Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ インターネット ルータ ネットワーク監視モジュール インストレーション コンフィギュレーション ノート
NAMの設定
NAMの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

NAMの設定

NAMの設定

Cisco IOSソフトウェア

初期設定

VLANの設定

Catalystオペレーティング システム ソフトウェア

初期設定

VLANの設定

SNMPエージェントの設定

NAMのトラフィックをキャプチャするトラフィック ソースの設定

Cisco IOSソフトウェア

トラフィック ソースとしてSPANを使用する場合

トラフィック ソースとしてVACLを使用する場合

トラフィック ソースとしてNDEを使用する場合

Catalystオペレーティング システム ソフトウェア

トラフィック ソースとしてSPANを使用する場合

トラフィック ソースとしてLAN VACLを使用する場合

トラフィック ソースとしてNDEを使用する場合

オペレーティング システムに依存しない設定

RMON自動収集の設定

HTTPサーバまたはHTTPセキュア サーバの設定

HTTPサーバの設定

HTTPセキュア サーバの設定

証明書の生成

証明書のインストール

TACACS+サーバの使用

NAMの設定

この章では、Catalyst 6500シリーズ、Cisco 7600シリーズおよびCatalyst 6000ファミリーNetwork Analysis Module(NAM;ネットワーク監視モジュール)の設定手順について説明します。具体的な内容は次のとおりです。

「NAMの設定」

「NAMのトラフィックをキャプチャするトラフィック ソースの設定」

「オペレーティング システムに依存しない設定」

NAMの設定

スイッチ上のNAMの設定手順は、Cisco IOSソフトウェアとCatalystオペレーティング システム ソフトウェアのいずれを使用しているかによって異なります。ただし、両方のスイッチ オペレーティング システムに共通する手順もいくつかあります。

以下の各項では、CLI(コマンドライン インターフェイス)を使用してNAMを設定する手順について、スイッチ オペレーティング システム別に説明します。

「Cisco IOSソフトウェア」

「Catalystオペレーティング システム ソフトウェア」

この章ではまずNAMを初期設定し、次にネットワーク トラフィックがモニタできるように、VACL、ローカルまたはリモートのNetFlow Data Export(NDE;NetFlowデータ エクスポート)、Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)を設定します。

「NAMのトラフィックをキャプチャするトラフィック ソースの設定」

ソフトウェア別のNAM属性の設定が完了すると、以下の項に従って、両方のソフトウェアに共通した属性を設定できます。

「オペレーティング システムに依存しない設定」

Cisco IOSソフトウェア

ここでは、Cisco IOSを使用して、Catalyst 6500シリーズ、Cisco 7600シリーズおよびCatalyst 6000ファミリー スイッチからNAMを設定する手順を説明します。

「初期設定」

「VLANの設定」

初期設定

ネットワーク監視のためにNAMを使用するには、事前にNAMのrootアカウントにログインし、次の設定を行う必要があります。

IPアドレス

サブネット マスク

IPブロードキャスト アドレス

IPホスト名

デフォルト ゲートウェイ

ドメイン名

該当する場合は、DNSネーム サーバ

外部のSNMP(簡易ネットワーク管理プロトコル)マネージャを使用してNAMと通信する場合は、次の設定を行います。

SNMP MIB変数

SNMPエージェントのアクセス制御

NAM上のシステム グループ設定

ip http server enable コマンドを使用して、Webサーバを起動します。

NAMに上記のパラメータを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、NAMが搭載されていて電源が入っていることを確認します。

Router# show module mod
 

ステップ 2 次のコマンドを入力して、NAMとのコンソール セッションを確立します。

Router# session slot module_number processor 1
 

ステップ 3 ログイン プロンプトに root と入力し、rootアカウントにログインします。

ステップ 4 パスワード プロンプトに、rootパスワードとして root と入力します。


) 出荷時のデフォルト パスワードを変更していない場合は、警告メッセージが表示されます。デフォルトのパスワードを変更する場合は、「NAM CLIパスワードの変更」を参照してください。


ステップ 5 次のコマンドを入力して、IPアドレスとサブネット マスクを設定します。

root@localhost# ip address ip-address subnet-mask
 

ステップ 6 次のコマンドを入力して、IPブロードキャスト アドレスを設定します。

root@localhost# ip broadcast broadcast-address
 

ステップ 7 次のコマンドを入力して、IPホスト名を設定します。IPホスト名は、CLIプロンプト、showコマンド、およびログ メッセージで使用されます。

root@localhost.localdomain# ip host [host-name]
 

ステップ 8 次のコマンドを入力して、デフォルト ゲートウェイを設定します。

root@nam1.localdomain# ip gateway default-gateway
 

ステップ 9 次のコマンドを入力して、NAMのドメイン名を設定します。

root@localhost# ip domain domain-name
 

ステップ 10 次のコマンドを入力して、1つまたは複数のIPアドレスをDNSネーム サーバとして設定します。

root@localhost.localdomain# ip nameserver ip-address [name-server1] [name-server2]

ip nameserverコマンドでは、ネーム サーバのアドレスを3つまで設定できます(2つは任意設定)。


ステップ 11 次のコマンドを入力して、NAMの設定を確認します。

root@localhost.localdomain# show ip
 

ステップ 12 次のコマンドを入力して、SNMP sysLocation MIB変数を設定します。

root@localhost.localdomain# snmp location location-string

ステップ 13およびステップ 14で設定するMIB変数は、有効なDisplayStringテキストでなければなりません。長さは64文字までです。


ステップ 13 次のコマンドを入力して、SNMP sysContact MIB変数を設定します。

root@localhost.localdomain# snmp contact contact-string
 

ステップ 14 次のコマンドを入力して、SNMP sysName MIB変数を設定します。

root@nam1.cisco.com# snmp name name-string

) SNMPロケーション、SNMPコンタクト、またはSNMP名を削除する場合は、パラメータを指定せずに該当するコマンドを入力します。


ステップ 15 次のコマンドを入力して、SNMPエージェントのコミュニティ ストリング パラメータ パスワードを読み書きアクセスに設定します。

root@localhost.localdomain# snmp community community-string rw
 

ステップ 16 次のコマンドを入力して、SNMPエージェントのコミュニティ ストリング パラメータ パスワードを読み取り専用アクセスに設定します。

root@localhost.localdomain# snmp community community-string ro

) SNMPコミュニティ ストリングを消去する場合は、snmp delete community community-stringコマンドを使用します。


ステップ 17 次のコマンドを入力して、SNMPのアクセス制御および設定値を確認します。

root@localhost.localdomain# show snmp
 


 

この設定が完了すると、Internet Engineering Task Force(IETF)に準拠した任意のRemote Monitoring(RMON)アプリケーションでNAMを使用できるようになります。


) Real Time Monitor(RTM)を使用する場合は、NAMに入力したものとまったく同じコミュニティ ストリングをRTMに入力する必要があります。


NAMの設定例を示します。

Router# session slot 8 processor 1
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.81 ... Open
 
Cisco Network Analysis Module (WS-SVC-NAM-1)
 
login: root
Password:
 
Network Analysis Module (WS-SVC-NAM-1) Console, 2.1(1)
Copyright (C) 1999, 2000, 2001 Cisco Systems, Inc.
 
