Hierarchical Navigation

ホーム
- 製品 & サービス
  - ネットワーク管理
    - CISCO NETWORK REGISTRAR
      - 製品資料
        
        ホワイトペーパー
        
        ポリシー・ネットワーキングのためのユーザ登録およびアドレス管理サービス

ポリシー・ネットワーキングのためのユーザ登録およびアドレス管理サービス

User Registration Tool and Cisco Network Registrar

CiscoAssure ポリシー・ネットワーキングの詳細情報
企業キャンパス・ソリューションの詳細情報

ポリシー・ネットワークにおけるユーザ登録およびアドレス管理サービスの必要性

今日のビジネスには、競争に生き残るための機動力が必要とされています。今や社員は、会社の机に座って仕事をしているだけでなく、出張で各地に出かけたり、勤務先のオフィスから離れた所で勤務することが多くなっています。また、急速に成長している企業では、社員を新規に採用したり、今いる社員を異動したりして、拡大するビジネスに対応しています。このようなビジネス環境では、社員は、各自が現在勤務しているその場所から、自社のネットワーク・アプリケーションにアクセスができることが必要になってきています。

ネットワーク管理者は、このダイナミックに変動している作業要員や業務に不可欠なネットワークに対する要求を、ビジネス指向ポリシーをベースにしたエンドツーエンドのセキュリティおよび Quality of Service (QoS) のメカニズムを使用することにより、満たそうとしています。セキュリティおよび QoS は、ネットワーク管理者がインテリジェント・ネットワークを配備する際に必要となるレイヤー3 の種々のサービスのうちの 2 つのサービスで、スケーラブルで信頼性の高いサービスをユーザおよびアプリケーションに提供するものです。種々のネットワーク・セキュリティおよび QoS を提供するテクノロジーは、現在すでに利用可能ですが、非常に複雑なうえに、高度なスキルをもつスタッフが必要になります。しかも、その作業は、通常、Command Line Interface (CLI) から、デバイスを一つずつ順番に設定していきます。この作業は、時間や経費がかかるだけではなく、人為的なエラーも起こりやすいものです。

もう一つ問題になるのは、誰が、ネットワーク上で、何をしているかをトラッキングをすることです。スイッチ、ルータ、ファイアウォールなどのネットワーク・デバイスは、 IP アドレス番号およびポート番号に基づいて、ポリシーを実施しています。企業の業務は、個人名とその所属や肩書きから構成されています。特定の IP アドレスを特定個人の専用とし、以降はその変更をしなかった「古き良き時代」には、ネットワーク管理者にも思いも付かなかった問題です。しかし、社員のアクセスが流動的になったため、ユーザのログイン時に IP アドレスを動的に割り当てる必要性が生じることとなりました。現在、多くのアドミニストレータは、Domain Name Server/Dynamic Host Configuration Protocol (DNS/DHCP) サービスをユーザに提供しており、ユーザである従業員は、どこからもネットワークにログインができて、ネットワーク・サービスが利用できます。ネットワーク管理者の間では、DHCP を使用すると、IP クライアントおよび動的アドレス指定の構成が簡素化できることは、周知のこととなっています。しかし、DHCP の利用が進むにつれて、静的にアドレスを割り当てていた時代には存在した「ユーザとIPアドレスのマップ」が今や存在しなくなってしまっています。現在 IP アドレスをユーザに変換する際のマッピングを行うには、登録サービスが必要となります。ユーザ登録サービスは、ネットワーク・デバイスとネットワーク利用者間のリンクを提供します。これは、誰が何を行ったかをネットワークで分かるようにし、適切な QoS およびセキュリティ・サービスをユーザに提供するものです。

CiscoAssure の概要

ネットワーク・デバイス (スイッチ、ルータ、およびファイアウォール) は、ユーザ名ではなく IP アドレスによって、QoS およびセキュリティ・ポリシーを実施します。 QoS およびセキュリティ・ポリシーは、現在、CLI を使用して構成を変更するのに、一つずつ、ネットワーク・デバイスに接続しては、その設定を変更しています。しかしこの方法では、不便なうえに、連続処理もできません。この問題に対し、Cisco は効率のよい方法を提供します。CiscoAssure は、エンタープライズネットワークに対し、エンド-ツー-エンドのポリシー・ネットワーキングを提供する、Cisco のポリシー・ネットワーキング・イニシアチブです。このパラダイムにより、集中ポリシー管理インターフェイスを経由して、インテリジェント・ネットワークのエンドツーエンドの自動構成を可能にするものです。CiscoAssure は、ネットワーク管理者が、全社に同一のポリシーを配備し、その実施ができるように、集中ポリシー制御を提供します。重要なことは、CiscoAssure は、高機能化しているレイヤー3 サービスに精通していなくても、このサービスから最大限の利益が得られるように、システム管理者を支援する点にあります。

CiscoAssure は、ポリシーとユーザを関連付けるタスクを簡素化をします。CiscoAssure は、また、ユーザがらみのポリシーを、インテリジェント・アプリケーション指向のネットワーク全体に配備するタスクも簡素化します。アドミニストレータは、コンソール上の GUI（グラフィカル・ユーザ・インターフェイス）と対話しながら、ポリシーを設定します。その後、サーバの自動機能により、設定済みのポリシー情報は、インテリジェント・ネットワークに配信されます。配信情報は、自動的に構成され、ポリシーを実施します。このことは、時間を節約し、出費を抑え、さらに人為的なエラーを減らし、エンドツーエンド・ネットワークの整合性および最適化を確実なものにすることができます。また、ネットワークの動作をダイナミックに変更したり、変更をスケジュール化することが可能になります。

図 1: CiscoAssure のアーキテクチャ

図 1 のとおり、CiscoAssure は 4 つのコンポーネントをもちます。

高機能ネットワーク・デバイス

基礎レイヤーでは、ネットワーク・デバイスは、ポリシーを解釈および施行するための知能を備えている必要があります。これらの装置には、ルータ、スイッチ、ファイアウォール、インターネット・アプリケーション、およびネットワーク・アクセス・サーバなどがあります。装置は、「アプリケーション指向」である可能性が多くあります。たとえば、各アプリケーションに対する、ポリシー命令の解釈機能およびQoS 制御の実装機能などです。これらのデバイスを通じて実行する、Cisco IOS^(R) ソフトウェアおよびテクノロジは、シームレスなレイヤ 3 ポリシーの配備を可能にします。 Cisco 社は、Context-Based Access Control (CBAC)で、この機能性をすでに有しており、CBAC は、 Cisco IOS ファイアウォール・フィーチャ・セットのコア・テクノロジで、セキュリティのための製品です。 CBAC の中心的な機能は、QoS のために、新しい Cisco IOS ソフトウェア機能の Network-Based Application Recognition (NBAR) に適応されます。 NBAR は、最も QoS の優先順位が高い装置の終端に配置されます。

QoS およびセキュリティ・ポリシー・サービス

これらのサービスは、高機能ネットワーク装置に対し、定義されたポリシーを動的に活動させます。たとえば、QoS ポリシーで、「give Oracle traffic premium priority between 6 am and 7 pm, Monday through Friday through network segment X」と定義されたものは、ポリシー・サーバによって、ポリシー命令に翻訳されます。これらの命令は、ルータ、スイッチ、またはファイアウォールにダウンロードされます。ネットワーク・デバイスは命令を翻訳し、適切な Cisco IOS メカニズムを起動します。セキュリティ・ポリシーの制定は、QoS と類似しています。

集中ポリシー管理

グラフィカル・ユーザ・インターフェイスを使用すると、管理者は主要なコンソールを使用して、ポリシーを設定できます。ポリシーは、ビジネスの優先順位を考慮し、それらをネットワークの中にマップします。管理者は、QoS またはセキュリティの詳しい知識がなくても、制御を行うことができます。

ユーザ登録およびアドレス管理サービス

CiscoAssure ソリューションは、今日の、最も一般的に配備されたアドレス管理サービス、DHCPを拡張し、ユーザ登録と呼ばれる新しいサービスを創造します。これは管理者に、ポリシーをネットワーク・ユーザとIP アドレスを結び付けさせます。 DHCP は、前に述べたとおり、IP アドレス管理およびネットワーク構成情報を提供します。しかし、ユーザ登録は、管理者が誰がどこで何をしているのかの軌跡をつけるために必要な、動的マッピング機能性を含むために、DHCP サービスは、ポリシー・ネットワーキングの実装を複雑なものにします。

ユーザ登録およびアドレス管理サービス構造

Client-Class

DHCP は、ユーザがネットワークに接続するとき、IP アドレスを割り当てます。今日の DHCP サーバは、自身が駐在しているネットワーク・ロケーションまたはサブネットをベースとしたクライアントに、アドレスを割り当てます。クライアントがネットワークに接続する場合、アドレス・プールから IP アドレスを割り当てられます。同じサブネット上のすべてのクライアントは、一般的に単一のアドレス・プールから、アドレスを割り当てられます。

CiscoAssure の DNS/DHCP 登録サービスは、さらになる段階へ進むために、Client-Classの概念を使用することによって、この処理をおこないます。 Client-Class は、拡張 DNS/DHCP およびユーザ登録サービスのための基礎となる技術で、QoS やセキュリティに関する属性を持たせたそれぞれのポリシー・グループ ごとにIP アドレスの割り当てを可能にするものです。
ネットワーク管理者は、そのため、複数のアドレス・プールをそれぞれのサブネットのために作成でき、適切な Client-Class 属性と関連する独自のポリシーを、それぞれのアドレス・プールに適用できます。

Client-Class を使用するネットワークにポリシーを配備するのに、ネットワーク管理者は、IP アドレス・プールをいくつかの小さいアドレス・プールに分割し、それぞれのアドレス・プールにポリシーを定義します。これは管理者が、特定の範囲の IP アドレス(IP address range) を特定の役職や組織専用にすることにより、ネットワーク・デバイスに「役職」「組織」といった抽象的な概念を理解させるための方法です。あるユーザがネットワークにログインしたとき、レジストリは、そのユーザとそのユーザの Client-Class を確認し、次に、そのクラスのアドレス・プールを参照します。そこから未使用のアドレスを選び、そのアドレスをユーザに割り当てます。ユーザがログアウトするときは、IP アドレスは、アドレス・プールに戻り、他のユーザに発行できます。

技術的に説明すると、Client-Class は、通常DHCP によって設定される、構成パラメータ・セットを制御できます。一般的にこれらのパラメータには、 lease duration、IP address range、subnet mask、default router、および DNS server などが含まれます。 DHCP クライアント(ユーザ) は、MAC アドレスまたは DHCP クラス ID をベースとした Client-Class が割り当てられます。それぞれの定義されたクラスは、属性のセットを指定します。これは、要件を満たすために、適切なアドレス範囲を選択するのに (DHCP クライアントのサブネットに加えて)使用されます。範囲は、クライアントに送り返される構成情報を正確に制御できるようにするオプション設定を指定します。

どのアドレス・プールにユーザが属しているかが分かると、ポリシー・ネットワーキングの観点から、ポリシー・サーバは、ポリシー・グループを使用するネットワーク要素を構成することができます。たとえば、マーケティング・グループからファイアウォールを通り抜ける、特定のアプリケーション・トラフィックを禁止する、というポリシーが存在している場合は、ポリシー・サーバは、マーケティング・グループ内のユーザに属する IP アドレスの範囲で、ファイアウォールを構成します。ファイアウォールが、その範囲内の IP アドレスを IP パケットの source address フィールドに持ったパケットを受け取っても、ファイアウォールは、それを通しません。

Cisco Network Registrar

堅固なソリューションを構築するために、Cisco 社は、旧 American Internet Corporation (AIC) 製の DNS/DHCP サーバ、Cisco Network Registrar(CNR) の提供を開始します。CNR はClient-Class をサポートし、クラスごとのIPアドレス割り当てを実現する製品です。使いやすい GUI, カスタマイズが容易な CLI を両方用意しており、ネットワークの初心者からプロフェッショナルまで、どなたでも利用できます。また、DDNSアップデート(RFC2136), Incremental Zone Transfer (RFC1995) , DNS Notify(RFC1996) などの標準をサポートし、さらにディレクトリアクセスのためのプロトコル、LDAPv3 にも対応しています。

Cisco ユーザ登録ツール

Client-Class 機能と密接に関係があるのは、GUI ベースの管理ツールである Registration Tool (URT) です。このアプリケーションは、ネットワーク内のユーザを動的に認識し、ポリシー登録、移動性、および追跡のための、ユーザ登録のポリシー・バインディングを作成します。 URT は、ユーザ・ログイン、DHCP アドレス指定、およびユーザが駐在するスイッチ・ポートまたはサブネット間に活動的なリンクを提供し、この情報を、ネットワークの問題の追跡および診断のために、ネットワーク管理サーバ (CWSI/CiscoWorks for Switched Internetworking) にあらかじめ伝達します。

簡単に言うと、URT は、誰がどのアドレスでいつ行ったか、常にトラッキングしています。ログイン名、IP アドレス、MAC アドレス、およびユーザのロケーションを、一緒にマップします。ユーザが特定のポートに接続されていると判断されると、URT は、そのポートを適切なサブネットに再度構成し、トラッキングおよび監査の目的でVMPS(VLAN Membership Policy Server)にこれらの変更を通知し、IP アドレスの整合性のために、ワークステーションの DHCP アドレスを再度構成しなおします。

URT は、各ユーザが権限のあるサブネットと関連付けられていること、各ユーザが正しい論理ポリシー・グループと一致するIP アドレスを受け取ることを確実にすることで、キャンパス内での日常の移動性に関する多くの問題を解決します。 Cisco は、動的および透過的なユーザ登録の処理を簡素化するために、 URT テクノロジと client-class テクノロジを統合します。

ディレクトリ・サービス

ユーザ、アプリケーション、およびネットワークの情報を保持するディレクトリ・サービスとの統合は、ポリシー・ネットワークの重要な要素の一つです。ポリシー・ネットワーキングは、ディレクトリ・サービスを利用してユーザに関する最新情報を得て、この情報を client-class を適用し、ユーザトラッキング機能を提供します。

