ACL による Cisco NAC レイヤ 3 OOB

ダウンロードオプション

PDF (397.3 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (883.9 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.6 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2010 年 11 月 11 日

Document ID:112168

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

概要

Cisco Network Admission Control（NAC）は、ネットワークアクセスを要求するすべてのデバイスに対して組織のネットワークセキュリティポリシーを適用します。 Cisco NAC は、コンプライアンスを満たす、信頼されたエンドポイントデバイス（PC、サーバ、PDA など）のみをネットワークで許可します。非適合デバイスのアクセスを制限し、セキュリティの新しい脅威やリスクから生じる潜在的なダメージを抑制します。 Cisco NAC は、不正アクセスを防止し、ネットワークの耐障害性を向上させる強力なロールベースの手段を提供します。

Cisco NAC には、次のようなビジネス上のメリットがあります。

セキュリティポリシーへの準拠：エンドポイントが確実にセキュリティポリシーに準拠するようにします。インフラストラクチャと従業員の生産性を保護します。マネージドとアンマネージドの両方の資産を保護します。社内環境とゲストアクセスをサポートします。顧客のリスクレベルに合わせてポリシーを調整します。
既存の投資の保護：サードパーティの管理アプリケーションと互換性があります。柔軟な導入オプションにより、インフラストラクチャのアップグレードの必要性を最小限に抑えます。
ウイルス、ワーム、不正アクセスのリスクの軽減：大規模インフラストラクチャの中断を制御および低減します。移動、追加、および変更を動的かつ自動的に実行できるようにすることによって IT の効率性を高め、運用コストを削減します。他のシスコ自己防衛型ネットワークコンポーネントと連携して包括的なセキュリティ保護を提供します。

ソリューションの概要

この項では、アクセスコントロールリスト（ACL）手法を使用して Cisco Network Admission Control（NAC）アーキテクチャを実装するレイヤ 3 アウトオブバンド（OOB）について簡単に説明します。

ソリューションの説明

Cisco NAC は、ネットワークコンピューティングリソースにアクセスしようとするすべてのデバイスがセキュリティポリシーに準拠するように、ネットワークインフラストラクチャ内で使用します。 Cisco NAC を使用すると、ネットワーク管理者はユーザを認証および許可したり、ユーザにネットワークアクセスを許可する前にそのユーザに関連付けられているマシンを評価および修復したりできます。このタスクを達成するための設定方法は複数ありますが、レイヤ 3 アウトオブバンド（OOB）が急速に普及し、NAC の最も一般的な導入方式の 1 つになっています。この背景には、ハードウェアリソースの活用改善など複数の要因があります。

レイヤ 3 OOB 方式で NAC の導入を行うことで、単一の Cisco NAC アプライアンス（Cisco NAC Manager または Cisco NAC Server）をより多くのユーザに対応するように拡張できます。また、NAC アプライアンスを、キャンパスまたは組織にわたって分散するよりも、中央に配置するようにできます。つまり、レイヤ 3 OOB 導入は、資本支出と運用費の両方の面でかなりコスト効果が高くなります。

このガイドでは、レイヤ 3 OOB 配置での ACL ベースの Cisco NAC の実装について説明します。

ソリューションアーキテクチャ

ソリューションアーキテクチャ（図1）は、主要なソリューションコンポーネントと統合ポイントを示しています。

図 1：標準的なキャンパス環境における Cisco NAC アプライアンスの配置

以下の項では、一般的なキャンパスアーキテクチャを構成するアクセスレイヤ、ディストリビューションレイヤ、コアレイヤ、およびデータセンターサービス統合ポイントについて説明します。

アクセスレイヤ

Cisco レイヤ 3 OOB NAC ソリューションは、ルーテッドアクセスキャンパス設計に適用できます。ルーテッドアクセスモードでは、レイヤ 3 スイッチ仮想インターフェイス（SVI）はアクセススイッチで設定され、アクセススイッチとディストリビューションスイッチの間にレイヤ 3 リンクがあります。

注: このドキュメントでは、「アクセススイッチ」と「エッジスイッチ」を同じ意味で使用しています。

図 2 に示すように、エッジスイッチでレイヤ 3 アクセス VLAN（VLAN 14 など）が設定され、エッジスイッチから上流のディストリビューションスイッチまたはルータへのレイヤ 3 ルーティングがサポートされます。アクセススイッチ上のポートは Cisco NAC Manager によって管理されます。

図 2：エッジへのレイヤ 3 が設定されたアクセススイッチ

ディストリビューションレイヤ

ディストリビューションレイヤは、レイヤ 3 ルーティングを行います。レイヤ 2 ソリューションとは異なり、Cisco NAC Server をディストリビューションレイヤに配置する必要はありません。代わりに、中央のデータセンターサービスブロックに配置します。

コアレイヤ

コアレイヤは、Cisco IOS ベースのルータを使用します。コアレイヤは高速ルーティング用に予約されており、サービスを一切提供しません。サービスは、データセンターのサービススイッチに配置できます。

データセンターサービスレイヤ

データセンターサービスレイヤは、Cisco IOS ベースのルータとスイッチを使用します。 Cisco NAC Manager と Cisco NAC Server は、データセンターサービスブロックに一元配置されます。

ソリューションコンポーネント

この項では、Cisco NAC アプライアンスソリューションのコンポーネントについて説明します。

Cisco NAC Manager

Cisco NAC Manager は、Cisco NAC アプライアンスの配置に含まれるすべての Cisco NAC Server、ユーザ、ポリシーの設定およびモニタリングを一元化する管理サーバであり、またデータベースでもあります。 OOB NAC 展開の場合、Manager は、Manager のドメイン内でのスイッチの追加や制御、およびスイッチポートの構成を行う OOB 管理を提供します。

Cisco NAC Server

Cisco NAC Server は、非信頼（管理対象）ネットワークと信頼（内部）ネットワークの間のエンフォースメントポイントです。 Server は Cisco NAC Manager で定義されたポリシーを適用し、エンドポイントは認証時に Server と通信します。この設計では、Server は、非信頼ネットワークと信頼ネットワークを分離するために論理的または物理的に「インライン」になることはありません。この概念については、後述の「アウトオブバンド（OOB）モード」の項で詳しく説明します。

Cisco NAC Agent

Cisco NAC Agent は、Cisco NAC ソリューションのオプションのコンポーネントです。 Cisco NAC の配置で Agent をイネーブルにすると、ネットワークにアクセスするコンピュータが、指定したシステムポスチャ要件を満たすことが保証されます。 Cisco NAC Agent は、ユーザのマシンにインストールされる軽くて使いやすい読み取り専用プログラムです。ユーザがネットワークにアクセスしようとすると、Agent では必要とされるソフトウェアについてクライアントシステムを確認し、アップデートやソフトウェアが見つからない場合、その入手を支援します。

アウトオブバンド（OOB）モード

Cisco NAC アプライアンス OOB 配置では、Cisco NAC Server は、認証プロセス、ポスチャアセスメント、および修復を実行している間だけエンドホストと通信します。認定が済むと、エンドホストは Server と通信しません。 OOB モードでは、Cisco NAC Manager はスイッチの制御とポートへの VLAN 割り当てに簡易ネットワーク管理プロトコル（SNMP）を使用します。 Cisco NAC Manager と Server が OOB 用に設定されている場合、Manager はサポートされているスイッチのスイッチポートを制御できます。サポートされているスイッチのリストについては、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.html#wp40017

