Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: NAC の設定
- NAC の概要
- NAC のライセンス要件
- NAC の前提条件
- NAC の注意事項および制限事項
- NAC の設定
- NAC の設定プロセス
- EAPoUDP のイネーブル化
- EAPoUDP のデフォルト AAA 認証方式のイネーブル化
- インターフェイスへの PACL の適用
- インターフェイスでの NAC のイネーブル化
- アイデンティティ ポリシーおよびアイデンティティ プロファイル エントリの設定
- クライアントレス エンドポイント装置の検証
- EAPoUDP のロギングのイネーブル化
- EAPoUDP のグローバル最大リトライ回数の変更
- 個別インターフェイスの EAPoUDP 最大リトライ回数の変更
- EAPoUDP の UDP ポートの変更
- EAPoUDP ポスチャ検証の同時セッション数に関するレート制限の設定
- グローバル自動ポスチャ再検証の設定
- 個別インターフェイスでの自動ポスチャ再検証の設定
- EAPoUDP グローバル タイマーの変更
- 個別インターフェイスでの EAPoUDP タイマーの変更
- EAPoUPD グローバル設定のデフォルト値へのリセット
- 個別インターフェイスにおける EAPoUPD 設定のデフォルト値へのリセット
- IP デバイス トラッキングの設定
- IP デバイス トラッキングのクリア
- 手動による EAPoUDP セッションの初期化
- 手動による EAPoUDP セッションの再検証
- EAPoUDP セッションのクリア
- EAPoUDP セッションのディセーブル化
- NAC の設定の確認
- NAC 設定例
- デフォルト設定
- その他の参考資料
NAC の設定
この章では、NX-OS デバイス上で Network Admission Control(NAC)を設定する手順を説明します。
NAC の概要
NAC を使用すると、エンドポイント装置のネットワーク アクセスを許可する前に、エンドポイント装置のセキュリティ適合性と脆弱性をチェックできます。このセキュリティ適合性のチェックのことを、 ポスチャ検証 といいます。ポスチャ検証により、ワーム、ウイルス、およびその他の不正アプリケーションがネットワーク全体に拡散するのを防ぎます。
NAC は、エンドポイント装置がネットワークの保護された領域にアクセス可能になる前に、エンドポイント装置のポスチャ(状態)がセキュリティ ポリシーに適合しているかどうかを検証します。装置がセキュリティ ポリシーに適合する場合は、ネットワークの保護されたサービスにアクセスすることが許可されます。装置がセキュリティ ポリシーに適合しない場合は、修復専用のネットワークにアクセスが許可されます。修復ネットワークでは装置のポスチャが再度チェックされます。
NAC 装置のロール
NAC は、ネットワーク上の各装置にロールを割り当てます。図8-1 に、NAC 装置のロールを持つネットワークの例を示します。
NAC は、次のネットワーク装置のロールをサポートしています。
•
エンドポイント装置 ― NX-OS デバイスのアクセス ポートに直接接続される PC、ワークステーション、またはサーバなどのネットワークのシステムまたはクライアントです。エンドポイント装置では Cisco Trust Agent(CTA)ソフトウェアが稼働し、LAN およびスイッチのサービスへのアクセスを要求し、スイッチからの要求に応答します。エンドポイント装置はウィルスの感染源である可能性があり、NAC はエンドポイント装置にネットワーク アクセスを許可する前に、アンチウイルス ステータスを検証する必要があります。
(注) CTA ソフトウェアは、ポスチャ エージェントまたはアンチウイルス クライアントとも呼ばれます。CTA ソフトウェアの詳細については、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/sw/secursw/ps5057/index.html
• Network Access Device(NAD) ― ネットワーク エッジで検証サービスの提供およびポリシーの適用、クライアントのアクセス ポリシーに基づいてネットワークへの物理アクセスを制御する Cisco NX-OS デバイスです。NAD は、エンドポイントと認証サーバの間で Extensible Authentication Protocol(EAP)メッセージをリレーします。
NAD は、ネットワークに対する新しい接続を検出すると、ポスチャ クレデンシャルを照会します。エンドポイント装置に Posture Agent(PA)がインストールされている場合は、インバンド ポスチャ検証を実行します。NAD は、エンドポイント装置と AAA サーバとの間で、ポスチャ検証情報の交換に関するすべてのメッセージのリレー エージェントとして動作します。PA が見つからない場合は、監査サーバを介してアウトオブバンド ポスチャ検証を実行します。
(インバンドかアウトバンドかにかかわらず)ポスチャ検証情報の交換が完了すると、NAD はどのホストが NAD 装置を経由してネットワークの宛先にアクセスできるかを、AAA サーバから受信したネットワーク アクセス プロファイルに基づいて制御します。ネットワーク アクセス プロファイルは、次のいずれかの形式をとります。
–Access Control List(ACL; アクセス コントロール リスト) ― NAC プロセスとは無関係にすべてのホストに付与されるデフォルト アクセス(DHCP サーバ、修復サーバ、監査サーバなどへのアクセス)に加えて、このホストが到達可能な宛先とそのトラフィック タイプを指定します。
NAD は、次のタイミングでポスチャ検証プロセスをトリガーします。
–PA によるポスチャの変更の通知(PA を備えるエンドポイント装置のみ対象)
Cisco NX-OS デバイスの場合、EAP のカプセル化の情報は User Datagram Protocol(UDP; ユーザ データグラム プロトコル)に基づいています。UDP は、EAP over UDP(EAPoUDP または EoU)フレームの形で使用されます。
• 認証サーバ ― 実際のクライアント認証を行うサーバのことです。認証サーバはクライアントのアンチウイルス ステータスを検証し、アクセス ポリシーを確定し、LAN および NAD サービスへのアクセスをクライアントに許可するかどうかを NAD に通知します。NAD はプロキシとして動作するため、NAD と認証サーバの間の EAP メッセージ交換は、NAD に対しては透過的に行われます。
