セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンス ハードウェア インストレーション クイック スタート ガイド

Cisco NAC アプライアンス ハードウェア インストレーション クイック スタート ガイド
発行日;2012/01/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco NAC アプライアンス ハードウェア

Cisco NAC アプライアンス

このマニュアルの概要

パッケージ内容の確認

梱包内容

必要な機器

ラックマウント

NAC アプライアンスのライセンス

NAC アプライアンス ソフトウェアのアップグレード

ファームウェアのアップグレード

追加情報

Cisco NAC アプライアンス ハードウェアの概要

NAC-3310 前面および背面パネル

NAC-3350 前面および背面パネル

NAC-3390 前面および背面パネル

CCA-3140-H1 前面および背面パネル

初期設定の開始

NAC アプライアンスの接続

NAC アプライアンスのシリアル接続

コンフィギュレーション ワークシート

CAM のコンフィギュレーション ワークシート

CAS のコンフィギュレーション ワークシート

コンフィギュレーション ユーティリティの実行

CAM コンフィギュレーション ユーティリティ スクリプトの実行

CAS コンフィギュレーション ユーティリティ スクリプトの実行

SSL 証明書に関する重要事項

コンフィギュレーション ユーティリティの手動での再起動

NAC アプライアンスの電源切断

CAM Web コンソールへのアクセス

CAM ライセンスのインストール

ライセンスの追加

CLI コマンド

Cisco NAC アプライアンスへの CD インストール

CCA-3140 Cisco NAC アプライアンスへのインストール

CD-ROM からの CAM ソフトウェアのインストール

CD-ROM からの CAS ソフトウェアのインストール

追加 NIC カードの設定

マニュアルの入手方法、テクニカル サポート、およびセキュリティ ガイドライン

Japan TAC Web サイト

シスコ製品(ハードウェア)に関する限定保証規定

Cisco NAC アプライアンス ハードウェア
インストレーション クイック スタート ガイド

ライセンスおよび保証を含む

Cisco NAC アプライアンス

Cisco® NAC アプライアンス(従来の Cisco Clean Access)は、ユーザがネットワークにアクセスする前に、ネットワーク管理者が有線、無線、およびリモート ユーザとマシンを認証、許可、評価、および修復するための Network Admission Control(NAC)製品です。ラップトップ、デスクトップ、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセス アクセスを許可します。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)の Web コンソールから管理し、Clean Access Server(CAS)を通じて実行し、Clean Access Agent クライアント ソフトウェアを通じてクライアントに適用される統合ネットワーク ソリューションです。Cisco NAC アプライアンス ソリューションはネットワークの必要性に応じ、最適な設定で使用できます。

Cisco NAC アプライアンスは Linux ベースのネットワーク ハードウェア アプライアンスです。専用サーバ マシンに CAM(MANAGER)または CAS(SERVER)アプリケーション、オペレーティング システム、およびすべての関連コンポーネントが事前にインストールされています。オペレーティング システムには Fedora コア ベースのハードウェア Linux カーネルが組み込まれています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンにその他のパッケージやアプリケーションをインストールできません。

このマニュアルの概要

Cisco NAC アプライアンス ハードウェア インストレーション クイック スタート ガイド に、Cisco NAC アプライアンスの基本的なハードウェア仕様を示します。また、コンフィギュレーション ユーティリティを使用して CAM および CAS を初期設定し、製品ライセンスをインストールし、CAM Web コンソールにアクセスする方法について説明します。CAM および CAS の初期設定が完了したら、CAM Web コンソールにアクセスし、開発作業に合わせて残りの設定を行うことができます。

総合的な設定情報については、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』を参照してください。いずれのマニュアルも、Cisco.com の
http://www.cisco.com/en/US/products/ps6128/products_user_guide_list.html から入手できます。オンライン マニュアルを使用している場合は、ご使用の NAC アプライアンスで稼働しているソフトウェア バージョンに対応するマニュアルを参照してください。

パッケージ内容の確認

パッケージの内容を確認して(梱包内容)、Cisco NAC アプライアンスの設置に必要な付属品がすべて納入されているか確認してください。装置を再梱包する場合に備えて、梱包材を保管しておきます。付属品が不足していたり、損傷している場合は、購入された代理店に連絡してください。Cisco NAC アプライアンスの一部のモデルには、図に示されていない追加部品が付属していることがあります。

梱包内容

 


) Failover バンドルを注文した場合は、物理 NAC アプライアンスが 2 つ納入されます。これらを相互に接続し、Web コンソールを介して HA(ハイ アベイラビリティ)ペアが形成されるように設定する必要があります。HA の詳細な設定方法については、『Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide』の「Configuring High Availability (HA)」、および『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』を参照してください。


必要な機器

Cisco NAC アプライアンスのコンフィギュレーション ユーティリティを実行するには、ワークステーション(PC またはラップトップ)およびキーボード、モニタ、マウスが必要です。初期設定が完了したら、RJ-45 コネクタを備えた標準(ストレート)イーサネット カテゴリ 5 ネットワーク ケーブルで、NAC アプライアンスのインターフェイスとネットワーク(CAM の場合は eth0、CAS の場合は eth0 および eth1)を接続する必要があります。「Cisco NAC アプライアンス ハードウェアの概要」に、各モデルのインターフェイスの詳細を示します。

ラックマウント

Cisco NAC アプライアンスは、ラック ユニットを 1 つ(1 U)占有します。ラックマウントの詳細および手順については、付属の『 1U Rack Hardware Installation Instructions for HP Products 』を参照してください。

NAC アプライアンスのライセンス

ご使用の NAC アプライアンス システムを機能させるには、CAM ライセンスと CAS ライセンスが少なくとも 1 つずつ必要です。いずれのライセンスも、CAM Web 管理コンソールからインストールします。

システムに対応した新しいライセンスを 取得する 方法については、次の URL にある「 Cisco NAC Appliance Service Contract/Licensing Support 」を参照してください。
http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html

初期設定が完了したあとに、システムに対応したライセンスを インストールする 方法については、「CAM ライセンスのインストール」および「ライセンスの追加」を参照してください。

NAC アプライアンス ソフトウェアのアップグレード

NAC-3300 シリーズ アプライアンスには、CCA ソフトウェアのデフォルト バージョンが事前にロードされています。アプライアンスをサポート対象の最新バージョンのシステム ソフトウェアにアップグレードして、最新の製品拡張機能およびフィックスを導入することを推奨します。


) NAC-3300 シリーズ アプライアンスに推奨される最低限のソフトウェア バージョンは、Release 4.0(5) および 4.1(1)(次期バージョン)です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および次の URL にある、該当する 4.0(x) と 4.1(1) のリリース ノートを参照してください。
http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html


アプライアンスをアップグレードすると、ダイレクト コンソール/SSH を介して、または Web コンソール(非 HA システムの場合)を使用して、単一の .tar.gz アップグレード ファイルが Cisco Secure Downloads からダウンロードされ、Lite/Standard/Super CAM または CAS に適用されます。マシンが CAM であるか、または CAS であるかがアップグレード メカニズムによって自動判別され、それに従って実行されます。

アップグレード手順については、該当する リリース ノート の「Upgrading」を参照してください。


) NAC-3390 MANAGER ソフトウェアをアップグレードするには、他のシステムと同じ .tar.gz アップグレード ファイルを使用します。ただし、NAC-3390 に CD ソフトウェア インストールを実行するには、独自の Super CAM .ISO ファイルが必要です(詳細については、Cisco NAC アプライアンスへの CD インストールを参照)。


ファームウェアのアップグレード

NAC-3300 シリーズ アプライアンスを使用するには、ベースとなるサーバ モデルに必須のシステム BIOS/ファームウェア アップグレードをすべて適用する必要があります。


) NAC-3310 は HP ProLiant DL 140 G3 に基づいています。『Release Notes for Cisco NAC Appliance (Cisco Clean Access) Version 4.0(x)』を参照して、ファームウェアをアップグレードしてください。


追加情報

詳細については、次のマニュアルを参照してください( www.cisco.com/go/nac/appliance )。

Release Notes for Cisco NAC Appliance, Version 4.0(x) 』(「Upgrading to 4.0(x)」)

Cisco NAC Appliance Data Sheet

Supported Hardware and System Requirements for Cisco NAC Appliance

Cisco NAC Appliance Service Contract/Licensing Support

Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide, Release 4.0

Cisco NAC Appliance - Clean Access Server Installation and Administration Guide, Release 4.0

