アドレスと信頼できない IP アドレスとの通信を行うには、CAS の IP ページ(およびネットワーク構成)で管理 VLAN を設定する必要があります。

2. CAS eth0 および eth1 が接続されたスイッチ ポートのネイティブ VLAN ID は、原則として、本来未使用の 2 つの VLAN ID(999、998 など)に設定する必要があります。ネットワークで使用していないアドレス範囲から、2 つの VLAN ID を選択します。

3. ([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping]で)CAS に VLAN マッピング エントリを設定し、イネーブルにするまでは、CAS の eth1(信頼できないインターフェイス)を接続 しないで ください。詳細は、「VLAN マッピングの設定」を参照してください。

4. CAM がダウンし、CAS が「fail open」状態で VLAN マッピングを実行している場合、CAS をリブートしないでください。これは、CAM がオンラインに戻るまで、VLAN マッピング機能が失われるためです。


注意 スイッチ エラーを回避するには、CAS に VLAN マッピングを正しく設定してから、CAS の eth1 インターフェイスを接続します。そうしないと、スパニング ツリー ループが発生して、スイッチがシャットダウンすることがあります。


) CAS は、イーサネット フレームを受信する必要があり、イーサネットだけを Logical Link Control(LLC; 論理リンク制御)プロトコルとしてサポートします。SNA または IPX などの非 IP プロトコルについては、LLC プロトコルとしてイーサネットが使用され、CAS がバーチャル ゲートウェイ モードであり、VLAN マッピングが存在しない(つまり、エッジ配置モードである)場合にだけ CAS でサポートできます。


CAS のリスト

CAM に CAS を追加すると、[List of Servers] タブに、その CAS が表示されます。

図 4-2 List of Servers

 

各 CAS エントリには、その CAS の IP アドレス、サーバ タイプ、場所、接続状態が表示されます。さらに、次の 4 つの管理制御アイコン、[Manage]、[Disconnect]、[Reboot]、[Delete] が表示されます。CAS の横にある [Manage] アイコンをクリックして、CAS の管理ページにアクセスします。

CAS と CAM の間の許可の設定

CAS を CAM に追加するとき、アプライアンスと拡張されたネットワーク セキュリティの間で相互の許可をイネーブルにすることもできます。

管理者は、CAM の [Authorization] Web コンソール ページを使用して、1 つ以上の CAS の Distinguished Names(DN; 認定者名)を入力し、CAM と CAS の間でセキュアな通信を行うことができます。許可機能をイネーブルにし、1 つ以上の CAS を [Authorized CCA Servers] リストに追加すると、CAM はリストに含まれていない CAS からの通信を受け付けなくなります。そのため、ネットワークでこの機能を採用しイネーブルにする場合には、ネットワーク内のすべての CAS の CAM-CAS 接続を維持するために、 すべての 管理対象 CAS を [Authorized CCA Servers] リストに追加する必要があります。

同様に、CAM と CAS の間で双方向の許可を確立するには、ネットワーク内のすべての CAS に対してこの機能をイネーブルにし CAM DN を指定する必要があります。


) 証明書情報を更新するとサービスが再起動されるため、CAS 上の信頼できる CA を更新するときには、数分間のダウンタイムがあります。これは、CAM と CAS が相互許可を使用して通信し、証明書を変更するときや新たな信頼できる CA をインポートするときに CAS をリブートする必要はないものの、ネットワーク セキュリティのために CAM と CAS の間の接続が「リセット」されるためです。そのため、この種の操作は Cisco NAC アプライアンスのネットワーク トラフィックが非常に少ない時間帯に実行することを推奨します。


CAM または CAS を HA 環境に配置した場合は、HA プライマリ アプライアンスの DN だけを指定することで、HA ペアの HP プライマリ マシンと HA セカンダリ マシンの両方に対して許可をイネーブルにできます。たとえば、CAM が CAS HA ペアを 1 つ管理する場合、CAM の [Authorization] ページ上で HA プライマリ CAS だけをリストに含める必要があります。同様に、CAM HA ペアによって管理されている CAS に対してこの機能をイネーブルにする場合は、CAS の [Authorization] ページで HA プライマリ CAM だけをリストに含める必要があります。

CAS と CAM の間の許可を設定するための手順の要約

1. CAM Web コンソールの [Device Management] > [Clean Access Servers] > [Authorization] で、CAS の許可を設定します(「許可をイネーブルにして許可された CAM を指定する」を参照)。

2. CAS Web コンソールの [Administration] > [Authorization] で、CAM の許可を設定します(『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Enable Authorization and Specify Authorized Clean Access Servers」を参照)。

3. 実稼動環境に配置する前に、CAM および CAS の信頼できる CA が署名した証明書を入手し、[Administration] > [SSL] > [Trusted Certificate Authorities](CAM の場合)および [Administration] > [SSL] > [Trusted Certificate Authorities](CAS の場合)で CAM および CAS にインポートします。

警告 以前の配置で不完全な、正しくない、または順序が不適切な SSL 証明書のチェーンを使用している場合は、リリース 4.5 以降へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 以降にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 以降へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『 How to Fix Certificate Errors on the CAM/CAS After Upgrade 』を参照してください。

4. Cisco NAC アプライアンスのリリースをアップグレードする場合は、CAM の [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] および CAS の [Administration] > [SSL] > [Trusted Certificate Authorities] で信頼できる CA をクリーンアップします(「信頼できる CA の管理」および『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「View and Remove Trusted Certificate Authorities」を参照)。


) CAS の HA ペアで許可機能を使用する場合、1 つの CAS からそのハイ アベイラビリティの相手に許可設定を正確に複製できるようにするため、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従ってください。


許可をイネーブルにして許可された CAM を指定する

許可をイネーブルにして CAM の CAS との許可された通信を指定するには、次の手順を実行します。


ステップ 1 Web ブラウザを開き、URL または アドレス フィールドに CAS の信頼できる(eth0)インターフェイスの IP アドレスを入力します( https:// <CAS_eth0_IP_address> /admin )。次の例を参考にしてください。

https://172.16.1.2/admin
 

ステップ 2 [Administration] > [Authorization] を開きます(図 4-3)。

図 4-3 [Administration] > [Authorization]

 

ステップ 3 [Enable CCA Server Authorization] をクリックして、Cisco NAC アプライアンスの許可機能をオンにします。

警告 [Enable CCA Server Authorization] オプションをクリックする場合は、CAS とセキュアに通信する許可を与える CAM の 1 つ以上の完全な認定者名も必ず入力してください。この機能をイネーブルにし CAM の認定者名を 1 つも入力しないと、ネットワーク内のどの CAM とも通信できなくなります。

ステップ 4 プラス アイコン「+」をクリックし、CAS とセキュアに通信することを許可する CAM の完全な認定者名を入力します。たとえば、「CN=110.21.2.123, OU=cca, O=cisco, L=sj, ST=ca, C=us」というテキスト文字列を [Distinguished Name] フィールドに入力します。


) 認定者名の構文は正確であることが必要です。CAS 上で CAM の正確な名前を指定するために、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] CAM Web コンソール ページの証明書情報テーブルの [CCA Manager Certificate] エントリから CAM DN をコピーし、CAS の [Authorization] ページに貼り付けることを推奨します。


ステップ 5 追加した CAM が CAS と双方向で通信できるようにするため、[Update] をクリックします。

[Update] をクリックすると、CAS で CAS と CAM の間の [Authorized CCA Manager] リストにあるサービスが再起動され、Cisco NAC アプライアンス システムにログインしているユーザが短時間中断されることがあります。


 

CAS を追加するときのトラブルシューティング

CAS を CAM に追加できない場合、次の点を確認してください。

1. CAS から CAM への接続および CAM から CAS への接続を ping します。

a. CAS が ping 不可能の場合、ネットワークの設定に問題があると考えられます。 service perfigo config を使用してネットワーク設定をリセットします。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7 (1) 』の「CAS CLI Commands」を参照してください。

b. ping で CAS に到達できるのに、CAM に追加できない場合は、次の手順を実行します。

CAS の eth1 インターフェイスを物理的に切断します。

2 分間待ってから、CAM の Web コンソールからその CAS を再度追加します。

CAS が正常に追加されたら、CAS の eth1 インターフェイスを物理的に接続します。

2. CAM から CAS への SSH および CAS から CAM への SSH にエラーがないことを確認します。

3. SSL 証明書を確認します。詳細については、このマニュアルの「CAS での一般的な SSL 証明書の設定」および「証明書に関する問題のトラブルシューティング」と、CAS ガイドの対応する部分を参照してください。

4. 製品ライセンスを確認します。OOB を使用している場合、OOB のライセンスを持っていることを確認してください。OOB を実行している場合、Web 管理コンソールの左側のペインに、「スイッチ管理」モジュールが表示されます。アップグレード時には、以前のライセンスがすでに OOB 対応になっている必要があり、そうでない場合は OOB 機能を使用するための新しいライセンスを取得する必要があります。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7 (1) 』と『 Cisco NAC Appliance Service Contract/Licensing Support 』を参照してください。

5. SSH 経由で CAM と CAS の日付と時刻を確認します。日付と時刻の差異は、3 分以内になっている必要があります。

CAS および CAM での時刻を確認するには、 date コマンドを発行します。

CAS および CAM での時刻を変更するには、 service perfigo time コマンドを発行します。

6. CAS が バーチャル ゲートウェイ モードである場合、CAM および CAS が異なるサブネット(または VLAN)上に配置されていることを確認します。

7. CAS が バーチャル ゲートウェイ モードであり、CAS の両方のポートが同一スイッチに接続されている場合は、次の手順を実行します。

a. CAS の eth1 インターフェイスを物理的に切断します。

b. VLAN マッピングを設定します([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping])。

c. 2 分間待機します。

d. CAS の eth1 インターフェイスを物理的に接続します。

8. CAM のイベント ログを確認します([Monitoring] > [Event Logs])。このように確認すると、ライセンスの問題であるか、他の問題であるかを突き止めることに役立ちます。

9. RMI ポートをブロックするファイアウォール ルールがないことを確認します(詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7 (1) 』を参照してください)。

10. CAM および CAS の両方で service perfigo restart を実行します。

11. CAM および CAS の両方で service perfigo reboot を実行します。

12. TAC に連絡します。 「マニュアルの入手方法およびテクニカル サポート」(P.xv) を参照してください。

CAS の切断、リブート、削除の詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Working with Clean Access Servers」を参照してください。

CAS のネットワークの設定

ここでは、次の内容について説明します。

「CAS 管理ページの操作」

「[IP] フォーム」

「CAS タイプの変更」

「L3 サポートのイネーブル化」

CAS 管理ページの操作

[List of Servers] タブで CAS の [Manage] アイコンをクリックすると、CAS 管理ページが表示され、CAS の [Status] タブのデフォルト ビューが表示されます(図 4-4 を参照)。

図 4-4 CAS 管理ページ

 

CAS 管理ページのその他のタブは、次のとおりです。

[Status]:CAS モジュールのステータス(Started または Stopped)。

[Network]:CAS 自体の操作モードおよびインターフェイス設定(IP アドレス、VALN、L2 または L3)、DNS 設定、SSL 証明書管理、および管理対象サブネットの DHCP 設定。

[Filter]:ローカル(CAS ごと)デバイスおよびサブネット アクセス ポリシー、ローカル トラフィック制御および帯域幅ポリシー(ロールごと)、およびローカルの [Certified Device] リストと [Floating Device] リスト。

[Advanced]:管理対象サブネット(L2)またはスタティック ルート(L3)などの CAS のルーティング設定、バーチャル ゲートウェイの VLAN マッピング、NAT、1:1 NAT、ARP、およびプロキシ サーバ設定。

[Authentication]:ローカル ログイン ページのイネーブルおよびコンフィギュレーション設定、VPN コンセントレータ SSO および Windows AD SSO。

[Misc]:CAS ソフトウェア アップグレード、システムの時刻、および全ユーザのハートビート タイマー。

各タブ内のサブメニュー リンクをクリックし、各設定フォームにアクセスします。

[IP] フォーム

[Network] タブの [IP] フォーム(図 4-5 を参照)には初期インストールでの CAS のネットワーク設定(または、 service perfigo config ユーティリティを使用した設定)が、CAM への CAS の追加時に選択された CAS 動作モードとともに表示されます。L3 または L2 strict 配置の CAS を設定するには [IP] フォームを使用する必要がありますが、このフォームを使用すれば、次で説明するように、CAS の IP アドレスおよびネットワーク設定を表示または変更できます。

1. Web コンソールで [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Network] > [IP] の順に進み、[IP] フォームにアクセスします。

図 4-5 CAS ネットワーク IP 設定

 

2. CAS [IP] フォームには次の設定が含まれています。

[Clean Access Server Type]:CAS の動作モードです。「CAM への CAS の追加」を実行した場合に設定されます。詳細については、「CAS タイプの変更」を参照してください。

インバンド:[Virtual Gateway] または [Real-IP Gateway]

OOB:[Out-of-Band Virtual Gateway] または [Out-of-Band Real-IP Gateway]

[Enable L3 support]:このオプションがイネーブルになっている場合、CAS では任意のホップ数離れているすべてのユーザが許可されます。マルチホップ L3 インバンド配置の場合にこの設定を行うと、Web ログイン ユーザおよび Agent ユーザの CAS L3 検出を CAS レベルでイネーブル/ディセーブルにできます。この設定が行われると、ルーティング テーブルを使用してパケットを送信するように CAS が設定されます。詳細については、「L3 サポートのイネーブル化」を参照してください。

[Enable L3 strict mode to block NAT devices with NAC Agent]:このオプションが([Enable L3 support] とともに)オンになっている場合、CAS は Agent によって送信された IP アドレスとユーザ パケットの送信元 IP アドレスを照合し、ユーザと CAS の間で NAT デバイスを使用しているすべての L3 Agent ユーザをブロックします。詳細については、「L3 strict モードのイネーブル化」を参照してください。

[Enable L2 strict mode to block L3 devices with NAC Agent]:このオプションがイネーブルになっている場合、CAS は、Agent によって送信された MAC アドレスとユーザ パケットの送信元 MAC アドレスを照合し、(CAS から 2 ホップ以上離れた)すべての L3 Agent ユーザをブロックします。ユーザがネットワークにアクセスするには CAS とユーザのクライアント マシンの間にあるルータをすべてなくす必要があります。詳細については、「L2 strict モードのイネーブル化」を参照してください。

すべての L3 または L2/L3 strict オプションをチェックしないまま変更しない(デフォルト設定):CAS は L2 モードで動作し、すべてのクライアントが 1 ホップ離れていると想定します。CAS は、CAS とクライアントの間にルータが配置されているかどうかを区別できません。ルータの MAC アドレスは、ログインする最初のユーザおよび以降のユーザのマシンとして許可されます。MAC アドレスは認識されないため、ルータを介して送受信を行う実際のクライアント マシンではチェックが実行されません。


) • L2 配置だけを使用する場合は、[Enable L3 support] オプションがオフであることを確認してください。

L3 および L2 strict オプションは同時に使用できません。一方のオプションをイネーブルにすると、他方のオプションがディセーブルになります。

L3 または L2 strict モードを 常に イネーブルまたはディセーブルにするには、CAS の [Update] および [Reboot] を行って設定を有効にする必要があります。[Update] を実行すると、次にリブートするまで、変更された設定が Web コンソールに維持されます。[Reboot] を実行すると、CAS のプロセスが起動します。


 

[Platform]:CAS のプラットフォームの種類です。この設定は、CAS が標準の CAS アプライアンスの場合には APPLIANCE となり、CAS が Cisco ISR ルータ シャーシに搭載された Cisco NAC ネットワークモジュールである場合には NME-NAC となります。

Cisco NAC ネットワーク モジュールの詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7 (1) 』と『 Getting Started with Cisco NAC Network Modules in Cisco Access Routers 』に記載されている Cisco NAC ネットワーク モジュールの情報を参照してください。

インストールと設定の詳細は、『 Getting Started with NAC Network Modules in Cisco Access Routers 』および『 Installing Cisco Network Modules in Cisco Access Routers 』を参照してください。


) またた、CAS の CLI コマンド service perfigo platform を使用して CAS のプラットフォームの種類を特定することもできます。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』の「CAS CLI Commands」を参照してください。


[Trusted Interface] 信頼できるインターフェイス(eth0)は CAS と信頼できるバックエンド ネットワークを接続します。

[IP Address]:CAS の信頼できる(eth0)インターフェイスの IP アドレス

[Subnet Mask]:信頼できるインターフェイスのサブネット マスク

[Default Gateway]:

Real-IP ゲートウェイ の場合:ネットワークの中央ルータ アドレスなど、信頼ネットワークのデフォルト ゲートウェイのアドレス

バーチャル ゲートウェイ の場合:CAS の信頼ネットワーク側の既存ゲートウェイのアドレス

[Set management VLAN ID]:信頼できるインターフェイスに設定されている場合は、信頼ネットワーク宛のパケットに、指定された VLAN ID が追加されます。


) バーチャル ゲートウェイに必要な追加情報については、「ネイティブ VLAN、管理 VLAN、ダミー VLAN」も参照してください。


[Pass through VLAN ID to managed network]:選択されている場合、パケット内の VLAN ID は変更されないまま、インターフェイスを通過します。

[Untrusted Interface]:信頼できないインターフェイス(eth1)は CAS と 非信頼管理対象ネットワークを接続します。

[IP Address]:CAS の信頼できない(eth1)インターフェイスの IP アドレス

[Subnet Mask]:信頼できないインターフェイスのサブネット マスク

[Default Gateway]:

Real-IP ゲートウェイ の場合:デフォルト ゲートウェイは、CAS の信頼できないインターフェイスの IP アドレスです。

バーチャル ゲートウェイ の場合:デフォルト ゲートウェイは、CAS の信頼ネットワーク側の既存ゲートウェイのアドレスです。

[Set management VLAN ID]:信頼できないインターフェイスに設定されている場合は、クライアント宛のパケットに、指定された VLAN ID が追加されます。

[Pass through VLAN ID to managed network]:選択されている場合、パケット内の VLAN ID は変更されないまま、インターフェイスを通過します。

3. 設定を変更したら、[Update] および [Reboot] をクリックします。
[Update] を実行すると、次にリブートするまで、変更された設定が Web コンソールに維持されます。
[Reboot] を実行すると、CAS のプロセスが起動します。CAS は新しい設定で再起動します。


) 変更された CAS IP 設定を有効にする場合は必ず、CAS に [Update] および [Reboot] を実行する必要があります。



) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「CAS ダイレクト アクセス Web コンソール」および『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』を参照してください。



) CAS の IP アドレスを変更するとき、CAS の DNS 名に基づく CA 署名付き証明書がない場合、「CAS SSL 証明書の管理」にある説明に従って、証明書を再度生成する必要もあります。


CAS タイプの変更

CAS を CAM に追加する場合、インバンドまたは OOB Real-IP、NAT、またはバーチャル ゲートウェイのいずれかの動作モードを指定します。ここでは、CAM に追加された CAS のサーバ タイプを別の動作モードに変更する方法を示します。


) インバンド モードから OOB モードに CAS を変更するには、OOB 対応ライセンスが必要です。


NAT と Real-IP ゲートウェイ モード間の切り替え

NAT モードと Real-IP ゲートウェイ モードの間で切り替えるには、次の手順を実行します。

CAM 管理コンソールで必要な設定変更を行います(たとえば、IP フォームでタイプを選択したり、NAT の動作や DHCP プロパティを設定するなど)。

CAS の eth1 インターフェイスの IP アドレスと割り当て可能なすべての DHCP アドレス(使用している場合)がルーティング可能であることを確認します。

HA 配置で 2 つの CAS が設定されている場合、必要な変更を行ったあと、HA プライマリ CAS をリブートした あとで HA セカンダリ CAS をリブートします。

バーチャル ゲートウェイと NAT または Real-IP ゲートウェイ モード間の切り替え

バーチャル ゲートウェイと Real-IP ゲートウェイ モード間を切り替えるには、ネットワークのトポロジを変更して、変更を反映させる必要があります。変更を反映させるには、上流のルータのルーティング テーブルも変更する必要があります。必要なトポロジ変更の詳細については、「導入の計画」を参照してください。これらのタイプを切り替える一般的な手順は、次のとおりです。

1. CAM の管理対象 CAS リストから、CAS を削除します。

2. 必要に応じて、ネットワーク トポロジを変更します。必要に応じて、CAS とのケーブル接続を変更します。

3. SSH コンソールを介して CAS にアクセスし、 service perfigo config ユーティリティを実行して CAS の IP アドレスを変更します(『Cisco NAC Appliance Hardware Installation Guide, Release 4.7 (1) 』を参照)。CAS の eth1 IP アドレスを変更する必要があります。

4. CAM のサブネットから CAS に ping を実行して、トポロジが正しく変更されたか確認します。

5. CAM 管理コンソールで CAS を追加します。

6. CAS が表すアドレスを含む管理対象サブネットを追加、または再追加します。管理対象サブネット エントリでは、各管理対象サブネットのデフォルト ゲートウェイとして CAS を指定する必要があります。

7. CAS によって管理されるサブネットのスタティック ルートを、上流のルータに追加します。

8. [Device Management] > [CCA Servers] > [Manage [CAS_IP]]> [Network] ページで CAM の CAS 設定を変更し、CAS に対して [Update] および [Reboot] を実行します。

9. CAS を DHCP サーバまたはリレーとして設定します。

10. 証明書などの関連設定を更新します。

11. OOB Real-IP ゲートウェイに変更する場合は、ポート バウンス([Switch Management] > [Profiles] > [Port | Bounce the port after VLAN is changed])をイネーブルにして、認証および証明に成功したあとに、Real-IP ゲートウェイ クライアントが新しい IP アドレスを取得できるようにします。


) バージョン 4.1.2.0 以降の Agent、ActiveX コントロール、Java アプレットを使用してクライアントの DHCP IP アドレスを更新する場合は、ポートのプロファイルの [Bounce the switch port after VLAN is changed] オプションはディセーブルのままでもかまいません。この方法を使用する場合、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「DHCP Release/Renew with Agent/ActiveX/Java Applet」、「Configuring Access to Authentication VLAN Change Detection」、「Advanced Settings」に記載されているガイドラインと警告に従ってください。


 

ネットワーク アクセスのイネーブル化(L3、L3 strict または L2 strict)

Cisco NAC アプライアンスはデフォルトで、インバンドの Web ログインおよび CAS の L2 近接内の Agent ユーザをサポートします。

L2 配置の場合は、Agent ユーザがホームベース無線ルータまたは NAT デバイスを使用してネットワークに接続できないように、L2 アクセスを制限することもできます。

VPN または L3 配置の場合は、Web ログインに対して、または CAS から L3 ホップについて複数ホップ離れているエージェント ユーザに対して、L3 サポートを イネーブル にする必要があります。

また、L3 サポートとともに追加で「L3 strict」オプションもイネーブルにし、L3 Agent クライアントによる NAT デバイス経由での CAS への接続を制限できます。

