Cisco NAC アプライアンス Clean Access Manager コンフィギュレーション ガイド リリース 4.9
デバイス管理:Clean Access Server の追 加、フィルタの追加
デバイス管理:Clean Access Server の追加、フィルタの追加
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

デバイス管理:Clean Access Server の追加、フィルタの追加

Clean Access Server との連携

管理ドメインへの Clean Access Server の追加

Clean Access Server の管理

Clean Access Manager から Clean Access Server への許可の設定

Clean Access Manager から Clean Access Server への許可を設定する手順の要約

許可のイネーブル化および許可された Clean Access Server の指定

Clean Access Server の状態確認

Clean Access Server の切断

Clean Access Server のリブート

管理ドメインからの Clean Access Server の削除

Clean Access Server 追加時のトラブルシューティング

グローバルおよびローカルの管理設定値

グローバルおよびローカルの設定値

デバイスおよびサブネットのグローバル フィルタリング

概要

デバイス フィルタとライセンスのユーザ数制限

複数エントリの追加

MAC アドレスによる企業資産の認証とポスチャ評価

インバンド配置のデバイス フィルタ

アウトオブバンド配置のデバイス フィルタ

IP 電話を使用するアウトオブバンド配置のデバイス フィルタ

インバンドおよびアウトオブバンド デバイス フィルタの動作の比較

デバイス フィルタとゲーム ポート

グローバルおよび ローカル(CAS 固有)のフィルタ

Cisco NAC Profiler のグローバル デバイス フィルタ リスト

デバイス フィルタの設定

グローバル デバイス フィルタの追加

デバイス フィルタ ポリシーの表示/検索/インポート/エクスポート

順序デバイス フィルタ ワイルドカード/範囲ポリシー

デバイス フィルタ ポリシーのテスト

Active Layer 2 Device Filter ポリシーの表示

デバイス フィルタ ポリシーの編集

デバイス フィルタ ポリシーの削除

サブネット フィルタの設定

Cisco ISE Profiler の統合

Cisco ISE Profiler の詳細の追加

Cisco ISE Profiler の詳細の表示/編集/削除

Cisco ISE Profiler からのエンドポイントの同期

エンドポイント ポリシーのマッピング

新しいルールの作成

ルールの表示

ルールの編集

ルールの削除

ルールの順序

ISE Profiler での NAC Manager の設定

Cisco ISE 同期時のトラブルシューティング

シナリオの例

デバイス管理:Clean Access Server の追加、フィルタの追加

この章では、Clean Access Manager から Clean Access Server の追加や管理を行う方法と、デバイスまたはサブネットのフィルタの設定方法を説明します。次の事項について説明します。

「Clean Access Server との連携」

「グローバルおよびローカルの管理設定値」

「デバイスおよびサブネットのグローバル フィルタリング」

「Cisco ISE Profiler の統合」

Cisco NAC アプライアンスの導入作業として最初に行うのは、Clean Access Manager(CAM)の管理ドメインでデバイスを設定することです。Clean Access Server を Web コンソールで直接管理するためには、CAS を CAM に追加する必要があります。

デフォルトでは、Cisco NAC アプライアンスは、CAS の非信頼側にあるユーザ デバイスに対し、ネットワークへのアクセス試行時に認証を強制します。

非信頼ネットワークのユーザに対して、次の章に説明されているとおりに、ユーザ ロール、ユーザ認証、ユーザ Web ページ、インバンド ユーザ トラフィックのトラフィック ポリシーを設定する必要があります。

「ユーザ管理:ユーザ ロールとローカル ユーザの設定」

「ユーザ管理:認証サーバの設定」

「ユーザ管理:トラフィック制御、帯域幅、スケジュール」

アウトオブバンド配置で Cisco NAC アプライアンスを設定する場合は、CAM を「スイッチ管理:アウトオブバンド配置の設定」に説明されているとおりに設定する必要もあります。

Cisco NAC アプライアンスをネットワークの非信頼側のユーザ トラフィックに設定した後で、場合によっては非信頼側のデバイスが認証およびポスチャ評価を 回避 することを許可する必要があります(プリンタまたは VPN コンセントレータなど)。この種のデバイスに対して Clean Access Manager でフィルタを設定する方法については、「デバイスおよびサブネットのグローバル フィルタリング」を参照してください。

Clean Access Server との連携

Clean Access Server はランタイム パラメータを Clean Access Manager から取得するため、CAM のドメインに追加されるまで動作できません。CAS がインストールされ、CAM に追加されれば、CAS にローカル パラメータを設定し、Web 管理コンソールを通じてその CAS を監視できます。

ここでは、次の内容について説明します。

管理ドメインへの Clean Access Server の追加

Clean Access Server の管理

Clean Access Manager から Clean Access Server への許可の設定

Clean Access Server の状態確認

Clean Access Server の切断

Clean Access Server のリブート

管理ドメインからの Clean Access Server の削除

Clean Access Server 追加時のトラブルシューティング


) CAM と CAS との間に安全な初期の通信チャネルを確立するには、CAM が CAS の証明書を信頼できるように、また CAS が CAM の証明書を信頼できるように、各アプライアンスからのルート証明書を他方のアプライアンスの信頼できるストアにインポートする必要があります。


ローカル CAS 固有の設定の詳細は、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。

管理ドメインへの Clean Access Server の追加

Clean Access Server を Clean Access Manager に追加するには、CAS が稼動している必要があります。


) Clean Access Server を Virtual Gateway モード(IB または OOB)で設定する場合は、Web 管理コンソールで CAM への CAS の追加が完了するまで、その CAS の非信頼インターフェイス(eth1)をディセーブルにするか、ケーブルを外しておく必要があります。eh1 インターフェイスが接続された状態のままバーチャル ゲートウェイ モードの CAS のインストールと初期設定を行うと、ネットワークの接続に問題が生じることがあります。

VLAN がマッピングされたバーチャル ゲートウェイの場合(インバンドまたは OOB)、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピングが正しく設定されるまで、CAS の信頼できないインターフェイス(eth1)をスイッチに接続しないでください。

詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。


Clean Access Server の追加手順


ステップ 1 [Device Management] から、ナビゲーション メニューの [CCA Servers] リンクをクリックします。

 

ステップ 2 [New Server] タブをクリックします。

図 2-1 新しいサーバの追加

 

ステップ 3 [Server IP address] フィールドに、Clean Access Server の信頼できるインターフェイス(eth0)の IP アドレスを入力します。


) CAS の eth0 の IP アドレスは、管理 IP アドレスと同じです。


ステップ 4 (任意)[Server Location] フィールドに、Clean Access Server の場所の説明またはその他の識別情報を入力します。

ステップ 5 インバンド動作の場合は、[Server Type] リストから、その Clean Access Server の動作モードとして次のいずれかを選択します。

[Virtual Gateway]:L2 トランスペアレント ブリッジとして動作し、IPSec、フィルタリング、ウイルス保護、その他のサービスを提供します。

[Real-IP Gateway]:非信頼ネットワークのデフォルト ゲートウェイとして機能します。

ステップ 6 アウトオブバンド動作の場合は、次に示すアウトオブバンド動作タイプのいずれかを選択する必要があります。

[Out-of-Band Virtual Gateway]:認証および証明の処理中は Virtual Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。

[Out-of-Band Real-IP Gateway]:認証および証明の処理中は Real-IP Gateway として動作します。その後、そのユーザはアウトオブバンドに切り替わります(つまり、アクセス ネットワークに直接接続されます)。

CAM は、そのドメイン内のインバンドとアウトオブバンド両方の Clean Access Server を制御できます。ただし、CAS 自体は、インバンドとアウトオブバンドの いずれか一方 に設定する必要があります。

アウトオブバンド配置の詳細については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

CAS の動作モードの詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。

ステップ 7 [Add Clean Access Server] をクリックします。Clean Access Manager は、ネットワーク上でその Clean Access Server を検索し、管理対象サーバのリスト(図 2-2)に追加します。これで、Clean Access Server は Clean Access Manager の管理ドメインに追加されました。


 

Clean Access Server の管理

Clean Access Server の追加が完了したのち、VLAN マッピングや DHCP 設定など、CAS 固有の設定を行うことができます。トラフィック制御ポリシーなどの一部のパラメータについては、CAS での設定が CAM のグローバル設定より優先されます。

Clean Access Manager に CAS を追加すると、[List of Servers] タブに、その CAS が管理対象サーバの 1 つとして表示されます(図 2-2)。

図 2-2 [List of Servers] タブ

 

各 CAS エントリには、その CAS の IP アドレス、サーバ タイプ、場所、接続状態が表示されます。さらに、次の 4 つの管理制御アイコン、[Manage]、[Disconnect]、[Reboot]、[Delete] が表示されます。

Clean Access Server の管理を行うには、[Manage] アイコンをクリックします。


) Clean Access Server の設定(DHCP またはハイ アベイラビリティなど)の詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。


Clean Access Manager から Clean Access Server への許可の設定

Clean Access Server を CAM に追加する場合は、ネットワーク セキュリティを強化するために、アプライアンス間の相互許可をイネーブルにすることもできます。

管理者は、CAM の [Authorization] Web コンソール ページを使用して、CAM と CAS との間のセキュアな通信を確保するために、1 つ以上の CAS の識別名(DN)を入力できます。許可機能をイネーブルにして、1 つ以上の CAS を [Authorized CCA Servers] リストに追加すると、CAM では、リストにない CAS からの通信は受け入れられなくなります。そのため、ネットワーク内でこの機能を採用してイネーブルにすることを選択した場合は、ネットワーク内のすべての CAS について CAM と CAS 間の接続が維持されるように、管理対象の すべて の CAS を [Authorized CCA Servers] リストに追加する必要があります。

同様に、CAM/CAS 間の双方向の許可を確立するために、ネットワーク内のすべての CAS でこの機能をイネーブルにして CAM DN を指定する必要もあります。

CAM または CAS を HA 環境に配置した場合は、HA プライマリ アプライアンスの DN だけを指定することで、HA ペアの HP プライマリ マシンと HA セカンダリ マシンの両方に対して許可をイネーブルにできます。たとえば、CAM が CAS HA ペアを 1 つ管理する場合、CAM の [Authorization] ページ上で HA プライマリ CAS をリストに含めるだけでイネーブルにできます。同様に、CAM HA ペアによって管理されている CAS に対してこの機能をイネーブルにする場合は、CAS の [Authorization] ページで HA プライマリ CAM をリストに含めるだけです。

Clean Access Manager から Clean Access Server への許可を設定する手順の要約


ステップ 1 CAM Web コンソールの [Device Management] > [Clean Access Servers] > [Authorization] で CAS の許可を設定します(「許可のイネーブル化および許可された Clean Access Server の指定」を参照してください)。

