セキュリティ : Cisco NAC アプライアンス(Clean Access)

Cisco NAC アプライアンス ハードウェア インストレー ション リリース 4.5

クイック スタート ガイド
発行日;2012/01/21 | 英語版ドキュメント(2010/02/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.5

Cisco NAC アプライアンス

このマニュアルについて

設置の準備

パッケージ内容の確認

フェールオーバー バンドル

必要な機器

ラックマウント

Cisco NAC アプライアンスのライセンス

Cisco NAC アプライアンス ソフトウェアのアップグレード

Cisco NAC アプライアンス ソフトウェアのダウンロード

ファームウェアのアップグレード

追加情報

Cisco NAC アプライアンス ハードウェアの概要

Cisco NAC-3310 の前面パネルおよび背面パネル

Cisco NAC-3350 の前面パネルおよび背面パネル

Cisco NAC-3390 の前面パネルおよび背面パネル

コンフィギュレーション ワークシート

CAM コンフィギュレーション ワークシート

CAS コンフィギュレーション ワークシート

CAS モードの IP アドレッシングの注意事項

Cisco NAC アプライアンスの接続

Cisco NAC アプライアンスのシリアル接続

CD から Cisco NAC アプライアンスへのソフトウェアのインストール

CD-ROM からの CAM ソフトウェアのインストール

CD-ROM からの CAS ソフトウェアのインストール

コンフィギュレーション ユーティリティの実行

CAM コンフィギュレーション ユーティリティ スクリプトの実行

CAS コンフィギュレーション ユーティリティ スクリプトの実行

SSL 証明書に関する重要事項

コンフィギュレーション ユーティリティの手動での再起動

NAC アプライアンスの電源切断

CAM Web コンソールへのアクセス

CAM ライセンスのインストール

ライセンスの追加

CLI コマンドの使用

NIC カードの追加設定

追加の NIC を設定するには

マニュアルの入手方法およびテクニカル サポート

クイック スタート ガイド

Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.5

Cisco NAC Appliance Hardware Installation, Release 4.5

78-18807-01-J

 

Cisco NAC アプライアンス

Cisco® NAC アプライアンス(従来の Cisco Clean Access)は、ユーザがネットワークにアクセスする前に、ネットワーク管理者が有線、無線、およびリモート ユーザとマシンを認証、許可、評価、および修復できる Network Admission Control(NAC)製品です。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。

Cisco NAC アプライアンスは、Clean Access Manager(CAM)Web コンソールから管理し、Clean Access Server(CAS)を介して実行し、CAS クライアント ソフトウェアおよび Cisco NAC Web Agent クライアント ソフトウェアからクライアントに適用される統合ネットワーク ソリューションです。Cisco NAC アプライアンス ソリューションは、お客様のネットワークのニーズを満たす最適な設定で導入できます。

Cisco NAC アプライアンスは Linux ベースのネットワーク ハードウェア アプライアンスで、CAM (MANAGER) または CAS (SERVER) のどちらかのアプリケーション、オペレーティング システム、および関連するすべてのコンポーネントと一緒に専用サーバ マシンに事前にインストールされています。オペレーティング システムには Fedora コア ベースのハードウェア Linux カーネルが組み込まれています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンに他のパッケージやアプリケーションをインストールできません。

このマニュアルについて

Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.5のクイック スタート ガイド では、Cisco NAC アプライアンスの基本的なハードウェア仕様およびインストール方法を紹介しています 。コンフィギュレーション ユーティリティを使用して CAM および CAS を初期設定し、CAM Web コンソールにアクセスし、製品ライセンスをインストールする方法について説明します。CAM および CAS の初期設定が終了すると、CAM Web コンソールにアクセスし、使用環境に必要な残りの設定を続けることができます(『 Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1 』を参照)。

総合的な設定情報については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』の最新版を参照してください。これらのマニュアルはリリースごとに Cisco.com の http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html から入手できます。オンライン マニュアルを使用する場合は、必ずご使用の Cisco NAC アプライアンスで稼動するソフトウェア バージョン(リリース 4.5 など)に対応するマニュアルを参照してください。


) このクイック スタート ガイドでは、Cisco NAC ネットワーク モジュール(NME-NAC-K9)については説明していません。Cisco NAC ネットワーク モジュールのインストールと設定については、『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』を参照してください。


設置の準備

パッケージ内容の確認

図 1 に示すパッケージの内容を確認して、Cisco NAC アプライアンスの設置に必要な付属品がすべて納入されているか確認してください。装置を再梱包する場合に備えて、梱包材を保管しておきます。付属品が不足していたり、損傷したりしている場合は、購入された代理店に連絡してください。Cisco NAC アプライアンスの一部のモデルには、ここに示されていない部品が付属していることがあります。

図 1 発送用の箱の中身

 


) Cisco NAC-3300 シリーズ アプライアンスには製品ソフトウェアが事前にロードされているので、梱包内容に Cisco NAC アプライアンス ソフトウェアのインストレーション CD は含まれません。詳細については、「Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。


フェールオーバー バンドル

フェールオーバー バンドルを注文された場合は、Cisco NAC アプライアンスが 2 台納入されます。2 台のそれぞれで、このマニュアルの説明にある初期設定を行う必要があります。初期設定を終了したあと、CAM Web コンソールまたは CAS Web コンソールを使用してハイ アベイラビリティ(HA)を設定し、2 台のアプライアンスを物理的に接続して HA ペアを作成します。CAM による HA の設定の詳細については『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』、CAS による HA の設定の詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』のそれぞれの最新版にある「Configuring High Availability (HA)」の章を参照してください。


) ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合は、NAC-3300 シリーズ アプライアンスでシリアル ポートへの BIOS のリダイレクションを無効にする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』の「Disable BIOS Redirection for Serial HA (Failover) Connections」の項を参照してください。


必要な機器

Cisco NAC アプライアンスでアプライアンスのコンフィギュレーション ユーティリティを実行するには、ワークステーション(PC またはラップトップ)およびキーボード、モニタ、マウスが必要です。初期設定が完了したあと、RJ-45 コネクタを備えた標準(ストレート)イーサネット カテゴリ 5 ネットワーク ケーブルで、Cisco NAC アプライアンスのインターフェイスとネットワーク(CAM の場合は eth0、CAS の場合は eth0 および eth1)を接続する必要があります。HA ペアのアプライアンスを接続するには、RJ-45 イーサネット クロス ケーブルを使用する必要があります。「Cisco NAC アプライアンス ハードウェアの概要」に、各モデルのインターフェイスの詳細を示します。

ラックマウント

Cisco NAC アプライアンスは、ラック ユニットを 1 つ(1 U)占有します。ラックマウント用のキットが製品に付属しています。ラックマウントの詳細および手順については、HP が提供する付属の『 1U Rack Hardware Installation Instructions 』を参照してください。

Cisco NAC アプライアンスのライセンス

Cisco NAC アプライアンス システムを操作するには、最低 1 つの CAM ライセンスと、1 つの CAS ライセンスが必要です。いずれのライセンスも管理 Web コンソールでインストールします。アウトオブバンド(OOB)構成では、OOB CAS ライセンスと CAS の両方をアウトオブバンド デバイスとして CAM に追加し、CAM Web コンソールの OOB 管理モジュールにアクセスする必要があります。

システムに対応した新しいライセンスを 取得する 方法については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。

初期設定が完了したあとに、システムに対応したライセンスを インストールする 方法については、「CAM ライセンスのインストール」および「ライセンスの追加」を参照してください。

Cisco NAC アプライアンス ソフトウェアのアップグレード

Cisco NAC-3300 シリーズ アプライアンスには Cisco NAC アプライアンス ソフトウェアのデフォルト バージョンが事前ロードされていますが、それが最新のリリースではないことがあります。サポートされている最新バージョンのシステム ソフトウェアを実行して、最新の製品拡張機能およびフィックスを導入することを推奨します。


) リリース 4.5 以降の Cisco NAC アプライアンス ソフトウェアは、Cisco NAC アプライアンス CCA-3140、NAC-3310、NAC-3350、NAC-3390、および NME-NAC-K9(NAC ネットワーク モジュール)の各プラットフォームだけをサポートしており、これらのプラットフォームだけにインストールできます。


サポートされている最新バージョンのソフトウェアに Cisco NAC アプライアンスをアップグレードするには、スクリプトを使用してアプライアンスをアップグレードするか、最新の Cisco NAC アプライアンス ソフトウェアを CD から新規インストールします。

どのアプライアンスをアップグレードする場合でも、標準製品アップグレード ファイル( cca_upgrade-4.5.0-NO-WEB.tar.gz など)をダウンロードして実行できます。アップグレード メカニズムにより、マシンが CAS なのか、Lite/Standard/Super CAM なのかが自動的に判別され、それに適した処理が実行されます。アップグレードの手順については、 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.htm で入手できる『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』の「Upgrading」の項を参照してください。

リリース 4.5 以降は、すべてのプラットフォームで製品インストレーション CD が 1 種類( nac-4.5_0-K9.iso )に統一されています。インストレーション パッケージでは、Clean Access Server、Clean Access Manager、または Super Clean Access Manager がインストールされているかどうかと、使用されているソフトウェア バージョンの確認が行われます。詳細については、「CD から Cisco NAC アプライアンスへのソフトウェアのインストール」を参照してください。

