Cisco Network Admission Control(NAC)は、ネットワーク アクセスを要求するすべてのデバイスに対して組織のネットワーク セキュリティ ポリシーを適用します。 Cisco NAC は、コンプライアンスを満たす、信頼されたエンドポイント デバイス(PC、サーバ、PDA など)のみをネットワークで許可します。 非適合デバイスのアクセスを制限し、セキュリティの新しい脅威やリスクから生じる潜在的なダメージを抑制します。 Cisco NAC は、不正アクセスを防止し、ネットワークの耐障害性を向上させる強力なロールベースの手段を提供します。
Cisco NAC には、次のようなビジネス上のメリットがあります。
セキュリティ ポリシーへの準拠: エンドポイントが確実にセキュリティ ポリシーに準拠するようにします。 インフラストラクチャと従業員の生産性を保護します。 マネージドとアンマネージドの両方の資産を保護します。 社内環境とゲスト アクセスをサポートします。 顧客のリスク レベルに合わせてポリシーを調整します。
既存の投資の保護: サードパーティの管理アプリケーションと互換性があります。 柔軟な導入オプションにより、インフラストラクチャのアップグレードの必要性を最小限に抑えます。
ウイルス、ワーム、不正アクセスのリスクの軽減: 大規模インフラストラクチャの中断を制御および低減します。 移動、追加、および変更を動的かつ自動的に実行できるようにすることによって IT の効率性を高め、運用コストを削減します。 他のシスコ自己防衛型ネットワーク コンポーネントと連携して包括的なセキュリティ保護を提供します。
この項では、アクセス コントロール リスト(ACL)手法を使用して Cisco Network Admission Control(NAC)アーキテクチャを実装するレイヤ 3 アウトオブバンド(OOB)について簡単に説明します。
Cisco NAC は、ネットワーク コンピューティング リソースにアクセスしようとするすべてのデバイスがセキュリティ ポリシーに準拠するように、ネットワーク インフラストラクチャ内で使用します。 Cisco NAC を使用すると、ネットワーク管理者はユーザを認証および許可したり、ユーザにネットワーク アクセスを許可する前にそのユーザに関連付けられているマシンを評価および修復したりできます。 このタスクを達成するための設定方法は複数ありますが、レイヤ 3 アウトオブバンド(OOB)が急速に普及し、NAC の最も一般的な導入方式の 1 つになっています。 この背景には、ハードウェア リソースの活用改善など複数の要因があります。
レイヤ 3 OOB 方式で NAC の導入を行うことで、単一の Cisco NAC アプライアンス(Cisco NAC Manager または Cisco NAC Server)をより多くのユーザに対応するように拡張できます。 また、NAC アプライアンスを、キャンパスまたは組織にわたって分散するよりも、中央に配置するようにできます。 つまり、レイヤ 3 OOB 導入は、資本支出と運用費の両方の面でかなりコスト効果が高くなります。
このガイドでは、レイヤ 3 OOB 配置での ACL ベースの Cisco NAC の実装について説明します。
ソリューション アーキテクチャ(図1)は、主要なソリューション コンポーネントと統合ポイントを示しています。
図 1: 標準的なキャンパス環境における Cisco NAC アプライアンスの配置
以下の項では、一般的なキャンパス アーキテクチャを構成するアクセス レイヤ、ディストリビューション レイヤ、コア レイヤ、およびデータセンター サービス統合ポイントについて説明します。
Cisco レイヤ 3 OOB NAC ソリューションは、ルーテッド アクセス キャンパス設計に適用できます。 ルーテッド アクセス モードでは、レイヤ 3 スイッチ仮想インターフェイス(SVI)はアクセス スイッチで設定され、アクセス スイッチとディストリビューション スイッチの間にレイヤ 3 リンクがあります。
注: このドキュメントでは、「アクセス スイッチ」と「エッジ スイッチ」を同じ意味で使用しています。
図 2 に示すように、エッジ スイッチでレイヤ 3 アクセス VLAN(VLAN 14 など)が設定され、エッジ スイッチから上流のディストリビューション スイッチまたはルータへのレイヤ 3 ルーティングがサポートされます。アクセス スイッチ上のポートは Cisco NAC Manager によって管理されます。
図 2: エッジへのレイヤ 3 が設定されたアクセス スイッチ
ディストリビューション レイヤは、レイヤ 3 ルーティングを行います。 レイヤ 2 ソリューションとは異なり、Cisco NAC Server をディストリビューション レイヤに配置する必要はありません。 代わりに、中央のデータセンター サービス ブロックに配置します。
コア レイヤは、Cisco IOS ベースのルータを使用します。 コア レイヤは高速ルーティング用に予約されており、サービスを一切提供しません。 サービスは、データセンターのサービス スイッチに配置できます。
データセンター サービス レイヤは、Cisco IOS ベースのルータとスイッチを使用します。 Cisco NAC Manager と Cisco NAC Server は、データセンター サービス ブロックに一元配置されます。
この項では、Cisco NAC アプライアンス ソリューションのコンポーネントについて説明します。
Cisco NAC Manager は、Cisco NAC アプライアンスの配置に含まれるすべての Cisco NAC Server、ユーザ、ポリシーの設定およびモニタリングを一元化する管理サーバであり、またデータベースでもあります。 OOB NAC 展開の場合、Manager は、Manager のドメイン内でのスイッチの追加や制御、およびスイッチ ポートの構成を行う OOB 管理を提供します。
Cisco NAC Server は、非信頼(管理対象)ネットワークと信頼(内部)ネットワークの間のエンフォースメント ポイントです。 Server は Cisco NAC Manager で定義されたポリシーを適用し、エンドポイントは認証時に Server と通信します。 この設計では、Server は、非信頼ネットワークと信頼ネットワークを分離するために論理的または物理的に「インライン」になることはありません。 この概念については、後述の「アウトオブバンド(OOB)モード」の項で詳しく説明します。
Cisco NAC Agent は、Cisco NAC ソリューションのオプションのコンポーネントです。 Cisco NAC の配置で Agent をイネーブルにすると、ネットワークにアクセスするコンピュータが、指定したシステム ポスチャ要件を満たすことが保証されます。 Cisco NAC Agent は、ユーザのマシンにインストールされる軽くて使いやすい読み取り専用プログラムです。 ユーザがネットワークにアクセスしようとすると、Agent では必要とされるソフトウェアについてクライアント システムを確認し、アップデートやソフトウェアが見つからない場合、その入手を支援します。
Cisco NAC アプライアンス OOB 配置では、Cisco NAC Server は、認証プロセス、ポスチャ アセスメント、および修復を実行している間だけエンド ホストと通信します。 認定が済むと、エンド ホストは Server と通信しません。 OOB モードでは、Cisco NAC Manager はスイッチの制御とポートへの VLAN 割り当てに簡易ネットワーク管理プロトコル(SNMP)を使用します。 Cisco NAC Manager と Server が OOB 用に設定されている場合、Manager はサポートされているスイッチのスイッチ ポートを制御できます。 サポートされているスイッチのリストについては、次のページを参照してください。
http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.html#wp40017
次の数点の図は、Cisco NAC Manager が OOB を使用してユーザのネットワーク アクセスの取得方法を制御する仕組みを示しています。 シーケンスは次のとおりです。
PC がネットワーク上のスイッチに物理的に接続されています(図 3 を参照)。
