Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
設置および初期設定
設置および初期設定
発行日;2012/01/31 | 英語版ドキュメント(2010/02/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

設置および初期設定

Cisco NAC Profiler Collector および Cisco NAC Profiler Server ハードウェアの概要

Cisco NAC Profiler Collector

Cisco NAC Profiler Server

Cisco NAC Profiler Server のハードウェア概要

「Profiler Lite」前面/背面パネル(NAC-3310 に基づく)

「Profiler Server」前面および背面パネル(NAC-3350 に基づく)

Cisco NAC Profiler Server の設置

スタンドアロン Cisco NAC Profiler Server の設定

必要な設定データの収集

システムの初期設定:パスワードの設定

ホスト名の設定

ネットワーク管理インターフェイスの設定:IP アドレス、ネット マスク、デフォルト ゲートウェイ、およびネーム サーバ

Cisco NAC Profiler Server の操作パラメータの設定

Web 管理への移行

Cisco NAC Profiler Server HA ペアの設定

必要な設定データの収集

HA ペアのセカンダリ Cisco NAC Profiler Server の設定

ホスト名の設定

ネットワーク管理インターフェイスの設定:IP アドレス、ネット マスク、デフォルト ゲートウェイ、およびネーム サーバ

Cisco NAC Profiler Server の操作パラメータの設定

HA ペアのプライマリ Cisco NAC Profiler Server の設定

セカンダリ アプライアンスでの登録スクリプトの実行

HA の動作確認

Web 管理への移行

CAS における Collector の設定

CAS におけるリモート Collector サービスの有効化

接続タイプが [Client] の場合

接続タイプが [Server] の場合

Cisco NAC Profiler 用の HA-CAS ペアにおける Collector 設定

プライマリ CAS における Collector サービスの設定

セカンダリ CAS における Collector サービスの設定

Cisco NAC Profiler 用の CLI コマンド

Cisco NAC Profiler Collector および Cisco NAC Profiler Server ハードウェアの概要

この項では、Cisco NAC Profiler の 2 つの主要なコンポーネントの設置方法の詳細について説明します。

「Cisco NAC Profiler Collector」

「Cisco NAC Profiler Server」

次の文書から追加情報を入手できます。

注文の詳細については、『 Cisco NAC Profiler Ordering Guide 』を参照してください。

ライセンスの詳細については、『 Cisco NAC Appliance Service Contract / Licensing Support 』を参照してください。

Cisco NAC アプライアンスのハードウェア プラットフォームについては、詳細『 Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1 』を参照してください。

CAS、Collector、および Profiler Server 間のソフトウェア互換性の詳細については、実行中のソフトウェア バージョンの『 Release Notes for Cisco NAC Profiler 』を参照してください。

Cisco NAC Profiler Collector

Cisco NAC Profiler Collector とは、Cisco NAC アプライアンス サーバ(CAS)上に存在する分散コンポーネントで、Cisco NAC Profiler Server と通信します。CAS ごとに Collector のデフォルト バージョンが付属し、CAS ごとに 1 つの Collector が存在します。

Collector は、SNMP、NetFlow、DHCP、およびアクティブ プロファイリングを使用してエンドポイントの情報を収集し、CAS の 4 番目の NIC を使用して SPAN ポート、SNMP、または NetFlow からデータを収集します。Collector は、関連情報を集約し、それを整理統合して Profiler Server に転送します。Profiler Server では、プロファイリングおよび分類の機能を実行し、NAC マネージャを自動的に更新します。

Collector が機能するには、次が必要になります。

Collector のライセンスを取得し、Cisco NAC Profiler Server にインストールする必要があります。Cisco NAC Profiler の製品ライセンスの取得およびインストール方法の詳細については、『 Cisco NAC Appliance Service Contract/Licensing Support 』を参照してください。

Collector は、「CAS における Collector の設定」の説明に従って、CAS CLI を使用して最初に設定および有効化を行う必要があります。

CAS 上の Collector のバージョンは、Profiler Server 上で実行中の Cisco NAC Profiler ソフトウェアのバージョンと互換性がある必要があります。Collector のバージョンは、CAS アプライアンス上の Cisco NAC アプライアンス ソフトウェアとは無関係にアップグレードできます。バージョン 2.1.8 に関する指示については、『 Release Notes for Cisco NAC Profiler 』の「 Upgrading Collector Service on the CAS 」を参照してください。

表 4-1 は、Cisco NAC アプライアンス サーバのハードウェア プラットフォームごとの CAS 上で Collector が有効化されている場合にサポートされるエンドポイントの数の概要を示します。

 

表 4-1 Cisco NAC アプライアンス サーバのハードウェア概要および Collector サポート

CAS
プラットフォーム
サポートされるホスト数 1
ユーザおよびエンドポイント
エンドポイントだけ

NAC-3310 サーバ

100/100
250/250
500/500

200
500
1,000

NAC-3350 サーバ

1,500/1,500
2,500/2,500
3,500/3,500

3,000
5,000
7,000

1.Cisco NAC Profiler Collector のライセンスには、ポスチャ アセスメントが使用されるかどうかに応じて、Cisco NAC アプライアンスの導入における CAS ユーザ制限に対して 1:1 または 2:1 の関係があります。2,500 ユーザの CAS は、2,500 ユーザおよび 2,500 個の Collector エンドポイントか、ポスチャ アセスメントが使用されていない場合にだけ最大 5,000 個の Collector エンドポイントをサポートできます。

Cisco NAC Profiler Server

Cisco NAC Profiler Server とは、Collector からのデータを集約して分類し、エンドポイント情報のデータベースを管理するアプライアンスです。Cisco NAC Profiler Server は、Cisco NAC アプライアンス マネージャ(CAM)デバイス フィルタ リストを更新して、エンドポイントを適切なアクセス ロールに配置します。

Cisco NAC Profiler Server は、複数の CAS 上の複数の Collector と通信できます。Profiler Server は、Clean Access Manager(CAM)に対して 1:1 の関係を持っています。Cisco NAC アプライアンスの導入に含まれる CAM ごとに 1 つの Profiler Server が存在します。

Cisco NAC Profiler Server のスタンドアロンまたはフェールオーバーのアプライアンスでは、2 つのプラットフォームが利用できます。

Cisco NAC-3350 ハードウェア プラットフォームに基づく、Profiler Server ハードウェア プラットフォーム(最大 7,000 個のエンドポイントをサポート)

Cisco NAC-3310 ハードウェア プラットフォームに基づく、「Profiler Lite」プラットフォーム(最大 5,000 個のエンドポイントをサポート)


) Profiler Lite プラットフォームは、新規インストールとしてだけサポートされ、独自の ISO ファイルが必要です(アップグレードは適用されません)。nac_profilerlite_2.1.8-37-K9.iso ファイルだけが、Profiler Lite プラットフォームにインストールできます。


CAS のサイズおよび Profiler プラットフォームのサイズに関連付いた Collector ライセンスとともに、ハードウェア プラットフォームごとにスタンドアロンおよびフェールオーバーのライセンスがあります。注文の詳細については、『 Cisco NAC Profiler Ordering Guide 』を参照してください。

Cisco NAC Profiler Server のハードウェア概要

表 4-2 は、Cisco NAC Profiler Server プラットフォームのハードウェア仕様の概要を示します。

 

表 4-2 Cisco NAC Profiler Server のハードウェア概要

Cisco NAC Profiler Server プラットフォーム
ハードウェア仕様

「Profiler Lite」 2

(NAC-3310 3 4に基づく)

シングルプロセッサ:Xeon 2.33 GHz dual core

1 GB RAM

80 GB NHP SATA HDD

4 10/100/1000 LAN ポート [2 Broadcom 5721 統合 NIC、2 Intel e1000 PCI-X NIC(HP #NC360T)]

CD/DVD-ROM ドライブ

4 USB ポート(前面に 2 つ、背面に 2 つ)

に基づきます。

Profiler Lite の前面パネル

Profiler Lite 前面パネル LED/ボタン

Profiler Lite の背面パネル

Profiler Lite の背面パネル LED

「Profiler Server」

(NAC-3350 5に基づく)

シングルプロセッサ:Xeon 3.0 GHz dual core

二重の電源

2 GB RAM

2 × 72 GB SFF SAS RAID HDD

Smart Array E200i コントローラ

4 10/100/1000 LAN ポート [2 Broadcom 5708 統合 NIC、2 Intel e1000 PCI-X NIC(HP #NC360T)]

CD/DVD-ROM ドライブ

4 USB ポート(前面 1 つ、内部 1 つ、背面 2 つ)

に基づきます。

Profiler Server の前面パネル

Profiler Server 前面パネル LED/ボタン

Profiler Server の背面パネル

Profiler Server の背面パネル LED

2.Profiler Lite プラットフォームは、新規インストールとしてだけサポートされ、独自の ISO ファイルが必要です(アップグレードは適用されません)。nac_profilerlite_2.1.8-37-K9.iso ファイルだけが、Profiler Lite プラットフォームにインストールできます。

3.NAC-3310 では、HP ProLiant DL140 G3 用にファームウェア/BIOS のアップグレードが必要な場合があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Clean Access)』の「DL140 G3 Required BIOS/Firmware Upgrades」を参照してください。

4.NAC-3310 は、Lights Out 100i Remote Management(iLO)をサポートします。デフォルトの iLO 「管理者」アカウントには、デフォルトのユーザ名/パスワードである [admin]/[admin] が指定されています。BIOS 設定でデフォルトを変更できます。

5.NAC-3350 は、Integrated Lights Out、バージョン 2(iLO2)をサポートします。管理アカウントの詳細については、パネルのタグを参照してください。

「Profiler Lite」前面/背面パネル(NAC-3310 に基づく)

図 4-1 Profiler Lite の前面パネル

 

 

1

ハードディスク ドライブ(HDD)ベイ

6

HDD アクティビティ LED インジケータ(グリーン)

2

CD-ROM/DVD ドライブ

7

LED インジケータ付きの電源ボタン(2 色:グリーン/オレンジ)

3

埋め込み LED インジケータ(ブルー)付きの Unit Identification(UID; 装置 ID)ボタン

8

前面ベゼル用の取り付けネジ

4

システム ヘルス LED インジケータ(オレンジ)

9

前面 USB ポート

5

NIC 1(eth0)および NIC2(eth1)(緑)用アクティビティ/リンクのステータス LED インジケータ

 

 

図 2 Profiler Lite 前面パネル LED/ボタン

 

 

1

UID LED(埋め込み)

ブルー = UID ボタンが押されています。

2

システム ヘルス LED

消灯 = システム ヘルスが正常です。
オレンジ = 障害前のシステムしきい値に達しています。次のいずれかが考えられます。

少なくとも 1 つのファンに障害があります(システムまたはプロセッサのファン)。

少なくとも温度センサーの 1 つが危険なレベルに達しました(システムまたはプロセッサの熱センター)。

少なくとも 1 つのメモリ モジュールに障害があります。

電源装置エラーが発生しました。

3

NIC 1(eth0)および NIC2(eth1)用アクティビティ/リンクのステータス LED

グリーンの点灯 = アクティブなネットワーク リンクが存在します。
グリーンの点滅 = 実行中のネットワーク データ アクティビティが存在します。
消灯 = サーバがオフラインです。

4

HDD アクティビティ LED

グリーンの点滅 = 実行中のドライブ アクティビティがあります。
消灯 = ドライブ アクティビティがありません。

5

電源ステータス LED(埋め込み)

グリーン = サーバに AC 電源が接続され、オンになっています。
オレンジ = サーバに AC 電源が接続され、スタンバイ モードになっています。
消灯 = サーバの電源がオフになっています(AC 電源が接続されていません)。

