Cisco NAC Profiler インストレーション コンフィギュレーション ガイド
Cisco NAC Profiler アーキテクチャの概要
Cisco NAC Profiler アーキテクチャの概要
発行日;2012/01/31 | 英語版ドキュメント(2009/02/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco NAC Profiler アーキテクチャの概要

概要

Cisco NAC Profiler システムの導入モデル

Cisco NAC Profiler の使用方法:Port Provisioning と Endpoint Directory

Profiler Server のハイ アベイラビリティ オプション(HA)

Cisco NAC Profiler アーキテクチャの概要

この章は、次の内容で構成されています。

「概要」

「Cisco NAC Profiler システムの導入モデル」

「Cisco NAC Profiler の使用方法:Port Provisioning と Endpoint Directory」

概要

Cisco NAC Profiler はモジュラーの 1 つであり、Network Admission Control(NAC; ネットワーク アドミッション コントロール)ソリューションの、効果的および効率的な導入と管理に不可欠なトップレベルの 2 つの機能を提供する、ネットワーク アプライアンスベースのシステムです。その 2 つの機能とは、エンドポイント プロファイリングと動作モニタリングです。NAC Profiler は、これらの機能を、ユニークなアプローチおよび技術を利用して実行します。どちらの機能も信頼性が高く、エンドポイントおよびネットワークにほとんど影響を与えません。NAC Profiler は、ネットワーク トラフィックをパッシブに分析し、また、前章で解説したいくつかのその他の方法によって、エンドポイント プロファイリングおよび動作モニタリング機能を実行し、すべてのエンドポイントを適切なプロファイルに分類するための既定の基準またはルールに従って、各エンドポイントを適切なプロファイルに分類します。さらに、このシステムは、エンドポイントの接続状態の変更を報告し、後の検索のためにそのデータを保管します。また、ユーザは、エッジ ネットワーク インフラストラクチャ デバイスの、選択されたポート パラメータ、つまり、認証および NAC ソリューションの実装および継続的な管理に関連するデバイスに関して操作を行うこともできます。これらの機能はすべて、管理者が標準的なブラウザを介してアクセス可能な Web ベースの Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス)を使用して管理します。

Cisco NAC Profiler を強力にしているエンドポイント プロファイリング ソフトウェアは、異なるアプライアンス上に存在する次の 2 つの機能システムとして提供されます。

Cisco NAC Profiler Server アプライアンス

Clean Access Server(Cisco NAC アプライアンス)上の Collector コンポーネント

Cisco NAC Profiler Server は、すべてのエンドポイント情報を格納するデータベースを実装します。エンドポイント情報は、関連する Collector から収集され、デバイス タイプ、位置、および動作属性を含みます。さらに、Profiler Server は、Web ベースのインターフェイスを提供し、また、Clean Access Manager と連絡を取り合って CAM のフィルタ リストを最新で適切な状態に保ちます。また、ミドルウェアとして機能し、Profiler Server と Collector 間のセキュアな通信を実現する Forwarder モジュールも用意されています。さらに、Profiler Server には、NetFlow 対応のインフラストラクチャ デバイス(ルータなど)やその他の NetFlow 収集装置からエクスポートされた NetFlow レコードのような、その他のソースからのデータを受信および分析できるモジュールも用意されています。この情報は、各 Collector から収集された情報と組み合されて、ネットワークに接続されたエンドポイントをさらにプロファイリングするために使用されます。

Cisco NAC Profiler Collector は、Cisco NAC アプライアンスの Clean Access Server(CAS)と同じアプライアンスに常駐し、ネットワークに接続されたエンドポイントに関する情報を検知する数多くのソフトウェア モジュールで構成されています。ソフトウェア モジュールには、ネットワーク マッピング モジュール(NetMap)、SNMP トラップ レシーバ/アナライザ(NetTrap)、パッシブ ネットワーク解析モジュール(NetWatch)、およびアクティブ問い合せモジュール(NetInquiry)などがあります。Collector の主要な機能は、その Clean Access Server(CAS)に対して、またはそれを介して通信を行うエンドポイントに関する目立ったデータをすべて収集すること、および、ネットワークを介して Profiler Server に送信される情報を集約することです。 表 2-1 表 2-2 では、Profiler Server と Collector の機能の概要を示します。

表 2-1 Profiler Server モジュール

Profiler Server モジュール
目的

NetRelay

NetFlow など、他のシステムからのエンドポイント データおよび動作モニタリング データを受信する。

Forwarder

すべての NAC Profiler 間の通信を実現し、Cisco NAC Profiler システム内の Collector モジュールと Server モジュール間のミドルウェアとして動作する。

Server

コントローラ、モデリング エンジン、GUI、およびデータベース。受信データを収集、分類、およびログに記録する。Web ベースのユーザ インターフェイスを提供し、Cisco NAC Profiler システムの Clean Access Manager 内の Device Filters リストを管理する。

表 2-2 Collector モジュール

Collector モジュール
目的

NetMap

ネットワーク デバイスに対して SNMP を介し次の内容に関する問い合せを行う Collector モジュール。

システム情報

インターフェイス情報

ブリッジ情報

802.1x 情報

ルーティングおよび IP 情報

ネットワーク トポロジのモデルを作成および維持する。

NetTrap

ネットワーク デバイスからの、選択されたトラップを受信して、ネットワーク トポロジのモデルの維持において NetMap を支援する。

NetWatch

パッシブ ネットワーク アナライザ Collector モジュール。ネットワーク トラフィックを使用するエンドポイントに関する情報を収集する。

NetInquiry

アクティブ プロファイリング Collector モジュール。

Forwarder

すべての NAC Profiler 間の通信を実現し、Cisco NAC Profiler システム内の Collector モジュールと Server モジュール間のミドルウェアとして動作する。

Cisco NAC Profiler システムの導入モデル

Cisco NAC Profiler は、ネットワーク内の各 CAS に対してデータ収集機能を分配し、分散化された可視性のポイントを提供する一方で、エンドポイント プロファイリングおよび動作モニタリング機能を中央の Profiler Server に集中させるために、1 つ以上のリモート Collector を採用するモジュラー システムとして設計および実装されます。リモート Collector は、目的の Collector モジュールと Forwarder システム モジュールの 1 つ以上のインスタンスを実行します。CAS および Collector 上の Forwarder モジュールは、リモート アプライアンスによって収集されたデータを、指定された Profiler Server に転送します。Profiler Server は、システム内のすべての Collector から受信したデータを集約し、分散化された Cisco NAC Profiler システムを集中管理します。


) 各 Cisco NAC Profiler Collector を管理するには、Cisco NAC Profiler Server と組み合せる必要があります。その結果、エンドポイント プロファイリングおよび動作モニタリング データが集約、分析、および表示され、適切なエンドポイントが、Clean Access Manager の Device Filters リストに送信されます。


図 2-1 に、1 つ以上の Collector が中央の Profiler Server と結合されて導入されている Cisco NAC Profiler システムを示します。各 Collector は、そのエンドポイント プロファイリングおよび動作モニタリング データを、オンボードの Forwarder モジュール経由で中央アプライアンスに送信し(青の線)、中央アプライアンスによって管理されます(黄色の線)。アプライアンス間における通信は、NAC Profiler アプライアンス上の管理インターフェイスを使用した、暗号化された TCP セッションを介して、ローカルまたはワイド エリア ネットワーク経由で行われます。中央アプライアンスは、エンドポイント データベースを保持し、そのアプライアンスが提供する Web ベースの UI を介した、Cisco NAC Profiler システム全体の集中管理機能を提供します。Clean Access Manager に提供される必要があるものとして示されるエンドポイント データは、NAC API を使用して送信され、NAC Profiler データベースのデータ マイニングは、Profiler Server との Web ベースでのセッションを介して実行されます。

図 2-1 分散化された Cisco NAC Profiler システム

 

Cisco NAC Profiler の使用方法:Port Provisioning と Endpoint Directory

Cisco NAC Profiler が提供するエンドポイント プロファイリングおよび動作モニタリング機能は、エンタープライズ ネットワークにおける NAC の効果的で効率的な導入および継続的な管理には欠かせないものです。Cisco NAC Profiler の運用モードは、最上位においては、Port Provisioning と Endpoint Directory に分類されます。

Cisco NAC Profiler のポート プロビジョニング機能は、ネットワーク管理プラットフォームを補強するものであり、エンタープライズ ネットワーク内における NAC の導入および継続的な管理を支援するために設計された専用の設定管理ツールを提供します。ポート プロビジョニングは、ネットワーク管理者に対して、エッジ ネットワーク インフラストラクチャ デバイス(スイッチなど)と通信を行うための UI を提供し、また、認証および NAC 固有のパラメータをプロビジョニングするための、選択されたエンドポイント、またはエンドポイントのグループに対するアクセスを提供することによって、それらのネットワーク エッジ デバイスに関するポート パラメータの操作を可能にします。Cisco NAC Profiler は、選択されたエッジ デバイスの選択されたポートに対して永続的な設定変更を行うために、SNMP 通信を利用するので、ネットワーク管理者は、エンドポイント接続を提供するインフラストラクチャをきめ細かく管理することができます。ポート プロビジョニングは使用しないが、SNMP によって、各 Collector 上のディスカバリ機能を提供する場合、読み取り専用アクセスが必要です。読み取りと書き込みのクレデンシャルは、ポート プロビジョニングを使用する場合にだけ必要です。

Endpoint Directory では、Cisco NAC Profiler が、CAM に対してエンドポイント情報を提供します。最も多いのは、NAC システムと直接通信できないエンドポイントの一覧を管理する場合です。この使用モードでは、Cisco NAC Profiler は 第 11 章「Cisco NAC アプライアンスとの統合」 で解説した手法によって CAM に統合され、非ユーザ デバイスが、その物理的な位置と関わりなく、自動的で動的な形での信頼性が高くセキュアにアクセスできるように、非ユーザ デバイスに関する有益で最新の情報を提供します。

ほとんどの Cisco NAC アプライアンス環境では、ポート プロビジョニングを使用するのは、導入時と、何らかの緊急事態のために即座の対応が必要な時だけです。導入時にこの機能を使用する目的は、ネットワーク アクセス デバイスが Cisco NAC アプライアンスと通信を行えるように、VLAN ポートの設定値をそれらのデバイスに迅速に設定するためです。これらの設定値は、あるデバイス上のポート一覧を提供することによって、ネットワーク スイッチごとに設定するか、あるいは、GUI が、ある設定用テーブルの中における任意のタイプのすべてのエンドポイントを表示できるように、エンドポイント タイプごとに設定できます。これは、ある種のデバイス タイプ(すべての Windows ユーザ、すべての Apple ユーザなど)や、ある種のポート グループ(すべての会議室やカフェのポートなど)を導入することが望ましいような NAC を、段階的に導入する際に、特に便利です。

一方、Endpoint Directory の使用は、Cisco NAC Profiler と Cisco NAC アプライアンスの対話には必要不可欠です。Endpoint Directory は、Cisco NAC Profiler によって認識されているすべてのプロファイリングされたエンドポイントとプロファイリングされていないエンドポイントの一覧です。このリストから、選択されたエンドポイント タイプ(プロファイル)を CAM にプロビジョニングできます。新しいデバイスが発見されるたびに、そのデバイスをリストに追加できます。使用されなくなったエンドポイントや、既知のデバイス タイプとして不適切な動作を行っていることが判明したエンドポイントは、そのフィルタ リストから削除できます。

Profiler Server のハイ アベイラビリティ オプション(HA)