Cisco NX-OS デバイスは、RADIUS、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)、および EAP 拡張機能を備えた Cisco Secure Access Control Server(ACS)Version 4.0 以降をサポートします。
• ポスチャ検証サーバ ― ポスチャ クレデンシャル セットをポリシー ルール セットに照らして許可する際に、NAC においてアプリケーション固有のポリシー デシジョン ポイントとして動作するサードパーティ製のサーバです。ポスチャ検証サーバは、認証サーバから要求を受信します。
NAC のポスチャ検証
ポスチャ検証は、ネットワーク リソースへの接続または使用を試みるエンドポイント装置を NAC 対応の NAD が検出したときに行われます(図8-2 を参照)。新しいエンドポイント装置を検出すると、NAD はエンドポイント装置のネットワーク アクセス プロファイルを AAA サーバ(Cisco Secure ACS など)に要求します。
AAA サーバは、エンドポイント装置に PA がインストールされているかどうかを確認します。エンドポイント装置に PA(Cisco Trust Agent など)が存在すれば、AAA サーバは NAD を経由してエンドポイント装置にポスチャ情報を要求します。エンドポイント装置は、AAA サーバにポスチャ クレデンシャル セットを使用して応答します。AAA サーバは、このポスチャ情報をローカルで検証するか、あるいは 1 つまたは複数の外部ポスチャ検証サーバにポスチャ検証処理を任せます。
エンドポイント装置に PA が存在しなければ、AAA サーバは監査サーバに別な手段(フィンガープリントやポート スキャンなど)でポスチャ情報を収集するように要求できます。また、AAA サーバは監査サーバに、収集した情報を検証しポスチャ検証結果を返すように要求することもできます。
AAA サーバは、これらのソースからのポスチャ検証結果を集約し、エンドポイント装置がネットワーク ポリシーに準拠しているかどうかを基に許可の判定を行います。AAA サーバは、エンドポイント装置のネットワーク アクセス プロファイルを確定すると、そのプロファイルを NAD に送信してエンドポイント装置の許可を適用できるようにします。
AAA サーバによるエンドポイント装置のクレデンシャルの検査では、1 つまたは複数の Application Posture Token(APT)が生成されます。APT は、ベンダー アプリケーションの適合性チェックを表しています。AAA サーバは、各ポスチャ検証サーバからすべての APT を集約し 1 つの System Posture Token(SPT)にまとめます。この SPT は、エンドポイント装置の総合適合性を表しています。SPT の値は、APT セットの中の最も不良な APT に基づいています。APT および SPT は、どちらも次の既定のトークンを使用して表されます。
• healthy ― エンドポイント装置はポスチャ ポリシーに適合しており、この装置に課せられる規制はありません。
• checkup ― エンドポイント装置はポリシーの範囲内にありますが、最新のソフトウェアが使用されていないため、アップデートを推奨します。
• transition ― エンドポイント装置はポスチャの検証を受けている途中であり、その検証結果が出るまで暫定的にアクセスが許可されています。transition は、ホストがブート中のため完全なポスチャ情報を入手できない、または完全な監査結果が得られない場合の状態です。
• Quarantine ― エンドポイント装置はポリシーに適合していません。この装置を検疫ネットワークに規制して修復する必要があります。他のエンドポイント装置にただちに脅威となるわけではありませんが、この装置は攻撃やウイルス感染に脆弱であり、できるだけ早急にアップデートする必要があります。
• Infected ― エンドポイント装置は他のエンドポイント装置に実際の脅威となっています。ネットワーク アクセスを厳格に規制し、この装置に修復処置を施すか、この装置へのすべてのネットワーク アクセスを禁止する必要があります。
• Unknown ― AAA サーバは、エンドポイント装置のポスチャ クレデンシャルを確認できません。適切なポスチャ クレデンシャルを取得しネットワーク アクセス許可の評価ができるように、エンドポイント装置の完全性を確認する必要があります。
IP デバイス トラッキング
IP デバイス トラッキングを使用すると、AAA サーバが使用できない場合でも、エンドポイント装置を引き続いてネットワークに接続できます。NAC の一般的な導入では、Cisco Secure ACS を使用してクライアントの状態(ポスチャ)が検証され、ポリシーが NAD に返されます。
• AAA が使用できない間、エンドポイント装置は制限があるにしても、ネットワークへの接続は維持されます。
• AAA サーバが再び使用可能になると、ユーザは再検証を受けることができ、ACS からユーザのポリシーをダウンロードできます。
(注) AAA サーバの停止時は、ホストに既存のポリシーが関連付けられていない場合にのみ、NAD は IP デバイス トラッキング ポリシーを適用します。通常、再検証中に AAA サーバが停止した場合は、NAD はエンドポイント装置に使用されている現行のポリシーを保持します。
NAC LPIP 検証
NAC LAN Port IP(LPIP)検証では、レイヤ 3 トランスポート EAPoUDP を使用してポスチャ検証情報が伝送されます。LPIP 検証には、次の特徴があります。
• レイヤ 2 ポート上でのみ動作し、レイヤ 3 ポート上では動作できません。
• ポート上で IP トラフィックを送信するすべてのホストがポスチャ検証の対象になります。
LPIP 検証では、DHCP メッセージまたは Address Resolution Protocol(ARP; アドレス解決プロトコル)メッセージのスヌーピングによりアドミッション コントロールをトリガーします。データ パスでの IP パケットの代行受信は使用されません。LPIP 検証では ACL を使用してポリシーを適用します。
図8-3 に示すように、LPIP 検証では 1 つの NAD ポートに接続された 1 つのホスト、または同一 NAD ポートに接続された複数のホストを処理できます。
LPIP 検証をイネーブルにすると、EAPoUDP は IPv4 トラフィックのみサポートします。NAD はエンドポイント装置またはクライアントのアンチウイルス ステータスをチェックして、アクセス制御ポリシーを適用します。
• 「ポスチャ検証」
ポスチャ検証
