セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンス ハードウェア インストレー ション リリース 4.1

クイック スタート ガイド
発行日;2012/01/21 | 英語版ドキュメント(2010/02/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.1

Cisco NAC アプライアンスについて

このマニュアルについて

インストレーションの準備

パッケージ内容の確認

フェールオーバー バンドル

必要な機器

ラックマウント

Cisco NAC アプライアンスのライセンス

Cisco NAC アプライアンス ソフトウェアのアップグレード

Cisco NAC アプライアンス ソフトウェアのダウンロード

ファームウェアのアップグレード

追加情報

Cisco NAC アプライアンス ハードウェアの概要

Cisco NAC-3310 前面および背面パネル

Cisco NAC-3350 前面および背面パネル

Cisco NAC-3390 前面および背面パネル

コンフィギュレーション ワークシート

CAM のコンフィギュレーション ワークシート

CAS のコンフィギュレーション ワークシート

CAS モードと IP アドレッシングの注意事項

Cisco NAC アプライアンスの接続

Cisco NAC アプライアンスのシリアル接続

CD からの Cisco NAC アプライアンスへのソフトウェアのインストール

CD-ROM からの CAM ソフトウェアのインストール

CD-ROM からの CAS ソフトウェアのインストール

コンフィギュレーション ユーティリティの実行

CAM コンフィギュレーション ユーティリティ スクリプトの実行

CAS コンフィギュレーション ユーティリティ スクリプトの実行

SSL 証明書に関する重要事項

コンフィギュレーション ユーティリティの手動での再起動

NAC アプライアンスの電源切断

CAM Web コンソールへのアクセス

CAM ライセンスのインストール

ライセンスの追加

CLI コマンドの使用方法

追加 NIC カードの設定

追加 NIC の設定手順

マニュアルの入手方法およびテクニカル サポート

クイック スタート ガイド

Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.1

78-18226-03 B0-J

 

Cisco NAC アプライアンスについて

Cisco® NAC アプライアンス(従来の Cisco Clean Access)は、ユーザがネットワークにアクセスする前に、ネットワーク管理者が有線、無線、およびリモート ユーザとマシンを認証、許可、評価、および修復できる Network Admission Control(NAC)製品です。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)の Web コンソールから管理し、Clean Access Server(CAS)を介して実行し、Clean Access Agent クライアント ソフトウェアからクライアントに適用される統合ネットワーク ソリューションです。Cisco NAC アプライアンス ソリューションは、お客様のネットワークのニーズを満たす最適な設定で導入できます。

Cisco NAC アプライアンスは Linux ベースのネットワーク ハードウェア アプライアンスで、CAM (MANAGER) または CAS (SERVER) のどちらかのアプリケーション、オペレーティング システム、および関連するすべてのコンポーネントと一緒に専用サーバ マシンに事前にインストールされています。オペレーティング システムは Fedora コア ベースの強固な Linux カーネルで構成されています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンにその他のパッケージやアプリケーションをインストールできません。

このマニュアルについて

Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.1 クイック スタート ガイド では、Cisco NAC アプライアンスの基本的なハードウェアの仕様およびインストレーション方法について説明します。また、コンフィギュレーション ユーティリティを使用して CAM および CAS を初期設定し、CAM Web コンソールにアクセスし、製品ライセンスをインストールする方法について説明します。CAM および CAS の初期設定が終了すると、CAM Web コンソールにアクセスし、使用環境に必要な残りの設定を続けることができます(『 Cisco NAC Appliance Configuration Quick Start Guide Release 4.1 』を参照)。

設定に関する包括的な情報については、最新の『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。いずれのマニュアルも、Cisco.com の http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html からリリース別に入手できます。オンライン マニュアルを使用する場合は、ご使用の Cisco NAC アプライアンスで稼動するソフトウェア バージョン(リリース 4.1(3) など)に対応するマニュアルを参照してください。


) このクイック スタート ガイドでは、Cisco NAC ネットワーク モジュール(NME-NAC-K9)については説明しません。Cisco NAC ネットワーク モジュールのインストレーションおよび設定については、『Getting Started with NAC Network Modules in Cisco Access Routers』を参照してください。


インストレーションの準備

パッケージ内容の確認

図 1に示すパッケージの内容を確認して、Cisco NAC アプライアンスの設置に必要な付属品がすべて納入されているか確認してください。装置を再梱包する場合に備えて、梱包材を保管しておきます。付属品が不足していたり、損傷したりしている場合は、購入された代理店に連絡してください。Cisco NAC アプライアンスの一部のモデルには、図に示されていない追加部品が付属していることがあります。

図 1 梱包内容

 


) Cisco NAC-3300 シリーズ アプライアンスには製品ソフトウェアが事前にロードされているので、梱包内容に Cisco Clean Access(CCA)ソフトウェア インストレーション CD は含まれません。詳細については、「Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。


フェールオーバー バンドル

フェールオーバー バンドルを注文した場合は、物理 Cisco NAC アプライアンスが 2 つ納入されます。各マシンを、このマニュアルで説明するとおりに初期設定する必要があります。初期設定が完了したら、CAM または CAS Web コンソールを使用してハイ アベイラビリティ(HA)を設定し、アプライアンスを物理的に接続して HA ペアを作成します。CAM による HA の詳細な設定方法については、最新の『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』の「Configuring High Availability (HA)」の章を、CAS による HA の詳細な設定方法については『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』の「Configuring High Availability (HA)」の章を参照してください。


) HA のために、シリアル ケーブルを使用した構成オプションで NAC-3300 シリーズ アプライアンスを接続する場合、シリアル ポートに対する BIOS のリダイレクションを必ず無効にしてください。詳細については『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』の「Disable BIOS Redirection for Serial HA (Failover) Connections」を参照してください。


必要な機器

Cisco NAC アプライアンスのコンフィギュレーション ユーティリティを実行するには、ワークステーション(PC またはラップトップ)およびキーボード、モニタ、マウスが必要です。初期設定が完了したら、RJ-45 コネクタを備えた標準(ストレート)イーサネット カテゴリ 5 ネットワーク ケーブルで、Cisco NAC アプライアンスのインターフェイスとネットワーク(CAM の場合は eth0、CAS の場合は eth0 および eth1)を接続する必要があります。HA ペア アプライアンスを相互に接続するには、RJ-45 イーサネット クロスオーバー ケーブルが必要です。「Cisco NAC アプライアンス ハードウェアの概要」に、各モデルのインターフェイスの詳細を示します。

ラックマウント

Cisco NAC アプライアンスは、ラック ユニットを 1 つ(1 U)占有します。ラックマウント キットは、同梱されています。ラックマウントの詳細および手順については、付属の『 1U Rack Hardware Installation Instructions for HP Products 』を参照してください。

Cisco NAC アプライアンスのライセンス

ご使用の Cisco NAC アプライアンス システムを機能させるには、CAM ライセンスと CAS ライセンスが少なくとも 1 つずつ必要です。いずれのライセンスも、CAM 管理 Web コンソールからインストールします。

システムに対応した新しいライセンスを 取得する 方法については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。

初期設定が完了したあとに、システムに対応したライセンスを インストールする 方法については、「CAM ライセンスのインストール」および「ライセンスの追加」を参照してください。

Cisco NAC アプライアンス ソフトウェアのアップグレード

NAC-3300 シリーズ アプライアンスには、Cisco NAC アプライアンス ソフトウェアのデフォルト バージョンが事前にロードされています。サポート対象の最新バージョンのシステム ソフトウェアを実行して、最新の製品拡張機能および修正を導入することを推奨します。


) Cisco NAC-3300 シリーズ アプライアンスでサポートされる最低限のソフトウェア バージョンは、リリース 4.0(5) 4.1(1)、4.1.2.1、および 4.1(3) です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するバージョンのリリース ノートを参照してください。


サポート対象の最新バージョンのソフトウェアを実行するには、アプライアンスをアップグレードするか、最新の Cisco NAC アプライアンス ソフトウェアを新規で CD からインストールします。

アプライアンスをアップグレードするには、標準の製品アップグレード ファイル( cca_upgrade- <バージョン>.tar.gz など)を使用します。マシンが CAS であるか、または Lite/Standard/Super CAM であるかがアップグレード メカニズムによって自動判別され、それに従って実行されます。アップグレードの手順については、 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するリリース ノートの「Upgrading」の項目を参照してください。

CAS または Lite/Standard/Super CAM で CD インストールする場合は、標準の製品 ISO ファイル( cca-<バージョン>-K9.iso など)を使用できます。NAC-3390 Super CAM をインストールする場合は、Super CAM ISO ファイル(s upercam-cca-<バージョン>-K9.iso など)を使用する必要があります。詳細については、「CD からの Cisco NAC アプライアンスへのソフトウェアのインストール」を参照してください。


