Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Collector モジュールの設定
Collector モジュールの設定
発行日;2012/01/31 | 英語版ドキュメント(2011/03/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Collector モジュールの設定

概要

Collector の導入前の考慮事項

Collector の設定への追加

Collector の Forwarder 設定の確認

HA CAS ペアへの Collector の追加

NetMap Collector モジュールの設定

NetMap Collector モジュールの編集

[Maximum allowed workers]

[SNMP inter-packet delay]

NetTrap Collector モジュールの設定

NetTrap Collector モジュールの編集

NetWatch Collector モジュールの設定

Collector の NetWatch モジュールの編集

NetWatch モジュール設定へのモニタリング インターフェイスの追加

NetWatch モジュール設定からのインターフェイスの編集/削除

NetInquiry Collector モジュールの設定

NetInquiry Collector モジュールの編集

NetRelay Collector モジュールの設定

NetRelay Collector モジュールの編集

Collector 設定への編集の保存

Collector の状態の確認

Collector のコンポーネント モジュールのトラブルシューティング

Collector 設定の編集

システム設定からの Collector の削除

概要

Cisco NAC Profiler 構成の NAC アプライアンス Clean Access Server(CAS)に配置された Cisco NAC Profiler Collector モジュールは、システムの「目と耳」になります。


「CAS における Collector の設定」の説明に従って Collector を CAS でイネーブルにする必要があります。


Collector 上で稼動する 5 つのコンポーネント モジュール、NetInquiry、NetWatch、NetMap、NetTrap および NetRelay は、システムのエンドポイント情報を収集し、Cisco NAC Profiler Server によってデータベース処理され、分析および表示されます。また Profiler Server は、システム全体に導入され、コンポーネント モジュールでコンパイルされた Collector からの情報を使用して維持されるデータベースに基づいた非 NAC エンドポイントに関する情報で Cisco NAC アプライアンス CAM を更新します。コンポーネント モジュールはそれぞれ、エンドポイントのデータを収集および分析するためにさまざまなテクノロジーおよび技術を活用しており、システムのエンドポイント プロファイリングおよび動作モニタリング機能が充実しています。

図 7-1 では、Collector とそのコンポーネント モジュールを論理的に示しています。

図 7-1 Collector を搭載した CAS の論理図

 

表 7-1 では、実装に必要な各 Cisco NAC Profiler Collector で利用できる 5 つの Collector コンポーネント モジュールそれぞれの目的および機能性について説明します。

 

表 7-1 Collector モジュール

モジュール名
目的および機能

NetMap

次の種類の情報について、ネットワーク デバイスに問い合わせる SNMP モジュール

システム

インターフェイス

ブリッジ

802.1x

ルーティングおよび IP

NetTrap

リンク状態の変更および新しい MAC 通知を報告する

NetWatch

パッシブなネットワーク トラフィック アナライザ

NetInquiry

TCP オープン ポートおよび一部のアプリケーション ルールで使用できるアクティブ プロファイリング モジュール

NetRelay

スイッチまたはその他の NetFlow データソースから直接 NetFlow エクスポート パケットを受信および処理する

特定の Cisco NAC Profiler システムで使用されるコンポーネント モジュールは、環境だけでなく実装によっても異なります。一般に、Collector は各 CAS に導入されます。エンドポイント デバイスの数、ネットワークが単一のキャンパス上にあるかまたは複数のキャンパスに分散しているか、エンドポイント プロファイリングおよび動作モニタリング機能がどのように実装されているかなど、環境の特性により Collector がどのように実装されるかが決まります。たとえば、図 7-1 のすべてのコンポーネント モジュールが指定された Collector で使用されたり、すべての導入で使用されるわけではありません。NetFlow Collector がネットワークで稼動していない環境の場合、NetRelay モジュールはそのネットワークの Cisco NAC Profiler では使用されません。

この章では、システムに導入された各 Collector の追加および設定に必要な手順について説明します。導入される Collector はそれぞれ、初期導入時に Web インターフェイスを使用してシステム設定に追加されます。システム設定の Collector とそのコンポーネント モジュールは、この章で後述されている手順に従って、稼動している Cisco NAC Profiler システムでいつでも編集できます。Cisco NAC Profiler Web インターフェイスを使用すると、Profiler モジュールを表示および設定する [Configuration] タブ オプションで Collector とコンポーネント モジュールの状態をひと目で確認できます。


第 7 章「Collector モジュールの設定」で説明しているように、Cisco NAC Profiler システムでは、システムの Server モジュールを必要なネットワーク接続で設定し、モジュール間通信をイネーブルにする必要があります。Server モジュールのネットワーク接続を設定していない場合、第 6 章「Cisco NAC Profiler Server の設定」を参照してから先に進んでください。


第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 で説明しているように、モジュール設定パラメータに変更を行うときは必ず、[Apply Changes] をクリックしてシステムを再起動し、設定を実行する Cisco NAC Profiler への変更を確定する必要があります。Collector モジュールの編集またはシステム設定への追加が完了したら、[Apply Changes] をクリックしてシステム設定を更新します。

[Apply Changes] ページの [Update Modules] ボタンをクリックすると、Cisco NAC Profiler システム設定に行われた変更が実行中の設定に保存されます。[Apply Changes] ページには、[Configuration] タブのすべてのページの左側にあるグローバル ナビゲーション ペインの [Apply Changes] を選択するか、メイン [Configuration] ページの表から [Apply Changes] を選択してアクセスできます。

Collector の導入前の考慮事項

Cisco NAC Profiler では、Collector の機能が Clean Access Server(CAS)サービスを提供する Cisco NAC アプライアンスに併設されています。Collector の動作、特にどのコンポーネント モジュールがイネーブル化され、どのように設定されるかは、具体的な Cisco NAC アプライアンス導入により異なります。考慮する必要がある最も重要な点は、次のとおりです。

1. システムの CAS の動作モード:Virtual Gateway または Real IP Gateway。

2. インバンドおよびアウトオブバンド(IB または OOB)での導入。

上記 2 つを合わせて考慮すると、4 つの CAS 動作モードが考えられます。それらの動作モードは、次のとおりです。

Real-IP Gateway IB

Virtual Gateway IB

Real-IP Gateway OOB

Virtual Gateway OOB

選択する導入モデルにより、Collector および基本のコンポーネント モジュールが、エンドポイントおよびネットワーク インフラストラクチャのエンドポイント プロファイリング データと動作モニタリング データを収集および処理できる方法が変わります。導入を成功させるには、Collector を導入および設定する前にこれらの影響を理解しておくことが重要です。