次の数点の図は、Cisco NAC Manager が OOB を使用してユーザのネットワークアクセスの取得方法を制御する仕組みを示しています。シーケンスは次のとおりです。

PC がネットワーク上のスイッチに物理的に接続されています（図 3 を参照）。
スイッチが SNMP を使用して Cisco NAC Manager に MAC アドレスを送信します（図 3 を参照）。
Cisco NAC Manager が、PC が「認定済み」かどうかを確認します。
1. PC が認定されていない場合、Cisco NAC Manager は PC のスイッチポートを認証 VLAN に割り当てるようにスイッチに指示します（図 4 を参照）。ステップ 4 ～ 6 に進みます。
2. PC が認定されている場合は、ステップ 5 に進みます。
PC は Cisco NAC Server と通信して、認証、ポスチャアセスメント、および修復を受けます（図 4 を参照）。
Cisco NAC Server が、PC が「認定された」ことを Cisco NAC Manager に通知します（図 5 を参照）。
PC が信頼されているデバイスとしてネットワークに接続されます。

図 3： OOB SNMP 通信（1/3）

図 4： OOB SNMP 通信（2/3）

図 5： OOB SNMP 通信（3/3）

設計上の考慮事項

レイヤ 3 OOB NAC 配置を検討する場合は、複数の設計上の考慮事項を確認する必要があります。以下のサブセクションでは、これらの考慮事項を列挙し、その重要性について簡単に説明します。

エンドポイントの分類

エンドポイントの分類には、デバイスタイプやユーザロールなど複数の要因が寄与します。デバイスタイプとユーザロールの両方がエンドポイントロールに影響します。

想定されるデバイスタイプ

企業デバイス
非企業デバイス
PC 以外のデバイス

想定されるユーザロール

Employee
Contractor
ゲスト

最初に、すべてのエンドポイントが非認証 VLAN に割り当てられます。その他のロールへのアクセスは、識別およびポスチャプロセスが完了した後に許可されます。

エンドポイントロール

まず、各エンドポイントタイプのロールを決定する必要があります。一般的なキャンパス配置には、従業員、ゲスト、コントラクターなどの複数のロールと、プリンタ、ワイヤレスアクセスポイント、IP カメラなどのその他のエンドポイントが含まれます。ロールはエッジスイッチ VLAN にマッピングされます。

注: すべてのユーザは、まず、最初の認証時に非認証ロールによって非認証 VLAN にマッピングされます。

ロールの分離

Cisco NAC ソリューションを実装する場合、エンドポイントロールを分離することが不可欠です。認証されておらず、承認されていないホストマシンから発信されるすべてのトラフィックに対してトラフィックとパスの分離を提供する、適切なエンフォースメントメカニズムを選択します。レイヤ 3 OOB 環境では、レイヤ 3 エッジスイッチ（ACL を使用）は、「クリーン」ネットワークと「非認証」ネットワークの間の隔離を保証するエンフォースメントポイントとして機能します。

トラフィックフロー

NAC プロセスは、エンドポイントが NAC マネージドスイッチに接続すると開始されます。「非認証」に分類されたトラフィックは、非認証 VLAN に適用される ACL によって制限されます。エンドポイントは、「非信頼」インターフェイスと通信してポスチャアセスメントおよび修復プロセスを完了することができます（ポスチャアセスメントおよび修復の実行方法は複数あります。それらについては、後述の Cisco NAC Manager での Cisco.com からのポリシーの更新に関する項で説明します）。認証後、エンドポイントは信頼 VLAN に移動されます。

Cisco NAC Server のモード

Cisco NAC Server は、仮想ゲートウェイ（ブリッジ）モードまたは実 IP ゲートウェイ（ルーテッド）モードのいずれかで配置できます。

仮想ゲートウェイ（ブリッジ）モード

仮想ゲートウェイ（ブリッジ）モードは、通常、Cisco NAC Server がエンドポイントにレイヤ 2 で隣接している場合に使用します。このモードでは、Server はブリッジとして機能し、ネットワークトラフィックのルーティング決定には関与しません。

注: 仮想ゲートウェイ（ブリッジ）モードは、レイヤ 3 OOB ACL 設計には適用できません。

実 IP ゲートウェイ（ルーテッド）モード

実 IP ゲートウェイ（ルーテッド）モードは、Cisco NAC Server がエンドポイントから複数ホップ離れている場合に適用できます。 Server を実 IP ゲートウェイとして使用する場合は、 Server の信頼インターフェイスの IP アドレス（Cisco NAC Manager から管理を提供するため）と非信頼インターフェイスの IP アドレスを 1 つずつ指定します。 2 つのアドレスは異なるサブネット上になければなりません。非信頼インターフェイスの IP アドレスは、非信頼サブネット上のエンドポイントとの通信に使用されます。 ACL を使用するレイヤ 3 OOB 配置では、認証および許可のために非信頼インターフェイスと通信するエンドポイントが必要になります。実 IP モードでは、非信頼インターフェイスに有効な IP アドレスを使用するため、Cisco NAC Server が実 IP ゲートウェイモードで動作するように設定する必要があります。

スケーラビリティ

標準の Cisco NAC Server では、最大 5000 人の同時接続エンドユーザをサポートできます。レイヤ 3 OOB ACL 設計は、5000 人以下のユーザにサービスを提供するサイトに適しています。複数のサイトがある場合は、サイトごとに追加の Server を配置できます。 5000 人を超えるユーザにサービスを提供する単一サイトがある場合は、外部ロードバランシング技術（Application Control Engine （ACE）ロードバランサなど）を使用することで単一サイトのユーザ数を 5000 人より多く拡張できます。

注: ACE ロードバランサについては、このドキュメントでは説明しません。

検出ホスト

検出ホストは、Cisco NAC Agent がネットワーク上の複数ホップ離れた位置にある Cisco NAC Server を検出するために使用する完全修飾ドメイン名（FQDN）または非信頼インターフェイスの IP アドレスです。 Agent は、既知の検出ホストアドレスに UDP パケットを送信して検出プロセスを開始します。検出パケットは、応答を受信するために NAC Server の非信頼インターフェイスに到達する必要があります。レイヤ 3 OOB 配置の場合、Server は認証 VLAN 上のデータトラフィックパスにありません。したがって、検出ホストは、Agent が Server に検出パケットを直接送信できるように、Cisco NAC Server の非信頼インターフェイスの IP アドレスに設定する必要があります。

ユーザエクスペリエンス（Cisco NAC Agent あり）

通常、企業ネットワークの管理者は、ユーザにクライアントマシンを発行する前にそれらのマシンに Cisco NAC Agent をインストールします。 Cisco NAC Agent の検出ホストの IPアドレスまたは解決可能な名前により、NAC Server の非信頼インターフェイスへの検出パケットの送信がトリガーされます。これにより、クライアントマシンは自動的に NAC プロセスを完了します。