ステップ 2 CAS Web コンソールの [Administration] > [Authorization] で CAM の許可を設定します(『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Enable Authorization and Specify the Authorized Clean Access Manager」を参照)。

ステップ 3 実稼動環境に配置する前に、CAM と CAS の信頼できる CA 署名付き証明書を入手して、[Administration] > [SSL] > [Trusted Certificate Authorities](CAM の場合)および [Administration] > [SSL] > [Trusted Certificate Authorities](CAS の場合)を選択してこれらの証明書を CAM/CAS にインポートします。


警告 以前の配置で不完全な、正しくない、または順序が不適切な SSL 証明書のチェーンを使用している場合は、リリース 4.5 以降へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 以降にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 以降へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノートの『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。


ステップ 4 Cisco NAC アプライアンスのリリースをアップグレードする場合は、CAM の [Administration] > [CCA Manager] > [SSL] > [Trusted Certificate Authorities] と、CAS の [Administration] > [SSL] > [Trusted Certificate Authorities] で信頼できる認証局をクリーンアップしてください(それぞれ、「信頼できる認証局の管理」と、『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.9 』の「View and Remove Trusted Certificate Authorities」を参照)。


) CAM HA ペアで許可機能を使用する場合は、「CAM/CAS 許可設定のバックアップと復元」のガイドラインに従って、1 つの CAM の許可設定が正確にハイ アベイラビリティ CAM に複製されるようにしてください。



 

許可のイネーブル化および許可された Clean Access Server の指定

許可をイネーブルにして、CAM との通信が許可された CAS を指定するための手順を実行してください。


ステップ 1 [Device Management] > [Clean Access Servers] > [Authorization] に移動します(図 2-3を参照)。

図 2-3 [Device Management] > [Clean Access Servers] > [Authorization]

 

ステップ 2 [Enable CCA Server Authorization] をクリックして、Cisco NAC アプライアンスの許可機能をオンにします。


警告 CAM との安全な通信を許可する CAS の完全識別名を 1 つ以上入力せずに、[Enable CCA Server Authorization] オプションをクリックしないでください。この機能をイネーブルにする場合に、CAS 識別名を何も指定しないと、ネットワーク内のどの CAS とも通信できません。


ステップ 3 プラス アイコン「+」をクリックして、CAM との安全な通信を許可する CAS の完全識別名を入力してください。たとえば、「CN=110.21.5.123, OU=cca, O=cisco, L=sj, ST=ca, C=us」のようなテキスト文字列を [Distinguished Name] フィールドに入力します。


) 識別名は正確な構文で指定する必要があります。そのため、CAM で CAS の正確な名前を指定できるよう、[Administration] > [SSL] > [X509 Certificate] CAS Web コンソール ページのエントリ リストの上部から CAS DN をコピーして、CAM の [Authorization] ページに貼り付けることをお勧めします。


ステップ 4 CAM がネットワーク内の CAS を許可して接続できるかどうかを最初にテストするには、[Test CCA Server Authorization] をクリックして、[Authorized CCA Servers] リストに含める CAS との接続をテストします。CAM によって、SSL 接続のログ メッセージが生成されます。これは、ステップ 5 で [Update] をクリックした後で、CAM の [Monitoring] > [Event Logs] Web コンソール ページに表示できます。

ステップ 5 [Update] をクリックして、追加した CAS が、CAM との相互通信が許可されているサーバ グループに含まれたことを確認します。

[Update] をクリックすると、CAM によって、CAM と、[Authorized CCA Server] リスト内の CAS すべての間のサービスが再起動されます。これにより、Cisco NAC アプライアンス システムにログインしているユーザのネットワークが短時間中断されることがあります。

[Test CCA Server Authorization] オプションをイネーブルにした場合、CAM が接続できない Clean Access Server が 1 つ以上 [Authorized CCA Server] リストにあると、イベント ログに警告(黄色のフラグ)メッセージが表示されます。

[Test CCA Server Authorization] オプションをイネーブルにしなかった場合、CAM が接続できない Clean Access Server が 1 つ以上 [Authorized CCA Server] リストにあると、イベント ログにエラー(赤いフラグ)メッセージが表示されます。

詳細については、「ログの表示」を参照してください。


 

Clean Access Server の状態確認

各 Clean Access Server の動作状態は、[Status] カラムに表示されます。

[Connected]:CAM は CAS に正常に到達できます。

[Not connected]:CAS はリブート中であるか、CAM と CAS の間のネットワーク接続が切断されています。

意図せずに Clean Access Server の状態が [Not connected] になっている場合(つまり、定期メンテナンスなどによる停止ではない場合)は、[Manage] アイコンをクリックして、強制的に接続を試行します。正常に接続されると、状態表示は [Connected] に変わります。状態表示が変わらない場合は、CAM とその CAS の間の接続に問題がないか調べ、CAS が稼動していることを確認します。必要な場合は、CAS の再起動を試行します。


) Clean Access Manager は、設定済みのすべての Clean Access Server の接続状況を監視します。CAM は、未接続の CAS への接続試行を 3 分間隔で試行します。


Clean Access Server の切断

Clean Access Server が切断されると、その CAS の状態は [Not Connected] と表示されますが、Clean Access Manager ドメイン内にそのまま残されています。[Manage] をクリックすれば、いつでもその CAS を接続状態にして設定できます。

さらに、いずれかの時点で Clean Access Server が Clean Access Manager との同期から外れた場合、その Clean Access Server を切断してから再接続できます。再接続すると、Clean Access Manager はその Clean Access Server に設定されたデータを再度発行し、その CAS との同期を維持します。

これとは対照的に、Clean Access Server を削除すると、セカンダリ コンフィギュレーションの設定値はすべて失われます。

Clean Access Server のリブート

[List of Servers] タブの [Reboot] アイコンをクリックすると、Clean Access Server のグレースフル リブートを実行できます。グレースフル リブートでは、Clean Access Server はロギング データのディスクへの書き込みなど、正常なシャットダウン手順すべてを再起動前に実行します。

管理ドメインからの Clean Access Server の削除

[List of Servers] タブの Clean Access Server を削除すると、サーバのリストおよびシステムから、その CAS が除外されます。Clean Access Server を削除するには、その CAS の横にある [Delete] アイコンをクリックします。削除した Clean Access Server を再利用するには、その CAS を再度 Clean Access Manager に追加する必要があります。

Clean Access Server を削除すると、その CAS に固有のセカンダリ コンフィギュレーションの設定値はすべて削除されることに注意してください。セカンダリ設定値は、インストール時や service perfigo config スクリプトを通じて設定された値では ありません 。セカンダリ設定値には、ポリシー フィルタ、トラフィック ルーティング、暗号化パラメータなどがあります。

インターフェイス アドレスなど、インストール時に 設定された 値は、Clean Access Server 上に保存されているため、その CAS が CAM の管理ドメインに後から再度追加されると、復元されます。

アクティブな CAS を削除した場合、削除時にその CAS を通じてネットワークにアクセスしているユーザに次のような影響が生じます。

CAS を削除した時点でその CAS と CAM が接続されていた場合、アクティブ ユーザのネットワーク接続は即座に切断されます。ユーザはネットワークにアクセスできなくなります(これは、CAM がその CAS の設定を即座に削除できるため、アクティブ ユーザに割り当てられた IP アドレスが CAS に適用されるセキュリティ ポリシーとの関連で無効になるからです)。新しいユーザは、ネットワークにログインできなくなります。

CAS を削除した時点でその CAS と CAM の接続が切断されていた場合、アクティブ ユーザは接続が再確立するまで、ネットワークへのアクセスを継続できます。これは、CAM がその CAS の設定をすぐに削除できないためです。新しいユーザはネットワークにログインできなくなります。

Clean Access Server 追加時のトラブルシューティング

トラブルシューティングの詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Troubleshooting when Adding the Clean Access Server」を参照してください。

グローバルおよびローカルの管理設定値

CAM の Web 管理コンソールには、次のような種類の設定値があります。

Clean Access Manager 管理設定値 は、CAM 自体だけに関連する設定値です。これらには、IP アドレスとホスト名、SSL 証明書情報、ハイ アベイラビリティ(フェールオーバー)の設定値などがあります。

グローバル管理設定値 は Clean Access Manager で設定され、CAM から すべての Clean Access Server に送信されます。これには、認証サーバ情報、グローバル デバイスおよびサブネット フィルタ ポリシー、ユーザ ロール、Cisco NAC アプライアンスの設定などがあります。

ローカル管理設定値 は、CAS 管理ページで 1 つの Clean Access Server に対して設定され、その CAS だけに適用されます。これらの値には、CAS ネットワークの設定値、SSL 証明書、DHCP および 1:1 NAT 設定、VPN コンセントレータ設定、IPSec キー変更、ローカル トラフィック制御ポリシー、ローカル デバイス/サブネット フィルタ ポリシーなどがあります。

設定値のグローバルまたはローカルの範囲は、図 2-4 のように、Web 管理コンソールの [Clean Access Server] カラムに表示されます。

図 2-4 設定値の範囲

 

[GLOBAL]:CAM Web 管理コンソールからグローバル形式で作成されたエントリです。この CAM のドメイン内のすべての Clean Access Server に適用されます。

[<IP アドレス>] CAS 管理ページからローカル形式で作成されたエントリです。この IP アドレスを持つ CAS だけに適用されます。

通常、グローバル設定値(GLOBAL の表記)が表示されているページには、使いやすくするためにローカル設定値(CAS の IP アドレスで表記)も表示されています。これらのローカル設定値はたいていグローバル ページから編集または削除できますが、ローカル設定値の 追加 は、特定の Clean Access Server 用のローカル CAS 管理ページからしか実行できません。

グローバルおよびローカルの設定値

多くの場合、1 つの CAS に、グローバル設定値(すべての CAS 用に CAM で定義された値)とローカル設定値(CAS 固有の値)の両方があります。グローバル設定値とローカル設定値が競合している場合は、ローカル設定値がグローバル設定値よりも優先されるか、ポリシーのプライオリティによって、グローバルとローカルのどちらのポリシーが強制されるかが決まります。

MAC アドレスとトラフィック制御ポリシーの 範囲 に影響するデバイス フィルタ ポリシーでは、ポリシーのプライオリティ([Device Management] > [Filters] > [Devices] > [Order] の高または低)によって、グローバルとローカルのどちらのポリシーが強制されるかが決まります。個別の MAC アドレスに対するデバイス フィルタ ポリシーは、個別の MAC アドレスを含むある 範囲 のアドレスに対するフィルタ ポリシー(グローバルまたはローカル)よりも優先されます。

