Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC Profiler 設定へのネットワーク デバイスの追加
Cisco NAC Profiler 設定へのネットワーク デバイスの追加
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC Profiler 設定へのネットワーク デバイスの追加

概要

デバイス グループの追加

ネットワーク デバイスのインポート

SNMP v1 および v2c を実行するネットワーク デバイスのインポート

SNMPv3 を実行するネットワーク デバイスのインポート

ネットワーク デバイスを設定に個別に追加する

ネットワーク デバイス

ネットワーク デバイスのリスト

デバイス ツリー

ネットワーク デバイスの編集

ネットワーク デバイスの検索

Cisco NAC Profiler 設定へのネットワーク デバイスの追加

この章は、次の内容で構成されています。

「概要」

「デバイス グループの追加」

「ネットワーク デバイスのインポート」

「ネットワーク デバイスを設定に個別に追加する」

「ネットワーク デバイス」

概要

必要なProfiler Server 設定と Collector 設定を実行したら、次にネットワーク接続エンドポイントへ接続するネットワーク インフラストラクチャ デバイス(スイッチおよびルータ)を追加します。

SNMP ポーリングの効率性を確保するために、ネットワーク デバイスを適切な Collector に関連づけて、Collector が CAS アプライアンスが導入されているネットワークの配信ポイントからの SNMP クエリーを実行できるようにします。これにより、SNMP トラフィックがローカライズされ、コア ネットワークの処理リソースが消費されなくなります。各 Collector は、関連づけられているネットワーク デバイスに対して定期的にポーリングを行い、接続されているエンドポイントとそのステータスに関する情報を収集します。各 Collector の NetMap モジュールは、Profiler Server 設定で指定された間隔でネットワーク デバイスと通信を行います。NetMap とネットワーク デバイス間の通信は、SNMP プロトコルを経由して行われます。エンドポイント トポロジの変更をリアルタイムで認識されるようにするには、デバイスへのポーリングをするよう割り当てられている NetTrap モジュールを実行している Collector に SNMP トラップを送信するよう、ネットワーク デバイスを任意に設定できます。これにより、ネットワークに対するエンドポイントの接続と切り離しがシステムにほぼリアルタイムで伝えられます。したがって Cisco NAC Profiler はエンドポイント トポロジの正確なモデルを維持できます。

Cisco NAC Profiler の主な機能はエンドポイント プロファイリングと動作モニタリングであるため、システム設定に追加されたネットワーク デバイスは、ネットワーク アクセス レイヤを構成するデバイス、またはシステムが導入されるネットワークの「エッジ」となるデバイス、つまり、エンドユーザ、プリンタ、コピー機、ファックス、IP テレフォニー デバイス、およびネットワーク インフラストラクチャへの接続に使用するその他のネットワーク エンドポイントとなるデバイス(通常はレイヤ 2 のスイッチ)となります。Address Resolution Protocol(ARP)テーブルにアクセスできるようにするため、レイヤ 3 のデバイス(ルータ)を組み込む必要がありますが、いくつかの L2 エッジ デバイスの配信レイヤとして機能するルータに限定するか、またはエッジ スイッチが ARP テーブルのレベルを視覚的に提供できる場合は、デバイス リストを完全に無視できます。Cisco NAC Profiler は、レイヤ 3 デバイスからの情報を使用して、エンドポイント IP アドレスと MAC(ハードウェア)アドレス間のマッピングを作成します。スイッチまたはスイッチおよびルータからのレイヤ 2 Source Address Tables(SAT)情報は、エンドポイントの特定に使用されます。

NAC Profiler システム設定に追加されたネットワーク デバイスは、一般的にデバイス リストと呼ばれているネットワーク デバイスのテーブルに追加されます。ネットワーク デバイスをシステム設定に追加するなどネットワーク デバイス管理タスクを実行するには、[Configuration] タブを選択します。左側のナビゲーション ペインで [Network Devices] を選択して、図 8-1 に示されている [Configure Network Devices] ページをメイン ペインに表示します。

図 8-1 [Configure Network Devices] ページ

 

[Configure Network Devices] テーブルには、システム設定でネットワーク デバイスを管理するための管理タスク オプションが一覧されています。タスク名は、そのタスクに関連づけられているページに移動するためのインターフェイスとなるリンクとなっています。ネットワーク デバイスを設定するタスクには、次のものがあります。

[Add Device] :単独のネットワーク デバイスをシステム設定に追加できます。

[Add Group] :同様の属性を持つネットワーク デバイスを論理的にグループ化して、管理を容易にします。このオプションを使用すると、ネットワーク デバイス グループを作成できます。

[List Network Devices] :現在システム設定にあるすべてのネットワーク デバイスとそのステータスを一覧するネットワーク デバイスのテーブルを表示します。

[Find Device] :デバイス名または IP アドレスのようなデバイスの条件を指定して、ネットワーク デバイスまたはデバイスを検索するための検索ツールです。

[Import Devices] :.csv ファイルを使用してネットワーク デバイスのリストを Cisco NAC Profiler にインポートするユーティリティです。

ネットワーク デバイスのリスト管理機能を開始するには、[Configure Network Devices] テーブルの左端のカラムにあるリンクを選択します。この章の残りの部分では、これらの機能を使用してシステムの configuration.m 設定のネットワーク デバイス リストを管理する方法について説明します。

デバイス グループの追加


) ネットワーク デバイス グループはオプションで、ネットワーク デバイスがコミュニティ ストリングや VLAN ID のようなコモン設定パラメータを共有していない環境では使用できない場合があります。SNMPv3 を使用している場合は、グループに属するすべてのデバイスがまったく同じ SNMPv3 パラメータを使用している限りこの機能を使用できます。グルーピング機能を使用しない場合は、この章の後半にある「ネットワーク デバイスの追加またはインポート」の項に進みます。


