Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
エンドポイント コンソールの使用
エンドポイント コンソールの使用
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

エンドポイント コンソールの使用

概要

エンドポイントの表示および管理

[View/Manage Endpoints]

[Manage] ビューの使用

[Set All] ビューの使用

デバイス ポート別のエンドポイントの表示

エンドポイント ディレクトリ ビュー

MAC エンドポイントの概要

IP エンドポイントの概要

その他のエンドポイント ビュー

エンドポイント コンソールからの Profiler イベントの表示と管理

Profiler イベントのクリア

エンドポイント コンソールの使用

この章は、次の内容で構成されています。

「概要」

「エンドポイントの表示および管理」

「エンドポイント コンソールからの Profiler イベントの表示と管理」

概要

Cisco NAC Profiler のユーザ インターフェイスでは、エンタープライズ ネットワークに接続するエンドポイントの表示および管理を行うことができます。ユーザ インターフェイスの [Endpoint Console] タブでは、エンドポイントの現在または履歴の情報に加えて、環境内のすべてのエンドポイントの接続ステータスに関する情報が表示できる、エンドポイント データの複数のビューが適用されます。

エンドポイント コンソールで提供される異なるビューは、Cisco NAC Profiler のエンドポイント プロファイリングおよび動作モニタリング機能用の主要なユーザ インターフェイスの役割を果たします。このマニュアルの前半で説明したシステムの Directory モードおよび Port Provisioning モードの両方に対して、プロファイルおよびエンドポイントの現在の状態を表示するオプションがいくつか提供されています。これらのビューにより、エンドポイントのランドスケープ、およびネットワーク上で観測されるすべてのエンドポイントを分類するプロファイルの有効性を深く理解でき、Cisco NAC Profiler が各エンドポイントについて収集した現在および履歴の情報にドリルダウンできます。さらに、Cisco NAC Profiler が Cisco NAC アプライアンス システムへ情報を読み込むためにイネーブルにされたプロファイルの概要情報が一目で確認できます。最後に、エンドポイント コンソールは、 第 10 章「Cisco NAC Profiler Events の設定」 で説明されている Profiler イベントを表示および管理する Cisco NAC Profiler インターフェイスを提供します。

この章では、エンドポイント コンソールが提供するさまざまなエンドポイント ビューおよびイベント ビューの概要を説明します。

図 13-1 は、エンドポイント ビューおよびイベント ビューへのアクセスを提供する [Endpoint Console] のメイン ページを示しています。エンドポイント コンソール機能はすべて、表内のリンクを選択するか、左側のナビゲーション ペインのオプションを選択して、このページから開始されます。

図 13-1 [Endpoint Console] のメイン ページ

 

エンドポイントの表示および管理

エンドポイント コンソールは、ネットワークに接続したエンドポイント、それらの現在のプロファイル、および関連データを表示するために、[View/Manage Endpoints]、[Endpoint Directory] という 2 つの主な方法を提供します。[View/Manage Endpoints] は、エンドポイント情報の表示および Cisco NAC Profiler のポート プロビジョニング機能の使用に関するさまざまなオプションを提供します。[Endpoint Directory] は、Cisco NAC Profiler のディレクトリの配置で使用されるビューを提供し、Port Provisioning モードで使用されるポート管理オプションを使用せずにエンドポイントの情報を表示します。また、[Endpoint Directory] では、Cisco NAC Profiler と Cisco NAC アプライアンスや LDAP 経由で Cisco NAC Profiler データベースと交信するその他の認証システムとの統合の現在の設定に関する概要情報も提供されます。[Other Endpoint Views] セクションには、IP だけのエンドポイントおよび何も接続されていないポートのリストが含まれます。

[View/Manage Endpoints]

エンドポイントおよび関連データの最新で最も詳細なビューは、[Endpoint Console] ページの表から [View/Manage Endpoints] オプションを選択してアクセスできます。この表は、[Endpoint Console] タブを選択すると必ず表示されます。[View/Manage Endpoints] を選択すると、エンドポイントを表示したり、Link State、VLAN、および 802.1X の設定(たとえば、Force-UnAuth、Auto、Force-Auth)など NAC および 802.1X 認証関連のネットワーク デバイス ポート設定を変更するためのポート プロビジョニング インターフェイスを実現するさまざまなオプションを提供する次の表が表示されます。図 13-2 は、[Endpoint Console] のメイン ページから [View/Manage Endpoints] を選択すると利用できるビューを示します。

図 13-2 [View/Manage Endpoints]

 

[Display Endpoints by Profile]

タイトルからわかるように、このビューは、現在イネーブルにされているプロファイルとそれに関連するエンドポイントを表示します。図 13-3 は、[Display Endpoints by Profile] を選択するとインターフェイスに表示されるプロファイルの表を示します。

図 13-3 プロファイルごとのエンドポイントの表示

 

表の見出しのすぐ隣にあるのは、プロファイルの表が前回表示された日付とタイム スタンプです。プロファイルごとの [Total Assets] および [Connected Assets] の前回の表示からの変化は、現在値の隣にある「+」または「-」で示されます。これは、合計または接続したエンドポイントの数からの増減を反映しています。

デフォルトでは、プロファイル名でソートされています(昇順)。表は、カラム名を選択することで、[Total Assets] または [Connected Assets] でソートできる点に注意してください。任意のカラム名を選択すると、その選択基準により、表のソート順序が昇順または降順に切り替わります。

表の各カラムについて次に説明します。

[Profiles]:現在イネーブルにされているプロファイルのリストです。エンドポイントを含むプロファイルが先にリストされ、プロファイル名は、プロファイルに含まれるエンドポイントを詳細に説明した表へのリンクになっています。プロファイル名のリンクを選択すると、図 13-4 に示すように、選択したプロファイルに現在含まれるエンドポイントの表が表示されます。

[Total Assets]:このプロファイルに分類されたエンドポイントの合計数です。

[Connected Assets]:このプロファイルに分類され、Cisco NAC Profiler データベースの最新情報にしたがって現在ネットワークに接続されているエンドポイントです。

[Port Control]:[View]、[Manage]、および [Set All] の 3 つのボタンを含みます。[View] ボタンを使用すると、選択されたプロファイルに現在含まれるすべてのエンドポイントの詳細を説明した表と概要情報が表示されます。これは、上記で説明したように、表からプロファイル名のリンクを選択した際に表示される表(図 13-4 を参照)と同じものです。

図 13-4 エンドポイントの表

 

プロファイル名のリンクを選択するか、プロファイルの [Port Control] カラムにある [View] ボタンを選択すると表示されるエンドポイントの表には、6 つのカラムが含まれています。これらのカラムは、プロファイルに現在含まれているそれぞれのエンドポイントに関する、データベースに含まれる概要情報を表示します。

[MAC]:各エンドポイントの MAC アドレスを表示します。MAC アドレスの OUI が既知の MAC ベンダーに解決される場合、その MAC ベンダーは 16 進数形式の MAC の下にかっこで囲まれて表示されます。MAC アドレスはリンクになっており、クリックすると UI に MAC エンドポイントの概要が表示されます。MAC エンドポイントの概要については、この章で後ほど詳しく説明します。

[IP Address]:エンドポイントの現在の IP アドレスが判明している場合、そのアドレスが表示されます。エンドポイントの IP アドレスはリンクになっており、クリックするとエンドポイントの IP エンドポイントの概要が表示されます。IP 概要情報のページについては、この章で後ほど説明します。

[Certainty]:現在真であると判断されているプロファイル内の規則に基づいて計算された、エンドポイントに関する現在の確実度の値を表示します。

[Switch IP Port]:エンドポイントが現在接続され、Cisco NAC Profiler によって認識されている場合は、その現在の場所を表示します。スイッチ名(ネットワーク デバイス設定で入力される)、IP アドレス、およびポート ID が表示されます。ポートの IFIndex 番号がかっこに囲まれて表示されます。

[Link]:ネットワーク デバイスによって報告されたポートのリンク状態のステータスを表示します。

[802.1X]:ポート 802.1X の認証コードのステータスを表示します。設定の下にあるかっこ内に、802.1X 認証が正常に完了したか、認証が強制されたエンドポイントには [Auth] というポートの状態が表示され、認証が失敗または非認証が強制されたエンドポイントには [UnAuth] という状態が表示されます。

[VLAN]:ポートが動作している現在の VLAN を表示します。ネットワーク デバイスが VLAN 名から VID へのマッピング( 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)を使用して設定された場合は、VLAN 名が表示されます。ネットワーク デバイス設定にマッピングが含まれていない場合は、VLAN カラムにはポートが現在割り当てられている VID が表示されます。

[Manage] ビューの使用

[Manage] ボタンを押すと、プロファイル別にエンドポイントの異なるビューが表示されます。[Manage] ビューは、主に Cisco NAC Profiler を Port Provisioning モードで使用する場合に使用されます。図 13-5 で示すように、このビューには、選択されたプロファイルに含まれるすべてのエンドポイントについて同類の情報([View] ボタンを使用するか、プロファイル名のリンクを選択して表示される情報)が表示されますが、これらに加えて、選択された属性の現在の状態(プロファイルに含まれる各エンドポイントにネットワーク接続を可能にするネットワーク デバイス ポートの [Link State]、[802.1X]、および [VLAN])が表示されます。また [Manage] ビューでは、後ほど説明するように、選択されたこれらのパラメータを変更できます。


) Cisco NAC Profiler は、SNMP プロトコルを利用してデータベースに含まれるネットワーク デバイスに関する選択されたパラメータを変更できます。Port Provisioning モードで使用される [Manage] ビューやその他のビューを使用してネットワーク デバイスのパラメータを変更するには、Cisco NAC Profiler 内のネットワーク デバイス設定に、各デバイスに対するリード(read)ライト(write)コミュニティ ストリングがなければなりません。


ネットワーク デバイス設定に対する変更は、ネットワーク デバイス設定内の [Save Configuration] オプションを使用してネットワーク デバイス上で永続的な状態になります( 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)。あるデバイスに対してこのオプションがオンになっており、デバイスの製造元が SNMP を使用した設定変更の保存をサポートしている場合は、Cisco NAC Profiler のポート プロビジョニングを使用して変更された内容は永続的になります。図 13-5 を参照してください。

図 13-5 プロファイル別のエンドポイント表示:[Manage] ビュー

 

[Manage] ビューで、エンドポイントの MAC または IP を選択すると、前の項で説明したようにそれぞれ MAC または IP の概要情報が表示されます。これについては、この章で後ほど詳細を説明します。

各エンドポイントに接続しているポートの [Link]、[802.1X]、および [VLAN] パラメータの現在の状態の下にあるドロップダウン ボックスに注意してください。Port Provisioning モードでは、これらのドロップダウン ボックスを使用して、選択されたエンドポイント(通常はアクセス スイッチ)の接続を可能にしているエッジ ネットワーク デバイス上のこれらの 3 つのパラメータを選択的に変更できます。各パラメータの選択肢は次のとおりです。

[Link State]:アップまたは管理上ダウンの状態です。ポート上の [Link State] をダウンに変更すると、手動でアップの状態に戻すまで、事実上そのポートは管理上ダウンの状態になります。

[802.1X]:802.1X 認証が実装されイネーブルになっているネットワーク デバイスのポートで次の設定が選択できるようにします。

[Auto]:802.1X 認証がイネーブル

[Force UnAuth]:ポートが非認証の状態、管理上ダウン

[Force Auth]:ポートが管理上認証状態であり、事実上 802.1X 認証がディセーブルになっており、デバイスは認証なしで通信が可能

[VLAN]:ネットワーク デバイス設定で指定された任意の VLAN 名にポートが管理上割り当てられるようにします(VLAN 名から VID へのマッピングについては、 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)。

表の最初の行には特別な用途があり、[Set All] 行と呼ばれます。この行は、[Link State]、[802.1X]、および [VLAN] カラムで選択されたパラメータを、表の残りの行に含まれるすべてのポートに設定するのに使用できます。この機能を使用して、Cisco NAC Profiler の管理下にあり、プロファイルに現在含まれているエンドポイントに接続するすべてのポートにパラメータを設定できます。たとえば、UPS デバイスのプロファイルに含まれるすべてのエンドポイントをネットワーク インフラストラクチャ VLAN に配置するのに使用できます。[Set All] 行の VLAN パラメータのドロップダウン メニューから任意の VLAN を 選択し、[Apply Settings] ボタンを選択します。これにより、選択されたプロファイルに含まれるエンドポイントが使用するすべてのポート上で、VLAN 設定が選択された VLAN 名(VID)に変更されます。

表の下部にある [Apply Settings] ボタンを使用して、変更を実行します。[Apply Settings] を選択すると、Cisco NAC Profiler によって、変更の影響を受けるネットワーク デバイス上で変更を行うのに必要な SNMP セットが 実行されます。

[Set All] ビューの使用

[Set All] ボタンを押すと、プロファイル別のエンドポイントの特殊用途バージョンの [Manage] ビューが表示されます。このビューは、Port Provisioning モードだけで使用されます。このビューは、[Manage] ビューの最上位の行に関して説明されたのと同じ [Set View] の機能を利用しますが、設定されるポートや関連するエンドポイントを表示する必要はありません。これは、選択されたプロファイルに現在含まれるデバイスに接続を可能にするすべてのポートに関するポート パラメータ(Link State、802.1X、および VLAN)の設定だけに使用されます。図 13-6 は、[Set All] ビューを示します。

図 13-6 プロファイル別のエンドポイント表示:[Set All] ビュー

 

[Set All] ビューを使用するには、選択されたパラメータ(Link State、802.1X、および VLAN)の値をドロップダウン リストから選択し、[Apply Settings] を選択します。Cisco NAC Profiler は、SNMP 経由でプロファイルのエンドポイントをネットワーク デバイスに接続させたすべてのネットワーク デバイス上の選択されたポート設定を変更します。

デバイス ポート別のエンドポイントの表示

Cisco NAC Profiler インターフェイス経由でエンドポイントを表示する別の方法として、ネットワーク デバイス ポート別にエンドポイントを表示する方法があります。このビューでは、エンドポイントのプロファイルとともに、接続されているエンドポイントのデバイス レベルのビューがポートごとに提供されます。エンドポイントが接続されていないポートは、トランクとしての機能を果たすポートとともに表示されます。エンドポイント コンソール内の他のビューと同様、このビューでは、ユーザはエンドポイントごとに MAC ページおよび IP 概要のページにドリルダウンできます。

デバイス ポート別にエンドポイントを表示するには、図 13-7 で示すようなデバイス グループの表を表示するオプションをエンドポイント コンソールから選択します。

図 13-7 デバイス グループの表

 

この表からグループ名を選択すると、その選択されたデバイス グループに含まれるネットワーク デバイスのリストが表示されます。(デバイス グループを使用していない場合は、[Ungrouped] グループ名を選択してすべてのネットワーク デバイスを表示します)。図 13-8 は、表示されるデバイスの表を示します。この表では、特定のネットワーク デバイスを選択して、ポート別にエンドポイントを表示できます。

図 13-8 デバイス別のエンドポイントの表示

 

この表は、[View] および [Manage] の 2 つのボタンのある [Port Control] と呼ばれるカラムを含んでいる点を除いて、ネットワーク デバイスをリストする際に表示される表に類似しています。

[View] ボタンをクリックし、ネットワーク デバイスのデバイス名、または IP アドレスを選択すると、図 13-9 で示すように、ネットワーク デバイスのビューが表示されます。

図 13-9 デバイス別のエンドポイントの表示:デバイス レベル ビュー

 

デフォルトでは、このビューには、Cisco NAC Profiler データベースに含まれるデバイス上の各ポート(ポート番号/ifIndex による昇順)およびそのポートに接続されているエンドポイントが表示されます。1 つのポートに 1 つ以上のエンドポイントを接続することが可能です。たとえば、管理対象外のスイッチ(IP 電話に含まれる統合スイッチなど)または Cisco NAC Profiler データベースに入力されていないスイッチ、ワイヤレス アクセス ポイント、またはハブがある場合、複数のエンドポイントが検出され、ネットワーク デバイスの 1 つのポートに接続されていると表示されます。

表は、任意のカラムの見出しをクリックすることで再度ソートできます。任意のカラム見出しを 1 度クリックすると、昇順にソートされ、2 度クリックすると、降順にソートされます。表の各カラムを次に説明します。

[Port]:ネットワーク デバイスのポート番号を表示します。かっこに囲まれた値は、デバイス上のポート番号への永続的な参照を提供する ifIndex です。

[Profile]:現在ポートに接続されている、データベース内のエンドポイントごとに、現在のプロファイルが表示されます。

[MAC Address]:現在ポートに接続されている、データベース内のエンドポイントごとに、その MAC アドレスが 16 進数形式で表示され、その下にかっこで囲まれた MAC ベンダー(OUI がベンダーに解決される場合)が表示されます。16 進数の MAC アドレスはリンクです。リンクを選択すると、この章の後半で説明する [MAC Endpoint Summary] ページがユーザ インターフェイスに表示されます。

[IP Address]:現在ポートに接続されている、データベース内のエンドポイントごとに、Cisco NAC Profiler がデータベースにエンドポイントの現在の IP アドレス情報を含んでいる場合は、そのエンドポイントの現在の IP ホスト アドレスが表示されます。エンドポイントの IP ホスト アドレスはリンクです。リンクを選択すると、この章の後半で説明する [IP Endpoint Summary] ページがユーザ インターフェイスに表示されます。

Cisco NAC Profiler によってトランクと判断されたポートでは、最初の 3 つのカラムは図 13-9 のポート [Gi1/1(2)] で示すように [Trunk Port] という 1 つのエントリと置き換えられます。[Trunk Port] には、MAC、プロファイル、または IP 情報は表示されません。

[Link State]:ポートの現在のリンク状態の設定を反映します。[Down] の場合は、ポートが管理上ディセーブルになっていることを示します。[Up] の場合は、エンドポイントがアクティブでネットワークに接続していることを示します。

802.1X の設定および PAE の状態:エントリがない場合は 802.1X がディセーブル(またはサポートされていない)であることを示し、[Auto]、[ForceAuth]、または [ForceUnAuth] になります。設定の下には PAE の状態 [Auth] または [UnAuth] がかっこで囲まれています。

[VLAN]:VLAN 名(設定されている場合)またはポートの VID を示します。

デバイス ポート別にエンドポイントを表示する [Manage] ビュー オプション

ネットワーク デバイスの [Manage] ボタンを押すと、デバイス ポート別に異なるビューのエンドポイントが表示されます。デバイス ポート別のエンドポイントの [Manage] ビュー(図 13-10)は、主に Cisco NAC Profiler を Port Provisioning モードで配置する場合に使用されます。このビューには、選択されたネットワーク デバイスに接続されたすべてのエンドポイントの同類の情報がそれぞれのポートごとに表示されますが、これらに加えて、選択された属性の現在の状態(各エンドポイントにネットワーク接続を可能にするネットワーク デバイス ポートの Link State、802.1X、および VLAN)が表示されます。また [Manage] ビューでは、後ほど説明するように、選択されたこれらのパラメータを変更できます。

図 13-10 デバイス別のエンドポイント表示:[Manage] ビュー

 

このビューと前のビューの主な違いは、表に [Set All] 行が追加され、選択されたポートのパラメータのドロップダウン メニューが追加されている点です。これらの点は、前に説明した [Manage] ビューに似ています。

ドロップダウン メニューに含まれる各パラメータの選択肢は次のとおりです。

[Link State]:アップまたは管理上ダウンの状態です。ポート上の [Link State] をダウンに変更すると、手動でアップの状態に戻すまで、事実上そのポートは管理上ダウンの状態になります。

[802.1X]:802.1X 認証が実装されイネーブルになっているネットワーク デバイスのポートで次の設定が選択できるようにします。

[Auto]:802.1X 認証がイネーブル

[Force UnAuth]:ポートが非認証の状態、管理上ダウン

[Force Auth]:ポートが管理上認証状態であり、事実上 802.1X 認証がディセーブル

[VLAN]:ネットワーク デバイス設定で指定された任意の VLAN 名にポートが管理上割り当てられるようにします(VLAN 名から VID へのマッピングについては、 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)。

表の最初の行には特別な用途があり、[Set All] 行と呼ばれます。この行は、[Link State]、[802.1X]、および [VLAN] カラムで選択されたパラメータを、表の残りの行に含まれるすべてのポート、実質的にネットワーク デバイスのすべてのポートに設定するのに使用できます。

不正なエンドポイント

[Unauthorized Endpoints] ビューは、802.1X ポート を使用した認証が導入されている環境でだけ使用されます。このビューの目的は、環境全体で UnAuth 状態でポートに接続されているすべてのエンドポイントを表示することです。これらのエンドポイントは、認証を正常に終了できない(有効なクレデンシャルがない、適切に設定されたサプリカントがないなど)、または Force UnAuth に設定されているポートにあるという理由から、原則的には 802.1X 対応のネットワークから接続が解除されます。このビューでは、どのエンドポイントがどの場所でこの状態にあるか(スイッチおよびポート別)を素早く判断する方法を提供し、その結果、これらのユーザやデバイスへのサポートを提供できるようになります。

エンドポイント ディレクトリ ビュー

エンドポイント ディレクトリ ビューは、配置されたほとんどの Cisco NAC Profiler で使用される主要ビューです。エンドポイント ディレクトリ ビューには、その環境に含まれるすべてのプロファイルがその概要情報とともに表示されます。基本的に、エンドポイント ディレクトリ ビューは、プロファイル、プロファイルに含まれるエンドポイント、および Cisco NAC Profiler が Cisco NAC アプライアンスやその他の認証サーバと通信を行うための現在の設定方法を表示するダッシュボード ビューを提供します。このビューには、ディレクトリ配置モデルに含まれるような、ネットワーク デバイスとの通信に必要な仕組みは含まれていません。そのような通信は、継続的な設定または強制の仕組み(あるいはその両方)は、一般的に NAC システム自体に存在するため通常は必要ありません。図 13-11 は、エンドポイント ディレクトリ ビューを示します。

図 13-11 エンドポイント ディレクトリ

 

エンドポイント ディレクトリ ビューでは、プロファイルの表をフィルタリングできます。メイン ペインの右上端にある [Filter] ドロップダウン メニューを使用すると、エンドポイント ディレクトリを My Networks 設定で指定されたネットワーク名別にフィルタ処理できます。My Networks 設定に複数のネットワークが存在する場合は、すべてのネットワークのエンドポイント ディレクトリを表示する(すべて表示)か、[Filter] ドロップダウン メニューからネットワーク名を選択して、My Networks 設定から 1 つのネットワーク名のエンドポイント ディレクトリを表示できます。

プロファイルの表に含まれるカラムを次に説明します。

[Profiles]:Cisco NAC Profiler 内のエンドポイントを含むすべてのプロファイルが表示されます。デフォルトでは、表はプロファイル名(昇順)でソートされます。[Profiles] リンクをクリックすると、プロファイル名がソート フィールドとして選択され、クリックするごとにソート順序が昇順または降順に切り替わります。

[Num of Matches]:現在プロファイルに含まれているエンドポイントの数を表示します。[Num of Matches] のカラム見出しをクリックすると、表のソートをこのフィールドに変更できます。

[LDAP]:プロファイルが LDAP を使用した認証にイネーブルにされているかどうかを示します。Cisco NAC Profiler が外部データベースとして機能するような実装環境では、LDAP にイネーブルにされているプロファイルは、この旨をこのカラムに表示します。[Yes] は、プロファイル内のエンドポイントに対して、Cisco NAC Profiler が LDAP を使用した MAC 認証要求に応答することを示します。

[NAC]:[NAC] カラムは、現在イネーブルになっている、プロファイルと一致する NAC イベントがあるかどうかを示します。カラム中の「-」は、プロファイルに一致するイネーブルにされた NAC イベントがないことを示し、そのプロファイル内のエンドポイントが CAM 上のフィルタ リストに追加されないと見なすことができます。特定のプロファイルのカラムの中に NAC イベント名がある場合は、その NAC イベントの確実度の最小値も反映されます。

表の中の各プロファイル名は、プロファイルごとにさらに詳細なビューを表示するリンクになっています。プロファイル名のリンクをクリックすると、選択されたプロファイルの概要ビューが表示されます。図 13-12 を参照してください。

図 13-12 エンドポイント ディレクトリ:プロファイル ビュー

 

このビューは、ディレクトリ内のエンドポイント プロファイルごとに現在含まれるすべてのエンドポイントについての概要情報を表示します。表はデフォルトでは、MAC アドレス(第 1 カラム)別にソートされますが、カラム見出しをクリックして任意のカラムでソートするよう指定できます。カラム見出しをクリックして、ソート順序を昇順または降順に切り替えることができます。

表の各カラムについて次に説明します。

[MAC] アドレス:プロファイルに含まれる各エンドポイントの MAC アドレスが 16 進数形式で表示されます。エンドポイントの MAC アドレスはリンクです。リンクを選択すると、この章の後半で説明する [Endpoint MAC Summary] ページがユーザ インターフェイスに表示されます。

[MAC Vendor]:MAC アドレスの OUI が解決される MAC ベンダーです。

[Last Known IP Address]:エンドポイントの最後に判明している IP アドレスを示します。エンドポイントの IP ホスト アドレスはリンクです。リンクを選択すると、この章の後半で説明する [IP Summary] ページがユーザ インターフェイスに表示されます。

[Certainty]:エンドポイントに一致したプロファイル内の規則に基づいて計算された、確実度の値を表示します。

[Last Update]:Cisco NAC Profiler エンジンによって処理された、エンドポイントに関するデータの最終更新のタイムスタンプです。

[Created At]:エンドポイントが最初にプロファイルに追加された日時を示すタイムスタンプです。

MAC エンドポイントの概要

MAC エンドポイントの概要は、Cisco NAC Profiler データベースに含まれるエンドポイントごとの詳細な現在および履歴の情報を提供します。この章で説明したように、あるエンドポイントの MAC エンドポイント概要ビューは、エンドポイント コンソールのすべてのビューから表示したり、ユーザ インターフェイス全体を通じて表示できます。Cisco NAC Profiler の UI 全体を通じて、MAC アドレスがリンクとして表示されている場合、ユーザはそのリンクをクリックするとエンドポイントのこのビューにアクセスできます。

第 11 章「Cisco NAC アプライアンスとの統合」 で説明しているように、Cisco NAC Profiler によって CAM 上のフィルタ リストに入力されたエントリには、エンドポイントの説明の中にリンク(Cisco NAC Profiler のホスト名/IP)があります。CAM からこのリンクをクリックすると、Cisco NAC アプライアンスのユーザ インターフェイスで表示されるのと同じ MAC エンドポイントの概要が表示されます。

図 13-13 は、あるエンドポイントの MAC エンドポイントの概要を示しています。

図 13-13 MAC エンドポイントの概要

 

エンドポイントの概要では、エンドポイントに関する最新情報が概要形式で表示されます。概要に表示されたエンドポイントに関する各概要データ ポイントを次に説明します。

[MAC Vendor]:MAC アドレスの OUI が解決される MAC ベンダーです。

[Latest IP Address Mapping]:MAC のマッピングが Cisco NAC Profiler によって認識されている場合は、エンドポイントの現在の IP ホスト アドレスが表示されます。


) IP アドレスが不明の場合(Cisco NAC Profiler が利用可能なデータを使用してデバイスの現在の IP アドレスを確立できない場合など)は、[MAC Vendor] の下に [Currently there is no IP/MAC mapping for [MAC address]] というメッセージが表示され、このエンドポイントには [View IP History] オプション(以降で説明)は使用できません。


[Current Location]:Cisco NAC Profiler にエンドポイントが認識されている場合は、そのエンドポイントへの接続を可能にするネットワーク デバイスの名前(設定されている場合)、IP アドレス、および 現在のポート(名前とかっこで囲んだ ifIndex)でスイッチを表示します。エンドポイントが接続されていない場合、またはエンドポイントの現在地が不明な場合は、概要のこの部分は概要ビューに含まれません。

現在地が認識されている場合、エンドポイントの現在地として表示されているポート名/ifIndex はリンクになります。このリンクをクリックすると、デバイス別のエンドポイント表示ビューが表示されます。表の 1 行目にはエンドポイントのエントリが表示されます。

[System Location]:エンドポイントへの接続を可能にしているネットワーク デバイスでシステム MIB のシステム ロケーション OID が入力されている場合は、システム ロケーションも表示されます。

[Current Profile(s)]:選択されたエンドポイントの MAC アドレスが Cisco NAC Profiler のデータベースと現在照合中のプロファイルを示す表を表します。エンドポイントは常に 1 つのプロファイルにだけ含まれることを思い出してください。ただし、エンドポイントが、実際は 1 つ以上のプロファイルに含まれる類似した規則に一致する場合があります。このビューのこの表には、現在の各プロファイルの中で一致した規則に基づいて、エンドポイントが該当するレベルの確実度と一致するプロファイル(複数の場合あり)が表示されます。

エンドポイントが現在プロファイルされている場合、[Current Profiles] のすぐ下には、エンドポイントの 802.1X 機能に関して、802.1X 対応かどうかが表示されます。

エンドポイントが 802.1X に対応しているかどうかは、 第 9 章「エンドポイント プロファイルの設定」 で概要を説明しているエンドポイントのプロファイルの設定に含まれる [802.1X Enabled] 設定を反映します。プロファイルされていない、または不明なエンドポイントには 802.1X に対応しているかどうかは表示されません。

[Endpoint Summary] の下部には、選択されたエンドポイントの情報を含む追加ビューへのリンクがあります。これらのエンドポイント特有の追加ビューについては、以降で詳細を説明します。

[View Layer 2 Trace]

このビューは、選択されたエンドポイントのレイヤ 2 ローカル ネットワークを通過している、このエンドポイントからのパス トラフィックが観測されていることを示す表を表示します。(デバイスの SAT(CAM)表を調べることにより)エンドポイントが確認されたネットワーク デバイスおよびポートを識別することで、エンドポイントからのトラフィックがエッジ(アクセス ポート)からネットワークのコア、またはルートされた最寄りの境界に移動する様子を Cisco NAC Profiler が「トレース」できます。

[View MAC History]

このビューは、Cisco NAC Profiler データベースで使用可能な選択されたエンドポイントの MAC アドレスに関するすべての情報を履歴期間にわたって表示します。


) 履歴期間の長さは、Server モジュールのパラメータ「Historical Limit」によって決定されます。この Historical Limit は、エンドポイント データが Cisco NAC Profiler のデータベース内に保持される期間を過去に遡って日数で表します(第 6 章「Cisco NAC Profiler Server の設定」を参照)。このパラメータのデフォルト値は 30 日で、これにより、すべての Cisco NAC Profiler の履歴ビューの履歴期間が定義されます。


エンドポイントの MAC 履歴ビューは、次の 3 つの表で構成されます。

ポート別の MAC 履歴を表す表:履歴期間にわたって、このエンドポイントが接続していたポートを表示します。


) 履歴期間内に MAC が他のネットワーク デバイスのポートに接続されていない場合(エンドポイントが移動されていない場合)は、表には「No MACs were found」というエントリが表示されます。


IP 別の MAC 履歴を表す表:履歴期間全体にわたって、Cisco NAC Profiler がこの MAC アドレスに解決した IP アドレスを表示します。

プロファイル別の MAC 履歴を表す表:履歴期間全体にわたって、エンドポイントの分類先となっていたプロファイルを表示します。

[View Profile Data]

このビューでは、Cisco NAC Profiler によって検出された MAC アドレスごとに、履歴期間にわたって Cisco NAC Profiler によって観測された、エンドポイントに関する選択されたプロファイル関連のデータが表示されます。

選択されたエンドポイントのプロファイル データ ビューは、次の 3 つの表で構成されます。

[Table of Software Data]:ユーザ エージェント、サーバ バナー

[Table of Traffic Data]:エンドポイントのネットワーク スタック情報、およびオープン ポートへの出入りが観察されるデータ フローなど

[Table of Other Data]: DHCP、および SNMP SysDescr など

[View IP History]

このビューでは、Cisco NAC Profiler が現在の IP 情報を持つエンドポイントに関して、IP アドレス自体に関する情報を調査できます。特に、DHCP 経由で割り当てられたアドレスのプールに含まれるホスト アドレスに関しては、特定のアドレスを使用するエンドポイントは頻繁に変更される場合があります。このビューでは、IP アドレスや、どのエンドポイントがそのアドレスを使用したか、および履歴期間のいつ使用したかに関する情報の概要が表示されます。


) Cisco NAC Profiler が IP ホスト アドレスをエンドポイントの MAC アドレスにマッピングできない場合、そのエンドポイントの MAC エンドポイントの概要には、[View IP History] リンクが表示されません。


選択されたエンドポイント/ホスト アドレスの IP 履歴ビューは、次の 2 つの表で構成されます。

MAC 別の履歴を表す表:履歴期間にわたって、エンドポイントの現在の IP ホスト アドレスを使用して、Cisco NAC Profiler が観測した各 MAC アドレスを表示します。表の最初のエントリは、常に選択されたエンドポイントの MAC アドレスです。

プロファイル別の履歴を表す表:履歴期間全体にわたって、IP ホスト アドレスを使用していたエンドポイントの分類先となっていたプロファイルを表示します。

MAC エンドポイントの概要には、[Clear Endpoint] というリンクもあります。エンドポイントのクリアは、エンドポイントに関するデータをデータベースからクリアする場合に使用します。エンドポイントに関してクリアされるデータには、IP およびすべてのプロファイル データがあります。ただし、エンドポイントの MAC アドレスは、データベースに保持されます。

エンドポイントのクリアを使用すると、Cisco NAC Profiler はエンドポイントを不明状態に戻し、エンドポイントについてシステムが実行できることを再学習させ、データの再学習後はエンドポイントを再度プロファイリングできます。

IP エンドポイントの概要

MAC エンドポイントの概要と同様、IP エンドポイントの概要では、Cisco NAC Profiler のデータベースに含まれるエンドポイントに関する現在および履歴の詳細情報が提供されます。ただし、現在の IP ホスト アドレスの観点からこれらの情報が提供されます。この章で説明したように、あるエンドポイントの IP エンドポイント概要ビューは、エンドポイント コンソールのすべてのビューから表示したり、ユーザ インターフェイス全体を通じて表示できます。Cisco NAC Profiler の UI 全体を通じて、IP アドレスがリンクとして表示されている場合、そのリンクをクリックするとユーザは、IP エンドポイントの概要ビューのこのビューにアクセスできます。

IP ホスト アドレスのリンクをクリックしてエンドポイントの概要に表示された情報は、エンドポイントの概要の MAC バージョンで説明したものと同一です。基本的に、唯一の違いは、IP アドレスと MAC アドレスのいずれを選択するかだけです。

さらに、IP エンドポイントの概要でも、エンドポイントの概要の下部にあるリンクをクリックして表示されるオプションのビューは同じです。

その他のエンドポイント ビュー

このドキュメントですでに説明したエンドポイント ビューに加えて、エンドポイント コンソールには特殊な用途向けのエンドポイント ビューが 2 つ追加されています。[Endpoint Console] メイン ページまたは左側のナビゲーション メニューから [Other Views] を選択すると、[IP Only Endpoints] と [Unconnected Ports] という 2 つのエンドポイント ビューを選択できます。

[IP Only Endpoints] ビューでは、Cisco NAC Profiler が IP 情報だけを持つエンドポイントが表示されます。これらのエンドポイントの MAC および場所の情報は、システムで検出される必要があります。[IP Only Endpoints] ビューを表示すると、プロファイル別に整理されており、プロファイル別のエンドポイント表示の表に似た表が表示されます。ただし、[IP Only Endpoints] の場合 IP だけのエンドポイントを含むプロファイルをドリルダウンすると、エンドポイントの IP ホスト アドレスと確実度の 2 つのカラムだけの表が表示されます。この表から IP だけのエンドポイントの IP アドレスを 1 つクリックすると、IP エンドポイントの概要が表示され、プロファイル データおよび IP アドレスの IP 履歴を参照できます。

[Unconnected Ports] には、設定に含まれるネットワーク デバイス上のすべてのオープン ポートのリストが表示されます。デフォルトでは、ネットワーク デバイスは、各デバイスで使用可能なすべてのポートのポート名、ifIndex、およびメディア タイプを表示する表にデバイス名および IP アドレス別にリストされます。

エンドポイント コンソールからの Profiler イベントの表示と管理

エンドポイント コンソールでは、Cisco NAC Profiler UI の内部に、Profiler イベントの表示および管理に使用されるインターフェイスも提供されます。これらのイベントは、イベント設定時に Profiler インターフェイスに表示されるように指定されています。Profiler イベントの設定については、 第 10 章「Cisco NAC Profiler Events の設定」 で詳細に説明しています。Cisco NAC Profiler インターフェイスは、システムによって検出された、新しくプロファイルされたイベント、プロファイル変更イベント、および MAC 変更イベントの表示に利用できるオプションの 1 つに過ぎません。この項では、Profiler イベントの表示、解釈、および管理でエンドポイント コンソールを使用する方法の概要を説明します。NAC イベントは、このインターフェイスには表示されず、NAC イベントの結果は、エンドポイント ディレクトリで NAC カラムおよび関連するエンドポイントを分析して参照できることに注意してください。

エンドポイント コンソールから Profiler イベントを表示および管理するには、メイン ページまたは左側のナビゲーション メニューから [Profiler Events] を選択します(図 13-14)。