1 つのサブネット フィルタで、より広範囲のサブネット フィルタのアドレス範囲のサブセットを指定するサブネット フィルタ ポリシーでは、CAM により、サブネット アドレス範囲のサイズに基づいてフィルタのプライオリティが決まります。サブネットが小さくなるほど(/30 または /28 のサブネット マスクなど)、サブネット フィルタ階層でのプライオリティは高くなります。

一部の機能は、CAS で(CAS 管理ページで)イネーブルにして CAM コンソールで設定する必要があります。たとえば、次のような機能が該当します。

L 3 サポート(マルチホップ L3 配置用)は CAS ごとにイネーブルになっていますが、CAM のログイン ページ/Agent 設定が必要なことがあります。

帯域幅管理は CAS ごとにイネーブルになっていますが、CAM のすべてのロールに設定できます。

Active Directory SSO は CAS ごとに設定されますが、CAM の認証プロバイダーが必要です。

Cisco VPN コンセントレータ SSO は CAS ごとに設定されますが、CAM の認証プロバイダーが必要です。

Agent の要件およびネットワーク スキャン プラグインは、CAM からグローバルに設定され、すべての CAS に適用されます。

デバイスおよびサブネットのグローバル フィルタリング

ここでは、次の内容について説明します。

概要

デバイス フィルタとライセンスのユーザ数制限

複数エントリの追加

MAC アドレスによる企業資産の認証とポスチャ評価

インバンド配置のデバイス フィルタ

アウトオブバンド配置のデバイス フィルタ

IP 電話を使用するアウトオブバンド配置のデバイス フィルタ

インバンドおよびアウトオブバンド デバイス フィルタの動作の比較

デバイス フィルタとゲーム ポート

グローバルおよび ローカル(CAS 固有)のフィルタ

Cisco NAC Profiler のグローバル デバイス フィルタ リスト

デバイス フィルタの設定

サブネット フィルタの設定

概要

デフォルトでは、Cisco NAC アプライアンスは、CAS の非信頼側にあるユーザ デバイスに対し、ネットワークへのアクセス試行時に認証(ログイン)を強制します。非信頼側にあるデバイスによる認証を 回避 できる必要がある場合は、デバイスまたはサブネットのフィルタを設定します。

フィルタ リスト([Device Management] > [Filters] で設定)は、MAC、IP、またはサブネット アドレスで設定できます。また、デバイスにユーザ ロールを自動的に割り当てることができます。フィルタを使用すると、デバイス(ユーザまたはユーザ以外)による認証と(任意の)ポスチャ評価の両方を回避できます。ここでは、デバイスおよびサブネット フィルタの設定方法を説明します。

デバイス フィルタは、デバイスの MAC アドレス(およびインバンド配置の場合は任意で IP)で指定し、インバンド(IB)配置またはアウトオブバンド(OOB)配置のいずれかに設定できます。MAC アドレスの入力と認証は CAM を通じて実行しますが、実際のフィルタリング アクションを実行するデバイスは CAS です。OOB の場合は、Port Profile(「ポート プロファイルの追加」を参照)でデバイス フィルタの使用もイネーブルにする必要があります。IB と OOB のいずれでも、フィルタ リストに入力されたデバイスでは認証が回避されます。レイヤ 2 配置とレイヤ 3 配置のどちらの場合でも、アウトオブバンド デバイス フィルタは、関連するスイッチからの MAC 通知メッセージに対応するかどうかを決定する際、クライアント MAC アドレスのみを利用します(CAM ではアウトオブバンドのクライアントの IP アドレスを確実に検証することはできないため、デバイス フィルタはアウトオブバンドのクライアント マシンの IP アドレスを考慮しません)。

サブネット フィルタを設定できるのは IB 配置の場合だけです。サブネット フィルタは、サブネット アドレスとサブネット マスク(CIDR 形式)で指定します。

デバイスまたはサブネットのフィルタを設定することによって、次のことが可能です。

IB:そのデバイス/サブネットに対してログイン/ポスチャ評価を回避し、すべてのトラフィックを許可する。
OOB:そのデバイスに対してログイン/ポスチャ評価を回避し、デフォルト アクセス VLAN を割り当てる。

IB:そのデバイス/サブネットに対するネットワーク アクセスをブロックする。
OOB:そのデバイスに対するネットワーク アクセスをブロックし、認証 VLAN を割り当てる。

IB:ログイン/ポスチャ評価を回避し、ユーザ ロールをデバイス/サブネットに割り当てる。
OOB:ログイン/ポスチャ評価を回避し、アウトオブバンド ユーザ ロール VLAN をデバイスに割り当てる(ユーザ ロールでアクセス VLAN を設定)。


) フィルタ エントリ内のデバイスは、認証なしのアクセスが許可または拒否されるため、レイヤ 2 配置の [Online Users] リストには表示されません(ただし、[Active Layer 2 Device Filters] リストを使用してインバンド ネットワークで追跡することはできます)。詳細については、「イベント ログの意味」を参照してください。


デバイス フィルタは、次のような用途に利用できます。

ユーザ VLAN 上にプリンタがある場合、そのプリンタの MAC アドレスに対して「許可」のデバイス フィルタを設定すると、そのプリンタと Windows サーバとの通信が可能になります。OOB 配置でもプリンタにデバイス フィルタを設定することを推奨します。これによって、認証回避を目的としてユーザがプリンタ ポートに接続するのを防ぐことができます。

インバンドの Cisco NAC アプライアンス L3/VPN コンセントレータ配置の場合は、信頼ネットワーク上にある VPN コンセントレータと通信するために、信頼ネットワーク上の認証サーバからのトラフィックを許可するようなデバイスまたはサブネット フィルタを設定できます。

NAC 以外のネットワーク デバイス(IP 電話、プリンタ、ファクス機など)の数が非常に多い場合は、これらのデバイスをデバイス フィルタ リストに追加して、Cisco NAC アプライアンスの認証、ポスチャ評価、および修復の機能を回避するようにできます。


) デバイス フィルタ リストは、Cisco NAC Profiler を使用して CAM で自動的に作成および更新することもできます。詳細については、「Cisco NAC Profiler のグローバル デバイス フィルタ リスト」を参照してください。



) ポリシー同期機能は、マスター CAM で作成されたグローバル デバイス フィルタをすべてレシーバ CAM にエクスポートします。マスター CAM のグローバル デバイス フィルタ リストにある MAC アドレスは、Cisco NAC Profiler によって生成されたフィルタを含めすべてエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。



) デバイス フィルタ設定やサブネット フィルタ設定は、CAS フォールバック ポリシーより優先されます。CAS フォールバック モードでは、CAS デバイス フィルタ設定によりクライアントの MAC アドレスに基づいて動作が決定されます。デバイス フィルタ設定が適用されない場合(CAS がレイヤ 3 ゲートウェイでありクライアントの MAC アドレスを特定できない場合など)、CAS フォールバック ポリシーを適用する前に、CAS は該当するサブネット フィルタ設定も探します。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。


デバイス フィルタとライセンスのユーザ数制限

デバイス フィルタ リスト(認証/ポスチャ評価/修復の回避)で [ALLOW] オプションを使用して指定された MAC アドレスは、ライセンスのユーザ数制限には 数えられません

デバイス フィルタ リスト(認証は回避するがポスチャ評価/修復は実行する)で [CHECK] オプションを使用して指定された MAC アドレスは、ライセンスのユーザ数制限に 数えられます


) フィルタを設定できるデバイス(ユーザ以外)の最大数は、メモリ容量によって決まり、ライセンスのユーザ数制限とは直接的な関係はありません。CAS は、1 GB のメモリあたり約 5,000 の MAC アドレスを安全にサポートできます。

Cisco NAC Profiler に関連するデバイス フィルタとユーザ/エンドポイント カウント ライセンスの制限は、Cisco NAC Profiler システムの配置によって異なります。詳細については、『Cisco NAC Appliance Service Contract / Licensing Support』と『Cisco NAC Profiler Installation and Configuration Guide』を参照してください。


MAC アドレス ロールベース デバイス フィルタの動作の変更はダイナミックには行われません。CAM は、有線の場合はリンクアップ/MAC 通知を、ワイヤレスの場合はアソシエーション/ディスアソシエーション トラップを受け取って、NAC エージェント ポップアップがエンドクライアントで閉じたときの最初のポスチャ評価を回避する必要があります。

複数エントリの追加

デバイス フィルタ リストに入力する MAC アドレスが広範囲の場合は、次の方法で入力できます。

1. デバイス フィルタの設定時にワイルドカードと MAC アドレスの範囲を指定する。

2. New Device Filter フォームに個々の MAC アドレス(1 行に 1 つ)をコピーして貼り付け、これらすべてを 1 回のクリックで追加する。

3. API(cisco_api.jsp) addmac 関数を使用し、プログラムを通じて MAC アドレスを追加する。詳細については、「API サポート」を参照してください。


) Cisco NAC Profiler のソリューションを導入することによって、多数のエンドポイントの管理を自動化できます。設定時に、Cisco NAC Profiler Server/Collector によって、プロファイルを作成したエンドポイントについて、CAM でグローバル デバイス フィルタに自動的にデータが読み込まれ、保守されます。詳細については、「Cisco NAC Profiler のグローバル デバイス フィルタ リスト」を参照してください。


MAC アドレスによる企業資産の認証とポスチャ評価

Cisco NAC アプライアンスでは、ユーザが Cisco NAC アプライアンスにログインせずに、クライアント マシンの MAC ベースの認証およびポスチャ評価を実行できます。この機能は、グローバルおよびローカル デバイス フィルタの「CHECK」デバイス フィルタ制御、および Agent によって実装されます。Cisco NAC Web Agent によって、ポスチャ評価が実行されますが、修復のための手段は提供されません。ユーザは、クライアント マシンを手動で訂正または更新して、Web Agent のポスチャ評価要件を満たすために「再スキャン」する必要があります。


) CHECK 機能は、ポスチャ評価をサポートする Cisco NAC アプライアンス エージェントだけに適用されます。


次のデバイス フィルタ設定オプションを使用できます。

[CHECK] および [IGNORE] デバイス フィルタ オプション。

[ROLE] および [CHECK] フィルタでは、ドロップダウン メニューから [User Role] を選択する必要があります。

[IGNORE] は OOB 専用です。IB では、このオプションを選択しても効力がありません。

[IGNORE] はグローバル フィルタ専用です。CAS New/Edit フィルタ ページには表示されません。

[IGNORE] デバイス フィルタは、旧リリースで IP 電話に指定された [allow] デバイス フィルタを置き換えることを目的としています。


) 不要な MAC-notification トラップが作成されないように、管理者は、IP 電話で [IGNORE] オプションが使用されるようデバイス フィルタを再設定する必要があります。詳細については、「IP 電話を使用するアウトオブバンド配置のデバイス フィルタ」を参照してください。


