Cisco MDS 9000 Family Fabric Manager コンフィ ギュレーション ガイド 、Release 4.x
SNMP の設定
SNMP の設定
発行日;2012/01/31 | 英語版ドキュメント(2011/01/31 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 42MB) | フィードバック

目次

SNMP の設定

SNMP のセキュリティについて

SNMP バージョン 1 およびバージョン 2c

SNMP バージョン 3

SNMP スイッチのコンタクト情報とロケーション情報の割り当て

SNMPv3 CLI のユーザ管理および AAA の統合

CLI のユーザと SNMP のユーザの同期

スイッチへのアクセス制限

グループベースの SNMP アクセス

ユーザの作成と修正

AES 暗号ベースの機密保全の概要

SNMPv3 メッセージ暗号化の実施

複数のロールへの SNMPv3 ユーザの割り当て

コミュニティの追加

コミュニティ ストリングの削除

SNMP のトラップとインフォーム通知

SNMPv2c 通知の設定

SNMPv3 の通知の設定

SNMP 通知のイネーブル化

通知相手ユーザの設定

イベント セキュリティの設定

SNMP イベント ログの表示

デフォルト設定

SNMP の設定

Cisco MDS 9000 ファミリのすべてのスイッチは CLI および SNMP に共通のロールを使用します。CLI を使用して作成したロールは SNMP を使用して変更できます。また、その逆も可能です。

ユーザ、パスワード、ロールは CLI ユーザおよび SNMP ユーザ全員が同じものを使用します。CLI を利用して設定したユーザは SNMP を利用して(たとえば Fabric Manager や Device Manager)スイッチにアクセスでき、その逆も可能です。

この章の内容は、次のとおりです。

「SNMP のセキュリティについて」

「SNMPv3 CLI のユーザ管理および AAA の統合」

「ユーザの作成と修正」

「SNMP のトラップとインフォーム通知」

「デフォルト設定」

SNMP のセキュリティについて

SNMP はネットワーク デバイス間で管理情報の交換を容易にするアプリケーション レイヤ プロトコルです。すべての Cisco MDS 9000 ファミリ スイッチでは、SNMPv1、SNMPv2c、および SNMPv3 の 3 つのバージョンの SNMP を使用できます(図 40-1 を参照)。

図 40-1 SNMP のセキュリティ

 

ここで説明する内容は、次のとおりです。

「SNMP バージョン 1 およびバージョン 2c」

「SNMP バージョン 3」

「SNMP スイッチのコンタクト情報とロケーション情報の割り当て」

SNMP バージョン 1 およびバージョン 2c

SNMP バージョン 1(SNMPv1)および SNMP バージョン 2c(SNMPv2c)はユーザ認証にコミュニティ ストリングの合致を利用します。SNMP の初期バージョンでは、コミュニティ ストリングによるアクセス制御に脆弱性がありました。SNMPv3 は強力な認証を使用して、より優れたアクセス制御を行います。SNMPv3 がサポートされている場合、SNMPv1 および SNMPv2c よりも SNMPv3 を使用することを推奨します。

SNMP バージョン 3

SNMP バージョン 3(SNMPv3)はネットワーク管理を目的とした相互運用可能な標準規格プロトコルです。ネットワーク上でのフレームの認証および暗号化を組み合せることによって、デバイスへの安全なアクセスを提供します。SNMPv3 が提供するセキュリティ機能は次のとおりです。

メッセージの完全性:パケットが伝送中に改ざんされていないことを保証します。

認証:メッセージの送信元が有効かどうかを判別します。

暗号化:許可されていない送信元により判読されないように、パケットの内容をスクランブルします。

SNMPv3 は、セキュリティ モデルとセキュリティ レベルを提供します。セキュリティ モデルは、ユーザおよびユーザが属すロールを設定する認証方式です。セキュリティ レベルはセキュリティ モデル内で許可されたセキュリティ レベルです。セキュリティ モデルとセキュリティ レベルの組み合せにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。

SNMP スイッチのコンタクト情報とロケーション情報の割り当て

スイッチのコンタクト情報を割り当てることができます。コンタクト情報は 32 文字(空白なし)に制限されます。スイッチ ロケーション情報も割り当てることができます。

Fabric Manager を使用してコンタクト情報およびロケーション情報を設定する手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] を開きます。[Information] ペインにスイッチの設定が表示されます。

ステップ 2 各スイッチの [Location] フィールドおよび [Contact] フィールドに値を入力します。

ステップ 3 これらの変更を保存する場合は [Apply Changes] をクリックします。保存されていない変更を廃棄する場合は [Undo Changes] をクリックします。


 

SNMPv3 CLI のユーザ管理および AAA の統合

Cisco NX-OS ソフトウェアは、User-based Security Model(USM)およびロール ベース アクセス制御を含めて、RFC 3414 および RFC 3415 を実装しています。SNMP および CLI はロールを共通で管理し、同じ証明書およびアクセス権限を共有しますが、初期リリースではローカル ユーザ データベースが同期化されませんでした。

SNMPv3 のユーザ管理は AAA サーバ レベルで集中化できます。この中央集中型ユーザ管理を利用すると、Cisco MDS スイッチで稼動する SNMP エージェントは AAA サーバのユーザ認証サービスを利用できるようになります。ユーザ認証が検証されると、SNMP PDU の処理が進行します。AAA サーバはユーザ グループ名の格納にも使用されます。SNMP はグループ名を使用して、スイッチでローカルに使用できるアクセス/ロール ポリシーを適用します。

ここで説明する内容は、次のとおりです。

「CLI のユーザと SNMP のユーザの同期」

「スイッチへのアクセス制限」

「グループベースの SNMP アクセス」

CLI のユーザと SNMP のユーザの同期

ユーザ グループ、ロール、またはパスワードに対して何らかの設定変更を行うと、SNMP と AAA の両方のデータベースが同期化されます。

ユーザは次のようにして同期化されます。

SNMP と CLI の両方に対してユーザが削除されるコマンドを使用してユーザを削除

ユーザ ロールのマッピング変更が SNMP と CLI で同期化


) パスフレーズ/パスワードをローカライズした鍵/暗号化形式で指定すると、パスワードは同期化されません。



) 3.0(1)からは、FM に対して作成された一時的 SNMP ログインは 24 時間ではなく、1 時間となりました。


既存の SNMP ユーザは、特に変更しなくても、引き続き auth および priv のパスフレーズを維持できます。

管理ステーションが usmUserTable 内に SNMP ユーザを作成する場合、対応する CLI ユーザはパスワードなしで作成され(ログインがディセーブル)、network-operator ロールが設定されます。

スイッチへのアクセス制限

Cisco MDS 9000 ファミリ スイッチへのアクセスを制限するには、IP Access Control List(IP-ACL; IP アクセス コントロール リスト)を使用します。 第 42 章「IPv4 および IPv6 のアクセス コントロール リストの設定」 を参照してください。

グループベースの SNMP アクセス


グループは業界全体で使用されている標準的な SNMP 用語なので、SNMP に関する説明では、「ロール」ではなく「グループ」を使用します。


SNMP アクセス権は、グループ別に編成されます。SNMP 内の各グループは、CLI を使用する場合のロールと似ています。各グループは、読み取りアクセス、書き込みアクセス、および通知アクセスの 3 つのアクセス権により定義されます。それぞれのアクセスを、各グループでイネーブルまたはディセーブルに設定できます。

ユーザ名が作成され、ユーザのロールが管理者によって設定され、ユーザがそのロールに追加されていれば、そのユーザはエージェントとの通信を開始できます。

ユーザの作成と修正

SNMP、Fabric Manager、または CLI を使用してユーザを作成、または既存ユーザを修正できます。

SNMP:スイッチの usmUserTable で既存ユーザのクローンとしてユーザを作成。ユーザの作成後は、そのユーザをアクティベートする前に複製された秘密鍵を変更します。RFC 2574 を参照してください。

Fabric Manager:「ユーザの設定」を参照。

CLI: snmp-server user コマンドを使用してユーザを作成、または既存ユーザを修正。

Cisco MDS 9000 ファミリ スイッチ製品では network-operator ロールおよび network-admin ロールを利用できます。GUI を利用する場合はデフォルト ロールもあります(Fabric Manager および Device Manager)。また、Common Roles データベースに設定されているどのロールも利用できます(「ユーザ アカウント」を参照)。


ヒント CLI セキュリティ データベースおよび SNMP ユーザ データベースへのすべての更新が同期されます。Fabric Manager または Device Manager のいずれへのログインでも SNMP パスワードを使用できます。しかし、CLI パスワードを使用して Fabric Manager または Device Manager にログインしたあとは、その後のログインすべてで CLI パスワードを使用する必要があります。あるユーザが、Cisco MDS SAN-OS Release 2.0(1b)にアップグレードする前に SNMP データベースと CLI データベースの両方に存在する場合は、そのユーザに割り当てられるロールのセットは、アップロード後に両方のロールのセットの和集合になります。


ここで説明する内容は、次のとおりです。

「AES 暗号ベースの機密保全の概要」

「SNMPv3 メッセージ暗号化の実施」

「複数のロールへの SNMPv3 ユーザの割り当て」

「コミュニティの追加」

「コミュニティ ストリングの削除」

AES 暗号ベースの機密保全の概要

Advanced Encryption Standard(AES)は対称暗号アルゴリズムです。Cisco SAN-OS ソフトウェアは SNMP メッセージ暗号化の機密保全プロトコルの 1 つとして AES を使用し、RFC 3826 に準拠しています。

SNMP セキュリティ暗号に対して priv オプションが DES または 128 ビット AES 暗号化の選択肢を提供します。 aes-128 トークンをともに使用する priv オプションが示すように、この機密保全パスワードは 128 ビット AES キーを生成するためのものです。AES priv パスワードは最低 8 文字を使用できます。パスフレーズが平文で指定される場合は、最大 64 文字を指定できます。ローカライズされたキーを使用する場合は、最大 130 文字まで指定できます。


) 外部の AAA サーバを使用した SNMPv3 の運用については、外部 AAA サーバ内のユーザ設定は SNMP PDU 暗号化を使用するための機密保全プロトコルとして AES が必要です。


 

SNMPv3 メッセージ暗号化の実施

デフォルトで SNMP エージェントは、auth キーおよび priv キーによるユーザ設定 SNMPv3 メッセージ暗号化を使用する SNMPv3 メッセージに対して、authNoPriv および authPriv の securityLevel パラメータを許可します。

Fabric Manager を使用してユーザにメッセージ暗号化を実施する手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] > [Security] を展開し、[Users and Roles] を選択します。

ステップ 2 [Information] ペインで [Users] タブをクリックして、図 40-2 に示すようなユーザのリストを表示します。

図 40-2 [User] タブに表示されたユーザ情報

 

ステップ 3 [Create Row] をクリックします。

[Create Users] ダイアログボックスが表示されます。

ステップ 4 [New User] フィールドにユーザ名を入力します。

ステップ 5 [Role] ドロップダウン メニューでロールを選択します。ドロップダウン メニューから選択しない場合は、新しいロール名をフィールドに入力できます。この場合、前の手順に戻り、入力するロールを適切に設定しておく必要があります(「ユーザ アカウント」を参照)。

ステップ 6 そのユーザのパスワードを [Password] フィールドに入力します。

ステップ 7 [Privacy] タブをクリックします(図 40-3 を参照)。

図 40-3 [Privacy] タブ

 

ステップ 8 [Enforce SNMP Privacy Encryption] チェックボックスにチェックを入れて、管理用トラフィックを暗号化します。

ステップ 9 [Create] をクリックして新しいエントリを作成します。


 

Fabric Manager を使用して、グローバルにすべてのユーザに SNMPv3 メッセージ暗号化を実施する手順は、次のとおりです。


ステップ 1 [Logical Domains] ペインで VSAN を 1 つ選択します。[All VSANS] を選択すると機能しません。

ステップ 2 [Physical Attributes] ペインで [Switches] > [Security] を展開し、[Users and Roles] を選択します。[Information] ペインで [Global] タブをクリックします。

ステップ 3 [GlobalEnforcePriv] チェックボックスをチェックします。

ステップ 4 [Apply Changes] アイコンをクリックして、これらの変更を保存します。


 

複数のロールへの SNMPv3 ユーザの割り当て

SNMPv3 ユーザが複数のロール(グループ)を受け入れることを可能にするため、SNMP サーバのユーザ設定が拡張されています。最初の SNMPv3 ユーザの作成後は、そのユーザに対して追加のロールを割り当てることができます。


) 他のユーザにロールを割り当てることができるのは、network-admin ロールに属すユーザだけです。


Fabric Manager を使用して新しいユーザに複数のロールを追加する手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] > [Security] を展開し、[Users and Roles] を選択します。

ステップ 2 [Information] ペインで [Users] タブをクリックして、図 40-2 に示すようなユーザのリストを表示します。

ステップ 3 [Create Row] をクリックします。

図 40-4 に示す [Create Users] ダイアログボックスが表示されます。

図 40-4 [Create Users] ダイアログボックス

 

ステップ 4 チェックボックスを使用してロールを選択します。

ステップ 5 [Digest] と [Encryption] のオプションを 1 つ選択します。

ステップ 6 (任意)そのユーザの有効期限と SSH キーのファイル名を入力します。

ステップ 7 [Create] をクリックして新しいロールを作成します。


 

コミュニティの追加

SNMPv1 ユーザおよび SNMPv2 ユーザに対して、読み取り専用、または読み取りと書き込みのアクセス権を設定できます。RFC 2576 を参照してください。

Fabric Manager を使用して、SNMPv1 または SNMPv2c のコミュニティ ストリングを作成する手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] > [Security] を展開し、[Users and Roles] を選択します。

ステップ 2 [Information] ペインで [Communities] タブをクリックします。

既存のコミュニティが表示されます(図 40-5 を参照)。

図 40-5 [Users and Roles] の [Communities] タブ

 

ステップ 3 [Create Row] をクリックします。

[Create Community String] ダイアログボックスが表示されます。

ステップ 4 [Switch] チェックボックスにチェックを入れて 1 つ以上のスイッチを指定します。

ステップ 5 [Community] フィールドにコミュニティ名を入力します。

ステップ 6 [Role] ドロップダウン リストでロールを選択します。


) ドロップダウン リストから選択しない場合は、新しいロール名をフィールドに入力できます。この場合、前の手順に戻り、入力するロールを適切に設定しておく必要があります(「ロール ベースの許可」を参照)。


ステップ 7 [Create] をクリックして新しいエントリを作成します。


 

コミュニティ ストリングの削除

Fabric Manager を使用してコミュニティ ストリングを削除する手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] > [Security] を展開し、[Users and Roles] を選択します。

ステップ 2 [Information] ペインで [Communities] タブをクリックします。

ステップ 3 削除するコミュニティ名をクリックします。

ステップ 4 [Delete Row] をクリックしてコミュニティを削除します。


 

SNMP のトラップとインフォーム通知

特定のイベントの発生時に SNMP 管理者に通知を送信するように Cisco MDS スイッチを設定できます。


) トラップまたはインフォームとして通知を送信する宛先に関する詳細を取得するには、SNMP-TARGET-MIB を使用します。『Cisco MDS 9000 Family MIB Quick Reference』を参照してください。


ここで説明する内容は、次のとおりです。

「SNMPv2c 通知の設定」

「SNMPv3 の通知の設定」

「SNMP 通知のイネーブル化」

「通知相手ユーザの設定」

「イベント セキュリティの設定」

「SNMP イベント ログの表示」

「SNMP イベント ログの表示」

SNMPv2c 通知の設定

Fabric Manager を使用して SNMPv2c 通知を設定する手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] > [Events] を展開し、[SNMP Traps] を選択します。

[Information] ペインに、図 40-6 に示す SNMP 通知の設定が表示されます。

図 40-6 SNMP 通知

 

ステップ 2 SNMP 通知の受信者を追加または変更するには、[Destinations] タブをクリックします。

ステップ 3 新しい通知の宛先を作成するには、[Create Row] をクリックします。

図 40-7 に示す [Create Destinations] ダイアログボックスが表示されます。

図 40-7 [Create Destinations] ダイアログボックス

 

ステップ 4 新しい宛先を設定するスイッチにチェックを入れます。

ステップ 5 宛先の IP アドレスおよび UDP ポートを設定します。

ステップ 6 [trap] または [inform] オプション ボタンを選択します。

ステップ 7 (任意)タイムアウトまたは再試行の値を設定します。

ステップ 8 [Create] をクリックして、選択したスイッチにこの宛先を追加します。

ステップ 9 (任意)[Other] タブをクリックして、スイッチごとに特定の通知タイプをイネーブルにします。

ステップ 10 [Apply Change] アイコンをクリックしてエントリを作成します。


 


) スイッチは最大 10 件の宛先にイベント(SNMP トラップおよびインフォーム)を転送できます。


SNMPv3 の通知の設定


) IPv4 を使用した SNMPv3 通知を Fabric Manager で設定するには、[Create Destinations] ダイアログボックスの [Security] ドロップダウン リストで [v3] を選択します(図 40-7 を参照)。(任意)インフォームのタイムアウトおよび再試行の値を設定します。[Create] をクリックして、選択したスイッチにこの宛先を追加します。



) SNMPv3 の通知の場合、SNMP 管理者が SNMP メッセージを認証および復号するには、そのスイッチの engineID に基づいてユーザの認定証(authKey/PrivKey)を知っている必要があります。


SNMP 通知のイネーブル化

通知(トラップおよびインフォーム)は、特定イベントの発生時にスイッチで生成されるシステム アラートです。通知はイネーブルにしたり、ディセーブルにしたりできます。デフォルトでは通知は定義されておらず、また発行もされません。通知名が指定されていない場合は、すべての通知がディセーブル化またはイネーブル化されます。

表 40-1 に、Fabric Manager で Cisco MDS MIB の通知をイネーブルにする手順を示します。[Switches] > [Events] > [SNMP Traps] を選択して、この表に示されているチェックボックスを表示します。


) [Switches] > [Events] > [SNMP Traps] を選択すると、トラップとインフォームの両方がイネーブルになりますが、notifications の設定に依存します。「SNMPv3 の通知の設定」を参照してください。


 

表 40-1 SNMP 通知のイネーブル化

MIB
Fabric Manager のチェックボックス

CISCO-ENTITY-FRU-CONTROL-MIB

[Other] タブを選択し、[FRU Changes] にチェックを入れる。

CISCO-FCC-MIB

[Other] タブを選択し、[FCC] にチェックを入れる。

CISCO-DM-MIB

[FC] タブを選択し、[Domain Mgr RCF] にチェックを入れる。

CISCO-NS-MIB

[FC] タブを選択し、[Name Server] にチェックを入れる。

CISCO-FCS-MIB

[Other] タブを選択し、[FCS Rejects] にチェックを入れる。

CISCO-FDMI-MIB

[Other] タブを選択し、[FDMI] にチェックを入れる。

CISCO-FSPF-MIB

[FC] タブを選択し、[FSPF Neighbor Change] にチェックを入れる。

CISCO-LICENSE-MGR-MIB

[Other] タブを選択し、[License Manager] にチェックを入れる。

CISCO-IPSEC-SIGNALLING-MIB

[Other] タブを選択し、[IPSEC] にチェックを入れる。

CISCO-PSM-MIB

[Other] タブを選択し、[Port Security] にチェックを入れる。

CISCO-RSCN-MIB

[FC] タブを選択し、[RSCN ILS] と [RCSN ELS] にチェックを入れる。

SNMPv2-MIB

[Other] タブを選択し、[SNMP AuthFailure] にチェックを入れる。

VRRP-MIB、CISCO-IETF-VRRP-MIB

[Other] タブを選択し、[VRRP] にチェックを入れる。

CISCO-ZS-MIB

[FC] タブを選択し、[Zone Rejects]、[Zone Merge Failures]、[Zone Merge Successes]、[Zone Default Policy Change]、および [Zone Unsuppd Mode] にチェックを入れる。

次の通知はデフォルトでイネーブルです。

entity fru

license

link ietf-extended

他のすべての通知はデフォルトでディセーブルです。

Fabric Manager を使用して個々の通知をイネーブルにする手順は、次のとおりです。


ステップ 1 [Physical Attributes] ペインで [Switches] > [Events] を展開し、[SNMP Traps] を選択します。

[Information] ペインに、SNMP 通知の設定が表示されます。

ステップ 2 [FC] タブをクリックして、ファイバ チャネル関連の通知をイネーブルにします。

ステップ 3 イネーブルにする各通知のチェックボックスにチェックを入れます。

ステップ 4 [Other] タブをクリックして他の通知をイネーブルにします。

ステップ 5 イネーブルにする各通知のチェックボックスにチェックを入れます。

ステップ 6 [Apply Change] アイコンをクリックしてエントリを作成します。


 

通知相手ユーザの設定

SNMPv3 インフォーム通知を SNMP 管理者に送るための通知相手ユーザを、スイッチ上で設定する必要があります。

通知相手ユーザを設定する手順は、『 Cisco MDS 9000 Family CLI Configuration Guide 』を参照してください。

 

通知相手ユーザの認定証は、設定した SNMP へ送る SNMPv3 インフォーム通知メッセージの暗号化に使用されます。


) 受信した INFORM PDU の認証と復号を行うため、SNMP 管理者はユーザの設定データにローカルに保存されている同一のユーザ認定証を持っていなければなりません。


 

イベント セキュリティの設定


注意 これは、SNMPv3 に精通した管理者専用の高度な機能です。

SNMP イベントは、SNMP メッセージの保護と同じ方法で、代行受信および傍受から保護できます。Fabric Manager または Device Manager を使用して、スイッチが生成する SNMP イベントのメッセージ処理モデル、セキュリティ モデル、およびセキュリティ レベルを設定できます。

Fabric Manager を使用して SNMP イベントのセキュリティを設定する手順は、次のとおりです。


ステップ 1 [Switches] > [Events] を開き、[SNMP Traps] を選択します。

ステップ 2 [Information] ペインで [Security] タブをクリックします。

SNMP 通知のセキュリティ情報が表示されます。

ステップ 3 メッセージ プロトコル モデル(MPModel)、セキュリティ モデル、セキュリティ名、およびセキュリティ レベルを設定します。

ステップ 4 [Apply Changes] アイコンをクリックし、変更内容を保存して適用します。


 

SNMP イベント ログの表示

Fabric Manager で SNMP イベント ログを表示するには、[Events] タブをクリックします(図 40-8 を参照)。1 台のスイッチのイベント ログがリストされた [Events] が表示されます。

図 40-8 Events の情報

 


) イベント ログを表示するには、事前に MDS Syslog マネージャを設定しておく必要があります。



注意 複数の Fabric Manager ワークステーションでこれらの値を同時に変更すると、予期せぬ結果が生じることがあります。

デフォルト設定

表 40-2 に、任意のスイッチのすべての SNMP 機能のデフォルト設定を示します。

 

表 40-2 デフォルトの SNMP 設定

パラメータ
デフォルト

ユーザ アカウント

有効期限なし(設定しない場合)

パスワード

なし