図 13-14 Profiler イベントの表

 

[Table of Events] は、プロファイル インターフェイスが選択されたイベント配信方法の 1 つになるようにイベント設定内で設定されたProfiler イベントを表示し、管理するための主要なインターフェイスです。新しくプロファイルされたイベント、プロファイル変更イベント、および MAC 変更イベントが発生すると、このインターフェイスに記録され、以降で説明するように手動でクリアされるまでは表内に残ります。

Cisco NAC Profiler によって記録されたイベントごとに、イベントの詳細情報が提供されます。さらに、Profiler イベント インターフェイスでは、Cisco NAC Profiler がイベントを生成しているエンドポイントに関する位置決定(エンドポイントへの接続を可能にするスイッチおよびポート番号など)の情報を持っている場合、選択されたネットワーク デバイス ポート パラメータに変更を加えることができます。さらに、この章の前半のエンドポイント イベントのビューで説明されているように、同時に複数のポート(表に現在表示されている、イベントを生成しているエンドポイントへの接続を可能にするすべてのポートなど)を変更できる [Set all] 行が表示されます。

3 種類のイベントについて表の各カラムに含まれるデータを次に説明します。

[Clear Event]:表の各行に含まれるチェックボックスを使用して、表の下部にある [Apply Settings] ボタンと組み合せて、クリアするイベントを選択します。

[Event Name]:表内のイベントごとに、このカラムにはイベント名(イベント設定から取得される)が表 エントリとして表示されます。名前のすぐ下には、イベント内で設定されているイベントの重大度もかっこで囲まれて表示されます。

[Date]:Profiler イベントが発生した日時を表します。

[MAC/[Prior MAC]]:イベントをトリガーしているエンドポイントの MAC アドレスおよび MAC ベンダーを表示します。MAC 変更イベントの場合、ポートに最後に接続されたエンドポイントの MAC アドレスが、現在の MAC の下にかっこで囲まれて表示されます。

[IP Address]:イベントをトリガーしているエンドポイントの IP アドレスを表示します(Cisco NAC Profiler が認識している場合)。

[Profile/[Prior Profile]]:イベントをトリガーしているエンドポイントのプロファイルを表示します。プロファイル変更イベントの場合、変更の直前にエンドポイントが含まれていたプロファイルが、Prior Profile として表示されます。

[Switch IP and Port]:イベントをトリガーしているエンドポイントの現在地(接続を可能にするスイッチおよびポートなど)を表示します(Cisco NAC Profiler が認識している場合)。フォーマットは、スイッチ IP、インターフェイス名、ifIndex です。エンドポイントの現在地が不明な場合は、0.0.0.0 および 0 がこのカラムに表示され、以降で説明する Link、802.1X、および VLAN の現在のポート設定には入力されません。

[Switch IP and Port] の先には、イベントをトリガーしているエンドポイントに接続しているポートの選択されたパラメータの現在値が表示されます。パラメータごとに、ポートの選択されたパラメータを変更するために [Apply Changes] ボタンと組み合せて使用されるドロップダウン メニューが提供されることに注意してください。ドロップダウン メニューの上には、パラメータごとに次のようなポートの現在の状態が表示されます。

[Link State]:ポートの現在のリンク状態の設定を反映します。[Down] の場合は、ポートが管理上ディセーブルになっていることを示します。[Up] の場合は、エンドポイントがアクティブでネットワークに接続していることを示します。

802.1X の設定および PAE の状態:エントリがない場合は 802.1X がディセーブル(またはサポートされていない)であることを示し、[Auto]、[ForceAuth]、または [ForceUnAuth] になります。設定の下には PAE の状態 [Auth] または [UnAuth] がかっこで囲まれています。

[VLAN]:VLAN 名(設定されている場合)またはポートの VID を示します。

ドロップダウン メニューに含まれる各ポート パラメータ設定の選択肢は次のとおりです。

[Link State]:アップまたは管理上ダウンの状態です。ポート上の [Link State] をダウンに変更すると、手動でアップの状態に戻すまで、事実上そのポートは管理上ダウンの状態になります。

[802.1X]:802.1X 認証が実装されイネーブルになっているネットワーク デバイスのポートで次の設定が選択できるようにします。

- [Auto]:802.1X 認証がイネーブル

- [Force UnAuth]:ポートが非認証の状態、管理上ダウン

- [Force Auth]:ポートが管理上認証状態であり、事実上 802.1X 認証がディセーブル

[VLAN]:ネットワーク デバイス設定で指定された任意の VLAN 名にポートが管理上割り当てられるようにします(VLAN 名から VID へのマッピングについては、 第 8 章「Cisco NAC Profiler 設定へのネットワーク デバイスの追加」 を参照)。

イベント インターフェイスを使用してポート パラメータを変更する場合は、[Apply Changes] ボタンを押して変更を実行します。このインターフェイスを使用してネットワーク デバイスのパラメータを変更するには、Cisco NAC Profiler に再設定されているデバイスに対する SNMP の読み書きアクセス権がなければなりません。

Profiler イベントのクリア

エンドポイント コンソールに表示された Profiler イベントは、手動でクリアしない限り、履歴期間全体にわたってイベントの表に残ります。

イベントを手動でクリアするには、イベントの表の 1 カラム目から、削除対象のイベントの [Clear Event] チェックボックスをオンにします。削除するイベントを選択した状態で [Apply Changes] ボタンを選択すると、イベントが表およびデータベースから永久に削除されます。