Agent は L2 検出のために、Agent が稼動しているマシン上にあるすべてのアダプタのすべてのデフォルト ゲートウェイに、SWISS 検出パケットを送信します。CAS がデフォルト ゲートウェイ(Real-IP ゲートウェイ)として、またはデフォルト ゲートウェイの前のブリッジ(バーチャル ゲートウェイ)として配置されている場合、CAS は応答します。


) この機能は Cisco NAC Web Agent には適用されません。


CAS が L2 検出に応答しない場合、Agent は L3 検出を実行します(L3 検出がイネーブルな場合)。Agent は Discovery Host(CAS の信頼できる側にある IP アドレス)にパケット送信を試みます。この IP アドレスは [Installation] ページの [Discovery Host] フィールドで設定されますが、デフォルトでは、CAM(常に CAS の信頼できる側にあるものと見なされる)の IP アドレスに設定されています。CAS が存在する場合に、これらのパケットが CAS に到達すると、CAS はパケットを代行受信して、Agent に応答します。


) Agent は、CAS を検出するため、L2 ユーザの場合は UDP ポート 8905 で、L3 ユーザの場合は 8906 ポートで SWISS(専用の CAS/Agent 通信プロトコル)パケットを送信します。CAS は、UDP ポート 8905 とポート 8906 で必ずリッスンし、デフォルトではトラフィックをポート 8905 で受け入れます。L3 サポートがイネーブル化されていない場合、CAS は UDP ポート 8906 でトラフィックをドロップします。Agent は 5 秒ごとに SWISS 検出を実行します。



) ベスト プラクティスの推奨事項としては、ユーザが CAS に隣接する L2 である場合、Enable L2 strict モードを使用して、Clean Access Agent を使用する L3 デバイスをブロックすることを推奨します。単一 CAS が L3 と L2(非制限)両方のエージェント ユーザをサポートすることが可能です。ただし、L2 strict モードおよび L3 サポートは、相互に排他的です。したがって、L2 および L3 インバウンド配置には同じ CAS を使用することを推奨します。


L3 サポートのイネーブル化

マルチホップ L3 配置をサポートするには、各 CAS で L3 サポートをイネーブルにする必要があります。アップグレードまたは新規インストールを実行した場合、L3 サポートはデフォルトでディセーブルです。L3 サポートをイネーブルにするには、CAS を更新して、リブートする必要があります。

L3 サポートをイネーブルにする手順

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] の順に進み、[Enable L3 support] のチェックボックスをオンにします(図 4-5を参照)。

2. [Update] をクリックします。

3. [Reboot] をクリックします。


) Agent ユーザの場合、新規インストールまたはアップグレードを実行すると、デフォルトでは、([Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] の)[Discovery Host] フィールドに CAM の IP アドレスが自動的に読み込まれます。


L3 機能をディセーブルにする手順

Agent ユーザと Web ログイン ユーザに対して CAS の L3 検出を CAS レベルでディセーブルにする手順は、次のとおりです。

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] の順番に進み、[Enable L3 support] のオプションをオフにします(図 4-5を参照)。

2. [Update] をクリックします。

3. [Reboot] をクリックします。

Agent の VPN/L3 アクセス

Clean Access Manager、Clean Access Server および Agent はマルチホップ L3 配置をサポートしています。Agent は次の動作を実行します。

1. クライアント ネットワーク上で CAS(L2 配置)を検索します。見つからない場合は、次の処理を実行します。

2. CAM に検出パケットを送信して、CAS を検出しようとします。これにより、CAS が複数ホップ離れている場合(マルチホップ配置)でも、検出パケットは CAS を通過するため、CAS はこれらのパケットを代行受信して、Agent に応答します。

クライアントが L3 で 1 ホップ以上離れている場合に CAS を検出するには、最初にクライアントが Web ログイン後の Agent ダウンロード ページか自動アップグレードを通じて、CAS から Agent をダウンロードする必要があります。いずれの方法でも、Agent は Discovery Host(デフォルトでは CAM)の IP アドレスを取得して、トラフィックを L3 ネットワーク経由で CAM または CAS に送信することができます。この方法でインストールされた Agent は、L3 または VPN コンセントレータ配置でも、通常の L2 配置でも使用できます。Clean Access Agent または Cisco NAC Web Agent を使用している場合、クライアントは Web ログイン後に [Launch Cisco NAC Web Agent] ページを通じて Agent を起動する必要があります。

CAS からの直接ダウンロード以外の方法を使用してクライアント上に Agent を取得してインストールしても、必要な CAM 情報は Agent に提供されず、インストールされたこれらの Agent はマルチホップ L3 配置で稼動できません。

VPN/L3 アクセスをサポートするには、次のようにする必要があります。

[Enable L3 support] のオプションをオンにして、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] で Update および Reboot を実行します。

[Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] に有効な Discovery Host がなければなりません(デフォルトでは CAM の信頼できる IP アドレスに設定されています)。

クライアントは最初に、次のいずれかの方法で CAS から Agent をダウンロードする必要があります。

Agent ダウンロード Web ページ(Web ログインを使用)

Agent バージョン 4.6.2.113 以降への自動アップグレード

[Launch Cisco NAC Web Agent] Web ページ

Cisco NAC アプライアンスを Cisco VPN コンセントレータまたは Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)と統合すると、SSO をイネーブルにできます。


) • VPN 接続中にエージェントをアンインストールしても、接続は終了しません。

VPN SSO 展開の場合に、Agent を CAS からダウンロードしないで、他の方法(シスコ ソフトウェア ダウンロード サイトなど)でダウンロードすると、Agent は CAM の実行時 IP 情報を取得できないため、ポップアップが自動表示されず、クライアントはスキャンされません。

3.5.0 以前のバージョンの Agent がすでにインストールされている場合、または Agent が CAS 以外の方法(シスコ ソフトウェア ダウンロード サイトなど)でインストールされている場合は、Web ログインを実行して CAS から直接 Agent セットアップ ファイルをダウンロードし、Agent を再インストールして、L3 機能を取得する必要があります。


 

L3 strict モードのイネーブル化

L3 配置の管理者は、任意で L3 Agent クライアントが [Enable L3 strict mode to block NAT devices with NAC Agent] オプションを使用して NAT デバイス経由で CAS に接続しないように制限できます。

この機能が [Enable L3 support] とともにイネーブルになっている場合、CAS は、送信元 IP 情報と、Agent により自動的に送信されたクライアント IP 情報を照合し、CAS とクライアント間に NAT デバイスが存在しないことを確認します。クライアント デバイスと CAS の間に NAT デバイスが検出された場合、ユーザはログインできません。

これにより、CAS でクライアントのネットワーク アクセスをイネーブルにするとき、管理者には次のオプションが提供されます。

[Enable L3 support]:CAS では、任意のホップ数離れたすべてのユーザが許可されます。

[Enable L3 strict mode to block NAT devices with NAC Agent]:このオプションが([Enable L3 support] とともに)オンになっている場合、CAS は Agent によって送信された IP アドレスとユーザ パケットの送信元 IP アドレスを照合し、ユーザと CAS の間で NAT デバイスを使用しているすべての L3 Agent ユーザをブロックします。

[Enable L2 strict mode to block L3 devices with NAC Agent]:このオプションがイネーブルになっている場合、CAS は、Agent によって送信された MAC アドレスとユーザ パケットの送信元 MAC アドレスを照合し、(CAS から 2 ホップ以上離れた)すべての L3 Agent ユーザをブロックします。ユーザがネットワークにアクセスするには CAS とユーザのクライアント マシンの間にあるルータをすべてなくす必要があります。

すべてのオプションをオフのまま変更しない (デフォルト設定):CAS は L2 モードで動作し、すべてのクライアントが 1 ホップ離れていると想定します。CAS は、CAS とクライアントの間にルータが配置されているかどうかを区別できません。ルータの MAC アドレスは、ログインする最初のユーザおよび以降のユーザのマシンとして許可されます。MAC アドレスは認識されないため、ルータを介して送受信を行う実際のクライアント マシンではチェックが実行されません。

L2 strict モードのイネーブル化

管理者は、[Enable L2 strict mode to block L3 devices with NAC Agent] オプションを使用して、Agent ユーザが唯一のゲートウェイとして CAS に直接接続するように任意で制限できます。

この機能がイネーブルの場合、Agent はクライアント マシンのすべてのインターフェイスの MAC アドレスをログイン要求とともに CAS に送信します。CAS はこの情報を調べて、CAS とクライアント間に NAT が存在しないことを確認します。CAS は MAC アドレスを検証および比較して、CAS で認識された MAC アドレスがエージェント クライアント マシンの MAC アドレスであることを確認します。ユーザのホームベース無線ルータまたは NAT デバイスが、クライアント デバイスと CAS の間で検出された場合、ユーザはログインできません。

L2 strict モードをイネーブルにして、Agent を使用する L3 デバイスをブロックする手順

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] の順番に進みます。選択した CAS の管理ページが表示されます。

図 4-6 CAS の [Network] タブ

 

2. [Enable L2 strict mode to block L3 devices with NAC Agent] のチェックボックスをオンにします。

3. [Update] をクリックします。

4. [Reboot] をクリックします。


) • L3 または L2 strict モードを常にイネーブルまたはディセーブルにするには、CAS の [Update] および [Reboot] を行って設定を有効にする必要があります。[Update] を実行すると、次にリブートするまで、変更された設定が Web コンソールに維持されます。[Reboot] を実行すると、CAS のプロセスが起動します。

L3 および L2 strict オプションは同時に使用できません。一方のオプションをイネーブルにすると、他方のオプションがディセーブルになります。


 

詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Cisco NAC Appliance Agents」の章を参照してください。

SWISS プロトコルを使用した CAS への接続

ここでは、CAS へのクライアント マシン接続を検出および開始するために Agent が使用する専用のセッション開始プロトコルである SWISS について説明します。ここでは、次の内容について説明します。

SWISS プロトコルとは

Discovery Host

VPN SSO に関する考慮事項

検出遅延につながるネットワーク遅延の問題への対応

帯域幅を節約するためのレイヤ 3 SWISS パケット遅延

クライアント マシン上での複数のアクティブな NIC のサポート

SWISS プロトコルとは

Agent は、SWISS ユニキャスト検出パケットを、UDP ポート 8905(レイヤ 2)および 8906(レイヤ 3)から、CAS が応答しユーザ ログイン セッションを開始するまで送信することで CAS に接続します。UDP 8905 パケットは、クライアント マシンのデフォルト ゲートウェイに送られ、UDP 8906 パケットは CAM の [Discovery Host] フィールド([Device Management] > [Clean Access] > [Clean Access Agent] > [Installation])で設定されている IP アドレスに送られます。

Cisco NAC アプライアンスでは、ネットワーク セキュリティを向上させ、FIPS 140-2 に準拠するため、検出パケットの転送または確認、認証、HTTPS プロトコルを使用したポスチャ評価の結果などのクライアント マシンと CAS 間の SWISS 通信をカプセル化します。また、SWISS メカニズムは SWISS プロトコル機能の 3DES 暗号化を使用する拡張ハンドラも備えています。


) SWISS プロトコルのやり取りは、CAS と Windows および Macintosh の Agent の間でだけ適用されます。Cisco NAC Web Agent は SWISS プロトコルを使用して CAS に接続しません。


図 4-7 は、基本的な Agent の検出とログイン セッション開始処理の概要を示しています。

図 4-7 SWISS プロトコルを使用した Agent と CAS のやり取り

 

1. ユーザがネットワークに接続し、クライアント マシンが IP アドレスを受信すると(システム構成に応じて、DHCP サーバまたは CAS 自体より)、Agent は UDP 検出パケットをポート 8905 および 8906 上で送信し始めます。