NAC-3310 の場合のみ(CAM または CAS)、CD インストールを実行するときに、「boot:」プロンプトでインストール ディレクティブを入力する必要があります。インストール ディレクティブは、DL140 (アプライアンスに直接接続されている場合)または serial_DL140(アプライアンスにシリアル接続されている場合)です。


Cisco NAC アプライアンス ソフトウェアのダウンロード

Cisco NAC アプライアンスの最新アップグレードおよび ISO ファイルには、次の方法でアクセスできます。


注意 Cisco NAC アプライアンス ソフトウェアをダウンロードまたはインストールする前に、必ず http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にあるそのバージョンのリリース ノートを参照し、拡張機能、警告、アップグレードによる既存の構成に対する影響を理解しておいてください。


ステップ 1 Cisco ID でログインして、Cisco NAC アプライアンスの Software Download サイトにアクセスします。

a. Software Download サイト http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766 に直接移動します。

b. Cisco NAC アプライアンス サポート ページ http://www.cisco.com/en/US/partner/products/ps6128/tsd_products_support_series_home.html にアクセスし、「Software Download」リンクをクリックします。

ステップ 2 最新の適切なソフトウェア リリースへのリンクをクリックします(Cisco NAC Appliance Software Version 4.1.x など)。

ステップ 3 「Release」カラムを参照して、最新バージョンの製品ファイル(4.1.x.y など)を探し、ファイル名のリンクをクリックします。プロンプトに従って、ファイルをローカル コンピュータにダウンロードします。Cisco NAC アプライアンス 製品ファイルでは次のファイル命名規則が使用されています。

cca-4.1_x_y-K9.iso :CAM および CAS の製品 ISO

supercam-cca-4.1_x_y-K9.iso :Super Manager(Super CAM)の ISO

cca_upgrade-4.1.x.y.tar.gz :製品アップグレードのアーカイブ


) 「CCAAgent」のプレフィックスが付いたファイルは、Cisco Clean Access Agent 専用です。
「nme-nac」のプレフィックスが付いたファイルは、Cisco NAC ネットワーク モジュール専用です(詳細については『Getting Started with NAC Network Modules in Cisco Access Routers』を参照してください)。



 

ファームウェアのアップグレード

Cisco NAC-3300 シリーズ アプライアンスを使用するには、ベースとなるサーバ モデルに必須のシステム BIOS/ファームウェア アップグレードをすべて適用する必要があります。

Cisco NAC-3310 は、HP ProLiant DL140 G3 に基づいており、ファームウェアのアップグレードが必要になる場合があります。

詳細については『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「 DL140 G3 Required BIOS/Firmware Upgrades 」を参照してください。

追加情報

Cisco NAC アプライアンスの詳細については、 http://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html を参照してください。オンライン マニュアルを使用する場合は、ご使用の Cisco NAC アプライアンスで稼動するソフトウェア バージョン(リリース 4.1(3) など)に対応するマニュアルを参照してください。

Cisco NAC Appliance Data Sheet

Cisco NAC Appliance Service Contract/Licensing Support

Supported Hardware and System Requirements for Cisco NAC Appliance

Release Notes for Cisco NAC Appliance (Cisco Clean Access) 』(「Upgrading」の項を含む)

Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1

Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide

Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide

Getting Started with Cisco NAC Network Modules in Cisco Access Routers

このクイック スタート ガイドの最新のオンライン アップデートについては、 http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html を参照してください。

テクニカル サポートの詳細については、「マニュアルの入手方法およびテクニカル サポート」を参照してください。

Cisco NAC アプライアンス ハードウェアの概要

表 1に、各 Cisco NAC アプライアンスのハードウェア仕様をまとめます。「図」カラムには、NIC(ネットワーク インターフェイス カード)ポート、電源装置ソケット、LED、およびボタンを示す詳細な図の参照先が記載されています。

 

表 1 Cisco NAC アプライアンス ハードウェアの概要

Cisco NAC アプライアンス
製品
ハードウェア仕様

NAC-3310 1 2

MANAGER

最大 3 つのスタンドアロンまたは HA ペア CAS をサポートしている Lite Manager

シングル プロセッサ :Xeon 2.33 GHz デュアル コア
1 GB RAM
80 GB NHP SATA HDD
10/100/1000 LAN ポート× 4 (Broadcom 5721 内蔵 NIC × 2、Intel e1000 PCI-X NIC [HP #NC360T] × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 2 つ、背面に 2 つ)


) NAC-3310 は HP ProLiant DL140 G3 に基づいています。


「Cisco NAC-3310 の前面パネル」

「Cisco NAC-3310 の前面パネルの LED/ボタン」

「Cisco NAC-3310 の背面パネル」

「Cisco NAC-3310 の背面パネル LED」

SERVER

100、250、または 500 ユーザをサポートしている CAS

NAC-3350 3

MANAGER

最大 20 のスタンドアロンまたは HA ペア CAS をサポートしている Standard Manager

シングル プロセッサ :Xeon 3.0 GHz デュアル コア
デュアル電源装置
2 GB RAM
72 GB SFF SAS RAID HDD × 2
Smart Array E200i コントローラ
10/100/1000 LAN ポート× 4 (Broadcom 5708 内蔵 NIC × 2、Intel e1000 PCI-X NIC [HP #NC360T] × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 1 つ、内部に 1 つ、背面に 2 つ)
Cavium CN1120-NHB-E SSL アクセラレータ カード


) NAC-3350 は HP ProLiant DL360 G5 に基づいています。


「Cisco NAC-3350 の前面パネル」

Cisco NAC-3350 の前面パネルの LED/ボタン

「Cisco NAC-3350 の背面パネル」

Cisco NAC-3350 の背面パネル LED

SERVER

1500、2500、または 3500 ユーザをサポートしている CAS

NAC-3390 3

MANAGER

最大 40 のスタンドアロンまたは HA ペア CAS をサポートしている Super Manager

デュアル プロセッサ :Xeon 3.0 GHz デュアル コア
デュアル電源装置
4 GB RAM
72 GB SFF SAS RAID HDD × 4
Smart Array E200i コントローラ
10/100/1000 LAN ポート× 4 (Broadcom 5708 内蔵 NIC × 2、Intel e1000 PCI-X NIC [HP #NC360T] × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 1 つ、内部に 1 つ、背面に 2 つ)
Cavium CN1120-NHB-E SSL アクセラレータ カード


) NAC-3390 は HP ProLiant DL360 G5 に基づいています。


「Cisco NAC-3390 の前面パネル」

Cisco NAC-3390 の前面パネルの LED/ボタン

「Cisco NAC-3390 の背面パネル」

Cisco NAC-3390 の背面パネルの LED/ボタン

1.NAC-3310 では、HP ProLiant DL140 G3 のファームウェア/BIOS アップグレードが必要になる場合があります。「ファームウェアのアップグレード」を参照してください。

2.NAC-3310 は iLO(Lights Out 100i Remote Management)をサポートします。デフォルトの iLO「Administrator」アカウントには、デフォルトのユーザ名/パスワード(admin/admin)が設定されています。デフォルトを変更するには、BIOS 設定を使用します。

3.NAC-3350 および NAC-3390 は iLO2(Integrated Lights Out、バージョン 2)をサポートします。admin アカウントの詳細については、パネルのタグを参照してください。

Cisco NAC-3310 前面および背面パネル

Cisco NAC-3310 アプライアンスは Clean Access Lite Manager(Lite CAM)および CAS(ユーザ数 100/250/500)を配置するための推奨プラットフォームです。NAC-3310 CAM Lite は最大 3 つの CAS または 3 つの HA-CAS ペアを管理できます。NAC-3310 CAS は 100、250、または 500 のユーザをサポートできます。

Cisco NAC-3310 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図 2 Cisco NAC-3310 の前面パネル

 

 

1

HDD(ハード ディスク ドライブ)ベイ

6

HDD アクティビティ LED インジケータ(グリーン)

2

CD-ROM/DVD ドライブ

7

電源ボタンおよび LED インジケータ(2 色:グリーン/オレンジ)

3

UID(ユニット ID)ボタンおよび埋め込みの LED インジケータ(ブルー)

8

前面ベゼルの取り付けネジ

4

システム ヘルス LED インジケータ(オレンジ)

9

前面 USB ポート

5

NIC 1(eth0)および NIC2(eth1)のアクティビティ/リンク ステータス LED インジケータ(グリーン)

図 3 Cisco NAC-3310 の前面パネルの LED/ボタン

 

 

1

UID LED(埋め込み)

ブルー = UID ボタンが押されました。

2

システム ヘルス LED

消灯 = システム ヘルスは正常です。
オレンジ = 障害予測システムのしきい値を超えました。次のいずれかが原因です。

少なくとも 1 つのファンの障害(システム ファンまたはプロセッサ ファン)

少なくとも 1 つの温度センサー(システムまたはプロセッサ温度センサー)が危険なレベルに達している

少なくとも 1 つのメモリ モジュールの障害

電源装置ユニットのエラー発生

3

NIC 1(eth0)および NIC 2(eth1)のアクティビティ/リンク ステータス LED

グリーンに点灯 = アクティブなネットワーク リンクが存在します。
グリーンに点滅 = 稼動中のネットワーク アクティビティが存在します。
消灯 = サーバがオフラインです。

4

HDD アクティビティ LED

グリーンに点滅 = 稼動中のドライブ アクティビティが存在します。
消灯 = ドライブ アクティビティが存在しません。

5

電源装置ステータス LED(埋め込み)

グリーン = サーバの AC 電源が投入されています。
オレンジ = サーバの AC 電源がスタンバイ モードになっています。
消灯 = サーバの電源が入っていません(AC 電源が接続されていません)。

図 4 Cisco NAC-3310 の背面パネル

 

 

1

通気孔

9

UID ボタンおよび埋め込みの LED インジケータ(ブルー)

2

上面カバーの取り付けネジ

10

背面 USB ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付けネジ

11

ビデオ ポート(ブルー)

4

NIC 3(eth2)および NIC 4(eth3)PCI Express GbE LAN(RJ-45)ポート(Intel)

12

シリアル ポート

5
13

PS/2 キーボード ポート(パープル)

6

標準サイズの PCI Express x16/PCI-X ライザー ボード スロット カバー

14

PS/2 マウス ポート(グリーン)

7

電源コード ソケット

15

IPMI 管理用 10/100 Mbps iLO LAN ポート(RJ-45)

8

NIC 1(eth0)および NIC 2(eth1)内蔵 GbE LAN(RJ-45)ポート(Broadcom)

図 5 Cisco NAC-3310 の背面パネル LED

 

 

1

NIC 1(eth0)および NIC 2(eth1)の NIC アクティビティ/リンク ステータス LED

グリーンに点灯 = アクティブなネットワーク リンクが存在します。
グリーンに点滅 = 稼動中のネットワーク アクティビティが存在します。
消灯 = サーバがオフラインです。

2

NIC ネットワーク速度 LED

オレンジに点灯 = LAN 接続に GbE リンクを使用しています。
グリーンに点灯 = LAN 接続に 100 Mbps リンクを使用しています。
消灯 = LAN 接続に 10 Mbps リンクを使用しています。

3

UID LED(埋め込み)

ブルー = UID ボタンが押されました。

4

10/100 Mbps LAN ポートのリンク ステータス LED

グリーン = ネットワーク リンクが存在します。
消灯 = ネットワーク リンクが存在しません。

5

10/100 Mbps LAN ポートのアクティビティ ステータス

グリーンに点滅 = ネットワーク アクティビティが存在します。
消灯 = ネットワーク アクティビティが存在しません。

Cisco NAC-3350 前面および背面パネル

Cisco NAC-3350 アプライアンスは、企業全体に対応する Clean Access Standard Manager(Standard CAM)および CAS(1500/2500/3500 ユーザ数)の展開における拡張機能を提供します。NAC-3350 Standard CAM は最大 20 の CAS または 20 の HA-CAS ペアを管理できます。NAC-3350 CAS は 1500、2500 または 3500 のユーザをサポートできます。

Cisco NAC-3310 と同様に、Cisco NAC-3350 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。Cisco NAC-3350 にはさらに、2 GB の RAM、RAID 0 および RAID 1 に設定された 2 つの SAS ドライブ、SSL アクセラレータ、およびデュアル電源装置が装備されています。これにより、大規模なネットワーク配置がサポートされ、ネットワーク コアの中央に配置した CAM/CAS の信頼性が向上します。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図 6 Cisco NAC-3350 の前面パネル

 

 

1

ハード ドライブ ベイ 1

4

ビデオ コネクタ

2

ハード ドライブ ベイ 2

5

HP システム識別ディスプレイ

3

CD-ROM/DVD ドライブ

6

USB コネクタ

図 7 Cisco NAC-3350 の前面パネルの LED/ボタン

 

 

1

電源投入/スタンドバイ ボタンおよびシステム電源 LED

グリーン = システム電源がオンです。
オレンジ = システムがシャットダウンしているが、電力は供給されていません。
消灯 = 電源コードが接続されていないか、電源装置が故障しているか、電源装置が搭載されていないか、設備電力を使用できないか、または電源ボタン ケーブルが切断されています。

2

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが低下しています (低下状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
レッド = システム ヘルスがクリティカル状態です (クリティカル状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
消灯 = スタンバイ モードの場合に、システム ヘルスが正常です。

4

外部ヘルス LED(電源装置)

グリーン = 電源装置ヘルスが正常です。
オレンジ = 電力冗長性に障害が発生しました。
消灯 = スタンバイ モードの場合に、電源装置ヘルスが正常です。

5

NIC 1(eth0)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(図 9)。

6

NIC 2(eth1)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(図 9)。

図 8 Cisco NAC-3350 の背面パネル

 

 

1

NIC 3(eth2)PCI-X ポート(Intel)

8

キーボード コネクタ(パープル)

2

NIC 4(eth3)PCI-X ポート(Intel)

9

マウス コネクタ(グリーン)

3

PCI Express 拡張スロット 2

10

ビデオ コネクタ(ブルー)

4

電源装置ベイ 1

11

シリアル コネクタ

5

電源装置ベイ 2

12

USB コネクタ

6

内蔵 NIC 2(eth1)ポート(Broadcom)

13

USB コネクタ

7

内蔵 NIC 1(eth0)ポート(Broadcom)

14

iLO 2 NIC コネクタ(RJ-45)

図 9 Cisco NAC-3350 の背面パネル LED

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 3(Intel)アクティビティ LED

グリーンに点灯 = ハイ アクティビティ
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合、リンクは切断されています)。

4

10/100/1000 NIC 3(Intel)リンク LED

オレンジ = 1000 Mbps
グリーン = 100 Mbps
消灯 = 10 Mbps(アクティビティ LED が消灯している場合、リンクは切断されています)。

5

10/100/1000 NIC 4(Intel)アクティビティ LED

グリーンに点灯 = ハイ アクティビティ
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合、リンクは切断されています)。

6

10/100/1000 NIC 4(Intel)リンク LED

オレンジ = 1000 Mbps
グリーン = 100 Mbps
消灯 = 10 Mbps(アクティビティ LED が消灯している場合、リンクは切断されています)。

7

10/100/1000 NIC 1(Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

8

10/100/1000 NIC 1(Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

9

10/100/1000 NIC 2(Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

10

10/100/1000 NIC 2(Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

11

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

12

電源装置 1 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

13

電源装置 2 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

Cisco NAC-3390 前面および背面パネル

Cisco NAC-3390 アプライアンス プラットフォームでは、企業全体に対応する Clean Access Super Manager(Super CAM)を配置して、最大 40 の CAS または 40 の HA-CAS ペアをサポートできるように、処理、メモリ、および電力が拡張されています。Cisco NAC-3390 にはデュアル プロセッサ、デュアル電源装置、4 GB の RAM、4 台のハード ディスク ドライブ、2 つの内蔵 NIC、および 1 つの SSL アクセラレータが装備されています。詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。


) Super CAM ソフトウェアがサポートされるのは、Cisco NAC-3390 アプライアンス プラットフォームのみです。


図 10 Cisco NAC-3390 の前面パネル

 

 

1

ハード ドライブ ベイ 1

5

CD-ROM/DVD ドライブ

2

ハード ドライブ ベイ 2

6

ビデオ コネクタ

3

ハード ドライブ ベイ 3

7

HP システム識別ディスプレイ

4

ハード ドライブ ベイ 4

8

USB コネクタ

図 11 Cisco NAC-3390 の前面パネルの LED/ボタン

 

 

1

電源投入/スタンドバイ ボタンおよびシステム電源 LED

グリーン = システム電源がオンです。
オレンジ = システムがシャットダウンしているが、電力は供給されていません。
消灯 = 電源コードが接続されていないか、電源装置が故障しているか、電源装置が搭載されていないか、設備電力を使用できないか、または電源ボタン ケーブルが切断されています。

2

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが低下しています (低下状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
レッド = システム ヘルスがクリティカル状態です (クリティカル状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
消灯 = スタンバイ モードの場合に、システム ヘルスが正常です。

4

外部ヘルス LED(電源装置)

グリーン = 電源装置ヘルスが正常です。
オレンジ = 電力冗長性に障害が発生しました。
消灯 = スタンバイ モードの場合に、電源装置ヘルスが正常です。

5

NIC 1 リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(図 13)。

6

NIC 2 リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(図 13)。

図 12 Cisco NAC-3390 の背面パネル

 

 

1

PCI Express 拡張スロット 1、ロープロファイル、ハーフ長

8

マウス コネクタ(グリーン)

2

Cavium SSL アクセラレータ カード(PCI Express 拡張スロット 2)

9

ビデオ コネクタ(ブルー)

3

電源装置ベイ 1

10

シリアル コネクタ

4

電源装置ベイ 2

11

USB コネクタ

5

内蔵 NIC 2(eth1)ポート(Broadcom)

12

USB コネクタ

6

内蔵 NIC 1(eth0)ポート(Broadcom)

13

iLO 2 NIC コネクタ(RJ-45)

7

キーボード コネクタ(パープル)

図 13 Cisco NAC-3390 の背面パネルの LED/ボタン

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 1 アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

4

10/100/1000 NIC 1 リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

5

10/100/1000 NIC 2 アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

6

10/100/1000 NIC 2 リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

7

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

8

電源装置 1 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

9

電源装置 2 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

コンフィギュレーション ワークシート

NAC アプライアンスの初期設定を実行するには、次の情報が必要です。

CAM のコンフィギュレーション ワークシート

CAS のコンフィギュレーション ワークシート

CAS モードと IP アドレッシングの注意事項


) NAC アプライアンスをハイ アベイラビリティ(HA)用に設定する場合は、まず各アプライアンスで初期インストールを実行してから、CAM または CAS の Web コンソールで HA を設定する必要があります。Web コンフィギュレーションを使用して、HA ペアに仮想サービス IP を作成する必要があります。


CAM のコンフィギュレーション ワークシート

 

表 2 CAM コンフィギュレーション ユーティリティ ワークシート

CAM NAC アプライアンスの場合

a. eth0(信頼)インターフェイスの IP アドレス 4

b. eth0 インターフェイスのサブネット マスク(IP ネットマスク):

c. eth0 インターフェイスのデフォルト ゲートウェイ IP アドレス:

d. CAM のホスト名:

e. ネットワークの DNS の IP アドレス:

f. 共有秘密鍵:
CAM とすべての CAS で同じにする必要があります。

g. 日付、時刻、タイムゾーン:

h. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

CAM の FQDN または IP アドレス:
組織ユニット(Sales など)
組織名(Cisco など)
組織の場所(San Jose、CA、US など)


) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。


i. root ユーザのパスワード: 5

4.ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。

5.デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。

CAS のコンフィギュレーション ワークシート

 

表 3 CAS コンフィギュレーション ユーティリティ ワークシート

CAS NAC アプライアンスの場合

a. eth0(信頼)インターフェイスの IP アドレス 6

b. eth0 インターフェイスのサブネット マスク(IP ネットマスク):

c. eth0 インターフェイスのデフォルト ゲートウェイ IP アドレス:

d. eth1(非信頼)インターフェイスの IP アドレス

e. eth1 インターフェイスのサブネット マスク(IP ネットマスク):

f. eth1 インターフェイスのデフォルト ゲートウェイ IP アドレス 1

g. CAS のホスト名:

h. ネットワークの DNS の IP アドレス:

i. 共有秘密鍵:
CAM とすべての CAS で同じにする必要があります。

j. 日付、時刻、タイムゾーン:

k. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

CAS の FQDN または eth0 IP アドレス:
組織ユニット(Sales など)
組織名(Cisco など)
組織の場所(San Jose、CA、US など)


) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。


l. root ユーザのパスワード 7

m. Web コンソール パスワード 2

6.ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。

7.デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。

CAS モードと IP アドレッシングの注意事項

 

表 4 CAS モードと IP アドレッシングの注意事項

CAS モード
説明

Real-IP

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)を異なるサブネット上に配置する必要があります。

管理サブネットへのトラフィックをそれぞれの CAS の信頼インターフェイスへルーティングするために、L 3 スイッチまたはルータにスタティック ルートを追加します。

DHCP リレーを使用している場合は、DHCP サーバが管理サブネットに戻るルートを持っているかどうか確認してください。

NAT(テストのみ)

注:NAT は実働環境への導入はサポートされていません。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)を異なるサブネット上に配置する必要があります。

バーチャル ゲートウェイ

注意: スイッチ エラーを回避するため、Web コンソール経由で CAS が CAM に追加された後、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピングが正しく設定されるまで、バーチャル ゲートウェイ(IB または OOB)CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。

CAS と CAM は、異なるサブネット(あるいは VLAN)上に配置する必要があります。

CAS の信頼インターフェイス(eth0)と非信頼インターフェイス(eth1)に、同じ IP アドレスを使用できます(注:このアドレスは、L3 SVI の IP アドレスと同等のアドレスです) 。

ブリッジド サブネットのすべてのエンド デバイスは、CAS の非信頼側に配置する必要があります。

CAS をバーチャル ゲートウェイ モードに設定すると、自動的に DHCP パススルーが設定されます。

CAS が管理する全ユーザ サブネットを管理サブネットとして CAS に設定する必要があります。管理サブネットを設定するときに、入力した IP アドレスが、そのサブネット内で使用されておらず(CAS 用)、サブネット アドレスでもないことを確認してください。

クライアントからのトラフィックは、ゲートウェイに到達する前に、CAS を通過する必要があります。

CAS が OOB VGW である場合、次の点も適用されます。
CAS インターフェイスは、CAM とは異なるサブネット(あるいは VLAN)に配置する必要があります。
CAS 管理 VLAN は、ユーザあるいは Access VLAN と異なる VLAN 上に配置する必要があります。

詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』の「Determining VLANs For Virtual Gateway」も参照してください。

Cisco NAC アプライアンスの接続

初期設定を実行するには、CAM および CAS の Cisco NAC アプライアンスに接続し、コマンドラインにアクセスする必要があります。アプライアンスを接続する手順は、次のとおりです。


ステップ 1 次の 2 つの方法のいずれかで、Cisco NAC アプライアンスの各マシンのコマンドラインにアクセスします。

a. マシンの背面パネルにあるキーボード/ビデオ モニタ コネクタを介して、モニタとキーボードを直接マシンに接続します(推奨方法)。

b. シリアル ケーブルでワークステーション(PC/ラップトップ)とマシンを接続し、端末エミュレーション ソフトウェア(HyperTerminal、SecureCRT など)を使用して、ワークステーションのシリアル接続を開始します。詳細は、「Cisco NAC アプライアンスのシリアル接続」を参照してください。

ステップ 2 Cisco NAC アプライアンス(CAM または CAS)の背面パネルにある eth0(NIC1) 10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。

ステップ 3 さらに、CAS アプライアンスの場合は、次の手順に従います。

a. CAS をインバンド(IB)またはアウトオブバンド(OOB)の バーチャル ゲートウェイ として設定する場合は、ネットワーク接続問題を防止するために、Web 管理コンソールから CAS を CAM に追加(および中央配置の場合は VLAN マッピングを設定) するまでは 、CAS の非信頼インターフェイス (eth1(NIC2)) 接続しないでください 。詳細については、該当するリリースの『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。

b. CAS を Real-IP ゲートウェイ (またはテスト用の NAT ゲートウェイ )として設定する場合は、CAS の背面パネルにある eth1(NIC2) 10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。

ステップ 4 Cisco NAC アプライアンスの背面パネルと、アースされた AC コンセントを、AC 電源コードで接続します。

ステップ 5 アプライアンスの前面にある電源ボタンを押して、Cisco NAC アプライアンスの電源をオンにします。Power-on Self-Test(POST; 電源投入時自己診断テスト)の実行中、診断 LED が数回点滅します。アプリケーションが起動すると、コンソールにステータス メッセージが表示されます。


 

「CD からの Cisco NAC アプライアンスへのソフトウェアのインストール」または「コンフィギュレーション ユーティリティの実行」に進みます。

Cisco NAC アプライアンスのシリアル接続

ここでは、Cisco NAC アプライアンスをシリアル接続してコマンド ラインにアクセスする方法について説明します。


ステップ 1 シリアル接続を使用するには、シリアル ケーブル(DB-9 メス/メス)を使用して、PC/ラップトップと Cisco NAC アプライアンスのシリアル ポートを接続します (必要であれば、同梱されているヌル モデム ケーブルを使用できます)。

ワーク ステーションをアプライアンスへ物理的に接続すれば、さまざまなターミナル エミュレーション アプリケーションを使用して、シリアル接続インターフェイスへ接続できます。次に示す手順は、使用中のソフトウェアによって異なる場合があります。

ステップ 2 Microsoft® ハイパーターミナルを使用している場合は、[Start] > [All Programs] > [Accessories] > [Communications] > [HyperTerminal] をクリックして、ハイパーターミナル ウィンドウを開きます。

ステップ 3 セッションの名前を入力し、[OK] をクリックします。

ステップ 4 [Connect using] リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(COM3 や COM1 など)を選択し、[OK] をクリックします。

ステップ 5 [Port Settings] で、9600 ビット/秒、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御はハードウェア(CTS/RTS)(またはなし)に設定します。

ステップ 6 [Disconnect] アイコンをクリックしてから [File] > [Properties] をクリックし、セッションのプロパティ ダイアログを開きます。[Setting] タブをクリックして、[Emulation] のドロップダウン リストを [VT100] に設定します。[OK] をクリックしてから、[Call] アイコンをクリックします。

アプライアンスのコマンドライン インターフェイスにアクセスできるようになります(数分間かかることがあります)。


) Cisco NAC アプライアンスが HA 用に設定されていて、HA にシリアル ハートビートが使用されている場合は、シリアル ポートをシリアル コンソールに使用できません。



 

「CD からの Cisco NAC アプライアンスへのソフトウェアのインストール」または「コンフィギュレーション ユーティリティの実行」 に進みます。

CD からの Cisco NAC アプライアンスへのソフトウェアのインストール


) アプライアンスに付属のシステム ソフトウェアのデフォルト バージョンを使用して初期設定を実行する場合は、このセクションを省略して「コンフィギュレーション ユーティリティの実行」に進みます。アプライアンスは後でいつでもアップグレードすることができます。「Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。


Cisco NAC-3310、NAC-3350、および NAC-3390 アプライアンスには、Cisco NAC アプライアンス ソフトウェアのデフォルト バージョンが事前にロードされています。Cisco NAC-3300 アプライアンスに最初に電源を投入すると、root ユーザでログインするように要求され、初期設定スクリプトが起動します(「コンフィギュレーション ユーティリティの実行」を参照)。Cisco NAC-3300 シリーズでサポートされる最新のソフトウェア リリースにアップグレードすることを推奨します。

最新のサポート対象ソフトウェア バージョンの CD インストールをアプライアンスに直接実行するには、次の手順に従ってください。

MANAGER アプライアンスの場合は、「CD-ROM からの CAM ソフトウェアのインストール」を参照してください。

SERVER アプライアンスの場合は、「CD-ROM からの CAS ソフトウェアのインストール」を参照してください。


NAC-3310 の場合のみ(CAM または CAS)、CD インストールを実行するときに、「boot:」プロンプトでインストール ディレクティブを入力する必要があります。インストール ディレクティブは、DL140 (アプライアンスに直接接続されている場合)または serial_DL140(アプライアンスにシリアル接続されている場合)です。



NAC-3390 MANAGER に CD ソフトウェアをインストールする場合のみ、ブート可能 CD-ROM を作成するための独立した Super CAM .ISO ファイルが必要になります。Super CAM ソフトウェアがサポートされるのは、NAC-3390 プラットフォームのみです。



) 設定済みアプライアンスに CD ソフトウェアをインストールすると、古い設定がすべて削除されます。設定済みアプライアンスの場合は、アップグレード手順を使用して最新のソフトウェア リリースにアップグレードすることを推奨します。


CD-ROM からの CAM ソフトウェアのインストール

次の手順では、NAC-3310 MANAGER、NAC-3350 MANAGER、および NAC-3390 MANAGER アプライアンス上で CAM ソフトウェアの CD インストールを任意で実行する方法を示します。


ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「Cisco NAC アプライアンスの接続」を参照)。

ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードして、インストールします。


) Cisco NAC-3300 シリーズ アプライアンスでサポートされる最低限のソフトウェア バージョンは、リリース 4.0(5) 4.1(1)、4.1.2.1、および 4.1(3) です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するバージョンのリリース ノートを参照してください。


a. [Log In] をクリックして Cisco Secure Software にログインし、 http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766
から最新のサポート対象 .ISO ファイルをダウンロードします。詳細については、「Cisco NAC アプライアンス ソフトウェアのダウンロード」を参照してください。

NAC-3310 MANAGER または NAC-3350 MANAGER の場合、 cca- <バージョン> -K9.iso ファイルをダウンロードします。

NAC-3390 MANAGER の場合のみ、 supercam-cca- <バージョン> -K9.iso ファイルをダウンロードします。

b. .ISO をブート可能ディスクとして CD-R に書き込みます。CD を各インストール マシンの CD ドライブに挿入します。

ステップ 3 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.1-3 Installer (C) 2007 Cisco Systems, Inc.
Welcome to the Cisco Clean Access 4.1-3 Installer!
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console,
enter serial at the boot prompt and press the <ENTER> key.
boot:
 

ステップ 4 「boot:」プロンプトで、次のいずれかを行います。

NAC-3310 MANAGER の場合のみ

モニタとキーボードが直接 NAC-3310 に接続されている場合は、 DL140 を入力して、Enter キーを押します。

NAC-3310 にシリアル接続でアクセスしている場合は、 serial_DL140 と入力して、端末エミュレーション コンソールの Enter キーを押します。

NAC-3350 MANAGER または NAC-3390 MANAGER の場合

モニタとキーボードが直接ターゲット マシンに接続されている場合は、Enter キーを押します。

ターゲット マシンにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 5 [Package Group Selection] 画面が表示され、 CCA Manager ソフトウェア(デフォルト)または CCA Server ソフトウェアを選択する必要があります。 CCA Manager を選択し、さらに OK を選択すると、インストールが開始されます。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して [OK] フィールドに移動し、移動したら Enter キーを押してます。

Welcome to Cisco Clean Access
++ Package Group Selection ++
| |
| Total install size: 693M |
| |
| [*] CCA Manager # |
| [ ] CCA Server # |
| # |
| # |
| # |
| # |
| # |
| # |
| |
| +----+ +--------+ |
| | OK | | Cancel | |
| +----+ +--------+ |
| |
| |
+---------------------------+
<Space>,<+>,<-> selection | <F2> Group Details | <F12> next screen
 

CAM のパッケージインストールが実行されます。インストールには数分かかります。インストールが終了すると、CAM クイック コンフィギュレーション ユーティリティの初期画面が表示されます。


) [Package Group Selection] は、デフォルトで CCA Manager に設定されています。ただし、インストールを開始するには、Tab キーを押して [OK] フィールドに移動し、Enter キーを押す必要があります。



) NAC-3310 の場合のみ、プロンプトでインストール ディレクティブ DL140 または serial_DL140 を入力しないと、[Package Group Selection] 画面が表示されません。


ステップ 6 「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の手順に従って、CAM の初期設定を継続します。


 

CD-ROM からの CAS ソフトウェアのインストール

次の手順では、NAC-3310 SERVER または NAC-3350 SERVER アプライアンス上で CAS ソフトウェアの CD インストールを任意で実行する方法を示します。


ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「Cisco NAC アプライアンスの接続」を参照)。

ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードして、インストールします。


) Cisco NAC-3300 シリーズ アプライアンスでサポートされる最低限のソフトウェア バージョンは、リリース 4.0(5) 4.1(1)、4.1.2.1、および 4.1(3) です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するバージョンのリリース ノートを参照してください。


a. [Log In] をクリックして Cisco Secure Software にログインし、 http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766
から最新のサポート対象 .ISO ファイルをダウンロードします。詳細については、「Cisco NAC アプライアンス ソフトウェアのダウンロード」を参照してください。

NAC-3310 または NAC-3350 SERVER の場合、 cca- <バージョン> -K9.iso ファイルをダウンロードします。

b. ISO をブート可能ディスクとして CD-R に書き込みます。CD を各インストール マシンの CD ドライブに挿入します。

ステップ 3 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.1-3 Installer (C) 2007 Cisco Systems, Inc.
Welcome to the Cisco Clean Access 4.1-3 Installer!
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console,
enter serial at the boot prompt and press the <ENTER> key.
boot:
 