このマニュアルの最新のオンライン アップデートについては、
http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html を参照してください。

Cisco Marketplace の Product Documentation Store からこのマニュアルの印刷版を注文する場合は、
http://www.cisco.com/go/marketplace/docstore にアクセスしてください。

テクニカル サポートの詳細については、「マニュアルの入手方法、テクニカル サポート、およびセキュリティ ガイドライン」を参照してください。

Cisco NAC アプライアンス ハードウェアの概要

表1 に、各 Cisco NAC アプライアンスのハードウェア仕様をまとめます。「図」カラムには、NIC(ネットワーク インターフェイス カード)ポート、電源装置ソケット、LED、およびボタンを示す詳細図へのリンクが記載されています。

 

表1 Cisco NAC アプライアンス ハードウェアの概要

Cisco NAC
アプライアンス
製品
ハードウェア仕様
Cisco NAC Appliance 3300 シリーズ

NAC-3310 1 2

MANAGER

最大 3 つのスタンドアロンまたは HA ペア CAS をサポートしている Lite Manager

単一プロセッサ : Xeon 2.33 GHz デュアル コア
1 GB RAM
80 GB NHP SATA HDD
Smart Array E200i Controller
10/100/1000 LAN ポート× 4 [Broadcom 5721 統合 NIC × 2、Intel e1000 PCI-X NIC × 2(HP #NC360T)]
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 2 つ、背面に 2 つ)


) NAC-3310 はHP ProLiant DL140 G3 に基づいています。


「NAC-3310 の前面パネル」

「NAC-3310 の背面パネル」

SERVER

100/250/ 500 ユーザをサポートしている CAS

NAC-3350 3

MANAGER

最大 20 のスタンドアロンまたは HA ペア CAS をサポートしている Standard Manager

単一プロセッサ : Xeon 3.0 GHz デュアル コア
デュアル電源装置
2 GB RAM
2 x 72 GB SFF SAS RAID HDD
Smart Array E200i Controller
10/100/1000 LAN ポート× 4 [Broadcom 5708 統合 NIC × 2、Intel e1000 PCI-X NIC × 2(HP #NC360T)]
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 1 つ、内部に 1 つ、背面に 2 つ)
Cavium CN1120-NHB-E SSL Accelerator Card


) NAC-3350 は HP ProLiant DL360 G5 に基づいています。


「NAC-3350 の前面パネル」

「NAC-3350 の前面パネルの LED/ボタン」

「NAC-3350 の背面パネル」

「NAC-3350 の背面パネル LED」

SERVER

1500/2500 ユーザをサポートしている CAS

NAC-3390 3

MANAGER

最大 40 のスタンドアロンまたは HA ペア CAS をサポートしている Super Manager

デュアル プロセッサ : Xeon 3.0 GHz デュアル コア
デュアル電源装置
4 GB RAM
4 x 72 GB SFF SAS RAID HDD
Smart Array E200i Controller
NIC × 2 (Broadcom 5708 統合 NIC × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 1 つ、内部に 1 つ、背面に 2 つ)
Cavium CN1120-NHB-E SSL Accelerator Card


) NAC-3390 は HP ProLiant DL360 G5 に基づいています。


「NAC-3390 の前面パネル」

「NAC-3390 の前面パネルの LED/ボタン」

「NAC-3390 の背面パネル」

「NAC-3390 の背面パネルの LED/ボタン」

Cisco NAC アプライアンス 3100 シリーズ

CCA-3140-H1 2

CAM

単一プロセッサ : Xeon 2.8 GHz 単一コア
1 GB SDRAM, DDR2-400 MHz
80 GB NPH SATA ハード ディスク ドライブ(HDD)
Embedded SATA RAID Controller
10/100/1000 LAN ポート× 2 (Broadcom 5721 統合 NIC × 2)
24x CD-ROM ドライブ
PCI フルスロット× 2
USB ポート× 4(前面に 2 つ、背面に 2 つ)


) CCA-3140-H1 は HP ProLiant DL140 G2 に基づいています。



) CCA-3140-H1 では、Cisco NAC アプライアンス ソフトウェアの CD インストールが必要です。


「CCA-3140-H1 の前面パネル」

「CCA-3140-H1 の背面パネル」

CAS

1.NAC-3310 では、HP ProLiant DL140 G3 のファームウェア/BIOS アップグレードが必要です。「ファームウェアのアップグレード」を参照してください。

2.NAC-3310 および CCA-3140 は iLO(Lights Out 100i Remote Management)をサポートします。デフォルトの iLO「Administrator」アカウントには、デフォルトのユーザ名/パスワード(admin/admin)が設定されています。デフォルトを変更するには、CCA-3140 BIOS 設定を使用します。

3.NAC-3350 および NAC-3390 は、iLO2(Integrated Lights Out, version 2)をサポートします。管理アカウントの詳細は、パネルのタグを参照してください。

NAC-3310 前面および背面パネル

NAC-3310 アプライアンスは Clean Access Lite Manager(Lite CAM)および CAS(100/250/500 ユーザ数)を配置するための推奨プラットフォームです。NAC-3310 Lite CAM は最大 3 つの CAS または 3 つの HA-CAS ペアを管理できます。NAC-3310 CAS は 100、250、または 500 のユーザをサポートできます。

NAC-3310 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図1 NAC-3310 の前面パネル

 

 

1

HDD(ハード ディスク ドライブ)ベイ

6

HDD アクティビティ LED インジケータ(グリーン)

2

CD-ROM/DVD ドライブ

7

電源ボタンおよび LED インジケータ(2 色: グリーン/オレンジ)

3

UID(ユニット ID)ボタンおよび LED インジケータ(ブルー)

8

前面ベゼルの取り付けネジ

4

システム ヘルス LED インジケータ(オレンジ)

9

前面 USB ポート

5

NIC 1(eth0)および NIC2(eth1)のアクティビティ/リンク ステータス LED インジケータ(グリーン)

図2 NAC-3310 の背面パネル

 

 

1

通気孔

9

UID ボタンおよび LED インジケータ(ブルー)

2

上面カバーの取り付けネジ

10

背面 USB ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付けネジ

11

ビデオ ポート(ブルー)

4

NIC 3(eth2)および NIC 4(eth3)PCI Express GbE LAN(RJ-45)ポート(Intel)

12

シリアル ポート

5
13

PS/2 キーボード ポート(パープル)

6

標準サイズの PCI Express x16/PCI-X ライザー ボード スロット カバー

14

PS/2 マウス ポート(グリーン)

7

電源コード ソケット

15

IPMI 管理用 10/100 Mbps iLO LAN ポート(RJ-45)

8

NIC 1(eth0)および NIC 2(eth1)統合 GbE LAN(RJ-45)ポート(Broadcom)


) 3 つの LAN ポートにはそれぞれ、アクティビティ/リンク ステータスおよびネットワーク速度を示す独自の LED インジケータがあります。


NAC-3350 前面および背面パネル

NAC-3350 アプライアンスは、企業全体に対応する Clean Access Standard Manager(Standard CAM)および CAS(1500/2500 ユーザ数)を配置するための推奨プラットフォームです。NAC-3350 Standard CAM は最大 20 の CAS または 20 の HA-CAS ペアを管理できます。NAC-3350 CAS は 1500 または 2500 のユーザをサポートできます。

NAC-3310 と同様に、NAC-3350 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。NAC-3350 にはさらに、2 GB の RAM、RAID 0 および 1 に設定された 2 つの SAS ドライブ、SSL アクセラレータ、およびデュアル電源装置が装備されています。これにより、大規模なネットワーク配置がサポートされ、ネットワーク コアの中央に配置した CAM/CAS の信頼性が向上します。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図3 NAC-3350 の前面パネル

 

 

1

ハード ドライブ ベイ 1

4

ビデオ コネクタ

2

ハード ドライブ ベイ 2

5

HP Systems Insight Display

3

CD-ROM/DVD ドライブ

6

USB コネクタ

図4 NAC-3350 の前面パネルの LED/ボタン

 

 

1

Power On/Standby ボタンおよびシステム電源 LED

グリーン = システム電源がオンです。
オレンジ = システムがシャットダウンしているが、電力は供給されていません。
消灯 = 電源コードが接続されていないか、電源装置が故障しているか、電源装置が搭載されていないか、設備電力を使用できないか、または電源ボタン ケーブルが切断されています。