WARNING! Default password has not been changed!
 
root@localhost# ip address 172.18.52.29 255.255.255.224
root@localhost# ip broadcast 172.18.52.31
root@localhost.localdomain# ip host nam1
root@nam1.localdomain# ip gateway 172.69.2.132
root@localhost# ip domain cisco.com
root@nam1.cisco.com# ip nameserver 171.62.2.132
root@nam1.cisco.com# show ip
IP address: 172.20.98.182
Subnet mask: 255.255.255.192
IP Broadcast: 172.20.255.255
DNS Name: nam.cisco.com
Default Gateway: 172.20.98.129
Nameserver(s): 171.69.2.133
HTTP server: Enabled
HTTP secure server:Disabled
HTTP port: 80
HTTP secure port: 443
TACACS+ configured:No
Telnet: Enabled
SSH: Disabled
root@nam1.cisco.com#
root@nam1.cisco.com# snmp location “Cisco Lab, Building X, Floor 1”
 
root@nam1.cisco.com# snmp contact “Jane Doe, Cisco Systems, (408) 111-1111”
root@nam1.cisco.com# snmp name “6k-NAM - Slot 2”
root@nam1.cisco.com# snmp community public ro
root@nam1.cisco.com# snmp community private rw
 
root@nam1.cisco.com# show snmp
 
SNMP Agent: nam1.cisco.com 172.18.52.29
 
SNMPv1: Enabled
SNMPv2C: Enabled
SNMPv3: Disabled
 
community public read
community private write
 
sysDescr "Catalyst 6500 Network Management Module (WS-SVC-NAM-1)"
sysObjectID enterprises.9.5.1.3.1.1.2.914
sysContact "Jane Doe, Cisco Systems, (408) 111-1111"
sysName "6k-NAM - Slot 2"
sysLocation "Cisco Lab, Building X, Floor 1"
root@localhost#

VLANの設定

NAM管理ポートのVLAN(仮想LAN)を設定するには、 analysis module mod_num management-port access-vlan vlan_id コマンドを使用する必要があります。

Catalystオペレーティング システム ソフトウェア

ここでは、CLIを使用してNAMを設定する手順について説明します。

「初期設定」

「VLANの設定」

「SNMPエージェントの設定」

初期設定

ネットワーク監視のためにNAMを使用するには、事前にNAMのrootアカウントにログインし、次の設定を行う必要があります。

IPアドレス

サブネット マスク

IPブロードキャスト アドレス

IPホスト名

デフォルト ゲートウェイ

ドメイン名

該当する場合は、DNSネーム サーバ

外部のSNMPマネージャを使用してNAMと通信する場合は、次の設定を行います。

SNMP MIB変数

SNMPエージェントのアクセス制御

NAM上のシステム グループ設定

ip http server enable コマンドを使用して、Webサーバを起動します。

NAMに上記のパラメータを設定するには、イネーブル モードで次の手順を行います。


ステップ 1 次のコマンドを入力して、NAMが搭載され電源が入っていることを確認します。

Console> show module mod
 

ステップ 2 次のコマンドを入力して、NAMアプリケーション イメージを起動します。

Console> (enable) reset module no
 

ステップ 3 次のコマンドを入力して、NAMとのコンソール セッションを確立します。

Console> (enable) session mod
 

ステップ 4 パスワード プロンプトに、rootパスワードとして root と入力します。


) 出荷時のデフォルト パスワードを変更していない場合は、警告メッセージが表示されます。デフォルトのパスワードを変更する方法については、「NAM CLIパスワードの変更」を参照してください。


ステップ 5 次のコマンドを入力して、IPアドレスとサブネット マスクを設定します。

root@localhost# ip address ip-address subnet-mask
 

ステップ 6 次のコマンドを入力して、IPブロードキャスト アドレスを設定します。

root@localhost# ip broadcast broadcast-address
 

ステップ 7 次のコマンドを入力して、IPホスト名を設定します。IPホスト名は、CLIプロンプト、showコマンド、およびログ メッセージで使用されます。

root@localhost.localdomain# ip host name
 

ステップ 8 次のコマンドを入力して、デフォルト ゲートウェイを設定します。

root@nam1.localdomain# ip gateway default-gateway
 

ステップ 9 次のコマンドを入力して、NAMのドメイン名を設定します。

root@localhost# ip domain domain-name
 

ステップ 10 次のコマンドを入力して、1つまたは複数のIPアドレスをDNSネーム サーバとして設定します。

root@nam1.localdomain# ip nameserver ip-address [ip-address]
 

ステップ 11 次のコマンドを入力して、NAMの設定を確認します。

root@nam1.localdomain# show ip
 

ステップ 12 次のコマンドを入力して、SNMP sysLocation MIB変数を設定します。

root@nam1.localdomain# snmp location location-string

ステップ 13およびステップ 14で設定するMIB変数は、有効なDisplayStringテキストでなければなりません。長さは64文字までです。


ステップ 13 次のコマンドを入力して、SNMP sysContact MIB変数を設定します。

root@nam1.localdomain# snmp contact contact-string
 

ステップ 14 次のコマンドを入力して、SNMP sysName MIB変数を設定します。

root@nam1.localdomain# snmp name name-string

) SNMPロケーション、SNMPコンタクト、またはSNMP名を削除する場合は、パラメータを指定せずに該当するコマンドを入力します。


ステップ 15 次のコマンドを入力して、SNMPエージェントのコミュニティ ストリング パラメータ パスワードを読み書きアクセスに設定します。

root@localhost# snmp community community-string rw
 

ステップ 16 次のコマンドを入力して、SNMPエージェントのコミュニティ ストリング パラメータ パスワードを読み取り専用アクセスに設定します。

root@nam1.localdomain# snmp community community-string rw

) SNMPコミュニティ ストリングを消去する場合は、snmp delete community community-stringコマンドを使用します。


ステップ 17 次のコマンドを入力して、SNMPのアクセス制御および設定値を確認します。

root@nam1.localdomain# show snmp
 


 

この設定が完了すると、IETFに準拠した任意のRMONアプリケーションでNAMを使用できるようになります。

NAMの設定例を示します。

Console> (enable) session 2
Trying NAM-2...
Connected to NAM-2.
Escape character is '^]'.
 