多くのネットワーク環境では、デバイスのグループを定義してネットワーク トポロジの全体像を明確にし、Cisco NAC Profiler ネットワーク デバイスの設定タスクを容易にするのが望ましいです。すでに説明したように、デバイスのグループは指定した Collector に関連づけられるだけでなく、デバイス グループが各 Collector に関連づけられているネットワーク デバイスと連携している場合は、システムの管理が容易になります。また、Collector の命名規則とデバイス グループが同じでない場合は、類似のものにすることをお勧めします。環境のネットワーク デバイスがコミュニティ ストリング、VLAN ID のような類似の設定パラメータを使用している場合は、グループを使用することでデバイス管理を効率化できます。ネットワーク デバイスがデバイス グループのメンバに指定されている場合、そのデバイスはデバイス グループの一般設定、アクセス方式、VLAN 設定、および エンドポイント ロール(該当する場合)を継承します。そのグループに属するデバイスには、これらのパラメータを個別に指定する必要はありません。システム設定に個別に追加またはインポートされたネットワーク デバイスをグループのメンバとして指定して、グループの設定パラメータを継承できます。

ネットワーク デバイス グループを Cisco NAC Profiler 設定に追加するには、[Configure Network Device] テーブルから [Add Group] を選択します。図 8-2 に示すように、メイン ペインで [Add Group] フォームが開きます。

図 8-2 ネットワーク デバイスの追加フォーム

 

追加するネットワーク デバイス グループに、次の情報を追加します。

[Group Name]

一意の名前を入力して、ネットワーク デバイスのこのグループを識別します。グループが作成され保存されたら、[Add Network Device] の [Select Group] ドロップダウン リストと [Edit Network Device] フォームに、システム設定に保存されたすべてのグループが入力されます。

[General Settings]

[Select Type]

ドロップダウン リストから追加するグループのデバイスのデバイス タイプ(レイヤ 2、レイヤ 3、またはデバイス)を選択します。管理対象デバイスのデバイス オプションには、Collector に役立つ情報がありますが、レイヤ 2 またはレイヤ 3 のネットワーク デバイスではありません。例として、MAC/IP バインディング情報を備え、問い合わせがあった場合に SNMP 経由でその情報を提供する管理 Novell Server があります。

[Select Collector mapping module]

このエントリを使用して、プルダウンに一覧されている設定済み Collector のリストから、このネットワーク デバイス グループでデバイスのポーリングを割り当てられる Collector の名前を指定します。デフォルト オプションは選択しないでください。

プルダウン メニューには、現在 Cisco NAC Profiler 設定にある各 Collector のエントリが表示されます。各 Collector 名には「-nm」が追加されます。これにより、SNMP 経由のデバイス ポーリングのためのマッピング モジュールとして、Collector の NetMap コンポーネントが指定されます。

[Save Configuration]

このグループのネットワーク デバイスに、SNMP persistent 経由で設定の変更内容を有効にする仕組みがある場合は、[save configuration] チェックボックスを選択すると、Cisco NAC Profiler が、グループ内のデバイスのすべての設定変更を有効なネットワーク デバイスに保存されている設定ファイルに保存するよう設定されます。これは、Cisco NAC Profiler を Port Provisioning モードで使用して、このドキュメントの前半に記載されているようにポート設定を変更する場合に適用できます。

[Access]

[Method]

このパラメータは、グループ内のネットワーク デバイスとの通信に使用する SNMP のバージョンを決定します。このグループのデバイスが稼動している SNMP バージョンのオプション ボタンを選択します。デフォルトでは、Cisco NAC Profiler はネットワーク デバイスとの通信に SNMP バージョン 1 を使用します。SNMP バージョン 2c またはバージョン 3 は、これらの SNMP バージョンのいずれかを使用するデバイスのグループのオプションとして選択できます。

[Read-Only Community String]

read-only SNMP アクセスに使用する、グループ内のすべてのデバイスに設定されている read-only コミュニティ ストリングを入力します。

Web インターフェイスは、コミュニティ ストリング フィールドに入力されたテキストを目立たなくして保護します。コミュニティ ストリングが正しく入力されるように、コミュニティ ストリングをクリア テキストで(メモ帳などから)カットアンドペーストして、Cisco NAC Profiler インターフェイスに正しく入力するのが望ましいです。コミュニティ ストリングが正しく入力されていないと、Cisco NAC Profiler はデバイスと通信を行いません。

[Read-Write Community String](オプション)

グループの read-write コミュニティ ストリングの提供は、このドキュメントの前半に記載されているように、Cisco NAC Profiler を Port Provisioning モードで使用してポート設定を変更する場合だけ適用できます。Cisco NAC Profiler を Port Provisioning モードで使用しない場合は、read-write コミュニティ ストリングを指定しないでください。

read-write SNMP アクセスに使用する、グループ内のすべてのデバイスに設定されている read-write コミュニティ ストリングを入力します。

フォームのこの部分の残りのパラメータは、SNMPv3 を使用するデバイスのグループにだけ適用されます。次のパラメータは、メソッド タイプの SNMPv3 のオプション ボタンが選択されている場合にだけ表示されます。このグループのネットワーク デバイスで使用している SNMP のバージョンとして SNMPv3 を追加する場合は、次のパラメータを記入します。

図 8-3 SNMPv3 のアクセス パラメータ

 

[SNMPv3 Username]

グループ内のデバイスとの SNMPv3 セッションを認証する場合は、SNMPv3 ユーザ名を入力します。

[SNMPv3 Passphrase]