2

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが低下しています(低下状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
レッド = システム ヘルスがクリティカル状態です(クリティカル状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
消灯 = スタンバイ モードの場合に、システム ヘルスが正常です。

4

外部ヘルス LED(電源装置)

グリーン = 電源装置ヘルスが正常です。
オレンジ = 電力冗長性に障害が発生しました。
消灯 = スタンバイ モードの場合に、電源装置ヘルスが正常です。

5

NIC 1(eth0)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(NAC-3350 の背面パネル LED)。

6

NIC 2(eth1)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(NAC-3350 の背面パネル LED)。

図5 NAC-3350 の背面パネル

 

 

1

NIC 3(eth2)PCI-X ポート(Intel)

8

キーボード コネクタ(パープル)

2

NIC 4(eth3)PCI-X ポート(Intel)

9

マウス コネクタ(グリーン)

3

PCI Express 拡張スロット 2

10

ビデオ コネクタ(ブルー)

4

電源装置ベイ 1

11

シリアル コネクタ

5

電源装置ベイ 2

12

USB コネクタ

6

統合 NIC 2(eth1)ポート(Broadcom)

13

USB コネクタ

7

統合 NIC 1(eth0)ポート(Broadcom)

14

iLO 2 NIC コネクタ(RJ-45)

図6 NAC-3350 の背面パネル LED

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 3(Intel)アクティビティ LED

グリーンに点灯 = ハイ アクティビティ
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合、リンクは切断されています)。

4

10/100/1000 NIC 3(Intel)リンク LED

オレンジ = 1000 Mbps
グリーン = 100 Mbps
消灯 = 10 Mbps(アクティビティ LED が消灯している場合、リンクは切断されています)。

5

10/100/1000 NIC 4(Intel)アクティビティ LED

グリーンに点灯 = ハイ アクティビティ
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合、リンクは切断されています)。

6

10/100/1000 NIC 4(Intel)リンク LED

オレンジ = 1000 Mbps
グリーン = 100 Mbps
消灯 = 10 Mbps(アクティビティ LED が消灯している場合、リンクは切断されています)。

7

10/100/1000 NIC 1(Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

8

10/100/1000 NIC 1(Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

9

10/100/1000 NIC 2(Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

10

10/100/1000 NIC 2(Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

11

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

12

電源装置 1 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

13

電源装置 2 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

NAC-3390 前面および背面パネル

NAC-3390 アプライアンス プラットフォームでは、企業全体に対応する Clean Access Super Manager(Super CAM)を配置して、最大 40 の CAS または 40 の HA-CAS ペアをサポートできるように、処理、メモリ、および電力が拡張されています。NAC-3390 にはデュアル プロセッサ、デュアル電源装置、4 GB の RAM、4 台のハード ディスク ドライブ、2 つの統合 NIC、および 1 つの SSL アクセラレータが装備されています。詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。


) Super CAM ソフトウェアがサポートされるのは、Cisco NAC-3390 アプライアンス プラットフォームのみです。


図7 NAC-3390 の前面パネル

 

 

1

ハード ドライブ ベイ 1

5

CD-ROM/DVD ドライブ

2

ハード ドライブ ベイ 2

6

ビデオ コネクタ

3

ハード ドライブ ベイ 3

7

HP Systems Insight Display

4

ハード ドライブ ベイ 4

8

USB コネクタ

図8 NAC-3390 の前面パネルの LED/ボタン

 

 

1

Power On/Standby ボタンおよびシステム電源 LED

グリーン = システム電源がオンです。
オレンジ = システムがシャットダウンしているが、電力は供給されていません。
消灯 = 電源コードが接続されていないか、電源装置が故障しているか、電源装置が搭載されていないか、設備電力を使用できないか、または電源ボタン ケーブルが切断されています。

2

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが低下しています(低下状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
レッド = システム ヘルスがクリティカル状態です(クリティカル状態のコンポーネントを識別するには、「HP Systems Insight Display and LEDs」を参照)。
消灯 = スタンバイ モードの場合に、システム ヘルスが正常です。

4

外部ヘルス LED(電源装置)

グリーン = 電源装置ヘルスが正常です。
オレンジ = 電力冗長性に障害が発生しました。
消灯 = スタンバイ モードの場合に、電源装置ヘルスが正常です。

5

NIC 1 リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(NAC-3390 の背面パネルの LED/ボタン)。

6

NIC 2 リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンに点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワーク リンクが存在しません。
電源がオフの場合、前面パネル LED は無効です。ステータスについては、RJ-45 コネクタの背面パネル LED を参照してください(NAC-3390 の背面パネルの LED/ボタン)。

図9 NAC-3390 の背面パネル

 

 

1

PCI Express 拡張スロット 1、ロープロファイル、ハーフ長

8

マウス コネクタ(グリーン)

2

Cavium SSL Accelerator Card(PCI Express 拡張スロット 2)

9

ビデオ コネクタ(ブルー)

3

電源装置ベイ 1

10

シリアル コネクタ

4

電源装置ベイ 2

11

USB コネクタ

5

統合 NIC 2(eth1)ポート(Broadcom)

12

USB コネクタ

6

統合 NIC 1(eth0)ポート(Broadcom)

13

iLO 2 NIC コネクタ(RJ-45)

7

キーボード コネクタ(パープル)

図10 NAC-3390 の背面パネルの LED/ボタン

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 1 アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

4

10/100/1000 NIC 1 リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

5

10/100/1000 NIC 2 アクティビティ LED

グリーン = アクティビティが存在します。
グリーンに点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

6

10/100/1000 NIC 2 リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

7

UID ボタン/LED

ブルー = 識別が有効です。
ブルーに点滅 = システムがリモート管理されています。
消灯 = 識別が無効です。

8

電源装置 1 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

9

電源装置 2 LED

グリーン = 正常
消灯 = システムがオフであるか、電源装置に障害があります。

CCA-3140-H1 前面および背面パネル

Cisco Clean Access 3140(CCA-3140-H1)では、CAS または CAM ソフトウェアをカスタマ側でロードする必要があります。手順については、「CCA-3140 Cisco NAC アプライアンスへのインストール」を参照してください。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図11 CCA-3140-H1 の前面パネル

 

 

1

ホットプラグ非対応の 1 インチ SATA または SCSI ハード ドライブ ベイ

6

NIC 1 および NIC 2 アクティビティ LED

2

ホットプラグ非対応の 1 インチ SATA または SCSI ハード ドライブ ベイ

7

ディスク アクティビティ LED

3

CD-ROM ドライブ

8

電源スイッチ

4

UID LED

9

USB ポート

5

システム ヘルス モニタ LED

図12 CCA-3140-H1 の背面パネル

 

 

1

通気孔

8

UID ボタンおよび LED インジケータ(ブルー)、前面パネル上の UID ボタンのミラー機能

2

上面カバーの取り付けネジ

9

USB 2.0 ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付けネジ(横)

10

ビデオ ポート(ブルー)

4

薄型 64 ビット/133 MHz PCI-X ライザー ボード スロット カバー

11

シリアル ポート

5

標準サイズの 64 ビット/133 MHz PCI-X ライザー ボード スロット カバー

12

PS/2 キーボード ポート(パープル)

6

電源コード ソケット

13

PS/2 マウス ポート(グリーン)

7

GbE LAN ポート(RJ-45)
NIC 1(eth0)用(左側)
NIC 2(eth1)用(右側)

14

IPMI 管理用 10/100 Mbps iLO ポート(RJ-45)

初期設定の開始

ここでは、次の項目について説明します。

「NAC アプライアンスの接続」

「コンフィギュレーション ワークシート」

「コンフィギュレーション ユーティリティの実行」

「SSL 証明書に関する重要事項」

「コンフィギュレーション ユーティリティの手動での再起動」

NAC アプライアンスの接続

初期設定を実行するには、NAC アプライアンスに接続し、コマンド ラインにアクセスする必要があります。


ステップ1 NAC アプライアンスのコマンド ラインには、次の 2 つの方法でアクセスできます。

a. マシンの背面パネルにあるキーボード/ビデオ モニタ コネクタを介して、モニタとキーボードを直接マシンに接続します(推奨方法)。

b. シリアル ケーブルでワークステーション(PC/ラップトップ)とマシンを接続し、端末エミュレーション ソフトウェア(HyperTerminal、SecureCRT など)を使用して、ワークステーションのシリアル接続を開始します。詳細は、「NAC アプライアンスのシリアル接続」を参照してください。