ステップ 4 「boot:」プロンプトで、次のいずれかを行います。

NAC-3310 SERVER の場合のみ

モニタとキーボードが直接 NAC-3310 に接続されている場合は、 DL140 を入力して、Enter キーを押します。

NAC-3310 にシリアル接続でアクセスしている場合は、 serial_DL140 と入力して、端末エミュレーション コンソールの Enter キーを押します。

NAC-3350 SERVER の場合

モニタとキーボードが直接ターゲット マシンに接続されている場合は、Enter キーを押します。

ターゲット マシンにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 5 [Package Group Selection] 画面が表示され、 CCA Manager ソフトウェア(デフォルト)または CCA Server ソフトウェアを選択する必要があります。 CCA Server を選択し、さらに OK を選択すると、インストールが開始されます。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して [OK] フィールドに移動し、移動したら Enter キーを押して、選択したパッケージ タイプのインストールを開始します。

 

Welcome to Cisco Clean Access
++ Package Group Selection ++
| |
| Total install size: 693M |
| |
| [ ] CCA Manager # |
| [*] CCA Server # |
| # |
| # |
| # |
| # |
| # |
| # |
| |
| +----+ +--------+ |
| | OK | | Cancel | |
| +----+ +--------+ |
| |
| |
+---------------------------+
<Space>,<+>,<-> selection | <F2> Group Details | <F12> next screen
 

CAS のパッケージインストールが実行されます。インストールには数分かかります。インストールが終了すると、CAS クイック コンフィギュレーション ユーティリティの初期画面が表示されます。


) [Package Group Selection] は、デフォルトでは CCA Manager に設定されています。CAS のインストールを開始するには、CCA Server を選択し、Tab キーを押して [OK] フィールドに移動し、Enter キーを押す必要があります。



) NAC-3310 の場合のみ、プロンプトでインストール ディレクティブ DL140 または serial_DL140 を入力しないと、[Package Group Selection] 画面が表示されません。


ステップ 6 「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の手順に従って、CAS の初期設定を継続します。


 

コンフィギュレーション ユーティリティの実行

Cisco NAC-3310、NAC-3350、または NAC-3390 アプライアンスに電源を投入し、 root としてログインすると、ここで説明するように、初期設定を実行するように要求されます。

MANAGER を設定するには、「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の手順を実行します。

SERVER を設定するには、「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の手順を実行します。

MANAGER(CAM)と SERVER(CAS)の両方で初期設定を完了したら、「CAM Web コンソールへのアクセス」に進みます。

CAM コンフィギュレーション ユーティリティ スクリプトの実行


ステップ 1 Cisco NAC-3310、NAC-3350、または NAC-3390 MANAGER アプライアンスに接続して、電源を投入します(「Cisco NAC アプライアンスの接続」を参照)。

ステップ 2 ユーザ root (デフォルト パスワード cisco123 )としてログインします。

ステップ 3 次のコンフィギュレーション ユーティリティの初期画面が表示されます。

Welcome to the Cisco Clean Access Manager quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Manager, (C) 2006 Cisco Systems, Inc.

) root でログインした後に、このプロンプトが表示されない場合は、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 4 最初のプロンプトで、CAM の eth0(信頼)インターフェイスの IP アドレスを入力して(CAM ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interface:
Please enter the IP address for the interface eth0 [10.0.2.15]: 10.201.240.11
You entered 10.201.240.11 Is this correct? (y/n)? [y]
 

ステップ 5 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b. )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 6 デフォルト ゲートウェイを受け入れるか、または CAM のデフォルト ゲートウェイ アドレスを指定して(フィールド c. )、確認します これは通常、CAM サブネットとCAS サブネットの間にあるルータの IP アドレスです。

Please enter the IP address for the default gateway [10.201.240.1]:
You entered 10.201.240.1. Is this correct? (y/n)? [y]
 

ステップ 7 CAM のホスト名を入力します(フィールド d. )。CAM Web コンソールで CAM ホスト名を使用するには、DNS サーバにエントリを作成します。

Please enter the hostname [localhost.localdomain]: cam3350
You entered cam3350 Is this correct? (y/n)? [y]
 

ステップ 8 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド e. )、またはデフォルト値を受け入れます。

Please enter the IP address for the name server [10.0.2.1]: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ 9 1 つの構成内の CAM および CAS は、内部パスワードとして機能する共有秘密鍵を通じて、相互に認証します。デフォルトの共有秘密鍵は、 cisco123 です。プロンプトに共有秘密鍵を入力して、確認します(フィールド f. )。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please remember to configure the Clean Access Server with the same string. Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]

注意 同じ構成内の CAM とすべての CAS に、すべて同じ共有秘密鍵を設定しなければなりません。共有秘密鍵が異なっていると、相互に通信できません。

ステップ 10 CAM のタイム ゾーンを次のように指定します(フィールド g. )。

>>> Configuring date and time:
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
 

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ 11 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

Updating timezone information...
Current date and time hh:mm:ss mm/dd/yy [07:52:52 04/30/07]: 15:52:00 04/30/07
You entered 15:52:00 04/30/07 Is this correct? (y/n)? [y]
Mon Apr 30 15:52:00 PDT 2007
 

ステップ 12 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAM と Web 管理コンソールをセキュアに接続できるようにします(フィールド h. を使用)。

You must generate a valid SSL certificate in order to use the Clean Access Manager's secure web console.
Please answer the following questions correctly.
Information for a new SSL certificate:
Enter fully qualified domain name or IP: 10.201.240.11
Enter organization unit name: DOC
Enter organization name: Cisco Systems
Enter city name: San Jose
Enter state code: CA
Enter 2 letter country code: US
 

a. 発行される証明書の対象となる IP アドレスまたはドメイン名を入力するか、Enter キーを押して、デフォルトの IP アドレス(通常は、 10.201.240.11 など、すでに指定した eth0 IP アドレス)を受け入れます。


) Web サーバの応答先も、この IP アドレスまたはドメイン名になります。DNS にドメイン名が設定されていない場合は、CAM Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAM の IP アドレスを使用してください。


b. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( DOC など)。

c. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

f. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ 13 値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.11
Organization unit: DOC
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y
 
Generating SSL Certificate...
CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:
CA verifying: /root/.tomcat.crt <-> CA cert
/root/.tomcat.crt: OK
Done

) 一時 SSL 証明書を生成しなければ、CAS Web コンソールにアクセスすることはできません。


ステップ 14 インストールした CAM の Linux オペレーティング システム用の root ユーザ パスワードを設定します(フィールド i. )。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH コンソール接続を通じてシステムにアクセスする際に使用します。

For security reasons, it is highly recommended that you change the default passwords for the root user.
User: root
Changing password for user root.
New UNIX password:
Retype new UNIX password:
passwd(pam_unix)[1823]: password changed for root
passwd: all authentication tokens updated successfully.

) デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。


ステップ 15 設定が完了したら、Enter キーを押して、CAM をリブートします。リブート後は、Web コンソールを通じて CAM にアクセスできるようになります。

Changes require a RESTART of Clean Access Manager.
Configuration is complete.
Done
Install has completed. Press <ENTER> to reboot.

service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 16 インストレーションのテスト:

a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。

b. CAM が応答しない場合は、SSH を使用して CAM へ接続してください。デフォルト ユーザ名およびパスワードの組み合わせ( root / cisco123 )で、接続してください。接続したら、デフォルト ゲートウェイへ ping を実行して、CAM が外部ネットワークに接続できるかどうか確認してください。

2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。

インストレーション後に、CAM の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAM 機器に接続し、CLI コマンド service perfigo config を使用してください。

ステップ 17 CAM を設定すると、CAM Web コンソールにアクセスして、製品ライセンスを追加できます。さらに、初期設定が完了した CAS を CAM に追加して管理および設定できます(「CAM Web コンソールへのアクセス」を参照)。「CAS コンフィギュレーション ユーティリティ スクリプトの実行」に進み、CAS を初期設定します。


 

CAS コンフィギュレーション ユーティリティ スクリプトの実行


ステップ 1 Cisco NAC-3310 または NAC-3350 SERVER アプライアンスに電源を投入します(「Cisco NAC アプライアンスの接続」を参照)。

ステップ 2 ユーザ root (デフォルト パスワード cisco123 )としてログインします。

ステップ 3 次のコンフィギュレーション ユーティリティの初期画面が表示されます。

Welcome to the Cisco Clean Access Server quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Server, (C) 2006 Cisco Systems, Inc.