2. CAS は SWISS 検出パケットを代行受信し、Agent に CAS 証明書を使用して応答し、クライアント マシン上でユーザ ログイン セッションを開始するように Agent に指示します。

3. Agent と CAS は、SWISS プロトコルの要求と応答の交換により、次のことを特定します。

ユーザ ログイン ステータス(Cisco NAC アプライアンス リリース 4.1(3)以降の場合はクライアントの IP と MAC アドレスのペアを含む)

認証プロバイダー リスト

VPN 接続ステータス

Agent アップグレード バージョン、可用性、メッセージング

SSO ステータス(Windows Agent のみ)

VPN SSO 遅延インターバル(必要な場合)

レイヤ 2 検出パケット

ユーザが CAS にレイヤ 2 で隣接している場合、ポート 8905 から送信された UDP 検出パケットは、クライアント マシンのデフォルト ゲートウェイの IP アドレス宛に送られ、デフォルト ゲートウェイ デバイスに到達する前に CAS に到達します。そうすることで、CAS はクライアント マシンによる Cisco NAC アプライアンス ネットワークの検出に応答でき、Agent はユーザ ログイン ダイアログをクライアント マシン上に表示します(CAS は、UDP 検出パケットを代行受信すると、クライアント マシンのデフォルト ゲートウェイにパケットを転送しません)。

レイヤ 3 検出パケット

ユーザが CAS からレイヤ 3 で 1 ホップ以上離れている場合、Agent は、UDP ポート 8906 上で送信された検出パケットを使用して CAS との接続を確立する必要があります。レイヤ 3 検出パケットは CAM 上の Discovery Host アドレス(これはほとんどの場合 CAM の eth0 のインターフェイスですが、そうでない場合もあります)宛に送られますが、これらのパケットは、CAM に到達するために CAS を経由(信頼できない側から信頼できる側に通過)する必要があります。そうすることで、CAS はクライアント マシンによる Cisco NAC アプライアンス ネットワークの検出を代行受信して応答でき、Agent はユーザ ログイン ダイアログをクライアント マシン上に表示します。


) レイヤ 3 アウトオブバンド配置では、SWISS パケットがアクセス VLAN を通過しないように、ネットワーク アクセス スイッチに ACL を追加することを推奨します。このようにすると、アクセス ネットワークの不要なパケットを減らすのと同時に、SWISS パケットが CAS に戻るとき、クライアント マシンで認証のループが生じないようにすることができます。


Discovery Host

CAM の Discovery Host アドレスは、Cisco NAC アプライアンス ネットワークの信頼できる側の任意の IP アドレスでかまいません。デフォルトでは、Discovery Host アドレスは CAM の eth0 IP アドレスです。これは、CAM が必ずネットワークの信頼できる側にあり、Cisco NAC アプライアンス システムが機能するためには必ず必要なためです。Agent がレイヤ 3 検出パケットをアドレス指定するために使用する宛先 Discovery Host IP アドレスを表示するには、クライアント タスク バーで [Agent] アイコンを右クリックし、[Properties] を選択して [Agent Properties and Information] ダイアログを表示します(図 4-8)。

図 4-8 Agent のプロパティ ダイアログの Discovery Host アドレス

 

Agent が CAS を検出してユーザ ログイン セッションを開始するためには、Discovery Host が CAM のアドレス割り当てに一致する必要があります。ユーザがクライアント マシンに Agent をインストールして起動すると、Discovery Host の設定は自動的に CAM で設定されている Discovery Host IP アドレスに対応します。Agent が Cisco NAC アプライアンス ネットワークを検出するためには、Discovery Host が Agent インストーラで設定されている必要があります。Agent がクライアント マシンにダウンロードされインストールされるときに Discovery Host がないと、Agent は UDP 検出パケットで使用する宛先 IP アドレスがわからず、SWISS 検出パケットを適切な宛先に送ることができません。

新しいエージェントのダウンロードとアップグレードでは、自動的に最も近い Discovery Host アドレス割り当てを使用されます。CAM 上の Discovery Host IP アドレスが変わった場合には、以前インストールした Agent がアップデートされることを確認する必要があります。そのためには以下のいずれかの方法を実行します。

Windows クライアント マシンの Cisco NAC Agent

Agent 設定 XML ファイル( NACAgentCFG.xml )の DiscoveryHost パラメータを変更し、このファイルを CAM にアップロードすると、ユーザは次のログイン時に自動的に新しい XML ファイルを取得します。また、Agent アップデートを必須にすると、ユーザが Agent アップデートをダウンロードしたときにクライアント マシンはクエリの宛先を新しい Discovery Host アドレスにするように自動的に更新されます。


Clean Access Agent の Windows と Macintosh のバージョンで Discovery Host パラメータを使用する詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』と『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください。


VPN SSO に関する考慮事項

ユーザが既存の VPN 接続を通じてネットワークに接続しており、ユーザのログインで使用する CAS を検出するための SWISS 検出パケットを Agent が自動的に送信すると、CAS は SWISS パケットの要求応答メカニズムを使用して、Agent に対し、クライアント マシン上でユーザ ログイン ダイアログを表示しないように指示します。また、一部の VPN コンセントレータはユーザ セッション情報をすぐに送信しないため、VPN SSO が Cisco NAC アプライアンス システム上で設定されている場合、CAS はユーザ ログイン セッション開始プロセスに遅延を挿入します。そうすることで、ユーザはネットワークにログインしてセッションを開始するために何度もクレデンシャルを入力する必要がありません。

検出遅延につながるネットワーク遅延の問題への対応

クライアント マシンが SWISS 検出パケットを送信するとき、CAS 検出応答パケットが戻ってくるまで 1 秒間待ってから、以降のパケットを 5 秒後に送信します。CAS が応答するものの、ネットワーク遅延の問題により応答パケットが時間までに到達しないと、クライアントはネットワークに接続するために経由する CAS の確認を続けます。この状況に対処するため、管理者は追加の「SwissTimeout」期間をクライアント マシン上で設定し、CAS 検出応答パケットがクライアント マシンに到達するための時間を延ばすことができます。この種の遅延があるネットワークでクライアント マシンが Clean Access Server を検出および認証できるように、 NACAgentCFG.xml Agent 設定ファイルの設定値を指定し、Cisco NAC Agent のインストール先クライアント マシンの動作に反映させることができます。詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Cisco NAC Agent XML Configuration File Settings」を参照してください。


Clean Access Agent の Windows と Macintosh のバージョンでこの機能を設定する詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』と『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください。


帯域幅を節約するためのレイヤ 3 SWISS パケット遅延

ネットワーク上の検出パケットの転送を減らすために、Agent は、ネットワーク上の CAS を見つけることができない場合に、レイヤ 3 検出パケット転送の間隔を徐々に増やすように設計されています。UDP ポート 8906 で送信されるレイヤ 3 検出パケットでは、UDP ポート 8905 で送信されるレイヤ 2 検出パケットの場合と違い、検出パケットを永久に 5 秒ごとに送信するのではなく、検出パケットの間隔が 30 分になるまで以降の転送間隔が延長されます。その後、ネットワーク接続イベント(インターフェイスからイーサネット ケーブルを抜き再度接続するなど)によりポート 8906 が「再起動」され検出処理が再開されるまで、Agent は CAS の探索を停止します。

クライアント マシン上での複数のアクティブな NIC のサポート

Cisco NAC アプライアンス システムは、CAS 上の同じ(信頼されていない側の)eth1 インターフェイス向けの複数のアクティブな NIC が搭載された Agent クライアント マシンをサポートしています。歴史的にこのシナリオでは、ユーザがすでに Agent 経由でネットワークにログインしたあとでも、別のユーザ ログイン ダイアログが繰り返し表示され、クレデンシャルを再度入力するよう求められるという問題が発生する可能性がありました。この状況が発生するのは、CAS が SWISS 検出パケットを追加のアクティブ インターフェイス経由で受信し、CAS が追加の IP アドレス/MAC アドレスのペアからの要求が、すでにアクティブな Agent セッションと同じクライアント マシンからのものであると判断しないためです。この問題に対処するため、Agent のユーザ ログインの問い合せに応答するときに、CAS は「有効な」IP アドレス/MAC アドレスのペアを応答の SWISS パケットに含めます。これは、本質的に「Cisco NAC アプライアンス ネットワークとの接続を、クライアント マシンのインターフェイス <MAC address> 上で IP アドレス A.B.C.D を使用して確立できる」ということを示します。このクライアントからの他の すべての要求は、このセッションがアクティブな間は無視されます。


) Access to Authentication VLAN 変更検出機能を、アクティブな NIC が複数あるクライアント マシン上で使用すると、クライアント上のすべてのアクティブな NIC でその機能が使用されます。設計により、最もメトリックが低い NIC がルーティング目的で常に優先され、コマンド プロンプトで route print コマンドを使用してメトリックを確認することができます。VLAN 変更検出機能の詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Configuring Access to Authentication VLAN Change Detection」を参照してください。


図 4-9 は、CAS の動作によって問題が回避される一般的なシナリオを示します。ユーザが NIC1(クライアント マシンのアクティブなイーサネット インターフェイス)を使用して Agent セッション経由でネットワークにログインすると、CAS は、関連付けられている IP アドレスを使用した NIC1 インターフェイスからのログイン要求を許可する応答を返します。CAS が NIC2(CAS 上の同じ eth1 インターフェイスに向けられたクライアント マシンの無線イーサネット接続)からの SWISS 検出パケットを受信すると、CAS は別の Agent ログイン セッションを開始 しません 。これは、NIC2 の IP アドレス/MAC アドレスのペアが、NIC1 を使用してセッションが確立されたときに CAS が許可したペアに一致しないためです。

図 4-9 同じ CAS の eth1 の IP アドレスに向けられた複数のアクティブなインターフェイス

 

DHCP の設定

CAS が Real-IP ゲートウェイ モードのとき、ネットワークにまだ DHCP サーバが存在しない場合は、CAS が DHCP サーバになるように設定できます。詳細については、「DHCP の設定」を参照してください。

ネットワークの DNS サーバの設定

DNS フォームでは、ホスト名ルックアップで照会する Domain Name Service(DNS)サーバを指定できます。

使用環境用に DNS を設定する手順

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] >[DNS] の順番に進みます。

図 4-10 DNS フォーム

 

2. [DNS Servers] フィールドに 1 つまたは複数の DNS の IP アドレスを入力します。複数のサーバを入力する場合は、カンマで区切ります。CAS はリストに表示されている順番で DNS サーバに接続を試みます。

[Host Name] CAS に使用するホスト名

[Host Domain] 使用環境で適用可能なドメイン名

[DNS Servers] 環境内の DNS サーバの IP アドレス。複数のアドレスを指定する場合は、カンマで区切ります。複数の DNS サーバを指定した場合、CAS は応答が戻るまでサーバに 1 つずつ接続を試みます。

3. [Update] をクリックします。


) ハイ アベイラビリティ CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS で実行された CAS ネットワークの設定変更は、スタンバイ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、「CAS ダイレクト アクセス Web コンソール」および『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』を参照してください。


管理対象サブネットまたはスタティック ルートの設定

ここでは、次の内容について説明します。

「概要」

「L2 配置の管理対象サブネットの設定」

「L3 配置のスタティック ルートの設定」

概要

L2 配置のすべての CAS モード(Real-IP、NAT、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で 管理対象サブネット を設定する必要があります。これにより、CAS は信頼できないインターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリ を送信できます。信頼できない(認証)VLAN を、管理対象サブネットの [VLAN ID] フィールドで設定する必要があります。