ディレクトリー・サービス統合は、 Lightweight Directory Access Protocol v3 (LDADV3) を利用し、インストールされた企業ディレクトリと互換性をもちます。互換性のある企業ディレクトリには、 Novell Netware Directory Services (NDS)、Sun Directory Services、Netscape Directory Server、および Microsoft Active Directory などがあります。

ディレクトリが使用可能なネットワーク

この新しい Directory-Enabled Networks (DEN) の仕様は、異なるユーザ・アプリケーションとネットワーク情報の統合を意味し、この統合情報は、さらに管理が容易な集中情報センターに保管されることになります。 DEN は、各ユーザに対して、どのような情報を保管すべきか定義するものです。例えば、ユーザ・エントリの内容は詳細にわたっていますが、ある特定のアプリケーションに対するユーザ名、タイトル、またはグループや部署、ロケーション、セキュリティ・ポリシー、および QoS ポリシーなどが含まれていていることがあります。DEN 仕様の定義には、Cisco 社は Microsoft 社と共同で提唱しました。現在は、DMTF の主幹の下で、業界標準としてオープンになっています。

ディレクトリ、ポリシー・サービス、およびネットワークとの通信

CiscoAssure 登録サービスは、ネットワーク、ディレクトリー・サービス、およびポリシー・サーバにログオンするユーザとインターフェイスする機能をもった業界標準の通信機能を組み込んでいます。

前述のように、ディレクトリ、ユーザ登録、およびアドレス管理サービスは、LDAPv3 経由で相互通信をします。アドレス管理サービスは、 DNS および DHCP 経由で、ネットワーク上のクライアント・システムと通信します。ポリシー・サーバは、更新された情報を、QoS 用の Common Open Policy Service (COPS) を使用する高機能なネットワークにダウンロードし、Access Control Lists (ACL)、TACACS+、または RADIUS をセキュリティ用として使用します。

ポリシー・サーバ間、およびユーザ登録とアドレス管理サービス間の通信方式に関する標準やプロトコルは、日々進歩している状況ですが、大方の処理方法は、次のようになると思われます。

1. 管理者は、ポリシーにログインし、ポリシー・サーバにアクセスします。たとえば、「財務グループが SAP R3 を使用する場合は、優先順位を一番高くします。」

2. QoS ポリシー・サーバは、ポリシーを検索し、該当ポリシーが財務グループを定義する方法を知る必要があるか決定します。

3. QoS ポリシー・サーバは、ユーザ登録サービスに対して「財務グループ所属のユーザを教えてください」と照会を出します。

4. ユーザ登録サービスは、「財務グループ」をアドレス範囲が定義されている Client-Class にマップし、その情報を QoS ポリシー・サーバーに戻します。

5. ポリシー・サーバは、アドレス範囲のデータをポリシー・インストタクションに結合します。その結合データは、ネットワーク・デバイスにダウンロードされます。

このフローは、「push」型モデルで、ポリシーがサーバによって統合されるものです。このモデルは、ほとんどの状況にも適用できるものですが、「pull」型モデルが必要となるケースもあります。例えば、ファイアウォールが未確認の IP アドレスからトラフィックの要求を受けることがあります。そこでファイアウォールは、ポリシー・サーバに対して、「これは誰のアドレスですか。それで何をしたいのですか?」と照会します。ポリシー・サーバは、次に、ユーザ登録サービスに対して、アドレス確認の照会を出し、そこからの答えによって、ファイアウォールにポリシー・インストラクションを返します。

まとめ

CiscoAssure ポリシー・ネットワーキングの目標は、特定のネットワークを「自動操縦」の上に乗せることができる、サービス・セットを提供することです。管理者は、ビジネス・ルールに基づいたポリシーおよび動作を、ポリシー・サーバ内に定義します。サーバ間の同期がとられ、この定義済みビジネス・ルールは、管理ドメイン域内にまんべんなくリプリケートが行われます。これらの処理は、すべて共通ユーザ・インターフェイス利用して行われます。このソフトウェアは、ネットワーク操作要員に代わり、ネットワーク・デバイス内の「すべての制御スイッチをオンに」します。この機能は、ネットワークの保全性を格段に向上させ、管理要員のコストを削減し、多忙を極める要員の時間を別のプロジェクトに振り向けるようにすることができます。登録およびアドレス管理サービスは、この「自動操縦装置」サービスの最重要コンポーネントであり、ネットワークに、QoS およびセキュリティ・ポリシーを適用する機能をもたせるものです。この適用機能は、アプリケーション・プロファイル、およびユーザ名をネットワーク・アドレスとポリシーにマッピングすることによって、ユーザ名をネットワーク・アドレスおよびポリシーをマッピングする、ユーザ・グループまたはその役割によって可能にするものです。

Cisco Network Registrar