Cisco NAC アプライアンス ソフトウェアのダウンロード

Cisco NAC アプライアンスのアップグレードと ISO ファイルの最新バージョンにアクセスする手順は次のとおりです。


注意 どの Cisco NAC アプライアンス ソフトウェアをダウンロードまたはインストールする場合でも、必ず事前に http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html で目的のバージョンの Cisco NAC アプライアンス リリースについてのリリース ノートに目を通し、機能拡張の内容、各種警告、およびアップグレードが既存の構成に及ぼす影響を把握してください。


ステップ 1 Cisco NAC アプライアンスのソフトウェア ダウンロード サイトに Cisco ID を使用してログインします。

a. http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766 でソフトウェア ダウンロード サイトに直接アクセスできます。

b. または、 http://www.cisco.com/en/US/partner/products/ps6128/index.html で Cisco NAC アプライアンス サポート ページにアクセスして [Download Software] リンクをクリックします。

ステップ 2 該当するソフトウェアの最新リリースへのリンク([Cisco NAC Appliance Software Version 4.5] など)をクリックします。

ステップ 3 [Release] カラムを参照して製品ファイルの最新バージョン(4.5.x.y など)を確認し、そのファイル名のリンクをクリックします。画面の指示に従ってファイルをローカル コンピュータにダウンロードします。Cisco NAC アプライアンスの製品ファイルのファイル名は次の命名規則に従っています。

nac-4.5_x_y-K9.iso :CAS および Lite/Standard/Super CAM の製品 ISO

cca_upgrade-4.5.x.y-NO-WEB.tar.gz :製品アップグレード アーカイブ


) CCAAgent のプレフィックスを持つファイルは Cisco Clean Access Agent 専用です。
nme-nac のプレフィックスを持つファイルは Cisco NAC ネットワーク モジュール専用です(詳細については『Getting Started with Cisco NAC Network Modules in Cisco Access Routers』を参照してください)。



 

ファームウェアのアップグレード

Cisco NAC-3300 シリーズ アプライアンスを使用するには、ベースとなるサーバ モデルに必須のシステム BIOS/ファームウェア アップグレードをすべて適用する必要があります。

Cisco NAC-3310 プラットフォームの場合、詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「 DL140 G3 Required BIOS/Firmware Upgrades 」の項を参照してください。

追加情報

Cisco NAC アプライアンスの詳細については、 http://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html で次の各ドキュメントを参照してください。オンライン マニュアルを使用する場合は、ご使用の Cisco NAC アプライアンスで稼動しているソフトウェア バージョン(リリース 4.5 など)に対応するマニュアルを参照してください。

Cisco NAC Appliance Data Sheet

Cisco NAC Appliance Service Contract/Licensing Support

Supported Hardware and System Requirements for Cisco NAC Appliance

Switch Support for Cisco NAC Appliance

Support Information for Cisco NAC Appliance Agents, Release 4.5

Release Notes for Cisco NAC Appliance, Version 4.5(1) 』(「Upgrading」の項など)

Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1 』(ソフトウェアの設定)

Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)

Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1)

Getting Started with Cisco NAC Network Modules in Cisco Access Routers

Cisco NAC Profiler Installation and Configuration Guide Release 2.1.8

このクイック スタート ガイドの最新のオンライン アップデートについては、 http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html を参照してください。

テクニカル サポートの詳細については、「マニュアルの入手方法およびテクニカル サポート」を参照してください。

Cisco NAC アプライアンス ハードウェアの概要

表 1 に、各 Cisco NAC アプライアンスのハードウェア仕様概要を示します。「図」カラムには、NIC(ネットワーク インターフェイス カード)ポート、電源装置ソケット、LED、およびボタンを示す詳細図へのリンクが記載されています。

 

表 1 Cisco NAC アプライアンス ハードウェアの概要

Cisco NAC
アプライアンス
製品
ハードウェア仕様

NAC-3310 1 , 2

MANAGER

最大 3 つのスタンドアロンまたは HA ペア CAS をサポートしている Lite Manager

シングル プロセッサ
Xeon 2.33 GHz デュアル コア
1 GB RAM
80 GB NHP SATA HDD
10/100/1000 LAN ポート× 4 (Broadcom 5721 内蔵 NIC × 2、Intel e1000 PCI-X NIC [HP #NC360T] × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 2 つ、背面に 2 つ)


) NAC-3310 は、HP ProLiant DL140 G3 に基づきます。


「Cisco NAC-3310 の前面パネル」

「Cisco NAC-3310 の前面パネルの LED/ボタン」

「Cisco NAC-3310 の背面パネル」

「Cisco NAC-3310 の背面パネルの LED」

SERVER

100、250、または 500 ユーザをサポートしている CAS

NAC-3350 3

MANAGER

最大 20 のスタンドアロンまたは HA ペア CAS をサポートしている Standard Manager

シングル プロセッサ
Xeon 3.0 GHz デュアル コア
デュアル電源装置
2 GB RAM
72 GB SFF SAS RAID HDD × 2
Smart Array E200i コントローラ
10/100/1000 LAN ポート× 4 (Broadcom 5708 内蔵 NIC × 2、Intel e1000 PCI-X NIC [HP #NC360T] × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 1 つ、内部に 1 つ、背面に 2 つ)
Cavium CN1120-NHB-E SSL アクセラレータ カード


) NAC-3350 は、HP ProLiant DL360 G5 に基づきます。


「Cisco NAC-3350 の前面パネル」

Cisco NAC-3350 の前面パネルの LED/ボタン

「Cisco NAC-3350 の背面パネル」

Cisco NAC-3350 の背面パネルの LED

SERVER

1500、2500、または 3500 ユーザをサポートしている CAS

NAC-33903

MANAGER

最大 40 のスタンドアロンまたは HA ペア CAS をサポートしている Super Manager

デュアル プロセッサ
Xeon 3.0 GHz デュアル コア
デュアル電源装置
4 GB RAM
72 GB SFF SAS RAID HDD × 4
Smart Array E200i コントローラ
10/100/1000 LAN ポート× 4 (Broadcom 5708 内蔵 NIC × 2、Intel e1000 PCI-X NIC [HP #NC360T] × 2)
CD/DVD-ROM ドライブ
USB ポート× 4(前面に 1 つ、内部に 1 つ、背面に 2 つ)
Cavium CN1120-NHB-E SSL アクセラレータ カード


) NAC-3390 は、HP ProLiant DL360 G5 に基づきます。


「Cisco NAC-3390 の前面パネル」

Cisco NAC-3390 の前面パネルの LED/ボタン

「Cisco NAC-3390 の背面パネル」

Cisco NAC-3390 の背面パネルの LED/ボタン

1.NAC-3310 では、HP ProLiant DL140 G3 のファームウェア/BIOS アップグレードが必要になることがあります。「ファームウェアのアップグレード」を参照してください。

2.NAC-3310 は、Lights Out 100i Remote Management(iLO)をサポートします。デフォルトの iLO 「管理者」アカウントには、デフォルトのユーザ名/パスワードである [admin]/[admin] が指定されています。BIOS 設定でデフォルトを変更できます。

3.NAC-3350 および NAC-3390 は iLO2(Integrated Lights Out、バージョン 2)をサポートします。管理アカウントの詳細については、パネルのタグを参照してください。

Cisco NAC-3310 の前面パネルおよび背面パネル

Cisco NAC-3310 アプライアンスは Clean Access Lite Manager(Lite CAM)および CAS(100/250/500 ユーザ数)を配置するための推奨プラットフォームです。NAC-3310 CAM Lite は最大 3 つの CAS または 3 つの HA-CAS ペアを管理できます。NAC-3310 CAS は 100、250、または 500 のユーザをサポートできます。

Cisco NAC-3310 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図 2 Cisco NAC-3310 の前面パネル

 

 

1

ハードディスク ドライブ(HDD)ベイ

6

HDD アクティビティ LED インジケータ
(グリーン)

2

CD-ROM/DVD ドライブ

7

LED インジケータ付きの電源ボタン
(2 色:グリーン/オレンジ)

3

埋め込み LED インジケータ(ブルー)付きの Unit Identification (UID; 装置 ID)
ボタン

8

前面ベゼル用の取り付けネジ

4

システム ヘルス LED インジケータ
(オレンジ)

9

前面 USB ポート

5

NIC 1(eth0)および NIC2(eth1)(緑)用アクティビティ/リンクのステータス LED
インジケータ

図 3 Cisco NAC-3310 の前面パネルの LED/ボタン

 

 

1

UID LED (埋め込み)

ブルー = UID ボタンが押されています。

2

システム ヘルス LED

消灯 = システム ヘルスが正常です。
オレンジ = 障害前のシステムしきい値に達しています。次のいずれかが考えられます。

少なくとも 1 つのファンに障害があります(システムまたはプロセッサのファン)。

少なくとも温度センサーの 1 つが危険なレベルに達しました(システムまたはプロセッサの熱センサー)。

少なくとも 1 つのメモリ モジュールに障害があります。

電源装置エラーが発生しました。

3

NIC 1 (eth0)および NIC2 (eth1)用アクティビティ/リンクのステータス LED

グリーンの点灯 = アクティブなネットワーク リンクが存在します。
グリーンの点滅 = 実行中のネットワーク データ アクティビティが存在します。
消灯 = サーバがオフラインです。

4

HDD アクティビティ LED

グリーンの点滅 = 実行中のドライブ アクティビティがあります。
消灯 = ドライブ アクティビティがありません。

5

電源ステータス LED
(埋め込み)

グリーン = サーバに AC 電源が接続され、オンになっています。
オレンジ = サーバに AC 電源が接続され、スタンバイ モードになっています。
消灯 = サーバの電源がオフになっています(AC 電源が接続されていません)。