1 つまたは複数のエンドポイント装置が接続されるポートで LPIP 検証をイネーブルにすると、Cisco NX-OS デバイスは DHCP スヌーピングおよび ARP スヌーピングを使用して、接続されたホストを識別します。NX-OS デバイスは、ARP パケットを受信したあと、または DHCP スヌーピングのバインディング エントリを作成したあとにポスチャ検証を開始します。デフォルトでは、接続されたホストの検出には ARP スヌーピングが使用されます。DHCP スヌーピング バインディング エントリが作成されたときに NAD にホストを検出させるには、DHCP スヌーピングをイネーブルにする必要があります( 第 14 章「DHCP スヌーピングの設定」 を参照)。
ポスチャ検証のトリガー
LPIP 検証では、ARP スヌーピングを使用して、ダイナミックに取得した IP アドレスを持つホストまたはスタティックに設定された IP アドレスを持つホストを検出します。NAD が未知のホストからの ARP 要求を受信すると、ポスチャ検証をトリガーします。インターフェイスで DHCP スヌーピングがイネーブルになっている場合には、NAD に DHCP バインディング エントリが作成されるとポスチャ検証がトリガーされます。DHCP パケットは ARP 要求が送信される前に交換されるので、DHCP スヌーピングのほうがわずかに早く応答します。ARP スヌーピングと DHCP スヌーピングの両方が、同じホストのポスチャ検証をトリガーすることがあります。その場合、DHCP スヌーピング バインディングの作成によって起動されたトリガーが、ARP スヌーピングに優先します。
(注) DHCP スヌーピングと ARP スヌーピングを使用してホストの存在を検出する場合、悪意あるホストがスタティック ARP テーブルを設定してポスチャ検証をバイパスする可能性があります。この種の脅威から保護するために、ポートで IP ソース ガードをイネーブルにします。IP ソース ガードを使用すると、未認証のホストによるネットワークへのアクセスを防ぐことができます。(第 16 章「IP ソース ガードの設定」 を参照)。
ポスチャ検証の方法
ホストのポスチャ検証がトリガーされると、次のいずれかの方法を使用してホストに適用するポリシーを指定できます。
• 「例外リスト」
例外リスト
例外リストには、ローカル プロファイルとポリシー設定が含まれます。IP アドレスまたは MAC アドレスに基づいて装置をスタティックに許可または検証する場合は、アイデンティティ プロファイルを使用します。アイデンティティ プロファイルはローカル ポリシーに関連付けし、ローカル ポリシーにアクセス制御アトリビュートを指定できます。
例外リストを使用すると、特定のエンドポイント装置のポスチャ検証をバイパスして、スタティックに設定したポリシーを適用できます。ポスチャ検証がトリガーされると、NAD は例外リストのホスト情報をチェックします。例外リストと一致した場合、NAD はそのエンドポイント装置用に設定されたポリシーを適用します。
EAPoUDP
エンドポイント装置が例外リストと一致しなかった場合、NAD は EAPoUDP パケットを送信してポスチャ検証を開始します。ポスチャ検証の実行中、NAD はデフォルトのアクセス ポリシーを適用します。NAD が EAPoUDP メッセージをホストに送信し、ホストがこのアンチウイルス状態要求メッセージに応答すると、NAD は受信した EAPoUDP 応答を Cisco Secure ACS に転送します。NAD が所定の回数試行してもホストから応答が得られない場合、このホストを非応答として分類します。ACS がクレデンシャルを検証すると、認証サーバが Access-Accept または Access-Reject メッセージを NAD に返します。NAD は EAPoUDP セッション テーブルを更新し、アクセス制限事項を適用します。これにより不適切なポスチャのエンドポイント装置は、隔離され検疫されるか、ネットワーク アクセスを拒否されます。
(注) Access-Reject メッセージは、EAPoUDP 情報の交換が失敗したことを意味します。これは、エンドポイント装置のポスチャが不適切であるという意味ではありません。
Access-Accept メッセージの場合は、NAD は Policy-based ACL(PACL)名を含むポリシーを適用し、EAP 再検証タイマーとステータス クエリー タイマーを開始します。PACL の詳細については、「ACL を使用したポリシーの適用」を参照してください。
Access-Preject メッセージの場合は、NAD はホストの適用ポリシーをすべて削除し、エンドポイント装置を既定の時間(ホールド タイマー)、Held ステートにします。ホールド タイマーの期限が切れると、エンドポイント装置は再検証されます。
(注) エンドポイント装置の DHCP スヌーピング バインディング エントリを削除すると、NAD はセッション テーブルからこのクライアントのエントリを削除します。これ以降、このクライアントは認証されません。
ACL を使用したポリシーの適用
LPIP 検証では、ポリシーの適用に PACL を使用します。
NAD は、ポリシー検証に失敗(AAA サーバが Accept-Reject メッセージを送信)すると PACL を適用します。デフォルト ポリシーでは、ポートに適用されるアクティブな MAC ACL が使用されます(Port ACL [PACL] とも呼ばれます)。アクティブ MAC ACL には、スタティックに設定された PACL、または 802.1X 認証に基づいた AAA サーバ指定の PACL を使用できます。
PACL には、エンドポイント装置の IP アドレスのリストに展開されるグループを定義します。通常、PACL にはエンドポイント装置の IP アドレスを含みます。NAD は特定のグループを使用してエンドポイント装置を分類すると、そのエンドポイント装置に対応する IP アドレスを該当するグループに追加します。これにより、ポリシーがエンドポイント装置に適用されます。
NAD ポートの LPIP 検証を定義する場合は、その NAD ポートにデフォルトの PACL も定義する必要があります。また、そのデフォルト ACL を、ポスチャ検証が未完了のホストの IP トラフィックに適用するようにしてください。
NAD にデフォルト ACL が設定されていて、Cisco Secure ACS がホストのアクセス ポリシーを NAD に送信した場合、NAD は NAD ポートに接続されているそのホストからのトラフィックにこのポリシーを適用します。ポリシーがトラフィックに適用される場合、NAD はそのトラフィックを転送します。ポリシーが適用されない場合、NAD はデフォルトの ACL を適用します。ただし、NAD が Cisco Secure ACS からエンドポイント装置のアクセス ポリシーを取得しても、デフォルト ACL が設定されていないと、LPIP 検証の設定は有効になりません。
