シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド

NME-NAC-K9

1 GHz Celeron M

80 GB (SATA)

512 MB DDR

64 MB

NACNM-50-K9

NAC ネットワーク モジュール サーバ ライセンス：最大 50 ユーザ

NACNM-100-K9

NAC ネットワーク モジュール サーバ ライセンス：最大 100 ユーザ

NACNM-50UL=

NAC ネットワーク モジュール サーバ ライセンス：アップグレードに限り 50 ～ 100 ユーザ

物理的構成

エッジ配置に限る

CAS のトラフィック パッシング

• バーチャル ゲートウェイ（ブリッジ モード）

• リアル IP ゲートウェイ（経路選択済みモード）

クライアント アクセス

• レイヤ 2：クライアントは、NAC ネットワークモジュールに隣接（CAS）

• レイヤ 3：クライアントは、NAC ネットワーク モジュールから離れたマルチ ホップ（CAS）

トラフィック フロー

• インバンド：CAS は、常にトラフィックと直列

• アウトオブバンド：CAS は、ポスチャのアセスメント、復旧時に限りトラフィックと直列

サービス統合型エンジン 1/0
（int-svr-eng 1/0）

サービス統合型ルータを CAS（NAC モジュール）の eth0 信頼 ポートに接続する内部ポート その他のレイヤ 3 ポートと同様に扱われます。

ESW 内部ポート
（Gig1/0/2）

サービス統合型ルータを EtherSwitch（ESW）の Gig 1/0/2 インターフェイスに接続する内部ポート その他のレイヤ 3 ポートと同様に扱われます。ISR スロットによっては、Gig2/0 または Gig3/0 としてルータに表示されます。

Gigabit Serdes
（GigSerdes）

（オプション）CLI コマンドを介して、CAS（NAC モジュール）の eth1 非信頼ポートを EtherSwitch（ESW）Gig 1/0/2 ポートと接続するように設定できる内部ポート

定義：

• Integrated-Service-Engine 1/0 0 は、CAS の eth1 非信頼ポートです

• GigabitEthernet2/0 0 は、EtherSwitch の Gig 1/0/2 ポートです

• EtherSwitch の Gig 1/0/2 ポートに適用されるポートは、GigSerdes ポートに適用します。

外部リンクへのルータ インターフェイス（GigabitEthernet slot /0）

標準のルータの設定

ルータの Cisco IOS CLI

モジュールへのルータ インターフェイス（integrated-service-engine slot /0）

モジュールの IP アドレスとデフォルト ゲートウェイのルータ

Clean Access Server の eth0（信頼）インターフェイス

ルータへのモジュール インターフェイス（GigabitEthernet 0/1）

NAC ネットワーク モジュールの設定

NAC ネットワーク モジュールの CLI、GUI または SSH インターフェイス

Clean Access Server の eth1（非信頼）インターフェイス

外部リンクへのモジュール インターフェイス（GigabitEthernet 0/0）

非信頼インターフェイス（クライアント側のネットワーク）の設定

service-module ip address

module-side-ip-address

a. eth0 インターフェイス（信頼）の IP アドレス

subnet-mask

b. eth0 インターフェイスのサブネットマスク（IP ネットマスク）

service-module ip default-gateway

gateway-ip-address

c. eth0 インターフェイスのデフォルト ゲートウェイのIPアドレス

service-module external ip address

external-ip-address

d. eth1 インターフェイス（非信頼）の IP アドレス

subnet-mask

e. eth1 インターフェイスのサブネットマスク（IP ネットマスク）

n/a

f. eth1 インターフェイスのデフォルト ゲートウェイのIPアドレス

n/a

g. CAS のホスト名

n/a

h. ネットワークのドメイン ネーム サーバの IP アドレス

n/a

i. 共有秘密キー

n/a

j. 日付、時間、タイムゾーン

n/a

k. 必要な一時 SSL 証明書（あとで変更可能）を生成する場合：

- CAS の FQDN または eth0 IP アドレス
- 組織ユニット（Sales など）
- 組織名（Cisco など）
- 組織の場所（San Jose、CA、US など）