デバイス フィルタ ポリシーの適用範囲は L2 配置(CAS がエンド ポイント/ユーザ デバイスと L2 近接する配置)と L3 配置(CAS がエンド ポイント/ユーザ デバイスと 1 ホップ以上離れている可能性がある配置)では異なります。L3 配置では、Cisco NAC アプライアンスがエンド ポイントの MAC アドレスを取得できるように、エンド ポイントで Web ブラウザ(Java アプレット/ActiveX)または Agent を使用してネットワークにアクセスする必要があります。 表 2-1 で、L2 と L3 配置の動作の違いについて説明します。

 

表 2-1 CAM L2/L3 デバイス フィルタ オプション

オプション
L2
L3

ALLOW

エンドポイントからのすべてのトラフィックを許可します。認証またはポスチャ評価は不要です。

MAC アドレスが認識されると(この時点まで、エンドポイントからのトラフィックは Unauthenticated ロールのポリシーに準拠します)、エンドポイントからのすべてのトラフィックを許可します。認証またはポスチャ評価は不要です。

DENY

エンドポイントからのすべてのトラフィックを拒否します。

MAC アドレスが認識されると(この時点まで、エンドポイントからのトラフィックは Unauthenticated ロールのポリシーに準拠します)、エンドポイントからのすべてのトラフィックを拒否します。

ROLE

エンドポイントからのトラフィックを、ロール トラフィック ポリシーで指定された認証またはポスチャ評価なしで許可します(Cisco NAC アプライアンス 3.x との下位互換性のために、引き続き同じように適用されます)。

MAC アドレスが認識された後、設定されている場合はポスチャ評価が実行されます。これ以後、トラフィックはロール トラフィック ポリシーに従って許可されます。

CHECK

ロールに対して指定されたとおりにポスチャ評価が実行され、これ以後、トラフィックはロール トラフィック ポリシーに従って許可されます。

(同上)

IGNORE

OOB 専用:指定された MAC アドレスに対して、管理対象スイッチ ポートからの SNMP トラップを無視します。

OOB 専用:指定された MAC アドレスに対して、管理対象スイッチ ポートからの SNMP トラップを無視します。


) レイヤ 2 配置とレイヤ 3 配置のどちらの場合でも、アウトオブバンド デバイス フィルタは、関連するスイッチからの MAC 通知メッセージに対応するかどうかを決定する際、クライアント MAC アドレスのみを利用します(CAM ではアウトオブバンドのクライアントの IP アドレスを確実に検証することはできないため、デバイス フィルタはアウトオブバンドのクライアント マシンの IP アドレスを考慮しません)。



ロールベースのデバイス フィルタの MAC アドレスの動作を変更している場合、変更はダイナミックに行われません。CAM は、無線ネットワークの場合はリンクアップまたは MAC 通知を受け取る必要があります。ワイヤレス ネットワークの場合、CAM はアソシエーション/ディスアソシエーション トラップを受け取る必要があります。これは、NAC Agent ポップアップがクライアント エンドで閉じたときに、最初のポスチャ評価を回避するには必須です。


インバンド配置のデバイス フィルタ

Cisco NAC アプライアンスは、認証属性を使用して、またはデバイス/サブネット フィルタ ポリシーを通じて、ユーザにユーザ ロールを割り当てます。そのため、特定の MAC アドレスまたはサブネットにシステム ユーザ ロールを指定する能力は、デバイス/サブネット フィルタ ポリシー コンフィギュレーションの主要な機能となっています。Cisco NAC アプライアンスの処理では、ロールの割り当てには次の順序のプライオリティが使用されます。

1. MAC アドレス

2. サブネット/IP アドレス

3. ログイン情報(ログイン ID、認証サーバから得たユーザの属性、ユーザ マシンの VLAN ID など)

したがって、あるクライアントが MAC アドレスでは「ロール A」に関連付けられているのに、ユーザのログイン ID では「ロール B」に関連付けられている場合は、「ロール A」が使用されます。

ユーザ ロールに関する詳細は、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」 を参照してください。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。



) 信頼側からアクセス ポイント(AP)を管理する場合は、[Device Management] > [Filters] > [Devices] でフィルタ ポリシーを設定すれば、信頼側から AP に到達できるようにすることが可能です(SNMP、HTTP を通じて、またはどのような管理プロトコルでも)。


アウトオブバンド配置のデバイス フィルタ

OOB 配置の場合、CAM はグローバル デバイス フィルタ リストを尊重します。インバンド配置の場合と同様、OOB でも、グローバル デバイス フィルタ リストの MAC アドレスに設定されたルールには、ユーザ/デバイス処理において最高の優先順位が与えられます。レイヤ 2 配置とレイヤ 3 配置のどちらの場合でも、アウトオブバンド デバイス フィルタは、関連するスイッチからの MAC 通知メッセージに対応するかどうかを決定する際、クライアント MAC アドレスのみを利用します(CAM ではアウトオブバンドのクライアントの IP アドレスを確実に検証することはできないため、デバイス フィルタはアウトオブバンドのクライアント マシンの IP アドレスを考慮しません)。

OOB でのルール処理のプライオリティは、次のとおりです。

1. デバイス フィルタ(MAC アドレスで設定され、OOB でイネーブルになっている場合)

2. Certified Devices List

3. Out-of-Band Online User List

OOB 用に設定された MAC アドレス デバイス フィルタには、次のオプションおよび動作があります。

[ALLOW]:ログインおよびポスチャ評価を回避し、 デフォルト アクセス VLAN をポートに割り当てる。

[DENY]:ログインおよびポスチャ評価を回避し、 認証 VLAN をポートに割り当てる。

[ROLE]:ログインおよび L2 ポスチャ評価を回避し、 ユーザ ロール VLAN をポートに割り当てる。

[CHECK]:ログインを回避し、ポスチャ評価を適用して、 ユーザ ロール VLAN をポートに割り当てる。

[IGNORE]:管理対象スイッチ(IP 電話)から SNMP トラップを無視する。


) • OOB にグローバル デバイス フィルタを使用するには、ポート プロファイルの [Change VLAN according to global device filter list] オプションをイネーブルにする必要があります([OOB Management] > [Profiles] > [Port] > [New] または [Edit] で)。詳細については、「ポート プロファイルの追加」を参照してください。

この機能はグローバル デバイス フィルタだけに適用されます。OOB 環境で配置する場合には、ローカルな(CAS 固有の)デバイス フィルタを設定しないことを強くお勧めします。

ユーザ ロールを通じた VLAN の割り当てに関する詳細は、「Out-of-Band User Role VLAN」を参照してください。


 


) • MAC アドレス デバイス フィルタの動作を [ALLOW] から [DENY] に変更している場合、変更はダイナミックに行われません。クライアント トラフィックは最初はデフォルトのアクセス VLAN に送信されるので、動作を [DENY] に変更すると、トラフィックは認証 VLAN に送信される必要があります。MAC アドレスを手動で CDL/OUL から削除して、その MAC アドレス デバイス フィルタに [DENY] ルールを適用する必要があります。

MAC アドレス デバイス フィルタの動作を [DENY] から [ALLOW] に変更している場合、変更はダイナミックに行われます。クライアント トラフィックが CAS の eth1 インターフェイスに達すると、CAS はデバイス フィルタ ルールをチェックし、動作が [DENY] から [ALLOW] に移行していてもユーザを許可します。


 


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


その他の事項については、「スイッチ管理:アウトオブバンド配置の設定」を参照してください。

IP 電話を使用するアウトオブバンド配置のデバイス フィルタ

クライアント マシンがネットワークへの接続に使用する IP 電話を 無視する よう設計されている MAC アドレスのグローバル デバイス フィルタ リストを作成する必要があります。個々の MAC アドレスのコレクションをコンパイルする(この方法は小規模構成にだけ推奨されます)ことで、MAC アドレスのリストを定義して、範囲デリミタおよびワイルドカード文字を使用して MAC アドレスの範囲を指定できます。MAC アドレスのリストは、Cisco CallManager など既存の IP 電話管理アプリケーションから抽出することもできます。

適用可能な IP 電話の MAC アドレスのリストを作成したら、OOB 用に Cisco NAC アプライアンス システムを設定する際に、ポート プロファイルの [Change VLAN according to global device filter list] オプションをイネーブルにして([OOB Management] > [Profiles] > [Port] > [New] または [Edit])、Cisco NAC アプライアンスでこれらの MAC アドレスが 無視される ようにしてください。これにより、IP 電話の MAC 通知はある VLAN から別の VLAN への(たとえば、アクセス VLAN から認証 VLAN への)切り替えを開始できなくなるため、関連するクライアント マシンの接続が間違って終了することがなくなります。詳細については、「CAM における OOB スイッチ管理の設定」を参照してください。

インバンドおよびアウトオブバンド デバイス フィルタの動作の比較

VLAN 割り当ておよびユーザを [Online Users] リストに表示するかどうか、関連付けられたクライアント マシンを [Certified Devices] リストに表示するかどうかは、設定したフィルタのタイプ([ALLOW]、[DENY]、[ROLE]、[CHECK]、または [IGNORE])によって異なります。インバンド配置とアウトオブバンド配置のクライアント トラフィックの動作を判別する際には、次の一般的なガイドラインが適用されます。

インバンド トラフィックには、[Device Management] > [Filters] > [Devices] > [Order] で定義されている階層に応じて、グローバルと CAS 固有の両方のフィルタ割り当てが適用されます。

ポート プロファイルで [Change VLAN according to global device filter list] オプションがイネーブルになっている場合は、CAM は、ポートへの VLAN の割り当て時にグローバル デバイス フィルタ設定に従うようスイッチに指示します。

特定のポート プロファイルに関連付けられたアウトオブバンド クライアント マシンは、グローバル デバイス フィルタだけによって管理されます。

 

表 2-2 レイヤ 2 とレイヤ 3 のインバンドおよびアウトオブバンド MAC アドレス フィルタの動作

デバイス フィルタ タイプ
Layer 2 In-Band
(グローバルおよび CAS)
Layer 3 In-Band
(グローバルおよび CAS)
[Port Profile] オプションが指定されていないアウトオブバンド(グローバル):アウトオブバンド(CAS)
[Port Profile] オプションが指定されたアウトオブバンド(グローバルだけ)