Network Analysis Module (WS-SVC-NAM-1)
 
login: root
Password:
 
Network Analysis Module (WS-SVC-NAM-1) Console, 3.1(0.1)
Copyright (c) 1999-2002 by Cisco Systems, Inc.
 
WARNING! Default password has not been changed!
 
root@localhost# ip address 172.18.52.29 255.255.255.224
root@localhost# ip broadcast 172.18.52.31
root@localhost.localdomain# ip host nam1
root@nam1.localdomain# ip gateway 172.69.2.132
root@nam1.localdomain# ip domain cisco.com
root@nam1.cisco.com# ip nameserver 171.62.2.132
root@nam1.cisco.com# show ip
IP address: 172.20.98.182
Subnet mask: 255.255.255.192
IP Broadcast: 172.20.255.255
DNS Name: namlab-kom6.cisco.com
Default Gateway: 172.20.98.129
Nameserver(s): 171.69.2.133
HTTP server: Enabled
HTTP secure server:Disabled
HTTP port: 80
HTTP secure port: 443
TACACS+ configured:No
Telnet: Enabled
SSH: Disabled
root@nam1.cisco.com#
root@nam1.cisco.com# snmp location “Cisco Lab, Building X, Floor 1”
 
root@nam1.cisco.com# snmp contact “Jane Doe, Cisco Systems, (408) 111-1111”
root@nam1.cisco.com# snmp name “6k-NAM - Slot 2”
root@nam1.cisco.com# snmp community public ro
root@nam1.cisco.com# snmp community private rw
 
root@nam1.cisco.com# show snmp
 
SNMP Agent: nam1.Cisco.com 172.18.52.29
 
SNMPv1: Enabled
SNMPv2C: Enabled
SNMPv3: Disabled
 
community public read
community private write
 
sysDescr "Catalyst 6500 Network Management Module (WS-SVC-NAM-1)"
sysObjectID enterprises.9.5.1.3.1.1.2.914
sysContact "Jane Doe, Cisco Systems, (408) 111-1111"
sysName "6k-NAM - Slot 2"
sysLocation "Cisco Lab, Building X, Floor 1"
 

VLANの設定

NAM管理ポートとしてVLANを設定する必要はありません。このポートはスーパバイザ エンジン上のインターフェイスsc0に割り当てられたVLANに自動的に同期化されるからです。


) set vlan mod/portコマンドでNAM管理ポートにVLANを設定することはできません。


SNMPエージェントの設定


) NAM Traffic Analyzerアプリケーションを使用する場合、ここで説明する手順は省略可能です。


SNMPエージェントの設定は、CLIまたはNAM Traffic Analyzerアプリケーションを使用して行うことができます。外部のSNMPソースを使用したハイブリッド モード、またはWebサーバを使用してSNMPのサポート用にNAMを使用するには、事前にNAMのrootアカウントにログインして、次の設定を行う必要があります。

SNMP MIB変数

SNMPエージェントのアクセス制御

NAM上のシステム グループ設定

NAMに上記のパラメータを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、SNMP sysLocation MIB変数を設定します。

root@localhost# snmp location location-string

ステップ 2およびステップ 3で設定するMIB変数は、有効なDisplayStringテキストでなければなりません。長さは64文字までです。


ステップ 2 次のコマンドを入力して、SNMP sysContact MIB変数を設定します。

root@localhost# snmp contact contact-string
 

ステップ 3 次のコマンドを入力して、SNMP sysName MIB変数を設定します。

root@localhost# snmp name name-string

) SNMPロケーション、SNMPコンタクト、またはSNMP名を削除する場合は、パラメータを指定せずに該当するコマンドを入力します。


ステップ 4 次のコマンドを入力して、SNMPエージェントのコミュニティ ストリング パラメータ パスワードを読み書きアクセスに設定します。

root@localhost# snmp community community-string rw
 

ステップ 5 次のコマンドを入力して、SNMPエージェントのコミュニティ ストリング パラメータ パスワードを読み取り専用アクセスに設定します。

root@localhost# snmp community community-string ro

) SNMPコミュニティ ストリングを消去する場合は、snmp delete community community-stringコマンドを使用します。


ステップ 6 次のコマンドを入力して、SNMPのアクセス制御および設定値を確認します。

root@localhost# show snmp
 


 

この設定が完了すると、NetScout nGenius Real-Time MonitorまたはIETFに準拠した任意のRMONアプリケーションでNAMを使用できるようになります。

NAMの設定例を示します。

Console> (enable) session 2
Trying NAM-2...
Connected to NAM-2.
Escape character is '^]'.
 
Network Analysis Module (WS-SVC-NAM-1)
 
login: root
Password:
 
Network Analysis Module (WS-SVC-NAM-1) Console, 3.1(0.1)
Copyright (c) 1999-2002 by Cisco Systems, Inc.
 
WARNING! Default password has not been changed!
 
root@localhost# ip address 172.18.52.29 255.255.255.224
root@localhost# ip broadcast 172.18.52.31
root@localhost# ip host nam1
root@localhost# ip gateway 172.69.2.132
root@localhost# ip domain Cisco.com
root@localhost# ip nameserver 171.62.2.132
root@localhost# show ip
IP address: 172.18.52.29
Subnet mask: 255.255.255.224
IP Broadcast: 172.18.52.31
DNS Name: nam1.Cisco.com
Default Gateway: 172.18.52.1
Nameserver(s): 172.16.2.132
root@localhost#
root@localhost# snmp location “Cisco Lab, Building X, Floor 1”
 
root@localhost# snmp contact “Jane Doe, Cisco Systems, (408) 111-1111”
root@localhost# snmp name “6k-NAM - Slot 2”
root@localhost# snmp community public ro
root@localhost# snmp community private rw
 
root@localhost# show snmp
 
SNMP Agent: nam1.Cisco.com 172.18.52.29
 
SNMPv1: Enabled
SNMPv2C: Enabled
SNMPv3: Disabled
 
community public read
community private write
 
sysDescr "Catalyst 6500 Network Management Module (WS-SVC-NAM-1)"
sysObjectID 1.3.6.1.4.1.9.5.1.3.1.1.2.223
sysContact "Jane Doe, Cisco Systems, (408) 111-1111"
sysName "6k-NAM - Slot 2"
sysLocation "Cisco Lab, Building X, Floor 1"
 

NAMのトラフィックをキャプチャするトラフィック ソースの設定

WS-SVC-NAM-1プラットフォームにはSPANセッションの宛先ポートが1つあります。


) WS-X6380-NAMにはSPANセッションの宛先ポートが1つありますが、VACLはサポートしません。


WS-SVC-NAM-2プラットフォームにはVACLおよびSPANセッションで使用可能な宛先ポートが2つあります。デフォルトでは、SPANのGUI(グラフィカル ユーザ インターフェイス)で使用する宛先ポート名はDATA PORT 1およびDATA PORT 2です。CLI SPANポート名は「SPANのポート名」を参照してください。

VACLとSPANを1つのポートに同時に適用することはできません。次の表に、NAMでサポートするSPANとVACLのポート設定を示します。

 

表 3-1 NAM SPANおよびVACLポートの設定

NAM-1
NAM-2

1つのSPANセッションのみ

2つのSPANセッション

1つのVACLセッションのみ

1つのSPANセッションと1つのVACLセッション

2つのVACLセッション

NAMの初期設定を行ったら、次にネットワーク トラフィックがモニタできるようにVACL、ローカルまたはリモートのNDE、SPANを設定します。

「Cisco IOSソフトウェア」

「Catalystオペレーティング システム ソフトウェア」

Cisco IOSソフトウェア

1つまたは複数のVLANから、NAMをモニタするトラフィックをキャプチャできます。特定のVLANだけでモニタするには、モニタに使用しないVLANをキャプチャ機能から外します。

トラフィック ソースとしてSPANを使用する場合

CLIでもNAM Traffic Analyzerアプリケーションでも、SPANをトラフィック ソースとして設定できます。

NAMは、イーサネット、ファスト イーサネット、ギガビット イーサネット、トランク ポート、またはFast EtherChannel SPAN送信元ポートからのイーサネット トラフィックを監視できます。また、イーサネットVLANをSPAN送信元に指定することもできます。

SPANについての詳細は、次のWebサイトにある『Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/index.htm

NAMモジュール上のポートをSPAN送信元ポートとして使用することはできません。

NAM上でSPANをイネーブルにするには、次のいずれかの作業を行います。

コマンド
目的
Router (config)# monitor session {session_number} {source {interface type slot/port} | {vlan vlan_ID}} [, | - | rx | tx | both]

モニタ セッションの送信元インターフェイスおよびVLANを設定します。

Router (config)# monitor session {session_number} {destination analysis module NAM module number data-port port }

NAMのポート1をSPAN宛先ポートとしてイネーブルにします。

Router (config)# no monitor session session_number

モニタ セッションをディセーブルにします。

Router (config)# monitor session {session_number} {filter {vlan_ID} [, | - ]}

SPANセッションをフィルタリングして、特定のVLANだけがスイッチ ポート トランクから見えるようにします。

Router # show monitor session {session_number}

現在のモニタ セッションを表示します。

NAM上でSPANをイネーブルにする例を示します。

Router# show monitor
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports:None
Filter VLANs: None
 
Session 2
---------
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports:None
Filter VLANs: None
 
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
 
Router(config)# monitor session 1 source vlan 1 both
 

) スイッチのCLIを使用し、NAM-1のトラフィック送信元としてSPANを設定する場合、NAM-1のSPAN宛先ポートはdata-port 1です。NAM-2のSPAN宛先ポートはdata-port 1およびdata-port 2です。


Router#
00:21:10:%SYS-5-CONFIG_I:Configured from console by console
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
 
Router(config)# monitor session 1 destination analysis-module 8 data-port 1
Router# show monitor
Session 1
---------
Type :Local Session
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: 1
Source RSPAN VLAN:None
Destination Ports:analysis-module 8 data-port 1
 
Filter VLANs: None
Dest RSPAN VLAN: None
 
Session 2
---------
Type :Local Session
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Source RSPAN VLAN:None
Destination Ports:None
Filter VLANs: None
Dest RSPAN VLAN: None

トラフィック ソースとしてVACLを使用する場合

ここでは、ネイティブIOSバージョン12.1(13)E1以上を実行するスイッチのVACL設定に必要な手順を説明します。Catalystオペレーティング システム上でLAN VACLを設定する場合、セキュリティACL機能を使用すると同じように設定できます。「オペレーティング システムに依存しない設定」を参照してください。

WANインターフェイス上でのVACLの設定

WANインターフェイスはSPAN機能をサポートしません。このため、NAMを使用してWANインターフェイス上でトラフィックをモニタするには、スイッチのCLIを使用し、スイッチ上でVACLを手動で設定する必要があります。この機能は、WANインターフェイスのIPトラフィックでのみ有効です。また、フィルタリング ルールを使用して特定のデータ フローを扱うこともできます。


) WS-X6380-NAMでは、VACLデータ監視機能はサポートされていません。


また、トラフィックをNAMに送信するSPANセッションがない場合にもVACLが使用できます。この場合は、SPANの代わりにVACLを設定してVLANトラフィックをモニタします。

次の例では、Cisco IOS Release 12.1(13)E1以上を実行するスイッチのVACL設定に必要な手順を示します。Catalystオペレーティング システムを実行するスイッチにLAN VACLを設定する場合、セキュリティで使用するACL機能が同じになるように設定します。

この例では、Asynchronous Transfer Mode(ATM;非同期転送モード)のWANインターフェイス上でVACLを設定してNAMに入出トラフィックをどちらも転送する手順を示します。

Cat6500# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Cat6509(config)# access-list 100 permit ip any any
Cat6509(config)# vlan access-map wan 100
Cat6509(config-access-map)# match ip address 100
Cat6509(config-access-map)# action forward capture
Cat6509(config-access-map)# exit
Cat6509(config)# vlan filter wan interface ATM6/0/0.1
Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1-4094
Cat6509(config)# analysis module 3 data-port 1 capture
Cat6509(config)# exit
 

