Cisco Secure Access Control System 5.8 インストール/アップグレードガイド

Book Title

Chapter Title

ACS サーバの展開について

PDF - Complete Book (12.75 MB) PDF - This Chapter (933.0 KB)
View with Adobe Reader on a variety of devices
ePub - Complete Book (1.6 MB)
View in various apps on iPhone, iPad, Android, Sony Reader, or Windows Phone
Mobi - Complete Book (1.9 MB)
View on Kindle device or Kindle app on multiple devices

ACS サーバの展開について

この章では、ACS サーバの考えられる展開方法とそのコンポーネントの概要について説明します。

この章の内容は、次のとおりです。

展開シナリオ

ここでは、ACS を使用する次の 3 つの展開シナリオについて説明します。

■小規模 ACS 展開

■中規模 ACS 展開

■大規模 ACS 展開

小規模 ACS 展開

最も基本的な ACS の展開は、図 1 に示すように、2 台のサーバで構成されます。第 1 のサーバは、ネットワークのすべての設定、認証、ポリシー要件を満たすプライマリサーバです。

第 2 のサーバは、AAA クライアントとプライマリサーバ間の接続が失われた場合にバックアップサーバとして使用されます。プライマリ ACS サーバからセカンダリサーバへのレプリケーションを使用して、セカンダリサーバがプライマリサーバと同期している状態を保ちます。

小規模なネットワークでは、この構成により、プライマリとセカンダリの RADIUS または TACACS サーバを、すべての AAA クライアントで同じように設定できます。

図 1 小規模 ACS 展開

組織内のユーザと AAA クライアントの数の増加に応じて、ACS の展開方法を基本的な設計から変更し、図 2 に示す分割 ACS 展開設計を使用することを推奨します。

分割 ACS 展開

分割 ACS 展開では、小規模 ACS 展開と同様にプライマリサーバとセカンダリサーバを使用しますが、AAA の負荷を 2 台のサーバに分散し、AAA フローを最適化します。AAA 接続に問題が発生した場合は、各サーバが両方のサーバのすべての負荷を処理しますが、通常運用時には、どちらのサーバも認証要求のすべての負荷を処理しません。

サーバのこの特性により、各 ACS システムへの負荷が最適化され、正常動作を通じてセカンダリサーバの動作状態を知ることができます。

この配置のもう 1 つの利点は、各サーバを、デバイスの管理やネットワークの許可など特定の運用のために使用しながら、障害時にすべての AAA 機能を実行できることです。

2 台の ACS システムが、AAA クライアントからの認証要求の処理とアカウンティングデータの収集を行うため、一方のシステムをログコレクタとして使用することを推奨します。図 2 では、セカンダリ ACS サーバをログコレクタとして使用しています。

図 2 分割 ACS 展開

この設計のもう 1 つの利点は、図 3 に示すように拡張が可能なことです。

中規模 ACS 展開

ローカルネットワークの成長に応じて、さらに ACS サーバをシステムに追加する必要があります。このシナリオでは、プライマリサーバを昇格させて構成サービスを実行し、セカンダリサーバを AAA 機能で使用することを検討します。ログトラフィック量が増大した場合は、セカンダリサーバの 1 台を専用の中央ログコレクタサーバとして使用する必要があります。ACS 5.8 は、展開では 1 個の追加 ACS インスタンスをサポートします。ACS 5.8 メディア展開では、14 個の ACS インスタンスをサポートします。実際のプライマリインスタンスを降格させる場合に、この追加 ACS インスタンスをプライマリインスタンスにプロモート可能な専用インスタンスとして指定できます。

図 3 中規模 ACS 展開

大規模 ACS 展開

図 4 に示すような大規模 ACS 展開では、集中化されたロギングを使用することを強く推奨します。ACS 5.8 は、展開では 1 個の追加 ACS インスタンスをサポートします。ACS 5.8 の大規模な展開では、22 個の ACS インスタンスをサポートします。実際のプライマリインスタンスを降格させる場合に、この追加 ACS インスタンスをプライマリインスタンスにプロモート可能な専用インスタンスとして指定できます。使用率の高いネットワークでは、大量の syslog トラフィックが生成される可能性があるため、専用のロギングサーバ（モニタリングおよびレポートサーバ）を使用することが推奨されます。ACS は発信ログトラフィックに対して syslog メッセージを生成するため、RFC-3164 に準拠した任意の syslog サーバを使用して発信ロギングトラフィックを収集できます。

このタイプのサーバでは、すべての ACS サーバに対して、ACS が備えているレポート機能とアラート機能を使用できます。これには特別なライセンスが必要です（『 User Guide for Cisco Secure Access Control System 5.8 』を参照してください）。ACS サーバのインストールの詳細については、ACS サーバのインストールを参照してください。

モニタリングおよびレポートサーバと汎用 syslog サーバの両方にログを送信するようにサーバを設定することも検討してください。汎用 syslog サーバを追加することにより、モニタリングおよびレポートサーバがダウンした場合に、バックアップが提供されます。

注：ACS 5.8 は、ACS インスタンス数が 22 を超える大規模導入をサポートしていません。

図 4 大規模 ACS 展開

分散 ACS 展開

分散 ACS 展開は、世界中にキャンパスがある組織で有効です。ホームキャンパスにプライマリネットワークがある場合もありますが、さまざまな地域のキャンパスに、小規模から大規模の LAN が存在することもあります。

AAA パフォーマンスを最適化するために、これらの各リモートキャンパスには独自の AAA インフラストラクチャを配置します。図 5を参照してください。一貫性のある同期された AAA ポリシーを維持するためには、集中化された管理モデルを使用する必要があります。

集中化された構成でも、プライマリ ACS サーバと個別のモニタリングおよびレポートサーバを使用する必要があります。しかし、各リモートキャンパスには固有の要件があります。

図 5 分散 ACS 展開

リモートサイトがあるネットワークを計画する際に検討すべき要素としては、次のものがあります。

■中央または外部データベース（Microsoft Active Directory（AD）または Lightweight Directory Access Protocol（LDAP））を使用しているかどうかを確認します。最適化のために、ACS がアクセス可能な、外部データベースの同期されたインスタンスを各リモートサイトに配置する必要があります。

■AAA クライアントの場所も重要な留意事項です。ネットワークの遅延による影響や、WAN 障害によってアクセスできなくなる可能性を減らすために、ACS サーバは、できるだけ AAA クライアントの近くに配置する必要があります。

■ACS では、バックアップなどの一部の機能にコンソールからアクセスできます。各サイトで端末を使用することを検討します。これにより、ネットワークの外部から各サーバに対するセキュアなコンソールアクセスが可能になります。

■小規模なリモートサイトが近くにあり、他のサイトへの信頼できる WAN 接続がある場合は、近くのサイトにある ACS サーバをローカルサイトのバックアップサーバとして使用し、冗長性のある構成とすることもできます。

■外部データベースにアクセスできるようにするには、すべての ACS ノードで DNS を適切に設定する必要があります。

ACS サーバの設定について

ここでは、各種 ACS サーバの役割と、その設定方法についての概要を説明します。ロールのサーバへの割り当てと設定の詳細については、『 User Guide for Cisco Secure Access Control System 5.8 』を参照してください。

この項の構成は、次のとおりです。

■プライマリサーバ

■セカンダリサーバ

■ログ収集サーバ

インストール手順は、どの ACS サーバでも同様です。

ACS（CSACS-1121 アプライアンスモデル）の設置については、CSACS-1121 を使用した Cisco Secure Access Control System のインストールと設定を参照してください。ACS（Cisco SNS-3415 アプライアンスモデル）の設置についてはCisco SNS-3415 および Cisco SNS-3495 を使用した Secure Access Control System のインストールと設定を、ACS（VMware ESX）の設置についてはVMware 仮想マシンへの ACS のインストールを参照してください。ACS の導入時は、必ずプライマリサーバを最初に設置してください。

プライマリサーバ

ACS 展開では、1 つのインスタンスだけが ACS プライマリとなり、構成機能を提供するとともに、レプリケーションのソースとなります。

ACS プライマリサーバでは、ACS の展開に必要なすべてのシステム設定を行うことができます。ただし、ライセンスとローカル証明書は、各 ACS セカンダリサーバで個別に設定する必要があります。

セカンダリサーバ

プライマリサーバを除く他のすべてのインスタンスはセカンダリサーバとして機能します。

セカンダリ ACS サーバは、プライマリサーバからすべてのシステム設定を受け取ります。ただし、次のものは各セカンダリサーバで設定する必要があります。

■ライセンス：展開内の各 ACS セカンダリサーバに対し、固有の基本ライセンスをインストールします。

■新しいローカル証明書：セカンダリサーバでローカル証明書を設定するか、プライマリサーバからローカル証明書をインポートします。

■ログ収集サーバ：プライマリサーバとセカンダリサーバのいずれかを、ACS のログ収集サーバとして設定できます。セカンダリ ACS サーバをログ収集サーバとして設定することを推奨します。

注：セカンダリサーバのインストール先を選択する場合、プライマリサーバとセカンダリサーバの間でネットワークアドレスは変換できません。

セカンダリサーバを ACS 環境の一部とするためには、アクティベーションを行う必要があります。管理者は、セカンダリサーバのアクティベーションを行うか、自動アクティベーションを設定する必要があります。デフォルトでは、アクティベーションは自動に設定されます。

セカンダリサーバは、アクティベーションが行われると、設定とレプリケーションの更新がプライマリサーバと同期されます。

ログ収集サーバ

プライマリサーバまたはいずれかのセカンダリサーバがログ収集サーバとして機能できます。

ログ収集サーバは、展開内のプライマリサーバとすべての ACS セカンダリサーバからログを受信します。ACS セカンダリサーバのうちの 1 台をモニタリングおよびレポートサーバとして割り当て、このセカンダリサーバを AAA アクティビティから除外することを推奨します。

3 つの主なロギングカテゴリは、監査、アカウンティング、および診断です。

ロギングカテゴリと設定の詳細については、『 User Guide for Cisco Secure Access Control System 5.8 』を参照してください。

Book Title

Chapter Title

検索結果

章のタイトル： ACS サーバの展開について

ACS サーバの展開について