ユーザエクスペリエンス（Cisco NAC Agent なし）

Cisco NAC Agent のないエンドポイント（通常はゲスト、コントラクター、非企業資産）は、自動的に NAC プロセスを完了しない場合があります。 Agent がないエンドポイントをサポートするための手動およびガイド付きの手法があります。詳細については、「エンドポイントから Cisco NAC Server への通信」の項を参照してください。

注: 可能な限り最良のエンドユーザエクスペリエンスを提供するために、エンドユーザのブラウザが信頼する証明書を使用してください。 Cisco NAC Server サーバ上で自己生成された証明書の使用は、本番環境には推奨されません。

Cisco NAC プロセスフロー

この項では、NAC OOB ソリューションの基本的なプロセスフローについて説明します。 Cisco NAC Agent がクライアントマシンにインストールされているシナリオとインストールされていないシナリオの両方について説明します。この項では、Cisco NAC Manager が SNMP を制御手段として使用してスイッチポートを制御する方法について説明します。これらのプロセスフローは、マクロ分析的な性質があり、機能決定手順だけを含んでいます。発生するすべてのオプションやステップは含んでおらず、また、エンドポイント評価基準をベースにする承認決定は含んでいません。

図 6 の丸で囲んだステップについては、図 7 のプロセスフロー図を参照してください。

図 6：レイヤ 3 アウトオブバウンド NAC ソリューションの NAC プロセスフロー

図 7：プロセスフロー図

Cisco NAC ソリューションの実装

ACL を使用するレイヤ 3 OOB NAC 設計では、Cisco NAC Server が認証機能をガイドしますが、Server はネットワークのポリシーエンフォースメントポイントではありません。エッジスイッチが、認証、隔離、およびアクセスの各段階でエンフォースメントポイントとして機能します。このように役割が変化するので、エッジスイッチでいくつかの追加の変更が必要になります。

ロールの分離

NAC の導入を成功させるには、エンドポイントの分離が不可欠です。エンドポイント分類の設計を決定したら、各クラスに割り当てるアクセス許可を決定する必要があります。以下では、推奨されるアプローチを図 8 に基づいて説明します。

図 8： Cisco NAC OOB ソリューションのロールの分離アプローチ

注: 上図では、Cisco NAC Manager インターフェイスと Cisco NAC Server の信頼インターフェイスは別の VLAN 上に配置されています。ただし、Server が実 IP ゲートウェイモードで導入されている場合には、これら 2 つのインターフェイスを同じ VLAN 上に配置できます。

非認証 VLAN は、次のリソースにアクセスする必要があります。

DHCP や DNS などのインフラストラクチャサービス
認証サーバ（通常は、NAC 検証の前に行われる Windows ドメインログインに使用されるドメインコントローラ）
NAC Server の非信頼インターフェイス
修復サーバ（オプション）

従業員 VLAN はすべてのリソースに無制限にアクセスでき、コントラクター VLAN はリソースの一部に制限付きでアクセスできますが、ゲスト VLAN は、通常、インターネットにしかアクセスできません。

アクセスリスト手法

アクセスリスト（ACL）は、ネットワークトラフィックを指定するために使用されます。 ACL でトラフィックを指定すると、トラフィックに対してさまざまな処理を実行できます。たとえば、トラフィックを許可、拒否、または制限したり、トラフィックを使用してルーティングアップデートを制限したりできます。

ACL 手法では、要件に基づいて作成した新しい VLAN インターフェイスごとに ACL のセットが適用されます。以下のサブセクションに示す CLI コマンドは、VLAN ACL を使用して信頼ネットワークと非信頼ネットワークのパスの分離を設定するために必要なコマンドを示しています。 ACL を実装するには、次の手順を実行します。

注: ロール分離のための VLAN の追加と、それらの VLAN に適用する ACL の設定は、すべてのエッジスイッチで行う必要があります。この作業は、NAC の導入準備の一部です。

NAC を実装する前に、既存の VLAN 設定を確認します。

次のテキストに示す CLI コマンドは、NAC 導入前に従業員 VLAN が通常はどのように設定されているのかを示しています。
```
!
int vlan
200description EMPLOYEES_Vlan
ip address 10.100.1.1 255.255.255.0
!
```
追加の VLAN を設定します。

NAC の導入前計画では、追加の VLAN と、VLAN インターフェイスに適用される関連 ACL を設定する必要があります。例として、次の CLI テキストに、非信頼、従業員、コントラクター、およびゲストの各ロール用に新しいレイヤ 3 VLAN を追加する方法を示します。
```
! 
int vlan
100description UNAUTHENTICATED_Vlan
ip address 172.16.1.1 255.255.255.0
!
int vlan
200description EMPLOYEES_Vlan
ip address 10.100.1.1 255.255.255.0
!
int VLAN
210description CONTRACTORS_Vlan
ip address 10.120.1.1 255.255.255.0
!
int vlan
300description GUESTS_Vlan
ip address 192.168.1.1 255.255.255.0
!
```

非認証ロールに対する制限を実装します。

非認証ロールの非認証デバイスは、通常、DNS、DHCP、Active Directory、修復サーバなどのクリーンネットワーク上のリソースへのアクセスを必要とします。また、Cisco NAC Server の非信頼インターフェイスへのアクセスも必要とします。次の設定例では、非認証ロールは、10.10.10.0/24 ネットワーク上のリソースと Cisco NAC Server の非信頼インターフェイスにアクセスできます。

! 
! this access-list permits traffic destined to devices on 10.10.10.x
! this should be a consistent ACL that can be applied across all L3 
switches
!
ip host NAC_SERVER_UNTRUSTED_INTERFACE <IP_Address>
access-list 100 permit ip any host NAC_SERVER_UNTRUSTED_INTERFACE
access-list 100 permit ip any 10.10.10.0 255.255.255.0
!
!
! then apply this access-list to the UNAUTHENTICATED_Vlan
!
int vlan100
description UNAUTHENTICATED_Vlan
ip address 172.16.1.1 255.255.255.0
ip access-group 100 in
!
int vlan200
description EMPLOYEES_Vlan
ip address 10.100.1.1 255.255.255.0
!
int vlan300
description GUESTS_Vlan
ip address 192.168.1.1 255.255.255.0
!

ゲスト VLAN に対する制限を実装します。

通常、ゲストロールはインターネットにしかアクセスできません。全内部ネットワークなどの不要なリソースへのアクセスはすべて、明示的に拒否する必要があります。唯一の例外になりうるのは、内部 DNS サーバです。

! 
! ACL 100 permits traffic destined to devices on 10.10.10.0 / 24
! this should be a consistent ACL that can be applied across all L3 
switches
!
access-list 100 permit ip any 10.10.10.0 255.255.255.0
!
!
! ACL 101 for Guests should deny access to all internal networks
! while DNS is permitted 
!
access-list 101 permit udp any host GUEST_DNS_SERVER eq 53
access-list 101 deny ip any 10.0.0.0 255.0.0.0
access-list 101 deny ip any 192.168.0.0 255.255.0.0
access-list 101 deny ip any 172.16.0.0 255.240.0.0
access-list 101 permit ip any any
!
int VLAN100
description UNAUTHENTICATED_VLAN
ip address 172.16.1.1 255.255.255.0
ip access-group 100 in
!
int VLAN200
description EMPLOYEES_VLAN
ip address 10.100.1.1 255.255.255.0
!
!
int VLAN300
description GUESTS_VLAN
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
!

エンドポイントから Cisco NAC Server への通信

Cisco NAC Server は、Cisco NAC Agent から、または ActiveX か Java アプレットによるデバイス MAC アドレスの決定と Cisco NAC Manager への報告がイネーブルになっている Web ログインページから、MAC 情報を取得します。

Cisco NAC Agent

Cisco NAC Agent は、ログインプロセスを開始するために NAC Server の非信頼インターフェイスと通信する必要があります。 Agent は、既知の検出ホスト値に基づいて Server を検出しようとします。図 9 に示すように、Cisco Agent の検出ホスト値は NAC Server の非信頼インターフェイス（172.23.117.57）を指しています。図 9 は、3 つの画面の組み合わせを示しています。

Cisco NAC Agent からのログインの詳細については、「Agent ログイン」の項を参照してください。

図 9： NAC Server の非信頼インターフェイスを指す検出ホスト

注: Cisco NAC Agent は、Cisco NAC Server から応答を受信できない場合には表示されません。

Web ログイン

Web ログインは、通常、ゲストログインセッションに必要となります。 ACL 分離手法が使用されている場合、NAC Server の非信頼インターフェイスは、直接的にはデータトラフィックのパスにありません。そのため、ユーザは、ブラウザを初めて開いたときに自動的にログインページにリダイレクトされません。エンドホストがログインページにアクセスできるようにするには、次の 2 つのオプションがあります。

オプション 1

ゲストログイン URL（guest.cisco.com など）を作成し、ユーザに知らせます。
ゲストは、ブラウザを開いてこの URL を入力する必要があります。そうすると、ログインページにリダイレクトされます。

オプション 2

非認証ユーザサブネット用のダミー DNS サーバを作成します。
このダミー DNS サーバは、すべての URL を Cisco NAC Server 非信頼インターフェイスに解決します。
ゲストがブラウザを開くと、アクセスしようとしている URL に関係なく、ログインページにリダイレクトされます。
その後、ユーザはそのロールに適した VLAN に移動され、ログインの成功時に IP のリリースまたは更新を実行すると、新しい DNS アドレスが割り当てられます。

レイヤ 3 OOBの設計では、Web ページを使用してログインするユーザは、ActiveX コントロール（Internet Explorer ブラウザの場合）または Java アプレット（IE 以外のブラウザの場合）のいずれかをダウンロードして実行します。次の処理を行うには、ActiveX コントロール（または Java）を実行する必要があります。

ホストの MAC アドレスを収集する。この MAC アドレスは、IP アドレスと MAC アドレスのマッピングを提供するために Cisco NAC Server と Cisco NAC Manager に報告されます。
エンドポイントクライアントの IP のリリースおよび更新を実行する。

注: ゲストに内部または外部 DNS の使用を許可するかどうかの決定は、各組織が行う必要があるポリシー決定です。パブリックベースの DNS サービスを使用すると、このアプローチに伴う潜在的なリスクを最小限に抑えることができます。

Web ページからのログインの詳細については、「Web ログイン」を参照してください。

NAC レイヤ 3 OOB ACL の設定例

NAC OOB ソリューションの導入を成功させるには、NAC コンポーネントが目的のアーキテクチャに合致するように設定する必要があります。図 10 は、この項で使用されるレイヤ 3 NAC OOB の論理ネットワーク図を表しており、ACL を使用する NAC レイヤ 3 OOB 配置に関連する Cisco NAC Manager、Cisco NAC Server、およびエッジスイッチの設定例を示しています。

図 10： NAC レイヤ 3 OOB の論理トポロジ図

レイヤ 3 実 IP OOB NAC 配置を設定するには、次の手順を実行します。

エッジスイッチにエンフォースメントを設定します。

最初に、エッジスイッチに 3 つの VLAN（UNAUTHENTICATED、CONTRACTORS、および GUESTS）を作成します。既存の本番 VLAN は従業員に使用します。

各 VLAN で ACL を設定して適用し、割り当てられたロールに基づいてネットワークへのアクセスを制限します。

非認証ロール： VLAN 17 および ACL 名： UNAUTH_ACL

! Create SVI for Un-auth VLAN

Edge Switch(config)#interface vlan 17
Edge Switch (config)#ip address 192.168.7.1 255.255.255.0
Edge Switch (config)#ip helper-address 192.168.3.10
! 192.168.3.10 is the dhcp server (see Figure 10) 

! Configure ACL for Un-auth Role
Edge Switch(conf)#ip access-list extended UNAUTH_ACL
   remark Allow Discovery packets from Agent to NAC Server
   permit udp any host 192.168.8.10 eq 8906
   remark Allow Discovery packets from Agent to NAC Server for ADSSO
   permit udp any host 192.168.8.10 eq 8910
   remark Allow Web traffic from PC to NAC Server
   permit tcp any host 192.168.8.10 eq www
   remark Allow SSL traffic from PC to NAC Server
   permit tcp any host 192.168.8.10 eq 443
   remark Allow DHCP permit udp any any eq bootpc
   permit udp any any eq bootps
   remark Allow DNS
   permit udp any any eq domain
   remark Allow Web traffic to the Remediation Server
   permit tcp any host 192.168.3.10 eq www

! Apply ACL for Un-auth VLAN Interface

Edge Switch(config)#interface vlan 17
Edge Switch(config)# ip access-group UNAUTH_ACL in

コントラクターロール： VLAN 77 および ACL 名： CONTRACTOR_ACL

! Create SVI for Contractor VLAN

Edge Switch(config)#interface vlan 77
Edge Switch (config)#ip address 192.168.77.1 255.255.255.0
Edge Switch (config)#ip helper-address 192.168.3.10

! Configure ACL for Contractor Role

Edge Switch(conf)#ip access-list extended CONTRACTOR_ACL
   remark Allow DHCP permit udp any any eq bootpc
   permit udp any any eq bootps
   remark Allow DNS
   permit udp any any eq domain
   remark Allow traffic to DMZ Subnet 
   permit ip any 192.168.3.0 0.0.0.255
   remark deny rest of the internal resources
   deny ip any 10.0.0.0 255.0.0.0
   deny ip any 192.168.0.0 255.255.0.0
   deny ip any 172.16.0.0 255.240.0.0
   remark permit internet
   permit ip any any

! Apply ACL for Contractor VLAN Interface

Edge Switch(config)#interface vlan 77
Edge Switch(config)# ip access-group CONTRACTOR_ACL in

ゲストロール： VLAN 78 および ACL 名： GUEST_ACL

! Create SVI for GUEST VLAN

Edge Switch(config)#interface vlan 78
Edge Switch (config)#ip address 192.168.78.1 255.255.255.0
Edge Switch (config)#ip helper-address 192.168.3.10

! Configure ACL for Guest Role

Edge Switch(conf)#ip access-list extended GUEST_ACL
   remark Allow DHCP 
   permit udp any any eq bootpc
   permit udp any any eq bootps
   remark Allow DNS
   permit udp any any eq domain
   remark deny access to the internal resources
   deny ip any 10.0.0.0 255.0.0.0
   deny ip any 192.168.0.0 255.255.0.0
   deny ip any 172.16.0.0 255.240.0.0
   remark permit internet
   permit ip any any

! Apply ACL for GUEST VLAN Interface

Edge Switch(config)#interface vlan 78
Edge Switch(config)# ip access-group GUEST_ACL in

従業員ロール： VLAN 14 および ACL： Production_ACL

既存の本番 VLAN は、従業員を非認証 VLAN から従業員 VLAN に移動させるために使用できます。 Cisco NAC Agent は、エンドクライアントがこの VLAN に移動された後も、Cisco NAC Server を検出しようとします。 Agent はこのように動作するように設計されています。 Agent は、Server にアクセスできる場合には、マシンがすでにアクセスを許可されていても、ポップアップ表示を行ってログインプロセスをもう一度実行しようとします。これは明らかに不要な動作であり、管理者は Agent から発信される UDP 8906 検出パケットが必ずドロップされるように設定する必要があります。 Employee_ACL を、これらの検出パケットをドロップするように設定します。
```
! Use Existing Production Layer 3 VLAN for Employees 

Edge Switch(config)#interface vlan 14
Edge Switch (config)#ip helper-address 192.168.3.10

! Configure ACL to prevent discovery packets from reaching the 
untrusted interface on the NAC Server

Edge Switch(conf)#ip access-list extended Employee_ACL
   remark Deny Discovery packets from Agent to NAC Server
   deny udp any host 192.168.8.10 eq 8906
   permit ip any any

! Apply ACL for Employee VLAN Interface

Edge Switch(config)#interface vlan 14
Edge Switch(config)# ip access-group Employee_ACL in
```

Cisco NAC Manager および Server の初期設定を行います。

Cisco NAC Manager および Server のインストールは、コンソールからアクセスして実行します。インストールユーティリティの指示に従って、Manager と Server の両方の初期設定を行うことができます。初期設定を行うには、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html
Cisco NAC Manager にライセンスを適用します。

コンソールでの初期設定を終えたら、Cisco NAC Manager GUI にアクセスして NAC Manager および Server の設定を続行します。最初に、アプライアンスに付属している Manager ライセンスおよび Server ライセンスをアップロードします。ライセンスのアップロードの詳細については、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html#wp1113597

注: Cisco NAC Manager および Server のライセンスはすべて、Manager の eth0 の MAC アドレスに基づいています。フェールオーバー設定では、ライセンスはプライマリおよびセカンダリ Cisco NAC Manager の eth0 の MAC アドレスに基づいています。
Cisco NAC Manager で Cisco.com からポリシーを更新します。

Cisco NAC Manager は、シスコにある中央アップデートサーバから定期的にアップデートを取得するように設定する必要があります。 Cisco NAC アプライアンスの Supported AV/AS Product List は、中央集中型アップデートサーバから配布される、バージョン管理されている XML ファイルです。このアップデートサーバは、ポスチャアセスメントおよび修復のためにアンチウイルス規則またはアンチスパイウェア規則、ならびにアンチウイルスまたはアンチスパイウェアの定義更新要件の設定に使用されるサポート対象のアンチウイルスおよびアンチスパイウェアのベンダーおよび製品バージョンの最新のリストを提供します。このリストは、Cisco NAC Agent の各リリースにアンチウイルス/アンチスパイウェア製品およびバージョンを対応させるために定期的に更新され、Agent の新しいバージョンに対応する製品を含みます。リストにはバージョン情報だけが提供されることに注意してください。 Cisco NAC Manager がサポート対象のアンチウイルスおよびアンチスパイウェア製品リストをダウンロードするときには、アンチウイルスおよびアンチスパイウェア製品の最新バージョンに関する情報がダウンロードされます。実際のパッチファイルやウイルス定義ファイルはダウンロードされません。この情報に基づいて、Agent はネイティブのアンチウイルスまたはアンチスパイウェアアプリケーションをトリガーし、アップデートを実行することができます。アップデートの取得方法の詳細については、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html#wp1351880
サードパーティの認証局（CA）から証明書をインストールします。

インストール中に、Cisco NAC Manager と Cisco NAC Server の両方の設定ユーティリティスクリプトから、一時 SSL 証明書を生成するように要求されます。ラボ環境の場合は、自己署名証明書を使用して続行できます。ただし、実稼働ネットワークの場合は、自己署名証明書の使用は推奨されません。

サードパーティ CA から Cisco NAC Manager に証明書インストールする手順の詳細については、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_admin.html#wp1078189

サードパーティ CA から Cisco NAC Server に証明書インストールする手順の詳細については、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_admin.html#wp1040111

注: ラボ環境で自己署名証明書を使用している場合は、Cisco NAC Manager と Cisco NAC Server がそれぞれの証明書を相互に信頼する必要があります。このためには、[SSL] > [Trusted Certificate Authorities] で両方の証明書を信頼できる認証局としてアップロードする必要があります。
Cisco NAC Server を Cisco NAC Manager に追加します。

NAC Manager に NAC Server を追加するには、次の手順を実行します。
1. [Device Management] ペインで [CCA Servers] をクリックします（図 11 を参照）。
2. [New Server] タブをクリックします。
3. [Server IP Address] ボックスを使用して、NAC Server の信頼できるインターフェイスの IP アドレスを追加します。
4. [Server Location] ボックスに、サーバの場所として「OOB NAC Server」と入力します。
5. [Server Type] ドロップダウンリストから [Out-of-Band Real-IP-Gateway] を選択します。
6. [Add Clean Access Server] をクリックします。
  図 11： Cisco NAC Manager への Cisco NAC Server の追加
  
  Cisco NAC Server を追加したら、[List of Servers] タブのリストに Server が表示されます（図 12 を参照）。
  
  注: Cisco NAC Server に Cisco NAC Manager を正しく追加するには、Manager と Server がそれぞれの認証局を相互に信頼する必要があります。
Cisco NAC Server を設定します。
1. 図 12 に示すように、[List of Servers] タブをクリックします。
2. Cisco NAC Server の管理アイコン（丸で囲んである部分）をクリックして設定を続行します。
  図 12： Cisco NAC Manager で管理される Cisco NAC Server
  
  管理アイコンをクリックすると、図 13 に示す画面が表示されます。
レイヤ 3 サポートをイネーブルにします。
1. [Network] タブ（図 13）をクリックします。
2. [Enable L3 Support] チェックボックスをオンにします。
3. [Enable L3 strict mode to block NAT devices with Clean Access Agent] チェックボックスをオンにします。
4. [Update] をクリックします。
5. 指示に従って、Cisco NAC Server を再起動します。
  図 13： Cisco NAC Server ネットワークの詳細
  
  注: Cisco NAC Server 用の証明書は、必ずその「信頼できない」インターフェイスの IP アドレスで常に生成してください。名前ベースの証明書の場合、その名前は信頼できないインターフェイスの IP アドレスに解決される必要があります。エンドポイントが Server の信頼できないインターフェイスと通信して NAC プロセスを開始すると、Server はユーザを証明書のホスト名または IP にリダイレクトします。証明書が信頼できるインターフェイスを参照している場合、ログインプロセスは正しく機能しません。
  
  上の図 13 には、2 つのデフォルトゲートウェイがあります。適用できるのは、信頼できるインターフェイスで設定されたデフォルトゲートウェイだけです。信頼できないインターフェイスの値は、トラフィックの転送には使用されません。信頼できないインターフェイスから転送されたトラフィックは、次のステップで説明するスタティックルートに依存します。
スタティックルートを設定します。
1. Cisco NAC Server が再起動したら、Server に戻り、設定を続行します。
  
  Server は、信頼できないインターフェイスを使用して非認証 VLAN 上のエンドポイントと通信する必要があります。
2. [Advanced] > [Static Routes]（図 14 を参照）に移動し、非認証 VLAN へのルートを追加します。
3. 非認証 VLAN の適切なサブネットを入力します。
4. [Add Route] をクリックします。
5. これらのルートに [Untrusted interface [eth1]] を選択します。
  図 14：非認証ユーザサブネットに到達するためのスタティックルートの追加
Cisco NAC Manager でスイッチのプロファイルを設定します。
1. [OOB Management] > [Profiles] > [Device] > [Edit]（図15を参照）を選択します。
2. 例を参考にして、デバイスプロファイル情報を入力します。
  
  各スイッチは、プロファイルに関連付けられます。 Cisco NAC Manager で管理するエッジスイッチについて、各タイプのプロファイルを追加します。 Manager は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。次の例では、SNMPv1 のみを設定しています。 Manager とスイッチ間の SNMP 通信のセキュリティを高めるために、SNMPv2 または SNMPv3c を設定することもできます。
  図 15：スイッチの管理に使用される SNMP プロファイル
3. SNMP のスイッチ設定を設定します。
  
  エッジスイッチには、Cisco NAC Manager で設定されているものと同じ SNMP 読み取り/書き込みコミュニティストリングを設定する必要があります。次の CLI コマンドを参照してください。
```
3560-remote(config)#snmp-server community cisco123 RO
3560-remote(config)#snmp-server community cisco321 RW
```
4. [OOB Management] > [Profiles] > [Port] > [New]（図16を参照）を選択します。
  
  ポートを個別に制御するには、[OOB Management] > [Profiles] > [Port] で、デフォルトの非認証 VLAN とデフォルトのアクセス VLAN を含むポートプロファイルを設定します。 [Access VLAN] セクションで、[Access VLAN] ドロップダウンを使用してユーザロール VLAN を指定します。 Cisco NAC Manager は、ユーザが属するロールで定義された VLAN に基づいて非認証 VLAN をアクセス VLAN に変更します。
  
  実装したユーザロールと VLAN に基づいてポートの VLAN を制御するポートプロファイルを定義します。
  
  認証 VLAN は、認証されていないデバイスが最初に割り当てられる非認証 VLAN（VLAN 17）です。
  
  デフォルトのアクセス VLAN は、従業員 VLAN（VLAN 14）です。この VLAN は、認証されたユーザにロールベースの VLAN が定義されていない場合に使用されます。
  
  アクセス VLAN では、デフォルトの VLAN をユーザロールで定義されたユーザロール VLAN で上書きできます（ユーザロールの設定の詳細については、「ユーザロールの設定」項で説明します）。 LDAP マッピングを使用して、NAC のユーザロールを LDAP グループにマッピングできます。詳細については、次の URL にアクセスしてください。
  
  http://www.cisco.com/en/US/products/ps6128/products_tech_note09186a0080846d7a.shtml
  図 16：スイッチポートを管理するためのポートプロファイル
  
  注: ID の代わりに VLAN 名を定義することもできます。 VLAN 名を定義すると、キャンパス全体にわたって各スイッチに個別の VLAN ID を割り当てる一方で、特定のロールに同じ VLAN 名を関連付けることができます。
  
  ポートプロファイルには、IP のリリースおよび更新オプションのための追加オプションが用意されています。図 16 に示すページを下にスクロールすると、これらのオプションが表示されます。
  
  ユーザが IP Phone の背後にいる場合は、[Bounce the port after VLAN is changed] チェックボックス（図 17 を参照）をオフにします。このチェックボックスがオンになっていると、ポートがバウンスされたときに IP Phone が再起動する可能性があります。
  図 17：ポートプロファイルに用意されているさまざまなオプション
SNMP レシーバ設定を構成します。

SNMP コミュニティストリングの読み書き設定に加えて、Cisco NAC Manager がスイッチから SNMP トラップを受信するように設定する必要もあります。このトラップは、ユーザがポートに接続したときとポートから切断したときに送信されます。 Cisco NAC Server が Manager に特定のエンドポイントの MAC/IP アドレス情報を送信すると、Manager は MAC/IP とスイッチポートのマッピングテーブルを内部的に作成します。

注: すべてのスイッチを、図 18 で定義されたコミュニティストリングを使用して Cisco NAC Manager にトラップまたは通知を送信するように設定する必要があります。
1. [OOB Management] > [Profiles] > [SNMP Receiver]（図18を参照）を選択します。
2. 図 18 の画面を参考にして、SNMP トラップ設定を設定します。
  図 18： SNMP トラップおよび通知を収集するための NAC Manager SNMP レシーバの設定
3. SNMP トラップのスイッチ設定を構成するには、シスコ推奨の NAC OOB のベストプラクティスに従って、デフォルトスイッチの Clean Access Manager（CAM）のフラッシュタイマーを 1 時間（下の CLI ボックスの 3600）に増やします。 CLI サンプルでは、mac-address-table aging-time パラメータを 3600 に設定しています。
  
  タイマーを 1 時間に設定すると、すでに Cisco NAC Manager に接続しているデバイスの MAC 通知の送信頻度が減少します。 source trap コマンドを使用して、トラップの送信に使用する送信元アドレスを指定します。
```
snmp-server enable traps mac-notification
snmp-server host 192.168.2.33 informs NacTraps
snmp-server trap-source Vlan 2
mac-address-table aging-time 3600
```
  必要に応じて、Cisco NAC Manager に送信するリンクアップおよびリンクダウントラップを設定します（CLI サンプルには示されていません）。これらのトラップは、エンドホストが IP Phone の背後で接続されない導入シナリオでのみ使用されます。
  
  注: SNMP 通知は SNMP トラップよりも信頼性が高いため、こちらを使用することが推奨されています。また、トラフィックの多いネットワーク環境では、QoS for SNMP の使用を検討してください。
Cisco NAC Manager でスイッチをデバイスとして追加します。
1. [OOB Management] > [Devices] > [Devices] > [New]（図19を参照）を選択します。
  
  ステップ 10 で作成したスイッチプロファイルを使用してスイッチを追加します。
2. [Device Profile] で、作成したプロファイルを使用します。ただし、スイッチを追加するときに [Default Port Profile] の値を変更しないでください。
  
  注: [Default Port Profile] では、必ず [uncontrolled] を選択してください。アクセススイッチのすべてのポートを管理することは決してないからです。少なくとも 1 つのアップリンクポートが管理されていないはずです。したがって、管理されていないポートプロファイルがあるスイッチを追加してから、管理が必要なポートを選択する必要があります。
  図 19： Cisco NAC Manager で SNMP を使用して管理するエッジスイッチを追加する
3. Cisco NAC Manager にスイッチを追加した後、管理するポートを選択します。
デバイスのスイッチポートが NAC で管理されるように設定します。
1. [OOB Management] > [Devices Switch[IP address]] > [Ports] > [List] を選択して、管理可能なスイッチポートを表示します（図 20 を参照）。
  図 20：マネージドスイッチで使用可能なポート管理の選択
2. [OOB Management] > [Devices Switch[IP address]] > [Ports] > [Manage] を選択して、複数のポートを一度に管理します（図 21 を参照）。
  図 21： [Join] オプションを使用した複数ポートの管理
ユーザロールを設定します。

この例では、3 つの追加のロールを作成します。エッジでは、各ロールに対応する VLAN がすでに作成されています。
1. [User Management] > [User Roles] > [Edit Role] を選択し、図 22 を参考にして従業員ロールを作成します。
  図 22：従業員ロールの作成と実稼働 VLAN 14 へのマッピング
2. [User Management] > [User Roles] > [Edit Role] を選択し、図 23 を参考にしてコントラクターロールを作成します。
  図 23：コントラクターロールの作成と制限付きアクセス VLAN 77 へのマッピング
3. [User Management] > [User Roles] > [Edit Role] を選択し、図 24 を参考にしてゲストロールを作成します。
  図 24：ゲストロールの作成とインターネットのみ VLAN へのマッピング
  
  この項では、図 25 に示すように、全部で 6 つのロール（3 つのデフォルトロールと 3 つの新規ロール）を作成しました。
  図 25： NAC Manager でのロールの追加
ユーザを追加し、適切なユーザロールに割り当てます。

キャンパス環境では、外部認証サーバと連携し、LDAP 属性を使用してユーザを特定のロールにマッピングします。この例では、ローカルユーザを使用し、そのローカルユーザとロールを関連付けます。
ユーザログインページを Web ログイン用にカスタマイズします。

デフォルトのログインページは、Cisco NAC Manager にすでに作成されています。必要に応じて、ログインページをカスタマイズして Web ポータルの外観を変更できます。 NAC レイヤ 3 OOB ソリューションでは、次のタスクを実行するために ActiveX または Java コンポーネントをエンドクライアントにダウンロードする必要があります。
1. クライアントマシンの MAC アドレスを取得します。
2. IP アドレスのリリースおよび更新を実行します。
3. [Administration] > [User Pages]（図 26 を参照）を選択します。
4. ページを編集して、図 26 に示すオプションをイネーブルにします。
  図 26： Web ログイン用のユーザページ設定
Cisco NAC Agent をユーザロールに合わせてカスタマイズします。
1. [Device Management] > [Clean Access] > [General Setup] > [Agent Login]（図 27 を参照）を選択します。
  
  Cisco NAC Manager は、任意のユーザロールで Agent を必須にするように設定できます。この例では、Agent は従業員ロールで必須です。コントラクターおよびゲストロールは、Web ログインを使用する必要があります。
2. [Require use of Agent] チェックボックスをオンにします。
  図 27：従業員ロールでの Agent ログインの必須化
Cisco NAC Agent の検出ホストを配布します。

Cisco NAC Agent ソフトウェアの配布、インストール、および設定については、付録の「Cisco NAC アプライアンスでの Agent ログインとクライアントポスチャアセスメントの設定」の項で説明します。この例では、Cisco NAC Manager で検出ホストを設定します。

[Device Management] > [Clean Access] > [Clean Access Agent] > [Installation]（図 28 を参照）を選択します。
図 28： Cisco NAC Agent の検出ホスト

Cisco NAC Server から Cisco NAC Agent をダウンロードした場合、[Discovery Host] フィールドは、図 28 に示すように、事前に入力されています。
Web ログインを行います。
1. Cisco NAC Manager によって管理されるエッジポートの 1 つを使用して、クライアントマシンを接続します。
  
  クライアントマシンは、非認証 VLAN に配置されます。マシンは、非認証 VLAN サブネットから IP アドレスを取得する必要があります。
2. ブラウザを開いてログインを実行します。
  
  ここでは、このクライアントマシンに Cisco NAC Agent がまだインストールされていないことを前提としています。すべての DNS エントリが Cisco NAC Server の信頼できないインターフェイスにリダイレクトされる場合、ブラウザは自動的にログインページにリダイレクトされます。そうでない場合は、特定の URL（guest.nac.local など）にアクセスしてログインを実行します（図 29 を参照。
  図 29： Web ログインページ
Agent ログインを行います。

Cisco NAC Agent は、他のソフトウェアアプリケーションと同様の方法でエンドユーザに配布できます。または、Cisco NAC Server を使用して強制的に配布することもできます。

注: Agent の配布とインストールの詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide』を参照してください。

エージェントがアクティブ化されると、図 30 に示す画面が表示されます。
図 30： Agent ログイン
1. [Server] ドロップダウンリストからサーバを選択します。
2. ユーザ名を入力します。
3. パスワードを入力します。
4. [Log In] をクリックします。
  
  図 31 の画面が表示され、そのすぐ後に図 32 の画面が表示されます。
  図 31： IP のリリースおよび更新を実行している Cisco NAC Agent
  
  図 32： IP の更新後にフルネットワークアクセスを示している Cisco NAC Agent
5. [OK] をクリックします。

VLAN 割り当ての検証

この例のマネージドポートは 0/7 です。ログインプロセスが正常に完了すると、VLAN が非認証 VLAN 14 から従業員 VLAN 17 に変更されます。次のコマンドを発行すると、コンフィギュレーションを実行しているポートを確認できます。

3560-remote#show run interface fast 0/7
Building configuration…

Current configuration : 153 bytes
!
interface FastEthernet0/7 
 switchport access VLAN 14 
 switchport mode access 
 snmp trap mac-notification change added 
 spanning-tree portfast
end

ワイヤレス向け NAC レイヤ 3 OOB ACL ソリューション

既存の NAC OOB ワイヤレスソリューションは、現在、仮想ゲートウェイモードの Cisco NAC Server によるレイヤ 2 OOB ソリューションに限定されます。このソリューションの制限は、ワイヤレス LAN コントローラ（WLC）が Cisco NAC Server とレイヤ 2 で隣接している必要があることです。レイヤ 2 OOB ワイヤレス環境に関する詳細については、次のページを参照してください。

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a138cc.shtml

注: 現在、シスコはワイヤレス環境向けの NAC レイヤ 3 OOB ACL ソリューションの開発に取り組んでいます。

付録

ハイアベイラビリティ

ソリューションの個々の Cisco NAC Manager と Cisco NAC Server は、2 つのアプライアンスがアクティブ/スタンバイ構成で動作するハイアベイラビリティモードに設定できます。

NAC Manager

Cisco NAC Manager は、2 つの NAC Manager がアクティブ/スタンバイ構成で動作するハイアベイラビリティモードに設定できます。 Manager の設定全体がデータベースに保存されます。スタンバイ Manager は、そのデータベースをアクティブ Manager のデータベースと同期します。アクティブ Manager に加えられた設定変更は、ただちにスタンバイ Manager にプッシュされます。次のキーポイントに、ハイアベイラビリティ Manager の動作の要約を示します。

Cisco NAC Manager のハイアベイラビリティモードはアクティブ/パッシブの 2 サーバの構成で、スタンバイ Manager がアクティブ Manager のバックアップの役割を担います。
アクティブ Cisco NAC Manager がシステムのすべての作業を実行します。スタンバイ Manager は、アクティブ Manager を監視し、そのデータベースとアクティブ Manager のデータベースとの同期を維持します。
両方の Cisco NAC Manager で、Eth0 信頼インターフェイスの仮想サービス IP を共有します。サービス IP は、SSL 証明書に使用する必要があります。
プライマリおよびセカンダリ Cisco NAC Manager は、UDP ハートビートパケットを 2 秒ごとに交換します。ハートビートタイマーの期限が切れると、ステートフルフェールオーバーが発生します。
アクティブ Cisco NAC Manager が常に利用可能であることを確認するために、信頼インターフェイス（Eth0）を有効にする必要があります。 Manager がアクティブになっているにもかかわらず、その信頼できるインターフェイスからアクセスできない状況になるのを回避する必要があります。この状況は、スタンバイ Manager がアクティブ Manager からハートビートパケットを受信したものの、アクティブ Manager の Eth0 インターフェイスに障害が発生した場合に起こります。リンク検出機能により、スタンバイ Manager はアクティブ Manager の Eth0 インターフェイスが使用不能になったことを認識できます。
[Administration] > [CCA Manager] > [Failover] ページでは、Eth1 インターフェイスの「自動設定」を選択できます。ただし、その他（Eth2 または Eth3）のハイアベイラビリティインターフェイスは、Cisco NAC Manager でハイアベイラビリティを設定する前に、IP アドレスとネットマスクを使用して手動で設定する必要があります。
Eth0、Eth1、Eth2/Eth3 インターフェイスは、ハートビートパケットとデータベース同期に使用できます。さらに、使用可能なシリアル（COM）インターフェイスもハートビートパケットに使用することができます。これらのインターフェイスを複数使用している場合、フェールオーバーが起こるのは、すべてのハートビートインターフェイスに障害が発生した場合だけです。

注: Cisco NAC Manager のハイアベイラビリティペアをレイヤ 3 リンクで区切ることはできません。

詳細については、次の URL にある Cisco NAC Manager のマニュアルを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

Cisco NAC Server

シングルポイント障害に対する保護を提供するために、Cisco NAC Server はハイアベイラビリティモードに設定できます。 Cisco NAC Server のハイアベイラビリティモードは、Cisco NAC Manager のハイアベイラビリティモードに似ており、Manager と同様にアクティブ/スタンバイ設定を使用します。 Cisco NAC Server は、引き続き仮想 IP アドレス（サービス IP と呼ばれます）を共有しますが、仮想 MAC アドレスは共有しません。

次のキーポイントに、ハイアベイラビリティ Cisco NAC Server の動作の概要を示します。

Cisco NAC Server のハイアベイラビリティモードは、スタンバイ Cisco NAC Server マシンがアクティブ Cisco NAC Server マシンのバックアップとして機能する、アクティブ/パッシブの 2 つのサーバ構成です。
アクティブ Cisco NAC Server がシステムのすべての作業を実行します。 Server の設定の大半は Cisco NAC Manager に保存されているため、Server のフェールオーバーが発生すると、Manager は設定を新しいアクティブ Server にプッシュします。
スタンバイ Cisco NAC Server は、そのインターフェイス間でパケットを転送しません。
スタンバイ Cisco NAC Server は、ハートビートインターフェイス（シリアルおよび 1 つ以上の UDP インターフェイス）経由でアクティブ Server の状態を監視します。ハートビートパケットはシリアルインターフェイス、専用の Eth2 インターフェイス、専用の Eth3 インターフェイス、Eth0 または Eth1 インターフェイス（Eth2 または Eth3 インターフェイスが利用できない場合）上で送信できます。
プライマリおよびセカンダリ Cisco NAC Server は、UDP ハートビートパケットを 2 秒ごとに交換します。ハートビートタイマーの期限が切れると、ステートフルフェールオーバーが発生します。
ハートビートベースのフェールオーバーの他に、Cisco NAC Server は Eth0 または Eth1 リンク障害に基づいてリンクベースのフェールオーバーも提供します。 Server は、Eth0 または Eth1 インターフェイス経由で ICMP ping パケットを外部 IP アドレスに送信します。フェールオーバーが発生するのは、外部アドレスに ping を実行できる Cisco NAC Server が 1 つの場合のみです。

詳細については、次の URL にある Cisco NAC Server のマニュアルを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

Active Directory SingleSignOn（Active Directory SSO）

Windows Active Directory SSO は、バックエンド Kerberos Domain Controller（Active Directory サーバ）で認証済みのユーザを自動的にログインする、Cisco NAC アプライアンスの機能です。この機能を使用すると、ドメインへのログインを済ませた後に Cisco NAC Server にログインする必要がなくなります。 Cisco NACアプライアンスでの Active Directory SSO の設定の詳細については、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_adsso.html

Windows ドメイン環境に関する考慮事項

NAC 展開に備えて、ログインスクリプトポリシーの変更が必要になる場合があります。 Windows ログインスクリプトは、スタートアップ/シャットダウンスクリプトとログオン/ログオフスクリプトに分類できます。 Windows では、スタートアップ/シャットダウンスクリプトは「マシンコンテキスト」で実行されます。これらのスクリプトの実行は、PC の起動時またはシャットダウン時にスクリプトで特定のロール（通常は非認証ロール）のために必要になる、適切なネットワークリソースを Cisco NAC アプライアンスが開いている場合にのみ機能します。ログオン/ログオフスクリプトは、「ユーザコンテキスト」で実行されます。つまり、ログオンスクリプトは、ユーザが Windows GINA を介してログインした後に実行されます。ログオンスクリプトは、その時点で認証またはクライアントマシンのポスチャアセスメントが完了しておらず、ネットワークアクセスが許可されていない場合には失敗することがあります。これらのスクリプトは、OOB ログオンイベントの後に Cisco NAC Agent が開始する IP アドレスの更新によって中断される場合もあります。ログインスクリプトに必要な変更の詳細については、次のページを参照してください。

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a70c18.shtml

Cisco NAC アプライアンスでの Agent ログインとクライアントポスチャアセスメントの設定

Cisco NAC Agent および Cisco NAC Web Agent には、クライアントマシンに対してローカルのポスチャ評価および修復を行う機能があります。ユーザは Cisco NAC Agent または Cisco NAC Web Agent（読み取り専用クライアントソフトウェア）をダウンロードおよびインストールして、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。エージェント、ポスチャアセスメント、および修復の詳細については、次のページを参照してください。

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html

ACL による Cisco NAC レイヤ 3 OOB

ダウンロード オプション

翻訳について

目次

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

お問い合わせ先

関連するシスコ コミュニティ ディスカッション

このドキュメントは次の製品に対応しています

シェアする

ダウンロードオプション

シスコエンジニア提供

関連するシスココミュニティディスカッション