選択したハッシュ タイプを使用するには、SNMPv3 認証パスフレーズを入力します。

[SNMPv3 Privacy Passphrase]

プライバシー パスフレーズは、選択したプライバシー(暗号化アルゴリズム タイプ)サービスに必要です。

[SNMPv3 Security Level]

グループ内のデバイスとの SNMPv3 セッションで使用している SNMPv3 セキュリティ レベルのオプション ボタンを選択します。

[NoAuthNoPriv]:認証なし、プライバシーなし(最低限のセキュリティ)

[AuthNoPriv]:認証あり、プライバシーなし(より高度なセキュリティ)

[AuthPriv]:認証あり、プライバシーあり(最高のセキュリティ)

[SNMPv3 Hash Type]

グループ内のデバイスとの SNMPv3 セッションで使用している SNMPv3 ハッシュ タイプを、MD5 または SHA1 プロトコルのいずれかから選択します。

どちらのプロトコルもハッシュ アルゴリズムで、メッセージがユーザの鍵に結びつけられている場合に、ストリングのフィンガープリントを生成します。ハッシュが実行されると、フィンガープリントは(鍵のない)メッセージに追加されます。パケットのデータがインフライトで変更されると、受信したメッセージ(フィンガープリントを引き、ユーザの鍵を足す)でハッシュが実行されたときに検出され、その結果が受信したフィンガープリントと比較されます。

2 つのプロトコルは似ていますが、どちらかと言えば MD5 はより高速で、SHA はより強力です。

[SNMPv3 Encryption Type]

グループ内のデバイスとの SNMPv3 セッションで使用している SNMPv3 ハッシュ タイプを、DES または AES プロトコルのいずれかから選択します。

[Virtual LAN Settings](オプション)

デバイス グループでの仮想 LAN 設定は、Cisco NAC Profiler を Port Provisioning モードで使用して、このドキュメントの前半に記載されているようにポート設定を変更する場合にだけ適用できます。Cisco NAC Profiler システムを Port Provisioning モードで使用しない場合は、デバイス グループにこれらのパラメータを入力しないでください。

[Default VLAN ID]

このグループのデバイスで Default VLAN として設定されている VLAN ID を入力します。VLAN 名の「Default」は、グループのデバイスでポート パラメータを管理する場合に、Cisco NAC Profiler のユーザ インターフェイスで使用されます。ユーザに提示される値は VLAN 名「Default」ですが、グループのデバイスの各インターフェイスの VLAN ID は、この項の設定に基づいて設定されます。これにより、企業ネットワークの異なる部分の同じ VLAN に異なる VID 値が使用されている環境で、Cisco NAC Profiler が容易に導入され、Port Provisioning モードで使用されます。

この例には、いくつかの環境で階、建物、またはキャンパスで異なる Printer VLAN があります。特定のポートのアプリケーションとして VLAN 名 Printer が選択されている場合、Cisco NAC Profiler によるネットワーク デバイス設定に基づいて、各デバイスの各ポートに適切な特定の VID が適用されます。

[Authorized VLAN ID]

このグループのデバイスで Authorized VLAN として設定されている VLAN ID を入力します。VID 値ではなく、VLAN 名「Authorized」は、ユーザがエンドポイント グループのネットワーク アクセスを設定しているときにポートとエンドポイントを管理する管理画面で使用されます。ユーザに提示される VLAN 名は「Authorized」ですが、各インターフェイスの VLAN ID パラメータは、設定中の特定のデバイスのこの項での設定に基づいて設定されます。これにより、複数の VID 値が同様のエンドポイント タイプの企業全体で使用されている環境で、Cisco NAC Profiler を容易に導入できます。

[Other VLANs]

VLANname:vid 形式の 1 行ごとに 1 つの VLAN を指定して、このグループの該当するネットワーク デバイスに設定されているその他の VLAN を定義します。Default および Authorized VLAN と同様に、デバイスで使用可能として指定されている VLAN は、ネットワーク デバイス ポートの VLAN パラメータを設定できるようにする [Port Control] ビューのプルダウン オプションで VLAN 名として提示されます。VLAN 名により、ユーザ インターフェイスにおける抽象化のレベルが提示され、ネットワークの異なる領域で同じ名前の VLAN に別の VLAN ID を使用できます。Cisco NAC Profiler は、スイッチ単位で各 VLAN 名にどの VID が使用されているか追跡し、VID ではなく VLAN 名で割り当てできるようにします。

デバイス グループがシステム設定に追加されると、[Add Network Device] フォームおよび [Edit Network Device] フォームからアクセス可能になります。ネットワーク デバイスを個別にまたはインポート機能で追加する前にデバイス グループを定義すると、各デバイスに個別にデバイス設定パラメータを入力するのではなく、グループに共通のデバイス設定パラメータを入力することで著しく時間を節約できます。

ネットワーク デバイスのインポート

Cisco NAC Profiler 設定にネットワーク デバイスを追加する場合、デバイス インポート機能を使用するのが最も効率的な方法です。Cisco NAC Profiler には、コンピュータが Cisco NAC Profiler Web ユーザ インターフェイスにアクセスしてアクセスできる、外部の CSV ファイルからデバイス リストをインポートする機能があります。多くのネットワーク管理システムには、Microsoft Excel などのスプレッドシート ソフトウェアを使用して編集可能な CSV ファイルに監視するデバイスのリストをエクスポートする機能があります。また、システム設定に追加するネットワーク デバイスのリストを手動で作成することもできます。