管理対象サブネット は、CAS に レイヤ 2 で隣接 しているユーザ サブネットだけを対象としています。

L3 配置のあらゆる CAS モードで、1 ホップ以上離れたユーザ サブネットに対する スタティック ルート が設定されている必要があります。管理対象サブネットは、次のサブネットに対して設定しないでください。詳細については、「L3 配置のスタティック ルートの設定」を参照してください。


) クライアント マシンに関するプロキシ ARP を VPN コンセントレータが実行するマルチホップ L3 配置の場合は、スタティック ルートの代わりに管理対象サブネットを使用できます。管理対象サブネットは CAS で作成する必要があります。


表 4-1 に、配置ごとに必要な手順の概要を示します。ここに記載されたフォームは、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] の CAS 管理ページ内にあります。


) • VLAN 制限のある IP の場合、すべての IP は管理対象サブネット内にある必要があり、IP 範囲(DHCP プール)を作成する前に、まず管理対象サブネットを作成する必要があります。

リレー制限のある IP の場合、すべての IP は、通常スタティック ルート内にありますが、CAS が Aironet デバイスまたは他の非 RFC 2131/2132 準拠デバイスと統合されている場合は、管理対象サブネット内に存在することも可能です。IP アドレス プールはスタティック ルートまたは管理対象サブネット内のいずれかに存在し、リレー制限のある IP は、非準拠デバイスの管理対象サブネットにだけ配置される必要があります。

詳細については、「IP 範囲(IP アドレス プール)の設定」を参照してください。


 

 

表 4-1 管理対象サブネットとスタティック ルートの追加に関する注意事項

レイヤ 2:インバンドまたは OOB
(CAS はユーザに L2 隣接)
レイヤ 3(マルチホップ):インバンドのみ
(たとえば、CAS は VPN コンセントレータ、ルータ、または L3 スイッチの背後に配置)
Real-IP ゲートウェイの場合:
Real-IP ゲートウェイの場合:
CAS の下にあるルータでプロキシ ARP を実行する場合:
CAS の下にあるルータでプロキシ ARP を実行しない場合:

[Advanced] > [Managed Subnet] で管理対象サブネットを追加して、CAS にサブネットのゲートウェイ IP アドレスを割り当てます。

たとえば、VLAN10 /サブネット 10.10.10.0 のゲートウェイ(10.10.10.1)となるように CAS を設定するには、次の管理対象サブネットを指定します。

IP アドレス:10.10.10.1
サブネット マスク:255.255.255.0
VLAN ID:10

必ず、[Advanced] > [Managed Subnet] で管理対象サブネットを追加します。

1. 必ず、[Advanced] > [Static Routes] で信頼できない側のサブネットのスタティック ルートを追加します。次の例を参考にしてください。

Network Mask Interface Gateway
10.10.10.0 /24 eth1 10.10.10.1
10.10.20.0 /24 eth1 10.10.20.1
 
(注) /24 サブネット マスク = 255.255.255.0

2. [Advanced] > [ARP] で、CAS が保持する必要があるゲートウェイ IP の ARP エントリを指定します。次の例を参考にしてください。

10.10.10.0 255.255.255.255 eth1
 

図 4-11を参照してください。

バーチャル ゲートウェイの場合:
バーチャル ゲートウェイの場合:
CAS の下にあるルータでプロキシ ARP を実行する場合:
CAS の下にあるルータでプロキシ ARP を実行しない場合:
 

[Advanced] > [Managed Subnet] で管理対象サブネットを追加して、本来はサブネットで使用されない IP アドレスを CAS に割り当てます。

たとえば、VLAN 10 のサブネット 10.10.10.0/24 のゲートウェイが 10.10.10.1 である場合に、CAS でこのサブネットを管理するには、CAS の IP アドレス(10.10.10.2 など)を確保する必要があります。次の管理対象サブネットを指定します。

IPアドレス:10.10.10.2
サブネット マスク:255.255.255.0
VLAN ID:10

CAS はゲートウェイではありませんが、この VLAN およびサブネットの 10.10.10.2 アドレスを所有します。

必ず、[Advanced] > [Managed Subnet] で管理対象サブネットを追加します。

1. [Advanced] > [Static Routes] で信頼できない側のサブネットのスタティック ルートを追加します。次の例を参考にしてください。

Network Mask Interface Gateway
10.10.10.0 /24 eth1 10.10.10.1
 
(注) L3 バーチャル ゲートウェイ モードで CAS を配置する場合、ゲートウェイは省略できず、スタティック ルートのゲートウェイを指定する必要があります。


) 一般に、CAS が L2 または L3 の バーチャル ゲートウェイ モードの場合、CAS で処理中のサブネットのゲートウェイには ping を送信できません。ping がこれらのサブネットのユーザ接続に影響してはなりません。


図 4-11 L3 Real-IP ゲートウェイ配置における CAS のスタティック ルートの設定

 

L2 配置の管理対象サブネットの設定

CAS を最初に CAM に追加すると、CAS に設定された信頼できない IP アドレスに、メイン サブネットであることを示す VLAN ID(-1)が自動的に割り当てられます。デフォルトでは、CAS が最初に管理する非信頼ネットワークは、メイン サブネットです。

その他のサブネットを管理するように CAS を設定するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Managed Subnet] で目的のサブネットを追加します。この場合、CAS は信頼できない(認証)管理対象サブネットのデフォルトのバーチャル ゲートウェイとして機能し、信頼できないインターフェイスに、追加された管理対象サブネットのバーチャル IP を設定します。


) CAS が Real-IP ゲートウェイの場合、CAS にトラフィックを送信するには、上流のルータにスタティック ルートを追加する必要があります。たとえば、管理対象サブネットが 10.0.0.0/24 の場合、スタティック ルート 10.0.0.0/255.255.0.0 gateway <CAS_eth0_IP_address> を上流のルータに追加する必要があります。


CAS のメイン サブネットを変更するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] の順番に進みます。メイン サブネットの VLAN ID を変更するには、フォームの [Untrusted Interface] 側の [Set management VLAN ID] フィールドに目的の VLAN ID を入力します。CAS の信頼できないインターフェイスの IP アドレス、サブネット マスク、デフォルト ゲートウェイ、または管理 VLAN ID を変更する場合は、CAS およびネットワーク上でこれらの設定を有効にするために、[Update] をクリックしてから [Reboot] をクリックする必要があります。

管理対象サブネットを作成すると、このサブネットのゲートウェイに対する ARP エントリが自動的に生成されます。したがって、10.1.1.0/255.255.255.0 のサブネットを管理するには、管理対象サブネットに次の値を設定する必要があります。

IP アドレス:10.1.1.1(10.1.1.1 が目的のデフォルト ゲートウェイ)

サブネット マスク:255.255.255.0

10.1.1.1 アドレス(推定されるゲートウェイの場合)に対応する ARP エントリが自動的に生成されます。ただし、非標準ゲートウェイ アドレス(10.1.1.0/255.255.255.0 サブネットの 10.1.1.213 など)を使用している場合は、管理対象サブネットを 10.1.1.213/255.255.255.0 として作成する必要があります。

管理対象サブネットの追加

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Managed Subnet] の順番に進みます。

図 4-12 管理対象サブネット

 

2. [IP Address] フィールドに、管理対象サブネットに対して CAS が所有する IP アドレスを入力します(CAS はこの IP アドレスに対して ARP を実行します)。

Real-IP ゲートウェイの場合、CAS は管理対象サブネットのゲートウェイ IP アドレスを所有します(10.10.10.1 など)。

バーチャル ゲートウェイの場合、CAS は本来使用されない管理対象サブネットの IP アドレスを所有します(10.10.10.2 など)。

詳細については、表 4-1 「管理対象サブネットとスタティック ルートの追加に関する注意事項」 を参照してください。

3. [Subnet Mask] フィールドに、ネットワーク アドレスのマスクを入力します。CAM は [IP Address] フィールドにサブネット マスクを適用して、ネットワーク アドレスを計算します。

4. [VLAN ID] フィールドに、このサブネットに関連付けられた信頼できない(認証)VLAN ID を入力します。サブネットが VLAN 上にない場合は、-1 を使用します。


) メイン サブネットの [VLAN] カラムには、CAS の eth1 管理 VLAN(使用可能な場合)が表示されます。CAS に eth1 管理 VLAN が設定されていない場合は、[-1] が表示されます。


5. [Add Managed Subnet] をクリックして、サブネットを保存します。

デフォルトで作成された管理対象サブネット以外の ARP エントリを追加する必要がある場合は、「ARP エントリの追加」の手順に従ってください。このエントリではサブネットのゲートウェイ アドレスを使用し、[Link] 値を [Untrusted (eth1)] に設定します。

L3 配置のスタティック ルートの設定

L3 配置(および一部の VPN コンセントレータ配置)では、CAS のパケット ルーティング方法を設定する場合に、管理対象サブネットを使用しないで、スタティック ルートだけを使用する必要があります。[Static Route] フォーム(図 4-15)では、CAS のルーティング規則を設定できます。スタティック ルートの形式は次のとおりです。

ネットワーク/サブネット マスク/パケット送信先インターフェイス(信頼できる、または信頼できない)/ゲートウェイ IP アドレス(オプション)

CAS に着信するパケットはすべてスタティック ルートに基づいて評価されてから、ルータに適切にルーティングされます。パケットを受信した CAS はスタティック ルート テーブル内で、最も細かなレベルまでマッチしているエントリを検出します。ルートにゲートウェイが指定されている場合、CAS はそのゲートウェイを介してパケットを送信します。ゲートウェイが指定されていない場合、CAS はルート(eth0 または eth1)に指定されているインターフェイスからパケットを送信します。


) L2 配置から L3 配置に変換する場合は、管理対象サブネットを削除して、スタティック ルートを追加します。


図 4-13 に、スタティック ルートが必要な L3 配置の例を示します。

図 4-13 スタティック ルートの例(L3)

 

L2 配置用スタティック ルートの設定

図 4-14 に、スタティック ルートが必要な L2 配置の例を示します。この場合、CAS はバーチャル ゲートウェイとして機能します。信頼ネットワーク上に 2 つのゲートウェイが存在します(GW1 および GW2)。2 番めのゲートウェイ GW2 のアドレスは、最初のゲートウェイのアドレス スペース(CAS インターフェイスを含む)の外側にあります。スタティック ルートにより、GW2 宛のトラフィックは CAS の信頼できるインターフェイス(eth0)に正しく渡されます。

図 4-14 スタティック ルートの例(L2)

 

スタティック ルートの追加

1. CAS 管理ページの [Advanced] タブの [Static Routes] フォームを開きます。

図 4-15 Static Routes

 

2. [Static Routes] フォームの [Dest. Subnet Address/Mask] フィールドに、宛先 IP アドレスおよびサブネット マスクを(CIDR 形式で)入力します。パケット内の宛先アドレスがこのアドレスと一致する場合、パケットは指定されたインターフェイスにルーティングされます。

3. 必要に応じて、外部の宛先 [Gateway] アドレス(図 4-14 の 10.1.52.1 など)を入力します。


) バーチャル ゲートウェイ モードの場合、[Gateway] アドレスはオプションではなく、必ず指定する必要があります。


4. [Link] ドロップ ダウンリストで、CAS マシンの該当するインターフェイスを選択します。ほとんどの場合、このインターフェイスは eth0 です。スタティック ルーティングのシナリオには、非信頼ネットワークから信頼ネットワークへのトラフィックの転送も含まれるためです。

5. (任意)[Description] に、ルート定義の説明を入力します。

6. [Add Route] をクリックします。

ARP エントリの設定

ARP エントリを使用すると、CAS のインターフェイスに IP アドレスを対応付けることができます。ARP エントリは通常、特定のアドレスが CAS の管理対象ドメイン内にあることを信頼ネットワークにアドバタイズして、管理対象クライアントのトラフィックを CAS の信頼できないインターフェイスに転送できるようにする場合に使用します。