Cisco NAC Profiler(リリース 2.1.8 以降)では、Profiler Server ソフトウェアにハイ アベイラビリティ オプションが用意されています。HA オプションによって、Cisco NAC Profiler Server アプライアンスを、単一のエンティティとして動作する物理的アプライアンスと、単一の Virtual IP(VIP; バーチャル IP)を介して管理可能な、単一の共用データベースとの組み合せとして導入できます。このオプションは、アプライアンスのハードウェアまたはソフトウェアの障害、または、ネットワーク接続の障害に対して、Cisco NAC Profiler システムが続けられるように保護するためのものです。

次の要点は、Cisco NAC Profiler Server アプライアンスのハイ アベイラビリティ運用のハイレベルな概要です。

Profiler Server アプライアンスのハイ アベイラビリティ モードは、アクティブとパッシブの 2 つのアプライアンス設定であり、セカンダリ アプライアンスは、アクティブなプライマリ アプライアンスに対するバックアップとなる。この組み合せは、任意のポイントでプライマリに対して転送される単一の IP アドレス経由(VIP)で管理されます。

プライマリ アプライアンスは、システムのすべての作業を実行する。スタンバイ側は、アクティブなアプライアンスを監視し、そのデータベースとアクティブなアプライアンスのデータベースとの同期を維持します。

両側の Profiler Server アプライアンスは、eth0(管理)インターフェイスの仮想 Service IP を共有する。フェールオーバーが発生した場合、システムは、手動による介入なしに通常の動作を継続します。

プライマリおよびセカンダリ アプライアンスは UDP ハートビート パケットを 2 秒ごとに交換する。ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

アクティブ アプライアンスとスタンバイ アプライアンスの両方の eth1 インターフェイスは、ハートビート パケットとデータベースとの同期のために使用される。

通常の条件下では、アクティブな Profiler Server アプライアンスがほとんどの作業負荷を分担するが、スタンバイ側はそのアクティブ側を継続的に監視し、自分のデータ ストアとアクティブなアプライアンスのデータとの同期を維持する。このデータ ストアには、システム設定情報とエンドポイント データベースが含まれます。

アクティブなアプライアンスが何かの事情でシャット ダウンしたり、他の何かの原因によってピアの「ハートビート」信号との応答が停止したりするなどのフェールオーバー イベントが発生した場合、スタンバイ側は、アクティブな Profiler Server アプライアンスの役割を引き継ぐ。

HA オプションには、ネットワーク インターフェイスの障害を防ぐための追加の機能もあります。指定された「外部 PING ホスト」が HA アプライアンスに対して指定され、そのペアの各メンバによって独自に監視されます。あるアプライアンスが、(ネットワーク インターフェイスの障害や、ping ホストとのネットワーク通信を妨げるその他の状況により)外部 PING ホストに障害発生していると判断した場合、そのアプライアンスは、そのペアのもう 1 つのアプライアンスに連絡を取り、そのアプライアンスの接続状態が自分よりよい状態かどうかを判断します。プライマリ Profiler Server アプライアンスが、ネットワークの接続が失われたことを検知して、セカンダリ側の方が、接続状態がよい場合、セカンダリ側に対するフェールオーバーが開始されます。この防護手段によって、アプライアンスは、そのネットワーク接続の状態を監視し、ネットワーク インターフェイスの障害や、その他の原因によるネットワーク接続の切断を防止することができます。ネットワーク接続が切断されると、フェールオーバーが開始されますが、切断されない場合は、アプライアンスのハードウェアとソフトウェアは通常に動作し続けます。

通常、HA オプションは、Cisco NAC Profiler システムを最初に導入する際の初めての起動時に設定します。HA ペアにおいて利用される両方のアプライアンスが新規のものである(新しい Profiler Server ソフトウェアの ISO インストール)場合の、HA ペアの正しい設定手順は、本マニュアルの 第 4 章「設置および初期設定」 で解説します。

2 番目のアプライアンスを、既存の動作中の Profiler アプライアンスに追加することも可能です。その手順については、 第 15 章「Cisco NAC Profiler Server コマンドライン リファレンス」 で解説します。