セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンス — リリース 4.1(8) からリリース 4.7(0) への移行

Cisco NAC アプライアンス -- リリース 4.1(8) からリリース 4.7(0) への移行
発行日;2012/01/21 | 英語版ドキュメント(2010/06/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco NAC アプライアンス -- リリース 4.1(8) からリリース 4.7(0) への移行

概要

始める前に

既存のアプライアンスを移行する準備

移行ユーティリティの実行

バックアップ スナップショットの復元

移行後の SSL 証明書

NAC HA システムへの移行

移行後

追加情報

マニュアルの入手方法およびテクニカル サポート

Cisco NAC アプライアンス -- リリース 4.1(8) からリリース 4.7(0) への移行

OL-21013-01-J

 

概要

このマニュアルでは、シスコ製以外のハードウェアにインストールされた Cisco NAC アプライアンスの以前のリリースを、Cisco NAC アプライアンス移行ユーティリティを使用して次世代の(NAC-3315/3355/3395)プラットフォームにアップグレードする方法について説明します。


) 移行ユーティリティを実行する前に Dell 1850 ベースの CAM/CAS をリリース 4.1(8) にアップグレードする場合は、Cisco Technical Assistance Center(TAC)に連絡して、Dell 1850 プラットフォームでの Cisco NAC アプライアンス リリース 4.1(x) へのアップグレードに関する重要な情報を確認してください。


この移行スクリプトは、NAC アプライアンス ソフトウェア リリース 4.1(8) からリリース 4.7(0) へのアップグレード専用であり、適用対象は Cisco 以外のハードウェアだけです。


警告 この移行ユーティリティを Cisco NAC-3140、NAC-3310、NAC-3350、または NAC-3390 アプライアンスで実行しないでください。実行すると、データベースが破損します。これらのデバイスからリリース 4.7(x) にアップグレードする場合は、Release Notes for Cisco NAC Appliance, Version 4.7(1)「Upgrading to Release 4.7(1)」を参照してください。


Cisco 以外のハードウェアから移行する場合は、 Cisco NAC アプライアンス ソフトウェアのダウンロード サイト から移行ユーティリティをダウンロードできます。最初に、Cisco 以外のハードウェアで実行されている Cisco NAC アプライアンス ソフトウェアをリリース 4.1(8) にアップグレードする必要があります。

リリース 4.7(0) がインストールされた Cisco NAC 3315/335/3395 アプライアンスに移行したあと、通常の手順に従って新しいアプライアンスを 4.7(1) 以降にアップグレードできます。

始める前に


) 既存の Cisco NAC アプライアンス リリースを 4.1(8) にアップグレードしたあとで、何らかの問題が発生し、以前のリリースに戻す場合は、CAM/CAS で新規インストールを実行して以前のソフトウェア リリースに戻す必要があります。リリース 4.1(8) にアップグレードする前に、現在のソフトウェア バージョンのバックアップ スナップショットを作成することを推奨します。


警告 移行手順は、ここに示す順序で実行する必要があります。手順の実行順序がずれると、既存の設定が失われたり、適切な時間内にネットワークを運用可能な状態に戻すことができなくなったりする可能性があります。


ステップ 1 新しい Cisco NAC アプライアンスを入手し、既存のネットワーク トポロジに合わせて Clean Access Manager とすべての Clean Access Server を置き換えます。

ステップ 2 新しい Clean Access Manager の eth0 の MAC アドレスに基づいて、新しい Cisco NAC アプライアンスのライセンス ファイルを取得します。詳細については、 Cisco NAC Appliance Service Contract/Licensing Support のガイドラインに従ってください。

ステップ 3 新しい NAC アプライアンスにリリース 4.7(0) ソフトウェアをインストールする方法については、 Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1) を参照してください。


) HA 配置の場合は、必ず両方の Clean Access Manager の eth0 を使用してフェールオーバー(FO)ライセンスを入手してください。



 