ネットワーク デバイスを Cisco NAC Profiler システム設定にインポートする手順は、デバイスが実行している SNMP のバージョンにより異なります。SNMP プロトコルの v1 および v2c を実行しているネットワーク デバイスでは、入力ファイルとインポート プロセスは同じです。SNMPv3 を実行しているデバイスでは、そのバージョンの SNMP プロトコルで必要な追加パラメータを処理するには、異なる入力ファイルとインポート プロセスが必要となります。

次の 2 つのサブセクションでは、異なる SNMP バージョンでのネットワーク デバイスのインポート プロセスの概要を説明します。

SNMP v1 および v2c を実行するネットワーク デバイスのインポート

v1 および v2c のデバイスの Import Device ユーティリティでは、図 8-4に図示されているように、デバイスをカンマで区切って保存されている形式のデバイスの入力リストが必要となります。原則として、カラム ヘッダーのない 4 つのカラムを持つテーブル形式となり、そこにデバイス名、IP アドレス、read-only コミュニティ名、raed-write コミュニティ名(Port Provisioning モードが使用されている場合)を含むインポート対象の各デバイスの行が 1 つ入ります。Port Provisioning モードを使用しない場合は、4 番目のカラムを空白のままにしておきます。


) ネットワーク デバイスの read-write コミュニティ ストリングの提供は、ネットワーク デバイス設定のオプション パラメータです。これはCisco NAC Profiler を Port Provisioning モードで使用し、第 13 章「エンドポイント コンソールの使用」に示されるように、ネットワーク デバイス設定パラメータの設定を変更する場合にだけ必要です。Cisco NAC Profiler を Port Provisioning モードで使用しない場合は、スプレッドシートの 4 番目のカラムを空白のままにします。


図 8-4 スプレッドシート アプリケーションのデバイス リストの例:SNMP v1 および v2c デバイス

 

ネットワーク デバイスのリストをこの形式に編集したら、そのファイルを CSV ファイル(Microsoft Excel の「名前を付けて保存」で CSV(カンマ区切り)を選択)で保存し、場所とファイル名をメモしておきます。Web インターフェイスを通じて Cisco NAC Profiler の管理に使用するコンピュータが、その CSV ファイルにアクセスできるようにしておきます。

[Configure Network Devices] テーブルまたはネットワーク デバイス管理ページの最上部にあるメニュー(図 8-5)から、[Import Devices] を選択します。

図 8-5 デバイスのインポート

 

[Import Network Device] フォームがメイン ペイン(図 8-6)に表示されます。

図 8-6 [Import Network Device] フォーム

 

[Choose] ボタンをクリックして、以前作成したデバイス リストの CSV ファイルを選択します。

適切なファイルを選択したら、それを Cisco NAC Profiler の [CSV File Name] フィールドに入力します。[Import File] ボタンをクリックします。CSV ファイルのデバイス リストが正常にインポートされると、図 8-7に示す [Import Device Information] フォームが表示されます。このフォームで、フィールドを編集したり、空白のフィールドに適切な情報を手動で入力できます。

図 8-7 [Import Device Information] フォーム

 


) [Import Device Information] ダイアログの [Pass #1] および [Pass #2] カラムは、ネットワーク デバイスの read-only コミュニティ名と(必要な場合)read-write コミュニティ名(CSV ファイルで提供される場合)を表し、アスタリスクでマスクされています。コミュニティ名をインポート対象 CSV ファイルに入力することはオプションですが、コミュニティ名がインポートされない場合は、各デバイスを編集して正しいコミュニティ名を入力する必要があります。


インポート中のデバイスがグループに割り当てられると、コミュニティ名がインポートされているかどうかに関係なく、すべてのデバイスがグループ コミュニティ名を継承します。グループ パラメータは、グループ内のデバイスの個別のデバイス設定より常に優先されます。

個別のデバイス エントリに修正または追加が行われた場合、フォームによりインポート中のすべてのデバイスをデバイス グループに割り当てることができます。前の項で説明したように、デバイスをデバイス グループに割り当てると、インポート中のすべてのデバイスが(これらのデバイスに関連づけられている Collector を含む)そのグループに指定されたすべてのパラメータを継承します。インポートされたデバイスがデバイス グループに割り当て中の場合は、ドロップダウン リストからグループを選択します。

デバイスをデバイスグループに割り当てない場合は、[Select Group] ドロップダウン リストを [None] のままとし、インポート中のデバイスの次のパラメータを指定します。

アクセス方式

このパラメータは、このファイルからインポートされているネットワーク デバイスとの通信にどのバージョンの SNMP を使用するかを決定します。指定のインポート操作でインポートされたすべてのデバイスは、同じ SNMP タイプでなければなりません。インポート中のネットワーク デバイスが実行している SNMP バージョン(v1 または v2c)をドロップダウン リストから選択します。デフォルトでは、Cisco NAC Profiler はネットワーク デバイスとの通信に SNMP バージョン 1 を使用します。SNMP バージョン 2c は、SNMP v2c を使用してデバイスをインポートする場合のオプションとして選択できます。

デバイス タイプ

レイヤ 2 またはレイヤ 3 を選択してインポート中のデバイス(スイッチまたはルータ)のタイプを指定します。指定の操作でインポート中のすべてのデバイスには、インポート時に同じデバイス タイプが指定されます。

ウィンドウ最下部の [Import Devices] ボタンをクリックします。[Imported device information saved] というメッセージが表示されます。これで、[Configure Network Devices] テーブルから [List Network Devices] を選択して、インポートされたデバイスの表形式のリストにアクセスできるようになります。