ステップ2 NAC アプライアンス(CAM または CAS)の背面パネルにある eth0(NIC1)10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。

ステップ3 CAS NAC アプライアンスを NAT(ネットワーク アドレス変換)ゲートウェイまたは Real-IP ゲートウェイとして設定して、テストする場合は、CAS の背面パネルにある eth1(NIC2)10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。


) CAS をバーチャル ゲートウェイ(IB[帯域内]または OOB[帯域外])として設定する場合は、Web 管理コンソール(および、中央配置の場合は、設定された VLAN マッピング)から CAM に CAS を追加するまで、CAS の非信頼インターフェイス(eth1)を取り外したままにしておきます。このようにすると、ネットワーク接続問題を防止できます。詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Administration Guide』を参照してください。


ステップ4 NAC アプライアンスの背面パネルと、アースされた AC コンセントを、AC 電源コードで接続します。

ステップ5 アプライアンスの前面にある電源ボタンを押して、NAC アプライアンスの電源をオンにします。Power-on Self-Test(POST; 電源投入時セルフテスト)の実行中、診断 LED が数回点滅します。アプリケーションが起動すると、コンソールにステータス メッセージが表示されます。

ステップ6 「コンフィギュレーション ユーティリティの実行」の手順に進んでください。


 

NAC アプライアンスのシリアル接続

ここでは、シリアル接続を通じた NAC アプライアンスのコマンド ラインへのアクセス手順を説明します。


ステップ1 シリアル接続を使用するには、シリアル ケーブル(DB9 メス/メス)を使用して、PC/ラップトップと NAC アプライアンスのシリアル ポートを接続します(必要に応じて、付属のヌル モデム ケーブルを使用できます)。
ワークステーションをアプライアンスに物理的に接続したら、端末エミュレーション ソフトウェアを使用してシリアル接続インターフェイスにアクセスできます。次に示す手順は、使用中のソフトウェアによって異なる場合があります。

ステップ2 Microsoft® HyperTerminal を使用している場合は、 Start > All Programs > Accessories > Communications > HyperTerminal をクリックして、HyperTerminal ウィンドウを開きます。

ステップ3 セッションの名前を入力し、 OK をクリックします。

ステップ4 Connect using リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(COM3 や COM2 など)を選択し、 OK をクリックします。

ステップ5 Port Settings を次のように設定します。Bits per second - 9600、Data bits - 8、Parity - None、Stop bits - 1、Flow control - Hardware(CTS/RTS)(または None)

ステップ6 Disconnect アイコンをクリックしてから File > Properties をクリックし、セッションの Properties ダイアログを開きます。 Settings タブをクリックして、 Emulation ドロップダウンを VT100 に設定します。 OK をクリックしてから、 Call アイコンをクリックします。
アプライアンスのコマンドライン インターフェイスにアクセスできるようになります(数分間かかることがあります)。


) NAC アプライアンスが HA 用に設定されていて、HA にシリアル ハートビートが使用されている場合は、シリアル ポートをシリアル コンソールに使用できません。



 

コンフィギュレーション ワークシート

NAC アプライアンスの初期設定を実行するには、次の情報が必要です。

CAM のコンフィギュレーション ワークシート

CAS のコンフィギュレーション ワークシート

CAM のコンフィギュレーション ワークシート

 

表2 CAM コンフィギュレーション ユーティリティ ワークシート

CAM NAC アプライアンスの場合:

a. eth0(信頼)インターフェイスの IP アドレス:

 

b. eth0 インターフェイスのサブネット マスク(IP ネットマスク):

 

c. eth0 インターフェイスのデフォルト ゲートウェイ IP アドレス:

 

d. CAM のホスト名:

 

e. ネットワークの Domain Name Server(DNS;ドメイン ネーム サーバ)の IP アドレス

 

f. 共有秘密鍵:
(デフォルトは cisco123
CAM とすべての CAS で同じにする必要があります。

 

g. 日付、時刻、タイムゾーン:

 

h. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

CAM の FQDN または IP アドレス:
組織ユニット(Sales など)
組織名(Cisco など)
組織の場所(San Jose、CA、US など)

注: FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。

 

i. root ユーザのパスワード:
(デフォルトのユーザ名/パスワードは root / cisco123

 


) デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。


CAS のコンフィギュレーション ワークシート

 

表3 CAS コンフィギュレーション ユーティリティ ワークシート

CAS NAC アプライアンスの場合:

a. eth0(信頼)インターフェイスの IP アドレス:

 

b. eth0 インターフェイスのサブネット マスク(IP ネットマスク):

 

c. eth0 インターフェイスのデフォルト ゲートウェイ IP アドレス:

 

d. eth1(非信頼)インターフェイスの IP アドレス

 

e. eth1 インターフェイスのサブネット マスク(IP ネットマスク):

 

f. eth1 インターフェイスのデフォルト ゲートウェイ IP アドレス:

 

g. CAS のホスト名:

 

h. ネットワークの DNS の IP アドレス

 

i. 共有秘密鍵(デフォルトは cisco123 ):
CAM とすべての CAS で同じにする必要があります。

 

j. 日付、時刻、タイムゾーン:

 

k. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

CAS の FQDN または eth0 IP アドレス:
組織ユニット(Sales など)
組織名(Cisco など)
組織の場所(San Jose、CA、US など)

注: FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。

 

l. root ユーザのパスワード:
(デフォルトのユーザ名/パスワードは root / cisco123

 

m. Web コンソールのパスワード:
(デフォルトのユーザ名/パスワードは admin / cisco123

 

コンフィギュレーション ユーティリティの実行


) CCA-3140 の場合のみ、コンフィギュレーション ユーティリティを実行する前に、ソフトウェアの CD インストールを実行する必要があります。CCA-3140 が納入された場合は、「CCA-3140 Cisco NAC アプライアンスへのインストール」 の手順に従ってから、以下の手順に進んでください。


NAC-3310、NAC-3350、または NAC-3390 アプライアンスに電源を投入し、 root としてログインすると、初期設定を実行するように要求されます(以下を参照)。

MANAGER を設定するには、 「CAM コンフィギュレーション ユーティリティ スクリプトの実行」 の手順を実行します。

SERVER を設定するには、 「CAS コンフィギュレーション ユーティリティ スクリプトの実行」 の手順を実行します。

CAM と CAS で初期設定を完了したら、「CAM Web コンソールへのアクセス」を参照してください。

CAM コンフィギュレーション ユーティリティ スクリプトの実行


ステップ1 NAC-3310、NAC-3350、または NAC-3390 MANAGER アプライアンスに接続して、電源を投入します(NAC アプライアンスの接続を参照)。
(CCA-3140 の場合のみ、CD-ROM からの CAM ソフトウェアのインストールを実行してから、ステップ3に進んでください。)

ステップ2 ユーザ root (デフォルト パスワード cisco123 )としてログインします。

ステップ3 次の Configuration Utility Welcome 画面が表示されます。

Welcome to the Cisco Clean Access Manager quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Manager, (C) 2006 Cisco Systems, Inc.
 

ステップ4 最初のプロンプトで、CAM の eth0(信頼)インターフェイスの IP アドレスを入力して(CAM ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interface:
Please enter the IP address for the interface eth0 [10.0.2.15]: 10.201.240.11
You entered 10.201.240.11 Is this correct? (y/n)? [y]
 

ステップ5 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスクを入力するか(フィールド b. )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]

ステップ6 デフォルト ゲートウェイを受け入れるか、または CAM のデフォルト ゲートウェイ アドレスを指定して(フィールド c. )、確認します これは通常、CAM サブネットとCAS サブネットの間にあるルータの IP アドレスです。

Please enter the IP address for the default gateway [10.201.240.1]:
You entered 10.201.240.1. Is this correct? (y/n)? [y]
 

ステップ7 CAM のホスト名を入力します(フィールド d. )。CAM Web コンソールで CAM ホスト名を使用するには、DNS サーバにエントリを作成します。

Please enter the hostname [localhost.localdomain]: cam3350
You entered cam3350 Is this correct? (y/n)? [y]
 

ステップ8 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド e. )、またはデフォルト値を受け入れます。

Please enter the IP address for the name server [10.0.2.1]: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ9 1 つの構成内の CAM および CAS は、内部パスワードとして機能する共有秘密鍵を通じて、相互に認証します。デフォルトの共有秘密鍵は、 cisco123 です。プロンプトに共有秘密鍵を入力して、確認します(フィールド f. )。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please remember to configure the Clean Access Server with the same string. Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]

