TACACS+ の設定

TACACS+ の前提条件

TACACS+ によるスイッチ アクセスのセット アップと設定の前提条件は、次のとおりです(示されている順序で実行する必要があります)。

  1. スイッチに TACACS+ サーバー アドレスとスイッチを設定します。

  2. 認証キーを設定します。

  3. TACACS+ サーバでステップ 2 からキーを設定します。

  4. 認証、許可、アカウンティング(AAA)をイネーブルにする。

  5. ログイン認証方式リストを作成します。

  6. 端末回線にリストを適用します。

  7. 認証およびアカウンティング方式のリストを作成します。

TACACS+ によるスイッチ アクセスの制御の前提条件は、次のとおりです。

  • スイッチ上で TACACS+ 機能を設定するには、設定済みの TACACS+ サーバーにアクセスする必要があります。また、通常 LINUX または Windows ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されている TACACS+ サービスにもアクセスする必要があります。

  • スイッチで TACACS+ を使用するには、TACACS+ デーモン ソフトウェアが稼働するシステムが必要です。

  • TACACS+ を使用するには、それをイネーブルにする必要があります。

  • 許可は、使用するスイッチでイネーブルにする必要があります。

  • ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。

  • このセクションに記載されている AAA コマンドのいずれかを使用するには、まず aaa new-model コマンドを使用して AAA をイネーブルにする必要があります。

  • 最低限、TACACS+ デーモンを維持するホスト(1 つまたは複数)を特定し、TACACS+ 認証の方式リストを定義する必要があります。また、任意で TACACS+ 許可およびアカウンティングの方式リストを定義できます。

  • 方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のポートに適用してから、定義済み認証方式を実行する必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、名前付き方式リストを明示的に定義されたインターフェイスを除いて、自動的にすべてのポートに適用されます。定義済みの方式リストは、デフォルトの方式リストに優先します。

  • TACACS+ を使用して認証を行った場合は、TACACS+ を使用して特権 EXEC アクセスを許可します。

  • 認証に TACACS+ を使用しなかった場合は、ローカル データベースを使用します。

TACACS+ の概要

TACACS+ およびスイッチ アクセス

ここでは、TACACS+ について説明します。TACACS+ は詳細なアカウンティング情報を提供し、認証と許可のプロセスを柔軟に管理します。TACACS+ は、認証、許可、アカウンティング(AAA)機能により拡張されており、TACACS+ をイネーブルにするには AAA コマンドを使用する必要があります。

TACACS+ の概要

TACACS+ は、スイッチにアクセスしようとするユーザーの検証を集中的に行うセキュリティ アプリケーションです。

TACACS+ では、独立したモジュラ型の認証、許可、アカウンティング機能が提供されます。TACACS+ では、単一のアクセス コントロール サーバ(TACACS+ デーモン)が各サービス(認証、許可、およびアカウンティング)を別個に提供します。各サービスを固有のデータベースに結合し、デーモンの機能に応じてそのサーバまたはネットワークで使用できる他のサービスを使用できます。

TACACS+ の目的は、1 つの管理サービスから複数のネットワーク アクセス ポイントを管理する方式を提供することです。スイッチは、他の Cisco ルータやアクセス サーバとともにネットワーク アクセス サーバにできます。

図 1. 一般的な TACACS+ ネットワーク構成
一般的な TACACS+ ネットワーク構成

TACACS+ は、AAA セキュリティ サービスによって管理され、次のようなサービスを提供します。

  • 認証:ログインおよびパスワード ダイアログ、チャレンジおよび応答、メッセージ サポートによって認証の完全制御を行います。

    認証機能は、ユーザとの対話を実行できます(たとえば、ユーザ名とパスワードが入力された後、自宅の住所、母親の旧姓、サービス タイプ、社会保険番号などのいくつかの質問をすることによりユーザを試します)。TACACS+ 認証サービスは、ユーザ画面にメッセージを送信することもできます。たとえば、会社のパスワード有効期間ポリシーに従い、パスワードの変更の必要があることをユーザに通知することもできます。

