CAM における OOB スイッチ管理の設定
ここでは、アウトオブバンドで使用する場合の Web 管理コンソールの設定手順を説明します。通常は、まず [OOB Management] > [Profiles] で、グループ、スイッチ、ポート プロファイルと、Clean Access Manager の SNMP Receiver の設定を行います。プロファイルの設定が完了したら、制御対象のスイッチを Clean Access Manager のドメインに追加し([OOB Management] > [Devices])、スイッチにプロファイルを適用します。
スイッチが追加されると、スイッチのポートが検出され、[OOB Management] > [Devices] > [Devices] > [List] に、[Port] アイコンと [Config] のアイコンおよび各スイッチのページが表示されます。
管理 [Ports] アイコンをクリックすると、[Ports] タブが表示されます。[Ports] ページでは、管理対象ポート プロファイルを特定のポートに適用し、信頼ネットワークへのアクセスを許可する前に認証/証明のためにクライアントのトラフィックが一時的に CAS を通過するようなルーティングを設定します。
設定手順は次のとおりです。
1.
前述の「スイッチの設定」の説明に従って、設定値を決め、管理対象スイッチを設定してください。
2.
「アウトオブバンドの Clean Access Server の追加と環境設定」
3.
「IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定」
4.
「グループ プロファイルの設定」
5.
「スイッチ プロファイルの設定」
6.
「ポート プロファイルの設定」
7.
「VLAN プロファイルの設定」
8.
「SNMP Receiver の設定」
9.
「スイッチの追加および管理」
10.
「スイッチ ポートの管理」
アウトオブバンドの Clean Access Server の追加と環境設定
(注) CAM と CAS との間に安全な初期の通信チャネルを確立するには、CAM が CAS の証明書を信頼できるように、また CAS が CAM の証明書を信頼できるように、各アプライアンスからのルート証明書を他方のアプライアンスの信頼できるストアにインポートする必要があります。
アウトオブバンド配置の CAM/CAS の設定は、ほとんどが Web 管理コンソールの [OOB Management] モジュールから直接実行できます。[OOB Management] モジュールによる設定を除けば、OOB の設定は従来のインバンドの設定とほとんど同じです。インバンドの場合と異なるのは次の点です。
ステップ 1
Clean Access Server を追加する際に、アウトオブバンドのゲートウェイ タイプを選択します(図 3-7)。
図 3-7 新しい OOB サーバを追加する
新しい Clean Access Server を追加するためのドロップダウン メニューにアウトオブバンド [Server Types] が表示されます。
•
OOB Virtual Gateway
•
OOB Real-IP Gateway
Clean Access Server は、インバンドとアウトオブバンドの いずれか一方 に設定しなければなりません。Clean Access Manager は、そのドメイン内のインバンド CAS とアウトオブバンド CAS のどちらも制御できます。
(注) • Virtual Gateway(インバンドもアウトオブバンドも)の場合、Web コンソールを通じた CAS の CAM への追加が完了するまで、その CAS の非信頼側インターフェイス(eth1)をスイッチに接続しないでください。
•
仮想ゲートウェイ モードで VLAN マッピングを使用する場合(インバンドまたはアウトオブバンド)は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で、VLAN マッピングが適切に設定されるまで、CAS の非信頼側インターフェイス(eth1)をスイッチに接続しないでください。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。
ステップ 2
OOB Virtual Gateways を使用する場合、スイッチで設定されている各 Auth/Access VLAN ペアの CAS で VLAN マッピング(図 3-8)をイネーブルにして設定する必要があります。これは、認証 VLAN からアクセス VLAN(またはその逆)への未認証クライアントの許可トラフィック(DHCP/DNS など)の再タグ付けを行うために必要です。Virtual Gateway モードで動作する CAS アプライアンスの VLAN プルーニングをイネーブルにすることもできます。VLAN マッピングおよび VLAN プルーニングの詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください。
図 3-8 OOB Virtual Gateways の VLAN マッピングをイネーブルにする
ステップ 3
ロール ベースのポート プロファイルを使用する場合は(「ポート プロファイルの設定」を参照)、新規ユーザ ロール作成時に [Out-of-Band User Role VLAN] フィールドにアクセス VLAN を指定します(図 3-9)。詳細については、「新しいユーザ ロールの追加」を参照してください。
図 3-9 アクセス VLAN でユーザ ロールを設定する
(注) ポート プロファイルで、またはアウトオブバンド ユーザ ロール VLAN に対して VLAN 名または VLAN ID を指定できます。VLAN ID には番号だけ指定できます。VLAN Name では大文字と小文字が区別されますが、VLAN Name にはワイルドカードを指定できます。スイッチではワイルドカード VLAN 名の初回一致が使用されます。
ステップ 4
アウトオブバンドがイネーブルになっていると、[Monitoring] > [View Online Users] ページに [In-Band] と [Out-of-Band] の両方のユーザのリンクと設定値が表示されます(図 3-10)。詳細については、「OOB ユーザ」を参照してください。
図 3-10 アウトオブバンド オンライン ユーザを表示する
IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定
OOB 配置の重要な機能の 1 つは、IP 電話からの MAC 通知イベントによって VLAN 変更などのネットワーク接続の変更が開始されるときに、クライアント マシンからネットワークへの接続に使用する IP 電話によって間違ってクライアント接続が終了しないようにすることです。次の手順を実行します。
•
IP 電話の MAC アドレスの [Ignore] オプションでグローバル デバイス フィルタ([Device Management] > [Filters] > [Devices] > [New] または [Edit])を設定し、Cisco NAC アプライアンスが IP 電話からの SNMP トラップ イベントを無視するようにします。
•
ポート プロファイルを設定するときに、[Change VLAN according to global device filter list] オプションをイネーブルにします(「ポート プロファイルの追加」を参照)。
詳細については、「IP 電話を使用するアウトオブバンド配置のデバイス フィルタ」を参照してください。設定手順の詳細は、「グローバル デバイス フィルタの追加」を参照してください。
グループ プロファイルの設定
最初にスイッチを Clean Access Manager のドメインに追加するときに([OOB Management] > [Devices])、グループ プロファイルを適用して、新しいスイッチを追加する必要があります。あらかじめ定義された [default] というグループ プロファイルがあります(図 3-11を参照)、追加されたスイッチはすべて、自動的に [default] グループに入ります。この [default] グループ プロファイルから抜けることも、また必要に応じて新しいグループ プロファイルを作成することも可能です。多数のスイッチを追加し、管理している場合は、複数のグループ プロファイルを作成することによって、スイッチ リストに表示するデバイスの数を絞り込むことができます([OOB Management] > [Devices] > [Devices] > [List])。
図 3-11 グループ プロファイルのリスト
グループ プロファイルの追加
ステップ 1
[OOB Management] > [Profiles] > [Group] > [New] に進みます(図 3-12)。
図 3-12 新しいグループ
ステップ 2
[Group Name] に、グループ名を示す単語を 1 つ入力します。数字とアンダースコアは使用できますが、スペースは使用できません。
ステップ 3
(任意)[Description] に説明を入力します。
ステップ 4
[Add] をクリックします。[OOB Management] > [Profiles] > [Group] > [List] に、新しいグループ プロファイルが表示されます。
グループ プロファイルの編集
ステップ 1
作成後にプロファイルを編集する場合は、実際にスイッチが追加されてから、[OOB Management] > [Profiles] > [Group] > [List] の順に進み、新しいグループ プロファイルの [Edit] アイコンをクリックします。
ステップ 2
[Edit] ページが表示されます(図 3-13)。
図 3-13 グループの編集
ステップ 3
[Member Switches] または [Available Switches] カラムからスイッチの IP アドレスを選択し、目的に応じて [Join] または [Remove] ボタンをクリックすれば、そのグループ プロファイルに属すスイッチを変更できます。
ステップ 4
[Update] ボタンをクリックして、変更を保存します。
(注) グループ プロファイルを削除するには、まず加入しているスイッチをそのプロファイルから削除しなければなりません。
スイッチ プロファイルの設定
最初に [OOB Management] > [Profiles] > [Device] > [New] で、スイッチ プロファイルを作成してから、新しいスイッチを追加するときに、プロファイルを適用します。各スイッチ プロファイルによって、同じモデルのスイッチや同じ SNMP 設定値のスイッチを分類できます(図 3-14を参照)。スイッチ プロファイルでは、特定タイプのスイッチに対して、CAM がポートの設定(アクセス/認証 VLAN など)の読み取り、書き込み、変更をどのように実行するのかを設定します。
図 3-14 スイッチ プロファイルのリスト
[OOB Management] > [Profiles] > [Device] > [List] のスイッチ プロファイル リストには、3 つのアイコンがあります。
•
[Devices]:このアイコンをクリックすると、追加されたスイッチと WLC のリストが [OOB Management] > [Devices] > [Devices] > [List] で表示されます(図 3-28 を参照)。
•
[Edit]:このアイコンをクリックすると、スイッチ プロファイルの [Edit] スイッチ プロファイル フォームが表示されます(図 3-16 を参照)。
•
[Delete]:このアイコンをクリックすると、スイッチ プロファイルが削除されます(まず、設定ダイアログが表示されます)。
スイッチ プロファイルの追加
スイッチ プロファイルの追加は、次の手順で行います。
ステップ 1
[OOB Management] > [Profiles] > [Device] > [New] に進みます(図 3-15)。
図 3-15 新しいスイッチ プロファイル
ステップ 2
[Profile Name] に、プロファイルの名前を示す単語を 1 つ入力します。数字とアンダースコアは使用できますが、スペースは使用できません。
(注) スイッチ プロファイル名には、スイッチ モデルや SNMP の read および write のバージョンを示す名前を入力することを推奨します。たとえば、「2950v2v3」などです。
ステップ 3
[SNMP Port] に、スイッチに設定されている SNMP ポート番号を入力し、read/write 要求を受信します。SNMP GET/SET のデフォルト ポートは 161、Traps のデフォルト ポートは 162 です。
ステップ 4
(任意)[Description] に説明を入力します。
(注) このタブの上部にあるリンクをクリックすると、サポートされるデバイス モデルのリストを表示できます。
ステップ 5
[SNMP Read Settings] では、そのスイッチと一致する SNMP read の設定値を指定します。
•
[SNMP Version] で、[SNMP V1]、[SNMP V2C]、または [SNMP V3] を選択します。
•
[Community String] に、そのスイッチに設定されている SNMP V1 または SNMP V2C のコミュニティ ストリングを入力します。
ステップ 6
スイッチの [SNMP Read Settings] に SNMP V3 が使用されている場合は、スイッチに合わせて、次の設定値を指定します。
•
[Security Method] のドロップダウン メニューから、[NoAuthNoPriv]、[AuthNoPriv(MD5)]、[AuthNoPriv(SHA)]、[AuthPriv(MD5+DES)]、または [AuthPriv(SHA+DES)] を選択します。
•
[User Name] を入力します。
•
[User Auth] を入力します。
•
[User Priv] を入力します。
ステップ 7
[SNMP Write Settings] では、そのスイッチと一致する SNMP write の設定値を指定します。
•
[SNMP Version] で、[SNMP V1]、[SNMP V2C]、または [SNMP V3] を選択します。
•
[Community String] に、そのスイッチに設定されている SNMP V1 または SNMP V2C のコミュニティ ストリングを入力します。
ステップ 8
スイッチの [SNMP Write Settings] に SNMP V3 が使用されている場合は、スイッチに合わせて、次の設定値を指定します。
•
[Security Method] のドロップダウン メニューから、[NoAuthNoPriv]、[AuthNoPriv(MD5)]、[AuthNoPriv(SHA)]、[AuthPriv(MD5+DES-CBC)]、または [AuthPriv(SHA+DES-CBC)] を選択します。
•
[User Name] を入力します。
•
[User Auth] を入力します。
•
[User Priv] を入力します。
ステップ 9
[Add] をクリックします。これによって、このスイッチ プロファイルが [OOB Management] > [Profiles] > [Device] > [List] に追加されます(図 3-28 を参照)。
図 3-16 に、同じ SNMP 設定値(SNMP V2c、read コミュニティ ストリングは「c2950_read」、write コミュニティ ストリングは「c2950_write」)を持つ Cisco Catalyst 2950 スイッチを定義するスイッチ プロファイルを示します。
図 3-16 スイッチ プロファイルの例
ポート プロファイルの設定
ポート プロファイルによって、そのポートが管理対象か管理対象外か、そのクライアント ポートに使用される認証 VLAN とアクセス VLAN、そのポートのその他の動作が決まります(「[Ports] 管理ページ」を参照)。スイッチ ポートのポート プロファイルには、次に示す 4 つのタイプがあります(図 3-17を参照)。
•
Unmanaged:クライアントに接続されない制御対象外のスイッチ ポート(プリンタ、サーバ、スイッチなど)。これは通常、デフォルトのポート プロファイルです。
•
Managed with Auth VLAN/Default Access VLAN:ポート プロファイルに定義された認証 VLAN とデフォルトのアクセス VLAN を使用してクライアント ポートを制御します。
•
Managed with Auth VLAN/User Role VLAN:ポート プロファイルに定義された認証 VLAN とユーザ ロールに定義されたアクセス VLAN を使用してクライアント ポートを制御します(図 3-9 を参照)。
•
Managed with Auth VLAN/ Initial Port VLAN:ポート プロファイルに定義された認証 VLAN と、そのスイッチ ポートの初期ポート VLANとして設定されているアクセス VLAN を使用してクライアント ポートを制御します。
クライアントに接続されないスイッチ ポートには通常、unmanaged ポート プロファイルが使用されます。クライアントが接続されるスイッチ ポートには、managed ポート プロファイルが使用されます。クライアントが管理対象ポートに接続すると、そのポートは、認証 VLAN に設定されます。そのクライアントの認証と証明が完了すると、ポートはポート プロファイルに指定されているアクセス VLAN(デフォルト アクセス VLAN、ユーザ ロール VLAN、または初期ポート VLAN)に設定されます。
OOB Real-IP ゲートウェイ モードでは、CAM は認証および証明完了後にクライアントが新しい IP アドレスを取得できるように、ポート バウンスをイネーブルにします。OOB Virtual Gateway モードでは、認証および証明完了後にクライアントは同じ IP アドレスを使用するため、ポート バウンスは必要ありません。
(注) Cisco NAC アプライアンス システムが OOB クライアント セッションを終了し(たとえば、システム管理者がユーザを「キック」アウトせざるを得ない場合)、スイッチがクライアントのアクセス ポート用の VLAN 割り当てをアクセス VLAN から本来の認証 VLAN へ変更する場合、クライアント マシンは VLAN 変更を検出し、設定されている場合は IP アドレスの更新を開始し、ユーザがネットワークに接続されたままであることを確認します。ポーリング方法と設定のガイドラインに関する詳細は、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。
図 3-17 ポート プロファイルのリスト
(注) ポリシー同期機能によって、OOB ポート プロファイルと VLAN プロファイルはマスター CAM から受信者 CAM にエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。
ポート プロファイルの追加
スイッチに設定する認証/アクセス VLAN の組み合わせごとにポート プロファイルを 1 つ追加する必要があります。
(注) OOB 仮想ゲートウェイを使用する場合、スイッチで設定されている各認証/アクセス VLAN ペアの CAS で VLAN マッピングをイネーブルにして設定する必要があります。詳細については、図 3-8 を参照してください。
ステップ 1
[OOB Management] > [Profiles] > [Port] > [New] に進みます(図 3-18)。
図 3-18 新規ポート プロファイル
ステップ 2
[Profile Name] に、プロファイルの名前を示す単語を 1 つ入力します。数字とアンダースコアは使用できますが、スペースは使用できません。そのポート プロファイルが管理対象か管理対象外かがわかるような名前を指定してください。
(注) このプロファイルを適用するポートが管理対象か管理対象外かがわかるポート プロファイル名を指定するほかに、ネットワーク IP 電話を介して信頼性の高いクライアント マシン接続を確保したい場合は、ポート プロファイルの性質に関する情報も入力することをお奨めします。
ステップ 3
(任意)[Description] に、そのポート プロファイルの説明を入力します。
ステップ 4
[Manage this port] のチェックボックスをオンにして、このポート プロファイルの設定をイネーブルにします。これにより、ページのポート管理オプションがイネーブルになります。
ステップ 5
[Auth VLAN] でドロップダウン メニューから [VLAN ID](デフォルト)または [VLAN Name] を選択し、このポート プロファイルに使用される認証/隔離 VLAN ID または VLAN 名を入力します。
•
[VLAN ID] を選択する場合:テキスト フィールドに指定できるのは数字だけです。
•
[VLAN Name] を選択する場合:テキスト フィールドでは大文字と小文字を区別します。VLAN 名には abc、*abc、abc*、*abc* などのワイルドカードを指定できます。スイッチではワイルドカード VLAN 名の初回一致が使用されます。名前には特殊文字も使用できます。
ステップ 6
[Default Access VLAN] でドロップダウン メニューから [VLAN ID](デフォルト)または [VLAN Name] を選択し、このポート プロファイルのデフォルト アクセス VLAN に使用される VLAN ID または VLAN 名を入力します。
•
[VLAN ID] を選択する場合:テキスト フィールドに指定できるのは数字だけです。
•
[VLAN Name] を選択する場合:テキスト フィールドでは大文字と小文字を区別します。VLAN 名には abc、*abc、abc*、*abc* などのワイルドカードを指定できます。スイッチではワイルドカード VLAN 名の初回一致が使用されます。名前には特殊文字も使用できます。
(注) スイッチで指定された VLAN が検出されない場合(VLAN Name の入力ミスなど)、(イベント ログではなく)perfigo.log にもエラーが表示されます。
ステップ 7
[Access VLAN] で、ドロップダウン メニューから次のいずれかのオプションを選択します。
•
[Default Access VLAN]:CAM は、認証済みのユーザと証明済みデバイスを、ポート プロファイルに指定されているデフォルト アクセス VLAN 上に配置します。
•
[User Role VLAN]:CAM は、認証済みユーザと証明済みデバイスを、ユーザ ロールに指定されているアクセス VLAN上に配置します(詳細は、図 3-9 アクセス VLAN でユーザ ロールを設定するおよび「Out-of-Band User Role VLAN」を参照してください)。
•
[Initial Port VLAN]:CAM は、認証済みユーザと証明済みデバイスを [Ports] 設定ページでそのポートに指定されている [Initial VLAN] 上に配置します(詳細は、「[Ports] 管理ページ」を参照してください)。初期 VLAN とは、スイッチ追加時にそのポートの VLAN として CAM に保存された値です。指定されたアクセス VLAN を使用するのではなく、クライアントは認証および証明のために、初期ポート VLAN から認証 VLAN に変更され、証明完了後に再び初期ポート VLAN に戻ります。
ステップ 8
VLAN プロファイル定義を使用してアクセス VLAN を指定する場合は、「VLAN プロファイルの追加」で作成した VLAN プロファイル 名の 1 つを選択するか、ドロップダウン メニューから [Default] を選択して、このポート プロファイルと関連付ける VLAN プロファイルを指定します。
(注) Default を選択する場合、またはまだカスタム VLAN プロファイルを作成していない場合、CAM は VLAN 名から VLAN ID へのマッピングについて問題の管理対象スイッチだけを照会して、ユーザのアクセス VLAN を決定します。
デバイスがポートに接続された場合のポート プロファイル オプション
CAM は、受信した SNMP MAC 変更通知/MAC 移動通知または linkup トラップから、スイッチ ポートに接続されているデバイスを検出します。そのデバイスが証明済みでない場合、そのポートには 認証 VLAN が割り当てられ、そのデバイスが証明済みで、ユーザが認証済みであれば、 アクセス VLAN が割り当てられます。さらに次のオプションも設定できます。
ステップ 9
ネットワークで IP 電話の MAC アドレスを無視するようにグローバル デバイス フィルタを設定した場合、または CAM のグローバル デバイス フィルタ ルールを使用してポートの VLAN を設定する場合は、[Change VLAN according to global device filter list] オプションをクリックします。この機能を有効にするためには、[Device Management] > [Filters] > [Devices] で、デバイス フィルタが追加されていなければなりません。OOB の場合のデバイス フィルタ ルールは次のとおりです。
•
[ALLOW]:ログインおよびポスチャ評価(認証)を回避し、 デフォルト アクセス VLAN をポートに割り当てる。
•
[DENY]:ログインおよびポスチャ評価(認証)を回避し、 認証 VLAN をポートに割り当てる。
•
[ROLE]:ログインおよび L2 ポスチャ評価(認証)を回避し、 ユーザ ロール VLAN をポートに割り当てる(「Out-of-Band User Role VLAN」を参照)。
•
[CHECK]:ログインを回避し、ポスチャ評価を適用して、 ユーザ ロール VLAN をポートに割り当てる(「Out-of-Band User Role VLAN」を参照)。
•
[IGNORE]:管理対象スイッチ(IP 電話)から SNMP トラップを無視する。
(注) このオプションをすべてのアウトオブバンド配置でイネーブルにして、アウトオブバンド Online Users リストで最も正確なステータス アップデートが行われるようにすることを推奨します。また、グローバル設定と競合する可能性があるローカル(CAS ベース)デバイス フィルタを設定しないようにすることを推奨します。
グローバル デバイス フィルタ リスト上の MAC アドレスに設定されているルールは、OOB 配置と IB 配置のいずれにおいても、ユーザ/デバイス処理に関して最高のプライオリティが与えられています。詳細については、「アウトオブバンド配置のデバイス フィルタ」を参照してください。
指定されたデバイス フィルタ タイプに基づいたインバンドと 指定されたデバイス フィルタ タイプに基づいたアウトオブバンド クライアント マシン動作については、「インバンドおよびアウトオブバンド デバイス フィルタの動作の比較」を参照してください。
ステップ 10
[Change to [Auth VLAN | Access VLAN] if the device is certified, but not in the Out-of-Band user list] オプションは、ポートが管理対象になると自動的にイネーブルになります。デバイスが証明済みで、ユーザがそのポートに再接続した場合に使用する VLAN を選択します。
•
[Default Auth VLAN]:このポート上のアクセス VLAN クライアントに対して、次回のネットワーク接続時に、認証 VLAN での再認証を強制します。
•
[Default Access VLAN]:クライアントは次回のネットワーク接続時に、再ログインを必要とせず、信頼ネットワークにそのまま接続できます。
ステップ 11
[Bounce the port after VLAN is changed] オプションを使用して、VLAN 変更後のポートの動作を指定します。
•
Real-IP の場合は、このボックスをオンにします。このオプションを選択すると、アクセス VLAN への変更後にクライアントが新しい IP アドレスを取得するよう促されます。
•
Virtual Gateways モードの場合は、このボックスを選択しないでください。
(注) バージョン 4.1.2.0 以降の Windows Agent、ActiveX コントロール、Java アプレットを使用してクライアントの DHCP IP アドレスを更新する場合は、[Port Profile] の [Bounce the switch port after VLAN is changed] はディセーブルのままでもかまいません。「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。また、DHCP リリース、VLAN の変更、DHCP 更新遅延を設定する際の詳細は「認証 VLAN 変更設定へのアクセスの設定」と「高度な設定」を参照してください。
ステップ 12
[Bounce the port based on role settings after VLAN is changed] オプションをイネーブルにすると、ネットワークにアクセスするポートの VLAN が認証 VLAN からアクセス VLAN に切り替わるときに、スイッチは関連するユーザ ロールに従ってポート バウンシングおよび IP アドレス更新 /動作更新を決定します。両方のユーザ ロール オプションは、[User Management] > [User Roles] > [New Role] ページにあります。
(注) 上述のステップ 11 で [Bounce the port after VLAN is changed] オプションをイネーブルにした場合、このオプションは使用できません。
ステップ 13
[Generate event logs when there are multiple MAC addresses detected on the same switch port] チェックボックスをオンにすると、同一のスイッチ ポートで複数の MAC アドレスが検出された場合にイベント ログが生成されます。
警告 6500 スタックや 3750 スタックなどの多数のアクセス ポートを持つスイッチに対して、このオプションを使用することは避けてください。
ステップ 14
LAN デバイスを再起動する場合、または MAC-NOTIFICATION トラップを使用して、接続されたデバイスを検出している場合は、[Do not bounce port to generate Linkup trap if MAC address query failed] チェックボックスをオンにします。
デバイスがポートから切断された場合のポート プロファイル オプション
次のいずれかのイベントの発生後、デバイスは切断されたと見なされます。
•
ユーザはネットワークから切断し、CAM は SNMP リンクダウン トラップを受信します。
•
管理者は OOB ユーザ リストからユーザを削除します。
図 3-19 オプション:ポートから切断されたデバイス
ステップ 15
アウトオブバンド Online Users リストから OOB ユーザを削除し、クライアント マシンがネットワークから切断したスイッチ ポートの VLAN 割り当てを判定するために、次のオプションを設定できます。
•
Remove Out-of-Band online user when SNMP linkdown trap is received, and then [do nothing | change to Auth VLAN | change to Restricted VLAN]
このオプションをクリックし、クライアントが Cisco NAC アプライアンス ネットワークから切断するとき、スイッチからリンクダウン トラップを受信した後、どの VLAN を CAM がスイッチ ポートに割り当てるかを指定します(linkdown トラップに関する詳細は、「Advanced」を参照してください)。
–
クライアントが切断し(linkdown トラップが送信されるようにする)ときに、このオプションがオンで [do nothing] を指定すると、スイッチ ポートは割り当てられた最後の VLAN に留まるか、または [Change to [Auth VLAN | Access VLAN] if the device is certified, but not in the out-of-band user list] オプションで指定された VLAN に再割り当てされます。
(注) クライアントが Certified Devices List に含まれていない場合、クライアントは認証 VLAN に置かれます。
–
このオプションがオンで、[change to Auth VLAN] を指定する場合、クライアントが Certified Devices List にあるかどうかに関係なく、linkdown SNMP トラップの受信後、CAM は認証 VLAN にスイッチ ポートを設定します。
–
このオプションがオンで、[change to Restricted VLAN] を指定する場合、CAM はスイッチ ポートを、事前に設定した [VLAN Name](詳細は、「VLAN プロファイルの設定」を参照)またはこの設定の下に表示されているテキスト フィールドにユーザが入力した特定の [VLAN ID] 番号のいずれかに割り当てます。[change to Auth VLAN] オプションと同様、この VLAN 割り当ては、クライアントが Certified Devices List にあるかどうかに関係なく、CAM が linkdown トラップを受信したときに行われます。
•
Remove other Out-of-Band online users on the switch port when a new user is detected on the same port
この機能により、同一ポート上で新規ユーザが検出された場合、管理者はスイッチ ポート上の他のオンライン アウトオブバンド ユーザを削除できます。既存ユーザが別にスイッチポートで検出された場合にポート プロファイルを変更することもできます。
このオプションを選択することで、1 つのスイッチ ポートに対して 1 度に 1 人の有効ユーザだけを許可できます。オンライン ユーザ(「user1」など)が現在スイッチ ポート(スイッチ「c2950」の「fa0/1」)に存在していて、そのポートに適用されているポート プロファイルでこのオプションがイネーブルになっている場合、他のユーザ(「user2」など)が同一スイッチ ポートからサイン インするか、または、他の場所からこのポートに移動すると、「user1」は削除されます。
(注) オンライン ユーザとは、エンドポイント、またはスイッチ ポートに接続された PC のことです。別のユーザが異なる資格情報を使用して同じ PC にログインした場合、異なるユーザとして検出されません。エンドポイントはログイン資格情報ではなく、MAC アドレスによってのみ識別されます。
•
Remove Out-of-Band online user without bouncing the port
任意のユーザが OOB Online Users リストから削除されると、ポートはアクセス VLAN から認証 VLAN に変更されます。また、Certified Device List から削除されたユーザは、常に Online User List(IB または OOB)からも削除されます。[Remove Out-of-Band online user without bouncing the port] オプションが選択されている場合、ユーザが OOB Online Users リストから削除されたときにポートはバウンスされません。このオプションが選択されていない場合、ユーザが OOB Online Users リストから削除されたときにポートはバウンスされます。
このオプションは、クライアント マシンが IP 電話を通じて接続しているスイッチ ポートのバウンスを防ぐことを目的としています。この機能を利用すると、Cisco NAC アプライアンスはスイッチ ポートに接続されている IP 電話の動作に影響を与えることなく、クライアント マシン(ラップトップ/デスクトップ)の認証/評価/隔離/修復を実行できます。OOB Virtual Gateways モードでこのオプションが選択されていると、次の場合にクライアント ポートがバウンスされません。
–
アウトオブバンド Online Users リストからユーザが削除された場合
–
Certified Devices List からデバイスが削除された場合
代わりに、ポートのアクセス VLAN が認証 VLAN に変更されます。
ステップ 16
[Add] をクリックします。これによって、このポート プロファイルが [OOB Management] > [Profiles] > [Port] > [List] に追加されます。
ポート プロファイルについての詳細は、「スイッチ ポートの管理」および [Ports] 設定ページを参照してください。
オンライン ユーザのモニタリングに関する詳細は、「イベント ログの意味」を参照してください。
VLAN プロファイルの設定
Cisco NAC アプライアンスでは、ネットワーク上の複数のアクセス ポイントに対して均一な L3 OOB サポートを確保しながら、VLAN プロファイルを使用して VLAN 名から VLAN ID へのマッピングを解決できます。VLAN プロファイルとポート プロファイルによって、VLAN 名から VLAN ID へのマッピングのセットに基づいてユーザ セッションのアクセス VLAN が指定されます。ネットワーク上にリモート ユーザの単一アクセス ポイントがある場合、VLAN プロファイルが果たす役割はほとんどありません。しかし、ネットワークに 2 つ、3 つ、あるいは多数のアクセス ポイントがある場合、VLAN プロファイルを使用して、システムで設定されているユーザ プロファイルに関連付けられたユーザ フレンドリな VLAN 名割り当てに基づいて、リモート ユーザに動的にアクセス VLAN ID を割り当てることができます。
リモート ユーザが認証のためにネットワークにアクセスすると、Cisco NAC アプライアンスはネットワーク アクセスを許可する前にユーザ セッションを認証 VLAN に割り当てます。ユーザが認証されると、CAM はデフォルト アクセス VLAN、ユーザ ロール VLAN、または初期ポート VLAN 定義に基づいて VLAN ID を管理対象ポートに割り当てるようにアクセス スイッチ(ユーザがネットワークのアクセスに使用しているスイッチ)に指示します。
VLAN 名から VLAN ID へのマッピング基準を決定するには、2 つの方法があります。
•
ローカル(CAM)VLAN プロファイルを照会する
•
アクセス スイッチで VLAN 名から VLAN ID へのマッピングを照会する
ローカル データベースだけ、スイッチ データベースだけ、または両方のデータベースを指定した順序で照会するように CAM を設定できます。ユーザが指定のアクセス ポイントからネットワークにログインし、認証されたとき、ユーザはあるスイッチについては 1 つの VLAN ID を割り当てられ、別のスイッチについては異なる VLAN ID を割り当てられます。図 3-20には、リモート アクセス シナリオにおけるこの機能の例があります。
図 3-20 VLAN プロファイル機能の例
1.
朝には、user1 はネットワークにリモート アクセスしようとし、このセッションはスイッチ A 経由で到達します。スイッチ A ではユーザ認証レベルのアクセスができ、user1 は CAM への認証資格情報を受けます。
2.
認証要求を受け取ると、CAM は user1 のセッションのアクセス VLAN が、関連するユーザ ロールで定義されていることを検出します。これにより VLAN 名「VPN_access」が指定されます。
3.
CAM は VLAN プロファイル割り当てを照会して「VPN_access」に対応する VLAN ID を探し、VLAN 5 が指定されたスイッチ A のポート プロファイルに関連付けられた VLAN プロファイルを検出します。
4.
user1 は認証され、CAM は VLAN 5 を管理対象ポートに割り当てるようにスイッチ A に指示します。
5.
user1 は内部ネットワークへの VPN アクセスを取得します。
6.
午後に、クライアントに訪問中、user1 は再びネットワークへのアクセスを試行しました。ただし、今回 user1 のセッションはアクセス スイッチ B に到達します。
7.
午前中のスイッチ A と同様、スイッチ B はユーザ認証レベル アクセスを許可し、user1 は CAM に認証資格情報を渡します。ここでは、ユーザ ロール アソシエーションが同じであるため user1 のセッションのアクセス VLAN は VLAN 名「VPN_access」に指定されます。
8.
CAM は VLAN プロファイル割り当てを照会して「VPN_access」に対応する VLAN ID を探します。スイッチ B は関連 CAM スイッチ プロファイル マッピングで使用された別の VLAN ID 割り当てモデルを採用しているため、CAM は VLAN 15 が指定されたスイッチ B のポート プロファイルに関連付けられた VLAN プロファイルを検出します。
9.
CAM は VLAN 15 を管理対象スイッチ ポートに割り当てるようにスイッチ B に指示して、user1 に VPN アクセスを許可します。
この例で示すように、VLAN アクセス名は両方のセッションで同じですが、CAM に 2 つの別個の VLAN プロファイルが設定されることにより、user1 はネットワーク上の両方のアクセス ポイントから同じレベルの認証を受けることができます。
図 3-21に、VLAN プロファイルの [List] ページを示します。
図 3-21 VLAN プロファイル
(注) ポリシー同期機能によって、OOB ポート プロファイルと VLAN プロファイルはマスター CAM から受信者 CAM にエクスポートされます。詳細については、「ポリシーのインポート/エクスポート」を参照してください。
VLAN プロファイルの追加
新規 VLAN プロファイルを作成するには、次の手順に従います。
ステップ 1
[OOB Management] > [Profiles] > [VLAN] > [New](図 3-22)に進みます。
図 3-22 新規 VLAN プロファイル
ステップ 2
[Profile Name] に、新規 VLAN プロファイルの一意なプロファイル名を指定します。
ステップ 3
(任意)[Description] に、VLAN プロファイルの説明を入力します。
ステップ 4
[VLAN Name Resolution] で、ドロップダウン リストから VLAN 名解決方法を選択します。
•
[Local Lookup Only]:ローカル マッピングだけを使用可能な解決値として使用して、指定された VLAN 名を解決するように、CAM に指示します。このオプションを選択すると、CAM はアクセス スイッチで使用可能なデータを使用した VLAN 名解決は実行しません。
•
[Switch Query Preferred]:指定された VLAN 名を解決する場合、まずアクセス スイッチで使用可能なデータを検索し、次に(見つからない場合)VLAN プロファイルで見つかった VLAN 名から VLAN ID へのマッピングで名前を解決するように、CAM に指示します。
•
[Local Lookup Preferred]:指定された VLAN 名を解決する場合、まず VLAN プロファイルで見つかった VLAN 名から VLAN ID へのマッピングで名前を検索し、次に(見つからない場合)アクセス スイッチで使用可能なデータを検索して名前を解決するように、CAM に指示します。
ステップ 5
[VLAN Name] に、CAM がリモート ユーザへのアクセス許可に使用するアクセス VLAN(VLAN ユーザに割り当てられた「共通」名でネットワークにアクセス可能)の名前を入力します。この機能により、特定の VLAN 番号ではなく VLAN 名を使用して、ユーザがネットワーク アクセスに使用するポートに割り当てるように、CAM がアクセス スイッチに指示する VLAN ID を識別できます。ユーザはさまざまなネットワーク アクセス ポイントにある複数のアクセス スイッチの 1 つからネットワークにアクセスする可能性があるため、VLAN 名から VLAN ID へのマッピング機能を使用して、単一の VLAN プロファイル定義に基づいて特定 VLAN 名をユーザまたはグループ プロファイルに関連付けて、ネットワーク中のさまざまなアクセス デバイスからのアクセスを許可できます。
ステップ 6
[VLAN ID] に VLAN ポリシーの VLAN ID を入力します。これは、ユーザがログインして内部ネットワークへのアクセスを「クリアされた」あと、CAS がリモート ユーザのスイッチ ポートに割り当てるようにスイッチに指示する、実際の VLAN 番号です。VLAN ID はスイッチによって異なることがある(および異なる可能性がある)ため、CAM またはアクセス スイッチ自体で定義された VLAN 名から VLAN ID へのマッピングに基づいて、ユーザまたはグループ プロファイルにアクセスを許可できます。
ステップ 7
[Add] をクリックします。
VLAN プロファイルの編集
既存の VLAN プロファイルを編集するには、次の手順に従います。
ステップ 1
[OOB Management] > [Profiles] > [VLAN] > [List] に進みます(図 3-23)。
図 3-23 VLAN プロファイル
ステップ 2
更新する既存の VLAN プロファイルの [Edit] アイコンをクリックします。
[Edit VLAN Profile] ウィンドウ(図 3-24)が表示されます。
図 3-24 Edit VLAN Profile
ステップ 3
[Profile Name]、[Description] に新しいプロファイル名と説明を入力し、[VLAN Name Resolution] で VLAN プロファイルの別の検索方法を指定し、[Update] をクリックします。
ステップ 4
VLAN 名から VLAN ID へのマッピングを更新するには、次の手順に従います。
a.
新しい VLAN 名から VLAN ID へのマッピングを追加する場合は、[Add a New VLAN Name Mapping] の下の [VLAN Name] と [VLAN ID] に VLAN 名と VLAN ID を追加して、[Map] をクリックします。
b.
1 つ以上の VLAN 名から VLAN ID へのマッピングを再割り当てする場合は、更新するマッピングの [Edit] アイコンをクリックし、[Edit VLAN Name Mapping] の下の [VLAN ID] で新しい VLAN ID を指定して、[Update] をクリックします(図 3-25を参照)。
図 3-25 [Edit VLAN Name Mapping ] - [VLAN ID]
SNMP Receiver の設定
[SNMP Receiver] フォームでは、MAC 変更通知/MAC 移動通知または linkup/linkdown ユーザ イベントが発生した場合(ユーザがネットワークに物理的に接続した場合など)に、Clean Access Manager で稼動している SNMP Receiver が管理対象のすべてのスイッチから SNMP トラップ通知をどのように受信し応答するのかを設定します。スイッチの設定は、CAM の SNMP Receiver の設定と一致させ、CAMにトラップを送信できるようにしなければなりません。
Cisco NAC アプライアンスは、FIPS 140-2 準拠ネットワークで稼動する CAM で SNMP 管理を設定する際に必要になる、SHA-1 および 3DES 暗号化もサポートします。
SNMP トラップ
このページでは、CAM がすべてのスイッチから受信する SNMP トラップの設定値を定めます。個々のスイッチが SNMP の異なるバージョン(V1、V2c、V3)を使用する可能性があるようなスイッチ グループを制御する場合、Clean Access Manager の SNMP Receiver は異なるバージョンの SNMP の同時使用に対応できます。
ステップ 1
[OOB Management] > [Profiles] > [SNMP Receiver] > [SNMP Trap] に進みます(図 3-26)。
図 3-26 CAM SNMP Receiver
ステップ 2
[Trap Port on Clean Access Manager] では、デフォルトのトラップ ポート(162)を使用するか、またはここに新しいポート番号を入力します。
ステップ 3
[SNMP V1 Settings] には、SNMP V1 を使用するスイッチで使用される [Community String] を入力します。
ステップ 4
[SNMP V2c Settings] には、SNMP V2c を使用するスイッチで使用される [Community String] を入力します。
ステップ 5
[SNMP V3 Settings] では、次の各フィールドを通じて、SNMP V3 を使用するスイッチに関する設定を行います。
•
[Security Method (Auth/Priv)] ドロップダウン メニューを使用して、SNMP V3 認証とプライバシーの組み合わせを指定します。
–
NoAuth、MD5(非 FIPS の場合のみ)、SHA-1
–
NoPriv、DES(非 FIPS の場合のみ)、3DES
(注) FIPS 140-2 準拠 CAM に関して認証とプライバシーの組み合わせを指定する場合、使用できる設定は SHA-1 認証と 3DES プライバシー タイプだけです。
•
[User Name] を入力します。
•
[User Auth] を入力します。
•
[User Priv] を入力します。
ステップ 6
[Update] をクリックして設定値を保存します。
高度な設定
このページでは、タイムアウトや遅延など、CAM が送受信する SNMP トラップに関する高度な設定を行います。デフォルトの設定値を変更する場合は、次の手順で行います。スイッチが追加および設定されたあと、このページでデフォルト設定を編集できます。
デフォルト SNMP の変更
ステップ 1
[OOB Management] > [Profiles] > [SNMP Receiver] > [Advanced Settings](図 3-27)に進みます。
図 3-27 [SNMP Receiver] > [Advanced Settings]
ステップ 2
次のように、オプションの高度な設定を設定します。
•
[MAC-NOTIFICATION Trap Timeout](デフォルトは 60 秒):CAM は、受信した MAC 変更通知/MAC 移動通知トラップのタイムスタンプを刻印し、トラップ処理時にタイムスタンプを調査します。タイムスタンプと現在時の時間差が [MAC-NOTIFICATION Trap Timeout] の設定値よりも大きいと、そのトラップはドロップされます。設定フィールドにより、CAM がタイムリーなトラップだけを処理することが保証されます。
•
[Linkup Trap Bounce Timeout](デフォルトは 180 秒):CAM は、linkup トラップを受信したときに、ポートに接続された MAC アドレスを解決しようとします。この時点では、MAC アドレスを入手できない場合もあります。CAM は MAC アドレスを入手できないと、[Linkup Trap Retry Query Interval] フィールドに指定された秒数後に、再度入手を試行します。ポートの制御を維持し、CAM が MAC アドレスの解決を試行する回数を制限するために、CAM は [Linkup Trap Bounce Timeout] に指定された秒数後にポートをバウンスし、スイッチが新しい linkup トラップを生成するように強制します。
•
[Linkup Trap Retry Query Interval](デフォルトは 4 秒):CAM は、linkup トラップを受信するとき、ポートに接続された MAC アドレスのスイッチを問い合せる必要があります。それでもなお MAC アドレスを取得できなければ、CAM は、[Linkup Trap Retry Query Interval] フィールドに指定されている秒数だけ待ってから、再試行します。
•
[Port-Security Delay](デフォルトは 3 秒):スイッチでポート セキュリティがイネーブルにされている場合、VLAN にスイッチが入れられた後、CAM は [Port-Security Delay] フィールドで指定された秒数だけ待機してから、スイッチにポートセキュリティ情報を設定する必要があります。
(注) DHCP IP アドレスを更新するためには、通常、Agent または ActiveX/Java アプレットは VLAN の変更前に DHCP リリースを実行し、VLAN の変更後に DHCP 更新を行います。DHCP リリース、VLAN 変更、DHCP 更新を実行する際の遅延は、設定可能です。詳細については、「DHCP リリースまたは Agent/ActiveX/Java アプレットでの更新」を参照してください。ポート バウンスの代わりに DHCP リリース/更新を使用する場合は、「認証 VLAN 変更設定へのアクセスの設定」も参照してください。
•
[DHCP Release Delay](デフォルトは 1 秒):このフィールドは、ユーザ ログインと DHCP リリースの間に遅延を設定します。
•
[VLAN Change Delay](デフォルトは 2 秒):このフィールドは、ユーザ ログインと VLAN 変更の間に遅延を設定します。[DHCP Release Delay] よりも大きい値を設定する必要があります。
(注) [VLAN Change Delay] 設定は [DHCP Release Delay] より大きい必要がありますが、[DHCP Release Delay] と [DHCP Renew Delay] の持続時間を合わせたものより小さい必要があります。これは、VLAN 変更の前に DHCP リリース、VLAN 変更の後に DHCP 更新が行われるようにするためです。
•
[Port Bounce Interval](デフォルトは 5 秒):[Port Bounce Interval] は、ポートのオフとオンの間の時間遅延です。この遅延は、クライアント マシンが DHCP 要求を発行するときに役立ちます。
•
[DHCP Renew Delay](デフォルトは 3 秒):このフィールドは DHCP リリースと DHCP 更新の間の遅延を設定します。[VLAN Change Delay] から [DHCP Release Delay] を引いた値よりも大きい値を設定する必要があります。
•
[Redirection Delay without Bouncing](デフォルトは 1 秒):このフィールドでは、ポート プロファイルでポート バウンシングなしが設定されているポートの、(クライアント ポスチャ評価後の)VLAN 変更と Web ページ リダイレクション間の遅延を設定します。これにより、ポート バウンシングが不要な場合にリダイレクション時間を最小限に抑えることができます。ポート プロファイルで VLAN の変更(Virtual Gateway など)後にポートのバウンシングが不要な場合、このオプション設定により、ここで指定された秒数後(1 秒など)にユーザ ページがリダイレクトされます。
ポートがバウンスされない場合、ユーザが経験する合計リダイレクション間隔は、[Redirection Delay without Bouncing] フィールドの値になります。
(注) ユーザがログイン/ポスチャ評価後に引き続きログイン ページにリダイレクトされる場合、通常、スイッチがポートの VLAN を(認証からアクセスへ)変更できるようになる前に、Web ページ リダイレクションが行われます。この場合、この問題を解決するために、Redirection Delay を 2 秒または 3 秒に増やします。
•
[Redirection Delay with Bouncing](デフォルトは 15 秒):このフィールドは、ポート プロファイルで [Bounce the port after VLAN is changed] オプションをオンにしたポートについて、(クライアント ポスチャ評価の後)ポート バウンシングと Web ページ リダイレクションの間の遅延を設定します。これにより、ポート バウンシングに要する時間を設定できます。
ポートがバウンスされる場合、ユーザが経験する合計リダイレクション間隔は、[Redirection Delay with Bouncing] と [Port Bounce Interval] の 2 つのフィールドの合計になります。
ポート プロファイルで VLAN の変更後にポートのバウンシングが必要な場合、ユーザ ログイン後、このフィールドで指定された秒数および [Port Bounce Interval] で指定された秒数後に、[Renewing IP address] ページが表示されます。次に例を示します。
ポート バウンス(5 秒)+ リダイレクション遅延(15 秒)= リダイレクション間隔(合計 20 秒)
•
[SNMP Timeout](デフォルトは 5 秒):このフィールドは Clean Access Manager が指示したときに、現在(実行中)の設定を保存する管理対象スイッチからの read/write 要求、および SNMP トラップ メッセージ応答のための SNMP タイムアウト値を(秒単位で)指定できるようにします。
ステップ 3
[Update] をクリックして設定値を保存します。
スイッチの追加および管理
[OOB Management] > [Devices] > [Devices] タブで表示されるページを使用して、IP 範囲内の新しい管理対象スイッチの検出と追加、正確な IP アドレスによる新しい管理対象スイッチの追加、制御対象スイッチのリストの管理、スイッチおよび WLC の確認を行うことができます。
•
「新しいスイッチの追加」
•
「新しいスイッチの検索」
•
「デバイスの確認」
図 3-28 スイッチのリスト
[OOB Management] > [Devices] > [Devices] > [List] で表示されるスイッチ リストには、[New] または [Search] フォームで追加されたすべてのスイッチおよび WLC が含まれています。このリストのスイッチ エントリには、スイッチの IP アドレス、MAC アドレス、説明、スイッチ プロファイルがあります。[Device Group]、[Device Profile]、または [Port Profile] のドロップダウンでリストのエントリをソートすることも、また [Device IP] に入力し、Enter キーを押してアドレスからスイッチまたは WLC を検索することもできます。さらに、このリストにはリンクが 1 つとアイコンが 3 つあります。
•
[Profile]:[Profile] リンクをクリックすると、そのスイッチのプロファイルが表示されます(図 3-15)。
•
[Config]:[Config] アイコンをクリックすると、そのスイッチの「[Config] タブ」が表示されます。
•
[Ports]:[Ports] アイコンをクリックすると、そのスイッチの「[Ports] 管理ページ」が表示されます。
(注) WLC デバイス プロファイルはポート プロファイル設定を使用しません。したがって、[Ports] アイコンはテーブルのどの WLC についても「グレイアウト」されています。
•
[Delete]:[Delete] アイコンをクリックすると、リストからそのスイッチが削除されます(まず、設定ダイアログが表示されます)。
(注) ループバック アドレスに基づいてスイッチを追加するとき、[OOB Management] > [Devices] > [Devices] > [List] と進むと、スイッチの MAC アドレス 00:00:00:00:00:00 が表示されます。これは予想された動作です。このインターフェイスに表示された MAC アドレスは、情報を示すだけのためのもので、OOB の機能には影響しません。
新しいスイッチの追加
スイッチの正確な IP アドレスがわかっている場合は、[New] ページを使用してスイッチを追加できます。
(注) シスコは、サード パーティのデバイスはサポートしていません。非シスコまたはカスタム デバイス(サード パーティのデバイス)を NAC に追加した場合、追加されたデバイスが非シスコのデバイスであり、サポートの対象外であるというメッセージが表示されます。
ステップ 1
[OOB Management] > [Devices] > [Devices] > [New] に進みます(図 3-29)。
図 3-29 新しいスイッチの追加
ステップ 2
[Device Profile] のドロップダウン メニューから、追加するスイッチまたは WLC に適用するスイッチ プロファイルを選択します。
ステップ 3
ドロップダウン メニューからスイッチまたは WLC 用の [Device Group] を選択します。
ステップ 4
[Default Port Profile] のドロップダウン メニューから、デフォルトのポート プロファイルを選択します。通常、デフォルト ポート プロファイルは uncontrolled にします。
ステップ 5
追加するスイッチの [IP Addresses] を入力します。各 IP アドレスは行を分けてください。
ステップ 6
(任意)新しいスイッチの説明を [Description] フィールドに入力します。
ステップ 7
[Add] ボタンをクリックすると、そのスイッチまたは WLC が追加されます。
ステップ 8
[Reset] ボタンをクリックすると、フォームがリセットされます。
新しいスイッチの検索
[Search] ページでは、IP 範囲内の非管理スイッチの検索と追加を実行できます。
ステップ 1
[OOB Management] > [Devices] > [Devices] > [Search] に進みます(図 3-30)。
図 3-30 スイッチの検索
ステップ 2
[Device Profile] のドロップダウン リストから、デバイス プロファイルを選択します。選択したデバイス プロファイルの read コミュニティ ストリングは、一致する read 設定を持つスイッチの検索に使用されます。
ステップ 3
[IP Range] のテキスト ボックスに、IP 範囲を入力します 検索に使用できる最大 IP 範囲は 256 です。
ステップ 4
デフォルトでは、[Don't list devices already in the database] チェックボックスはすでにオンになっています。このボックスをオフにすると、すでに追加したスイッチと WLC が検索結果に含まれます。ただし、すでに管理対象となっているスイッチは、各エントリの左にある [Commit] チェックボックスがディセーブルになっています。
ステップ 5
ドロップダウンから [Device Group] を選択し、検索で見つかった非管理デバイスに適用します。
ステップ 6
ドロップダウンから [Default Port Profile] を選択し、検索で見つかった非管理デバイスに適用します。
ステップ 7
CAM によって管理する各管理対象外デバイスの左にある チェックボックス をオンにします。カラムの一番上にあるチェックボックスをオンにすると、検索された管理対象外デバイス すべて が追加されます。
(注) 検索に使用したスイッチ プロファイルの read コミュニティ ストリングと一致するすべてのスイッチが一覧表示されますが、[Commit] ボタンで追加されるのは、read SNMP バージョンとコミュニティ ストリングが一致するスイッチだけです。スイッチの write SNMP 設定が Clean Access Manager のスイッチ プロファイルでの設定と一致していないと、スイッチを制御することはできません。
ステップ 8
[Commit] ボタンをクリックすると、新しいスイッチが追加されます。これらのスイッチは [OOB Management] > [Devices] > [Devices] > [List] でリストされます。
デバイスの確認
[Verify] ページでは、デバイスを確認できます。このユーティリティは、すでに CAM に追加されたデバイス、または CAM に追加されていない新しいデバイスを確認します。このデバイスはスイッチまたは WLC になります。
(注) デバイスを確認する前に、デバイス プロファイルとポート プロファイルが設定されていることを確認し、デバイスの SNMP レシーバを設定してください。
ステップ 1
[OOB Management] > [Devices] > [Devices] > [Verify] に進みます。
図 3-31 デバイスの確認
ステップ 2
ドロップダウンから [Device Profile] を選択します。
ステップ 3
ドロップダウンから [Device Group] を選択します。
ステップ 4
ドロップダウンから [Default Port Profile] を選択します。
ステップ 5
[IP Address] のテキスト ボックスに、有効な IP アドレスを入力します
ステップ 6
SNMP トラップ通知タイプを設定するための [Control Method] を選択します。これは、CAM の SNMP レシーバにより、特定のスイッチに対して使用されます。
(注) [Control Method] は、スイッチだけに適用されます。
•
[MAC Notification]:スイッチが MAC 通知をサポートしている場合は、このオプションを選択します。
(注) さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンスは、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。
•
[Linkup Notification]:スイッチが MAC 通知をサポートしていない場合は、このオプションを選択します。
ステップ 7
[Verify] をクリックします。
デバイスが確認され、ページの下部に結果が表示されます(図 3-32 を参照)。
図 3-32 デバイスの確認:結果
デバイスのステータスが表示されます。ドロップダウンからバウンスする接続ポートを選択できます。
Discovered Clients
図 3-33 に、[OOB Management] > [Devices] > [Discovered Clients] > [Wired Clients] ページを示します。[Wired Clients] ページには、SNMP MAC 変更通知/MAC 移動通知およびリンクアップ/リンクダウン トラップを使用して Clean Access Manager によって検出されたすべてのクライアントがリストされます。このページには、Clean Access Manager が受信した SNMP トラップ情報に基づいて、アウトオブバンド クライアント(VLAN に関係なく)のアクティビティが記録されます。
クライアントが認証 VLAN 上のポートに接続されると、トラップが送信され、Clean Access Manager が [Wired Clients] ページにエントリを作成します。Clean Access Manager は、クライアントの MAC アドレス、送信元スイッチの IP アドレス、スイッチ ポート番号をアウトオブバンド Discovered Clients リストに追加します。その後、そのクライアントの新しい SNMP トラップ情報を受信するたびに CAM はそのエントリを更新します。
Wired Clients リストからエントリを削除すると、そのアウトオブバンド クライアントのステータス情報が CAM から消去されます。
(注) CAM が VLAN を変更するスイッチポートを判断するためには、Wired Clients リストにエントリが必要です。Wired Clients リスト内のエントリが削除されると同時にユーザがログインした場合、CAM はそのスイッチ ポートを検出できません。
図 3-33 Discovered Clients
このページは、次の要素で構成されています。
•
[Show clients connected to switch with IP]:デフォルト値である ALL を表示したままにするか、またはドロップダウン メニューから特定のスイッチを選択します。ドロップダウン メニューには、システム内のすべての管理対象スイッチが表示されます。
•
[Show client with MAC]:特定の MAC アドレスを入力して Enter キーを押すと、特定のクライアントが表示されます。
•
[Clients/Page]:各ページに 25 エントリが表示されるデフォルト値のままにするか、またはドロップダウン メニューから、[50]、[100]、[200]、または [ALL] を選択して、各ページのエントリ数を設定します。
•
[Delete All Clients]:このボタンを使用すると、リストのすべてのクライアントが削除されます。
•
[Delete Selected]:このボタンを使用すると、このページの一番右にあるチェックカラムで選択されているクライアントだけが削除されます。
•
次のいずれかのカラムの見出しをクリックすると、そのカラムを基準にして検出結果を並び替えることができます。
–
[MAC]:検出されたクライアントの MAC アドレス。
–
[IP]:クライアントの IP アドレス。
–
[Switch]:送信元の管理対象スイッチの IP。IP アドレスをクリックすると、そのスイッチの [OOB Management] > [Devices] > [Switch [IP]] > [Config] > [Basic] ページが表示されます。
–
[Switch Port]:そのクライアントのスイッチ ポート。ポート番号をクリックすると、そのスイッチの [OOB Management] > [Devices] > [Switch [IP]] > [Ports] 設定ページが表示されます。
–
[Auth VLAN]:認証(隔離)VLAN。
このカラムに「N/A」と表示されている場合、そのポートが管理対象外であるか、またはこの MAC アドレスの VLAN ID をスイッチから入手できない状態です。
–
[Access VLAN]:クライアントのアクセス VLAN。
このカラムに「N/A」と表示されている場合、そのクライアントのアクセス VLAN ID が入手不能であることを示しています。たとえば、ユーザが認証 VLAN に変更されたのに、Cisco NAC アプライアンスに正常にログインできない(ユーザ資格情報が不適切なため)場合、このマシンはアクセス VLAN に到達できません。
–
[Last Update]:CAM がそのエントリの情報を最終した更新時刻。
アウトオブバンド ユーザのモニタリングに関するその他の事項は、「OOB ユーザ」を参照してください。
スイッチ ポートの管理
スイッチの追加後、[Ports] タブおよび [Config] タブ/ページが表示されるのは、スイッチが [OOB Management] > [Devices] > [Devices] > [List] に追加された後です。
[Ports] ページは、スイッチ上のポートを一元的に管理する場所です。ポート プロファイルの個別ポートまたは複数ポートへの適用、VLAN 設定の変更、ポートのバウンス、およびすべての変更内容のスイッチ設定への適用を実行できます。
クライアントに接続されないスイッチ ポートには、通常、unmanaged ポート プロファイルが使用されます。クライアントに接続されるスイッチ ポートには、管理対象のポート プロファイルが使用されます。スイッチが MAC 通知をサポートしている場合は、スイッチ ポートを設定し、[Update] ボタンによって設定値を保存したのちに、[Setup] ボタンをクリックして、そのスイッチ ポートを初期化する必要があります。
Cisco NAC アプライアンスは、ポートがトランク ポートでネイティブ VLAN がデータ VLAN であるような Cisco IP Phone の OOB 配置に対応しています。CAM はスイッチのアクセス ポートだけでなく、スイッチのトランク ポートも管理できます。
(注) Cisco NAC アプライアンスは OOB(リリース 3.6(1) 以降)のスイッチ トランク ポートを制御できるため、アップグレード後に、管理対象スイッチのアップリンク ポートを「uncontrolled」ポートに設定してください。この処理は、次の 2 つの方法のいずれかで実行できます。
•
アップグレード前に、[OOB Management] > [Devices] > [Devices] > [List] > [Config[Switch_IP]] > [Default Port Profile] | [uncontrolled] で、スイッチ全体の [Default Port Profile] を「uncontrolled」に変更します。
•
アップグレード後に、[OOB Management] > [Devices] > [Devices] > [List] > [Ports [Switch_IP]] | [Profile] で、スイッチの適用可能なアップリンク ポートの [Profile] を「uncontrolled」に変更します。
これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる不必要な問題を回避できます。
[Ports] 管理ページ
[Ports] 管理ページには、Clean Access Manager がダイレクト SNMP クエリから受け取る情報に従って、スイッチ上のすべてのイーサネット ポートの情報が読み込まれます(図 3-34 と図 3-35 を参照)。たとえば、CAM に追加されたスイッチに 24 のファスト イーサネット ポートと 2 つのギガビット イーサネット アップリンクがある場合、[Ports] タブには各ポートに 1 つずつ、26 の行が表示されます。[Ports] ページで、スイッチに設定されているトランク ポートは、背景がブルーに表示されるため区別できます。これらのポートの VLAN 値は、トランク ポートのネイティブ VLAN を表しています。
スイッチが MAC 変更通知/MAC 移動通知トラップをサポートしていない場合は、[Setup] ボタン([Set up mac-notification on managed switch ports])と [MAC Notif.] カラムはページには表示されません。その場合は、Linkup/Linkdown トラップがスイッチおよび Clean Access Manager でサポートされ、設定されている必要があります。Linkup/Linkdown だけのポートを制御するポート管理ページについては、「個別ポートの管理(Linkup/Linkdown)」を参照してください。
個別ポートの管理(MAC Notification)
ここでは、ポート プロファイルを個々のスイッチ ポートに割り当てて管理する方法について説明します。この方法はポートが少数の場合に有効です。しかし、同一ポート プロファイルを同時に多数のポートに割り当てる場合は、「複数ポートへのポート プロファイルの同時割り当て」を参照してください。
図 3-34 [Ports] タブ
新しいスイッチの追加後、そのスイッチ ポートの [Ports] 設定ページ(図 3-34)で次のように設定を行います。
ステップ 1
[Ports] リストに表示されるスイッチ プロファイルを制限する場合は、検索基準を指定して [Show] をクリックします(「Show (1)」)。
ステップ 2
[Profile](「Profile (2)」)で、そのポートに使用する管理対象または管理対象外のプロファイルを選択します。
ステップ 3
[Update](「Update (3)」)をクリックして、そのポートのポート プロファイルを CAM に保存します。
ステップ 4
[Advanced/Simple] (4) 切り替えボタンをクリックして、スイッチ ポートに使用可能な拡張ポート割り当て機能を表示します。
ステップ 5
スイッチ ポート上の MAC 変更通知/MAC 移動通知(スイッチ上で利用できる場合)を初期化するには、[Setup](「[Setup] ボタン(MAC 通知スイッチのみ)(5)」)をクリックします。
ステップ 6
[Save](「Save (6)」)をクリックして、そのスイッチの実行コンフィギュレーションを、そのスイッチのスタートアップ コンフィギュレーションに保存します。
•
Unmanage All
[Unmanage All] をクリックして、すべての管理対象ポートを、スイッチに設定されたデフォルトのポート プロファイルに変更します。
•
Reset All (初期 VLAN ポート プロファイルのみ)
[Reset All] をクリックすると、そのスイッチのすべてのポートの [Current VLAN] 値(「Current VLAN」)がコピーされ、これらが [Initial VLAN] 設定(アクセス ポートの場合)およびトランク ネイティブ VLAN 設定(トランク ポートの場合)として CAM およびスイッチの実行コンフィギュレーションに設定されます(「Initial VLAN(初期 VLAN ポート プロファイルのみ)」)。このボタンを使用すると、スイッチ上のすべてのポートの初期 VLAN を同時に変更できます。確認プロンプトで [OK] をクリックすると、値がリセットされます。
•
Set New Ports (初期 VLAN ポート プロファイルのみ)
[Set New Ports](図 3-34)をクリックすると、既存のポートの設定値は変更されませんが、そのスイッチの新しいポートの [Current VLAN] 値が新しいポートにコピーされ、[Initial VLAN] 設定(アクセス ポートの場合)およびトランク ネイティブ VLAN 設定(トランク ポートの場合)として、CAM およびスイッチの実行コンフィギュレーションに設定されます。このボタンは、スイッチに新しいポートを追加した場合、たとえばCatalyst 4500 シリーズ ラックに新しいブレードを追加した場合などに便利です。この場合、新しいポートが追加されたときに [Initial VLAN] カラムには「N/A」と表示されます。[Set New Ports] をクリックすると、すべての「N/A」ポートについて、[Current VLAN] カラムから [Initial VLAN] カラムにこれらの値がコピーされ、これらの値が CAM とスイッチに設定されます。スイッチの既存のポートの初期 VLAN 値(「N/A」以外)は変更されません。確認プロンプトで [OK] をクリックし、新しい値を設定します。
•
[Setup] ボタン(MAC 通知スイッチのみ) (5)
スイッチが MAC 変更通知/MAC 移動通知トラップをサポートしている場合、CAM のアップデート後に [Setup] ボタンをクリックし、管理対象スイッチ ポートに MAC 通知を設定し、そのスイッチの実行コンフィギュレーションを保存します。[OK] をクリックすると、そのスイッチのポートが初期化されます。
•
Save (6)
[Save] ボタンをクリックすると、実行コンフィギュレーションがスイッチの不揮発性メモリ(スタートアップ コンフィギュレーション)に保存されます。確認プロンプトで [OK] をクリックします。
(注) [Save] ボタンをクリックするまで、スイッチのスタートアップ コンフィギュレーション内でのそのポートの VLAN 割り当ては変更されません。
•
Update (3)
該当するポート プロファイルを選択して、管理対象ポートを設定したら、[Update] ボタンをクリックして、設定値を CAM に保存する必要があります。[Update] をクリックすると、次のことが実行されます。
–
そのポートのプロファイルが CAM データベースに保存される。
–
そのポートの Notes カラムの情報が CAM データベースに保存される。
ポート プロファイルで、[Initial Port VLAN] がアクセス VLAN として設定され、[Change to Access VLAN if the device is certified and in the out-of-band user list] が選択されている場合は、[Update] をクリックすると、さらに次のことも実行されます。
–
そのポートの [Initial VLAN] カラムの値が CAM データベースに保存される。
–
そのポートの [Current VLAN] 値が変更された場合は、そのポートの新しい VLAN ID がスイッチの実行コンフィギュレーションに保存される。
•
Show (1)
[Ports] タブ ビューに表示されるスイッチ ポートの範囲を狭めるために、[Search For] フィルタリング機能を使用して検索基準を指定し、検索対象のテキスト文字列を指定できます。次を指定することができます。
–
検索する情報タイプ:[Port Name] または [Port Description]
–
情報修飾子:[equals]、[starts with]、[ends with]、または [contains] の中から選択
–
検索を定義するテキスト文字列(次の例では「/11」)
検索基準を指定したら、[Show] をクリックします。
•
Name
ポート名。例:Fa0/1、Fa0/24、Gi0/1、Gi0/21(シスコ製スイッチの場合)
•
Index
スイッチ上のポート番号。例:1、24、25、26
•
Description
ポートのタイプ。例:FastEthernet0/1、FastEthernet0/24、GigabitEthernet0/1、GigabitEthernet0/2
•
Status
ポートの接続状態
–
グリーンのボタンは、そのポートにデバイスが接続されていることを示しています。
–
レッドのボタンは、そのポートにデバイスが接続されていないことを示しています。
•
Bounce
このアイコンをクリックすると、初期化された管理対象ポートがバウンスされます。ポートがバウンスされる前に確認メッセージが表示されます。この機能を使用できるのは、管理対象ポートに対してだけです。接続されていても管理対象外のポートはバウンスできません。トランク ポートの場合は、デフォルトでこの機能がディセーブルになっています。
•
Initial VLAN (初期 VLAN ポート プロファイルのみ)
CAM に保存されているこのポートの初期 VLAN 値。このカラムを使用できるのは、その管理対象ポート プロファイルのアクセス VLAN として [Initial Port VLAN] が設定され、[Change to Access VLAN if the device is certified and in the out-of-band user list] が選択されている(「ポート プロファイルの追加」を参照)場合だけです。スイッチ追加時には、このカラムは Current VLAN カラムと一致しています。スイッチに新しいポートが追加された場合、[Set New Ports] ボタンがクリックされるまで(「Set New Ports(初期 VLAN ポート プロファイルのみ)」)、このカラムには「N/A」が表示されます。
ポートの初期 VLAN を変更するには、次のようにします。
a.
そのポートのポート プロファイルのアクセス VLAN として [Initial Port VLAN] が設定され、[Change to Access VLAN if the device is certified and in the out-of-band user list] が選択されていることを確認します。
b.
そのポートの変更後の VLAN を [Initial VLAN] フィールドに入力します。
c.
[Update] ボタンをクリックして、変更した設定を CAM に保存します。
「Reset All(初期 VLAN ポート プロファイルのみ)」、「Set New Ports(初期 VLAN ポート プロファイルのみ)」、および「Save (6)」も参照してください。
•
Current VLAN
そのポートに割り当てられている現行の VLAN ID。新しいスイッチの追加時には、Current VLAN カラムには、ネットワーク管理者がそのスイッチにあらかじめ設定した VLAN 割り当て値が表示されます。その後、このカラムの値は変化し、そのスイッチの現行 VLAN 割り当てが表示されます(保存されている VLAN 割り当てとは限りません)。トランク ポートの場合、現行 VLAN は、そのトランク ポートのネイティブ VLAN です。
ポートの現行 VLAN 割り当てを変更するには、次のようにします。
a.
そのポートの変更後の値を [Current VLAN] フィールドに入力します。
b.
[Update] ボタンをクリックして、変更した設定を CAM とスイッチの実行コンフィギュレーションに保存します。
c.
[Save] ボタンをクリックして、そのスイッチの実行コンフィギュレーションを、スタートアップ コンフィギュレーションに保存します。
「Reset All(初期 VLAN ポート プロファイルのみ)」、「Set New Ports(初期 VLAN ポート プロファイルのみ)」、および「Save (6)」も参照してください。
•
MAC Notif.
MAC 通知機能。このカラムがある場合、スイッチは SNMP MAC 変更通知/MAC 移動通知トラップを使用しています。スイッチが MAC 通知トラップをサポートしていない場合、または Advanced configuration ページ(「Advanced」を参照)で Linkup Notification が選択されている場合は、[MAC Notif.] カラムと [Setup] ボタンは [Ports] 設定ページに表示されません。この場合は、Linkup/Linkdown トラップを使用する必要があります。
–
[MAC Notif.] カラムにグリーンのチェックが表示されるのは、スイッチの該当ポートでこのトラップがイネーブルになっている場合です。
–
グレーの x が表示されるのは、そのポートでこのトラップがイネーブルになっていないか、またはそのポートが管理対象外の場合です。
–
グリーンのチェックまたはグレーの x とレッドの感嘆符(!)が表示されるのは、スイッチ上のポートの設定と Clean Access Manager 上のポートの設定に不一致がある場合です。スイッチに設定を保存する前に不一致を解決するように促すため、[Update] のクリック後、[Setup] をクリックするまでの間、感嘆符が表示されます。
•
Client MAC
このボタンをクリックすると、このポートに接続されているクライアントの MAC アドレス、そのスイッチの IP アドレス、クライアントが接続されているポートの名前を示すダイアログ ボックスが表示されます。管理対象ポートの場合は、接続されているクライアント デバイスごとに MAC アドレスが 1 つだけ表示されます。管理対象外のポートの場合は、そのポートに関連付けられているすべての MAC アドレスがこのダイアログ ボックスに表示されますが、これらの MAC アドレスがデバイス上にあるというわけではありません(他のスイッチ上にある可能性もあります)。
(注) 特定のポートに接続されている MAC アドレスは、そのポートのアクセス VLAN が VLAN データベース内にないと、入手できない場合があります。これは、シスコ製スイッチの一部のモデル(6506、IOS Version 12.2(18) SXD3など)で発生します。
•
Profile (2)
CAM からポートを制御するには、ドロップダウン メニューから管理対象のポート プロファイルを選択してから、[Update] と [Setup] をクリックします。クライアントが接続されているポートから SNMP トラップを取得できるようにするために、これらのポートに管理対象ポート ファイルを適用します。プロファイルはトランク ポートにも適用できます。他のポートはすべて管理対象外にしなければなりません。ポート プロファイルは [OOB Management] > [Profiles] > [Port] > [New] であらかじめ設定されている必要があります(「ポート プロファイルの設定」を参照)。ドロップダウン リストには、必ず 2 つのオプションがあります。1 つは uncontrolled、もう 1 つは Default [] です。最初は、すべてのポートに Default[uncontrolled] ポート プロファイルが割り当てられます。この Default [] ポート プロファイルの割り当ては、[OOB Management] > [Devices] > [Config] タブで変更できます。
(注) Cisco NAC アプライアンス OOB はスイッチ トランク ポートを制御できるため、アップグレードする際、管理対象スイッチのアップリンク ポートを「uncontrolled」ポートに設定してください。そのためには、アップグレード前に [OOB Management] > [Devices] > [Devices] > [List] > [Config[Switch_IP]] > [Default Port Profile](「[Config] タブ」を参照)でスイッチ全体のデフォルト ポート プロファイルが「uncontrolled」になっていることを確認するか、またはアップグレード後に [Ports] 設定ページでスイッチの該当アップリンク ポートの [Profile] を「uncontrolled」に変更します。このようにすれば、スイッチのデフォルト ポート プロファイルが管理/制御対象ポート プロファイルに設定された場合に生じる不必要な問題を回避できます。
•
Note
このフィールドには、設定するポートの説明を入力できます(任意)。[Update] をクリックすると、このフィールドの情報が CAM に保存されます。
個別ポートの管理(Linkup/Linkdown)
スイッチが MAC 変更通知/MAC 移動通知トラップをサポートしていない場合は、[MAC Notif.] カラムと [Setup] ボタンはこのページには表示されません(図 3-35)。その場合は、Linkup/Linkdown トラップがスイッチおよび Clean Access Manager でサポートされ、設定されている必要があります。
Linkup/Linkdown トラップの使用に関する詳細は、「Advanced」を参照してください。
図 3-35 [Ports] タブ - Linkup/Linkdown
複数ポートへのポート プロファイルの同時割り当て
スイッチ設定に、同じポート プロファイル割り当てによってリモート ユーザにネットワークへの認証およびアクセスを提供する多数のアクセス ポートが含まれる場合は、[OOB Management] > [Devices] > [Switch [x.x.x.x]] > [Ports] > [Manage] ページを使用して、同じポート プロファイルを複数のスイッチ ポートに同時に割り当てることができます。ポート プロファイルを割り当てるべきポートが 2 つまたは少ししかない場合は、「個別ポートの管理(MAC Notification)」の手順を参照してください。
ステップ 1
[OOB Management] > [Devices] > [Switch [x.x.x.x]] > [Ports] > [Manage] の順に進みます(図 3-36を参照)。
図 3-36 [OOB Management] > [Devices] > [Switch [x.x.x.x]] > [Ports] > [Manage]
ステップ 2
[Member Switch Ports of Port Profile] ドロップダウン メニューから、対象スイッチ ポートに割り当てる既存のポート プロファイルを選択します。
ステップ 3
[Available Switch Ports] リストで、指定したポート プロファイルを割り当てる 1 つ以上のスイッチ ポートを強調表示します。
ステップ 4
[Join>>] をクリックします。
ステップ 5
スイッチ ポート上の MAC 変更通知/MAC 移動通知(スイッチ上で利用できる場合)を初期化するには、[Setup](「[Setup] ボタン(MAC 通知スイッチのみ)(5)」)をクリックします。
ステップ 6
[Save](「Save (6)」)をクリックして、そのスイッチの実行コンフィギュレーションを、そのスイッチのスタートアップ コンフィギュレーションに保存します。
[Config] タブ
[Config] タブを使用すると、特定のスイッチの [Basic]、[Advanced]、[Group] のプロファイル設定を変更できます。
•
Basic
•
Advanced
•
Group
Basic
[Basic] タブには(図 3-37)そのスイッチの設定値が次のように表示されます。
図 3-37 Basic Config
•
次の値は、スイッチの初期設定から入手されます。
–
IP Address
–
MAC Address
–
Location
–
Contact
–
System Info(そのスイッチの MIB から変換されたシステム情報)
•
[Device Profile]:[OOB Management] > [Profiles] > [Device] に、このスイッチ設定を使用しているデバイス プロファイルが表示されます。デバイス プロファイルには、モデル タイプ、SNMP トラップを送信する SNMP ポート、read および write の SNMP バージョン、および該当するコミュニティ ストリングまたは認証パラメータ(SNMP V3 Read および Write)が設定されています。
•
[Default Port Profile]:[Ports] タブ上のスイッチの未設定ポートに適用されるデフォルト ポート プロファイルが表示されます。ここで設定値を変更しなければ、すべてのポートの初期のデフォルト プロファイルは、「uncontrolled」になります。デフォルト ポート プロファイルを変更するには、ドロップダウン メニューから別のプロファイルを選択し、[Update] をクリックします。
(注) Cisco NAC アプライアンス OOB はスイッチ トランク ポートを制御できるため、アップグレードする際、管理対象スイッチのアップリンク ポートを「uncontrolled」ポートに設定してください。そのためには、アップグレード前にここでスイッチ全体のデフォルト ポート プロファイルが「uncontrolled」になっていることを確認するか、アップグレード後に [OOB Management] > [Devices] > [Devices] > [List] > [Ports [Switch_IP]] | [Profile](「[Ports] 管理ページ」を参照)でスイッチの該当するアップリンク ポートのプロファイルを「uncontrolled」に変更します。これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる不必要な問題を回避できます。
•
[Description]:スイッチの説明(任意)。このフィールドを変更するには、新しい説明を入力し、[Update] をクリックします。
Advanced
[Advanced Config] ページ(図 3-38)を使用すると、特定のスイッチポートに対して CAM SNMP Receiver が使用する SNMP トラップ通知タイプを表示し、設定することができます。
•
[MAC Notification]:スイッチが MAC 通知をサポートする場合、CAM はこのオプションを自動的にイネーブルにします。
(注) さまざまなスイッチ設定をサポートするために、Cisco NAC アプライアンスは、MAC Change 通知トラップと MAC Move 通知トラップの両方を使用してスイッチをサポートします。
•
[Linkup Notification]:スイッチが MAC 通知をサポートしていない場合、CAM は代わりに [Linkup Notification] オプションをイネーブルにします。この場合、スイッチがこの機能をサポートしていると、管理者はオプションでスイッチの [Port Security] をイネーブルにできます。詳細については、「Port Security」を参照してください。
•
スイッチが [MAC Notification] と [Linkup Notification] の両方をサポートしている場合、管理者は [Linkup Notification] を代わりに選択し、[Update] をクリックすることで、オプションで MAC 通知をディセーブルにできます。
図 3-38 Advanced Config
Linkup/Linkdown は、スイッチ上のグローバル システム設定であり、接続が非稼動状態か稼動状態であるかを追跡します。Linkup/Linkdown トラップ方式を使用する場合、Clean Access Manager は各ポートをポーリングし、ポート上のMACの数を判断しなければなりません。
Linkdown トラップ
クライアント マシンのシャットダウンまたは再起動が発生すると、そのスイッチから CAM に linkdown トラップが送信されます(ポート プロファイルによってスイッチと CAM に linkdown トラップが設定されている場合)。その後のクライアント ポートの動作は、そのポートのポート プロファイルの設定によって決まります。
SNMP Receiver が MAC 通知と Linkup のどちらに設定されていても、CAM はユーザの削除に linkdown トラップを使用します。linkdown トラップが使用されるのは、次のような場合です。
•
OOB オンライン ユーザが削除され、ポート プロファイルに [Kick Out-of-Band online user when linkdown trap is received] オプションが設定されている場合。
•
そのスイッチで [Port Security] がイネーブルになっている場合
Port Security
[Port Security] は、ポートにアクセスできるステーションの MAC アドレスを制限および接続してインターフェイスへの入力を制限するスイッチ機能です。
SNMP 制御方式を [Mac Notification] から [Linkup Notification] に変更するとき( ポート セキュリティのイネーブル化を参照)、スイッチがこの機能をサポートする場合、[Port Security] のチェックボックスが [Advanced] ページに表示されます(図 3-39を参照)。Linkup 通知を使用する場合、[Port Security] 機能は、ユーザが認証するときにポートが 1 つの MAC アドレスだけを使用できるようにして、セキュリティを向上できます。たとえそのポートがハブに接続されていても、トラフィックの送信が許可されるのは、最初に認証された MAC だけです。[Port Security] 機能を使用できるかどうかは、スイッチ モデルと使用する OS によって決まります。
CAM で [Port Security] をイネーブルにするとき、スイッチ設定はただちには変更されません。代わりに、次のクライアントがそのポートに接続するときに、スイッチがポートに設定を追加し、これによってその MAC アドレスについての [Port Security] がオンになります。他の接続が試みられた場合、スイッチは、その MAC アドレスをそのポートへの接続が許される唯一の MAC アドレスとして追加します。
ポート セキュリティのイネーブル化
ステップ 1
[OOB Management] > [Devices] > [List] に進み、制御する必要のあるスイッチの [Config] アイコンをクリックします。
ステップ 2
[Config] タブで、[Advanced] リンクをクリックします。
ステップ 3
[Linkup Notification] のオプションをクリックします。スイッチが機能をサポートする場合、[Port Security] のチェックボックスが表示されます。
ステップ 4
[Enable] のチェックボックス([Port Security] 用)をクリックします。
ステップ 5
[Update] をクリックします。
ステップ 6
プロンプト(図 3-39)が表示され、「Do you want to clear the mac-notification settings on the switch too?Press CANCEL to update without clearing the mac-notification settings on the switch.」というメッセージが表示されます。
•
[OK] をクリックすると、CAM は [Port Security] 設定を保存し、[snmp-server enable traps mac-notification]
という行がスイッチ設定から削除されます。
•
[Cancel] をクリックすると、CAM は [Port Security] 設定を保存し、[snmp-server enable traps mac-notification]
という行はスイッチ設定から削除されません。管理者が後で MAC 通知制御を変更する予定がある場合、このオプションはその際に保存できます(詳細は、「MAC 通知の再イネーブル」を参照)。
図 3-39 CAM から [Port Security] をイネーブル設定
(注) • [Port Security] をイネーブルにできるのは、ポートが Access モードに設定されている(Trunk モードではない)場合だけです。
•
[Port Security] がイネーブルになると、特定のポートに接続されている MAC アドレスが入手できなくなる場合があります。これは、シスコ製スイッチの一部のモデル(4507R、IOS Version 12.2(18) EW など)で発生します。
•
ハイ アベイラビリティを使用する場合は、CAS および CAM が接続されているスイッチのインターフェイスで [Port Security] がイネーブルに設定されて いない ことを確認してください。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。
MAC 通知の再イネーブル
ステップ 1
[OOB Management] > [Devices] > [List] に進み、制御する必要のあるスイッチの [Config] アイコンをクリックします。
ステップ 2
[Config] タブで、[Advanced] リンクをクリックします。
ステップ 3
[Mac Notification] のオプションをクリックします。
ステップ 4
[Update] をクリックします。
ステップ 5
プロンプト(図 3-40)が次のメッセージを表示します。「The running configuration of this switch needs to be updated.Do you want to update the switch running configuration?」
•
[OK] をクリックすると、実行コンフィギュレーションがスイッチでアップデートされます。
•
[Cancel] をクリックすると、[Ports] ページで制御対象ポートを再設定する必要があります(「個別ポートの管理(MAC Notification)」を参照)。
図 3-40 CAM から MAC 通知に復帰
Group
このページには、Clean Access Manager に設定されているすべてのグループ プロファイルと、現在そのスイッチが加入しているグループ プロファイルが表示されます。スイッチを他のグループに追加したり、加入しているグループからスイッチを削除したりすることが可能です。すべてのスイッチのグループ メンバーシップを変更する場合は、[OOB Management] > [Profiles] > [Group] に進みます(「グループ プロファイルの設定」を参照)。
図 3-41 Config Group