注意 同じ構成内の CAM とすべての CAS に、すべて同じ共有秘密鍵を設定しなければなりません。共有秘密鍵が異なっていると、相互に通信できません。

ステップ10 CAM のタイム ゾーンを次のように指定します(フィールド g. )。

>>> Configuring date and time:
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
 

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら、 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 16 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1

ステップ11 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

Updating timezone information...
Current date and time hh:mm:ss mm/dd/yy [07:52:52 07/09/06]: 15:52:00 10/09/06
You entered 15:52:00 10/09/06 Is this correct? (y/n)? [y]
Mon Oct 9 15:52:00 PDT 2006
 

ステップ12 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAM と Web 管理コンソールをセキュアに接続できるようにします(フィールド h. を使用)。

You must generate a valid SSL certificate in order to use the Clean Access Manager's secure web console.
Please answer the following questions correctly.
Information for a new SSL certificate:
Enter fully qualified domain name or IP: 10.201.240.11
Enter organization unit name: DOC
Enter organization name: Cisco Systems
Enter city name: San Jose
Enter state code: CA
Enter 2 letter country code: US
 

a. 発行される証明書の対象となる IP アドレスまたはドメイン名を入力するか、Enter キーを押して、デフォルトの IP アドレス(通常は、 10.201.240.11 など、すでに指定した eth0 IP アドレス)を受け入れます。


) Web サーバの応答先も、この IP アドレスまたはドメイン名になります。DNS にドメイン名が設定されていない場合は、CAM Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAM の IP アドレスを使用してください。


b. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( DOC など)。

c. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

f. 2 文字の国コード( US など)を入力し、Enter キーを押します。

ステップ13 値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.11
Organization unit: DOC
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y
 
Generating SSL Certificate...
CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:
CA verifying: /root/.tomcat.crt <-> CA cert
/root/.tomcat.crt: OK
Done
 

ステップ14 インストールした CAM の Linux オペレーティング システム用の root ユーザ パスワードを設定します(フィールド i. )。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH コンソール接続を通じてシステムにアクセスする際に使用します。

For security reasons, it is highly recommended that you change the default passwords for the root user.
User: root
Changing password for user root.
New UNIX password:
Retype new UNIX password:
passwd(pam_unix)[1823]: password changed for root
passwd: all authentication tokens updated successfully.

) パスワード推測攻撃に対するネットワークの脆弱性を軽減するために、強力なパスワード(6 文字以上、文字と数字の混在など)を使用することを推奨します。


ステップ15 設定が完了したら、Enter キーを押して、CAM をリブートします。

Changes require a RESTART of Clean Access Manager.
Configuration is complete.
Done
Install has completed. Press <ENTER> to reboot.

service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ16 再起動後は、Web コンソールを通じて CAM にアクセスできるようになります。アクセス方法については、「CAM Web コンソールへのアクセス」を参照してください。


 

CAS コンフィギュレーション ユーティリティ スクリプトの実行


ステップ1 NAC-3310 または NAC-3350 SERVER アプライアンスに電源を投入します(NAC アプライアンスの接続を参照)。
(CCA-3140 の場合のみ、CD-ROM からの CAS ソフトウェアのインストールを実行してから、ステップ3に進んでください。)

ステップ2 ユーザ root (デフォルト パスワード cisco123 )としてログインします。

ステップ3 次の Configuration Utility Welcome 画面が表示されます。

Welcome to the Cisco Clean Access Server quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Server, (C) 2006 Cisco Systems, Inc.
 

ステップ4 最初のプロンプトで、CAS の eth0(信頼)インターフェイスの IP アドレスを入力して(CAS ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interfaces:
Please enter the IP address for the interface eth0 [10.0.2.15]: 10.201.240.100
You entered 10.201.240.100 Is this correct? (y/n)? [y]

) CAS の eth0 IP アドレスは 管理 IP アドレスと同じです。


ステップ5 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスクを入力するか(フィールド b. )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ6 デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド c. )、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。

Please enter the IP address for the default gateway [10.201.240.1]:
You entered 10.201.240.1 Is this correct? (y/n)? [y]
 

ステップ7 Vlan Id Passthrough プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーをディセーブルなままにします。デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]

) 通常、VLAN パススルーは不要です。


ステップ8 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルなままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。

[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]

) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。



) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。


ステップ9 CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド d. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Please enter the IP address for the untrusted interface eth1 [10.0.2.15]: 10.10.10.10
You entered 10.10.10.10 Is this correct? (y/n)? [y]

) バーチャル ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 です。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 とネットワークを接続しないでください。詳細は、CAS のマニュアルを参照してください。


ステップ10 eth1 インターフェイスのサブネット マスクを入力するか(フィールド e. )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth1 [255.255.255.0]:
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ11 eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド f. )。

a. CAS が Real-IP または NAT ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。

b. CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。

Please enter the IP address for the default gateway [10.10.10.1]:
You entered 10.10.10.1 Is this correct? (y/n)? [y]
 

ステップ12 次のプロンプトで、 n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルなままにします。

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

ステップ13 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルなままにします(デフォルト)。

[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

ステップ14 CAS のホスト名を入力して、確認します(フィールド g. )。

Please enter the hostname [localhost.localdomain]: cas3350
You entered cas3350 Is this correct? (y/n)? [y]
 

ステップ15 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド h. )、またはデフォルト値を受け入れます。

Please enter the IP address for the name server [10.0.2.1]: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ16 プロンプトに CAM および CAS の共有秘密鍵を入力して、確認します(フィールド i. )。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123.
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please enter the shared secret: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]

注意 同じ構成内の CAM とすべての CAS に、すべて同じ共有秘密鍵を設定しなければなりません。共有秘密鍵が異なっていると、相互に通信できません。

ステップ17 次の手順に従って、CAS の時間設定を指定します(フィールド j. )。

>>> Configuring date and time:
The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
 

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら、 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 16 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ18 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

Updating timezone information...
Current date and time hh:mm:ss mm/dd/yy [07:52:52 07/09/06]: 15:52:00 10/09/06
You entered 15:52:00 10/09/06 Is this correct? (y/n)? [y]
Mon Oct 9 15:52:00 PDT 2006

) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。


ステップ19 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド k. を使用)。

You must generate a valid SSL certificate in order to use the Clean Access Server's secure web console.
Please answer the following questions correctly.
Information for a new SSL certificate:
Enter fully qualified domain name or IP: 10.201.240.10
Enter organization unit name: doc
Enter organization name: Cisco Systems
Enter city name: San Jose
Enter state code: CA
Enter 2 letter country code: US
 

a. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( doc など)。

b. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

c. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

d. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

e. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ20 値を確認してから Enter キーを押して、SSL 証明書を生成します。または、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.10
Organization unit: doc
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y
Generating SSL Certificate...
CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:
CA verifying: /root/.tomcat.crt <-> CA cert
/root/.tomcat.crt: OK
Done
 

ステップ21 インストールした CAS の Linux オペレーティング システム用の root ユーザ パスワードを入力します(フィールド l. )。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。

For security reasons, it is highly recommended that you change the default password for the root user.
User: root
Changing password for user root.
New UNIX password:
Retype new UNIX password:
 

ステップ22 CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します(フィールド m. )。デフォルトのパスワードは、 cisco123 です。 CAS Web コンソールには CAS 固有の設定の一部が表示され、ハイ アベイラビリティの設定などに使用されます。

Would you like to change the default password for the web console admin user pas sword? (y/n)? [y]
Please enter an appropriately secure password for the web console admin user.
New password for web console admin:
Confirm new password for web console admin:
Web console admin password changed successfully.
 