ALLOW

トラフィックを許可する

トラフィックを許可する([Online Users] リスト/[Certified Devices] リスト エントリの追加、ポスチャ評価なし)

インバンド モードでのトラフィックを許可する

クライアント トラフィックはデフォルト アクセス VLAN に送信される

DENY

トラフィックを拒否する

MAC アドレスの認識後はトラフィックを拒否する

インバンド モードでのトラフィックを拒否する

クライアント トラフィックは認証 VLAN に送信される

ROLE

ロールを割り当てて、ロール ポリシーを適用する

ポスチャ評価を行い、[Online Users] リスト/[Certified Devices] リスト エントリを追加し、ロールを割り当てて、ロール ポリシーを適用する

ロールを割り当てて、インバンド モードでロール ポリシーを適用する

クライアント トラフィックはアクセス VLAN に送信される(ポート プロファイルに基づく)

CHECK(Certified Devices List 内のデバイス)

ロールを割り当てて、ロール ポリシーを適用する([Online Users] リスト エントリなし)

ポスチャ評価を行い、[Online Users] リスト/[Certified Devices] リスト エントリを追加し、ロールを割り当てて、ロール ポリシーを適用する

ロールを割り当てて、インバンド モードでロール ポリシーを適用する([Online Users] リスト エントリなし)

クライアント トラフィックはアクセス VLAN に送信される(ポート プロファイルに基づき、[Online Users] リスト エントリなし)

CHECK(Certified Devices List 内に ない デバイス)

ポスチャ評価を行い(Temporary ロールの [In-Band Online Users] リスト エントリ)、ポスチャ評価の後で [Certified Devices] リスト エントリを追加する([Online Users] リスト エントリなし)

(同上)

ポスチャ評価を行い(Temporary ロールの [In-Band Online Users] リスト エントリ)、ポスチャの後で [Certified Devices] リスト エントリを追加し([Out-of-Band Online Users] リスト エントリ)、アクセス VLAN に割り当てる(ポート プロファイルに基づく)

ポスチャ評価(Temp ロールの [In-Band Online Users] リスト エントリ)を行い、ポスチャの後で [Certified Devices] リスト エントリを追加し([Out-of-Band Online Users] リスト エントリ)、アクセス VLAN に割り当てる(ポート プロファイルに基づく)

IGNORE

影響なし(通常の動作)

影響なし(通常の動作)

影響なし(通常の動作)

SNMP トラップは無視される

[Require users to be certified at every web login] オプションは、[In-Band Online Users] リストにだけ適用されます。このオプションをイネーブルにして、[Online Users] リスト エントリを削除すると、同じ MAC アドレスを使用する [Online Users] リスト(インバンドまたはアウトオブバンド)のエントリが他にない場合は、対応する [Certified Devices] リスト エントリが削除されます。

デバイス フィルタとゲーム ポート

Microsoft Xbox Live などのゲーム サービスを許可する場合は、ゲーム ユーザ ロールを作成し、そのデバイスの MAC アドレスのフィルタを追加して([Device Management] > [Filters] > [Devices] > [New])、作成したゲーム ロールをそのデバイスに割り当てることをお勧めします。このようにすれば、そのゲーム ロールのトラフィック ポリシーを作成し、ゲーム ポートのトラフィックを許可できます。詳細は、次の項目を参照してください。

「ゲーム ポートの許可」

http://www.cisco.com/warp/customer/707/ca-mgr-faq2.html#q16

「新しいユーザ ロールの追加」

グローバルおよび ローカル(CAS 固有)のフィルタ

デバイス/サブネット フィルタ ポリシーは、Clean Access Manager の [Filters] ページに表示されるすべての Clean Access Server に対してグローバル レベルで追加することも、CAS 管理ページで特定の Clean Access Server に対して追加することも可能です。CAM には両方のタイプのアクセス フィルタが保存され、グローバル フィルタ ポリシーはすべての Clean Access Server に、ローカル フィルタ ポリシーは該当する CAS に配布されます。

1 つのサブネット フィルタによって、より広範囲のサブネット フィルタでアドレス範囲のサブセットが指定されるサブネット フィルタ ポリシー([Device Management] > [Filters] > [Subnet])では、CAM により、サブネット アドレス範囲のサイズに基づいてフィルタのプライオリティが決まります。サブネットが小さくなるほど(/30 または /28 のサブネット マスクなど)、サブネット フィルタ階層でのプライオリティは高くなります。たとえば、192.168.128.0/28 アドレス範囲からのトラフィックを許可するサブネット フィルタ ポリシーは、192.168.128.0/24 アドレス範囲からのトラフィックを拒否する別のサブネット フィルタ ポリシーよりも優先されます。サブネット フィルタ ポリシーがグローバルであるかローカルであるかは、プライオリティの判別時には重要ではありません。

複数のポリシーが同じ MAC アドレスに影響を与える可能性がある MAC アドレスの範囲を指定するデバイス フィルタ ポリシーでは、ポリシーのプライオリティ([Device Management] > [Filters] > [Devices] > [Order])によって、グローバルとローカルのどちらのポリシーが強制されるかが決まります。ただし、個々の MAC アドレスを指定するデバイス フィルタはどれも、個々の MAC アドレスを含むアドレスの 範囲 を定義するフィルタ ポリシー(グローバルまたはローカルのいずれか)より優先されます。

詳細については、「グローバルおよびローカルの管理設定値」を参照してください。

ここでは、グローバル アクセス フィルタ ポリシーを追加するときに使用するフォームと手順について説明します。ローカル アクセス フィルタ ポリシーの追加方法については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。


) OOB 配置の場合、CAM では(CAS 固有のフィルタではなく)グローバル デバイス フィルタ リストが優先されます。


Cisco NAC Profiler のグローバル デバイス フィルタ リスト

ネットワーク プリンタ、IP 電話、UPS デバイス、HVAC センサー、ワイヤレス アクセス コントローラなど、ユーザ以外の多数のエンドポイント デバイスを作成して管理するには、Cisco NAC Profiler を配置します。Cisco NAC Profiler システムを使用すると、ユーザ認証やポスチャ評価が適用されない数百または場合によっては数千ものエンドポイントを自動的に検出、分類、および監視できます。

Cisco NAC Profiler のソリューションは、次の 2 つの主要なコンポーネントで構成されます。

Cisco NAC Profiler Server :Cisco NAC Profiler Server では、それぞれの Clean Access Server でイネーブルにした Cisco NAC Profiler Collector コンポーネントを管理します。Cisco NAC Profiler Server によって、CAM のグローバル デバイス フィルタ リスト([Device Management] > [Filters] > [Devices] > [List])に、プロファイルを作成して管理するエンドポイントのエントリが読み込まれます。Profiler エントリの Description リンクをクリックすると、 図 2-5図 2-6 に示すように、CAM Web コンソール内の右側に NAC Profiler Server のエンドポイント要約データが表示されます。Cisco NAC Profiler Server は、『 Cisco NAC Profiler Installation and Configuration Guide 』で説明されているように、独自の Web コンソール インターフェイスを使用して設定および管理されます。

Cisco NAC Profiler Collector :Cisco NAC Profiler Collector は、リリース 4.1(3) 以降を実行する NAC-3310 または NAC-3350 Clean Access Server でイネーブルにできるサービスです。Cisco NAC Profiler Server アプライアンスを購入し、Cisco NAC Profiler/Collector ライセンスを取得して Cisco NAC Profiler Server にインストールし、Cisco NAC Profiler のソリューションを導入する必要があります。詳細については、『 Cisco NAC Appliance Hardware Installation Guide 』の「CLI Commands for Cisco NAC Profiler」を参照してください。


) リリースの互換性情報については、『Release Notes for Cisco NAC Profiler』を参照してください。


図 2-5 CAM デバイス フィルタ内の Cisco NAC Profiler エントリ

 

図 2-6 エンドポイント要約

 


) ポリシー同期機能は、マスター CAM で作成されたグローバル デバイス フィルタをすべてレシーバ CAM にエクスポートします。マスター CAM のグローバル デバイス フィルタ リストにある MAC アドレスは、Cisco NAC Profiler によって生成されたフィルタを含めすべてエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。


グローバル デバイス フィルタの追加

デバイス フィルタ リストに MAC アドレス エントリがある場合、Cisco NAC アプライアンスのポリシーごとにマシンをチェックすることもできます(Agent ベース チェック、ネットワーク スキャナ チェックなど)。デバイスは MAC アドレスに基づいて認証されますが、それでもスキャンを実行する必要があります(ネットワークおよび Agent)。

次の手順で設定されたデバイス フィルタは、CAM ドメイン内のすべての Clean Access Server に適用されます。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。



ステップ 1 [Device Management] > [Filters] > [Devices] > [New] に移動します。

図 2-7 新しいデバイス フィルタ

 

ステップ 2 [New] デバイス フィルタ フォームに該当するデバイスの MAC アドレスを入力します。このデバイスに対するポリシーをテキスト フィールドに作成します。次の形式で 1 行に 1 つずつエントリを入力します。

<MAC>/<optional_IP> <optional_entry_description>
 

次の点に注意してください。

複数の MAC アドレスを指定する場合は、ワイルドカード「*」 または範囲「-」を使用できます。

複数のデバイスを入力する場合、改行を使用してデバイスを区切ります。

任意で、MAC とともに IP アドレスを入力することもできます。このようにすると、MAC アドレスのスプーフィングによるネットワーク アクセス権の取得を防ぐことができます。MAC アドレスと IP アドレスを両方入力した場合、ルールが適用されるためには、クライアントが両方に一致する必要があります。

デバイスの記述は、デバイス単位で、またはすべてのデバイスに対して指定できます。[Description (all entries)] フィールドのすべてのデバイスに適用される記述よりも、特定のデバイスに対する記述([MAC Address] フィールド)の方が優先されます。各デバイス エントリ内の記述にはスペースを入力できません(図 2-7を参照)。

ステップ 3 [Access Type] の選択肢の中から、そのデバイスのポリシーを選択します。

ALLOW
IB:ログイン、ポスチャ評価を回避し、アクセスを許可する
OOB:ログイン、ポスチャ評価を回避し、デフォルト アクセス VLAN を割り当てる

DENY
IB:ログイン、ポスチャ評価を回避し、アクセスを拒否する
OOB:ログイン、ポスチャ評価を回避し、認証 VLAN を割り当てる

ROLE
IB:ログイン、L2 ポスチャ評価を回避し、ロールを割り当てる
OOB:ログイン、L2 ポスチャ評価を回避し、ユーザ ロール VLAN を割り当てる。アウトオブバンド ユーザ ロール VLAN は、ユーザ ロールで設定されているアクセス VLAN です。詳細については、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」を参照してください。