出トラフィックだけをモニタする場合、次のコマンドを使用してWANインターフェイスに関連付けられているVLAN IDを取得します。

Cat6509# show cwan vlan
Hidden VLAN swidb->if_number Interface
-----------------------------------------------
1017 94 ATM6/0/0.1
 

VLAN IDを取得したら、次のようにNAMデータ ポート キャプチャを設定します。

Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1017
 

入トラフィックをモニタするには、前回キャプチャ設定したVLAN 1017を入トラフィックを送信するVLAN IDに置き換えます。たとえば、NAMに次のような設定をするとWANインターフェイス上の入トラフィックだけがモニタできます。

Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1
 

LAN VLANインターフェイス上でのVACL設定

VLANトラフィックをLAN上でモニタする場合、スイッチまたはルータのSPAN機能を使用してNAMにトラフィックを転送します。しかし状況によっては転送されたトラフィックがNAMのモニタリング能力を超えることもあります。このため、あらかじめLANトラフィックにフィルタを設定してからNAMに転送することを推奨します。具体的には、次に示すVACLを使用します。

次に、LAN VLANインターフェイスにVACLを設定する例を示します。この例では、VLAN 1上のサーバ172.20.122.226に送信するトラフィックをすべてキャプチャし、スロット 3に搭載されたNAMに転送しています。

Cat6500# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Cat6509(config)# access-list 100 permit ip any any
Cat6509(config)# access-list 110 permit ip any host 172.20.122.226
Cat6509(config)# vlan access-map lan 100
Cat6509(config-access-map)# match ip address 110
Cat6509(config-access-map)# action forward capture
Cat6509(config-access-map)# exit
Cat6509(config)# vlan access-map lan 200
Cat6509(config-access-map)# match ip address 100
Cat6509(config-access-map)# action forward
Cat6509(config-access-map)# exit
Cat6509(config)# vlan filter lan vlan-list 1
Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1
Cat6509(config)# analysis module 3 data-port 1 capture
Cat6509(config)# exit
 

トラフィック ソースとしてNDEを使用する場合

NDEは、外部データ コレクタが収集したトラフィック統計情報を監視に使用できるようにします。NDEを使用すると、レイヤ3スイッチングおよびルーティングが行われたすべてのIPユニキャスト トラフィックをモニタできます。NAMのトラフィック ソースとしてNDEを使用する場合は、NetFlowモニタ オプションをイネーブルにして、NAMがNDEストリームを受信できるようにします。統計情報は、予約されたifIndex.3000で提供されます。

NetFlowデバイスにNDEを設定してNDEパケットをNAMにエクスポートする手順は、送信デバイスのプラットフォームやバージョンによって異なります。必要な設定手順については、そのNDEデバイスの設定時の注意事項および使用上の注意事項を参照してください。一般に、Cisco IOSやCatalystオペレーティング システムを実行するNetFlowデバイスの設定手順は次のようになります。

NDEの設定

ローカルおよびリモートのNDEデバイスにCisco IOSソフトウェアのNDEを設定する手順は次のとおりです。


ステップ 1 次の手順で、NDEを設定します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface type slot/port
 

ステップ 2 インターフェイスのNetFlowをイネーブルにします。

Router(config)# ip route-cache flow
 

ステップ 3 ルーティングされたフロー キャッシュのエントリをNAM UDPポート3000にエクスポートします。

Router(config)# ip flow-export destination NAM-address 3000

) UDPポート番号は、3000に設定する必要があります。


NAMモジュールをNDEコレクタとして設定する場合、(NAMモジュールとのセッションによって設定した)NAMのIPアドレスを使用する必要があります。


 

次に、基本的なNDEを設定する手順を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface vlan 2
Router(config)# ip route-cache flow
Router(config)# ip flow-export destination 172.20.104.74 3000
Router(config)# exit
 

MLSキャッシュからのNDEの設定

Policy Feature Card(PFC;ポリシー フィーチャ カード)(Multilayer Switching[MLS;マルチレイヤ スイッチング]キャッシュ)からNDEを設定する手順は、次のとおりです。


ステップ 1 設定モードを入力します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 

ステップ 2 NDEのバージョンを選択します。

Router(config)# mls nde sender version version-number

) NAMはNDEバージョン1、5、6、7、8およびバージョン8の集計キャッシュをサポートします。NAMで使用できるNDEバージョンについては、スイッチ ソフトウェアがサポートするNDEバージョンのCisco IOSマニュアルを参照してください。


ステップ 3 NDEフロー マスクを選択します。

Router(config)# mls flow ip [interface-full | full]

) 詳しい収集データを含めるにはフロー マスク[full]が必要です。


ステップ 4 NetFlowのエクスポートをイネーブルにします。

Router(config)# mls nde sender
 

ステップ 5 NetFlowパケットをNAM UDPポート3000にエクスポートします。

Router(config)# ip flow-export destination NAM-Address 3000
 


 

次に、Multilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)からNDEを設定する方法を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# mls nde sender version 5
Router(config)# mls flow ip full
Router(config)# mls nde sender
Router(config)# ip route-cache flow
Router(config)# ip flow-export destination 172.20.104.74 3000
Router# show ip cache flow
Router# show ip flow export
 

) PFC上でNDEを設定する場合の詳細については、次のURLを参照してください。http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/12_1e/swconfig/nde.htm - xtocid14


バージョン8集計のNDEの設定


) NAMはNDE集計をサポートしますが、指定した集計タイプについて受信する内容は集計に限られます。他の内容については受信できません。他のNDE設定についての情報を受け取るには、フル フロー モードを使用します。


NetFlowデバイスがNDEバージョン8集計をサポートしている場合、1つまたは複数のバージョン8集計キャッシュからのフローをNAMにエクスポートできます。具体的な手順は次のとおりです。


ステップ 1 NDEバージョン8集計を選択します。

Router(config)# ip flow-aggregation cache aggregation-type
 

サポートされている集計タイプは次のとおりです。

宛先プレフィクス

送信元プレフィクス

プロトコルポート

プレフィクス

ステップ 2 集計キャッシュをイネーブルにします。

Router(config-flow-cache)# enable
 

ステップ 3 集計キャッシュのフロー エントリをNAM UDPポート3000にエクスポートします。

Router(config-flow-cache)# export destination NAM-Address 3000
 

ステップ 4 NDEを検証します。

Router# show ip cache flow-aggregation aggregation-type
 


 