ステップ23 設定が完了したら、Enter キーを押して、CAS をリブートします。

Configuration is complete.
Done
Install has completed. Press <ENTER> to reboot.

service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。


これで、CAS の初期設定は完了です。

ステップ24 CAS から CAM に ping を送信して、CAM と CAS が相互に ping を送信できる(ルーティングできる)ことを確認します。

ステップ25 「CAM Web コンソールへのアクセス」の手順に進んでください。


 

SSL 証明書に関する重要事項

CAM および CAS の初期設定中に、一時的な SSL 証明書を生成する必要があります。そうしないと、NAC アプライアンスに管理ユーザまたはエンド ユーザとしてアクセスできません。

実稼働環境に CAM または CAS を配置する前に、CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインした場合に、セキュリティに関する警告が表示されなくなります。CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。

Certificate Signing Request(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。詳細については、CAM および CAS のマニュアルの「Set System Time」および「Manage SSL Certificates」を参照してください。

コンフィギュレーション ユーティリティの手動での再起動

インストール後に、CAS または CAM の設定をリセットする必要がある場合は、 service perfigo config CLI(コマンドライン インターフェイス)コマンドを使用します。


ステップ1 ダイレクト コンソール接続、シリアル接続、または SSH を使用して、CAS または CAM に接続します。

ステップ2 ユーザ root 、パスワード cisco123 (デフォルト)としてログインします。

ステップ3 コマンド service perfigo config を実行します。

ステップ4 デフォルト値を受け入れるか、すべてのプロンプトに新しい値を入力します(コンフィギュレーション ユーティリティの実行を参照)。

ステップ5 設定が完了したら、コマンド service perfigo reboot を実行してマシンをリブートします。


 

NAC アプライアンスの電源切断

CAM/CAS の電源をオフにする場合は、コンソール/SSH を介して接続している間に、以下のいずれかを実行します。このようにすると、CAM の電源切断中にデータベースが破壊されなくなります。

service perfigo stop と入力してから、マシンの電源をオフにします。

/sbin/halt と入力してから、マシンの電源をオフにします。

CAM Web コンソールへのアクセス

CAM の Web 管理コンソールは、導入された Cisco NAC アプライアンスを管理するための主要インターフェイスです。初期設定が完了したら、次の手順に従って、CAM Web コンソールにアクセスします。


ステップ1 ネットワークを通じて CAM にアクセス可能なコンピュータで Web ブラウザ(IE 6.0)を起動します。

ステップ2 URL/アドレス フィールドに、CAM の IP アドレス(DNS サーバに必要なエントリを作成した場合はホスト名)を入力します。

ステップ3 一時的な SSL 証明書を使用している場合は、セキュリティ警告と、証明書を受け入れるよう求めるプロンプトが表示されます。 Yes をクリックして証明書を受け入れます(署名つきの証明書を使用している場合、セキュリティ ダイアログは表示されません)。

CAM ライセンスのインストール

ステップ4 Clean Access Manager License Form が表示されます(図13)。便利なように、フォーム上部に CAM アプライアンスの eth0 MAC(メディア アクセス制御)アドレスが表示されます。製品のライセンス ファイルを取得して、CAM Web コンソールにアクセスしている PC/ラップトップのディスクに保存していることを確認します(NAC アプライアンスのライセンスを参照)。

図13 Clean Access Manager License Form

 

ステップ5 Clean Access Manager License File フィールドで Browse ボタンをクリックして、CAM 用に受領したライセンス ファイルを探し、 Install License ボタンをクリックします。


) CAM Failover(HA)ライセンスを購入してある場合は、プライマリ CAM に Failover ライセンスをインストールしてから、その他のすべてのライセンスをロードします。このようにすると、HA-CAM ペアのアップグレードが容易になります。


ステップ6 ライセンスが受け入れられると、Web 管理コンソール ウィンドウ(図14)が開きます。デフォルト ユーザ名 admin とデフォルトの Web 管理ユーザ パスワード cisco123 を入力し、 Login をクリックします。

図14 CAM Web 管理コンソールのログイン ページ

 

ステップ7 Monitoring Summary ページが開き、左側にナビゲーション ペインが表示されます(図15)。

図15 Monitoring Summary ページ

 

ライセンスの追加

ステップ8 CAS ライセンスを追加するには、 Administration > CCA Manager > Licensing の順番に進みます(図16)。

図16 Licensing ページ

 

ステップ9 Clean Access FlexLM License File(s) フィールドで Browse をクリックして、CAS または CAS バンドルのライセンス ファイルを探し、 Install License をクリックします。ページ上部に、 ライセンスのインストールの成功/失敗、追加したライセンスのタイプ、および(CAS ライセンスの場合)サーバの増加数を示すグリーンの確認テキストが表示されます([License added successfully. Out-of-Band Server Count is now 10.] など)。ページ下部のステータス テキストには、Lite、Standard、または Super Manager ライセンスの有無、ライセンスが Failover かどうか、および IB または OOB CAS ライセンス数が示されます。HA-CAS マシンには、Manager Failover ライセンスが必要です。Manager Failover ライセンスをインストールした場合、サーバ数はスタンドアロン CAS 1 つ分または HA-CAS ペア 1 つ分だけ増加します。

ステップ10 インストールする必要のあるライセンス ファイルごとに、ステップ9 を行います
(Customer Registration Form に入力した各 PAK にライセンス ファイルが 1 つ届いているはずです)。このページの下部の Server Count 情報には、ライセンス ファイルの正常インストールによって利用可能となった CAS の合計数が表示されます。


Remove All Licenses ボタンをクリックすると、すべての FlexLM ライセンス ファイルがシステムから削除されます。ライセンス ファイルを個別に削除することはできません(すべてのラインセンスを削除して、再インストールした場合、認証されたユーザ トラフィックは引き続き通過します)。
Web 管理コンソールにアクセスできるようにするには、CAM ライセンスを導入する必要があります。
FlexLM 永久版ライセンスがインストールされると、FlexML 評価版ライセンスは無効になり、永久版が使用されます。FlexLM ライセンス(永久版または評価版)がインストールされると、以前のライセンス キー(インストールされたままであっても)は無効になり、FlexLM ライセンスが使用されます。
評価版 FlexLM の削除後または有効期限の終了後には、以前のライセンス キーが再び有効になります。詳細は、「NAC アプライアンスのライセンス」を参照してください。


ステップ11 これで、ライセンスはインストールされました。CAM Web コンソールを使用して、構成の設定を継続できます。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』を参照してください。

ステップ12 Web コンソールからログアウトするには、コンソールの右上にある管理セッションの Logout ボタンをクリックするか、またはブラウザを閉じます。


 


CAM Web コンソールは CAM ドメイン内の CAS をすべて管理します。CAS ダイレクト アクセス Web コンソールを介して、特定の CAS の設定の一部、または高度な設定にアクセスすることもできます(https://<CAS_IP>/admin を使用します。デフォルトのユーザ名/パスワードは、 admin/cisco123 です)。CAS ダイレクト アクセス コンソールは通常、HA などの高度な設定の場合に限って使用します。


CLI コマンド

NAC アプライアンスの CLI を使用すると、Web コンソールを使用できない場合(ネットワークまたは VLAN 設定が間違っている場合などに)に、CAM または CAS マシンに基本的な動作パラメータを直接設定できます。 表4 に、一般に使用される CLI コマンドを示します。これらのコマンドを実行するには、KVM、SSH、またはシリアル コンソールを介して NAC アプライアンスにアクセスし、ユーザ root (デフォルト パスワード cisco123 )としてログインします。

 

表4 CLI コマンド

コマンド
説明

service perfigo config

CAM または CAS のネットワーク設定を変更するためのコンフィギュレーション ユーティリティを起動します。変更が完了したら、 service perfigo reboot または reboot を実行して、変更した設定でアプライアンスをリセットします。
「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。

service perfigo start

CAM または CAS を起動します。このコマンドを使用するには、アプライアンスを停止する必要があります。アプライアンスが稼働している場合は、警告メッセージが表示されます。

service perfigo stop

CAM または CAS の Clean Access サービスをシャットダウンします。

注: 管理 VLAN が設定されている場合にこのコマンドを実行すると、CAS のネットワーク接続が切断されます。

service perfigo maintenance

(注: CAS 専用コマンド)

CAS をメンテナンス モードに設定する CAS 専用コマンドです。メンテナンス モードでは、基本 CAS ルータのみが稼働して、VLAN タグ付きパケットを引き続き処理します。