n/a

l. Root ユーザのパスワード

n/a

m. Web コンソールのパスワード

ステップ 1

enable

Router> enable

ホスト ルータの特権 EXEC を入力します。パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

Router# configure terminal

ホスト ルータのグローバル コンフィギュレーション モードを入力します。

ステップ 3

interface integrated-service-engine slot / 0

ISR 2811（one-slot 限定）

Router(config)# interface integrated-service-engine 1/0

ISR 3845（multiple-slot 限定）

Router(config)# interface integrated-service-engine 3/0

ネットワーク モジュールが常駐するスロットとポートのインターフェイス コンフィギュレーション モードを入力します。

ステップ 4

ip address router-side-ip-address subnet-mask

または

ip unnumbered type number

Router(config-if)# ip address 10.30.30.10 255.255.255.0

または

Router(config-if)# ip unnumbered ethernet 0

ルータのモジュールへのインターフェイスを指定します（図3の #2 ）。引数は次のとおりです。

• router-side-ip-address subnet-mask ：インターフェイスの IP アドレスとサブネット マスク

• type number ：ルータが割り当て済みの IP アドレスを持つ別のシリアル インターフェイスの番号のタイプと番号 番号付けされていない別のインターフェイスは指定できません。ハイ レベル データ リンク（HDLC）、ポイントツーポイント プロトコル（PPP）、平衡型リンクアクセス手順（LAPB）、フレームリレー カプセル化、シリアル ライン インターネット プロトコル（SLIP）を使用しているシリアル インターフェイスおよびトンネル インターフェイスは、アンナンバードでもかまいません。

ステップ 5

service-module ip address module-side-ip-address subnet-mask

Router(config-if)# service-module ip address 10.30.30.9 255.255.255.0

モジュール インターフェイスからルータへの IP アドレスを指定します（図3の #3 ）。

引数は次のとおりです。

• module-side-ip-address ：インターフェイスの IP アドレス

• subnet-mask ：IP アドレスに追加するサブネット マスクで、ホスト ルータと同じサブネットにあることが必要

ステップ 6

service-module external ip address external-ip-address subnet- mask

Router(config-if)# service-module external ip address 172.0.0.30 255.255.255.0

モジュールの外部 LAN インターフェイスの IP アドレスを指定します（図3の #4 ）。

引数は次のとおりです。

• external-ip-address ：インターフェイスの IP アドレス

• subnet-mask ：IP アドレスに追加するサブネット マスク

ステップ 7

service-module ip default-gateway gateway-ip-address

Router(config-if)# service-module ip default-gateway 10.30.30.10

モジュールのデフォルト ゲートウェイ ルータの IP アドレスを指定します。引数は以下のようになります。

• gateway-ip-address ：ゲートウェイ ルータの IP アドレス

ステップ 8

end

Router(config-if)# exit

ホスト ルータのグローバル コンフィギュレーション モードに戻ります。

ステップ 9

copy running-config startup-config

Router# copy running-config startup-config

ルータの新規実行コンフィギュレーションを保存します。

ステップ 10

show running-config

Router# show running-config

アドレス設定を検証できるようにルータの実行コンフィギュレーションを表示します。

ステップ 1

enable

Router> enable

ホスト ルータの特権 EXEC を入力します。パスワードを入力します（要求された場合）。

ステップ 2

service-module integrated-service-engine slot /0 status

Router# service-module integrated-service-engine 2/0 status

モジュールが実行さていること（つまり安定した状態にあること）を確認できるように、指定したモジュールのステータスを表示します。

ステップ 3

service-module integrated-service-engine slot/ 0 session

Router# service-module integrated-service-engine 1/0 session

Trying 10.10.10.1, 2065 ... Open

指定したモジュールでセッションを開始します。次のいずれかを実行します。

• auto-boot シーケンスを中断するには、bootloader にアクセスして、すばやく「 *** 」とタイプします。この作業を行うのは、マシンを起動できない場合だけにしてください。この場合は、「Cisco NAC ネットワーク モジュールの再インストール」を参照して詳細なステップを確認してください。

• コンフィギュレーション セッションを開始するには、Enter を押します。

ステップ 4

Fedora Core release 4 (Stentz)

Kernel 2.6.11-perfigo on an i686

NME-NAC login: root

NAC モジュール上の Clean Access Sever ソフトウェアの初期設定を行う方法については、「Clean Access Server ソフトウェア Configuration Utility」を参照してください。

ステップ 5

Ctrl+Shift+6 x を押します。

service-module セッションを閉じて、ルータの CLI に戻ります。

ステップ 6

service-module integrated-service-engine slot /0 session clear

Router# service-module service-engine 1/0 session clear

指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。

ステップ 1

root

Configuring the network interfaces:

ネットワーク モジュールのプロンプトから root ユーザとして Clean Access Server Configuration Utility にログインします。
初回ログイン時は、パスワードを要求されません。

– モジュールでコンフィギュレーション セッションを開始し、NAC アプライアンスの CLI コマンド service perfigo config を入力する。

