Cisco NAC アプライアンス ハードウェア インストレー ション リリース 4.1
目次
Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.1
Cisco NAC アプライアンス ソフトウェアのアップグレード
Cisco NAC アプライアンス ソフトウェアのダウンロード
CD からの Cisco NAC アプライアンスへのソフトウェアのインストール
CAM コンフィギュレーション ユーティリティ スクリプトの実行
CAS コンフィギュレーション ユーティリティ スクリプトの実行
Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.1
Cisco NAC アプライアンスについて
Cisco® NAC アプライアンス(従来の Cisco Clean Access)は、ユーザがネットワークにアクセスする前に、ネットワーク管理者が有線、無線、およびリモート ユーザとマシンを認証、許可、評価、および修復できる Network Admission Control(NAC)製品です。ノート型 PC、デスクトップ PC、企業資産などのネットワーク デバイスがネットワークのセキュリティ ポリシーに適合しているかどうかを識別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。
Cisco NAC アプライアンスは、Clean Access Manager(CAM)の Web コンソールから管理し、Clean Access Server(CAS)を介して実行し、Clean Access Agent クライアント ソフトウェアからクライアントに適用される統合ネットワーク ソリューションです。Cisco NAC アプライアンス ソリューションは、お客様のネットワークのニーズを満たす最適な設定で導入できます。
Cisco NAC アプライアンスは Linux ベースのネットワーク ハードウェア アプライアンスで、CAM (MANAGER) または CAS (SERVER) のどちらかのアプリケーション、オペレーティング システム、および関連するすべてのコンポーネントと一緒に専用サーバ マシンに事前にインストールされています。オペレーティング システムは Fedora コア ベースの強固な Linux カーネルで構成されています。Cisco NAC アプライアンスでは、CAM または CAS 専用マシンにその他のパッケージやアプリケーションをインストールできません。
このマニュアルについて
『 Cisco NAC アプライアンス ハードウェア インストレーション リリース 4.1 クイック スタート ガイド 』 では、Cisco NAC アプライアンスの基本的なハードウェアの仕様およびインストレーション方法について説明します。また、コンフィギュレーション ユーティリティを使用して CAM および CAS を初期設定し、CAM Web コンソールにアクセスし、製品ライセンスをインストールする方法について説明します。CAM および CAS の初期設定が終了すると、CAM Web コンソールにアクセスし、使用環境に必要な残りの設定を続けることができます(『 Cisco NAC Appliance Configuration Quick Start Guide Release 4.1 』を参照)。
設定に関する包括的な情報については、最新の『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。いずれのマニュアルも、Cisco.com の http://www.cisco.com/en/US/products/ps6128/products_installation_and_configuration_guides_list.html からリリース別に入手できます。オンライン マニュアルを使用する場合は、ご使用の Cisco NAC アプライアンスで稼動するソフトウェア バージョン(リリース 4.1(3) など)に対応するマニュアルを参照してください。
(注) このクイック スタート ガイドでは、Cisco NAC ネットワーク モジュール(NME-NAC-K9)については説明しません。Cisco NAC ネットワーク モジュールのインストレーションおよび設定については、『Getting Started with NAC Network Modules in Cisco Access Routers』を参照してください。
インストレーションの準備
パッケージ内容の確認
図 1に示すパッケージの内容を確認して、Cisco NAC アプライアンスの設置に必要な付属品がすべて納入されているか確認してください。装置を再梱包する場合に備えて、梱包材を保管しておきます。付属品が不足していたり、損傷したりしている場合は、購入された代理店に連絡してください。Cisco NAC アプライアンスの一部のモデルには、図に示されていない追加部品が付属していることがあります。
(注) Cisco NAC-3300 シリーズ アプライアンスには製品ソフトウェアが事前にロードされているので、梱包内容に Cisco Clean Access(CCA)ソフトウェア インストレーション CD は含まれません。詳細については、「Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。
フェールオーバー バンドル
フェールオーバー バンドルを注文した場合は、物理 Cisco NAC アプライアンスが 2 つ納入されます。各マシンを、このマニュアルで説明するとおりに初期設定する必要があります。初期設定が完了したら、CAM または CAS Web コンソールを使用してハイ アベイラビリティ(HA)を設定し、アプライアンスを物理的に接続して HA ペアを作成します。CAM による HA の詳細な設定方法については、最新の『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』の「Configuring High Availability (HA)」の章を、CAS による HA の詳細な設定方法については『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』の「Configuring High Availability (HA)」の章を参照してください。
(注) HA のために、シリアル ケーブルを使用した構成オプションで NAC-3300 シリーズ アプライアンスを接続する場合、シリアル ポートに対する BIOS のリダイレクションを必ず無効にしてください。詳細については『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』の「Disable BIOS Redirection for Serial HA (Failover) Connections」を参照してください。
必要な機器
Cisco NAC アプライアンスのコンフィギュレーション ユーティリティを実行するには、ワークステーション(PC またはラップトップ)およびキーボード、モニタ、マウスが必要です。初期設定が完了したら、RJ-45 コネクタを備えた標準(ストレート)イーサネット カテゴリ 5 ネットワーク ケーブルで、Cisco NAC アプライアンスのインターフェイスとネットワーク(CAM の場合は eth0、CAS の場合は eth0 および eth1)を接続する必要があります。HA ペア アプライアンスを相互に接続するには、RJ-45 イーサネット クロスオーバー ケーブルが必要です。「Cisco NAC アプライアンス ハードウェアの概要」に、各モデルのインターフェイスの詳細を示します。
ラックマウント
Cisco NAC アプライアンスは、ラック ユニットを 1 つ(1 U)占有します。ラックマウント キットは、同梱されています。ラックマウントの詳細および手順については、付属の『 1U Rack Hardware Installation Instructions for HP Products 』を参照してください。
Cisco NAC アプライアンスのライセンス
ご使用の Cisco NAC アプライアンス システムを機能させるには、CAM ライセンスと CAS ライセンスが少なくとも 1 つずつ必要です。いずれのライセンスも、CAM 管理 Web コンソールからインストールします。
•
システムに対応した新しいライセンスを 取得する 方法については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。
• 初期設定が完了したあとに、システムに対応したライセンスを インストールする 方法については、「CAM ライセンスのインストール」および「ライセンスの追加」を参照してください。
Cisco NAC アプライアンス ソフトウェアのアップグレード
NAC-3300 シリーズ アプライアンスには、Cisco NAC アプライアンス ソフトウェアのデフォルト バージョンが事前にロードされています。サポート対象の最新バージョンのシステム ソフトウェアを実行して、最新の製品拡張機能および修正を導入することを推奨します。
(注) Cisco NAC-3300 シリーズ アプライアンスでサポートされる最低限のソフトウェア バージョンは、リリース 4.0(5) 4.1(1)、4.1.2.1、および 4.1(3) です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するバージョンのリリース ノートを参照してください。
