ダウンロード

Cisco NAC Profiler 注文ガイド

Product Bulletin

Cisco NAC Profiler 注文ガイド

概要

この資料では、Cisco® NAC Profiler 製品の発注に関するガイドラインについて説明します。

Cisco NAC Profiler を使用すると、IP フォンやネットワークプリンタなど、ネットワークに接続されたすべてのエンドポイントのリアルタイムのリストが維持され、Cisco NAC の展開と管理が強化されます。この動的なリストは、様々な目的に使用できます。

Cisco NAC Manager（Clean Access Manager）フィルタリストに読み込むことで、プリンタ、IP フォン、無停電電源装置、ワイヤレスアクセスポイントなど、PC 以外のすべてのエンドポイントの接続をプロビジョニング
動作のモニタリングを行って、許可後の MAC アドレスのスプーフィング、および Cisco NAC Agent（Clean Access Agent）を実行していない脆弱なデバイスに対する防御を提供
デバイスのタイプまたはネットワークセグメントごとに、企業内で Cisco NAC アプライアンスの段階的な展開が可能
エンドポイントの場所、ID、動作、およびアドレス指定をリアルタイムと履歴で追跡できる一連のツールを提供

Cisco NAC Profiler のコンポーネント

Cisco NAC Profiler は、Cisco NAC Profiler Server と Cisco NAC Profiler Collector アプリケーションの 2 つのコンポーネントで構成されます。Cisco NAC Profiler Server は、Cisco NAC アプライアンス 3350 ハードウェアプラットフォーム上のスタンドアロンまたはフェールオーバーハードウェアアプライアンスです。Cisco NAC Profiler Collector は、スタンドアロンまたはフェールオーバー Cisco NAC アプライアンス（Clean Access Server）にアプリケーションとしてインストールされます。

この分散型モデルでは、Cisco NAC Profiler Collector は Cisco NAC Server のホストポートを通信に使用し、開いているイーサネットポート（eth3）をネットワークトラフィックのモニタリング（Switched Port Analyzer [SPAN; スイッチドポートアナライザ] 構成で提供）に使用します。各 Cisco NAC Profiler Collector は、関連するエンドポイントから情報を収集すると、そのデータを Extensible Markup Language（XML）形式で集約し、エンドポイントプロファイリングデータベースに入力するために、暗号化された接続を介して Cisco NAC Profiler Server に送信します。ここで、すべての Cisco NAC Profiler Collector からのデータが統合され、包括的な情報のリストとして表示されます。管理者はこの情報を Cisco NAC Manager で表示し、この情報を利用して適切なエンドポイントデバイスのタイプと対応するアクセス権を Cisco NAC アプライアンスにプロビジョニングできます。

フェールオーバーバンドルについて

フェールオーバーバンドルは、製品番号では「FB」で識別されます。Cisco NAC Profiler Server のフェールオーバーバンドルには、2 つの個別のアプライアンスが含まれています。フェールオーバーのメカニズム（リンクステートとデータベース）は、Cisco NAC アプライアンスのコンポーネントの状態とは関係なく相互に動作します。

フェールオーバーモードまたはハイアベイラビリティモードで Cisco NAC Server をすでに導入しているか、またはこれから導入する場合、Cisco NAC Profiler Collector のフェールオーバーバンドルを選択する必要があります。この場合、各 NAC Server のフェールオーバー状態により、対応する Cisco NAC Profiler Collector のフェールオーバー状態が決まります。

展開規模の決定

Cisco NAC Profiler の設計は、既存または提案された Cisco NAC アプライアンスの設計に左右されます。次の設計ルールを参考に発注内容を決定してください。

設計ルール 1

LAN ベースのエンドポイントを処理するために展開される Cisco NAC Server ごとに、Cisco NAC Server のハードウェアプラットフォーム（NAC3310 または NAC3350）に対応する Cisco NAC Profiler Collector ライセンスを 1 つ発注します。

表 1 に、Cisco NAC Profiler Collector ライセンスの製品番号と説明、および対応する Cisco NAC アプライアンスの製品番号を示します。

表 1 Cisco NAC Profiler Collector ライセンスの製品番号

製品番号	製品の説明	対応する Cisco NAC アプライアンス NAC Server の製品番号
NAC3350-CLT-K9	Cisco NAC 3350 アプライアンス用 Cisco NAC Profiler Collector ライセンス	NAC3350-1500-K9 NAC3350-2500-K9 NAC3350-3500-K9
NAC3310-CLT-K9	Cisco NAC 3310 アプライアンス用 Cisco NAC Profiler Collector ライセンス	NAC3310-100-K9 NAC3310-250-K9 NAC3310-500-K9
NAC3350-CLT-FB-K9	Cisco NAC 3350 アプライアンス用 Cisco NAC Profiler Collector フェールオーバーライセンス	NAC3350-1500FB-K9 NAC3350-2500FB-K9 NAC3350-3500FB-K9
NAC3310-CLT-FB-K9	Cisco NAC 3310 アプライアンス用 Cisco NAC Profiler Collector フェールオーバーライセンス	NAC3310-100FB-K9 NAC3310-250FB-K9 NAC3310-500FB-K9

設計ルール 2

Cisco NAC アプライアンスの設計に含まれる Cisco NAC Manager ごとに、Cisco NAC Profiler Server を 1 台発注します。

表 2 に、Cisco NAC Profiler Server の製品番号と説明、および対応する Cisco NAC アプライアンスの製品番号を示します。

表 2 Cisco NAC Profiler Server の製品番号

製品番号	製品の説明	対応する Cisco NAC アプライアンス NAC Manager の製品番号
NAC3350-PROF-K9	Cisco NAC Profiler Server（40,000台まで）	NACMGR-3-K9 NACMGR-20-K9
NAC3350-PROF-FB-K9	Cisco NAC Profiler Server フェールオーバーバンドル（40,000台まで）	NACMGR-3FB-K9 NACMGR-20FB-K9
NAC3310-PROF-K9	NAC 3310 Profiler（5,000台まで）	NACMGR-3-K9 NACMGR-20FB-K9
NAC3310-PROF-FB-K9	NAC 3310 Profiler（5,000台まで）	NACMGR-3FB-K9 NACMGR-20FB-K9

製品リストの要約

参考までに、表 3 に Cisco NAC Profiler Server と Cisco NAC Profiler Collector の製品番号の一覧を示します。

表 3 Cisco NAC Profiler Server と Cisco NAC Profiler Collector の製品番号

製品番号	製品の説明
NAC3350-PROF-K9	Cisco NAC Profiler Server
NAC3350-PROF-FB-K9	Cisco NAC Profiler Server フェールオーバーバンドル
NAC3350-CLT-K9	Cisco NAC 3350 アプライアンス用 Cisco NAC Profiler Collector ライセンス
NAC3350-CLT-FB-K9	Cisco NAC 3350 アプライアンス用 Cisco NAC Profiler Collector フェールオーバーライセンス
NAC3310-CLT-K9	Cisco NAC 3310 アプライアンス用 Cisco NAC Profiler Collector ライセンス
NAC3310-CLT-FB-K9	Cisco NAC 3310 アプライアンス用 Cisco NAC Profiler Collector フェールオーバーライセンス
NAC3310-PROF-K9	NAC 3310 Profiler（5,000台まで）
NAC3310-PROF-FB-K9	NAC 3310 Profiler フェールオーバーバンドル（5,000台まで）

表 4 に、Cisco NAC Profiler Server のサポート製品番号を示します。

表 4 Cisco NAC Profiler Server のサポート製品番号

製品番号	サポートの説明
Cisco NAC Profiler 用、フェールオーバーなし
CON-SNT-NACP50	SMARTnet® 8 × 5 × NBD サービス（NAC3350-PROF-K9 用）
CON-SNTE-NACP50	SMARTnet 8 × 5 × 4 サービス（NAC3350-PROF-K9 用）
CON-SNTP-NACP50	SMARTnet 24 × 7 × 4 サービス（NAC3350-PROF-K9 用）
CON-S2P-NACP50	SMARTnet 24 × 7 × 2 サービス（NAC3350-PROF-K9 用）
CON-OS-NACP50	8 × 5 × NBD オンサイトサービス（NAC3350-PROF-K9 用）
CON-OSE-NACP50	8 × 5 × 4 オンサイトサービス（NAC3350-PROF-K9 用）
CON-OSP-NACP50	24 × 7 × 4 オンサイトサービス（NAC3350-PROF-K9 用）
CON-PREM-NACP50	24 × 7 × 2 オンサイトサービス（NAC3350-PROF-K9 用）
Cisco NAC Profiler 用、フェールオーバーあり
CON-SNT-NACP50F	SMARTnet 8 × 5 × NBD サービス（NAC3350-PROF-FB-K9 用）
CON-SNTE-NACP50F	SMARTnet 8 × 5 × 4 サービス（NAC3350-PROF-FB-K9 用）
CON-SNTP-NACP50F	SMARTnet 24 × 7 × 4 サービス（NAC3350-PROF-FB-K9 用）
CON-S2P-NACP50F	SMARTnet 24 × 7 × 2 サービス（NAC3350-PROF-FB-K9 用）
CON-OS-NACP50F	8 × 5 × NBD オンサイトサービス（NAC3350-PROF-FB-K9 用）
CON-OSE-NACP50F	8 × 5 × 4 オンサイトサービス（NAC3350-PROF-FB-K9 用）
CON-OSP-NACP50F	24 × 7 × 4 オンサイトサービス（NAC3350-PROF-FB-K9 用）
CON-PREM-NACP50F	24 × 7 × 2 オンサイトサービス（NAC3350-PROF-FB-K9 用）