図 4 Cisco NAC-3310 の背面パネル

 

 

1

通気孔

9

埋め込み LED インジケータ(ブルー)付きの Unit Identification (UID; 装置 ID)
ボタン

2

上面カバーの取り付けネジ

10

背面 USB ポート(ブラック)

3

PCI ライザー ボード アセンブリの取り付け
ネジ

11

ビデオ ポート(ブルー)

4

NIC 3 (eth2)および NIC 4 (eth3) PCI Express GbE LAN (RJ-45)ポート(Intel)

12

シリアル ポート

5
13

PS/2 キーボード ポート(パープル)

6

標準サイズの PCI Express x16/PCI-X
ライザー ボード スロット カバー

14

PS/2 マウス ポート(グリーン)

7

電源コード ソケット

15

IPMI 管理用 10/100 Mbps iLO LAN ポート(RJ-45)

8

NIC 1 (eth0)および NIC 2 (eth1)
統合 GbE Express LAN (RJ-45)ポート(Broadcom)

図 5 Cisco NAC-3310 の背面パネルの LED

 

 

1

NIC 1 (eth0)および NIC2 (eth1)用アクティビティ/リンクのステータス LED

グリーンの点灯 = アクティブなネットワーク リンクが存在します。
グリーンの点滅 = 実行中のネットワーク データ アクティビティが存在します。
消灯 = サーバがオフラインです。

2

NIC ネットワーク スピード LED

オレンジの点灯 = LAN 接続が GbE リンクを使用しています。
グリーンの点灯 = LAN 接続が 100 Mbps リンクを使用しています。
消灯 = LAN 接続が 10 Mbps リンクを使用しています。

3

UID LED (埋め込み)

ブルー = UID ボタンが押されています。

4

10/100 Mbps LAN ポート用のリンク ステータス LED

グリーン = ネットワーク リンクが存在します。
消灯 = ネットワーク リンクが存在しません。

5

10/100 Mbps LAN ポート用のアクティビティ LED

グリーンの点滅 = ネットワーク アクティビティが存在します。
消灯 = ネットワーク アクティビティが存在しません。

Cisco NAC-3350 の前面パネルおよび背面パネル

Cisco NAC-3350 アプライアンスは、企業全体に対応する Clean Access Standard Manager(Standard CAM)および CAS(1500/2500/3500 ユーザ数)の展開における拡張機能を提供します。NAC-3350 Standard CAM は最大 20 の CAS または 20 の HA-CAS ペアを管理できます。NAC-3350 CAS は 1500、2500 または 3500 のユーザをサポートできます。

Cisco NAC-3310 と同様に、Cisco NAC-3350 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。Cisco NAC-3350 にはさらに、2 GB の RAM、RAID 0 および 1 に設定された 2 つの SAS ドライブ、SSL アクセラレータ、およびデュアル電源装置が装備されています。これにより、大規模なネットワーク配置がサポートされ、ネットワーク コアの中央に配置した CAM/CAS の信頼性が向上します。

詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。

図 6 Cisco NAC-3350 の前面パネル

 

 

1

ハード ドライブ ベイ 1

4

ビデオ コネクタ

2

ハード ドライブ ベイ 2

5

HP システム インサイト ディスプレイ

3

CD-ROM/DVD ドライブ

6

USB コネクタ

図 7 Cisco NAC-3350 の前面パネルの LED/ボタン

 

 

1

電源オン/スタンバイ
ボタンおよびシステム
電源 LED

グリーン = システムがオンです。
オレンジ = システムがシャットダウン状態ですが、電源が供給状態のままです。
消灯 = 電源コードが接続されていない、電源障害が発生した、電源が設置されていない、設備の電源が利用できない、または電源ボタン ケーブルが接続されていない状態です。

2

UID ボタン/LED

ブルー = ID が作動しています。
ブルーの点滅 = システムがリモートで管理されています。
消灯 = ID が作動していません。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが悪化しています (悪化した状態のコンポーネントを特定するには、「HP Systems Insight Display and LEDs」を参照してください)。
レッド = システム ヘルスが危険な状態です (危険な状態のコンポーネントを特定するには、「HP Systems Insight Display and LEDs」を参照してください)。
消灯 = スタンバイ モード時にシステム ヘルスが正常です。

4

外部ヘルス LED (電源)

グリーン = 電源のヘルスが正常です。
オレンジ = 電源の冗長性の障害が発生しました。
消灯 = スタンバイ モード時に電源のヘルスが正常です。

5

NIC 1 (eth0) リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンの点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワークへのリンクが存在しません。
電源がオフの場合、前面パネルの LED はアクティブではありません。ステータスについては、背面パネルの RJ-45 コネクタ用の LED を参照してください(図 9)。

6

NIC 2 (eth1)リンク/アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンの点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワークへのリンクが存在しません。
電源がオフの場合、前面パネルの LED はアクティブではありません。ステータスについては、背面パネルの RJ-45 コネクタ用の LED を参照してください(図 9)。

図 8 Cisco NAC-3350 の背面パネル

 

 

1

NIC 3 (eth2) PCI-X ポート(Intel)

8

キーボード コネクタ (パープル)

2

NIC 4 (eth3) PCI-X ポート(Intel)

9

マウス コネクタ(グリーン)

3

PCI Express 拡張スロット 2

10

ビデオ コネクタ(ブルー)

4

電源ベイ 1

11

シリアル コネクタ

5

電源ベイ 2

12

USB コネクタ

6

統合 NIC 2 (eth1) ポート(Broadcom)

13

USB コネクタ

7

統合 NIC 1 (eth0)ポート(Broadcom)

14

iLO 2 NIC コネクタ(RJ-45)

図 9 Cisco NAC-3350 の背面パネルの LED

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 3 (Intel) アクティビティ LED

グリーンの点灯 = 高アクティビティ。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合は、リンクが切れています)。

4

10/100/1000 NIC 3 (Intel) リンク LED

オレンジ = 1,000 Mbps。
グリーン = 100 Mbps。
消灯 = 10 Mbps (アクティビティ LED が消灯している場合は、リンクが切れています)。

5

10/100/1000 NIC 4 (Intel)アクティビティ LED

グリーンの点灯 = 高アクティビティ。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません(リンク LED が消灯している場合は、リンクが切れています)。

6

10/100/1000 NIC 4 (Intel)リンク LED

オレンジ = 1,000 Mbps。
グリーン = 100 Mbps。
消灯 = 10 Mbps (アクティビティ LED が消灯している場合は、リンクが切れています)。

7

10/100/1000 NIC 1 (Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

8

10/100/1000 NIC 1 (Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

9

10/100/1000 NIC 2 (Broadcom)アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

10

10/100/1000 NIC 2 (Broadcom)リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

11

UID ボタン/LED

ブルー = ID が作動しています。
ブルーの点滅 = システムがリモートで管理されています。
消灯 = ID が作動していません。

12

電源 1 LED

グリーン = 正常です。
消灯 = システムがオフか電源に障害が発生しています。

13

電源 2 LED

グリーン = 正常です。
消灯 = システムがオフか電源に障害が発生しています。

Cisco NAC-3390 の前面パネルおよび背面パネル

Cisco NAC-3390 アプライアンス プラットフォームでは、企業全体に対応する Clean Access Super Manager(Super CAM)を配置して、最大 40 の CAS または 40 の HA-CAS ペアをサポートできるように、処理、メモリ、および電力が拡張されています。Cisco NAC-3390 にはデュアル プロセッサ、デュアル電源装置、4 GB の RAM、4 台のハード ディスク ドライブ、2 つの内蔵 NIC、および 1 つの SSL アクセラレータが装備されています。詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。


) Super CAM ソフトウェアがサポートされるのは、Cisco NAC-3390 アプライアンス プラットフォームだけです。


図 10 Cisco NAC-3390 の前面パネル

 

 

1

ハード ドライブ ベイ 1

5

CD-ROM/DVD ドライブ

2

ハード ドライブ ベイ 2

6

ビデオ コネクタ

3

ハード ドライブ ベイ 3

7

HP システム インサイト ディスプレイ

4

ハード ドライブ ベイ 4

8

USB コネクタ

図 11 Cisco NAC-3390 の前面パネルの LED/ボタン

 

 

1

電源オン/スタンバイ ボタンおよびシステム電源 LED

グリーン = システムがオンです。
オレンジ = システムがシャットダウン状態ですが、電源が供給状態のままです。
消灯 = 電源コードが接続されていない、電源障害が発生した、電源が設置されていない、設備の電源が利用できない、または電源ボタン ケーブルが接続されていない状態です。

2

UID ボタン/LED

ブルー = ID が作動しています。
ブルーの点滅 = システムがリモートで管理されています。
消灯 = ID が作動していません。

3

内部ヘルス LED

グリーン = システム ヘルスが正常です。
オレンジ = システム ヘルスが悪化しています (悪化した状態のコンポーネントを特定するには、「HP Systems Insight Display and LEDs」を参照してください)。
レッド = システム ヘルスが危険な状態です (危険な状態のコンポーネントを特定するには、「HP Systems Insight Display and LEDs」を参照してください)。
消灯 = スタンバイ モード時にシステム ヘルスが正常です。

4

外部ヘルス LED
(電源)