SNMPv3 を実行するネットワーク デバイスのインポート

SNMPv3 の Import Device ユーティリティでは、図 8-8 に図示されている形式のデバイス リストが必要です。原則として、カラム ヘッダーのない 8 つのカラムを持つテーブル形式となり、デバイス名、IP アドレス、SNMPv3 ユーザ、SNMPv3 認証パスワード、SNMPv3 プライバシー パスワード、SNMPv3 セキュリティ レベル、SNMPv3 ハッシュ タイプ、および SNMPv3 暗号化アルゴリズム タイプを含むインポート対象の各デバイスの行が 1 つ入ります。

図 8-8 スプレッドシート アプリケーションでの SNMPv3 ネットワーク デバイス リストの例

 

適切なファイルを選択したら、それを Cisco NAC Profiler の [CSV File Name] フィールドに入力します。[Configure Network Devices] テーブルまたはネットワーク デバイス管理ページの最上部にあるメニューから、[Import Devices List] を選択します。

図 8-9 デバイスのインポート

 

[Import Network Device] フォームがメイン ペイン(図 8-10)に表示されます。

図 8-10 [Import Network Device] フォーム

 

[Browse] ボタンをクリックして、以前作成したデバイス リストの CSV ファイルを選択します。適切なファイルを選択したら、それを Cisco NAC Profiler の [CSV File Name] フィールドに入力します。[Import File] ボタンをクリックします。CSV ファイルのデバイス リストが正常にインポートされると、図 8-11に示す [Import Device Information] フォームが表示されます。このフォームで、フィールドを編集したり、空白のフィールドに適切な情報を手動で入力できます。

インポート中のデバイスがグループに割り当てられると、コミュニティ名がインポートされているかどうかに関係なく、すべてのデバイスがグループ コミュニティ名を継承します。グループ パラメータは、グループ内のデバイスの個別のデバイス設定より常に優先されます。

図 8-11 [Import SNMPv3 Information] フォーム

 

SNMPv3 デバイスをインポートすると、図 8-11 に示すように、各デバイスの SNMPv3 パラメータがインポートされます。デバイスのパラメータが空白になっている場合は、[Import Devices] を選択する前に、フォームに適切に入力できます。

各デバイスの SNMPv3 パラメータは次のようになります。

[User]

インポートされるデバイスとの SNMPv3 セッションを認証するときに使用する SNMPv3 ユーザ名を入力します。

[Auth Pass]

選択したハッシュ タイプを使用するには、SNMPv3 認証パスフレーズを入力します。

[Priv Pass]

選択したプライバシー(暗号化アルゴリズム タイプ)サービスで必要なパスワードです。

[Sec Level]

グループ内のデバイスとの SNMPv3 セッションで使用している SNMPv3 セキュリティ レベルです。

[NoAuthNoPriv]:認証なし、プライバシーなし(最低限のセキュリティ)

[AuthNoPriv]:認証あり、プライバシーなし(より高度なセキュリティ)

[AuthPriv]:認証あり、プライバシーあり(最高のセキュリティ)

[Hash]

グループ内のデバイスとの SNMPv3 セッションで使用している SNMPv3 ハッシュ タイプを、MD5 または SHA1 プロトコルのいずれかから選択します。

どちらのプロトコルもハッシュ アルゴリズムで、メッセージがユーザの鍵に結びつけられている場合に、ストリングのフィンガープリントを生成します。ハッシュが実行されると、フィンガープリントは(鍵のない)メッセージに追加されます。パケットのデータがインフライトで変更されると、受信したメッセージ(フィンガープリントを引き、ユーザの鍵を足す)でハッシュが実行されたときに検出され、その結果が受信したフィンガープリントと比較されます。

2 つのプロトコルは似ていますが、どちらかと言えば MD5 はより高速で、SHA はより強力です。

暗号化アルゴリズム タイプ

グループ内のデバイスとの SNMPv3 セッションで使用している SNMPv3 ハッシュ タイプを、DES または AES プロトコルのいずれかから選択します。

ウィンドウ最下部の [Import Devices] ボタンをクリックします。[Imported device information saved] というメッセージが表示されます。これで、[Configure Network Devices] テーブルから [List Network Devices] を選択して、インポートされたデバイスの表形式のリストにアクセスできるようになります。

ネットワーク デバイスを設定に個別に追加する

ネットワーク デバイスを 1 つずつ入力するには、[Configure Network Device] テーブルから [Add Device] オプションを選択します。メイン ペイン(図 8-12)で [Add Network Device] が開きます。

図 8-12 ネットワーク デバイスの追加フォーム

 

このフォームでは、システム設定に追加されるため、ネットワーク デバイスに関する必要なすべての情報が入力できます。ネットワーク デバイスを追加するには、次に説明するフォームのデバイス固有のフィールドに記入します。

名前と識別情報

[Device Name]

一意の名前を入力して、このデバイスを識別します。Cisco NAC Profiler は、エンドポイントの場所をスイッチとポート別に示します。スイッチ名(例:Bldg10-floor8 など)を選択すると、大規模な企業ネットワークで複数のスイッチを簡単に識別するのに役立ちます。

[IP Address]

ネットワーク デバイスの IP アドレスを入力します。

[Alternate Addresses]

(オプション)ネットワーク デバイス(通常はレイヤ 3 のデバイス)で使用できるその他のインターフェイス アドレスを指定できます。

一般情報

[Select Type]

ドロップダウン リストからデバイス タイプ(レイヤ 2、レイヤ 3、またはデバイス)を選択します。管理対象デバイスのデバイス オプションには、Collector に役立つ情報がありますが、レイヤ 2 またはレイヤ 3 のネットワーク デバイスではありません。例として、MAC/IP バインディング情報を備え、問い合わせがあった場合に SNMP 経由でその情報を提供する管理 Novell Server があります。

