Allow authenticated in-band PAC provisioning をオン（有効）にします。

3. EAP-GTC と EAP-MSCHAPv2 をオン（有効）にします。

レイヤ 2 NAC プロファイルテンプレートを作成するには、次の手順を実行します。

ステップ 1 ナビゲーション バーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

ステップ 3 Name および Description（オプション）に入力します。

第9章 NAC の設定シナリオ        ステップ 8：NAP を作成するテンプレートの設定

ステップ 6 Submit をクリックします。

エラーが表示されない場合は、レイヤ 2 NAC ホストを認証できるプロファイルが作成されててい    ます。レイヤ 2 NAC テンプレートの Profile Setup ページが表示されます。

レイヤ 2 NAC テンプレートの事前定義値には、次のものがあります。

• プロファイル設定 • プロトコル設定 • 認証ポリシー

• サンプル ポスチャ確認規則

このポリシーの名前は、NAC-EXAMPLE-POSTURE-EXAMPLE です。

ステップ 7 設定オプションを選択するには、オプション名をクリックします。

プロファイルの設定

プロファイルの設定を有効にするには、次の手順を実行します。

ステップ 1 Network Access Profiles ページを表示します。

ステップ 2 作成したプロファイルを選択します。

Profile Setup ページが表示されます（図9-36 を参照）。

第9章 NAC の設定シナリオ

ステップ 8：NAP を作成するテンプレートの設定  

図9-36 レイヤ 2 NAC テンプレートの Profile Setup ページ

プロファイルのデフォルト設定は、次のとおりです。

• Any が Network Access Filter フィールドに表示されます。この表示は、このプロファイルに IP フィルタがないことを意味します。

ドロップダウン リストから NAF を選択して、特定のホスト IP のみがこのプロファイルに一致      するようにできます。

• Protocol types リストに Allow any Protocol type が表示されます。この表示は、このプロファイ        ルにはプロトコル タイプ フィルタが存在しないことを意味します。

• Allow Selected Protocol types オプションは、フィルタリングでプロトコル タイプを指定する場      合にオンにします。

• Advanced Filtering では、次の 2 つの規則が設定されています。

[026/009/001]Cisco-av-pair = aaa:service=ip admission [006]Service-Type != 10

この規則によって、関連したプロファイル ポリシーで、アトリビュートの規則に一致する各  RADIUS 要求を認証および認可することを指定します。拡張フィルタを変更して、RADIUS ク  

第9章 NAC の設定シナリオ        ステップ 8：NAP を作成するテンプレートの設定

アトリビュートと値のペアと ACS

NAC レイヤ 2 IP 確認を有効にした場合、ACS は RADIUS を使用して NAC AAA サービスを提供し       ます。ACS はエンドポイント システムのアンチウイルス クレデンシャルに関する情報を入手し、   

エンドポイントのアンチウイルスの状態を確認します。

RADIUS cisco-av-pair ベンダー固有アトリビュート（VSA）を使用して、これらの Attribute-Value

（AV; アトリビュート値）のペアを ACS に設定できます。

• Cisco Secure-Defined-ACL：ダウンロード可能 ACL の名前を ACS に指定します。スイッチは、     

Cisco Secure-Defined-ACL AV ペアから ACL 名を次の形式で取得します。

#ACL#-IP-name-number

name は ACL 名、number は 3f783768 などのバージョン番号です。

ACS は、Auth-Proxy ポスチャコードを使用して、スイッチが、指定されたダウンロード可能   

ACL の Access-Control Entry（ACE; アクセスコントロールエントリ）をダウンロードしたかど       うかを確認します。スイッチが ACES をダウンロードしていない場合、ACS は、ダウンロード   

可能な ACL 名をユーザ名とする AAA 要求を送信して、スイッチが ACE をダウンロードする      

ようにします。ダウンロード可能 ACL は、名前付き ACL としてスイッチに作成されます。こ     の ACL には、送信元アドレスが Any の ACE があり、最後に暗黙の Deny 文はありません。ポ         スチャ確認の完了後にダウンロード可能 ACL がインターフェイスに割り当てられると、送信   元アドレスは any からホストの送信元 IP アドレスに変更されます。ACE は、エンドポイント      デバイスの接続先であるスイッチインターフェイスに適用されるダウンロード可能 ACL にプ    リペンドされます。

トラフィックが Cisco Secure-Defined-ACL ACE に一致すると、ACS では、適切な NAC アクショ        ンが実行されます。

• url redirect と url-redirect-acl：スイッチにローカル URL ポリシーを指定します。スイッチはこ      れらの cisco-av-pair VSA を使用します。

— url-redirect = <HTTP または HTTPS URL>

— url-redirect-acl = switch ACL name

これらの AV ペアにより、スイッチは、エンドポイントデバイスからの HTTP または Secure

HTTP（HTTPS）要求を代行受信して、最新のアンチウイルスファイルをダウンロードできる、 

指定のリダイレクトアドレスにクライアントの Web ブラウザを転送できます。ACS 上の    

url-redirect AV ペ ア に は、Web ブ ラ ウ ザ の リ ダ イ レ ク ト 先 と な る URL が 含 ま れ ま す。     

url-redirect-acl AV ペアには、リダイレクトされる HTTP または HTTPS トラフィックを指      

定する ACL の名前が含まれます。ACL はスイッチに定義する必要があります。リダイレクト   

ACL 内の許可エントリに一致するトラフィックがリダイレクトされます。

ホストのポスチャが healthy でない場合、ACS はこの AV ペアを送信することがあります。

Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、AAA クライアント上で実行     

されるソフトウェアリリースのマニュアルを参照してください。

デフォルト ACL

スイッチポート上に NAC レイヤ 2 IP 確認を設定する場合、スイッチポート上にデフォルトポー        

ト ACL を設定する必要もあります。また、ポスチャ確認が完了していないホストの IP トラフィッ    

クに、デフォルト ACL を適用することも必要です。

スイッチにデフォルト ACL を設定し、ホストのアクセスポリシーがこの ACL によってスイッチに      送信されると、スイッチはスイッチ ポートに接続されたホストからのトラフィックにポリシーを適  用します。ポリシーがトラフィックに適用されると、スイッチはトラフィックを転送します。ポリ シーが適用されない場合、スイッチはデフォルト ACL を適用します。しかし、スイッチがホスト  

第9章 NAC の設定シナリオ

ステップ 8：NAP を作成するテンプレートの設定  

ポリシーマップアクションとしてリダイレクト URL を指定するダウンロード可能 ACL が ACS に        よってスイッチに送信されるとき、この ACL はスイッチ ポート上ですでに設定されているデフォ    ルト ACL よりも優先されます。また、デフォルト ACL は、ホスト上ですでに設定されているポリ     シーよりも優先されます。デフォルトポート ACL がスイッチに設定されていない場合でも、スイッ   

チは ACS からのダウンロード可能 ACL を適用できます。

このテンプレートは、802.1x クライアントがインストールされていないレイヤ 2 デバイスからのア    クセス要求に対して使用します。Authentication Bypass（802.1x フォールバック）テンプレートは、  

クライアント以外の認証プロセスをバイパスするために、アクセス要求に対して使用されます。

ユーザは ID に基づいてユーザグループにマッピングされます。

（注） Populate from Global ボタンは使用しないでください。使用した場合、この認証フィールドの設定   

値は System Configuration の Global Authentication Setup の設定値から継承されます。

プロトコルの設定

図9-37 に、NAC レイヤ 2 テンプレートのプロトコル設定を示します。

図9-37 NAC レイヤ 2 テンプレートのプロトコル設定

このページで、プロトコルのレイヤ 2 NAC テンプレート設定を表示できます。デフォルトの設定   

第9章 NAC の設定シナリオ        ステップ 8：NAP を作成するテンプレートの設定

認証ポリシー

認証ポリシーを設定するには、次の手順を実行します。

ステップ 1 ナビゲーションバーの Network Access Profiles をクリックします。

ステップ 2 Policies カラムから Authentication リンクを選択します。

NAC レイヤ 2 テンプレートの Authentication Settings ページが開きます（図9-38 を参照）。

図9-38 NAC レイヤ 2 テンプレートの認証設定

ステップ 3 ACS が認証を行うために使用する外部データベースを指定します。

a. デフォルト設定（ACS は内部データベースを使用する）を保持する場合は、Internal ACS DB オプションボタンをクリックします。

b. LDAP サーバを指定する場合は、LDAP Server オプションボタンをクリックして、ドロップダ    

第9章 NAC の設定シナリオ

ステップ 8：NAP を作成するテンプレートの設定  

サンプル ポスチャ確認規則

図9-39 に、NAC レイヤ 2 テンプレートに用意されているサンプル ポスチャ確認規則を示します。

図9-39 NAC レイヤ 2 テンプレートのサンプル ポスチャ確認ポリシー

サンプル NAC レイヤ 2 802.1x テンプレート

このテンプレートで、レイヤ 2 NAC 802.1x 要求用のプロファイルを作成します。このテンプレート     を使用する前に、System Configuration > Global Authentication Setup を選択して、Enable Posture Validation チェックボックスをオンにしておく必要があります。

レイヤ 2 NAC 802.1x プロファイル テンプレートを作成するには、次の手順を実行します。

ステップ 1 ナビゲーションバーの Network Access Profiles をクリックします。

Network Access Profiles ページが開きます。

ステップ 2 Add Template Profile をクリックします。

Create Profile from Template ページが開きます（図9-40 を参照）。