– SSH を使用して、モジュールに接続し（CAS eth0 IP アドレス）、 service perfigo config を入力する

ステップ 2

module-side-ip-address

Please enter the IP address for the interface eth0 [10.201.2.30]: 10.201.217.203

You entered 10.201.217.203 Is this correct? (y/n)? [y]

最初のプロンプトで、CAS の eth0（信頼）インターフェイスの IP アドレスを入力して（CAS ワークシートのフィールド a ）、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

ステップ 3

module-side-ip-address subnet-mask

Please enter the netmask for the interface eth0 [255.255.255.0]:

You entered 255.255.255.0, is this correct? (y/n)? [y]

プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク（フィールド b ）を入力するか、または Enter キーを押してデフォルト値（255.255.255.0）を設定します。プロンプトに従って値を確認します。

ステップ 4

service-module ip default-gateway

Please enter the IP address for the default gateway [10.201.217.1]: 10.201.217.202

You entered 10.201.217.202 Is this correct? (y/n)? [y]

デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し（フィールド c ）、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。

ステップ 5

y-or-n

[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled.

Would you like to enable it? (y/n)? [n]

Vlan ID Passthrough プロンプトで n を入力してから Enter キーを押して（または単に Enter キーを押して）、CAS のデフォルト動作として VLAN ID パススルーを無効なままにします デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。

ステップ 6

y-or-n

[Management Vlan Tagging] for egress packets of eth0 is disabled.

Would you like to enable it? (y/n)? [n]

「Management VLAN Tagging」のプロンプトで n を入力してから Enter キーを押して（または単に Enter キーを押して）、管理 VLAN タギングをディセーブルのままにします（デフォルト）。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング（指定した VLAN ID を使用）をイネーブルにします。

ステップ 7

external-ip-address

Please enter the IP address for the untrusted interface eth1 [192.168.110.1]: 10.201.243.49

You entered 10.201.243.49 Is this correct? (y/n)? [y]

CAS の eth1（非信頼）インターフェイスの IP アドレスを入力し（フィールド d ）、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。

ステップ 8

external-ip-address-subnet-mask

Please enter the netmask for the interface eth1 [255.255.255.0]: 255.255.255.240

You entered 255.255.255.240, is this correct? (y/n)? [y]

eth1 インターフェイスのサブネット マスクを入力するか（フィールド e ）、または Enter キーを押してデフォルト値（255.255.255.0）を設定します。プロンプトに従って値を確認します。

ステップ 9

external-ip-address-default-gateway

Please enter the IP address for the default gateway [10.201.243.1]: 10.201.243.49

You entered 10.201.243.49 Is this correct? (y/n)? [y]

eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します（フィールド f ）。

a. CAS がリアル IP ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。

b. CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。

ステップ 10

y-or-n

[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled.

Would you like to enable it? (y/n)? [n]

次のプロンプトで、 n を入力してから Enter キーを押して（または単に Enter キーを押して）、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。

ステップ 11

y-or-n

[Management Vlan Tagging] for egress packets of eth1 is disabled.

Would you like to enable it? (y/n)? [n]

Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して（または単に Enter キーを押して）、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします（デフォルト）。

ステップ 12

clean-access-server-host-name

Please enter the hostname [caserver]: cas-10

You entered cas-10 Is this correct? (y/n)? [y]

CAS のホスト名を入力して、確認します（フィールド g ）。

ステップ 13

dns-server-ip-address

Please enter the IP address for the name server: [171.68.226.120]:

You entered 171.68.226.120 Is this correct? (y/n)? [y]

次のプロンプトでは、ご使用の環境の DNS サーバの IP アドレスを指定するか（フィールド h ）、またはデフォルト値を受け入れます。

ステップ 14

nac-shared-secret

The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123

This is highly insecure. It is recommended that you choose a string that is unique to your installation.

Please remember to configure all Clean Access Devices with the same string.

Only the first 8 characters supplied will be used.

Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco1234

You entered: cisco1234

Is this correct? (y/n)? [y]

プロンプトに CAM および CAS の共有秘密キーを入力して、確認します（フィールド i ）。

ステップ 15

region-number

>>> Configuring date and time:

The timezone is currently not set on this system.

Please identify a location so that time zone rules can be set correctly.

Please select a continent or ocean.

1) Africa

2) Americas

3) Antarctica

4) Arctic Ocean

5) Asia

6) Atlantic Ocean

7) Australia

8) Europe

9) Indian Ocean

10) Pacific Ocean

11) none - I want to specify the time zone using the Posix TZ format.