  • 許可:autocommand、アクセス コントロール、セッション期間、プロトコル サポートの設定といった、ユーザー セッション時のユーザー機能についてきめ細かく制御します。また、TACACS+ 許可機能によって、ユーザーが実行できるコマンドを制限することもできます。

  • アカウンティング:課金、監査、およびレポートに使用する情報を収集して TACACS+ デーモンに送信します。ネットワークの管理者は、アカウンティング機能を使用して、セキュリティ監査のためにユーザの活動状況をトラッキングしたり、ユーザ課金用の情報を提供したりできます。アカウンティング レコードには、ユーザ ID、開始時刻および終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数が含まれます。

TACACS+ プロトコルは、スイッチと TACACS+ デーモン間の認証を行い、スイッチと TACACS+ デーモン間のプロトコル交換をすべて暗号化することによって機密保持を実現します。

TACACS+ の動作

ユーザーが、TACACS+ を使用しているスイッチに対して簡易 ASCII ログインを試行し、認証が必要になると、次のプロセスが発生します。

  1. 接続が確立されると、スイッチは TACACS+ デーモンに接続してユーザー名プロンプトを取得し、これをユーザーに表示します。ユーザーがユーザー名を入力すると、スイッチは TACACS+ デーモンに接続してパスワード プロンプトを取得します。スイッチによってパスワード プロンプトが表示され、ユーザーがパスワードを入力すると、そのパスワードが TACACS+ デーモンに送信されます。

    TACACS+ によって、デーモンとユーザとの間の対話が可能になり、デーモンはユーザを認証できるだけの情報を取得できるようになります。デーモンは、ユーザ名とパスワードの組み合わせを入力するよう求めますが、ユーザの母親の旧姓など、その他の項目を含めることもできます。

  2. スイッチは、最終的に TACACS+ デーモンから次のいずれかの応答を得ます。

    • ACCEPT:ユーザーが認証され、サービスを開始できます。許可を必要とするようにスイッチが設定されている場合は、この時点で許可処理が開始されます。

    • REJECT:ユーザーは認証されません。TACACS+ デーモンに応じて、ユーザーはアクセスを拒否されるか、ログイン シーケンスを再試行するように求められます。

    • ERROR:デーモンによる認証サービスのある時点で、またはデーモンとスイッチの間のネットワーク接続においてエラーが発生しました。ERROR 応答が表示された場合は、スイッチは、通常別の方法でユーザーを認証しようとします。

    • CONTINUE:ユーザーは、さらに認証情報の入力を求められます。

    認証後、スイッチで許可がイネーブルになっている場合、ユーザーは追加の許可フェーズに入ります。ユーザは TACACS+ 許可に進む前に、まず TACACS+ 認証を正常に完了する必要があります。

  3. TACACS+ 許可が必要な場合は、再び TACACS+ デーモンに接続し、デーモンが ACCEPT または REJECT の許可応答を返します。ACCEPT 応答が返された場合は、その応答に、そのユーザおよびそのユーザがアクセスできるサービスの、EXEC または NETWORK セッション宛ての属性の形式でデータが含まれています。

    • Telnet、セキュア シェル(SSH)、rlogin、または特権 EXEC サービス

    • 接続パラメータ(ホストまたはクライアントの IP アドレス、アクセス リスト、およびユーザ タイムアウトを含む)

方式リスト

方式リストによって、ユーザの認証、許可、またはアカウント維持のための順序と方式を定義します。方式リストを使用して、使用するセキュリティ プロトコルを 1 つまたは複数指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザの認証、許可、アカウントの維持を行います。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の方式による通信が成功するか、方式リストの方式をすべて試し終わるまで続きます。

TACACS+ 設定オプション

認証用に 1 つのサーバーを使用することも、また、既存のサーバー ホストをグループ化するために AAA サーバー グループを使用するように設定することもできます。サーバをグループ化して設定済みサーバ ホストのサブセットを選択し、特定のサービスにそのサーバを使用できます。サーバ グループは、グローバル サーバ ホスト リストとともに使用され、選択されたサーバ ホストの IP アドレスのリストが含まれています。