スイッチが SNMP を使用して Cisco NAC Manager に MAC アドレスを送信します(図 3 を参照)。
Cisco NAC Manager が、PC が「認定済み」かどうかを確認します。
PC が認定されていない場合、Cisco NAC Manager は PC のスイッチ ポートを認証 VLAN に割り当てるようにスイッチに指示します(図 4 を参照)。 ステップ 4 ~ 6 に進みます。
PC が認定されている場合は、ステップ 5 に進みます。
PC は Cisco NAC Server と通信して、認証、ポスチャ アセスメント、および修復を受けます(図 4 を参照)。
Cisco NAC Server が、PC が「認定された」ことを Cisco NAC Manager に通知します(図 5 を参照)。
PC が信頼されているデバイスとしてネットワークに接続されます。
レイヤ 3 OOB NAC 配置を検討する場合は、複数の設計上の考慮事項を確認する必要があります。 以下のサブセクションでは、これらの考慮事項を列挙し、その重要性について簡単に説明します。
エンドポイントの分類には、デバイス タイプやユーザ ロールなど複数の要因が寄与します。 デバイス タイプとユーザ ロールの両方がエンドポイント ロールに影響します。
想定されるデバイス タイプ
企業デバイス
非企業デバイス
PC 以外のデバイス
想定されるユーザ ロール
Employee
Contractor
ゲスト
最初に、すべてのエンドポイントが非認証 VLAN に割り当てられます。 その他のロールへのアクセスは、識別およびポスチャ プロセスが完了した後に許可されます。
まず、各エンドポイント タイプのロールを決定する必要があります。 一般的なキャンパス配置には、従業員、ゲスト、コントラクターなどの複数のロールと、プリンタ、ワイヤレス アクセス ポイント、IP カメラなどのその他のエンドポイントが含まれます。 ロールはエッジ スイッチ VLAN にマッピングされます。
注: すべてのユーザは、まず、最初の認証時に非認証ロールによって非認証 VLAN にマッピングされます。
Cisco NAC ソリューションを実装する場合、エンドポイント ロールを分離することが不可欠です。 認証されておらず、承認されていないホスト マシンから発信されるすべてのトラフィックに対してトラフィックとパスの分離を提供する、適切なエンフォースメント メカニズムを選択します。 レイヤ 3 OOB 環境では、レイヤ 3 エッジ スイッチ(ACL を使用)は、「クリーン」ネットワークと「非認証」ネットワークの間の隔離を保証するエンフォースメント ポイントとして機能します。
NAC プロセスは、エンドポイントが NAC マネージド スイッチに接続すると開始されます。 「非認証」に分類されたトラフィックは、非認証 VLAN に適用される ACL によって制限されます。 エンドポイントは、「非信頼」インターフェイスと通信してポスチャ アセスメントおよび修復プロセスを完了することができます(ポスチャ アセスメントおよび修復の実行方法は複数あります。それらについては、後述の Cisco NAC Manager での Cisco.com からのポリシーの更新に関する 項で説明します)。 認証後、エンドポイントは信頼 VLAN に移動されます。
Cisco NAC Server は、仮想ゲートウェイ(ブリッジ)モードまたは実 IP ゲートウェイ(ルーテッド)モードのいずれかで配置できます。
仮想ゲートウェイ(ブリッジ)モードは、通常、Cisco NAC Server がエンドポイントにレイヤ 2 で隣接している場合に使用します。 このモードでは、Server はブリッジとして機能し、ネットワーク トラフィックのルーティング決定には関与しません。
注: 仮想ゲートウェイ(ブリッジ)モードは、レイヤ 3 OOB ACL 設計には適用できません。
実 IP ゲートウェイ(ルーテッド)モードは、Cisco NAC Server がエンドポイントから複数ホップ離れている場合に適用できます。 Server を実 IP ゲートウェイとして使用する場合は、 Server の信頼インターフェイスの IP アドレス(Cisco NAC Manager から管理を提供するため)と非信頼インターフェイスの IP アドレスを 1 つずつ指定します。 2 つのアドレスは異なるサブネット上になければなりません。 非信頼インターフェイスの IP アドレスは、非信頼サブネット上のエンドポイントとの通信に使用されます。 ACL を使用するレイヤ 3 OOB 配置では、認証および許可のために非信頼インターフェイスと通信するエンドポイントが必要になります。 実 IP モードでは、非信頼インターフェイスに有効な IP アドレスを使用するため、Cisco NAC Server が実 IP ゲートウェイ モードで動作するように設定する必要があります。
標準の Cisco NAC Server では、最大 5000 人の同時接続エンド ユーザをサポートできます。 レイヤ 3 OOB ACL 設計は、5000 人以下のユーザにサービスを提供するサイトに適しています。 複数のサイトがある場合は、サイトごとに追加の Server を配置できます。 5000 人を超えるユーザにサービスを提供する単一サイトがある場合は、外部ロード バランシング技術(Application Control Engine (ACE)ロード バランサなど)を使用することで単一サイトのユーザ数を 5000 人より多く拡張できます。
注: ACE ロード バランサについては、このドキュメントでは説明しません。
検出ホストは、Cisco NAC Agent がネットワーク上の複数ホップ離れた位置にある Cisco NAC Server を検出するために使用する完全修飾ドメイン名(FQDN)または非信頼インターフェイスの IP アドレスです。 Agent は、既知の検出ホスト アドレスに UDP パケットを送信して検出プロセスを開始します。 検出パケットは、応答を受信するために NAC Server の非信頼インターフェイスに到達する必要があります。 レイヤ 3 OOB 配置の場合、Server は認証 VLAN 上のデータ トラフィック パスにありません。 したがって、検出ホストは、Agent が Server に検出パケットを直接送信できるように、Cisco NAC Server の非信頼インターフェイスの IP アドレスに設定する必要があります。
通常、企業ネットワークの管理者は、ユーザにクライアント マシンを発行する前にそれらのマシンに Cisco NAC Agent をインストールします。 Cisco NAC Agent の検出ホストの IPアドレスまたは解決可能な名前により、NAC Server の非信頼インターフェイスへの検出パケットの送信がトリガーされます。これにより、クライアント マシンは自動的に NAC プロセスを完了します。
Cisco NAC Agent のないエンドポイント(通常はゲスト、コントラクター、非企業資産)は、自動的に NAC プロセスを完了しない場合があります。 Agent がないエンドポイントをサポートするための手動およびガイド付きの手法があります。 詳細については、「エンドポイントから Cisco NAC Server への通信」の項を参照してください。
注: 可能な限り最良のエンドユーザ エクスペリエンスを提供するために、エンドユーザのブラウザが信頼する証明書を使用してください。 Cisco NAC Server サーバ上で自己生成された証明書の使用は、本番環境には推奨されません。
この項では、NAC OOB ソリューションの基本的なプロセス フローについて説明します。 Cisco NAC Agent がクライアント マシンにインストールされているシナリオとインストールされていないシナリオの両方について説明します。 この項では、Cisco NAC Manager が SNMP を制御手段として使用してスイッチ ポートを制御する方法について説明します。 これらのプロセス フローは、マクロ分析的な性質があり、機能決定手順だけを含んでいます。 発生するすべてのオプションやステップは含んでおらず、また、エンドポイント評価基準をベースにする承認決定は含んでいません。
図 6 の丸で囲んだステップについては、図 7 のプロセス フロー図を参照してください。