既存のアプライアンスを移行する準備


) すべてのアップグレード手順と移行手順は、実稼動環境ではなく、オフラインで実行してください。移行が完了したあと、実稼動ネットワークでアプライアンスを起動して接続を確認できます。



ステップ 1 古いハードウェアを 4.1(8) にアップグレードします。 Release Notes for Cisco NAC Appliance, Version 4.1(8) 「Upgrade」 に記載されている既存の Clean Access リリース用の適切なアップグレード手順に従って、ネットワーク上のすべての CAM/CAS マシンをアップグレードします。

ステップ 2 既存のアプライアンスをリリース 4.1(8) にアップグレードしたら、Clean Access Agent ログインまたは Web ログインが正常に機能するかどうかを確認します。

ステップ 3 既存の Clean Access Manager のデータベース スナップショットを作成して保存します。スナップショット ファイルのコピーは、必ずローカル ネットワーク内でアクセス可能な別のマシンに保存してください。詳細については、 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.1(8) 「Backing Up the CAM Database」 を参照してください。

ステップ 4 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.1(8) 「Manage CAM SSL Certificates」 および Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.1(8) 「Manage CAS SSL Certificates」 に従って、Clean Access Manager およびネットワーク上のすべての Clean Access Server から SSL 証明書、秘密鍵、および適切なサード パーティのルート/中間証明書のローカル コピーをエクスポートして保存します。

ステップ 5 FlexLM ライセンス ファイルまたは perfigo.com ライセンス文字列を安全に保管するため、そのローカル コピーを保存します。

FlexLM ライセンス ファイルは、CAM の /perfigo/control/tomcat/normal-webapps/upload/ ディレクトリにあります。

perfigo.com ライセンス文字列のローカル コピーを保存するには、[CAM Administration] > [CCA Manager] > [Licensing] Web コンソール ページに移動し、[Perfigo Product License Key] フィールドの文字列全体をコピーします。

ステップ 6 標準の CAM データベース スナップショット機能の対象にならない Cisco NAC アプライアンスの次の追加要素をバックアップします。

CAM および CAS のネットワーク タイム サーバ

CAM および CAS のネットワーク DNS サーバ

CAM および CAS のネットワーク インターフェイス eth2 および eth3 の設定(該当する場合)

CAM および CAS のホスト ファイル

CAM および CAS のシリアル ポート設定(該当する場合)

CAM および CAS の SSL 許可設定

CAM の日次データベース バックアップ

その他の CAM データベース スナップショット


) • CAM のバックアップについては、Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.1(8)「Administering the CAM」を参照してください。

CAS のバックアップについては、 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.1(8) 「Administering the CAS」 および 「Configuring the CAS Managed Network」 を参照してください。


 


 

移行ユーティリティの実行


) データベースが破損するリスクを最小限に抑え、移行プロセスをできるだけ迅速に実行するため、移行ユーティリティを起動する前に、Agent レポート ファイルをエクスポートしてアーカイブし、既存のイベント ログ、Agent レポート ファイル、および File Distribution 要件タイプで使用されるすべてのファイルを CAM データベースからを消去することを強く推奨します。各ファイルのサイズが 50 MB を超えないようにすることを推奨します。



ステップ 1 移行ユーティリティ nac_migration-4.7.0.tar.gz Cisco NAC アプライアンス ソフトウェアのダウンロード サイト からダウンロードします。

ステップ 2 図 1 に示すように、 Secure Copy または Secure FTP を使用してユーティリティ nac_migration-4.7.0.tar.gz を NAC アプライアンス リリース 4.1(8) の /store ディレクトリにコピーします。

図 1 移行ユーティリティの NAC アプライアンスへのコピー

ステップ 3 NAC アプライアンス リリース 4.1(8) で、SSH またはシリアル コンソールを使用して次のコマンドを実行します。

a. 移行ユーティリティを実行するには、CAM で service perfigo stop コマンドを入力し、perfigo サービスを停止する必要があります。


) CAS で perfigo サービスを停止するには、service perfigo maintenance コマンドを入力します。


b. cd /store を入力して /store ディレクトリに移動します。

c. mkdir -p migration コマンドを入力して、 migration という名前のディレクトリを作成します。

d. mv nac_migration-4.7.0.tar.gz migration/ コマンドを入力して、移行ユーティリティを migration ディレクトリに移動します。

e. cd migration を入力して migration ディレクトリに移動します。

f. tar -xvzf nac_migration-4.7.0.tar.gz を入力して、ユーティリティを解凍します。

g. ユーティリティが解凍され、 nac_migration-4.7.0 という名前のディレクトリが作成されます。

図 2 に上記のコマンドを示します。

図 2 移行ユーティリティの解凍

 

ステップ 4 cd nac_migration-4.7.0 を入力して nac_migration-4.7.0 ディレクトリに移動します。

ステップ 5 ./backup.sh コマンドを入力して、移行スクリプトを実行します。

ステップ 6 次の警告メッセージが表示されます。

Warning: This migration utility will transform the current 'controlsmartdb' database into a release 4.7.0-compatible database temporarily and revert to the original database afterwards. Cisco strongly recommends you create a backup snapshot of your current configuration immediately prior to beginning the migration process to release 4.7.0 and avoid performing any significant configuration updates in your system until after the new hardware has been configured to match your existing appliances and brought online.
 
Is the system backup taken and ready to continue? (y/n)? [n]
 

y キーを押して、バックアップを取ったことを確認します。

「File Distribution」要件タイプのためにアップロードされた CAM データベース内のファイルが 50 MB を超えている場合は、次の警告メッセージが表示されます。

Maximum file distribution size exceeds 50 MB. Aborting the upgrade and rebooting the system. Please remove such large files from the database before performing the upgrade.
Exiting.
 

アップグレード プロセスが中断され、.ISO CD-ROM がイジェクトされ、アプライアンスがリブートします。

アップグレードを再実行する前に、CAM の [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement List] Web コンソール ページを使用して、50 MB を超えるサイズの「File Distribution」ファイルをデータベースから手動で消去するか、またはアップロードされたファイルをネットワーク サーバに移動し、「Link Distribution」要件を作成して大きすぎる「File Distribution」ファイルを置き換える必要があります。


) この問題の影響を受けるのは CAM だけなので、CAS でのアップグレード操作には変更はありません。


圧縮した CAM データベースの合計サイズが空きメモリに入りきらない場合は、次のメッセージが表示されます。

Maximum compressed database size exceeds <RAMDISKMAX> MB. Aborting the upgrade and rebooting the system. Please remove large files from the database before performing the upgrade.
Exiting.

<RAMDISKMAX> は使用できる実際のメモリ容量です。


アップグレード プロセスが中断され、.ISO CD-ROM がイジェクトされ、アプライアンスがリブートします。

アップグレードを再実行する前に、CAM の [Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer] Web コンソール ページや [Monitoring] > [Event Logs] > [Log Viewer] Web コンソール ページを使用して、Agent レポートやイベント ログなどの大きなデータベース ストアを CAM データベースから手動で消去する必要があります。


) この問題の影響を受けるのは CAM だけなので、CAS でのアップグレード操作には変更はありません。


 

ステップ 7 移行スクリプトによって、次の名前のスナップショット ファイルが作成されます。

NAM-<IP>.tar.gz (CAM)

NAM-<PRIMARY|STANDBY>-<IP>.tar.gz (HA CAM)

NAS-<IP>.tar.gz (CAS)

NAS-<PRIMARY|STANDBY>-<IP>.tar.gz (HA CAS)

図 3 に、スタンドアロン CAM の場合の出力を示します。

図 3 スクリプトの実行


 

バックアップ スナップショットの復元


ステップ 1 リリース 4.1(8) の CAM/CAS の /store/migration/nac_migration-4.7.0 ディレクトリに作成したスナップショット ファイルを、NAC アプライアンス リリース 4.7(0) の /store ディレクトリにコピーします。