次に、NDEバージョン8集計の設定方法を示します。

Router(config)# ip flow-aggregation cache prefix
Router(config-flow-cache)# enable
Router(config-flow-cache)# export destination 172.20.104.74 3000
Router(config-flow-cache)# exit
Router(config)# show ip cache flow-aggregation prefix
 

Catalystオペレーティング システム ソフトウェア

1つまたは複数のVLANから、NAMをモニタするトラフィックをキャプチャできます。特定のVLANだけでモニタするには、モニタに使用しないVLANをキャプチャ機能から外します。

トラフィック ソースとしてSPANを使用する場合

SPANをトラフィック ソースとして設定する場合、スイッチのCLIとNAM Traffic Analyzerアプリケーションのどちらでも使用できますが、NAM Traffic Analyzerの使用を推奨します。

RSPANトラフィックは、NAMのSPAN送信元として使用できます。SPAN送信元がRSPANに使用されているのと同じVLAN IDに設定されていることを確認してください。SPAN宛先は、nam_module/portに設定する必要があります。


) スイッチのCLIを使用し、NAM-1へのトラフィック送信元としてSPANを設定する場合、宛先ポートは3に設定してください。NAM-2へのトラフィック送信元としてSPANを設定する場合は、SPANポートを宛先ポート7に設定してください。宛先ポート8はこのリリースのNAMでは使用できません(スイッチおよびハードウェア サポートは利用可能です)。



) NAMポートをSPAN送信元ポートとして使用することはできません。


NAMは、イーサネット、ファスト イーサネット、ギガビット イーサネット、トランク ポート、またはFast EtherChannel SPAN送信元ポートからのイーサネット トラフィックを監視できます。また、イーサネットVLANをSPAN送信元に指定することもできます。

SPANおよびRSPANの詳しい設定手順については、スイッチ ソフトウェア コンフィギュレーション ガイドを参照してください。

NAMをSPAN宛先ポートとして設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NAMをSPAN宛先ポートとして設定します。

set span {src_mod/src_ports | src_vlans | sc0} {dest_mod | dest_port } [rx | tx | both] [inpkts {enable | disable}] [learning {enable | disable}] [multicast {enable | disable}] [filter vlans...][create]

スロット5に搭載されているNAM-2にSPAN VLAN 1を設定する場合は、次のように入力します。

Console> (enable) set span 1 5/7
 

トラフィック ソースとしてLAN VACLを使用する場合

WAN VACLを使用するとインバウンドまたはアウトバウンドのVLANパケットをキャプチャできますが、Catalystオペレーティング システムのVACLを使用した場合は、最初からスイッチのVLANにルーティングまたはブリッジされているVLANパケットしかキャプチャできません。ただし、インバウンド パケット以外はキャプチャできないということではありません。

次に、Catalystオペレーティング システムのコマンドを使ってVACLを設定する手順を示します。

VLAN 1にブリッジまたはルーティングされているすべてのIPパケットをNAM-1データ ポート6/3に接続されているスイッチ上でキャプチャするVACLを作成するには、次のコマンドを使用します。

Console> (enable) set security acl ip LANCAPTURE permit ip any any capture
Console> (enable) commit
Console> (enable) set security acl map LANCAPTURE 1
Console> (enable) set sec acl cap 6/3
 

特定のVLAN 1の通信をキャプチャするVACLを作成するには、次のコマンドを使用します。

Console> (enable) set sec acl ip LANCAPTURE permit ip host 172.20.122.70 host 172.20.122.226 capture
Console> (enable) set security acl ip LANCAPTURE permit ip any any
Console> (enable) commit
Console> (enable) set security acl map LANCAPTURE 1
Console> (enable) set sec acl cap 6/3
 

トラフィック ソースとしてNDEを使用する場合

NAMのトラフィック ソースとしてNDEを使用する場合は、NetFlowモニタ オプションをイネーブルにして、NAMがNDEストリームを受信できるようにする必要があります。ローカル スイッチの統計情報は、NAMの前回のリリースと同様、予約されたifIndex.3000で提供されます。リモート スイッチはifIndex.50000以上を使用します。


) NetFlow機能を使用するには、Multilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャカード)の設定が必要です。NDEの設定手順については、『Catalyst 6500 Series Switch Software Configuration Guide』を参照してください。



) NetFlowのカスタム データ ソースを作成するCLIコマンドはありません。NetFlowのカスタム データ ソースを作成する場合は、NAM Traffic AnalyzerのGUIを使用します。


NDEの設定

次の手順で、Catalystオペレーティング システムのNetFlowモニタ オプションをイネーブルにします。

 

作業
コマンド

ステップ 1

NDEのバージョンを選択します。


) NAMはNDEバージョン1、5、6、7、8およびバージョン8の集計キャッシュをサポートします。NAMで使用できるNDEバージョンについては、スイッチ ソフトウェアがサポートするNDEのバージョンをCisco IOSのマニュアルで参照してください。


set mls nde version nde-version-number

ステップ 2

NDEフロー マスクをfullに指定します。


) NAMはNDE集計をサポートしますが、指定した集計タイプについて受信する内容は集計に限られます。他の内容については受信できません。他のNDE設定についての情報を受け取るには、フル フロー モードを使用します。


set mls flow full

ステップ 3

NAMにNDEパケットを送信します。

ローカルCatalyst6500スイッチから送信する場合

リモート デバイスから送信する場合

set snmp extendedrmon netflow [enable | disable] mod
set mls nde NAM-address 3000

ステップ 4

NDEエクスポートをイネーブルにします。

set mls nde enable

ステップ 5

デバイスがif-indexをエクスポートしていることを確認します。

set mls nde destination-ifindex enable
set mls nde source-ifindex enable

ステップ 6

NDEエクスポートを検証します。

ローカル デバイスの場合
リモート デバイスの場合

show snmp and show mls nde
show mls nde

NetFlowモニタ オプションをイネーブルにし、イネーブルに設定されたことを確認する例を示します。

Console> (enable) set snmp extendedrmon netflow enable 2
Snmp extended RMON netflow enabled
Console> (enable) show snmp
RMON: Enabled
Extended RMON NetFlow Enabled : Module 2
Traps Enabled:
None
Port Traps Enabled: None
 
Community-Access Community-String
---------------- --------------------
read-only public
read-write private
read-write-all secret
 
Trap-Rec-Address Trap-Rec-Community
---------------------------------------- --------------------
(テキスト出力は省略)
 

) NAMが搭載されている場合、『Catalyst 6500 Series Software Configuration Guide』に記述されているように、set mls nde collector_ip [udp_port_number]コマンドで外部データ コレクタを指定する必要はありません。ホストおよびポートが設定されていないというメッセージは無視してください。


ブリッジされたフロー統計情報からNDEをエクスポートする

スイッチがブリッジされたフロー統計情報からのNDEのエクスポートをサポートする場合、ブリッジされたフロー統計情報を使ってNDEをNAMにエクスポートできます。

次の手順で、ブリッジされたフロー統計情報をNDEにエクスポートします。

 

作業
コマンド

ステップ 1

ブリッジされたVLAN上のフロー統計情報をイネーブルにします。

set mls bridged-flow-statistics enable vlan-list

ステップ 2

NDEパケットをNAMのUDPポート3000にエクスポートします。

set mls nde NAM-address 3000

オペレーティング システムに依存しない設定

ここでは、スイッチのオペレーティング システムに依存しないNAMの設定について説明します。

RMON自動収集の設定

複数のデータソースに対するRMON収集を、SNMPを通じて管理ステーションで明示的に設定できます。SNMPを通じて明示的に設定された収集は、autostartで指定した収集よりも優先されます。したがって、両方とも設定されている場合、NAMの初期化時には各データ ソースに対して明示的に設定された収集だけが開始されます。

autostartコマンドを使用すると、NAMが初期化されるときに、使用可能なすべてのデータ ソース(すべての既知のVLANを含む)に対して、いくつかの収集が自動的に設定されます。


) 各データ ソースに対して多くの収集が起動されるとパフォーマンスが低下する可能性があるので、autostartを使用するのではなく、必要な収集を明示的に設定することを推奨します。



autostartコマンドを入力した場合、コマンドを有効にするには、NAMを再起動する必要があります。


次の収集タイプを自動的に開始できます。

addressMap ― RMON2-MIB(RFC 2021)のaddressMapTable

NMSがaddressMapMaxDesiredEntriesスカラーを設定しない場合、NAMは値-1(無制限)を使用します。

art ― draft-warth-rmon2-artmib-01.txtのartControlTable

etherStat ― RMON-MIB(RFC 1757)のetherStatsTable

prioStats ― SMON-MIB(RFC 2613)のsmonPrioStatsControlTable

vlanStats ― SMON-MIB(RFC 2613)のsmonVlanStatsControlTable

たとえば、autostart etherstats enableコマンドを入力してNAMを再起動すると、各データ ソース(インターフェイスまたはVLAN)に(RMON-1の)etherStatsEntryが設定されます。etherStatsOwnerフィールドはmonitorという値に設定されます。

自動開始プロセスが実行されるのは、管理ステーションによってSNMP経由で明示的に作成された収集をすべて設定してNAMのNVRAMに保存した後からです。SNMPを通じてすでに自動開始タイプの収集が設定されているデータ ソースに対しては、自動開始タイプの収集は設定されません。

自動開始プロセスの収集をイネーブルにする手順は、次のとおりです。

NAMのrootアカウントに次のコマンドを入力して、etherStat収集タイプをイネーブルにします。

root@localhost# autostart etherstat enable
 

NAMのrootアカウントに次のコマンドを入力して、addressMap収集タイプをイネーブルにします。

root@localhost# autostart addressmap enable
 

NAMのrootアカウントに次のコマンドを入力して、prioStats収集タイプをイネーブルにします。

root@localhost# autostart priostats enable

NAMのrootアカウントに次のコマンドを入力して、vlanStats収集タイプをイネーブルにします。

root@localhost# autostart vlanstats enable
 

NAMのrootアカウントに次のコマンドを入力して、vlanStats収集タイプをディセーブルにします。

root@localhost# autostart vlanstats disable
 

1つまたは複数の収集タイプをイネーブルまたはディセーブルにした後で、その設定を有効にするには、NAMを再起動する必要があります。

HTTPサーバまたはHTTPセキュア サーバの設定

Webブラウザ(HTTPまたはHTTPS)を使用してNAMにアクセスするには、事前にNAM CLIからNAM Traffic Analyzerアプリケーションをイネーブルにする必要があります。HTTPの場合、 ip http server enable コマンドを使用します。HTTPSの場合、 ip http secure server enable コマンドを使用します。任意で、HTTP(またはHTTPS)サーバがデフォルトとは異なるTCPポート上で稼働するように設定することもできます。


) HTTPサーバまたはHTTPセキュア サーバのどちらでも使用できますが、両方を使用することはできません。



) デフォルトでは、ip http secureコマンドはすべてディセーブルに設定されています。これらのコマンドをイネーブルにするには、http://www.cisco.comからNAM strong cryptoパッチをダウンロードしてインストールする必要があります。


HTTPサーバの設定

NAMにHTTPサーバのパラメータを設定する手順は、次のとおりです。


ステップ 1 (任意)次のコマンドを入力して、HTTPポートを設定します。

root@localhost# ip http port 8080
The HTTP server is enabled now. You must restart the
server to change HTTP port. Continue [y/n]? y
 

ポート番号は、1~65535の範囲です。


) WebユーザはCLIユーザとは異なります。ユーザ名とパスワードは、WebユーザとCLIユーザでは区別して管理されています。NAM CLIのユーザ名とパスワードを変更する場合は、「Cisco IOSソフトウェア」および「Catalystオペレーティング システム ソフトウェア」を参照してください。Webインターフェイスでユーザ名とパスワードを変更する場合は、NAM Traffic Analyzerアプリケーションのオンライン ヘルプと『User Guide for the Network Analysis Module NAM Traffic Analyzer』Release 3.1を参照してください。


ステップ 2 次のコマンドを入力して、HTTPサーバをイネーブルにします。

root@localhost# ip http server enable
Enabling HTTP server...
No web users configured!
Please enter a web administrator username [admin]:admin
New password:
Confirm password
User admin added.
Successfully enabled HTTP server.
 