#? 2

次の手順に従って、CAS の時間設定を指定します（フィールド j ）。

大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字（たとえば、アメリカなら 2 ）を入力し、Enter キーを押します。 GST-10 のような Posix TZ フォーマットでタイム ゾーンを入力する場合は、 11 を入力します。

ステップ 16

country-number

Please select a country.

1) Anguilla 18) Ecuador 35) Paraguay

2) Antigua & Barbuda 19) El Salvador 36) Peru

3) Argentina 20) French Guiana 37) Puerto Rico

4) Aruba 21) Greenland 38) St Kitts & Nevis

5) Bahamas 22) Grenada 39) St Lucia

6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon

7) Belize 24) Guatemala 41) St Vincent

8) Bolivia 25) Guyana 42) Suriname

9) Brazil 26) Haiti 43) Trinidad & Tobago

10) Canada 27) Honduras 44) Turks & Caicos Is

11) Cayman Islands 28) Jamaica 45) United States

12) Chile 29) Martinique 46) Uruguay

13) Colombia 30) Mexico 47) Venezuela

14) Costa Rica 31) Montserrat 48) Virgin Islands (UK)

15) Cuba 32) Netherlands Antilles 49) Virgin Islands (US)

16) Dominica 33) Nicaragua

17) Dominican Republic 34) Panama

#? 45

次に、選択した地域の国のリストが表示されます。国のリストから該当する国（米国なら 45 ）を選択し、Enter キーを押します。

ステップ 17

timezone-number

Please select one of the following time zone regions.

1) Eastern Time

2) Eastern Time - Michigan - most locations

3) Eastern Time - Kentucky - Louisville area

4) Eastern Time - Kentucky - Wayne County

5) Eastern Time - Indiana - most locations

6) Eastern Time - Indiana - Crawford County

7) Eastern Time - Indiana - Starke County

8) Eastern Time - Indiana - Switzerland County

9) Central Time

10) Central Time - Indiana - Daviess, Dubois, Knox, Martin, Perry & Pulaski Counties

11) Central Time - Indiana - Pike County

12) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties

13) Central Time - North Dakota - Oliver County

14) Central Time - North Dakota - Morton County (except Mandan area)

15) Mountain Time

16) Mountain Time - south Idaho & east Oregon

17) Mountain Time - Navajo

18) Mountain Standard Time - Arizona

19) Pacific Time

20) Alaska Time

21) Alaska Time - Alaska panhandle

22) Alaska Time - Alaska panhandle neck

23) Alaska Time - west Alaska

24) Aleutian Islands

25) Hawaii

#? 19

その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。

リストから該当するタイム ゾーンを選択し（太平洋標準時なら 19 ）、Enter キーを押します。

ステップ 18

confirmation-number

The following information has been given:

United States

Pacific Time

Is the above information OK?

1) Yes

2) No

#? 1

Updating timezone information...

1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。

ステップ 19

y-or-n

または

hh:mm:ss mm/dd/yy

現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。

（注） CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。

ステップ 20

<certificate fields>

You must generate a valid SSL certificate in order to use the Clean Access Server's secure web console.

Please answer the following questions correctly.

Information for a new SSL certificate:

Enter fully qualified domain name or IP: 10.201.217.203

Enter organization unit name: Test

Enter organization name: Cisco Systems

Enter city name: San Jose

Enter state code: California

Enter 2 letter country code: US

プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない（管理対象）クライアント間でのログイン交換を保護します（フィールド k を使用）。

a. 組織単位名には、その証明書を管理する組織 内 のグループを入力します（ Perfigo など）。

b. 組織名には、証明書を受領する組織名または会社名（ Cisco Systems など）を入力し、Enter キーを押します。

c. その組織の法的所在地となっている市または郡の名前（ San Jose など）を入力し、Enter キーを押します。

d. その組織の所在地を表す 2 文字の州コード（ California または NY など）を入力し、Enter キーを押します。

• 2 文字の国コード（ US など）を入力し。

ステップ 21

y-or-n

You entered the following:

Domain: 10.201.217.203

Organization unit: Test

Organization name: Cisco Systems

City name: San Jose

State code: California

Country code: US

Is this correct? (y/n)? [y]

Generating SSL Certificate...