表 7-2 に、4 つの CAS 動作モードそれぞれの Collector コンポーネント モジュールに関する考慮事項の概要を示します。一部のコンポーネント モジュールについて、固有のデータ収集機能が強調されています。各動作モードのカラムにある「Y」は、収集機能が注釈で示されたあらゆる警告に使用できることを示します。「選択可」は収集機能を使用できますが、注釈で説明されている特定の制限事項に従うことを示します。

Cisco NAC Profiler が採用する Collector の導入を計画している場合は、 表 7-2 および対応する『 Release Notes for Cisco NAC Profiler 』を確認してから、この章の後半で説明されている Collector の設定手順を開始してください。

 

表 7-2 Collector モジュールおよび CAS の動作モード

Collector モジュール/機能
CAS の動作モード
Real-IP Gateway
Virtual Gateway
Real-IP Gateway OOB
Virtual Gateway OOB

NetMap

スイッチおよびルータの SNMP ポーリング

はい

はい1

はい

はい1

NetTrap

スイッチから SNMP トラップを受信

はい

はい1

はい

はい1

NetWatch 2

eth2 のトラフィックを観察する(HA ハートビートに使用していない場合)

eth3 のトラフィックを観察する

 

はい 3

はい

 

はい3

はい

 

はい3

はい

 

はい3

はい

NetInquiry

エンドポイントのアクティブ プロファイリング

はい

はい1

はい

はい 4

NetRelay

NetFlow エクスポート データ レコードの受信

はい

はい1

はい

はい1

1.Virtual Gateway(ブリッジング)モードの CAS/Collector は、「信頼できない」インターフェイス(eth1)を介してエンドポイント/デバイスに確実に接続できます。ただし、Virtual Gateway CAS/Collector は、「信頼できる」インターフェイス(eth0)を介した自身のデフォルト ゲートウェイを除き、レイヤ 2 に隣接したデバイスとは通信できません。つまり、Virtual Gateway CAS は、eth0 インターフェイスを介して次のホストと接続できません、
-- VLAN マッピング テーブルで宣言されている信頼できる側の VLAN に接続されたホスト
-- 設定された信頼できる側の CAS 管理 VLAN に接続されたホスト
-- 信頼できる側のネイティブ VLAN に接続されたホスト(つまり、Virtual Gateway CAS にブリッジされているがタグ付けされていないトラフィック)

信頼されている側のターゲット デバイスがレイヤ 2 に隣接していない場合、CAS は eth0 インターフェイスを介してデバイスと確実に通信できます。ターゲット デバイスと信頼できる側の CAS との間に、1 つまたは複数のレイヤ 3 ルーティング ホップが必要です。

スイッチおよびルータに専用の管理 VLAN(ただし、CAS 管理 VLAN とは異なる VLAN)を使用することは、NetMap および NetRelay Collector コンポーネント モジュール両方の目的に関する配慮を必要としない一般的なネットワーク エンジニアリングのベスト プラクティスです(Virtual Gateway In-Band の場合にだけ、NetInquiry も該当します。Virtual Gateway OOB の NetInquiry の場合は、[4] を参照してください)。

2.NetWatch Collector コンポーネント モジュールを使用して、CAS/Collector で使用できるネットワーク インターフェイスを介してさまざまなソースから「検知された」ネットワーク トラフィックの該当する分析によりエンドポイントの動作を観察します。ただし、Collector の機能性は、CAS の機能性と共存する必要があります。そのため、すべての CAS イーサネット インターフェイスを、(次の注釈で説明されている)汎用モニタリングに使用できるわけではありません。NetWatch は通常、次の目的で使用されます。
-- スイッチベースのポートまたは VLAN モニタリング メカニズム(「SPAN」または同様のもの)を介してエンドポイント トラフィックを検知し、ネットワーク トラフィックを eth3 インターフェイス(または eth2、あるいはその両方。スタンドアロン CAS の場合は [3] を参照)に転送します。詳細については、『Release Notes for Cisco NAC Profiler』を参照してください。

3.CAS がハイ アベイラビリティ(HA)ペアとして導入されている場合、eth2 は通常 UDP HA ハートビート接続に使用されます。HA に使用されている場合、eth2 は NetWatch に使用できません。このため、ほとんどの場合汎用トラフィック モニタリングには、CAS の eth3 インターフェイスを使用することをお勧めします。

4.Virtual Gateway OOB 導入の場合、Collector の NetInquiry を使用すると、信頼できない状態であっても、エンドポイントをアクティブにプロファイリングできます。エンドポイントがアクセス VLAN に接続された OOB になる場合、アクセス VLAN が CAS VLAN マッピング テーブルにある場合にだけ、NetInquiry は、信頼できない状態のこのエンドポイントをアクティブにプロファイリングできません([1] を参照)。エンドポイントが VLAN マッピング テーブルにない(エンドポイントが CAS に隣接するレイヤ 2 でない)アクセス VLAN を介して接続された OOB になる場合、NetInquiry はこのエンドポイントのアクティブなプロファイリングを継続できます。

Collector の設定への追加

初めて実装する場合、Cisco NAC Profiler 設定には Collector モジュール インスタンスは含まれていません。この項で説明する手順に従って、システムに導入されるそれぞれの Collector を設定に追加する必要があります。

Collector は、スタンドアロン CAS に導入するか、ハイ アベイラビリティ(HA)CAS ペアの一部として実装できます。HA-CAS ペアで稼動する Collector は、CAS ペアで稼動する双方の Collector サービスに割り当てられた名前で識別される 単一の Collector サービスとして Cisco NAC Profiler 設定に追加されます。


) HA CAS/Collector の場合、ペアのメンバ両方の Collector サービスの名前は同じでなければなりません。


新しい Collector の追加には、次の 2 つのタスクがあります。

新しい Collector を設定に追加する。

必要に応じて、新しく追加された Collector に必要なコンポーネント モジュールを設定する。


ステップ 1 [Configuration] タブに移動して、表または左側のナビゲーション ペインから [Profiler Modules] を選択します。[Configure Profiler Modules] ページが表示されます。

ステップ 2 表または左側のナビゲーション ペインから [Add Collector] リンクを選択し、[Add Collector] フォーム(図 7-2)を開きます。

図 7-2 [Add Collector] フォーム

 

ステップ 3 [Add Collector] フォームを使用して、システム設定で新しい Collector を作成します。フォーム内のすべてのフィールドが必須です。詳細については、下記に記載されています。この情報を入力して、新しい Collector を Cisco NAC Profiler 設定に追加します。

a. [Collector]

このフィールドを使用して、設定に追加される Collector の名前を入力します。Collector 名は、 第 4 章「設置および初期設定」 で説明されているように、Collector の設定時に設定されます。

このフィールドに入力された Collector のホスト名は、Cisco NAC Profiler が、Collector で稼動するコンポーネント モジュールの状態を報告するのに必要な Forwarder との接続を正しく確立するために、追加されている Collector/CAS のホスト名(大文字と小文字を区別する)と完全に一致する必要があります。

NAC Profiler のホスト名を確認するために、ユーザ ビーコンとしてコンソールまたは SSH セッションを開始し、プロンプトにコマンド「hostname」を入力します。システムは、現在のホスト名にエコーします。

b. [Forwarder Configuration]

[Forwarder Configuration(Forwarder 設定)] では、Collector と Profiler Server 間の通信のパラメータを指定します。ここで指定するパラメータは、Collector がインストール/初期化されたときに指定されたパラメータと最後の章で説明されている Server モジュール設定(「ネットワーク接続」の項)で指定されたパラメータと完全に一致する必要があります。

c. [IP Address]

設定に追加されている Collector をホストする CAS の管理インターフェイス(eth0)のホスト IP アドレスを入力します。HA CAS ペアの場合は、CAS ペアに割り当てられているバーチャル IP アドレスを入力します。

d. [Connection]

新しい Collector を追加する場合、このパラメータを「Connect to: None」になるよう選択します。

フォーム下部にある [Add Collector] ボタンを選択して、Collector をシステム設定に追加します。この処理で Collector が追加され、図 7-3のフォームが表示されます。このフォームで、実装で必要な場合 Collector で稼動するモジュールを設定できます。

図 7-3 [Edit Collector] フォーム

 

Collector の Forwarder 設定の確認

Collector サービスをシステム設定に追加したらすぐに、Forwarder モジュールの設定を、Collector サービスをホストするアプライアンスの Collector サービスのスタートアップ コンフィギュレーションと一貫性があるかどうか確認する必要があります。各 Collector サービスが起動すると、Collector がシステムの Server モジュールを稼動している Profiler Server とどのように通信するかを決定するいくつかのパラメータが設定されます。その他の Collector コンポーネント モジュールの設定を行う前に、Collector の Forwarder 設定が正しいことを確認することが重要です。

次に [Apply Changes] -> [Update Modules] を選択すると、Server モジュールは、システムのリモート Collector の GUI で設定されている内容に基づいて、新しい Forwarder 設定ファイルを作成します。設定ファイルがリモート Collector に送信され、Server によって送信された新しい設定に基づいて、Collector が再起動します。

図 7-3 は [Edit Collector] フォーム下部にある Collector の Forwarder 設定を示します。

次の 2 つのいずれかの方法で Profiler Server の Server モジュールと通信するよう、各 Collector の Forwarder を設定します。

クライアントとして:Server モジュールとの接続を開始

サーバとして:Server モジュールが開始した接続を受信


) Collector に HA-CAS ペアが実装された場合、Collector は [Server] 接続タイプを使用し、Server は [Client] 接続タイプとして設定する必要があります。


次の図は、Collector 設定の 2 つのオプションを示します。これらの図は、2 つの接続モードをサポートするのに必要な [Edit Collector] Forwarder 設定セクションのほか、Server モジュール設定の [Network Connections] セクション([Configure Server] フォーム、 第 6 章「Cisco NAC Profiler Server の設定」 を参照)の一部を示しています。

図 7-4 クライアントとして設定される Collector :スタンドアロン CAS

 

上の図 7-4 に示されているように、Collector がクライアントとして設定されると、Collector の Forwarder 設定では、Collector サービスの管理インターフェイス(eth0)の IP アドレス(例では 169.254.222.221)を指定する必要があります。Forwarder 設定の接続パラメータは、この Forwarder が Server への接続を開始するよう指定する必要があります(例では 169.254.222.222)。このシステムの Server モジュールの [Network Connections] には、Server(つまり、NAC Profiler)をホストするアプライアンスの eth0 インターフェイスにサーバ接続が設定されているように表示される場合があります。これにより Server は、Server に接続している Forwarder の指定されたポート(31416)の接続を受信するよう設定されます。

図 7-5 サーバとして設定される Collector :HA CAS/Collector ペア

 

図 7-5 は、使用できる他の Forwarder 設定を示します。この場合、Forwarder が Server モジュールによって開始された接続を受信し、HA CAS/Collector ペアに使用する必要があるよう設定されます。Forwarder 設定の IP アドレスは、スタンドアロン CAS アプライアンスまたは CAS HA ペア VIP の管理インターフェイス(eth0)の IP(図 7-5 の HA CAS/Collector ペア 169.254.222.221)となります。サーバとしての Collector の設定では、Forwarder 設定で指定される接続という点が主に違います。[Listen for: Server] オプションが選択されています。また、Server モジュール設定の [Network Connections] セクションには、Server がこのリモート収集アプライアンスで稼動する Forwarder に接続するよう指定するクライアント接続も含まれます。


) ドロップダウン リストから [Listen for: Server] オプションを選択しない場合、Server モジュール設定でクライアントのネットワーク接続は設定されません。サーバとして設定された Collector との通信をサポートする Server のネットワーク接続の設定については、第 6 章「Cisco NAC Profiler Server の設定」の項を参照してください。


Forwarder 設定が確認されると、システム設定に追加されている Collector に必要な各コンポーネント モジュールを、該当する動作パラメータを使用して設定する必要があります。ただし、図 7-1 に示された Collector モジュールすべてが、あらゆる Cisco NAC Profiler Collector で設定または使用されるわけではありません。新しい Collector が追加された後にインターフェイスに表示されるフォームは、新しい Collector で使用される必要なコンポーネント モジュールの設定をイネーブルにします。

Collector で必要なコンポーネント モジュールについて、下記で説明する手順を実行してコンポーネント モジュールを設定し、イネーブルにします。[Apply Changes] -> [Update Modules] を実行して変更を保存します。

[Apply Changes] ページの [Update Modules] ボタンをクリックすると、Cisco NAC Profiler 設定に行われた変更が実行中の設定に保存されます。[Apply Changes] ページには、[Configuration] タブのすべてのページの左側にあるグローバル ナビゲーション ペインの [Apply Changes] を選択するか、メイン [Configuration] ページの表から [Apply Changes] を選択してアクセスできます。

HA CAS ペアへの Collector の追加


ステップ 1 「Collector の設定への追加」で説明するように [Add Collector] をクリックして [Add Collector] フォームを開きます。

ステップ 2 フィールドに Collector 名を入力します。Collector 名は、 第 4 章「Cisco NAC Profiler 用の HA-CAS ペアにおける Collector 設定」 で示すように、CAS ペアの両方のメンバで実行する Collector サービスに指定および設定されている名前と一致する必要があります。これにより、CAS サービスのフェールオーバーがペアのメンバからメンバへ発生した場合、自動的に Collector のフェールオーバーも発生します。

ステップ 3 フォームの [Forwarder Configuration] セクションで、次の情報を入力して設定を完了します。

a. IP アドレス:この Collector サービスをホストする CAS ペアの VIP/サービス IP アドレスを入力します。

b. [Connection] ドロップダウン リストで、[Connect to] に [None] を選択します。

ステップ 4 [Add Collector] を選択して、新しい Collector を Profiler Server 設定に追加します。

ステップ 5 手順の項で説明しているように、Collector の Forwarder 設定を確認します。

ステップ 6 [Apply Changes] -> [Update modules] を選択して、システムを再起動します。

3 ~ 5 分後、Server は CAS のアクティブなメンバで稼動している Collector サービスへの接続を確立しているはずです。CAS のフェールオーバーが発生した場合、Collector サービスは CAS サービスとともに、Profiler Server への接続とともにペアのアクティブなメンバへと移動します。

CAS/HA ペアの設定方法の詳細については、下記を参照してください。

第 4 章「Cisco NAC Profiler 用の HA-CAS ペアにおける Collector 設定」

第 6 章「CAS/Collector HA ペアのネットワーク接続、クライアント タイプの追加」

NetMap Collector モジュールの設定

NetMap は、ネットワーク トポロジ マッピング エンジンを実現する NAC Profiler Collector のコンポーネントです。NetMap は、システム設定に追加されたネットワーク デバイス( 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)と、NAC Profiler Server モジュール設定( 第 6 章「Cisco NAC Profiler Server の設定」 を参照)で指定された一定の間隔で、SNMP を介して通信します。NetMap コンポーネント モジュールは、ネットワーク トポロジおよびエンドポイント ランドスケープに関する情報を収集し、Cisco NAC Profiler によるエンドポイント プロファイリング プロセスで使用されるネットワークのモデルを構築します。

NetMap コンポーネント モジュールはすべての Collector でイネーブル化され、ほとんどの場合、追加の設定は必要ありません。ネットワーク デバイスを設定に追加する( 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)と、NetMap モジュールは、[Apply Changes] の実行直後にデバイスが設定に追加されたときに割り当てられたネットワーク デバイスの定期的なポーリングを開始します。


) 管理インターフェイスの [Apply Changes] ページには、[Re-Map] という名前の 2 番目のボタンがあります。[Re-Map] ボタンを使用するとすべての NetMap モジュールは強制的に SNMP 情報について割り当てられたネットワーク デバイスに問い合わせ、NAC Profiler System を再起動せずにネットワーク モデルを更新します。


NetMap は、(使用できる場合)SNMP Get、GetNext および GetBulk 要求を使用して、ネットワーク インフラストラクチャ デバイスで稼動する SNMP エージェントに問い合わせ、デバイス タイプ(レイヤ 2 またはレイヤ 3)に基づいた状態に関する特定の管理情報ベース(MIB)オブジェクトを収集します。デフォルトでは、NetMap は 60 分ごとにレイヤ 2 デバイスに、30 分ごとにレイヤ 3 デバイスに問い合わせます。

NetMap コンポーネント モジュールが収集した情報は、エッジ デバイスの SNMP トラップを処理してほぼリアル タイムでエンドポイントの動きを追跡する NetTrap コンポーネント モジュールによって拡張されます。NetTrap の設定については、この項の後半で説明します。ネットワーク デバイスからリンクの状態または新しい MAC 通知トラップを受信すると、そのデバイスをポーリングするよう割り当てられた NetMap コンポーネント モジュールがポーリングを開始して、ネットワーク デバイスにより送信されるトラップを生成するエンドポイント トポロジへの変更を決定します。

NetMap Collector モジュールの編集

「Collector の設定への追加」の説明に従って Collector を追加する場合、次の手順に従ってその Collector で稼動する NetMap コンポーネント モジュールの設定可能なパラメータのいずれかを変更します。

多くの場合、これらのパラメータのデフォルト値で十分であり、追加の設定は必要ありません。

Collector をシステム設定に追加するとすぐに、図 7-6のように、[Edit Collector] フォームの [NetMap] セクションが表示されます。

図 7-6 [Edit Collector] フォームの [NetMap Configuration] セクション

 

NetMap の設定可能な各パラメータについて、次に説明します。

[Maximum allowed workers]

Collector の NetMap コンポーネント モジュールは、複数の NetMap ワーカーをかき集め、ネットワーク デバイスを並行してポーリングできます。この数は最大数を設定し、NetMap が生成する SNMP トラフィックの数を制限します。一度に設定できるワーカー数は最大 128 で、デフォルト値は 10 です。

[SNMP inter-packet delay]

この値は、NetMap が発行する SNMP パケット間の遅延をマイクロ秒で表し、システムに SNMP のパケット損失が発生しない限り変更できません。デフォルト値は 0 です。

このパラメータを使用して、Cisco NAC Profiler システムによる SNMP ポーリングの比率をスロットルすることもできます。NetMap によるポーリング時に古く、負荷の大きいネットワーク デバイス(スイッチ、ルータ)の CPU 使用率が高い場合、この値を 0 以外の値(25000 マイクロ秒、つまり .025 秒)に設定すると、NetMap ポーリングによる影響が著しく小さくなります。

NetMap モジュール設定を完了した後、次に説明するように、必要に応じてその他のコンポーネント モジュールを設定します。設定が必要なコンポーネント モジュールが他にない場合、「Collector 設定への編集の保存」にスキップします。

NetTrap Collector モジュールの設定

NetTrap は、各 Collector で稼動するコンポーネント モジュールで、Collector で稼動する NetMap モジュールによってポーリングされるエッジ ネットワーク デバイスから SNMP トラップを受信して処理します。Endpoint Profiler システムでは、NetMap と連動して使用できる場合、エッジ インフラストラクチャの SNMP トラップを使用して、ネットワークの正確なモデルを維持します。 第 3 章「導入の準備」 で説明されているように、できるだけエッジ インフラストラクチャ機器を設定して、SNMP を介したポーリングに指定された NetMap モジュールを稼動する Collector(管理インターフェイス)にリンクの状態および新しい MAC トラップを送信する必要があります。 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 で説明されているように、Cisco NAC Profiler 設定に追加された各ネットワーク デバイスは、SNMP ポーリングを行ういずれかの Collector で稼動する NetMap コンポーネントのいずれかでポーリングされるよう割り当てられます。各ネットワーク デバイスは、リンクの状態または新しい MAC 通知トラップを、ネットワーク デバイスのポーリングに割り当てられる NetMap コンポーネントを稼動する Collector に送信する必要があります。可能な場合は、リンクの状態および新しい MAC トラップについてだけこの IP アドレスをトラップ レシーバとして組み込むよう、エッジ デバイスの設定を変更する必要があります。

SNMP トラップを Cisco NAC Profiler に送信するようインフラストラクチャ デバイスを設定する前に、ネットワーク管理者は、Cisco NAC Profiler に送信するトラップの量と有効性を理解することをお勧めします。過度なあるいは誤りのあるトラップ情報を送信するエッジ インフラストラクチャ機器により、NetTrap Collector を稼動するアプライアンスがシステム リソースを過剰に消費し、パフォーマンスおよび安定性に影響を与える場合があります。可能な場合は、エッジ デバイスのトラップを選択して設定し、リンクの状態と新しい MAC トラップだけを NetTrap Collector モジュールに送信します。


) ほとんどの SNMP 対応デバイスは、リンク状態のトラップを送信するよう設定できますが、MAC アドレス変更通知トラップはシスコシステムズ固有であるため、すべてのデバイスでサポートできるわけではありません。



) エッジ インフラストラクチャ デバイスが SNMP トラップを Cisco NAC Profiler に送信するよう設定されていない場合、新しいエンド ノードがネットワークに追加される、またはエンドポイントの接続が解除されることを示す通知が遅延します。トラップがない場合、NetMap モジュールが次に予定されているポーリングで接続するネットワーク デバイスをポーリングするまで、ネットワークに追加される新しいエンドポイントは検出されません。


NetTrap Collector モジュールの編集

[Edit Collector] フォーム(図 7-7)が示すように、NetTrap Collector モジュールの設定可能なパラメータはありません。Collector がシステム設定に追加されると、NetTrap モジュールが自動的に追加され、イネーブルにされます。

図 7-7 [Edit Collector] フォームの [NetTrap Configuration] セクション

 

設定が必要なコンポーネント モジュールが他にない場合、「Collector 設定への編集の保存」にスキップします。

NetWatch Collector モジュールの設定

NetWatch は、Collector のネットワーク パケット分析コンポーネント モジュールです。NAC Collector で稼動する NetWatch モジュールは、エンドポイント プロファイリングおよび動作モニタリングに役立つエンドポイント トラフィックについて、CAS アプライアンスの物理ネットワーク インターフェイスを 1 つ監視できます。通常、これらの物理インターフェイスは、エンドポイント プロファイリングおよび動作モニタリングの目的で NetWatch コンポーネントにリダイレクトされた当該なエンドポイント トラフィックに可視性を提供する SPAN/RSPAN ポートとして設定されたネットワーク ポートに接続されています。


) NetWatch モジュールは、システムに追加されている Collector のパッシブなトラフィック分析機能をイネーブルにするために、CAS インターフェイス(通常は eth3)のトラフィックを監視するよう設定する必要があります。Collector をシステム設定に追加したら、「Collector の NetWatch モジュールの編集」の手順に従って、モニタリング インターフェイスを NetWatch モジュール設定に追加します。


Collector の NetWatch モジュールの編集

「Collector の設定への追加」で説明されているように Collector を追加する場合、次の手順に従ってその Collector で稼動する NetWatch コンポーネント モジュールの設定可能なパラメータのいずれかを変更します。

Collector をシステム設定に追加するとすぐに、図 7-8 のように、[Edit Collector] フォームの [NetWatch] セクションが表示されます。

図 7-8 [Edit Collector] フォームの [NetWatch Configuration] セクション

 

最後の項で説明されているように、新しく追加された Collector では、パッシブ モニタリングに指定されたアプライアンスに物理インターフェイスはありません。この Collector の NetWatch モジュールをイネーブルにするには、1 つまたは複数の物理アドレスを、この Collector の NetWatch 設定に追加する必要があります。次の手順に従って、Collector の NetWatch 設定間のインターフェイスを追加、編集、削除します。

NetWatch モジュール設定へのモニタリング インターフェイスの追加


ステップ 1 [Edit Collector] の [NetWatch Configuration] セクションで [Add Interface] ボタンを選択し、NetWatch インターフェイスの追加フォームを呼び出します(図 7-9)。

図 7-9 NetWatch インターフェイスの追加フォーム

 

ステップ 2 [Interface name] :モニタリング インターフェイスとして追加される、NetWatch モジュールが稼動している CAS/Collector のイーサネット インターフェイス名を指定します。eth3 インターフェイスは通常、SPAN に設定されたポートに接続し、該当トラフィックを NetWatch コンポーネント モジュールにリダイレクトしてトラフィックを分析します。


注意 インターフェイス名を入力する場合、Cisco NAC Profiler でインターフェイスが呼び出される場合とまったく同じ名前であることを確認します。(たとえば、eth2、eth3、eth4、eth5、eth6 など)

ステップ 3 [Filter] :フィルタ オプションを使用して、インターフェイスで NetWatch 収集から不要なトラフィックをフィルタします。モニタリング インターフェイスのトラフィック量が多い場合、フィルタを使用して、エンドポイント プロファイリングおよび/または動作モニタリングに役に立たないトラフィックを破棄し、CAS アプライアンスのシステム リソースを不必要に使用しないようにできます。

このフィールドの形式は、tcpdump/libcap スタイル ストリングである必要があります。次の例を参考にしてください。

net 128.16
dest net 128.16
tcp src port 443

詳細な例は、tcpdump man page Web サイト( http://www.tcpdump.org/tcpdump_man.html )の「Allowable primitives are:」の項を参照してください。

ステップ 4 [Configure for network] :ドロップダウン メニューから、このモニタリング インターフェイスで収集する MyNetworks 設定( 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 を参照)からホスト ネットワーク アドレス レンジを選択します。ドロップダウン メニューには、システム設定の MyNetworks に保存されているすべてのネットワークの名前が表示されます。複数のネットワークが定義されている場合、NetWatch に追加されるインターフェイスが監視する必要があるネットワーク名を選択します。

ステップ 5 [Add interface] ボタンをクリックして、設定されたインターフェイスを保存し、[Edit Collector] フォームに戻ります。上記のプロセスを繰り返して、追加のインターフェイスを NetWatch モジュール設定に追加できます。

NetWatch モジュール設定からのインターフェイスの編集/削除

モニタリング インターフェイスがすでに NetWatch コンポーネント モジュール設定に追加されている場合、インターフェイスは、図 7-10 のように右側の [Edit] オプション ボタンおよび [Remove] チェックボックスとともに表示されます。

図 7-10 インターフェイスによる NetWatch モジュールの編集

 

NetWatch 設定からインターフェイスを削除するには、削除するインターフェイスに隣接する [Remove] チェックボックスをクリックして、[Remove] ボタンを選択します。

NetWatch 設定でインターフェイスを編集するには、インターフェイス名に隣接する [Edit] オプション ボタンを選択し、インターフェイス オプション ボタン下の [Edit] ボタンを選択します。図 7-11 に示すように、[Edit] インターフェイス フォームが表示され、現在保存されているインターフェイスのパラメータが反映されます。

図 7-11 NetWatch インターフェイスの編集

 

編集可能な NetWatch インターフェイス パラメータは次のとおりです。

[Interface name]

モニタリング インターフェイスとして追加される NetWatch モジュールが稼動している CAS/Collector アプライアンスのイーサネット インターフェイス名を指定します。eth3 インターフェイスは通常、SPAN に設定されたポートに接続し、該当トラフィックを NetWatch Collector モジュールにリダイレクトしてトラフィックを分析します。

[Filter]

インターフェイスの NetWatch 収集から不要なトラフィックをフィルタで除去することが望ましい場合、[Filter] オプションを使用します。このフィールドの形式は、tcpdump/libcap スタイル ストリングである必要があります。次の例を参考にしてください。

net 128.16
dest net 128.16
tcp src port 443

詳細な例は、tcpdump man page Web サイト( http://www.tcpdump.org/tcpdump_man.html )の「Allowable primitives are:」の項を参照してください。

[Configure for network]

このパラメータを使用して、このインターフェイスが収集する MyNetworks 設定( 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 を参照)で指定および命名されるホスト ネットワーク アドレス レンジを指定できます。ドロップダウン リストには、システム設定の MyNetworks に保存されているすべてのネットワークの名前が表示されます。複数のネットワークが定義されている場合、NetWatch に追加されるインターフェイスが監視する必要があるネットワーク名を選択します。

[Add interface] ボタンを選択して、設定されたインターフェイスを保存し、[Edit Collector] フォームに戻ります。

上記のプロセスを繰り返して、NetWatch モジュール設定に対するインターフェイスの追加、編集、または削除ができます。

NetWatch モジュール設定を完了した後、次に説明するように(必要に応じて)その他のコンポーネント モジュールを設定します。設定が必要なコンポーネント モジュールが他にない場合、「Collector 設定への編集の保存」という項にスキップします。

NetInquiry Collector モジュールの設定

NetInquiry モジュールには、パッシブにプロファイルするには困難なエンドポイントをプロファイルする、アクティブな方法が用意されています。エンドポイント プロファイリングに使用できる該当エンドポイントからのトラフィックを Collector が直接観察できない環境での使用や、ネットワークで定期的にトラフィックを生成しないエンドポイントでの使用を推奨します。

主にエンドポイントの脆弱性アセスメントに使用されるアクティブなスキャナとは異なり、NetInquiry モジュールは、一部のエンドポイントに害があると考えられる、幅広く定義されたスキャンではなく、(たとえば、単一の TCP/UDP ポートを対象に)限定的に定義された基準にしたがってエンドポイントとの通信を開始しようとします。NetInquiry Collector モジュールは、指定された TCP オープン ポート規則、エンドポイント プロファイルの定義で使用できるいくつかのアプリケーション規則の種類にしたがって動作します。これらの規則の設定については、 第 9 章「エンドポイント プロファイルの設定」 で詳細に説明されています。

この機能性に関する追加のコントロールは、スキャンを指定された数のデバイスにだけ制限する Cisco NAC Profiler 内で実装されます。この項の後半で説明されているように、NetInquiry の機能性は、各 NetInquiry モジュールの設定で指定されているネットワーク ブロックだけに制限されます。NetInquiry モジュールは、モジュールが稼動している CAS/Collector アプライアンスの管理インターフェイスを介して指定されたサブネットのデバイスだけをアクティブにプローブしようとします。このようにアクティブなプロファイリングをしようとする場合、エンドポイント プロファイリング プロセスに非常に役立つトラフィックが生成でき、アプライアンスの管理インターフェイスでトラフィックが受信されます。そのトラフィックは Profiler による分析に使用でき、効率的に、かつエンドポイントまたはネットワークへの影響を最小限にして生成されます。

NetInquiry Collector モジュールの編集

「Collector の設定への追加」で説明されているように Collector を追加する場合、次の手順に従ってその Collector で稼動する NetInquiry コンポーネント モジュールの設定可能なパラメータのいずれかを変更します。

Collector をシステム設定に追加するとすぐに、図 7-12 のように、[Edit Collector] フォームの [NetInquiry] セクションが表示されます。

図 7-12 [Edit Collector] フォームの [NetInquiry Configuration] セクション

 

NetInquiry の設定可能な各パラメータについて、次に説明します。

[Maximum allowed workers]

NetInquiry プロセスでは、並行して動作する複数の NetInquiry ワーカーを作成できます。この数は最大数を設定し、NetInquiry で生成されるネットワーク トラフィック量と使用されるシステム リソース量を制限します。一度に設定できるワーカー数は最大 16 で、デフォルト値は 5 です。

[Enable Ping Sweep]

このオプションを選択すると、サブネットが現在アクティブかどうかを判断する [Network blocks] フィールドで指定されたサブネットのホスト アドレスの PING を実行するよう NetInquiry モジュールが設定されます。

[Enable DNS Collection]

NetInquiry Collector モジュールのこのオプション機能を選択すると、Cisco NAC Profiler は、[Network blocks] フィールドで指定されたアドレスの名前検索を実行できます。アクティブに検出された名前をシステムで使用し、エンドポイント プロファイルにバインドする DNS 名アプリケーション 規則と一致させることができます。


) この機能は、DNS 名アプリケーション規則が、イネーブルにされたエンドポイント プロファイルで使用されている場合にだけ使用する必要があります。Cisco NAC Profiler は、このパラメータが NetInquiry モジュール設定で確認される場合、NetInquiry 設定の [Network Blocks] パラメータで指定されたサブネットの各ホスト アドレスの DNS を問い合わせます。


[Network Blocks]

このフィールドを使用して、この NetInquiry Collector モジュールでアクティブにプローブされることが望ましいエンドポイントを含むサブネットを指定します。形式は X.X.X.X/CIDR です。たとえば、10.10.0.0/16 は、最初の 2 つのオクテットが 10 である任意の IP アドレスを意味します。

1 行ごとに、NetInquiry でプローブされるホストを含むサブネットを追加します。


) NetInquiry モジュール設定に指定されるネットワーク ブロックは、MyNetworks 設定で指定されるアドレス内になければなりません。


NetInquiry モジュール設定を完了した後、次に説明するように(必要に応じて)その他のコンポーネント モジュールを設定します。設定が必要なコンポーネント モジュールが他にない場合、「Collector 設定への編集の保存」にスキップします。

NetRelay Collector モジュールの設定

NetRelay Collector モジュールは、Cisco NAC Profiler がその他のデータ収集システムから取得データを取り込めるようにするオプション モジュールです。NetRelay は特に、Cisco NAC Profiler が直接監視できないネットワークのリモート セグメント(リモート オフィスなど)のエンドポイント プロファイリングを実行する場合に役立ちます。Cisco NAC Profiler システムで NetRelay モジュールを使用するには、NetFlow などの IP トラフィック データ Collector を事前にネットワーク上に設定し、該当するエンドポイントの NetFlow データを収集する必要があります。NetRelay Collector モジュールは、Cisco NAC Profiler が、エンドポイント プロファイリングおよび動作モニタリングの目的でこのデータを再利用できるようにします。

NetFlow データは Cisco NAC Profiler によって、 第 9 章「エンドポイント プロファイルの設定」 で説明されるトラフィック規則にしたがって使用されます。NetFlow データをロー ネットワーク トラフィックの代わりに使用して、Cisco NAC Profiler が、エンドポイント プロファイルにバインドされたトラフィック規則で指定された動作に関して、エンドポイント間のトラフィックの流れを検査できるようにします。

この機能性は、NetFlow 収集データが Cisco NAC Profiler に転送するようイネーブル化および設定されている状態で、該当するネットワーク セグメント上に NetFlow Collector デバイス(ルータ、スイッチ、または NetFlow Collector 機能を持つその他のデバイス)があるかどうかに依存します。

NetRelay Collector モジュールの編集

「Collector の設定への追加」で説明されているように Collector を追加する場合、次の手順に従ってその Collector で稼動する NetRelay コンポーネント モジュールの設定可能なパラメータのいずれかを変更します。

Collector をシステム設定に追加するとすぐに、図 7-13 に示すように、[Edit Collector] フォームの [NetRelay] セクションが表示されます。

図 7-13 モジュールの表

 

NetRelay の設定可能な各パラメータについて、次に説明します。

[Enable NetFlow Agent]

Cisco NAC Profiler が、データを Cisco NAC Profiler に転送するよう設定されたネットワークの NetFlow Collector から NetFlow トラフィックを受信するよう、このオプションをイネーブルにする必要があります。

[Internal Network Blocks]

このフィールドを使用して、この NetRelay モジュールが NetFlow データを取り込む必要があるホスト アドレスを含むサブネットを指定します。この操作は、NetFlow を介してプロファイリングされているエンドポイントの IP ホスト アドレスに限られています。

形式は X.X.X.X/CIDR です。たとえば、10.10.0.0/16 は、最初の 2 つのオクテットが 10 である任意の IP アドレスを意味します。

NetRelay が、受信する NetFlow レコードから NetFlow データを取り込む必要があるホスト アドレスを含むサブネットを追加します。

Collector 設定への編集の保存

Collector 設定に該当するすべての変更が行われたら、[Save Collector] ボタンを選択して、すべての変更を Collector に保存します。


) [Apply Changes] ページの [Update Modules] ボタンをクリックすると、Collector に行われた変更が稼動している Cisco NAC Profiler システム設定に保存されます。[Apply Changes] ページには、[Configuration] タブのすべてのページの左側にあるグローバル ナビゲーション ペインの [Apply Changes] を選択するか、メイン [Configuration] ページの表から [Apply Changes] を選択してアクセスできます。


Collector の状態の確認

編集内容を Collector に保存した後、[Configuration] タブに移動し、メイン ペインの表または左側のナビゲーション ペインから [Profiler Modules] を選択し、[List Profiler Modules] を選択すると、Server や Cisco NAC Profiler のすべての Collector の状態をすばやく確認できます。図 7-14 では、Collector の状態を表示する Collector の表の例を示します。

図 7-14 モジュールのリスト/設定

 

[Table of Collectors] の [Status] カラムには、Cisco NAC Profiler 設定の各 Collector の基本の Forwarder およびコンポーネント モジュールの状況が示されます。モジュールの表に報告できる Collector のステータスは、7 とおりです。 表 7-3 では、Collector ステータス メッセージについて説明します。

 

表 7-3 Collector ステータス メッセージ

ステータス
説明

All Modules Running(すべてのモジュールが稼動中)

Collector のすべてのモジュールが Server と接続し、稼動しています。Collector はオンラインで、正常に動作しています。

All Modules Stopped(すべてのモジュールが停止)

Collector のすべてのモジュールが Server と接続していますが、それらはすべて停止状態です。通常は、Apply Changes の後のシステム再起動による一時的な状態です。

One or More Modules Stopped(1 つまたは複数のモジュールが停止)

Collector のすべてのモジュールが Server と接続していますが、1 つ以上のモジュールが停止状態です。システムの再起動後、一部のモジュールがオンライン状態に戻るまで時間がかかることによる、一時的な状態です。状況が明確でない場合、「Collector のコンポーネント モジュールのトラブルシューティング」で説明されている手順に従って、停止状態にあるモジュールを確認します。

Not Contacted(接続なし)

Profiler Server は、Collector で稼動している Forwarder モジュールとの通信を確立できません。Collector とそのコンポーネント モジュールのステータスは Server では決定できません。「Collector のコンポーネント モジュールのトラブルシューティング」を参照してください。

Licensing Issue(ライセンスの問題)

Collector にライセンスがインストールされていないか、インストールされたライセンスが無効です。[Home] タブから有効なライセンス キー ファイルをアップロードします。 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 を参照してください。

One or More Modules Restarting(1 つまたは複数のモジュールが再起動中)

Collector の 1 つまたは複数のコンポーネント モジュールが再起動中です。通常は観察されない、停止と稼動の間の短時間に発生する一時的な状態です。新しいシステムがオンライン状態になるとき、Collector が最初に Server との接続を確立する場合に発生します。

One or more Modules reporting an error(1 つまたは複数のモジュールにエラー報告)

Collector の 1 つまたは複数のコンポーネント モジュールがエラー メッセージを送信しました。通常は、モジュール設定のエラーを示します。

Collector のコンポーネント モジュールのトラブルシューティング

Collector の表には、Cisco NAC Profiler の各 Collector の最上位のビューが表示されます。Collector の状態が「All Modules Running」以外の場合、Collector の表で Collector 名を選択し、[Edit Collector] フォームを開いて、指定された Collector の基本モジュールのステータスを確認できます。図 7-15 を参照してください。

図 7-15 さまざまなモジュールのステータスを示す [Edit Collector] フォーム

 

図 7-15 で示すように、Collector で稼動する各モジュール(NetMap、NetTrap、NetWatch、NetInquiry、NetRelay および Forwarder など)のモジュール ステータスが、Collector の各コンポーネント モジュールに該当するフォームの各セクションの上部に表示されます。コンポーネント モジュールのステータスは、次のいずれかです。

[Running]:コンポーネント モジュールは、正常な状態で稼動し、レポートしています。

[Stalled]:Collector のコンポーネント モジュールが停滞の状態を報告した場合、Collector との接続は確立されているが、通常、Server と Collector 間のネットワーク接続が失われたことにより、引き続き接続が失われることを示します。

