セキュリティ : Cisco NAC アプライアンス(Clean Access)

シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド

シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド
発行日;2012/06/28 | 英語版ドキュメント(2011/11/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド

内容

サービス統合型ルータ用 Cisco NAC ネットワーク モジュールについて

Cisco NAC アプライアンス

Cisco NAC ネットワーク モジュール

Cisco NAC ネットワーク モジュールの前提条件

ルータ

ネットワーク モジュール

Cisco NAC ネットワーク モジュールへのアクセス

Cisco NAC ネットワーク モジュールの制約事項

Cisco NAC ネットワーク モジュールと Clean Access Server ソフトウェア

システムのライセンス

展開の概要

Cisco NAC ネットワーク モジュール(CAS)の構成モード

インターフェイスの説明

レイヤ 2 インバンド バーチャル ゲートウェイの構成例

ネットワーク ダイアグラム(L2 IB VGW)

CAS の設定(L2 IB VGW)

サービス統合型ルータの設定(L2 IB VGW)

EtherSwitch サービス モジュール(NME-ESW)の設定(L2 IB VGW)

レイヤ 2 アウトオブバンド リアル IP ゲートウェイの構成例

ネットワーク ダイアグラム(L2 OOB RGW)

CAS の設定(L2 OOB RGW)

サービス統合型ルータの設定(L2 OOB RGW)

EtherSwitch サービス モジュール(NME-ESW)の設定(L2 OOB RGW)

その他の参考資料

Cisco NAC ネットワーク モジュールの設定方法

ハードウェア インターフェイス

Cisco NAC ネットワーク モジュール構成ワークシート

ネットワーク モジュール インターフェイスのセットアップ

セッションの開閉

Clean Access Server ソフトウェア Configuration Utility

SSL 証明書に関する重要事項

Cisco NAC ネットワーク モジュールの運用、保守、トラブルシューティングの方法

Cisco NAC ネットワーク モジュールのシャットダウンと起動

システムの状態の検証

Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード

CLI を使用した CAS のアップグレード

Web コンソールを介した CAS アップグレード

Cisco NAC ネットワーク モジュールの再インストール

ネットワーク モジュールの再イメージ化

Cisco NAC アプライアンスの設定と管理

シスコのテクニカル サポート

ドキュメンテーション

関連資料

用語集

シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド

改訂日: 2011 年 11 月 14 日、OL-2609-01-J

 

 

サービス統合型ルータ用 Cisco NAC ネットワーク モジュールについて

サービス統合型ルータ用 Cisco® NAC ネットワーク モジュール(NME-NAC-K9)は、Cisco 2800 および 3800 シリーズのサービス統合型ルータに、機能豊富な Cisco NAC アプライアンス サーバの性能を追加します。

また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco 2900 および 3900 シリーズのサービス統合型ルータをサポートしています。

Cisco NAC アプライアンス

Cisco NAC アプライアンス(Cisco Clean Access)は、ネットワーク アドミッション コントロール(NAC)製品で、ネットワーク管理者は、本製品を利用して有線、無線、リモート ユーザ、マシンの認証、権限付与、評価、修復を行ったうえで、ユーザにネットワークの利用を許可できます。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。

Cisco NAC アプライアンスは、以下の特徴を持つネットワーク中心の統合型ソリューションです。

Clean Access Manager(CAM)の Web コンソールを使用した管理

Clean Access Server(CAS)を使用した強化

Clean Access Agent(CAA)クライアント ソフトウェアを使用した、クライアントへの適用

Cisco NAC アプライアンス ソリューションは、お客様のネットワークのニーズを満たす最適な設定で導入できます。

Cisco NAC ネットワーク モジュール

Cisco NAC ネットワーク モジュール(NME-NAC-K9)により、Clean Access Server の機能が Cisco 2811/2821/2851 および 3825/3845 アクセス ルータの次世代サービス モジュールに搭載されます。NAC ネットワーク モジュールには、Cisco NAC アプライアンス ソフトウェア リリース 4.1(2)(またはそれ以降)、並びにアプリケーション コードとして Clean Access Server ソフトウェアがあらかじめインストールされています。

また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco 2911/2921/2951 および 3925/3945 アクセス ルータをサポートしています。

Clean Access Server のオペレーティング システムは、Linux の最適化されたバージョンをベースにしています。NAC ネットワーク モジュールは、サービス統合型ルータが使用されている遠隔地の小規模なユーザ グループに最適な NAC ソリューションです。NAC ネットワーク モジュールは、本社以外でも使用できるライセンスを 50 ユーザまたは 100 ユーザ分発行できます。

Clean Access Manager は、NAC-3300 シリーズ アプライアンスとして別個に購入します。すべての Clean Access Server(サービス統合型ルータの Cisco NAC ネットワーク モジュールとして実装するのか、NAC-3310 または NAC-3350 SERVER アプライアンスとして実装するのかを問わない)の設定および管理は主にこの Clean Access Manager で行います。初期設定が完了すると、NAC ネットワーク モジュールが追加され、他の Clean Access Server と同じように CAM Web コンソール(GUI)インターフェイスから Clean Access Manager を使用して管理できるようになります。

NAC-3300 シリーズの詳細については、『 Cisco NAC Appliance Hardware Installation Quick Start Guide 』を参照してください

Cisco NAC ネットワーク モジュールの前提条件

ルータ

ホスト ルータ上で実行中の全アプリケーションのサービスを停止したり、オフラインにしたりできる場合は、ソフトウェアのアップグレードまたはダウングレードも考慮に入れてください。

ホスト ルータとして使用可能な、適切な Cisco アクセス ルータを所有していることを確認してください。Cisco NAC ネットワーク モジュールは、以下の Cisco アクセス ルータでサポートされています。

Cisco 2811

Cisco 2821

Cisco 2851

Cisco 3825

Cisco 3845

上記ルータに加えて、Cisco NAC アプライアンス リリース 4.8 以降では、次の Cisco アクセス ルータをサポートしています。

Cisco 2911

Cisco 2921

Cisco 2951

Cisco 3925

Cisco 3945


) NAC ネットワーク モジュールには、Cisco NAC アプライアンス ソフトウェア リリース 4.1(2)(またはそれ以降)、並びにアプリケーション コードとして Clean Access Server ソフトウェアがあらかじめインストールされています。上記の Cisco アクセス ルータをサポートするため、Cisco NAC アプライアンス リリース 4.8 以降にアップグレードされていることを確認します。


ホスト ルータで、Cisco IOS リリース 12.4(11)T 以降が実行されていることを確認してください。現在実行されているリリースを確認するには、show version コマンドを実行して出力をチェックしてください。


) 最小のリリースの要件が満たされている場合は、パフォーマンスに影響を与えることなくルータまたはネットワーク モジュールのイメージを変更できます。


ネットワーク モジュール


Cisco NAC ネットワーク モジュールは、Cisco NAC アプライアンス リリース 4.5 をサポートしていますが、無線アウトオブバンド(OOB)はサポートしていません。IP の変更を必要としないレイヤ 2 OOB バーチャル ゲートウェイ構成は、リリース 4.5 で導入された無線 OOB 機能でしかサポートされていません。NAC ネットワーク モジュールは、このトポロジをサポートしていません。

Cisco NAC アプライアンス
リリース 4.8(2) で導入された Cisco NAC ネットワーク モジュールでは、L3 ワイヤレス アウトオブバンド(L3 OOB)をサポートします。



警告 Clean Access Manager と同じバージョンの Cisco NAC アプライアンス ソフトウェア、さらにその他いずれかの Clean Access Server が Cisco NAC ネットワーク モジュールで実行されている必要があります。たとえば、4.7(x) 以降のサポートされているバージョンがすべてのサーバで実行されている必要があります。


Cisco NAC アプライアンス ソフトウェア リリース 4.1.2.1 は、Cisco NAC ネットワーク モジュールでサポートされている最小のソフトウェア リリースです。

適用可能なリリースの詳細については、『 Release Notes for Cisco NAC Appliance 』の最新版を参照してください。

NAC ネットワーク モジュールを物理的にインストールするには、『 Cisco Network Modules Hardware Installation Guide 』と『 Cisco Network Modules and Interface Cards Regulatory Compliance and Safety Information 』を使用してください。

サービス統合型ルータ用 Cisco NAC ネットワーク モジュールは、 表 1 に記載されたハードウェアがあらかじめ搭載された状態で出荷されます。メモリ オプションはありません。(詳細については、「Cisco NAC ネットワーク モジュールの設定方法」を参照してください)。

 

表 1 ネットワーク モジュール ハードウェアの仕様

モデル
プロセッサ
ハード ディスク
メモリ
CompactFlash

NME-NAC-K9

1 GHz Celeron M

80 GB (SATA)

512 MB DDR

64 MB

ホスト ルータ内のネットワーク モジュールの場所をメモしておいてください。

slot :モジュールのルータ シャーシのスロットの数 モジュールをインストールしたあとに、ルータの show running-config コマンドを実行して、その出力から上記の情報を得ることができます。

unit :モジュールのドーター カードの数 この値は 0 である必要があります。


「ネットワーク モジュール インターフェイスのセットアップ」および「セッションの開閉」で、この情報が必要になります。


ファイル サーバ

(オプション)ダウンロード用の FTP または TFTP ファイル サーバがアクセス可能なことを確認してください。

FTP ファイル サーバ:バックアップおよび修復に使用します

TFTP ファイル サーバ:(FTP ファイル サーバに使用するマシン上で)インストールが失敗した場合に、boothelper を実行して復旧を行うときに使用します。

Cisco NAC ネットワーク モジュールへのアクセス

ネットワーク モジュール上のソフトウェアを設定できるのは、ホスト ルータのシングル シリアルポートに接続されているコンソールからだけです。


) Telnet は非推奨です。


以下のいずれかにアクセスすることにより、ネットワーク モジュール上で実行されている Clean Access Server ソフトウェアにアクセスできます。

ルータの Cisco IOS のコマンドライン インターフェイス(CLI)

CAM Web コンソールの CAS 管理ページ([Device Management] > [CCA Servers] > [Manage [CAS_IP]])

CAS ダイレクト Web コンソール( https://<CAS_eth0_IP>/admin

内部のインターフェイス(CAS の eth0 信頼インターフェイス)へのセキュアシェル(SSH)接続

構成済みの Clean Access Server はすべて、HA または SSL 認証などの特定の制限された設定を行うため、またはサポート ログをダウンロードするためにオプションでアクセスできるダイレクト Web コンソールのインターフェイスを持っています。NAC ネットワーク モジュールでは、Web ブラウザに https://<CAS_eth0_IP>/admin/ と入力すると、CAM Web コンソールの CAS 管理ページから CAS の設定にアクセスできます。ただし、ダイレクト CAS Web コンソールのインターフェイスを必要とする CAS サポート ログは除きます。また、NAS ネットワーク モジュールは HA をサポートしていないため、[Failover] タブはダイレクト アクセス Web コンソールには存在しません。

Cisco NAC ネットワーク モジュールの制約事項

配置

NAC ネットワーク モジュールは、ハイ アベイラビリティ(HA)モードをサポートしていません。HA 機能は、NAC ネットワーク モジュールの GUI インターフェイスでは無効になっています。

NAC ネットワーク モジュールは、CAS 用の Cisco NAC Profiler Collector モジュールをサポートしていません。

NAC ネットワークモジュールをアウトオブバンド バーチャル ゲートウェイとして構成した場合は、ポートベースの VLAN マッピングはサポートされません。NAC ネットワーク モジュールを L2 OOB バーチャル ゲートウェイとして構成する場合は、クライアントの IP アドレスの変更が必ず必要です。

Cisco NAC ネットワーク モジュールは、無線アウトオブバンド(OOB)をサポートしていません。IP の変更を必要としないレイヤ 2 OOB バーチャル ゲートウェイ構成は、リリース 4.5 で導入された無線 OOB 機能でしかサポートされていません。NAC ネットワーク モジュールは、このトポロジをサポートしていません。

アップグレード

リリース 4.6(1) からリリース 4.8 へのアップグレード後、NAC-NME のクロックにドリフトが発生する場合があります。この結果、証明書の日付が範囲に収まらないため、4.6.1 からアップグレード後に NME モジュールの CAS が CAM へ接続されなくなる可能性があります。

これを解決するには、アップグレード後にシステム クロックをチェックして、一度設定してからリブートします。日付を再度設定するには、次のコマンドを使用してリブートします。

構文:

date -s "dd MMM YYYY hh:mm:ss"

例:

date -s "15 APR 2010 19:49:00"
 

CAS Web コンソールを使用して時間を同期させることもできます。CAS Web コンソールで、次の手順を実行します。


ステップ 1 [Administration] > [Time Server] に移動します。

ステップ 2 [Time Zone] を選択して、[Time Servers] フィールドに適切なタイム サーバを入力します。

ステップ 3 [Synchronize Time] をクリックします。

ステップ 4 システムをリブートします。


 

The Cisco NAC アプライアンスのアーキテクチャは、異種環境、すなわち 4.1(3)のソフトウェアが実行されている Clean Access Server と 4.1(2)のソフトウェア実行されている Clean Access Server が共存する環境をサポートするようには設計されていません。NAC ネットワーク モジュールは、リリース 4.1(2)以上からの起動しかサポートされていないため、既存の NAC アプライアンス構成(4.1.1 実行中など)に NAC ネットワーク モジュールを導入するには、Clean Access Manager とすべての Clean Access Server を一斉にリリース 4.1.2.1 以上にアップグレードする必要があります。


) 最新の互換性についての詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。



) リリース 4.1.2.1 は、すべてのアプライアンスにとって最低限必要なバージョンです。HA と CAS のペアがサポートされている必要があります。4.1.2.1 が実行されている CAM/CAS アプライアンスとの互換を確保するには、標準の製品アップグレード ファイルを使用して、Cisco NAC ネットワーク モジュールを 4.1.2.1 にアップグレードする必要があります。詳細については、「Cisco NAC アプライアンスの設定と管理」を参照してください。



) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。



) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。


Cisco NAC ネットワーク モジュールと Clean Access Server ソフトウェア

Clean Access Server は、Cisco IOS ソフトウェアが実行されているホストの Cisco ルータに接続されている NAC ネットワーク モジュール上に常駐する Linux ベースのアプリケーションです。

ネットワーク モジュールは、ルータ上の Cisco IOS の設定から独立した独自の起動設定、実行時設定を持ったスタンドアロンのサービス エンジンです。モジュールは、外部のコンソール ポートをサポートしていません。その代わりに、モジュールの設定セッションを使用して、ルータを介してモジュールを起動、設定できます。セッション後は、ルータの CLI に戻ってセッションをクリアしてください。

このホスト ルータ プラス ネットワーク モジュールの構成(後者は、アプライアンスまたはブレード、あるいはソフトウェアがインストールされている場合はサービスまたはサービス エンジンと呼ぶ場合がある)により、データ集約型のアプリケーションを加速させるルータ統合型アプリケーション プラットフォームが実現されます。このようなアプリケーションには、通常、少なくとも以下が含まれます。

アプリケーション指向のネットワーキング

コンタクト センターとインタラクティブな音声応答アプリケーション

コンテントのキャッシングと配送

データとビデオの保管

ネットワーク分析

ボイスメールと自動案内アプリケーション

Cisco NAC アプライアンスによって有効にされたネットワーク アドミッション コントロール(NAC)は、上記に該当するアプリケーションです。

ここでは、次の内容について説明します。

「システムのライセンス」

「展開の概要」

「Cisco NAC ネットワーク モジュールの設定方法」

システムのライセンス

Cisco NAC アプライアンス製品のライセンス付与では、Cisco NAC ネットワーク モジュールは、その他の Clean Access Server と同様に扱われます。NAC ネットワーク モジュールをシステムで実行させるには、以下が必要です。

ISR 内の NAC ネットワーク モジュールを管理する Clean Access Manager アプライアンス(MANAGER)。

Clean Access Manager のライセンス。
CAM のライセンスは、CAM の eth0 の IP アドレスと、それに対応する Clean Access Server の数 に基づいています。次のライセンスがあります。Lite Manager(3 台の CAS をサポート)、Standard Manager(20 台の CAS をサポート)、Super Manager(40 台の CAS をサポート)。

NAC ネットワーク モジュールのライセンス
これは、Clean Access Server のライセンスのタイプです。CAS ライセンスは、サポートされる 同時に使用するユーザの数 に対応しています。NAC ネットワーク モジュールは、最大 100 人の同時に接続するオンラインのユーザをサポートします。 表 2 は、NAC ネットワーク モジュールで利用できるライセンスのタイプを示しています。これらのソフトウェアのライセンスは、スペアの NAC ネットワーク モジュールの注文にも使用できます。

 

表 2 Cisco NAC ネットワーク モジュール

ライセンスとソフトウェアの SKU
説明

NACNM-50-K9

NAC ネットワーク モジュール サーバ ライセンス:最大 50 ユーザ

NACNM-100-K9

NAC ネットワーク モジュール サーバ ライセンス:最大 100 ユーザ

NACNM-50UL=

NAC ネットワーク モジュール サーバ ライセンス:アップグレードに限り 50 ~ 100 ユーザ


) すべての Cisco NAC 製品のライセンスは、システム内の Clean Access Manager に追加されます。CAM のライセンスは、CAM の Web コンソールへの初回のアクセス時に追加できます。それから、CAM Web コンソールの [Administration] > [Licensing] ページを使用して、NAC ネットワーク モジュールまたは CAS のライセンスを追加します。


ライセンス付与の詳細については、『 Cisco NAC Appliance Service Contract / Licensing Support 』を参照してください。

展開の概要

ここでは、Cisco NAC ネットワーク モジュールの構成の概要をいくつかの設定例と併せて説明します。NAC ネットワーク モジュールを構成する方法がすでに決定している場合は、「Cisco NAC ネットワーク モジュールの設定方法」に進んで、詳細な初期設定を行ってください。

具体的な内容は、次のとおりです。

「Cisco NAC ネットワーク モジュール(CAS)の構成モード」

「インターフェイスの説明」

「レイヤ 2 インバンド バーチャル ゲートウェイの構成例」

「レイヤ 2 アウトオブバンド リアル IP ゲートウェイの構成例」

Cisco NAC ネットワーク モジュール(CAS)の構成モード

表 3 は、Cisco NAC ネットワーク モジュールがサポートする Clean Access Server の構成モードを示しています。

表 3 Cisco NAC ネットワーク モジュールがサポートする CAS の構成モード

構成モード
オプション1

物理的構成

エッジ配置に限る

CAS のトラフィック パッシング

バーチャル ゲートウェイ(ブリッジ モード)

リアル IP ゲートウェイ(経路選択済みモード)

クライアント アクセス

レイヤ 2:クライアントは、NAC ネットワークモジュールに隣接(CAS)

レイヤ 3:クライアントは、NAC ネットワーク モジュールから離れたマルチ ホップ(CAS)

トラフィック フロー

インバンド:CAS は、常にトラフィックと直列

アウトオブバンド:CAS は、ポスチャのアセスメント、復旧時に限りトラフィックと直列

null

物理的構成の観点からは、すべての NAC ネットワーク モジュールは、エッジ配置です。つまり、NAC ネットワーク モジュール(CAS)の各ポート(eth0 と eth1)は、異なるデバイスに接続されているということです。

NAC ネットワーク モジュールの eth1(非信頼)インターフェイスは、マルチ スロットをサポートする 3800 シリーズ サービス統合型ルータ(3845 など)の外部スイッチや EtherSwitch サービス モジュールに接続できます。

インターフェイスの説明

表 4 は、図1図2に示されている構成例で使用するインターフェイスの用語について説明しています。

例のシナリオでは、EtherSwitch サービス モジュール(MME-ESW)が外部スイッチの代わりに使用されている場合の、サービス統合型ルータ(ISR)3800 シリーズの NAC ネットワーク モジュール(NME-NAC)について説明します。

両方のともの例で、NAC ネットワーク モジュール(Clean Access Server)の eth1(非信頼)インターフェイスが、外部リンクを経由して(内部の「Gigabit Serdes (GigSerdes)」接続の代わりに)EtherSwitch モジュールに接続されています。

 

表 4 Cisco NAC ネットワーク モジュールのインターフェイスの説明

インターフェイス
説明

サービス統合型エンジン 1/0
(int-svr-eng 1/0)

サービス統合型ルータを CAS(NAC モジュール)の eth0 信頼 ポートに接続する内部ポート その他のレイヤ 3 ポートと同様に扱われます。

ESW 内部ポート
(Gig1/0/2)

サービス統合型ルータを EtherSwitch(ESW)の Gig 1/0/2 インターフェイスに接続する内部ポート その他のレイヤ 3 ポートと同様に扱われます。ISR スロットによっては、Gig2/0 または Gig3/0 としてルータに表示されます。

Gigabit Serdes
(GigSerdes)

(オプション)CLI コマンドを介して、CAS(NAC モジュール)の eth1 非信頼ポートを EtherSwitch(ESW)Gig 1/0/2 ポートと接続するように設定できる内部ポート

connect 1 module Integrated-Service-Engine 1/0 0 module GigabitEthernet2/0 0

定義:

Integrated-Service-Engine 1/0 0 は、CAS の eth1 非信頼ポートです

GigabitEthernet2/0 0 は、EtherSwitch の Gig 1/0/2 ポートです

EtherSwitch の Gig 1/0/2 ポートに適用されるポートは、GigSerdes ポートに適用します。

(注) Gigabit Serdes が使用されている場合は、外部ポートを接続してはいけません。

レイヤ 2 インバンド バーチャル ゲートウェイの構成例

ここでは、次の内容について説明します。

ネットワーク ダイアグラム(L2 IB VGW)

CAS の設定(L2 IB VGW)

サービス統合型ルータの設定(L2 IB VGW)

EtherSwitch サービス モジュール(NME-ESW)の設定(L2 IB VGW)

ネットワーク ダイアグラム(L2 IB VGW)

図1は、レイヤ 2 インバンド バーチャル ゲートウェイ モードで CAS として構成された Cisco NAC ネットワーク モジュールを示しています。

図1 NME-NAC(CAS)レイヤ 2 インバンド バーチャル ゲートウェイの NME-ESW との構成

 

キー ポイント

エッジ配置に VLAN マッピングは必要ありません

ISR の Int int-svr-eng 1/0 は、すべてのユーザのデフォルト ゲートウェイです

ISR の Int int-svr-eng 1/0 は、それぞれのデータ VLAN の送信先/元となるサブインターフェイスのあるレイヤ 2 トランクとして設定されています

スイッチ(NME-ESW)および CAS(NME-NAC)間の、外部リンクまたは(3800 上の)内部 GigSerdes リンクを介したリンクは、VLAN 51、52 のデータを運びます

NME-ESW と ISR の間の内部 GE リンクには、VLAN 51、52 のトラフィックはありません

VLAN 15 上の IP Phone のトラフィックは、ISR の Int Gig2/0 に直接送信されます

CAS の設定(L2 IB VGW)

この項の例では、CAS をレイヤ 2 インバンド仮想ゲートウェイとして設定することのメイン コンセプトを説明します。

「CAS IP フォーム(L2 IB VGW)」

「CAS Managed Subnet Form(L2 IB VGW)」

「CAS VLAN Mapping フォーム(VLAN マッピング/VLAN プルーニング無効)」

CAS IP フォーム(L2 IB VGW)

 

CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [IP]

Clean Access Server のタイプ:バーチャル ゲートウェイ

信頼(eth0)インターフェイスと非信頼(eth1)インターフェイスの IP アドレスは、両方とも同じ 10.10.55.2 です。

信頼インターフェイスと非信頼インターフェイスのデフォルト ゲートウェイは、両方とも同じ 10.10.55.1 です。

信頼インターフェイス(eth0)の管理 VLAN の ID は、(55)に設定する必要があります。


) バーチャル ゲートウェイの場合、CAS の管理 VLAN は CAM とは異なる必要があります。管理 VLAN は、CAM から CAS を管理する場合に限り CAM と CAS で設定する必要があります。


CAS Managed Subnet Form(L2 IB VGW)

 

CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [Managed Subnet]

各ユーザの VLAN(51、52)に追加された管理対象サブネットがページの下部にあるリストを使って検証されます。

管理対象サブネットは、CAS にレイヤ 2 で隣接しているユーザ サブネットだけを対象としています。

L2 配置のすべての CAS モード(Real-IP、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で管理対象サブネットを設定する必要があります。これにより、CAS は非信頼インターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリを送信できます。

各管理対象サブネットの [VLAN ID] フィールドで非信頼インターフェイス(Auth)の VLAN を設定する必要があります。

仮想ゲートウェイの場合は、原則として管理対象サブネット フォームにより、IP の割り当がない場合はサブネット上では使用されない CAS に IP が割り当てられます。CAS はゲートウェイではありませんが、ARP クエリを送信するために、特定の VLAN とサブネットのアドレスを持っています。

CAS VLAN Mapping フォーム(VLAN マッピング/VLAN プルーニング無効)

 

CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [VLAN Mapping]

Cisco ネットワーク モジュールでは、CAS は常にエッジ配置です。 したがって、CAS の eth0 および eth1 インターフェイスが異なるデバイスに接続されているため、VLAN マッピングは不要です。


注意 [Enable VLAN Pruning] オプションは、CAS の仮想ゲートウェイでは、デフォルトで有効になっています。[VLAN Mapping] が無効のときは、[Enable VLAN Pruning] がオフになっていることを確認してください。[VLAN Mapping] オプションの無効時に [Enable VLAN Pruning] オプションを有効にすると、CAS により VLAN パケットは、いずれかの方向に通過するときにすべて廃棄されてしまいます。

CAS がバーチャル ゲートウェイ モードで動作している場合、CAS は VLAN タグを変更しないで、ネットワーク トラフィックを eth0 インターフェイスから eth1 に、および eth1 から eth0 に送信します。VLAN マッピングは、CAS の両方のインターフェイスが同じレイヤ 2 スイッチに接続されている場合のインバンド仮想ゲートウェイに限り必要になります。これにより、CAS の外部トラフィックから異なる VLAN上の CAS への内部トラフィックを受け入れることができます。これは、NAC ネットワーク モジュールでは必要ありません。

サービス統合型ルータの設定(L2 IB VGW)

ISR の設定:レイヤ 2 インバンド バーチャル ゲートウェイ
ISR# sh run
Building configuration...
!
ip dhcp excluded-address 10.10.15.1
ip dhcp excluded-address 10.10.51.1
ip dhcp excluded-address 10.10.52.1
ip dhcp excluded-address 10.10.53.1
ip dhcp excluded-address 10.10.51.254
ip dhcp excluded-address 10.10.52.254
ip dhcp excluded-address 10.10.53.254
!
ip dhcp pool vlan51
network 10.10.51.0 255.255.255.0
default-router 10.10.51.1
!
ip dhcp pool vlan52
network 10.10.52.0 255.255.255.0
default-router 10.10.52.1
!
ip dhcp pool vlan53
network 10.10.53.0 255.255.255.0
default-router 10.10.53.1
!
ip dhcp pool vlan15
network 10.10.15.0 255.255.255.0
default-router 10.10.15.1
 
 
interface Integrated-Service-Engine1/0
description “Internal link between ISR & CAS”
ip address 10.10.50.1 255.255.255.0
no keepalive
!
interface Integrated-Service-Engine1/0.51
encapsulation dot1Q 51
ip address 10.10.51.1 255.255.255.0
!
interface Integrated-Service-Engine1/0.52
encapsulation dot1Q 52
ip address 10.10.52.1 255.255.255.0
!
interface Integrated-Service-Engine1/0.53
encapsulation dot1Q 53
ip address 10.10.53.1 255.255.255.0
!
interface Integrated-Service-Engine1/0.55
encapsulation dot1Q 55
ip address 10.10.55.1 255.255.255.0
!
 
 
interface GigabitEthernet2/0
description “Internal link between ISR & NME-ESW switch”
ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet2/0.15
encapsulation dot1Q 15
ip address 10.10.15.1 255.255.255.0
!
interface GigabitEthernet2/0.16
encapsulation dot1Q 16
ip address 10.10.16.1 255.255.255.0
!
end

EtherSwitch サービス モジュール(NME-ESW)の設定(L2 IB VGW)

EtherSwitch(NME-ESW)の設定:レイヤ 2 インバンド バーチャル ゲートウェイ
NME-Switch# sh run
!
vlan 15,16,51-53
!
interface FastEthernet1/0/1
switchport access vlan 51
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/2
switchport access vlan 52
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/3
switchport access vlan 53
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/16
description EXTERNAL LINK Between NME-ESW switch and CAS
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 51-53
switchport mode trunk
!
 
interface GigabitEthernet1/0/2
description INTERNAL LINK Between NME-ESW switch and ISR
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 15,16
switchport mode trunk
!
interface Vlan16
ip address 10.10.16.2 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.16.1
ip http server
!
end
 
 

レイヤ 2 アウトオブバンド リアル IP ゲートウェイの構成例

ここでは、次の内容について説明します。

ネットワーク ダイアグラム(L2 OOB RGW)

CAS の設定(L2 OOB RGW)

サービス統合型ルータの設定(L2 OOB RGW)

EtherSwitch サービス モジュール(NME-ESW)の設定(L2 OOB RGW)

ネットワーク ダイアグラム(L2 OOB RGW)

図2 は、レイヤ 2 アウトオブバンド リアル IP ゲートウェイ モードの CAS で構成されている NAC モジュールを示しています。

図2 NME-NAC(CAS)レイヤ 2 アウトオブバンド リアル IP ゲートウェイの NME-ESW との構成

 

キー ポイント

NME-ESW スイッチと CAS の間の、外部リンクまたは(3800 上の)GigSerdes を介したリンクは、Auth VLAN 53 を運びます。

NME-ESW と ISR の間の GE リンクには、VLAN 53 のトラフィックはありません。

ユーザ アクセス VLAN とフォン VLAN は、内部リンクを介して ISR の Gig2/0 インターフェイスに送信されます。

CAS の設定(L2 OOB RGW)

ここ例では、CAS をレイヤ 2 アウトオブバンド リアル IP ゲートウェイとして設定することのメイン コンセプトを説明します。

「CAS IP フォーム(L2 OOB RGW)」

「CAS の管理対象サブネット フォーム(L2 OOB RGW)」

「CAS DHCP フォーム(L2 OOB RGW)」

「CAM - スイッチ プロファイル(L2 OOB RGW)」

「CAM - Port Profile(L2 OOB RGW)」

「CAM - SNMP Receiver(L2 OOB RGW)」

「CAM - Port Management(L2 OOB RGW)」

CAS IP フォーム(L2 OOB RGW)

 

CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [IP]

Clean Access Server のタイプ:リアル IP ゲートウェイ

信頼(10.10.55.2)インターフェイスと非信頼(10.10.51.1)インターフェイスの IP アドレスは異なります。

信頼インターフェイスのデフォルト ゲートウェイ(10.10.55.1)と非信頼インターフェイスのデフォルト ゲートウェイ(10.10.51.1)は異なります。

信頼インターフェイスの管理 VLAN ID(55)と非信頼インターフェイスの管理 VLAN ID(51)は異なります。


) 管理 VLAN は、CAM から CAS を管理する場合に限り、CAM と CAS で設定する必要があります。


CAS の管理対象サブネット フォーム(L2 OOB RGW)

 

CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [Managed Subnet]

Authentication VLAN(53)に追加された管理対象サブネットは、ページ下部のリストを使って検証されます。

管理対象サブネットは、CAS にレイヤ 2 で隣接しているユーザ サブネットだけを対象としています。

L2 配置のすべての CAS モード(Real-IP、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で管理対象サブネットを設定する必要があります。これにより、CAS は非信頼インターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリを送信できます。

各管理対象サブネットの [VLAN ID] フィールドで非信頼インターフェイス(Auth)の VLAN を設定する必要があります。

リアル IP ゲートウェイの場合は、CAS が独自の管理対象サブネットのデフォルト ゲートウェイの IP アドレスを持っています。

CAS DHCP フォーム(L2 OOB RGW)

 

CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [DHCP]

CAS は、DHCP リレーとして設定されます。

CAM - スイッチ プロファイル(L2 OOB RGW)

 

CAM Web コンソール:[Switch Management] > [Profiles] >[Switch] > [New/Edit]

スイッチ プロファイルが、NME-ESW 用に作成されます。サポートされている NME EtherSwitch サービス モジュールが、3750 スイッチ モデルとして追加されます。詳細については、『 Switch Support for Cisco NAC Appliance 』を参照してください。

CAM - Port Profile(L2 OOB RGW)

 

CAM の Web コンソール:[Switch Management] > [Profiles] >[Port] > [New/Edit]

認証 VLAN 53 をアクセス VLAN 11 にマッピングするために、NMEーESW のポート プロファイルが作成されます。

CAM - SNMP Receiver(L2 OOB RGW)

 

CAM の Web コンソール:[Switch Management] > [Profiles] > [SNMP Receiver]

CAM SNMP レシーバのコミュニティ ストリング(パブリック)が設定されます。

CAM - Port Management(L2 OOB RGW)

 

CAM の Web コンソール:[Switch Management] > [Devices] > [Switches] > [(Manage) Ports [Switch_IP]]

プロファイル(ISR_NME_switch)がスイッチ ポートに適用され、設定がスイッチ上でアップデートされます。

サービス統合型ルータの設定(L2 OOB RGW)

ISR の設定:レイヤ 2 アウトオブバンド リアル IP ゲートウェイ
ISR# sh run
Building configuration...
!
ip dhcp excluded-address 10.10.53.1
ip dhcp excluded-address 10.10.53.254
ip dhcp excluded-address 10.10.11.1
ip dhcp excluded-address 10.10.12.1
ip dhcp excluded-address 10.10.15.1
!
ip dhcp pool vlan53
network 10.10.53.0 255.255.255.0
default-router 10.10.53.1
!
ip dhcp pool vlan11
network 10.10.11.0 255.255.255.0
default-router 10.10.11.1
!
ip dhcp pool vlan12
network 10.10.12.0 255.255.255.0
default-router 10.10.12.1
!
ip dhcp pool vlan15
network 10.10.15.0 255.255.255.0
default-router 10.10.15.1
!
 
 
interface Integrated-Service-Engine1/0
description “Internal link between ISR and CAS”
ip address 10.10.50.1 255.255.255.0
no keepalive
!
interface Integrated-Service-Engine1/0.55
encapsulation dot1Q 55
ip address 10.10.55.1 255.255.255.0
!
 
interface GigabitEthernet2/0
description “Internal link between ISR & NME-ESW switch”
ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet2/0.11
encapsulation dot1Q 11
ip address 10.10.11.1 255.255.255.0
!
interface GigabitEthernet2/0.12
encapsulation dot1Q 12
ip address 10.10.12.1 255.255.255.0
!
interface GigabitEthernet2/0.15
encapsulation dot1Q 15
ip address 10.10.15.1 255.255.255.0
!
interface GigabitEthernet2/0.16
encapsulation dot1Q 16
ip address 10.10.16.1 255.255.255.0
!
end

EtherSwitch サービス モジュール(NME-ESW)の設定(L2 OOB RGW)

EtherSwitch(NME-ESW)の設定:レイヤ 2 アウトオブバンド リアル IP ゲートウェイ
NME-Switch# sh run
!
vlan 11,12,15,16,53
!
interface FastEthernet1/0/1
switchport access vlan 12
switchport mode access
spanning-tree portfast
 
 
 
interface FastEthernet1/0/16
description EXTERNAL LINK Between NME switch and CAS
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 53
switchport mode trunk
!
interface GigabitEthernet1/0/2
description INTERNAL LINK Between NME switch and ISR
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 11,12,15,16
switchport mode trunk
!
interface Vlan16
ip address 10.10.16.2 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.10.16.1
!
snmp-server community public RO
snmp-server community private RW
snmp-server trap-source Vlan16
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification
snmp-server host 10.10.100.2 public mac-notification
!
end
 
 

その他の参考資料

Gigabit Serdes/HIMI の詳細については、以下を参照してください。

『Cisco High-Speed Intrachassis Module Interconnect (HIMI) Configuration Guide』

EtherSwitch サービス モジュールの詳細については、以下を参照してください。

Interface Cards and Modules 』(「LAN」のセクション)

『EtherSwitch Service Module (ES) Configuration Example』

Clean Access Server の構成の詳細については、以下を参照してください。

『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』

『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』

OOB サポートの詳細については、以下を参照してください。

『Switch Support for Cisco NAC Appliance』

Cisco NAC ネットワーク モジュールの設定方法

ここでは、次の内容について説明します。

「ハードウェア インターフェイス」

「Cisco NAC ネットワーク モジュール構成ワークシート」

「ネットワーク モジュール インターフェイスのセットアップ」

「セッションの開閉」

「Clean Access Server ソフトウェア Configuration Utility」


) 以下のいずれかの手順の間に停電、切断が発生した場合、システムは通常、中断を検出し復旧を試みます。失敗した場合は、「Cisco NAC ネットワーク モジュールの再インストール」に従って、boothelper を使用してシステムを再インストールしてください。


ネットワーク モジュールの初期設定は、CLI(ルータのコンソール)を介して行います。したがって、Cisco NAC ネットワーク モジュールは、Clean Access Manager(CAM)の Web コンソールを通して管理する Clean Access Server ということになります。NAC ネットワーク モジュールは、ルータのコンソール、CAM/CAS の Web コンソール、SSH からアクセスできます。

このドキュメントでは、ルータのコンソールから設定する方法を説明します。

CAM/CAS の Web コンソール(GUI)から設定する方法については、以下のガイドを参照してください。マシンで実行しているリリースのバージョンに対応するドキュメントを参照してください。

『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』

『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』

ハードウェア インターフェイス

ホスト ルータとネットワーク モジュールは、内部接続および外部接続にさまざまなインターフェイスを使用します(図3を参照)。ルータ側では Cisco IOS CLI を使用して、モジュール側ではモジュールのファームウェアの CLI、GUI または SSH を使用して各インターフェイスを設定できます。

図3 ルータとネットワークモジュールのインターフェイス

 

ハードウェア インターフェイス
適用する設定
使用する設定インターフェイス
1

外部リンクへのルータ インターフェイス(GigabitEthernet slot /0)

/0 です。

標準のルータの設定

ルータの Cisco IOS CLI

2

モジュールへのルータ インターフェイス(integrated-service-engine slot /0)

モジュールの IP アドレスとデフォルト ゲートウェイのルータ

3

Clean Access Server の eth0(信頼)インターフェイス

ルータへのモジュール インターフェイス(GigabitEthernet 0/1)

NAC ネットワーク モジュールの設定

NAC ネットワーク モジュールの CLI、GUI または SSH インターフェイス

4

Clean Access Server の eth1(非信頼)インターフェイス

外部リンクへのモジュール インターフェイス(GigabitEthernet 0/0)

非信頼インターフェイス(クライアント側のネットワーク)の設定

Cisco NAC ネットワーク モジュール構成ワークシート

表 5 にある情報を収集して、最初にサービス統合型ルータ(ISR)内で Cisco NAC ネットワーク モジュールを設定してから NAC ネットワーク モジュール上で実行する Clean Access Server ソフトウェアを設定する必要があります。

 

表 5 CAS コンフィギュレーション ユーティリティ ワークシート

ISR 設定値
アドレスまたは値
NAC Clean Access Server 設定値

service-module ip address

module-side-ip-address

a. eth0 インターフェイス(信頼)の IP アドレス

subnet-mask

b. eth0 インターフェイスのサブネットマスク(IP ネットマスク)

service-module ip default-gateway

gateway-ip-address

c. eth0 インターフェイスのデフォルト ゲートウェイのIPアドレス

(注) これは、ルータ側のモジュールへのインターフェイスの IP アドレスと同じです。

(注) バーチャル ゲートウェイでは、eth0 と eth1 は同じデフォルト ゲートウェイを持っています。

service-module external ip address

external-ip-address

d. eth1 インターフェイス(非信頼)の IP アドレス

subnet-mask

e. eth1 インターフェイスのサブネットマスク(IP ネットマスク)

n/a

f. eth1 インターフェイスのデフォルト ゲートウェイのIPアドレス

(注) バーチャル ゲートウェイでは、eth0 と eth1 は同じデフォルト ゲートウェイを持っています。

n/a

g. CAS のホスト名

n/a

h. ネットワークのドメイン ネーム サーバの IP アドレス

n/a

i. 共有秘密キー

n/a

j. 日付、時間、タイムゾーン

n/a

k. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

- CAS の FQDN または eth0 IP アドレス
- 組織ユニット(Sales など)
- 組織名(Cisco など)
- 組織の場所(San Jose、CA、US など)

(注) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認してください。

n/a

l. Root ユーザのパスワード

n/a

m. Web コンソールのパスワード

ネットワーク モジュール インターフェイスのセットアップ

最初の設定タスクは、ホスト ルータと外部リンクへのネットワーク モジュール インターフェイスのセットアップです。これにより、モジュールをインストールして NAC を設定できるようになります。


) 最初のステップでは、ホスト ルータの CLI を開いて、ルータのモジュールへのインターフェイスにアクセスします。次のステップで、インターフェイスを設定します。


手順の概要

ホスト ルータの CLI 側

1. enable

2. configure terminal

3. interface integrated-service-engine slot /0

4. ip address router-side-ip-address subnet-mask

または

ip unnumbered type number

5. service-module ip address module-side-ip-address subnet-mask

6. service-module external ip address external-ip-address subnet-mask

7. service-module ip default-gateway gateway-ip-address

8. end

9. copy running-config startup-config

10. show running-config

手順の詳細

 

コマンドまたはアクション
目的
 
ホスト ルータの CLI 側

ステップ 1

enable

 

Router> enable

ホスト ルータの特権 EXEC を入力します。パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

 

Router# configure terminal

ホスト ルータのグローバル コンフィギュレーション モードを入力します。

ステップ 3

interface integrated-service-engine slot / 0

 

ISR 2811(one-slot 限定)

Router(config)# interface integrated-service-engine 1/0

 

ISR 3845(multiple-slot 限定)

Router(config)# interface integrated-service-engine 3/0

ネットワーク モジュールが常駐するスロットとポートのインターフェイス コンフィギュレーション モードを入力します。

ステップ 4

ip address router-side-ip-address subnet-mask

 

または

ip unnumbered type number

 

Router(config-if)# ip address 10.30.30.10 255.255.255.0

 

または

Router(config-if)# ip unnumbered ethernet 0

ルータのモジュールへのインターフェイスを指定します(図3 #2 )。引数は次のとおりです。

router-side-ip-address subnet-mask :インターフェイスの IP アドレスとサブネット マスク

type number :ルータが割り当て済みの IP アドレスを持つ別のシリアル インターフェイスの番号のタイプと番号 番号付けされていない別のインターフェイスは指定できません。ハイ レベル データ リンク(HDLC)、ポイントツーポイント プロトコル(PPP)、平衡型リンクアクセス手順(LAPB)、フレームリレー カプセル化、シリアル ライン インターネット プロトコル(SLIP)を使用しているシリアル インターフェイスおよびトンネル インターフェイスは、アンナンバードでもかまいません。

ステップ 5

service-module ip address module-side-ip-address subnet-mask

 

Router(config-if)# service-module ip address 10.30.30.9 255.255.255.0

モジュール インターフェイスからルータへの IP アドレスを指定します(図3 #3 )。

引数は次のとおりです。

module-side-ip-address :インターフェイスの IP アドレス

subnet-mask :IP アドレスに追加するサブネット マスクで、ホスト ルータと同じサブネットにあることが必要

ステップ 6

service-module external ip address external-ip-address subnet- mask

 

Router(config-if)# service-module external ip address 172.0.0.30 255.255.255.0

モジュールの外部 LAN インターフェイスの IP アドレスを指定します(図3 #4 )。

引数は次のとおりです。

external-ip-address :インターフェイスの IP アドレス

subnet-mask :IP アドレスに追加するサブネット マスク

ステップ 7

service-module ip default-gateway gateway-ip-address

 

Router(config-if)# service-module ip default-gateway 10.30.30.10

モジュールのデフォルト ゲートウェイ ルータの IP アドレスを指定します。引数は以下のようになります。

gateway-ip-address :ゲートウェイ ルータの IP アドレス

ステップ 8

end

 

Router(config-if)# exit

ホスト ルータのグローバル コンフィギュレーション モードに戻ります。

ステップ 9

copy running-config startup-config

 

Router# copy running-config startup-config

ルータの新規実行コンフィギュレーションを保存します。

ステップ 10

show running-config

 

Router# show running-config

アドレス設定を検証できるようにルータの実行コンフィギュレーションを表示します。

以下の show running-config コマンドからの出力の一部は、インターフェイスがどのように設定されているかを表しています。

 
NME-NAC-3845#sh run interface integrated-service-engine 3/0
Building configuration...
 
Current configuration : 197 bytes
!
interface integrated-service-engine3/0
ip address 10.30.30.10 255.255.255.0
service-module ip address 10.30.30.9 255.255.255.0
service-module ip default-gateway 10.30.30.10
no keepalive
end
 

セッションの開閉

ネットワーク モジュール上で、セッションの開閉が行えるようになりました。


) • 同時に実行できるセッションは、1 つだけです。

最初のステップでホスト ルータの CLI を開いて、モジュールにアクセスします。次のステップで、モジュールを設定します。最後のステップでホスト ルータの CLI に戻ります。


 

手順の概要

ホスト ルータの CLI 側

1. enable

2. service-module integrated-service-engine slot /0 status

3. service-module integrated-service-engine slot /0 session

Service-Module インターフェイス

4. 「Clean Access Server ソフトウェア Configuration Utility」に記載している設定を実行します。

5. Ctrl+Shift+6 x

ホスト ルータの CLI 側

6. service-module integrated-service-engine slot /0 session clear

手順の詳細

 

コマンドまたはアクション
目的
 
ホスト ルータの CLI 側

ステップ 1

enable

 

Router> enable

ホスト ルータの特権 EXEC を入力します。パスワードを入力します(要求された場合)。

ステップ 2

service-module integrated-service-engine slot /0 status

 

Router# service-module integrated-service-engine 2/0 status

モジュールが実行さていること(つまり安定した状態にあること)を確認できるように、指定したモジュールのステータスを表示します。

(注) モジュールが実行されていない場合は、「Cisco NAC ネットワーク モジュールのシャットダウンと起動」に記載の startup コマンドのいずれかで起動してください。

ステップ 3

service-module integrated-service-engine slot/ 0 session

 

Router# service-module integrated-service-engine 1/0 session

 

Trying 10.10.10.1, 2065 ... Open

指定したモジュールでセッションを開始します。次のいずれかを実行します。

auto-boot シーケンスを中断するには、bootloader にアクセスして、すばやく「 *** 」とタイプします。この作業を行うのは、マシンを起動できない場合だけにしてください。この場合は、「Cisco NAC ネットワーク モジュールの再インストール」を参照して詳細なステップを確認してください。

コンフィギュレーション セッションを開始するには、Enter を押します。

 
Service-Module インターフェイス

ステップ 4

Fedora Core release 4 (Stentz)

Kernel 2.6.11-perfigo on an i686

NME-NAC login: root

 

NAC モジュール上の Clean Access Sever ソフトウェアの初期設定を行う方法については、「Clean Access Server ソフトウェア Configuration Utility」を参照してください。

ステップ 5

Ctrl+Shift+6 x を押します。

service-module セッションを閉じて、ルータの CLI に戻ります。

を押すことで、ルータの CLI からこのセッションに戻ることができます。

 
ホスト ルータの CLI 側

ステップ 6

service-module integrated-service-engine slot /0 session clear

 

Router# service-module service-engine 1/0 session clear

指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。

Clean Access Server ソフトウェア Configuration Utility

NAC ネットワーク モジュール セッションの初回開始時に、Clean Access Server のクイック設定ユーティリティが表示されます。ここでは、CAS Configuration Utility の使用手順を説明します。

手順の詳細

コマンドまたはアクション
目的
 
Service-Module インターフェイス側

ステップ 1

root

 
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
NME-NAC login: root
 
Welcome to the Cisco Clean Access Server quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions. Please answer them carefully.
Cisco Clean Access Server, (C) 2008 Cisco Systems, Inc.
Please use ^H to delete
 

Configuring the network interfaces:

ネットワーク モジュールのプロンプトから root ユーザとして Clean Access Server Configuration Utility にログインします。
初回ログイン時は、パスワードを要求されません。

(注) 初回設定の完了後は、以下のいずれかの方法で Configuration Utility を再度設定できます。

モジュールでコンフィギュレーション セッションを開始し、NAC アプライアンスの CLI コマンド service perfigo config を入力する。

SSH を使用して、モジュールに接続し(CAS eth0 IP アドレス)、 service perfigo config を入力する

ステップ 2

module-side-ip-address

 

Please enter the IP address for the interface eth0 [10.201.2.30]: 10.201.217.203

You entered 10.201.217.203 Is this correct? (y/n)? [y]

最初のプロンプトで、CAS の eth0(信頼)インターフェイスの IP アドレスを入力して(CAS ワークシートのフィールド a )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

(注) CAS の eth0 の IP アドレスは、管理 IP アドレスと同じです。

ステップ 3

module-side-ip-address subnet-mask

 

Please enter the netmask for the interface eth0 [255.255.255.0]:

You entered 255.255.255.0, is this correct? (y/n)? [y]

プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

ステップ 4

service-module ip default-gateway

 

Please enter the IP address for the default gateway [10.201.217.1]: 10.201.217.202

You entered 10.201.217.202 Is this correct? (y/n)? [y]

デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド c )、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。

ステップ 5

y-or-n

 

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.

Would you like to enable it? (y/n)? [n]

Vlan ID Passthrough プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーを無効なままにします デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。

(注) 通常、VLAN パススルーは不要です。

ステップ 6

y-or-n

 

[Management Vlan Tagging] for egress packets of eth0 is disabled.

Would you like to enable it? (y/n)? [n]

「Management VLAN Tagging」のプロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。

(注) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。

(注) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。

ステップ 7

external-ip-address

 

Please enter the IP address for the untrusted interface eth1 [192.168.110.1]: 10.201.243.49

You entered 10.201.243.49 Is this correct? (y/n)? [y]

CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド d )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

(注) 仮想ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 をネットワークに接続しないでください。詳細は、CAS のマニュアルを参照してください。

ステップ 8

external-ip-address-subnet-mask

 

Please enter the netmask for the interface eth1 [255.255.255.0]: 255.255.255.240

You entered 255.255.255.240, is this correct? (y/n)? [y]

eth1 インターフェイスのサブネット マスクを入力するか(フィールド e )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

ステップ 9

external-ip-address-default-gateway

 

Please enter the IP address for the default gateway [10.201.243.1]: 10.201.243.49

You entered 10.201.243.49 Is this correct? (y/n)? [y]

eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド f )。

a. CAS がリアル IP ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。

b. CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。

ステップ 10

y-or-n

 

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.

Would you like to enable it? (y/n)? [n]

次のプロンプトで、 n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。

ステップ 11

y-or-n

 

[Management Vlan Tagging] for egress packets of eth1 is disabled.

Would you like to enable it? (y/n)? [n]

Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします(デフォルト)。

ステップ 12

clean-access-server-host-name

 

Please enter the hostname [caserver]: cas-10

You entered cas-10 Is this correct? (y/n)? [y]

CAS のホスト名を入力して、確認します(フィールド g )。

ステップ 13

dns-server-ip-address

 

Please enter the IP address for the name server: [171.68.226.120]:

You entered 171.68.226.120 Is this correct? (y/n)? [y]

次のプロンプトでは、ご使用の環境の DNS サーバの IP アドレスを指定するか(フィールド h )、またはデフォルト値を受け入れます。

ステップ 14

nac-shared-secret

 

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123

This is highly insecure. It is recommended that you choose a string that is unique to your installation.

Please remember to configure all Clean Access Devices with the same string.

Only the first 8 characters supplied will be used.

Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco1234

You entered: cisco1234

Is this correct? (y/n)? [y]

プロンプトに CAM および CAS の共有秘密キーを入力して、確認します(フィールド i )。


注意 同じ構成内の Clean Access Manager とすべての Clean Access Server に、すべて同じ共有秘密キーを設定しなければなりません。共有秘密キーが異なっていると、相互に通信できません。

ステップ 15

region-number

 

>>> Configuring date and time:

 

The timezone is currently not set on this system.

Please identify a location so that time zone rules can be set correctly.

Please select a continent or ocean.

1) Africa

2) Americas

3) Antarctica

4) Arctic Ocean

5) Asia

6) Atlantic Ocean

7) Australia

8) Europe

9) Indian Ocean

10) Pacific Ocean

11) none - I want to specify the time zone using the Posix TZ format.

#? 2

次の手順に従って、CAS の時間設定を指定します(フィールド j )。

大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のような Posix TZ フォーマットでタイム ゾーンを入力する場合は、 11 を入力します。

ステップ 16

country-number

 

Please select a country.

1) Anguilla 18) Ecuador 35) Paraguay

2) Antigua & Barbuda 19) El Salvador 36) Peru

3) Argentina 20) French Guiana 37) Puerto Rico

4) Aruba 21) Greenland 38) St Kitts & Nevis

5) Bahamas 22) Grenada 39) St Lucia

6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon

7) Belize 24) Guatemala 41) St Vincent

8) Bolivia 25) Guyana 42) Suriname

9) Brazil 26) Haiti 43) Trinidad & Tobago

10) Canada 27) Honduras 44) Turks & Caicos Is

11) Cayman Islands 28) Jamaica 45) United States

12) Chile 29) Martinique 46) Uruguay

13) Colombia 30) Mexico 47) Venezuela

14) Costa Rica 31) Montserrat 48) Virgin Islands (UK)

15) Cuba 32) Netherlands Antilles 49) Virgin Islands (US)

16) Dominica 33) Nicaragua

17) Dominican Republic 34) Panama

#? 45

次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。

ステップ 17

timezone-number

 

Please select one of the following time zone regions.

1) Eastern Time

2) Eastern Time - Michigan - most locations

3) Eastern Time - Kentucky - Louisville area

4) Eastern Time - Kentucky - Wayne County

5) Eastern Time - Indiana - most locations

6) Eastern Time - Indiana - Crawford County

7) Eastern Time - Indiana - Starke County

8) Eastern Time - Indiana - Switzerland County

9) Central Time

10) Central Time - Indiana - Daviess, Dubois, Knox, Martin, Perry & Pulaski Counties

11) Central Time - Indiana - Pike County

12) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties

13) Central Time - North Dakota - Oliver County

14) Central Time - North Dakota - Morton County (except Mandan area)

15) Mountain Time

16) Mountain Time - south Idaho & east Oregon

17) Mountain Time - Navajo

18) Mountain Standard Time - Arizona

19) Pacific Time

20) Alaska Time

21) Alaska Time - Alaska panhandle

22) Alaska Time - Alaska panhandle neck

23) Alaska Time - west Alaska

24) Aleutian Islands

25) Hawaii

#? 19

その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。

ステップ 18

confirmation-number

 

The following information has been given:

United States

Pacific Time

 

Is the above information OK?

1) Yes

2) No

#? 1

Updating timezone information...

1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

ステップ 19

y-or-n

または

hh:mm:ss mm/dd/yy

 
Current date and time hh:mm:ss mm/dd/yy [11:23:33 08/22/08]: 11:26:33 08/22/08
You entered 11:26:33 08/22/08 Is this correct? (y/n)? [y]

現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。


) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。


ステップ 20

<certificate fields>

 

You must generate a valid SSL certificate in order to use the Clean Access Server's secure web console.

Please answer the following questions correctly.

Information for a new SSL certificate:

Enter fully qualified domain name or IP: 10.201.217.203

Enter organization unit name: Test

Enter organization name: Cisco Systems

Enter city name: San Jose

Enter state code: California

Enter 2 letter country code: US

 

プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド k を使用)。

a. 組織単位名には、その証明書を管理する組織 のグループを入力します( Perfigo など)。

b. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

c. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

d. その組織の所在地を表す 2 文字の州コード( California または NY など)を入力し、Enter キーを押します。

2 文字の国コード( US など)を入力し。

ステップ 21

y-or-n

 

You entered the following:

Domain: 10.201.217.203

Organization unit: Test

Organization name: Cisco Systems

City name: San Jose

State code: California

Country code: US

Is this correct? (y/n)? [y]

Generating SSL Certificate...

CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:

CA verifying: /root/.tomcat.crt <-> CA cert

/root/.tomcat.crt: OK

Done

値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。

ステップ 22

y-or-n

 
Enable Prelogin Banner Support? (y/n)? [n]

 

admin ユーザが CAS にログインする前に、admin ユーザのプリログイン バナーを有効にするかどうかを確認します(リリース 4.5 以降)。

この機能をアプリケーションで有効してから、コマンドライン コンソールにログインして、/root/banner/pre.file を編集すると、管理者はプリログイン バナーのテキストを指定できるようになります。プリログイン バナーのテキストは、admin ユーザが CAM/CAS にログインするときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5 』のインストールの章を参照してください。

ステップ 23

root-user-password

 
For security reasons, it is highly recommended that you change the password for the root user.
** Please enter a valid password for root user as per the requirements below! **
 
Changing password for user root.
 
You can now choose the new password.
 
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
 
Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.

 

インストールした CAS の Linux オペレーティング システム用の root ユーザ パスワードを入力します(フィールド l )。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。

リリース 4.5 からは、デフォルトの root ユーザのパスワード( cisco123 )は削除されています。Cisco NAC アプライアンスは、root ユーザのログインについてだけストロング パスワードをサポートしています。パスワードは、8 文字以上、かつ次の 4 つのカテゴリのそれぞれから 2 文字以上を使用している必要があります:小文字、大文字、数字、特殊文字(!@#$%^&*~ など)。

たとえば、 1o-9=OnE は有効なパスワードです。しかし 10-9=One は 2 文字以上使用されていないカテゴリがあるため、要件に適合していません。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5 』の「Administer the CAM」の章の「Manage System Passwords」を参照してください。

ステップ 24

web-console-admin-password

 

Please enter an appropriately secure password for the web console admin user.

 

New password for web console admin:

Confirm new password for web console admin:

Web console admin password changed successfully.

 

CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します(フィールド m )。CAS Web コンソールでは、CAS 固有の設定の一部に直接アクセスできます。主な用途は、ハイ アベイラビリティの設定です。

ステップ 25

reboot

 
Configuration is complete.
[root@NME-NAC ~]# reboot
Broadcast message from root (ttyS0) (Fri Aug 22 11:45:36 2008):
The system is going down for reboot NOW!

[root@cas-10 ~]#

設定が完了したら、プロンプトが表示されるのを待ってから、 reboot とタイプして CAS を再起動します。


service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。


これで CAS の初期設定は完了です。

ステップ 26

From CAS:

ping cam-ip-address

From CAM (ping CAS eth0 address):

ping 10.201.217.203 ...

 

CAS から CAM に ping して、CAM と CAS が互いに ping(ルート)できることを確認します。

 
Web ブラウザ インターフェイス

ステップ 27

https://<CAS IP address>/admin

Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスを入力して、CAS の Web コンソールにログインできることを確認します。「」で設定した admin ユーザのパスワードを使用してください。

(注) 必ず「https」と「/admin」を CAS の URL に含めてください。入力されていない場合、エンド ユーザ ポータル ページが表示されます。

ステップ 28

http://<CAM IP address> /admin

Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスをタイプして、CAM のWeb コンソールにアクセスします。

CAM Web コンソール側

Cisco NAC Appliance Service Contract / Licensing Support 』に従って、[Administration] > [CCA Manager] > [Licensing] で NAC ネットワーク モジュールのライセンスを追加します。

以下にある説明に従って CAS を CAM に追加します。

Cisco NAC Appliance Configuration Quick Start Guide 』または、

Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』(ご使用のリリースに適用可能)

 
Service-Module インターフェイス

ステップ 29

Ctrl+Shift+6 x を押します。

service-module セッションを閉じて、ルータの CLI に戻ります。

を押すことで、ルータの CLI からこのセッションに戻ることができます。

 
ホスト ルータの CLI 側

ステップ 30

service-module integrated-service-engine slot /0 session clear

 

Router# service-module service-engine 1/0 session clear

指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。

SSL 証明書に関する重要事項

一時 SSL 証明書を CAM と CAS の設定中に生成する必要があります。忘れると admin またはエンド ユーザとして NAC アプライアンスにアクセスできなくなってしまいます。

使用環境で CAM または CAS を構成する前に、認証局から信頼できる証明書の発行を受けて、一時証明書と置き換えることができます。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインしたときに、セキュリティに関する警告が表示されなくなります。また、CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。

証明書要求(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。詳細については、CAM および CAS のマニュアルの「Set System Time」および「Manage SSL Certificates」を参照してください。

Cisco NAC ネットワーク モジュールの運用、保守、トラブルシューティングの方法

ここでは、次の内容について説明します。

「Cisco NAC ネットワーク モジュールのシャットダウンと起動」

「システムの状態の検証」

「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」

「Cisco NAC ネットワーク モジュールの再インストール」


) • このセクションの表では、ルータとネットワーク モジュールで共通のコマンドだけを記載します。

使用可能なすべてのコマンドの一覧を表示するには、プロンプトで ? と入力します
(例: Router(config-if)# ? )。

すべてのコマンド キーワード オプションの一覧を表示するには、コマンドの最後に ? と入力します
(例: Router# service-module integrated-service-engine ? )。

表では、コンフィギュレーション モード別にコマンドを記載しています。一つのコマンドが複数のモードで利用できる場合は、モードによってコマンドの働きが異なることがあります。


 

Cisco NAC ネットワーク モジュールのシャットダウンと起動

Cisco NAC ネットワーク モジュールやモジュールが実行中の Clean Access Server アプリケーションをシャットダウンまたは起動したい場合は、下記のルータとネットワーク モジュールで共通のコマンドのリストから該当するコマンドを実行します(表 6)。


) • shutdown コマンドには、サービスを中断させる可能性があるものもあります。そのようなコマンドを実行して確認のプロンプトが表示された場合は、Enter キーを押して確認するか、n とタイプしてコマンドをキャンセルして Enter キーを押します。また、no-confirm キーワードを使用してプロンプトが表示されないようにすることもできます。

コマンドの中には、モジュールやアプリケーションをシャットダウンして、その後すぐに再起動させるものもあります。


 

 

表 6 共通のシャットダウン、起動コマンド

コンフィギュレーション モード
コマンド
目的
Router#

service-module integrated-service-engine slot /0 reload

推奨 )ネットワーク モジュールのオペレーティング システムをスムーズにシャットダウンします。各サービスが自身のシャットダウン プロセスを実行できます。シャットダウン後、bootloader からネットワーク モジュールを再起動します。

このコマンドは、ネットワーク モジュールの Linux コンソールから reboot を実行するのとよく似ています。

コマンドを使用する必要はありません。

Router#

service-module integrated-service-engines slot /0 reset

非推奨 )ハードウェア リセット ラインを使用してモジュールのハードウェアをリセットします。このコマンドは、シャットダウンや故障状態から復旧するとき以外は使用しないでください。


注意 reset コマンドは、必ず reload コマンドの後に実行してください。

このコマンドは、サービスが自身のシャットダウン プロセスを実行できないので、Linux の筐体のリセット ボタンを押すのとよく似ています。

Router#

service-module integrated-service-engine slot /0 session

指定したサービス エンジンにアクセスして、ネットワーク モジュールの設定セッションを開始します。

Router#

service-module integrated-service-engines slot /0 shutdown

ネットワーク モジュールのオペレーティング システムをスムーズにシャットダウンします。オンラインでの抜き差し(OIR)の最中にホットスワップ可能なモジュールを取り外しするか、または交換したい場合に使用します。

Router#

service-module integrated-service-engine slot /0 status

ネットワーク モジュールのハードウェアとソフトウェアの設定および状態に関する情報を表示します。

ServicesEngine boot-loader>

boot helper | chainloader

boothelper または bootloader を起動します。

ServicesEngine boot-loader>

reboot

設定の変更を保存せずに NAC ネットワーク モジュールをシャットダウンし、それから bootloader を使用して再起動します。

システムの状態の検証

インストール、アップグレード、ダウングレードの状態を検証したい場合、または問題を解決したい場合は、下記の表のルータとネットワーク モジュールで共通のコマンドのリストから該当するコマンドを実行します(表 7)。


) 複数ある show コマンドのキーワード オプションの中には、画面に診断結果を表示し、それをファイルまたは URL にパイプするものもあります。


 

表 7 共通の検証、トラブルシューティングのコマンド

コンフィギュレーション モード
コマンド
目的
Router#

ping

指定した IP アドレスに ping して、ネットワークの接続をチェックします(目的地のホスト名は使用できません)。

Router#

show arp

現在のアドレス解決プロトコル(ARP)テーブルを表示します。

Router#

show clock

現在のデータと時間を表示します。

Router#

show configuration

configure コマンドを使用して入力した bootloader の現在の設定を表示します。

Router#

show controllers

インターフェイスのデバッグ情報を表示します。

Router#

show diag

NAC についての情報など、標準の Cisco IOS 診断情報を表示します。

Router#

show hardware

ネットワーク モジュールとホスト ルータのハードウェア情報を表示します。

Router#

show hosts

デフォルトのドメイン名、ネーム ルックアップのスタイル、name-server のホスト リスト、ホスト名とアドレスのキャッシュされたリストを表示します。

Router#

show interfaces

ネットワーク、ディスクを含め、すべてのハードウェア インターフェイスの情報を表示します。

Router#

show interfaces integrated-service-engine slot /0

ルータ、モジュールのインターフェイスのうち、モジュール側の情報を表示します。

Router#

show ntp status

ネットワーク タイム プロトコル(NTP)の情報を表示します。

Router#

show processes

実行中のアプリケーションのプロセスのリストを表示します。

Router#

show running-config

有効になっているコンフィギュレーション コマンドを表示します。

Router#

show startup-config

スタートアップ コンフィギュレーションを表示します。

Router#

show tech-support

シスコのテクニカル サポートが問題の診断に利用できるホスト ルータの情報を表示します。

Router#

show version

ルータ、ソフトウェア、ネットワーク モジュールの bootloader のバージョン情報とハードウェア、デバイスについての情報を表示します。

ServicesEngine boot-loader>

ping

指定した IP アドレスに ping して、ネットワークの接続をチェックします(目的地のホスト名は使用できません)。

ServicesEngine boot-loader>

show config

フラッシュ メモリに格納されているスタートアップ コンフィギュレーションを表示します。

Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード

Cisco NAC ネットワーク モジュールを、サポートされている最新の Cisco NAC アプライアンスのリリースにアップグレードするには、シングル製品アップグレード ファイル(cca_upgrade- <version> .tar.gz)をアップロードして、CAS に適用します。ここでは、以下のアップグレード手順を説明します。

「CLI を使用した CAS のアップグレード」

「Web コンソールを介した CAS アップグレード」


) Clean Access Manager/Server アプライアンスと Cisco NAC Network モジュールすべてで、同じバージョンの Cisco NAC アプライアンス ソフトウェアが実行されている必要があります。



) リリース 4.1.2.1 は、すべてのアプライアンスにとって最低限必要なバージョンです。HA と CAS のペアがサポートされている必要があります。最新の互換性についての詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。



) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。



) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。


詳細については、「Cisco NAC ネットワーク モジュールの制約事項」を参照してください。

CLI を使用した CAS のアップグレード

ここで説明するコマンドラインのアップグレード手順を使用して、NAC ネットワーク モジュールの CAS をアップグレードできます。


) Cisco NAC アプライアンスをリリース 4.5 以上にアップグレードする場合は、コマンドラインでしかアップグレードできません。


手順の概要

ホスト ルータの CLI 側

1. enable

2. service-module integrated-service-engine slot /0 status

3. service-module integrated-service-engine slot /0 session

Service-Module インターフェイス

4. 「ステップの詳細(CAS UPGRADE)」に従ってアップグレードを実行します。

5. Ctrl+Shift+6 x

ホスト ルータの CLI 側

6. service-module integrated-service-engine slot /0 session clear

ステップの詳細(CAS UPGRADE)

コマンドまたはアクション
目的

ステップ 1

a. Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 認定証の提供を求められる場合があります。

b. [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動します。

c. 該当するリリースのフォルダ(4.1.2.1 以降)へ移動します。例:「Cisco NAC Appliance Software <version>

d. 該当するバージョンの製品アップグレード ファイル(.tar.gz)を配置します。

cca_upgrade- <version> .tar.gz

nme-nac-upgrade- <version> -from-4.6.x.tar.gz( 4.6(1) から 4.8(x) へのアップグレード用)

cca_upgrade- <version> -from-4.7.x-4.8.x.tar.gz (4.8 から 4.8(x) へのアップグレード用)

nme-nac-upgrade- <version> -from-4.8.x.tar.gz (4.8(x) から 4.9 へのアップグレード用)

e. 製品アップグレード ファイルをダウンロードして、ネットワーク上の NAC にアクセス可能なローカル マシンに保存します。

です。

Cisco NAC アプライアンスの製品アップグレード ファイルをダウンロードします。

 
Service-Module インターフェイス側

ステップ 2

root

 
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
NME-NAC login: root
 
 

ネットワーク モジュールのプロンプトから Clean Access Server Configuration Utility に root ユーザとしてログインし、CAS のコマンド ラインにアクセスします。

ステップ 3

cat /perfigo/build

 

[root@cas128 ~]# cat /perfigo/build

VERSION=4.1.2.1

NAME=Clean Access Server

DATE=2007/09/07

CAS で現在の Cisco NAC アプライアンス ソフトウェアのバージョンを確認します。

ステップ 4

アップグレード ファイルを CAS の /store ディレクトリにコピーします。

 

WinSCP または SSH ファイル転送を使用している場合

a. cca_upgrade-<version>.tar.gz を CAS の /store ディレクトリにコピーします。

PSCP を使用している場合

a. Windows コンピュータでコマンド プロンプトを開きます。

b. cd コマンドで PSCP が格納されているパスへ移動します(例:C:\Documents and Settings\デスクトップ)。

c. 次のコマンドを入力して、ファイルを CAS にコピーします(各 CAS にコピー)。

pscp cca_upgrade-4.5.0-NO-WEB.tar.gz

root@ipaddress_server:/store

 

WinSCP、SSHファイル転送または PSCP を使用して、アップグレード ファイルを /store ディレクトリにコピーします。

ステップ 5

cd /store

ls

 

[root@cas128 ~]# cd /store

[root@cas128 store]# ls

cca_upgrade-4.5.0-NO-WEB.tar.gz

 

CAS 側で、/store ディレクトリに移動して、アップグレード ファイルが存在することを確認します。

ステップ 6

tar zxf cca_upgrade- <version> .tar.gz

ls

 

[root@cas128 store]# tar xzf cca_upgrade-4.5.0-NO-WEB.tar.gz

[root@cas128 store]# ls

cca_upgrade-4.5.0 cca_upgrade-4.5.0-NO-WEB.tar.gz upload

[root@cas128 store]#

アップグレード ファイルの中身を抽出します。

ステップ 7

cd cca_upgrade- <version>

./UPGRADE.sh

 

[root@cas128 store]# cd cca_upgrade-4.5.0

[root@cas128 cca_upgrade-4.5.0]# ls

agent-version.sh checksum.txt notes.html version.sh

cam-4.5.x-upgrade.sh checksum.txt.sig RPMS

cas-4.5.x-upgrade.sh dmidecode showstate.sh

cca_upgrade-4.1.6.tar.gz initrd.img UPGRADE.sh

[root@cas128 cca_upgrade-4.5.0]# ./UPGRADE.sh

...stopping CCA Server...

BaseAgent process stopped!

Stopping DHCP...

In Maintenance Mode...

 

Welcome to the CCA Server migration utility.

 

...Upgrading to newer rpms of 4.5.0...done.

...Upgrading CCA files... done

Clearing Tomcat cache...checking ssl configuration...done.

[root@cas128 cca_upgrade-4.5.0]#

/cca_upgrade- <version> ディレクトリに移動して、アップグレード プロセスを実行します。

ステップ 8

[root@cas128 cca_upgrade-4.5.0]# reboot

 

[root@cas128 cca_upgrade-4.5.0]# reboot

 

Broadcast message from root (pts/0) (Tue Oct 21 18:49:00 2008):

 

The system is going down for reboot NOW!

[root@cas126 cca_upgrade-4.5.0]#

アップグレードが完了したら、CAS を再起動します。

ステップ 9

cat /perfigo/build

 

[root@cas128 ~]# cat /perfigo/build

NAME=Clean Access Server

DATE=2008/10/20

AUTHOR=rachnar

BUILD_TAG=NAC-4_5_0-RC9

BUILD_INFO=Experimental

BUILT_ON=mercury

REBUILD_COUNT=0

 

CAS の再起動後に、新ビルドを確認します。

ステップ 10

Ctrl+Shift+6 x を押します。

service-module セッションを閉じて、ルータの CLI に戻ります。

を押すことで、ルータの CLI からこのセッションに戻ることができます。

 
ホスト ルータの CLI 側

ステップ 11

service-module integrated-service-engine slot /0 session clear

 

Router# service-module service-engine 1/0 session clear

指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。

Web コンソールを介した CAS アップグレード

NAC ネットワーク モジュールの CAS を Cisco NAC アプライアンス リリース 4.1(6) 以前にアップグレードする場合に限り、該当する『 Release Notes for Cisco NAC Appliance 』の「Upgrading」の内容に従って、スタンドアロンの CAS アプライアンスのアップグレードに使用するのと同じ Web アップグレードを実行できます。


) Cisco NAC アプライアンス リリース 4.5(およびそれ以降のリリース)は、Web アップグレードはサポートしていません。詳細については、『Release Notes for Cisco NAC Appliance, Release 4.5』を参照してください。


CAS Web アップロード

リリース 4.1.6 以前のリリースへのアップグレードで、リリース 4.1.6 以前のリリースの CAS の CAS Web Upload を使用してアップグレード ファイルをアップロードする場合は、 /store/upload にファイルを置きます。Web アップロードされたファイルの末尾 .tar.g z file の後にランダムに生成された数字のコードが追加されます(例: cca_upgrade - <version > .tar <digit code> .gz

リリース 4.5 がすでにインストールされている場合に、4.5 CAS の CAS Web Upload 経由でアップグレード ファイルをアップロードすると、リリース 4.5 以降の /store ディレクトリに格納されます。Web アップロードされたファイルも同様に末尾 .tar.g z file の後にランダムに生成された数字のコードが追加されます(例: cca_upgrade - <version > .tar <digit code> .gz

リリース 4.1.x からリリース 4.5 へアップグレードでは、CAS へのアップグレード ファイルの Web アップロードはサポートされていません。

リリース 4.6(1) からリリース 4.8(x) へのアップグレードでは、Web アップロード ファイルは、次のとおりです。 nme-nac-upgrade- <version> -from-4.6.x.tar.gz

リリース 4.8 からリリース 4.8(x) へのアップグレードでは、Web アップロード ファイルは、次のとおりです。 cca_upgrade- <version> -from-4.7.x-4.8.x.tar.gz

リリース 4.8(x) からリリース 4.9 へのアップロードでは、Web アップロード ファイルは、次のとおりです。 nme-nac-upgrade- <version> -from-4.8.x.tar.gz


) Cisco NAC アプライアンス リリース 4.5(およびそれ以降のリリース)は、Web アップグレードはサポートしていません。詳細については、『Release Notes for Cisco NAC Appliance, Release 4.5』を参照してください。



) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。



) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。


Cisco NAC ネットワーク モジュールの再インストール

デフォルトでは、Cisco NAC ネットワーク モジュールは、オンボード フラッシュからオペレーティング システムと Clean Access Server をロードするように、あらかじめ設定されています。普通は、管理者はネットワークモジュールの Clean Access Server の初期設定を行うだけで、その後は、通常の Cisco NAC アプライアンスのアップグレード手順でモジュール上のソフトウェアをアップグレードできます。詳細については、「Cisco NAC アプライアンスの設定と管理」を参照してください。

マシンが故障していたり、起動できない場合は、(「 *** 」と入力して)起動プロセスを中断し、システム全体を再イメージ化できます。このプロセスでは、boothelper とイメージファイルを別個に Cisco Secure Software サイトからダウンロードして、boothelper をネットワークからネットワーク モジュールにロードできるように TFTP サーバを設定する必要があります。

この場合、次の 2 つの起動ソフトウェアを使用できます。

Bootloader:システムの電源投入時に読み込まれるソフトウェアの小セット。通常の動作では、自動的にコンパクト フラッシュからオペレーティング システムをロードし、次にシステムが Clean Access Server をロードして実行します。ディザスタ リカバリの場合は、オプションで bootloader のプロセスを中断し、TFTP サーバを介してネットワークから boothelper ロードするように再設定できます。

Boothelper:モジュール上で実行されるソフトウェアの小サブセット。モジュールをネットワークから起動し、ディザスタ リカバリやモジュールがソフトウェアにアクセスできないときの動作を補助します。

ここでは、次の内容について説明します。

「ネットワーク モジュールの再イメージ化」

「Clean Access Server ソフトウェア Configuration Utility」

「Cisco NAC ネットワーク モジュールのシャットダウンと起動」

ネットワーク モジュールの再イメージ化

ネットワーク モジュールの再インストールには、boothelper のイメージのインストール、設定、起動が含まれます。次に、boothelper により、Cisco NAC アプライアンス ソフトウェアの NAC ネットワーク モジュールへのインストールが開始されます。また CAS の設定でプロンプトを通して使用する CAS Configuration Utility が起動します。

前提条件

TFTP サーバの IP アドレスが有効であること。

手順の概要

ホスト ルータの CLI 側

1. 必要なソフトウェアをダウンロードします。

2. service-module integrated-service-engine slot /0 reset

3. service-module integrated-service-engine slot /0 session , ***

Service-Module インターフェイス

4. config

5. show config

6. boot helper

7. boothelper の指示に従って、ソフトウェアをインストールします。

8. Ctrl+Shift+6 x

ホスト ルータの CLI 側

9. service-module integrated-service-engine slot /0 session clear

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

a. Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 認定証の提供を求められる場合があります。

b. [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動します。

c. 該当するリリースのフォルダ(4.1.2.1 以降)へ移動します。例:「Cisco NAC Appliance Software <version>

d. 該当するバージョンの MME、NAC のイメージ ファイルを配置します。

nme-nac-helper- <version> -K9

nme-nac-install- <version> -K9.img

e. ファイルを TFTP ファイル サーバに置きます。

Cisco NAC ネットワーク モジュールの installation-package ファイル(boothelper のイメージとインストール イメージ)をダウンロードします。

(注) マイナー リリースの中には、NME-NAC イメージが存在しないものもあります。その場合は、存在するうちで一番新しいメジャー バージョンのイメージをインストールし、CAS アップグレード手順に従って、Cisco Network Module をマイナー リリースにアップグレードします。詳細については、「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。

 
ホスト ルータの CLI 側

ステップ 2

enable

 

Router> enable

ホスト ルータの特権 EXEC を入力します。パスワードを入力します(要求された場合)。

ステップ 3

service-module integrated-service-engine slot /0 reset

 
Router# service-module integrated-service-engine 1/0 reset

ダウンロードが完了したら、システムをリセットします。

ステップ 4

service-module integrated-service-engine slot/ 0 session

***

 
Router# service-module integrated-service-engine 1/0 session
***

 

リセットにより自動的に行われない場合は、セッションを開いて「***」とすばやくタイプして auto-boot セッションを中断し、bootloader にアクセスします。

 
Service-Module インターフェイス

ステップ 5

config
 
ServicesEngine boot-loader> config
 
IP Address [10.201.243.18] >
Subnet mask [255.255.255.240] > 255.255.255.240
TFTP server [10.201.210.15] >
Gateway [10.201.243.17] > 10.201.243.17
Default Helper-file [nme-nac-helper-4.5_0-K9] > nme-nac-helper-4.5_0-K9
Ethernet interface [external|internal] [internal] > internal
External interface media [copper|fiber] [copper] > copper
Debug Statements [enable|disable] [disabled] >
Default Boot [none|disk|compactflash|chainloader] [chainloader] >
Default bootloader [primary|secondary] primary] > primary
 
Updating flash with bootloader configuration: 1
Please wait ...
.............done.
 

bootloader を boothelper をロードして起動するように設定します。

リストの順番で bootloader のインターフェイスを設定するプロンプトが表示されます。それぞれのプロンプトで、値を入力するか、 Enter キーを押して、角括弧で囲まれた以前に入力して保存してある値をそのまま適用します。

IP address:サービス モジュールのアドレス、または NAC ネットワーク モジュールの信頼インターフェイス(eth0)のアドレス

Subnet mask:NAC ネットワーク モジュールの eth0 ネットマスク

TFTP server:TFTP ファイル サーバの IP アドレス

Gateway:ゲートウェイ ルータの IP アドレス(通常 ISR の IP アドレス)。ISR が NAC ネットワーク モジュールと通信するために使用する設定済みの IP アドレスです。

Default Helper-file:デフォルトの boothelper イメージ ファイル名 nme-nac-helper-<version>-K9

Ethernet interface: internal or external:NAC ネットワーク モジュールでは internal を選択

External interface media:NAC ネットワーク モジュールでは copper を選択

Debug Statements:disabled のままにしておく(デフォルト)

Default Boot:NAC ネットワーク モジュールでは、デフォルトの起動オプションとして chainloader を選択

Default bootloader:ネットワーク モジュールでは、次回の起動で使用するデフォルトの bootloader として primary を選択

ステップ 6

show config
 
ServicesEngine boot-loader> show config
 

(オプション)bootloader の設定を検証します。

ステップ 7

boot helper
 
ServicesEngine boot-loader> boot helper

新しい設定を入力し終えたら、ブート プロンプトで boothelper を起動します。

ステップ 8

1
 
Welcome to the NME-NAC Installer
1 Install everything
2 Install compact flash only
3 Verify Install
4 Root shell
5 Reboot
Please select install option: 1
Creating partitions with fdisk...
 

boothelper の指示に従います。以下の helper のオプションが表示されます。

1. Install everything

2. Install compact flash only

3. Verify Install

4. Root shell

5. Reboot

1 と入力して、すべてをインストールします。

ステップ 9

(Virtual Gateway only)

eth0 IP address

subnet mask

default gateway

 

 

Please enter the IP address for the interface eth0: 10.201.243.18
You entered 10.201.243.18 Is this correct? (y/n)? [y]
 
Please enter the netmask for the interface eth0: 255.255.255.240
You entered 255.255.255.240, is this correct? (y/n)? [y]
 
Please enter the IP address for the default gateway: 10.201.243.17
You entered 10.201.243.17 Is this correct? (y/n)? [y]
 
Creating partitions with fdisk...
 
 

以前に設定したバーチャル ゲートウェイにインストールする場合は、追加で eth0 の IP アドレス、ネットマスク、ゲートウェイを入力する必要があります。

ステップ 10

nme-nac-install-<version>-K9.img

 
Please enter the Image name: nme-nac-install-4.5_0-K9.img
You entered nme-nac-install-4.5_0-K9.img Is this correct? (y/n)? [y]
 

ハードディスクをパーティションに切って、フォーマットします。完了したら、さらに 2 つの質問を helper から尋ねられます(イメージの名前と TFTP サーバのアドレス)。

イメージの名前( nme-nac-install-<version>-K9.img など)を入力して、 Enter キーを押します。

y とタイプしてから Enter キーを押して、入力した情報が正しいことを確認します。

ステップ 11

TFTP server IP address

 
Please enter the IP address for the tftp server: 10.201.210.15
You entered 10.201.210.15 Is this correct? (y/n)? [y]
 
Transferring Image now
Done!Success!

TFTP サーバの IP アドレスを入力します。

y とタイプしてから Enter キーを押して、入力した情報が正しいことを確認します。

helper が、イメージの転送を開始します。イメージファイルはサイズが非常に大きいため、転送には時間がかかる場合があります。イメージの転送が完了したら、helper は、RPM がインストールされたというステータスを表示します。

ステップ 12

Enter を押します。

 
Press enter to reboot
 

リブート プロンプトで Enter キーを押して、NAC ネットワーク モジュールを再起動させます。

ステップ 13

root

 
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
NME-NAC login: root

次の起動で、ネットワーク モジュールのログイン プロンプトが表示されます。 root としてログインします。

標準の Clean Access Server Configuration Utility からの質問が表示されます。「Clean Access Server ソフトウェア Configuration Utility」 の指示に従って、CAS の設定を完了させます。

ステップ 14

reboot

 

Configuration Utility が完了したら、プロンプトから NAC ネットワーク モジュールを再起動させます。

次の再起動で、NAC ネットワーク モジュールのインストールは完了します。

ステップ 15

Ctrl+Shift+6 x を押します。

Ctrl+Shift+6 x を押して、セッションを閉じます。

 
ホスト ルータの CLI 側

ステップ 16

service-module integrated-service-engine slot /0 session clear

 

Router# service-module service-engine 1/0 session clear

ホスト ルータの CLI 側で、セッションをクリアします。

Cisco NAC アプライアンスの設定と管理

Cisco NAC アプライアンス全体関する情報については、以下から該当するバージョンのガイドを選んで参照してください。

『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』

『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』

シスコのテクニカル サポート

 

説明
リンク

シスコのテクニカル サポートおよびドキュメンテーション Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/en/US/support/index.html

Cisco Feature Navigator ウェブサイト

http://www.cisco.com/go/cfn

Cisco Feature Navigator を使用して、プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を入手します。Cisco.com のアカウントは必要ありません。

Cisco Software Center ウェブサイト

Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 認定証の提供を求められる場合があります。

[Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動して、Cisco NAC アプライアンス用のソフトウェアをダウンロードします。

ドキュメンテーション

表 8 本ガイドのアップデート

日付
説明

2010/09/23

アップデート(リリース 4.9 用)

「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」

「Cisco NAC ネットワーク モジュールの制約事項」(4.8(x) から 4.9 へのアップグレードに対する制限を追加)

2010/07/26

アップデート(リリース 4.8 用)

「ルータ」(Cisco NAC アプライアンス リリース 4.8 でサポートされるルータを追加)

「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」

「Cisco NAC ネットワーク モジュールの制約事項」(4.6(1) から 4.8 へのアップグレードに対する制限を追加)

2008/10/03

2008/09/25

アップデート(リリース 4.5用)

「ネットワーク モジュール」

「Cisco NAC ネットワーク モジュールの制約事項」(WOOB の注を追加)

「Cisco NAC ネットワーク モジュールの運用、保守、トラブルシューティングの方法」(アップグレード セクションへのリンクを追加)

「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」(セクションを移動してアップデート)

「Cisco NAC ネットワーク モジュールの再インストール」(ステップ 1)

2008/06/11

「Cisco NAC ネットワーク モジュールの制約事項」の 4.1.2.1 向けの注をアップデート

「CAS VLAN Mapping フォーム(VLAN マッピング/VLAN プルーニング無効)」セクションを訂正

「Cisco NAC ネットワーク モジュールの再インストール」のステップ 1 をアップデート

「Cisco NAC アプライアンスの設定と管理」セクションを追加

ボイラープレートおよびハイパーテキストのリンクをアップデート

2007/11/02

小さなアップデートと訂正

2007/08/22

Cisco NAC ネットワーク モジュール(NME-NAC-K9)リリース

関連資料

 

関連項目
参照先
Cisco NAC アプライアンス

Cisco.com の Cisco NAC アプライアンスのドキュメンテーションの最新の更新については、 www.cisco.com/go/nac/appliance にアクセスして確認してください。マシンで実行しているリリースのバージョンに対応するドキュメントを参照してください。

データ シート

『Cisco NAC Appliance』

『Cisco NAC Network Module for Integrated Services Routers』

注文ガイド

『Cisco NAC Appliance Ordering Guide』

ライセンシング

『Cisco NAC Appliance Service Contract / Licensing Support』

システム要件

『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』

サポートされているスイッチ(OOB)

『Switch Support for Cisco NAC Appliance』

リリース ノート

Release Notes for Cisco NAC Appliance (Cisco Clean Access) 』(バージョン 4.1(2) 以降)

設定ガイド

『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』

『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』

アプライアンス ハードウェア(MANAGER/SERVER)

『Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1』

ネットワーク モジュール

シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド 』(このガイド)

以下にある『 Installing Cisco Network Modules in Cisco Access Routers

http://www.cisco.com/en/US/docs/routers/access/interfaces/nm/hardware/installation/guide/InstNetM_products_support_series_home.html

以下にある『Connecting Cisco Network Admission Control Network Modules』

http://www.cisco.com/en/US/docs/routers/access/interfaces/nm/hardware/installation/guide/nacnm.html

その他の Cisco ドキュメント

Cisco IOS ソフトウェア

Cisco IOS Software ウェブサイト http://www.cisco.com/en/US/products/sw/iosswrel/tsd_products_support_category_home.html

音声通信、IP 通信

Cisco Voice and IP Communications ウェブサイト http://www.cisco.com/en/US/products/sw/voicesw/tsd_products_support_category_home.html

をクリックしてください。

用語集

 

boot helper

モジュール上で実行されるソフトウェアの小サブセット。モジュールをネットワークから起動し、ディザスタ リカバリ、ソフトウェアのインストールなど、モジュールがソフトウェアにアクセスできないときの動作を補助します。

bootloader

システムの電源投入時に読み込まれるソフトウェアの小セット。(ディスク、ネットワーク、外部のコンパクト フラッシュや外部の USB フラッシュ メモリから)オペレーティング システムをロードし、それからシステムが NAC アプリケーションをロード、実行します。bootloader は、オプションで、boothelper をロード、実行します。

CAM

Clean Access Manager

Cisco NAC アプライアンス構成のうちの、ポリシー コンフィギュレーション サーバと管理データベース。Clean Access Manager は、1 ~ 40 台の Clean Access Server を管理できます。

CAS

Clean Access Server

Cisco NAC アプライアンス構成でエンド ユーザが接続するポリシー エンフォースメント サーバ。Clean Access Server は、Clean Access Manager により管理されます。

CCA

Cisco Clean Access(別名 Cisco NAC アプライアンス ソフトウェア)

Cisco NAC アプライアンス

Cisco ネットワーク アドミッション コントロール

Cisco NAC ネットワーク モジュール

Cisco サービス統合型ルータ 2811、2821、2851、3825、3845 用の NME-NAC-K9 ネットワーク モジュール。また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco サービス統合型ルータ 2911、2921、2951、3925、および 3945 をサポートします。Cisco NAC ネットワーク モジュールは、50 または 100 ユーザをサポートする Clean Access Server(CAS)プラットフォームです。

Cisco NAC-3300 シリーズ アプライアンス

Clean Access Manager と Clean Access Server 用 Cisco NAC アプライアンス ハードウェアのアプライアンス プラットフォーム

NAC-3310 SERVER

NAC-3350 SERVER

NAC-3310 MANAGER

NAC-3350 MANAGER

NAC-3390 MANAGER(Super Manager)

TFTP

Trivial File Transfer Protocol。FTP の簡易バージョンで、ネットワーク上のコンピュータ間でファイルの移動が可能。通常、ユーザ認証(ユーザ名、パスワードなど)を必要としません。

サービス エンジン

アプリケーション ソフトウェアがインストールされたネットワーク モジュールの別名

サービス モジュール

ルータ上の Cisco IOS の設定から独立した独自の起動設定、実行時設定を持ったスタンドアロンのサービス エンジン

ブレード

ネットワーク モジュールの別名。


この用語集に記載されていない用語については、以下のリファレンスを参照してください。

『Cisco IOS Voice Configuration Library Glossary』

『Internetworking Terms and Acronyms』


 

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。


1.

 
Cisco NAC ネットワーク モジュールは、無線アウトオブバンド構成(リリース 4.5 以上)をサポートしていません。無線 OOB は、IP 変更を必要としない、レイヤ 2 OOB バーチャル ゲートウェイ配置だけをサポートしています。NAC ネットワーク モジュールは、このトポロジをサポートしていません。