この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この 章 では、Cisco Prime ネットワーク解析モジュール ソフトウェアで実行する必要があるユーザおよびシステム管理タスク、およびテクニカル サポートの要求時に診断情報を生成する方法について説明します。
管理者のロールの 1 つは、次の目的のために、Prime NAM のネットワーク データの収集および保持を管理することです。
• 監視対象デバイス、アプリケーション、およびネットワーク帯域幅の負荷を最小限に抑える。
次の各項では、これらの目標を達成する方法、およびその他のデータ管理タスクを実行する方法について説明します。
必要に応じて設定およびデータを復元できるように、システムをバックアップすることが重要です。十分なデータのバックアップがスケジュールされていることを確認します。
ネットワーク管理者は、ネットワークのストレージの要件を縮小し、バックアップおよびリカバリなどのタスクでの帯域幅効率を向上させる方法を一貫して探しています。
サポートされるプラットフォーム上で Prime NAM のパケットの重複排除を設定することで、検査したセグメントが特定の時間ウィンドウ内の別のパケットと一致するパケットは重複としてマークされ、転送されません。
• 「Prime NAM のヘルスおよびトラフィック統計情報のモニタリング」
• 「Web データ パブリケーションの有効化による NAM データの共有」
• 「Syslog メッセージを受信するリモート サーバの設定」
• 「Prime NAM から SNMP トラップを受信するホストの設定」
Cisco NAM が過負荷にならずに効率的かつ効果的にトラフィックを処理することを確認することが重要なタスクです。
Cisco NAM で受信されたネットワーク トラフィックに加え、そのヘルスに関するデータ(サーバ ネットワークの詳細、および CPU、メモリ、データ使用状況など)を表示するには、[Administration] > [System] > [Overview] を使用します。
スケーラビリティの問題を特定し、トラブルシューティングを支援するには、[Inputs] および [Resources] タブで提供されるデータを使用します。
表 6-1 に、[System Overview] ウィンドウの情報の種類を示します。
サイトのネーム サーバなどのネットワーク パラメータを表示および設定するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [Network Parameters] を選択します。
[Network Parameters] ウィンドウが表示されます。
• 変更を保存するには、[Submit] をクリックします。
SNMP エージェントは、管理対象デバイス内のネットワーク管理ソフトウェア モジュールです。管理情報に関するローカルな知識があり、その情報を SNMP と互換性のある形式に変換します。
SNMPv2 および SNMPv1 に加えて、SNMPv3 でデバイスを管理できます。NAM は管理対象デバイスをポーリングして、その基本的な状態およびインターフェイスの統計情報を取得します。NAM ブレードの場合、管理対象デバイスは NAM が挿入されているスイッチで、NAM ソフトウェアは、ポーリングを行うために、SNMP およびコミュニティ ストリングの使用をスイッチとネゴシエーションします。このコミュニティ ストリングは NAM と使用する場合のみ有効です。セキュリティを考慮して、スイッチではコミュニティ ストリングが NAM の IP アドレスのみに関連付けられ、他の SNMP アプリケーションではこのスイッチとの通信にこのコミュニティ ストリングを使用することはできません。コミュニティ ストリングの詳細については、「NAM コミュニティ ストリングの使用」を参照してください。
また、さらにセキュリティ上の問題を軽減するために、SNMP は NAM ブレードの間で交換を行い、スイッチは内部バックプレーン バスで行われます。これらの SNMP パケットは、スイッチの外にあるどのネットワークまたはインターフェイスでも見えません。スイッチ内部では、完全にセキュアなアウトオブバンド チャネルです。
Cisco NAM アプライアンスなど他のプラットフォームの場合は、任意の IP アドレスを入力し、それを管理対象デバイスとして使用できます。管理対象デバイスの設定では、仮想 NAM プラットフォーム管理対象デバイスは NAM アプライアンスと同様に機能します。すべてのプラットフォームで、NAM は一度に 1 台の管理対象デバイスのみデータをモニタし、表示できます。
この場合、管理対象デバイスは、よりセキュアであるという理由で SNMPv3 のみ使用する場合があります。
(注) NAM ブレードは、SNMPv2 を使用して、管理対象デバイスをローカルに管理します。