(注) DHCP スヌーピングと ARP スヌーピングは、どちらも VLAN 単位でイネーブルになります。ただし、NAC レイヤ 2 ポスチャ検証によりダウンロードされるセキュリティ ACL は、ポート単位で適用されます。その結果、これらの機能がいずれかの VLAN でイネーブルになると、DHCP パケットと ARP パケットはすべて代行受信されます。
監視サーバおよび非応答ホスト
PA(Cisco Trust Agent)が稼働していないエンドポイント装置は、NAD から要求されてもクレデンシャルを提供できません。このような装置を、エージェントレスまたは非応答と表現します。
NAC アーキテクチャは監査サーバをサポートしており、これを使用してエージェントレス エンドポイント装置を検証します。監査サーバは、エンドポイント装置に PA がない場合でもそのセキュリティ適合性を調査、スキャン、および判別できるサードパーティ製サーバです。監査サーバの検査結果をアクセス サーバに反映させることができるので、エンドポイント装置固有のネットワーク アクセス ポリシーの適用が可能になり、すべての非応答エンドポイント装置に共通の制限ポリシーを適用する必要がありません。任意のサードパーティ製監査処理を NAC アーキテクチャに統合することで、より堅牢なホスト監査および検査機能を構築できます。
図8-4 は、一般的なトポロジに監査サーバを組み込む方法を示します。
NAC は、監査サーバが到達可能になっていて、エンドポイント装置が監査サーバと通信できることを前提としています。ポスチャ検証が設定された NAD を経由してエンドポイント装置がネットワーク アクセスを行うと、NAD は AAA サーバ(Cisco Secure ACS)に、このホストに適用するアクセス ポリシーを要求します。AAA サーバは、外部の監査サーバによるホストのスキャンをトリガーするように設定できます。監査サーバによるスキャンは非同期に行われ、完了までに数秒かかります。スキャンの実行中、AAA サーバは、適用を行う最小限の制限セキュリティ ポリシーと短時間のポーリング タイマー(セッション タイムアウト)を NAD に伝送します。監査サーバから結果が返されるまで、NAD は所定の時間間隔で AAA サーバをポーリングします。AAA サーバは監査結果を受け取ると、監査結果に基づいてアクセス ポリシーを計算し、NAD からの次の要求で、適用に必要なこのポリシーを NAD に送信します。
NAC タイマー
ホールド タイマー
ホールド タイマーは、EAPoUDP セッションの失敗を検証する試みのあとに、次の新規セッションがすぐに開始されないように抑制します。NAC はこのタイマーを、Cisco Secure ACS が Accept-Reject メッセージを NAD に送信した場合だけに使用します。ホールド タイマーのデフォルト値は 180 秒(3 分)です。
EAPoUDP セッションの検証が失敗するのは、ホストのポスチャ検証が失敗した場合、セッション タイマーの期限が切れた場合、NAD または Cisco Secure ACS が無効なメッセージを受信した場合などです。NAD または認証サーバが無効なメッセージを連続して受信する場合は、悪意あるユーザが DoS 攻撃(サービス拒絶攻撃)を仕掛けようとしている可能性もあります。
AAA タイマー
AAA タイマーは、ポスチャ検証の実行中、NAD が要求を再送信する前に AAA サーバからの応答を待機する時間を制御します。再送信タイマーのデフォルト値は 60 秒です。
(注) このタイマーの設定値が低すぎると、不必要な再送信が行われる可能性があり、設定値が高すぎると、応答時間が長くなる可能性があります。
再送信タイマー
再送信タイマーは、ポスチャ検証の実行中、NAD が要求を再送信する前にクライアントからの応答を待機する時間を制御します。再送信タイマーのデフォルト値は 3 秒です。
(注) このタイマーの設定値が低すぎると、不必要な再送信が行われる可能性があり、設定値が高すぎると、応答時間が長くなる可能性があります。
再検証タイマー
再検証タイマーは、ポスチャ検証の実行中に EAPoUDP メッセージを使用していたエンドポイント装置に対し、NAD が NAC ポリシーを適用する期間を制御します。このタイマーは、最初のポスチャ検証が完了した時点で開始されます。ホストが再検証されると、このタイマーはリセットされます。再検証タイマーのデフォルト値は 36000 秒(10 時間)です。
Cisco NX-OS デバイスの再検証タイマーは、AAA サーバ(Cisco Secure ACS)からの Access-Accept メッセージに含まれる Session-Timeout RADIUS アトリビュート(Attribute [27])、および
Termination-Action RADIUS-REQUEST アトリビュート(Attribute [29])に基づいて動作します。NAD が Session-Timeout 値を受信した場合、この値は NAD の再検証タイマー値に優先します。
再検証タイマーが満了した場合の NAD のアクションは、次の Termination-Action アトリビュートの値に応じて異なります。
• Termination-Action RADIUS アトリビュートの値がデフォルト値の場合は、セッションは終了します。
• NAD が受信した Termination-Action アトリビュートの値がデフォルト以外の場合は、ポスチャ検証の実行中、EAPoUDP セッションおよび現在のアクセス ポリシーは有効な状態を維持します。
• Termination-Action アトリビュートの値が RADIUS の場合は、NAD はクライアントを再検証します。
• サーバからのパケットに Termination-Action アトリビュートが含まれない場合は、EAPoUDP セッションは終了します。
ステータス クエリー タイマー
ステータス クエリー タイマーは、以前検証したクライアントが存在し、そのポスチャが変更されていないことを確認するまでの、NAD の待機時間を制御します。EAPoUDP メッセージによって認証されたクライアントだけが、このタイマーを使用します。このタイマーは、クライアントの最初の検証が完了した時点で開始されます。ステータス クエリー タイマーのデフォルト値は 300 秒(5 分)です。
ホストが再認証されると、このタイマーはリセットされます。このタイマーが満了すると、NAD はホストに Status-Query メッセージを送信して、ホストのポスチャ検証の状態を確認します。ポスチャが変更されたことを示すメッセージをホストが NAD に送信すると、NAD はホストのポスチャを再検証します。
NAC ポスチャ検証および冗長スーパーバイザ モジュール
スイッチオーバーが発生した場合、NX-OS デバイスはエンドポイント装置と現在の PACL アプリケーションに関する情報を保持しますが、各 EAPoUDP セッションの現在のステートは失われます。NX-OS デバイスは、現在の PACL アプリケーションを削除し、ポスチャ検証を再開します。
LPIP 検証および他のセキュリティ機能
ここでは、LPIP 検証と NX-OS デバイス上の他のセキュリティ機能との相互作用について説明します。
• 「802.1X」
• 「DAI」
• 「VACL」
802.1X
ポートに 802.1X と LPIP の両方を設定した場合、802.1X 認証によるソース MAC チェックに合格しないトラフィックは、ポスチャ検証をトリガーしません。ポートに 802.1X を設定した場合、接続されているホストが 802.1X により認証されるまでは、ポートはトラフィック(EAP over LAN [EAPOL] を除く)の送信および受信ができません。このメカニズムにより、ホストが認証されるまでは、ホストからの IP トラフィックがポスチャ検証をトリガーしないようになっています。
ポート セキュリティ
NAD は、ソース MAC アドレスをポート セキュリティの MAC アドレスと照合し、照合されなかった場合はそのエンドポイント装置をドロップします。NAD は、ポート セキュリティで検証された MAC アドレスにのみポスチャ検証を許可します。ポート セキュリティ違反が発生し、ポートがシャットダウンした場合は、NX-OS ソフトウェアはそのポートの LPIP ステートを削除します。
DHCP スヌーピング
DHCP によってバインディング エントリが作成されるまでは、ポスチャ検証は実行されません。DHCP スヌーピングと LPIP をイネーブルにした場合、DHCP を使用して IP アドレスを取得するホストのバインディング エントリを DHCP が作成したときに、NX-OS ソフトウェアがそのホストのポスチャ検証をトリガーします。
DHCP スヌーピングの詳細については、 第 14 章「DHCP スヌーピングの設定」 を参照してください。
DAI
インターフェイス上で LPIP 検証をイネーブルにすると、ポスチャ検証はパケットが DAI に合格した場合にのみトリガーされます。DAI をイネーブルにしないと、すべての ARP パケット(有効な MAC/IP ペアの場合)でポスチャ検証がトリガーされます。
(注) ARP スヌーピングは、ホストの検出に使用されるデフォルトのメカニズムです。ただし、ARP スヌーピングと DAI は同じものではありません。LPIP 検証をイネーブルにすると、NX-OS ソフトウェアは ARP パケットを LPIP 検証に渡します。DAI をイネーブルにすると、NX-OS ソフトウェアは ARP パケットを DAI に渡します。
(注) DHCP スヌーピングがイネーブルになっている場合、NX-OS ソフトウェアは DAI をバイパスします。
DAI の詳細については、 第 15 章「DAI の設定」 を参照してください。
IP ソース ガード
NX-OS ソフトウェアは、ソース IP アドレスが IP ソース ガードのリストにない場合、そのパケットをドロップします。
(注) DHCP スヌーピングをイネーブルにすると、NAD は IP ソース ガードをバイパスします。
ポスチャのホスト固有 ACE
NX-OS ソフトウェアは、パケットが拒否条件と一致する場合はパケットをドロップし、パケットが許可条件と一致する場合はアクティブ PACL をスキップします。ACE の最後まで明示的な拒否がなく、一致もなかった場合、NX-OS ソフトウェアはパケットをアクティブ PACL と照合します。
(注) DHCP スヌーピングまたは DAI をイネーブルにすると、NAD はポスチャのホスト固有 ACE を処理しません。
アクティブ PACL
アクティブ PACL は、スタティックに設定された PACL の場合と、802.1X 認証に基づいた AAA サーバ指定の PACL の場合があります。パケットは拒否条件と一致するとドロップされ、許可条件と一致すると次のステップに移行します。
(注) DHCP スヌーピングまたは DAI がイネーブルになっている場合、NAD はアクティブ PACL を処理しません。
VACL
NX-OS ソフトウェアは、拒否条件と一致するパケットをすべてドロップします。
(注) DHCP スヌーピングまたは DAI がイネーブルになっている場合、NAD は VACL をバイパスします。
バーチャライゼーション サポート
NAC の設定と操作は、Virtual Device Context(VDC)に対してローカルです。
VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
NAC のライセンス要件
|
|
|
|---|---|
NAC にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。 |
NAC の前提条件
NAC の注意事項および制限事項
• EAPoUDP バイパスと AAA ダウン ポリシーはサポートされません。
LPIP の制限事項
• LPIP 検証をトランク ポートまたはポート チャネル上でイネーブルにすることはできません。
• LPIP 検証は、スパンの終点であるポート上では許可されません。
• LPIP 検証は、プライベート VLAN に属するポート上では許可されません。
NAC の設定
• 「EAPoUDP のデフォルト AAA 認証方式のイネーブル化」
• 「アイデンティティ ポリシーおよびアイデンティティ プロファイル エントリの設定」
• 「個別インターフェイスの EAPoUDP 最大リトライ回数の変更」
• 「EAPoUDP ポスチャ検証の同時セッション数に関するレート制限の設定」
• 「個別インターフェイスでの EAPoUDP タイマーの変更」
• 「EAPoUPD グローバル設定のデフォルト値へのリセット」
• 「個別インターフェイスにおける EAPoUPD 設定のデフォルト値へのリセット」
(注) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。
NAC の設定プロセス
ステップ 1 EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
ステップ 2 AAA サーバとの接続を設定します(EAPoUDP のデフォルト AAA 認証方式のイネーブル化を参照)。
ステップ 3 エンドポイント装置と接続するインターフェイスに PACL を適用します(インターフェイスへの PACL の適用を参照)。