CHECK
IB:ログインを回避し、ポスチャ評価を適用し、ロールを割り当てる
OOB:ログインを回避し、ポスチャ評価を適用し、ユーザ ロール VLAN を割り当てる

IGNORE
OOB 専用:管理対象スイッチ(IP 電話)からの SNMP トラップを無視する


) OOB の場合、[OOB Management] > [Profiles] > [Port] > [New] または [Edit] の下の Port Profile レベルで、グローバル デバイス フィルタの使用をイネーブルにする必要もあります。詳細については、「ポート プロファイルの追加」を参照してください。


ステップ 4 [Add] をクリックしてポリシーを保存します。

ステップ 5 [Devices] タブの [List] ページが表示されます。

次の例はすべて有効なエントリです(同時に入力できます)。

00:16:21:11:4D:67/10.1.12.9 pocket_pc
00:16:21:12:* group1
00:16:21:13:4D:12-00:16:21:13:E4:04 group2

) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細については、「帯域利用の制御」を参照してください。



) トラブルシューティングのヒント:「Adding device MAC failed」というエラーが表示され、フィルタ リストにデバイスを追加できない(どのオプションをオンにしたか、または IP アドレス/説明が入力されているかどうかに関係なく)場合は、[Event Logs] をオンにします。「xx:xx:xx:xx:xx:xx could not be added to the MAC list」が表示された場合、CAS の 1 つが切断されていることを示している可能性があります。



 

デバイス フィルタ ポリシーの表示/検索/インポート/エクスポート

範囲にプライオリティを定義できます([Order] ページで)。

単一 MAC アドレス デバイス フィルタ(00:14:6A:6B:6C:6D など)は、フィルタ リストで常にワイルドカード/範囲デバイス フィルタ(00:14:6A:6B:*、または 00:14:6A:* など)よりも優先されます。

新規ワイルドカード/範囲デバイス フィルタは、常に [List] ページの最後に置かれます。プライオリティの変更は、[Order] ページで行います。

単一 MAC アドレス デバイス フィルタのロール割り当ては、常に他のフィルタより優先されます。[Test] ページで MAC アドレスに使用されるロール割り当てをチェックできます。

[Test] ページに、入力された MAC アドレスに有効なフィルタが表示されます。

認識されているデバイスのリストのフィルタリング手順を実行してください。


ステップ 1 次の検索基準と、[Filter] ドロップダウン リストで選択可能なそれぞれの修飾子を使用して、フィルタ リスト([Device Management] > [Filters] > [Devices] > [List])に表示されるデバイスの数を絞り込むことができます。

 

フィルタ タイプ
修飾子
フィルタ エントリ

MAC Address

is、is not、contains、starts with、ends with

AA : BB : CC : DD : EE : FF 形式の完全な MAC アドレスまたは部分的な MAC アドレス

IP Address

is、is not、contains、starts with、ends with

A . B . C . D 形式の完全な IP アドレスまたは部分的な IP アドレス

Clean Access Server

is、is not

(ドロップダウン メニュー オプション)
[GLOBAL]、 <CAS_IP_address>

Description

is、is not、contains、starts with、ends with

任意のテキスト文字列

Access Type

is、is not

(ドロップダウン メニュー オプション)
[Allow]、[Deny]、[Role-Based]、 [Check-Based]、[Ignore]

Priority

is、is not、contains、starts with、ends with

任意の数値

図 2-8 デバイス フィルタ リスト:Access Type の修飾子

 

ステップ 2 検索基準の入力後、[Filter] ボタンをクリックすると、フィルタリング済みの結果が表示されます。

リストの [Clean Access Server] カラムには、そのポリシーの範囲が表示されます。CAS 管理ページでローカルに設定されたポリシーの場合は、このフィールドに送信元の Clean Access Server の IP アドレスが表示されます。管理コンソールの [Device Management] > [Filters] モジュールですべての Clean Access Server 用としてグローバルに設定されたポリシーの場合は、このフィールドに GLOBAL と表示されます。

カラムの見出しラベル([MAC Address]、[IP Address]、[Clean Access Server]、[Description]、[Access Type]、または [Priority])をクリックすると、フィルタ リストをカラム別にソートできます。

詳細については、「グローバルおよびローカルの管理設定値」および『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.9 』を参照してください。

[Reset] をクリックすると、[Filter] ドロップダウン メニューからオプションの検索基準はすべて失われ、リストがリセットされてすべてのエントリが表示されます(デフォルト)。

[Delete Selected] をクリックすると、ページの一番左にあるチェック カラムで選択されているデバイスは削除されます。(表示から削除するデバイス エントリは 1 つ以上選択できます)。

[Delete All Filtered] をクリックすると、デバイスのサブセットを表示するために Filter ツールを使用したときにリストに残るデバイスが削除されます(この機能を使用して、一度に最大 100 個のデバイスを削除できます)。

デバイス フィルタ ポリシーのインポート/エクスポート

[Export] ボタンを使用すると、デバイス データが含まれている CSV ファイルをローカル ハード ドライブに保存して、トラブルシューティングまたは統計分析のために必要になるたびに検索、表示、および操作できます。


) Microsoft Excel の制限により、この機能を使用してエクスポートできる MAC アドレス エントリの数は最大で 65534 です。


[Browse] ボタンと [Import] ボタンを使用すると、以前に保存した CSV ファイルからデバイス エントリの集計を見つけて、ロードすることもできます。


 

順序デバイス フィルタ ワイルドカード/範囲ポリシー

[Order] ページは、 ワイルドカード/範囲 デバイス フィルタ 専用 です。[Order] ページを使用して、ワイルドカード/範囲デバイス フィルタのプライオリティを変更します。

例:

[Order] ページでフィルタが次のように設定されている場合:

1. 00:14:6A:* - Access Type:DENY

2. 00:14:6A:6B:* - Access Type:IGNORE

MAC アドレス 00:14:6A:6B:60:60 のデバイスは拒否されます。

[Order] ページで次のように設定されている場合:

1. 00:14:6A:6B:* - Access Type:IGNORE

2. 00:14:6A:* - Access Type:DENY

MAC アドレス 00:14:6A:6B:60:60 のデバイスのアクセス タイプは IGNORE になります。

ただし、MAC アドレスがちょうど 00:14:6A:6B:60:60 のデバイス フィルタが存在する場合、このフィルタのルールが適用され、既存のワイルドカード/範囲フィルタは使用されません。

1. [Device Management] > [Filters] > [Devices] > [Order] に移動します。

図 2-9 Order

 

2. [Priority] カラムの矢印をクリックして、ワイルドカード/範囲フィルタのプライオリティを上または下に移動します。

3. [Commit] をクリックして変更を適用します。(変更をキャンセルするには、[Reset] をクリックします)。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


デバイス フィルタ ポリシーのテスト

管理者は [Test] ページ制御で、特定の Clean Access Server に指定された MAC アドレスに適用するデバイス フィルタとアクセス タイプを決定できます。

1. [Device Management] > [Filters] > [Devices] > [Test] に移動します。

2. [MAC Address] フィールドに、デバイスの MAC アドレスを入力します。

3. テストする CAS を [Clean Access Server] ドロップダウン メニューから選択します。

4. [Submit] をクリックします。対応するデバイス フィルタに指定されたアクセス タイプが、下記リストの [Access Type] に表示されます。

図 2-10 Test

 

Active Layer 2 Device Filter ポリシーの表示

[Active Layer 2 In-Band Device Filters] リストには、現在 CAS に接続されていてパケットを送信しているすべてのクライアント、およびデバイス フィルタでの MAC アドレスが表示されます。このリストは、ユーザが認証(デバイス フィルタを介して)およびポスチャ評価(要件が強制されていない場合など)を回避するように設定されている場合に、特に便利です。定義によって、これらのユーザは [Online Users] リストまたは [Certified Devices] リストには表示されませんが、[Active Layer 2 Device Filters] リストを使用してインバンド ネットワークで追跡することはできます。


) 指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。


すべての Clean Access Server において、フィルタ ポリシーで有効な Layer 2 デバイスを表示する方法の手順を実行してください。


ステップ 1 [Device Management] > [Filters] > [Devices] > [Active] に移動します。

ステップ 2 まず [Show All] ボタンをクリックして、[Active] ページに、現在 CAS に接続されていてパケットを送信しているすべてのクライアントの情報、およびデバイス フィルタでの MAC アドレスを読み込みます。

クライアント IP または MAC アドレスで検索([Search])を実行して、ページにその結果を読み込むこともできます。デフォルトでは、実行された Search パラメータは、[Search IP/MAC Address] フィールドに入力された値の「contains」と同値です。


) パフォーマンス上の理由により、[Show All] または [Search] をクリックしてページを更新すると、[Active] ページには最新のデバイス情報だけが表示されます。


図 2-11 Active

 


) 個々の CAS のアクティブ デバイスを表示するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Filter] > [Devices] > [Active] に移動します。



 

デバイス フィルタ ポリシーの編集


ステップ 1 フィルタ リスト内のデバイス フィルタ ポリシーの横にある [Edit] ボタンをクリックします。図 2-7 のような [Edit] ページが表示されます。

ステップ 2 IP アドレス、記述、アクセス タイプ、使用ロールを編集できます。[Save] をクリックして変更を適用します。


) MAC アドレスは、変更できないフィルタ ポリシー プロパティであることに注意してください。MAC アドレスを変更するには、新しいフィルタ ポリシーを作成して、既存のポリシーを削除します(後述の手順を参照)。



 

デバイス フィルタ ポリシーの削除

デバイス アクセス ポリシーは、次の 3 通りの方法で削除できます。

[List] タブで、目的のエントリの横にあるチェックボックスを選択し、[Delete Selected] ボタンをクリックします。この方法では、各ページで最大 25 のデバイス アクセス ポリシーを選択し削除できます。

[Delete All Filtered] ボタンを使用すると、デバイスのサブセットを表示するために Filter ツールを使用したときにリストに残るデバイスが削除されます。

検索基準を使用して目的のデバイス フィルタ ポリシーを選択し、[Delete List] をクリックします。この方法では、適用可能なページ数にわたって検索基準でフィルタリングされたすべてのデバイスが削除されます。デバイス表示用の任意の検索基準を使用して選択的にデバイスを削除できます。[Delete List] をクリックした場合に削除されるフィルタリング済みデバイスの合計数は、図 2-8 に示されている「フィルタリング済みデバイス インジケータ」に表示されます。

