Cisco Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Network Analysis Module インストレーション コンフィギュレーション ノート 5.1
使用する前に
使用する前に
発行日;2012/08/08 | 英語版ドキュメント(2011/04/04 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 897KB) | フィードバック

目次

使用する前に

NAM の設定

NAM トラフィックをキャプチャするためのトラフィック ソースの設定

Cisco IOS ソフトウェア

トラフィック ソースとしての SPAN の使用

トラフィック ソースとしての VACL の使用

トラフィック ソースとしての NetFlow データ エクスポートの使用

オペレーティング システムに依存しない設定

HTTP または HTTP セキュア サーバの設定

HTTP サーバの設定

HTTP セキュア サーバの設定

証明書の生成

証明書のインストール

TACACS+ サーバの使用

使用する前に

この章では、Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータの NAM を設定する方法について説明します。説明する内容は次のとおりです。

「NAM の設定」

「NAM トラフィックをキャプチャするためのトラフィック ソースの設定」

「オペレーティング システムに依存しない設定」

NAM の設定

NAM の初期設定が完了したら、ネットワーク トラフィックをモニタリングするための VLAN アクセス コントロール リスト(VACL)、ローカルまたはリモートの NetFlow データ エクスポート(NDE)、およびスイッチド ポート アナライザ(SPAN)を設定できます。詳細については、「NAM トラフィックをキャプチャするためのトラフィック ソースの設定」を参照してください。

NAM のソフトウェアに依存した属性の設定を完了すると、ソフトウェアに依存しない属性を設定できます。詳細については、「オペレーティング システムに依存しない設定」を参照してください。

NAM トラフィックをキャプチャするためのトラフィック ソースの設定

WS-SVC-NAM-1 プラットフォームには、1 つの SPAN セッションまたは 1 つの VACL セッションのための 1 つの宛先ポートが用意されています。

WS-SVC-NAM-2 プラットフォームには、VACL および SPAN セッションのための 2 つの可能な宛先ポートが用意されています。SPAN の GUI で使用される宛先ポートには、デフォルトでデータ ポート 1 およびデータ ポート 2 という名前が付けられます。CLI の SPAN のポート名については、表 1-2 を参照してください。

VACL と SPAN を同じポートに同時に適用することはできません。 表 3-1 に、NAM 上でサポートされている SPAN と VACL のポート設定を示します。

 

表 3-1 NAM の SPAN と VACL のポート設定

NAM-1
NAM-2

1 つの SPAN セッションのみ

2 SPAN セッション

1 つの VACL セッションのみ

1 つの SPAN セッションと 1 つの VACL セッション

2 つの VACL セッション

SPAN の詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/8.x/configuration/guide/span.html

VACL の詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/8.x/configuration/guide/acc_list.html#wp1020303

NDE の詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/8.x/configuration/guide/nde.html

Cisco IOS ソフトウェア

1 つの VLAN または複数の VLAN からの NAM モニタリングのためのトラフィックをキャプチャできます。特定の VLAN からのトラフィックのみをモニタリングする場合は、モニタリングしない VLAN をキャプチャ機能からクリアする必要があります。

トラフィック ソースとしての SPAN の使用

CLI と NAM アプリケーションの両方を使用して、SPAN をトラフィック ソースとして設定できます。

NAM は、イーサネット、ファスト イーサネット、ギガビット イーサネット、トランク ポート、または Fast EtherChannel SPAN 送信元ポートからのイーサネット トラフィックを分析できます。また、SPAN 送信元としてイーサネット VLAN を指定することもできます。

SPAN の詳細については、次の URL にある『Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide』を参照してください。

http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/guide/swcg.html

NAM モジュール上のポートを SPAN 送信元ポートとして使用することはできません。

NAM 上の SPAN をイネーブルにするには、次の作業のいずれかを実行します。

 

コマンド
目的
Router (config)# monitor session {session_number} {source {interface type slot/port} | {vlan vlan_ID}} [, | - | rx | tx | bot h ]

モニタ セッションのための送信元インターフェイスと VLAN を設定します。

Router (config)# monitor session {session_number} {destination analysis module NAM module number data-port port }

NAM のポート 1 を SPAN 宛先としてイネーブルにします。

Router (config)# no monitor session session_number

モニタ セッションをディセーブルにします。

Router (config)# monitor session {session_number} {filter {vlan_ID} [, | - ]}

スイッチ ポート トランクから特定の VLAN のみが認識されるように SPAN セッションをフィルタリングします。

Router # show monitor session {session_number}

現在のモニタ セッションを表示します。

次に、NAM 上の SPAN をイネーブルにする例を示します。

Router# show monitor
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports:None
Filter VLANs: None
 
Session 2
---------
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports:None
Filter VLANs: None
 
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 
Router(config)# monitor session 1 source vlan 1 both
 

) スイッチの CLI を使用して SPAN を NAM-1 へのトラフィック ソースとして設定している場合、NAM-1 への SPAN 宛先ポートはデータ ポート 1 です。NAM-2 への SPAN 宛先ポートは、データ ポート 1 とデータ ポート 2 です。


Router#
00:21:10:%SYS-5-CONFIG_I:Configured from console by console
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
 
Router(config)# monitor session 1 destination analysis-module 8 data-port 1
Router# show monitor
Session 1
---------
Type :Local Session
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: 1
Source RSPAN VLAN:None
Destination Ports:analysis-module 8 data-port 1
 
Filter VLANs: None
Dest RSPAN VLAN: None
Session 2
---------
Type :Local Session
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Source RSPAN VLAN:None
Destination Ports:None
Filter VLANs: None
Dest RSPAN VLAN: None
 

トラフィック ソースとしての VACL の使用

ここでは、Cisco IOS Release 12.1(13)E1 以降のリリースを実行しているスイッチで VACL を設定する方法について説明します。詳細については、「オペレーティング システムに依存しない設定」を参照してください。


) IOS の制限(IOS の VACL キャプチャ機能では 7600 ルータを送信元とするトラフィックが無視されます)のために、一部のモジュール(ファイアウォールや IDE モジュールなど)からの出力トラフィックが NAM データ ポートでキャプチャされない可能性があります。この制限については、モジュールのマニュアルを確認してください。


WAN インターフェイス上での VACL の設定

WAN インターフェイスでは SPAN がサポートされないため、NAM を使用して WAN インターフェイス上のトラフィックをモニタリングする場合は、スイッチの CLI を使用してスイッチ上で VACL を手動で設定する必要があります。この機能は、WAN インターフェイス経由の IP トラフィックに対してのみ機能します。ターゲット固有のデータ フローに対して追加のフィルタリング ルールを適用できます。

さらに、NAM にトラフィックを転送するために使用できる SPAN セッションが存在しない場合は VACL を使用できます。このシナリオでは、VLAN トラフィックのモニタリングに SPAN の代わりに VACL を設定できます。

次の例は、Cisco IOS Release 12.1(13)E1 以降を実行しているスイッチで VACL を設定するための手順を示しています。

次に、ATM WAN インターフェイス上で VACL を設定し、入力トラフィックと出力トラフィックの両方を NAM に転送する例を示します。

Cat6500# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Cat6509(config)# access-list 100 permit ip any any
Cat6509(config)# vlan access-map wan 100
Cat6509(config-access-map)# match ip address 100
Cat6509(config-access-map)# action forward capture
Cat6509(config-access-map)# exit
Cat6509(config)# vlan filter wan interface ATM6/0/0.1
Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1-4094
Cat6509(config)# analysis module 3 data-port 1 capture
Cat6509(config)# exit
 

出力トラフィックのみをモニタリングする場合は、次のように、WAN インターフェイス コマンドに関連付けられた VLAN ID を取得できます。

Cat6509# show cwan vlan
Hidden VLAN swidb->if_number Interface
-----------------------------------------------
1017 94 ATM6/0/0.1
 

VLAN ID が取得されたら、次のように NAM データ ポートのキャプチャを設定します。

Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1017
 

入力トラフィックのモニタリングには、前のキャプチャ設定の VLAN 1017 を、入力トラフィックを搬送する VLAN ID に置き換えます。たとえば、次の設定では、NAM は WAN インターフェイス上の入力トラフィックのみをモニタリングできます。

Cat6509(config)# analysis module 3 data-port 1 capture allowed-vlan 1
 

LAN VLAN インターフェイス上での VACL の設定

LAN 上の VLAN トラフィックをモニタリングするには、SPAN を使用して、そのトラフィックを NAM に転送できます。ただし、状況によっては、スパンされたトラフィックが NAM のモニタリング機能を超えた場合、NAM に転送される前の LAN トラフィックを事前にフィルタリングすることができます。

次に、LAN VLAN インターフェイスの VACL を設定する例を示します。この例では、VLAN 1 上のサーバ 172.20.122.226 に送信されるすべてのトラフィックがキャプチャされ、スロット 3 にある NAM に転送されます。

Cat6500# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Cat6500(config)# access-list 100 permit ip any any
Cat6500(config)# access-list 110 permit ip any host 172.20.122.226
Cat6500(config)# vlan access-map lan 100
Cat6500(config-access-map)# match ip address 110
Cat6500(config-access-map)# action forward capture
Cat6500(config-access-map)# exit
Cat6500(config)# vlan access-map lan 200
Cat6500(config-access-map)# match ip address 100
Cat6500(config-access-map)# action forward
Cat6500(config-access-map)# exit
Cat6500(config)# vlan filter lan vlan-list 1
Cat6500(config)# analysis module 3 data-port 1 capture allowed-vlan 1
Cat6500(config)# analysis module 3 data-port 1 capture
Cat6500(config)# exit
 

トラフィック ソースとしての NetFlow データ エクスポートの使用

NDE は、外部のデータ コレクタによる解析が可能なトラフィック統計情報を作成します。NDE を使用して、すべてのレイヤ 3 スイッチド トラフィックおよびすべてのルーテッド IP ユニキャスト トラフィックをモニタリングできます。NDE を NAM のトラフィック ソースとして使用するには、NetFlow モニタ オプションをイネーブルにして、NAM で NDE ストリームを受信できるようにします。統計情報は、予約された ifIndex.3000 で提供されます。

NetFlow デバイスが NDE パケットを NAM にエクスポートするように NetFlow デバイスで NDE を設定する手順はプラットフォームや、送信側デバイスのバージョンによって異なります。詳細については、デバイスの NDE 設定時の注意事項を参照してください。

NDE の設定

ローカルとリモートの両方の NDE デバイス用に Cisco IOS ソフトウェアで NDE を設定するには、次の手順を実行します。


ステップ 1 次のように NDE を設定します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface type slot/port
 

ステップ 2 インターフェイスの NetFlow をイネーブルにします。

Router(config)# ip route-cache flow
 

ステップ 3 ルーティングされたフロー キャッシュ エントリを NAM UDP ポート(有効な値は 1 ~ 65535)にエクスポートします。

Router(config)# ip flow-export destination NAM-address 9101
 

) デフォルト ポートは 3000 です。ただし、netflow input port コマンドを使用して、値の範囲(1 ~ 65535)のポート番号を定義することもできます。


NAM モジュールを NDE コレクタとして設定する場合は、NAM の IP アドレスを使用してください(NAM モジュールにセッション接続することによって設定します)。


 

次に、基本的な NDE 設定を設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface vlan 2
Router(config)# ip route-cache flow
Router(config)# ip flow-export destination 172.20.104.74 3000
Router(config)# exit
 

MLS キャッシュからの NDE 設定

PFC(マルチレイヤ スイッチング キャッシュ)から NDE を設定するには、次の手順を実行します。


ステップ 1 コンフィギュレーション モードを開始します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 

ステップ 2 NDE のバージョンを選択します。

Router(config)# mls nde sender version version-number
 

) NAM は、NDE バージョン 1、5、6、7、8、9、およびバージョン 8 集約キャッシュをサポートします。NAM でどの NDE バージョンを使用できるかを判定するには、スイッチ ソフトウェアでサポートされている NDE バージョンについて Cisco IOS のマニュアルを参照してください。


ステップ 3 NDE フロー マスクを選択します。

Router(config)# mls flow ip [interface-full | full]
 

) フロー マスクに収集データの追加の詳細を含めるには、full キーワードを使用します。


ステップ 4 NetFlow エクスポートをイネーブルにします。

Router(config)# mls nde sender
 

ステップ 5 NetFlow パケットを NAM UDP ポート 3000 にエクスポートします。

Router(config)# ip flow-export destination NAM-Address 3000
 


 

次に、マルチレイヤ スイッチ フィーチャ カード(MSFC)から NDE 設定を設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# mls nde sender version 5
Router(config)# mls flow ip full
Router(config)# mls nde sender
Router(config)# ip route-cache flow
Router(config)# ip flow-export destination 172.20.104.74 3000
Router# show ip cache flow
Router# show ip flow export
 

ポリシー フィーチャ カード(PFC)での NDE の設定の詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2sr/12_2srb/feature/guide/nfvrfsrb.html

バージョン 8 集約のための NDE 設定


) NAM では NDE の集約がサポートされていますが、指定した集約タイプに対して受信する情報はその集約に制限され、NDE のその他の詳細は取得できません。NDE 設定に関するより詳細な情報を受信するには、full フロー モードを使用します。