サポート対象の最新バージョンのソフトウェアを実行するには、アプライアンスをアップグレードするか、最新の Cisco NAC アプライアンス ソフトウェアを新規で CD からインストールします。
アプライアンスをアップグレードするには、標準の製品アップグレード ファイル( cca_upgrade- <バージョン>.tar.gz など)を使用します。マシンが CAS であるか、または Lite/Standard/Super CAM であるかがアップグレード メカニズムによって自動判別され、それに従って実行されます。アップグレードの手順については、 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するリリース ノートの「Upgrading」の項目を参照してください。
CAS または Lite/Standard/Super CAM で CD インストールする場合は、標準の製品 ISO ファイル( cca-<バージョン>-K9.iso など)を使用できます。NAC-3390 Super CAM をインストールする場合は、Super CAM ISO ファイル(s upercam-cca-<バージョン>-K9.iso など)を使用する必要があります。詳細については、「CD からの Cisco NAC アプライアンスへのソフトウェアのインストール」を参照してください。
(注) NAC-3310 の場合のみ(CAM または CAS)、CD インストールを実行するときに、「boot:」プロンプトでインストール ディレクティブを入力する必要があります。インストール ディレクティブは、DL140 (アプライアンスに直接接続されている場合)または serial_DL140(アプライアンスにシリアル接続されている場合)です。
Cisco NAC アプライアンス ソフトウェアのダウンロード
Cisco NAC アプライアンスの最新アップグレードおよび ISO ファイルには、次の方法でアクセスできます。
ステップ 1 Cisco ID でログインして、Cisco NAC アプライアンスの Software Download サイトにアクセスします。
a. Software Download サイト http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766 に直接移動します。
b. Cisco NAC アプライアンス サポート ページ http://www.cisco.com/en/US/partner/products/ps6128/tsd_products_support_series_home.html にアクセスし、「Software Download」リンクをクリックします。
ステップ 2 最新の適切なソフトウェア リリースへのリンクをクリックします(Cisco NAC Appliance Software Version 4.1.x など)。
ステップ 3 「Release」カラムを参照して、最新バージョンの製品ファイル(4.1.x.y など)を探し、ファイル名のリンクをクリックします。プロンプトに従って、ファイルをローカル コンピュータにダウンロードします。Cisco NAC アプライアンス 製品ファイルでは次のファイル命名規則が使用されています。
– cca-4.1_x_y-K9.iso :CAM および CAS の製品 ISO
– supercam-cca-4.1_x_y-K9.iso :Super Manager(Super CAM)の ISO
– cca_upgrade-4.1.x.y.tar.gz :製品アップグレードのアーカイブ
(注) 「CCAAgent」のプレフィックスが付いたファイルは、Cisco Clean Access Agent 専用です。
「nme-nac」のプレフィックスが付いたファイルは、Cisco NAC ネットワーク モジュール専用です(詳細については『Getting Started with NAC Network Modules in Cisco Access Routers』を参照してください)。
ファームウェアのアップグレード
Cisco NAC-3300 シリーズ アプライアンスを使用するには、ベースとなるサーバ モデルに必須のシステム BIOS/ファームウェア アップグレードをすべて適用する必要があります。
Cisco NAC-3310 は、HP ProLiant DL140 G3 に基づいており、ファームウェアのアップグレードが必要になる場合があります。
詳細については『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』の「 DL140 G3 Required BIOS/Firmware Upgrades 」を参照してください。
追加情報
Cisco NAC アプライアンスの詳細については、 http://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html を参照してください。オンライン マニュアルを使用する場合は、ご使用の Cisco NAC アプライアンスで稼動するソフトウェア バージョン(リリース 4.1(3) など)に対応するマニュアルを参照してください。
• 『 Cisco NAC Appliance Data Sheet 』
• 『 Cisco NAC Appliance Service Contract/Licensing Support 』
• 『 Supported Hardware and System Requirements for Cisco NAC Appliance 』
• 『 Release Notes for Cisco NAC Appliance (Cisco Clean Access) 』(「Upgrading」の項を含む)
• 『 Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1 』
• 『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』
• 『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』
• 『 Getting Started with Cisco NAC Network Modules in Cisco Access Routers 』
このクイック スタート ガイドの最新のオンライン アップデートについては、 http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html を参照してください。
テクニカル サポートの詳細については、「マニュアルの入手方法およびテクニカル サポート」を参照してください。
Cisco NAC アプライアンス ハードウェアの概要
表 1に、各 Cisco NAC アプライアンスのハードウェア仕様をまとめます。「図」カラムには、NIC(ネットワーク インターフェイス カード)ポート、電源装置ソケット、LED、およびボタンを示す詳細な図の参照先が記載されています。
| シングル プロセッサ :Xeon 2.33 GHz デュアル コア
(注) NAC-3310 は HP ProLiant DL140 G3 に基づいています。 |
|||
| NAC-3350 3 |
シングル プロセッサ :Xeon 3.0 GHz デュアル コア
(注) NAC-3350 は HP ProLiant DL360 G5 に基づいています。 |
||
NAC-3390 3 |
デュアル プロセッサ :Xeon 3.0 GHz デュアル コア
(注) NAC-3390 は HP ProLiant DL360 G5 に基づいています。 |
| 1.NAC-3310 では、HP ProLiant DL140 G3 のファームウェア/BIOS アップグレードが必要になる場合があります。「ファームウェアのアップグレード」を参照してください。 2.NAC-3310 は iLO(Lights Out 100i Remote Management)をサポートします。デフォルトの iLO「Administrator」アカウントには、デフォルトのユーザ名/パスワード(admin/admin)が設定されています。デフォルトを変更するには、BIOS 設定を使用します。 3.NAC-3350 および NAC-3390 は iLO2(Integrated Lights Out、バージョン 2)をサポートします。admin アカウントの詳細については、パネルのタグを参照してください。 |
Cisco NAC-3310 前面および背面パネル
Cisco NAC-3310 アプライアンスは Clean Access Lite Manager(Lite CAM)および CAS(ユーザ数 100/250/500)を配置するための推奨プラットフォームです。NAC-3310 CAM Lite は最大 3 つの CAS または 3 つの HA-CAS ペアを管理できます。NAC-3310 CAS は 100、250、または 500 のユーザをサポートできます。
Cisco NAC-3310 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。
詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。