TACACS+ ログイン認証

方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。

特権 EXEC アクセスおよびネットワーク サービス用の TACACS+ 許可

AAA 許可によってユーザが使用できるサービスが制限されます。AAA 許可がイネーブルに設定されていると、スイッチはユーザーのプロファイルから取得した情報を使用します。このプロファイルは、ローカルのユーザー データベースまたはセキュリティ サーバー上にあり、ユーザーのセッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。

TACACS+ Accounting

AAA アカウンティング機能は、ユーザがアクセスしたサービスと、消費したネットワーク リソース量をトラッキングします。AAA アカウンティングをイネーブルにすると、スイッチはユーザーの活動状況をアカウンティング レコードの形式で TACACS+ セキュリティ サーバーに報告します。各アカウンティング レコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティ サーバに格納されます。このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。

TACACS+ のデフォルト設定

TACACS+ および AAA は、デフォルトではディセーブルに設定されています。

セキュリティの失効を防止するため、ネットワーク管理アプリケーションを使用して TACACS+ を設定することはできません。TACACS+ をイネーブルに設定した場合、CLI を通じてスイッチにアクセスするユーザを認証できます。


(注)  

TACACS+ の設定は CLI を使用して行いますが、TACACS+ サーバは権限レベル 15 に設定された HTTP 接続を許可します。

TACACS+ を設定する方法

ここでは、TACACS+ をサポートするようにスイッチを設定する方法について説明します。

TACACS+ サーバ ホストの指定および認証キーの設定

TACACS+ サーバ ホストを特定し、認証キーを設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

tacacs server server-name

例:

Device(config)# tacacs server yourserver

TACACS+ サーバを維持する IP ホストを特定します。このコマンドを複数回入力して、優先ホストのリストを作成します。ソフトウェアは、指定された順序でホストを検索します。

server-name にはサーバ名を指定します。

ステップ 4

address {ipv4 | ipv6} ip address

例:

Device(config-server-tacacs)# address ipv4 10.0.1.12

TACACS サーバーの IP アドレスを設定します。

ステップ 5

key [encryption-type] [key-string]

例:

Device(config-server-tacacs)# key 0 auth-key

アクセス サーバと TACACS+ デーモンとのすべての TACACS+ 通信に使用される認証暗号キーを設定します。この暗号化キーは、TACACS+ デーモンで使用するキーと一致している必要があります。

encryption-type はオプションで、何も指定されていない場合はクリアテキストと見なされます。暗号化されていないキーが後ろに続くよう指定するには、0 を入力します。暗号化されたキーが後ろに続くよう指定するには、6 を入力します。隠れたキーが後ろに続くよう指定するには、7 を入力します。

ステップ 6

exit

例:

Device(config-server-tacacs)# exit

TACACS サーバモードを終了して、グローバル コンフィギュレーション モードを開始します。

ステップ 7

aaa new-model

例:

Device(config)# aaa new-model

AAA をイネーブルにします。

ステップ 8

aaa group server tacacs+ group-name

例:

Device(config)# aaa group server tacacs+ your_server_group

(任意)グループ名を使用して AAA サーバーグループを定義し、サーバー グループ コンフィギュレーション モードを開始します。

ステップ 9

server name server-name

例:

Device(config-sg-tacacs)# server name yourserver

(任意)特定の TACACS+ サーバを定義済みサーバ グループに関連付けます。AAA サーバ グループの TACACS+ サーバごとに、このステップを繰り返します。

グループの各サーバーは、ステップ 3 で定義済みのものでなければなりません。

ステップ 10

end

例:

Device(config-sg-tacacs)# end

サーバー グループ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

TACACS+ ログイン認証の設定

TACACS+ ログイン認証を設定するには、次の手順を実行します。

始める前に

AAA 認証を設定するには、認証方式の名前付きリストを作成してから、各種ポートにそのリストを適用します。


(注)  

AAA 方式を使用して HTTP アクセスに対しデバイスのセキュリティを確保するには、ip http authentication aaa グローバル コンフィギュレーション コマンドでデバイスを設定する必要があります。AAA 認証を設定しても、AAA 方式を使用した HTTP アクセスに対しデバイスのセキュリティは確保されません。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

例:


Device(config)# aaa new-model

AAA を有効にします。

ステップ 4

aaa authentication login {default | list-name} method1 [method2... ]

例:


Device(config)# aaa authentication login default tacacs+ local

ログイン認証方式リストを作成します。

  • login authentication コマンドにリストが指定されていない場合に使用するデフォルトのリストを作成するには、default キーワードの後ろにデフォルト状況で使用される方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

  • list-name には、作成するリストの名前として使用する文字列を指定します。

  • method1... には、認証アルゴリズムが試行する実際の方式を指定します。追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。

次のいずれかの方式を選択します。

  • enable :イネーブル パスワードを認証に使用します。この認証方式を使用するには、あらかじめ enable password グローバル コンフィギュレーション コマンドを使用してイネーブルパスワードを定義しておく必要があります。

  • group tacacs+ :TACACS+ 認証を使用します。この認証方式を使用するには、あらかじめ TACACS+ サーバーを設定しておく必要があります。

  • line :回線パスワードを認証に使用します。この認証方式を使用するには、あらかじめ回線パスワードを定義しておく必要があります。password password ライン コンフィギュレーション コマンドを使用します。

  • local :ローカル ユーザー名データベースを認証に使用します。データベースにユーザ名情報を入力しておく必要があります。username password グローバル コンフィギュレーション コマンドを使用します。

  • local-case :大文字と小文字が区別されるローカル ユーザー名データベースを認証に使用します。username name password グローバル コンフィギュレーション コマンドを使用して、ユーザー名情報をデータベースに入力する必要があります。

  • none :ログインに認証を使用しません。

ステップ 5

line [console | tty | vty] line-number [ending-line-number]

例:


Device(config)# line 2 4

ライン コンフィギュレーション モードを開始し、認証リストを適用する回線を設定します。

ステップ 6

login authentication {default | list-name}

例:


Device(config-line)# login authentication default

1 つの回線または複数回線に認証リストを適用します。

  • default を指定する場合は、aaa authentication login コマンドで作成したデフォルトのリストを使用します。

  • list-name には、aaa authentication login コマンドで作成したリストを指定します。

ステップ 7

end

例:


Device(config-line)# end

回線コンフィギュレーション モードを終了します。続いて、特権 EXEC モードに戻ります。

特権 EXEC アクセスおよびネットワーク サービス用の TACACS+ 許可の設定

aaa authorization グローバル コンフィギュレーション コマンドと tacacs+ キーワードを使用すると、ユーザのネットワークアクセスを特権 EXEC モードに制限するパラメータを設定できます。


(注)  

許可が設定されていても、CLI を使用してログインし、認証されたユーザに対しては、許可は省略されます。

特権 EXEC アクセスおよびネットワーク サービスに関する TACACS+ 許可を指定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa authorization networkauthorization-listtacacs+

例:


Device(config)# aaa authorization network list1 tacacs+

ネットワーク関連のすべてのサービス要求に対してユーザー TACACS+ 認可を行うことを設定します。

ステップ 4

aaa authorization exec defaulttacacs+

例:


Device(config)# aaa authorization exec default tacacs+

ユーザーの特権 EXEC アクセスに対してユーザー TACACS+ 許可を行うことを設定します。

exec キーワードを指定すると、ユーザープロファイル情報(autocommand 情報など)が返される場合があります。

ステップ 5

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

TACACS+ アカウンティングの起動

TACACS+ アカウンティングを開始するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting network authorization-liststart-stop tacacs+

例:


Device(config)# aaa accounting network list1 start-stop tacacs+

ネットワーク関連のすべてのサービス要求について、TACACS+ アカウンティングをイネーブルにします。

ステップ 4

aaa accounting exec デフォルト start-stop tacacs+

例:


Device(config)# aaa accounting exec default start-stop tacacs+

TACACS+ アカウンティングをイネーブルにして、特権 EXEC プロセスの最初に記録開始アカウンティング通知、最後に記録停止通知を送信します。

ステップ 5

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

次のタスク

AAA サーバーが到達不能な場合にデバイスとのセッションを確立するには、aaa accounting system guarantee-first コマンドを使用します。これは、最初のレコードとしてシステム アカウンティングを保証します(これがデフォルトの条件です)。場合によっては、システムがリロードされるまでコンソールまたは端末接続でセッションを開始できない場合があります。システムのリロードにかかる時間は 3 分を超えることがあります。