図 6: レイヤ 3 アウトオブバウンド NAC ソリューションの NAC プロセス フロー
ACL を使用するレイヤ 3 OOB NAC 設計では、Cisco NAC Server が認証機能をガイドしますが、Server はネットワークのポリシー エンフォースメント ポイントではありません。 エッジ スイッチが、認証、隔離、およびアクセスの各段階でエンフォースメント ポイントとして機能します。 このように役割が変化するので、エッジ スイッチでいくつかの追加の変更が必要になります。
NAC の導入を成功させるには、エンドポイントの分離が不可欠です。 エンドポイント分類の設計を決定したら、各クラスに割り当てるアクセス許可を決定する必要があります。 以下では、推奨されるアプローチを図 8 に基づいて説明します。
図 8: Cisco NAC OOB ソリューションのロールの分離アプローチ
注: 上図では、Cisco NAC Manager インターフェイスと Cisco NAC Server の信頼インターフェイスは別の VLAN 上に配置されています。 ただし、Server が実 IP ゲートウェイ モードで導入されている場合には、これら 2 つのインターフェイスを同じ VLAN 上に配置できます。
非認証 VLAN は、次のリソースにアクセスする必要があります。
DHCP や DNS などのインフラストラクチャ サービス
認証サーバ(通常は、NAC 検証の前に行われる Windows ドメイン ログインに使用されるドメイン コントローラ)
NAC Server の非信頼インターフェイス
修復サーバ(オプション)
従業員 VLAN はすべてのリソースに無制限にアクセスでき、コントラクター VLAN はリソースの一部に制限付きでアクセスできますが、ゲスト VLAN は、通常、インターネットにしかアクセスできません。
アクセス リスト(ACL)は、ネットワーク トラフィックを指定するために使用されます。 ACL でトラフィックを指定すると、トラフィックに対してさまざまな処理を実行できます。 たとえば、トラフィックを許可、拒否、または制限したり、トラフィックを使用してルーティング アップデートを制限したりできます。
ACL 手法では、要件に基づいて作成した新しい VLAN インターフェイスごとに ACL のセットが適用されます。 以下のサブセクションに示す CLI コマンドは、VLAN ACL を使用して信頼ネットワークと非信頼ネットワークのパスの分離を設定するために必要なコマンドを示しています。 ACL を実装するには、次の手順を実行します。
注: ロール分離のための VLAN の追加と、それらの VLAN に適用する ACL の設定は、すべてのエッジ スイッチで行う必要があります。 この作業は、NAC の導入準備の一部です。
NAC を実装する前に、既存の VLAN 設定を確認します。
次のテキストに示す CLI コマンドは、NAC 導入前に従業員 VLAN が通常はどのように設定されているのかを示しています。
! int vlan 200description EMPLOYEES_Vlan ip address 10.100.1.1 255.255.255.0 !
追加の VLAN を設定します。
NAC の導入前計画では、追加の VLAN と、VLAN インターフェイスに適用される関連 ACL を設定する必要があります。 例として、次の CLI テキストに、非信頼、従業員、コントラクター、およびゲストの各ロール用に新しいレイヤ 3 VLAN を追加する方法を示します。
! int vlan 100description UNAUTHENTICATED_Vlan ip address 172.16.1.1 255.255.255.0 ! int vlan 200description EMPLOYEES_Vlan ip address 10.100.1.1 255.255.255.0 ! int VLAN 210description CONTRACTORS_Vlan ip address 10.120.1.1 255.255.255.0 ! int vlan 300description GUESTS_Vlan ip address 192.168.1.1 255.255.255.0 !
非認証ロールに対する制限を実装します。
非認証ロールの非認証デバイスは、通常、DNS、DHCP、Active Directory、修復サーバなどのクリーン ネットワーク上のリソースへのアクセスを必要とします。 また、Cisco NAC Server の非信頼インターフェイスへのアクセスも必要とします。次の設定例では、非認証ロールは、10.10.10.0/24 ネットワーク上のリソースと Cisco NAC Server の非信頼インターフェイスにアクセスできます。
! ! this access-list permits traffic destined to devices on 10.10.10.x ! this should be a consistent ACL that can be applied across all L3 switches ! ip host NAC_SERVER_UNTRUSTED_INTERFACE <IP_Address> access-list 100 permit ip any host NAC_SERVER_UNTRUSTED_INTERFACE access-list 100 permit ip any 10.10.10.0 255.255.255.0 ! ! ! then apply this access-list to the UNAUTHENTICATED_Vlan ! int vlan100 description UNAUTHENTICATED_Vlan ip address 172.16.1.1 255.255.255.0 ip access-group 100 in ! int vlan200 description EMPLOYEES_Vlan ip address 10.100.1.1 255.255.255.0 ! int vlan300 description GUESTS_Vlan ip address 192.168.1.1 255.255.255.0 !
ゲスト VLAN に対する制限を実装します。
通常、ゲスト ロールはインターネットにしかアクセスできません。 全内部ネットワークなどの不要なリソースへのアクセスはすべて、明示的に拒否する必要があります。 唯一の例外になりうるのは、内部 DNS サーバです。
! ! ACL 100 permits traffic destined to devices on 10.10.10.0 / 24 ! this should be a consistent ACL that can be applied across all L3 switches ! access-list 100 permit ip any 10.10.10.0 255.255.255.0 ! ! ! ACL 101 for Guests should deny access to all internal networks ! while DNS is permitted ! access-list 101 permit udp any host GUEST_DNS_SERVER eq 53 access-list 101 deny ip any 10.0.0.0 255.0.0.0 access-list 101 deny ip any 192.168.0.0 255.255.0.0 access-list 101 deny ip any 172.16.0.0 255.240.0.0 access-list 101 permit ip any any ! int VLAN100 description UNAUTHENTICATED_VLAN ip address 172.16.1.1 255.255.255.0 ip access-group 100 in ! int VLAN200 description EMPLOYEES_VLAN ip address 10.100.1.1 255.255.255.0 ! ! int VLAN300 description GUESTS_VLAN ip address 192.168.1.1 255.255.255.0 ip access-group 101 in !
Cisco NAC Server は、Cisco NAC Agent から、または ActiveX か Java アプレットによるデバイス MAC アドレスの決定と Cisco NAC Manager への報告がイネーブルになっている Web ログイン ページから、MAC 情報を取得します。
Cisco NAC Agent は、ログイン プロセスを開始するために NAC Server の非信頼インターフェイスと通信する必要があります。 Agent は、既知の検出ホスト値に基づいて Server を検出しようとします。 図 9 に示すように、Cisco Agent の検出ホスト値は NAC Server の非信頼インターフェイス(172.23.117.57)を指しています。 図 9 は、3 つの画面の組み合わせを示しています。
Cisco NAC Agent からのログインの詳細については、 「Agent ログイン」の項を参照してください。
図 9: NAC Server の非信頼インターフェイスを指す検出ホスト
注: Cisco NAC Agent は、Cisco NAC Server から応答を受信できない場合には表示されません。
Web ログインは、通常、ゲスト ログイン セッションに必要となります。 ACL 分離手法が使用されている場合、NAC Server の非信頼インターフェイスは、直接的にはデータ トラフィックのパスにありません。 そのため、ユーザは、ブラウザを初めて開いたときに自動的にログイン ページにリダイレクトされません。 エンド ホストがログイン ページにアクセスできるようにするには、次の 2 つのオプションがあります。
オプション 1
ゲスト ログイン URL(guest.cisco.com など)を作成し、ユーザに知らせます。
ゲストは、ブラウザを開いてこの URL を入力する必要があります。そうすると、ログイン ページにリダイレクトされます。
オプション 2
非認証ユーザ サブネット用のダミー DNS サーバを作成します。
このダミー DNS サーバは、すべての URL を Cisco NAC Server 非信頼インターフェイスに解決します。
ゲストがブラウザを開くと、アクセスしようとしている URL に関係なく、ログイン ページにリダイレクトされます。
その後、ユーザはそのロールに適した VLAN に移動され、ログインの成功時に IP のリリースまたは更新を実行すると、新しい DNS アドレスが割り当てられます。
レイヤ 3 OOBの設計では、Web ページを使用してログインするユーザは、ActiveX コントロール(Internet Explorer ブラウザの場合)または Java アプレット(IE 以外のブラウザの場合)のいずれかをダウンロードして実行します。 次の処理を行うには、ActiveX コントロール(または Java)を実行する必要があります。
ホストの MAC アドレスを収集する。この MAC アドレスは、IP アドレスと MAC アドレスのマッピングを提供するために Cisco NAC Server と Cisco NAC Manager に報告されます。
エンドポイント クライアントの IP のリリースおよび更新を実行する。
注: ゲストに内部または外部 DNS の使用を許可するかどうかの決定は、各組織が行う必要があるポリシー決定です。 パブリックベースの DNS サービスを使用すると、このアプローチに伴う潜在的なリスクを最小限に抑えることができます。
Web ページからのログインの詳細については、「Web ログイン」を参照してください。
NAC OOB ソリューションの導入を成功させるには、NAC コンポーネントが目的のアーキテクチャに合致するように設定する必要があります。 図 10 は、この項で使用されるレイヤ 3 NAC OOB の論理ネットワーク図を表しており、ACL を使用する NAC レイヤ 3 OOB 配置に関連する Cisco NAC Manager、Cisco NAC Server、およびエッジ スイッチの設定例を示しています。
図 10: NAC レイヤ 3 OOB の論理トポロジ図
レイヤ 3 実 IP OOB NAC 配置を設定するには、次の手順を実行します。
エッジ スイッチにエンフォースメントを設定します。
最初に、エッジ スイッチに 3 つの VLAN(UNAUTHENTICATED、CONTRACTORS、および GUESTS)を作成します。 既存の本番 VLAN は従業員に使用します。
各 VLAN で ACL を設定して適用し、割り当てられたロールに基づいてネットワークへのアクセスを制限します。
非認証ロール: VLAN 17 および ACL 名: UNAUTH_ACL
! Create SVI for Un-auth VLAN Edge Switch(config)#interface vlan 17 Edge Switch (config)#ip address 192.168.7.1 255.255.255.0 Edge Switch (config)#ip helper-address 192.168.3.10 ! 192.168.3.10 is the dhcp server (see Figure 10) ! Configure ACL for Un-auth Role Edge Switch(conf)#ip access-list extended UNAUTH_ACL remark Allow Discovery packets from Agent to NAC Server permit udp any host 192.168.8.10 eq 8906 remark Allow Discovery packets from Agent to NAC Server for ADSSO permit udp any host 192.168.8.10 eq 8910 remark Allow Web traffic from PC to NAC Server permit tcp any host 192.168.8.10 eq www remark Allow SSL traffic from PC to NAC Server permit tcp any host 192.168.8.10 eq 443 remark Allow DHCP permit udp any any eq bootpc permit udp any any eq bootps remark Allow DNS permit udp any any eq domain remark Allow Web traffic to the Remediation Server permit tcp any host 192.168.3.10 eq www ! Apply ACL for Un-auth VLAN Interface Edge Switch(config)#interface vlan 17 Edge Switch(config)# ip access-group UNAUTH_ACL in
コントラクター ロール: VLAN 77 および ACL 名: CONTRACTOR_ACL
! Create SVI for Contractor VLAN Edge Switch(config)#interface vlan 77 Edge Switch (config)#ip address 192.168.77.1 255.255.255.0 Edge Switch (config)#ip helper-address 192.168.3.10 ! Configure ACL for Contractor Role Edge Switch(conf)#ip access-list extended CONTRACTOR_ACL remark Allow DHCP permit udp any any eq bootpc permit udp any any eq bootps remark Allow DNS permit udp any any eq domain remark Allow traffic to DMZ Subnet permit ip any 192.168.3.0 0.0.0.255 remark deny rest of the internal resources deny ip any 10.0.0.0 255.0.0.0 deny ip any 192.168.0.0 255.255.0.0 deny ip any 172.16.0.0 255.240.0.0 remark permit internet permit ip any any ! Apply ACL for Contractor VLAN Interface Edge Switch(config)#interface vlan 77 Edge Switch(config)# ip access-group CONTRACTOR_ACL in
ゲスト ロール: VLAN 78 および ACL 名: GUEST_ACL
! Create SVI for GUEST VLAN Edge Switch(config)#interface vlan 78 Edge Switch (config)#ip address 192.168.78.1 255.255.255.0 Edge Switch (config)#ip helper-address 192.168.3.10 ! Configure ACL for Guest Role Edge Switch(conf)#ip access-list extended GUEST_ACL remark Allow DHCP permit udp any any eq bootpc permit udp any any eq bootps remark Allow DNS permit udp any any eq domain remark deny access to the internal resources deny ip any 10.0.0.0 255.0.0.0 deny ip any 192.168.0.0 255.255.0.0 deny ip any 172.16.0.0 255.240.0.0 remark permit internet permit ip any any ! Apply ACL for GUEST VLAN Interface Edge Switch(config)#interface vlan 78 Edge Switch(config)# ip access-group GUEST_ACL in
従業員ロール: VLAN 14 および ACL: Production_ACL
既存の本番 VLAN は、従業員を非認証 VLAN から従業員 VLAN に移動させるために使用できます。 Cisco NAC Agent は、エンド クライアントがこの VLAN に移動された後も、Cisco NAC Server を検出しようとします。 Agent はこのように動作するように設計されています。 Agent は、Server にアクセスできる場合には、マシンがすでにアクセスを許可されていても、ポップ アップ表示を行ってログイン プロセスをもう一度実行しようとします。 これは明らかに不要な動作であり、管理者は Agent から発信される UDP 8906 検出パケットが必ずドロップされるように設定する必要があります。 Employee_ACL を、これらの検出パケットをドロップするように設定します。
! Use Existing Production Layer 3 VLAN for Employees Edge Switch(config)#interface vlan 14 Edge Switch (config)#ip helper-address 192.168.3.10 ! Configure ACL to prevent discovery packets from reaching the untrusted interface on the NAC Server Edge Switch(conf)#ip access-list extended Employee_ACL remark Deny Discovery packets from Agent to NAC Server deny udp any host 192.168.8.10 eq 8906 permit ip any any ! Apply ACL for Employee VLAN Interface Edge Switch(config)#interface vlan 14 Edge Switch(config)# ip access-group Employee_ACL in
Cisco NAC Manager および Server の初期設定を行います。
Cisco NAC Manager および Server のインストールは、コンソールからアクセスして実行します。 インストール ユーティリティの指示に従って、Manager と Server の両方の初期設定を行うことができます。 初期設定を行うには、次のページを参照してください。
http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html
Cisco NAC Manager にライセンスを適用します。
コンソールでの初期設定を終えたら、Cisco NAC Manager GUI にアクセスして NAC Manager および Server の設定を続行します。 最初に、アプライアンスに付属している Manager ライセンスおよび Server ライセンスをアップロードします。 ライセンスのアップロードの詳細については、次のページを参照してください。
注: Cisco NAC Manager および Server のライセンスはすべて、Manager の eth0 の MAC アドレスに基づいています。 フェールオーバー設定では、ライセンスはプライマリおよびセカンダリ Cisco NAC Manager の eth0 の MAC アドレスに基づいています。
Cisco NAC Manager で Cisco.com からポリシーを更新します。
Cisco NAC Manager は、シスコにある中央アップデート サーバから定期的にアップデートを取得するように設定する必要があります。 Cisco NAC アプライアンスの Supported AV/AS Product List は、中央集中型アップデート サーバから配布される、バージョン管理されている XML ファイルです。このアップデート サーバは、ポスチャ アセスメントおよび修復のためにアンチウイルス規則またはアンチスパイウェア規則、ならびにアンチウイルスまたはアンチスパイウェアの定義更新要件の設定に使用されるサポート対象のアンチウイルスおよびアンチスパイウェアのベンダーおよび製品バージョンの最新のリストを提供します。 このリストは、Cisco NAC Agent の各リリースにアンチウイルス/アンチスパイウェア製品およびバージョンを対応させるために定期的に更新され、Agent の新しいバージョンに対応する製品を含みます。 リストにはバージョン情報だけが提供されることに注意してください。 Cisco NAC Manager がサポート対象のアンチウイルスおよびアンチスパイウェア製品リストをダウンロードするときには、アンチウイルスおよびアンチスパイウェア製品の最新バージョンに関する情報がダウンロードされます。 実際のパッチ ファイルやウイルス定義ファイルはダウンロードされません。 この情報に基づいて、Agent はネイティブのアンチウイルスまたはアンチスパイウェア アプリケーションをトリガーし、アップデートを実行することができます。 アップデートの取得方法の詳細については、次のページを参照してください。
サードパーティの認証局(CA)から証明書をインストールします。
インストール中に、Cisco NAC Manager と Cisco NAC Server の両方の設定ユーティリティ スクリプトから、一時 SSL 証明書を生成するように要求されます。 ラボ環境の場合は、自己署名証明書を使用して続行できます。 ただし、実稼働ネットワークの場合は、自己署名証明書の使用は推奨されません。
サードパーティ CA から Cisco NAC Manager に証明書インストールする手順の詳細については、次のページを参照してください。
サードパーティ CA から Cisco NAC Server に証明書インストールする手順の詳細については、次のページを参照してください。
注: ラボ環境で自己署名証明書を使用している場合は、Cisco NAC Manager と Cisco NAC Server がそれぞれの証明書を相互に信頼する必要があります。このためには、[SSL] > [Trusted Certificate Authorities] で両方の証明書を信頼できる認証局としてアップロードする必要があります。
Cisco NAC Server を Cisco NAC Manager に追加します。
NAC Manager に NAC Server を追加するには、次の手順を実行します。
[Device Management] ペインで [CCA Servers] をクリックします(図 11 を参照)。
[New Server] タブをクリックします。
[Server IP Address] ボックスを使用して、NAC Server の信頼できるインターフェイスの IP アドレスを追加します。
[Server Location] ボックスに、サーバの場所として「OOB NAC Server」と入力します。
[Server Type] ドロップダウン リストから [Out-of-Band Real-IP-Gateway] を選択します。
[Add Clean Access Server] をクリックします。
図 11: Cisco NAC Manager への Cisco NAC Server の追加
Cisco NAC Server を追加したら、[List of Servers] タブのリストに Server が表示されます(図 12 を参照)。
注: Cisco NAC Server に Cisco NAC Manager を正しく追加するには、Manager と Server がそれぞれの認証局を相互に信頼する必要があります。
Cisco NAC Server を設定します。
図 12 に示すように、[List of Servers] タブをクリックします。
Cisco NAC Server の管理アイコン(丸で囲んである部分)をクリックして設定を続行します。
図 12: Cisco NAC Manager で管理される Cisco NAC Server
管理アイコンをクリックすると、図 13 に示す画面が表示されます。
レイヤ 3 サポートをイネーブルにします。
[Network] タブ(図 13)をクリックします。
[Enable L3 Support] チェックボックスをオンにします。
[Enable L3 strict mode to block NAT devices with Clean Access Agent] チェックボックスをオンにします。
[Update] をクリックします。
指示に従って、Cisco NAC Server を再起動します。
図 13: Cisco NAC Server ネットワークの詳細
注: Cisco NAC Server 用の証明書は、必ずその「信頼できない」インターフェイスの IP アドレスで常に生成してください。 名前ベースの証明書の場合、その名前は信頼できないインターフェイスの IP アドレスに解決される必要があります。 エンドポイントが Server の信頼できないインターフェイスと通信して NAC プロセスを開始すると、Server はユーザを証明書のホスト名または IP にリダイレクトします。 証明書が信頼できるインターフェイスを参照している場合、ログイン プロセスは正しく機能しません。
上の図 13 には、2 つのデフォルト ゲートウェイがあります。 適用できるのは、信頼できるインターフェイスで設定されたデフォルト ゲートウェイだけです。 信頼できないインターフェイスの値は、トラフィックの転送には使用されません。 信頼できないインターフェイスから転送されたトラフィックは、次のステップで説明するスタティック ルートに依存します。
スタティック ルートを設定します。
Cisco NAC Server が再起動したら、Server に戻り、設定を続行します。
Server は、信頼できないインターフェイスを使用して非認証 VLAN 上のエンドポイントと通信する必要があります。
[Advanced] > [Static Routes](図 14 を参照)に移動し、非認証 VLAN へのルートを追加します。
非認証 VLAN の適切なサブネットを入力します。
[Add Route] をクリックします。
これらのルートに [Untrusted interface [eth1]] を選択します。
図 14: 非認証ユーザ サブネットに到達するためのスタティック ルートの追加
Cisco NAC Manager でスイッチのプロファイルを設定します。
[OOB Management] > [Profiles] > [Device] > [Edit](図15を参照)を選択します。
例を参考にして、デバイス プロファイル情報を入力します。
各スイッチは、プロファイルに関連付けられます。 Cisco NAC Manager で管理するエッジ スイッチについて、各タイプのプロファイルを追加します。 Manager は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 次の例では、SNMPv1 のみを設定しています。 Manager とスイッチ間の SNMP 通信のセキュリティを高めるために、SNMPv2 または SNMPv3c を設定することもできます。
図 15: スイッチの管理に使用される SNMP プロファイル
SNMP のスイッチ設定を設定します。
エッジ スイッチには、Cisco NAC Manager で設定されているものと同じ SNMP 読み取り/書き込みコミュニティ ストリングを設定する必要があります。 次の CLI コマンドを参照してください。
3560-remote(config)#snmp-server community cisco123 RO 3560-remote(config)#snmp-server community cisco321 RW
[OOB Management] > [Profiles] > [Port] > [New](図16を参照)を選択します。
ポートを個別に制御するには、[OOB Management] > [Profiles] > [Port] で、デフォルトの非認証 VLAN とデフォルトのアクセス VLAN を含むポート プロファイルを設定します。 [Access VLAN] セクションで、[Access VLAN] ドロップダウンを使用してユーザ ロール VLAN を指定します。 Cisco NAC Manager は、ユーザが属するロールで定義された VLAN に基づいて非認証 VLAN をアクセス VLAN に変更します。
実装したユーザ ロールと VLAN に基づいてポートの VLAN を制御するポート プロファイルを定義します。
認証 VLAN は、認証されていないデバイスが最初に割り当てられる非認証 VLAN(VLAN 17)です。
デフォルトのアクセス VLAN は、従業員 VLAN(VLAN 14)です。 この VLAN は、認証されたユーザにロール ベースの VLAN が定義されていない場合に使用されます。
アクセス VLAN では、デフォルトの VLAN をユーザ ロールで定義されたユーザ ロール VLAN で上書きできます(ユーザ ロールの設定の詳細については、「ユーザ ロールの設定」 項で説明します)。 LDAP マッピングを使用して、NAC のユーザ ロールを LDAP グループにマッピングできます。 詳細については、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/ps6128/products_tech_note09186a0080846d7a.shtml
図 16: スイッチ ポートを管理するためのポート プロファイル
注: ID の代わりに VLAN 名を定義することもできます。 VLAN 名を定義すると、キャンパス全体にわたって各スイッチに個別の VLAN ID を割り当てる一方で、特定のロールに同じ VLAN 名を関連付けることができます。
ポート プロファイルには、IP のリリースおよび更新オプションのための追加オプションが用意されています。 図 16 に示すページを下にスクロールすると、これらのオプションが表示されます。
ユーザが IP Phone の背後にいる場合は、[Bounce the port after VLAN is changed] チェックボックス(図 17 を参照)をオフにします。このチェックボックスがオンになっていると、ポートがバウンスされたときに IP Phone が再起動する可能性があります。
図 17: ポート プロファイルに用意されているさまざまなオプション
SNMP レシーバ設定を構成します。
SNMP コミュニティ ストリングの読み書き設定に加えて、Cisco NAC Manager がスイッチから SNMP トラップを受信するように設定する必要もあります。 このトラップは、ユーザがポートに接続したときとポートから切断したときに送信されます。 Cisco NAC Server が Manager に特定のエンドポイントの MAC/IP アドレス情報を送信すると、Manager は MAC/IP とスイッチ ポートのマッピング テーブルを内部的に作成します。
注: すべてのスイッチを、図 18 で定義されたコミュニティ ストリングを使用して Cisco NAC Manager にトラップまたは通知を送信するように設定する必要があります。
[OOB Management] > [Profiles] > [SNMP Receiver](図18を参照)を選択します。
図 18 の画面を参考にして、SNMP トラップ設定を設定します。
図 18: SNMP トラップおよび通知を収集するための NAC Manager SNMP レシーバの設定
SNMP トラップのスイッチ設定を構成するには、シスコ推奨の NAC OOB のベスト プラクティスに従って、デフォルト スイッチの Clean Access Manager(CAM)のフラッシュ タイマーを 1 時間(下の CLI ボックスの 3600)に増やします。 CLI サンプルでは、mac-address-table aging-time パラメータを 3600 に設定しています。
タイマーを 1 時間に設定すると、すでに Cisco NAC Manager に接続しているデバイスの MAC 通知の送信頻度が減少します。 source trap コマンドを使用して、トラップの送信に使用する送信元アドレスを指定します。
snmp-server enable traps mac-notification snmp-server host 192.168.2.33 informs NacTraps snmp-server trap-source Vlan 2 mac-address-table aging-time 3600
必要に応じて、Cisco NAC Manager に送信するリンクアップおよびリンクダウン トラップを設定します(CLI サンプルには示されていません)。 これらのトラップは、エンド ホストが IP Phone の背後で接続されない導入シナリオでのみ使用されます。
注: SNMP 通知は SNMP トラップよりも信頼性が高いため、こちらを使用することが推奨されています。 また、トラフィックの多いネットワーク環境では、QoS for SNMP の使用を検討してください。
Cisco NAC Manager でスイッチをデバイスとして追加します。
[OOB Management] > [Devices] > [Devices] > [New](図19を参照)を選択します。
ステップ 10 で作成したスイッチ プロファイルを使用してスイッチを追加します。
[Device Profile] で、作成したプロファイルを使用します。ただし、スイッチを追加するときに [Default Port Profile] の値を変更しないでください。
注: [Default Port Profile] では、必ず [uncontrolled] を選択してください。アクセス スイッチのすべてのポートを管理することは決してないからです。 少なくとも 1 つのアップリンク ポートが管理されていないはずです。 したがって、管理されていないポート プロファイルがあるスイッチを追加してから、管理が必要なポートを選択する必要があります。
図 19: Cisco NAC Manager で SNMP を使用して管理するエッジ スイッチを追加する
Cisco NAC Manager にスイッチを追加した後、管理するポートを選択します。
デバイスのスイッチポートが NAC で管理されるように設定します。
[OOB Management] > [Devices Switch[IP address]] > [Ports] > [List] を選択して、管理可能なスイッチ ポートを表示します(図 20 を参照)。
図 20: マネージド スイッチで使用可能なポート管理の選択
[OOB Management] > [Devices Switch[IP address]] > [Ports] > [Manage] を選択して、複数のポートを一度に管理します(図 21 を参照)。
図 21: [Join] オプションを使用した複数ポートの管理
ユーザ ロールを設定します。
この例では、3 つの追加のロールを作成します。 エッジでは、各ロールに対応する VLAN がすでに作成されています。
[User Management] > [User Roles] > [Edit Role] を選択し、図 22 を参考にして従業員ロールを作成します。
図 22: 従業員ロールの作成と実稼働 VLAN 14 へのマッピング
[User Management] > [User Roles] > [Edit Role] を選択し、図 23 を参考にしてコントラクター ロールを作成します。
図 23: コントラクター ロールの作成と制限付きアクセス VLAN 77 へのマッピング
[User Management] > [User Roles] > [Edit Role] を選択し、図 24 を参考にしてゲスト ロールを作成します。
図 24: ゲスト ロールの作成とインターネットのみ VLAN へのマッピング
この項では、図 25 に示すように、全部で 6 つのロール(3 つのデフォルト ロールと 3 つの新規ロール)を作成しました。
図 25: NAC Manager でのロールの追加
ユーザを追加し、適切なユーザ ロールに割り当てます。
キャンパス環境では、外部認証サーバと連携し、LDAP 属性を使用してユーザを特定のロールにマッピングします。 この例では、ローカル ユーザを使用し、そのローカル ユーザとロールを関連付けます。
ユーザ ログイン ページを Web ログイン用にカスタマイズします。
デフォルトのログイン ページは、Cisco NAC Manager にすでに作成されています。 必要に応じて、ログイン ページをカスタマイズして Web ポータルの外観を変更できます。 NAC レイヤ 3 OOB ソリューションでは、次のタスクを実行するために ActiveX または Java コンポーネントをエンド クライアントにダウンロードする必要があります。
クライアント マシンの MAC アドレスを取得します。
IP アドレスのリリースおよび更新を実行します。
[Administration] > [User Pages](図 26 を参照)を選択します。
ページを編集して、図 26 に示すオプションをイネーブルにします。
図 26: Web ログイン用のユーザ ページ設定
Cisco NAC Agent をユーザ ロールに合わせてカスタマイズします。
[Device Management] > [Clean Access] > [General Setup] > [Agent Login](図 27 を参照)を選択します。
Cisco NAC Manager は、任意のユーザ ロールで Agent を必須にするように設定できます。 この例では、Agent は従業員ロールで必須です。 コントラクターおよびゲスト ロールは、Web ログインを使用する必要があります。
[Require use of Agent] チェックボックスをオンにします。
図 27: 従業員ロールでの Agent ログインの必須化
Cisco NAC Agent の検出ホストを配布します。
Cisco NAC Agent ソフトウェアの配布、インストール、および設定については、付録の「Cisco NAC アプライアンスでの Agent ログインとクライアント ポスチャ アセスメントの設定」の項で説明します。 この例では、Cisco NAC Manager で検出ホストを設定します。
[Device Management] > [Clean Access] > [Clean Access Agent] > [Installation](図 28 を参照)を選択します。
図 28: Cisco NAC Agent の検出ホスト
Cisco NAC Server から Cisco NAC Agent をダウンロードした場合、[Discovery Host] フィールドは、図 28 に示すように、事前に入力されています。
Web ログインを行います。
Cisco NAC Manager によって管理されるエッジ ポートの 1 つを使用して、クライアント マシンを接続します。
クライアント マシンは、非認証 VLAN に配置されます。 マシンは、非認証 VLAN サブネットから IP アドレスを取得する必要があります。
ブラウザを開いてログインを実行します。
ここでは、このクライアント マシンに Cisco NAC Agent がまだインストールされていないことを前提としています。 すべての DNS エントリが Cisco NAC Server の信頼できないインターフェイスにリダイレクトされる場合、ブラウザは自動的にログイン ページにリダイレクトされます。 そうでない場合は、特定の URL(guest.nac.local など)にアクセスしてログインを実行します(図 29 を参照。
図 29: Web ログイン ページ
Agent ログインを行います。
Cisco NAC Agent は、他のソフトウェア アプリケーションと同様の方法でエンド ユーザに配布できます。または、Cisco NAC Server を使用して強制的に配布することもできます。
注: Agent の配布とインストールの詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide』を参照してください。
エージェントがアクティブ化されると、図 30 に示す画面が表示されます。
図 30: Agent ログイン
[Server] ドロップダウン リストからサーバを選択します。
ユーザ名を入力します。
パスワードを入力します。
[Log In] をクリックします。
図 31 の画面が表示され、そのすぐ後に図 32 の画面が表示されます。
図 31: IP のリリースおよび更新を実行している Cisco NAC Agent
[OK] をクリックします。
この例のマネージド ポートは 0/7 です。 ログイン プロセスが正常に完了すると、VLAN が非認証 VLAN 14 から従業員 VLAN 17 に変更されます。 次のコマンドを発行すると、コンフィギュレーションを実行しているポートを確認できます。
3560-remote#show run interface fast 0/7 Building configuration… Current configuration : 153 bytes ! interface FastEthernet0/7 switchport access VLAN 14 switchport mode access snmp trap mac-notification change added spanning-tree portfast end
既存の NAC OOB ワイヤレス ソリューションは、現在、仮想ゲートウェイ モードの Cisco NAC Server によるレイヤ 2 OOB ソリューションに限定されます。 このソリューションの制限は、ワイヤレス LAN コントローラ(WLC)が Cisco NAC Server とレイヤ 2 で隣接している必要があることです。 レイヤ 2 OOB ワイヤレス環境に関する詳細については、次のページを参照してください。
http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a138cc.shtml
注: 現在、シスコはワイヤレス環境向けの NAC レイヤ 3 OOB ACL ソリューションの開発に取り組んでいます。
ソリューションの個々の Cisco NAC Manager と Cisco NAC Server は、2 つのアプライアンスがアクティブ/スタンバイ構成で動作するハイ アベイラビリティ モードに設定できます。
Cisco NAC Manager は、2 つの NAC Manager がアクティブ/スタンバイ構成で動作するハイ アベイラビリティ モードに設定できます。 Manager の設定全体がデータベースに保存されます。 スタンバイ Manager は、そのデータベースをアクティブ Manager のデータベースと同期します。 アクティブ Manager に加えられた設定変更は、ただちにスタンバイ Manager にプッシュされます。 次のキー ポイントに、ハイ アベイラビリティ Manager の動作の要約を示します。
Cisco NAC Manager のハイ アベイラビリティ モードはアクティブ/パッシブの 2 サーバの構成で、スタンバイ Manager がアクティブ Manager のバックアップの役割を担います。
アクティブ Cisco NAC Manager がシステムのすべての作業を実行します。 スタンバイ Manager は、アクティブ Manager を監視し、そのデータベースとアクティブ Manager のデータベースとの同期を維持します。
両方の Cisco NAC Manager で、Eth0 信頼インターフェイスの仮想サービス IP を共有します。 サービス IP は、SSL 証明書に使用する必要があります。
プライマリおよびセカンダリ Cisco NAC Manager は、UDP ハートビート パケットを 2 秒ごとに交換します。 ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。
アクティブ Cisco NAC Manager が常に利用可能であることを確認するために、信頼インターフェイス(Eth0)を有効にする必要があります。 Manager がアクティブになっているにもかかわらず、その信頼できるインターフェイスからアクセスできない状況になるのを回避する必要があります。 この状況は、スタンバイ Manager がアクティブ Manager からハートビート パケットを受信したものの、アクティブ Manager の Eth0 インターフェイスに障害が発生した場合に起こります。 リンク検出機能により、スタンバイ Manager はアクティブ Manager の Eth0 インターフェイスが使用不能になったことを認識できます。
[Administration] > [CCA Manager] > [Failover] ページでは、Eth1 インターフェイスの「自動設定」を選択できます。 ただし、その他(Eth2 または Eth3)のハイ アベイラビリティ インターフェイスは、Cisco NAC Manager でハイ アベイラビリティを設定する前に、IP アドレスとネットマスクを使用して手動で設定する必要があります。
Eth0、Eth1、Eth2/Eth3 インターフェイスは、ハートビート パケットとデータベース同期に使用できます。 さらに、使用可能なシリアル(COM)インターフェイスもハートビート パケットに使用することができます。 これらのインターフェイスを複数使用している場合、フェールオーバーが起こるのは、すべてのハートビート インターフェイスに障害が発生した場合だけです。
注: Cisco NAC Manager のハイ アベイラビリティ ペアをレイヤ 3 リンクで区切ることはできません。
詳細については、次の URL にある Cisco NAC Manager のマニュアルを参照してください。
http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html
シングル ポイント障害に対する保護を提供するために、Cisco NAC Server はハイ アベイラビリティ モードに設定できます。 Cisco NAC Server のハイ アベイラビリティ モードは、Cisco NAC Manager のハイ アベイラビリティ モードに似ており、Manager と同様にアクティブ/スタンバイ設定を使用します。 Cisco NAC Server は、引き続き仮想 IP アドレス(サービス IP と呼ばれます)を共有しますが、仮想 MAC アドレスは共有しません。
次のキー ポイントに、ハイ アベイラビリティ Cisco NAC Server の動作の概要を示します。
Cisco NAC Server のハイアベイラビリティ モードは、スタンバイ Cisco NAC Server マシンがアクティブ Cisco NAC Server マシンのバックアップとして機能する、アクティブ/パッシブの 2 つのサーバ構成です。
アクティブ Cisco NAC Server がシステムのすべての作業を実行します。 Server の設定の大半は Cisco NAC Manager に保存されているため、Server のフェールオーバーが発生すると、Manager は設定を新しいアクティブ Server にプッシュします。
スタンバイ Cisco NAC Server は、そのインターフェイス間でパケットを転送しません。
スタンバイ Cisco NAC Server は、ハートビート インターフェイス(シリアルおよび 1 つ以上の UDP インターフェイス)経由でアクティブ Server の状態を監視します。 ハートビート パケットはシリアル インターフェイス、専用の Eth2 インターフェイス、専用の Eth3 インターフェイス、Eth0 または Eth1 インターフェイス(Eth2 または Eth3 インターフェイスが利用できない場合)上で送信できます。
プライマリおよびセカンダリ Cisco NAC Server は、UDP ハートビート パケットを 2 秒ごとに交換します。 ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。
ハートビートベースのフェールオーバーの他に、Cisco NAC Server は Eth0 または Eth1 リンク障害に基づいてリンクベースのフェールオーバーも提供します。 Server は、Eth0 または Eth1 インターフェイス経由で ICMP ping パケットを外部 IP アドレスに送信します。 フェールオーバーが発生するのは、外部アドレスに ping を実行できる Cisco NAC Server が 1 つの場合のみです。
詳細については、次の URL にある Cisco NAC Server のマニュアルを参照してください。
http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html
Windows Active Directory SSO は、バックエンド Kerberos Domain Controller(Active Directory サーバ)で認証済みのユーザを自動的にログインする、Cisco NAC アプライアンスの機能です。 この機能を使用すると、ドメインへのログインを済ませた後に Cisco NAC Server にログインする必要がなくなります。 Cisco NACアプライアンスでの Active Directory SSO の設定の詳細については、次のページを参照してください。
http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_adsso.html
NAC 展開に備えて、ログイン スクリプト ポリシーの変更が必要になる場合があります。 Windows ログイン スクリプトは、スタートアップ/シャットダウン スクリプトとログオン/ログオフ スクリプトに分類できます。 Windows では、スタートアップ/シャットダウン スクリプトは「マシン コンテキスト」で実行されます。 これらのスクリプトの実行は、PC の起動時またはシャットダウン時にスクリプトで特定のロール(通常は非認証ロール)のために必要になる、適切なネットワーク リソースを Cisco NAC アプライアンスが開いている場合にのみ機能します。 ログオン/ログオフ スクリプトは、「ユーザ コンテキスト」で実行されます。つまり、ログオン スクリプトは、ユーザが Windows GINA を介してログインした後に実行されます。 ログオン スクリプトは、その時点で認証またはクライアント マシンのポスチャ アセスメントが完了しておらず、ネットワーク アクセスが許可されていない場合には失敗することがあります。 これらのスクリプトは、OOB ログオン イベントの後に Cisco NAC Agent が開始する IP アドレスの更新によって中断される場合もあります。 ログイン スクリプトに必要な変更の詳細については、次のページを参照してください。
http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a70c18.shtml
Cisco NAC Agent および Cisco NAC Web Agent には、クライアント マシンに対してローカルのポスチャ評価および修復を行う機能があります。 ユーザは Cisco NAC Agent または Cisco NAC Web Agent(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールして、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。 エージェント、ポスチャ アセスメント、および修復の詳細については、次のページを参照してください。
http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html