) root でログインした後に、このプロンプトが表示されない場合は、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 4 最初のプロンプトで、CAS の eth0(信頼)インターフェイスの IP アドレスを入力して(CAS ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interfaces:
Please enter the IP address for the interface eth0 [10.0.2.15]: 10.201.240.100
You entered 10.201.240.100 Is this correct? (y/n)? [y]

) CAS の eth0 IP アドレスは 管理 IP アドレスと同じです。


ステップ 5 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b. )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 6 デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド c. )、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。

Please enter the IP address for the default gateway [10.201.240.1]:
You entered 10.201.240.1 Is this correct? (y/n)? [y]
 

ステップ 7 Vlan Id Passthrough プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーをディセーブルのままにします。デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]

) 通常、VLAN パススルーは不要です。


ステップ 8 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。

[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]

) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。



) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。


ステップ 9 CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド d. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Please enter the IP address for the untrusted interface eth1 [10.0.2.15]: 10.10.10.10
You entered 10.10.10.10 Is this correct? (y/n)? [y]

) バーチャル ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 をネットワークに接続しないでください。詳細は、CAS のマニュアルを参照してください。


ステップ 10 eth1 インターフェイスのサブネット マスクを入力するか(フィールド e. )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth1 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]

ステップ 11 eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド f. )。

a. CAS が Real-IP または NAT ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。

b. CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。

Please enter the IP address for the default gateway [10.10.10.1]:
You entered 10.10.10.1 Is this correct? (y/n)? [y]
 

ステップ 12 次のプロンプトで、 n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

ステップ 13 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします(デフォルト)。

[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

ステップ 14 CAS のホスト名を入力して、確認します(フィールド g. )。

Please enter the hostname [localhost.localdomain]: cas3350
You entered cas3350 Is this correct? (y/n)? [y]
 

ステップ 15 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド h. )、またはデフォルト値を受け入れます。

Please enter the IP address for the name server [10.0.2.1]: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ 16 プロンプトに CAM および CAS の共有秘密鍵を入力して、確認します(フィールド i. )。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123.
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please enter the shared secret: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]

注意 同じ構成内の CAM とすべての CAS に、すべて同じ共有秘密鍵を設定しなければなりません。共有秘密鍵が異なっていると、相互に通信できません。

ステップ 17 次の手順に従って、CAS の時間設定を指定します(フィールド j. )。

>>> Configuring date and time:
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
 

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ 18 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

Updating timezone information...
Current date and time hh:mm:ss mm/dd/yy [07:52:52 04/30/07]: 15:52:00 04/30/07
You entered 15:52:00 04/30/07 Is this correct? (y/n)? [y]
Mon Apr 30 15:52:00 PDT 2007

) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。


ステップ 19 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド k. を使用)。

You must generate a valid SSL certificate in order to use the Clean Access Server's secure web console.
Please answer the following questions correctly.
Information for a new SSL certificate:
Enter fully qualified domain name or IP: 10.201.240.10
Enter organization unit name: doc
Enter organization name: Cisco Systems
Enter city name: San Jose
Enter state code: CA
Enter 2 letter country code: US
 

a. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( doc など)。

b. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

c. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

d. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

e. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ 20 値を確認してから Enter キーを押して、SSL 証明書を生成します。または、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.10
Organization unit: doc
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y
Generating SSL Certificate...
CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:
CA verifying: /root/.tomcat.crt <-> CA cert
/root/.tomcat.crt: OK
Done

) 一時 SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスすることはできません。


ステップ 21 インストールした CAS の Linux オペレーティング システム用の root ユーザ パスワードを入力します(フィールド l. )。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。

For security reasons, it is highly recommended that you change the default password for the root user.
User: root
Changing password for user root.
New UNIX password:
Retype new UNIX password:
 

ステップ 22 CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します(フィールド m. )。CAS Web コンソールには CAS 固有の設定の一部が表示され、ハイ アベイラビリティの設定などに使用されます。

Would you like to change the default password for the web console admin user pas sword? (y/n)? [y]
Please enter an appropriately secure password for the web console admin user.
New password for web console admin:
Confirm new password for web console admin:
Web console admin password changed successfully.

ステップ 23 設定が完了したら、Enter キーを押して、CAS をリブートします。

Configuration is complete.
Done
Install has completed. Press <ENTER> to reboot.

service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。


これで、CAS の初期設定は完了です。

ステップ 24 インストレーションのテスト:

a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。

b. CAS が応答しない場合は、SSH を使用して CAS へ接続してください。デフォルト ユーザ名およびパスワードの組み合わせ( root / cisco123 )で、接続してください。接続したら、CAS からゲートウェイまたは外部 Web サイトへ ping を実行して、CAS が外部ネットワークに接続できるかどうか確認してください。

2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。


) 一時 SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスすることはできません。使用環境へ設置する前に、CAS 用に CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。


インストレーション後に、CAS の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAS 機器に接続し、CLI コマンド service perfigo config を使用してください。

ステップ 25 「CAM Web コンソールへのアクセス」の手順に進んでください。


 

SSL 証明書に関する重要事項

CAM および CAS の初期設定中に、一時的な SSL 証明書を生成する必要があります。そうしないと、Cisco NAC アプライアンスに管理ユーザまたはエンド ユーザとしてアクセスできません。

実稼動環境に CAM または CAS を配置する前に、CAM および CAS マシン(または HA ペア)ごとに CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインした場合に、セキュリティに関する警告が表示されなくなります。また、CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。

Certificate Signing Request(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。詳細については、CAM および CAS のマニュアルの「Set System Time」および「Manage SSL Certificates」を参照してください。

コンフィギュレーション ユーティリティの手動での再起動

インストール後に設定値をリセットする必要がある場合、または手動でコンフィギュレーション ユーティリティを開始する必要がある場合は、CAS または CAM で CLI コマンド service perfigo config を発行します。 service perfigo config を使用するときは、設定完了後に service perfigo reboot を入力してマシンをリブートする必要があります。


ステップ 1 ダイレクト コンソール接続、シリアル接続、または SSH を使用して、CAS または CAM に接続します。

ステップ 2 ユーザ root 、パスワード cisco123 (デフォルト)としてログインします。

ステップ 3 コマンド service perfigo config を実行します。

ステップ 4 デフォルト値を使用するか、すべてのプロンプトに新しい値を入力します(「コンフィギュレーション ユーティリティの実行」を参照)。

ステップ 5 設定が終了したら、 service perfigo reboot を入力し、マシンをリブートします。


 

NAC アプライアンスの電源切断

CAM/CAS の電源をオフにする場合は、コンソール/SSH を介して接続している間に、次のいずれかを実行します。このようにすると、CAM の電源切断中にデータベースが破壊されなくなります。

service perfigo stop と入力してから、マシンの電源をオフにします。

/sbin/halt と入力してから、マシンの電源をオフにします。

CAM Web コンソールへのアクセス

CAM の Web 管理コンソールは、導入された Cisco NAC アプライアンスを管理するための主要インターフェイスです。初期設定が完了したら、次の手順に従って、CAM Web コンソールにアクセスします。


ステップ 1 ネットワークを通じて CAM にアクセス可能なコンピュータで Web ブラウザを起動します (Microsoft Internet Explorer 6.0 および 7.0 がサポートされています)。

ステップ 2 URL/アドレス フィールドに、CAM の IP アドレス(DNS サーバに必要なエントリを作成した場合はホスト名)を入力します。

ステップ 3 一時的な SSL 証明書を使用している場合は、セキュリティの警告と、証明書を受け入れるよう求めるプロンプトが表示されます。[Yes] をクリックして証明書を受け入れます (署名つきの証明書を使用している場合、セキュリティ ダイアログは表示されません)。

CAM ライセンスのインストール

ステップ 4 インストレーションおよび初期設定の終了後、CAM Web コンソールに初めてアクセスする際、[Clean Access Manager License Form] が表示されます(図 14を参照)。製品のライセンス ファイルを取得して、CAM Web コンソールにアクセスしている PC/ラップトップのディスクに保存する必要があります。製品および評価版ライセンスの取得方法の詳細については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。


) ライセンスの取得に役立つように、フォーム上部に CAM の eth0 MAC アドレスが表示されます。


図 14 Clean Access Manager License Form

 

ステップ 5 [Clean Access Manager License File] フィールドで [Browse] ボタンをクリックして、CAM 用に受領したライセンス ファイルを探し、[Install License] ボタンをクリックします。


) CAM Failover(HA)ライセンスを購入してある場合は、プライマリ CAM に Failover ライセンスをインストールしてから、その他のすべてのライセンスをロードします。このようにすると、CAM HA ペアのアップグレードが容易になります。


ステップ 6 ライセンスが受け入れられると、Web 管理コンソール ウィンドウ(図 15)が開きます。初期インストールで設定した Web 管理ユーザ名(デフォルトは admin )とパスワード(デフォルトは cisco123 )を入力し、[Login] をクリックします。

図 15 CAM Web 管理コンソールのログイン ページ

 

ステップ 7 [Monitoring Summary] ページが開き、左側にナビゲーション ペインが表示されます(図 16)。

図 16 [Monitoring Summary] ページ

 

 

ライセンスの追加

ステップ 8 CAS ライセンスを追加するには、CAM Web 管理コンソールで [Administration] > [CCA Manager] > [Licensing](図 17)の順番に進みます。

図 17 [Licensing] ページ

 

ステップ 9 [Clean Access FlexLM License File(s)] フィールドで [Browse] をクリックして、CAS または CAS バンドルのライセンス ファイルを探し、[Install License] をクリックします。ページ上部に、ライセンスのインストールの成功/失敗、追加したライセンスのタイプ、および(CAS ライセンスの場合)サーバの増加数を示すグリーンの確認テキストが表示されます(たとえば、「License added successfully.CCA Manager License added.Out-of-Band Server Count is now 20.」など)。ページ下部のステータス テキストには、Lite、Standard、または Super Manager ライセンスの有無、ライセンスが Failover かどうか、および IB または OOB CAS ライセンス数が示されます。


) HA-CAS マシンには、Manager Failover ライセンスが必要です。Manager Failover ライセンスをインストールした場合、サーバ数はスタンドアロン CAS 1 つ分または HA-CAS ペア 1 つ分だけ増加します。


ステップ 10 インストールする必要のあるライセンス ファイルごとに、ステップ 9を行います(Customer Registration Form に入力した PAK ごとにライセンス ファイルが 1 つ届いているはずです)。このページの下部の Server Count 情報には、ライセンス ファイルの正常インストールによって利用可能となった CAS の合計数が表示されます。


) [Remove All Licenses] ボタンをクリックすると、すべての FlexLM ライセンス ファイルがシステムから削除されます。ライセンス ファイルを個別に削除することはできません (すべてのラインセンスを削除して、再インストールした場合、認証されたユーザトラフィックは引き続き通過します)。
Web 管理コンソールにアクセスできるようにするには、CAM ライセンスを導入する必要があります。
詳細については、『Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。


ステップ 11 これで、ライセンスはインストールされました。CAM Web コンソールを使用して、構成の設定を継続できます。設定の詳細については、次のマニュアルを参照してください。

Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1

Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide

Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide

ステップ 12 Web コンソールからログアウトするには、コンソールの右上にある管理セッションの [Logout] ボタンをクリックするか、またはブラウザを閉じます。


 


CAM Web コンソールは CAM ドメイン内の CAS をすべて管理します。CAS ダイレクト アクセス Web コンソール(https://<CAS IP アドレス>/admin)を介して、特定の CAS の設定の一部、または高度な設定にアクセスできます。CAS ダイレクト アクセス コンソールは通常、HA などの高度な設定の場合に限って使用します。


CLI コマンドの使用方法

Cisco NAC アプライアンスのコマンドライン インターフェイス(CLI)を使用すると、Web コンソールを使用できない場合(ネットワークまたは VLAN 設定が間違っている場合など)に、CAM または CAS マシンに基本的な動作パラメータを直接設定できます。表 5 に、一般に使用される CLI コマンドを示します。これらのコマンドを実行するには、KVM、SSH、またはシリアル コンソールを介して Cisco NAC アプライアンスにアクセスし、ユーザ root (デフォルト パスワード cisco123 )としてログインします。

 

表 5 CLI コマンド

コマンド
説明
service perfigo config

CAM または CAS のネットワーク設定を変更するためのコンフィギュレーション ユーティリティを起動します。変更が完了したら、 service perfigo reboot または reboot を実行して、変更した設定でアプライアンスをリセットします。
「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。

service perfigo start

CAM または CAS を起動します。このコマンドを使用するには、アプライアンスを停止する必要があります。アプライアンスが稼動している場合は、警告メッセージが表示されます。

service perfigo stop

CAM または CAS の Clean Access サービスをシャットダウンします。


) 管理 VLAN が設定されている場合にこのコマンドを実行すると、CAS のネットワーク接続が切断されます。


service perfigo maintenance

(CAS 専用コマンド)

CAS をメンテナンス モードに設定します。メンテナンス モードでは、基本 CAS ルータのみが稼動して、VLAN タグ付きパケットを引き続き処理します。

このコマンドを使用すると、管理 VLAN 経由の通信が可能になります。このコマンドは、CAS がトランク モードになっていて、ネイティブ VLAN と管理 VLAN が異なる環境で使用します。

service perfigo platform

(CAS 専用コマンド)

CAS が標準的な SERVER アプライアンスか Cisco ISR ルータ シャーシに搭載された Cisco NAC ネットワーク モジュールであるかを表示します。コマンド出力では、プラットフォ―ムの設定として「APPLIANCE」または「NME-NAC」と表示されます。

:このクイック スタート ガイドでは、Cisco NAC ネットワーク モジュール(NME-NAC-K9)のインストレーションおよび設定については説明しません。Cisco NAC ネットワーク モジュールについては、『 Getting Started with NAC Network Modules in Cisco Access Routers 』を参照してください。

service perfigo restart

CAM または CAS の Clean Access サービスをシャットダウンして、再起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。


) ハイ アベイラビリティ(フェールオーバー)をテストする際に、service perfigo restart を使用しないでください。フェールオーバーをテストするアプライアンスには、代わりに shutdownreboot Linux コマンド、または service perfigo stop および service perfigo startCLI コマンドを使用します。


service perfigo reboot

CAM または CAS をシャットダウンして、リブートします。または、Linux reboot コマンドを使用します。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。時間を表示するには、Linux clock コマンドを使用します。

追加 NIC カードの設定

コンフィギュレーション ユーティリティ スクリプトでは、CAM および CAS マシンに eth0(NIC1)および eth1(NIC2)インターフェイスがデフォルトで装備されていて、初期インストール中にこれらを設定する必要があります。システムに追加の NIC(NIC3、NIC4 など)が搭載されている場合は、次の手順に従って、これらのカードに追加インターフェイス(eth2、eth3 など)を設定できます。通常、CAS システムをハイ アベイラビリティ構成に設定する場合は、eth2 を設定する必要があります。HA の場合、適切なアドレッシングを設定した eth2(NIC3)インターフェイスは、HA-CAS 専用の UDP ハートビート インターフェイスとして設定できます。


) Cisco NAC アプライアンス ハードウェア プラットフォームに関する次の手順では、NIC が搭載されていて、「機能している」(つまり、BIOS および Linux で認識されている)ことが前提となります。


追加 NIC の設定手順


ステップ 1 NIC が Linux で認識されているか確認するには、 ifconfig eth n を入力します( n はインターフェイス番号)。たとえば、イーサネット インターフェイスが 2 つ(eth0 および eth1)内蔵されているシステムに NIC を追加する場合、 n は 2 です。したがって、 ifconfig eth2 と入力します。

ステップ 2 MAC アドレスや送受信カウンタなどのインターフェイス情報が表示されることを確認します。この場合、インターフェイスが Linux で認識されていて、使用できる状態です。

ステップ 3 次のディレクトリに移動します。

cd /etc/sysconfig/network-scripts
 

ステップ 4 次のように vi を使用して、インターフェイスの ifcfg-eth n ファイルを編集します。

vi ifcfg-eth2
 

ステップ 5 ファイルに次の行を追加し、 IPADDR NETMASK BROADCAST 、および NETWORK 値をネットワークの実際の値で置き換えます。

DEVICE=eth2
IPADDR=192.168.0.253
NETMASK=255.255.255.252
BROADCAST=192.168.0.255
NETWORK=192.168.0.252
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
 

ステップ 6 ファイルを保存して、システムをリブートします。これで、ネットワーク インターフェイスを HA に使用できます。


 


) NIC カードが BIOS で認識されない場合は(アプライアンス以外のサーバ マシンの場合など)、製造元の推奨設定に従って、IRQ/メモリ設定を調整する必要があります。

BIOS で認識された NIC は、ソフトウェア(Linux)で自動的に認識されます。何らかの理由により、NIC が BIOS で認識されているにもかかわらず、Linux で認識されない場合は、システムにログインして kudzu を実行してください。NIC の設定を支援するユーティリティが起動します。



) CAM/CAS インターフェイスには固定 IP アドレスを設定する必要があります。これらのインターフェイスでは、DHCP モードはサポートされていません。


HA の詳細な設定方法については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』の「Configuring High Availability (HA)」の項を参照してください。

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。