このコマンドを使用すると、管理 VLAN 経由の通信が可能になります。このコマンドは、CAS がトランク モードになっていて、ネイティブ VLAN と管理 VLAN が異なる環境で使用します。

service perfigo restart

CAM または CAS の Clean Access サービスをシャットダウンして、再起動します。このコマンドは、稼働中のサービスを再起動する場合に使用します。

注: ハイ アベイラビリティ(フェールオーバー)をテストする際に、 service perfigo restart を使用しないでください。フェールオーバーをテストするアプライアンスには、代わりに shutdown reboot Linux コマンド、または service perfigo stop および service perfigo start CLI コマンドを使用します。

service perfigo reboot

CAM または CAS をシャットダウンして、再起動します。または、Linux reboot コマンドを使用します。

service perfigo time

タイム ゾーンの設定値を変更する際に使用します。時間を表示するには、Linux clock コマンドを使用します。

Cisco NAC アプライアンスへの CD インストール

NAC-3300 シリーズ アプライアンス

NAC-3310、NAC-3350、および NAC-3390 アプライアンスには、デフォルト バージョンの CCA システム ソフトウェアが事前にロードされています。NAC-3300 アプライアンスに最初に電源を投入すると、root でログインするように要求され、初期設定スクリプトが起動します(コンフィギュレーション ユーティリティの実行を参照)。アプライアンスが設定してある場合は、NAC-3300 シリーズでサポートされる最新のソフトウェア リリースにアップグレードすることを推奨します(NAC アプライアンス ソフトウェアのアップグレードを参照)。新しいアプライアンスに古いバージョンのソフトウェアが事前にロードされている場合は、新しいサポート対象ソフトウェア バージョンへの CD インストールを実行することもできます。設定済みアプライアンスに CD ソフトウェアをインストールすると、古い設定がすべて削除されます。


) NAC-3300 シリーズ アプライアンスに推奨される最低限のソフトウェア バージョンは、Release 4.0(5) および 4.1(1)(次期バージョン)です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および次の URL にある、該当する 4.0 と 4.1 のリリース ノートを参照してください。
http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html


MANAGER アプライアンスに CD ソフトウェアをインストールする場合は、「CD-ROM からの CAM ソフトウェアのインストール」の手順に従ってください。

SERVER アプライアンスに CD ソフトウェアをインストールする場合は、「CD-ROM からの CAS ソフトウェアのインストール」の手順に従ってください。


NAC-3310 に CD ソフトウェアをインストールする場合のみ、ブート時にインストール ディレクティブを入力する必要があります。prompt--DL140(直接接続されている場合)、または serial_DL140(アプライアンスにシリアル接続されている場合)



NAC-3390 MANAGER に CD ソフトウェアをインストールする場合のみ、ブート可能 CD-ROM を作成するための独立した Super CAM .ISO ファイルが必要になります。Super CAM ソフトウェアがサポートされるのは、NAC-3390 プラットフォームのみです。


NAC-3100 シリーズ アプライアンス

CCA-3140 の場合に限って、ソフトウェアは事前にロードされていません。CD-ROM からマシンにインストールする必要があります(CCA-3140 Cisco NAC アプライアンスへのインストールを参照)。

CCA-3140 Cisco NAC アプライアンスへのインストール

CCA-3140-H1 の場合のみ、コンフィギュレーション ユーティリティを実行する前に、CD から Cisco NAC アプライアンス ソフトウェアをインストールする必要があります。マシンに CAM または CAS ソフトウェアをインストールする場合は、同じインストール CD を使用します。インストール中に、CCA Manager(デフォルト)と CCA Server パッケージのいずれをインストールするか選択するように要求されます。パッケージをインストールするには、パッケージを選択する必要があります。

CCA-3140 に CAM ソフトウェアをインストールするには、「CD-ROM からの CAM ソフトウェアのインストール」の手順に従います。

CCA-3140 に CAS ソフトウェアをインストールするには、「CD-ROM からの CAS ソフトウェアのインストール」の手順に従います。

パッケージ インストールが完了したら、コンフィギュレーション ユーティリティが自動的に起動します。「コンフィギュレーション ユーティリティの実行」に記載された手順に従ってください。


) Cisco NAC アプライアンス ソフトウェアは、同じマシン上に他のソフトウェアまたはデータがあることを想定した設計にはなっていません。インストール プロセスによってターゲット ハード ドライブはフォーマットおよび分割され、ドライブ上のデータまたはソフトウェアはすべて破棄されます。


「コンフィギュレーション ユーティリティの実行」に記載されている設定手順も含めて、全体のインストール プロセスにはアプライアンスごとに約15分の時間がかかります。

CD-ROM からの CAM ソフトウェアのインストール

次の手順では、CAM ソフトウェアの CD インストールを CCA-3140-H1(必須)、または NAC-3310 MANAGER、NAC-3350 MANAGER、および NAC-3390 MANAGER アプライアンス(任意)に実行する方法を示します。


ステップ1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンド ラインにアクセスします(NAC アプライアンスの接続を参照)。

ステップ2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードして、インストールします。


) 最新バージョンの互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および次の URL にある、該当するリリース ノートを参照してください。
http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html


CCA-3140-H1 の場合は、ターゲット マシンの CD-ROM ドライブに製品の CD を挿入します。

または、 Log In をクリックして Cisco Secure Software にログインし、次の URL から最新のサポート対象 .ISO ファイルをダウンロードします。
http://www.cisco.com/kobayashi/sw-center/ciscosecure/cleanaccess.shtml

NAC-3310 MANAGER NAC-3350 MANAGER 、または CCA-3140-H1 の場合は、 cca-<version>-K9.iso ファイルをダウンロードします。

NAC-3390 MANAGER の場合のみ、 supercam-cca-<version>-K9.iso ファイルをダウンロードします。

.ISO をブート可能ディスクとして CD-R に書き込み、CD を各インストール マシンの CD-ROM ドライブに挿入します。

ステップ3 マシンを再起動します。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access Installer (C) 2006 Cisco Systems, Inc.
Welcome to the Cisco Clean Access Installer!
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console,
enter serial at the boot prompt and press the <ENTER> key.
boot:

ステップ4 「boot:」 プロンプトで、次のように入力します。

NAC-3310 MANAGER の場合のみ

モニタとキーボードが直接 NAC-3310 に接続されている場合は、 DL140 を入力して、Enter キーを押します。

NAC-3310 にシリアル接続でアクセスしている場合は、 serial_DL140 と入力して、端末エミュレーション コンソールの Enter キーを押します。

CCA-3140-H1、NAC-3350 MANAGER、または NAC-3390 MANAGER の場合

モニタとキーボードが直接ターゲット マシンに接続されている場合は、Enter キーを押します。

ターゲット マシンにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ5 Package Group Selection 画面が表示され、 CCA Manager ソフトウェア(デフォルト)または CCA Server ソフトウェアを選択する必要があります。次の画面のプロンプトで、 CCA Manager を選択し、さらに OK を選択すると、インストールが開始されます。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して OK フィールドに移動し、移動したら Enter キーを押して、選択したパッケージ タイプのインストールを開始します。

Welcome to Cisco Clean Access
++ Package Group Selection ++
| |
| Total install size: 606M |
| |
| [*] CCA Manager # |
| [ ] CCA Server # |
| # |
| # |
| # |
| # |
| # |
| # |
| |
| +----+ +------+ |
| | OK | | Back | |
| +----+ +------+ |
| |
| |
+---------------------------+
<Space>,<+>,<-> selection | <F2> Group Details | <F12> next screen

) Package Group Selection はデフォルトで CCA Manager に設定されています。ただし、インストールを開始するには、Tab キーを押して OK フィールドに移動し、Enter キーを押す必要があります。Package Group Selection 画面から、「Back」オプションを選択しないでください。


ステップ6 Clean Access Manager Package Installation が実行されます。インストールには数分かかります。インストールが終了すると、CAM クイック コンフィギュレーション ユーティリティの初期画面が表示されます。

ステップ7 「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の手順に従って、CAM の初期設定を継続します。


 

CD-ROM からの CAS ソフトウェアのインストール

次の手順では、CAS ソフトウェアの CD インストールを CCA-3140-H1(必須)、または NAC-3310 SERVER および NAC-3350 SERVER アプライアンス(任意)に実行する方法を示します。


ステップ1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンド ラインにアクセスします(NAC アプライアンスの接続を参照)。

ステップ2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードして、インストールします。


) 最新バージョンの互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および次の URL にある、該当するリリース ノートを参照してください。
http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html


CCA-3140-H1 の場合は、ターゲット マシンの CD-ROM ドライブに製品の CD を挿入します。

または、 Log In をクリックして Cisco Secure Software にログインし、次の URL から最新のサポート対象 .ISO ファイルをダウンロードします。
http://www.cisco.com/kobayashi/sw-center/ciscosecure/cleanaccess.shtml

NAC-3310 SERVER NAC-3350 SERVER 、または CCA-3140-H1 の場合は、 cca-<version>-K9.iso ファイルをダウンロードします。