ルータのリロード時に AAA サーバが到達不能な場合に、ルータとのコンソールセッションまたは Telnet セッションを確立するには、no aaa accounting system guarantee-first コマンドを使用します。

AAA サーバが到達不能な場合のデバイスとのセッションの確立

AAA サーバーが到達不能な場合にデバイスとのセッションを確立するには、aaa accounting system guarantee-first コマンドを使用します。これは、最初のレコードとしてシステム アカウンティングを保証します(これがデフォルトの条件です)。場合によっては、システムがリロードされるまでコンソールまたは端末接続でセッションを開始できない場合があります。システムのリロードにかかる時間は 3 分を超えることがあります。

デバイスのリロード時に AAA サーバーが到達不能な場合に、デバイスとのコンソールセッションまたは Telnet セッションを確立するには、no aaa accounting system guarantee-first コマンドを使用します。

TACACS サーバーグループの TACACS ソースインターフェイスの設定

TACACS ソースインターフェイスは、次のいずれかの方法で、TACACS サーバーグループの下で設定できます。

  • ip tacacs source-interface interface-name コマンドを使用して、TACACS サーバーグループの下に TACACS ソースインターフェイスを設定します。

  • vrf vrf-name コマンドを使用して、TACACS サーバーグループの下に VRF を設定してから、ip tacacs source interface interface-name vrf-name vrf vrf-name コマンドを使用して、設定した VRF をソースインターフェイスにグローバルに関連付けます。

両方のメソッドが設定されている場合、サーバーグループ設定の下ではソースインターフェイスが優先されます。

TACACS サーバーグループの下で TACACS ソースインターフェイスを設定するには、次の手順を実行します。

始める前に

VRF ルーティングテーブルを設定し、VRF をインターフェイスに関連付ける必要があります

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

{ ip | ipv6 }tacacs source-interface interface-number vrf vrf-name

例:

Device(config)# ip tacacs source-interface GigabitEthernet1/0/23 vrf vrf17

すべての発信 TACACS パケットに対して、TACACS に、指定したインターフェイスの IP アドレスを強制的に使用させ、VRF ごとに仕様を有効にします。

  • interface-nameTACACS+ がすべての発信パケットに使用するインターフェイスの名前を指定します。

  • vrf vrf-nameVRF ごとの設定を指定します。

ステップ 4

aaa group server tacacs group_name

例:

Device(config-sg-tacacs+)# aa group server tacacs rad-grp

異なる TACACS サーバーホストを別々のリストとメソッドにグループ化し、server-group コンフィギュレーション モードを開始します。

ステップ 5

ip vrf forwarding vrf-name

例:

Device(config-sg-tacacs+)# ip vrf forwarding vrf17

(任意)インターフェイスに VRF を設定します。

ステップ 6

{ ip | ipv6 } tacacs source-interface interface-number

例:

Device(config-sg-tacacs+)# ip tacacs source-interface loopback0

(任意)TACACS+ グループサーバーからのすべての発信 TACACS パケットに対して、TACACS+に、指定したインターフェイスの IP アドレスを強制的に使用させます。

interface-nameTACACS がすべての発信パケットに使用するインターフェイスの名前を指定します。

ステップ 7

end

例:

Device(config-sg-tacacs+)# end

特権 EXEC モードに戻ります。

TACACS+ のモニタリング

表 1. TACACS+ 情報を表示するためのコマンド
コマンド 目的

show tacacs

TACACS+ サーバの統計情報を表示します。

TACACS+ に関する追加情報

関連資料

関連項目 マニュアル タイトル

AAA の設定

セキュリティ コンフィギュレーション ガイド』の「認証の設定」、「許可の設定」、および「アカウンティングの設定」を参照してください。

シスコのテクニカル サポート

説明 リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/support

TACACS+ の機能の履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE Fuji 16.9.2

TACACS+

TACACS+ は、認証および認可プロセスについて詳細なアカウンティング情報と柔軟な管理コントロールを提供します。TACACS+ は、AAA を介して実装され、AAA コマンドを使用してのみイネーブルにできます。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/ に進みます。