Hierarchical Navigation

ホーム
- 製品 & サービス
  - インターフェイス/モジュール
    - ネットワークモジュール
      - 製品資料
        
        データシート
        
        サービス統合型ルータ用 Cisco NAC ネットワークモジュール

ダウンロード

サービス統合型ルータ用 Cisco NAC ネットワークモジュール

データシート

サービス統合型ルータ用 Cisco NAC ネットワークモジュール

サービス統合型ルータ用 Cisco® NAC ネットワークモジュール（NME-NAC-K9）を使用すると、Cisco ISR 2800 および 3800 シリーズで、Cisco NAC アプライアンスの豊富な機能を利用できるようになります。Cisco NAC アプライアンス（Cisco Clean Access）は、迅速に導入できる NAC（ネットワークアドミッションコントロール）製品です。Cisco NAC アプライアンスにより、ネットワーク管理者は、事前に有線、ワイヤレス、およびリモートのユーザとそのマシンを認証し、権限の付与、評価、および修復を行ってから、そのユーザやマシンに対してネットワークへのアクセスを許可することができます。

製品概要

サービス統合型ルータ用 Cisco NAC ネットワークモジュール（NME-NAC-K9）は、Cisco NAC アプライアンスの機能の小さな拠点への導入を可能にし、本社でもブランチオフィスでも NAC の機能を活用できるようになります（図 1）。Cisco NAC アプライアンスサーバの機能がサービス統合型ルータ用ネットワークモジュールに組み込まれているため、データ、音声、およびセキュリティの要件に応じてネットワーク管理者がブランチオフィスで管理するデバイスが 1 台で済みます。これにより、ネットワーク構成の簡素化、IT スタッフのトレーニング、必要となる機器の数およびメンテナンスコストの削減が可能になります。ブランチオフィスに導入されたサービス統合型ルータ用 Cisco NAC ネットワークモジュールは、潜在的な脅威が WAN を通過してネットワークに感染する前に、ローカルで修復します。

図 1 サービス統合型ルータ用 Cisco NAC ネットワークモジュール（NME-NAC-K9）

サービス統合型ルータ用 Cisco NAC ネットワークモジュールは高度なネットワークセキュリティ製品で、以下の機能を提供します。

ネットワーク内のユーザ、デバイス、およびそのロールを認識できます。最初のステップは認証を行う時点で実行され、悪意あるコードによって被害を受ける心配がありません。
マシンがセキュリティポリシーに適合しているかどうかを評価します。セキュリティポリシーは、ユーザタイプ、デバイスタイプ、または OS（オペレーティングシステム）ごとに設定できます。
セキュリティポリシーを適用し、適合していないマシンを遮断、隔離、および修復します。適合していないマシンは検疫エリアへ入れられ、管理者の判断に応じて修復されます。

機能および利点

Cisco NAC ネットワークモジュールは、ネットワークモジュールスロットを装備したモジュラサービス統合型ルータ（Cisco ISR 2811、2821、2851、3825、および 3845 プラットフォーム）でサポートされています。この NAC モジュールは、次の条件に関係なく、すべてのエンドデバイスにポスチャ評価および修復サービスを適用できます。

デバイスタイプ：Cisco NAC ネットワークモジュールは、Windows、Mac、Linux の各マシン、ノート型パソコン、PDA、プリンタや IP 電話などの企業資産を含む、ネットワーク接続されたすべてのデバイスにセキュリティポリシーを適用します。
デバイスの所有権：NAC ネットワークモジュールは、企業、社員、請負業者、およびゲストが所有するシステムにセキュリティポリシーを適用します。
デバイスへのアクセス方法：NAC ネットワークモジュールは、LAN、ワイヤレス LAN（WLAN）、WAN、または VPN を経由して接続しているデバイスに、ネットワークアドミッションコントロールを適用します。

Cisco NAC ネットワークモジュールを搭載したサービス統合型ルータは、専用のアプライアンスがなくてもブランチオフィス環境におけるポリシー適用を可能にします。

