Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

サイトの生存性

Access アシュアランス サイトの存続性(NACエッジ)を使用して、サイトのMist Access AssuranceクラウドへのWANリンクがダウンしている場合でも、ユーザーとデバイスがローカルで認証できるようにします。

サイトの存続性の概要

Mist Access Assuranceは、認証サービスの高可用性を保証するクラウドベースのソリューションです。ただし、WANリンクがダウンしていても、サイトがユーザーとデバイスの認証を継続する必要がある状況があります。Access アシュアランス Site Survivability(NACエッジ)は、オンサイトの継続性を提供することでこの要件に対応し、ユーザーとデバイスが引き続きネットワークに安全に接続できるようにします。

サイトサバイバビリティモードでは、軽量のアクセスアシュアランスサービス(NACエッジサービス)がオンプレミスのMist Edgeアプライアンスで実行されます。このサービスは、以前に認証済みクライアントのセキュアなローカルキャッシュを使用して、RADIUS over TLS(RadSec)リクエストを処理します。Mistアクセスポイント(AP)とスイッチはローカルMist EdgeへのセカンダリRadSecトンネルを確立し、サードパーティクライアントはRADIUSサーバーとして機能する同じMist Edgeに接続します。WAN接続が中断された場合、プロキシサービスはローカルMist Edgeで実行されているNAC Edgeサービスに自動的にフェイルオーバーするため、継続的な認証サービスが保証されます。WAN接続が回復すると、認証トラフィックはシームレスにクラウドベースのAccess アシュアランスに戻ります。

Site Survivability の仕組み

ここでは、Site Survivabilityの仕組みについて簡単に説明します。

  • 通常動作(WANリンクがアップ):

    • AP、スイッチ、Mist Edgeは、クラウドネットワークアクセス制御(NAC)へのRadSecトンネルを確立します。

    • クラウドNACは、このRadSecトンネルを介してクライアントの認証要求を処理します。

    • サイトレベルのMist EdgeのNAC Edgeサービスは、最近認証されたクライアントと設定されたサーバー証明書のローカルキャッシュをクラウドから定期的に(30分ごとに)同期します。NAC Edge RADIUSサービスは、Access アシュアランスクラウドがMist Edgeから到達できない場合にのみ、クライアント認証要求に対応することに注意してください。

  • 障害(WANリンクがダウンしています):

    • クラウドNACへの接続が失われると、ネットワークデバイスはバックアップRadSecサーバーとして設定されたNACエッジに自動的に切り替わります。

    • NACエッジは、信頼できる組織認証機関(CA)を使用してクライアント証明書(EAP-TLS用)を検証し、クライアントのローカルキャッシュをチェックして、VLAN情報などのキャッシュされた認証属性を提供します。

    • キャッシュに見つからないクライアントは、顧客定義のデフォルトVLANに割り当てられます。

  • 回復(WANリンクが復元されました):

    • デバイスは、組み込みのフェイルバック動作に基づいて、クラウドNACに切り替わります。

    • Mist EdgeがプライマリRadSecセッションを再確立します。

    • クライアント認証要求は、クラウドNACによって処理されます。

サイトサバイバビリティモードでサポートされるもの

  • 認証方法(WANリンクがダウンしている場合):

    キャッシュされたエントリを使用した802.1X EAP-TLSおよびMAC認証バイパス(MAB)

  • 認可:

    • システムは、VLANやRADIUS AVPなどの認識されたクライアントのキャッシュされた属性を返します。

    • 不明なMABクライアントの場合、キャッシュミスの場合に備えて、お客様が設定したデフォルトVLANが使用されます。

    • EAP-TLS検証に合格したものの認識されない802.1Xクライアントの場合、キャッシュミスの場合にデフォルトVLANが使用されます。

  • キャッシュの動作:

    • TTL(Time-To Live)の設定は1日から30日まで(デフォルト設定は7日)

    • エッジデバイスの再起動時にも永続キャッシュ

    • TTLが終了した後のクライアントエントリーの自動クリーンアップ

サイトサバイバビリティモードでサポートされていないもの

WANリンクがダウンすると、NAC Edgeはローカルのキャッシュ情報のみに依存し、外部システムに接続できません。これはですね

  • EAP-TTLS および Device-Auth 認証はサポートされていません。例えば、パスワードベースの認証はサポートされていません。

  • 外部IDプロバイダ(IdP)は使用できないため、クラウドディレクトリやIdPルックアップは行われません。

  • MDMプロバイダベースのポリシーは適用できません。

  • リアルタイムのクラウドポリシー評価はできません。

  • キャッシュエントリーのない新しいデバイスは動的ポリシーを取得できず、設定したデフォルトVLANが割り当てられます。

サイトの生存性設定を構成する

サイトの生存性は、サイトレベルで有効になります。Mist Access Assurance Site Survivabilityを実装するには、以下の要件を満たす必要があります。

  • Mist Access Assurance Site Survivability サブスクリプション(S-CLIENT-SS-1/3/5)が必要です。

  • 少なくとも1つのMist Edgeがサイトに割り当てられている必要があります。

  • エンドポイント(ラップトップ、モバイル、IoTデバイス)は、認証し、企業ネットワークに対して承認する必要があります。

Access アシュアランスサイトのサバイバビリティを設定するには:

注:以下の証明書をアップロードしていることを確認します。

  • 組織のCA証明書(EAP-TLSクライアント証明書の検証に使用)

  • ローカルRadSecリスナーのサーバー証明書とキー
  1. 組織>サイト構成をクリックして、サイトのリストに移動します。
  2. Access アシュアランスサイトの生存可能性を設定するサイトをクリックします。
    サイトページが表示されます。
  3. にスクロールして、 Access アシュアランスサイトの存続可能性 タイルを表示します。
  4. Access アシュアランスサイトの生存可能性タイルで有効チェックボックスを選択します。
  5. 以下の説明に従って設定を構成します。

    • キャッシュ期間—各NACクライアントのキャッシュを維持する日数(1〜30)を入力します。デフォルトは7日間です。

    • デフォルトMAB VLAN—不明なMABクライアントのVLANのVLAN IDまたはVLAN名を入力します。

    • デフォルト802.1X VLAN—EAP-TLS認証に合格した不明な802.1XクライアントのVLAN IDまたはVLAN名を入力します。

    • Mist Edge IP—サイトサバイバビリティモードで動作するMist EdgeのOOBM IPアドレスを入力します。

  6. ページの右上にある保存をクリックして、サイトの設定を保存します。