ステップ 2 スナップショットを復元するには、NAC アプライアンス 4.7(0) で SSH またはシリアル コンソールを使用して次のコマンドを実行します。

a. スナップショットを復元するには、 service perfigo stop コマンドを入力して perfigo サービスを停止する必要があります。


) CAS で perfigo サービスを停止するには、service perfigo maintenance コマンドを入力します。


b. cd /store を入力して /store ディレクトリに移動します。

c. mkdir -p migration コマンドを入力して、 migration という名前のディレクトリを作成します。

d. mv <SNAPSHOT_NAME.tar.gz> migration/ コマンドを入力して、スナップショットを migration ディレクトリに移動します。

e. cd migration/ を入力して migration ディレクトリに移動します。

f. tar -xvzf <SNAPSHOT_NAME.tar.gz> コマンドを入力します。

g. スナップショットが解凍され、スナップショットと同じ名前のディレクトリが作成されます。

図 4 に、スタンドアロン CAM のスナップショットに対する上記のコマンドを示します。

図 4 スナップショットのコピー

ステップ 3 cd <snapshot_name> を入力してスナップショットのディレクトリに移動します。

ステップ 4 ./restore.sh コマンドを入力して、スナップショットを復元します。

ステップ 5 次の警告メッセージが表示されます。

Warning: Please ensure that your Cisco NAC Appliance configuration has not changed significantly since beginning the hardware migration process from release 4.1.8 to release 4.7.0. Significant configuration updates performed during the migration process will be lost. The current settings on this appliance will now be changed so that they match the migration snapshot of the old appliance.
 
Continue with the migration? (y/n)? [n]
 

y キーを押して処理を続行します。

ステップ 6 プロンプトが表示されたら、図 5 に示すように、マスター秘密鍵を 2 回入力します。


注意 リリース 4.7(x) のマスター秘密鍵は、4.1(x) の共有秘密鍵とは異なります。詳細については、Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)「Verify/Change Current Master Secret on CAM/CAS」を参照してください。


注意 マスター秘密鍵が失われたか、破損した場合は、Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)「Recover From Corrupted Master Secret」の手順を使用してください。

図 5 スナップショットの復元

ステップ 7 復元が完了すると、図 6 に示すように、「Restore done」というメッセージが表示されます。

図 6 リストアの完了

ステップ 8 /sbin/reboot を入力してシステムをリブートします。

ステップ 9 ネットワーク内のすべての CAS で、この移行手順を繰り返します。

ステップ 10 ネットワーク上で新しいアプライアンスを起動します。

ステップ 11 CAM の Web コンソールにアクセスし、 Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1) 「Access the CAM Web Console」 の手順に従って Clean Access Manager の有効な FlexLM ライセンス ファイルをインストールします。

ステップ 12 CAM の Web コンソールで [Administration] > [CCA Manager] > [Licensing] に移動し、 Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1) 「Add Additional Licenses」 の手順に従って Clean Access Server 用の追加の FlexLM ライセンス ファイルをインストールします。

ステップ 13 アクセス ネットワーク上のクライアント マシンから Web ログイン、Agent ログイン、またはその両方を実行して接続を確認します。


 

移行後の SSL 証明書

Cisco NAC アプライアンス リリース 4.7(x) の .ISO イメージやアップグレード イメージには、「www.perfigo.com」認証局は含まれていません。ネットワークで「www.perfigo.com」CA を使用する必要がある管理者は、リリース 4.7(x) のインストールまたはアップグレードのあとで、この CA をローカル マシンから手動でインポートする必要があります。

CAM と CAS の間に最初のセキュア通信チャネルを確立するためには、各アプライアンスから他のアプライアンスの信頼できるストアにルート証明書をインポートして、CAM が CAS の(および CAS が CAM の)証明書を信頼できるようにする必要があります。

NAC HA システムへの移行

HA システムに移行する場合は、HA 設定の各システムを移行する必要があります。各システムを 4.7(0) の対応するシステムに移行する手順に従います。HA 設定の perfigo サービスを停止するときは、セカンダリ システムのサービスを停止してからプライマリ システムのサービスを停止します。

