Cisco NAC アプライアンスに対するスイッチ のサポート
目次
Cisco NAC アプライアンスに対するスイッチのサポート
OOB がサポートされている(NME)EtherSwitch サービス モジュール
無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート
CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)
Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置
Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置
Cisco 2200/4400 Wireless LAN Controller(Airespace WLC)および DHCP
Cisco NAC アプライアンスに対するスイッチのサポート
(注) このマニュアルは、次の Web サイトから入手できます。http://www.cisco.com/en/US/products/ps6128/products_device_support_tables_list.html
最新の Cisco NAC アプライアンス(Cisco Clean Access)のマニュアルについては、次の Web サイトを参照してください。http://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html
•
無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート
インバンド(IB)配置でのスイッチのサポート
Cisco NAC アプライアンスの In-Band(IB; インバンド)配置では、認証、ポスチャ アセスメント、修復の前後および処理中に、Clean Access Server(CAS)が常にユーザ トラフィックを処理します。無線ネットワークではインバンド モードが必須です。
IB 配置では、Cisco NAC アプライアンスによって、スイッチまたはルータのプラットフォームとバージョンが認識されません。
IB 配置は、レイヤ 2(L2)またはレイヤ 3(L3)にすることができます。
• L2 配置では、CAS がユーザ MAC アドレスまたは IP アドレスを参照できるようにする必要があります。
• (CAS がユーザから 1 つまたは複数ホップ以上離れている) L3 配置では、CAS は IP アドレスでユーザを識別します。
アウトオブバンド(OOB)配置でのスイッチのサポート
Cisco NAC アプライアンスの Out-of-Band(OOB; アウトオブバンド)配置では、認証、アセスメント、修復の処理中にのみ、Clean Access Server(CAS)がユーザ トラフィックを処理します。その後、ユーザ トラフィックは CAS を通過しません。OOB 配置では、Clean Access Manager(CAM)は Simple Network Management Protocol(SNMP)を使用してスイッチを制御し、ポートに Virtual LAN(VLAN; 仮想 LAN)を割り当てます。CAM/CAS を OOB に設定している場合は、対応するバージョンの IOS/CatOS を使用して、サポートされているスイッチ/NME のスイッチ ポートを CAM で制御できます。次の表を参照してください。
• 「OOB がサポートされている(NME)EtherSwitch サービス モジュール」
• 「無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート」
すべてのスイッチ モデル/NMEで、制限事項を確認し、使用するスイッチの OS バージョンに対応した MAC 通知や linkup/linkdown SNMP トラップのサポートを確認することを推奨します。詳細については、「スイッチおよび WLC に関する既知の問題」を参照してください。
(注) 管理者は、サポート対象スイッチのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Update を実行するだけでスイッチ OID をサポート対象にすることができます。スイッチ OID のアップデート機能は、既存のモデルだけに適用されます。新規スイッチ シリーズが導入された場合、管理者はアップグレードを実行して、新規スイッチに対して OOB サポートが確保されるようにする必要があります。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』の「Switch Management」(OOB)の章を参照してください。
(注) リリース 4.5 以降では、管理者はサポート対象 WLC プラットフォームのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。
(注) Cisco NAC アプライアンスでは、Cisco Catalyst 2900 XL および 3500 XL だけを製品(スイッチ)サポート終了時までサポートします。詳細については、次の Web サイトを参照してください。http://www.cisco.com/en/US/partner/products/hw/switches/prod_category_end_of_life.html
OOB がサポートされているスイッチ
表 1 に、アウトオブバンド配置に対応した Cisco NAC アプライアンスのバージョンごとに、サポートされている スイッチ モデル と最小 OS バージョンを示します。
|
Cisco NAC アプライアンスの最小バージョン
1
|
スイッチ モデル
2
|
|||
|---|---|---|---|---|
| 4.5 |
Cisco Catalyst Express 500 Series(CE500)6 |
|||
Cisco Catalyst 29409 |
||||
Cisco Catalyst 295010 、 9 |
||||
4.5 |
Cisco Catalyst 494816 |
|||
| 4.5 |
Cisco Catalyst 6000 9 、 17 |
|||
Cisco IOS ソフトウェア リリース 12.2(33)SXH118 |
||||
Cisco IOS ソフトウェア リリース 12.2(33)SXH1 18 |
||||
| 1.「 Cisco NAC アプライアンスの最小バージョン」列の「+」は、スイッチ モデルまたは OS が、記載されている CCA バージョン以降のバージョンでサポートされていることを示します。 3.DF リリースの IOS を実行している場合は、サポートされている OS の最小バージョン以降で、DF 以外のバージョンを実行します。 4.特に記述がない限り、OS バージョンは SNMP V3 をサポートしています。 5.OOB スイッチの OID 自動アップデート機能は、CCA リリース 4.1(0) 以降で使用できます([Device Management] > [Clean Access] > [Updates])。これにより、CCA ソフトウェアのアップグレードではなく CAM アップデートを実行することによって、既存のサポートされているスイッチ モデルまたはシリーズの新しいスイッチを、サポート対象にすることができます。 6.IOS release 12.2.25(SEG) for CE500 では、すべての Smartport ロールに対して MAC-NOTIFICATION SNMP トラップがサポートされています(DESKTOP および IPPHONE ロールを含む)。12.2.25(SEG) へのアップグレード後、ユーザは CAM で [Switch Management] > [Devices] > [List] > [Config [Switch IP]] > [Config] > [Advanced] を選択して、CE500 に対して MAC-NOTIFICATION を設定できます。CCA 3.6.2, 3.6.3, 4.0.0, 4.0.1, 4.0.2 に対して、CE500 はデフォルトで linkup/linkdown SNMP 通知をサポートしており、MAC-NOTIFICATION トラップに変更するときに「OTHER ロール」警告メッセージを無視できます。Cisco NAC アプライアンスの今後のリリースで、この警告メッセージは削除され、CE500 のデフォルト制御メソッドは MAC-NOTIFICATION トラップになります。 7.CCA OOB では、Cisco Catalyst 2900 XL、3500 XL、および 5500 だけを製品(スイッチ)サポート終了時までサポートします。詳細については、次の Web サイトを参照してください。http://www.cisco.com/en/US/partner/products/hw/switches/prod_category_end_of_life.html 8.2900 XL および 3500 XL は SNMP V3 をサポートしていません。 9.Cisco NAC アプライアンス 4.1(3) 以降は、スイッチからの MAC 移動通知機能をサポートしています。詳細については、「MAC 移動通知機能のサポート」を参照してください。 10.2950/2950 LRE スイッチには IOS 12.1(14)EA1 以降が必要です。2950 スイッチで 12.1(11) ~ 12.1(13) を実行すると、警告 CSCea56777 が表示され、スイッチの VLAN を変更できなくなる可能性があります。 11.3750 L3 スイッチには IOS 12.2(25)SEE 以降が必要です。3750 のスタック構成は、警告 CSCse86236 および CSCsg31176 の影響を受けます(ともに IOS の新リリース 12.2(35)SE で解決済み)。詳細については、「Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置」を参照してください。 12.CCA OOB は 3750 StackWise テクノロジーをサポートしています。スタック構成で MAC 通知機能を使用し、スタック上に 252 を超えるポートがある場合、CAM を使用して 252 番目のポートに MAC 通知機能を設定または設定解除することはできません。回避策が 2 つあります。1)linkup/linkdown SNMP 通知だけを使用します。2)MAC 通知機能を使用する場合、252 番目のポートを使用せずにエラーを無視すれば、その他のポートは正常に機能します。 13.Catalyst 4000/4500 のコード サポートは、シャーシではなくスーパーバイザによって決まります。Catalyst 4000/4500 では、スーパーバイザ I/II だけが CatOS をサポートします。 14.Catalyst 4000/4500 では、スーパーバイザ II+/III/IV/V だけが IOS をサポートします。IOS コードの場合、MAC 通知機能をサポートするのは、12.2(31) SG 以降だけです。スーパーバイザ III は 12.2(31)SG をサポートしていない(つまり、MAC 通知機能をサポートしていない)ため、12.2(25)EWA リリース トレインを実行する必要があります。スーパーバイザ II+/IV/V は 12.2(31)SG をサポートしています。OOB で linkup 通知機能を使用している場合は、12.2(31) SG よりも前のコードも使用できます。 15.Catalyst 4000/4500 では、警告 CSCsi25194 のため、IOS バージョン 12.2(31)SGA02 以降が必要です。 16.Catalyst 4948 は Catalyst 4500 シリーズに基づいています。このスイッチを CAM で追加または設定するには、[Switch Management] > [Profiles] > [Switch] > [New | Switch Model] で [Cisco Catalyst 4000/4500 series] を選択します。 17.Catalyst 6000/6500 で IOS を使用する場合は、12.2(33)SXH 以降で MAC 通知機能をサポートします。Catalyst 6000/6500 がエッジ配置で、ユーザが直接スイッチに接続している場合は、それよりも前の最小リリース(IOS 12.1(8a)EX)で、SNMP linkup 通知機能を使用できます。ユーザが IP 電話の背後から接続している場合は、MAC 通知機能が必要です。 18.Catalyst 6000/6500 スイッチでは、警告 CSCsj10375 のため、IOS バージョン 12.2(33)SXH1 以上が必要です。 |
OOB がサポートされている(NME)EtherSwitch サービス モジュール
表 2 に、Cisco 2800/3800 シリーズ、サービス統合型ルータのサポート対象である Cisco 3750 NME EtherSwitch サービス モジュール を、NAC アプライアンス OOB のバージョン別に示します。これらのサービス モジュールは、基本的にブレードとして製品化された Cisco Catalyst 3750 スイッチであり、2800/3800 サービス統合型ルータだけでサポートされています(Cisco 2600 ISR ではサポートされていません)。
| 19.「 Cisco NAC アプライアンスの最小バージョン」列の「+」は、スイッチ モデルまたは OS が、記載されている CCA バージョン以降のバージョンでサポートされていることを示します。 20.EtherSwitch サービス モジュールをサポートする ISR の詳細については、『Cisco Network Modules Hardware Installation Guide』の表「Router Platforms Supporting Cisco EtherSwitch Service Modules」を参照してください。 21.3750 NME モジュールを OOB スイッチ管理用の CAM に追加するには、3750 スイッチを追加する場合と同じ手順を実行する必要があります。これらの 3750 NME 用のスイッチ プロファイルを設定する場合は、[Switch Management] > [Profiles] > [Switch] > [New | Switch Model] で [Cisco Catalyst 3750 series] を選択します。 22.3750 L3 スイッチには IOS 12.2(25)SEE 以降が必要です。詳細については、「Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置」を参照してください。 23.OOB スイッチの OID 自動アップデート機能は、CCA リリース 4.1(0) 以降で使用できます([Device Management] > [Clean Access] > [Updates])。これにより、CCA ソフトウェアのアップグレードではなく CAM アップデートを実行することによって、既存のサポートされているスイッチ モデルまたはシリーズの新しいスイッチを、サポート対象にすることができます。 |
MAC 移動通知機能のサポート
Cisco NAC アプライアンス 4.1(3) 以降では、MAC 変更通知と linkup/linkdown SNMP トラップの機能に加えて、スイッチからの MAC 移動通知機能をサポートしています。
表 3 に、MAC 移動通知機能をサポートしているスイッチ モデルと OS バージョンを示します。
詳細については、『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(3) 』を参照してください。
無線アウトオブバンド(OOB)スイッチ/Wireless LAN Controller のサポート
(注) 無線 OOB は、IP 変更を必要としない、レイヤ 2 OOB バーチャル ゲートウェイ配置だけをサポートしています。Cisco NAC ネットワーク モジュールはこのトポロジをサポートしていないため、無線 OOB では NAC ネットワーク モジュールがサポートされません。
表 4 に、NAC アプライアンス リリース 4.5 以降で無線 OOB 配置用にサポートされている、Wireless LAN Controller プラットフォームを示します。
(注) リリース 4.5 以降では、管理者はサポート対象 WLC プラットフォームのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。
表 5 に、Cisco NAC アプライアンス リリース 4.5 で使用するスイッチの推奨 IOS バージョンを示します。また、 表 5 に、リリース 4.5 の無線 OOB 機能で動作することが確認されている、OS バージョンとスイッチ プラットフォームを示します。WOOB サポートで問題が発生したとき、表 1 に示す既存のハードウェア プラットフォームでサポートされている IOS の最小 バージョンを実行している場合は、スイッチの IOS を 表 5 に示すバージョンにアップグレードする必要があります。
CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)
表 6 に、インバンド(IB)またはアウトオブバンド(OOB)配置の CAS のバーチャル ゲートウェイ VLAN マッピング機能に対する、Cisco Catalyst スイッチ モデルのサポート状況を示します。この表では、バーチャル ゲートウェイ(ブリッジ)モードの CAS を記載されたスイッチに接続する場合に選択できる、CAS ネットワーク配置のオプションを明らかにしています。
| 24.スイッチ警告 CSCdu27506 のためです。詳細については、「Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置」を参照してください。 |
バーチャル ゲートウェイ の中央配置の詳細については、「VGW/中央配置における中央スイッチでのループ防止」を参照してください。
スイッチおよび WLC に関する既知の問題
ここでは、Cisco NAC アプライアンスを次のスイッチ モデル/Wireless LAN Controller および配置タイプと統合する場合の、既知の問題について説明します。
• Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置
• Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置
• Cisco 2200/4400 Wireless LAN Controller(Airespace WLC)および DHCP
Cisco Catalyst 3550/3560/3750 および NAC アプライアンスのインバンド中央配置
インバンド中央配置モードの Cisco Clean Access(NAC アプライアンス)では、Cisco Catalyst 3560/3750 シリーズ スイッチをレイヤ 3 スイッチとして使用し、CAS の両方のポートが同じ 3560/3750 スイッチに接続されている場合、Cisco IOS リリース 12.2(25)SEE 以降のスイッチ IOS コードが必要です。
警告 CSCdu27506 は Catalyst 3550 シリーズ スイッチでは修正されていないため、Catalyst 3550 はレイヤ 3 スイッチとして使用する場合、NAC アプライアンスのインバンド中央配置では使用できません。
詳細については、次の Web サイトで警告 CSCdu27506 を参照してください。
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCdu27506
また、「CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)」も参照してください。
Cisco Catalyst 3750 スイッチのスタックと NAC アプライアンスのアウトオブバンド配置
Cisco Clean Access(NAC アプライアンス)のユーザが、OOB 配置で Cisco IOS 12.2(25) SEC2 以前を使用して Cisco Catalyst 3750 スイッチをスタックしている場合は、SNMP MAC 通知に失敗する可能性があり、SNMP によって MAC アドレスが OOB CAM および CAS に報告されません。
この問題の影響を受けた場合は、Cisco Catalyst 3750 スイッチのスタックを Cisco IOS リリース 12.2(25)SEE 以降にアップグレードすると解決できます。詳細については、次の Web サイトでスイッチ IOS の警告 CSCeh80716 を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_25_sed/release/notes/OL8113.html#wp821615
(注) Catalyst 3750 のスタック構成は、警告 CSCse86236 および CSCsg31176 の影響を受けます。これらの警告は、IOS リリース 12.2(35)SE で解決されています。
OOB 配置でサポートされているスイッチの詳細については、「アウトオブバンド(OOB)配置でのスイッチのサポート」を参照してください。
(注) スイッチの SNMP 設定を指定する際、コミュニティ ストリングで「@」文字は使用しないでください。
Cisco 2200/4400 Wireless LAN Controller(Airespace WLC)および DHCP
Cisco NAC アプライアンス リリース 4.0(2) 以降では DHCP サーバの動作が変更されたため、Cisco 2200/4400 Wireless LAN Controller(別名 Airespace WLC)を使用しているネットワークで、要求を(DHCP サーバとして動作する)CAS にリレーすると、問題が発生する可能性があります。この場合、クライアント マシンで DHCP アドレスを取得できないことがあります。
リリース 4.0(2) のインストールまたはアップグレード後に、Airespace コントローラで DHCP の問題が発生する場合は、次の手順を実行して DHCP 機能を復元する必要があります。
ステップ 1 CAS で DHCP オプションをイネーブルにします。
a. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Global Options] を選択します。
b. [Enable] ボタンをクリックします(ユーザ指定の DHCP オプション)。
ステップ 2 オプション番号「54」、オプション タイプ「IP-Address」を指定して、新しいカスタムのグローバル DHCP オプションを作成します。
a. [Root Global Option List] で [New Option] リンクをクリックします。
c. [Type] ドロップダウン メニューから [IP-Address] を選択します。
d. [Create Custom Option] ボタンをクリックします。
ステップ 3 このオプションの CAS eth1 IP アドレス(CAS が HA モードの場合は eth1 サービス IP)の値を設定します。
a. テキスト フィールドに CAS eth1 IP アドレスを入力します。
ステップ 4 これで、Airespace コントローラで DHCP 機能が復元されます。
(注) DHCP オプション設定の詳細については、『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』の「Configuring DHCP」の章を参照してください。
トラブルシューティング
VGW/中央配置における中央スイッチでのループ防止
バーチャル ゲートウェイの中央配置では、CAS の両方のインターフェイスが同じスイッチに接続されます。バーチャル ゲートウェイ の中央配置を正しく設定するには、次の手順に従って作業を進める必要があります。CAS の両方のインターフェイスをスイッチに接続する際に、すべての中央/コア スイッチでループが生じないようにするため、次の手順を実行してください。
1. CAS の両方のインターフェイスをスイッチに接続する前に、CAS の CLI に SSH で接続し、CLI コマンドを使用して eth1(信頼できないインターフェイス)をディセーブルにします。
2. CAS の eth0 および eth1 インターフェイスを、ネットワークへ物理的に接続します。
3. CAM Web コンソールに CAS を追加後、必ず、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN のマッピングを設定してください。さらに、[Enable VLAN Mapping] チェックボックスにチェックを入れて、Update] をクリックします。
4. スイッチの 802.1q ポートの設定では、CAS の eh0 および eth1 にトランク接続しているスイッチの VLAN のうち、CAS 管理 VLAN とユーザ VLAN に使用されているもの以外のすべての VLAN を除外してください。
5. CAS の eth0 および eth1 のインターフェイスに接続しているスイッチ ポートの VLAN 1 を除外します。詳細については、次の Web サイトを参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_22ea/SCG/swvlan.html
6. 前述の手順が完了したら、CAS の CLI に SSH で接続し、CLI コマンドを使用して、CAS の eth1 をイネーブルにします。
また、「CAS バーチャル ゲートウェイ/VLAN マッピングに対するスイッチのサポート(IB および OOB)」も参照してください。
OOB スイッチ トランク ポートとアップグレード
Cisco Clean Access は OOB(リリース 3.6(1) 以降)のスイッチ トランク ポートを制御できるため、アップグレードの前後いずれかに、制御対象スイッチのアップリンク ポートを「uncontrolled」(非制御)ポートに設定します。そのためには、次の 2 つの方法のいずれかを使用します。
• アップグレード前に、[Switch Management] > [Devices] > [Switches] > [List] > [Config[Switch_IP]] > [Default Port Profile | uncontrolled] で、スイッチ全体の [Default Port Profile] を [uncontrolled] に変更します。
• アップグレード後に、[Switch Management] > [Devices] > [Switches] > [List] > [Ports [Switch_IP] | Profile] で、スイッチの適用可能なアップリンク ポートの [Profile] を [uncontrolled] に変更します。
これによって、スイッチのデフォルト ポート プロファイルが管理/制御対象のポート プロファイルとして設定された場合に生じる、不必要な問題を回避できます。
何らかの理由で前述の手順が省略されたためにスイッチが切断された場合は、次の手順を実行します。
1. スイッチを CAM のスイッチ リストから削除します([Switch Management] > [Devices] > [Switches] > [List])。
2. CLI を使用してスイッチを設定し、CAM によってアップリンク ポートに加えられた変更を元に戻します(トランク ネイティブ VLAN および MAC 通知)。次に、例を示します。
3. スイッチを CAM に追加し([Switch Management] > [Devices] > [Switches] > [New] または [Search])、[Default Port Profile] に [uncontrolled] を適用します。
4. 「uncontrolled」ポート プロファイルをアップリンク ポートおよび他の非制御ポートに割り当てます([Switch Management] > [Devices] > [Switches [x.x.x.x]] > [Ports])。
5. スイッチのデフォルト ポート プロファイルをリセットします([Switch Management] > [Devices] > [Switches [x.x.x.x]] > [Config])。
6. スイッチ ポートを初期化します([Switch Management] > [Devices] > [Switches [x.x.x.x]] > [Ports])。
スイッチ OID のサポート
管理者は、サポート対象スイッチのオブジェクト ID(OID)を CAM アップデートによって更新できます([Device Management] > [Clean Access] > [Updates])。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Update を実行するだけでスイッチ OID をサポート対象にすることができます。スイッチ OID のアップデート機能は、既存のモデルだけに適用されます。新規スイッチ シリーズが導入された場合、管理者はアップグレードを実行して、新規スイッチの OOB サポートを確保する必要があります。
リリース 4.5 以降では、管理者は無線 OOB 機能用にサポートされている Wireless LAN Controller プラットフォームのオブジェクト ID(OID)を、CAM アップデートによって更新できます。
1. CAM で [Device Management] > [Clean Access] > [Updates] を選択します。[Update] を実行して、[Supported Out-of-Band Switch OIDs] の現在のバージョンを確認します。
2. それでもスイッチが CAM から管理できない場合は、CAM で次のコマンドを実行して、スイッチから OID を取得します。
フィードバック