シスコ アクセス ルータの NAC ネットワーク モジュール クイック スタート ガイド
サービス統合型ルータ用 Cisco NAC ネットワーク モジュールについて
Cisco NAC ネットワーク モジュールと Clean Access Server ソフトウェア
Cisco NAC ネットワーク モジュール(CAS)の構成モード
EtherSwitch サービス モジュール(NME-ESW)の設定(L2 IB VGW)
レイヤ 2 アウトオブバンド リアル IP ゲートウェイの構成例
EtherSwitch サービス モジュール(NME-ESW)の設定(L2 OOB RGW)
Cisco NAC ネットワーク モジュール構成ワークシート
Clean Access Server ソフトウェア Configuration Utility
Cisco NAC ネットワーク モジュールの運用、保守、トラブルシューティングの方法
Cisco NAC ネットワーク モジュールのシャットダウンと起動
Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード
Cisco NAC ネットワーク モジュールの再インストール
• 「サービス統合型ルータ用 Cisco NAC ネットワーク モジュールについて」
• 「Cisco NAC ネットワーク モジュールの前提条件」
• 「Cisco NAC ネットワーク モジュールと Clean Access Server ソフトウェア」
• 「展開の概要」
• 「Cisco NAC ネットワーク モジュールの設定方法」
サービス統合型ルータ用 Cisco® NAC ネットワーク モジュール(NME-NAC-K9)は、Cisco 2800 および 3800 シリーズのサービス統合型ルータに、機能豊富な Cisco NAC アプライアンス サーバの性能を追加します。
また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco 2900 および 3900 シリーズのサービス統合型ルータをサポートしています。
Cisco NAC アプライアンス(Cisco Clean Access)は、ネットワーク アドミッション コントロール(NAC)製品で、ネットワーク管理者は、本製品を利用して有線、無線、リモート ユーザ、マシンの認証、権限付与、評価、修復を行ったうえで、ユーザにネットワークの利用を許可できます。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。
Cisco NAC アプライアンスは、以下の特徴を持つネットワーク中心の統合型ソリューションです。
• Clean Access Manager(CAM)の Web コンソールを使用した管理
• Clean Access Server(CAS)を使用した強化
Cisco NAC ネットワーク モジュール(NME-NAC-K9)により、Clean Access Server の機能が Cisco 2811/2821/2851 および 3825/3845 アクセス ルータの次世代サービス モジュールに搭載されます。NAC ネットワーク モジュールには、Cisco NAC アプライアンス ソフトウェア リリース 4.1(2)(またはそれ以降)、並びにアプリケーション コードとして Clean Access Server ソフトウェアがあらかじめインストールされています。
また、Cisco NAC アプライアンス リリース 4.8 以降では、Cisco 2911/2921/2951 および 3925/3945 アクセス ルータをサポートしています。
Clean Access Server のオペレーティング システムは、Linux の最適化されたバージョンをベースにしています。NAC ネットワーク モジュールは、サービス統合型ルータが使用されている遠隔地の小規模なユーザ グループに最適な NAC ソリューションです。NAC ネットワーク モジュールは、本社以外でも使用できるライセンスを 50 ユーザまたは 100 ユーザ分発行できます。
Clean Access Manager は、NAC-3300 シリーズ アプライアンスとして別個に購入します。すべての Clean Access Server(サービス統合型ルータの Cisco NAC ネットワーク モジュールとして実装するのか、NAC-3310 または NAC-3350 SERVER アプライアンスとして実装するのかを問わない)の設定および管理は主にこの Clean Access Manager で行います。初期設定が完了すると、NAC ネットワーク モジュールが追加され、他の Clean Access Server と同じように CAM Web コンソール(GUI)インターフェイスから Clean Access Manager を使用して管理できるようになります。
NAC-3300 シリーズの詳細については、『 Cisco NAC Appliance Hardware Installation Quick Start Guide 』を参照してください 。
• ホスト ルータ上で実行中の全アプリケーションのサービスを停止したり、オフラインにしたりできる場合は、ソフトウェアのアップグレードまたはダウングレードも考慮に入れてください。
• ホスト ルータとして使用可能な、適切な Cisco アクセス ルータを所有していることを確認してください。Cisco NAC ネットワーク モジュールは、以下の Cisco アクセス ルータでサポートされています。
• 上記ルータに加えて、Cisco NAC アプライアンス リリース 4.8 以降では、次の Cisco アクセス ルータをサポートしています。
(注) NAC ネットワーク モジュールには、Cisco NAC アプライアンス ソフトウェア リリース 4.1(2)(またはそれ以降)、並びにアプリケーション コードとして Clean Access Server ソフトウェアがあらかじめインストールされています。上記の Cisco アクセス ルータをサポートするため、Cisco NAC アプライアンス リリース 4.8 以降にアップグレードされていることを確認します。
• ホスト ルータで、Cisco IOS リリース 12.4(11)T 以降が実行されていることを確認してください。現在実行されているリリースを確認するには、show version コマンドを実行して出力をチェックしてください。
(注) 最小のリリースの要件が満たされている場合は、パフォーマンスに影響を与えることなくルータまたはネットワーク モジュールのイメージを変更できます。
(注) Cisco NAC ネットワーク モジュールは、Cisco NAC アプライアンス リリース 4.5 をサポートしていますが、無線アウトオブバンド(OOB)はサポートしていません。IP の変更を必要としないレイヤ 2 OOB バーチャル ゲートウェイ構成は、リリース 4.5 で導入された無線 OOB 機能でしかサポートされていません。NAC ネットワーク モジュールは、このトポロジをサポートしていません。
Cisco NAC アプライアンス リリース 4.8(2) で導入された Cisco NAC ネットワーク モジュールでは、L3 ワイヤレス アウトオブバンド(L3 OOB)をサポートします。
警告 Clean Access Manager と同じバージョンの Cisco NAC アプライアンス ソフトウェア、さらにその他いずれかの Clean Access Server が Cisco NAC ネットワーク モジュールで実行されている必要があります。たとえば、4.7(x) 以降のサポートされているバージョンがすべてのサーバで実行されている必要があります。
• Cisco NAC アプライアンス ソフトウェア リリース 4.1.2.1 は、Cisco NAC ネットワーク モジュールでサポートされている最小のソフトウェア リリースです。
適用可能なリリースの詳細については、『 Release Notes for Cisco NAC Appliance 』の最新版を参照してください。
• NAC ネットワーク モジュールを物理的にインストールするには、『 Cisco Network Modules Hardware Installation Guide 』と『 Cisco Network Modules and Interface Cards Regulatory Compliance and Safety Information 』を使用してください。
• サービス統合型ルータ用 Cisco NAC ネットワーク モジュールは、 表 1 に記載されたハードウェアがあらかじめ搭載された状態で出荷されます。メモリ オプションはありません。(詳細については、「Cisco NAC ネットワーク モジュールの設定方法」を参照してください)。
• ホスト ルータ内のネットワーク モジュールの場所をメモしておいてください。
– slot :モジュールのルータ シャーシのスロットの数 モジュールをインストールしたあとに、ルータの show running-config コマンドを実行して、その出力から上記の情報を得ることができます。
– unit :モジュールのドーター カードの数 この値は 0 である必要があります。
(注) 「ネットワーク モジュール インターフェイスのセットアップ」および「セッションの開閉」で、この情報が必要になります。
• (オプション)ダウンロード用の FTP または TFTP ファイル サーバがアクセス可能なことを確認してください。
– FTP ファイル サーバ:バックアップおよび修復に使用します
– TFTP ファイル サーバ:(FTP ファイル サーバに使用するマシン上で)インストールが失敗した場合に、boothelper を実行して復旧を行うときに使用します。
• ネットワーク モジュール上のソフトウェアを設定できるのは、ホスト ルータのシングル シリアルポートに接続されているコンソールからだけです。
• 以下のいずれかにアクセスすることにより、ネットワーク モジュール上で実行されている Clean Access Server ソフトウェアにアクセスできます。
– ルータの Cisco IOS のコマンドライン インターフェイス(CLI)
– CAM Web コンソールの CAS 管理ページ([Device Management] > [CCA Servers] > [Manage [CAS_IP]])
– CAS ダイレクト Web コンソール( https://<CAS_eth0_IP>/admin )
– 内部のインターフェイス(CAS の eth0 信頼インターフェイス)へのセキュアシェル(SSH)接続
• 構成済みの Clean Access Server はすべて、HA または SSL 認証などの特定の制限された設定を行うため、またはサポート ログをダウンロードするためにオプションでアクセスできるダイレクト Web コンソールのインターフェイスを持っています。NAC ネットワーク モジュールでは、Web ブラウザに https://<CAS_eth0_IP>/admin/ と入力すると、CAM Web コンソールの CAS 管理ページから CAS の設定にアクセスできます。ただし、ダイレクト CAS Web コンソールのインターフェイスを必要とする CAS サポート ログは除きます。また、NAS ネットワーク モジュールは HA をサポートしていないため、[Failover] タブはダイレクト アクセス Web コンソールには存在しません。
• NAC ネットワーク モジュールは、ハイ アベイラビリティ(HA)モードをサポートしていません。HA 機能は、NAC ネットワーク モジュールの GUI インターフェイスでは無効になっています。
• NAC ネットワーク モジュールは、CAS 用の Cisco NAC Profiler Collector モジュールをサポートしていません。
• NAC ネットワークモジュールをアウトオブバンド バーチャル ゲートウェイとして構成した場合は、ポートベースの VLAN マッピングはサポートされません。NAC ネットワーク モジュールを L2 OOB バーチャル ゲートウェイとして構成する場合は、クライアントの IP アドレスの変更が必ず必要です。
• Cisco NAC ネットワーク モジュールは、無線アウトオブバンド(OOB)をサポートしていません。IP の変更を必要としないレイヤ 2 OOB バーチャル ゲートウェイ構成は、リリース 4.5 で導入された無線 OOB 機能でしかサポートされていません。NAC ネットワーク モジュールは、このトポロジをサポートしていません。
• リリース 4.6(1) からリリース 4.8 へのアップグレード後、NAC-NME のクロックにドリフトが発生する場合があります。この結果、証明書の日付が範囲に収まらないため、4.6.1 からアップグレード後に NME モジュールの CAS が CAM へ接続されなくなる可能性があります。
これを解決するには、アップグレード後にシステム クロックをチェックして、一度設定してからリブートします。日付を再度設定するには、次のコマンドを使用してリブートします。
CAS Web コンソールを使用して時間を同期させることもできます。CAS Web コンソールで、次の手順を実行します。
ステップ 1 [Administration] > [Time Server] に移動します。
ステップ 2 [Time Zone] を選択して、[Time Servers] フィールドに適切なタイム サーバを入力します。
ステップ 3 [Synchronize Time] をクリックします。
• The Cisco NAC アプライアンスのアーキテクチャは、異種環境、すなわち 4.1(3)のソフトウェアが実行されている Clean Access Server と 4.1(2)のソフトウェア実行されている Clean Access Server が共存する環境をサポートするようには設計されていません。NAC ネットワーク モジュールは、リリース 4.1(2)以上からの起動しかサポートされていないため、既存の NAC アプライアンス構成(4.1.1 実行中など)に NAC ネットワーク モジュールを導入するには、Clean Access Manager とすべての Clean Access Server を一斉にリリース 4.1.2.1 以上にアップグレードする必要があります。
(注) 最新の互換性についての詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。
(注) リリース 4.1.2.1 は、すべてのアプライアンスにとって最低限必要なバージョンです。HA と CAS のペアがサポートされている必要があります。4.1.2.1 が実行されている CAM/CAS アプライアンスとの互換を確保するには、標準の製品アップグレード ファイルを使用して、Cisco NAC ネットワーク モジュールを 4.1.2.1 にアップグレードする必要があります。詳細については、「Cisco NAC アプライアンスの設定と管理」を参照してください。
(注) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。
(注) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。
Clean Access Server は、Cisco IOS ソフトウェアが実行されているホストの Cisco ルータに接続されている NAC ネットワーク モジュール上に常駐する Linux ベースのアプリケーションです。
ネットワーク モジュールは、ルータ上の Cisco IOS の設定から独立した独自の起動設定、実行時設定を持ったスタンドアロンのサービス エンジンです。モジュールは、外部のコンソール ポートをサポートしていません。その代わりに、モジュールの設定セッションを使用して、ルータを介してモジュールを起動、設定できます。セッション後は、ルータの CLI に戻ってセッションをクリアしてください。
このホスト ルータ プラス ネットワーク モジュールの構成(後者は、アプライアンスまたはブレード、あるいはソフトウェアがインストールされている場合はサービスまたはサービス エンジンと呼ぶ場合がある)により、データ集約型のアプリケーションを加速させるルータ統合型アプリケーション プラットフォームが実現されます。このようなアプリケーションには、通常、少なくとも以下が含まれます。
• コンタクト センターとインタラクティブな音声応答アプリケーション
Cisco NAC アプライアンスによって有効にされたネットワーク アドミッション コントロール(NAC)は、上記に該当するアプリケーションです。
• 「展開の概要」
• 「Cisco NAC ネットワーク モジュールの設定方法」
Cisco NAC アプライアンス製品のライセンス付与では、Cisco NAC ネットワーク モジュールは、その他の Clean Access Server と同様に扱われます。NAC ネットワーク モジュールをシステムで実行させるには、以下が必要です。
• ISR 内の NAC ネットワーク モジュールを管理する Clean Access Manager アプライアンス(MANAGER)。
• Clean Access Manager のライセンス。
CAM のライセンスは、CAM の eth0 の IP アドレスと、それに対応する Clean Access Server の数 に基づいています。次のライセンスがあります。Lite Manager(3 台の CAS をサポート)、Standard Manager(20 台の CAS をサポート)、Super Manager(40 台の CAS をサポート)。
• NAC ネットワーク モジュールのライセンス
これは、Clean Access Server のライセンスのタイプです。CAS ライセンスは、サポートされる 同時に使用するユーザの数 に対応しています。NAC ネットワーク モジュールは、最大 100 人の同時に接続するオンラインのユーザをサポートします。 表 2 は、NAC ネットワーク モジュールで利用できるライセンスのタイプを示しています。これらのソフトウェアのライセンスは、スペアの NAC ネットワーク モジュールの注文にも使用できます。