図 3 Cisco NAC-3310 の前面パネルの LED/ボタン
Cisco NAC-3350 前面および背面パネル
Cisco NAC-3350 アプライアンスは、企業全体に対応する Clean Access Standard Manager(Standard CAM)および CAS(1500/2500/3500 ユーザ数)の展開における拡張機能を提供します。NAC-3350 Standard CAM は最大 20 の CAS または 20 の HA-CAS ペアを管理できます。NAC-3350 CAS は 1500、2500 または 3500 のユーザをサポートできます。
Cisco NAC-3310 と同様に、Cisco NAC-3350 にはネットワーク インターフェイスが 4 つ装備されているため、NIC インターフェイスを柔軟に選択して、CAS のハイ アベイラビリティ構成を実現できます。Cisco NAC-3350 にはさらに、2 GB の RAM、RAID 0 および RAID 1 に設定された 2 つの SAS ドライブ、SSL アクセラレータ、およびデュアル電源装置が装備されています。これにより、大規模なネットワーク配置がサポートされ、ネットワーク コアの中央に配置した CAM/CAS の信頼性が向上します。
詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。
図 7 Cisco NAC-3350 の前面パネルの LED/ボタン
グリーン = システム電源がオンです。 |
||
グリーン = システム ヘルスが正常です。 |
||
グリーン = 電源装置ヘルスが正常です。 |
||
グリーン = ネットワーク リンクが存在します。 |
||
グリーン = ネットワーク リンクが存在します。 |
Cisco NAC-3390 前面および背面パネル
Cisco NAC-3390 アプライアンス プラットフォームでは、企業全体に対応する Clean Access Super Manager(Super CAM)を配置して、最大 40 の CAS または 40 の HA-CAS ペアをサポートできるように、処理、メモリ、および電力が拡張されています。Cisco NAC-3390 にはデュアル プロセッサ、デュアル電源装置、4 GB の RAM、4 台のハード ディスク ドライブ、2 つの内蔵 NIC、および 1 つの SSL アクセラレータが装備されています。詳細は、「Cisco NAC アプライアンス ハードウェアの概要」を参照してください。
(注) Super CAM ソフトウェアがサポートされるのは、Cisco NAC-3390 アプライアンス プラットフォームのみです。
図 11 Cisco NAC-3390 の前面パネルの LED/ボタン
グリーン = システム電源がオンです。 |
||
グリーン = システム ヘルスが正常です。 |
||
グリーン = 電源装置ヘルスが正常です。 |
||
グリーン = ネットワーク リンクが存在します。 |
||
グリーン = ネットワーク リンクが存在します。 |
図 13 Cisco NAC-3390 の背面パネルの LED/ボタン
コンフィギュレーション ワークシート
NAC アプライアンスの初期設定を実行するには、次の情報が必要です。
(注) NAC アプライアンスをハイ アベイラビリティ(HA)用に設定する場合は、まず各アプライアンスで初期インストールを実行してから、CAM または CAS の Web コンソールで HA を設定する必要があります。Web コンフィギュレーションを使用して、HA ペアに仮想サービス IP を作成する必要があります。
CAM のコンフィギュレーション ワークシート
a. eth0(信頼)インターフェイスの IP アドレス 4: |
|
h. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合: CAM の FQDN または IP アドレス:
(注) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。 |
|
i. root ユーザのパスワード: 5 |
|
| 4.ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。 5.デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。 |
CAS のコンフィギュレーション ワークシート
a. eth0(信頼)インターフェイスの IP アドレス 6: |
|
f. eth1 インターフェイスのデフォルト ゲートウェイ IP アドレス 1: |
|
k. 必要な一時 SSL 証明書(あとで変更可能)を生成する場合: CAS の FQDN または eth0 IP アドレス:
(注) FQDN を使用している場合は、DNS サーバにドメイン名が設定されていることを確認します。 |
|
l. root ユーザのパスワード 7: |
|
m. Web コンソール パスワード 2: |
|
| 6.ほとんどのサーバ ハードウェア タイプでは、一般的に eth0 と eth1 は最初の 2 つのネットワーク カード(NIC 1 および NIC 2)に対応付けられます。 7.デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。 |
CAS モードと IP アドレッシングの注意事項
• • • |
|
| • |
|
注意: スイッチ エラーを回避するため、Web コンソール経由で CAS が CAM に追加された後、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [VLAN Mapping] で VLAN マッピングが正しく設定されるまで、バーチャル ゲートウェイ(IB または OOB)CAS の非信頼インターフェイス(eth1)をスイッチに接続しないでください。詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。 • • • • • • • 詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』の「Determining VLANs For Virtual Gateway」も参照してください。 |
Cisco NAC アプライアンスの接続
初期設定を実行するには、CAM および CAS の Cisco NAC アプライアンスに接続し、コマンドラインにアクセスする必要があります。アプライアンスを接続する手順は、次のとおりです。
ステップ 1 次の 2 つの方法のいずれかで、Cisco NAC アプライアンスの各マシンのコマンドラインにアクセスします。
a. マシンの背面パネルにあるキーボード/ビデオ モニタ コネクタを介して、モニタとキーボードを直接マシンに接続します(推奨方法)。
b. シリアル ケーブルでワークステーション(PC/ラップトップ)とマシンを接続し、端末エミュレーション ソフトウェア(HyperTerminal、SecureCRT など)を使用して、ワークステーションのシリアル接続を開始します。詳細は、「Cisco NAC アプライアンスのシリアル接続」を参照してください。
ステップ 2 Cisco NAC アプライアンス(CAM または CAS)の背面パネルにある eth0(NIC1) 10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。
ステップ 3 さらに、CAS アプライアンスの場合は、次の手順に従います。
a. CAS をインバンド(IB)またはアウトオブバンド(OOB)の バーチャル ゲートウェイ として設定する場合は、ネットワーク接続問題を防止するために、Web 管理コンソールから CAS を CAM に追加(および中央配置の場合は VLAN マッピングを設定) するまでは 、CAS の非信頼インターフェイス (eth1(NIC2)) を 接続しないでください 。詳細については、該当するリリースの『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』を参照してください。
b. CAS を Real-IP ゲートウェイ (またはテスト用の NAT ゲートウェイ )として設定する場合は、CAS の背面パネルにある eth1(NIC2) 10/100/1000 イーサネット ポートと LAN を、カテゴリ 5 イーサネット ストレート ケーブルで接続します。
ステップ 4 Cisco NAC アプライアンスの背面パネルと、アースされた AC コンセントを、AC 電源コードで接続します。
ステップ 5 アプライアンスの前面にある電源ボタンを押して、Cisco NAC アプライアンスの電源をオンにします。Power-on Self-Test(POST; 電源投入時自己診断テスト)の実行中、診断 LED が数回点滅します。アプリケーションが起動すると、コンソールにステータス メッセージが表示されます。
「CD からの Cisco NAC アプライアンスへのソフトウェアのインストール」または「コンフィギュレーション ユーティリティの実行」に進みます。
Cisco NAC アプライアンスのシリアル接続
ここでは、Cisco NAC アプライアンスをシリアル接続してコマンド ラインにアクセスする方法について説明します。