表 5 に、Cisco NAC Profiler Collector のサポート製品番号を示します。

表 5 Cisco NAC Profiler Collector のサポート製品番号

製品番号	サポートの説明
NAC 3310 アプライアンス上の Cisco NAC Profiler Collector 用、フェールオーバーなし
CON-SNT-NACC10	SMARTnet 8 × 5 × NBD サービス（NAC3310-CLT-K9 用）
CON-SNTE-NACC10	SMARTnet 8 × 5 × 4 サービス（NAC3310-CLT-K9 用）
CON-SNTP-NACC10	SMARTnet 24 × 7 × 4 サービス（NAC3310-CLT-K9 用）
CON-S2P-NACC10	SMARTnet 24 × 7 × 2 サービス（NAC3310-CLT-K9 用）
CON-OS-NACC10	8 × 5 × NBD オンサイトサービス（NAC3310-CLT-K9 用）
CON-OSE-NACC10	8 × 5 × 4 オンサイトサービス（NAC3310-CLT-K9 用）
CON-OSP-NACC10	24 × 7 × 4 オンサイトサービス（NAC3310-CLT-K9 用）
CON-PREM-NACC10	24 × 7 × 2 オンサイトサービス（NAC3310-CLT-K9 用）
NAC 3310 アプライアンス上の Cisco NAC Profiler Collector 用、フェールオーバーあり
CON-SNT-NACC10F	SMARTnet 8 × 5 × NBD サービス（NAC3310-CLT-FB-K9 用）
CON-SNTE-NACC10F	SMARTnet 8 × 5 × 4 サービス（NAC3310-CLT-FB-K9 用）
CON-SNTP-NACC10F	SMARTnet 24 × 7 × 4 サービス（NAC3310-CLT-FB-K9 用）
CON-S2P-NACC10F	SMARTnet 24 × 7 × 2 サービス（NAC3310-CLT-FB-K9 用）
CON-OS-NACC10F	8 × 5 × NBD オンサイトサービス（NAC3310-CLT-FB-K9 用）
CON-OSE-NACC10F	8 × 5 × 4 オンサイトサービス（NAC3310-CLT-FB-K9 用）
CON-OSP-NACC10F	24 × 7 × 4 オンサイトサービス（NAC3310-CLT-FB-K9 用）
CON-PREM-NACC10F	24 × 7 × 2 オンサイトサービス（NAC3310-CLT-FB-K9 用）
NAC 3350 アプライアンス上の Cisco NAC Profiler Collector 用、フェールオーバーなし
CON-SNT-NACC50	SMARTnet 8 × 5 × NBD サービス（NAC3350-CLT-K9 用）
CON-SNTE-NACC50	SMARTnet 8 × 5 × 4 サービス（NAC3350-CLT-K9 用）
CON-SNTP-NACC50	SMARTnet 24 × 7 × 4 サービス（NAC3350-CLT-K9 用）
CON-S2P-NACC50	SMARTnet 24 × 7 × 2 サービス（NAC3350-CLT-K9 用）
CON-OS-NACC50	8 × 5 × NBD オンサイトサービス（NAC3350-CLT-K9 用）
CON-OSE-NACC50	8 × 5 × 4 オンサイトサービス（NAC3350-CLT-K9 用）
CON-OSP-NACC50	24 × 7 × 4 オンサイトサービス（NAC3350-CLT-K9 用）
CON-PREM-NACC50	24 × 7 × 2 オンサイトサービス（NAC3350-CLT-K9 用）
NAC 3350 アプライアンス上の Cisco NAC Profiler Collector 用、フェールオーバーあり
CON-SNT-NACC50F	SMARTnet 8 × 5 × NBD サービス（NAC3350-CLT-FB-K9 用）
CON-SNTE-NACC50F	SMARTnet 8 × 5 × 4 サービス（NAC3350-CLT-FB-K9 用）
CON-SNTP-NACC50F	SMARTnet 24 × 7 × 4 サービス（NAC3350-CLT-FB-K9 用）
CON-S2P-NACC50F	SMARTnet 24 × 7 × 2 サービス（NAC3350-CLT-FB-K9 用）
CON-OS-NACC50F	8 × 5 × NBD オンサイトサービス（NAC3350-CLT-FB-K9 用）
CON-OSE-NACC50F	8 × 5 × 4 オンサイトサービス（NAC3350-CLT-FB-K9 用）
CON-OSP-NACC50F	24 × 7 × 4 オンサイトサービス（NAC3350-CLT-FB-K9 用）
CON-PREM-NACC50F	24 × 7 × 2 オンサイトサービス（NAC3350-CLT-FB-K9 用）

既存の Cisco NAC アプライアンスとの互換性

Cisco NAC アプライアンスをすでに展開している場合、各 NAC Server に、Cisco NAC Profiler Collector アプリケーションの要件に対応するのに十分なイーサネットポートがあることを確認する必要があります。現在 Cisco NAC 3140 ハードウェアプラットフォーム上で NAC Server を実行している場合は、Cisco NAC Profiler Collector をサポートするために、追加のデュアル Network Interface Card（NIC; ネットワークインターフェイスカード）を購入してください。詳細については、リリースノートを参照してください。この要件は、Cisco NAC Profiler Server には該当しません。

FAQ

Q：Cisco NAC Profiler Server は、エンドポイント情報を Cisco NAC Manager にどのように送信しますか。

A：Cisco NAC Profiler Server は、NAC アプライアンス API を使用して、エンドポイント情報を Cisco NAC Manager に送信します。

Q：Cisco NAC Profiler は、エンドポイントのアイデンティティをどのように判別するのですか。

A：Cisco NAC Profiler は、Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）、ネットワークトラフィック分析、NetFlow データ、アクティブプロファイリングなど、受動的および能動的なメカニズムを含む複数の検出方法を使用します。これらの検出メカニズムから取得されたデータを集約し、ネットワークに接続されたすべてのエンドポイントの包括的な情報をリアルタイムで提供します。

Q：Cisco NAC Profiler はインライン構成ですか。

A：いいえ。代わりに、Cisco NAC Profiler Collector アプリケーションは、SNMP、SPAN によるトラフィック分析、NetFlow データなど、複数の検出方法を使用します。

Q：Cisco NAC Profiler は、インバンドとアウトオブバンドの NAC アプライアンスに導入できますか。

A：できます。Cisco NAC Profiler は、インバンドまたはアウトオブバンドの NAC アプライアンスで動作します。

Q：Cisco NAC Profiler が 1 つのデータベースで管理できるエンドポイントの最大数はいくつですか。

A：Cisco NAC Profiler がサポートするエンドポイントの数は、展開されている Cisco NAC アプライアンスによって異なります。展開した Cisco NAC Manager ごとに 1 台の Cisco NAC Profiler Server、Cisco NAC Server ごとに 1 つの Cisco NAC Profiler Collector ライセンスを発注する必要があります。

Q：Cisco NAC Profiler Collector ライセンスは、Cisco NAC Server のポスチャ機能と関係なく展開できますか。その場合、どのように発注すればよいですか。

A：Cisco NAC Profiler のどちらのコンポーネントも、Cisco NAC アプライアンスの実装をサポートするために使用されます。ただし、ユーザポスチャを使用せずにプロファイリングのみを使用する場合、Cisco NAC Profiler Collector ライセンスで、ポスチャユーザの 2 倍の数のデバイスをサポートできます。たとえば、NAC3350-2500 は 2,500 のプロファイリングデバイスと 2,500 のポスチャユーザ、または合計 5,000 のプロファイリングデバイスをサポートできます。

Hierarchical Navigation

Cisco NAC アプライアンス (Clean Access)