Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC Profiler Server の設定
Cisco NAC Profiler Server の設定
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC Profiler Server の設定

概要

Profiler モジュール設定

Server 設定の編集

Cisco NAC Profiler システムの Server ネットワーク接続

ネットワーク接続の Server タイプの Server モジュール設定への追加

ネットワーク接続の Client タイプの Server モジュール設定への追加

Server モジュール設定に追加されたネットワーク接続の保存

サーバ ネットワーク接続の編集

サーバ ネットワーク接続の削除

Server モジュールへの編集内容の保存

Profiler Server のハイ アベイラビリティ(HA)の設定

CAS/Collector HA ペアのネットワーク接続、クライアント タイプの追加

Cisco NAC Profiler Server の設定

この章は、次の内容で構成されています。

「概要」

「Profiler モジュール設定」

「Server 設定の編集」

「Cisco NAC Profiler システムの Server ネットワーク接続」

「ネットワーク接続の Server タイプの Server モジュール設定への追加」

「ネットワーク接続の Client タイプの Server モジュール設定への追加」

「サーバ ネットワーク接続の編集」

「サーバ ネットワーク接続の削除」

「Server モジュールへの編集内容の保存」

「Profiler Server のハイ アベイラビリティ(HA)の設定」

「CAS/Collector HA ペアのネットワーク接続、クライアント タイプの追加」

概要

Cisco NAC Profiler の設定に関連付けられている次のタスクは、Profiler Server の設定です。Profiler Server によって Web ベースの管理インターフェイスが提供されており、そのインターフェイスで Collector で稼動しているモジュールなど、システムのすべてのコンポーネントが管理できることを思い出してください。最初にこのコンポーネントを正しく設定すると、初期システム設定が作成され、システムの使用を開始できます。

第 4 章「設置および初期設定」 で説明されているように Profiler Server を初期化すると、Server モジュール自体の初期設定など(非 HA ペアまたは HA ペアなど)非常に基本的なシステム設定が作成されます。基本サーバ設定には、Web インターフェイスを使用してシステムを設定し管理できるデフォルト パラメータが含まれるため、詳細設定では、ターゲット環境でのエンドポイント プロファイリングおよび動作モニタリングのためにシステムをイネーブルにできます。Collector モジュールは、ネットワーク上で Server との通信に必要なパラメータで初期化され、完了した設定を取得してデータを Server に送信して処理します。この章の説明に従って Server が設定されると、Collector との通信が確立され、次の章で説明するように Collector の設定がシステム設定に追加され、設定が完了します。

Profiler Server モジュールの設定を始める前に、デバイスへの SSH セッションを介し、root プロンプトで service collector start コマンドを使用して、Collector を設定し、Collector サービスを開始する必要があります。

Profiler モジュール設定

左側のナビゲーション ペインから [Profiler Modules] オプションを選択して、管理インターフェイスの [Configuration] タブから Cisco NAC Profiler 設定の Profiler モジュール インスタンスを設定できます。図 6-1 は、メイン ペインに表示される表を示しています。その表には Collector モジュールを追加するリンク、システム設定に現在保存されている Profiler モジュール(Server および Collector )を表示するリンクが表示されます。

図 6-1 [Configure Profiler Modules] ページ

 

メイン ペインの表で [List Profiler Modules] リンクを選択すると、2 つの表を表示するページが開きます。表の 1 つは、設定に現在保存されている Collector モジュールとそれぞれのステータスを示し、もう一方の表は Profiler Server とそのステータスを示します(図 6-2 を参照)。Collector モジュール名と Server はホットリンクになっており、リンクをクリックすると、選択したモジュールの編集/設定ビューが表示されます。


) 新しく設定された Cisco NAC Profiler システムの Server モジュールのステータスが「not running」場合、ライセンス キー ファイルが正しくアップロードされなかったか、アプライアンスの MAC アドレスがライセンス キー ファイルの MAC アドレスと一致しないことを示します。ロードされているライセンス ファイルが、適切な MAC アドレスを使用して生成されていることを確認してください。


図 6-2 モジュールの表

 

Server 設定の編集

Server モジュールを編集するには、上記の説明のようにモジュールの表に移動します。サーバの表からサーバ名のリンク(「Server」)を選択すると、[Configure Server] フォームが表示されます(図 6-3 を参照)。

図 6-3 [Configure Server] フォーム

 

[Configure Server] フォームは、関連する設定パラメータについて 9 つのセクションまたはエリアに分けられます。設定パラメータは、Server モジュールがどのように動作するか、Server に現在設定されているすべてのネットワーク接続のリストを定義します。

最初の 4 つのセクションは必須 Server モジュール設定パラメータで、アプライアンスの起動時に初期化される Server モジュールのデフォルト値が表示されます。

[LDAP Configuration] セクションはオプションで、LDAP 統合機能を使用して、NAC Profiler と RADIUS 認証サーバなどの他のシステムとを統合する環境に特定されます。NAC Profiler LDAP 機能の使用方法については、 第 14 章「Cisco NAC Profiler の LDAP 統合」 を参照してください。

セクション 6 および 7 は、Cisco NAC Profiler と Cisco NAC アプライアンスの統合に特定されます。これらの Server モジュール パラメータの使用および設定の詳細については、 第 11 章「Cisco NAC アプライアンスとの統合」 を参照してください。

次のセクションの SNMP Configuration は、オプションの設定パラメータで、必要に応じて使用されます。これらのパラメータには、デフォルト値はありません。

Server 設定の 9 番目と最後のセクション「Network Connections」は、Server と Cisco NAC Profiler システムの他のモジュール間の接続を設定するために使用されます。

次に、[Configure Server] フォームの 10 個の各セクションの Server 設定パラメータの目的をそれぞれ説明します。

1. Database Maintenance(データベース メンテナンス)

[Endpoint Timeout]

NAC Profiler エンジンが、エンドポイントのポート マッピング情報を削除し、データベースのエンドポイントの MAC アドレスから IP 情報の関連付けが解除されるまで、エンドポイント データを更新せずに待機する時間の値(時間単位)を指定します。このパラメータは、NAC Profiler がアクセス ポートからのエンドポイントの切断を検出するために SNMP トラップを利用できない環境向けに特別に設計されています。また、通常はエッジ インフラストラクチャから SNMP トラップによって示されるトポロジ変更をリアルタイムに通知できない場合、エンドポイントの位置データが古くならないように特別に設計されています。

エンドポイント タイムアウト値の有効期限切れによりポート マッピングおよび IP データを削除したエンドポイントは、NAC Profiler データベースから完全には削除されません。MAC アドレスに基づいてエンドポイントに関して取得されたすべての情報は、データベースに残ります。

このパラメータのデフォルト値は 0 時間で、通常はトラップを NAC Profiler に送信できる設定のタイムアウト値が設定されていないと解釈されます。トラップを使用できない場合、エンドポイントのポート マッピング情報と IP 情報がデータベースから削除されるまで、更新せずに NAC Profiler が待機する時間数を設定します。

[Directory Timeout]

エンドポイント ディレクトリのエンドポイントがタイムアウトするまで、エンドポイントについてプロファイルを決定するために使用するデータを更新せずに NAC Profiler エンジンが待機する時間の値(日数)を指定します。このタイムアウトを使用して、ネットワークを去ったかネットワークに戻っていない、または今後戻らないエンドポイントを取り除くことができます。これにより、エンドポイント ディレクトリが、ダイナミック環境で成長しすぎないようにできます。エンドポイント ディレクトリからタイムアウトしているエンドポイントが NAC イベントに一致するプロファイルにある場合、エンドポイントはエンドポイント ディレクトリから削除され、Remove MAC イベントがトリガーされて、エンドポイントは CAM のデバイス フィルタ リストから削除されます(Cisco NAC Profiler と Cisco NAC アプライアンスとの統合の詳細については、 第 11 章「Cisco NAC アプライアンスとの統合」 を参照してください)。

このパラメータのデフォルト値は 0 時間で、タイムアウト値が設定されていないと解釈されます。エンドポイントのプロファイリング データが定期的に更新されない場合、ディレクトリ(Cisco NAC との統合が設定されている場合はデバイス フィルタ リストも)のエンドポイントをタイムアウトさせることが望ましい場合、この値を適切な時間数に設定します。このパラメータに選択された値を決定するには、該当プロファイルに関連する規則や、デバイスの環境および動作特性の指定を考慮する必要があります。

[Historical Limit]

NAC Profiler がデータベース内のエンドポイントの履歴データを保持する時間の値(日数)を指定します。デフォルト値は 30 日で、データベース内の各 MAC アドレスおよび IP アドレスに関する過去 30 日間までの履歴データが使用できます。30 日間を超えるデータはデータベースから削除され、データベースが際限なく増大しないようにします。

このパラメータの値を増やす場合、エンドポイントの数と環境の特性を考慮し、システムがハード ディスク領域を使い尽くさないようにする必要があります。

2. Network Mapping Configuration(ネットワーク マッピング設定)

[Mapping Interval [Layer 2]]

Collector で稼動する NetMap モジュールが SNMP を介した情報についてレイヤ 2 デバイス(スイッチ)をポーリングする頻度(分数)を定義します(デフォルトは 60 分です)。

[Mapping Interval [Layer 3]]

このパラメータは、Collector で稼動する NetMap モジュールが SNMP を介した情報についてレイヤ 3 デバイス(ルータ)をポーリングする頻度(分数)を定義します(デフォルトは 30 分です)。

[Distribute Load Over]

システム設定のネットワーク デバイスの SNMP ポーリングを分散する時間の値(分数)を指定します。NetMap モジュールは、ネットワーク デバイスの SNMP ポーリングを定義された時間にわたって分散させ、Cisco NAC Profiler システムおよびネットワーク リソースを効率的に使用するよう設計されています。この値は、ポーリングの配分が行われる時間を指定します。デフォルト値は 15 分です。

システム内の各 NetMap モジュールについて、ポーリングに割り当てられたネットワーク デバイスの数をこのパラメータの値で割り、1 分間ごとに NetMap モジュールがポーリングするデバイス数を決定します。NetMap モジュールは、各デバイスのワーカーを順番に生成します。デバイス数が NetMap モジュール設定( 第 7 章「Collector モジュールの設定」 を参照)で指定された最大ワーカー数より大きい場合、NetMap はこれらの要求をキューします。[Distribute Load Over] パラメータが 1 に設定されている場合、すべての要求が一度に実行されます。

次の例では、このパラメータをデフォルト値の 15 分に設定した場合、n 個のネットワーク デバイスが割り当てられた指定の NetMap モジュールをどのように計算するかを示します。

Example:
Network Devices assigned to NetMap = 60
Distribute Load Over value = 15
Devices per Bucket = (60/15) = 4
 

したがって、合計 15 分の各分の最初に、4 件の XML 要求が NetMap モジュールに送信され、4 件の NetMap ワーカーを開始し、各ワーカーはネットワーク デバイスをポーリングします。


) 経過した時間のワーカーがまだ作業している場合、指定された時刻にバケットことにデバイス数を超える NetMap ワーカーを生成できます。また、受信されたトラップに対してワーカーを生成できます。ただし、最大ワーカー数(およびメイン NetMap プロセス)を超えるワーカーは生成できません。


3. Active Profiling Configuration(アクティブ プロファイリング設定)

[Frequency]

Collector で稼動する NetInquiry モジュールがアクティブ プロファイリング機能を実行するポーリング間隔(分数)を指定します(デフォルトは 60 分です)。

Cisco NAC Profiler の NetInquiry モジュールおよびアクティブ プロファイリング機能の詳細については、 第 7 章「Collector モジュールの設定」 および 第 9 章「エンドポイント プロファイルの設定」 を参照してください。

4. Profiling Configuration(プロファイリング設定)

これらのパラメータを使用して、エンドポイントに関して Cisco NAC Profiler が時間をかけて収集した各プロファイリング データ要素を劣化させます。NAC Profiler によって観察されたエンドポイントに関するプロファイリング データの各要素は、時間ベースの信頼値でタグ付けします。データが始めて表示された場合は 1.0 に設定し、NAC Profiler がエンドポイント動作を確認するたびに 1.0 にリセットされます。下記のパラメータは、各プロファイリング データ要素が定義された時間内に再び観察されない場合、NAC Profiler によってどのようにタイムアウトするかを指定します。

a. [Aging Interval]:各データ要素の信頼値が減少するまで更新を待機する時間(日数)を指定します。

b. [Age Penalty]:プロファイリング データを更新せずに [Aging Interval] の期限切れにより、信頼値を減少させる値(%)を指定します。

たとえば、エンドポイントからの DHCP 要求が NAC Profiler によって時刻 = 0 に観察される場合、その DHCP データ要素には信頼値 1.0(100%)とタグ付けされます。[Aging Interval] を 4 日間、[Age Penalty] を 25% に設定し、別の DHCP 要求が NAC Profiler によって 4 日間観察されない場合、そのデータ要素の信頼値は 100% から 75% に減少します。DHCP 要求が 4 つの [Aging Interval] の間(16 日間)観察されない場合、DHCP 情報の信頼値は 0 となり、その情報はそのエンドポイントのプロファイリングには使用されなくなります。

5. LDAP Configuration(LDAP の設定)(オプション)

NAC Profiler LDAP サービスの設定方法の詳細については、 第 14 章「Cisco NAC Profiler の LDAP 統合」 を参照してください。

6. External Reference(外部参照)(Cisco NAC アプライアンスと統合する場合は必須)

[Profiler Interface DNS/IP address]

Profiler Server のホスト名(優先)または IP アドレスを入力します。ここで入力したホスト名または IP アドレスは、NAC Profiler が CAM デバイス フィルタ リストで作成する各エントリの説明フィールドに埋め込まれる Web リンクの一部となります。これらの Web リンクで、管理者は NAC Profiler エンドポイント データベースに容易にリンクでき、CAM インターフェイスからデバイス フィルタ リストに直接入力されたエンドポイントに関する詳細情報を検索できます。

7. NAC Configuration(NAC の設定)

このセクションのパラメータは、NAC Profiler が Cisco NAC アプライアンスと統合する場合に特定されます。Cisco NAC Profiler の Cisco NAC アプライアンスとの統合を設定する場合、Cisco NAC アプライアンス統合に特有のエンドポイント イベントの設定に加えて、Server モジュール パラメータを設定する必要があります。

これらのパラメータの完全な説明、Profiler の Cisco NAC アプライアンスとの統合の設定方法の詳細については、 第 11 章「Cisco NAC アプライアンスとの統合」 を参照してください。

8. SNMP Configuration(Optional)(SNMP 設定(オプション))

エンドポイント イベント( 第 11 章「Cisco NAC アプライアンスとの統合」 を参照)が発生した場合、Cisco NAC Profiler は SNMP トラップを送信できます。Cisco NAC Profiler がトラップを NMS などの外部トラップ サーバに送信するよう、これらのパラメータを設定します。

[Manager IP Address]

必要に応じて、Cisco NAC Profiler から SNMP トラップを受信する必要のあるシステムの IP アドレスを入力します。

[Manager Community String]

上記で指定したシステムを受信するトラップのコミュニティ ストリングを入力します。NAC Profiler トラップをそのシステムで受信するために必要です。

9. Network Connections(ネットワーク接続)

この設定パラメータは、Profiler Server モジュールがシステム全体に導入された Collector とどのように接続するかを指定します。このドキュメントの次の項では、Server 設定の [Network Connections] セクションの目的と使用について説明し、GUI を使用した設定方法の概要を説明します。

アプライアンスの起動時、デフォルトで、Profiler Server ではネットワーク接続が設定に追加されます。Profiler Server で稼動している内部(設定不可能な)Forwarder モジュールとの接続をイネーブルにする目的で追加されたこのネットワーク接続は、指定された IP アドレス(127.0.0.1)、[Connection Type] が Server の内部ループ バック インターフェイスで識別可能です。これは、Server モジュールが、同じシステムで稼動しているリモート Collector サービスによってポート 31416 で開始されたセッションの内部ループ バック インターフェイスで受信するよう指定すると解釈できます。


) Cisco NAC Profiler システムの場合、Profiler Server とCollector で稼動している Forwarder との通信がイネーブルになるよう Profiler Server 設定の [Network Connections] セクションを変更する必要があります。Server モジュール設定にネットワーク接続を追加するには、「Cisco NAC Profiler システムの Server ネットワーク接続」の手順を実行します。


第 3 章「導入の準備」 で説明しているように、Cisco NAC Profiler システムを設定する場合、IP アドレスや必要な暗号化共有秘密など、システム内のすべてのコンポーネントに関する情報を簡単に使用できるようにする必要があります。

コンポーネント間の通信の設定など、特に各 Collector が Server と接続するかどうか(Collector サービスの Forwarder は「クライアント」として設定)または Server が接続を開始するかどうか(Collector サービスの Forwarder は「サーバ」として設定)を CAS 起動時に決定し、それにしたがって各 Collector を設定しておく必要があります。これにより、Server と Collector 間の通信の設定を簡単に行うことができます。

リモート収集サービスが最初に起動すると、Forwarder モジュールの初期設定が作成され、Forwarder は、システムの NAC Profiler で稼動している Server モジュールと接続できます。Server モジュールのネットワーク接続の設定は、モジュール間の接続が正常に行われるよう、システム起動時の Collector の設定と一貫している必要があります。

Cisco NAC Profiler システムの Server ネットワーク接続

Collector サービスで稼動している Forwarder モジュールと、Profiler Server(HA ペア)で稼動している Server モジュールとのモジュール間接続は、次の 2 つの方法のいずれかで設定できます。

Collector の Forwarder を設定して、Server との接続を開始できます(Forwarder の [Connection Type] を [Client] に設定)。

または Server が開始する接続を受信するよう、Forwarder を設定することもできます(Forwarder の [Connection Type] を [Server] に設定)。

NAC Profiler または HA ペアの Server モジュールに追加する必要のあるネットワーク接続は、Cisco NAC Profiler システムの Collector サービスの設定によって決定されます。

システム内の Collector の一部またはすべての Forwarder が [Client] 設定で設定されている構成の場合、Server モジュールでは、NAC Profiler または HA ペア の VIP の管理インターフェイス(eth0)を指定する、[Connection Type] が [Server] であるネットワーク接続を追加する必要があります。Server モジュール設定にこの接続を追加すると、その Server モジュールに接続するクライアントとして設定されたシステムの Forwarder によって指定された TCP ポート(デフォルトでは 31416)でネットワーク接続を Server が受信します。図 6-4 では、 第 4 章「設置および初期設定」 で説明されているように Forwarder が [Client] として設定される場合、リモート収集サービスの Server モジュールと Forwarder 間の通信を示しています。

図 6-4 Forwarder の Client ネットワーク接続

 

1 つまたは複数の Collector サービスで、[Server] に設定し、Server モジュールで接続を開始する Forwarder 設定を行う構成の場合、[Connection Type] が [Client] のネットワーク接続を、このように設定された各 Collector の Server モジュール設定に追加する必要があります。図 6-5 では、Forwarder が Server として設定される場合の Server モジュールと Collector サービス間の通信を示します。

図 6-5 Forwarder の Server ネットワーク接続

 

1 つまたは複数のリモート収集サービスを採用する分散型 Cisco NAC Profiler システムの場合、導入された Collector サービスをサポートするため、下記の手順に従って必要なネットワーク接続を Server モジュール設定に追加します。

ネットワーク接続の Server タイプの Server モジュール設定への追加

新しいネットワーク接続を Server モジュール設定に追加するには、[Add connection] ボタンを選択します。Server モジュール設定に追加するネットワーク接続の設定パラメータを指定できる [Add network client/server] フォームがメイン ペインに表示されます。図 6-6 を参照してください。

図 6-6 [Add Network Client/Server] フォーム(Server)

 

このフォームを使用して、Server モジュール設定に追加されているネットワーク接続の必須パラメータをそれぞれ指定できます。この Server モジュール設定は、システム内の Server および別の NAC Profiler モジュール(最後の項に説明しているように、通常は CAS/Collector の Forwarder)間の双方向通信をイネーブルにします。これらのパラメータについては、それぞれ下記に詳細に説明しています。

[Connection Type]

[Connection Type] は、Server モジュールと外部モジュール間のこのネットワーク接続が最初にどのように確立されるかを指定します。[Server] オプション ボタンを選択すると、Server モジュールは、ネットワーク接続を他のモジュールが確立し、指定された TCP ポート番号で接続を Server が受信するよう指定します。[Client] オプション ボタンを指定すると、Server モジュール自体が他のモジュールとのネットワーク接続を開始するはずです。Client タイプのネットワーク接続を追加する各手順については、「ネットワーク接続の Client タイプの Server モジュール設定への追加」を参照してください。

[IP Address]

上記に説明されているように「Server」として指定されている [Connection Type] では、Server モジュールがシステム内の Remote Forwarder モジュールからの接続を受信するアプライアンスのローカル インターフェイスの IP アドレスを入力します。


) NAC Profiler で稼動している Server モジュールの場合、[Connection Type] が Server の IP アドレスは、アプライアンスの管理インターフェイス(eth0)の IP アドレスとなります。Server モジュールが NAC Profiler HA ペアで稼動している場合、「Server」タイプのネットワーク接続に指定された IP アドレスは、HA ペアに割り当てられた VIP の IP アドレスとなります。これにより、接続を使用する Collector は、現在どちらのアプライアンスがペアのプライマリであるかに関係なく、Server との接続を維持します。


たとえば、Profiler Server アプライアンスの管理インターフェイスにアドレス 169.254.222.1 が割り当てられている場合、このアドレスを指定したネットワーク接続を追加すると、Server モジュールは、アプライアンスの管理インターフェイスの指定されたポート番号での TCP 接続を受信します。Remote モジュールは、Server を稼動しているアプライアンスの管理インターフェイスの IP アドレスへの TCP 接続を開始して、Server と接続できます。

NAC Profiler の Server モジュール設定で定義された [Connection Type] が Server の単一ネットワーク接続は、[Connection Type] が [Client] である複数のリモート Forwarder の接続をサポートしています。Server モジュールのネットワーク接続は、「一対多」と見なされます。

[Port]

多くの場合、デフォルトの TCP ポート番号 31416 を受け入れる必要がありますが、他にも使用できるレイヤ 4 のポート値を指定できます。これは、追加されているネットワーク接続がモジュール間通信に使用するポート番号です。

[Encryption Type]

ドロップダウン リストから追加されているネットワーク接続に該当する暗号化タイプを選択します。このパラメータは、ネットワーク接続を暗号化しない([None] オプションを選択)、または転送中のデータ暗号化にアルゴリズムを使用することを指定します。現在使用できる暗号化オプションは、[AES](デフォルト)および [Blowfish] です。ネットワーク接続の両端のモジュールのネットワーク接続では、暗号化されたセッションが正常に確立されるよう、同じ暗号化アルゴリズムを選択する必要があります。

[Shared Secret]

必要に応じて、追加するネットワーク接続で暗号化通信を確立する場合に使用する必要がある共有秘密を指定します。ネットワーク接続を暗号化しない場合、フィールドをブランクにする必要があります。ネットワーク接続の両端のモジュールのネットワーク接続は、暗号化されたセッションが正常に確立されるよう、[Shared Secret] を同一にして設定する必要があります。

CAS/Collector は、Forwarder 側の通信設定を完了するため、[Connection Type]、[Encryption Type]、[Shared Secret] および必要に応じてアドレス情報などの必須パラメータを使用して、起動時に設定されます。これにより、Collector が Server から詳細な設定を取得できるよう、システムの Server モジュールとの双方向通信がイネーブルになります。システム設定の初めにシステム全体のパラメータを計画および文書化し、システム レベルの通信を効率的に確立できるようにすることをお勧めします。

[Add Connection] ボタンを選択して新しいネットワーク接続を Serve 設定に保存し、追加されたばかりのネットワーク接続が表示されるはずの [Configure Server] に戻ります。

追加のネットワーク接続を Server モジュールに追加する場合、「Server モジュール設定に追加されたネットワーク接続の保存」で説明されているように、この項または次の項の手順に従って、必要に応じてエントリを追加し、変更を保存します。

ネットワーク接続の Client タイプの Server モジュール設定への追加


) 複数の [Client] 接続([Server] として設定された複数の Collector など)を持つシステムを設定する場合、NAC Profiler の Server モジュールが接続を開始する各 Forwarderのネットワーク接続が Server モジュール設定に必要です。Server ネットワーク接続と異なり、Server の Client ネットワーク接続は「一対一」です。


[Add Network Client/Server] フォームの [Connection Type] の [Client] オプションボタンを選択すると、図 6-7 および図 6-8 で示しているようにフォームが若干変わります。一方は単一の NAC Profiler を持つシステムから、もう一方は NAC Profiler HA ペアから取得されます。

図 6-7 Server モジュール Client ネットワーク接続の追加:スタンドアロン

 

図 6-8 Server モジュール Client ネットワーク接続の追加:HA ペア

 

[Connection Type] が [Client] の [Add network client/server] の主な相違点は、[Add Connection] ボタンのすぐ上のセクション、[Allowing Connection(s) From:] です。

スタンドアロンの NAC Profiler アプライアンスの Cisco NAC Profiler システムの場合、このセクションには 2 つの IP アドレスが表示されます。HA ペアとして NAC Profiler を導入するシステムの場合、4 つの IP アドレスがリストに表示されます。

[Allowing Connections From] のアドレスには、Collector のダウンストリームの Forwarder モジュールの設定ファイルの構築に使用されるアドレスが表示されます。これらのアドレスは、Forwarder のアクセス コントロール リスト(ACL)の設定に使用されます。アドレスは、Server 接続の Collector に接続できるアドレスで、 第 4 章「設置および初期設定」 で指定された手順に従って対応する Server ネットワーク接続でアドレスが設定された場合、Collector の起動時に設定されたアドレスに対して確認する必要があります。

スタンドアロンの場合、Server はこのクライアント接続を使用して Collector サービスに接続し、管理インターフェイス(eth0)IP アドレスを使用して接続を開始します。また、完全にするためループバック アドレスも指定します。

HA の場合、仮想化された Server モジュールからのアウトバウンド接続は、現在プライマリになっているアプライアンスによって、ペアのメンバまたは VIP の管理インターフェイス(eth0)の IP アドレスをその時々によって使用できます。NAC Profiler HA ペアの場合、リストには、ペアのプライマリおよびセカンダリ アプライアンスの管理インターフェイス(eth0)IP アドレス、VIP およびループバック アドレスが表示されるはずです。

Client ネットワーク接続を Server モジュールに追加するには、[Add network client/server] フォームの次のフィールドに入力します。

[IP Address]

[Connection Type] に [Client] が指定されている場合、入力された IP アドレスは、Server モジュールが通信を開始するリモート Collector の IP アドレスでなければなりません。たとえば、ネットワーク接続を Server モジュールに追加して Collector の Forwarder モジュールとの通信を確立する場合、このフィールドで、その Collector サービスの管理インターフェイス(eth0)の IP アドレスを指定します。Collector を HA CAS ペアに導入する場合、CAS ペアの VIP を入力する必要があります。

[Port]

多くの場合、デフォルトの TCP ポート番号 31416 を受け入れる必要がありますが、他にも使用できるレイヤ 4 のポート値を指定できます。これは、追加されているネットワーク接続がモジュール間通信に使用するポート番号です。

[Encryption Type]

ドロップダウン リストから追加されているネットワーク接続に該当する暗号化タイプを選択します。このパラメータは、ネットワーク接続を暗号化しない([None] オプションを選択)、または転送中のデータ暗号化にアルゴリズムを使用することを指定します。現在使用できる暗号化オプションは、[AES](デフォルト)および [Blowfish] です。ネットワーク接続の両端のモジュールのネットワーク接続では、暗号化されたセッションが正常に確立されるよう、同じ暗号化アルゴリズムを選択する必要があります。

[Shared Secret]

必要に応じて、追加するネットワーク接続で暗号化通信を確立する場合に使用する必要がある共有秘密を指定します。ネットワーク接続を暗号化しない場合、フィールドをブランクにする必要があります。ネットワーク接続の両端のモジュールのネットワーク接続は、暗号化されたセッションが正常に確立されるよう、[Shared Secret] を同一にして設定する必要があります。

フォームには、共有秘密を 2 回同じように入力して、該当する文字列を入力する場合に間違いが起きないようにします。


) Collector サービスは、第 4 章「設置および初期設定」にしたがって、Forwarder 側の通信設定を完了するため、[Connection Type]、[Encryption Type]、[Shared Secret] および必要に応じてアドレス情報などの必須パラメータを使用して、起動時に設定されます。これにより、Collector が Server から詳細な設定を取得できるよう、システムの Server モジュールとの双方向通信がイネーブルになります。


Server モジュール設定に追加されたネットワーク接続の保存

必要なすべてのネットワーク接続が Server モジュール設定に追加された場合、[Configure Server] フォーム下部の [Update Server] ボタンを選択します。 第 7 章「Collector モジュールの設定」 で説明されているように、Collector がシステム設定に追加されると使用できるようになるよう、[Apply Changes] -> [Update Modules] を実行して Server 設定ファイルを生成し、追加された Server モジュールのネットワーク接続の設定を使用して、モジュールを再起動します。

サーバ ネットワーク接続の編集

Server モジュール設定で既存のネットワーク接続を編集するには、[Configure Server] フォームに移動し、[Network Connections] セクションに移動して、編集するネットワーク接続の右側にある [Edit] オプション ボタンを選択します。次に、[Edit] ボタンを選択します。現在の設定が反映されている [Edit network client/server] フォームが表示され、ここで必要に応じて各ネットワーク接続パラメータを編集できます(図 6-9 を参照)。Server モジュールの Server ネットワーク接続および Client ネットワーク接続のこれら各パラメータの説明については、「Cisco NAC Profiler システムの Server ネットワーク接続」を参照してください。

図 6-9 [Edit Network Client/Server] フォーム

 

既存のネットワーク接続に必要な変更が行われたら、[Edit Connection] ボタンを選択して編集内容を設定に保存し、[Configure Server] フォームに戻ります。

サーバ ネットワーク接続の削除

Server モジュール設定からネットワーク接続を削除するには、削除するネットワーク接続または接続の右側にある [Remove] チェックボックスを選択します。[Remove] ボタンを選択すると、Server モジュール設定から選択されたネットワーク接続または接続が削除されます。

Server モジュールへの編集内容の保存

編集されている Server モジュールの設定に必要な変更がすべて行われたら、[Configure Server] フォーム下部の [Update Server] ボタンを選択します。[Update Server] ボタンを選択すると、ブラウザは [Table of Modules] ページに戻り、サーバ設定が保存されたことを示すメッセージがメイン ペインの上部に表示されます。

Server モジュール設定への変更は、前章の終わりで説明されたように [Apply Changes] -> [Update Modules] の手順を実行するまで、実行されている設定に適用されません。

Profiler Server のハイ アベイラビリティ(HA)の設定

Cisco NAC Profiler Server は High Availability(HA; ハイ アベイラビリティ)モードで操作でき、2 番目のアプライアンスは、プライマリ Profiler Server のバックアップとして機能します。Profiler Server が最初、 第 4 章「設置および初期設定」 で説明されているように設定されると、システムは単一アプライアンスまたはハイ アベイラビリティ ペアとして設定されます。ハイ アベイラビリティ Profiler Server ペアの設定方法の詳細は、「Cisco NAC Profiler Server HA ペアの設定」を参照してください。この項の後半では、ハイ アベイラビリティ機能の操作の概要について説明します。

次のキーポイントでは、高レベルな HA-Profiler Server 操作の概要を説明します。

Profiler Server のハイ アベイラビリティ モードは、アクティブ/パッシブの 2 つのアプライアンス設定で、スタンバイ Profiler Server は、アクティブ Profiler Server のバックアップとして機能します。

アクティブ Profiler Server は、システムのすべての作業を行います。スタンバイ Profiler Server はアクティブ Profiler Server を監視し、スタンバイ Profiler Server のデータベースをアクティブ Profiler Server のデータベースと常に同期させます。

いずれの Profiler Server も、eth0(管理)インターフェイスの仮想サービス IP を共有します。

プライマリおよびセカンダリ Profiler Server は UDP ハートビート パケットを 2 秒ごとに交換します。ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

Profiler Server の eth1 インターフェイスをハートビート パケットおよびデータベース同期に使用できます。

Cisco NAC Profiler Server のハイ アベイラビリティ モードは、アクティブ/パッシブの 2 つのアプライアンス設定で、スタンバイ Profiler Server は、アクティブ Profiler Server のバックアップとして機能します。通常の状態では、アクティブ Profiler Server が大部分の作業を実行する一方で、スタンバイ Server は、アクティブ Profiler Server を監視し、自身のデータ ストアとアクティブ Profiler Server のデータとの同期を維持します。このデータ ストアには、システム設定情報とエンドポイント データベースが含まれます。

アクティブ Profiler Server のシャットダウンや、相手の「ハートビート」信号への応答の停止などのフェールオーバー イベントが発生した場合は、スタンバイ Profiler Server がアクティブ Profiler Server の役割を担います。

最初に HA ピアを設定する場合、HA プライマリ Profiler Server と HA セカンダリ Profiler Server を指定する必要があります。まず、HA プライマリ Profiler Server がアクティブ Profiler Server になり、HA セカンダリ Profiler Server がスタンバイ(パッシブ)Profiler Server になりますが、アクティブとパッシブのロールは永続的には割り当てられません。プライマリ Profiler Server がダウンすると、セカンダリ(スタンバイ)Profiler Server がアクティブ Profiler Server となります。元のプライマリ Profiler Server は再起動すると、バックアップ ロールであると見なします。

HA が設定された後に Profiler Server が起動すると、ピアがアクティブかどうかが確認されます。アクティブでない場合、起動している Profiler Server は、アクティブ ロールであると見なします。起動時のピアがアクティブな場合、起動している Profiler Server はスタンバイになります。

システムが実装されると同時に、2 つの Profiler Server を HA ペアとして設定したり、新しい Profiler Server を既存のスタンドアロン Profiler Server に追加して、随時ハイ アベイラビリティ ペアを作成することもできます。スタンドアロン Cisco NAC Profiler システムへの HA ピアの追加方法の詳細については、 第 15 章「Cisco NAC Profiler Server コマンドライン リファレンス」 を参照してください。ペアを 1 つのエンティティとしてネットワークおよび Clean Access Manager(CAM)に認識させるには、HA ペアの信頼できるインターフェイス(eth0)アドレスとしてサービス IP アドレスを指定する必要があります。

ハイ アベイラビリティ情報が交換されるクロス ネットワークを作成するには、両方の Profiler Server の eth1 ポートが接続され、現在組織に経路選択されていないプライベート ネットワーク アドレス(デフォルトの HA クロス ネットワークアドレスは 192.168.0.252)が指定されます。Profiler Server は各 Server の eth1 ポートにプライベートで安全な 2 つのノードのネットワークを作成し、UDP ハートビート トラフィックを交換し、データベースを同期します。Profiler Server は必ず、eth1 を UDP ハートビート インターフェイスとして使用します。


) データベース同期時にデータの損失を防ぐには、アクティブ(プライマリ)Profiler Server でフェールオーバーが発生する前に、必ずスタンバイ(セカンダリ)Profiler Server が活動化し、稼動していることを確認します。


Profiler Server ペアのハイ アベイラビリティを設定する前に、次のことを確認します。

2 つの Profiler Server がインストールされ、設定されていること。

ハートビートの場合、Server ごとに一意なホスト名(またはノード名)が指定されていること。HA Profiler Server ペアの場合、このホスト名をピアに提供し、DNS を介して解決するか、ピアの /etc/hosts ファイルに追加すること。

HA プライマリ Profiler Server が、Cisco NAC Profiler のランタイム操作に完全に設定されていること。この設定が、HA セカンダリ(スタンバイ)Server に自動的に複製されること。

両方の Profiler Server がネットワーク上でアクセス可能であること(PING を試行して接続をテストすること)

いずれの Profiler Server アプライアンスもイーサネット ポート(eth1)を使用できること。

ポート セキュリティが、Profiler Server の接続先であるスイッチ インターフェイスでイネーブルになっていないこと。ポート セキュリティがイネーブルになっていると、Profiler Server HA および DHCP デリバリが妨げられる場合があります。

CAS/Collector HA ペアのネットワーク接続、クライアント タイプの追加

Cisco NAC Profiler(リリース 2.1.8 以降)には、スタンドアロンおよび HA Profiler Server ペアを使用して配置される、CAS/Collector HA ペアの設定手順の変更が含まれています。Cisco NAC Profiler システム内に CAS/Collector HA ペアを配置するには、次の手順に従います。

Server モジュール設定で、クライアント タイプのネットワーク接続を作成すると、Profiler Server が HA CAS ペアで稼動する Collector サービスの VIP/サービス IP アドレスへの接続を開始します。

HA CAS/Collector ペアを設定する設定手順については、 第 4 章「設置および初期設定」 を参照してください。


ステップ 1 GUI を使用して [Configure Server] フォームを開きます([Configuration] タブに移動し、[NAC Profiler Modules] -> [List NAC Profiler Modules] を選択します)。Server 表で、[Server] リンクをクリックして [Configure Server] フォームを開き、現在の Profiler Server 設定を表示します。

ステップ 2 フォームの下部にある [Network Connections] セクションまでスクロールします。

ステップ 3 [Add connection] ボタンを選択して、新しいネットワーク接続を追加します。

ステップ 4 [Connection Type] で、[Client] オプション ボタンを選択します。


) [Client] オプション ボタンを選択すると、図 6-10 のように [Add network connection] フォームが変わります。[Allow Connections From] セクションがフォームの下部に表示されます。スタンドアロン アプライアンスの場合、このセクションには Profiler Server のループバック アドレス(127.0.0.1)と eth0 インターフェイスの IP アドレスが入力されているはずです。HA Profiler Server ペアの場合、両方のアプライアンスのループバックと eth0 インターフェイスのアドレスが表示されるはずです。


図 6-10 CAS/Collector HA ペアに対して [Connection Type] を [Client] に設定

 

ステップ 5 [IP Address] フィールドに、Collector サービスをホストする CAS HA ペアの VIP の IP アドレスを入力します。

ステップ 6 Profiler Server と Collector 間の接続の TCP ポート番号を入力します。HA ペアの両方のメンバで稼動するCollector サービスに設定されているポート番号と一致する必要があります。

ステップ 7 ドロップ ダウンから該当する暗号化タイプを選択します。HA ペアの両方のメンバで稼動する Collector サービスに設定されている暗号化タイプと一致する必要があります。

ステップ 8 選択した暗号化タイプの共有秘密を入力します。暗号化を選択していない場合は、ブランクにします。共有秘密は、HA ペアの両方のメンバで稼動している Collector サービスに設定されている共有秘密と一致する必要があります。

ステップ 9 [Add connection] ボタンをクリックして、新しい接続を保存します。

ステップ 10 新しく追加された接続が、Server モジュールのネットワーク接続のリスト([Edit Server] フォーム)に表示されていることを確認し、[Update Server] をクリックして設定を保存します。