[Select Collector mapping module]

このエントリは、プルダウンに一覧されている設定済み Collector のリストから、このデバイスまたはデバイスのグループのポーリングを行う Collector の名前を指定するのに使用します。プルダウンには Profiler Server に関連づけられた Collector のリストが入力されるため、Cisco NAC Profiler ではデフォルトのオプションを使用してはいけません。

[Select Group]

ネットワーク デバイス グループが定義されている場合は、「ネットワーク デバイス グループの追加」の項で前述されているように、追加中のデバイスに該当する場合は、ドロップダウン リストからこのデバイスが属するグループを選択します。


) グループのメンバとしてデバイスを指定すると、個別のデバイス レベルで行われた設定が上書きされます。たとえば、デバイス レベルで設定された SNMP コミュニティ ストリングがグループに指定されているものと異なる場合は、グループ レベルで指定されたコミュニティ ストリングが、Cisco NAC Profiler がデバイスとの SNMP 通信に使用するストリングとなります。


[Trunk Ports (Optional)]

(オプション)ネットワーク デバイス上の既知のトランク ポートを指定できます。トランク ポートは、エンドポイントではなく他のインフラストラクチャ デバイスへの接続を可能にするポートです。

[Save Configuration](オプション)

このネットワーク デバイスが、SNMP persistent を経由してデバイス設定の変更を有効にするメカニズムを備えている場合は、[save configuration] チェックボックスを選択すると、Cisco NAC Profiler がデバイスに対して行われたすべての設定変更を、保存されている設定ファイルに保存するよう設定できます。これは、Cisco NAC Profiler を Port Provisioning モードで使用して、このドキュメントの前半に記載されているようにポート設定を変更する場合に適用できます。

1. [Access]

[Method]

このパラメータは、ネットワーク デバイスとの通信に使用する SNMP のバージョンを決定します。このデバイスが設定されている SNMP アクセス方式のオプション ボタンを選択します。デフォルトでは、Cisco NAC Profiler は SNMP バージョン 1 を使用します。

[Read-Only Community String]

read-only SNMP アクセスに使用する、デバイスに設定されている read-only コミュニティ ストリングを入力します。

[Read-Write Community String](オプション)

ネットワーク デバイスの read-write コミュニティ ストリングの提供は、このドキュメントの前半に記載されているように、Cisco NAC Profiler を Port Provisioning モードで使用してポート設定を変更する場合だけ適用できます。Cisco NAC Profiler を Port Provisioning モードで使用しない場合は、read-write コミュニティ ストリングを指定しないでください。

read-write SNMP アクセスに使用する、デバイスに設定されている read-write コミュニティ ストリングを入力します。


) ネットワーク デバイスの read-write コミュニティ ストリングの提供は、ネットワーク デバイス設定のオプション パラメータです。これは、Cisco NAC Profiler を Port Provisioning で使用して、第 13 章「エンドポイント コンソールの使用」で説明しているように、ネットワーク デバイスの設定パラメータの設定を変更する場合にだけ必要となります。


フォームのこの部分の残りのパラメータは、SNMPv3 を使用するデバイスにだけ適用されます。ネットワーク デバイスで使用している SNMP のバージョンが SNMPv3 の場合は、これらのパラメータを記入します。次のパラメータは、メソッド タイプの SNMPv3 のオプション ボタンが選択されている場合にだけ表示されます。

図 8-13 SNMPv3 アクセス パラメータ

 

[SNMPv3 Username]

このネットワーク デバイスとの SNMPv3 セッションを認証する場合は、使用する SNMPv3 ユーザ名を入力します。

[SNMPv3 Passphrase]

選択したハッシュ タイプを使用するには、SNMPv3 認証パスフレーズを入力します。

[SNMPv3 Privacy Passphrase]

選択したプライバシー(暗号化アルゴリズム タイプ)サービスで必要なパスワードです。

[SNMPv3 Security Level]

このネットワーク デバイスとの SNMPv3 セッションで使用している SNMPv3 セキュリティ レベルを選択します。

[NoAuthNoPriv]:認証なし、プライバシーなし(最低限のセキュリティ)

[AuthNoPriv]:認証あり、プライバシーなし(より高度なセキュリティ)

[AuthPriv]:認証あり、プライバシーあり(最高のセキュリティ)

[SNMPv3 Hash Type]

ネットワーク デバイスとの SNMPv3 セッションで使用している SNMPv3 ハッシュ タイプを、MD5 または SHA1 プロトコルのいずれかから選択します。

どちらのプロトコルもハッシュ アルゴリズムで、メッセージがユーザの鍵に結びつけられている場合に、ストリングのフィンガープリントを生成します。ハッシュが実行されると、フィンガープリントは(鍵のない)メッセージに追加されます。パケットのデータがインフライトで変更されると、受信したメッセージ(フィンガープリントを引き、ユーザの鍵を足す)でハッシュが実行されたときに検出され、その結果が受信したフィンガープリントと比較されます。

2 つのプロトコルは似ていますが、どちらかと言えば MD5 はより高速で、SHA はより強力です。

[SNMPv3 EncryptionType]

デバイスとの SNMPv3 セッションで使用している SNMPv3 ハッシュ タイプを、DES または AES プロトコルのいずれかから選択します。

[Virtual LAN Settings](オプション)

これは、Cisco NAC Profiler を Port Provisioning モードで使用して、このドキュメントの前半に記載されているようにポート設定を変更する場合に適用できます。Cisco NAC Profiler を Port Provisioning モードで使用しない場合は、read-write コミュニティ ストリングを指定しないでください。

[Default VLAN ID]

このデバイスで Default VLAN として設定されている VLAN ID を入力します。VLAN 名「Default」は、デバイスのポート パラメータを管理する場合に、Cisco NAC Profiler ユーザ インターフェイスで使用されます。ユーザに提示される値は VLAN 名「Default」ですが、グループのデバイスの各インターフェイスの VLAN ID は、この項の設定に基づいて設定されます。これにより、企業ネットワークの異なる部分の同じ VLAN に異なる VID 値が使用されている環境で、Cisco NAC Profiler が容易に導入されます。

この例には、いくつかの環境で階、建物、またはキャンパスで異なる Printer VLAN があります。特定のポートのアプリケーションとして VLAN 名 Printer が選択されている場合、Cisco NAC Profiler によるデバイス設定に、各デバイスの各ポートに適切な特定の VID が適用されます。

[Authorized VLAN ID]

このデバイスで Authorized VLAN として設定されている VLAN ID を入力します。VID 値ではなく、VLAN 名「Authorized」は、ユーザがエンドポイント グループのネットワーク アクセスを設定しているときにポートとエンドポイントを管理する管理画面で使用されます。ユーザに提示される VLAN 名は「Authorized」ですが、各インターフェイスの VLAN ID パラメータは、設定中の特定のデバイスのこの項での設定に基づいて設定されます。これにより、複数の VID 値が同様のエンドポイント タイプの企業全体で使用されている環境で、Cisco NAC Profiler を容易に導入できます。

[Other VLANs]

VLANname:vid 形式の 1 行ごとに 1 つの VLAN を指定して、該当するネットワーク デバイスに設定されているその他の VLAN を定義します。Default および Authorized VLAN と同様に、デバイスで使用可能として指定されている VLAN は、ネットワーク デバイス ポートの VLAN パラメータを設定できるようにする [Port Control] ビューのプルダウン オプションで VLAN 名として提示されます。VLAN 名により、ユーザ インターフェイスにおける抽象化のレベルが提示され、ネットワークの異なる領域で別の VLAN ID を使用できます。Cisco NAC Profiler は、スイッチ単位で各 VLAN 名にどの VID が使用されているか追跡し、VID ではなく VLAN 名で割り当てできるようにします。

ネットワーク デバイス

ネットワーク デバイスのリスト

現在システム設定にあるすべてのネットワーク デバイスのリストをいつでも取得できます。また、Cisco NAC Profiler システムが最後にデバイスのポーリングを正常に行ったときを判断できます。

[Configuration] タブで、左側のナビゲーション ペインから [Network Devices] を選択して、[Configure Network Devices] テーブルを表示します。テーブルの左端のカラムにある [List Network Devices] リンクを選択すると、現在システム設定にあるすべてのネットワーク デバイスのリストを取得できます。

ネットワーク デバイスのテーブルには 8 つのカラムがあり、設定で各デバイスの次の情報が提供されます。

[Name]:設定に追加されたときのデバイス名です。

[IP Address]:デバイスのプライマリ インターフェイスのアドレスです。各デバイスの IP アドレスは、デバイスの [Edit Network Device] フォームにリンクされています。この項の後半の「ネットワーク デバイスの編集」を参照してください。

[System Description]:エンティティのテキストによる説明を含んでいる必要があるデバイスの SysDescr OID の現在値を提供します。この値には、システムのハードウェア タイプ、ソフトウェア オペレーティング システム、ネットワーク ソフトウェアの完全な名前とバージョン識別番号が含まれます。

[Location]:デバイスの物理位置の記述に使用できる SysLocation OID の現在値(設定されている場合)を提供します。

[Contact]:このデバイスの担当者と、担当者への連絡方法の記述に使用する SysLocation OID の現在値(設定されている場合)を提供します。

[Type]:スイッチ(レイヤ 2)またはルータ(レイヤ 3)のいずれかのデバイス タイプです。

[Group]:デバイスがグループに割り当てられている場合は、そのグループ名が提供されます。

[Last Scan]:デバイスとの間で最後に正常に行われた SNMP 通信のタイムスタンプです。


) [Last Scan] フィールドは、Cisco NAC Profiler がデバイスとの SNMP コンタクトを開始できなかったか、コンタクトが失われたかどうかを判断する手段として使用できます(例:デフォルトを使用している場合は、最新のスキャン時間がレイヤ 2 デバイスの場合は 60 分以上、レイヤ 3 デバイスの場合は 10 分)。このようなことが起きる原因の例には、無効なコミュニティ ストリング、ファイアウォールの変更、通常はデバイスのリセットによりクリアされるSNMP エージェントの ACL またはオンボードの問題などがあります。このフィールドに「No Contact」が表示される場合は、Cisco NAC Profiler が SNMP 経由でデバイスと通信できなかったことを示します。


図 8-14 ネットワーク デバイスのテーブル

 

デバイス ツリー

Cisco NAC Profiler は、左側バー パネルの [Network Devices] の「ツリー ビュー」を維持して、デバイスとデバイス グループを整理しやすくします。この拡張可能なビューは Cisco NAC Profiler に設定されているすべてのデバイスと、該当する場合は属しているグループを示します。

[Network Devices] ツリーを展開すると、グループ化されているデバイスとされていないデバイスが表示されます。図 8-15 は、展開されたネットワーク デバイス ツリーのビューを示します。

図 8-15 [Network Devices] ツリー ビュー

 

ネットワーク デバイスの編集

システム設定に追加されているデバイスを時々編集する必要があります。編集が必要となる場合の例には、 第 11 章「Cisco NAC アプライアンスとの統合」 で説明されている [Profiler Events] を有効にする場合があり、Cisco NAC Profiler でデバイスが正常にポーリングされるまで、ネットワーク デバイスのポートで [Profiler Events] を有効にできません。これは、この項で説明する編集手順を使用して行います。さらに、コミュニティ ストリングを変更したり、ネットワークデバイスの他のパラメータを変更する場合は、これらの変更内容を Cisco NAC Profiler 設定のネットワーク デバイス設定に入力する必要があります。

システム設定にすでに追加されているデバイスを編集するには、ネットワーク デバイスのテーブルに移動して、システム設定にあるすべてのネットワーク デバイスとそのステータスを一覧します。

各ネットワーク デバイスの IP アドレス(Network Device のテーブルの 2 番目のカラム)は、選択したデバイスの [Edit Network Device] フォームを開くリンクです。図 8-16 は、[Edit Network Device] フォームの例です。すべてのネットワーク デバイス パラメータの現在値がフォームに提示され、必要に応じて編集できます。

Profiler Events が 第 10 章「Cisco NAC Profiler Events の設定」 で説明しているように設定されている場合は、[Edit Device] フォームにデバイスが追加されたときには提示されない項が表示されます。これらのオプションを [Edit Device] フォームに表示するために、MAC Change イベントまたは Profile Change イベントなどデバイスごとに有効にされる Profiler Events をシステム設定に追加して、これらのコントロールが [Edit Device] フォームに表示される前に、NetMap でデバイスをポーリングしておく必要があります。

フォームのこの項は、設定した Profiler Events を選択したポートでデバイスごとに有効にできます。図 8-16 を参照してください。

図 8-16 [Edit Network Device] フォーム

 

システム設定の各イベントについて、編集したネットワーク デバイスの設定でイベントを有効にするのに使用するチェックボックスが、イベント名ごとに表示されます。このデバイスで選択したイベントをトリガーするためには、このチェックボックスを選択する必要があります。

[Edit Device] フォームの最下部に、上の図に示すように、[Update Device]、[Remove Device]、[Clear Device Ports]、および [Query Now] の 4 つのボタンが表示されます。これらのボタンの機能は次のとおりです。

[Update Device] は、ネットワーク デバイス設定の変更内容を Profiler Server データベースに保存するのに使用します。

[Remove Device] は、Profiler Server データベースからネットワーク デバイスを削除するのに使用します。

[Clear Device Ports] は、ネットワーク デバイスの物理設定が変更された場合に使用します。たとえば、ポートまたはブレードをネットワーク デバイスに追加する場合、[Clear Device Ports] を使用して現在のデバイス設定と Profiler Server データベースを同期させることができます。

[Query Now] は、Collector の NetMap モジュールにネットワーク デバイスをポーリングし、すぐにポーリングを開始するよう割り当てる Cisco NAC Profiler シグナリングを発生させます。


) ネットワーク デバイス設定が変更された場合は、デバイスが更新される前に [Query Now] を選択すると、デバイス設定の変更内容が失われます。[Query Now] を選択すると必ずダイアログ ボックスが表示され、設定の変更内容が失われることをユーザに警告します。[yes] を選択してデバイスのポーリングに進むか、[no] を選択してフォームに戻ります。


[Query Now] を選択した場合は、インターフェイスによって図 8-17 にメッセージが表示されます。

図 8-17 [Query Now] メッセージ

 

ネットワーク デバイスの検索

Cisco NAC Profiler の [Find Device] オプションを使用すると、IP アドレス、またはデバイス名と [System Description] の内容を使用して、特定のデバイスを検索できます。Find Network Device ツールを使用するには、[Configuration] タブに移動して [Network Devices] を選択します。[Configure Network Device] ページのテーブルから [Find Device] を選択して、図 8-18 に図示されているフォームを表示します(Find Network Device ツールは、メイン ペインの最上部にあるリンクからいずれかの Network Device Configuration ページを開いて起動できます)。これらの方式のいずれかを使用して、[Find Device] を選択し、図 8-18に図示されている [Find Network Device] フォームを表示します。

図 8-18 [Find Network Device] フォーム

 

このフォームのフィールドは、検索するデバイスの次の検索条件を入力するのに使用します。

[Device Name]

デバイスの正確な名前がわからない場合は、名前の一部を入力します。Cisco NAC Profiler は、入力された文字ストリングに基づいて検索を行い、そのストリングに一致するすべてのレコードを返します。たとえば、デバイス名がわからない Cisco Catalyst 3750 を検索する場合は、単に [Device Name] フィールドに「3750」と入力します。Cisco NAC Profiler は、「3750」を含むすべてのデータベース内のレコードを返します。

[IP Address]

データベースを検索するネットワーク デバイスの完全なホスト IP アドレスを入力します。


) Cisco NAC Profiler は、両方のフィールドに入力された情報の「論理和」をとり、一致したレコードのテーブルを提示します。さらに、検索アルゴリズムが [Device Name] フィールドに入力されたストリングに一致するレコードを検索して、デバイス MIB の SysDescription OID の内容と、Profiler Server データベースのデバイスに割り当てられた名前に一致する検索を実行します。


[find network device] の結果は、[find network device] フォームに入力された検索条件に基づいて、デバイスのテーブルのサブセットとして返されます。[Find Device] フォームの [device name] フィールドに 「Archimedes」 を指定したネットワーク デバイス検索の例を図 8-19 に示します。

図 8-19 ネットワーク デバイス検索の結果

 

デバイス検索操作により返されたネットワーク デバイスのテーブルは、以前に説明したネットワーク デバイスのテーブルと同様に機能します。デバイスの IP アドレスをクリックすると [Edit Network Device] フォームが表示され、上記のネットワーク デバイスの編集で説明したすべてのオプションが使用可能になります。