セカンダリ CAM で、 service perfigo stop を入力します。

プライマリ CAM で、 service perfigo stop を入力します。

セカンダリ CAS で、 service perfigo maintenance を入力します。

プライマリ CAS で、 service perfigo maintenance を入力します。

perfigo サービスを停止したら、スタンドアロン システム用の移行手順を実行します。システムを起動するときは、最初にプライマリ システムを起動し、次にセカンダリ システムを起動します。

移行後


) この項は、リリース 4.1(8) の CAM/CAS に HA のリンク検出機能を実装したお客様を対象としています。リリース 4.7(0) の HA CAM/CAS 構成で初めてリンク検出機能をイネーブルにする場合は、Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)「Configuring High Availability」を参照してください。


CAS HA の 非信頼側リンク検出 機能は、L2 バーチャル ゲートウェイ構成モードで信頼インターフェイスと非信頼インターフェイスの IP アドレスが同じである場合にパケット ループの問題が発生するのを避けるため、新しいプラットフォームで復元プロセスを実行したときに移行ツール キットによってディセーブルにされています。CAS の設定だけでは構成モードを正しく検出できないため、非信頼側でのリンク検出は動作モードに関係なくディセーブルにされます。この機能を再度イネーブルにするには、次の手順を実行します。


ステップ 1 NAC 設定全体の移行プロセスを完了します。すべての CAM と CAS が正常に移行され、CAM がすべての CAS を管理できるようになっている必要があります。CAS HA ペアでは、プライマリ CAS がアクティブ ノードになり、セカンダリ CAS がスタンバイ ノードになる必要があります。

ステップ 2 プライマリ CAS の Web コンソールにログインし、[Administration] > [Network Settings] > [Failover] に移動します。

a. [Untrusted-side Link-detect IP Address] フィールドに、ターゲットの IP アドレスを入力します。

b. 新しいセカンダリ ピアの MAC アドレスを [[Secondary] Peer MAC address] フィールドに入力します。


) ピアの MAC アドレスは、2 つの HA ノードの信頼インターフェイスと非信頼インターフェイスの間でパケットがループするのをフィルタで除外(ブロック)するために使用されます。


c. [Update] をクリックします。

ステップ 3 セカンダリ CAS の Web コンソールにログインし、[Administration] > [Network Settings] > [Failover] に移動します。

a. [Untrusted-side Link-detect IP Address] フィールドに、ターゲットの IP アドレスを入力します。

b. 新しいプライマリ ピアの MAC アドレスを [[Primary] Peer MAC address] フィールドだけに入力します。


) [[Primary] Peer Serial No.] フィールドは変更しないでください。


c. [Update] をクリックします。

ステップ 4 CAM の Web コンソールにログインし、[Device Management] > [CCA Servers] > [List of Servers] に移動します。アップデートした CAS の横にある [Manage] アイコンをクリックします。

ステップ 5 「SSKEY on server doesn't match the value in database」という警告メッセージが表示されます。[Reset SSKEY] をクリックして CAS 上のキーをリセットします。

ステップ 6 非信頼側リンク検出 がディセーブルになっているすべての CAS で、上記の手順を繰り返します。


 

追加情報

以前のリリースから最新のリリース 4.7(1) へのアップグレードの詳細については、 Release Notes for Cisco NAC Appliance, Version 4.7(1) 「Upgrading to Release 4.7(1)」 を参照してください。

暫定リリース 4.5(x) および 4.6(1) に関する重要な情報については、次の各ドキュメントの新機能と機能拡張に関する項を参照してください。

Release Notes for Cisco NAC Appliance, Version 4.5(1)

Release Notes for Cisco NAC Appliance, Version 4.6(1)

4.7(1) がインストールされた新しい Cisco NAC アプライアンスの詳細については、次のマニュアルを参照してください。

Cisco NAC Appliance Hardware Installation Guide, Release 4.7(1)

Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)

Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。