NetFlow デバイスで NDE のバージョン 8 集約がサポートされている場合は、1 つ以上のバージョン 8 集約キャッシュからのフローが NAM にエクスポートされる可能性があります。集約キャッシュからのフローをエクスポートするには、次の手順を実行します。


ステップ 1 NDE のバージョン 8 集約を選択します。

Router(config)# ip flow-aggregation cache aggregation-type
 

サポートされる集約タイプは次のとおりです。

送信先プレフィックス

送信元プレフィックス

プロトコル ポート

プレフィックス

ステップ 2 集約キャッシュをイネーブルにします。

Router(config-flow-cache)# enable
 

ステップ 3 集約キャッシュ内のフロー エントリを NAM UDP ポート 3000 にエクスポートします。

Router(config-flow-cache)# export destination NAM-Address 3000
 

ステップ 4 NDE を確認します。

Router# show ip cache flow-aggregation aggregation-type
 


 

次に、NDE のバージョン 8 集約設定を設定する例を示します。

Router(config)# ip flow-aggregation cache prefix
Router(config-flow-cache)# enable
Router(config-flow-cache)# export destination 172.20.104.74 3000
Router(config-flow-cache)# exit
Router(config)# show ip cache flow-aggregation prefix

オペレーティング システムに依存しない設定

ここでは、スイッチのオペレーティング システムに依存しない NAM 設定について説明します。

「HTTP または HTTP セキュア サーバの設定」

「HTTP サーバの設定」

「HTTP セキュア サーバの設定」

「証明書の生成」

「証明書のインストール」

「TACACS+ サーバの使用」

HTTP または HTTP セキュア サーバの設定

Web ブラウザ(HTTP または HTTPS)経由で NAM にアクセスするには、その前に NAM CLI から NAM アプリケーションをイネーブルにする必要があります。HTTP の場合は、 ip http server enable コマンドを使用します。HTTPS の場合は、 ip http secure server enable コマンドを使用します。また、必要に応じて、デフォルトとは異なる TCP ポート上で動作するように HTTP(または HTTPS)サーバを設定することもできます。


ip http secure コマンドは、デフォルトではすべてディセーブルになっています。これらのコマンドをイネーブルにするには、まず http://www.Cisco.com から NAM の強力な暗号化パッチをダウンロードしてインストールする必要があります。


HTTP サーバの設定

NAM の HTTP サーバ パラメータを設定するには、次の手順を実行します。


ステップ 1 (任意)次のように HTTP ポートを設定します。

root@localhost# ip http port 8080
The HTTP server is enabled now. You must restart the
server to change HTTP port. Continue [y/n]? y
 

ポート番号の範囲は 1 ~ 65535 です。

Web ユーザは CLI ユーザとは異なります。Web ユーザと CLI ユーザのユーザ名とパスワードは個別に管理されています。NAM CLI でのユーザ名とパスワードの変更については、「Cisco IOS ソフトウェア」を参照してください。Web インターフェイス経由でユーザ名とパスワードを変更するには、NAM のオンライン ヘルプおよび『 User Guide for the Cisco Prime Network Analysis Module 』を参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/5.1/user/guide/nam51_ug.html

ステップ 2 次のように HTTP サーバをイネーブルにします。

root@localhost# ip http server enable
Enabling HTTP server...
No web users configured!
Please enter a web administrator username [admin]: admin
New password:
Confirm password
User admin added.
Successfully enabled HTTP server.
 


 

HTTP セキュア サーバの設定

ip http secure コマンドは、デフォルトではすべてディセーブルになっているため、強力な暗号化パッチをインストールすることによって HTTP セキュア サーバをイネーブルにする必要があります。Telnet の代わりに SSH を使用する場合も、強力な暗号化パッチをインストールする必要があります。

強力な暗号化パッチをインストールするには、次の手順を実行します。


ステップ 1 http://www.Cisco.com からパッチをダウンロードし、そのパッチを FTP サーバで公開します。

ステップ 2 次のようにパッチをインストールします。

root@localhost# patch ftp-url
 

ここで、 ftp-url は FTP の場所および強力な暗号化パッチの名前です。

次に、パッチをインストールする例を示します。

root@localhost# patch ftp://host/path/nam-app.5-0.cryptoK9.patch.1-0.bin
 
Proceeding with installation. Please do not interrupt.
If installation is interrupted, please try again.
 