 

HTTPセキュア サーバの設定

デフォルトでは、 ip http secure コマンドはすべてディセーブルに設定されています。strong cryptoパッチをインストールして、HTTPセキュア サーバをイネーブルにする必要があります。Telnetの代わりにSSHを使用する場合は、strong cryptoパッチもインストールする必要があります。

strong cryptoパッチをインストールする手順は、次のとおりです。


ステップ 1 http://www.Cisco.comからパッチをダウンロードして、FTPサーバに送信します。

ステップ 2 次のコマンドを入力して、パッチをインストールします。

root@localhost# patch ftp-url
 

ftp-url は、strong cryptoパッチのFTPロケーションおよび名前です。

パッチをインストールする例を示します。

Console># # patch ftp://host/path/c6nam-3.1-strong-cryptoK9-patch-1-0.bin
 
Proceeding with installation. Please do not interrupt.
If installation is interrupted, please try again.
 
Downloading c6nam-3.1-strong-cryptoK9-patch-1-0.bin. Please wait...
ftp://host/path/c6nam-3.1-strong-cryptoK9-patch-1-0.bin (1K)
- [########################] 1K | 228.92K/s
1891 bytes transferred in 0.01 sec (225.40k/sec)
 
Verifying c6nam-3.1-strong-cryptoK9-patch-1-0.bin. Please wait...
Patch c6nam-3.1-strong-cryptoK9-patch-1-0.bin verified.
 
Applying /usr/local/nam/patch/workdir/c6nam-3.1-strong-cryptoK9-patch-1-0.bin.
Please wait...
########################################### [100%]
########################################### [100%]
 
Patch applied successfully.
 

ステップ 3 (任意)次のコマンドを入力して、HTTPSサーバを設定します。

root@localhost# ip http secure port 8080
The HTTP server is enabled now. You must restart the
server to change HTTP port. Continue [y/n]? y
 

ポート番号は、1~65535の範囲です。


) WebユーザはCLIユーザとは異なります。


ステップ 4 次のコマンドを入力して、HTTPSサーバをイネーブルにします。

root@localhost# ip http secure server enable
Enabling HTTP server...
No web users configured!
Please enter a web administrator username [admin]:admin
New password:
Confirm password
User admin added.
Successfully enabled HTTP server.
 


 

証明書の生成

証明書は、セキュア サーバ接続の正当性を確認する目的で使用します。自己署名の証明書を生成することや認証権限者から証明書を取得してインストールすることができます。

自己署名の証明書を生成するには、次のコマンドを入力します。

Console> (enable)# ip http secure generate self-signed-certificate
 
A certificate-signing request already exists. Generating a
new self signed certificate will invalidate the existing
signing request and any certificates already generated from
the existing request. Enter y to reuse the existing
certificate-signing request or n to generate a new one.
Reuse existing certificate-signing request?[y/n] y
 
The HTTP server is enabled now. You must restart
to generate the certificate. Continue [y/n]? y
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Disabling HTTP server...
Successfully disabled HTTP server.
Enabling HTTP server...
Successfully enabled HTTP server.
 

認証権限者から証明書を取得するには、まず証明書署名要求を生成し、その要求を認証権限者に手動で提出する必要があります。認証権限者から証明書を取得してから、その証明書をインストールします。

証明書のインストール

認証権限者から取得した証明書をインストールする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、証明書署名要求を生成します。

root@localhost# ip http secure generate certificate-request
A certificate-signing request already exists. Generating a
new one will invalidate the existing one and any certificates
already generated from the existing request. Do you still
want to generate a new one? [y/n] y
5244 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.......................................++++++
.++++++
e is 65537 (0x10001)
Using configuration from /usr/local/nam/defaults/openssl.cnf
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:Tamil Nadu
Locality Name (eg, city) []:Chennai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [hostname.Cisco.com]:
Email Address []:xxx@Cisco.com
-----BEGIN CERTIFICATE REQUEST-----
MIIBzzCCATgCAQAwgY4xCzAJBgNVBAYTAklOMRMwEQYDVQQIEwpUYW1pbCBOYWR1
MRAwDgYDVQQHEwdDaGVubmFpMRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMR4wHAYD
VQQDExVuYW1sYWItcGlrMy5jaXNjby5jb20xIDAeBgkqhkiG9w0BCQEWEXNla2Fy
YmNAY2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8+SR503gS
ygkf6pnHuh0LelNf6LqJjzwFfjqjS8vpkFq/QVbwqTNDIggUfbvRAIRWEKVWhpRf
rr+II2o/Xzb0RLpV2J2p3HGgoRrKC3nArIFFiSqXniEU+g2mPqsFNcOyxHNXIxEj
iBQf80DxbmvWFOpunmOQ/pGuEysNfU/46wIDAQABoAAwDQYJKoZIhvcNAQEEBQAD
gYEAVAX89pCAcRDOqPgaBEMQCmWD+wqZPnALovr7C81OLBYTgLLqdwPqoSjSYosE
w/pFnIxWN1sJ7MC8+hjnJJLjoCwbyrEyvoiAvzpsGsnAZgWUVaUpR7jlNbf8x2A1
hAOH9KchS0TpSNy13OyhuAkv0pUcM2AJqB/93u4YvuHfNOA=
-----END CERTIFICATE REQUEST-----
 

ステップ 2 次のコマンドを入力して、認証権限者から取得した証明書をインストールします。

root@localhost# ip http secure install certificate
The HTTP server is enabled now. You must restart the
server to install certificate. Continue [y/n]? y
 
Cut and paste the certificate you received from
Certificate Authority. Enter a period (.), then
press enter to indicate the end of the certificate.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
.
Disabling HTTP server...
Successfully disabled HTTP server.
Enabling HTTP server...
Successfully enabled HTTP server.
 


 

TACACS+サーバの使用

TACACS+は、リモート アクセス認証および関連サービスを提供するシスコシステムズの認証プロトコルです。TACACS+を使用する場合、ユーザ パスワードは個々のルータではなくセントラル データベースで管理されます。

ユーザがNAM Traffic Analyzerにログインすると、TACACS+はそのユーザの名前とパスワードが有効かどうかを確認し、ユーザに割り当てられたアクセス権限を判別します。

NAMでTACACS+を使用するには、事前にNAMとTACACS+サーバの両方を設定する必要があります。

NAMにTACACS+を設定する手順は、次のとおりです。


ステップ 1 NAM Traffic Analyzerアプリケーションを起動します。

ステップ 2 Admin タブをクリックします。

ステップ 3 Users を選択します。

ステップ 4 TACACS+ を選択します。

ステップ 5 Enable TACACS+ Administration and Authenticationボックスをクリックします。

ステップ 6 オンライン ヘルプの説明に従ってください。