ステップ 4 エンドポイント装置と接続するインターフェイス上で NAC をイネーブルにします(インターフェイスでの NAC のイネーブル化を参照)。
• LPIP ポスチャ検証の例外のアイデンティティ ポリシーおよびアイデンティティ プロファイル エントリを設定します(アイデンティティ ポリシーおよびアイデンティティ プロファイル エントリの設定を参照)。
• クライアントレス エンドポイント装置の LPIP ポスチャ検証を可能にします(クライアントレス エンドポイント装置の検証を参照)。
• EAPoUDP イベントのロギングをイネーブルにします(EAPoUDP のロギングのイネーブル化を参照)。
• EAPoUDP メッセージのグローバル最大リトライ回数を変更します(EAPoUDP のグローバル最大リトライ回数の変更を参照)。
• EAPoUDP メッセージの最大リトライ回数を変更します(個別インターフェイスの EAPoUDP 最大リトライ回数の変更を参照)。
• EAPoUDP で使用される NX-OS デバイス上の UDP ポート番号を変更します(EAPoUDP の UDP ポートの変更を参照)。
• ポスチャ検証の同時セッション数に関する EAPoUDP のレート制限を設定します(EAPoUDP ポスチャ検証の同時セッション数に関するレート制限の設定を参照)。
• エンドポイント装置のグローバル定期自動 LPIP ポスチャ検証を設定します(グローバル自動ポスチャ再検証の設定を参照)。
• 個別インターフェイスでエンドポイント装置の定期自動 LPIP ポスチャ検証を設定します(個別インターフェイスでの自動ポスチャ再検証の設定を参照)。
• LPIP ポスチャ検証で使用される EAPoUDP グローバル タイマーの値を設定します(EAPoUDP グローバル タイマーの変更を参照)。
• LPIP ポスチャ検証で使用される個別インターフェイスの EAPoUDP タイマーの値を設定します(個別インターフェイスでの EAPoUDP タイマーの変更を参照)。
• EAPoUDP グローバル設定をデフォルト値にリセットします(EAPoUPD グローバル設定のデフォルト値へのリセットを参照)。
• インターフェイスの EAPoUDP グローバル設定をデフォルト値にリセットします(個別インターフェイスにおける EAPoUPD 設定のデフォルト値へのリセットを参照)。
• IP デバイス トラッキングを設定します(IP デバイス トラッキングの設定を参照)。
• EAPoUDP セッションの一部または全部を手動で開始します(手動による EAPoUDP セッションの初期化を参照)。
• EAPoUDP セッションの一部または全部を手動で再検証します(手動による EAPoUDP セッションの再検証を参照)。
EAPoUDP のイネーブル化
NX-OS デバイスは、エンドポイントと認証サーバの間で EAP メッセージをリレーします。NAC を設定する前に、NX-OS デバイス上で EAPoUDP をイネーブルにする必要があります。
作業を開始する前に
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
EAPoUDP のデフォルト AAA 認証方式のイネーブル化
EAPoUDP のデフォルト AAA 認証方式をイネーブルにする必要があります。AAA 認証方式の詳細については、 第 2 章「AAA の設定」 を参照してください。RADIUS サーバの設定については、 第 3 章「RADIUS の設定」 を参照してください。
(注) LPIP は認証に RADIUS だけを使用できます。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
インターフェイスへの PACL の適用
AAA サーバから PACL を入手できない場合は、NAD 上の LPIP ポスチャ検証を実行するアクセス インターフェイスに PACL を適用する必要があります。
PACL の詳細については、 第 11 章「MAC ACL の設定」 を参照してください。
作業を開始する前に
手順の概要
2. interface ethernet slot / port
3. mac access-group access-list
詳細な手順
|
|
|
|
|---|---|---|
interface ethernet slot / port |
||
指定の方向に流れるトラフィックを対象に、PACL をインターフェイスに適用します。
(注) インターフェイスは、PACL を 1 つだけ保有できます。インターフェイス上の PACL を交換する場合は、新しい PACL 名でこのコマンドを再度入力します。 |
||
インターフェイスでの NAC のイネーブル化
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
2. interface ethernet slot / port
詳細な手順
|
|
|
|
|---|---|---|
interface ethernet slot / port |
||
インターフェイスをレイヤ 2 スイッチング インターフェイスとして設定します。デフォルトでは、すべてのポートがレイヤ 3 ポートです。 |
||
アイデンティティ ポリシーおよびアイデンティティ プロファイル エントリの設定
アイデンティティ プロファイルを使用して LPIP ポスチャ検証の例外を設定できます。アイデンティティ プロファイルには、LPIP 検証の際に対象外とするエンドポイント装置のエントリも含めます。オプションとして、アイデンティティ プロファイルごとにアイデンティティ ポリシーを設定し、そのポリシーに NX-OS デバイスがエンドポイント装置に適用する PACL を指定することができます。デフォルトのアイデンティティ ポリシーは、インターフェイスの PACL です。
作業を開始する前に
手順の概要
2. identity policy policy-name
8. device { authenticate | not-authenticate } { ip-address ipv4-address [ ipv4-subnet-mask ] | mac-address mac-address [ mac-subnet-mask ]} policy name
詳細な手順
クライアントレス エンドポイント装置の検証
ネットワーク内の PA 未搭載(クライアントレス)のエンドポイント装置に対してポスチャ検証を実行できます。このポスチャ検証は、エンドポイント装置にアクセスできる監査サーバが実行します。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
EAPoUDP のロギングのイネーブル化
EAPoUDP イベント メッセージのロギングをイネーブルにできます。EAPoUDP イベントには、エラーやステータスの変化などが含まれます。これらのイベント メッセージは、設定されている syslog に送られます。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
EAPoUDP のグローバル最大リトライ回数の変更
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
個別インターフェイスの EAPoUDP 最大リトライ回数の変更
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
インターフェイス上で NAC をイネーブルにします(インターフェイスでの NAC のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
interface ethernet slot / port |
||
EAPoUDP の UDP ポートの変更
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
EAPoUDP で使用される UDP ポートを変更します。デフォルトは 21862 です。有効な範囲は 1 ~ 65535 です。 |
||
EAPoUDP ポスチャ検証の同時セッション数に関するレート制限の設定
EAPoUDP ポスチャ検証の同時セッション数を制御するレート制限を設定できます。EAPoUDP ポスチャ検証の最大同時セッション数を制御するレート制限値を変更できます。デフォルトの数は 20 です。この数をゼロ(0)に設定するとレート制限はディセーブルになります。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
EAPoUDP ポスチャ検証の同時セッション数を設定します。デフォルトは 20 です。有効な範囲は 0 ~ 200 です。
(注) ゼロ(0)に設定すると、レート制限はディセーブルになります。 |
||
グローバル自動ポスチャ再検証の設定
NX-OS ソフトウェアは、設定された間隔で NX-OS デバイスのエンドポイント装置のポスチャを自動的に再検証します。デフォルトの間隔は 36,000 秒(10 時間)です。再検証をディセーブルにしたり、再検証の間隔を変更することができます。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
個別インターフェイスでの自動ポスチャ再検証の設定
NX-OS ソフトウェアは、設定された間隔で NX-OS デバイスのエンドポイント装置のポスチャを自動的に再検証します。デフォルトの間隔は 36,000 秒(10 時間)です。再検証をディセーブルにしたり、再検証の間隔を変更することができます。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
インターフェイス上で NAC をイネーブルにします(インターフェイスでの NAC のイネーブル化を参照)。
手順の概要
2. interface ethernet slot / port
詳細な手順
|
|
|
|
|---|---|---|
interface ethernet slot / port |
||
EAPoUDP グローバル タイマーの変更
NX-OS ソフトウェアは、EAPoUDP の次のグローバル タイマーをサポートしています。
• AAA ― ポスチャ検証の実行中に、NAD が要求を再送信する前に AAA サーバからの応答を待機する時間を制御します。
• ホールド タイマー ― EAPoUDP セッションの失敗を検証する試みのあとに、すぐに次の新規セッションが開始されないように抑制します。NAC はこのタイマーを、Cisco Secure ACS が Accept-Reject メッセージを NAD に送信した場合のみに使用します。
• 再送信 ― ポスチャ検証の実行中に、NAD が要求を再送信する前にクライアントからの応答を待機する時間を制御します。
• 再検証 ― ポスチャ検証の実行中に EAPoUDP メッセージを使用していたエンドポイント装置に対し、NAD が NAC ポリシーを適用する期間を制御します。このタイマーは、最初のポスチャ検証が完了した時点で開始されます。
• ステータス クエリー ― 以前検証したクライアントが存在し、そのポスチャが変更されていないことを確認するまでの、NAD の待機時間を制御します。EAPoUDP メッセージによって認証されたクライアントだけが、このタイマーを使用します。このタイマーは、クライアントの最初の検証が完了した時点で開始されます。
これらのタイマーの詳細については、「NAC タイマー」を参照してください。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
3. eou timeout hold-period seconds
4. eou timeout retransmit seconds
5. eou timeout revalidation seconds
詳細な手順
個別インターフェイスでの EAPoUDP タイマーの変更
NX-OS ソフトウェアは、NAC がイネーブルになっている各インターフェイスで、EAPoUDP に関する次のタイマーをサポートしています。
• AAA ― ポスチャ検証の実行中に、NAD が要求を再送信する前に AAA サーバからの応答を待機する時間を制御します。
• ホールド タイマー ― EAPoUDP セッションの失敗を検証する試みのあとに、すぐに次の新規セッションが開始されないように抑制します。NAC はこのタイマーを、Cisco Secure ACS が Accept-Reject メッセージを NAD に送信した場合のみに使用します。
• 再送信 ― ポスチャ検証の実行中に、NAD が要求を再送信する前にクライアントからの応答を待機する時間を制御します。
• 再検証 ― ポスチャ検証の実行中に EAPoUDP メッセージを使用していたエンドポイント装置に対し、NAD が NAC ポリシーを適用する期間を制御します。このタイマーは、最初のポスチャ検証が完了した時点で開始されます。
• ステータス クエリー ― 以前検証したクライアントが存在し、そのポスチャが変更されていないことを確認するまでの、NAD の待機時間を制御します。EAPoUDP メッセージによって認証されたクライアントだけが、このタイマーを使用します。このタイマーは、クライアントの最初の検証が完了した時点で開始されます。
これらのタイマーの詳細については、「NAC タイマー」を参照してください。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