サブネット フィルタの設定

[Subnets] タブ(図 2-12)を使用すると、あるサブネット全体に対して、認証およびアクセス フィルタのルールを指定できます。そのサブネット上のネットワークにアクセスするすべてのデバイスにフィルタ ルールが適用されます。

サブネットベースのアクセス コントロールを設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Filters] > [Subnets] に移動します。

図 2-12 サブネット フィルタ

 

ステップ 2 [Subnet Address/Netmask] フィールドに、CIDR 形式でサブネット アドレスとサブネット マスクを入力します。

ステップ 3 (任意)そのポリシーまたはデバイスの説明を [Description] に入力します。

ステップ 4 [Access Type] で、そのサブネットのネットワーク アクセスのタイプを選択します。

[allow]:そのサブネット上のデバイスは認証なしでネットワークにアクセスできます。

[deny]:そのサブネット上のデバイスはネットワークへのアクセスをブロックされます。

[use role]:指定されたサブネットからネットワークにアクセスするユーザは、認証なしのアクセスが許可され、ロールが適用されます。このオプションを選択した場合は、これらのデバイスに適用するロールも選択します。ユーザ ロールに関する詳細は、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」を参照してください。

ステップ 5 [Add] をクリックしてポリシーを保存します。

このポリシーはすぐに有効になり、フィルタ ポリシー リストの一番上に表示されます。


) 帯域幅の管理がイネーブルになっている場合、ロールを指定せずに許可されたデバイスには、Unauthenticated ロールの帯域幅が使用されます。詳細については、「帯域利用の制御」を参照してください。


サブネット フィルタの追加後、[Delete] アイコンを使用してそのフィルタを削除したり、[Edit] アイコンをクリックして編集したりすることができます。サブネット アドレスは、変更できないフィルタ ポリシー プロパティであることに注意してください。サブネット アドレスを変更するには、新しいフィルタ ポリシーを作成し、既存のポリシーを削除する必要があります。

ポリシー リストの [Clean Access Server] カラムには、そのポリシーの範囲が表示されます。Clean Access Server でローカル設定値として設定されたポリシーの場合、このフィールドに表示される IP アドレスで CAS が識別されます。Clean Access Manager でグローバルとして設定されたポリシーの場合は、このフィールドに GLOBAL と表示されます。

カラムの見出しラベル([Subnet]、[Clean Access Server]、[Description]、[Access Type])をクリックすると、カラム別にフィルタ リストをソートできます。


 

Cisco ISE Profiler の統合

Cisco Identity Services Engine (ISE) Profiler 1.0.4 を Cisco NAC アプライアンス 4.9 と統合し、ISE Profiler エンドポイントと NAC アプライアンスを同期させることができます。

Cisco ISE Profiler の詳細については、次のガイドを参照してください。

http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html


) Cisco NAC アプライアンス、リリース 4.9 と統合できるのは、Cisco ISE Profiler, Release 1.0.4 だけです。ISE および NAC アプライアンスの旧バージョンはサポートされていません。


制限事項

一度に NAC Profiler または ISE Profiler のいずれかを使用できます。両方の Profiler を同時に使用することはできません。

NAC Profiler を使用して、NAC アプライアンスの旧バージョンからリリース 4.9 にアップグレードしている場合、すべてのエンドポイントは [Filters] で追加されたアクセス タイプ ポリシーとともにリリース 4.9 に移行されます。Nac Profiler を ISE Profiler に置き換える場合、NAC Manager でエンドポイントのアクセス タイプ ポリシー用のルールを設定する必要があります。


) NAC Profiler で作成された「NAC イベント」は、ISE Profiler では使用できません。これらを、CAM で「ルール」として設定する必要があります。


ここでは、次の内容について説明します。

「Cisco ISE Profiler の詳細の追加」

「Cisco ISE Profiler の詳細の表示/編集/削除」

「Cisco ISE Profiler からのエンドポイントの同期」

「エンドポイント ポリシーのマッピング」

「Cisco ISE 同期時のトラブルシューティング」

Cisco ISE Profiler の詳細の追加


ステップ 1 CAM Web コンソールで、[Device Management] > [Filters] > [Configuration] > [Profiler] > [New] に移動します。

図 2-13 ISE Profiler の詳細の追加

 

ステップ 2 Cisco ISE Profiler の詳細を次のように入力します。

[Profiler Name]:Cisco ISE Profiler を説明する名前を入力します。

[Address (IP/DNS)]:Cisco ISE の IP アドレスまたは DNS 名を入力します。

[Admin User Name]:Cisco ISE の admin ユーザ名を入力します。

[Password]:パスワードを入力します。

ステップ 3 [Add] をクリックして、設定した詳細を保存します。


 


) デフォルトでは、CAM に追加された最初の ISE Profiler が「プライマリ」Profiler として認識され、他の ISE Profiler は「セカンダリ」Profiler として保存されます。この設定は、[Device Management] > [Filters] > [Configuration] > [Profiler] > [List] で変更できます。「Cisco ISE Profiler の詳細の表示/編集/削除」を参照してください。


Cisco ISE Profiler の詳細の表示/編集/削除

[List] ページを使用して、追加された ISE Profiler の一覧表示、設定の詳細の変更、ISE Profiler の削除を行うことができます。


ステップ 1 [Device Management] > [Filters] > [Configuration] > [Profiler] > [List] に移動します。

図 2-14 ISE Profiler の詳細のリスト

 

ステップ 2 次の情報を更新できます。

ドロップダウンから ISE Profiler のロール([Role])をプライマリ([Primary])またはセカンダリ([Secondary])として選択します。

ISE Profiler 名の隣の [Edit] アイコンをクリックして、詳細を編集します。

ISE Profiler 名の前のチェックボックスをオンにして、[Delete Selected] をクリックし、Profiler を削除します。

ステップ 3 [Update] をクリックして変更を保存します。前の設定に戻すには、[Refresh] をクリックします。


 


) 「プライマリ」として指定できる Profiler は一度に 1 つだけです。その他の Profiler はセカンダリとして指定されます。ISE との同期中に NAC がプライマリとの接続に失敗すると、次に使用可能なセカンダリ Profiler との接続を試みます。


Cisco ISE Profiler からのエンドポイントの同期

CAM Web コンソールで ISE Profiler の詳細を設定した後、CAM は [Sync Settings] を使用して、自動または手動で ISE Profiler からすべてのエンドポイントを同期できます。


ステップ 1 [Device Management] > [Filters] > [Configuration] > [Profiler] > [Sync Settings] に移動します。

図 2-15 ISE Profiler の同期

ステップ 2 [Automatically sync starting from [] every [] hours]:同期を開始する時間を 24 時間形式で入力し、同期を繰り返す間隔を時間数で入力します。

ステップ 3 [Update] をクリックして設定を保存します。

ステップ 4 [Sync Now] をクリックして、同期を手動で開始します。


) 自動または手動で同期する際、CAM は、CAM で設定されたルール(Matching Profile)を適用して、[CAM Filter] リストにある既存のエンドポイントをすべて削除し、ISE Profiler からすべてのエンドポイントを取り込みます。



 

[Check Sync Status Now] をクリックして、現在の同期ステータスをチェックできます。このオプションでは、詳細(最後の同期日時、同期されたエンドポイント数、同期に要した時間)が表示されます。


) 同期中、NAC はプライマリ Profiler を検索します。到達できない場合、リストから 1 つずつセカンダリ Profiler を検索します。[List] で、Profiler の 1 つをすでに「プライマリ」として選択しています。


エンドポイント ポリシーのマッピング

Cisco ISE Profiler にすでに存在するエンドポイント プロファイルでルールを作成し、これらを CAM にマッピングできます。

新しいルールの作成


ステップ 1 [Device Management] > [Filters] > [Configuration] > [Rules] > [New] に移動します。

図 2-16 新規ルール

ステップ 2 [New] ルール フォームに次の情報を入力します。

[Rule Name]:新規ルールの名前を入力します。

[Rule Description]:ルールの説明を入力します。

[Matching Profile]:テキスト ボックスにエンドポイント プロファイル名を次のように入力します。

プロファイルの正確な名前を指定します。[Display Profiles] をクリックして、ポップアップ リストからプロファイルを選択できます。図 2-17 に示すように、Cisco ISE Profiler の既存のエンドポイント プロファイル名がこのリストに表示されます。

複数のプロファイル名を指定するには、ワイルドカード「*」を使用します。

複数のプロファイル名は改行で分離します。

図 2-17 プロファイルの表示

 

ステップ 3 [Access Type] の選択肢の中から、そのプロファイルのポリシーを選択します。

ALLOW
IB:ログイン、ポスチャ評価を回避し、アクセスを許可する
OOB(スイッチ):ログイン、ポスチャ評価を回避し、デフォルト アクセス VLAN を割り当てる
OOB(WLC):ログイン、ポスチャ評価を回避し、WLC アクセス VLAN を割り当てる

DENY
IB:ログイン、ポスチャ評価を回避し、アクセスを拒否する
OOB(スイッチ):ログイン、ポスチャ評価を回避し、認証 VLAN を割り当てる
OOB(WLC):ログイン、ポスチャ評価を回避し、WLC 隔離 VLAN を割り当てる

ROLE
IB:ログイン、L2 ポスチャ評価を回避し、L3 ポスチャ評価を適用して、ロールを割り当てる
OOB(Switch);ログイン、L2/L3 ポスチャ評価を回避し、ユーザ ロール VLAN を割り当てる
OOB(WLC);ログイン、L2/L3 ポスチャ評価を回避し、WLC アクセス VLAN を割り当てる 詳細については、「ユーザ管理:ユーザ ロールとローカル ユーザの設定」を参照してください。

CHECK
IB:ログインを回避し、ポスチャ評価を適用し(証明済みの場合は L2 ポスチャ評価を回避)、ロールを割り当てる
OOB(Switch):ログインを回避し、証明されていない場合はポスチャ評価を適用し、ユーザ ロール VLAN を割り当てる
OOB(WLC):ログインを回避し、証明されていない場合はポスチャ評価を適用し、WLC アクセス VLAN を割り当てる

IGNORE
OOB(Switch):管理対象スイッチ(IP 電話)からの SNMP トラップを無視する

ステップ 4 [Bounce this port if endpoint profile changes]:エンドポイント プロファイルに変更があったときにポートをバウンスする場合は、このオプションをオンにします。これは OOB モードにのみ該当します。

ステップ 5 [Enable Rule]:ルールをイネーブルにするには、このオプションをオンにします。

ステップ 6 [Add] をクリックしてポリシーを保存します。


 

CAM は、ISE Profiler で使用可能なすべてのエンドポイントを取得し、一致するルールで選択されたアクセス タイプを適用します。エンドポイントと一致するルールがなかった場合は、アクセス タイプ「DENY」が適用されます。

ルールの表示

[Rules] の下の [List] タブをクリックすると、図 2-18 に示すような既存のルールが表示されます。

図 2-18 ルールのリスト

[List] タブにはルール名、ルールがイネーブルかどうか、説明、プロファイル、アクセス タイプ、プライオリティが表示されます。次のセクションで説明するように、ルールを編集または削除できます。

ルールの編集


ステップ 1 [Device Management] > [Filters] > [Configuration] > [Rules] > [List] に移動します。

ステップ 2 [Rules] リストのルール名に対応する [Edit] アイコンをクリックします。図 2-16 に示すような [Edit] ウィンドウが表示されます。

ステップ 3 ルール名、ルールの説明、一致するプロファイル、アクセス タイプ、使用されているユーザ ロールを編集できます。

ステップ 4 [Update] をクリックして変更を適用します。


 

ルールの削除

ルールを削除するには、[Device Management] > [Filters] > [Configuration] > [Rules] > [List] タブで、リストのルール名の隣にあるチェックボックスをオンにして、[Delete Selected] ボタンをクリックします。

選択されたルールがリストから削除されます。

ルールの順序

[Order] ページを使用して、ルールのプライオリティを変更できます。正確なプロファイル名を持つルール名は、ワイルドカードを使用したプロファイル名よりプライオリティが高くなります。ワイルドカードを含むプロファイル名のプライオリティだけを変更できます。


ステップ 1 [Device Management] > [Filters] > [Configuration] > [Rules] > [Order] に移動します。

図 2-19 ルールの順序

 

ステップ 2 [Priority] カラムの矢印をクリックして、ルールのプライオリティを上または下に移動します。

ステップ 3 [Commit] をクリックして変更を適用します。(変更をキャンセルするには、[Reset] をクリックします)。


 

ISE Profiler での NAC Manager の設定

NAC Manager(CAM)が ISE Profiler からエンドポイントのプロファイル情報を取得するには、CAM の詳細を Cisco ISE Profiler に設定する必要があります。


ステップ 1 Cisco ISE Web コンソールで、[Administration] > [Network Resources] > [NAC Managers] に移動します。[NAC Managers] ページが表示されます(図 2-20 を参照)。

図 2-20 Cisco ISE の [NAC Managers] ページ

ステップ 2 [NAC Managers] ページで、[Add] をクリックします。図 2-21 に示す [New NAC Manager] ページが表示されます。

図 2-21 ISE Profiler への NAC Manager の追加

 

ステップ 3 NAC Manager(CAM)の詳細を次のように入力します。

[Name]:CAM を説明する名前を入力します。

[Description]:(任意)CAM の説明を入力します。

[Status]:CAM への接続を認証する Cisco ISE Profiler からの通信をイネーブルにする場合は、チェックボックスをオンにします。

[IP Address]:CAM の IP アドレスを入力します。(たとえば、255.255.255.255 などです)。


) ハイアベイラビリティ構成の場合、CAM のサービス IP を使用します。これで、ハイアベイラビリティ構成で CAM のフェールオーバーをサポートできます。



) 保存した CAM の IP アドレスは編集できません。


[Username]:CAM Web コンソール admin ユーザの名前を入力します。

[Password]:CAM Web コンソール admin ユーザのパスワードを入力します。

ステップ 4 [Submit] をクリックします。


 

Cisco ISE Profiler の詳細については、Cisco.com で入手可能な『 Cisco Identity Services Engine User Guide 』を参照してください。

http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html

Cisco ISE 同期時のトラブルシューティング

Cisco ISE から CAM とエンドポイントを同期している間、CAM は Cisco ISE から詳細を取得しようとします。データの取得中に問題が発生した場合は、次のことをチェックしてください。

[Device Management] > [Filters] > [Configuration] > [Profiles] > [Configure] > [List] に移動し、ISE Profiler の設定をチェックします。

IP アドレス、Admin ユーザ名、パスワードをチェックします。

CAM が ISE Profiler に接続できるかどうかをチェックします。

[Device Management] > [Filters] > [Configuration] > [Rules] に移動し、設定されているルールをチェックします。

正規表現に設定されているルールのプライオリティをチェックします。

エンドポイントが拒否された場合、適切なルールが設定され、イネーブルになっているかどうかをチェックします。

[Device Management] > [Filters] > [Configuration] > [Profiler] > [Sync Settings] ページに移動し、[Check Sync Status Now] をクリックします。同期に関して詳しく説明するログ メッセージが表示されます。

Cisco ISE と CAM の同期中、Cisco ISE は詳細を CAM に送信しようとします。データの送信中に問題が発生した場合は、次のことをチェックしてください。

Cisco ISE Web コンソールで、[Administration] > [Network Resources] > [NAC Managers] に移動します。

[NAC Managers] ページで、CAM とクレデンシャルの詳細をチェックします。

シナリオの例


) 次に、同期のさまざまなシナリオで表示されるサンプル メッセージを示します。


プライマリ ISE 接続に失敗し、セカンダリ ISE に接続された

com.cisco.nac.core.nacprofiler.job.FullSyncJob - Trying to connect to the URL: https://9.9.9.11/ise/ProfilerConfig/EndPointPartial
2011-08-26 15:13:59.912 +0530 DefaultQuartzScheduler_Worker-1 ERROR com.cisco.nac.core.nacprofiler.job.FullSyncJob - IOException: java.net.NoRouteToHostException: No route to host
 

上のメッセージは、プライマリ ISE との接続に失敗した場合に表示されます。接続に問題がある場合や、クレデンシャルが正しくない場合に発生することがあります。

2011-08-26 15:13:59.949 +0530 DefaultQuartzScheduler_Worker-1 INFO com.cisco.nac.core.nacprofiler.job.FullSyncJob - Connected to the URL : https://9.9.10.10/ise/ProfilerConfig/EndPointPartial
 

上のメッセージは、CAM がセカンダリ ISE への接続を試みているときに表示されます。

2011-08-26 15:14:01.014 +0530 DefaultQuartzScheduler_Worker-1 INFO com.cisco.nac.core.nacprofiler.job.FullSyncJob - Opening url inputstream - took 0 hour(s) 0 minute(s) 1 second(s) 101 milli(s)
com.cisco.nac.core.nacprofiler.job.FullSyncJob - Finished executing the jobTook - took 0 hour(s) 0 minute(s) 4 second(s) 44 milli(s)
2011-08-26 15:14:03.952 +0530 DefaultQuartzScheduler_Worker-1 INFO com.cisco.nac.core.nacprofiler.job.FullSyncJob - Sync job execution completed.
2011-08-26 15:14:03.952 +0530 DefaultQuartzScheduler_Worker-1 INFO com.perfigo.wlan.web.admin.SmartManagerConf - SMC - STORE: UPDATE smartmanager_conf SET prop_value='Synched with profiler 9.9.10.10 at 08/26/2011 15:13:59 [format: MM/DD/YYYY HH:mm:ss]# Number of endpoints synched - 149# Time taken - 0 hour(s) 0 minute(s) 4 second(s) 44 milli(s)#' WHERE prop_name='ProfilerSyncStatus'
 

上のメッセージは、接続に成功したことを示します。

Cisco ISE に接続できない

2011-08-29 14:21:02.767 +0530 DefaultQuartzScheduler_Worker-1 INFO com.cisco.nac.core.nacprofiler.job.FullSyncJob - Executing a full sync job : 1314607862767
com.cisco.nac.core.nacprofiler.job.FullSyncJob - returning endpoints processed
2011-08-29 14:21:05.768 +0530 DefaultQuartzScheduler_Worker-1 ERROR com.cisco.nac.core.nacprofiler.job.FullSyncJob - IOException: java.net.NoRouteToHostException: No route to host
 

上のメッセージは、 CAM が Cisco ISE に ping を送信できないときに表示されます。接続と設定をチェックする必要があります。

2011-08-29 14:21:05.769 +0530 DefaultQuartzScheduler_Worker-1 ERROR com.cisco.nac.core.nacprofiler.job.FullSyncJob - No route to host
2011-08-29 14:21:05.771 +0530 DefaultQuartzScheduler_Worker-1 INFO com.perfigo.wlan.web.admin.SmartManagerConf - SMC - STORE: UPDATE smartmanager_conf SET prop_value='Sync with profiler failed at 08/29/2011 14:21:02# Reason - Unable to obtain information from the configured profiler(s).
1) Please check the connectivity and configuration.
2) Check logs for more information#' WHERE prop_name='ProfilerSyncStatus'
 

CAM は Cisco ISE に接続できるが、クレデンシャルが無効

2011-08-29 14:30:22.930 +0530 DefaultQuartzScheduler_Worker-1 INFO com.cisco.nac.core.nacprofiler.job.FullSyncJob - Executing a full sync job : 1314608422930
2011-08-29 14:30:22.930 +0530 TP-Processor23 INFO com.perfigo.wlan.web.admin.EventLog - Profiler: Successfully scheduled sync job of type:SYNC_NOW
2011-08-29 14:30:22.930 +0530 DefaultQuartzScheduler_Worker-1 INFO com.cisco.nac.core.nacprofiler.job.FullSyncJob - Trying to connect to the URL: https://9.9.10.10/ise/ProfilerConfig/EndPointPartial
2011-08-29 14:30:22.941 +0530 TP-Processor23 INFO com.cisco.nac.core.nacprofiler.SyncJobScheduler - Successfully scheduled sync job of type:SYNC_NOW
2011-08-29 14:30:22.969 +0530 DefaultQuartzScheduler_Worker-1 ERROR com.cisco.nac.core.nacprofiler.job.FullSyncJob - IOException: java.io.IOException: Server returned HTTP response code: 401 for URL:
https://9.9.10.10/ise/ProfilerConfig/EndPointPartial
 

上のメッセージは、Cisco ISE に接続可能で、クレデンシャルが正しくない場合に表示されます。

2011-08-29 14:30:22.971 +0530 DefaultQuartzScheduler_Worker-1 INFO com.perfigo.wlan.web.admin.SmartManagerConf - SMC - STORE: UPDATE smartmanager_conf SET prop_value='Sync with profiler failed at 08/29/2011 14:30:22# Reason - Unable to obtain information from the configured profiler(s).
1) Please check the connectivity and configuration.
2) Check logs for more information#' WHERE prop_name='ProfilerSyncStatus'
 

次のコマンドを使用して、CAM ログ ファイルをチェックすることもできます。

/perfigo/control/tomcat/logs/nac_manager.log
/perfigo/control/tomcat/logs/catalina.out