Downloading nam-app.5-0.cryptoK9.patch.1-0.bin. Please wait...
ftp://host/path/nam-app.5-0.cryptoK9.patch.1-0.bin (1K)
- [########################] 1K | 228.92K/s
1891 bytes transferred in 0.01 sec (225.40k/sec)
 
Verifying nam-app.5-0.cryptoK9.patch.1-0.bin. Please wait...
Patch c6nam- 5.1-strong-cryptoK9-patch-1-0.bin verified.
 
Applying /usr/local/nam/patch/workdir/c6nam-5.1-strong-cryptoK9-patch-1-0.bin.
Please wait...
########################################### [100%]
########################################### [100%]
 
Patch applied successfully.
 

ステップ 3 (任意)次のように HTTPS サーバを設定します。


) デフォルト(443)以外のポートを指定する場合は、:port_number を追加します。


root@localhost# ip http secure port 8080
The HTTP server is enabled now. You must restart the
server to change HTTP port. Continue [y/n]? y
 

ポート番号の範囲は 1 ~ 65535 です。


) Web ユーザは CLI ユーザとは異なります。


ステップ 4 次のように HTTPS サーバをイネーブルにします。

root@localhost# ip http secure server enable
Enabling HTTP server...
No web users configured!
Please enter a web administrator username [admin]:admin
New password:
Confirm password
User admin added.
Successfully enabled HTTP server.
 


 

証明書の生成

証明書は、セキュア サーバの接続を検証するために使用されます。自己署名証明書を生成するか、または証明機関から証明書を取得してインストールすることができます。

次に、自己署名証明書を生成する例を示します。

root@localhost# ip http secure generate self-signed-certificate
 
The HTTP secure server is enabled now. You must restart
to generate the certificate. Continue [y/n]? y
5243 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
..........++++++
.....++++++
e is 65537 (0x10001)
Using configuration from /usr/local/nam/defaults/openssl.cnf
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems, Inc.
Organizational Unit Name (eg, section) []:NAM
Common Name (eg, your name or your server's hostname) [r2d2-186.cisco.com]:
Email Address []:kjchen@cisco.com
Using configuration from /usr/local/nam/defaults/openssl.cnf
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Disabling HTTP secure server...
Successfully disabled HTTP secure server.
Enabling HTTP secure server...
Successfully enabled HTTP secure server.
root@localhost#
 

証明機関から証明書を取得するには、まず証明書署名要求を生成し、その証明書署名要求を証明機関に手動で送信する必要があります。証明機関から証明書を取得したら、その証明書をインストールします。

証明書のインストール

証明機関からの証明書をインストールするには、次の手順を実行します。


ステップ 1 次のように証明書署名要求を生成します。

root@localhost# ip http secure generate certificate-request
A certificate-signing request already exists. Generating a
new one will invalidate the existing one and any certificates
already generated from the existing request. Do you still
want to generate a new one? [y/n] y
5244 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.......................................++++++
.++++++
e is 65537 (0x10001)
Using configuration from /usr/local/nam/defaults/openssl.cnf
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:Tamil Nadu
Locality Name (eg, city) []:Chennai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [hostname.Cisco.com]:
Email Address []:xxx@Cisco.com
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
 

ステップ 2 次のように、証明機関から取得された証明書をインストールします。

root@localhost# ip http secure install certificate
The HTTP server is enabled now. You must restart the
server to install certificate. Continue [y/n]? y
 
Cut and paste the certificate you received from
Certificate Authority. Enter a period (.), then
press enter to indicate the end of the certificate.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
.
Disabling HTTP server...
Successfully disabled HTTP server.
Enabling HTTP server...
Successfully enabled HTTP server.
 


 

TACACS+ サーバの使用

TACACS+ は、リモート アクセス認証および関連するサービスを提供するシスコの認証プロトコルです。TACACS+ では、ユーザ パスワードは個々のルータではなく、中央データベースで管理されます。


) NAM では、TACACS+ 認証のための ACS バージョン 5.1 がサポートされません。


ユーザが NAM にログインすると、TACACS+ はユーザ名とパスワードが有効かどうか、およびそのユーザにどのようなアクセス権限が付与されているかを判定します。

TACACS+ で NAM を使用するには、その前に NAM と TACACS+ サーバの両方を設定する必要があります。

TACACS+ 用に NAM を設定するには、次の手順を実行します。


ステップ 1 NAM アプリケーションを起動します。

ステップ 2 [Administration] タブをクリックします。

ステップ 3 [Users] を選択します。

ステップ 4 [TACACS+] を選択します。

ステップ 5 [Enable TACACS+ Administration and Authentication] ボックスをクリックします。

ステップ 6 オンライン ヘルプの指示に従います。