ARP エントリは、次のネットワークやサブネットに自動的に作成されます。

[IP] フォームで CAS に指定された非信頼ネットワーク

ユーザが追加した任意の管理対象サブネット(「管理対象サブネットまたはスタティック ルートの設定」を参照)。

DHCP 設定中に自動生成されたサブネット。これらのエントリの説明は、[ARP Generated for DHCP] になります(図 5-12 を参照)。

ARP エントリの追加

ARP エントリを手動で作成する手順は、次のとおりです。

1. [Advanced] タブの [ARP] フォームを開きます。

図 4-16 ARP エントリの作成

 

2. [Subnet Address/Mask] フィールドに、インターフェイスに関連付けるネットワークまたはマシンの IP アドレス、およびサブネット マスクを入力します。デフォルトのバーチャル ゲートウェイ アドレスなど、単一アドレスに対応する ARP エントリを作成する場合は、アドレスを指定し、サブネット マスクとして 255.255.255.255 を使用します。

3. [Link] ドロップダウン メニューでインターフェイスを選択します(通常は信頼できないインターフェイス eth1)。

4. (任意)[Description] に、ARP エントリの説明を入力します。

5. [Add ARP Entry] をクリックして、設定を保存します。

6. [Flush ARP Cache] ボタンをクリックして、キャッシュ内の MAC と IP アドレスの対応関係を削除します。


) ローミング機能は非推奨となったため、[Continuously broadcast gratuitous ARP with VLAN ID] オプションは削除されました。


VLAN 設定の概要

CAS は VLAN の終端ポイントとして機能したり、VLAN パススルーを実行したりできます。バーチャル ゲートウェイ設定では、VLAN ID はデフォルトでパススルーされます。

Real-IP ゲートウェイ設定の場合、デフォルトで、VLAN ID は CAS で終端します(信頼できるインターフェイスと信頼できないインターフェイスに着信したパケットから、ID が除去されます)。ただし、VLAN ID パススルーをイネーブルにすると、パケットに VLAN ID が残されます。


) いずれのモードを使用すべきか不明な場合は、CAS のデフォルト動作を使用してください。


VLAN ID を保持する場合は、メッセージを受信する 2 つのインターフェイスの最初のインターフェイスでだけ、パススルーをイネーブルにする必要があります。つまり、信頼できないインターフェイスでは VLAN ID パススルーがイネーブルで、信頼できるインターフェイスでは VLAN ID が終端する場合、信頼できない(管理対象)クライアントから信頼ネットワークへのパケットでは ID が保持されますが、その逆方向へのパケットでは、ID が削除されます。ただし、ほとんどの場合は両方のインターフェイスで VLAN ID パススルーをイネーブルまたはディセーブルにします。

管理 VLAN ID はデフォルト VLAN ID です。パケットに独自の VLAN ID がない場合、または ID が隣接インターフェイスで除去された場合は、インターフェイスで指定された管理 VLAN ID がパケットに追加されて、ネットワークの VLAN 対応機器を介して適切にルーティングされます。


) 一般的な CAS 設定では、信頼できないインターフェイスがトランク ポートに接続され、複数の VLAN がこのポートにトランキングされます。このような場合、管理 VLAN ID は CAS の IP アドレスが属する VLAN の VLAN ID です。


VLAN を設定する場合は注意してください。VLAN が正しく設定されていないと、CAM Web 管理コンソールから CAS にアクセスできなくなることがあります。VLAN 設定の変更後に CAM から CAS にアクセスできない場合は、CAS に直接アクセスして、設定を訂正する必要があります(『Cisco NAC Appliance Hardware Installation Guide, Release 4.7 (1) 』を参照)。

CAS eth0 および eth1 インターフェイスの VLAN 設定値は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] で設定します。設定値は次のとおりです。

[Set management VLAN ID]:ID が設定されていないパケットに追加されるデフォルト VLAN ID 値。管理対象クライアント宛パケットに VLAN ID を追加するために信頼できない(eth1)インターフェイスで設定されます。または、信頼(保護対象)ネットワーク宛のパケットに VLAN ID を追加するために信頼できる(eth0)インターフェイスで設定されます。

[Pass through VLAN ID to managed network] / [Pass through VLAN ID to protected network]:選択されている場合、パケット内の VLAN ID は変更されないまま、インターフェイスを通過します。

前述のように、管理対象ネットワークの管理 VLAN ID 値を設定すると、管理対象ネットワーク全体の発信トラフィックに VLAN ID タグを追加できます。別の特性に基づいて VLAN ID を設定することもできます。特に、CAS が発信トラフィックにタグ付けする場合の基準となるのは、次の項目です。

管理対象ネットワーク
([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP])

管理対象サブネット
([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Managed Subnet])

ユーザ ロール
([User Management] > [User Roles] > [User Roles] > [New] または [Edit Role])

たとえば、 faculty ロールの VLAN ID を 1005 に設定すると、そのロール内のユーザに属する各パケットが CAS の信頼できない側から信頼できる側に通過するときに、CAS は目的の VLAN ID を設定します。

また、VLAN タギングが設定されている場合に、外部認証元によって認証された、特定の VLAN ID 上のユーザからのトラフィックを、特定のユーザ ロールに対応付けることができます([User Management] > [Auth Servers] > [Mapping Rules])。ロール マッピング規則では、ユーザをロールに割り当てる場合に、ユーザの VLAN ID を属性の 1 つとして使用できます。詳細については、『 Cisco NAC Appliance-Clean Access Manager Configuration Guide, Release 4.7(1) 』を参照してください。

バーチャル ゲートウェイ モードでのサブネットベース VLAN 再タグ付けのイネーブル化

[Managed Subnet] フォーム([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Managed Subnet])を使用すると、Real-IP、NAT、および バーチャル ゲートウェイ モードの CAS に管理対象サブネットを追加できます(「L2 配置の管理対象サブネットの設定」を参照)。CAS の信頼できないインターフェイスから送信されたトラフィックは、管理対象サブネットの VLAN ID に従ってタグ付けされます。

バーチャル ゲートウェイ モードの CAS に限り、[Enable subnet-based VLAN retag] オプションが [Managed Subnet] フォームの上部に表示されます(図 4-17 を参照)。

図 4-17 バーチャル ゲートウェイ の [Enable subnet-based VLAN retag]

 

この機能は、有線ネットワークよりも無線ネットワークで役に立ちます。たとえば、バーチャル ゲートウェイ モードの単一の CAS が、各サブネットが独立した VLAN である複数のサブネットおよび VLAN を管理しているとします。ユーザが最初に VLAN A の Access Point(AP; アクセス ポイント)に接続されている場合、ユーザはサブネット A の IP アドレスを受信します。無線信号が重なっているために、ユーザはそれ以降 VLAN B の AP に接続されるとします。[Enable subnet-based VLAN retag] 機能がイネーブルでない場合、アドレスがサブネット A(つまり VLAN A)上にあるため、ユーザのトラフィックは正しくルーティングされませんが、VLAN B でパケットにタグ付けされます。この機能をイネーブルにすると、所属先のサブネットに基づいて CAS でパケットに再タグ付けして、このパケットを正しくルーティングすることができます。

バーチャル ゲートウェイ モードでの VLAN マッピング

バーチャル ゲートウェイ モードの CAS の場合に限り、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピング フォームが表示されます。このフォームでは、信頼できないインターフェイスの VLAN ID を信頼ネットワークの VLAN ID に対応付けることができます。

CAS を経由するトラフィックには、この VLAN マッピング設定に従って VLAN が再びタグ付けされます。

ネイティブ VLAN、管理 VLAN、ダミー VLAN

ベスト プラクティスを目的として、またバーチャル ゲートウェイ配置のトランキング コンフィギュレーションの問題を回避するため、Cisco NAC アプライアンスでは、スイッチの設定時にネイティブ、管理、ダミーの各 VLAN の差別化が必要になります。


注意 VLAN 1 で CAS を設定しないでください。

ネイティブ VLAN は、宣言されているかどうかに関係なく存在します。デフォルトは VLAN 1 です。デフォルトでは、すべてのシスコ製スイッチで、ポートが VLAN 1 内になるように設定され、トランク リンクには、VLAN 1 として設定された VLAN があります。VLAN 1 に関する既知の脆弱性に加え、セキュリティ アプライアンスとして、シスコでは、ネイティブ VLAN を VLAN 1 以外の VLAN に設定することをはっきりと推奨します。このように設定することにより、トラフィックがこの VLAN の CAS に知らないうちに渡されたり通過することはありません。たとえば、トランク リンクに設定の誤りがあったり、VLAN 1 に不明なトラフィックがあったりした場合でも(デフォルト VLAN 1 の未使用ポートにユーザがノート型パソコンを接続するなど)、CAS での問題につながることはありません。


) VLAN 1 の制限は CAS に必須で、CAM にも強く推奨されています。信頼できるポートと信頼できないポートの間に共通 VLAN が存在してはならないというバーチャル ゲートウェイ モードでの CAS のコンフィギュレーション要件のため、VLAN 1 を信頼できるポートまたは信頼できないポートのどちらにも絶対に使用しないでください。このような使用を避ければ、レイヤ 2 ループがコンフィグレーションの誤りによって VLAN 1 で発生する可能性がなくなります。


管理 VLAN をネイティブ VLAN にすることは可能ですが、管理 VLAN を別の値に設定することで、CAS に渡される、または CAS を経由して渡される すべてのトラフィック にタグが付けられ、CAS がトラフィックを CAS の管理 VLAN または CAS の信頼できないインターフェイスから信頼できるインターフェイスへの VLAN マッピングのいずれかに正しく関連付けることに疑問の余地がなくなります。このような理由から、タグの付いていないパケットが正常にドロップされるように、「ダミー」VLAN も使用されます。


) CAS の管理 VLAN は、[Network] > [IP] で設定されます。VLAN マッピングは、CAS で設定されます([Advanced] > [VLAN Mapping])。


ベスト プラクティスとしては、たとえば 998 と 999 など、 異なる ダミー VLAN を CAS の eth0 および eth1 インターフェイス上のネイティブ VLAN に使用することを推奨します。これにより、タグの付いていないトラフィックはドロップされ、信頼できない CAS インターフェイスと信頼できる CAS インターフェイスの間で知らないうちに渡されることはありません。CAS は、いずれの場合も VLAN マッピングなしでトラフィックを渡しません。ただし、異なるダミー VLAN ID を使用することで、トラフィックがネイティブ VLAN を経由して不正に CAS へ渡されたり CAS を通過する原因となる、手動または管理者の誤りを防ぐことができます。

インバンドの場合の VLAN マッピング

CAS が バーチャル ゲートウェイ モードで動作している場合、CAS は VLAN タグを変更しないで、ネットワーク トラフィックを eth0 インターフェイスから eth1 に、および eth1 から eth0 に送信します。

インバンド設定の場合、ループを形成しないで、両方のインターフェイスから同じレイヤ 2 スイッチを介してトラフィックを送信するには、着信トラフィックを CAS の発信トラフィックと異なる VLAN 上の CAS に転送する必要があります。

OOB 用の VLAN マッピング

OOB バーチャル ゲートウェイ モードの場合、OOB CAS は VLAN マッピングを使用して、認証 VLAN からアクセス VLAN に、あるいはその逆に送信される、認証済みでないクライアントの許可トラフィック(DHCP および DNS など)に再タグ付けします。


) OOB の設定に関するその他のすべての詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』を参照してください。