.ISO をブート可能ディスクとして CD-R に書き込み、CD を各インストール マシンの CD-ROM ドライブに挿入します。

ステップ3 マシンを再起動します。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access Installer (C) 2006 Cisco Systems, Inc.
Welcome to the Cisco Clean Access Installer!
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console,
enter serial at the boot prompt and press the <ENTER> key.
boot:
 

ステップ4 「boot:」 プロンプトで、次のように入力します。

NAC-3310 SERVER の場合のみ

モニタとキーボードが直接 NAC-3310 に接続されている場合は、 DL140 を入力して、Enter キーを押します。

NAC-3310 にシリアル接続でアクセスしている場合は、 serial_DL140 と入力して、端末エミュレーション コンソールの Enter キーを押します。

CCA-3140-H1 または NAC-3350 SERVER の場合

モニタとキーボードが直接ターゲット マシンに接続されている場合は、Enter キーを押します。

ターゲット マシンにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ5 Package Group Selection 画面が表示され、 CCA Manager ソフトウェア(デフォルト)または CCA Server ソフトウェアを選択する必要があります。次の画面のプロンプトで、 CCA Server を選択し、さらに OK を選択して、インストールを開始します。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して OK フィールドに移動し、移動したら Enter キーを押して、選択したパッケージ タイプのインストールを開始します。

Welcome to Cisco Clean Access
++ Package Group Selection ++
| |
| Total install size: 606M |
| |
| [ ] CCA Manager # |
| [*] CCA Server # |
| # |
| # |
| # |
| # |
| # |
| # |
| |
| +----+ +------+ |
| | OK | | Back | |
| +----+ +------+ |
| |
| |
+---------------------------+
<Space>,<+>,<-> selection | <F2> Group Details | <F12> next screen

) Package Group Selection はデフォルトで CCA Manager に設定されています。CAS のインストールを開始するには、CCA Server を選択し、Tab キーを押して OK フィールドに移動し、Enter キーを押す必要があります。Package Group Selection 画面から、「Back」オプションを選択しないでください。


ステップ6 Clean Access Server Package Installation が実行されます。インストールには数分かかります。インストールが終了すると、CAS クイック コンフィギュレーション ユーティリティの初期画面が表示されます。

ステップ7 「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の手順に従って、CAS の初期設定を継続します。


 

追加 NIC カードの設定

コンフィギュレーション ユーティリティ スクリプトでは、CAM および CAS マシンに eth0(NIC1)および eth1(NIC2)インターフェイスがデフォルトで装備されていて、初期インストール中にこれらを設定できることが前提となります。システムに追加のNIC(NIC3、NIC4 など)が搭載されている場合は、次の手順に従って、これらのカードに追加インターフェイス(eth2、eth3 など)を設定できます。通常、CAS システムに HA を設定する場合は、eth2 を設定する必要があります。HA の場合、適切なアドレッシングを設定した eth2(NIC3)インターフェイスは、HA-CAS 専用の UDP ハートビート インターフェイスとして設定できます。


) Cisco NAC アプライアンス ハードウェア プラットフォームに関する次の手順では、NIC が搭載されていて、「機能」している(BIOS および Linux で認識されている)ことが前提となります。


追加 NIC の設定手順


ステップ1 NIC が Linux で認識されているか確認するには、 ifconfig eth n を入力します( n はインターフェイス番号)。たとえば、イーサネット インターフェイスが 2 つ(0 および 1)内蔵されているシステムに NIC を追加する場合、 n は 2 です。したがって、次のように入力します。

ifconfig eth2
 

ステップ2 MAC アドレスや送受信カウンタなどのインターフェイス情報が表示されます。この場合、インターフェイスが Linux で認識されていて、使用できる状態です。

ステップ3 次のディレクトリに移動します。

cd /etc/sysconfig/network-scripts
 

ステップ4 次のように vi を使用して、インターフェイスの ifcfg-ethn ファイルを編集します。

vi ifcfg-eth2
 

ステップ5 ファイルに次の行を追加し、 IPADDR NETMASK BROADCAST 、および NETWORK 値をネットワークの実際の値で置き換えます。

DEVICE=eth2
IPADDR=192.168.0.253
NETMASK=255.255.255.252
BROADCAST=192.168.0.255
NETWORK=192.168.0.252
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
 

ステップ6 ファイルを保存して、システムをリブートします。これで、ネットワーク インターフェイスを HA に使用できます。


 


) NIC カードが BIOS で認識されない場合は(アプライアンス以外のサーバ マシンの場合など)、製造元の推奨設定に従って、IRQ/メモリ設定を調整する必要があります。
BIOS で認識された NIC は、ソフトウェア(Linux)で自動的に認識されます。何らかの理由により、NIC が BIOS で認識されているにもかかわらず、Linux で認識されない場合は、システムにログインして kudzu を実行してください。NIC の設定を支援するユーティリティが起動します。


HA 設定の詳細については『 Cisco NAC Appliance - Clean Access Manager Installation and Administration Guide 』の「Configuring High Availability (HA)」、および『 Cisco NAC Appliance - Clean Access Server Installation and Administration Guide 』を参照してください。

マニュアルの入手方法、テクニカル サポート、およびセキュリティ ガイドライン

マニュアルの入手方法、テクニカル サポート、マニュアル フィードバックの送信方法、セキュリティ ガイドライン、および推奨エイリアスや一般的なシスコのマニュアルについては、月刊の『 What's New in Cisco Product Documentation 』を参照してください。シスコの技術マニュアルが、新規版または改訂版を含めて、すべて記載されています( http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html から入手してください)。

Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。

Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register/

シスコ製品(ハードウェア)に関する限定保証規定

保証期間内にお客様が受けられるハードウェアの保証およびサービスに関して適用される特別な条件があります。シスコのソフトウェアに適用される保証を含む正式な保証書は、Cisco.com で提供しています。次の手順を実行して、Cisco.com から Cisco Information Packet 、および保証とライセンス契約書にアクセスし、これらをダウンロードしてください。

1. ブラウザを起動し、次の URL に進みます。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/cetrans.htm

Warranties and License Agreements ページが表示されます。

2. Cisco Information Packet を表示するには、次の手順を実行します。

a. Information Packet Number フィールドをクリックし、製品番号 78-5235-03B0 が選択されていることを確認します。

b. 文書を表示する言語を選択します。

c. Go をクリックします。

d. Information Packet の Cisco Limited Warranty and Software License ページが表示されます。

e. このページから文書をオンラインで見ることも、 PDF アイコンをクリックして、文書を PDF 形式でダウンロードし、印刷することもできます。


) PDF ファイルを表示し、印刷するには、Adobe Acrobat Reader が必要です。 これは、Adobe の Web サイト http://www.adobe.com からダウンロードできます。


3. お手持ちの製品について、翻訳またはローカライズされた保証情報を表示するには、次の手順を実行します。

a. Warranty Document Number フィールドに、次の製品番号を入力します。

78-6310-02C0

b. 文書を表示する言語を選択します。

c. Go をクリックします。

Cisco warranty ページが表示されます。

d. このページから文書をオンラインで見ることも、 PDF アイコンをクリックして、文書を PDF 形式でダウンロードし、印刷することもできます。

また、Cisco Service and Support の Web サイトにアクセスして、サポートを受けることもできます。

http://www.cisco.com/public/Support_root.shtml

ハードウェア保証期間

シスコ製ハードウェアは購入したエンドユーザが製品を所有または使用している限り、ファンおよび電源装置は 5 年間保証されます。製品の製造が中止された場合は、シスコでは製造中止の通知から 5 年間保証します。

ハードウェアに関する交換、修理、払い戻しの手順

シスコ、またはその代理店では、Return Materials Authorization(RMA; 返品許可)要求を受領してから、10 営業日以内に交換部品を出荷するように商業上合理的な努力を致します。お届け先により、実際の配達所要日数は異なります。

シスコは購入代金を払い戻すことにより一切の保証責任とさせて頂く権利を留保します。

Return Materials Authorization(RMA; 返品許可)番号の入手

製品を購入されたシスコの代理店にお問い合わせください。製品を直接シスコから購入された場合は、シスコの営業担当者にお問い合わせください。

次の項目を記入して、参照用に保管してください。

 

製品の購入先:

 

購入先の電話番号:

 

製品モデル番号:

 

製品シリアル番号:

 

メンテナンス契約番号: