セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンスに対するスイッチ のサポート

Cisco NAC アプライアンスに対するスイッチのサポート
発行日;2012/01/21 | 英語版ドキュメント(2011/11/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco NAC アプライアンスに対するスイッチのサポート

インバンド(IB)配置でのスイッチのサポート

アウトオブバンド(OOB)配置でのスイッチのサポート

OOB がサポートされているスイッチ

OOB がサポートされている(NME)EtherSwitch サービス モジュール

MAC 移動通知機能のサポート

無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート

CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)

スイッチおよび WLC に関する既知の問題

Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置

Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置

Cisco 2200/4400 Wireless LAN Controller(Airespace WLC)および DHCP

トラブルシューティング

VGW/中央配置における中央スイッチでのループ防止

OOB スイッチ トランク ポートとアップグレード

スイッチ OID のサポート

Cisco NAC アプライアンスに対するスイッチのサポート

OL-7315-01-J

 


) このマニュアルは、次の Web サイトから入手できます。http://www.cisco.com/en/US/products/ps6128/products_device_support_tables_list.html
最新の Cisco NAC アプライアンス(Cisco Clean Access)のマニュアルについては、次の Web サイトを参照してください。http://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html


このマニュアルでは、次の内容について説明します。

インバンド(IB)配置でのスイッチのサポート

アウトオブバンド(OOB)配置でのスイッチのサポート

無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート

CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)

スイッチおよび WLC に関する既知の問題

トラブルシューティング

インバンド(IB)配置でのスイッチのサポート

Cisco NAC アプライアンスの In-Band(IB; インバンド)配置では、認証、ポスチャ アセスメント、修復の前後および処理中に、Clean Access Server(CAS)が常にユーザ トラフィックを処理します。無線ネットワークではインバンド モードが必須です。

IB 配置では、Cisco NAC アプライアンスによって、スイッチまたはルータのプラットフォームとバージョンが認識されません。
IB 配置は、レイヤ 2(L2)またはレイヤ 3(L3)にすることができます。

L2 配置では、CAS がユーザ MAC アドレスまたは IP アドレスを参照できるようにする必要があります。

(CAS がユーザから 1 つまたは複数ホップ以上離れている) L3 配置では、CAS は IP アドレスでユーザを識別します。

アウトオブバンド(OOB)配置でのスイッチのサポート

Cisco NAC アプライアンスの Out-of-Band(OOB; アウトオブバンド)配置では、認証、アセスメント、修復の処理中にのみ、Clean Access Server(CAS)がユーザ トラフィックを処理します。その後、ユーザ トラフィックは CAS を通過しません。OOB 配置では、Clean Access Manager(CAM)は Simple Network Management Protocol(SNMP)を使用してスイッチを制御し、ポートに Virtual LAN(VLAN; 仮想 LAN)を割り当てます。CAM/CAS を OOB に設定している場合は、対応するバージョンの IOS/CatOS を使用して、サポートされているスイッチ/NME のスイッチ ポートを CAM で制御できます。次の表を参照してください。

「OOB がサポートされているスイッチ」

「OOB がサポートされている(NME)EtherSwitch サービス モジュール」

「MAC 移動通知機能のサポート」

「無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート」

すべてのスイッチ モデル/NMEで、制限事項を確認し、使用するスイッチの OS バージョンに対応した MAC 通知や linkup/linkdown SNMP トラップのサポートを確認することを推奨します。詳細については、「スイッチおよび WLC に関する既知の問題」を参照してください。


) 管理者は、サポート対象スイッチのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Update を実行するだけでスイッチ OID をサポート対象にすることができます。スイッチ OID のアップデート機能は、既存のモデルだけに適用されます。新規スイッチ シリーズが導入された場合、管理者はアップグレードを実行して、新規スイッチに対して OOB サポートが確保されるようにする必要があります。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』の「Switch Management」(OOB)の章を参照してください。



) リリース 4.5 以降では、管理者はサポート対象 WLC プラットフォームのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。



) Cisco NAC アプライアンスでは、Cisco Catalyst 2900 XL および 3500 XL だけを製品(スイッチ)サポート終了時までサポートします。詳細については、次の Web サイトを参照してください。http://www.cisco.com/en/US/partner/products/hw/switches/prod_category_end_of_life.html


OOB がサポートされているスイッチ

表 1 に、アウトオブバンド配置に対応した Cisco NAC アプライアンスのバージョンごとに、サポートされている スイッチ モデル と最小 OS バージョンを示します。

 

表 1 OOB がサポートされているスイッチ

Cisco NAC アプライアンスの最小バージョン1
スイッチ モデル 2
サポートされている OS の最小バージョン 3 4

4.5
4.1(x)+54.0(0)+

3.6(1)+

-

Cisco Catalyst Express 500 Series(CE500)6

Cisco IOS リリース 12.2(25)SEG

3.6(0)+

3.5(4)+

Cisco Catalyst 2900 XL78

Cisco IOS ソフトウェア リリース 12.0(5)WC7

Cisco Catalyst 29409

Cisco IOS ソフトウェア リリース 12.1(6)EA2

3.5(0)+

Cisco Catalyst 295010 9

Cisco IOS ソフトウェア リリース 12.1(14)EA1

Cisco Catalyst 2950 LRE 10

Cisco IOS ソフトウェア リリース 12.1(14)EA1

3.6(1)+

-

Cisco Catalyst 2955

Cisco IOS ソフトウェア リリース 12.1(14)EA1

3.6(0)+

3.5(7)+

Cisco Catalyst 2960 9

Cisco IOS ソフトウェア リリース 12.2(25)

3.5(4)+

Cisco Catalyst 3500 XL 7 8

Cisco IOS ソフトウェア リリース 12.0(5)WC7

3.5(0)+

Cisco Catalyst 3550 9

Cisco IOS ソフトウェア リリース 12.1(8)EA1b

3.5(1)+

Cisco Catalyst 3560 9

Cisco IOS ソフトウェア リリース 12.2(25)SEE

3.5(0)+

Cisco Catalyst 3750 9 11 12

Cisco IOS ソフトウェア リリース 12.2(25)SEE

3.5(8)+

Cisco Catalyst 4000 9 13 14 15

Cisco Catalyst OS リリース 7.1

Cisco IOS ソフトウェア リリース 12.2(31)SGA02

3.5(0)+

Cisco Catalyst 4500 9 13 14 15

Cisco Catalyst OS リリース 7.1

Cisco IOS ソフトウェア リリース 12.2(31)SGA02

4.5
4.1(x)+ 5

-

-

Cisco Catalyst 494816

Cisco IOS ソフトウェア リリース 12.2(31)SGA02

4.5
4.1(x)+ 5
4.0(0)+

3.6(0)+

3.5(8)+

Cisco Catalyst 6000 9 17

Cisco Catalyst OS リリース 7.5

Cisco IOS ソフトウェア リリース 12.2(33)SXH118

3.5(0)+

Cisco Catalyst 6500 9 17

Cisco Catalyst OS リリース 7.5

Cisco IOS ソフトウェア リリース 12.2(33)SXH1 18

1. Cisco NAC アプライアンスの最小バージョン」列の「+」は、スイッチ モデルまたは OS が、記載されている CCA バージョン以降のバージョンでサポートされていることを示します。

2.クラスタはサポートされていません。

3.DF リリースの IOS を実行している場合は、サポートされている OS の最小バージョン以降で、DF 以外のバージョンを実行します。

4.特に記述がない限り、OS バージョンは SNMP V3 をサポートしています。

5.OOB スイッチの OID 自動アップデート機能は、CCA リリース 4.1(0) 以降で使用できます([Device Management] > [Clean Access] > [Updates])。これにより、CCA ソフトウェアのアップグレードではなく CAM アップデートを実行することによって、既存のサポートされているスイッチ モデルまたはシリーズの新しいスイッチを、サポート対象にすることができます。

6.IOS release 12.2.25(SEG) for CE500 では、すべての Smartport ロールに対して MAC-NOTIFICATION SNMP トラップがサポートされています(DESKTOP および IPPHONE ロールを含む)。12.2.25(SEG) へのアップグレード後、ユーザは CAM で [Switch Management] > [Devices] > [List] > [Config [Switch IP]] > [Config] > [Advanced] を選択して、CE500 に対して MAC-NOTIFICATION を設定できます。CCA 3.6.2, 3.6.3, 4.0.0, 4.0.1, 4.0.2 に対して、CE500 はデフォルトで linkup/linkdown SNMP 通知をサポートしており、MAC-NOTIFICATION トラップに変更するときに「OTHER ロール」警告メッセージを無視できます。Cisco NAC アプライアンスの今後のリリースで、この警告メッセージは削除され、CE500 のデフォルト制御メソッドは MAC-NOTIFICATION トラップになります。

注:デフォルトの 12.2(25) SEG よりも前の IOS バージョンが実行されている場合、スイッチの Smartports 設定で CE500 スイッチ ポートが OTHER ロール(デスクトップまたは IP 電話ではなく)に割り当てられている必要があります。割り当てられていない場合、MAC 通知は送信されません。

7.CCA OOB では、Cisco Catalyst 2900 XL、3500 XL、および 5500 だけを製品(スイッチ)サポート終了時までサポートします。詳細については、次の Web サイトを参照してください。http://www.cisco.com/en/US/partner/products/hw/switches/prod_category_end_of_life.html

8.2900 XL および 3500 XL は SNMP V3 をサポートしていません。

9.Cisco NAC アプライアンス 4.1(3) 以降は、スイッチからの MAC 移動通知機能をサポートしています。詳細については、「MAC 移動通知機能のサポート」を参照してください。

10.2950/2950 LRE スイッチには IOS 12.1(14)EA1 以降が必要です。2950 スイッチで 12.1(11) ~ 12.1(13) を実行すると、警告 CSCea56777 が表示され、スイッチの VLAN を変更できなくなる可能性があります。

11.3750 L3 スイッチには IOS 12.2(25)SEE 以降が必要です。3750 のスタック構成は、警告 CSCse86236 および CSCsg31176 の影響を受けます(ともに IOS の新リリース 12.2(35)SE で解決済み)。詳細については、「Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置」を参照してください。

12.CCA OOB は 3750 StackWise テクノロジーをサポートしています。スタック構成で MAC 通知機能を使用し、スタック上に 252 を超えるポートがある場合、CAM を使用して 252 番目のポートに MAC 通知機能を設定または設定解除することはできません。回避策が 2 つあります。1)linkup/linkdown SNMP 通知だけを使用します。2)MAC 通知機能を使用する場合、252 番目のポートを使用せずにエラーを無視すれば、その他のポートは正常に機能します。

13.Catalyst 4000/4500 のコード サポートは、シャーシではなくスーパーバイザによって決まります。Catalyst 4000/4500 では、スーパーバイザ I/II だけが CatOS をサポートします。

14.Catalyst 4000/4500 では、スーパーバイザ II+/III/IV/V だけが IOS をサポートします。IOS コードの場合、MAC 通知機能をサポートするのは、12.2(31) SG 以降だけです。スーパーバイザ III は 12.2(31)SG をサポートしていない(つまり、MAC 通知機能をサポートしていない)ため、12.2(25)EWA リリース トレインを実行する必要があります。スーパーバイザ II+/IV/V は 12.2(31)SG をサポートしています。OOB で linkup 通知機能を使用している場合は、12.2(31) SG よりも前のコードも使用できます。

15.Catalyst 4000/4500 では、警告 CSCsi25194 のため、IOS バージョン 12.2(31)SGA02 以降が必要です。

16.Catalyst 4948 は Catalyst 4500 シリーズに基づいています。このスイッチを CAM で追加または設定するには、[Switch Management] > [Profiles] > [Switch] > [New | Switch Model] で [Cisco Catalyst 4000/4500 series] を選択します。

17.Catalyst 6000/6500 で IOS を使用する場合は、12.2(33)SXH 以降で MAC 通知機能をサポートします。Catalyst 6000/6500 がエッジ配置で、ユーザが直接スイッチに接続している場合は、それよりも前の最小リリース(IOS 12.1(8a)EX)で、SNMP linkup 通知機能を使用できます。ユーザが IP 電話の背後から接続している場合は、MAC 通知機能が必要です。

18.Catalyst 6000/6500 スイッチでは、警告 CSCsj10375 のため、IOS バージョン 12.2(33)SXH1 以上が必要です。

OOB がサポートされている(NME)EtherSwitch サービス モジュール

表 2 に、Cisco 2800/3800 シリーズ、サービス統合型ルータのサポート対象である Cisco 3750 NME EtherSwitch サービス モジュール を、NAC アプライアンス OOB のバージョン別に示します。これらのサービス モジュールは、基本的にブレードとして製品化された Cisco Catalyst 3750 スイッチであり、2800/3800 サービス統合型ルータだけでサポートされています(Cisco 2600 ISR ではサポートされていません)。

 

表 2 OOB がサポートされている 3750 サービス モジュール(2800/3800 ISR 対応)

Cisco NAC アプライアンスの最小バージョン19
Cisco 2800/3800 サービス統合型ルータでサポートされている 3750 EtherSwitch サービス モジュール20 21 22
スイッチ IOS の最小バージョン
ルータ IOS の最小バージョン

4.5
4.1(x)+23
4.0(1)+
3.6(4)+

NME-16ES-1G

12.2(25)SEC

12.3(14)T3

NME-16ES-1G-P

12.2(25)EZ

12.3(14)T

NME-X-23ES-1G

12.2(25)SEC

12.3(14)T3

NME-X-23ES-1G-P

12.2(25)EZ

12.3(14)T

NME-XD-24ES-1S-P

12.2(25)EZ

12.3(14)T

NME-XD-48ES-2S-P

12.2(25)EZ

12.3(14)T

19. Cisco NAC アプライアンスの最小バージョン」列の「+」は、スイッチ モデルまたは OS が、記載されている CCA バージョン以降のバージョンでサポートされていることを示します。

20.EtherSwitch サービス モジュールをサポートする ISR の詳細については、『Cisco Network Modules Hardware Installation Guide』の表「Router Platforms Supporting Cisco EtherSwitch Service Modules」を参照してください。

21.3750 NME モジュールを OOB スイッチ管理用の CAM に追加するには、3750 スイッチを追加する場合と同じ手順を実行する必要があります。これらの 3750 NME 用のスイッチ プロファイルを設定する場合は、[Switch Management] > [Profiles] > [Switch] > [New | Switch Model] で [Cisco Catalyst 3750 series] を選択します。

22.3750 L3 スイッチには IOS 12.2(25)SEE 以降が必要です。詳細については、「Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置」を参照してください。

23.OOB スイッチの OID 自動アップデート機能は、CCA リリース 4.1(0) 以降で使用できます([Device Management] > [Clean Access] > [Updates])。これにより、CCA ソフトウェアのアップグレードではなく CAM アップデートを実行することによって、既存のサポートされているスイッチ モデルまたはシリーズの新しいスイッチを、サポート対象にすることができます。

MAC 移動通知機能のサポート

Cisco NAC アプライアンス 4.1(3) 以降では、MAC 変更通知と linkup/linkdown SNMP トラップの機能に加えて、スイッチからの MAC 移動通知機能をサポートしています。

表 3 に、MAC 移動通知機能をサポートしているスイッチ モデルと OS バージョンを示します。

 

表 3 MAC 移動通知機能がサポートされているスイッチ

スイッチ
スイッチ IOS の最小バージョン
CatOS の最小バージョン

Catalyst 2940/2950/2960

12.2(40)SE

--

Catalyst 3550/3560/3750

12.2(40)SE

--

Catalyst 4000/4500

12.2(31)SG

非サポート

Catalyst 6000/65000

12.2(17d)SXB

7.6.1

詳細については、『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(3) 』を参照してください。

無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート


) 無線 OOB は、IP 変更を必要としない、レイヤ 2 OOB バーチャル ゲートウェイ配置だけをサポートしています。Cisco NAC ネットワーク モジュールはこのトポロジをサポートしていないため、無線 OOB では NAC ネットワーク モジュールがサポートされません。


表 4 に、NAC アプライアンス リリース 4.5 以降で無線 OOB 配置用にサポートされている、Wireless LAN Controller プラットフォームを示します。

 

表 4 無線 OOB 用にサポートされている推奨 WLC プラットフォーム

Cisco Wireless LAN Controller のモデル
Cisco Wireless LAN Controller のバージョン
Cisco NAC アプライアンスのバージョン

Cisco 4400 シリーズ Wireless LAN Controller

5.1

4.5

Cisco 2000 シリーズ Wireless LAN Controller

Cisco Catalyst 3750G Integrated Wireless LAN Controller

Cisco Catalyst 6500/7600 シリーズ Wireless Services Module(WiSM;無線サービス モジュール)

Cisco Wireless LAN Controller モジュール


) リリース 4.5 以降では、管理者はサポート対象 WLC プラットフォームのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。


表 5 に、Cisco NAC アプライアンス リリース 4.5 で使用するスイッチの推奨 IOS バージョンを示します。また、 表 5 に、リリース 4.5 の無線 OOB 機能で動作することが確認されている、OS バージョンとスイッチ プラットフォームを示します。WOOB サポートで問題が発生したとき、表 1 に示す既存のハードウェア プラットフォームでサポートされている IOS の最小 バージョンを実行している場合は、スイッチの IOS を 表 5 に示すバージョンにアップグレードする必要があります。

 

表 5 リリース 4.5 の WOOB 機能で動作するスイッチ IOS のバージョン

デバイス モデル
推奨 IOS バージョン

Catalyst 2960

12.2(35)SE5

Catalyst 3560/3560-E

12.2(25)SEE3

Catalyst 3570/3570-E

12.2(25r)SEE4

Catalyst 4500

12.2(31)SGA

Catalyst 6500

12.2(33)SXH1
12.2(33)SXH2a

CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)

表 6 に、インバンド(IB)またはアウトオブバンド(OOB)配置の CAS のバーチャル ゲートウェイ VLAN マッピング機能に対する、Cisco Catalyst スイッチ モデルのサポート状況を示します。この表では、バーチャル ゲートウェイ(ブリッジ)モードの CAS を記載されたスイッチに接続する場合に選択できる、CAS ネットワーク配置のオプションを明らかにしています。

 

表 6 CAS バーチャル ゲートウェイ IB/OOB VLAN マッピングに対するスイッチのサポート

Cisco Catalyst スイッチ モデル
バーチャル ゲートウェイ
中央配置
(両方のインターフェイスを同じスイッチに接続)
エッジ配置
(各インターフェイスを異なるスイッチに接続)

6000/6500

4000/4500

3750/3560(L3 スイッチ)

12.2(25) SEE 以降で可 24

3550(L3 スイッチ)

不可 1

3750/3560(L2 スイッチ)

3550(L2 スイッチ)

2950/2960

2900XL

不可 25

3500XL

28xx NME

12.2(25) SEE 以降で可1

24.スイッチ警告 CSCdu27506 のためです。詳細については、「Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置」を参照してください。

25.2900 XL では、スイッチ トランクから VLAN 1 を削除できません。

バーチャル ゲートウェイ の中央配置の詳細については、「VGW/中央配置における中央スイッチでのループ防止」を参照してください。

スイッチおよび WLC に関する既知の問題

ここでは、Cisco NAC アプライアンスを次のスイッチ モデル/Wireless LAN Controller および配置タイプと統合する場合の、既知の問題について説明します。

Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置

Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置

Cisco 2200/4400 Wireless LAN Controller(Airespace WLC)および DHCP

Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置

インバンド中央配置モードの Cisco Clean Access(NAC アプライアンス)では、Cisco Catalyst 3560/3750 シリーズ スイッチをレイヤ 3 スイッチとして使用し、CAS の両方のポートが同じ 3560/3750 スイッチに接続されている場合、Cisco IOS リリース 12.2(25)SEE 以降のスイッチ IOS コードが必要です。

警告 CSCdu27506 は Catalyst 3550 シリーズ スイッチでは修正されていないため、Catalyst 3550 はレイヤ 3 スイッチとして使用する場合、NAC アプライアンスのインバンド中央配置では使用できません。

詳細については、次の Web サイトで警告 CSCdu27506 を参照してください。

http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCdu27506

また、「CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)」も参照してください。

Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置

Cisco Clean Access(NAC アプライアンス)のユーザが、OOB 配置で Cisco IOS 12.2(25) SEC2 以前を使用して Cisco Catalyst 3750 スイッチをスタックしている場合は、SNMP MAC 通知に失敗する可能性があり、SNMP によって MAC アドレスが OOB CAM および CAS に報告されません。

この問題の影響を受けた場合は、Cisco Catalyst 3750 スイッチのスタックを Cisco IOS リリース 12.2(25)SEE 以降にアップグレードすると解決できます。詳細については、次の Web サイトでスイッチ IOS の警告 CSCeh80716 を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_25_sed/release/notes/OL8113.html#wp821615


) Catalyst 3750 のスタック構成は、警告 CSCse86236 および CSCsg31176 の影響を受けます。これらの警告は、IOS リリース 12.2(35)SE で解決されています。


OOB 配置でサポートされているスイッチの詳細については、「アウトオブバンド(OOB)配置でのスイッチのサポート」を参照してください。


) スイッチの SNMP 設定を指定する際、コミュニティ ストリングで「@」文字は使用しないでください。


Cisco 2200/4400 Wireless LAN Controller(Airespace WLC)および DHCP

Cisco NAC アプライアンス リリース 4.0(2) 以降では DHCP サーバの動作が変更されたため、Cisco 2200/4400 Wireless LAN Controller(別名 Airespace WLC)を使用しているネットワークで、要求を(DHCP サーバとして動作する)CAS にリレーすると、問題が発生する可能性があります。この場合、クライアント マシンで DHCP アドレスを取得できないことがあります。

リリース 4.0(2) のインストールまたはアップグレード後に、Airespace コントローラで DHCP の問題が発生する場合は、次の手順を実行して DHCP 機能を復元する必要があります。


ステップ 1 CAS で DHCP オプションをイネーブルにします。

a. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Global Options] を選択します。

b. [Enable] ボタンをクリックします(ユーザ指定の DHCP オプション)。

ステップ 2 オプション番号「54」、オプション タイプ「IP-Address」を指定して、新しいカスタムのグローバル DHCP オプションを作成します。

a. [Root Global Option List] で [New Option] リンクをクリックします。

b. [ID] フィールドに 54 と入力します。

c. [Type] ドロップダウン メニューから [IP-Address] を選択します。

d. [Create Custom Option] ボタンをクリックします。

ステップ 3 このオプションの CAS eth1 IP アドレス(CAS が HA モードの場合は eth1 サービス IP)の値を設定します。

a. テキスト フィールドに CAS eth1 IP アドレスを入力します。

b. [Update] をクリックします。

ステップ 4 これで、Airespace コントローラで DHCP 機能が復元されます。


 


) DHCP オプション設定の詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』の「Configuring DHCP」の章を参照してください。


トラブルシューティング

ここでは、次の内容について説明します。

VGW/中央配置における中央スイッチでのループ防止

OOB スイッチ トランク ポートとアップグレード

スイッチ OID のサポート

VGW/中央配置における中央スイッチでのループ防止

バーチャル ゲートウェイの中央配置では、CAS の両方のインターフェイスが同じスイッチに接続されます。バーチャル ゲートウェイ の中央配置を正しく設定するには、次の手順に従って作業を進める必要があります。CAS の両方のインターフェイスをスイッチに接続する際に、すべての中央/コア スイッチでループが生じないようにするため、次の手順を実行してください。

1. CAS の両方のインターフェイスをスイッチに接続する前に、CAS の CLI に SSH で接続し、CLI コマンドを使用して eth1(信頼できないインターフェイス)をディセーブルにします。

ifconfig eth1 down

2. CAS の eth0 および eth1 インターフェイスを、ネットワークへ物理的に接続します。

3. CAM Web コンソールに CAS を追加後、必ず、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN のマッピングを設定してください。さらに、[Enable VLAN Mapping] チェックボックスにチェックを入れて、Update] をクリックします。

4. スイッチの 802.1q ポートの設定では、CAS の eh0 および eth1 にトランク接続しているスイッチの VLAN のうち、CAS 管理 VLAN とユーザ VLAN に使用されているもの以外のすべての VLAN を除外してください。

5. CAS の eth0 および eth1 のインターフェイスに接続しているスイッチ ポートの VLAN 1 を除外します。詳細については、次の Web サイトを参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_22ea/SCG/swvlan.html

6. 前述の手順が完了したら、CAS の CLI に SSH で接続し、CLI コマンドを使用して、CAS の eth1 をイネーブルにします。

ifconfig eth1 up

また、「CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)」も参照してください。

OOB スイッチ トランク ポートとアップグレード

Cisco Clean Access は OOB(リリース 3.6(1) 以降)のスイッチ トランク ポートを制御できるため、アップグレードの前後いずれかに、制御対象スイッチのアップリンク ポートを「uncontrolled」(非制御)ポートに設定します。そのためには、次の 2 つの方法のいずれかを使用します。

アップグレード前に、[Switch Management] > [Devices] > [Switches] > [List] > [Config[Switch_IP]] > [Default Port Profile | uncontrolled] で、スイッチ全体の [Default Port Profile] を [uncontrolled] に変更します。

アップグレード後に、[Switch Management] > [Devices] > [Switches] > [List] > [Ports [Switch_IP] | Profile] で、スイッチの適用可能なアップリンク ポートの [Profile] を [uncontrolled] に変更します。

これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる、不必要な問題を回避できます。

何らかの理由で前述の手順が省略されたためにスイッチが切断された場合は、次の手順を実行します。

1. スイッチを CAM のスイッチ リストから削除します([Switch Management] > [Devices] > [Switches] > [List])。

2. CLI を使用してスイッチを設定し、CAM によってアップリンク ポートに加えられた変更を元に戻します(トランク ネイティブ VLAN および MAC 通知)。次に、例を示します。

(config-if)# switchport trunk native vlan xxx
(config-if)# no snmp trap mac-notification added
 

3. スイッチを CAM に追加し([Switch Management] > [Devices] > [Switches] > [New] または [Search])、[Default Port Profile] に [uncontrolled] を適用します。

4. 「uncontrolled」ポート プロファイルをアップリンク ポートおよび他の非制御ポートに割り当てます([Switch Management] > [Devices] > [Switches [x.x.x.x]] > [Ports])。

5. スイッチのデフォルト ポート プロファイルをリセットします([Switch Management] > [Devices] > [Switches [x.x.x.x]] > [Config])。

6. スイッチ ポートを初期化します([Switch Management] > [Devices] > [Switches [x.x.x.x]] > [Ports])。

スイッチ OID のサポート

管理者は、サポート対象スイッチのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Update を実行するだけでスイッチ OID をサポート対象にすることができます。スイッチ OID のアップデート機能は、既存のモデルだけに適用されます。新規スイッチ シリーズが導入された場合、管理者はアップグレードを実行して、新規スイッチの OOB サポートを確保する必要があります。

リリース 4.5 以降では、管理者は無線 OOB 機能用にサポートされている Wireless LAN Controller プラットフォームのオブジェクト ID(OID)を、CAM アップデートによって更新できます。

スイッチの OID サポート事例を開く前に

1. CAM で [Device Management] > [Clean Access] > [Updates] を選択します。[Update] を実行して、[Supported Out-of-Band Switch OIDs] の現在のバージョンを確認します。

2. それでもスイッチが CAM から管理できない場合は、CAM で次のコマンドを実行して、スイッチから OID を取得します。

snmpget -v 1 -c <switch_snmp_community_string> <switch_ip> 1.3.6.1.2.1.1.2.0
 

3. この OID をサポート事例に追加します。