NAM SNMP エージェントを表示および設定するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [SNMP Agent] を選択します。
ステップ 2 [NAM SNMP] ウィンドウの情報を入力または変更します。フィールドは、 表 6-2 で詳しく説明されています。
|
|
---|---|
|
|
|
|
|
• 変更を保存するには、[Submit] をクリックします。
コミュニティ ストリングを使用することにより、他のアプリケーションが、SNMP get および SNMP set 要求の NAM への送信、収集の設定、データのポーリングなどを実行できるようになります。
NAM コミュニティ ストリングを作成するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [SNMP Agent] を選択します。
ウィンドウの下部に、[NAM Community Strings] ダイアログボックスが表示されます。
ステップ 2 [ 作成(Create) ] をクリックします。
[SNMP Agent] ダイアログボックスが表示されます。
ステップ 3 コミュニティ ストリングを入力します(意味のある名前を使用)。
ステップ 4 [Verify Community] フィールドに、コミュニティ ストリングを再入力します。
ステップ 5 次の基準を使用して、読み取り専用権限、または読み取り/書き込み権限を割り当てます。
• 読み取り専用は、SNMP MIB 変数への読み取りアクセスだけが可能です(get)。
• 読み取り/書き込みは、SNMP MIB 変数への完全な読み取りおよび書き込みアクセスが可能です(get と set)。
• キャンセルし、前のウィンドウに戻るには [Cancel] をクリックします。
NAM コミュニティ ストリングを削除するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [SNMP Agent] を選択します。
ウィンドウの下部に、[NAM Community Strings] ダイアログボックスが表示されます。
ステップ 2 エントリを選択して、[Delete] をクリックします。
ルータが SNMP を使用して NAM に情報を送信する前に、NAM で設定されているルータ コミュニティ ストリングは実際のルータで設定されているコミュニティ ストリングと一致する必要があります。[Router Parameters] ダイアログボックスに、ルータ名、ハードウェア、スーパーバイザ エンジン ソフトウェアのバージョン、システム稼働時間、ロケーション、連絡先情報が表示されます。
ローカル ルータ IP アドレスおよび SNMP コミュニティ ストリングは、NAM がローカル ルータと通信できるように設定する必要があります。
コミュニティ ストリングをルータに設定するには、ルータ CLI を使用します。CLI の使用方法については、デバイスに付属しているマニュアルを参照してください。
ルータ コミュニティ ストリングをテストするには、次の手順を実行します。
ステップ 1 [Setup] > [Managed Device] > [Device Information] を選択します。
[Device Information] ダイアログボックスが表示されます。
ステップ 2 デバイスのコミュニティ ストリングを入力します。
ステップ 3 [Test Connectivity] をクリックします。
ステップ 4 NAM がデバイスと通信できるようになるまでしばらく待ちます。OK と表示されたら、[Submit] をクリックします。
Prime NAM ソフトウェア アプリケーションの Linux システム時刻がパケットのタイムスタンプ、および NAM プラットフォームの外側の標準時刻源と同期していることを確認します。パケット タイミング分析は、アプリケーション応答時間の測定、音声とビデオの品質メトリック、パケットのデコード データ、レポート、およびその他の多くのネットワーク統計をサポートするために使用します。
NAM は、NAM プラットフォームのタイプに応じて複数のソースから UTC(GMT)を取得します。すべての NAM は、外部 NTP サーバから時刻を取得するように設定できます。他の NAM プラットフォームは、高い確度と精度のために IEEE 1588 高精度時間プロトコル(PTP)ベースのマスターも使用できます。
クロック ID は、以下の例に示すように、MAC アドレスの最初の 3 オクテット、「ff fe」、MAC アドレスの最後の 3 オクテットで構成されています。
NAM が時間を取得したら、[NAM System Time] 設定ウィンドウを使用してローカル タイム ゾーンを設定できます。
特定のハードウェア プラットフォームに対して NAM システム時刻を設定する方法の詳細については、「特定のプラットフォームに対する NAM システム時刻の同期」 を参照してください。
NAM システム時刻が正しく設定されていることを確認します。システム時刻に誤りがあれば、時間範囲のために NAM データ プレゼンテーションが不正確になるので、NAM データの解釈が正しくなくなる可能性があります。
一部のプラットフォームは自動的に同期されますが、データが正確になるためには、NAM およびルータまたはスイッチに加えてクライアント ブラウザが同期する必要があります。プラットフォームの時刻の同期を実行することを推奨します。
次のいずれかの方法を使用して NAM システム時刻を設定できます。
このオプションは NAM-1X、NAM-2X、NAM-3、NME-NAM、SM-SRE、および NAM-NX1 にのみ有効です。
このオプションは Cisco NAM アプライアンス、Nexus 1000 VSB、vNAM にのみ有効です。
これはすべてのプラットフォームに有効で、推奨オプションです。
(注) この項は、NAM-1X、NAM-2X、NAM-3、NME-NAM、SM-SRE、および NAM-NX1 にのみ有効です。追加のプラットフォーム オプションについては、「特定のプラットフォームに対する NAM システム時刻の同期」 を参照してください。
スイッチまたはルータから NAM システム時刻を設定するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [System Time] を選択します。
ステップ 2 [Switch] または [NTP Server] オプション ボタンを選択します。
ステップ 3 地域とローカル タイム ゾーンをリストから選択します。
• 変更を保存するには、[Submit] をクリックします。
• 設定を変更しない場合は、[Reset] をクリックします。
(注) この項は、Cisco NAM アプライアンス、Nexus 1000V、vNAM に有効です。追加のプラットフォーム オプションについては、「特定のプラットフォームに対する NAM システム時刻の同期」 を参照してください。
NAM システム時刻をローカルに設定するには、NAM コマンドラインを使用します。
ステップ 1 NAM のコマンドライン インターフェイスにログインします。
ステップ 2 CLI clock set コマンドを使用してクロックを設定します。
clock set <hh:mm:ss:> <mm/dd/yyyy>
ステップ 3 Prime NAM GUI で、[Administration] > [System] > [System Time] を選択します。
ステップ 4 [Local] オプション ボタンをクリックします。
ステップ 5 地域とローカル タイム ゾーンをリストから選択します。
• 変更を保存するには、[Submit] をクリックします。
NTP サーバを使用して NAM のシステム時刻を設定するには、次の手順を実行します。
ステップ 1 NAM アプライアンス GUI で、[Administration] > [System] > [System Time] を選択します。
ステップ 2 [NTP Server] オプション ボタンを選択します。
ステップ 3 1 つまたは 2 つの NTP サーバ名または IP アドレスを、[NTP sever name] テキスト ボックスまたは [IP Address] テキスト ボックスに入力します。
ステップ 4 地域とローカル タイム ゾーンをリストから選択します。
ステップ 5 変更を保存するには、[Submit] をクリックします。
高精度時間プロトコル(PTP)を使用するには、PTP 対応またはマルチキャスト対応のスイッチを NAM-3 の前面にある SYN ポートに接続するだけでなく、PTP マスターをスイッチに接続する必要があります。
(注) この項は、NAM-3 および NAM-NX1 に適用できます。この機能に関連しているハードウェア設定の要件の詳細については、特定の NAM installation guide を参照してください。追加のプラットフォーム オプションについては、「特定のプラットフォームに対する NAM システム時刻の同期」 を参照してください。
PTP を使用して NAM システム時刻を設定するには、次の手順を実行します。
ステップ 1 NAM で、[Administration] > [System] > [System Time] を選択します。
ステップ 3 [PTP Interface IP Address] フィールドに PTP インターフェイスの IP アドレスを入力します。
ステップ 4 [PTP Interface Subnet Mask] フィールドにサブネット マスクを入力します。
ステップ 5 NAM ローカル タイム ゾーンに対して、ドロップダウン リストから地域とゾーンを選択します。
ステップ 6 変更を保存するには、[Submit] をクリックして、引き続き次の項「 高精度時間プロトコルのステータス表示」で PTP の詳細情報を表示します。
ステップ 1 上記の手順「 高精度時間プロトコル(IEEE 1588)を使用した NAM システム時刻の設定」を使用して PTP を設定します(これはステータスが正常に表示される前に行う必要があります)。
ステップ 2 [Administration] > [System] > [System Time] を選択します。
ステップ 3 ドロップダウン メニューから選択し、[Show] ボタンをクリックします。表示されるポップアップ ウィンドウに、選択した内容の詳細情報が表示されます。
アラーム通知やレポートを電子メールで送信するように Prime NAM を設定できます。
ステップ 1 [Administration] > [System] > [E-Mail Setting] を選択します。
ステップ 2 [Enable Mail] チェックボックスをオンにし、必須情報またはオプション フィールド情報を入力します。
表 6-3 に 「Mail Configuration オプション」 を示します。
ステップ 3 オプションの [Advanced Settings] チェックボックスをオンにし、表示されたフィールドに詳細を入力します。
ステップ 4 変更を保存するには、[Submit] をクリックします。または、ダイアログに入力した文字をクリアする、または以前の設定に戻すには、[Reset] をクリックします。
Web データ パブリケーションでは、一般の Web ユーザや Web サイトが、ログイン セッションを確立することなく、選択された NAM のモニタ画面やレポート画面にアクセス(またはリンク)できます。
Web データ パブリケーションは、オープンにすることもできれば、アクセス コントロール リスト(ACL)またはパブリケーション コード、もしくは両方を使用して制限することもできます。公開されたデータにアクセス可能にするために、必要な場合は、パブリケーション コードを URL アドレスまたはクッキーで提供する必要があります。
Web データ パブリッシングをイネーブルにするには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [Web Data Publication] を選択します。
ステップ 2 [Enable Web Data Publication] チェックボックスをオンにします。
ステップ 3 パブリケーション コードを入力します(オプション)。これは、開されたページにアクセスするために、URL のクッキーに必要なパスコード。たとえば、 abc123 に設定されたパブリケーション コードでは、次の公開されたウィンドウにアクセスできます。
http://<nam-hostname>/application-analysis/index?publicationcode=abc123
ステップ 4 ACL Permit IP Address/Subnets を入力すると、それらの IP アドレスまたはサブネットだけに、Web パブリケーションへのアクセスを許可します。何も入力しないと、対象を問わずオープンなアクセスを提供します。
ステップ 5 Web パブリッシングをイネーブルにするには、[Submit] をクリックします。または、ダイアログに入力した文字をクリアするには、[Reset] をクリックします。
(注) 新しい iSCSI ストレージ エントリを有効にするには、NAM システムをリブートする必要があります。
NAM syslogs は、アラームしきい値イベント、音声しきい値イベント、またはシステム アラートについて作成されます。syslog メッセージは、NAM 上でローカルにロギングされるようにするか、リモート ホストでロギングされるようにするか、または両方でロギングされるようにするかを指定できます。NAM を使用して、ローカルの NAM syslog を表示できます。
リモート ホストでロギングする場合、ほとんどの Unix 対応システムでは、着信 syslog メッセージを処理する Syslog Collector は facility フィールドを使用して、メッセージに書き込むファイルを判断します。 local7 というファシリティが使用されます。 local7 が正しく処理されるよう、Syslog Collector の設定を確認します。
NAM syslog を設定するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [Syslog Setting] を選択します。
[NAM Syslog Setting] ウィンドウが表示されます。
ステップ 2 [Remote Server Names)] フィールドに、syslog メッセージのロギングを行う最大 5 つのリモート システムの IP アドレスまたは DNS 名を入力します。入力した各アドレスが、3 種類のアラームすべて(アラームしきい値、音声シグナリングのしきい値、およびシステム)を受け取ります。
ステップ 3 [Submit] をクリックして変更内容を保存するか、または [Reset] をクリックしてキャンセルします。
トラップは、イベントにまたがるしきい値によってトリガーされたアラームの保存に使用されます。アラームがトリガーされたら、イベントをトラップして、別のホストに送信することができます。トラップによる通知を使用すると、それほど重要ではない SNMP 要求を削減できるので、ネットワークとエージェントのリソースを大幅に節約できます。
Prime NAM がトラップを送信するホストの宛先を設定、編集、または削除するには、次の手順を実行します。
ステップ 1 [Administration] > [System] > [SNMP Trap Setting] を選択します。
[SNMP Trap Setting] ウィンドウが表示されます。
ステップ 3 [Community] フィールドに、[NAM Thresholds] に設定されたコミュニティ ストリングを入力します。
ステップ 4 [IP Address] フィールドに、アラームとトラップのコミュニティ ストリングが一致した場合のトラップの送信先とする IP アドレスを入力します。
ステップ 5 [UDP Port] フィールドに、UDP ポート番号を入力します。
ステップ 6 [Submit] をクリックして変更内容を保存するか、または [Reset] をクリックしてキャンセルし、設定を変更せずそのままにします。
Prime NAM 表示やロギングの特性を変更するには、[Administration] > [System] > [Preferences] を選択します。 表 6-4 に、[Preferences] ウィンドウのフィールドを示します。
[Administration] メニューの [Diagnostics] オプションには、トラブルシューティングを支援するツールがあります。Cisco Technical Assistance Center(TAC)からのサポートが必要な問題が発生したときに、これらのツールを使用できます。次のオプションがあります。オプションは次のとおりです。
• 「監査証跡」
NAM のトラブルシューティングの詳細については、 を参照してください。
通常の運用中に NAM が検出した障害または問題を表示できます。[System Alerts] を表示するには、 [Admin] > [Diagnostics] > [System Alerts] を選択します。
各アラートに、日付、アラートが発生した時刻、アラートを説明するメッセージが示されます。NAM は最大で 1,000 個の最新アラートを表示します。1,000 個を超えるアラートが発生している場合、すべてのアラートを表示するには、NAM CLI コマンド show tech support を使用する必要があります。
アラートの発生状況に気付き、アラートの原因となっている状況をトラブルシューティングし解決しようとする場合は、[Clear] をクリックしてアラートのリストを削除し、追加のアラートが発生するかどうかを確認します。
Audit Trail オプションは、内部の syslog ログ ファイルに記録された最近の重要なアクティビティのリストを表示します。また、syslog メッセージを外部のログに送信することもできます。
[Audit Trail] ウィンドウにアクセスするには、次の手順を実行します。
ステップ 1 [Administration] > [Diagnostics] > [Audit Trail] を選択します。
[Audit Trail] ウィンドウでは、ユーザ アクセス ログを表示し、時刻、ユーザ、実行元(IP アドレス)、またはアクティビティに基づいてエントリをフィルタできます。内部ログ ファイルは、一定のサイズ制限に達すると、順次、別の新たなログ ファイルが作成され記録されます。
NAM の syslog は NAM システム アラートを記録します。アラートには、イベントの内容、日付およびタイムスタンプが含まれ、予期しない、または潜在的に重大な状態が示されます。この機能によって、潜在的で広範囲にわたるさまざまな内蔵システムのトラブルシューティング コマンドおよびシステム ログの結果が表示される可能性があります。監査証跡ウィンドウに記録されるユーザ アクティビティのリストについては、「監査証跡」 を参照してください。
この情報は、普通のユーザにはあまり重要ではありません。これは、Cisco TAC がデバッグを目的として使用するためのものです。この情報を理解する必要はありませんが、情報を保存し、Cisco TAC への電子メール メッセージに添付する必要があります。
[Tech-Support] ページを表示する前に、[Administration] > [Users] > [Local Database] ページで System Config ユーザ特権をイネーブルにする必要があります。ユーザ特権の編集については、 「TACACS+ 認証および認可の確立」 を参照してください。
(注) この情報は、NAM CLI で表示することもできます。NAM CLI の使用方法については、『Cisco Network Analysis Module Command Reference』を参照してください。
ステップ 1 [Administration] > [Diagnostics] > [Tech Support] を選択します。
数分後、大量の診断情報が生成され、[Diagnostics Tech Support] ウィンドウに表示されます。
ステップ 2 情報を保存するには、ブラウザ メニューで [File ] > [ Save As...] を選択するか、下部までスクロールし [NAM-logs.tar.bz2] をクリックして、ローカル PC に保存します。
[Tech-Support] ページからコア ファイルをダウンロードするには、[Core Files] セクションまで下にスクロールして、ファイル名をクリックし、指示に従います。
[Administration] オプションを使用して、ユーザのアクセスを制御できます。
• 「NAM 認証と認可をサポートする TACACS+ サーバの設定」
NAM をインストールするとき、NAM コマンドライン インターフェイス(CLI)を使用して HTTP サーバをイネーブルにし、NAM に最初にアクセスするユーザ名とパスワードを確立します。
最初のユーザ アカウントの設定後は、追加のアカウントを作成し、さまざまなアクセス レベルをユーザごとに個別にイネーブルまたはディセーブルにできます。
表 6-6 に、 「ユーザの権限」 と各特権の説明を示します。
ユーザの作成と編集の詳細については、 「新しいユーザの作成」 および 「TACACS+ 認証および認可の確立」 を参照してください。
NAM パスワードをリセットする最も簡単な方法は、CLI clear system-passwords コマンドを使用することです。このコマンドは、ルートとゲスト ユーザ パスワードの両方を工場出荷時のデフォルト状態にリセットします。パスワードをリセットするには、適切な権限が必要です。
スイッチまたはルータで CLI コマンドを使用して、パスワードを回復することもできます。NAM パスワードのリセットの詳細については、Cisco.com の プラットフォームのインストレーション ガイド を参照してください。
NAM 管理者パスワードを忘れた場合、次のいずれかの方法でパスワードを回復できます。
• 別のユーザがアカウント管理権限を持っている場合は、パスワードを忘れたユーザを削除してから、[Admin] > [Users] > [Local Database] を選択して、別のユーザとしてログインし、新しいユーザを作成します。
• パスワードを忘れたユーザ以外に他のローカル ユーザが設定されていない場合は、NAM の rmwebusers CLI コマンドを使用します。次に、http または https をイネーブルにして、NAM ユーザ作成を要求します。
事前定義された root および guest NAM ユーザ アカウント(スイッチまたはルータの session コマンドまたは NAM CLI への Telnet ログインでアクセス可能)は、静的で NAM から独立しています。これらの静的アカウントは変更できません。また、他の CLI ベースのユーザを NAM に追加することもできません。
ステップ 1 [Administration] > [Users] > [Local Database] を選択します。
GUI にローカル データベースのユーザが表示されます。チェックマークは、一覧で示された機能に対して各ユーザが特権を持っていることを示しています。
ステップ 2 [ 作成(Create) ] をクリックします。
GUI に、[New User] ダイアログボックスが表示されます。
ステップ 3 新しいユーザの作成に必要な情報を入力し、ユーザに付与する特権を選択します。ユーザの特権の説明については、 表 6-6 を参照してください。 表 6-5 に、 「[New User] ダイアログボックス」 のフィールドを示します。
|
|
|
|
||
Verify Password |
||
|
(注) ユーザのログイン中にユーザ アカウントを削除した場合、そのユーザはログインしたままで、その特権も保持されます。セッションは、そのユーザがログアウトするまで有効です。セッション中にアカウントを削除、または権限を変更した場合、影響があるのはその後のセッションだけです。ログインしているユーザを強制的にログアウトするには、NAM を再起動します。
ステップ 4 1 つまたは複数のチェックボックスをオンにして、ユーザの権限を設定します。 表 6-6 では、各特権について説明します。
|
|
---|---|
|
|
|
ユーザによる、IP アドレス、ゲートウェイ、HTTP ポートなどの基本的な NAM システム パラメータの編集が可能です。 |
|
|
|
|
|
|
|
ステップ 5 ユーザを作成するには、[Submit] をクリックします。または、ダイアログに入力した文字をクリアするには、[Reset] をクリックします。
Terminal Access Controller Access Control System(TACACS)は、リモートアクセス認証、許可およびイベント ロギングなどの関連サービスを提供する認証プロトコルです。TACACS では、ユーザ パスワードおよび特権は個々のスイッチやルータではなく中央データベースで管理されるため、スケーラビリティが得られます。
TACACS+ は、認証および認可に追加サポートを提供するシスコの拡張です。
ユーザが NAM にログインすると、TACACS+ はユーザ名とパスワードが有効かどうかと、付与されているアクセス権限を確認します。
TACACS+ 認証および認可を確立するには、次の手順を実行します。
ステップ 1 [Administration] > [Users] > [TACACS+] を選択します。[TACACS+ Authentication and Authorization] ダイアログボックスが表示されます。
ステップ 2 「[TACACS+ Authentication and Authorization] ダイアログボックス」 ( 表 6-7 )に示されている適切な情報を入力または選択します。
• 変更を保存するには、[Submit] をクリックします。
ヒント TACACS+ が設定された NAM にログインできない場合は、入力した TACACS+ サーバ名と秘密キーが正しいことを確認してください。
[TACACS+] オプションをイネーブルにするだけでなく、NAM ユーザの認証および許可ができるように TACACS+ サーバを設定する必要があります。NAM は、ACS バージョン 5.2、5.1(パッチ 1 を含む)、および 4.2 をサポートします。
(注) 設定方法は、使用する TACACS+ サーバの種類によって異なります。
バージョン 4.2 の Cisco ACS サーバを設定するには、2 つの作業を実行する必要があります。
• NAM のホスト名と IP アドレスを ACS サーバで設定します。「バージョン 4.2 向け Windows NT および 2000 システムの ACS への NAM の設定」を参照してください。
• NAM ユーザまたはユーザ グループを追加するには、次の手順を実行します。「バージョン 4.2 向け NAM ユーザまたはユーザ グループの追加」を参照してください。
Cisco ACS TACACS+ サーバ(バージョン 4.2)を設定するには、次の手順を実行します。
ステップ 2 [Network Configuration] をクリックします。
ステップ 4 [Network Access Server] に、NAM ホスト名および IP アドレスを入力します。
(注) 秘密キーは、NAM で設定したものと同じにする必要があります。
ステップ 6 [Authenticate Using] フィールドで [TACACS+] を選択します。
ステップ 7 [Submit+Apply] をクリックします。
ステップ 8 引き続き バージョン 4.2 向け NAM ユーザまたはユーザ グループの追加に進み、次の設定作業を行います。
NAM ユーザまたはユーザ グループを追加するには、次の手順を実行します。
ステップ 6 必要に応じて、ユーザ グループを割り当てます。
ステップ 7 [TACACS+ settings] で次を実行します。
f. [Arguments] フィールドに、次のように入力します。
ステップ 8 [Unlisted Arguments] で [Deny] を選択します。
バージョン 5.1(パッチ 1)または 5.2 Cisco ACS サーバを設定するには、次の作業を行う必要があります。ユーザまたはグループのポリシー ルールの設定をイネーブルにする追加の設定作業があります。
• NAM のホスト名と IP アドレスを ACS サーバで設定します。「バージョン 5.x 向け Windows NT および 2000 システムの ACS への NAM の設定」を参照してください。
• NAM ユーザまたはユーザ グループを追加するには、次の手順を実行します。「バージョン 5.x 向け NAM ユーザまたはユーザ グループの追加」を参照してください。
• ポリシー規則を設定します。「バージョン 5.x 向け ACS および NAM のアクセス ポリシーの設定」を参照してください。
Cisco ACS TACACS+ サーバ(バージョン 5.1(P1) または 5.2)を設定するには、次の手順を実行します。
ステップ 2 NAM の任意のデバイス タイプを設定するには、[Network Resources] > [Network Device Groups] > [Device Type] をクリックし、デバイス タイプを作成します。たとえば、 NAM_Module というデバイス タイムの名前を指定できます。
ステップ 3 [Network Resources] > [Network Devices and AAA Clients] をクリックし、NAM デバイスを追加します。
ステップ 4 [Network Access Server] に、NAM ホスト名および IP アドレスを入力します。
ステップ 5 [Authentication Options] フィールドで、[ TACACS+ ] を選択します。
(注) 秘密キーは、NAM で設定したものと同じにする必要があります。
ステップ 8 引き続き「バージョン 5.x 向け NAM ユーザまたはユーザ グループの追加」に進み、次の設定作業を行います。
NAM ユーザまたはユーザ グループを追加するには、次の手順を実行します。
ステップ 1 [Users and Identity Stores] > [Internal Identity Stores] > [Users] をクリックします。
ステップ 2 [ 作成(Create) ] をクリックします。
ステップ 5 必要に応じて、ユーザ グループを割り当てます。
バージョン 5.1(P1)、5.2、および 5.3 では、ACS および NAM の設定を行うにはアクセス ポリシーを設定する必要があります。
ステップ 1 ACS サーバで、[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Command Sets] をクリックし、[Create] をクリックして、Nam コマンド セットを作成します。
たとえば、NAM へフル アクセスする場合、 NAMfullAccess というコマンド セットを作成し、チェックボックス [Permit any command that is not in the table below] をオンにします。
ステップ 2 NAM コマンド セットの入力を完了したら、[ Submit ] をクリックします。次のコマンドがすべて含まれていることを確認します。
ステップ 3 [Access Policies] > [Access Services] > [Create] をクリックして新しいサービス(たとえば、name = namAdmin ; Service Type = Device Administration)を作成します。
ステップ 4 [Access Policies] > [Access Services] > [ namAdmin ] > [Authorization] > [Customize] に移動して、後の手順で必要なカスタマイズ条件を設定します。たとえば、次のように選択できます。NDG:デバイス タイプ、デバイスの IP アドレスなど)。 namAdmin をこの手順で作成したサービスと置き換えます。
ステップ 5 [Access Policies] > [Access Services] > [ namAdmin ] > [Authorization] > [Customize] に移動して、すべてのログイン要求を許可する条件を設定します。NAM デバイスはこれらの条件を使用し、コマンド セット(ステップ 1 で作成)に従います。たとえば、条件は次のようになる場合があります。== NDG:Device Type は All Device Types:ステップ 2 で設定した NAM デバイス。
ステップ 6 [Access Policies] > [Service Selection] [Rules] をクリックして、サービスを選択します(たとえば、ステップ 3 で作成したサービス)。
ステップ 7 NAM にログインし、[NAM] > [Administration] > [Users] > [TACACS+] をクリックして ACS サーバの IP および秘密キーを設定します。
汎用 TACACS+ サーバを設定するには、次の手順を実行します。
ステップ 1 リモート アクセス サーバとして NAM IP アドレスを指定します。
ステップ 2 NAM と通信する TACACS+ サーバの秘密キーを設定します。
(注) 秘密キーは、NAM で設定したものと同じにする必要があります。
ステップ 3 NAM へのアクセスを許可するユーザまたはグループごとに、次の TACACS+ パラメータを設定します。
|
|
|
|
|
|
|
system capture alarm collection view |
|
|
Current User Sessions テーブルは、アプリケーションにログインしているユーザのレコードです。ユーザ セッションは非アクティブになってから 30 分後にタイムアウトします。ユーザ セッションがタイムアウトすると、その行はテーブルから削除されます。
Current User Sessions テーブルを表示するには、次の手順を実行します。
ステップ 1 [Administration] > [Users] > [Current Users] を選択します。
「Current User Sessions テーブル」 ( 表 6-8 )が表示されます。
|
|
---|---|
|
|
|
|
|
|
|