(注) すべての Cisco NAC 製品のライセンスは、システム内の Clean Access Manager に追加されます。CAM のライセンスは、CAM の Web コンソールへの初回のアクセス時に追加できます。それから、CAM Web コンソールの [Administration] > [Licensing] ページを使用して、NAC ネットワーク モジュールまたは CAS のライセンスを追加します。
ライセンス付与の詳細については、『 Cisco NAC Appliance Service Contract / Licensing Support 』を参照してください。
ここでは、Cisco NAC ネットワーク モジュールの構成の概要をいくつかの設定例と併せて説明します。NAC ネットワーク モジュールを構成する方法がすでに決定している場合は、「Cisco NAC ネットワーク モジュールの設定方法」に進んで、詳細な初期設定を行ってください。
• 「Cisco NAC ネットワーク モジュール(CAS)の構成モード」
• 「レイヤ 2 インバンド バーチャル ゲートウェイの構成例」
• 「レイヤ 2 アウトオブバンド リアル IP ゲートウェイの構成例」
表 3 は、Cisco NAC ネットワーク モジュールがサポートする Clean Access Server の構成モードを示しています。
オプション
1
|
|
---|---|
null |
物理的構成の観点からは、すべての NAC ネットワーク モジュールは、エッジ配置です。つまり、NAC ネットワーク モジュール(CAS)の各ポート(eth0 と eth1)は、異なるデバイスに接続されているということです。
NAC ネットワーク モジュールの eth1(非信頼)インターフェイスは、マルチ スロットをサポートする 3800 シリーズ サービス統合型ルータ(3845 など)の外部スイッチや EtherSwitch サービス モジュールに接続できます。
表 4 は、図1と図2に示されている構成例で使用するインターフェイスの用語について説明しています。
例のシナリオでは、EtherSwitch サービス モジュール(MME-ESW)が外部スイッチの代わりに使用されている場合の、サービス統合型ルータ(ISR)3800 シリーズの NAC ネットワーク モジュール(NME-NAC)について説明します。
両方のともの例で、NAC ネットワーク モジュール(Clean Access Server)の eth1(非信頼)インターフェイスが、外部リンクを経由して(内部の「Gigabit Serdes (GigSerdes)」接続の代わりに)EtherSwitch モジュールに接続されています。
図1は、レイヤ 2 インバンド バーチャル ゲートウェイ モードで CAS として構成された Cisco NAC ネットワーク モジュールを示しています。
図1 NME-NAC(CAS)レイヤ 2 インバンド バーチャル ゲートウェイの NME-ESW との構成
• ISR の Int int-svr-eng 1/0 は、すべてのユーザのデフォルト ゲートウェイです
• ISR の Int int-svr-eng 1/0 は、それぞれのデータ VLAN の送信先/元となるサブインターフェイスのあるレイヤ 2 トランクとして設定されています
• スイッチ(NME-ESW)および CAS(NME-NAC)間の、外部リンクまたは(3800 上の)内部 GigSerdes リンクを介したリンクは、VLAN 51、52 のデータを運びます
この項の例では、CAS をレイヤ 2 インバンド仮想ゲートウェイとして設定することのメイン コンセプトを説明します。
• CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [IP]
• Clean Access Server のタイプ:バーチャル ゲートウェイ
• 信頼(eth0)インターフェイスと非信頼(eth1)インターフェイスの IP アドレスは、両方とも同じ 10.10.55.2 です。
• 信頼インターフェイスと非信頼インターフェイスのデフォルト ゲートウェイは、両方とも同じ 10.10.55.1 です。
• 信頼インターフェイス(eth0)の管理 VLAN の ID は、(55)に設定する必要があります。
(注) バーチャル ゲートウェイの場合、CAS の管理 VLAN は CAM とは異なる必要があります。管理 VLAN は、CAM から CAS を管理する場合に限り CAM と CAS で設定する必要があります。
• CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [Managed Subnet]
• 各ユーザの VLAN(51、52)に追加された管理対象サブネットがページの下部にあるリストを使って検証されます。
• 管理対象サブネットは、CAS にレイヤ 2 で隣接しているユーザ サブネットだけを対象としています。
• L2 配置のすべての CAS モード(Real-IP、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で管理対象サブネットを設定する必要があります。これにより、CAS は非信頼インターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリを送信できます。
• 各管理対象サブネットの [VLAN ID] フィールドで非信頼インターフェイス(Auth)の VLAN を設定する必要があります。
• 仮想ゲートウェイの場合は、原則として管理対象サブネット フォームにより、IP の割り当がない場合はサブネット上では使用されない CAS に IP が割り当てられます。CAS はゲートウェイではありませんが、ARP クエリを送信するために、特定の VLAN とサブネットのアドレスを持っています。
• CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [VLAN Mapping]
• Cisco ネットワーク モジュールでは、CAS は常にエッジ配置です。 したがって、CAS の eth0 および eth1 インターフェイスが異なるデバイスに接続されているため、VLAN マッピングは不要です。
• CAS がバーチャル ゲートウェイ モードで動作している場合、CAS は VLAN タグを変更しないで、ネットワーク トラフィックを eth0 インターフェイスから eth1 に、および eth1 から eth0 に送信します。VLAN マッピングは、CAS の両方のインターフェイスが同じレイヤ 2 スイッチに接続されている場合のインバンド仮想ゲートウェイに限り必要になります。これにより、CAS の外部トラフィックから異なる VLAN上の CAS への内部トラフィックを受け入れることができます。これは、NAC ネットワーク モジュールでは必要ありません。
図2 は、レイヤ 2 アウトオブバンド リアル IP ゲートウェイ モードの CAS で構成されている NAC モジュールを示しています。
図2 NME-NAC(CAS)レイヤ 2 アウトオブバンド リアル IP ゲートウェイの NME-ESW との構成
• NME-ESW スイッチと CAS の間の、外部リンクまたは(3800 上の)GigSerdes を介したリンクは、Auth VLAN 53 を運びます。
• NME-ESW と ISR の間の GE リンクには、VLAN 53 のトラフィックはありません。
• ユーザ アクセス VLAN とフォン VLAN は、内部リンクを介して ISR の Gig2/0 インターフェイスに送信されます。
ここ例では、CAS をレイヤ 2 アウトオブバンド リアル IP ゲートウェイとして設定することのメイン コンセプトを説明します。
• 「CAS の管理対象サブネット フォーム(L2 OOB RGW)」
• 「CAM - スイッチ プロファイル(L2 OOB RGW)」
• 「CAM - Port Profile(L2 OOB RGW)」
• CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [IP]
• Clean Access Server のタイプ:リアル IP ゲートウェイ
• 信頼(10.10.55.2)インターフェイスと非信頼(10.10.51.1)インターフェイスの IP アドレスは異なります。
• 信頼インターフェイスのデフォルト ゲートウェイ(10.10.55.1)と非信頼インターフェイスのデフォルト ゲートウェイ(10.10.51.1)は異なります。
• 信頼インターフェイスの管理 VLAN ID(55)と非信頼インターフェイスの管理 VLAN ID(51)は異なります。
(注) 管理 VLAN は、CAM から CAS を管理する場合に限り、CAM と CAS で設定する必要があります。
• CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Advanced] > [Managed Subnet]
• Authentication VLAN(53)に追加された管理対象サブネットは、ページ下部のリストを使って検証されます。
• 管理対象サブネットは、CAS にレイヤ 2 で隣接しているユーザ サブネットだけを対象としています。
• L2 配置のすべての CAS モード(Real-IP、バーチャル ゲートウェイ)では、追加サブネットを設定する場合に、CAS 内で管理対象サブネットを設定する必要があります。これにより、CAS は非信頼インターフェイス上のクライアント マシンに適切な VLAN ID で ARP クエリを送信できます。
• 各管理対象サブネットの [VLAN ID] フィールドで非信頼インターフェイス(Auth)の VLAN を設定する必要があります。
• リアル IP ゲートウェイの場合は、CAS が独自の管理対象サブネットのデフォルト ゲートウェイの IP アドレスを持っています。
• CAM の Web コンソール:[Device Management] > [CCA Servers] > [Manage [CAS_eth0_IP]] > [Network] > [DHCP]
• CAM Web コンソール:[Switch Management] > [Profiles] >[Switch] > [New/Edit]
• スイッチ プロファイルが、NME-ESW 用に作成されます。サポートされている NME EtherSwitch サービス モジュールが、3750 スイッチ モデルとして追加されます。詳細については、『 Switch Support for Cisco NAC Appliance 』を参照してください。
• CAM の Web コンソール:[Switch Management] > [Profiles] >[Port] > [New/Edit]
• 認証 VLAN 53 をアクセス VLAN 11 にマッピングするために、NMEーESW のポート プロファイルが作成されます。
• CAM の Web コンソール:[Switch Management] > [Profiles] > [SNMP Receiver]
• CAM の Web コンソール:[Switch Management] > [Devices] > [Switches] > [(Manage) Ports [Switch_IP]]
Gigabit Serdes/HIMI の詳細については、以下を参照してください。
• 『Cisco High-Speed Intrachassis Module Interconnect (HIMI) Configuration Guide』
EtherSwitch サービス モジュールの詳細については、以下を参照してください。
• 『 Interface Cards and Modules 』(「LAN」のセクション)
• 『EtherSwitch Service Module (ES) Configuration Example』
Clean Access Server の構成の詳細については、以下を参照してください。
• 『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』
• 『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』
• 「Cisco NAC ネットワーク モジュール構成ワークシート」
• 「ネットワーク モジュール インターフェイスのセットアップ」
• 「Clean Access Server ソフトウェア Configuration Utility」
(注) 以下のいずれかの手順の間に停電、切断が発生した場合、システムは通常、中断を検出し復旧を試みます。失敗した場合は、「Cisco NAC ネットワーク モジュールの再インストール」に従って、boothelper を使用してシステムを再インストールしてください。
ネットワーク モジュールの初期設定は、CLI(ルータのコンソール)を介して行います。したがって、Cisco NAC ネットワーク モジュールは、Clean Access Manager(CAM)の Web コンソールを通して管理する Clean Access Server ということになります。NAC ネットワーク モジュールは、ルータのコンソール、CAM/CAS の Web コンソール、SSH からアクセスできます。
このドキュメントでは、ルータのコンソールから設定する方法を説明します。
CAM/CAS の Web コンソール(GUI)から設定する方法については、以下のガイドを参照してください。マシンで実行しているリリースのバージョンに対応するドキュメントを参照してください。
• 『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』
• 『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』
ホスト ルータとネットワーク モジュールは、内部接続および外部接続にさまざまなインターフェイスを使用します(図3を参照)。ルータ側では Cisco IOS CLI を使用して、モジュール側ではモジュールのファームウェアの CLI、GUI または SSH を使用して各インターフェイスを設定できます。
表 5 にある情報を収集して、最初にサービス統合型ルータ(ISR)内で Cisco NAC ネットワーク モジュールを設定してから NAC ネットワーク モジュール上で実行する Clean Access Server ソフトウェアを設定する必要があります。
最初の設定タスクは、ホスト ルータと外部リンクへのネットワーク モジュール インターフェイスのセットアップです。これにより、モジュールをインストールして NAC を設定できるようになります。
(注) 最初のステップでは、ホスト ルータの CLI を開いて、ルータのモジュールへのインターフェイスにアクセスします。次のステップで、インターフェイスを設定します。
3. interface integrated-service-engine slot /0
4. ip address router-side-ip-address subnet-mask
5. service-module ip address module-side-ip-address subnet-mask
6. service-module external ip address external-ip-address subnet-mask
7. service-module ip default-gateway gateway-ip-address
interface integrated-service-engine slot / 0 |
||
ip address router-side-ip-address subnet-mask |
ルータのモジュールへのインターフェイスを指定します(図3の #2 )。引数は次のとおりです。 • • |
|
service-module ip address module-side-ip-address subnet-mask Router(config-if)# service-module ip address 10.30.30.9 255.255.255.0 |
モジュール インターフェイスからルータへの IP アドレスを指定します(図3の #3 )。 • • |
|
service-module external ip address external-ip-address subnet- mask Router(config-if)# service-module external ip address 172.0.0.30 255.255.255.0 |
モジュールの外部 LAN インターフェイスの IP アドレスを指定します(図3の #4 )。 |
|
service-module ip default-gateway gateway-ip-address Router(config-if)# service-module ip default-gateway 10.30.30.10 |
||
ネットワーク モジュール上で、セッションの開閉が行えるようになりました。
• 最初のステップでホスト ルータの CLI を開いて、モジュールにアクセスします。次のステップで、モジュールを設定します。最後のステップでホスト ルータの CLI に戻ります。
2. service-module integrated-service-engine slot /0 status
3. service-module integrated-service-engine slot /0 session
4. 「Clean Access Server ソフトウェア Configuration Utility」に記載している設定を実行します。
6. service-module integrated-service-engine slot /0 session clear
モジュールが実行さていること(つまり安定した状態にあること)を確認できるように、指定したモジュールのステータスを表示します。 (注) モジュールが実行されていない場合は、「Cisco NAC ネットワーク モジュールのシャットダウンと起動」に記載の startup コマンドのいずれかで起動してください。 |
||
service-module integrated-service-engine slot/ 0 session Router# service-module integrated-service-engine 1/0 session |
指定したモジュールでセッションを開始します。次のいずれかを実行します。 • |
|
Fedora Core release 4 (Stentz) |
NAC モジュール上の Clean Access Sever ソフトウェアの初期設定を行う方法については、「Clean Access Server ソフトウェア Configuration Utility」を参照してください。 |
|
を押すことで、ルータの CLI からこのセッションに戻ることができます。 | ||
service-module integrated-service-engine slot /0 session clear |
指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。 |
NAC ネットワーク モジュール セッションの初回開始時に、Clean Access Server のクイック設定ユーティリティが表示されます。ここでは、CAS Configuration Utility の使用手順を説明します。
ネットワーク モジュールのプロンプトから root ユーザとして Clean Access Server Configuration Utility にログインします。 – – |
||
Please enter the IP address for the interface eth0 [10.201.2.30]: 10.201.217.203 |
最初のプロンプトで、CAS の eth0(信頼)インターフェイスの IP アドレスを入力して(CAS ワークシートのフィールド a )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。 (注) CAS の eth0 の IP アドレスは、管理 IP アドレスと同じです。 |
|
module-side-ip-address subnet-mask Please enter the netmask for the interface eth0 [255.255.255.0]: |
プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。 |
|
service-module ip default-gateway Please enter the IP address for the default gateway [10.201.217.1]: 10.201.217.202 |
デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド c )、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。 |
|
[Vlan Id Passthrough] for packets from eth0 to eth1 is disabled. |
Vlan ID Passthrough プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーを無効なままにします デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。 (注) 通常、VLAN パススルーは不要です。 |
|
[Management Vlan Tagging] for egress packets of eth0 is disabled. |
「Management VLAN Tagging」のプロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。 (注) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。 (注) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。 |
|
Please enter the IP address for the untrusted interface eth1 [192.168.110.1]: 10.201.243.49 |
CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド d )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。 (注) 仮想ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 をネットワークに接続しないでください。詳細は、CAS のマニュアルを参照してください。 |
|
external-ip-address-subnet-mask Please enter the netmask for the interface eth1 [255.255.255.0]: 255.255.255.240 |
eth1 インターフェイスのサブネット マスクを入力するか(フィールド e )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。 |
|
external-ip-address-default-gateway Please enter the IP address for the default gateway [10.201.243.1]: 10.201.243.49 |
eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド f )。 a. b. |
|
[Vlan Id Passthrough] for packets from eth1 to eth0 is disabled. |
次のプロンプトで、 n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。 |
|
[Management Vlan Tagging] for egress packets of eth1 is disabled. |
Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします(デフォルト)。 |
|
Please enter the IP address for the name server: [171.68.226.120]: |
次のプロンプトでは、ご使用の環境の DNS サーバの IP アドレスを指定するか(フィールド h )、またはデフォルト値を受け入れます。 |
|
The shared secret used between Clean Access Manager and Clean Access Server is the default string: cisco123 This is highly insecure. It is recommended that you choose a string that is unique to your installation. Please remember to configure all Clean Access Devices with the same string. Only the first 8 characters supplied will be used. Please enter the shared secret between Clean Access Server and Clean Access Manager: cisco1234 |
プロンプトに CAM および CAS の共有秘密キーを入力して、確認します(フィールド i )。 ![]() |
|
>>> Configuring date and time: The timezone is currently not set on this system. Please identify a location so that time zone rules can be set correctly. Please select a continent or ocean. 11) none - I want to specify the time zone using the Posix TZ format. |
次の手順に従って、CAS の時間設定を指定します(フィールド j )。 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 |
|
1) Anguilla 18) Ecuador 35) Paraguay 2) Antigua & Barbuda 19) El Salvador 36) Peru 3) Argentina 20) French Guiana 37) Puerto Rico 4) Aruba 21) Greenland 38) St Kitts & Nevis 5) Bahamas 22) Grenada 39) St Lucia 6) Barbados 23) Guadeloupe 40) St Pierre & Miquelon 7) Belize 24) Guatemala 41) St Vincent 8) Bolivia 25) Guyana 42) Suriname 9) Brazil 26) Haiti 43) Trinidad & Tobago 10) Canada 27) Honduras 44) Turks & Caicos Is 11) Cayman Islands 28) Jamaica 45) United States 12) Chile 29) Martinique 46) Uruguay 13) Colombia 30) Mexico 47) Venezuela 14) Costa Rica 31) Montserrat 48) Virgin Islands (UK) 15) Cuba 32) Netherlands Antilles 49) Virgin Islands (US) |
次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。 |
|
Please select one of the following time zone regions. 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Crawford County 7) Eastern Time - Indiana - Starke County 8) Eastern Time - Indiana - Switzerland County 10) Central Time - Indiana - Daviess, Dubois, Knox, Martin, Perry & Pulaski Counties 11) Central Time - Indiana - Pike County 12) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties 13) Central Time - North Dakota - Oliver County 14) Central Time - North Dakota - Morton County (except Mandan area) 16) Mountain Time - south Idaho & east Oregon 18) Mountain Standard Time - Arizona 21) Alaska Time - Alaska panhandle |
||
現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。 ![]() (注) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内である必要があります。 |
||
You must generate a valid SSL certificate in order to use the Clean Access Server's secure web console. Please answer the following questions correctly. Information for a new SSL certificate: Enter fully qualified domain name or IP: 10.201.217.203 Enter organization unit name: Test Enter organization name: Cisco Systems |
プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド k を使用)。 a. b. c. d. |
|
Organization name: Cisco Systems CA signing: /root/.tomcat.csr -> /root/.tomcat.crt: |
||
admin ユーザが CAS にログインする前に、admin ユーザのプリログイン バナーを有効にするかどうかを確認します(リリース 4.5 以降)。 この機能をアプリケーションで有効してから、コマンドライン コンソールにログインして、/root/banner/pre.file を編集すると、管理者はプリログイン バナーのテキストを指定できるようになります。プリログイン バナーのテキストは、admin ユーザが CAM/CAS にログインするときに、Web コンソール インターフェイスとコマンドライン インターフェイスの両方に表示されます。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.5 』のインストールの章を参照してください。 |
||
インストールした CAS の Linux オペレーティング システム用の root ユーザ パスワードを入力します(フィールド l )。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。 リリース 4.5 からは、デフォルトの root ユーザのパスワード( cisco123 )は削除されています。Cisco NAC アプライアンスは、root ユーザのログインについてだけストロング パスワードをサポートしています。パスワードは、8 文字以上、かつ次の 4 つのカテゴリのそれぞれから 2 文字以上を使用している必要があります:小文字、大文字、数字、特殊文字(!@#$%^&*~ など)。 たとえば、 1o-9=OnE は有効なパスワードです。しかし 10-9=One は 2 文字以上使用されていないカテゴリがあるため、要件に適合していません。詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5 』の「Administer the CAM」の章の「Manage System Passwords」を参照してください。 |
||
Please enter an appropriately secure password for the web console admin user. New password for web console admin: Confirm new password for web console admin: |
CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します(フィールド m )。CAS Web コンソールでは、CAS 固有の設定の一部に直接アクセスできます。主な用途は、ハイ アベイラビリティの設定です。 |
|
設定が完了したら、プロンプトが表示されるのを待ってから、 reboot とタイプして CAS を再起動します。 ![]() (注) service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。 |
||
Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスを入力して、CAS の Web コンソールにログインできることを確認します。「」で設定した admin ユーザのパスワードを使用してください。 (注) 必ず「https」と「/admin」を CAS の URL に含めてください。入力されていない場合、エンド ユーザ ポータル ページが表示されます。 |
||
Web ブラウザの URL/アドレス フィールドに CAS の IP アドレスをタイプして、CAM のWeb コンソールにアクセスします。 • • 『 Cisco NAC Appliance Configuration Quick Start Guide 』または、 『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』(ご使用のリリースに適用可能) |
||
を押すことで、ルータの CLI からこのセッションに戻ることができます。 | ||
service-module integrated-service-engine slot /0 session clear |
指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。 |
• 一時 SSL 証明書を CAM と CAS の設定中に生成する必要があります。忘れると admin またはエンド ユーザとして NAC アプライアンスにアクセスできなくなってしまいます。
• 使用環境で CAM または CAS を構成する前に、認証局から信頼できる証明書の発行を受けて、一時証明書と置き換えることができます。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインしたときに、セキュリティに関する警告が表示されなくなります。また、CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。
• 証明書要求(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。詳細については、CAM および CAS のマニュアルの「Set System Time」および「Manage SSL Certificates」を参照してください。
• 「Cisco NAC ネットワーク モジュールのシャットダウンと起動」
• 「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」
• 「Cisco NAC ネットワーク モジュールの再インストール」
(注) • このセクションの表では、ルータとネットワーク モジュールで共通のコマンドだけを記載します。
– 使用可能なすべてのコマンドの一覧を表示するには、プロンプトで ? と入力します
(例: Router(config-if)#
? )。
– すべてのコマンド キーワード オプションの一覧を表示するには、コマンドの最後に ? と入力します
(例: Router#
service-module integrated-service-engine ? )。
• 表では、コンフィギュレーション モード別にコマンドを記載しています。一つのコマンドが複数のモードで利用できる場合は、モードによってコマンドの働きが異なることがあります。
Cisco NAC ネットワーク モジュールやモジュールが実行中の Clean Access Server アプリケーションをシャットダウンまたは起動したい場合は、下記のルータとネットワーク モジュールで共通のコマンドのリストから該当するコマンドを実行します(表 6)。
(注) • shutdown コマンドには、サービスを中断させる可能性があるものもあります。そのようなコマンドを実行して確認のプロンプトが表示された場合は、Enter キーを押して確認するか、n とタイプしてコマンドをキャンセルして Enter キーを押します。また、no-confirm キーワードを使用してプロンプトが表示されないようにすることもできます。
• コマンドの中には、モジュールやアプリケーションをシャットダウンして、その後すぐに再起動させるものもあります。
インストール、アップグレード、ダウングレードの状態を検証したい場合、または問題を解決したい場合は、下記の表のルータとネットワーク モジュールで共通のコマンドのリストから該当するコマンドを実行します(表 7)。
(注) 複数ある show コマンドのキーワード オプションの中には、画面に診断結果を表示し、それをファイルまたは URL にパイプするものもあります。
Cisco NAC ネットワーク モジュールを、サポートされている最新の Cisco NAC アプライアンスのリリースにアップグレードするには、シングル製品アップグレード ファイル(cca_upgrade- <version> .tar.gz)をアップロードして、CAS に適用します。ここでは、以下のアップグレード手順を説明します。
(注) Clean Access Manager/Server アプライアンスと Cisco NAC Network モジュールすべてで、同じバージョンの Cisco NAC アプライアンス ソフトウェアが実行されている必要があります。
(注) リリース 4.1.2.1 は、すべてのアプライアンスにとって最低限必要なバージョンです。HA と CAS のペアがサポートされている必要があります。最新の互換性についての詳細は、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。
(注) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。
(注) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。
詳細については、「Cisco NAC ネットワーク モジュールの制約事項」を参照してください。
ここで説明するコマンドラインのアップグレード手順を使用して、NAC ネットワーク モジュールの CAS をアップグレードできます。
(注) Cisco NAC アプライアンスをリリース 4.5 以上にアップグレードする場合は、コマンドラインでしかアップグレードできません。
2. service-module integrated-service-engine slot /0 status
3. service-module integrated-service-engine slot /0 session
4. 「ステップの詳細(CAS UPGRADE)」に従ってアップグレードを実行します。
6. service-module integrated-service-engine slot /0 session clear
a. b. c. d. • • • • e. |
||
ネットワーク モジュールのプロンプトから Clean Access Server Configuration Utility に root ユーザとしてログインし、CAS のコマンド ラインにアクセスします。 |
||
アップグレード ファイルを CAS の /store ディレクトリにコピーします。 WinSCP または SSH ファイル転送を使用している場合 a. a. b. c. |
WinSCP、SSHファイル転送または PSCP を使用して、アップグレード ファイルを /store ディレクトリにコピーします。 |
|
tar zxf cca_upgrade- <version> .tar.gz [root@cas128 store]# tar xzf cca_upgrade-4.5.0-NO-WEB.tar.gz |
||
[root@cas128 store]# cd cca_upgrade-4.5.0 [root@cas128 cca_upgrade-4.5.0]# ls agent-version.sh checksum.txt notes.html version.sh cam-4.5.x-upgrade.sh checksum.txt.sig RPMS cas-4.5.x-upgrade.sh dmidecode showstate.sh cca_upgrade-4.1.6.tar.gz initrd.img UPGRADE.sh [root@cas128 cca_upgrade-4.5.0]# ./UPGRADE.sh Welcome to the CCA Server migration utility. ...Upgrading to newer rpms of 4.5.0...done. ...Upgrading CCA files... done |
||
[root@cas128 cca_upgrade-4.5.0]# reboot [root@cas128 cca_upgrade-4.5.0]# reboot Broadcast message from root (pts/0) (Tue Oct 21 18:49:00 2008): |
||
を押すことで、ルータの CLI からこのセッションに戻ることができます。 | ||
service-module integrated-service-engine slot /0 session clear |
指定したモジュールの service-module セッションをクリアします。このコマンドの実行を確認するプロンプトが表示されたら、 Enter キーを押します。 |
NAC ネットワーク モジュールの CAS を Cisco NAC アプライアンス リリース 4.1(6) 以前にアップグレードする場合に限り、該当する『 Release Notes for Cisco NAC Appliance 』の「Upgrading」の内容に従って、スタンドアロンの CAS アプライアンスのアップグレードに使用するのと同じ Web アップグレードを実行できます。
(注) Cisco NAC アプライアンス リリース 4.5(およびそれ以降のリリース)は、Web アップグレードはサポートしていません。詳細については、『Release Notes for Cisco NAC Appliance, Release 4.5』を参照してください。
• リリース 4.1.6 以前のリリースへのアップグレードで、リリース 4.1.6 以前のリリースの CAS の CAS Web Upload を使用してアップグレード ファイルをアップロードする場合は、
/store/upload
にファイルを置きます。Web アップロードされたファイルの末尾 .tar.g z file の後にランダムに生成された数字のコードが追加されます(例: cca_upgrade
- <version > .tar
<digit code> .gz
• リリース 4.5 がすでにインストールされている場合に、4.5 CAS の CAS Web Upload 経由でアップグレード ファイルをアップロードすると、リリース 4.5 以降の
/store
ディレクトリに格納されます。Web アップロードされたファイルも同様に末尾 .tar.g z file の後にランダムに生成された数字のコードが追加されます(例: cca_upgrade
- <version > .tar
<digit code> .gz
• リリース 4.1.x からリリース 4.5 へアップグレードでは、CAS へのアップグレード ファイルの Web アップロードはサポートされていません。
• リリース 4.6(1) からリリース 4.8(x) へのアップグレードでは、Web アップロード ファイルは、次のとおりです。
nme-nac-upgrade-
<version> -from-4.6.x.tar.gz
• リリース 4.8 からリリース 4.8(x) へのアップグレードでは、Web アップロード ファイルは、次のとおりです。
cca_upgrade-
<version> -from-4.7.x-4.8.x.tar.gz
• リリース 4.8(x) からリリース 4.9 へのアップロードでは、Web アップロード ファイルは、次のとおりです。
nme-nac-upgrade-
<version> -from-4.8.x.tar.gz
(注) Cisco NAC アプライアンス リリース 4.5(およびそれ以降のリリース)は、Web アップグレードはサポートしていません。詳細については、『Release Notes for Cisco NAC Appliance, Release 4.5』を参照してください。
(注) Cisco NAC アプライアンス リリース 4.8 では、リリース 4.8 の新規インストール、またはリリース 4.6(1) からリリース 4.8 へのアップグレードだけがサポートされます。
(注) Cisco NAC アプライアンス リリース 4.9 では、リリース 4.9 の新規インストール、またはリリース 4.8(x) からリリース 4.9 へのアップグレードだけがサポートされます。
デフォルトでは、Cisco NAC ネットワーク モジュールは、オンボード フラッシュからオペレーティング システムと Clean Access Server をロードするように、あらかじめ設定されています。普通は、管理者はネットワークモジュールの Clean Access Server の初期設定を行うだけで、その後は、通常の Cisco NAC アプライアンスのアップグレード手順でモジュール上のソフトウェアをアップグレードできます。詳細については、「Cisco NAC アプライアンスの設定と管理」を参照してください。
マシンが故障していたり、起動できない場合は、(「 *** 」と入力して)起動プロセスを中断し、システム全体を再イメージ化できます。このプロセスでは、boothelper とイメージファイルを別個に Cisco Secure Software サイトからダウンロードして、boothelper をネットワークからネットワーク モジュールにロードできるように TFTP サーバを設定する必要があります。
• Bootloader:システムの電源投入時に読み込まれるソフトウェアの小セット。通常の動作では、自動的にコンパクト フラッシュからオペレーティング システムをロードし、次にシステムが Clean Access Server をロードして実行します。ディザスタ リカバリの場合は、オプションで bootloader のプロセスを中断し、TFTP サーバを介してネットワークから boothelper ロードするように再設定できます。
• Boothelper:モジュール上で実行されるソフトウェアの小サブセット。モジュールをネットワークから起動し、ディザスタ リカバリやモジュールがソフトウェアにアクセスできないときの動作を補助します。
ネットワーク モジュールの再インストールには、boothelper のイメージのインストール、設定、起動が含まれます。次に、boothelper により、Cisco NAC アプライアンス ソフトウェアの NAC ネットワーク モジュールへのインストールが開始されます。また CAS の設定でプロンプトを通して使用する CAS Configuration Utility が起動します。
2. service-module integrated-service-engine slot /0 reset
3. service-module integrated-service-engine slot /0 session , ***
7. boothelper の指示に従って、ソフトウェアをインストールします。
9. service-module integrated-service-engine slot /0 session clear
a. b. c. d. • |
Cisco NAC ネットワーク モジュールの installation-package ファイル(boothelper のイメージとインストール イメージ)をダウンロードします。 (注) マイナー リリースの中には、NME-NAC イメージが存在しないものもあります。その場合は、存在するうちで一番新しいメジャー バージョンのイメージをインストールし、CAS アップグレード手順に従って、Cisco Network Module をマイナー リリースにアップグレードします。詳細については、「Cisco NAC ネットワーク モジュールの Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。 |
|
リセットにより自動的に行われない場合は、セッションを開いて「***」とすばやくタイプして auto-boot セッションを中断し、bootloader にアクセスします。 |
||
bootloader を boothelper をロードして起動するように設定します。 リストの順番で bootloader のインターフェイスを設定するプロンプトが表示されます。それぞれのプロンプトで、値を入力するか、 Enter キーを押して、角括弧で囲まれた以前に入力して保存してある値をそのまま適用します。 • • • • • • • • • • |
||
以前に設定したバーチャル ゲートウェイにインストールする場合は、追加で eth0 の IP アドレス、ネットマスク、ゲートウェイを入力する必要があります。 |
||
ハードディスクをパーティションに切って、フォーマットします。完了したら、さらに 2 つの質問を helper から尋ねられます(イメージの名前と TFTP サーバのアドレス)。 イメージの名前( nme-nac-install-<version>-K9.img など)を入力して、 Enter キーを押します。 |
||
y とタイプしてから Enter キーを押して、入力した情報が正しいことを確認します。 helper が、イメージの転送を開始します。イメージファイルはサイズが非常に大きいため、転送には時間がかかる場合があります。イメージの転送が完了したら、helper は、RPM がインストールされたというステータスを表示します。 |
||
次の起動で、ネットワーク モジュールのログイン プロンプトが表示されます。 root としてログインします。 標準の Clean Access Server Configuration Utility からの質問が表示されます。「Clean Access Server ソフトウェア Configuration Utility」 の指示に従って、CAS の設定を完了させます。 |
||
Configuration Utility が完了したら、プロンプトから NAC ネットワーク モジュールを再起動させます。 |
||
service-module integrated-service-engine slot /0 session clear |
Cisco NAC アプライアンス全体関する情報については、以下から該当するバージョンのガイドを選んで参照してください。
• 『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide』
• 『Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide』
シスコのテクニカル サポートおよびドキュメンテーション Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |
|
Cisco Feature Navigator を使用して、プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を入手します。Cisco.com のアカウントは必要ありません。 |
|
Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 認定証の提供を求められる場合があります。 [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] に移動して、Cisco NAC アプライアンス用のソフトウェアをダウンロードします。 |
• • |
|
• • • |
|
• • • • |
|
• • • • |
|
(注) この用語集に記載されていない用語については、以下のリファレンスを参照してください。
• 『Cisco IOS Voice Configuration Library Glossary』
• 『Internetworking Terms and Acronyms』
マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。