Cisco NAC ネットワークモジュールとサービス統合型ルータを採用したネットワークでは、次の機能を利用できます。

適合性をアクセスの条件にすることで機密を保持
スパイウェア、ウイルス、ワーム、およびその他の悪意のあるアプリケーションに対する予防的な防御
定期的に評価および修復することで、ユーザマシンの脆弱性を最小限に抑制
ユーザマシンの修復および更新プロセスを自動化することでコストを大幅に削減
導入における柔軟性と総所有コストの削減

製品アーキテクチャ

Cisco NAC アプライアンスソリューションには、次の 3 つのコンポーネントがあります。

NAC Server（Clean Access Server）：このデバイスは、スタンドアロンアプライアンスまたはサービス統合型ルータ用ネットワークモジュールとして導入でき、評価を開始して、エンドポイントがポリシーに適合しているかどうかに基づいてアクセス権限を決定します。ユーザは、ポート単位でブロックされ、検査に合格するまで、信頼されるネットワークへのアクセスは制限されます。
NAC Server は、サービス統合型ルータ用ネットワークモジュールの場合、オンラインの同時ユーザの数に基づいて、2 つのサイズ（50 ユーザと 100 ユーザ）が用意されています。アプライアンスの場合、オンラインの同時ユーザの数に基づいて、6 つのサイズ（100、250、500、1500、2500、および 3500 ユーザ）が用意されています。1 社でサイズの異なる複数のサーバを使用できます。たとえば、本社ビルでは Cisco NAC 3350 アプライアンスを使用する 1500 ユーザの NAC Server を使用し、同じ会社のブランチオフィスでは、サービス統合型ルータに搭載された NAC ネットワークモジュールを使用する 100 ユーザのみのサーバを使用できます。
NAC Manager（Clean Access Manager）：この Web ベースの一元的なコンソールにより、ユーザのロール、チェック、ルール、およびポリシーが確立されます。NAC Server には 3 つのサイズが用意されています。Lite Manager は最大 3 台の NAC Server、Standard Manager は最大 20 台の NAC Server、Super Manager は最大 40 台の NAC Server を管理します。
NAC Agent（Clean Access Agent）：この読み取り専用の軽量エージェントは、ポスチャ評価機能を強化し、修復作業を効率化します。NAC Agent はオプションであり、無料で配布されます。

導入モード

Cisco NAC ネットワークモジュールは、ブランチネットワークのセキュリティ要件に合わせてさまざまな方法で導入できます。図 2 に、ブランチオフィスの Cisco ISR 2800 または 3800 シリーズに搭載された NAC ネットワークモジュールを示します。ブランチオフィスの 100 人以下の従業員は、ネットワークへのアクセスを許可される前に、NAC ネットワークモジュールで NAC Server の機能を利用します。同様に、キャンパスの従業員は、ローカル NAC アプライアンスで NAC Server の機能を利用します。この企業が複数のオフィスに導入した複数の NAC ネットワークモジュールまたは NAC アプライアンスを設定および管理するには、WAN を経由する中央集中型の NAC Manager が必要です。

図 2 ブランチオフィスにおけるサービス統合型ルータに搭載された Cisco NAC ネットワークモジュールの一般的な導入例
※ 画像をクリックすると、大きく表示されます。

表 1 Cisco NAC ネットワークモジュールの導入オプション

導入モデル	オプション
トラフィック通過モード	バーチャルゲートウェイ（ブリッジドモード）リアル IP ゲートウェイ（ルーテッドモード）
クライアントアクセスモード	レイヤ 2（クライアントは NAC Server に隣接）レイヤ 3（クライアントは NAC Server から複数ホップ先）
トラフィックフローモデル	インバンド（NAC Server は常にユーザトラフィックに対してインラインで動作）アウトオブバンド（NAC Server は認証、ポスチャ評価、および修復時のみインライン）

インバンドモードの Cisco NAC ネットワークモジュールはすべてのネットワークインフラストラクチャをサポートしますが、アウトオブバンドモードでは SNMP（簡易ネットワーク管理プロトコル）を使用してスイッチと通信します。サポートされるスイッチの最新の一覧については、http://www.cisco.com/en/US/products/ps6128/products_device_support_table09186a008075fff6.html を参照してください。このリストは頻繁に更新されます。