OOB バーチャル ゲートウェイ モードのスイッチ設定

Cisco NAC Appliance に対して次の VLAN ID を取得します。

CAM の VLAN(管理 VLAN、64 など)

CAS の VLAN(新しい管理 VLAN、222 など)


) バーチャル ゲートウェイの場合、CAS の管理 VLAN は CAM とは異なる必要があります。


アクセス VLAN(10、20、30、40 など)

認証 VLAN(610、620、630、640 など)

CAS インターフェイス(998、999 など)に接続されたスイッチ インターフェイスでのネイティブ VLAN 設定のダミー(未使用)VLAN

CAS の eth0 に接続されたスイッチ インターフェイスのスイッチ設定例:

switchport trunk encapsulation dot1q

switchport trunk native vlan 998

switchport trunk allowed vlan 10,20,30,40,222

CAS の eth1 に接続されたスイッチ インターフェイスのスイッチ設定例:

switchport trunk encapsulation dot1q

switchport trunk native vlan 999

switchport trunk allowed vlan 610,620,630,640

CAS eth0 および eth1 のネットワーク設定:
([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP]):

信頼できる管理 VLAN ID の設定(222 など)

図 4-18 管理 VLAN ID の設定

 


) 信頼できる側と信頼できない側両方で不要な VLAN を取り除き、CAS が管理に必要とする VLAN だけにする必要があります。また、両側のトランクの中から不要な VLAN 1 を取り除く必要もあります。


VLAN マッピングの設定

1. [Device Management] > [CCA Servers] > [List of Servers] の順番に進み、追加した CAS の [Manage] ボタンをクリックします。CAS 管理ページが表示されます。

2. [Advanced] タブをクリックします。

3. [VLAN Mapping] リンクをクリックします。

図 4-19 VLAN マッピングのイネーブル化

 

4. 両方向([Untrusted -> Trusted] および [Trusted -> Untrusted])の CAS インターフェイスにわたって通過するマッピングのない VLAN パケットをブロックする場合は、[Enable VLAN Pruning] のチェックボックスをオンにします。


) VLAN プルーニングは、デフォルトでイネーブルになっています。


次の表に、VLAN プルーニングおよび VLAN マッピングがイネーブルまたはディセーブルになっているときの、VLAN トラフィックにおける実質的な影響についての簡単な説明を示します。

 

VLAN プルーニング
VLAN マッピング
結果

ON

ON

マッピングなしのすべての VLAN パケットを廃棄

ON

OFF

マッピングに関係なくすべての VLAN パケットを廃棄

OFF

ON

VLAN パケット ループを原因とするレイヤ 2 UDP ブロードキャスト ストームの可能性

OFF

OFF

VLAN パケット ループを原因とするレイヤ 2 UDP ブロードキャスト ストームの可能性

警告 [Enable VLAN Pruning] オプションだけがイネーブルになっている場合、CAS はいずれかの方向に通過する すべての VLAN パケットを廃棄します。

5. [Enable VLAN Mapping] のチェックボックスをオンにしてから、[Update] をクリックします。

6. [Untrusted network VLAN ID] フィールドに認証 VLAN ID を入力します。

7. [Trusted network VLAN ID] フィールドにアクセス VLAN ID を入力します。

8. (任意)[Description] に説明を入力します(「 Users on edge switch 」など)。

9. [Add Mapping] をクリックします。

VLAN マッピングの確認手順

1. [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] の順番に進みます。

2. 設定した VLAN マッピングは、ページ下部に表示されます。

図 4-20 VLAN マッピングの確認

 

ローカル デバイスおよびサブネットのフィルタリング

一般に、Cisco NAC アプライアンスは、ネットワークにアクセスしようとしているクライアントに認証要件を適用します。デバイスおよびサブネット フィルタを使用すると、特定のクライアントに対する特殊なアクセス権または制限を定義することができます。


) CAS 管理ページで設定されたアクセス ポリシーは、管理中の CAS にだけ適用されます。すべての CAS に対応するグローバル パススルー ポリシーを設定するには、CAM Web コンソールの [Device Management] > [Filters] モジュールの順番に進みます。一般にローカル ポリシーはグローバル設定を上書きします。


デバイスおよびサブネット フィルタには、次の機能があります。

認証しなくても、デバイスおよびサブネットですべてのトラフィックを許可できます。

デバイスおよびサブネットからのネットワーク アクセスをブロックできます。

特定のデバイスおよびサブネットに対して認証を免除し、そのデバイスに別のロール ポリシーを適用することができます。

フィルタ ポリシーは、Cisco NAC アプライアンスのロールをクライアントに割り当てる方法の 1 つです。ロール割り当ての優先順位は次のとおりです。

1. MAC アドレス

2. サブネットおよび IP アドレス

3. ログイン情報(ログイン ID、認証サーバから得たユーザの属性、ユーザ マシンの VLAN ID など)

したがって、あるクライアントが MAC アドレスでは「ロール A」に関連付けられているのに、ユーザのログイン ID では「ロール B」に関連付けられている場合は、「ロール A」が使用されます。


) OOB 配置の場合、CAM はグローバルな Device Filters リストを尊重します。OOB 環境で配置する場合には、ローカルな(CAS 固有の)デバイス フィルタを設定しないことを強く推奨します。詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Global Device and Subnet Filtering」を参照してください。



) デバイス フィルタ設定またはサブネット フィルタ設定は、CAS フォールバック ポリシーよりも優先されます。CAS フォールバック モードでは、CAS デバイス フィルタ設定によりクライアントの MAC アドレスに基づいて動作が決定されます。デバイス フィルタ設定が適用されない場合(CAS がレイヤ 3 ゲートウェイでありクライアントの MAC アドレスを特定できない場合など)、CAS フォールバック ポリシーを適用する前に、CAS は該当するサブネット フィルタ設定も探します。詳細については、「CAS フォールバック ポリシー」を参照してください。


ローカル デバイス アクセス フィルタ ポリシーの設定

インバンド配置用のローカル デバイス フィルタ ポリシーを設定できます。


ステップ 1 [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Filter] > [Devices] の順番に進みます。

図 4-21 ローカル デバイス フィルタ リスト

 

ステップ 2 [New] をクリックします。図 4-22 に示すように、新しいローカル フィルタ フォームが表示されます。

ステップ 3 [Devices] フォームにデバイスの MAC アドレスを入力します。このデバイスは、[MAC Address/IP Address Description] テキスト フィールドに、ポリシーを作成するデバイスです。次の形式で 1 行に 1 つずつエントリを入力します。

<MAC>/<optional_IP> <optional_entry_description>
 

以下の点に留意してください。

複数の MAC アドレスを指定する場合は、ワイルドカード「 * 」または範囲「 - 」を使用できます。

複数のデバイスを入力する場合、改行を使用してデバイスを区切ります。

MAC アドレスと IP アドレスを両方入力した場合、両方に一致するクライアントに規則が適用されます。

デバイスの記述は、デバイス単位で、またはすべてのデバイスに対して指定できます。[Description (all entries)] フィールドのすべてのデバイスに適用される記述よりも、特定のデバイスに対する記述([MAC Address] フィールド)の方が優先されます。各デバイス エントリ内の記述にはスペースを入力できません。

ステップ 4 [Access Type] の選択肢の中から、そのデバイスのポリシーを選択します。

ALLOW :IB - bypass login, bypass posture assessment, allow access

DENY :IB - bypass login, bypass posture assessment, deny access

ROLE :IB - bypass login, bypass L2 posture assessment, assign role

CHECK :IB - bypass login, apply posture assessment, assign role

ステップ 5 CHECK または ROLE を使用している場合、[User Role] ドロップダウン メニューからロールを選択します。

ステップ 6 [Add] をクリックしてポリシーを保存します。ポリシーはページ下部のリストに表示されます。

次の例はすべて有効なエントリです(同時に入力できます)。

00:16:21:11:4D:67/10.1.12.9 pocket_pc
00:16:21:12:* group1
00:16:21:13:4D:12-00:16:21:13:E4:04 group2
 

図 4-22 新しいローカル フィルタ

 


) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。


フィルタ リストのカラムを並べ替えるには、カラム見出しラベル([MAC Address]、[IP Address]、[Description]、[Access Type] など)をクリックします。

デバイス アクセス ポリシーを編集するには、[Edit] ボタンをクリックします。MAC アドレスは、変更できないフィルタ ポリシー プロパティです。MAC アドレスを変更するには、新しいフィルタ ポリシーを作成して、既存のポリシーを削除します。

任意の個数のデバイス アクセス ポリシーを削除するには、目的のポリシーの横にあるチェックボックスをオンにして、[Delete] ボタンをクリックします。


 

アクティブ L2 デバイス フィルタ ポリシーの表示

特定の CAS のフィルタ ポリシーのアクティブ レイヤ 2 デバイスを表示する手順は、次の通りです。


ステップ 1 [Device Management] > [CCA Servers] > [List of Servers] > [Manage [CAS_IP]] > [Filter] > [Devices] > [Active] の順番に進みます。

ステップ 2 まず [Show All] ボタンをクリックし、現在 CAS に接続されパケットを送信しているクライアントからの情報と、デバイス フィルタ内のその MAC アドレスを、[Active] ページに入力します。

ステップ 3 また、クライアント IP または MAC アドレスで [Search] を実行し、結果をページに入力することもできます。デフォルトでは、実行された [Search] パラメータは、[Search IP/MAC Address] フィールドに入力された値の「contains」と等しくなります。

パフォーマンスの考慮事項として、[Active] ページには、[Show All] または [Search] をクリックしてページを更新したときの最新のデバイス情報だけが表示されます。

図 4-23 アクティブ

 


) CAM からすべての CAS のアクティブ デバイスを表示するには、[Device Management] > [Filters] > [Devices] > [Active] の順番に進みます。



 

サブネット アクセス フィルタ ポリシーの設定

[Subnets] フォームを使用すると、サブネット全体に対応するアクセス規則を指定できます。そのサブネットからネットワークにアクセスするすべてのデバイスに規則が適用されます。

サブネットベースのアクセス制御を設定する手順

1. [Filter] タブで、[Subnets] リンクをクリックします。

2. [Subnet address/netmask] フィールドに、サブネットのアドレスと、サブネット アドレスの有効なビットを識別するネットマスクを入力します。

図 4-24 ローカル サブネット フィルタ

 

3. (任意)[Description] フィールドに、ポリシーまたはデバイスの説明を入力します。

4. [Access Type] の選択肢の中から、そのデバイスのネットワーク アクセス ポリシーを選択します。

[allow]:デバイスは認証なしでネットワークにアクセスできます。

[deny]:デバイスはネットワークへのアクセスをブロックされます。場合に応じて、ユーザはブロックされ、アクセスが拒否されたことをユーザに示す HTML ページが表示されます。

[use role]:指定されたデバイスを持つユーザにロールを適用します。このオプションを選択した場合は、適用するロールも選択します。ユーザを認証する必要はありません。

5. [Add] をクリックしてポリシーを保存します。

ポリシーは即座に有効になり、フィルタ ポリシー リストに表示されます。このリストからサブネット ポリシーを削除するには、[Delete] ボタンを使用します。サブネット ポリシーを編集するには、[Edit] ボタンをクリックします。サブネット アドレスは、変更できないフィルタ ポリシー プロパティです。アドレスを変更するには、新しいフィルタ ポリシーを作成し、既存のポリシーを削除する必要があります。

