• NAC アウトオブバンド統合には、CCA のソフトウェア リリース 4.5 以降が必要です。

• NAC アプライアンスでは静的な VLAN マッピングがサポートされているため、 コントローラ上で設定されているインターフェイスごとに一意の隔離 VLAN を設定する必要があります。 たとえば、 コントローラ 1 で 110 という隔離 VLAN を設定し、 コントローラ 2 で 120 という隔離 VLAN を設定します。 ただし、2 つの WLAN またはゲスト LAN が、コントローラのダイナミック インターフェイスとして同一の VLAN を使用している場合、ネットワーク内に導入された NAC アプライアンスが 1 つのときは、同じ隔離 VLAN を使用する必要があります。 NAC アプライアンスは、一意の隔離 - アクセス VLAN マッピングをサポートします。

• セッションの失効に基づくポスチャ再評価の場合、NAC アプライアンスと WLAN の両方にセッション タイムアウトを設定し、WLAN でのセッションの失効が NAC アプライアンスでの失効より大きいことを確認します。

• オープン WLAN でセッション タイムアウトが設定されると、Quarantine 状態にあるクライアントのタイムアウトは NAC アプライアンスのタイマーによって判定されます。 Web 認証を使用する WLAN においてセッションがタイムアウトすると、クライアントは コントローラから認証解除されるため、ポスチャ検証を再度実行する必要があります。

• レイヤ 2 およびレイヤ 3 認証はすべて、隔離 VLAN で実行されます。 外部 Web 認証を使用するには、外部 Web サーバからの HTTP トラフィックおよび外部 Web サーバへの HTTP トラフィックを許可するとともに、隔離 VLAN でのリダイレクト URL を許可するように NAC アプライアンスを設定する必要があります。

  （注）	設定の手順については、『Cisco NAC appliance configuration guides』を参照してください：http:/​/​www.cisco.com/​en/​US/​products/​ps6128/​products_​installation_​and_​configuration_​guides_​list.html。

• アクセス ポイント グループ VLAN 上で NAC を有効にする場合は、WLAN で NAC をまず有効にする必要があります。 アクセス ポイント グループ VLAN では、NAC を有効または無効にすることができます。 WLAN で NAC を無効にすることに決めた場合は、アクセス ポイント グループ VLAN でも NAC を必ず無効にします。

• NAC アプライアンスは最大 3,500 のユーザをサポートし、コントローラは最大 5,000 のユーザをサポートします。 複数の NAC アプライアンスの導入を必要とする場合があります。

• アクセス ポイント グループ VLAN 上で NAC を有効にする場合は、WLAN で NAC をまず有効にする必要があります。 アクセス ポイント グループ VLAN では、NAC を有効または無効にすることができます。 WLAN で NAC を無効にすることに決めた場合は、アクセス ポイント グループ VLAN でも NAC を必ず無効にします。

• NAC アプライアンスは最大 3,500 のユーザをサポートし、コントローラは最大 5,000 のユーザをサポートします。 複数の NAC アプライアンスの導入を必要とする場合があります。

• コントローラの 5.1 以前のソフトウェア リリースでは、コントローラはインバンド モードでのみ NAC アプライアンスと統合します。この場合、NAC アプライアンスはデータ パス内になければなりません。 インバンド モードでは、各認証場所で（たとえば、各ブランチで、またはコントローラごとに）、NAC アプライアンスが必要であり、すべてのトラフィックが NAC 適用ポイントを通過する必要があります。 コントローラのソフトウェア リリース 5.1 以降では、コントローラはアウトオブバンド モードで NAC アプライアンスと統合できます。この場合、NAC アプライアンスは、クライアントが解析およびクリーニングされるまでデータ パスに保持されます。 アウトオブバンド モードでは NAC アプライアンスのトラフィック負荷が削減されるので、NAC 処理の集中化が可能になります。

• NAC アウトオブバンド統合がサポートされるのは、WLAN が FlexConnect の中央スイッチングを行うように設定されている場合だけです。 FlexConnect のローカル スイッチングを行うように設定されている WLAN での使用はサポートされていません。

Cisco Clean Access（CCA）とも呼ばれる Cisco NAC アプライアンスはネットワーク アドミッション制御（NAC）製品です。この製品を使用して、ネットワーク管理者は、ユーザをネットワークに許可する前に、有線、無線、およびリモート ユーザおよびマシンを認証、許可、評価、修正できます。 NAC アプライアンスは、マシンがセキュリティ ポリシーに準拠しているかどうかを判別し、脆弱性を修復してから、ネットワークへのアクセスを許可します。

NAC アプライアンスは、インバンド モードとアウトオブバンド モードの 2 つのモードで利用できます。 お客様は、必要ならば両方のモードを導入して、それぞれが特定のタイプのアクセスを担当するようにすることもできます。たとえば、インバンドで無線接続ユーザをサポートし、アウトオブバンドで有線接続ユーザを担当するといった構成も可能です。

コントローラ上に NAC アウトオブバンド機能を実装するには、WLAN またはゲスト LAN 上で NAC のサポートを有効にしてから、この WLAN またはゲスト LAN を、隔離 VLAN（信頼できない VLAN）およびアクセス VLAN（信頼できる VLAN）で設定されたインターフェイスにマッピングする必要があります。 クライアントは、アソシエートしてレイヤ 2 認証を完了すると、アクセス VLAN サブネットから IP アドレスを取得しますが、クライアントの状態は Quarantine となります。 NAC アウトオブバンド機能の導入中は、コントローラが接続されたレイヤ 2 スイッチと NAC アプライアンスとの間でのみ隔離 VLAN が許可されること、および NAC アプライアンスが一意の隔離 - アクセス VLAN マッピングで設定されていることを確認します。 クライアントのトラフィックは、NAC アプライアンスにトランクされた隔離 VLAN に渡されます。 ポスチャ検証が終了すると、クライアントは修復のための処置を実行するように促されます。 クリーニングが完了すると、NAC アプライアンスはコントローラを更新してクライアントの状態を Quarantine から Access へ変更します。

図 1. NAC アウト オブ バンド統合の例.

コントローラとスイッチとの間のリンクをトランクとして設定することにより、隔離 VLAN（110）とアクセス VLAN（10）を有効にしています。 レイヤ 2 スイッチ上では、隔離トラフィックが NAC アプライアンスにトランクされ、アクセス VLAN トラフィックがレイヤ 3 スイッチに直接送信されます。 NAC アプライアンス上の隔離 VLAN に到達するトラフィックは、静的なマッピング設定に基づいてアクセス VLAN にマップされます。