[Stopped]:コンポーネント モジュールは稼動していませんが、再起動する可能性があります。

[No contact]:Server は、Collector または Collector で稼動しているコンポーネント モジュールとの接続を確立していないため、ステータスを確認できません。Collector のステータスが上記のように「接続されていない」を示す場合、コンポーネント モジュールはそれぞれ「No contact」を示します。

[Invalid configuration file (missing Internal Address)]:モニタリング インターフェイスが NetWatch コンポーネント モジュールに指定されなかったことを示す NetWatch 特有のエラー状況です。

[Running] のモジュール ステータスは、モジュールが稼動中で注意が必要でないことを示します。

[Stopped] のモジュール ステータスは、Server が Collector の Forwarder と通信中しているにもかかわらず、各コンポーネント モジュールが稼動していないことを示します。([Apply Changes] -> [Update Modules] などに続き)システムの再起動後、Server によりモジュールに送信された新しい設定を使用して基本モジュールが再起動するまでには、ある程度の時間が必要です(該当する場合)。数分待って、ページを更新し、ステータスを再度確認してください。モジュールがまだ [Stopped] のステータスを示す場合、さらにトラブルシューティングが必要です。トラブルシューティングは、影響を受けているモジュールの既存の設定を確認し、この章の手順にしたがって設定されていることを確認してから開始します。設定を確認した後、[Apply Changes] -> [Update Modules] を実行して、モジュールを再起動し、[Running] ステータスに戻します。モジュールの設定を変更するかどうかにかかわらず、Collector の停止したモジュールを再起動する最初の手順として、[Apply Changes] -> [Update Modules] の実行をお勧めします。

モジュールのステータスが [No contact] を示す場合、Server および Forwarder がネットワーク上で接続を確立できないことを示します(つまり、Collector のステータスが「接続されていない」)。Server および Collector 間の通信のパラメータは、 第 4 章「設置および初期設定」 で説明されているように(新しい Collector が最初 CAS アプライアンスで設定されている場合)、Profiler Server 設定の場合は 第 6 章「Cisco NAC Profiler Server の設定」 で説明されているように、Collector を設定に追加する場合に実行される Forwarder モジュール設定の場合は、この章の前半で説明されているように設定します。

Server および Forwarder 間の接続を確立するには、Collector 名(Collector/CAS のホスト名と一致する必要あり)、接続タイプ(クライアントまたはサーバ)、IP アドレス、Server 上に定義されているネットワーク接続、Forwarder の接続、Server および Forwarder の暗号化タイプや共有秘密などの通信用パラメータが一貫している必要があります。Collector セットアップ、Server および Forwarder の設定でこれらのパラメータを再確認し、設定が一貫していることを確認します。また、Profiler Server および Collector 間の TCP 通信を妨害するその他の対策(ACL、ファイアウォールなど)が導入されていないことを確認し、選択したポート番号の通過が可能なデバイス間で導入されたファイアウォールに対して特別な注意を払います。これらのトラブルシューティングが完了したら、[Apply Changes] -> [Update Modules] の手順を実行して、すべてのモジュールを再起動し、Server および Collector 間のネットワーク接続を再度確立します。

[Stalled] ステータスを報告するコンポーネント モジュールは、完全にオフラインの Collector、または Collector と Server 間の TCP 接続を中断したネットワークの状況によるものと考えられます。Collector を稼動するよう指定した場合、トラブルシューティングは、デバイス間を「Ping」してアプライアンス間のネットワーク通信のステータスを判断し、デバイス間の接続が確立されているかどうか判断することから始める必要があります。

コンポーネント モジュールがエラーを報告する場合、これは一般に、設定のエラーによるものであり、特に NetWatch の場合は、モニタリング インターフェイスがコンポーネント モジュール設定で指定されていないためです。コンポーネント モジュールの設定で、CAS/Collector のインターフェイスのうち少なくとも 1 つがモニタリング インターフェイスとして指定されていることを確認します。

Collector 設定の編集

Collector がシステム設定に追加されると、Collector で稼動している Forwarder および Collector モジュールの設定パラメータに変更を行うことができます。

すでに Cisco NAC Profiler 設定に保存されている Collector を編集するには、[Configuration] タブに移動して、メイン ペインの表から、または左側のナビゲーション ペインから [Profiler Modules] を選択し、図 7-16 のように [Configure Profiler Modules] を表示します。

図 7-16 [Configure Profiler Modules] 表

 

表から [List Profiler Modules] を選択して、[Table of Collectors/Table of Servers] ページを表示します。このページの例を、図 7-17 に示します。

図 7-17 モジュールのリスト/設定

 

Collector 、具体的にはコンポーネント モジュールおよび/または Collector の Forwarder の設定パラメータを編集するには、表から Collector 名を選択し、設定にすでに保存されている Collector の [Edit Collector] を表示します。Server が接続している稼動中の Collector モジュールの [Edit Collector] フォームの例を、図 7-18 に示します。

図 7-18 [Edit Collector] フォーム

 

これは、Collector で稼動しているモジュールの初期設定の入力に使用するページと同じであり、この章の最初の項で詳細に説明しています。これらの項では、Cisco NAC Collector のコンポーネント モジュールの設定パラメータについて詳細に説明しています。接続されている Collector の [Edit Collector] フォームでは、前項で説明したように、各 Collector モジュール名の下に各モジュールのステータスを示しています。

必要な変更を行うには、Cisco NAC Collector の各モジュールの設定について説明している 「Collector の設定への追加」の後の各項を参照してください。Collector のコンポーネントに必要な変更をすべて行った場合、フォームの下部にある [Save Collector] ボタンを選択して、設定の変更を保存します。

[Apply Changes] ページの [Update Modules] ボタンをクリックすると、Profiler モジュールに行われた変更が稼動している Cisco NAC Profiler システム設定に保存されます。[Apply Changes] ページには、[Configuration] タブのすべてのページの左側にあるグローバル ナビゲーション ペインの [Apply Changes] を選択するか、メイン [Configuration] ページの表から [Apply Changes] を選択してアクセスできます。

システム設定からの Collector の削除

システム設定から Collector を削除するには、Collector の表に移動して、削除する Collector 名を選択します。[Edit Collector] フォームが表示されます。フォームの下部までスクロールして、[Delete Collector] ボタンを表示します。このボタンを選択すると、システム設定から Collector 設定が削除され、インターフェイスが [Table of Collector/Table of Servers] ページに戻され、削除された Collector のモジュールがデータベースから削除されたことを示すメッセージが表示されます。削除された Collector は、Collector の表から削除されます。必要に応じて、この章の前半で説明した手順で Collector をシステム設定に再び追加することができます。