『Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(1.1)』
SNMP の設定
SNMP の設定

SNMP の設定

この章の内容は、次のとおりです。

SNMP に関する情報

SNMP は、アプリケーション層プロトコルであり、SNMP マネージャと SNMP エージェントとの通信に使用されるメッセージ フォーマットを提供します。 SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。

SNMP 機能の概要

SNMP フレームワークは 3 つの部分で構成されます。

  • SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。

  • SNMP エージェント:デバイスのデータを維持し、必要に応じてこれらのデータを管理システムに報告する、管理対象デバイス内のソフトウェア コンポーネント。 Intercloud Fabric ファイアウォール(VSG)は、エージェントおよび MIB をサポートします。 SNMP エージェントをイネーブルにするには、マネージャとエージェントの関係を定義する必要があります。

  • 管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。

  • SNMP は、RFC 3411 ~ 3418 で規定されています。


(注)  


SNMP ロールベース アクセス コントロール(RBAC)はサポートされていません。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。


SNMP 通知

SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知によって、不正なユーザ認証、再起動、接続の終了、ネイバー ルータとの接続切断、またはその他の重要イベントを示すことができます。

SNMP 通知は、トラップまたは応答要求として生成されます。 トラップは、エージェントからホスト レシーバ テーブルで指定された SNMP マネージャに送信される、非同期の非確認応答メッセージです。 応答要求は、SNMP エージェントから SNMP マネージャに送信される非同期メッセージで、マネージャは受信したという確認応答が必要です。

トラップの信頼性はインフォームより低くなります。SNMP マネージャはトラップを受信しても Acknowledgment(ACK; 確認応答)を送信しないからです。 Intercloud Fabric ファイアウォール(VSG)は、トラップが受信されたかどうかを判断することはできません。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答 Protocol Data Unit(PDU; プロトコル データ ユニット)でメッセージの受信を確認します。 ICF ファイアウォールが応答を受信しない場合、インフォーム要求を再度送信できます。 ICF ファイアウォールを複数のホスト レシーバに通知を送信するように設定できます。

SNMPv3

SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 が提供するセキュリティ機能は、次のとおりです。

  • メッセージの完全性:パケットが伝送中に改ざんされていないことを保証します。

  • 認証:有効な送信元からのメッセージであるかどうかを判別します。

  • 暗号化:許可されていないソースにより判読されないように、パケットの内容のスクランブルを行います。

SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。

SNMPv1、SNMPv2、SNMPv3 のセキュリティ モデルおよびセキュリティ レベル

セキュリティ レベルは、SNMP メッセージを開示から保護する必要があるかどうか、およびメッセージを認証するかどうか判断します。 セキュリティ モデル内のさまざまなセキュリティ レベルは、次のとおりです。

  • noAuthNoPriv:認証または暗号化を実行しないセキュリティ レベル。

  • authNoPriv:認証は実行するが、暗号化を実行しないセキュリティ レベル。

  • authPriv:認証と暗号化両方を実行するセキュリティ レベル。

SNMPv1、SNMPv2c、および SNMPv3 の 3 つのセキュリティ モデルを使用できます。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。

表 1 SNMP セキュリティ モデルおよびセキュリティ レベル
モデル レベル 認証 暗号化 結果
v1 noAuthNoPriv コミュニティ ストリング No コミュニティ ストリングの照合を使用して認証します。
v2c noAuthNoPriv コミュニティ ストリング No コミュニティ ストリングの照合を使用して認証します。
v3 noAuthNoPriv ユーザ名 No コミュニティ ストリングの照合を使用して認証します。
v3 authNoPriv HMAC-MD5 または HMAC-SHA No Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づく認証はされません。
v3 authNoPriv HMAC-MD5 または HMAC-SHA DES HMAC-MD5 または HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。

ユーザベースのセキュリティ モデル

SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。

  • メッセージの完全性:メッセージが不正な方法で変更または破壊されていないことを保証します。また、データ シーケンスが、通常発生するものよりも高い頻度で変更されていないことを保証します。

  • メッセージ発信元の認証:受信データを発信したユーザのアイデンティティが確認されたことを保証します。

  • メッセージの機密性:情報が使用不可であること、または不正なユーザ、エンティティ、またはプロセスに開示されないことを保証します。

SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 Cisco VSG は SNMPv3 に 2 種類の認証プロトコルを使用します。

  • HMAC-MD5-96 認証プロトコル

  • HMAC-SHA-96 認証プロトコル

Cisco VSG は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用します。 AES は RFC 3826 に準拠しています。

priv オプションで、SNMP セキュリティ暗号化方式として、DES または 128 ビット AES を選択できます。 priv オプションを aes-128 トークンと併用すると、プライバシー パスワードは 128 ビット AES キーの生成に使用されます。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合は、大文字と小文字を区別して、最大 64 文字の英数字を指定できます。 ローカライズしたキーを使用する場合は最大 130 文字の英数字を指定できます。 外部 AAA(認証、許可、アカウンティング)サーバを使用する SNMPv3 動作の場合は、外部 AAA サーバ上のユーザ コンフィギュレーションで、プライバシー プロトコルとして AES を使用する必要があります。

コマンドライン インターフェイス(CLI)および SNMP ユーザの同期

SNMPv3 ユーザ管理は、Access Authentication and Accounting(AAA)サーバ レベルで集中化できます。 この集中型ユーザ管理により、Intercloud Fabric(ICF)ファイアウォール(VSG)の SNMP エージェントは AAA サーバのユーザ認証サービスを利用できます。 ユーザ認証が検証された後、SNMP PDU の処理が進行します。 AAA サーバはユーザ グループ名の格納にも使用されます。 SNMP はグループ名を使用して、スイッチでローカルに使用できるアクセス ポリシーまたはロール ポリシーを適用します。

ユーザ グループ、ロール、またはパスワードの設定が変更されると、SNMP と AAA の両方のデータベースが同期化されます。

ICF ファイアウォールはユーザ設定を次の方法で同期します。

  • snmp-server user コマンドで指定された認証パスフレーズが CLI ユーザのパスワードになります。

  • username コマンドで指定されたパスワードが SNMP ユーザの認証およびプライバシー パスフレーズになります。

  • SNMP または CLI を使用してユーザを削除すると、SNMP と CLI の両方でユーザが削除されます。

  • ユーザとロールの対応関係の変更は、SNMP と CLI で同期化されます。

  • CLI から行ったロール変更(削除または変更)は、SNMP と同期します。


(注)  


ローカライズしたキー/暗号化形式でパスフレーズ/パスワードを設定すると、ICF ファイアウォールはパスワードを同期しません。


Cisco NX-OS ソフトウェアはデフォルトで、同期したユーザ設定を 60 分間維持します。

グループベースの SNMP アクセス


(注)  


グループとは業界全体で使用される標準的な SNMP 用語であるため、このマニュアルでは、この SNMP の章でグループとしてのロールについて言及します。


SNMP アクセス権は、グループ別に編成されます。 SNMP 内の各グループは、CLI を使用する場合のロールに似ています。 各グループは読み取り専用アクセス権または読み取り/書き込みアクセス権を指定して定義します。 ユーザ名が作成され、ユーザのロールが管理者によって設定され、ユーザがそのロールに追加されていれば、そのユーザはエージェントとの通信を開始できます。

注意事項と制約事項

SNMP には、次の注意事項および制限事項があります。

  • 一部の SNMP MIB に対する読み取り専用アクセスがサポートされています。 詳細については次の URL にアクセスして、Cisco NX-OS の MIB サポート リストを参照してください。http:/​/​www.cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml

  • SNMP ロールベース アクセス コントロール(RBAC)はサポートされていません。

  • SNMP 設定コマンドは、次の Cisco MIB でサポートされています。

    • CISCO-IMAGE-UPGRADE-MIB

    • CISCO-CONFIG-COPY-MIB

SNMP の設定

SNMP の設定については、『Cisco Prime Network Services Controller GUI Configuration Guide』を参照してください。

SNMP の設定確認

SNMP の設定を表示するには、次のいずれかのコマンドを使用します。

表 2 SNMP 設定の確認コマンド
コマンド 目的
show running-config snmp [all] SNMP の実行コンフィギュレーションを表示します。
show snmp SNMP ステータスを表示します。
show snmp community SNMP コミュニティ ストリングを表示します。
show snmp context SNMP コンテキスト マッピングを表示します。
show snmp engineID SNMP エンジン ID を表示します。
show snmp group SNMP ロールを表示します。
show snmp session SNMP セッションを表示します。
show snmp trap SNMP の有効通知または無効通知を表示します。
show snmp user SNMP ユーザを表示します。

MIB

表 3 サポート対象 MIB
MIB MIB リンク
  • CISCO-TC

  • SNMPv2-MIB

  • SNMP-FRAMEWORK-MIB

  • SNMP-FRAMEWORK-MIB

  • SNMP-NOTIFICATION-MIB

  • SNMP-TARGET-MIB

  • ENTITY-MIB

  • CISCO-ENTITY-EXT-MIB

  • CISCO-ENTITY-FRU-CONTROL-MIB

  • CISCO-FLASH-MIB

  • CISCO-IMAGE-MIB

  • CISCO-VIRTUAL-NIC-MIB

  • CISCO-ENTITY-VENDORTYPE-OID-MIB

  • NOTIFICATION-LOG-MIB

  • IANA-ADDRESS-FAMILY-NUMBERS-MIB

  • IANAifType-MIB

  • IANAiprouteprotocol-MIB

  • HCNUM-TC

  • CISCO-VLAN-MEMBERSHIP-MIB

  • CISCO-SYSTEM-MIB

  • CISCO-SYSTEM-EXT-MIB

  • ISCO-IMAGE-MIB

  • CISCO-IMAGE-UPGRADE-MIB

  • CISCO-BRIDGE-MIB

  • CISCO-CONFIG-COPY-MIB

  • CISCO-SYSLOG-EXT-MIB

  • CISCO-PROCESS-MIB

  • CISCO-AAA-SERVER-MIB

  • CISCO-AAA-SERVER-EXT-MIB

  • CISCO-COMMON-ROLES-MIB

  • CISCO-COMMON-MGMT-MIB

  • CISCO-UNIFIED-FIREWALL-MIB

MIB を検索およびダウンロードするには、次の URL にアクセスしてください。http:/​/​www.cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml