サービス統合型ルータ用 Cisco NAC ネットワーク モジュールについて
サービス統合型ルータ用 Cisco® NAC ネットワーク モジュール(NME-NAC-K9)は、Cisco 2800 および 3800 シリーズのサービス統合型ルータに、機能豊富な Cisco NAC アプライアンス サーバの性能を追加します。
また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco 2900 および 3900 シリーズのサービス統合型ルータをサポートしています。
Cisco NAC アプライアンス
Cisco NAC アプライアンス(Cisco Clean Access)は、ネットワーク アドミッション コントロール(NAC)製品で、ネットワーク管理者は、本製品を利用して有線、無線、リモート ユーザ、マシンの認証、権限付与、評価、修復を行ったうえで、ユーザにネットワークの利用を許可できます。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。
Cisco NAC アプライアンスは、以下の特徴を持つネットワーク中心の統合型ソリューションです。
•
Clean Access Manager(CAM)の Web コンソールを使用した管理
• Clean Access Server(CAS)を使用した強化
• Clean Access Agent(CAA)クライアント ソフトウェアを使用した、クライアントへの適用
Cisco NAC アプライアンス ソリューションは、お客様のネットワークのニーズを満たす最適な設定で導入できます。
Cisco NAC ネットワーク モジュール
Cisco NAC ネットワーク モジュール(NME-NAC-K9)により、Clean Access Server の機能が Cisco 2811/2821/2851 および 3825/3845 アクセス ルータの次世代サービス モジュールに搭載されます。NAC ネットワーク モジュールには、Cisco NAC アプライアンス ソフトウェア リリース 4.1(2)(またはそれ以降)、並びにアプリケーション コードとして Clean Access Server ソフトウェアがあらかじめインストールされています。
また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco 2911/2921/2951 および 3925/3945 アクセス ルータをサポートしています。
Clean Access Server のオペレーティング システムは、Linux の最適化されたバージョンをベースにしています。NAC ネットワーク モジュールは、サービス統合型ルータが使用されている遠隔地の小規模なユーザ グループに最適な NAC ソリューションです。NAC ネットワーク モジュールは、本社以外でも使用できるライセンスを 50 ユーザまたは 100 ユーザ分発行できます。
Clean Access Manager は、NAC-3300 シリーズ アプライアンスとして別個に購入します。すべての Clean Access Server(サービス統合型ルータの Cisco NAC ネットワーク モジュールとして実装するのか、NAC-3310 または NAC-3350 SERVER アプライアンスとして実装するのかを問わない)の設定および管理は主にこの Clean Access Manager で行います。初期設定が完了すると、NAC ネットワーク モジュールが追加され、他の Clean Access Server と同じように CAM Web コンソール(GUI)インターフェイスから Clean Access Manager を使用して管理できるようになります。
NAC-3300 シリーズの詳細については、『
Cisco NAC Appliance Hardware Installation Quick Start Guide
』を参照してください
。
Cisco NAC ネットワーク モジュールの前提条件
ルータ
• ホスト ルータ上で実行中の全アプリケーションのサービスを停止したり、オフラインにしたりできる場合は、ソフトウェアのアップグレードまたはダウングレードも考慮に入れてください。
• ホスト ルータとして使用可能な、適切な Cisco アクセス ルータを所有していることを確認してください。Cisco NAC ネットワーク モジュールは、以下の Cisco アクセス ルータでサポートされています。
– Cisco 2811
– Cisco 2821
– Cisco 2851
– Cisco 3825
– Cisco 3845
• 上記ルータに加えて、Cisco NAC アプライアンス リリース 4.8 以降では、次の Cisco アクセス ルータをサポートしています。
– Cisco 2911
– Cisco 2921
– Cisco 2951
– Cisco 3925
– Cisco 3945
(注) NAC ネットワーク モジュールには、Cisco NAC アプライアンス ソフトウェア リリース 4.1(2)(またはそれ以降)、並びにアプリケーション コードとして Clean Access Server ソフトウェアがあらかじめインストールされています。上記の Cisco アクセス ルータをサポートするため、Cisco NAC アプライアンス リリース 4.8 以降にアップグレードされていることを確認します。
• ホスト ルータで、Cisco IOS リリース 12.4(11)T 以降が実行されていることを確認してください。現在実行されているリリースを確認するには、show version コマンドを実行して出力をチェックしてください。
(注) 最小のリリースの要件が満たされている場合は、パフォーマンスに影響を与えることなくルータまたはネットワーク モジュールのイメージを変更できます。
ネットワーク モジュール
(注) Cisco NAC ネットワーク モジュールは、Cisco NAC アプライアンス リリース 4.5 をサポートしていますが、無線アウトオブバンド(OOB)はサポートしていません。IP の変更を必要としないレイヤ 2 OOB バーチャル ゲートウェイ構成は、リリース 4.5 で導入された無線 OOB 機能でしかサポートされていません。NAC ネットワーク モジュールは、このトポロジをサポートしていません。
Cisco NAC アプライアンス リリース 4.8(2) で導入された Cisco NAC ネットワーク モジュールでは、L3 ワイヤレス アウトオブバンド(L3 OOB)をサポートします。
警告 Clean Access Manager と同じバージョンの Cisco NAC アプライアンス ソフトウェア、さらにその他いずれかの Clean Access Server が Cisco NAC ネットワーク モジュールで実行されている必要があります。たとえば、4.7(x) 以降のサポートされているバージョンがすべてのサーバで実行されている必要があります。
• Cisco NAC アプライアンス ソフトウェア リリース 4.1.2.1 は、Cisco NAC ネットワーク モジュールでサポートされている最小のソフトウェア リリースです。
適用可能なリリースの詳細については、『
Release Notes for Cisco NAC Appliance
』の最新版を参照してください。
• NAC ネットワーク モジュールを物理的にインストールするには、『
Cisco Network Modules Hardware Installation Guide
』と『
Cisco Network Modules and Interface Cards Regulatory Compliance and Safety Information
』を使用してください。
• サービス統合型ルータ用 Cisco NAC ネットワーク モジュールは、
表 1
に記載されたハードウェアがあらかじめ搭載された状態で出荷されます。メモリ オプションはありません。(詳細については、「Cisco NAC ネットワーク モジュールの設定方法」を参照してください)。
表 1 ネットワーク モジュール ハードウェアの仕様
|
|
|
|
|
|
NME-NAC-K9
|
1 GHz Celeron M
|
80 GB (SATA)
|
512 MB DDR
|
64 MB
|
• ホスト ルータ内のネットワーク モジュールの場所をメモしておいてください。
–
slot
:モジュールのルータ シャーシのスロットの数 モジュールをインストールしたあとに、ルータの
show running-config
コマンドを実行して、その出力から上記の情報を得ることができます。
–
unit
:モジュールのドーター カードの数 この値は 0 である必要があります。
(注) 「ネットワーク モジュール インターフェイスのセットアップ」および「セッションの開閉」で、この情報が必要になります。
ファイル サーバ
• (オプション)ダウンロード用の FTP または TFTP ファイル サーバがアクセス可能なことを確認してください。
– FTP ファイル サーバ:バックアップおよび修復に使用します
– TFTP ファイル サーバ:(FTP ファイル サーバに使用するマシン上で)インストールが失敗した場合に、boothelper を実行して復旧を行うときに使用します。
Cisco NAC ネットワーク モジュールへのアクセス
• ネットワーク モジュール上のソフトウェアを設定できるのは、ホスト ルータのシングル シリアルポートに接続されているコンソールからだけです。
(注) Telnet は非推奨です。
• 以下のいずれかにアクセスすることにより、ネットワーク モジュール上で実行されている Clean Access Server ソフトウェアにアクセスできます。
– ルータの Cisco IOS のコマンドライン インターフェイス(CLI)
– CAM Web コンソールの CAS 管理ページ([Device Management]
> [CCA Servers] > [Manage [CAS_IP]])
– CAS ダイレクト Web コンソール(
https://<CAS_eth0_IP>/admin
)
– 内部のインターフェイス(CAS の eth0 信頼インターフェイス)へのセキュアシェル(SSH)接続
• 構成済みの Clean Access Server はすべて、HA または SSL 認証などの特定の制限された設定を行うため、またはサポート ログをダウンロードするためにオプションでアクセスできるダイレクト Web コンソールのインターフェイスを持っています。NAC ネットワーク モジュールでは、Web ブラウザに
https://<CAS_eth0_IP>/admin/
と入力すると、CAM Web コンソールの CAS 管理ページから CAS の設定にアクセスできます。ただし、ダイレクト CAS Web コンソールのインターフェイスを必要とする CAS サポート ログは除きます。また、NAS ネットワーク モジュールは HA をサポートしていないため、[Failover] タブはダイレクト アクセス Web コンソールには存在しません。
Cisco NAC ネットワーク モジュールの制約事項
配置
• NAC ネットワーク モジュールは、ハイ アベイラビリティ(HA)モードをサポートしていません。HA 機能は、NAC ネットワーク モジュールの GUI インターフェイスでは無効になっています。
• NAC ネットワーク モジュールは、CAS 用の Cisco NAC Profiler Collector モジュールをサポートしていません。
• NAC ネットワークモジュールをアウトオブバンド バーチャル ゲートウェイとして構成した場合は、ポートベースの VLAN マッピングはサポートされません。NAC ネットワーク モジュールを L2 OOB バーチャル ゲートウェイとして構成する場合は、クライアントの IP アドレスの変更が必ず必要です。
•
Cisco NAC ネットワーク モジュールは、無線アウトオブバンド(OOB)をサポートしていません。IP の変更を必要としないレイヤ 2 OOB バーチャル ゲートウェイ構成は、リリース 4.5 で導入された無線 OOB 機能でしかサポートされていません。NAC ネットワーク モジュールは、このトポロジをサポートしていません。
アップグレード
• リリース 4.6(1) からリリース 4.8 へのアップグレード後、NAC-NME のクロックにドリフトが発生する場合があります。この結果、証明書の日付が範囲に収まらないため、4.6.1 からアップグレード後に NME モジュールの CAS が CAM へ接続されなくなる可能性があります。
これを解決するには、アップグレード後にシステム クロックをチェックして、一度設定してからリブートします。日付を再度設定するには、次のコマンドを使用してリブートします。
構文:
date -s "dd MMM YYYY hh:mm:ss"
例:
date -s "15 APR 2010 19:49:00"
CAS Web コンソールを使用して時間を同期させることもできます。CAS Web コンソールで、次の手順を実行します。
ステップ 1 [Administration]
> [Time Server] に移動します。
ステップ 2 [Time Zone]
を選択して、[Time
Servers] フィールドに適切なタイム サーバを入力します。
ステップ 3 [Synchronize
Time] をクリックします。
ステップ 4 システムをリブートします。
• The Cisco NAC アプライアンスのアーキテクチャは、異種環境、すなわち 4.1(3)のソフトウェアが実行されている Clean Access Server と 4.1(2)のソフトウェア実行されている Clean Access Server が共存する環境をサポートするようには設計されていません。NAC ネットワーク モジュールは、リリース 4.1(2)以上からの起動しかサポートされていないため、既存の NAC アプライアンス構成(4.1.1 実行中など)に NAC ネットワーク モジュールを導入するには、Clean Access Manager とすべての Clean Access Server を一斉にリリース 4.1.2.1 以上にアップグレードする必要があります。
(注) 最新の互換性についての詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。
(注) リリース 4.1.2.1 は、すべてのアプライアンスにとって最低限必要なバージョンです。HA と CAS のペアがサポートされている必要があります。4.1.2.1 が実行されている CAM/CAS アプライアンスとの互換を確保するには、標準の製品アップグレード ファイルを使用して、Cisco NAC ネットワーク モジュールを 4.1.2.1 にアップグレードする必要があります。詳細については、「Cisco NAC アプライアンスの設定と管理」を参照してください。
(注) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。
(注) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。
Cisco NAC ネットワーク モジュールと Clean Access Server ソフトウェア
Clean Access Server は、Cisco IOS ソフトウェアが実行されているホストの Cisco ルータに接続されている NAC ネットワーク モジュール上に常駐する Linux ベースのアプリケーションです。
ネットワーク モジュールは、ルータ上の Cisco IOS の設定から独立した独自の起動設定、実行時設定を持ったスタンドアロンのサービス エンジンです。モジュールは、外部のコンソール ポートをサポートしていません。その代わりに、モジュールの設定セッションを使用して、ルータを介してモジュールを起動、設定できます。セッション後は、ルータの CLI に戻ってセッションをクリアしてください。
このホスト ルータ プラス ネットワーク モジュールの構成(後者は、アプライアンスまたはブレード、あるいはソフトウェアがインストールされている場合はサービスまたはサービス エンジンと呼ぶ場合がある)により、データ集約型のアプリケーションを加速させるルータ統合型アプリケーション プラットフォームが実現されます。このようなアプリケーションには、通常、少なくとも以下が含まれます。
• アプリケーション指向のネットワーキング
• コンタクト センターとインタラクティブな音声応答アプリケーション
• コンテントのキャッシングと配送
• データとビデオの保管
• ネットワーク分析
• ボイスメールと自動案内アプリケーション
Cisco NAC アプライアンスによって有効にされたネットワーク アドミッション コントロール(NAC)は、上記に該当するアプリケーションです。
ここでは、次の内容について説明します。
• 「システムのライセンス」
• 「展開の概要」
• 「Cisco NAC ネットワーク モジュールの設定方法」
システムのライセンス
Cisco NAC アプライアンス製品のライセンス付与では、Cisco NAC ネットワーク モジュールは、その他の Clean Access Server と同様に扱われます。NAC ネットワーク モジュールをシステムで実行させるには、以下が必要です。
• ISR 内の NAC ネットワーク モジュールを管理する Clean Access Manager アプライアンス(MANAGER)。
• Clean Access Manager のライセンス。
CAM のライセンスは、CAM の eth0 の IP アドレスと、それに対応する
Clean Access Server の数
に基づいています。次のライセンスがあります。Lite Manager(3 台の CAS をサポート)、Standard Manager(20 台の CAS をサポート)、Super Manager(40 台の CAS をサポート)。
• NAC ネットワーク モジュールのライセンス
これは、Clean Access Server のライセンスのタイプです。CAS ライセンスは、サポートされる
同時に使用するユーザの数
に対応しています。NAC ネットワーク モジュールは、最大 100 人の同時に接続するオンラインのユーザをサポートします。
表 2
は、NAC ネットワーク モジュールで利用できるライセンスのタイプを示しています。これらのソフトウェアのライセンスは、スペアの NAC ネットワーク モジュールの注文にも使用できます。
表 2 Cisco NAC ネットワーク モジュール
|
|
|
NACNM-50-K9
|
NAC ネットワーク モジュール サーバ ライセンス:最大 50 ユーザ
|
NACNM-100-K9
|
NAC ネットワーク モジュール サーバ ライセンス:最大 100 ユーザ
|
NACNM-50UL=
|
NAC ネットワーク モジュール サーバ ライセンス:アップグレードに限り 50 ~ 100 ユーザ
|
(注) すべての Cisco NAC 製品のライセンスは、システム内の Clean Access Manager に追加されます。CAM のライセンスは、CAM の Web コンソールへの初回のアクセス時に追加できます。それから、CAM Web コンソールの [Administration] > [Licensing] ページを使用して、NAC ネットワーク モジュールまたは CAS のライセンスを追加します。
ライセンス付与の詳細については、『
Cisco NAC Appliance Service Contract / Licensing Support
』を参照してください。
展開の概要
ここでは、Cisco NAC ネットワーク モジュールの構成の概要をいくつかの設定例と併せて説明します。NAC ネットワーク モジュールを構成する方法がすでに決定している場合は、「Cisco NAC ネットワーク モジュールの設定方法」に進んで、詳細な初期設定を行ってください。
具体的な内容は、次のとおりです。
• 「Cisco NAC ネットワーク モジュール(CAS)の構成モード」
• 「インターフェイスの説明」
• 「レイヤ 2 インバンド バーチャル ゲートウェイの構成例」
• 「レイヤ 2 アウトオブバンド リアル IP ゲートウェイの構成例」
Cisco NAC ネットワーク モジュール(CAS)の構成モード
表 3
は、Cisco NAC ネットワーク モジュールがサポートする Clean Access Server の構成モードを示しています。
表 3 Cisco NAC ネットワーク モジュールがサポートする CAS の構成モード
|
|
|
物理的構成
|
エッジ配置に限る
|
CAS のトラフィック パッシング
|
• バーチャル ゲートウェイ(ブリッジ モード)
• リアル IP ゲートウェイ(経路選択済みモード)
|
クライアント アクセス
|
• レイヤ 2:クライアントは、NAC ネットワークモジュールに隣接(CAS)
• レイヤ 3:クライアントは、NAC ネットワーク モジュールから離れたマルチ ホップ(CAS)
|
トラフィック フロー
|
• インバンド:CAS は、常にトラフィックと直列
• アウトオブバンド:CAS は、ポスチャのアセスメント、復旧時に限りトラフィックと直列
|
物理的構成の観点からは、すべての NAC ネットワーク モジュールは、エッジ配置です。つまり、NAC ネットワーク モジュール(CAS)の各ポート(eth0 と eth1)は、異なるデバイスに接続されているということです。
NAC ネットワーク モジュールの eth1(非信頼)インターフェイスは、マルチ スロットをサポートする 3800 シリーズ サービス統合型ルータ(3845 など)の外部スイッチや EtherSwitch サービス モジュールに接続できます。
インターフェイスの説明
表 4
は、図1と図2に示されている構成例で使用するインターフェイスの用語について説明しています。
例のシナリオでは、EtherSwitch サービス モジュール(MME-ESW)が外部スイッチの代わりに使用されている場合の、サービス統合型ルータ(ISR)3800 シリーズの NAC ネットワーク モジュール(NME-NAC)について説明します。
両方のともの例で、NAC ネットワーク モジュール(Clean Access Server)の eth1(非信頼)インターフェイスが、外部リンクを経由して(内部の「Gigabit Serdes (GigSerdes)」接続の代わりに)EtherSwitch モジュールに接続されています。
表 4 Cisco NAC ネットワーク モジュールのインターフェイスの説明
|
|
|
サービス統合型エンジン 1/0
(int-svr-eng 1/0)
|
サービス統合型ルータを CAS(NAC モジュール)の eth0
信頼
ポートに接続する内部ポート その他のレイヤ 3 ポートと同様に扱われます。
|
ESW 内部ポート
(Gig1/0/2)
|
サービス統合型ルータを EtherSwitch(ESW)の Gig 1/0/2 インターフェイスに接続する内部ポート その他のレイヤ 3 ポートと同様に扱われます。ISR スロットによっては、Gig2/0 または Gig3/0 としてルータに表示されます。
|
Gigabit Serdes
(GigSerdes)
|
(オプション)CLI コマンドを介して、CAS(NAC モジュール)の eth1 非信頼ポートを EtherSwitch(ESW)Gig 1/0/2 ポートと接続するように設定できる内部ポート
connect 1 module Integrated-Service-Engine 1/0 0 module GigabitEthernet2/0 0
定義:
•
Integrated-Service-Engine 1/0 0
は、CAS の eth1 非信頼ポートです
•
GigabitEthernet2/0 0
は、EtherSwitch の Gig 1/0/2 ポートです
• EtherSwitch の Gig 1/0/2 ポートに適用されるポートは、GigSerdes ポートに適用します。
(注) Gigabit Serdes が使用されている場合は、外部ポートを接続してはいけません。
|
ネットワーク ダイアグラム(L2 IB VGW)
図1は、レイヤ 2 インバンド バーチャル ゲートウェイ モードで CAS として構成された Cisco NAC ネットワーク モジュールを示しています。
図1 NME-NAC(CAS)レイヤ 2 インバンド バーチャル ゲートウェイの NME-ESW との構成
キー ポイント
• エッジ配置に VLAN マッピングは必要ありません
• ISR の Int int-svr-eng 1/0 は、すべてのユーザのデフォルト ゲートウェイです
• ISR の Int int-svr-eng 1/0 は、それぞれのデータ VLAN の送信先/元となるサブインターフェイスのあるレイヤ 2 トランクとして設定されています
• スイッチ(NME-ESW)および CAS(NME-NAC)間の、外部リンクまたは(3800 上の)内部 GigSerdes リンクを介したリンクは、VLAN 51、52 のデータを運びます
• NME-ESW と ISR の間の内部 GE リンクには、VLAN 51、52 のトラフィックはありません
• VLAN 15 上の IP Phone のトラフィックは、ISR の Int Gig2/0 に直接送信されます
CAS IP フォーム(L2 IB VGW)
• CAM の Web コンソール:[Device Management]
> [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [IP]
• Clean Access Server のタイプ:バーチャル ゲートウェイ
• 信頼(eth0)インターフェイスと非信頼(eth1)インターフェイスの IP アドレスは、両方とも同じ 10.10.55.2 です。
• 信頼インターフェイスと非信頼インターフェイスのデフォルト ゲートウェイは、両方とも同じ 10.10.55.1 です。
• 信頼インターフェイス(eth0)の管理 VLAN の ID は、(55)に設定する必要があります。
(注) バーチャル ゲートウェイの場合、CAS の管理 VLAN は CAM とは異なる必要があります。管理 VLAN は、CAM から CAS を管理する場合に限り CAM と CAS で設定する必要があります。
CAS Managed Subnet Form(L2 IB VGW)
• CAM の Web コンソール:[Device Management]
> [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [Managed Subnet]
• 各ユーザの VLAN(51、52)に追加された管理対象サブネットがページの下部にあるリストを使って検証されます。
• 管理対象サブネットは、CAS にレイヤ 2 で隣接しているユーザ サブネットだけを対象としています。
• L2 配置のすべての CAS モード(Real-IP、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で管理対象サブネットを設定する必要があります。これにより、CAS は非信頼インターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリを送信できます。
• 各管理対象サブネットの [VLAN ID] フィールドで非信頼インターフェイス(Auth)の VLAN を設定する必要があります。
• 仮想ゲートウェイの場合は、原則として管理対象サブネット フォームにより、IP の割り当がない場合はサブネット上では使用されない CAS に IP が割り当てられます。CAS はゲートウェイではありませんが、ARP クエリを送信するために、特定の VLAN とサブネットのアドレスを持っています。
CAS VLAN Mapping フォーム(VLAN マッピング/VLAN プルーニング無効)
• CAM の Web コンソール:[Device Management]
> [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [VLAN Mapping]
• Cisco ネットワーク モジュールでは、CAS は常にエッジ配置です。
したがって、CAS の eth0 および eth1 インターフェイスが異なるデバイスに接続されているため、VLAN マッピングは不要です。
注意 [Enable VLAN Pruning]
オプションは、CAS の仮想ゲートウェイでは、デフォルトで有効になっています。[VLAN Mapping] が無効のときは、[Enable
VLAN Pruning] がオフになっていることを確認してください。[VLAN Mapping] オプションの無効時に [Enable VLAN Pruning] オプションを有効にすると、CAS により VLAN パケットは、いずれかの方向に通過するときにすべて廃棄されてしまいます。
• CAS がバーチャル ゲートウェイ モードで動作している場合、CAS は VLAN タグを変更しないで、ネットワーク トラフィックを eth0 インターフェイスから eth1 に、および eth1 から eth0 に送信します。VLAN マッピングは、CAS の両方のインターフェイスが同じレイヤ 2 スイッチに接続されている場合のインバンド仮想ゲートウェイに限り必要になります。これにより、CAS の外部トラフィックから異なる VLAN上の CAS への内部トラフィックを受け入れることができます。これは、NAC ネットワーク モジュールでは必要ありません。
サービス統合型ルータの設定(L2 IB VGW)
ISR の設定:レイヤ 2 インバンド バーチャル ゲートウェイ
|
Building configuration...
ip dhcp excluded-address 10.10.15.1
ip dhcp excluded-address 10.10.51.1
ip dhcp excluded-address 10.10.52.1
ip dhcp excluded-address 10.10.53.1
ip dhcp excluded-address 10.10.51.254
ip dhcp excluded-address 10.10.52.254
ip dhcp excluded-address 10.10.53.254
network 10.10.51.0 255.255.255.0
default-router 10.10.51.1
network 10.10.52.0 255.255.255.0
default-router 10.10.52.1
network 10.10.53.0 255.255.255.0
default-router 10.10.53.1
network 10.10.15.0 255.255.255.0
default-router 10.10.15.1
|
interface Integrated-Service-Engine1/0
description “Internal link between ISR & CAS”
ip address 10.10.50.1 255.255.255.0
interface Integrated-Service-Engine1/0.51
ip address 10.10.51.1 255.255.255.0
interface Integrated-Service-Engine1/0.52
ip address 10.10.52.1 255.255.255.0
interface Integrated-Service-Engine1/0.53
ip address 10.10.53.1 255.255.255.0
interface Integrated-Service-Engine1/0.55
ip address 10.10.55.1 255.255.255.0
interface GigabitEthernet2/0
description “Internal link between ISR & NME-ESW switch”
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet2/0.15
ip address 10.10.15.1 255.255.255.0
interface GigabitEthernet2/0.16
ip address 10.10.16.1 255.255.255.0
|
EtherSwitch サービス モジュール(NME-ESW)の設定(L2 IB VGW)
EtherSwitch(NME-ESW)の設定:レイヤ 2 インバンド バーチャル ゲートウェイ
|
interface FastEthernet1/0/1
switchport access vlan 51
interface FastEthernet1/0/2
switchport access vlan 52
interface FastEthernet1/0/3
switchport access vlan 53
interface FastEthernet1/0/16
description EXTERNAL LINK Between NME-ESW switch and CAS
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 51-53
|
interface GigabitEthernet1/0/2
description INTERNAL LINK Between NME-ESW switch and ISR
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 15,16
ip address 10.10.16.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.10.16.1
|
ネットワーク ダイアグラム(L2 OOB RGW)
図2 は、レイヤ 2 アウトオブバンド リアル IP ゲートウェイ モードの CAS で構成されている NAC モジュールを示しています。
図2 NME-NAC(CAS)レイヤ 2 アウトオブバンド リアル IP ゲートウェイの NME-ESW との構成
キー ポイント
• NME-ESW スイッチと CAS の間の、外部リンクまたは(3800 上の)GigSerdes を介したリンクは、Auth VLAN 53 を運びます。
• NME-ESW と ISR の間の GE リンクには、VLAN 53 のトラフィックはありません。
• ユーザ アクセス VLAN とフォン VLAN は、内部リンクを介して ISR の Gig2/0 インターフェイスに送信されます。
CAS IP フォーム(L2 OOB RGW)
• CAM の Web コンソール:[Device Management]
> [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [IP]
• Clean Access Server のタイプ:リアル IP ゲートウェイ
• 信頼(10.10.55.2)インターフェイスと非信頼(10.10.51.1)インターフェイスの IP アドレスは異なります。
• 信頼インターフェイスのデフォルト ゲートウェイ(10.10.55.1)と非信頼インターフェイスのデフォルト ゲートウェイ(10.10.51.1)は異なります。
• 信頼インターフェイスの管理 VLAN ID(55)と非信頼インターフェイスの管理 VLAN ID(51)は異なります。
(注) 管理 VLAN は、CAM から CAS を管理する場合に限り、CAM と CAS で設定する必要があります。
CAS の管理対象サブネット フォーム(L2 OOB RGW)
• CAM の Web コンソール:[Device Management]
> [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [Managed Subnet]
• Authentication VLAN(53)に追加された管理対象サブネットは、ページ下部のリストを使って検証されます。
• 管理対象サブネットは、CAS にレイヤ 2 で隣接しているユーザ サブネットだけを対象としています。
• L2 配置のすべての CAS モード(Real-IP、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で管理対象サブネットを設定する必要があります。これにより、CAS は非信頼インターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリを送信できます。
• 各管理対象サブネットの [VLAN ID] フィールドで非信頼インターフェイス(Auth)の VLAN を設定する必要があります。
• リアル IP ゲートウェイの場合は、CAS が独自の管理対象サブネットのデフォルト ゲートウェイの IP アドレスを持っています。
CAS DHCP フォーム(L2 OOB RGW)
• CAM の Web コンソール:[Device Management]
> [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [DHCP]
• CAS は、DHCP リレーとして設定されます。
CAM - スイッチ プロファイル(L2 OOB RGW)
• CAM Web コンソール:[Switch Management]
> [Profiles] >[Switch] > [New/Edit]
• スイッチ プロファイルが、NME-ESW 用に作成されます。サポートされている NME EtherSwitch サービス モジュールが、3750 スイッチ モデルとして追加されます。詳細については、『
Switch Support for Cisco NAC Appliance
』を参照してください。
CAM - Port Profile(L2 OOB RGW)
• CAM の Web コンソール:[Switch Management]
> [Profiles] >[Port] > [New/Edit]
• 認証 VLAN 53 をアクセス VLAN 11 にマッピングするために、NMEーESW のポート プロファイルが作成されます。
CAM - SNMP Receiver(L2 OOB RGW)
• CAM の Web コンソール:[Switch Management]
> [Profiles] > [SNMP Receiver]
• CAM SNMP レシーバのコミュニティ ストリング(パブリック)が設定されます。
CAM - Port Management(L2 OOB RGW)
• CAM の Web コンソール:[Switch Management]
> [Devices] > [Switches] > [(Manage) Ports [Switch_IP]]
• プロファイル(ISR_NME_switch)がスイッチ ポートに適用され、設定がスイッチ上でアップデートされます。
サービス統合型ルータの設定(L2 OOB RGW)
ISR の設定:レイヤ 2 アウトオブバンド リアル IP ゲートウェイ
|
Building configuration...
ip dhcp excluded-address 10.10.53.1
ip dhcp excluded-address 10.10.53.254
ip dhcp excluded-address 10.10.11.1
ip dhcp excluded-address 10.10.12.1
ip dhcp excluded-address 10.10.15.1
network 10.10.53.0 255.255.255.0
default-router 10.10.53.1
network 10.10.11.0 255.255.255.0
default-router 10.10.11.1
network 10.10.12.0 255.255.255.0
default-router 10.10.12.1
network 10.10.15.0 255.255.255.0
default-router 10.10.15.1
interface Integrated-Service-Engine1/0
description “Internal link between ISR and CAS”
ip address 10.10.50.1 255.255.255.0
interface Integrated-Service-Engine1/0.55
ip address 10.10.55.1 255.255.255.0
|
interface GigabitEthernet2/0
description “Internal link between ISR & NME-ESW switch”
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet2/0.11
ip address 10.10.11.1 255.255.255.0
interface GigabitEthernet2/0.12
ip address 10.10.12.1 255.255.255.0
interface GigabitEthernet2/0.15
ip address 10.10.15.1 255.255.255.0
interface GigabitEthernet2/0.16
ip address 10.10.16.1 255.255.255.0
|
EtherSwitch サービス モジュール(NME-ESW)の設定(L2 OOB RGW)
EtherSwitch(NME-ESW)の設定:レイヤ 2 アウトオブバンド リアル IP ゲートウェイ
|
interface FastEthernet1/0/1
switchport access vlan 12
interface FastEthernet1/0/16
description EXTERNAL LINK Between NME switch and CAS
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 53
interface GigabitEthernet1/0/2
description INTERNAL LINK Between NME switch and ISR
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 11,12,15,16
ip address 10.10.16.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.10.16.1
|
snmp-server community public RO
snmp-server community private RW
snmp-server trap-source Vlan16
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification
snmp-server host 10.10.100.2 public mac-notification
|
Cisco NAC ネットワーク モジュールの設定方法
ここでは、次の内容について説明します。
• 「ハードウェア インターフェイス」
• 「Cisco NAC ネットワーク モジュール構成ワークシート」
• 「ネットワーク モジュール インターフェイスのセットアップ」
• 「セッションの開閉」
• 「Clean Access Server ソフトウェア Configuration Utility」
(注) 以下のいずれかの手順の間に停電、切断が発生した場合、システムは通常、中断を検出し復旧を試みます。失敗した場合は、「Cisco NAC ネットワーク モジュールの再インストール」に従って、boothelper を使用してシステムを再インストールしてください。
ネットワーク モジュールの初期設定は、CLI(ルータのコンソール)を介して行います。したがって、Cisco NAC ネットワーク モジュールは、Clean Access Manager(CAM)の Web コンソールを通して管理する Clean Access Server ということになります。NAC ネットワーク モジュールは、ルータのコンソール、CAM/CAS の Web コンソール、SSH からアクセスできます。
このドキュメントでは、ルータのコンソールから設定する方法を説明します。
CAM/CAS の Web コンソール(GUI)から設定する方法については、以下のガイドを参照してください。マシンで実行しているリリースのバージョンに対応するドキュメントを参照してください。
•
『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』
•
『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』
ハードウェア インターフェイス
ホスト ルータとネットワーク モジュールは、内部接続および外部接続にさまざまなインターフェイスを使用します(図3を参照)。ルータ側では Cisco IOS CLI を使用して、モジュール側ではモジュールのファームウェアの CLI、GUI または SSH を使用して各インターフェイスを設定できます。
図3 ルータとネットワークモジュールのインターフェイス
|
|
|
|
|
|
外部リンクへのルータ インターフェイス(GigabitEthernet
slot
/0)
/0 です。
|
標準のルータの設定
|
ルータの Cisco IOS CLI
|
|
|
モジュールへのルータ インターフェイス(integrated-service-engine
slot
/0)
|
モジュールの IP アドレスとデフォルト ゲートウェイのルータ
|
|
|
Clean Access Server の eth0(信頼)インターフェイス
ルータへのモジュール インターフェイス(GigabitEthernet 0/1)
|
NAC ネットワーク モジュールの設定
|
NAC ネットワーク モジュールの CLI、GUI または SSH インターフェイス
|
|
|
Clean Access Server の eth1(非信頼)インターフェイス
外部リンクへのモジュール インターフェイス(GigabitEthernet 0/0)
|
非信頼インターフェイス(クライアント側のネットワーク)の設定
|
Cisco NAC ネットワーク モジュール構成ワークシート
表 5
にある情報を収集して、最初にサービス統合型ルータ(ISR)内で Cisco NAC ネットワーク モジュールを設定してから NAC ネットワーク モジュール上で実行する Clean Access Server ソフトウェアを設定する必要があります。
表 5 CAS コンフィギュレーション ユーティリティ ワークシート
|
|
|
NAC Clean Access Server 設定値
|
|
service-module ip address
|
module-side-ip-address
|
|
a. eth0 インターフェイス(信頼)の IP アドレス
|
subnet-mask
|
|
b. eth0 インターフェイスのサブネットマスク(IP ネットマスク)
|
|
service-module ip default-gateway
|
gateway-ip-address
|
|
c. eth0 インターフェイスのデフォルト ゲートウェイのIPアドレス
(注) これは、ルータ側のモジュールへのインターフェイスの IP アドレスと同じです。
(注) バーチャル ゲートウェイでは、eth0 と eth1 は同じデフォルト ゲートウェイを持っています。
|
|
service-module external ip address
|
external-ip-address
|
|
d. eth1 インターフェイス(非信頼)の IP アドレス
|
subnet-mask
|
|
e. eth1 インターフェイスのサブネットマスク(IP ネットマスク)
|
n/a
|
|
f. eth1 インターフェイスのデフォルト ゲートウェイのIPアドレス
(注) バーチャル ゲートウェイでは、eth0 と eth1 は同じデフォルト ゲートウェイを持っています。
|
n/a
|
|
g. CAS のホスト名
|
n/a
|
|
h. ネットワークのドメイン ネーム サーバの IP アドレス
|
n/a
|
|
i. 共有秘密キー
|
n/a
|
|
j. 日付、時間、タイムゾーン
|
n/a
|
|
k. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:
- CAS の FQDN または eth0 IP アドレス
- 組織ユニット(Sales など)
- 組織名(Cisco など)
- 組織の場所(San Jose、CA、US など)
(注) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認してください。
|
n/a
|
|
l. Root ユーザのパスワード
|
n/a
|
|
m. Web コンソールのパスワード
|
ネットワーク モジュール インターフェイスのセットアップ
最初の設定タスクは、ホスト ルータと外部リンクへのネットワーク モジュール インターフェイスのセットアップです。これにより、モジュールをインストールして NAC を設定できるようになります。
(注) 最初のステップでは、ホスト ルータの CLI を開いて、ルータのモジュールへのインターフェイスにアクセスします。次のステップで、インターフェイスを設定します。
手順の概要
ホスト ルータの CLI 側
1.
enable
2.
configure terminal
3.
interface integrated-service-engine
slot
/0
4.
ip address
router-side-ip-address subnet-mask
または
ip unnumbered
type number
5.
service-module ip address
module-side-ip-address subnet-mask
6.
service-module external ip address
external-ip-address subnet-mask
7.
service-module ip default-gateway
gateway-ip-address
8.
end
9.
copy running-config startup-config
10.
show running-config
手順の詳細
|
|
|
|
|
|
ステップ 1
|
enable
Router> enable
|
ホスト ルータの特権 EXEC を入力します。パスワードを入力します(要求された場合)。
|
ステップ 2
|
configure
terminal
Router# configure terminal
|
ホスト ルータのグローバル コンフィギュレーション モードを入力します。
|
ステップ 3
|
interface integrated-service-engine
slot
/
0
ISR 2811(one-slot 限定)
Router(config)# interface integrated-service-engine 1/0
ISR 3845(multiple-slot 限定)
Router(config)# interface integrated-service-engine 3/0
|
ネットワーク モジュールが常駐するスロットとポートのインターフェイス コンフィギュレーション モードを入力します。
|
ステップ 4
|
ip address
router-side-ip-address
subnet-mask
または
ip unnumbered
type number
Router(config-if)# ip address 10.30.30.10 255.255.255.0
または
Router(config-if)# ip unnumbered ethernet 0
|
ルータのモジュールへのインターフェイスを指定します(図3の
#2
)。引数は次のとおりです。
•
router-side-ip-address subnet-mask
:インターフェイスの IP アドレスとサブネット マスク
•
type number
:ルータが割り当て済みの IP アドレスを持つ別のシリアル インターフェイスの番号のタイプと番号 番号付けされていない別のインターフェイスは指定できません。ハイ レベル データ リンク(HDLC)、ポイントツーポイント プロトコル(PPP)、平衡型リンクアクセス手順(LAPB)、フレームリレー カプセル化、シリアル ライン インターネット プロトコル(SLIP)を使用しているシリアル インターフェイスおよびトンネル インターフェイスは、アンナンバードでもかまいません。
|
ステップ 5
|
service-module ip address
module-side-ip-address
subnet-mask
Router(config-if)# service-module ip address 10.30.30.9 255.255.255.0
|
モジュール インターフェイスからルータへの IP アドレスを指定します(図3の
#3
)。
引数は次のとおりです。
•
module-side-ip-address
:インターフェイスの IP アドレス
•
subnet-mask
:IP アドレスに追加するサブネット マスクで、ホスト ルータと同じサブネットにあることが必要
|
ステップ 6
|
service-module external ip address
external-ip-address
subnet-
mask
Router(config-if)# service-module external ip address 172.0.0.30 255.255.255.0
|
モジュールの外部 LAN インターフェイスの IP アドレスを指定します(図3の
#4
)。
引数は次のとおりです。
•
external-ip-address
:インターフェイスの IP アドレス
•
subnet-mask
:IP アドレスに追加するサブネット マスク
|
ステップ 7
|
service-module ip default-gateway
gateway-ip-address
Router(config-if)# service-module ip default-gateway 10.30.30.10
|
モジュールのデフォルト ゲートウェイ ルータの IP アドレスを指定します。引数は以下のようになります。
•
gateway-ip-address
:ゲートウェイ ルータの IP アドレス
|
ステップ 8
|
end
Router(config-if)# exit
|
ホスト ルータのグローバル コンフィギュレーション モードに戻ります。
|
ステップ 9
|
copy running-config startup-config
Router# copy running-config startup-config
|
ルータの新規実行コンフィギュレーションを保存します。
|
ステップ 10
|
show running-config
Router# show running-config
|
アドレス設定を検証できるようにルータの実行コンフィギュレーションを表示します。
|
例
以下の
show running-config
コマンドからの出力の一部は、インターフェイスがどのように設定されているかを表しています。
NME-NAC-3845#sh run interface integrated-service-engine 3/0 Building configuration... Current configuration : 197 bytes interface integrated-service-engine3/0 ip address 10.30.30.10 255.255.255.0 service-module ip address 10.30.30.9 255.255.255.0 service-module ip default-gateway 10.30.30.10
セッションの開閉
ネットワーク モジュール上で、セッションの開閉が行えるようになりました。
(注) • 同時に実行できるセッションは、1 つだけです。
• 最初のステップでホスト ルータの CLI を開いて、モジュールにアクセスします。次のステップで、モジュールを設定します。最後のステップでホスト ルータの CLI に戻ります。
手順の概要
ホスト ルータの CLI 側
1.
enable
2.
service-module integrated-service-engine
slot
/0 status
3.
service-module integrated-service-engine
slot
/0 session
Service-Module インターフェイス
側
4. 「Clean Access Server ソフトウェア Configuration Utility」に記載している設定を実行します。
5.
Ctrl+Shift+6
、
x
ホスト ルータの CLI 側
6.
service-module integrated-service-engine
slot
/0
session clear
手順の詳細
|
|
|
|
|
|
ステップ 1
|
enable
Router> enable
|
ホスト ルータの特権 EXEC を入力します。パスワードを入力します(要求された場合)。
|
ステップ 2
|
service-module integrated-service-engine
slot
/0
status
Router# service-module integrated-service-engine 2/0 status
|
モジュールが実行さていること(つまり安定した状態にあること)を確認できるように、指定したモジュールのステータスを表示します。
(注) モジュールが実行されていない場合は、「Cisco NAC ネットワーク モジュールのシャットダウンと起動」に記載の startup コマンドのいずれかで起動してください。
|
ステップ 3
|
service-module integrated-service-engine
slot/
0 session
Router# service-module integrated-service-engine 1/0 session
Trying 10.10.10.1, 2065 ... Open
|
指定したモジュールでセッションを開始します。次のいずれかを実行します。
• auto-boot シーケンスを中断するには、bootloader にアクセスして、すばやく「
***
」とタイプします。この作業を行うのは、マシンを起動できない場合だけにしてください。この場合は、「Cisco NAC ネットワーク モジュールの再インストール」を参照して詳細なステップを確認してください。
• コンフィギュレーション セッションを開始するには、Enter
を押します。
|
|
|
Service-Module インターフェイス
側
|
ステップ 4
|
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
NME-NAC login:
root
|
NAC モジュール上の Clean Access Sever ソフトウェアの初期設定を行う方法については、「Clean Access Server ソフトウェア Configuration Utility」を参照してください。
|
ステップ 5
|
Ctrl+Shift+6
x
を押します。
|
service-module セッションを閉じて、ルータの CLI に戻ります。
を押すことで、ルータの CLI からこのセッションに戻ることができます。
|
|
|
|
ステップ 6
|
service-module integrated-service-engine
slot
/0
session clear
Router# service-module service-engine 1/0 session clear
|
指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、
Enter
キーを押します。
|
Clean Access Server ソフトウェア Configuration Utility
NAC ネットワーク モジュール セッションの初回開始時に、Clean Access Server のクイック設定ユーティリティが表示されます。ここでは、CAS Configuration Utility の使用手順を説明します。
手順の詳細
|
|
|
|
|
|
|
ステップ 1
|
root
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
Welcome to the Cisco Clean Access Server quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions. Please answer them carefully.
Cisco Clean Access Server, (C) 2008 Cisco Systems, Inc.
Configuring the network interfaces:
|
ネットワーク モジュールのプロンプトから
root
ユーザとして Clean Access Server Configuration Utility にログインします。
初回ログイン時は、パスワードを要求されません。
(注) 初回設定の完了後は、以下のいずれかの方法で Configuration Utility を再度設定できます。
– モジュールでコンフィギュレーション セッションを開始し、NAC アプライアンスの CLI コマンド
service perfigo config
を入力する。
– SSH を使用して、モジュールに接続し(CAS eth0 IP アドレス)、
service perfigo config
を入力する
|
ステップ 2
|
module-side-ip-address
Please enter the IP address for the interface eth0 [10.201.2.30]: 10.201.217.203
You entered 10.201.217.203 Is this correct? (y/n)? [y]
|
最初のプロンプトで、CAS の eth0(信頼)インターフェイスの IP アドレスを入力して(CAS ワークシートのフィールド
a
)、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、
n
を入力して Enter キーを押します。
(注) CAS の eth0 の IP アドレスは、管理 IP アドレスと同じです。
|
ステップ 3
|
module-side-ip-address subnet-mask
Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
|
プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド
b
)を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。
|
ステップ 4
|
service-module ip default-gateway
Please enter the IP address for the default gateway [10.201.217.1]: 10.201.217.202
You entered 10.201.217.202 Is this correct? (y/n)? [y]
|
デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド
c
)、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。
|
ステップ 5
|
y-or-n
[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]
|
Vlan ID Passthrough プロンプトで
n
を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーを無効なままにします デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。
y
を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。
(注) 通常、VLAN パススルーは不要です。
|
ステップ 6
|
y-or-n
[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]
|
「Management VLAN Tagging」のプロンプトで
n
を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、
Y
を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。
(注) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。
(注) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。
|
ステップ 7
|
external-ip-address
Please enter the IP address for the untrusted interface eth1 [192.168.110.1]: 10.201.243.49
You entered 10.201.243.49 Is this correct? (y/n)? [y]
|
CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド
d
)、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、
n
を入力して Enter キーを押します。
(注) 仮想ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 をネットワークに接続しないでください。詳細は、CAS のマニュアルを参照してください。
|
ステップ 8
|
external-ip-address-subnet-mask
Please enter the netmask for the interface eth1 [255.255.255.0]: 255.255.255.240
You entered 255.255.255.240, is this correct? (y/n)? [y]
|
eth1 インターフェイスのサブネット マスクを入力するか(フィールド
e
)、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。
|
ステップ 9
|
external-ip-address-default-gateway
Please enter the IP address for the default gateway [10.201.243.1]: 10.201.243.49
You entered 10.201.243.49 Is this correct? (y/n)? [y]
|
eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド
f
)。
a. CAS がリアル IP ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。
b. CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。
|
ステップ 10
|
y-or-n
[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
|
次のプロンプトで、
n
を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。
|
ステップ 11
|
y-or-n
[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
|
Management VLAN Tagging プロンプトで
n
を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします(デフォルト)。
|
ステップ 12
|
clean-access-server-host-name
Please enter the hostname [caserver]: cas-10
You entered cas-10 Is this correct? (y/n)? [y]
|
CAS のホスト名を入力して、確認します(フィールド
g
)。
|
ステップ 13
|
dns-server-ip-address
Please enter the IP address for the name server: [171.68.226.120]:
You entered 171.68.226.120 Is this correct? (y/n)? [y]
|
次のプロンプトでは、ご使用の環境の DNS サーバの IP アドレスを指定するか(フィールド
h
)、またはデフォルト値を受け入れます。
|
ステップ 14
|
nac-shared-secret
The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please remember to configure all Clean Access Devices with the same string.
Only the first 8 characters supplied will be used.
Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco1234
You entered: cisco1234
Is this correct? (y/n)? [y]
|
プロンプトに CAM および CAS の共有秘密キーを入力して、確認します(フィールド
i
)。
注意 同じ構成内の Clean Access Manager とすべての Clean Access Server に、すべて同じ共有秘密キーを設定しなければなりません。共有秘密キーが異なっていると、相互に通信できません。
|
ステップ 15
|
region-number
>>> Configuring date and time:
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
1) Africa
2) Americas
3) Antarctica
4) Arctic Ocean
5) Asia
6) Atlantic Ocean
7) Australia
8) Europe
9) Indian Ocean
10) Pacific Ocean
11) none - I want to specify the time zone using the Posix TZ format.
#? 2
|
次の手順に従って、CAS の時間設定を指定します(フィールド
j
)。
大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら
2
)を入力し、Enter キーを押します。
GST-10
のような Posix TZ フォーマットでタイム ゾーンを入力する場合は、
11
を入力します。
|
ステップ 16
|
country-number
Please select a country.
1) Anguilla 18) Ecuador 35) Paraguay
2) Antigua & Barbuda 19) El Salvador 36) Peru
3) Argentina 20) French Guiana 37) Puerto Rico
4) Aruba 21) Greenland 38) St Kitts & Nevis
5) Bahamas 22) Grenada 39) St Lucia
6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon
7) Belize 24) Guatemala 41) St Vincent
8) Bolivia 25) Guyana 42) Suriname
9) Brazil 26) Haiti 43) Trinidad & Tobago
10) Canada 27) Honduras 44) Turks & Caicos Is
11) Cayman Islands 28) Jamaica 45) United States
12) Chile 29) Martinique 46) Uruguay
13) Colombia 30) Mexico 47) Venezuela
14) Costa Rica 31) Montserrat 48) Virgin Islands (UK)
15) Cuba 32) Netherlands Antilles 49) Virgin Islands (US)
16) Dominica 33) Nicaragua
17) Dominican Republic 34) Panama
#? 45
|
次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら
45
)を選択し、Enter キーを押します。
|
ステップ 17
|
timezone-number
Please select one of the following time zone regions.
1) Eastern Time
2) Eastern Time - Michigan - most locations
3) Eastern Time - Kentucky - Louisville area
4) Eastern Time - Kentucky - Wayne County
5) Eastern Time - Indiana - most locations
6) Eastern Time - Indiana - Crawford County
7) Eastern Time - Indiana - Starke County
8) Eastern Time - Indiana - Switzerland County
9) Central Time
10) Central Time - Indiana - Daviess, Dubois, Knox, Martin, Perry & Pulaski Counties
11) Central Time - Indiana - Pike County
12) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties
13) Central Time - North Dakota - Oliver County
14) Central Time - North Dakota - Morton County (except Mandan area)
15) Mountain Time
16) Mountain Time - south Idaho & east Oregon
17) Mountain Time - Navajo
18) Mountain Standard Time - Arizona
19) Pacific Time
20) Alaska Time
21) Alaska Time - Alaska panhandle
22) Alaska Time - Alaska panhandle neck
23) Alaska Time - west Alaska
24) Aleutian Islands
25) Hawaii
#? 19
|
その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。
リストから該当するタイム ゾーンを選択し(太平洋標準時なら
19
)、Enter キーを押します。
|
ステップ 18
|
confirmation-number
The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
Updating timezone information...
|
1
を入力して設定を確認します。設定を取り消してやり直す場合は、
2
を入力します。
|
ステップ 19
|
y-or-n
または
hh:mm:ss mm/dd/yy
Current date and time hh:mm:ss mm/dd/yy [11:23:33 08/22/08]: 11:26:33 08/22/08
You entered 11:26:33 08/22/08 Is this correct? (y/n)? [y]
|
現在の日時を
hh:mm:ss mm/dd/yy
のフォーマットで入力して、確認します。
(注) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。
|
ステップ 20
|
<certificate fields>
You must generate a valid SSL certificate in order to use the Clean Access Server's secure web console.
Please answer the following questions correctly.
Information for a new SSL certificate:
Enter fully qualified domain name or IP: 10.201.217.203
Enter organization unit name: Test
Enter organization name: Cisco Systems
Enter city name: San Jose
Enter state code: California
Enter 2 letter country code: US
|
プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド
k
を使用)。
a. 組織単位名には、その証明書を管理する組織
内
のグループを入力します(
Perfigo
など)。
b. 組織名には、証明書を受領する組織名または会社名(
Cisco Systems
など)を入力し、Enter キーを押します。
c. その組織の法的所在地となっている市または郡の名前(
San Jose
など)を入力し、Enter キーを押します。
d. その組織の所在地を表す 2 文字の州コード(
California
または
NY
など)を入力し、Enter キーを押します。
• 2 文字の国コード(
US
など)を入力し。
|
ステップ 21
|
y-or-n
You entered the following:
Domain: 10.201.217.203
Organization unit: Test
Organization name: Cisco Systems
City name: San Jose
State code: California
Country code: US
Is this correct? (y/n)? [y]
Generating SSL Certificate...
CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:
CA verifying: /root/.tomcat.crt <-> CA cert
/root/.tomcat.crt: OK
Done
|
値を確認し、Enter キーを押して SSL 証明書を生成するか、
n
を入力して再起動します。
|
ステップ 22
|
y-or-n
Enable Prelogin Banner Support? (y/n)? [n]
|
admin ユーザが CAS にログインする前に、admin ユーザのプリログイン バナーを有効にするかどうかを確認します(リリース 4.5 以降)。
この機能をアプリケーションで有効してから、コマンドライン コンソールにログインして、/root/banner/pre.file を編集すると、管理者はプリログイン バナーのテキストを指定できるようになります。プリログイン バナーのテキストは、admin ユーザが CAM/CAS にログインするときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。詳細については、『
Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5
』のインストールの章を参照してください。
|
ステップ 23
|
root-user-password
For security reasons, it is highly recommended that you change the password for the root user.
** Please enter a valid password for root user as per the requirements below! **
Changing password for user root.
You can now choose the new password.
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
passwd: all authentication tokens updated successfully.
|
インストールした CAS の Linux オペレーティング システム用の
root
ユーザ パスワードを入力します(フィールド
l
)。
root
ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。
リリース 4.5 からは、デフォルトの root ユーザのパスワード(
cisco123
)は削除されています。Cisco NAC アプライアンスは、root ユーザのログインについてだけストロング パスワードをサポートしています。パスワードは、8 文字以上、かつ次の 4 つのカテゴリのそれぞれから 2 文字以上を使用している必要があります:小文字、大文字、数字、特殊文字(!@#$%^&*~ など)。
たとえば、
1o-9=OnE
は有効なパスワードです。しかし
10-9=One
は 2 文字以上使用されていないカテゴリがあるため、要件に適合していません。詳細については、『
Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5
』の「Administer the CAM」の章の「Manage System Passwords」を参照してください。
|
ステップ 24
|
web-console-admin-password
Please enter an appropriately secure password for the web console admin user.
New password for web console admin:
Confirm new password for web console admin:
Web console admin password changed successfully.
|
CAS ダイレクト アクセス Web コンソールの
admin
ユーザ パスワードを入力します(フィールド
m
)。CAS Web コンソールでは、CAS 固有の設定の一部に直接アクセスできます。主な用途は、ハイ アベイラビリティの設定です。
|
ステップ 25
|
reboot
Configuration is complete.
Broadcast message from root (ttyS0) (Fri Aug 22 11:45:36 2008):
The system is going down for reboot NOW!
[root@cas-10 ~]#
|
設定が完了したら、プロンプトが表示されるのを待ってから、
reboot
とタイプして CAS を再起動します。
(注) service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。
これで CAS の初期設定は完了です。
|
ステップ 26
|
From CAS:
ping
cam-ip-address
From CAM (ping CAS eth0 address):
ping 10.201.217.203 ...
|
CAS から CAM に ping して、CAM と CAS が互いに ping(ルート)できることを確認します。
|
|
|
|
ステップ 27
|
https://<CAS IP address>/admin
|
Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスを入力して、CAS の Web コンソールにログインできることを確認します。「」で設定した admin ユーザのパスワードを使用してください。
(注) 必ず「https」と「/admin」を CAS の URL に含めてください。入力されていない場合、エンド ユーザ ポータル ページが表示されます。
|
ステップ 28
|
http://<CAM IP address> /admin
|
Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスをタイプして、CAM のWeb コンソールにアクセスします。
CAM Web コンソール側
• 『
Cisco NAC Appliance Service Contract / Licensing Support
』に従って、[Administration]
> [CCA Manager] > [Licensing] で NAC ネットワーク モジュールのライセンスを追加します。
• 以下にある説明に従って CAS を CAM に追加します。
『
Cisco NAC Appliance Configuration Quick Start Guide
』または、
『
Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide
』(ご使用のリリースに適用可能)
|
|
|
Service-Module インターフェイス
側
|
ステップ 29
|
Ctrl+Shift+6
x
を押します。
|
service-module セッションを閉じて、ルータの CLI に戻ります。
を押すことで、ルータの CLI からこのセッションに戻ることができます。
|
|
|
|
ステップ 30
|
service-module integrated-service-engine
slot
/0
session clear
Router# service-module service-engine 1/0 session clear
|
指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、
Enter
キーを押します。
|
SSL 証明書に関する重要事項
• 一時 SSL 証明書を CAM と CAS の設定中に生成する必要があります。忘れると admin またはエンド ユーザとして NAC アプライアンスにアクセスできなくなってしまいます。
• 使用環境で CAM または CAS を構成する前に、認証局から信頼できる証明書の発行を受けて、一時証明書と置き換えることができます。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインしたときに、セキュリティに関する警告が表示されなくなります。また、CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。
• 証明書要求(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。詳細については、CAM および CAS のマニュアルの「Set System Time」および「Manage SSL Certificates」を参照してください。
Cisco NAC ネットワーク モジュールの運用、保守、トラブルシューティングの方法
ここでは、次の内容について説明します。
• 「Cisco NAC ネットワーク モジュールのシャットダウンと起動」
• 「システムの状態の検証」
• 「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」
• 「Cisco NAC ネットワーク モジュールの再インストール」
(注) • このセクションの表では、ルータとネットワーク モジュールで共通のコマンドだけを記載します。
– 使用可能なすべてのコマンドの一覧を表示するには、プロンプトで
?
と入力します
(例:
Router(config-if)#
?
)。
– すべてのコマンド キーワード オプションの一覧を表示するには、コマンドの最後に
?
と入力します
(例:
Router#
service-module integrated-service-engine ?
)。
• 表では、コンフィギュレーション モード別にコマンドを記載しています。一つのコマンドが複数のモードで利用できる場合は、モードによってコマンドの働きが異なることがあります。
Cisco NAC ネットワーク モジュールのシャットダウンと起動
Cisco NAC ネットワーク モジュールやモジュールが実行中の Clean Access Server アプリケーションをシャットダウンまたは起動したい場合は、下記のルータとネットワーク モジュールで共通のコマンドのリストから該当するコマンドを実行します(表 6)。
(注) • shutdown コマンドには、サービスを中断させる可能性があるものもあります。そのようなコマンドを実行して確認のプロンプトが表示された場合は、Enter キーを押して確認するか、n とタイプしてコマンドをキャンセルして Enter キーを押します。また、no-confirm キーワードを使用してプロンプトが表示されないようにすることもできます。
• コマンドの中には、モジュールやアプリケーションをシャットダウンして、その後すぐに再起動させるものもあります。
表 6 共通のシャットダウン、起動コマンド
|
|
|
|
|
|
service-module integrated-service-engine
slot
/0 reload
|
(
推奨
)ネットワーク モジュールのオペレーティング システムをスムーズにシャットダウンします。各サービスが自身のシャットダウン プロセスを実行できます。シャットダウン後、bootloader からネットワーク モジュールを再起動します。
このコマンドは、ネットワーク モジュールの Linux コンソールから reboot を実行するのとよく似ています。
コマンドを使用する必要はありません。
|
|
|
service-module integrated-service-engines
slot
/0
reset
|
(
非推奨
)ハードウェア リセット ラインを使用してモジュールのハードウェアをリセットします。このコマンドは、シャットダウンや故障状態から復旧するとき以外は使用しないでください。
注意 reset コマンドは、必ず reload コマンドの後に実行してください。
このコマンドは、サービスが自身のシャットダウン プロセスを実行できないので、Linux の筐体のリセット ボタンを押すのとよく似ています。
|
|
|
service-module integrated-service-engine
slot
/0
session
|
指定したサービス エンジンにアクセスして、ネットワーク モジュールの設定セッションを開始します。
|
|
|
service-module integrated-service-engines
slot
/0 shutdown
|
ネットワーク モジュールのオペレーティング システムをスムーズにシャットダウンします。オンラインでの抜き差し(OIR)の最中にホットスワップ可能なモジュールを取り外しするか、または交換したい場合に使用します。
|
|
|
service-module integrated-service-engine
slot
/0
status
|
ネットワーク モジュールのハードウェアとソフトウェアの設定および状態に関する情報を表示します。
|
ServicesEngine boot-loader>
|
boot helper | chainloader
|
boothelper または bootloader を起動します。
|
ServicesEngine boot-loader>
|
reboot
|
設定の変更を保存せずに NAC ネットワーク モジュールをシャットダウンし、それから bootloader を使用して再起動します。
|
システムの状態の検証
インストール、アップグレード、ダウングレードの状態を検証したい場合、または問題を解決したい場合は、下記の表のルータとネットワーク モジュールで共通のコマンドのリストから該当するコマンドを実行します(表 7)。
(注) 複数ある show コマンドのキーワード オプションの中には、画面に診断結果を表示し、それをファイルまたは URL にパイプするものもあります。
表 7 共通の検証、トラブルシューティングのコマンド
|
|
|
|
|
|
ping
|
指定した IP アドレスに ping して、ネットワークの接続をチェックします(目的地のホスト名は使用できません)。
|
|
|
show arp
|
現在のアドレス解決プロトコル(ARP)テーブルを表示します。
|
|
|
show clock
|
現在のデータと時間を表示します。
|
|
|
show configuration
|
configure
コマンドを使用して入力した bootloader の現在の設定を表示します。
|
|
|
show controllers
|
インターフェイスのデバッグ情報を表示します。
|
|
|
show diag
|
NAC についての情報など、標準の Cisco IOS 診断情報を表示します。
|
|
|
show hardware
|
ネットワーク モジュールとホスト ルータのハードウェア情報を表示します。
|
|
|
show hosts
|
デフォルトのドメイン名、ネーム ルックアップのスタイル、name-server のホスト リスト、ホスト名とアドレスのキャッシュされたリストを表示します。
|
|
|
show interfaces
|
ネットワーク、ディスクを含め、すべてのハードウェア インターフェイスの情報を表示します。
|
|
|
show interfaces integrated-service-engine
slot
/0
|
ルータ、モジュールのインターフェイスのうち、モジュール側の情報を表示します。
|
|
|
show ntp status
|
ネットワーク タイム プロトコル(NTP)の情報を表示します。
|
|
|
show processes
|
実行中のアプリケーションのプロセスのリストを表示します。
|
|
|
show running-config
|
有効になっているコンフィギュレーション コマンドを表示します。
|
|
|
show startup-config
|
スタートアップ コンフィギュレーションを表示します。
|
|
|
show tech-support
|
シスコのテクニカル サポートが問題の診断に利用できるホスト ルータの情報を表示します。
|
|
|
show version
|
ルータ、ソフトウェア、ネットワーク モジュールの bootloader のバージョン情報とハードウェア、デバイスについての情報を表示します。
|
ServicesEngine boot-loader>
|
ping
|
指定した IP アドレスに ping して、ネットワークの接続をチェックします(目的地のホスト名は使用できません)。
|
ServicesEngine boot-loader>
|
show config
|
フラッシュ メモリに格納されているスタートアップ コンフィギュレーションを表示します。
|
Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード
Cisco NAC ネットワーク モジュールを、サポートされている最新の Cisco NAC アプライアンスのリリースにアップグレードするには、シングル製品アップグレード ファイル(cca_upgrade-
<version>
.tar.gz)をアップロードして、CAS に適用します。ここでは、以下のアップグレード手順を説明します。
• 「CLI を使用した CAS のアップグレード」
• 「Web コンソールを介した CAS アップグレード」
(注) Clean Access Manager/Server アプライアンスと Cisco NAC Network モジュールすべてで、同じバージョンの Cisco NAC アプライアンス ソフトウェアが実行されている必要があります。
(注) リリース 4.1.2.1 は、すべてのアプライアンスにとって最低限必要なバージョンです。HA と CAS のペアがサポートされている必要があります。最新の互換性についての詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。
(注) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。
(注) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。
詳細については、「Cisco NAC ネットワーク モジュールの制約事項」を参照してください。
CLI を使用した CAS のアップグレード
ここで説明するコマンドラインのアップグレード手順を使用して、NAC ネットワーク モジュールの CAS をアップグレードできます。
(注) Cisco NAC アプライアンスをリリース 4.5 以上にアップグレードする場合は、コマンドラインでしかアップグレードできません。
手順の概要
ホスト ルータの CLI 側
1.
enable
2.
service-module integrated-service-engine
slot
/0 status
3.
service-module integrated-service-engine
slot
/0 session
Service-Module インターフェイス
側
4. 「ステップの詳細(CAS UPGRADE)」に従ってアップグレードを実行します。
5.
Ctrl+Shift+6
、
x
ホスト ルータの CLI 側
6.
service-module integrated-service-engine
slot
/0
session clear
ステップの詳細(CAS UPGRADE)
|
|
|
|
ステップ 1
|
a. Cisco Software Download サイト(
http://www.cisco.com/public/sw-center/index.shtml
)にログインします。CCO 認定証の提供を求められる場合があります。
b. [Security]
> [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動します。
c. 該当するリリースのフォルダ(4.1.2.1 以降)へ移動します。例:「Cisco NAC Appliance Software
<version>
」
d. 該当するバージョンの製品アップグレード ファイル(.tar.gz)を配置します。
•
cca_upgrade-
<version>
.tar.gz
•
nme-nac-upgrade-
<version>
-from-4.6.x.tar.gz(
4.6(1) から 4.8(x) へのアップグレード用)
•
cca_upgrade-
<version>
-from-4.7.x-4.8.x.tar.gz
(4.8 から 4.8(x) へのアップグレード用)
•
nme-nac-upgrade-
<version>
-from-4.8.x.tar.gz
(4.8(x) から 4.9 へのアップグレード用)
e. 製品アップグレード ファイルをダウンロードして、ネットワーク上の NAC にアクセス可能なローカル マシンに保存します。
です。
|
Cisco NAC アプライアンスの製品アップグレード ファイルをダウンロードします。
|
|
|
|
ステップ 2
|
root
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
|
ネットワーク モジュールのプロンプトから Clean Access Server Configuration Utility に
root
ユーザとしてログインし、CAS のコマンド ラインにアクセスします。
|
ステップ 3
|
cat /perfigo/build
[root@cas128 ~]# cat /perfigo/build
VERSION=4.1.2.1
NAME=Clean Access Server
DATE=2007/09/07
|
CAS で現在の Cisco NAC アプライアンス ソフトウェアのバージョンを確認します。
|
ステップ 4
|
アップグレード ファイルを CAS の /store ディレクトリにコピーします。
WinSCP または SSH ファイル転送を使用している場合
a. cca_upgrade-<version>.tar.gz を CAS の /store ディレクトリにコピーします。
PSCP を使用している場合
a. Windows コンピュータでコマンド プロンプトを開きます。
b. cd コマンドで PSCP が格納されているパスへ移動します(例:C:\Documents and Settings\デスクトップ)。
c. 次のコマンドを入力して、ファイルを CAS にコピーします(各 CAS にコピー)。
pscp cca_upgrade-4.5.0-NO-WEB.tar.gz
root@ipaddress_server:/store
|
WinSCP、SSHファイル転送または PSCP を使用して、アップグレード ファイルを /store ディレクトリにコピーします。
|
ステップ 5
|
cd /store
ls
[root@cas128 ~]# cd /store
[root@cas128 store]# ls
cca_upgrade-4.5.0-NO-WEB.tar.gz
|
CAS 側で、/store ディレクトリに移動して、アップグレード ファイルが存在することを確認します。
|
ステップ 6
|
tar zxf cca_upgrade-
<version>
.tar.gz
ls
[root@cas128 store]# tar xzf cca_upgrade-4.5.0-NO-WEB.tar.gz
[root@cas128 store]# ls
cca_upgrade-4.5.0 cca_upgrade-4.5.0-NO-WEB.tar.gz upload
[root@cas128 store]#
|
アップグレード ファイルの中身を抽出します。
|
ステップ 7
|
cd cca_upgrade-
<version>
./UPGRADE.sh
[root@cas128 store]# cd cca_upgrade-4.5.0
[root@cas128 cca_upgrade-4.5.0]# ls
agent-version.sh checksum.txt notes.html version.sh
cam-4.5.x-upgrade.sh checksum.txt.sig RPMS
cas-4.5.x-upgrade.sh dmidecode showstate.sh
cca_upgrade-4.1.6.tar.gz initrd.img UPGRADE.sh
[root@cas128 cca_upgrade-4.5.0]# ./UPGRADE.sh
...stopping CCA Server...
BaseAgent process stopped!
Stopping DHCP...
In Maintenance Mode...
Welcome to the CCA Server migration utility.
...Upgrading to newer rpms of 4.5.0...done.
...Upgrading CCA files... done
Clearing Tomcat cache...checking ssl configuration...done.
[root@cas128 cca_upgrade-4.5.0]#
|
/cca_upgrade-
<version>
ディレクトリに移動して、アップグレード プロセスを実行します。
|
ステップ 8
|
[root@cas128 cca_upgrade-4.5.0]# reboot
[root@cas128 cca_upgrade-4.5.0]# reboot
Broadcast message from root (pts/0) (Tue Oct 21 18:49:00 2008):
The system is going down for reboot NOW!
[root@cas126 cca_upgrade-4.5.0]#
|
アップグレードが完了したら、CAS を再起動します。
|
ステップ 9
|
cat /perfigo/build
[root@cas128 ~]# cat /perfigo/build
NAME=Clean Access Server
DATE=2008/10/20
AUTHOR=rachnar
BUILD_TAG=NAC-4_5_0-RC9
BUILD_INFO=Experimental
BUILT_ON=mercury
REBUILD_COUNT=0
|
CAS の再起動後に、新ビルドを確認します。
|
ステップ 10
|
Ctrl+Shift+6
x
を押します。
|
service-module セッションを閉じて、ルータの CLI に戻ります。
を押すことで、ルータの CLI からこのセッションに戻ることができます。
|
|
|
|
ステップ 11
|
service-module integrated-service-engine
slot
/0
session clear
Router# service-module service-engine 1/0 session clear
|
指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、
Enter
キーを押します。
|
CAS Web アップロード
• リリース 4.1.6 以前のリリースへのアップグレードで、リリース 4.1.6 以前のリリースの CAS の CAS Web Upload を使用してアップグレード ファイルをアップロードする場合は、
/store/upload
にファイルを置きます。Web アップロードされたファイルの末尾
.tar.g
z file の後にランダムに生成された数字のコードが追加されます(例:
cca_upgrade
-
<version
>
.tar
<digit code>
.gz
• リリース 4.5 がすでにインストールされている場合に、4.5 CAS の CAS Web Upload 経由でアップグレード ファイルをアップロードすると、リリース 4.5 以降の
/store
ディレクトリに格納されます。Web アップロードされたファイルも同様に末尾
.tar.g
z file の後にランダムに生成された数字のコードが追加されます(例:
cca_upgrade
-
<version
>
.tar
<digit code>
.gz
• リリース 4.1.x からリリース 4.5 へアップグレードでは、CAS へのアップグレード ファイルの Web アップロードはサポートされていません。
• リリース 4.6(1) からリリース 4.8(x) へのアップグレードでは、Web アップロード ファイルは、次のとおりです。
nme-nac-upgrade-
<version>
-from-4.6.x.tar.gz
• リリース 4.8 からリリース 4.8(x) へのアップグレードでは、Web アップロード ファイルは、次のとおりです。
cca_upgrade-
<version>
-from-4.7.x-4.8.x.tar.gz
• リリース 4.8(x) からリリース 4.9 へのアップロードでは、Web アップロード ファイルは、次のとおりです。
nme-nac-upgrade-
<version>
-from-4.8.x.tar.gz
(注) Cisco NAC アプライアンス リリース 4.5(およびそれ以降のリリース)は、Web アップグレードはサポートしていません。詳細については、『Release Notes for Cisco NAC Appliance, Release 4.5』を参照してください。
(注) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。
(注) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。
Cisco NAC ネットワーク モジュールの再インストール
デフォルトでは、Cisco NAC ネットワーク モジュールは、オンボード フラッシュからオペレーティング システムと Clean Access Server をロードするように、あらかじめ設定されています。普通は、管理者はネットワークモジュールの Clean Access Server の初期設定を行うだけで、その後は、通常の Cisco NAC アプライアンスのアップグレード手順でモジュール上のソフトウェアをアップグレードできます。詳細については、「Cisco NAC アプライアンスの設定と管理」を参照してください。
マシンが故障していたり、起動できない場合は、(「
***
」と入力して)起動プロセスを中断し、システム全体を再イメージ化できます。このプロセスでは、boothelper とイメージファイルを別個に Cisco Secure Software サイトからダウンロードして、boothelper をネットワークからネットワーク モジュールにロードできるように TFTP サーバを設定する必要があります。
この場合、次の 2 つの起動ソフトウェアを使用できます。
• Bootloader:システムの電源投入時に読み込まれるソフトウェアの小セット。通常の動作では、自動的にコンパクト フラッシュからオペレーティング システムをロードし、次にシステムが Clean Access Server をロードして実行します。ディザスタ リカバリの場合は、オプションで bootloader のプロセスを中断し、TFTP サーバを介してネットワークから boothelper ロードするように再設定できます。
• Boothelper:モジュール上で実行されるソフトウェアの小サブセット。モジュールをネットワークから起動し、ディザスタ リカバリやモジュールがソフトウェアにアクセスできないときの動作を補助します。
ここでは、次の内容について説明します。
• 「ネットワーク モジュールの再イメージ化」
• 「Clean Access Server ソフトウェア Configuration Utility」
• 「Cisco NAC ネットワーク モジュールのシャットダウンと起動」
ネットワーク モジュールの再イメージ化
ネットワーク モジュールの再インストールには、boothelper のイメージのインストール、設定、起動が含まれます。次に、boothelper により、Cisco NAC アプライアンス ソフトウェアの NAC ネットワーク モジュールへのインストールが開始されます。また CAS の設定でプロンプトを通して使用する CAS Configuration Utility が起動します。
前提条件
• TFTP サーバの IP アドレスが有効であること。
手順の概要
ホスト ルータの CLI 側
1. 必要なソフトウェアをダウンロードします。
2.
service-module integrated-service-engine
slot
/0 reset
3.
service-module integrated-service-engine
slot
/0 session
,
***
Service-Module インターフェイス
側
4.
config
5.
show config
6.
boot helper
7. boothelper の指示に従って、ソフトウェアをインストールします。
8. Ctrl+Shift+6
x
ホスト ルータの CLI 側
9.
service-module integrated-service-engine
slot
/0
session clear
手順の詳細
|
|
|
ステップ 1
|
a. Cisco Software Download サイト(
http://www.cisco.com/public/sw-center/index.shtml
)にログインします。CCO 認定証の提供を求められる場合があります。
b. [Security]
> [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動します。
c. 該当するリリースのフォルダ(4.1.2.1 以降)へ移動します。例:「Cisco NAC Appliance Software
<version>
」
d. 該当するバージョンの MME、NAC のイメージ ファイルを配置します。
•
nme-nac-helper-
<version>
-K9
•
nme-nac-install-
<version>
-K9.img
e. ファイルを TFTP ファイル サーバに置きます。
|
Cisco NAC ネットワーク モジュールの installation-package ファイル(boothelper のイメージとインストール イメージ)をダウンロードします。
(注) マイナー リリースの中には、NME-NAC イメージが存在しないものもあります。その場合は、存在するうちで一番新しいメジャー バージョンのイメージをインストールし、CAS アップグレード手順に従って、Cisco Network Module をマイナー リリースにアップグレードします。詳細については、「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。
|
|
|
|
ステップ 2
|
enable
Router> enable
|
ホスト ルータの特権 EXEC を入力します。パスワードを入力します(要求された場合)。
|
ステップ 3
|
service-module integrated-service-engine
slot
/0
reset
Router# service-module integrated-service-engine 1/0 reset
|
ダウンロードが完了したら、システムをリセットします。
|
ステップ 4
|
service-module integrated-service-engine
slot/
0 session
***
Router# service-module integrated-service-engine 1/0 session
|
リセットにより自動的に行われない場合は、セッションを開いて「***」とすばやくタイプして auto-boot セッションを中断し、bootloader にアクセスします。
|
|
|
Service-Module インターフェイス
側
|
ステップ 5
|
ServicesEngine boot-loader> config
IP Address [10.201.243.18] >
Subnet mask [255.255.255.240] > 255.255.255.240
TFTP server [10.201.210.15] >
Gateway [10.201.243.17] > 10.201.243.17
Default Helper-file [nme-nac-helper-4.5_0-K9] > nme-nac-helper-4.5_0-K9
Ethernet interface [external|internal] [internal] > internal
External interface media [copper|fiber] [copper] > copper
Debug Statements [enable|disable] [disabled] >
Default Boot [none|disk|compactflash|chainloader] [chainloader] >
Default bootloader [primary|secondary] primary] > primary
Updating flash with bootloader configuration: 1
|
bootloader を boothelper をロードして起動するように設定します。
リストの順番で bootloader のインターフェイスを設定するプロンプトが表示されます。それぞれのプロンプトで、値を入力するか、
Enter
キーを押して、角括弧で囲まれた以前に入力して保存してある値をそのまま適用します。
• IP address:サービス モジュールのアドレス、または NAC ネットワーク モジュールの信頼インターフェイス(eth0)のアドレス
• Subnet mask:NAC ネットワーク モジュールの eth0 ネットマスク
• TFTP server:TFTP ファイル サーバの IP アドレス
• Gateway:ゲートウェイ ルータの IP アドレス(通常 ISR の IP アドレス)。ISR が NAC ネットワーク モジュールと通信するために使用する設定済みの IP アドレスです。
• Default Helper-file:デフォルトの boothelper イメージ ファイル名
nme-nac-helper-<version>-K9
• Ethernet interface: internal or external:NAC ネットワーク モジュールでは internal を選択
• External interface media:NAC ネットワーク モジュールでは
copper
を選択
• Debug Statements:disabled のままにしておく(デフォルト)
• Default Boot:NAC ネットワーク モジュールでは、デフォルトの起動オプションとして
chainloader
を選択
• Default bootloader:ネットワーク モジュールでは、次回の起動で使用するデフォルトの bootloader として
primary
を選択
|
ステップ 6
|
ServicesEngine boot-loader> show config
|
(オプション)bootloader の設定を検証します。
|
ステップ 7
|
ServicesEngine boot-loader> boot helper
|
新しい設定を入力し終えたら、ブート プロンプトで boothelper を起動します。
|
ステップ 8
|
Welcome to the NME-NAC Installer
2 Install compact flash only
Please select install option: 1
Creating partitions with fdisk...
|
boothelper の指示に従います。以下の helper のオプションが表示されます。
1. Install everything
2. Install compact flash only
3. Verify Install
4. Root shell
5. Reboot
1
と入力して、すべてをインストールします。
|
ステップ 9
|
(Virtual Gateway only)
eth0 IP address
subnet mask
default gateway
Please enter the IP address for the interface eth0: 10.201.243.18
You entered 10.201.243.18 Is this correct? (y/n)? [y]
Please enter the netmask for the interface eth0: 255.255.255.240
You entered 255.255.255.240, is this correct? (y/n)? [y]
Please enter the IP address for the default gateway: 10.201.243.17
You entered 10.201.243.17 Is this correct? (y/n)? [y]
Creating partitions with fdisk...
|
以前に設定したバーチャル ゲートウェイにインストールする場合は、追加で eth0 の IP アドレス、ネットマスク、ゲートウェイを入力する必要があります。
|
ステップ 10
|
nme-nac-install-<version>-K9.img
Please enter the Image name: nme-nac-install-4.5_0-K9.img
You entered nme-nac-install-4.5_0-K9.img Is this correct? (y/n)? [y]
|
ハードディスクをパーティションに切って、フォーマットします。完了したら、さらに 2 つの質問を helper から尋ねられます(イメージの名前と TFTP サーバのアドレス)。
イメージの名前(
nme-nac-install-<version>-K9.img
など)を入力して、
Enter
キーを押します。
y
とタイプしてから
Enter
キーを押して、入力した情報が正しいことを確認します。
|
ステップ 11
|
TFTP server IP address
Please enter the IP address for the tftp server: 10.201.210.15
You entered 10.201.210.15 Is this correct? (y/n)? [y]
|
TFTP サーバの IP アドレスを入力します。
y
とタイプしてから
Enter
キーを押して、入力した情報が正しいことを確認します。
helper が、イメージの転送を開始します。イメージファイルはサイズが非常に大きいため、転送には時間がかかる場合があります。イメージの転送が完了したら、helper は、RPM がインストールされたというステータスを表示します。
|
ステップ 12
|
Enter
を押します。
|
リブート プロンプトで
Enter
キーを押して、NAC ネットワーク モジュールを再起動させます。
|
ステップ 13
|
root
Fedora Core release 4 (Stentz)
Kernel 2.6.11-perfigo on an i686
|
次の起動で、ネットワーク モジュールのログイン プロンプトが表示されます。
root
としてログインします。
標準の Clean Access Server Configuration Utility からの質問が表示されます。「Clean Access Server ソフトウェア Configuration Utility」 の指示に従って、CAS の設定を完了させます。
|
ステップ 14
|
reboot
|
Configuration Utility が完了したら、プロンプトから NAC ネットワーク モジュールを再起動させます。
次の再起動で、NAC ネットワーク モジュールのインストールは完了します。
|
ステップ 15
|
Ctrl+Shift+6
x
を押します。
|
Ctrl+Shift+6
x
を押して、セッションを閉じます。
|
|
|
|
ステップ 16
|
service-module integrated-service-engine
slot
/0
session clear
Router# service-module service-engine 1/0 session clear
|
ホスト ルータの CLI 側で、セッションをクリアします。
|