インターフェイス上で NAC をイネーブルにします(インターフェイスでの NAC のイネーブル化を参照)。
手順の概要
2. interface ethernet slot / port
4. eou timeout hold-period seconds
5. eou timeout retransmit seconds
6. eou timeout revalidation seconds
詳細な手順
EAPoUPD グローバル設定のデフォルト値へのリセット
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
個別インターフェイスにおける EAPoUPD 設定のデフォルト値へのリセット
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
インターフェイス上で NAC をイネーブルにします(インターフェイスでの NAC のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
interface ethernet slot / port |
||
IP デバイス トラッキングの設定
IP デバイス トラッキングを設定できます。AAA サーバに対する IP デバイス トラッキングの処理は、次のようになります。
2. ポスチャ検証のトリガー前に AAA サーバが到達不能であれば、NX-OS デバイスは IP デバイス トラッキング ポリシーを適用し、セッションのステートを AAA DOWN にします。
3. AAA サーバが再度使用可能になると、ホストの再検証が実行されます。
(注) AAA サーバの停止時は、エンドポイント装置に他の既存のポリシーが関連付けられていない場合にのみ NX-OS デバイスが IP トラッキング ポリシーを適用します。再検証中に AAA サーバが停止した場合は、NX-OS デバイスはエンドポイント装置に使用されているポリシーを保持します。
作業を開始する前に
手順の概要
3. ip device tracking probe { count count | interval seconds }
4. radius server host { hostname | ip-address } text [ username username [ password password ]] [ idle-time minutes ]
6. show ip device tracking all
詳細な手順
IP デバイス トラッキングのクリア
作業を開始する前に
手順の概要
1. clear ip device tracking all
2. clear ip device tracking interface ethernet slot / port
3. clear ip device tracking ip-address ipv4-address
詳細な手順
|
|
|
|
|---|---|---|
手動による EAPoUDP セッションの初期化
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
2. eou initialize authentication { clientless | eap | static }
3. eou initialize interface ethernet slot / port
4. eou initialize ip-address ipv4-address
5. eou initialize mac-address mac-address
詳細な手順
|
|
|
|
|---|---|---|
(任意)指定のポスチャ トークン名の EAPoUDP セッションを初期化します。
(注) トークン名を表示する場合は、show eou all コマンドを使用します。 |
||
手動による EAPoUDP セッションの再検証
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
2. eou revalidate authentication { clientless | eap | static }
3. eou revalidate interface ethernet slot / port
4. eou revalidate ip-address ipv4-address
5. eou revalidate mac-address mac-address
詳細な手順
|
|
|
|
|---|---|---|
(任)指定のポスチャ トークン名の EAPoUDP セッションを再検証します。
(注) トークン名を表示する場合は、show eou all コマンドを使用します。 |
||
EAPoUDP セッションのクリア
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
EAPoUDP をイネーブルにします(EAPoUDP のイネーブル化を参照)。
手順の概要
2. clear eou authentication { clientless | eap | static }
3. clear eou interface ethernet slot / port
4. clear eou ip-address ipv4-address
5. clear eou mac-address mac-address
詳細な手順
|
|
|
|
|---|---|---|
(任意)指定のポスチャ トークン名の EAPoUDP セッションをクリアします。
(注) トークン名を表示する場合は、show eou all コマンドを使用します。 |
||
EAPoUDP セッションのディセーブル化
NX-OS デバイス上の EAPoUDP 機能をディセーブルにできます。
作業を開始する前に
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします( 802.1X 機能のイネーブル化を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
|
|
||
NAC の設定の確認
NAC の設定情報を表示するには、次の作業のいずれかを行います。
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
NAC 設定例
デフォルト設定
表8-1 に、NAC パラメータのデフォルト設定を示します。
|
|
|
|---|---|
その他の参考資料
NAC の実装に関連する詳細情報については、次を参照してください。
• 「関連資料」
関連資料
|
|
|
|---|---|
フィードバック