CA signing: /root/.tomcat.csr -> /root/.tomcat.crt:

CA verifying: /root/.tomcat.crt <-> CA cert

/root/.tomcat.crt: OK

Done

値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。

ステップ 22

y-or-n

admin ユーザが CAS にログインする前に、admin ユーザのプリログイン バナーを有効にするかどうかを確認します（リリース 4.5 以降）。

この機能をアプリケーションで有効してから、コマンドライン コンソールにログインして、/root/banner/pre.file を編集すると、管理者はプリログイン バナーのテキストを指定できるようになります。プリログイン バナーのテキストは、admin ユーザが CAM/CAS にログインするときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5 』のインストールの章を参照してください。

ステップ 23

root-user-password

インストールした CAS の Linux オペレーティング システム用の root ユーザ パスワードを入力します（フィールド l ）。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。

リリース 4.5 からは、デフォルトの root ユーザのパスワード（ cisco123 ）は削除されています。Cisco NAC アプライアンスは、root ユーザのログインについてだけストロング パスワードをサポートしています。パスワードは、8 文字以上、かつ次の 4 つのカテゴリのそれぞれから 2 文字以上を使用している必要があります：小文字、大文字、数字、特殊文字（!@#$%^&*~ など）。

たとえば、 1o-9=OnE は有効なパスワードです。しかし 10-9=One は 2 文字以上使用されていないカテゴリがあるため、要件に適合していません。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5 』の「Administer the CAM」の章の「Manage System Passwords」を参照してください。

ステップ 24

web-console-admin-password

Please enter an appropriately secure password for the web console admin user.

New password for web console admin:

Confirm new password for web console admin:

Web console admin password changed successfully.

CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します（フィールド m ）。CAS Web コンソールでは、CAS 固有の設定の一部に直接アクセスできます。主な用途は、ハイ アベイラビリティの設定です。

ステップ 25

reboot

[root@cas-10 ~]#

設定が完了したら、プロンプトが表示されるのを待ってから、 reboot とタイプして CAS を再起動します。

（注） service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。

これで CAS の初期設定は完了です。

ステップ 26

From CAS:

ping cam-ip-address

From CAM (ping CAS eth0 address):

ping 10.201.217.203 ...

CAS から CAM に ping して、CAM と CAS が互いに ping（ルート）できることを確認します。

ステップ 27

https://<CAS IP address>/admin

Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスを入力して、CAS の Web コンソールにログインできることを確認します。「」で設定した admin ユーザのパスワードを使用してください。

ステップ 28

http://<CAM IP address> /admin

Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスをタイプして、CAM のWeb コンソールにアクセスします。

CAM Web コンソール側

• 『 Cisco NAC Appliance Service Contract / Licensing Support 』に従って、[Administration] > [CCA Manager] > [Licensing] で NAC ネットワーク モジュールのライセンスを追加します。

• 以下にある説明に従って CAS を CAM に追加します。

『 Cisco NAC Appliance Configuration Quick Start Guide 』または、

『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』（ご使用のリリースに適用可能）

ステップ 29

Ctrl+Shift+6 x を押します。

service-module セッションを閉じて、ルータの CLI に戻ります。

ステップ 30

service-module integrated-service-engine slot /0 session clear

Router# service-module service-engine 1/0 session clear

指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。

service-module integrated-service-engine slot /0 reload

（ 推奨 ）ネットワーク モジュールのオペレーティング システムをスムーズにシャットダウンします。各サービスが自身のシャットダウン プロセスを実行できます。シャットダウン後、bootloader からネットワーク モジュールを再起動します。

このコマンドは、ネットワーク モジュールの Linux コンソールから reboot を実行するのとよく似ています。

service-module integrated-service-engines slot /0 reset

（ 非推奨 ）ハードウェア リセット ラインを使用してモジュールのハードウェアをリセットします。このコマンドは、シャットダウンや故障状態から復旧するとき以外は使用しないでください。

このコマンドは、サービスが自身のシャットダウン プロセスを実行できないので、Linux の筐体のリセット ボタンを押すのとよく似ています。

service-module integrated-service-engine slot /0 session

指定したサービス エンジンにアクセスして、ネットワーク モジュールの設定セッションを開始します。

service-module integrated-service-engines slot /0 shutdown

ネットワーク モジュールのオペレーティング システムをスムーズにシャットダウンします。オンラインでの抜き差し（OIR）の最中にホットスワップ可能なモジュールを取り外しするか、または交換したい場合に使用します。

service-module integrated-service-engine slot /0 status

ネットワーク モジュールのハードウェアとソフトウェアの設定および状態に関する情報を表示します。

boot helper | chainloader

boothelper または bootloader を起動します。

reboot

設定の変更を保存せずに NAC ネットワーク モジュールをシャットダウンし、それから bootloader を使用して再起動します。

ping

指定した IP アドレスに ping して、ネットワークの接続をチェックします（目的地のホスト名は使用できません）。

show arp

現在のアドレス解決プロトコル（ARP）テーブルを表示します。

show clock

現在のデータと時間を表示します。

show configuration

configure コマンドを使用して入力した bootloader の現在の設定を表示します。

show controllers

インターフェイスのデバッグ情報を表示します。

show diag

NAC についての情報など、標準の Cisco IOS 診断情報を表示します。

show hardware

ネットワーク モジュールとホスト ルータのハードウェア情報を表示します。

show hosts

デフォルトのドメイン名、ネーム ルックアップのスタイル、name-server のホスト リスト、ホスト名とアドレスのキャッシュされたリストを表示します。

show interfaces

ネットワーク、ディスクを含め、すべてのハードウェア インターフェイスの情報を表示します。

show interfaces integrated-service-engine slot /0

ルータ、モジュールのインターフェイスのうち、モジュール側の情報を表示します。

show ntp status

ネットワーク タイム プロトコル（NTP）の情報を表示します。

show processes

実行中のアプリケーションのプロセスのリストを表示します。

show running-config

有効になっているコンフィギュレーション コマンドを表示します。

show startup-config

スタートアップ コンフィギュレーションを表示します。

show tech-support

シスコのテクニカル サポートが問題の診断に利用できるホスト ルータの情報を表示します。

show version

ルータ、ソフトウェア、ネットワーク モジュールの bootloader のバージョン情報とハードウェア、デバイスについての情報を表示します。

ping

指定した IP アドレスに ping して、ネットワークの接続をチェックします（目的地のホスト名は使用できません）。

show config

フラッシュ メモリに格納されているスタートアップ コンフィギュレーションを表示します。

ステップ 1

a. Cisco Software Download サイト（ http://www.cisco.com/public/sw-center/index.shtml ）にログインします。CCO 認定証の提供を求められる場合があります。

b. [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動します。

c. 該当するリリースのフォルダ（4.1.2.1 以降）へ移動します。例：「Cisco NAC Appliance Software <version> 」

d. 該当するバージョンの製品アップグレード ファイル（.tar.gz）を配置します。

• cca_upgrade- <version> .tar.gz

• nme-nac-upgrade- <version> -from-4.6.x.tar.gz（ 4.6(1) から 4.8(x) へのアップグレード用）

• cca_upgrade- <version> -from-4.7.x-4.8.x.tar.gz （4.8 から 4.8(x) へのアップグレード用）

• nme-nac-upgrade- <version> -from-4.8.x.tar.gz （4.8(x) から 4.9 へのアップグレード用）

e. 製品アップグレード ファイルをダウンロードして、ネットワーク上の NAC にアクセス可能なローカル マシンに保存します。

Cisco NAC アプライアンスの製品アップグレード ファイルをダウンロードします。

ステップ 2

root

ネットワーク モジュールのプロンプトから Clean Access Server Configuration Utility に root ユーザとしてログインし、CAS のコマンド ラインにアクセスします。

ステップ 3

cat /perfigo/build

[root@cas128 ~]# cat /perfigo/build

VERSION=4.1.2.1

NAME=Clean Access Server

DATE=2007/09/07

CAS で現在の Cisco NAC アプライアンス ソフトウェアのバージョンを確認します。

ステップ 4

アップグレード ファイルを CAS の /store ディレクトリにコピーします。

WinSCP または SSH ファイル転送を使用している場合

a. cca_upgrade-<version>.tar.gz を CAS の /store ディレクトリにコピーします。

PSCP を使用している場合

a. Windows コンピュータでコマンド プロンプトを開きます。

b. cd コマンドで PSCP が格納されているパスへ移動します（例：C:\Documents and Settings\デスクトップ）。

c. 次のコマンドを入力して、ファイルを CAS にコピーします（各 CAS にコピー）。

pscp cca_upgrade-4.5.0-NO-WEB.tar.gz

root@ipaddress_server:/store

WinSCP、SSHファイル転送または PSCP を使用して、アップグレード ファイルを /store ディレクトリにコピーします。

ステップ 5

cd /store

ls

[root@cas128 ~]# cd /store

[root@cas128 store]# ls

cca_upgrade-4.5.0-NO-WEB.tar.gz

CAS 側で、/store ディレクトリに移動して、アップグレード ファイルが存在することを確認します。

ステップ 6

tar zxf cca_upgrade- <version> .tar.gz

ls

[root@cas128 store]# tar xzf cca_upgrade-4.5.0-NO-WEB.tar.gz

[root@cas128 store]# ls

cca_upgrade-4.5.0 cca_upgrade-4.5.0-NO-WEB.tar.gz upload

[root@cas128 store]#

アップグレード ファイルの中身を抽出します。

ステップ 7

cd cca_upgrade- <version>

./UPGRADE.sh

[root@cas128 store]# cd cca_upgrade-4.5.0

[root@cas128 cca_upgrade-4.5.0]# ls

agent-version.sh checksum.txt notes.html version.sh

cam-4.5.x-upgrade.sh checksum.txt.sig RPMS

cas-4.5.x-upgrade.sh dmidecode showstate.sh

cca_upgrade-4.1.6.tar.gz initrd.img UPGRADE.sh

[root@cas128 cca_upgrade-4.5.0]# ./UPGRADE.sh

...stopping CCA Server...

BaseAgent process stopped!

Stopping DHCP...

In Maintenance Mode...

Welcome to the CCA Server migration utility.

...Upgrading to newer rpms of 4.5.0...done.

...Upgrading CCA files... done

Clearing Tomcat cache...checking ssl configuration...done.

[root@cas128 cca_upgrade-4.5.0]#

/cca_upgrade- <version> ディレクトリに移動して、アップグレード プロセスを実行します。

ステップ 8

[root@cas128 cca_upgrade-4.5.0]# reboot

[root@cas128 cca_upgrade-4.5.0]# reboot

Broadcast message from root (pts/0) (Tue Oct 21 18:49:00 2008):

The system is going down for reboot NOW!

[root@cas126 cca_upgrade-4.5.0]#

アップグレードが完了したら、CAS を再起動します。

ステップ 9

cat /perfigo/build

[root@cas128 ~]# cat /perfigo/build

NAME=Clean Access Server

DATE=2008/10/20

AUTHOR=rachnar

BUILD_TAG=NAC-4_5_0-RC9

BUILD_INFO=Experimental

BUILT_ON=mercury

REBUILD_COUNT=0

CAS の再起動後に、新ビルドを確認します。

ステップ 10

Ctrl+Shift+6 x を押します。

service-module セッションを閉じて、ルータの CLI に戻ります。

ステップ 11

service-module integrated-service-engine slot /0 session clear

Router# service-module service-engine 1/0 session clear

指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。

ステップ 1

a. Cisco Software Download サイト（ http://www.cisco.com/public/sw-center/index.shtml ）にログインします。CCO 認定証の提供を求められる場合があります。

b. [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動します。

c. 該当するリリースのフォルダ（4.1.2.1 以降）へ移動します。例：「Cisco NAC Appliance Software <version> 」

d. 該当するバージョンの MME、NAC のイメージ ファイルを配置します。

• nme-nac-helper- <version> -K9

• nme-nac-install- <version> -K9.img

e. ファイルを TFTP ファイル サーバに置きます。

Cisco NAC ネットワーク モジュールの installation-package ファイル（boothelper のイメージとインストール イメージ）をダウンロードします。

ステップ 2

enable

Router> enable

ホスト ルータの特権 EXEC を入力します。パスワードを入力します（要求された場合）。

ステップ 3

service-module integrated-service-engine slot /0 reset

ダウンロードが完了したら、システムをリセットします。

ステップ 4

service-module integrated-service-engine slot/ 0 session

***

リセットにより自動的に行われない場合は、セッションを開いて「***」とすばやくタイプして auto-boot セッションを中断し、bootloader にアクセスします。

ステップ 5

bootloader を boothelper をロードして起動するように設定します。

リストの順番で bootloader のインターフェイスを設定するプロンプトが表示されます。それぞれのプロンプトで、値を入力するか、 Enter キーを押して、角括弧で囲まれた以前に入力して保存してある値をそのまま適用します。

• IP address：サービス モジュールのアドレス、または NAC ネットワーク モジュールの信頼インターフェイス（eth0）のアドレス

• Subnet mask：NAC ネットワーク モジュールの eth0 ネットマスク

• TFTP server：TFTP ファイル サーバの IP アドレス

• Gateway：ゲートウェイ ルータの IP アドレス（通常 ISR の IP アドレス）。ISR が NAC ネットワーク モジュールと通信するために使用する設定済みの IP アドレスです。

• Default Helper-file：デフォルトの boothelper イメージ ファイル名 nme-nac-helper-<version>-K9

• Ethernet interface: internal or external：NAC ネットワーク モジュールでは internal を選択

• External interface media：NAC ネットワーク モジュールでは copper を選択

• Debug Statements：disabled のままにしておく（デフォルト）

• Default Boot：NAC ネットワーク モジュールでは、デフォルトの起動オプションとして chainloader を選択

• Default bootloader：ネットワーク モジュールでは、次回の起動で使用するデフォルトの bootloader として primary を選択

ステップ 6

（オプション）bootloader の設定を検証します。

ステップ 7

新しい設定を入力し終えたら、ブート プロンプトで boothelper を起動します。

ステップ 8

boothelper の指示に従います。以下の helper のオプションが表示されます。

1. Install everything

2. Install compact flash only

3. Verify Install

4. Root shell

5. Reboot

1 と入力して、すべてをインストールします。

ステップ 9

(Virtual Gateway only)

eth0 IP address

subnet mask

default gateway

以前に設定したバーチャル ゲートウェイにインストールする場合は、追加で eth0 の IP アドレス、ネットマスク、ゲートウェイを入力する必要があります。

ステップ 10

nme-nac-install-<version>-K9.img

ハードディスクをパーティションに切って、フォーマットします。完了したら、さらに 2 つの質問を helper から尋ねられます（イメージの名前と TFTP サーバのアドレス）。

イメージの名前（ nme-nac-install-<version>-K9.img など）を入力して、 Enter キーを押します。

y とタイプしてから Enter キーを押して、入力した情報が正しいことを確認します。

ステップ 11

TFTP server IP address

TFTP サーバの IP アドレスを入力します。

y とタイプしてから Enter キーを押して、入力した情報が正しいことを確認します。

helper が、イメージの転送を開始します。イメージファイルはサイズが非常に大きいため、転送には時間がかかる場合があります。イメージの転送が完了したら、helper は、RPM がインストールされたというステータスを表示します。

ステップ 12

Enter を押します。

リブート プロンプトで Enter キーを押して、NAC ネットワーク モジュールを再起動させます。

ステップ 13

root

次の起動で、ネットワーク モジュールのログイン プロンプトが表示されます。 root としてログインします。

標準の Clean Access Server Configuration Utility からの質問が表示されます。「Clean Access Server ソフトウェア Configuration Utility」 の指示に従って、CAS の設定を完了させます。

ステップ 14

reboot

Configuration Utility が完了したら、プロンプトから NAC ネットワーク モジュールを再起動させます。

次の再起動で、NAC ネットワーク モジュールのインストールは完了します。

ステップ 15

Ctrl+Shift+6 x を押します。

Ctrl+Shift+6 x を押して、セッションを閉じます。

ステップ 16

service-module integrated-service-engine slot /0 session clear

Router# service-module service-engine 1/0 session clear

ホスト ルータの CLI 側で、セッションをクリアします。

Cisco.com の Cisco NAC アプライアンスのドキュメンテーションの最新の更新については、 www.cisco.com/go/nac/appliance にアクセスして確認してください。マシンで実行しているリリースのバージョンに対応するドキュメントを参照してください。

データ シート

『Cisco NAC Appliance』

『Cisco NAC Network Module for Integrated Services Routers』

注文ガイド

『Cisco NAC Appliance Ordering Guide』

ライセンシング

『Cisco NAC Appliance Service Contract / Licensing Support』

システム要件

『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』

サポートされているスイッチ（OOB）

『Switch Support for Cisco NAC Appliance』

リリース ノート

『 Release Notes for Cisco NAC Appliance (Cisco Clean Access) 』（バージョン 4.1(2) 以降）

設定ガイド

『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』

『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』

アプライアンス ハードウェア（MANAGER/SERVER）

『Cisco NAC Appliance Hardware Installation Quick Start Guide, Release 4.1』

ネットワーク モジュール

『 シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド 』（このガイド）

以下にある『 Installing Cisco Network Modules in Cisco Access Routers 』

http://www.cisco.com/en/US/docs/routers/access/interfaces/nm/hardware/installation/guide/InstNetM_products_support_series_home.html

以下にある『Connecting Cisco Network Admission Control Network Modules』

http://www.cisco.com/en/US/docs/routers/access/interfaces/nm/hardware/installation/guide/nacnm.html

Cisco IOS ソフトウェア

Cisco IOS Software ウェブサイト http://www.cisco.com/en/US/products/sw/iosswrel/tsd_products_support_category_home.html

音声通信、IP 通信

Cisco Voice and IP Communications ウェブサイト http://www.cisco.com/en/US/products/sw/voicesw/tsd_products_support_category_home.html