ステップ 1 シリアル接続を使用するには、シリアル ケーブル(DB-9 メス/メス)を使用して、PC/ラップトップと Cisco NAC アプライアンスのシリアル ポートを接続します (必要であれば、同梱されているヌル モデム ケーブルを使用できます)。
ワーク ステーションをアプライアンスへ物理的に接続すれば、さまざまなターミナル エミュレーション アプリケーションを使用して、シリアル接続インターフェイスへ接続できます。次に示す手順は、使用中のソフトウェアによって異なる場合があります。
ステップ 2 Microsoft® ハイパーターミナルを使用している場合は、[Start] > [All Programs] > [Accessories] > [Communications] > [HyperTerminal] をクリックして、ハイパーターミナル ウィンドウを開きます。
ステップ 3 セッションの名前を入力し、[OK] をクリックします。
ステップ 4 [Connect using] リストで、シリアル ケーブルが接続されているワークステーションの COM ポート(COM3 や COM1 など)を選択し、[OK] をクリックします。
ステップ 5 [Port Settings] で、9600 ビット/秒、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御はハードウェア(CTS/RTS)(またはなし)に設定します。
ステップ 6 [Disconnect] アイコンをクリックしてから [File] > [Properties] をクリックし、セッションのプロパティ ダイアログを開きます。[Setting] タブをクリックして、[Emulation] のドロップダウン リストを [VT100] に設定します。[OK] をクリックしてから、[Call] アイコンをクリックします。
アプライアンスのコマンドライン インターフェイスにアクセスできるようになります(数分間かかることがあります)。
(注) Cisco NAC アプライアンスが HA 用に設定されていて、HA にシリアル ハートビートが使用されている場合は、シリアル ポートをシリアル コンソールに使用できません。
「CD からの Cisco NAC アプライアンスへのソフトウェアのインストール」または「コンフィギュレーション ユーティリティの実行」 に進みます。
CD からの Cisco NAC アプライアンスへのソフトウェアのインストール
(注) アプライアンスに付属のシステム ソフトウェアのデフォルト バージョンを使用して初期設定を実行する場合は、このセクションを省略して「コンフィギュレーション ユーティリティの実行」に進みます。アプライアンスは後でいつでもアップグレードすることができます。「Cisco NAC アプライアンス ソフトウェアのアップグレード」を参照してください。
Cisco NAC-3310、NAC-3350、および NAC-3390 アプライアンスには、Cisco NAC アプライアンス ソフトウェアのデフォルト バージョンが事前にロードされています。Cisco NAC-3300 アプライアンスに最初に電源を投入すると、root ユーザでログインするように要求され、初期設定スクリプトが起動します(「コンフィギュレーション ユーティリティの実行」を参照)。Cisco NAC-3300 シリーズでサポートされる最新のソフトウェア リリースにアップグレードすることを推奨します。
最新のサポート対象ソフトウェア バージョンの CD インストールをアプライアンスに直接実行するには、次の手順に従ってください。
• MANAGER アプライアンスの場合は、「CD-ROM からの CAM ソフトウェアのインストール」を参照してください。
• SERVER アプライアンスの場合は、「CD-ROM からの CAS ソフトウェアのインストール」を参照してください。
(注) NAC-3310 の場合のみ(CAM または CAS)、CD インストールを実行するときに、「boot:」プロンプトでインストール ディレクティブを入力する必要があります。インストール ディレクティブは、DL140 (アプライアンスに直接接続されている場合)または serial_DL140(アプライアンスにシリアル接続されている場合)です。
(注) NAC-3390 MANAGER に CD ソフトウェアをインストールする場合のみ、ブート可能 CD-ROM を作成するための独立した Super CAM .ISO ファイルが必要になります。Super CAM ソフトウェアがサポートされるのは、NAC-3390 プラットフォームのみです。
(注) 設定済みアプライアンスに CD ソフトウェアをインストールすると、古い設定がすべて削除されます。設定済みアプライアンスの場合は、アップグレード手順を使用して最新のソフトウェア リリースにアップグレードすることを推奨します。
CD-ROM からの CAM ソフトウェアのインストール
次の手順では、NAC-3310 MANAGER、NAC-3350 MANAGER、および NAC-3390 MANAGER アプライアンス上で CAM ソフトウェアの CD インストールを任意で実行する方法を示します。
ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「Cisco NAC アプライアンスの接続」を参照)。
ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードして、インストールします。
(注) Cisco NAC-3300 シリーズ アプライアンスでサポートされる最低限のソフトウェア バージョンは、リリース 4.0(5) 4.1(1)、4.1.2.1、および 4.1(3) です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するバージョンのリリース ノートを参照してください。
a. [Log In] をクリックして Cisco Secure Software にログインし、 http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766
から最新のサポート対象 .ISO ファイルをダウンロードします。詳細については、「Cisco NAC アプライアンス ソフトウェアのダウンロード」を参照してください。
– NAC-3310 MANAGER または NAC-3350 MANAGER の場合、 cca- <バージョン> -K9.iso ファイルをダウンロードします。
– NAC-3390 MANAGER の場合のみ、 supercam-cca- <バージョン> -K9.iso ファイルをダウンロードします。
b. .ISO をブート可能ディスクとして CD-R に書き込みます。CD を各インストール マシンの CD ドライブに挿入します。
ステップ 3 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。
ステップ 4 「boot:」プロンプトで、次のいずれかを行います。
–モニタとキーボードが直接 NAC-3310 に接続されている場合は、 DL140 を入力して、Enter キーを押します。
–NAC-3310 にシリアル接続でアクセスしている場合は、 serial_DL140 と入力して、端末エミュレーション コンソールの Enter キーを押します。
• NAC-3350 MANAGER または NAC-3390 MANAGER の場合 :
–モニタとキーボードが直接ターゲット マシンに接続されている場合は、Enter キーを押します。
–ターゲット マシンにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。
ステップ 5 [Package Group Selection] 画面が表示され、 CCA Manager ソフトウェア(デフォルト)または CCA Server ソフトウェアを選択する必要があります。 CCA Manager を選択し、さらに OK を選択すると、インストールが開始されます。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して [OK] フィールドに移動し、移動したら Enter キーを押してます。
CAM のパッケージインストールが実行されます。インストールには数分かかります。インストールが終了すると、CAM クイック コンフィギュレーション ユーティリティの初期画面が表示されます。
(注) [Package Group Selection] は、デフォルトで CCA Manager に設定されています。ただし、インストールを開始するには、Tab キーを押して [OK] フィールドに移動し、Enter キーを押す必要があります。
(注) NAC-3310 の場合のみ、プロンプトでインストール ディレクティブ DL140 または serial_DL140 を入力しないと、[Package Group Selection] 画面が表示されません。
ステップ 6 「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の手順に従って、CAM の初期設定を継続します。
CD-ROM からの CAS ソフトウェアのインストール
次の手順では、NAC-3310 SERVER または NAC-3350 SERVER アプライアンス上で CAS ソフトウェアの CD インストールを任意で実行する方法を示します。
ステップ 1 インストール対象マシンをネットワークに接続し、ダイレクト コンソールまたはシリアル接続を介してマシンのコマンドラインにアクセスします(「Cisco NAC アプライアンスの接続」を参照)。
ステップ 2 次の手順に従って、ターゲット マシンでサポートされている最新のソフトウェア バージョンをダウンロードして、インストールします。
(注) Cisco NAC-3300 シリーズ アプライアンスでサポートされる最低限のソフトウェア バージョンは、リリース 4.0(5) 4.1(1)、4.1.2.1、および 4.1(3) です。互換性の詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance』、および http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html にある、該当するバージョンのリリース ノートを参照してください。
a. [Log In] をクリックして Cisco Secure Software にログインし、 http://www.cisco.com/cgi-bin/apps/tblbld/tablebuild.pl?topic=279515766
から最新のサポート対象 .ISO ファイルをダウンロードします。詳細については、「Cisco NAC アプライアンス ソフトウェアのダウンロード」を参照してください。
– NAC-3310 または NAC-3350 SERVER の場合、 cca- <バージョン> -K9.iso ファイルをダウンロードします。
b. ISO をブート可能ディスクとして CD-R に書き込みます。CD を各インストール マシンの CD ドライブに挿入します。
ステップ 3 マシンをリブートします。マシンの再起動後、次のように Cisco Clean Access Installer の初期画面が表示されます。
ステップ 4 「boot:」プロンプトで、次のいずれかを行います。
–モニタとキーボードが直接 NAC-3310 に接続されている場合は、 DL140 を入力して、Enter キーを押します。
–NAC-3310 にシリアル接続でアクセスしている場合は、 serial_DL140 と入力して、端末エミュレーション コンソールの Enter キーを押します。
–モニタとキーボードが直接ターゲット マシンに接続されている場合は、Enter キーを押します。
–ターゲット マシンにシリアル接続でアクセスしている場合は、 serial と入力して、端末エミュレーション コンソールの Enter キーを押します。
ステップ 5 [Package Group Selection] 画面が表示され、 CCA Manager ソフトウェア(デフォルト)または CCA Server ソフトウェアを選択する必要があります。 CCA Server を選択し、さらに OK を選択すると、インストールが開始されます。適切なタイプを選択するには、スペースバーおよび「+」キーおよび「-」キーを使用します。Tab キーを使用して [OK] フィールドに移動し、移動したら Enter キーを押して、選択したパッケージ タイプのインストールを開始します。
CAS のパッケージインストールが実行されます。インストールには数分かかります。インストールが終了すると、CAS クイック コンフィギュレーション ユーティリティの初期画面が表示されます。
(注) [Package Group Selection] は、デフォルトでは CCA Manager に設定されています。CAS のインストールを開始するには、CCA Server を選択し、Tab キーを押して [OK] フィールドに移動し、Enter キーを押す必要があります。
(注) NAC-3310 の場合のみ、プロンプトでインストール ディレクティブ DL140 または serial_DL140 を入力しないと、[Package Group Selection] 画面が表示されません。
ステップ 6 「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の手順に従って、CAS の初期設定を継続します。
コンフィギュレーション ユーティリティの実行
Cisco NAC-3310、NAC-3350、または NAC-3390 アプライアンスに電源を投入し、 root としてログインすると、ここで説明するように、初期設定を実行するように要求されます。
• MANAGER を設定するには、「CAM コンフィギュレーション ユーティリティ スクリプトの実行」の手順を実行します。
• SERVER を設定するには、「CAS コンフィギュレーション ユーティリティ スクリプトの実行」の手順を実行します。
MANAGER(CAM)と SERVER(CAS)の両方で初期設定を完了したら、「CAM Web コンソールへのアクセス」に進みます。
CAM コンフィギュレーション ユーティリティ スクリプトの実行
ステップ 1 Cisco NAC-3310、NAC-3350、または NAC-3390 MANAGER アプライアンスに接続して、電源を投入します(「Cisco NAC アプライアンスの接続」を参照)。
ステップ 2 ユーザ root (デフォルト パスワード cisco123 )としてログインします。
ステップ 3 次のコンフィギュレーション ユーティリティの初期画面が表示されます。
(注) root でログインした後に、このプロンプトが表示されない場合は、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。
ステップ 4 最初のプロンプトで、CAM の eth0(信頼)インターフェイスの IP アドレスを入力して(CAM ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。
ステップ 5 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b. )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。
ステップ 6 デフォルト ゲートウェイを受け入れるか、または CAM のデフォルト ゲートウェイ アドレスを指定して(フィールド c. )、確認します これは通常、CAM サブネットとCAS サブネットの間にあるルータの IP アドレスです。
ステップ 7 CAM のホスト名を入力します(フィールド d. )。CAM Web コンソールで CAM ホスト名を使用するには、DNS サーバにエントリを作成します。
ステップ 8 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド e. )、またはデフォルト値を受け入れます。
ステップ 9 1 つの構成内の CAM および CAS は、内部パスワードとして機能する共有秘密鍵を通じて、相互に認証します。デフォルトの共有秘密鍵は、 cisco123 です。プロンプトに共有秘密鍵を入力して、確認します(フィールド f. )。
ステップ 10 CAM のタイム ゾーンを次のように指定します(フィールド g. )。
a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。
b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。
c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。
d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。
e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。
ステップ 11 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。
ステップ 12 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAM と Web 管理コンソールをセキュアに接続できるようにします(フィールド h. を使用)。
a. 発行される証明書の対象となる IP アドレスまたはドメイン名を入力するか、Enter キーを押して、デフォルトの IP アドレス(通常は、 10.201.240.11 など、すでに指定した eth0 IP アドレス)を受け入れます。
(注) Web サーバの応答先も、この IP アドレスまたはドメイン名になります。DNS にドメイン名が設定されていない場合は、CAM Web コンソールがロードされません。サーバに DNS エントリを作成するか、CAM の IP アドレスを使用してください。
b. 組織ユニット名には、その証明書を管理する組織 内 のグループを入力します( DOC など)。
c. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。
d. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。
e. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。
f. US など、2 文字の国コードを入力し、Enter キーを押します。
ステップ 13 値を確認し、Enter キーを押して SSL 証明書を生成するか、 n を入力して再起動します。
(注) 一時 SSL 証明書を生成しなければ、CAS Web コンソールにアクセスすることはできません。
ステップ 14 インストールした CAM の Linux オペレーティング システム用の root ユーザ パスワードを設定します(フィールド i. )。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH コンソール接続を通じてシステムにアクセスする際に使用します。
(注) デフォルト パスワードを変更して、強力なパスワード(6 文字以上、文字と数字の混在)を使用することを強く推奨します。
ステップ 15 設定が完了したら、Enter キーを押して、CAM をリブートします。リブート後は、Web コンソールを通じて CAM にアクセスできるようになります。
(注) service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。
a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。
b. CAM が応答しない場合は、SSH を使用して CAM へ接続してください。デフォルト ユーザ名およびパスワードの組み合わせ( root / cisco123 )で、接続してください。接続したら、デフォルト ゲートウェイへ ping を実行して、CAM が外部ネットワークに接続できるかどうか確認してください。
2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。
インストレーション後に、CAM の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAM 機器に接続し、CLI コマンド service perfigo config を使用してください。
ステップ 17 CAM を設定すると、CAM Web コンソールにアクセスして、製品ライセンスを追加できます。さらに、初期設定が完了した CAS を CAM に追加して管理および設定できます(「CAM Web コンソールへのアクセス」を参照)。「CAS コンフィギュレーション ユーティリティ スクリプトの実行」に進み、CAS を初期設定します。
CAS コンフィギュレーション ユーティリティ スクリプトの実行
ステップ 1 Cisco NAC-3310 または NAC-3350 SERVER アプライアンスに電源を投入します(「Cisco NAC アプライアンスの接続」を参照)。
ステップ 2 ユーザ root (デフォルト パスワード cisco123 )としてログインします。
ステップ 3 次のコンフィギュレーション ユーティリティの初期画面が表示されます。
(注) root でログインした後に、このプロンプトが表示されない場合は、「コンフィギュレーション ユーティリティの手動での再起動」を参照してください。
ステップ 4 最初のプロンプトで、CAS の eth0(信頼)インターフェイスの IP アドレスを入力して(CAS ワークシートのフィールド a. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。
(注) CAS の eth0 IP アドレスは 管理 IP アドレスと同じです。
ステップ 5 プロンプトが表示されたら、インターフェイス アドレスのサブネット マスク(フィールド b. )を入力するか、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。
ステップ 6 デフォルト ゲートウェイ アドレスを受け入れるか、または CAS の eth0 アドレスのデフォルト ゲートウェイを入力し(フィールド c. )、Enter キーを押します。プロンプトでデフォルト ゲートウェイを確認します。
ステップ 7 Vlan Id Passthrough プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、CAS のデフォルト動作として VLAN ID パススルーをディセーブルのままにします。デフォルトでは、インターフェイス経由で CAS に送信されるトラフィックから VLAN ID が除去されます。 y を入力すると、トラフィックが信頼ネットワークから非信頼ネットワークに送信される場合、VLAN ID は CAS を通過できます。
ステップ 8 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、管理 VLAN タギングをディセーブルのままにします(デフォルト)。あるいは、 Y を入力してから Enter キーを押して、eth0 インターフェイスでの管理 VLAN タギング(指定した VLAN ID を使用)をイネーブルにします。
(注) 管理 VLAN タギングが必要になるのは、バーチャル ゲートウェイ構成のように、CAS の信頼側がトランクである場合です。この場合は、管理 VLAN タギングをイネーブルにして、CAS の信頼インターフェイスが属する VLAN ID を指定します。
(注) CAM との基本接続を確立する場合は、CAS eth0 インターフェイス設定が必要です。CAS eth1 インターフェイス設定は、あとで CAM Web コンソールから再設定できます。
ステップ 9 CAS の eth1(非信頼)インターフェイスの IP アドレスを入力し(フィールド d. )、Enter キーを押します。プロンプトが表示されたら、値を確認します。エントリを訂正する場合は、 n を入力して Enter キーを押します。
(注) バーチャル ゲートウェイの場合、最も一般的に使用される eth1 アドレスは eth0 のアドレスです。ループを防止するために、Web コンソールで CAM に CAS を追加するまで、eth1 をネットワークに接続しないでください。詳細は、CAS のマニュアルを参照してください。
ステップ 10 eth1 インターフェイスのサブネット マスクを入力するか(フィールド e. )、または Enter キーを押してデフォルト値(255.255.255.0)を設定します。プロンプトに従って値を確認します。
ステップ 11 eth1 非信頼インターフェイスのデフォルト ゲートウェイ アドレスを入力します(フィールド f. )。
a. CAS が Real-IP または NAT ゲートウェイになる場合、このアドレスは CAS の非信頼インターフェイス eth1 の IP アドレスです。
b. CAS がバーチャル ゲートウェイになる場合、このアドレスは信頼インターフェイスで使用されるデフォルト ゲートウェイ アドレスと同じです。
ステップ 12 次のプロンプトで、 n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスの VLAN ID パススルーをディセーブルのままにします。
ステップ 13 Management VLAN Tagging プロンプトで n を入力してから Enter キーを押して(または単に Enter キーを押して)、eth1 インターフェイスでの管理 VLAN タギングをディセーブルのままにします(デフォルト)。
ステップ 14 CAS のホスト名を入力して、確認します(フィールド g. )。
ステップ 15 次のプロンプトでは、ご使用の環境の DNS サーバ の IP アドレスを入力するか(フィールド h. )、またはデフォルト値を受け入れます。
ステップ 16 プロンプトに CAM および CAS の共有秘密鍵を入力して、確認します(フィールド i. )。
ステップ 17 次の手順に従って、CAS の時間設定を指定します(フィールド j. )。
a. 大陸と海洋のリストから該当する地域を選択します。リストの該当地域の横に記載されている数字(たとえば、アメリカなら 2 )を入力し、Enter キーを押します。 GST-10 のように Posix TZ フォーマットでタイム ゾーンを入力する場合は 11 を入力します。
b. 次に、選択した地域の国のリストが表示されます。国のリストから該当する国(米国なら 45 )を選択し、Enter キーを押します。
c. その国に複数のタイム ゾーンがある場合は、その国のタイムゾーンが表示されます。
d. リストから該当するタイム ゾーンを選択し(太平洋標準時なら 19 )、Enter キーを押します。
e. 1 を入力して設定を確認します。設定を取り消してやり直す場合は、 2 を入力します。
ステップ 18 現在の日時を hh:mm:ss mm/dd/yy のフォーマットで入力して、確認します。
(注) CAS に設定された時刻は、CAM の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。ユーザ マシンに設定された時刻は、CAS の SSL 証明書に設定された作成日/満了日の範囲内でなければなりません。
ステップ 19 プロンプトに従って一時的な SSL セキュリティ証明書を設定し、CAS と信頼できない(管理対象)クライアント間でのログイン交換を保護します(フィールド k. を使用)。
a. 組織ユニット名には、その証明書を管理する組織 内 のグループを入力します( doc など)。
b. 組織名には、証明書を受領する組織名または会社名( Cisco Systems など)を入力し、Enter キーを押します。
c. その組織の法的所在地となっている市または郡の名前( San Jose など)を入力し、Enter キーを押します。
d. その組織の所在地を表す 2 文字の州コード( CA または NY など)を入力し、Enter キーを押します。
e. US など、2 文字の国コードを入力し、Enter キーを押します。
ステップ 20 値を確認してから Enter キーを押して、SSL 証明書を生成します。または、 n を入力して再起動します。
(注) 一時 SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスすることはできません。
ステップ 21 インストールした CAS の Linux オペレーティング システム用の root ユーザ パスワードを入力します(フィールド l. )。デフォルトのパスワードは、 cisco123 です。 root ユーザ アカウントは、直接接続、シリアル接続、または SSH 接続を通じてシステムにアクセスする際に使用します。
ステップ 22 CAS ダイレクト アクセス Web コンソールの admin ユーザ パスワードを入力します(フィールド m. )。CAS Web コンソールには CAS 固有の設定の一部が表示され、ハイ アベイラビリティの設定などに使用されます。
ステップ 23 設定が完了したら、Enter キーを押して、CAS をリブートします。
(注) service perfigo config を使用してコンフィギュレーション ユーティリティを起動した場合は、設定後に service perfigo reboot または reboot を入力してから Enter キーを押して、マシンをリブートする必要があります。
a. コマンドラインから、eth0 インターフェイス アドレスに ping を実行します。適切に作動していれば、そのインターフェイスは ping に応答します。
b. CAS が応答しない場合は、SSH を使用して CAS へ接続してください。デフォルト ユーザ名およびパスワードの組み合わせ( root / cisco123 )で、接続してください。接続したら、CAS からゲートウェイまたは外部 Web サイトへ ping を実行して、CAS が外部ネットワークに接続できるかどうか確認してください。
2 つのテストが失敗した場合は、IP アドレスを正確に設定したか、およびその他のネットワークの設定が適切であるか確認してください。
(注) 一時 SSL 証明書を生成しなければ、エンド ユーザとして CAS にアクセスすることはできません。使用環境へ設置する前に、CAS 用に CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。
インストレーション後に、CAS の初期設定をリセットする必要がある場合は、直接あるいは SSH を介して CAS 機器に接続し、CLI コマンド service perfigo config を使用してください。
ステップ 25 「CAM Web コンソールへのアクセス」の手順に進んでください。
SSL 証明書に関する重要事項
• CAM および CAS の初期設定中に、一時的な SSL 証明書を生成する必要があります。そうしないと、Cisco NAC アプライアンスに管理ユーザまたはエンド ユーザとしてアクセスできません。
• 実稼動環境に CAM または CAS を配置する前に、CAM および CAS マシン(または HA ペア)ごとに CA(認証局)から信頼できる証明書を取得して、一時証明書と置き換える必要があります。CAS に CA 署名付き証明書を使用すると、エンド ユーザがログインした場合に、セキュリティに関する警告が表示されなくなります。また、CAM に CA 署名付き証明書を使用すると、管理 Web ログインの場合に、セキュリティに関する警告が表示されなくなります。
• Certificate Signing Request(CSR)の基礎となる一時証明書を再生成する前に、Web コンソール インターフェイスを通じて、必ず CAM と CAS の時間を同期させてください。詳細については、CAM および CAS のマニュアルの「Set System Time」および「Manage SSL Certificates」を参照してください。
コンフィギュレーション ユーティリティの手動での再起動
インストール後に設定値をリセットする必要がある場合、または手動でコンフィギュレーション ユーティリティを開始する必要がある場合は、CAS または CAM で CLI コマンド service perfigo config を発行します。 service perfigo config を使用するときは、設定完了後に service perfigo reboot を入力してマシンをリブートする必要があります。
ステップ 1 ダイレクト コンソール接続、シリアル接続、または SSH を使用して、CAS または CAM に接続します。
ステップ 2 ユーザ root 、パスワード cisco123 (デフォルト)としてログインします。
ステップ 3 コマンド service perfigo config を実行します。
ステップ 4 デフォルト値を使用するか、すべてのプロンプトに新しい値を入力します(「コンフィギュレーション ユーティリティの実行」を参照)。
ステップ 5 設定が終了したら、 service perfigo reboot を入力し、マシンをリブートします。
CAM Web コンソールへのアクセス
CAM の Web 管理コンソールは、導入された Cisco NAC アプライアンスを管理するための主要インターフェイスです。初期設定が完了したら、次の手順に従って、CAM Web コンソールにアクセスします。
ステップ 1 ネットワークを通じて CAM にアクセス可能なコンピュータで Web ブラウザを起動します (Microsoft Internet Explorer 6.0 および 7.0 がサポートされています)。
ステップ 2 URL/アドレス フィールドに、CAM の IP アドレス(DNS サーバに必要なエントリを作成した場合はホスト名)を入力します。
ステップ 3 一時的な SSL 証明書を使用している場合は、セキュリティの警告と、証明書を受け入れるよう求めるプロンプトが表示されます。[Yes] をクリックして証明書を受け入れます (署名つきの証明書を使用している場合、セキュリティ ダイアログは表示されません)。
CAM ライセンスのインストール
ステップ 4 インストレーションおよび初期設定の終了後、CAM Web コンソールに初めてアクセスする際、[Clean Access Manager License Form] が表示されます(図 14を参照)。製品のライセンス ファイルを取得して、CAM Web コンソールにアクセスしている PC/ラップトップのディスクに保存する必要があります。製品および評価版ライセンスの取得方法の詳細については、『 Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。
(注) ライセンスの取得に役立つように、フォーム上部に CAM の eth0 MAC アドレスが表示されます。
図 14 Clean Access Manager License Form
ステップ 5 [Clean Access Manager License File] フィールドで [Browse] ボタンをクリックして、CAM 用に受領したライセンス ファイルを探し、[Install License] ボタンをクリックします。
(注) CAM Failover(HA)ライセンスを購入してある場合は、プライマリ CAM に Failover ライセンスをインストールしてから、その他のすべてのライセンスをロードします。このようにすると、CAM HA ペアのアップグレードが容易になります。
ステップ 6 ライセンスが受け入れられると、Web 管理コンソール ウィンドウ(図 15)が開きます。初期インストールで設定した Web 管理ユーザ名(デフォルトは admin )とパスワード(デフォルトは cisco123 )を入力し、[Login] をクリックします。
ステップ 7 [Monitoring Summary] ページが開き、左側にナビゲーション ペインが表示されます(図 16)。
ライセンスの追加
ステップ 8 CAS ライセンスを追加するには、CAM Web 管理コンソールで [Administration] > [CCA Manager] > [Licensing](図 17)の順番に進みます。
ステップ 9 [Clean Access FlexLM License File(s)] フィールドで [Browse] をクリックして、CAS または CAS バンドルのライセンス ファイルを探し、[Install License] をクリックします。ページ上部に、ライセンスのインストールの成功/失敗、追加したライセンスのタイプ、および(CAS ライセンスの場合)サーバの増加数を示すグリーンの確認テキストが表示されます(たとえば、「License added successfully.CCA Manager License added.Out-of-Band Server Count is now 20.」など)。ページ下部のステータス テキストには、Lite、Standard、または Super Manager ライセンスの有無、ライセンスが Failover かどうか、および IB または OOB CAS ライセンス数が示されます。
(注) HA-CAS マシンには、Manager Failover ライセンスが必要です。Manager Failover ライセンスをインストールした場合、サーバ数はスタンドアロン CAS 1 つ分または HA-CAS ペア 1 つ分だけ増加します。
ステップ 10 インストールする必要のあるライセンス ファイルごとに、ステップ 9を行います(Customer Registration Form に入力した PAK ごとにライセンス ファイルが 1 つ届いているはずです)。このページの下部の Server Count 情報には、ライセンス ファイルの正常インストールによって利用可能となった CAS の合計数が表示されます。
(注) [Remove All Licenses] ボタンをクリックすると、すべての FlexLM ライセンス ファイルがシステムから削除されます。ライセンス ファイルを個別に削除することはできません (すべてのラインセンスを削除して、再インストールした場合、認証されたユーザトラフィックは引き続き通過します)。
Web 管理コンソールにアクセスできるようにするには、CAM ライセンスを導入する必要があります。
詳細については、『Cisco NAC Appliance Service Contract/Licensing Support』を参照してください。
ステップ 11 これで、ライセンスはインストールされました。CAM Web コンソールを使用して、構成の設定を継続できます。設定の詳細については、次のマニュアルを参照してください。
– 『 Cisco NAC Appliance Configuration Quick Start Guide, Release 4.1 』
– 『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』
– 『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』
ステップ 12 Web コンソールからログアウトするには、コンソールの右上にある管理セッションの [Logout] ボタンをクリックするか、またはブラウザを閉じます。
(注) CAM Web コンソールは CAM ドメイン内の CAS をすべて管理します。CAS ダイレクト アクセス Web コンソール(https://<CAS IP アドレス>/admin)を介して、特定の CAS の設定の一部、または高度な設定にアクセスできます。CAS ダイレクト アクセス コンソールは通常、HA などの高度な設定の場合に限って使用します。
CLI コマンドの使用方法
Cisco NAC アプライアンスのコマンドライン インターフェイス(CLI)を使用すると、Web コンソールを使用できない場合(ネットワークまたは VLAN 設定が間違っている場合など)に、CAM または CAS マシンに基本的な動作パラメータを直接設定できます。表 5 に、一般に使用される CLI コマンドを示します。これらのコマンドを実行するには、KVM、SSH、またはシリアル コンソールを介して Cisco NAC アプライアンスにアクセスし、ユーザ root (デフォルト パスワード cisco123 )としてログインします。
CAM または CAS のネットワーク設定を変更するためのコンフィギュレーション ユーティリティを起動します。変更が完了したら、 service perfigo reboot または reboot を実行して、変更した設定でアプライアンスをリセットします。 |
|
CAM または CAS を起動します。このコマンドを使用するには、アプライアンスを停止する必要があります。アプライアンスが稼動している場合は、警告メッセージが表示されます。 |
|
CAM または CAS の Clean Access サービスをシャットダウンします。
(注) 管理 VLAN が設定されている場合にこのコマンドを実行すると、CAS のネットワーク接続が切断されます。 |
|
CAS をメンテナンス モードに設定します。メンテナンス モードでは、基本 CAS ルータのみが稼動して、VLAN タグ付きパケットを引き続き処理します。 このコマンドを使用すると、管理 VLAN 経由の通信が可能になります。このコマンドは、CAS がトランク モードになっていて、ネイティブ VLAN と管理 VLAN が異なる環境で使用します。 |
|
CAS が標準的な SERVER アプライアンスか Cisco ISR ルータ シャーシに搭載された Cisco NAC ネットワーク モジュールであるかを表示します。コマンド出力では、プラットフォ―ムの設定として「APPLIANCE」または「NME-NAC」と表示されます。 注 :このクイック スタート ガイドでは、Cisco NAC ネットワーク モジュール(NME-NAC-K9)のインストレーションおよび設定については説明しません。Cisco NAC ネットワーク モジュールについては、『 Getting Started with NAC Network Modules in Cisco Access Routers 』を参照してください。 |
|
CAM または CAS の Clean Access サービスをシャットダウンして、再起動します。このコマンドは、稼動中のサービスを再起動する場合に使用します。
(注) ハイ アベイラビリティ(フェールオーバー)をテストする際に、service perfigo restart を使用しないでください。フェールオーバーをテストするアプライアンスには、代わりに shutdown や reboot Linux コマンド、または service perfigo stop および service perfigo startCLI コマンドを使用します。 |
|
追加 NIC カードの設定
コンフィギュレーション ユーティリティ スクリプトでは、CAM および CAS マシンに eth0(NIC1)および eth1(NIC2)インターフェイスがデフォルトで装備されていて、初期インストール中にこれらを設定する必要があります。システムに追加の NIC(NIC3、NIC4 など)が搭載されている場合は、次の手順に従って、これらのカードに追加インターフェイス(eth2、eth3 など)を設定できます。通常、CAS システムをハイ アベイラビリティ構成に設定する場合は、eth2 を設定する必要があります。HA の場合、適切なアドレッシングを設定した eth2(NIC3)インターフェイスは、HA-CAS 専用の UDP ハートビート インターフェイスとして設定できます。
(注) Cisco NAC アプライアンス ハードウェア プラットフォームに関する次の手順では、NIC が搭載されていて、「機能している」(つまり、BIOS および Linux で認識されている)ことが前提となります。
追加 NIC の設定手順
ステップ 1 NIC が Linux で認識されているか確認するには、 ifconfig eth n を入力します( n はインターフェイス番号)。たとえば、イーサネット インターフェイスが 2 つ(eth0 および eth1)内蔵されているシステムに NIC を追加する場合、 n は 2 です。したがって、 ifconfig eth2 と入力します。
ステップ 2 MAC アドレスや送受信カウンタなどのインターフェイス情報が表示されることを確認します。この場合、インターフェイスが Linux で認識されていて、使用できる状態です。
ステップ 4 次のように vi を使用して、インターフェイスの ifcfg-eth n ファイルを編集します。
ステップ 5 ファイルに次の行を追加し、 IPADDR 、 NETMASK 、 BROADCAST 、および NETWORK 値をネットワークの実際の値で置き換えます。
ステップ 6 ファイルを保存して、システムをリブートします。これで、ネットワーク インターフェイスを HA に使用できます。
(注) NIC カードが BIOS で認識されない場合は(アプライアンス以外のサーバ マシンの場合など)、製造元の推奨設定に従って、IRQ/メモリ設定を調整する必要があります。
BIOS で認識された NIC は、ソフトウェア(Linux)で自動的に認識されます。何らかの理由により、NIC が BIOS で認識されているにもかかわらず、Linux で認識されない場合は、システムにログインして kudzu を実行してください。NIC の設定を支援するユーティリティが起動します。
(注) CAM/CAS インターフェイスには固定 IP アドレスを設定する必要があります。これらのインターフェイスでは、DHCP モードはサポートされていません。
HA の詳細な設定方法については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide 』および『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide 』の「Configuring High Availability (HA)」の項を参照してください。
マニュアルの入手方法およびテクニカル サポート
マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。
フィードバック