Cisco NAC ネットワークモジュールの HIMI

Cisco NAC ネットワークモジュールは、Cisco ISR 3800 で High-Speed Intrachassis Module Interconnect（HIMI）をサポートします。HIMI 機能により、Enhanced Network Module（NME）と、別の NME、または Cisco ルータのオンボードギガビットイーサネット Small Form-Factor Pluggable（SFP）ポートとの間に専用のポイントツーポイント内部接続を確立できます。HIMI 機能は、1 Gbps まで拡張できるレイヤ 2 接続です。詳しくは、次の URL を参照してください。

http://www.cisco.com/en/US/products/ps5855/prod_configuration_guide09186a008068ea83.html#wp1047623

HIMI を使用すると、Cisco NAC ネットワークモジュールと、Cisco EtherSwitch® サービスモジュールなどの他の HIMI 対応拡張ネットワークモジュールの間で、高度な統合を実現できます。

製品仕様

表 2 に、サービス統合型ルータ用 Cisco NAC ネットワークモジュールのハードウェア仕様を示します。

表 2 Cisco NAC ネットワークモジュール（NME-NAC-K9）のハードウェア仕様

機能	サービス統合型ルータ用 Cisco NAC ネットワークモジュール
製品	NME-NAC-K9
プロセッサ	1 GHz Intel Celeron-M
メモリ	512 MB Double Data Rate 2（DDR2）
フラッシュメモリ	64 MB のコンパクトフラッシュ
ハードディスク	80 GB Serial ATA（SATA）ドライブ
イーサネット Network Interface Card（NIC; ネットワークインターフェイスカード）	ルータバックプレーンへの内部 1000 Mbps イーサネットインターフェイス× 1 外部 10/100/1000 Mbps イーサネットインターフェイス× 1
物理寸法（高さ×幅×奥行）	3.9 × 18.0 × 18.3 cm（1.55 × 7.10 × 7.2 インチ）
重量	0.57 kg（1.25 ポンド）
動作湿度	5 ～ 95%（結露しないこと）
動作温度	0 ～ 40°C（32 ～ 104°F）
保管温度	–25 ～ 70°C（–13 ～ 158°F）
最高動作温度	海抜 0 m で 40°C（104°F） 1,800 m（6,000 フィート）で 40°C（104°F） 4,000 m（13,000 フィート）で 30°C（86°F） 4,600 m（15,000 フィート）で 27.2°C（80°F）注：6,000 フィート以上では 1,000 フィートごとに 1.4°C（2.5°F）低下
電力	21 W
安全性適合規格	UL、CSA、EN、および IEC 60950-1
EMC 準拠	CFR 47 Part 15 クラス A CISPR22 クラス A EN300386 クラス A EN55022 クラス A EN61000-3-2 EN61000-3-3 VCCI クラス I AS/NZS CISPR22 クラス A
イミュニティ適合規格	CISPR24 EN300386 EN50082-1 EN55024 EN61000-6-1

サービス統合型ルータ用 Cisco NAC ネットワークモジュールは、NAC アプライアンス上の NAC Server と同じソフトウェア機能をサポートしています（ハイアベイラビリティを除く）。NME-NAC-K9 は、モジュール間のフェールオーバーをサポートしていません。

表 3 に、NAC ネットワークモジュールでサポートされるソフトウェア機能を示します。

表 3 Cisco NAC ネットワークモジュール（NME-NAC-K9）のソフトウェア機能

ソフトウェア機能	サービス統合型ルータ用 Cisco NAC ネットワークモジュール
認証の統合とシングルサインオン（SSO）	サービス統合型ルータ用 Cisco NAC ネットワークモジュールは、ほとんどの認証方式で認証プロキシとして機能し、Kerberos、Lightweight Directory Access Protocol（LDAP）、RADIUS、Active Directory などの認証方式と統合可能です。エンドユーザの利便性を考慮し、Cisco NAC ネットワークモジュールは、IP Security（IPSec）VPN クライアント、ワイヤレスクライアント、および Windows Active Directory ドメインでの SSO をサポートしています。管理者は、ロールベースアクセスコントロールを使用することで、さまざまな許可レベルで複数のユーザプロファイルを保持できます。
脆弱性の評価	Cisco NAC ネットワークモジュールは、Windows、Mac OS、および Linux ベースのすべての OS とマシン、およびゲームコンソール、PDA、プリンタ、IP フォンなどの PC 以外のネットワーク接続されたデバイスのスキャニングをサポートしています。Cisco NAC ネットワークモジュールではネットワークベースのスキャニングを行いますが、必要に応じてカスタムビルトのスキャニングを実行することもできます。NAC ネットワークモジュールは、レジストリキーの設定、実行しているサービス、またはシステムファイルで識別されるアプリケーションをチェックできます。
デバイスの検疫	Cisco NAC ネットワークモジュールは、ポリシーに適合していないマシンを検疫エリアに入れることができます。これによって、マシンは修復リソースへのアクセスを維持できる一方で、感染の拡大を防ぐことができます。検疫には、/30 程度のサイズの小さいサブネットを使用するか、検疫 VLAN を使用します。
集中管理	サービス統合型ルータ用 Cisco NAC モジュールは、Web ベースの管理コンソールである NAC Manager によって集中管理されます。これにより管理者は、ロールごとに必要なスキャニングのタイプと、リカバリに必要な関連する修復パッケージを定義することができます。1 つの管理コンソールで複数の NAC ネットワークモジュールまたは NAC アプライアンスを管理できます。
セキュリティポリシーの自動更新	シスコの標準ソフトウェアメンテナンスパッケージの一部であるセキュリティポリシーの自動更新機能では、重要な OS の更新、アンチウイルスソフトウェアのウイルス定義の更新、アンチスパイウェアの定義の更新をチェックするポリシーをはじめ、一般的なネットワークアクセス条件に関するポリシーを事前に設定済みです。これによって、Cisco NAC Manager は常に最新のポリシーを維持できるため、ネットワーク管理者の管理コストが軽減されます。
修復	検疫エリアに隔離されたデバイスには修復サーバへのアクセス権が与えられます。修復サーバは、OS のパッチとアップデート、ウイルス定義ファイル、または Cisco Security Agent などのエンドポイントセキュリティソリューションを提供することができます。管理者は、オプションのエージェントを使用して自動修復を有効にしたり、一連の修復手順を指定できます。
柔軟な導入モード	Cisco NAC ネットワークモジュールには、ユーザのネットワークに合わせてさまざまな導入モードが用意されています。レイヤ 2 またはレイヤ 3 クライアントアクセスを使用するバーチャルまたはリアル IP ゲートウェイとして、また、ネットワークトラフィックに対してインバンドまたはアウトオブバンドでこの製品を導入できます。

Cisco NAC ネットワークモジュールは、特定の IPSec VPN および WebVPN クライアントを使用するワイヤレスおよびリモートアクセスユーザ用の SSO をサポートしています。表 4 にこれらのコンポーネントを示します。

表 4 SSO でサポートされる VPN とワイヤレスコンポーネント

製品	クライアント
Cisco サービス統合型ルータ	-
Cisco Wireless LAN Controller	Cisco SSL VPN（トンネル） Cisco IPSec VPN Client
Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス
Cisco VPN 3000 シリーズコンセントレータ
Cisco PIX® セキュリティアプライアンス

システム要件

表 5 に、Cisco NAC ネットワークモジュールのシステム要件を示します。

表 5 システム要件

ハードウェアとソフトウェア	Cisco NAC ネットワークモジュール（NME-NAC-K9）のサポートに必要なもの
ルータプラットフォーム	Cisco ISR 2811、2821、2851 Cisco ISR 3825、3845
ルータソフトウェア	ルータにインストールされた Cisco IOS® ソフトウェアリリース 12.4(11)T 以上 Cisco IOS IP Base イメージ以上

表 6 に、オプションの NAC Agent が動作するシステム要件を示します。

表 6 Cisco NAC Agent のシステム要件

機能	最小要件
サポート対象 OS	Windows Vista Home、Windows Vista Business、Windows Vista Ultimate、Windows Vista Enterprise、Windows XP Professional、Windows XP Home、Windows XP Media Center Edition、Windows XP Tablet PC、Windows 2000、Windows 98 SE、Windows ME、および Mac OS X（認証のみ）
ハードドライブの空き容量	10 MB 以上のハードドライブの空き容量
ハードウェア	ハードウェアに関する最小要件はなし（各種クライアントマシンで動作）

Cisco NAC Agent のサポートの詳細については、http://www.cisco.com/en/US/products/ps6128/products_device_support_table09186a00807600e1.html#wp42008 を参照してください。

Cisco NAC Appliance Manager は、50 のベンダーが提供する 300 以上のアプリケーションに対するポリシーチェックを提供するように、事前に設定されています。サポート対象のアプリケーションは常時追加されています。http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html を参照してください（「Cisco NAC Appliance Supported AV/AS Product List」の下に記載されています）。注：すべての製品についてすべてのチェックタイプがサポートされているわけではなく、ベンダーによっては Windows 95、98 をサポートしていません。事前設定されたチェック以外に、Cisco NAC アプライアンスルールエンジンを使用して、他のサードパーティ製アプリケーション用のカスタムチェックまたはルールを作成できます。

発注情報

Cisco NAC ネットワークモジュールの発注情報については、表 7 を参照してください。

表 7 サービス統合型ルータ用 Cisco NAC ネットワークモジュールの発注情報

ハードウェアとソフトウェアの製品番号	Cisco NAC ネットワークモジュールのサポートに必要なもの
NME-NAC-K9	ISR 2800/3800 用 Cisco NAC ネットワークモジュール
NACNM-50-K9	NAC ネットワークモジュールサーバライセンス（最大 50 ユーザ）
NACNM-100-K9	NAC ネットワークモジュールサーバライセンス（最大 100 ユーザ）
NACNM-50UL=	NAC ネットワークモジュールサーバライセンスアップグレード（50 から 100 ユーザ）
NME-NAC-K9=	ISR 2800/3800 用 Cisco NAC ネットワークモジュール（スペア）

Cisco ISR 2800 または 3800 シャーシまたはバンドルを構成する場合は、ネットワークモジュールのオプションとして製品番号 NME-NAC-K9 を選択してください。NAC ネットワークモジュールのソフトウェアバージョンを確認したあと、2 つの Cisco NAC ネットワークモジュールサーバライセンス（製品番号 NACNM-50-K9 または NACNM-100-K9）のいずれかを選択してください。NAC ネットワークモジュールの 50 ユーザライセンス（NACNM-50-K9）を最初に購入した場合は、製品番号 NACNM-50UL= を発注することで 100 ユーザライセンスにアップグレードできます。スペアモジュール（NME-NAC-K9=）に対しても、同様にライセンス製品番号を選択して適用できます。ライセンスに関する情報については、http://www.cisco.com/en/US/products/ps6128/prod_pre_installation_guide09186a008073136b.html を参照してください。

サービスおよびサポート

シスコは、お客様がそのネットワークサービスを最大限に活用するため、各種サービスプログラムを用意しています。これらのサービスは、スタッフ、プロセス、ツールをそれぞれに組み合わせて提供され、お客様から高い評価を受けています。ネットワークへの投資を無駄にすることなく、ネットワーク運用を最適化しネットワークインテリジェンスの強化や事業拡張を進めていただくためにシスコのサービスを是非お役立てください。サービスについての詳細は、以下の URL を参照してください。Cisco NAC ネットワークモジュールに関するサービスとサポートは、ルータプラットフォームのサービス契約に含まれています。

テクニカルサポートサービス
http://www.cisco.com/jp/go/tac/
サービスプログラム
http://www.cisco.com/jp/services/

ネットワークモジュール