グリーン = 電源のヘルスが正常です。
オレンジ = 電源の冗長性の障害が発生しました。
消灯 = スタンバイ モード時に電源のヘルスが正常です。

5

NIC 1 リンク/
アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンの点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワークへのリンクが存在しません。
電源がオフの場合、前面パネルの LED はアクティブではありません。ステータスについては、背面パネルの RJ-45 コネクタ用の LED を参照してください(図 13)。

6

NIC 2 リンク/
アクティビティ LED

グリーン = ネットワーク リンクが存在します。
グリーンの点滅 = ネットワーク リンクおよびアクティビティが存在します。
消灯 = ネットワークへのリンクが存在しません。
電源がオフの場合、前面パネルの LED はアクティブではありません。ステータスについては、背面パネルの RJ-45 コネクタ用の LED を参照してください(図 13)。

図 12 Cisco NAC-3390 の背面パネル

 

 

1

PCI Express 拡張スロット 1、ロープロファイル、ハーフ長

8

マウス コネクタ(グリーン)

2

Cavium SSL アクセラレータ カード(PCI Express 拡張スロット 2)

9

ビデオ コネクタ(ブルー)

3

電源ベイ 1

10

シリアル コネクタ

4

電源ベイ 2

11

USB コネクタ

5

統合 NIC 2 (eth1) ポート(Broadcom)

12

USB コネクタ

6

統合 NIC 1 (eth0)ポート(Broadcom)

13

iLO 2 NIC コネクタ(RJ-45)

7

キーボード コネクタ (パープル)

図 13 Cisco NAC-3390 の背面パネルの LED/ボタン

 

 

1

iLO 2 NIC アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

2

iLO 2 NIC リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

3

10/100/1000 NIC 1 アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

4

10/100/1000 NIC 1 リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

5

10/100/1000 NIC 2 アクティビティ LED

グリーン = アクティビティが存在します。
グリーンの点滅 = アクティビティが存在します。
消灯 = アクティビティが存在しません。

6

10/100/1000 NIC 2 リンク LED

グリーン = リンクが存在します。
消灯 = リンクが存在しません。

7

UID ボタン/LED

ブルー = ID が作動しています。
ブルーの点滅 = システムがリモートで管理されています。
消灯 = ID が作動していません。

8

電源 1 LED

グリーン = 正常です。
消灯 = システムがオフか電源に障害が発生しています。

9

電源 2 LED

グリーン = 正常です。
消灯 = システムがオフか電源に障害が発生しています。

コンフィギュレーション ワークシート

NAC アプライアンスの初期設定を実行するには、次の情報が必要です。

CAM コンフィギュレーション ワークシート

CAS コンフィギュレーション ワークシート

CAS モードの IP アドレッシングの注意事項


) ハイ アベイラビリティ(HA)を実現するアプライアンスを設定するには、まず各アプライアンスで初期インストールを実行し、そのあとで CAM Web コンソールまたは CAS Web コンソール(あるいはその両方)を使用して HA を設定します。Web 設定で HA ペアの仮想サービス IP を作成する必要があります。


CAM コンフィギュレーション ワークシート

 

表 2 CAM コンフィギュレーション ユーティリティ ワークシート

CAM NAC アプライアンスの場合

a. eth0(信頼)インターフェイスの IP アドレス4

b. eth0 インターフェイスのサブネット マスク
(IP ネットマスク):

c. eth0 インターフェイスのデフォルト ゲートウェイ IP アドレス:

d. CAM のホスト名:

e. ネットワークの DNS の IP アドレス:

f. 共有秘密鍵:
CAM とすべての CAS で同じものにする必要があります。

g. 日付、時刻、タイムゾーン:

h. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

CAM の FQDN または IP アドレス:
組織ユニット(Sales など)
組織名(Cisco など)
組織の場所(San Jose、CA、US など)


) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。


i. root ユーザのパスワード: 5

4.ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。

5.デフォルト パスワードを変更して、強力なパスワード(英数字と特殊文字を組み合わせた 8 文字以上として、英字には大文字と小文字をそれぞれ 2 文字以上使用します)を使用することを強く推奨します。

CAS コンフィギュレーション ワークシート

 

表 3 CAS コンフィギュレーション ユーティリティ ワークシート

CAS NAC アプライアンスの場合

a. eth0(信頼)インターフェイスの IP アドレス6

b. eth0 インターフェイスのサブネット マスク
(IP ネットマスク):

c. eth0 インターフェイスのデフォルト ゲートウェイ IP アドレス:

d. eth1(非信頼)インターフェイスの IP アドレス

e. eth1 インターフェイスのサブネット マスク
(IP ネットマスク):

f. eth1 インターフェイスのデフォルト ゲートウェイ IP アドレス:1

g. CAS のホスト名:

h. ネットワークの DNS の IP アドレス:

i. 共有秘密鍵:
CAM とすべての CAS で同じものにする必要があります。

j. 日付、時刻、タイムゾーン:

k. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合:

CAS の FQDN または eth0 IP アドレス:
組織ユニット(Sales など)
組織名(Cisco など)
組織の場所(San Jose、CA、US など)


) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。


l. root ユーザのパスワード7

m. Web コンソール パスワード2

6.ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。

7.デフォルト パスワードを変更して、強力なパスワード(英数字と特殊文字を組み合わせた 8 文字以上として、英字には大文字と小文字をそれぞれ 2 文字以上使用します)を使用することを強く推奨します。

CAS モードの IP アドレッシングの注意事項

 

表 4 CAS モード:IP アドレッシングの注意事項

CAS モード
説明

Real-IP

CAS の信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)を異なるサブネット上に配置しなければなりません。

スタティック ルートを L3 スイッチまたはルータに追加し、管理対象サブネットのトラフィックを各 CAS の信頼できるインターフェイスにルーティングします。

DHCP リレーを使用している場合は、管理対象サブネットに戻るルートが DHCP サーバにあることを確認してください。

NAT
(テスト時だけ)

注:運用配置では NAT はサポートされていません。

CAS の信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)を異なるサブネット上に配置しなければなりません。

バーチャル
ゲートウェイ

注意: スイッチ エラーを回避するために、Web コンソールで CAM に CAS を追加して [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN のマッピングを正しく設定するまで、バーチャル ゲートウェイ(IB または OOB)の CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』を参照してください。

CAS および CAM は異なるサブネット(または VLAN)上に配置する必要があります。

CAS の信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)に、同じ IP アドレスを使用できます(これは L3 SVI の IP アドレスと同じです)。

ブリッジングされたサブネットにあるすべてのエンド デバイスは、CAS の信頼できない側に存在する必要があります。

バーチャル ゲートウェイ モードに設定すると、CAS は DHCP パススルーに自動的に設定されます。

管理対象サブネットは、CAS で管理されるすべてのユーザ サブネットの CAS で設定されている必要があります。管理対象サブネットを設定する場合、サブネット アドレスではなく、(CAS が使用する)そのサブネットで未使用の IP アドレスを入力していることを確認してください。

クライアントからのトラフィックは、ゲートウェイに到達する前に CAS を通過する必要があります。

CAS が OOB バーチャル ゲートウェイである場合は、次の処置も必要です。
CAS インターフェイスは、CAM とは異なるサブネット(または VLAN)に配置する必要があります。
CAS 管理 VLAN は、ユーザ VLAN やアクセス VLAN とは異なる VLAN に配置しなければなりません。

詳細は『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』の「Determining VLANs For Virtual Gateway」を参照してください。

Cisco NAC アプライアンスの接続

初期設定を実行するには、CAS Cisco NAC アプライアンスおよび CAM Cisco NAC アプライアンスに接続してコマンドラインにアクセスする必要があります。どちらのアプライアンスに接続する場合も、手順は次のとおりです。


ステップ 1 次のいずれかの方法で、各マシンの Cisco NAC アプライアンスのコマンドラインにアクセスします。

a. マシンの背面パネルにあるキーボード/ビデオ モニタ コネクタを介して、モニタとキーボードを直接マシンに接続します(推奨方法)。

b. シリアル ケーブルでワークステーション(PC/ラップトップ)とマシンを接続し、端末エミュレーション ソフトウェア(HyperTerminal、SecureCRT など)を使用して、ワークステーションのシリアル接続を開始します。詳細については、「Cisco NAC アプライアンスのシリアル接続」を参照してください。

ステップ 2 Cisco NAC アプライアンス(CAM または CAS)の背面パネルにある eth0(NIC1) 10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。

ステップ 3 CAS アプライアンスでは次の手順も実行します。

a. CAS を(IB(インバンド)または OOB(アウトオブバンド)の) バーチャル ゲートウェイ として設定する場合は、Web 管理コンソールから CAM に CAS を追加(および中央配置の場合は VLAN マッピングを設定) してから 、CAS の非信頼インターフェイス( eth1(NIC2) )に 接続しないでください 。このようにすると、ネットワーク接続上の問題を防止できます。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』を参照してください。

b. CAS を Real-IP ゲートウェイ またはテスト用の NAT ゲートウェイ として設定する場合は、CAS の背面パネルにある eth1(NIC2) 10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。

ステップ 4 Cisco NAC アプライアンスの背面パネルとアース付き AC コンセントを AC 電源コードで接続します。

ステップ 5 アプライアンスの前面にある電源ボタンを押して、Cisco NAC アプライアンスの電源をオンにします。POST(電源オン セルフテスト)の実行中、診断 LED が数回点滅します。アプライアンスが起動すると、コンソールにステータス メッセージが表示されます。


 