フィルタ リストをカラムごとに並べ替えるには、見出しラベル([Subnet]、[Description] など)をクリックします。

CAS フォールバック ポリシー

CAS フォールバック ポリシー機能により、管理者は、CAS から CAM に到達できなくなったときに CAS により許可されるユーザ アクセスのレベルを設定できます。たとえば、リモート CAS が CAM への到達を試みているときに WAN リンクに障害が発生した場合、CAS フォールバックを使用して、全ユーザ トラフィックの許可、全ユーザ トラフィックのブロック、またはすでに認証済みユーザのトラフィックだけを許可(デフォルトの CAS 動作)といったユーザ アクセス ポリシーを指定できます。


CAS フォールバック機能は、CAS と CAM の間の通信が失われた状態のための機能です。中央配置での CAS の障害に対して保護するためには、CAS ハイ アベイラビリティ(HA)フェールオーバー バンドルの展開を推奨します。詳細については、『Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)』を参照してください。


CAS は、指定した検出間隔に従って、CAM のステータスを定期的に確認します。指定された検出間隔のうち事前に決定されているパーセンテージの期間 CAM に到達できないと、CAS はすべてのユーザ ロールのトラフィック ポリシーを、指定したフォールバック ポリシーに基づいて「Allow All」、「Block All」、「Ignore」のいずれかに設定します。以下に示すように、しきい値 [Detect Interval]、[Detect Timeout]、および [Fail Percentage] を指定できます。

デバイス フィルタ設定またはサブネット フィルタ設定は、CAS フォールバック ポリシーよりも優先されます。CAS フォールバック モードでは、CAS デバイス フィルタ設定によりクライアントの MAC アドレスに基づいて動作が決定されます。デバイス フィルタ設定が適用されない場合(CAS がレイヤ 3 ゲートウェイでありクライアントの MAC アドレスを特定できない場合など)、CAS フォールバック ポリシーを適用する前に、CAS は該当するサブネット フィルタ設定も探します。


) CAS がフォールバック モードになり、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Misc] > [Heartbeat Timer] Web コンソール ページで [Enable Heartbeat Timer] オプションがイネーブルになっている場合でも、指定された時間が経過すると、ユーザ セッションは終了し、[Online Users] リストと [Certified Devices] リストから削除されます。詳細については、「ローカル ハートビート タイマー」を参照してください。


CAS フォールバック リカバリの間(CAS が CAM に再接続している間)、CAS を通じて Cisco NAC アプライアンスにアクセスしているユーザに対しログイン ダイアログが表示されますが、約 2 分間認証されずログインできません(CAS フォールバック リカバリが完了するまで、ユーザがログインしようとすると、「Failed to add user to the list」というエラー メッセージが表示されます)。


) CAS CLI で failSafeStatus スクリプトを使用し、CAS が現在正常に動作しているのかフォールバック状態なのかを判断できます。スクリプトを実行するには、root で CAS CLI にログインし、/perfigo/access/bin/ ディレクトリから failSafeStatus と入力します。



) リリース 4.5(1) から、HA ペアのスタンバイ CAS が DHCP アドレス管理を行っていてフォールバック状態になったアクティブ CAS の役割を引き継ぐとき、新しいアクティブ CAS はユーザ ログインに加えて DHCP 機能も引き継ぎます。


CAS フォールバックの設定


ステップ 1 [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Fallback] の順番に進みます。

図 4-25 CAS フォールバック

 

ステップ 2 [Fallback Policy] ドロップダウン メニューから、次のオプションのいずれかを選択します。

[Ignore](デフォルト):認証済みユーザのトラフィックだけを許可し、新規ユーザはブロックします。このオプションでは、既存の(認証済み)ユーザによるローカルおよびリモート サイト リソースへのアクセスを許可し、新規の(未認証)ユーザはブロックされます。

[Allow All]:全ユーザ(認証済みおよび新規)のすべてのトラフィックを許可します。このオプションでは、新規のユーザも既存のユーザもローカルおよびリモート サイト リソースにアクセスできます。

[Block All]:全ユーザ(認証済みおよび新規)のすべてのトラフィックをブロックします。このオプションでは、新規のユーザと既存のユーザによるローカルおよびリモート サイト リソースへのアクセスがブロックされます。

ステップ 3 [Detect Interval] に検出間隔を入力します(デフォルトは 20 秒)。[Detect Interval] は、CAM がネットワーク上で到達可能であるかどうかを確認するために、CAS が CAM にポーリングする頻度を示します。[Detect Interval] は 20 秒以上であることが必要です。

ステップ 4 [Detect Timeout] に検出タイムアウトを入力します(デフォルトは 300 秒)。[Detect Timeout] は、CAM が到達可能かどうかを判断する前に CAS が CAM に対するポーリングを継続する時間を示します。確認ポーリングのうち [Fail Percentage] で指定したパーセンテージが失敗すると( 表 4-2 を参照)、CAS は CAM が到達不能と見なし、CAS フォールバック ポリシーを起動します。[Detect Timeout] の値は、[Detect Interval](デフォルトは 300 秒)の 15 倍よりも大きい必要がありますが、[Detect Timeout] に [Detect Interval] の値の 30 倍の値を設定することを推奨します(たとえば、[Detect Interval] が 20 秒の場合は [Detect Timeout] に 600 秒を設定します)。


) [Detect Interval] および [Detect Timeout] の設定のデフォルト値は、Cisco NAC アプライアンス リリース 4.5(1) 以降の新しいインストールに適用されます。以前の Cisco NAC アプライアンス リリースからアップグレードする場合、元の [Detect Interval] と [Detect Timeout] の値が保持され、期待される CAS フォールバック動作を維持するためには新しい設定を指定する必要があります。


ステップ 5 [Fail Percentage] にフォールバック パーセンテージを指定します。[Fail Percentage] は、[Detect Timeout] の間に CAS ポーリング イベントの何パーセントが失敗したら CAS が CAM を到達不要であると見なしフォールバック ポリシーを起動するかを示します。ネットワークの安定性を確保し、CAS フェールオーバー イベントを最小限にするには、[Fail Percentage] 設定は 25% ~ 50% にします。

[Detect Timeout] の間に監視する CAS イベントおよびポーリングの回数を知るには、[Detect Timeout] を [Detect Interval] で割ります。CAS が実行する確認ポーリングの回数がわかったら、[Fail Percentage] を掛けて、CAS フォールバックが起動されるには [Detect Timeout] の間に何度ポーリング イベントが失敗する必要があるかを決定します。

たとえば、CAS が [Detect Timeout] の期間内に 15 回の確認ポーリングを行い、CAS が CAS から CAM への確認ポーリングの 30% が失敗したときにフォールバックするように設定されている場合(つまり、[Fail Percentage] に 30 を指定した場合)、CAM に対する確認ポーリングが 5 回以上失敗すると CAS フォールバックが発生します。これは、15 回のポーリングの 30% は 4.5 回であるためです(5 に切り上げ)(詳細は、 表 4-2 を参照してください)。


) CAS フォールバック計算では、分数は必ず次の整数値に切り上げます。


ステップ 6 [Resume Percentage] の値は、指定した [Fail Percentage] の値に応じて自動的に設定されます。[Resume Percentage] は、CAS フォールバック イベントのあとに、CAS が正常動作に戻るために必要な CAM からの正常応答のパーセンテージを示します。

CAS フォールバック イベントのあと、CAS は指定したフォールバック パラメータに従って CAM との接続を監視し続け、[Detect Timeout] の間、定期的な接続確認ポーリングの最低パーセンテージに CAM が応答すると、通常動作に戻ります。[Resume Percentage] の値を決定するための関数は、100% の成功率から [Fail Percentage] の 1/2 を引いた値です。そのため、[Fail Percentage] に 30% が指定されている場合、CAS は CAM が [Detect Timeout] の期間の間ポーリングの 85%(100% から 30% の半分の 15% を引いた値)に応答すると通常動作に戻ります。

ステップ 7 [Update] をクリックします。


 

表 4-2 は、CAS フォールバックの設定例と、CAS フォールバックをイネーブルにした場合の Cisco NAC アプライアンス システムにおけるフォールバック ポリシーの結果を示します。太字の値はユーザ固有です。

 

表 4-2 CAS フォールバックの設定例と結果

Detect Interval(指定)
Detect Timeout(指定)
Detect Timeout にわたる CAS ポーリングの回数
(Detect Timeout/
Detect Interval)
Fail Percentage 25%~50%
(指定)
CAS フォールバックを起動するポーリング失敗の数(CAS ポーリング x Fail Percentage)
Resume Percentage
(100 - Fail Percentage/2)
CAS が動作をレジュームするための Detect Timeout にわたるポーリング成功数
(CAS ポーリング x Resume Percentage)

20 秒

300 秒

15

30%

5(4.5 を切り上げ)

85%

13(12.75 を切り上げ)

20 秒

600 秒

30

30%

9

85%

26(25.5 を切り上げ)

20 秒

400 秒

20

25%

5

88%(87.5% を切り上げ)

18(17.5 を切り上げ)

30 秒

600 秒

20

30%

6

85%

17

CAS でのプロキシ サーバ設定

デフォルトでは、CAS はポート 80 および 443 のクライアント トラフィックをログイン ページにリダイレクトします。非信頼ネットワーク上のユーザが、プロキシ サーバまたは異なるポートを使用する必要がある場合、HTTP/HTTPS クライアント トラフィックが(未認証ユーザ用の)ログイン ページに、または HTTP/HTTPS/FTP トラフィックが(Quarantine または Temporary ロール ユーザ用の)許可されたホストに適切にリダイレクトされるように、対応するプロキシ サーバ情報を CAS に設定できます。次のように指定できます。

プロキシ サーバ ポートのみ(たとえば、8080、8000):この設定は、ユーザがプロキシ サーバを通過できるものの、その IP アドレスを知らないような環境(たとえば大学)で有用です。

プロキシ サーバの IP アドレスとポートのペア(たとえば、10.10.10.2:80):この設定は、使用するプロキシ サーバの IP およびポートが既知のものである環境(たとえば企業)で有用です。

事前に設定済みのプロキシ PAC ファイルの URL:これは、CAS がユーザ セッションをリダイレクトするために使用するファイルです。セッションのリダイレクトを正常に行うには、指定する URL の IP アドレスおよびポートがプロキシ サーバの IP アドレスおよびポートと同じであることが必要です。URL の IP アドレスまたはポートがプロキシ サーバの設定と異なる場合には、代わりにユーザ セッションに対して IP またはホスト ポリシーを設定する必要があります。

CAS でのプロキシ サーバ設定を指定するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access Servers] > [Manage [CAS_IP]] > [Advanced] > [Proxy] の順番に進みます。

図 4-26 クライアント トラフィックのプロキシ設定

 

ステップ 2 次のようにプロキシ ソースを指定します。

プロキシの IP アドレスを [Proxy Server (IP:)Port] に入力します。プロキシ サーバのポート番号または IP: ポートを入力します。複数のエントリを指定する場合は、カンマで区切ります。次の例を参考にしてください。

3128,8080,8000,10.10.10.2:6588,10.10.10.2:3382
 

) セキュリティを向上させるため、プロキシ サーバの IP とポートの両方を指定することを強く推奨します。そのように指定することで、CAS は指定した IP アドレスからの要求だけを代行受信します。ポートまたは IP: ポートのいずれかをプロキシ サーバに指定する必要があります。IP アドレスだけの指定はできません。


CAS がユーザ セッションをリダイレクトするために使用する、事前に設定済みのプロキシ PAC ファイルの URL を入力します。


) セッションのリダイレクトを正常に行うには、指定する URL の IP アドレスおよびポートがプロキシ サーバの IP アドレスおよびポートと同じであることが必要です。URL の IP アドレスまたはポートがプロキシ サーバの設定と異なる場合には、代わりにユーザ セッションに対して IP またはホスト ポリシーを設定する必要があります。


ステップ 3 [Update] をクリックして設定値を保存します。