図 3 Profiler Lite の背面パネル

 

 

1

通気孔

9

埋め込み LED インジケータ(ブルー)付きの Unit Identification(UID; 装置 ID)ボタン

2

上面カバーの取り付けネジ

10

背面 USB ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付けネジ

11

ビデオ ポート(ブルー)

4

NIC 3(eth2)および NIC 4(eth3)PCI Express GbE LAN(RJ-45)ポート(Intel)

12

シリアル ポート

5
13

PS/2 キーボード ポート(パープル)

6

標準サイズの PCI Express x16/PCI-X ライザー ボード スロット カバー

14

PS/2 マウス ポート(グリーン)

7

電源コード ソケット

15

IPMI 管理用 10/100 Mbps iLO LAN ポート(RJ-45)

8

NIC 1(eth0)および NIC 2(eth1)統合 GbE Express LAN(RJ-45)ポート(Broadcom)

 

 

図 4 Profiler Lite の背面パネル LED

 

 

1

NIC 1(eth0)および NIC2(eth1)用アクティビティ/リンクのステータス LED

グリーンの点灯 = アクティブなネットワーク リンクが存在します。
グリーンの点滅 = 実行中のネットワーク データ アクティビティが存在します。
消灯 = サーバがオフラインです。

2

NIC ネットワーク スピード LED

オレンジの点灯 = LAN 接続が GbE リンクを使用しています。
グリーンの点灯 = LAN 接続が 100 Mbps リンクを使用しています。
消灯 = LAN 接続が 10 Mbps リンクを使用しています。

3

UID LED(埋め込み)

ブルー = UID ボタンが押されています。

4

10/100 Mbps LAN ポート用のリンク ステータス LED

グリーン = ネットワーク リンクが存在します。
消灯 = ネットワーク リンクが存在しません。

5

10/100 Mbps LAN ポート用のアクティビティ LED

グリーンの点滅 = ネットワーク アクティビティが存在します。
消灯 = ネットワーク アクティビティが存在しません。

 

「Profiler Server」前面および背面パネル(NAC-3350 に基づく)

図 4-5 Profiler Server の前面パネル

 

 

1

ハード ドライブ ベイ 1

4

ビデオ コネクタ

2

ハード ドライブ ベイ 2

5

HP システム インサイト ディスプレイ

3

CD-ROM/DVD ドライブ

6

USB コネクタ

図 4-6 Profiler Server 前面パネル LED/ボタン

 

 

1

電源オン/スタンバイ ボタンおよびシステム電源 LED

グリーン = システムがオンです。
オレンジ = システムがシャットダウン状態ですが、電源が供給状態のままです。
消灯 = 電源コードが接続されていない、電源障害が発生した、電源が設置されていない、設備の電源が利用できない、または電源ボタン ケーブルが接続されていない状態です。

2

UID ボタン/LED

ブルー = ID が作動しています。
ブルーの点滅 = システムがリモートで管理されています。
消灯 = ID が作動していません。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが悪化しています(悪化した状態のコンポーネントを特定するには、「HP Systems Insight Display and LEDs」を参照してください)。
レッド = システム ヘルスが危険な状態です(危険な状態のコンポーネントを特定するには、「HP Systems Insight Display and LEDs」を参照してください)。
消灯 = スタンバイ モード時にシステム ヘルスが正常です。

4

外部ヘルス LED(電源)

グリーン = 電源のヘルスが正常です。
オレンジ = 電源の冗長性の障害が発生しました。
消灯 = スタンバイ モード時に電源のヘルスが正常です。

5

NIC 1(eth0)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンの点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワークへのリンクが存在しません。
電源がオフの場合、前面パネルの LED はアクティブではありません。ステータスについては、背面パネルの RJ-45 コネクタ用の LED を参照してください(図 4-8)。

6

NIC 2(eth1)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンの点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワークへのリンクが存在しません。
電源がオフの場合、前面パネルの LED はアクティブではありません。ステータスについては、背面パネルの RJ-45 コネクタ用の LED を参照してください(図 4-8)。

図 4-7 Profiler Server の背面パネル

 

 

1

NIC 3(eth2)PCI-X ポート(Intel)

8

キーボード コネクタ(パープル)

2

NIC 4(eth3)PCI-X ポート(Intel)

9

マウス コネクタ(グリーン)

3

PCI Express 拡張スロット 2

10

ビデオ コネクタ(ブルー)

4

電源ベイ 1

11

シリアル コネクタ

5

電源ベイ 2

12

USB コネクタ

6

統合 NIC 2(eth1)ポート(Broadcom)

13

USB コネクタ

7

統合 NIC 1(eth0)ポート(Broadcom)

14

iLO 2 NIC コネクタ(RJ-45)

図 4-8 Profiler Server の背面パネル LED

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 3(Intel)アクティビティ LED

グリーンの点灯 = 高アクティビティ。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合は、リンクが切れています)。

4

10/100/1000 NIC 3(Intel)リンク LED

オレンジ = 1,000 Mbps。
グリーン = 100 Mbps。
消灯 = 10 Mbps(アクティビティ LED が消灯している場合は、リンクが切れています)。

5

10/100/1000 NIC 4(Intel)アクティビティ LED

グリーンの点灯 = 高アクティビティ。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合は、リンクが切れています)。

6

10/100/1000 NIC 4(Intel)リンク LED

オレンジ = 1,000 Mbps。
グリーン = 100 Mbps。
消灯 = 10 Mbps(アクティビティ LED が消灯している場合は、リンクが切れています)。

7

10/100/1000 NIC 1(Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

8

10/100/1000 NIC 1(Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

9

10/100/1000 NIC 2(Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

10

10/100/1000 NIC 2(Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

11

UID ボタン/LED

ブルー = ID が作動しています。
ブルーの点滅 = システムがリモートで管理されています。
消灯 = ID が作動していません。

12

電源 1 LED

グリーン = 正常です。
消灯 = システムがオフか電源に障害が発生しています。

13

電源 2 LED

グリーン = 正常です。
消灯 = システムがオフか電源に障害が発生しています。


) コントロールの使用方法および装置の前面パネルにあるステータス LED の解釈方法については、Cisco NAC Profiler Server に付属しているドキュメントを参照してください。


Cisco NAC Profiler Server の設置


注意 次の手順を実行する前に、『Important Safety Information』のドキュメントに含まれる安全に関する事項および重要な規制に関する情報を参照してください。

次の手順を使用して、Cisco NAC Profiler Server に電源を入れ、アプライアンスの管理インターフェイスへのネットワーク接続を確立します。


ステップ 1 丁寧に発送用の段ボールを開き、アプライアンスを取り出します。アプライアンスからこん包材を取り外します。

ステップ 2 図 4-9 に示されているアイテムが箱の中に含まれているか確認します。

図 4-9 発送用の箱の中身

 


) 将来、装置を輸送する必要に備えて、段ボールおよびこん包材を保管してください。


ステップ 3 目立った損傷がないか装置をチェックします。アプライアンスが損傷している場合は、装置をインストールしないでください。装置の交換に関する指示については、カスタマー サポートに連絡してください。詳細については、『 Cisco NAC Appliance Service Contract /Licensing Support 』を参照してください。

ステップ 4 アプライアンスは、独立の装置として、または 19 インチの標準装置ラックまたはキャビネットにマウントした状態で操作できます。


) ラックマウント用のキットが製品に付属しています。ラックマウントに関する情報および指示については、付属の『1U Rack Hardware Installation Instructions for HP Products』のドキュメントを参照してください。


ステップ 5 目的の場所に装置をマウントしたら、電源ケーブルをアプライアンスの背面にあるデバイスの AC 電源コンセントに接続し、電源ケーブルのもう一方を接地した電源コンセントに差し込みます。

ステップ 6 図 4-7 で示すように、Cisco NAC Profiler Server の背面にあるキーボード、マウス、およびビデオ コネクタを使用して、Cisco NAC Profiler Server にモニタ、キーボード、およびマウスを直接または KVM スイッチ経由で適切に接続します。または、HyperTerminal または同様のターミナル エミュレーション プログラムを使用して、Cisco NAC Profiler Server のコマンドライン インターフェイスにアクセスできます。コンソール ケーブルの RJ-45 コネクタを Cisco NAC Profiler Server のシリアル ポート B に接続し、DB9F コネクタをラップトップまたはデスクトップのシリアル ポートに接続します。シリアル接続には、9600 ボー、1 ストップ ビット、8 データ ビット、パリティなしのパラメータを使用します。


) これらの周辺機器は、Cisco NAC Profiler Server の管理インターフェイスの初期 IP アドレス設定にだけ必要です。このインターフェイスは、後から Web ベースのユーザ インターフェイスにアクセスするための有効な IP 設定およびネットワーク接続を確立します。


ステップ 7 Cisco NAC Profiler Server の管理インターフェイスをネットワークに接続するには、適切な Ethernet ケーブル(RJ-45 コネクタを装備)をアプライアンスの背面にある NIC 1(eth0)というラベルの付いた銅線イーサネット ポートに差し込みます(図 4-7 を参照)。

ステップ 8 アプライアンスの前面にある電源ボタンを押して Cisco NAC Profiler Server の電源をオンにします。POST(電源オン セルフテスト)の実行中、診断 LED が数回点滅します。アプライアンスが起動すると、コンソールにステータス メッセージが表示されます。

ステップ 9 イーサネット ポートのステータス LED を観察して、Cisco NAC Profiler Server へのネットワーク接続を確認します。Cisco NAC Profiler Server の NIC カード上の LED は、図 4-8 の下にある表で説明されているように解釈されます。


ヒント ケーブルをアプライアンスからネットワークに接続後、NIC ポートの LED が正常な状態を示さない場合は、Cisco NAC Profiler Server をネットワークに接続するケーブルが正しい種類のものかをチェックし、スイッチ ポートが有効で適切に設定されているかを確認します。


ステップ 10 モニタリング インターフェイス(複数可)を目的のネットワーク ポートに接続します。2 番目のオンボード銅線ポート(上記の図 4-7 の NIC 2)およびアプライアンスの拡張スロットに追加された銅線または光ファイバー ポートを、Cisco NAC Profiler Server 用の追加モニタ ポートとして利用できます。Cisco NAC Profiler Server では、モニタ ポートを使用して、エンドポイント プロファイリングおよび動作モニタリングで使用される、必要なネットワーク パケットが受動的に収集されます。詳細については、 第 3 章「導入の準備」 を参照してください。


ヒント モニタリング ポートがエンドポイント プロファイリングおよび動作モニタリングに役立つネットワーク トラフィックを収集するには、インストールされたネットワーク インフラストラクチャが提供する SPAN、RSPAN、またはその他のトラフィック モニタリング機能を使用して、必要なトラフィックを Cisco NAC Profiler Server のモニタリング ポートに接続されているネットワーク インフラストラクチャ ポートにリダイレクトする必要があります。ポートのモニタリングの使用に関する詳細については、第 7 章「Collector モジュールの設定」を参照してください。


Cisco NAC Profiler Server は、単独の非冗長システムとして動作させるか、サーバのハイ アベイラビリティ ペアとして設定することができます。

システムを 1 つの Profiler Server として実装する場合は、「スタンドアロン Cisco NAC Profiler Server の設定」の手順に従います。

システムを Profiler Server の HA(ハイ アベイラビリティ)ペアとして実装する場合は、2 つのアプライアンスが提供されます。Web コンソールを使用してそれらを接続し、HA ペアを作成する必要があります。詳細については、「Cisco NAC Profiler Server HA ペアの設定」を参照してください。


 

スタンドアロン Cisco NAC Profiler Server の設定

Cisco NAC Profiler Server は、Cisco NAC Profiler ソフトウェアをハード ドライブにあらかじめインストールした状態で出荷されます。システムが初めて開始されると、一連の開始スクリプトによって Cisco NAC Profiler Server の設定、およびネットワーク上の任意の場所から標準の Web ブラウザ経由で Web ベースの NAC Profiler ユーザ インターフェイスにアクセスできるようにする IP 接続の確立に必要ないくつかのタスクがインストーラによって実行されます。これらの手順を正常に完了したら、 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 に進みます。Cisco NAC Profiler システム(Profiler Server および 1 つ以上の Collector)の詳細設定は、 第 6 章「Cisco NAC Profiler Server の設定」 での説明に従って実行されます。

必要な設定データの収集

Cisco NAC Profiler Server のスタンドアロン構成での設定を開始する前に、設定プロセスを容易にするために 表 4-3 にあるデータを収集および記録します。

 

表 4-3 スタンドアロン Cisco NAC Profiler Server:設定データ

パラメータ

LINUX root ユーザのパスワード

 

LINUX beacon ユーザのパスワード

 

ホスト名

 

管理インターフェイスの IP アドレス

 

管理インターフェイスのネット マスク

 

デフォルト ゲートウェイ

 

ネーム サーバの IP アドレス

 

Profiler データベースのパスワード
(デフォルト: profiler

 

Web 管理ユーザのパスワード
(デフォルト: profiler

 

次に説明する Cisco NAC Profiler Server 開始タスクは、アプライアンスの周辺機器ポートに接続されたキーボードおよびモニタを使用してコマンドライン経由で実行するか、「Cisco NAC Profiler Server の設置」の説明に従って、ターミナル エミュレーションを実行するラップトップまたはデスクトップ コンピュータを使用して実行します。スクリプトによって、Cisco NAC Profiler システムの Cisco NAC Profiler Server コンポーネントを有効化するための基本的な設定情報をユーザが順に入力できます。

システムの初期設定:パスワードの設定

Cisco NAC Profiler Server を初めて起動すると、図 4-10 に示すように、標準のログイン プロンプトがアプライアンスに接続されたモニタに表示されるか、ラップトップまたはデスクトップ上のターミナル エミュレーションに表示されます。

図 4-10 Cisco NAC Profiler システムのログイン プロンプト

 

Cisco NAC Profiler Server では、 root および beacon の 2 つの LINUX ユーザ アカウントが使用されます。システムが初めて開始する際に、両方のアカウントのパスワードを設定する必要があります。


) 後ほど必要になるので、これらのアカウントに割り当てたパスワードを必ずメモしてください。



ステップ 1 Cisco NAC Profiler の初期設定を完了するには、LINUX の root ユーザでシステムにログインします。

ステップ 2 システムを最初に起動すると、root または beacon ユーザにはパスワードがありません。

ステップ 3 ログイン プロンプトで「root」と入力し、Enter キーを押します。

ステップ 4 システムの起動スクリプトが実行中であることを示す次のメッセージが表示されます。

図 4-11 Cisco NAC Profiler の初期画面

 

警告 開始スクリプトの実行中に、Ctrl キーを押した状態で C キーを押すか、ユーザ入力画面のいずれかで [Cancel] を選択すると、設定スクリプトがバイパスされ、初期設定は完了せずにユーザはオペレーティング システムのコマンド プロンプトに戻ります。

ステップ 5 Enter キーを押し、プロンプトで root ユーザのパスワードを作成します。

パスワードが短すぎるか、辞書から引用した単語である場合は、より強固な代わりのパスワードを選択するように勧める警告が表示されます。より強固なパスワードを選択するか、同じパスワードを入力して警告を無視します。パスワードを承認させるには、同一のパスワードを 2 回連続で入力する必要があります。

ステップ 6 その後、 beacon ユーザ のパスワードを入力するように要求されます。beacon ユーザのパスワードを選択します。

ステップ 7 LINUX アカウントのパスワードが正常に設定されると、初期設定スクリプトによっていくつかの画面が実行され、新しくインストールされた Cisco NAC Profiler Server アプライアンス用のホスト名、管理インターフェイスの IP アドレスおよびマスク、デフォルト ゲートウェイとネーム サーバ(DNS サーバ)を含む、Cisco NAC Profiler Server の環境に固有な IP 設定が実行されます。 表 4-3 を参照することで、この手順を効率良く実行できます。

これらのパラメータによって、ネットワーク経由でシステムとの通信が可能になり、Web ベースのユーザ インターフェイスを使用してシステムの詳細な設定を実行できます。

次の項では、新しくインストールされた Cisco NAC Profiler Server の IP 設定パラメータを設定するための手順およびインターフェイスについて説明します。


 

ホスト名の設定


ステップ 1 Cisco NAC Profiler Server の IP を設定するための最初の手順は、そのホスト名の割り当てです(図 4-12)。

図 4-12 ホスト名の設定

 

ステップ 2 この Cisco NAC Profiler Server 用の任意のホスト名を入力します。設定スクリプトの次のステップに進むには、[OK] を選択し、Enter キーを押します。

ネットワーク管理インターフェイスの設定:IP アドレス、ネット マスク、デフォルト ゲートウェイ、およびネーム サーバ

ネットワーク管理インターフェイスとは、Cisco NAC Profiler Server 用の主要な通信インターフェイスです。このインターフェイスには、動作環境に適した IP 設定パラメータを割り当てる必要があります。デバイスが TCP/IP 経由で通信を行うには、有効な IP アドレス、ネットワーク マスク、およびデフォルト ゲートウェイが必要です。Cisco NAC Profiler Server では、名前解決に使用される適切な DNS サーバのアドレスも提供されます。

図 4-13 ネットワーク管理インターフェイスの設定:IP アドレス

 


ステップ 1 Cisco NAC Profiler Server の管理インターフェイス用に任意の IP アドレスをドット付きの 10 進数表記(たとえば、10.10.10.1)で入力したら、Enter キーを押して次の手順に進み、管理インターフェイスのネットワーク マスクを入力します。

図 4-14 ネットワーク管理インターフェイスの設定:ネットワーク マスク

 

ステップ 2 管理インターフェイスが使用するネットワーク マスクをドット付きの 10 進数表記(たとえば、255.255.0.0)で入力し、矢印キーを使用して [OK] を選択し、Enter キーを押して次の設定ページに進みます。このページでは、デフォルトのゲートウェイ IP アドレスの設定を有効にできます。

デフォルト ゲートウェイとは、Cisco NAC Profiler Server が物理的に接続されているネットワーク セグメントにサービスを提供するルータ インターフェイスの IP アドレスです。このパラメータは、Cisco NAC Profiler Server が自身のサブネットとネットワークの外部にあるサブネットとネットワークに到達するのに使用するルータを指定します。

図 4-15 ネットワーク管理インターフェイスの設定:ゲートウェイ

 

ステップ 3 Cisco NAC Profiler Server の任意のデフォルト ゲートウェイの IP アドレスをドット付きの 10 進数表記(たとえば、10.10.10.254)で入力します。矢印キーを使用して [OK] を選択し、Enter キーを押して次の設定ページに進みます。このページでは、ネーム サーバ(DNS)の設定を行います。

図 4-16 ネットワーク管理インターフェイスの設定:ネーム サーバ

 

ネーム サーバの IP アドレスを入力し、[OK] を選択して Enter キーを押すと、図 4-17 で示すように、これまでに設定された IP 情報の概要が表示されます。


 

図 4-17 ネットワーク情報の確認

 

これまでに入力した情報が正しいかどうか確認します。変更が必要な場合は、矢印キーを使用して [No] を選択し、Enter キーを押します。これにより、IP パラメータの割り当て開始からスクリプトが再開されます。これらのパラメータに入力されたデータはすべて失われ、管理インターフェイスの IP アドレスの割り当てから始まるデータ入力の手順が再度行われます。

情報が正しい場合は、必ず [Yes] を選択し、Enter キーを押します。設定スクリプトによって、Cisco NAC Profiler Server 上のすべてのネットワーク インターフェイスが再起動され、管理インターフェイス上で設定の変更がアクティブになります。インターフェイスが正常に再起動すると、初期画面が表示されます(図 4-18 を参照)。

図 4-18 Cisco NAC Profiler の初期画面

 

この段階で、Cisco NAC Profiler Server の IP アドレスに ping を実行することで、完了した IP 設定の妥当性を検証できます。アプライアンスに正常に ping が実行できた場合、Web ベースのユーザ インターフェイスを使用してシステムを管理するのに必要な有効な IP 設定が完了していることを表します。

Cisco NAC Profiler Server の操作パラメータの設定

設定スクリプトは、いったん Cisco NAC Profiler Server の IP 接続がその環境で設定されると、データベースのインストールおよび初期化や、Cisco NAC Profiler を単独のサーバまたは HA ペアで運用するための設定など、Cisco NAC Profiler Server に固有ないくつかのパラメータの設定に進みます。

最初の手順では、Cisco NAC Profiler データベースおよび Web ベースの NAC Profiler ユーザ インターフェイスの管理ユーザ アカウントのパスワードを選択します。


) 管理 Web ユーザ アカウントには、Web インターフェイスを使用したユーザ アカウントの作成および削除を含む、システム設定への完全な管理アクセス権があります。バックアップおよびリストアなどの操作をするのにデータベースへ直接アクセスするには、データベースのパスワードが必要です。


図 4-19 は、初期画面後のデータベース パスワードの設定に使用される画面を示しています。

図 4-19 データベース パスワードの設定

 


ステップ 1 デフォルトのデータベース パスワードである [profiler] をそのまま使用する場合は、矢印キーを使用して [OK] を選択し、Enter キーを押して次の手順に進みます。または、任意のパスワードに編集し、それが終了したら [OK] メニュー を選択して Enter キーを押します。

これで Cisco NAC Profiler データベースの設定および初期化が行われ、それが完了すると、Web インターフェイスの管理ユーザである「admin」のユーザ名に対するパスワードが管理者に要求されます。

次の画面では、管理ユーザ用の Web ベースのユーザ インターフェイス パスワードを設定します。これも、図 4-20 で示すように、デフォルトでは「profile」です。

図 4-20 管理 Web UI パスワードの設定

 

ステップ 2 デフォルトのパスワードをそのまま使用する場合は、矢印キーを使用して [OK] を選択し、Enter キーを押して次の手順に進みます。または、任意のパスワードに編集します。[OK] を押して設定の次の手順に進み、この Cisco NAC Profiler Server が単独のサーバで運用されるのか、ハイ アベイラビリティ(HA)ペアとして運用されるのか指定します。

図 4-21 HA の設定

 

ステップ 3 この Cisco NAC Profiler をスタンドアロンで運用するように設定するには、[No] を選択して Enter キーを押します。

インストール スクリプトによって Zend オプティマイザがインストールされます。Zend オプティマイザは、Cisco NAC Profiler のユーザ インターフェイス内で PHP のパフォーマンスを促進するために使用されます。


ステップ 1 次の画面が表示されたら、[OK] を選択し、Enter キーを押して Zend オプティマイザのインストールを続行します。

図 4-22 Zend オプティマイザのインストール

 

次の画面には、Zend オプティマイザのエンドユーザ ライセンスが表示されます。矢印キーで画面を上下にスクロールさせて、Zend オプティマイザのライセンスを確認します。

ステップ 2 ライセンス契約を読み終わったら、[Exit] を選択し Enter キーを押します。インストーラで契約を受諾するための次の画面が表示されます。

図 4-23 Zend オプティマイザ ライセンスの受諾

 

ステップ 3 インストールを続行するには、[Yes] を選択します。[No] を選択すると、Cisco NAC Profiler の設定スクリプトが終了します。


 

一連の画面から構成される次の手順を完了させて、Zend オプティマイザのインストールを終了します。


ステップ 1 Zend オプティマイザのデフォルトのインストール場所(/usr/local/Zend)を承認し、[OK] を選択して Enter キーを押します。

ステップ 2 デフォルトを承認し、PHP.ini ファイルの場所(/etc)を確認します。[OK] を選択し Enter キーを押します。

ステップ 3 Apache(NAC Profiler の Web ベース UI にサービスを提供する Web サーバ コンポーネント)が使用されていることを確認し、[Yes] を選択して Enter キーを押します。

ステップ 4 Apache 制御ユーティリティへのデフォルトのフル パス(/usr/sbin/apachectl)を承認し、[OK] を選択して Enter キーを押します。

Zend オプティマイザのインストールが開始され、インストールが正常に完了すると、ターミナル上に次のメッセージが表示されます。

図 4-24 Zend オプティマイザ設定の変更通知

 

ステップ 5 [OK] を選択して Enter キーを押し、設定の変更を確認します。図 4-25 のような、インストールの正常終了を示す画面が表示されます。

図 4-25 Zend オプティマイザのインストールの正常終了

 

ステップ 6 [OK] を選択して Enter キーを押すと、次の画面で Cisco NAC Profiler 上の Web サーバの再起動を確認するように要求されます。

図 4-26 Web サーバの再起動の確認

 

ステップ 7 [OK] を選択して Enter キーを押し、Web サーバを再起動してインストールを完了します。Web サーバの再起動が正常終了すると、コンソールに次の画面が表示されます。

図 4-27 Web サーバ再起動の完了

 

ステップ 8 [OK] を選択して、Cisco NAC Profiler のインストールを完了します。

初期設定が正常に完了すると、コンソールに次のメッセージが表示されます。

図 4-28 スタンドアロン Cisco NAC Profiler のインストール完了

 


 

Web 管理への移行

この時点で、Cisco NAC Profiler Server は Web ベースのユーザ インターフェイスを使用して設定する準備が整いました。ネットワークに接続した他の PC またはラップトップ上の標準ブラウザを使用して、次の URL を入力し、Cisco NAC Profiler Server がサービスを提供する UI がネットワーク経由でアクセス可能であることを確認します。

https://[IP address of management interface]/profiler
 

ユーザ名に「 admin 」を入力し、Web インターフェイス用に上記で選択したパスワードを入力します。図 4-29 の Web ページがブラウザに表示されます。

図 4-29 NAC Profiler の Web UI ホームページ

 

Cisco NAC Profiler Server アプライアンスの初期設定用に作成されたセッションには、アプライアンス コンソールから root ユーザとしてログインしたままになります。プロンプトで「logout」コマンドを発行し、システムからログアウトしてコンソールをロックします。

これにより、Cisco NAC Profiler Server アプライアンスの初期設定が完了します。次に 「CAS における Collector の設定」を参照し、Profiler システムの設定に関するさらなる説明については、 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 に進んでください。

Cisco NAC Profiler Server HA ペアの設定

Cisco NAC Profiler Server は、ハイ アベイラビリティ(HA)ペアとして実行するように設定することができます。この設定では、プライマリおよびセカンダリの 2 つの Cisco NAC Profiler Server アプライアンスが配置されます。Profiler Server のハイ アベイラビリティ モードは、スタンバイ Profiler Server がアクティブ Profiler Server アプライアンスのバックアップとして機能する、アクティブとパッシブの 2 つのアプライアンス構成です。通常の状態では、アクティブ Profiler Server が大部分の作業を実行する一方で、スタンバイ Server は、アクティブ Profiler Server を監視し、自身のデータ ストアとアクティブ Profiler Server のデータとの同期を維持します。このデータ ストアには、システム設定情報とエンドポイント データベースが含まれます。

アクティブ Profiler Server のシャットダウンや、相手の「ハートビート」信号への応答の停止などのフェールオーバー イベントが発生した場合は、スタンバイ Profiler Server がアクティブ Profiler Server の役割を担います。

HA ペアを設定する場合、この項で説明されている手順に慎重に従ってシステムを HA モードで正常に起動するようにします。設定を開始する前に、この項での説明すべてに目を通すことを強く推奨します。

いずれかのアプライアンスをオンにして設定作業を開始する前に、次の手順を完了してください。

1. ペアに含まれる Cisco NAC Profiler Server アプライアンスの両方に電源を接続します(ただし、オンにはしません)。

2. サーバの電源をオンにして設定を行う際にアプライアンス間で eth0(管理)インターフェイスを IP 接続できるように、適切に設定されたポートを使用してネットワークに接続します。

3. eth1(ハートビート)インターフェイスは、アプライアンス間のハートビート信号を維持するためのプライベート LAN(たとえば、クロス ケーブルまたはスタンドアロン スイッチ経由)を構成するように相互接続する必要があります。

4. 両方の Cisco NAC Profiler Server アプライアンスが ping によってネットワークとまだ接続していることを判断できる、ICMP が有効(必須)な、できれば同じサブネット上の第 3 デバイスのホスト アドレスを識別します。このメカニズムにより、ネットワーク インターフェイスの障害またはその他のネットワーク接続の問題を検出し、それに対応することで、フェールオーバーに機能が追加されます。

5. 次項で概説するように、個別のアプライアンスおよび HA ペアごとに必要な設定パラメータを収集して記録します。

必要な設定データの収集

Cisco NAC Profiler HA ペアの設定を始める前に、設定プロセスを容易にするために次の表にあるデータを収集し、記録する必要があります。この章の残りの項で概説する設定手順では、プライマリおよびセカンダリ アプライアンスに特有のデータ、およびペアが共有するデータを収集し、参照できるようにする必要があります。

 

表 4-4 セカンダリ Cisco NAC Profiler Server アプライアンス

パラメータ

LINUX root ユーザのパスワード6

 

LINUX beacon ユーザのパスワード 1

 

ホスト名

 

管理インターフェイスの IP アドレス

 

管理インターフェイスのネット マスク

 

デフォルト ゲートウェイ

 

ネーム サーバの IP アドレス

 

Profiler データベースのパスワード 1

 

Web 管理者ユーザのパスワード 1

 

6.root と beacon ユーザの LINUX ユーザ パスワード、Cisco NAC Profiler データベースおよび管理 Web UI パスワードは、HA ペアに含まれる両方のアプライアンスで同一である必要があります。

 

表 4-5 プライマリ Cisco NAC Profiler Server アプライアンス

パラメータ

LINUX root ユーザのパスワード7

 

LINUX beacon ユーザのパスワード 1

 

ホスト名

 

管理インターフェイスの IP アドレス

 

管理インターフェイスのネット マスク

 

デフォルト ゲートウェイ

 

ネーム サーバの IP アドレス

 

Profiler データベースのパスワード 1

 

Web 管理者ユーザのパスワード 1

 

7.root と beacon ユーザの LINUX ユーザ パスワード、Cisco NAC Profiler データベースおよび管理 Web UI パスワードは、HA ペアに含まれる両方のアプライアンスで同一である必要があります。

プライマリおよびセカンダリの Cisco NAC Profiler Server に特有の標準パラメータに加えて、仮想化の設定に必要で、設定プロセス中に要求されるパラメータもいくつかあります。

仮想 HA IP アドレス:HA ペアの仮想管理インターフェイスの IP ホスト アドレスです。これは、Cisco NAC Profiler HA ペアと通信するのに使用される IP アドレスで、HA ペアが、物理的なアプライアンスのどれがマスターであるかにかかわらず、その他のネットワーク エンティティと通信するのに使用されます。これは、CIDR 形式でマスク ビットの数を指定する、ドット付きの 10 進数表記(たとえば、10.1.1.200/24)でホスト アドレスが指定されます。

ローカル HA ネットワーク:プライベート ネットワーク IP アドレスの最初の 3 つのオクテット(たとえば、192.168.1)で、2 つのアプライアンス間(eth1 インターフェイス)のハートビート ネットワークに使用されます。

HA 認証キー:アプライアンスが認証を行うのに使用される文字列を指定します。両方のアプライアンスの関係を確立するために、HA 共有キーは、同一のものを入力する必要があります(大文字小文字が区別されます)。

HA 外部 ping ホスト:これは、Cisco NAC Profiler Server アプライアンスからの ICMP エコー要求に応答する HA ペアとできれば同じサブネット上にある、他のネットワーク デバイスのホスト IP アドレスです。Profiler Server アプライアンスは、ネットワーク インターフェイスの障害を検出する手段として、ネットワーク接続がまだ存在するか確認するために、このデバイスに定期的に ping を発行します。

 

表 4-6 Cisco NAC Profiler Server HA ペア パラメータ

パラメータ

仮想 HA IP アドレス

 

ローカル HA ネットワーク

 

HA 認証キー

 

HA 外部 ping ホスト

 

この情報が収集されると、HA ペアの設定を開始できます。

Cisco NAC Profiler HA ペアを設定するための一連のイベントは、次のとおりです。

1. 「登録」プロセスの実行準備が整うまでセカンダリ アプライアンスの役割を果たす Cisco NAC Profiler Server を設定します。

2. 最後までプライマリ アプライアンスの役割を果たす Cisco NAC Profiler Server を設定します。

3. 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 の説明に従って、セカンダリ アプライアンスに戻り、登録プロセスを実行します。これにより、2 つのアプライアンス間の通信が開始され、システム設定を完了させるために HA ペアが有効化されます。

これらの手順の詳細については、この章の残りの部分で概説します。

HA ペアのセカンダリ Cisco NAC Profiler Server の設定

前の項で記入したデータ収集シートを手元に準備し、ペアのセカンダリ アプライアンスに指定されている Cisco NAC Profiler Server の電源をオンにします。

Cisco NAC Profiler を初めて起動すると、図 4-30 に示すように、標準のログイン プロンプトがアプライアンスに接続されたモニタに表示されるか、ラップトップまたはデスクトップ上のターミナル エミュレーションに表示されます。

図 4-30 Cisco NAC Profiler システムのログイン プロンプト

 

Cisco NAC Profiler には、root および「beacon」という使用可能な 2 つの LINUX ユーザがあります。システムが初めて開始する際に、両方のアカウントのパスワードを設定する必要があります。


) 後ほど必要になるので、これらのアカウントに割り当てたパスワードを必ずメモしてください。



ステップ 1 Cisco NAC Profiler の初期設定を完了するには、LINUX の root ユーザでシステムにログインします。

システムを最初に起動すると、root または beacon ユーザにはパスワードがありません。

ステップ 2 ログイン プロンプトで「root」と入力し、Enter キーを押します。

システムの起動スクリプトが実行中であることを示す次のメッセージが表示されます。

図 4-31 Cisco NAC Profiler の初期画面

 

警告 開始スクリプトの実行中に、Ctrl キーを押した状態で C キーを押すか、ユーザ入力画面のいずれかで [Cancel] を選択すると、設定スクリプトがバイパスされ、初期設定は完了せずにユーザはオペレーティング システムのコマンド プロンプトに戻ります。

ステップ 3 Enter キーを押すと、root ユーザのパスワードを作成するように要求されます。

パスワードが短すぎるか、辞書から引用した単語である場合は、より強固な代わりのパスワードを選択するように勧める警告が表示されます。より強固なパスワードを選択するか、同じパスワードを入力して警告を無視します。

パスワードを承認させるには、同一のパスワードを 2 回連続で入力する必要があります。その後、beacon ユーザのパスワードを入力するように要求されます。

ステップ 4 root のパスワード選択に関する上記の注意事項を参照し、beacon ユーザのパスワードを選択します。

LINUX アカウントのパスワードが正常に設定されると、初期設定スクリプトによっていくつかの画面が実行され、新しくインストールされた Cisco NAC Profiler Server アプライアンス用のホスト名、管理インターフェイスの IP アドレスおよびマスク、デフォルト ゲートウェイとネーム サーバ(DNS サーバ)を含む、Cisco NAC Profiler Server の環境に固有な IP 設定が実行されます。「必要な設定データの収集」の情報を参照することで、この手順を効率良く実行できます。

これらのパラメータによって、ネットワーク経由でシステムとの通信が可能になり、 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 で概説しているように、Web ベースのユーザ インターフェイスを使用してシステムの詳細な設定を実行できます。


 

次の項では、新しくインストールされた Cisco NAC Profiler Server の IP 設定パラメータを設定するための手順およびインターフェイスについて説明します。

ホスト名の設定

Cisco NAC Profiler Server の IP を設定するための最初の手順は、そのホスト名の割り当てです(図 4-32 に示す画面で実行されます)。

図 4-32 ホスト名の設定

 

この Cisco NAC Profiler Server 用の任意のホスト名を入力します。設定スクリプトの次のステップに進むには、[OK] を選択し、Enter キーを押します。

ネットワーク管理インターフェイスの設定:IP アドレス、ネット マスク、デフォルト ゲートウェイ、およびネーム サーバ

ネットワーク管理インターフェイスとは、Cisco NAC Profiler Server 用の主要な通信インターフェイスです。このインターフェイスには、アプライアンスがインストールされている環境で IP 通信が有効になるように、動作環境に適した IP 設定パラメータを割り当てる必要があります。デバイスが TCP/IP 経由で通信を行うには、有効な IP アドレス、ネットワーク マスク、およびデフォルト ゲートウェイが必要です。Cisco NAC Profiler Server では、名前解決に使用される適切な DNS サーバのアドレスも提供されます。

図 4-33 ネットワーク管理インターフェイスの設定:IP アドレス

 


ステップ 1 Cisco NAC Profiler Server の管理インターフェイス用に任意の IP アドレスをドット付きの 10 進数表記(たとえば、10.10.10.1)で入力したら、Enter キーを押して次の手順に進み、管理インターフェイスのネットワーク マスクを入力します。

図 4-34 ネットワーク管理インターフェイスの設定:ネットワーク マスク

 

ステップ 2 管理インターフェイスが使用するネットワーク マスクをドット付きの 10 進数表記(たとえば、255.255.0.0)で入力し、矢印キーを使用して [OK] を選択し、Enter キーを押して次の設定ページに進みます。このページでは、デフォルトのゲートウェイ IP アドレスの設定を有効にできます。

デフォルト ゲートウェイとは、Cisco NAC Profiler Server が物理的に接続されているネットワーク セグメントにサービスを提供するルータ インターフェイスの IP アドレスです。このパラメータは、Cisco NAC Profiler Server が自身のサブネットとネットワークの外部にあるサブネットとネットワークに到達するのに使用するルータを指定します。

図 4-35 ネットワーク管理インターフェイスの設定:ゲートウェイ

 

ステップ 3 Cisco NAC Profiler Server の任意のデフォルト ゲートウェイの IP アドレスをドット付きの 10 進数表記(たとえば、10.10.10.254)で入力します。矢印キーを使用して [OK] を選択し、Enter キーを押して次の設定ページに進みます。このページでは、ネーム サーバ(DNS)の設定を行います。

図 4-36 ネットワーク管理インターフェイスの設定:ネーム サーバ

 

ネーム サーバの IP アドレスを入力し、[OK] を選択して Enter キーを押すと、図 4-37 で示すように、これまでに設定された IP 情報の概要が表示されます。


 

図 4-37 ネットワーク情報の確認

 

これまでに入力した情報が正しいかどうか確認します。変更が必要な場合は、矢印キーを使用して [No] を選択し、Enter キーを押します。これにより、IP パラメータの割り当て開始からスクリプトが再開されます。これらのパラメータに入力されたデータはすべて失われ、管理インターフェイスの IP アドレスの割り当てから始まるデータ入力の手順が再度行われます。

情報が正しい場合は、必ず [Yes] を選択し、Enter キーを押します。設定スクリプトによって、Cisco NAC Profiler Server 上のすべてのネットワーク インターフェイスが再起動され、管理インターフェイス上で設定の変更がアクティブになります。インターフェイスが正常に再起動すると、初期画面が表示されます(図 4-38 を参照)。

図 4-38 Cisco NAC Profiler の初期画面

 

この段階で、Cisco NAC Profiler Server の IP アドレスに ping を実行することで、完了した IP 設定の妥当性を検証できます。アプライアンスに正常に ping が実行できた場合、Web ベースのユーザ インターフェイスを使用してシステムを管理するのに必要な有効な IP 設定が完了していることを表します。

Cisco NAC Profiler Server の操作パラメータの設定

設定スクリプトは、いったん Cisco NAC Profiler Server の IP 接続がその環境で設定されると、データベースのインストールおよび初期化や、Cisco NAC Profiler を単独のサーバまたは HA ペアで運用するための設定など、Cisco NAC Profiler Server に固有ないくつかのパラメータの設定に進みます。

最初の手順では、Cisco NAC Profiler データベースおよび Web ベースの NAC Profiler ユーザ インターフェイスの管理ユーザ アカウントのパスワードを選択します。


) 管理 Web ユーザ アカウントには、Web インターフェイスを使用したユーザ アカウントの作成および削除を含む、システム設定への完全な管理アクセス権があります。バックアップおよびリストアなどの操作をするのにデータベースへ直接アクセスするには、データベースのパスワードが必要です。


図 4-39 は、初期画面後のデータベース パスワードの設定に使用される画面を示しています。

図 4-39 データベース パスワードの設定

 


ステップ 1 デフォルトのデータベース パスワードである [profiler] をそのまま使用する場合は、矢印キーを使用して [OK] を選択し、Enter キーを押して次の手順に進みます。または、任意のパスワードに編集し、それが終了したら [OK] メニュー を選択して Enter キーを押します。

これで Cisco NAC Profiler データベースの設定および初期化が行われ、それが完了すると、Web インターフェイスの管理ユーザである「admin」のユーザ名に対するパスワードが管理者に要求されます。

次の画面では、管理ユーザ用の Web ベースのユーザ インターフェイス パスワードを設定します。これも、図 4-40 で示すように、デフォルトでは「profile」です。

図 4-40 管理 Web UI パスワードの設定

 

ステップ 2 デフォルトのパスワードをそのまま使用する場合は、矢印キーを使用して [OK] を選択し、Enter キーを押して次の手順に進みます。または、任意のパスワードに編集します。[OK] を押して設定の次の手順に進み、この Cisco NAC Profiler Server が単独のサーバで運用されるのか、ハイ アベイラビリティ(HA)ペアとして運用されるのか指定します。

図 4-41 HA ペアの設定

 

ステップ 3 この Cisco NAC Profiler を HA で運用するように設定するには、矢印キーを使用して [Yes] を選択し、Enter キーを押します。

[Yes] を選択するとスクリプトが先に進められ、この Cisco NAC Profiler Server がプライマリまたはセカンダリのいずれかになるのかが尋ねられます。

図 4-42 HA 設定:セカンダリ アプライアンス

 

ステップ 4 矢印キーを使用して [No] を選択し、Enter キーを押してセカンダリ Cisco NAC Profiler Server を設定します。

この章の最初の項にある、「必要な設定データの収集」を参照してください。

次のいくつかの画面では、図 4-43 に示すように、仮想 HA IP アドレスで始まる HA ペアの属性を入力できます。

図 4-43 セカンダリの仮想 IP アドレスの設定

 

 

ステップ 5 HA ペアの仮想 IP アドレスに選択されたホスト アドレスを入力します。目的の仮想 HA IP アドレスを入力したら、[OK] を選択します。

次に、図 4-44 に示すように、スクリプトによってローカル HA ネットワーク アドレスが要求されます。

図 4-44 セカンダリ用のローカル HA ネットワークの設定

 

ステップ 6 ハートビートの維持用に使用される、アプライアンス間のプライベート LAN に選択されたクラス C ネットワークの最初の 3 つのオクテットを指定します。図 4-45 に示す次の画面で、[OK] を選択して Enter キーを押し、次のパラメータであるプライマリ アプライアンスのホスト名を入力します。

図 4-45 セカンダリ用のペアのホスト名の設定

 

ステップ 7 プライマリ HA Cisco NAC Profiler Server のホスト名を入力し、インストール プロセスの開始時に収集したデータ シートを参照して、ここで入力したホスト名が HA ペアに含まれるもう一方のアプライアンスのホスト名に厳密に一致しているか確認します。

ステップ 8 次の画面で、[OK] を選択して Enter キーを押し、次のパラメータである HA 認証キーを入力します。

図 4-46 セカンダリ用の HA 認証キーの設定

 

HA 認証キーとは、2 つのアプライアンス間で共有される秘密です。HA の関係が確立されるには、HA ペアの 2 つのメンバ間の HA 認証キーが厳密に一致する必要があります。この手順で入力されたセカンダリ アプライアンス用の HA 認証キーと同一のものを、必ず設定プロセスの次の手順のプライマリ アプライアンスでも入力してください。

ステップ 9 目的の HA 認証キーを入力したら、[OK] を選択して Enter キーを押し、図 4-47 で示す次のパラメータである外部 ping ホストの入力に移ります。

図 4-47 セカンダリ用の外部 ping ホスト

 

外部 ping ホストは、ICMP エコー要求に応答するように有効化された HA ペアの外部にあるデバイスである必要があります。これは、HA 設定におけるオプション パラメータですが、ネットワーク インターフェイスの障害を防ぐのに利用されるので、使用することをお勧めします。外部 ping ホストは、HA ペアに含まれる両方のアプライアンスで同一である必要があります。この追加のフェールオーバー保護が必要でない場合は、デフォルトの IP アドレスである 0.0.0.0 のままにします。

ステップ 10 [OK] を選択し、Enter キーを押します。

外部 ping ホストを入力すると、図 4-48 で示すように、プライマリ アプライアンス用に入力されたすべての HA パラメータの要約が開始スクリプトによって表示されます。

図 4-48 セカンダリ用の HA 情報の確認

 

この画面では、設定中の HA ペアに含まれるセカンダリ Cisco NAC Profiler Server 用に入力されたすべての HA パラメータをチェックできます。

ステップ 11 すべてのパラメータが正しい場合は、[Yes] を選択して Enter キーを押し、セカンダリ アプライアンスの HA 設定を完了します。

修正や変更が必要な場合は、[No] を選択するとプロセスが再起動され、以前に入力したすべてのパラメータが失われます。

[Yes] を選択すると、セカンダリ Cisco NAC Profiler Server が HA 設定を初期化します。

このプロセスを完了すると、開始スクリプトによってセカンダリ Cisco NAC Profiler Server 用の残りのパラメータの設定が再開されます。

ステップ 12 インストール スクリプトによって Zend オプティマイザがインストールされます。Zend オプティマイザは、Cisco NAC Profiler のユーザ インターフェイス内で PHP のパフォーマンスを促進するために使用されます。次の画面が表示されたら、[OK] を選択し、Enter キーを押して Zend オプティマイザのインストールを続行します。

図 4-49 Zend オプティマイザのインストール

 

次の画面には、Zend オプティマイザのエンドユーザ ライセンスが表示されます。矢印キーで画面を上下にスクロールさせて、Zend オプティマイザのライセンスを確認します。

ステップ 13 ライセンス契約を読み終わったら、[Exit] を選択し Enter キーを押します。インストーラで契約を受諾するための次の画面が表示されます。

図 4-50 Zend オプティマイザ ライセンスの受諾

 

ステップ 14 インストールを続行するには、[Yes] を選択します。[No] を選択すると、Cisco NAC Profiler の設定スクリプトが終了します。


 

一連の画面から構成される次の手順を完了させて、Zend オプティマイザのインストールを終了します。


ステップ 1 Zend オプティマイザのデフォルトのインストール場所(/usr/local/Zend)を承認し、[OK] を選択して Enter キーを押します。

ステップ 2 デフォルトを承認し、PHP.ini ファイルの場所(/etc)を確認します。[OK] を選択し Enter キーを押します。

ステップ 3 Apache(NAC Profiler の Web ベース UI にサービスを提供する Web サーバ コンポーネント)が使用されていることを確認し、[Yes] を選択して Enter キーを押します。

ステップ 4 Apache 制御ユーティリティへのデフォルトのフル パス(/usr/sbin/apachectl)を承認し、[OK] を選択して Enter キーを押します。

Zend オプティマイザのインストールが開始され、インストールが正常に完了すると、ターミナル上に次のメッセージが表示されます。

図 4-51 Zend オプティマイザ設定の変更通知

 

ステップ 5 [OK] を選択して Enter キーを押し、設定の変更を確認します。図 4-52 のような、インストールの正常終了を示す画面が表示されます。

図 4-52 Zend オプティマイザのインストールの正常終了

 

ステップ 6 [OK] を選択して Enter キーを押すと、次の画面で Cisco NAC Profiler 上の Web サーバの再起動を確認するように要求されます。

図 4-53 Web サーバの再起動の確認

 

ステップ 7 [OK] を選択して Enter キーを押し、Web サーバを再起動してインストールを完了します。Web サーバの再起動が正常終了すると、コンソールに次の画面が表示されます。

図 4-54 Web サーバ再起動の完了

 

ステップ 8 [OK] を選択して、HA ペアのセカンダリ Cisco NAC Profiler Server のインストールを完了します。

コンソールに表示される次のメッセージは、HA ペアのセカンダリ アプライアンスのインストールが正常に完了したことを示します。

図 4-55 セカンダリのインストール完了

 

前に概説したように、また、上のメッセージにあるように、プライマリ アプライアンスの設定が完了した後に、再度セカンダリ Cisco NAC Profiler Server で作業を行う必要があります。「HA ペアのプライマリ Cisco NAC Profiler Server の設定」の概説に従って、プライマリの設定に進みます。「セカンダリ アプライアンスでの登録スクリプトの実行」には、登録を実行し、Cisco NAC Profiler HA ペアを初期化するプロセスの詳細が説明されています。


 

HA ペアのプライマリ Cisco NAC Profiler Server の設定

前の項で記入したデータ収集シートを手元に準備し、ペアのプライマリ アプライアンスに指定されている Cisco NAC Profiler Server の電源をオンにします。

アプライアンスの最初の起動:ネットワーク パラメータの割り当ておよび Cisco NAC Profiler Server の初期設定が、前項でセカンダリ サーバ用に説明した概要とまったく同じ順序で行われます。この章の最初の項で収集したプライマリ Cisco NAC Profiler 用のデータ シートのパラメータを使用して、Cisco NAC Profiler の初期設定を完了するには、LINUX の root ユーザでシステムにログインします。 ページの先頭から インストールを続行するには、[Yes] を選択します。[No] を選択すると、Cisco NAC Profiler の設定スクリプトが終了します。 ページの真ん中までの手順を繰り返します。

このシステムを HA ペアで使用するかどうか、図 4-56 で示すような画面で要求された場合、次のようにプライマリ アプライアンスの設定を再開します。

図 4-56 HA ペアの設定

 


ステップ 1 この Cisco NAC Profiler を HA で運用するように設定するには、矢印キーを使用して [Yes] を選択し、Enter キーを押します。

[Yes] を選択するとスクリプトが先に進められ、この Cisco NAC Profiler Server がプライマリまたはセカンダリのいずれかになるのかが尋ねられます。

図 4-57 HA 設定:プライマリ アプライアンス

 

ステップ 2 矢印キーを使用して Yes を選択し、Enter キーを押してプライマリ Cisco NAC Profiler Server を設定します。

この章の最初の項にある、「必要な設定データの収集」を参照してください。

次のいくつかの画面では、図 4-58 に示すように、仮想 HA IP アドレスで始まるプライマリ HA ペアの属性を入力できます。

図 4-58 プライマリの仮想 IP アドレスの設定

 

ステップ 3 HA ペアの仮想 IP アドレスに選択されたホスト アドレスを入力します。

次に、図 4-59 に示すように、スクリプトによってローカル HA ネットワーク アドレスが要求されます。

図 4-59 プライマリ用のローカル HA ネットワークの設定

 

ステップ 4 プライマリおよびセカンダリのアプライアンス間のハートビートを維持するために使用される、アプライアンス間のプライベート LAN に選択されたクラス C ネットワークの最初の 3 つのオクテットを指定します。図 4-60 に示す次の画面で、[OK] を選択して Enter キーを押し、次のパラメータであるもう一方のアプライアンスのホスト名を入力します。

図 4-60 プライマリ用のペアのホスト名の設定

 

ステップ 5 セカンダリ HA Cisco NAC Profiler Server のホスト名を入力し、インストール プロセスの開始時に収集したデータ シートを参照して、ここで入力したホスト名がセカンダリのホスト名に厳密に一致しているか確認します。

ステップ 6 次の画面で、[OK] を選択して Enter キーを押し、次のパラメータである HA 認証キーを入力します。

図 4-61 プライマリ用の HA 認証キーの設定

 

ステップ 7 この手順で入力されたプライマリ アプライアンス用の HA 認証キーと同一のものを、必ず設定プロセスの前の手順のセカンダリ アプライアンスでも入力してください。目的の HA 認証キーを入力したら、[OK] を選択して Enter キーを押し、図 4-62 で示す次のパラメータである外部 ping ホストの入力に移ります。

図 4-62 プライマリ用の外部 ping ホスト

 

プライマリ用に指定された外部 ping ホストは、セカンダリ用に指定されたデバイスと同じである必要があります。

外部 ping ホストを入力すると、図 4-63 で示すように、プライマリ アプライアンス用に入力されたすべての HA パラメータの要約が開始スクリプトによって表示されます。

図 4-63 プライマリ用の HA 情報の確認

 

この画面では、設定中の HA ペアに含まれるプライマリ Cisco NAC Profiler Server 用に入力されたすべての HA パラメータをチェックできます。


) [Yes] を選択し、プライマリ アプライアンスにおける HA 設定を続行する前に、プライマリ上の HA パラメータが前の手順でセカンダリ上に設定されたパラメータと整合していることを確認します。特に、アプライアンスのホスト名、HA インターフェイスのプレフィクス、および HA 認証文字列がセカンダリ アプライアンスで入力されたものと整合していることを確認します。そうすることで、HA ペアが最初の試行で正常に起動するように保証されます。また、続行する前に、アプライアンス間のハートビート用のクロス ケーブルが両方のアプライアンスの eth1 インターフェイスに接続され、両側でリンク状態になっていることを再度確認することをお勧めします。


ステップ 8 すべてのパラメータが正しい場合は、[Yes] を選択して Enter キーを押し、プライマリ アプライアンスの HA 設定を完了します。

修正や変更が必要な場合は、[No] を選択するとプロセスが再起動され、以前に入力したすべての HA パラメータは失われるので、再度入力する必要があります。

[Yes] を選択すると、プライマリ Cisco NAC Profiler Server が HA 設定を初期化します。

HA の初期化が完了すると、次のメッセージがコンソールに表示されます。

図 4-64 プライマリ上の HA の初期化の完了

 


 

ハートビート接続(eth1)による HA データベースの更新に使用される永続的な SSH チャネルを作成するために、HA の設定の一環として、SSH セッションが 2 つのアプライアンス間で開始されます。

この手順が完了すると、プライマリ アプライアンスでは、セカンダリ アプライアンス用の LINUX 「beacon」ユーザ パスワードが要求されます。Enter キーを押して続行し、図 4-64 で示すように、セカンダリ アプライアンスで要求されたら beacon ユーザのパスワードを入力します。

SSH セッションが確立されると、画面に「警告」メッセージが表示されます。この画面に表示される IP アドレスは、以前設定した「ローカル HA ネットワークの設定」のパラメータに基づいて自動的に識別されたセカンダリの IP アドレスであることに注意してください(図 4-44 を参照)。

インストール プロセスの一環でハイ アベイラビリティ サービスが停止および再起動されると、開始スクリプトによってプライマリ Cisco NAC Profiler Server 用の残りのパラメータの設定が再開されます。

インストール スクリプトによってプライマリ アプライアンスに Zend オプティマイザがインストールされます。プライマリ用の Zend のインストール プロセスは、セカンダリのものと同一です。必要に応じて、34 ページから始まる前項の手順を参照してください。プロセスを順に実行し、Zend インストールを完了します。このインストールが正常に完了すると、インストーラでは図 4-65 で示すように、再起動を要求されます。

図 4-65 Web サーバの再起動の確認

 


ステップ 1 [OK] を選択して Enter キーを押し、プライマリ Cisco NAC Profiler Server 上の Web サーバを再起動してインストールを完了します。Web サーバの再起動が正常終了すると、コンソールに次の画面が表示されます。

図 4-66 Web サーバ再起動の完了

 

ステップ 2 [OK] を選択して、HA ペアのプライマリ Cisco NAC Profiler Server のインストールを完了します。

コンソールに表示される次のメッセージは、HA ペアのプライマリ アプライアンスのインストールが正常に完了したことを示します。

図 4-67 HA ペアのプライマリ アプライアンスでのインストールの正常終了

 


 

セカンダリ アプライアンスでの登録スクリプトの実行

プライマリ アプライアンスの全体的な設定を含む、前の手順が正常に終了し、HA ペアに含まれる 2 つのアプライアンス間で SSH セッションが正常に確立されたら、「subscribe.sh」を実行するためにセカンダリ アプライアンスで再度作業する必要があります。

セカンダリ アプライアンスに root でログインしていない場合は、ユーザ「beacon」でセカンダリ アプライアンスに SSH で接続します。

su により、root ユーザのパスワードを入力して root ユーザに切り替えます

図 4-68 で示すように、 /usr/beacon/sql/subscribe.sh と入力して「登録スクリプト」を実行します。

図 4-68 セカンダリでの subscribe.sh の実行

 

HA ペアに含まれる 2 つのアプライアンス間で SSH チャネルが確立されると、ハイ アベイラビリティ サービスが開始され、このセカンダリ アプライアンスが HA ペアの「スレーブ」になります。

これで、HA モードにおける Profiler Server アプライアンスのペアのインストール スクリプトが完了しました。この時点で、Cisco NAC Profiler システムの残りの設定は、Web UI を使用し、Cisco NAC Profiler Server の設定で割り当てられた仮想 IP アドレス経由でシステムを管理して完了することができます。

HA の動作確認

設定のこの段階で HA プロセスが適切に動作するかを確認するために、ペアを構成する両方のメンバがハートビートおよび HA の通常の動作に必要な SLON プロセスを実行しているか検証します。このドキュメントでの説明に従ってペアを開始した後、次の手順を実行し、HA ペアを構成する両方のメンバでこれらのプロセスが実行中かどうか確認します。

1. プライマリおよびセカンダリ アプライアンスの両方を使用して、それぞれのインターフェイス eth0 IP アドレスに対して SSH セッションを開始し、root アクセスに切り替えます。

2. ハートビート サービスのステータスを判断するために、両方のアプライアンスで次のコマンドを発行します。

service heartbeat status
 

このコマンドによって、HA ペアの現在のプライマリおよびセカンダリ メンバの両方で次のような結果が返されます。

heartbeat OK [pid 20960 et al] is running on beaconha1 [beaconha1]...
 

3. 次のコマンドを発行し、プライマリおよびセカンダリの両方で必須の slon プロセスが実行中であることを確認します。

ps aux | grep slon
 

slon プロセスが正常に実行中である場合は、このコマンドによって、HA ペアの両方のメンバで次のような結果が表示されます。

[root@BeaconHA1 ~]# ps aux | grep slon
root 4646 0.0 0.0 3880 676 pts/1 S+ 12:43 0:00 grep slon
beacon 20686 0.0 0.0 67468 932 ? Sl 07:47 0:00 /usr/bin/slon -d 0 -p /usr/beacon/working/slon.pid -s 1000 beacon_cluster dbname=beacon user=beacon password=beacon
beacon 21089 0.0 0.0 4840 904 ? S Dec26 0:00 /usr/bin/slon -d 0 -p /usr/beacon/working/slon.pid -s 1000 beacon_cluster dbname=beacon user=beacon password=beacon
[root@BeaconHA1 ~]#

Web 管理への移行

この時点で、Cisco NAC Profiler HA ペアは Web ベースのユーザ インターフェイスを使用して設定する準備が整いました。ネットワークに接続した他の PC またはラップトップ上の標準ブラウザを使用して、次の URL を入力し、Cisco NAC Profiler HA ペアがサービスを提供する UI がネットワーク経由でアクセス可能であることを確認します。

https://[Virtual HA IP Address]/profiler
 

ユーザ名に「admin」を入力し、Web インターフェイス用に上記で選択したパスワードを入力します。次の Web ページがブラウザに表示されます。

 

図 4-69 NAC Profiler の Web UI ホームページ

 

Cisco NAC Profiler Server の初期設定用に作成されたセッションには、アプライアンス コンソールから root ユーザとしてログインしたままになります。プロンプトで「logout」コマンドを発行し、システムからログアウトしてコンソールをロックします。

これにより、Cisco NAC Profiler Server HA ペアの初期設定が完了します。次に 「CAS における Collector の設定」を参照し、Profiler システムの設定に関するさらなる説明については、 第 5 章「ターゲット環境用の Cisco NAC Profiler の設定」 に進んでください。

CAS における Collector の設定

Cisco NAC Profiler Collector モジュールは、Cisco NAC アプライアンスの CAS 上に共存し、この項で説明するように、CAS 上で有効化する必要があります。

詳細については、「Cisco NAC Profiler 用の CLI コマンド」を参照してください。

CAS におけるリモート Collector サービスの有効化

中央 NAC Profiler データベースを保持するサーバにアクティブに接続する(クライアントとして機能する)、またはサーバがリモート Collector との通信を開始するのを待機する(サーバとして機能する)という 2 つの接続タイプのいずれかを使用して、システム用の NAC Profiler に接続するようにリモート収集サービスを設定できます。この微妙な違いを理解することが重要で、選択されるオプションは、リモート Collector サービスが配置される環境によって決定されます。

[CLIENT] オプションを選択すると、リモート収集サービスの Forwarder が、エンドポイント データベースを保持し、システム管理を提供する NAC Profiler 上で実行中のサーバ システム モジュールとの通信を開始します。これは、Remote Collection アプライアンスの最も一般的な設定で、サーバ モジュールのシステム設定が簡素化されます。

リモート Collector サービスと、エンドポイント データベースを保持しシステム管理を提供する NAC Profiler 間にファイアウォールが設置されている環境では、リモート Collector サービスは元のサーバに対してファイアウォールを介した TCP 通信を開始できない可能性が高くなっています。この場合、NAC Profiler がポートを開いてファイアウォール横断を有効にすることでファイアウォールを通過して TCP 通信を開始するのをリモート収集サービス上の Forwarder モジュールが待機するように、接続タイプ [Server] のオプションを選択してリモート収集サービスを設定する必要があります。システム用の NAC Profiler がサーバに設定されたリモート収集サービスごとの設定にネットワーク接続を準備する必要があることを念頭に置いて、必要に応じてこのオプションを使用してください。接続タイプは [Client] です。Profiler Server モジュールへネットワーク接続を追加する手順については、 第 6 章「Cisco NAC Profiler Server の設定」 を参照してください。


第 6 章「Cisco NAC Profiler Server の設定」で説明されているように、リモート収集サービスがシステム設定に追加される際にサーバ側で正しい設定が行われるように、リモート収集サービスごとに接続タイプが選択されていることに注意してください。


接続タイプが [Client] の場合


ステップ 1 CAS に接続し、ダイレクト コンソール、シリアル接続、または SSH によってコマンドラインにアクセスします。

ステップ 2 root のパスワード(デフォルトでは cisco123 )を使用し、 root ユーザでログインします。

ステップ 3 コマンドラインで、 service collector config と入力します。

[root@CAS_OOB /]# service collector config

これにより、Collector の設定スクリプトが開始されます。以降のそれぞれのプロンプトでは、値を入力するか、Enter キーを押してデフォルト値(角カッコ [ ] で囲まれた値)を受け入れます。

ステップ 4 [y] と入力するか Enter キーを押して、CAS 上で Collector サービスを有効化します。

Enable the NAC Collector (y/n) [y]: y

ステップ 5 [y] と入力するか Enter キーを押して、Cisco NAC Profiler Server に接続できるように Collector のネットワーク設定を行います。

Configure NAC Collector (y/n) [y]: y
Enter the name for this remote collector. Please note that if
this collector exists on a HA pair that this name must match
its pair's name for proper operation. (24 char max) [GBS-CAS]:

ステップ 6 このリモート Collector の名前を入力し、Enter キーを押します。

Network configuration to connect to a NAC Profiler Server

ステップ 7 Collector をクライアント(デフォルト)として設定するには、Enter キーを押し、サーバとして設定(一般的ではありません)するには、「 server 」と入力します。

Connection type (server/client) [client]:

ステップ 8 Collector が通信する Cisco NAC Profiler Server の IP アドレスを入力します。

Connect to IP [127.0.0.1]: 10.30.30.5

ステップ 9 Enter キーを押してデフォルトのポート番号(31416)を受け入れるか、別のポート番号を入力して、Cisco NAC Profiler Server との通信に使用されるポート番号を設定します。

Port number [31416]:

ステップ 10 暗号化を望まない場合は「 none 」と入力し、暗号化を設定するには [AES](デフォルト)を選択するか、「 blowfish 」と入力します。

Encryption type (AES, blowfish, none) [AES]: none

ステップ 11 Profiler Server の共有秘密を入力します。詳細については、「[Shared Secret]」を参照してください。

Shared secret []: cisco123

ステップ 12 NAC Collector の設定ユーティリティでは、Collector に含まれるモジュール(Forwarder、NetMap、NetTrap、NetWatch、NetInquiry、NetRelay)ごとのステータスに続いて最終確認が表示されます。

-- Configured CAS_OOB-fw
-- Configured CAS_OOB-nm
-- Configured CAS_OOB-nt
-- Configured CAS_OOB-nw
-- Configured CAS_OOB-ni
-- Configured CAS_OOB-nr
 
NAC Collector has been configured
[root@CAS_OOB /]#

ステップ 13 接続タイプが [Client] である CAS 上の Collector の設定が完了しました。


 

Cisco NAC Profiler Server の Web インターフェイスを使用してさらに Collector モジュールを設定する方法については、 第 7 章「Collector モジュールの設定」 を参照してください。

接続タイプが [Server] の場合


ステップ 1 CAS に接続し、ダイレクト コンソール、シリアル接続、または SSH によってコマンドラインにアクセスします。

ステップ 2 root のパスワード(デフォルトでは cisco123 )を使用し、 root ユーザでログインします。

ステップ 3 コマンドラインで、 service collector config と入力します。

[root@CAS_OOB /]# service collector config

これにより、Collector の設定スクリプトが開始されます。以降のそれぞれのプロンプトでは、値を入力するか、Enter キーを押してデフォルト値(角カッコ [ ] で囲まれた値)を受け入れます。

ステップ 4 [y] と入力するか Enter キーを押して、CAS 上で Collector サービスを有効化します。

Enable the NAC Collector (y/n) [y]: y

ステップ 5 [y] と入力するか Enter キーを押して、Cisco NAC Profiler Server に接続できるように Collector のネットワーク設定を行います。

Configure NAC Collector (y/n) [y]: y

ステップ 6 このリモート Collector の名前を入力し、Enter キーを押します。

Enter the name for this remote collector. Please note that if
this collector exists on a HA pair that this name must match
its pair's name for proper operation. (24 char max) [GBS-CAS]:

ステップ 7 Collector をクライアント(デフォルト)として設定するには、Enter キーを押し、サーバとして設定(一般的ではありません)するには、「 server 」と入力します。

Network configuration to connect to a NAC Profiler Server
Connection type (server/client) [server]:

ステップ 8 このリモート Collector サービスの IP アドレスを入力します。

Listen on IP [10.40.1.10]:

ステップ 9 Collector が通信する Cisco NAC Profiler Server の IP アドレスを入力します。

You will be asked to enter the IP address(es) of the NPS. This
is necessary to configure the access control list used by this
collector. If the NPS is part of an HA pair then you must include
the real IP address of each independant NPS and the virtual IP to
ensure proper connectivity in the case of failover.
 
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [127.0.0.1]:
 

ステップ 10 Enter キーを押してデフォルトのポート番号(31416)を受け入れるか、別のポート番号を入力して、Cisco NAC Profiler Server との通信に使用されるポート番号を設定します。

Port number [31416]:

ステップ 11 暗号化を望まない場合は「 none 」と入力し、暗号化を設定するには [AES] デフォルト)を選択するか、「 blowfish 」と入力します。

Encryption type (AES, blowfish, none) [AES]: none

ステップ 12 Profiler Server の共有秘密を入力します。詳細については、「[Shared Secret]」を参照してください。

Shared secret []: cisco123

ステップ 13 NAC Collector の設定ユーティリティでは、Collector に含まれるモジュール(Forwarder、NetMap、NetTrap、NetWatch、NetInquiry、NetRelay)ごとのステータスに続いて最終確認が表示されます。

-- Configured CAS_OOB-fw
-- Configured CAS_OOB-nm
-- Configured CAS_OOB-nt
-- Configured CAS_OOB-nw
-- Configured CAS_OOB-ni
-- Configured CAS_OOB-nr
 
NAC Collector has been configured
[root@CAS_OOB /]#

ステップ 14 CAS 上の Collector の設定が完了しました。

Cisco NAC Profiler 用の HA-CAS ペアにおける Collector 設定

Cisco NAC Profiler(リリース 2.1.8 以降)には、スタンドアロンおよび HA Profiler Server ペアを使用して配置される、CAS/Collector HA ペアの設定手順の変更が含まれています。Cisco NAC Profiler システム内に CAS/Collector HA ペアを配置するには、次の手順に従います。


ステップ 1 HA モード動作用に CAS を設定し、HA プロトコルが動作可能であることを確認します。CAS 間の HA プロトコルが正常に動作し、CAS ペアの両方のアプライアンス上の Collector サービス設定で VIP が利用できるようにするには、この手順をまず完了させることが重要です。

ステップ 2 CAS ペア上で実行される Collector サービスの名前を決定します。名前は 24 文字以下にし、CAS ペアの両方のメンバで同一である必要があります。CAS ペアの両方のメンバ上の Collector サービスを関連付ける、「Building-26-CAS」のような名前が推奨されます。この名前は、Profiler Server 設定で HA CAS ペア上の Collector サービスを 1 つの Collector として GUI 経由で管理できるように識別するのに使用されます。

プライマリ CAS における Collector サービスの設定


ステップ 1 root のパスワード(デフォルトでは cisco123 )を使用し、 root ユーザでログインします。

ステップ 2 コマンドラインで、 service collector config と入力します。

[root@CAS_OOB /]# service collector config

これにより、Collector の設定スクリプトが開始されます。以降のそれぞれのプロンプトでは、値を入力するか、Enter キーを押してデフォルト値(角カッコ [ ] で囲まれた値)を受け入れます。

ステップ 3 [y] と入力するか Enter キーを押して、CAS 上で Collector サービスを有効化します。

Enable the NAC Collector (y/n) [y]: y

ステップ 4 [y] と入力するか Enter キーを押して、Cisco NAC Profiler Server に接続できるように Collector のネットワーク設定を行います。

Configure NAC Collector (y/n) [y]: y

ステップ 5 このリモート Collector の名前を入力し、Enter キーを押します。

Enter the name for this remote collector. Please note that if
this collector exists on a HA pair that this name must match
its pair's name for proper operation. (24 char max) [GBS-CAS]:

) Collector サービスの同一名を HA ペアに含まれる両方の CAS 上の設定で使用する必要があります。通常、Collector を設定する際に、CAS アプライアンスのホスト名がデフォルトで選択されます。リリース 2.1.8 以降では、「service collector config」コマンドを使用する際に Collector の名前を指定するオプションがあります。CAS/Collector HA ペアを設定する際に、Collector サービスの名前を選択し、ペアに含まれる両方のアプライアンスで同一のもの(たとえば、大文字小文字の区別、スペースなど)を使用する必要があります。


ステップ 6 Collector 設定の接続タイプは、[Server] に設定する必要があります。CAS/Collector HA ペアに対して、Profiler Server は、ペア上で実行中の Collector サービスへの接続を開始する必要があります。これは、CAS/Collector に接続タイプ [Server] を選択することで実行できます。

Network configuration to connect to a NAC Profiler Server
Connection type (server/client) [client]:server

ステップ 7 IP でのリスン:Collector は、CAS HA 設定時に CAS HA ペアに割り当てられた VIP/サービス IP アドレスでリスンするように設定する必要があります。

Listen on IP [10.40.1.10]:

ステップ 8 この手順では、HA Profiler Server ペアの VIP/サービス IP と共に、Profiler Server HA ペアの両メンバの eth0 インターフェイスの IP アドレスを入力する必要があります。最初の Profiler Server アプライアンスの eth0 インターフェイスの IP アドレスを入力して Enter キーを押し、HA ペアに含まれるもう一方の Profiler Server アプライアンスの eth0 インターフェイスの IP アドレスを入力して Enter キーを押し、HA Profiler Server ペアの VIP/サービス IP アドレスを入力して「done」と入力し、スクリプトを次の手順に進めます。

You will be asked to enter the IP address(es) of the NPS. This
is necessary to configure the access control list used by this
collector. If the NPS is part of an HA pair then you must include
the real IP address of each independant NPS and the virtual IP to
ensure proper connectivity in the case of failover.
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [127.0.0.1]: 10.10.0.211
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [10.10.0.211]: 10.10.0.212
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [10.10.0.210]: 10.10.0.210
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [10.10.0.212]: done
 

ステップ 9 Enter キーを押してデフォルトのポート番号(31416)を受け入れるか、別のポート番号を入力して、Cisco NAC Profiler Server との通信に使用されるポート番号を設定します。

Port number [31416]:

ステップ 10 暗号化を望まない場合は「 none 」と入力し、暗号化を設定するには [AES] デフォルト)を選択するか、「 blowfish 」と入力します。

Encryption type (AES, blowfish, none) [AES]: none

ステップ 11 Profiler Server の共有秘密を入力します。詳細については、「[Shared Secret]」を参照してください。

Shared secret []: cisco123

ステップ 12 NAC Collector の設定ユーティリティでは、Collector に含まれるモジュール(Forwarder、NetMap、NetTrap、NetWatch、NetInquiry、NetRelay)ごとのステータスに続いて最終確認が表示されます。

-- Configured CAS_OOB-fw
-- Configured CAS_OOB-nm
-- Configured CAS_OOB-nt
-- Configured CAS_OOB-nw
-- Configured CAS_OOB-ni
-- Configured CAS_OOB-nr
 
NAC Collector has been configured
[root@CAS_OOB /]#

セカンダリ CAS における Collector サービスの設定


ステップ 1 root のパスワード(デフォルトでは cisco123 )を使用し、 root ユーザでログインします。

ステップ 2 コマンドラインで、 service collector config と入力します。

[root@CAS_OOB /]# service collector config

これにより、Collector の設定スクリプトが開始されます。以降のそれぞれのプロンプトでは、値を入力するか、Enter キーを押してデフォルト値(角カッコ [ ] で囲まれた値)を受け入れます。

ステップ 3 [y] と入力するか Enter キーを押して、CAS 上で Collector サービスを有効化します。

Enable the NAC Collector (y/n) [y]: y

ステップ 4 [y] と入力するか Enter キーを押して、Cisco NAC Profiler Server に接続できるように Collector のネットワーク設定を行います。

Configure NAC Collector (y/n) [y]: y

ステップ 5 このリモート Collector の名前を入力し、Enter キーを押します。

Enter the name for this remote collector. Please note that if
this collector exists on a HA pair that this name must match
its pair's name for proper operation. (24 char max) [GBS-CAS]:

) Collector サービスの同一名を HA ペアに含まれる両方の CAS 上の設定で使用する必要があります。通常、Collector を設定する際に、CAS アプライアンスのホスト名がデフォルトで選択されます。リリース 2.1.8 以降では、「service collector config」コマンドを使用する際に Collector の名前を指定するオプションがあります。CAS/Collector HA ペアを設定する際に、Collector サービスの名前を選択し、ペアに含まれる両方のアプライアンスで同一のもの(たとえば、大文字小文字の区別、スペースなど)を使用する必要があります。


ステップ 6 Collector 設定の接続タイプは、[Server] に設定する必要があります。CAS/Collector HA ペアに対して、Profiler Server は、ペア上で実行中の Collector サービスへの接続を開始する必要があります。これは、CAS/Collector に接続タイプ [Server] を選択することで実行できます。

Network configuration to connect to a NAC Profiler Server
Connection type (server/client) [client]:server

ステップ 7 IP でのリスン:Collector は、CAS HA 設定時に CAS HA ペアに割り当てられた VIP/サービス IP アドレスでリスンするように設定する必要があります。

Listen on IP [10.40.1.10]:

ステップ 8 この手順では、HA Profiler Server ペアの VIP/サービス IP と共に、Profiler Server HA ペアの両メンバの eth0 インターフェイスの IP アドレスを入力する必要があります。最初の Profiler Server アプライアンスの eth0 インターフェイスの IP アドレスを入力して Enter キーを押し、HA ペアに含まれるもう一方の Profiler Server アプライアンスの eth0 インターフェイスの IP アドレスを入力して Enter キーを押し、HA Profiler Server ペアの VIP/サービス IP アドレスを入力して「done」と入力し、スクリプトを次の手順に進めます。

You will be asked to enter the IP address(es) of the NPS. This
is necessary to configure the access control list used by this
collector. If the NPS is part of an HA pair then you must include
the real IP address of each independant NPS and the virtual IP to
ensure proper connectivity in the case of failover.
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [127.0.0.1]: 10.10.0.211
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [10.10.0.211]: 10.10.0.212
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [10.10.0.210]: 10.10.0.210
Enter the IP address(es) of the NAC Profiler.
(Finish by typing 'done') [10.10.0.212]: done
 

ステップ 9 Enter キーを押してデフォルトのポート番号(31416)を受け入れるか、別のポート番号を入力して、Cisco NAC Profiler Server との通信に使用されるポート番号を設定します。

Port number [31416]:

ステップ 10 暗号化を望まない場合は「 none 」と入力し、暗号化を設定するには [AES] デフォルト)を選択するか、「 blowfish 」と入力します。

Encryption type (AES, blowfish, none) [AES]: none

ステップ 11 Profiler Server の共有秘密を入力します。詳細については、「[Shared Secret]」を参照してください。

Shared secret []: cisco123

ステップ 12 NAC Collector の設定ユーティリティでは、Collector に含まれるモジュール(Forwarder、NetMap、NetTrap、NetWatch、NetInquiry、NetRelay)ごとのステータスに続いて最終確認が表示されます。

-- Configured CAS_OOB-fw
-- Configured CAS_OOB-nm
-- Configured CAS_OOB-nt
-- Configured CAS_OOB-nw
-- Configured CAS_OOB-ni
-- Configured CAS_OOB-nr
 
NAC Collector has been configured
[root@CAS_OOB /]#

ステップ 13 これで、NAC Profiler の HA CAS ペア上の Collector の設定が完了します。

Profiler Server モジュールへネットワーク接続を追加する手順については、 第 6 章「Cisco NAC Profiler Server の設定」 を参照してください。

Cisco NAC Profiler 用の CLI コマンド

表 4-7 では、Cisco NAC Profiler Collector サービス用に CAS 上で発行される CLI コマンドを示します。CAS CLI の詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。


) CAS 上の Collector のバージョンを表示するには、Collector サービスを実行中の CAS マシンに SSH で接続し、rpm -q Collector と入力します。


 

表 4-7 Cisco NAC Profiler Collector の CAS 用 CLI コマンド

コマンド
説明

service collector start

CAS 上で Collector サービスを開始します。

service collector stop

CAS 上で Collector サービスを停止します。

service collector verify

CAS 上で実行中の設定済みの Collector サービスを表示します。

Collector Network Configuration
Collector Name = bcas1-fw
Connection Type = server
Listen on IP = 10.40.1.10
Network IP ACL
127.0.0.1
10.10.0.211
10.10.0.210
10.10.0.212
Port Number = 31416
Encryption type = AES
Shared secret = profiler

service collector status

CAS 上の個別の Collector モジュールの実行ステータスを表示します。例:

Profiler Status
o Server Not Installed
o Forwarder Running
o NetMap Running
o NetTrap Running
o NetWatch Running
o NetInquiry Running
o NetRelay Running

service collector restart

CAS 上で Collector サービスを停止して再起動します。このコマンドは、実行中のサービスを再起動する場合に使用します。

service collector config

Collector コンポーネントが Cisco NAC Profiler Server と通信できるように、Collector コンポーネントの設定を開始します。クライアント接続の例:

[root@caserver12 /]# service collector config
Enable the NAC Collector (y/n) [y]:
Configure NAC Collector (y/n) [y]:
Enter the name for this remote collector. Please note that if this collector exists on a HA pair that this name must match its pair's name for proper operation. (24 char max) [GBS-CAS]:
Network configuration to connect to a NAC Profiler Server
Connection type (server/client) [client]: client
Connect to IP [127.0.0.1]: 192.168.96.20
Port number [31416]:
Encryption type (AES, blowfish, none) [AES]: none
Shared secret []: cisco123
-- Configured caserver12-fw
-- Configured caserver12-nm
-- Configured caserver12-nt
-- Configured caserver12-nw
-- Configured caserver12-ni
-- Configured caserver12-nr
 
NAC Collector has been configured