「CD から Cisco NAC アプライアンスへのソフトウェアのインストール」または「コンフィギュレーション ユーティリティの実行」の手順を実行します。

Cisco NAC アプライアンスのシリアル接続

ここでは、Cisco NAC アプライアンスをシリアル接続してコマンドラインにアクセスする手順を説明します。


ステップ 1 シリアル接続を使用するには、シリアル ケーブル(DB-9 メス/メス)を使用して、PC/ラップトップとCisco NAC アプライアンスのシリアル ポートを接続します (必要であれば、同梱されているヌル モデム ケーブルを使用できます)。

アプライアンスとワーク ステーションを物理的に接続すれば、さまざまなターミナル エミュレーション アプリケーションを使用して、シリアル接続インターフェイスにアクセスできます。次に示す手順は、使用中のソフトウェアによって異なる場合があります。

ステップ 2 Microsoft® ハイパーターミナルを使用する場合は、[Start] > [All Programs] > [Accessories] > [Communications] > [HyperTerminal] をクリックして、[HyperTerminal] ウィンドウを開きます。

ステップ 3 セッションの名前を入力し、[OK] をクリックします。

ステップ 4 [Connect using] リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(COM3 や COM1 など)を選択し、[OK] をクリックします。

ステップ 5 [Port Settings] で、9600 ビット/秒、8 データ ビット、パリティなし、1 ストップ ビット、ハードウェアによるフロー制御(CTS/RTS)(またはなし)を設定します。

ステップ 6 [Disconnect] アイコンをクリックしてから[File] > [Properties] をクリックし、セッションのプロパティ ダイアログを開きます。[Settings] タブをクリックして、[Emulation] ドロップダウン リストを VT100 に設定します。[OK] をクリックしてから、[Call] アイコンをクリックします。

アプライアンスのコマンドライン インターフェイスにアクセスできるようになります(数分間かかることがあります)。


) Cisco NAC アプライアンスが HA 用に設定されていて、HA にシリアル ハートビートが使用されている場合は、シリアル ポートをシリアル コンソールに使用できません。



 

「CD から Cisco NAC アプライアンスへのソフトウェアのインストール」または「コンフィギュレーション ユーティリティの実行」 の手順を実行します。

CD から Cisco NAC アプライアンスへのソフトウェアのインストール


) アプライアンスに付属しているデフォルト バージョンのシステム ソフトウェアを使用して初期設定を実行する場合は、ここの手順を省略して「コンフィギュレーション ユーティリティの実行」に進んでください。「Cisco NAC アプライアンス ソフトウェアのアップグレード」の説明にあるように、初期設定が終了したあとでも、アプリケーションをいつでもアップグレードできます。


Cisco NAC-3310、NAC-3350、および NAC-3390 アプライアンスには、デフォルト バージョンの Cisco NAC システム ソフトウェアが事前にロードされています。Cisco NAC-3300 アプライアンスに最初に電源を投入すると、root ユーザとしてログインするように要求され、「コンフィギュレーション ユーティリティの実行」の説明にある初期設定スクリプトが起動します。Cisco NAC-3300 シリーズ向けにサポートされている最新リリースのソフトウェアにアップグレードすることを推奨します。

リリース 4.5 以降では次の点に留意してください。

製品インストレーション CD はすべてのアプライアンス プラットフォーム(CAS および Lite/Standard/Super CAM)で共通で、1 種類だけです。

NAC-3310 アプライアンスにソフトウェアをインストールする場合、DL140 および serial_DL140 の boot インストール ディレクティブは要求されなくなりました。

次の手順に従って、サポートされている最新バージョンのソフトウェアを CD からアプライアンスに直接インストールします。

MANAGER アプライアンスの場合は「CD-ROM からの CAM ソフトウェアのインストール」を参照してください。

SERVER アプライアンスの場合は「CD-ROM からの CAS ソフトウェアのインストール」を参照してください。


) 設定済みアプライアンスに CD ソフトウェアをインストールすると、古い設定がすべて削除されます。設定済みアプライアンスを最新リリースのソフトウェアにアップグレードする場合は、アップグレードの手順を使用することを推奨します。アップグレード パッケージでは、Clean Access Server、Clean Access Manager、または Super Clean Access Manager がインストールされているかどうかと、使用されているソフトウェア バージョンの確認が行われます。


CD-ROM からの CAM ソフトウェアのインストール

次の手順では、NAC-3310 MANAGER、NAC-3350 MANAGER、および NAC-3390 MANAGER アプライアンス上で CAM ソフトウェアの CD インストールを任意で実行する方法を示します。


ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「Cisco NAC アプライアンスの接続」を参照)。

ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードします。

a. [Log In] をクリックして Cisco Secure Software にログインし、サポートされている最新の nac- <バージョン> -K9.iso ファイルを http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766 からダウンロードします。詳細については、「Cisco NAC アプライアンス ソフトウェアのダウンロード」を参照してください。

b. ブート可能ディスクとした CD-R にこの ISO ファイルを書き込みます。各インストール先マシンの CD-ROM ドライブにこの CD-R を挿入します。


) ISO イメージは、10 倍速以下の速度で CD-R に書き込むことを推奨します。速度が速いと、インストール CD が壊れたりブートできないことがあります。


ステップ 3 Cisco NAC アプライアンスの ISO ファイルを収めた CD-ROM をターゲット マシンの CD-ROM ドライブに挿入します。

ステップ 4 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.5-0 Installer (C) 2008 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access 4.5-0 Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console, enter serial at the boot prompt and press the <ENTER> key.
 
boot:
 

ステップ 5 boot : プロンプトで、接続の種類に応じて次のいずれかを入力します。

モニタとキーボードが直接アプライアンスに接続されている場合は、Enter キーを押します。

アプライアンスにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 6 次にインストール選択オプションが表示され、Cisco NAC アプライアンスの新規インストールを行うか、インストール処理を終了または取り消すかどうかが質問されます。プロンプトで 1 と入力して新しいバージョンの Cisco NAC アプライアンスをインストールします。

 
Checking for existing installations.
Clean Access Manager 4.1.3.1 installation detected.
Please choose one of the following actions:
1) Install.
2) Exit.
 

ステップ 7 次に、Cisco NAC アプライアンス ソフトウェア インストーラにより CAM と CAS のどちらをインストールするかが質問されます。次のプロンプトで、 1 と入力して CAM をインストールします。

Please choose one of the following configurations:
1) CCA Manager.
2) CCA Server.
 

注意 CAM でも CAS でもインストールで使用する CD は 1 種類だけです。インストールを行うターゲット マシンに対し CAM か CAS のいずれか適切な種類を選択します。

ステップ 8 Clean Access Manager Package Installation が実行されます。インストールには数分掛かります。インストールが終了すると、インストール スクリプトによって次のメッセージが表示され、Enter キーを押すと CAM がリブートし、CAM クイック コンフィギュレーション ユーティリティが起動します。

Installation complete. Press <ENTER> to continue
 

Enter キーを押すと CAM クイック コンフィギュレーション ユーティリティの初期画面が表示され、続いて 「CAM コンフィギュレーション ユーティリティ スクリプトの実行」に示すような初期設定に関する質問が順番に表示されます。


 

CD-ROM からの CAS ソフトウェアのインストール

次の手順では、NAC-3310 SERVER または NAC-3350 SERVER アプライアンス上で CAS ソフトウェアの CD インストールを任意で実行する方法を示します。


ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「Cisco NAC アプライアンスの接続」を参照)。

ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードします。

a. [Log In] をクリックして Cisco Secure Software にログインし、サポートされている最新の nac- <バージョン> -K9.iso ファイルを http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766 からダウンロードします。詳細については、「Cisco NAC アプライアンス ソフトウェアのダウンロード」を参照してください。

b. ブート可能ディスクとした CD-R にこの ISO ファイルを書き込みます。各インストール先マシンの CD-ROM ドライブにこの CD-R を挿入します。


) ISO イメージは、10 倍速以下の速度で CD-R に書き込むことを推奨します。速度が速いと、インストール CD が壊れたりブートできないことがあります。


ステップ 3 CAS の ISO ファイルを収めた CD-ROM をターゲット CAS マシンの CD-ROM ドライブに挿入します。

ステップ 4 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。

Cisco Clean Access 4.5-0 Installer (C) 2008 Cisco Systems, Inc.
 
Welcome to the Cisco Clean Access 4.5-0 Installer!
 
- To install a Cisco Clean Access device, press the <ENTER> key.
- To install a Cisco Clean Access device over a serial console, enter serial at the boot prompt and press the <ENTER> key.
 
boot:
 

ステップ 5 boot : プロンプトで、接続の種類に応じて次のいずれかを入力します。

モニタとキーボードが直接 CAS に接続されている場合は、Enter キーを押します。

アプライアンスにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。

ステップ 6 次にインストール選択オプションが表示され、Cisco NAC アプライアンスの新規インストールを行うか、またはインストール処理を取り消して終了するかを選択するように要求されます。プロンプトで 1 と入力して新しいバージョンの Cisco NAC アプライアンスをインストールします。

 
Checking for existing installations.
Clean Access Server 4.1.3.1 installation detected.
Please choose one of the following actions:
1) Install.
2) Exit.
 

ステップ 7 次に、Cisco NAC アプライアンス ソフトウェア インストーラにより CAM と CAS のどちらをインストールするかが質問されます。次のプロンプトで、 2 と入力して CAS のインストールを行います。

Please choose one of the following configurations:
1) CCA Manager.
2) CCA Server.
 

注意 CAM でも CAS でもインストールで使用する CD は 1 種類だけです。インストールを行うターゲット マシンに対し CAM か CAS のいずれか適切な種類を選択します。

ステップ 8 CAS Package Installation が実行されます。インストールには数分掛かります。インストールが終了すると、インストール スクリプトによって次のメッセージが表示され、Enter キーを押すと CAS がリブートし、CAS クイック コンフィギュレーション ユーティリティが起動されます。

Installation complete. Press <ENTER> to continue
 

リブートが完了すると CAS クイック コンフィギュレーション ユーティリティの初期画面が表示され、続いて 「CAS コンフィギュレーション ユーティリティ スクリプトの実行」に示すような CAS の初期設定に関する質問が順番に表示されます。


 

コンフィギュレーション ユーティリティの実行

アプライアンスをブートしたとき、または Cisco NAC アプライアンスに新しいリリースをインストールしたときは、ここで説明する初期設定を実行するように求められます。

MANAGER を設定するには、「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の手順を実行します。

SERVER を設定するには、「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の手順を実行します。

MANAGER(CAM)と SERVER(CAS)の両方で初期設定を完了したあとは、「CAM Web コンソールへのアクセス」に進んでください。


) インストールと設定が済んだ CAM があり、ここの手順を使用して現在の設定を変更する場合は、CAM ダイレクト コンソールまたは CAS ダイレクト コンソールにログインして service perfigo config と入力することで、CAM コンフィギュレーション ユーティリティを起動することもできます。詳細については、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


CAM コンフィギュレーション ユーティリティ スクリプトの実行


ステップ 1 CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Manager quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Manager, (C) 2008 Cisco Systems, Inc.

) Cisco NAC アプライアンス ソフトウェアをインストールして CAM を再起動してもこのメッセージが表示されない場合は、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 2 要求に応じて、CAM の eth0(信頼)インターフェイスの IP アドレスを入力して(CAM ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interface:
Please enter the IP address for the interface eth0 []: 10.201.240.11
You entered 10.201.240.11 Is this correct? (y/n)? [y]
 

ステップ 3 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b. )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 4 デフォルト ゲートウェイを受け入れるか、または CAM のデフォルト ゲートウェイ アドレスを指定して(フィールド c. )確認します。これは通常、CAM サブネットとCAS サブネットの間にあるルータの IP アドレスです。

Please enter the IP address for the default gateway []: 10.201.240.1
You entered 10.201.240.1. Is this correct? (y/n)? [y]
 

ステップ 5 CAM のホスト名を入力します(フィールド d. )。CAM Web コンソールで CAM ホスト名を使用するには、DNS サーバにエントリを作成します。デフォルトのホスト名は nacmanager です。

Please enter the hostname [nacmanager]: cam3350
You entered cam3350 Is this correct? (y/n)? [y]
 

ステップ 6 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド e. )、またはデフォルト値を受け入れます。

Please enter the IP addresses for the name servers: []: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ 7 1 つの構成内の CAM および CAS は、内部パスワードとして機能する共有秘密鍵を通じて、相互に認証します。デフォルトの共有秘密鍵は、 cisco123 です。プロンプトに共有秘密鍵を入力して、確認します(フィールド f. )。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
Please remember to configure all Clean Access Devices with the same string.
Only the first 8 characters supplied will be used.
Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]

注意 同じ配置内の CAM とすべての CAS に、同じ共有秘密を設定しなければなりません。共有秘密が異なっていると、相互に通信できません。

ステップ 8 CAM のタイム ゾーンを次のように指定します(フィールド g. )。

The timezone is currently not set on this system.
Please identify a location so that time zone rules can be set correctly.
Please select a continent or ocean.
 

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ 9 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

Current date and time hh:mm:ss mm/dd/yy [11:53:12 08/22/08]: 11:53:12 08/22/08
You entered 11:53:12 08/22/08 Is this correct? (y/n)? [y] y
 

ステップ 10 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAM と管理 Web コンソールをセキュアに接続できるようにします(フィールド h. を使用)。

a. 発行される証明書の対象となる IP アドレスまたはドメイン名を入力するか、Enter キーを押して、デフォルトの IP アドレス(通常は、 10.201.240.11 など、すでに指定した eth0 IP アドレス)を受け入れます。


) これは、Web サーバが応答する IP アドレスまたはドメイン名でもあります。DNS にドメイン名が設定されていない場合は、CAM Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAM の IP アドレスを使用してください。


b. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( DOC など)。

c. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

d. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

f. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ 11 値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.11
Organization unit: DOC
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y

) 一時的な SSL 証明書を作成する必要があります。作成しないと、CAM Web コンソールにアクセスできません。


ステップ 12 次のプロンプトで、CAM によるプリログイン バナーのサポートを有効にするかどうかを指定します。

Enable Prelogin Banner Support? (y/n)? [n]
 

プリログイン バナー機能の詳細と例については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「 Installing the Clean Access Manager 」の章を参照してください。

ステップ 13 インストールした CAM の Linux オペレーティングシステムの root ユーザのパスワードを設定します。 root ユーザ アカウントは、シリアル接続または SSH を通じてシステムにアクセスするために使用されます。

Cisco NAC アプライアンスは、root ユーザ ログインに対し強力なパスワードを使用できます。パスワードは 8 文字以上で、大文字と小文字、数字、その他の文字の組み合わせがサポートされています。たとえば、パスワード 10-9=One は、各カテゴリの文字を 2 文字以上使用していないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「 Administering the CAM 」の章を参照してください。

For security reasons, it is highly recommended that you change the password for the root user.
** Please enter a valid password for root user as per the requirements below! **
Changing password for user root.
You can now choose the new password.
 
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
 
Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.
 

ステップ 14 次に、CAM ダイレクト アクセス Web コンソールの admin ユーザのパスワードを入力します。

Please enter an appropriately secure password for the web console admin user.
 
New password for web console admin:
Confirm new password for web console admin:
 

ステップ 15 設定が完了したら、Enter キーを押して、CAM をリブートします。リブート後は、Web コンソールを通じて CAM にアクセスできるようになります。

Configuration is complete.
Changes require a REBOOT of Clean Access Manager.
 

設定を完了した後、次のコマンドを入力して CAM をリブートします。

# reboot
 

これで、CAM の初期設定は完了です。

ステップ 16 インストレーションのテスト:

a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。

b. CAM が応答しない場合は、SSH を使用して CAM へ接続してください。 root ユーザのユーザ名とパスワードを使用して接続します。接続したら、デフォルト ゲートウェイへ ping を実行して、CAM が外部ネットワークに接続できるかどうか確認してください。

2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。

インストレーション後に、CAM の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAM 機器に接続し、CLI コマンド service perfigo config を使用してください。

CAM の設定が終了していれば、CAM Web コンソールにアクセスして、製品ライセンスを追加したり、管理を目的として、初期設定した CAS を CAM に追加したり、「CAM Web コンソールへのアクセス」の説明にある詳細な設定を実行したりできます。

ステップ 17 続いて、「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の説明に従って CAS の初期設定を行います。


 

CAS コンフィギュレーション ユーティリティ スクリプトの実行


ステップ 1 CD からソフトウェアがインストールされ、パッケージのインストールが完了すると、次のように、コンフィギュレーション ユーティリティの初期スクリプトが表示されます。

Welcome to the Cisco Clean Access Manager quick configuration utility.
Note that you need to be root to execute this utility.
The utility will now ask you a series of configuration questions.
Please answer them carefully.
Cisco Clean Access Manager, (C) 2008 Cisco Systems, Inc.

) Cisco NAC アプライアンス ソフトウェアをインストールして CAS を再起動してもこのメッセージが表示されない場合は、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。


ステップ 2 要求に応じて、CAS の eth0(信頼)インターフェイスの IP アドレスを入力し(CAS ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Configuring the network interfaces:
Please enter the IP address for the interface eth0 []: 10.201.240.100
You entered 10.201.240.100 Is this correct? (y/n)? [y]

) CAS の eth0 の IP アドレスは、Management IP アドレスと同じです。


ステップ 3 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b. )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth0 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 4 デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド c. )、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。

Please enter the IP address for the default gateway []: 10.201.240.1
You entered 10.201.240.1 Is this correct? (y/n)? [y]
 

ステップ 5 Vlan Id Passthrough プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーをディセーブルのままにします。デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.
Would you like to enable it? (y/n)? [n]

) 通常、VLAN パススルーは不要です。


ステップ 6 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。

[Management Vlan Tagging] for egress packets of eth0 is disabled.
Would you like to enable it? (y/n)? [n]

) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。



) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。


ステップ 7 CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド d. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

Please enter the IP address for the untrusted interface eth1 []: 10.10.10.10
You entered 10.10.10.10 Is this correct? (y/n)? [y]

) バーチャル ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 とネットワークを接続しないでください。詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1)』を参照してください。


ステップ 8 eth1 インターフェイスのサブネット マスクを入力するか(フィールド e. )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。

Please enter the netmask for the interface eth1 []: 255.255.255.0
You entered 255.255.255.0, is this correct? (y/n)? [y]
 

ステップ 9 eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド f. )。

CAS が Real-IP または NAT ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。

CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。

Please enter the IP address for the default gateway []: 10.10.10.1
You entered 10.10.10.1 Is this correct? (y/n)? [y]
 

ステップ 10 次のプロンプトで、 n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.
Would you like to enable it? (y/n)? [n]
 

ステップ 11 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします(デフォルト)。

[Management Vlan Tagging] for egress packets of eth1 is disabled.
Would you like to enable it? (y/n)? [n]
 

ステップ 12 CAS のホスト名を入力して、確認します(フィールド g. )。デフォルトのホスト名は nacserver です。

Please enter the hostname [nacserver]: cas3350
You entered cas3350 Is this correct? (y/n)? [y]
 

ステップ 13 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド h. )、またはデフォルト値を受け入れます。

Please enter the IP address for the name server []: 63.93.96.94
You entered 63.93.96.94 Is this correct? (y/n)? [y]
 

ステップ 14 プロンプトに CAM および CAS の共有秘密鍵を入力して、確認します(フィールド i. )。

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123
 
This is highly insecure. It is recommended that you choose a string that is unique to your installation.
 
Please remember to configure all Clean Access Devices with the same string.
Only the first 8 characters supplied will be used.
Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco123
You entered: cisco123
Is this correct? (y/n)? [y]

注意 同じ配置内の CAM とすべての CAS に、同じ共有秘密を設定しなければなりません。共有秘密が異なっていると、相互に通信できません。

ステップ 15 次の手順に従って、CAS の時間設定を指定します(フィールド j. )。

a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。

b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。

c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。

e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

The following information has been given:
United States
Pacific Time
Is the above information OK?
1) Yes
2) No
#? 1
 

ステップ 16 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

Updating timezone information...
Current date and time hh:mm:ss mm/dd/yy [07:52:52 04/30/07]: 15:52:00 04/30/07
You entered 15:52:00 04/30/07 Is this correct? (y/n)? [y]
Mon Apr 30 15:52:00 PDT 2007

) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日と満了日の範囲に収まっていなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日と満了日の範囲に収まっていなければなりません。


ステップ 17 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド k. を使用)。

a. 組織ユニット名には、その証明書を管理する組織 のグループを入力します( doc など)。

b. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。

c. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。

d. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。

e. US など、2 文字の国コードを入力し、Enter キーを押します。

ステップ 18 値を確認してから Enter キーを押して、SSL 証明書を生成します。または、 n を入力して再起動します。

You entered the following:
Domain: 10.201.240.10
Organization unit: doc
Organization name: Cisco Systems
City name: San Jose
State code: CA
Country code: US
Is this correct? (y/n)? [y] y

) 一時的な SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスできません。


ステップ 19 次のプロンプトで、CAS によるプリログイン バナーのサポートを有効にするかどうかを指定します。

Enable Prelogin Banner Support? (y/n)? [n]
 

プリログイン バナー機能の詳細と例については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』の「 Administering the CAS 」の章を参照してください。

ステップ 20 インストールした CAS の Linux オペレーティングシステムの root ユーザのパスワードを設定します。 root ユーザ アカウントは、シリアル接続または SSH を通じてシステムにアクセスするために使用されます。

Cisco NAC アプライアンスは、root ユーザ ログインに対し強力なパスワードを使用できます。パスワードは 8 文字以上で、大文字と小文字、数字、その他の文字の組み合わせがサポートされています。たとえば、パスワード 10-9=One は、各カテゴリの文字を 2 文字以上使用していないため要件を満たしていませんが、 1o-9=OnE は有効なパスワードです。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』の「 Administering the CAM 」の章を参照してください。

For security reasons, it is highly recommended that you change the password for the root user.
** Please enter a valid password for root user as per the requirements below! **
Changing password for user root.
You can now choose the new password.
 
A valid password should be a mix of upper and lower case letters,
digits, and other characters. Minimum of 8 characters and maximum
of 16 characters with characters from all of these classes. Minimum
of 2 characters from each of the four character classes is mandatory.
An upper case letter that begins the password and a digit that ends
it do not count towards the number of character classes used.
 
Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.
 

ステップ 21 CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します(フィールド m. )。CAS Web コンソールには CAS 固有の設定の一部が表示され、ハイ アベイラビリティの設定などに使用されます。

Please enter an appropriately secure password for the web console admin user.
 
New password for web console admin:
Confirm new password for web console admin:
 

ステップ 22 設定が完了したら、Enter キーを押して、CAS をリブートします。

Configuration is complete.
Changes require a REBOOT of Clean Access Server.
 

ステップ 23 設定を完了したあと、次のコマンドを入力して CAS をリブートします。

# reboot
 

これで、CAS の初期設定は完了です。

ステップ 24 インストレーションのテスト:

a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。

b. CAS が応答しない場合は、SSH を使用して CAS へ接続してください。 root ユーザのユーザ名とパスワードを使用して接続します。接続したら、CAS からゲートウェイまたは外部 Web サイトへ ping を実行して、CAS が外部ネットワークに接続できるかどうか確認してください。

2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。


) 一時的な SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスできません。使用環境へ設置する前に、CAS 用に CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。


インストレーション後に、CAS の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAS 機器に接続し、 service perfigo config コマンドを使用します。

ステップ 25 「CAM Web コンソールへのアクセス」の手順に進んでください。


 

SSL 証明書に関する重要事項

CAM および CAS の初期設定中に、一時的な SSL 証明書を生成する必要があります。そうしないと、Cisco NAC アプライアンスに管理ユーザとしてもエンド ユーザとしてもアクセスできません。

実稼動環境に CAM または CAS を配置する前に、それぞれの CAM マシンおよび CAS マシン(または HA ペア)の信頼できる証明書を第三者の CA(認証局)から取得して、一時証明書と置き換える必要があります。一時証明書を CA の証明書で置き換えたあと、「EMAILADDRESS=info@perfigo.com, CN=www.perfigo.com, OU=Product, O="Perfigo, Inc.", L=San Francisco, ST=California, C=US」で指定されている CA を CAM および CAS から削除します。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインしたときに、セキュリティに関する警告が表示されなくなります。また、CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。詳細については、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』の「Known Issues for Cisco NAC Appliance」の項を参照してください。

一時証明書を再生成する場合は、まず Web コンソール インターフェイスを使用して CAM および CAS の時刻を必ず同期させます。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』の「Set System Time」および「Manage SSL Certificates』の各項を参照してください。


注意 以前の配置で不完全、正しくない、壊れた SSL 証明書のチェーンを使用している場合は、リリース 4.5 へのアップグレード後に、CAM および CAS の通信に失敗することがあります。リリース 4.5 にアップグレードするには、証明書チェーンを修正する必要があります。リリース 4.5 へのアップグレード後に CAM または CAS 上での証明書のエラーを修正する方法については、トラブルシューティング テクニカル ノート『How to Fix Certificate Errors on the CAM/CAS After Upgrade』を参照してください。

コンフィギュレーション ユーティリティの手動での再起動

インストール後に設定のリセットが必要になった場合や、コンフィギュレーション ユーティリティを手動で起動する必要がある場合は、CAS または CAM のいずれかで service perfigo config CLI コマンドを発行します。 service perfigo config を実行した場合は、設定を完了したあとで service perfigo reboot または reboot を入力してマシンをリブートする必要があります。


ステップ 1 ダイレクト コンソール接続、シリアル接続、または SSH を使用して、CAS または CAM に接続します。

ステップ 2 正しいパスワードを使用し、 root としてログインします。

ステップ 3 service perfigo config コマンドを入力します。

ステップ 4 デフォルト値を使用するか、すべてのプロンプトに新しい値を入力します(「コンフィギュレーション ユーティリティの実行」を参照)。

ステップ 5 設定が終了したら、 service perfigo reboot または reboot を入力し、マシンをリブートします。


 

NAC アプライアンスの電源切断

CAM/CAS の電源をオフにする場合は、コンソール/SSH を介して接続している間に、以下のいずれかを実行します。このようにすると、CAM の電源切断中にデータベースが破壊されなくなります。

service perfigo stop と入力してから、マシンの電源をオフにします。

/sbin/halt と入力してから、マシンの電源をオフにします。

CAM Web コンソールへのアクセス

CAM の Web 管理コンソールは、導入された Cisco NAC アプライアンスを管理するための主要インターフェイスです。初期設定が完了したら、次の手順に従って、CAM Web コンソールにアクセスします。


ステップ 1 CAM にアクセス可能なコンピュータで Web ブラウザを起動します

ステップ 2 URL/アドレス フィールドに、CAM の IP アドレス(DNS サーバに必要なエントリを作成した場合はホスト名)を入力します。

ステップ 3 一時的な SSL 証明書を使用している場合は、セキュリティ警告と、証明書を受け入れるよう求めるプロンプトが表示されます。[Yes] をクリックして証明書を受け入れます (署名つきの証明書を使用している場合、セキュリティ ダイアログは表示されません)。

CAM ライセンスのインストール

ステップ 4 インストレーションおよび初期設定の終了後、CAM Web コンソールに初めてアクセスする際、 Clean Access Manager License Form が表示されます(図 14を参照)。製品ライセンス ファイルを入手して、CAM Web コンソールへのアクセスに使用する PC/ラップトップ上のディスクに保存する必要があります。製品ライセンスおよび評価ライセンスの入手方法については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。


) ライセンスを要求する際の便宜のため、フォームの冒頭には CAM の eth0 MAC アドレスが表示されています。


図 14 Clean Access Manager License Form

 

ステップ 5 [Clean Access Manager License File] フィールドで [Browse] ボタンをクリックして、CAM 用に受領したライセンス ファイルを探し、[Install License] ボタンをクリックします。


) CAM フェールオーバー(HA)ライセンスを購入した場合は、最初にプライマリ CAM にフェールオーバー ライセンスをインストールしてから、その他のすべてのライセンスをロードしてください。これにより、CAM HA ペアのアップグレードが容易になります。


ステップ 6 ライセンスが受け入れられると、管理 Web コンソールのログイン ウィンドウ(図 15)が開きます。初期設定で設定した管理者のユーザ名とパスワードを入力して [Login] をクリックします。

図 15 CAM 管理 Web コンソールのログイン ページ

 

ステップ 7 [Monitoring Summary] ページが開き、左側にナビゲーション ペインが表示されます(図 16)。


「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の説明にある初期設定でプリログイン バナーを有効にしている場合は、[Summary] ページを表示する前にシステム メッセージの確認を求める開始画面が表示されます。


図 16 [Monitoring Summary] ページ

 

ライセンスの追加

ステップ 8 CAS のライセンスを追加するには、CAM 管理 Web コンソールで [Administration] > [CCA Manager] > [Licensing] を選択します(図 17)。

図 17 [Licensing] ページ

 

ステップ 9 [Clean Access FlexLM License File(s)] フィールドで [Browse] をクリックして、CAS または CAS バンドルのライセンス ファイルを探し、[Install License] をクリックします。ページの先頭に、ライセンスのインストール結果(成功/失敗)と追加されたライセンスの種類を示す確認メッセージが緑色の文字で表示されます。CAS ライセンスの場合は、インストール後のサーバ台数も示されます(「License added successfully.CCA Manager License added.Out-of-Band Server Count is now 20」など)。ページ下部のステータス テキストには、Lite、Standard、または Super Manager ライセンスの有無、ライセンスが Failover かどうか、および IB または OOB CAS ライセンス数が示されます。


) HA-CAS マシンの場合は、Manager フェールオーバー ライセンスが存在する必要があります。Manager フェールオーバー ライセンスをインストールすると、サーバの増分数はスタンドアロン CAS が 1 または CAS HA ペアが 1 のいずれかになります。


ステップ 10 インストールする必要のあるライセンス ファイルごとに、ステップ 9 を行います(Customer Registration Form に入力した PAK ごとにライセンス ファイルが 1 つ届いているはずです)。このページの下部の Server Count 情報には、ライセンス ファイルの正常インストールによって利用可能となった CAS の合計数が表示されます。


) [Remove All Licenses] ボタンをクリックすると、すべての FlexLM ライセンス ファイルがシステムから削除されます。ライセンス ファイルは個別に削除できません (すべてのラインセンスを削除して、再インストールした場合、認証されたユーザ トラフィックは引き続き通過します)。
管理 Web コンソールにアクセスできるようにするには、CAM ライセンスを導入する必要があります。
詳細については、『Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。


ステップ 11 これで、ライセンスはインストールされました。CAM Web コンソールを使用して、構成の設定を継続できます。設定の詳細については、以下のマニュアルを参照してください。

Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1

Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)

Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1)

ステップ 12 Web コンソールからログアウトするには、コンソールの右上にある管理セッションの [Logout] ボタンをクリックするか、またはブラウザを閉じます。


 


CAM Web コンソールは CAM ドメイン内の CAS をすべて管理します。CAS ダイレクト アクセス Web コンソール(https://<CAS IP アドレス>/admin)を介して、特定の CAS の設定の一部、または高度な設定にアクセスできます。CAS ダイレクト アクセス コンソールは通常、HA などの高度な設定の場合に限って使用します。


CLI コマンドの使用

Cisco NAC アプライアンスのコマンドライン インターフェイス(CLI)を使用すると、Web コンソールを使用できない場合(ネットワークや VLAN の設定が間違っている場合など)に、CAM または CAS に基本的な動作パラメータを直接設定できます。表 5 に、一般に使用する CLI コマンドを示します。これらのコマンドを実行するには、KVH、SSH、またはシリアル コンソールから Cisco NAC アプライアンスにアクセスし、root ユーザの正しいパスワードを使用して root としてログインします。

 

表 5 CLI コマンド

コマンド
説明
service perfigo config

CAM または CAS のネットワーク設定を変更するためのコンフィギュレーション ユーティリティを起動します。変更が完了したら、 service perfigo reboot または reboot を実行して、変更した設定でアプライアンスを再設定します。
「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。

service perfigo start

CAM または CAS を起動します。このコマンドを使用するには、アプライアンスを停止する必要があります。アプライアンスが稼動している場合は、警告メッセージが表示されます。

service perfigo stop

CAM または CAS の Cisco NAC アプライアンス サービスをシャットダウンします。


) 管理 VLAN が設定されている場合にこのコマンドを発行すると、CAS のネットワーク接続が切断されます。


service perfigo maintenance

(CAS 専用コマンド)

このコマンドを実行すると CAS がメンテナンス モードになります。メンテナンス モードでは、基本的な CAS ルータだけが動作し、VLAN タグ付きパケットの処理が継続されます。

このコマンドを使用すると、管理 VLAN を通じた通信が可能になります。このコマンドは、CAS がトランク モードで、ネイティブ VLAN が管理 VLAN とは異なる環境での使用を想定しています。

service perfigo platform

(CAS 専用コマンド)

CAS が標準的な SERVER アプライアンスか Cisco ISR ルータ シャーシに搭載された Cisco NAC ネットワーク モジュールであるかを表示します。このコマンドを実行すると、プラットフォーム設定として APPLIANCE または NME-NAC が表示されます。

:このクイック スタート ガイドでは、Cisco NAC ネットワーク モジュール(NME-NAC-K9)のインストレーションおよび設定については説明しません。Cisco NAC ネットワーク モジュールについては、『 Getting Started with Cisco NAC Network Modules in Cisco Access Routers 』を参照してください。

service perfigo restart

Cisco NAC アプライアンス サービスをいったんシャットダウンし、CAM 上または CAS 上で再起動します。サービスをすでに実行しているときにアプライアンスを再起動する場合に、このコマンドを使用します。


) ハイ アベイラビリティ(フェールオーバー)をテストする際に、service perfigo restart を使用しないでください。フェールオーバーのテストでは、Linux コマンドの shutdownreboot、または CLI コマンドの service perfigo stopservice perfigo start を使用します。


service perfigo reboot

CAM または CAS をシャットダウンして、リブートします。代わりに、Linux コマンドの reboot も使用できます。

service perfigo time

タイム ゾーン設定を変更できます。Linux の clock コマンドを使用すると、現在のタイム ゾーン設定を確認することもできます。


) CAS で Cisco NAC アプライアンスの Profiler Collector を設定する場合の詳細については、『Cisco NAC Profiler Installation and Configuration Guide, Release 2.1.8』を参照してください。


NIC カードの追加設定

コンフィギュレーション ユーティリティ スクリプトでは、CAM および CAS マシンに eth0(NIC1)および eth1(NIC2)インターフェイスがデフォルトで装備されていて、初期インストール中にこれらを設定する必要があります。ご使用のシステムにその他のネットワーク インターフェイス カード(NIC3、NIC4 など)がある場合は、次の手順で、これらのカード上のインターフェイス(eth2、eth3 など)を追加設定できます。通常、CAS システムをハイ アベイラビリティ構成に設定する場合は、eth2 を設定する必要があります。HA の場合、eth2(NIC3)インターフェイスに適切なアドレッシングを設定すれば、eth2 は HA-CAS 専用の UDP ハートビート インターフェイスとして設定されます。


) Cisco NAC アプライアンス ハードウェア プラットフォームに関する次の手順では、NIC が搭載されていて、機能している(BIOS および Linux で認識されている)ことが前提となります。


追加の NIC を設定するには


ステップ 1 NIC が Linux で認識されているか確認するには、 ifconfig eth n を入力します( n はインターフェイス番号)。たとえば、イーサネット インターフェイスが 2 つ(eth0 および eth1)内蔵されているシステムに NIC を追加する場合、 n は 2 です。したがって、 ifconfig eth2 と入力します。

ステップ 2 MAC アドレスや送受信カウンタなどのインターフェイス情報が表示されることを確認します。これが確認できれば、インターフェイスが Linux で認識されていて、使用できる状態になっています。

ステップ 3 次のディレクトリに変更します。

cd /etc/sysconfig/network-scripts
 

ステップ 4 次のように vi を使用して、インターフェイスの ifcfg-eth n ファイルを編集します。

vi ifcfg-eth2
 

ステップ 5 ファイルに次の行を追加し、 IPADDR NETMASK BROADCAST 、および NETWORK 値をネットワークの実際の値で置き換えます。

DEVICE=eth2
IPADDR=192.168.0.253
NETMASK=255.255.255.252
BROADCAST=192.168.0.255
NETWORK=192.168.0.252
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
 

ステップ 6 ファイルを保存し、システムをリブートします。これで、このネットワーク インターフェイスを HA に使用する準備が整いました。


 


) NIC カードが BIOS で認識されない場合は(アプライアンスではないサーバ マシンの場合など)、製造元の推奨設定に従って、IRQ/メモリ設定を調整する必要があります。

BIOS で認識された NIC は、ソフトウェア(Linux)で自動的に認識されます。何らかの理由により、NIC が BIOS で認識されているにもかかわらず、Linux で認識されない場合は、システムにログインして kudzu を実行してください。NIC の設定を支援するユーティリティが起動します。



) CAM および CAS のインターフェイスには静的な IP アドレスを設定する必要があります。これらのインターフェイスの設定では DHCP モードはサポートされません。


HA の設定の詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5(1) 』で「Configuring High Availability」の章を参照してください。

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。