Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
SNMP の設定
SNMP の設定
発行日;2012/02/04 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

SNMP の設定

SNMP に関する情報

SNMP バージョン 3 の概要

セキュリティ モデル

SNMP グループ

SNMP ユーザ

SNMP ホスト

適応型セキュリティ アプライアンスと IOS 間の実装の差異

SNMP のライセンス要件

SNMP の前提条件

ガイドラインと制限事項

SNMP の設定

SNMP のイネーブル化

Cisco Syslog MIB ファイルのコンパイル

トラブルシューティングのヒント

インターフェイスの種類と例

SNMP の監視

SNMP の設定例

SNMP バージョン 1 と 2c の設定例

SNMP バージョン 3 の設定例

その他の参考資料

SNMP バージョン 3 の RFC

MIB

SNMP の機能履歴

SNMP の設定

この章では、適応型セキュリティ アプライアンスを監視するように SNMP を設定する方法について説明します。次の項目を取り上げます。

「SNMP に関する情報」

「SNMP のライセンス要件」

「SNMP の前提条件」

「ガイドラインと制限事項」

「トラブルシューティングのヒント」

「SNMP の監視」

「SNMP の設定例」

「その他の参考資料」

「SNMP の機能履歴」

SNMP に関する情報

適応型セキュリティ アプライアンスは SNMP バージョン 1、2c、および 3 を使用したネットワーク モニタリングに対するサポートを提供し、3 つのバージョンの同時使用をサポートします。SNMP インターフェイスを使用すると、HP OpenView などのネットワーク管理システムを使用して適応型セキュリティ アプライアンスを監視できます。適応型セキュリティ アプライアンスは GET 要求の発行を通して SNMP 読み取り専用アクセスをサポートします。SNMP 書き込みアクセスは許可されていないため、SNMP を使用して変更することはできません。さらに、SNMP SET 要求はサポートされていません。

NMS への特定のイベント(イベント通知)の管理ステーションに対する管理対象デバイスからの要求外のコメントであるトラップを送信するように適応型セキュリティ アプライアンスを設定したり、NMS を使用して適応型セキュリティ アプライアンスの MIB をブラウズしたりできます。MIB は定義の集合であり、適応型セキュリティ アプライアンスは各定義に対応する値のデータベースを保持しています。MIB をブラウズすることは、NMS から MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して値を決定することを意味します。


) ソフトウェア バージョン 7.2(1)、8.0(2) 以降では、SNMP 情報は 5 秒ごとにリフレッシュされます。結果として、連続するポーリングの間に少なくとも 5 秒間は待機することをお勧めします。


この項は、次の内容で構成されています。

「SNMP バージョン 3 の概要」

「セキュリティ モデル」

「SNMP グループ」

「SNMP ユーザ」

「SNMP ホスト」

「適応型セキュリティ アプライアンスと IOS 間の実装の差異」

SNMP バージョン 3 の概要

SNMP バージョン 3 は SNMP バージョン 1 または SNMP バージョン 2c では使用できなかったセキュリティ拡張機能を提供します。SNMP バージョン 1 とバージョン 2c は SNMP サーバと SNMP エージェント間でデータをクリア テキストで転送します。SNMP バージョン 3 は認証とプライバシー オプションを追加してプロトコル オペレーションをセキュリティ保護します。また、このバージョンは User-based Security Model(USM; ユーザベース セキュリティ モデル)と View-based Access Control Model(VACM; ビューベース アクセス コントロール モデル)を通して SNMP エージェントと MIB オブジェクへのアクセスを制御します。ASA 5500 シリーズ適応型セキュリティ アプライアンスは、SNMP グループとユーザの作成、およびセキュアな SNMP 通信の転送の認証と暗号化をイネーブルにするために必要なホストの作成もサポートします。

セキュリティ モデル

設定上の目的のために、認証とプライバシーのオプションはセキュリティ モデルにまとめられます。セキュリティ モデルはユーザとグループに適用され、次の 3 つのタイプに分けられます。

NoAuthPriv:認証もプライバシーもありません。メッセージにどのようなセキュリティも適用されないことを意味します。

AuthNoPriv:認証はありますがプライバシーはありません。メッセージが認証されることを意味します。

AuthPriv:認証とプライバシーがあります。メッセージが認証および暗号化されることを意味します。

SNMP グループ

SNMP グループはユーザを追加できるアクセス コントロール ポリシーです。各 SNMP グループはセキュリティ モデルを使用して設定され、SNMP ビューに関連付けられます。SNMP グループ内のユーザは、SNMP グループのセキュリティ モデルに一致する必要があります。これらのパラメータは、SNMP グループ内のユーザがどのタイプの認証とプライバシーを使用するかを指定します。各 SNMP グループ名とセキュリティ モデルのペアは固有である必要があります。

SNMP ユーザ

SNMP ユーザは、指定されたユーザ名、ユーザが属するグループ、認証パスワード、暗号化パスワード、および使用する認証アルゴリズムと暗号化アルゴリズムを持ちます。認証アルゴリズムのオプションは MD5 と SHA です。暗号化アルゴリズムのオプションは DES、3DES、および AES(128、192、および 256 バージョンで使用可能)です。ユーザを作成した場合は、それを SNMP グループに関連付ける必要があります。その後、そのユーザはグループのセキュリティ モデルを継承します。

SNMP ホスト

SNMP ホストは SNMP 通知とトラップの送信先となる IP アドレスです。トラップは設定されたユーザだけに送信されるため、ターゲット IP アドレスとともに SNMP バージョン 3 のホストを設定するには、ユーザ名を設定する必要があります。SNMP ターゲット IP アドレスとターゲット パラメータ名は適応型セキュリティ アプライアンスで固有である必要があります。各 SNMP ホストはそれぞれに関連付けられているユーザ名を 1 つだけ持つことができます。SNMP トラップを受信するには、 snmp-server host コマンドを追加した後に、適応型セキュリティ アプライアンスで設定されたユーザ クレデンシャルと NMS のユーザ クレデンシャルが確実に一致するように設定してください。

適応型セキュリティ アプライアンスと IOS 間の実装の差異

適応型セキュリティ アプライアンスでの SNMP バージョン 3 の実装は、IOS での SNMP バージョン 3 の実装とは次のように異なります。

ローカル エンジン ID とリモート エンジン ID は設定できません。ローカル エンジン ID は、適応型セキュリティ アプライアンスが起動されたとき、またはコンテキストが作成されたときに生成されます。

ビューベースのアクセス コントロールに対するサポートはないため、結果として MIB のブラウジングは無制限になります。

サポートは、USM、VACM、FRAMEWORK、および TARGET という MIB に制限されます。

正しいセキュリティ モデルを使用してユーザとグループを作成する必要があります。

正しい順序でユーザ、グループ、およびホストを削除する必要があります。

snmp-server host コマンドを使用すると、着信 SNMP トラフィックを許可するファイアウォール規則が作成されます。

SNMP のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

基本ライセンスと Security Plus ライセンス:基本(DES)。

オプション ライセンス:強化(3DES/AES)。

他のすべてのモデル

基本ライセンス:基本(DES)。

オプション ライセンス:強化(3DES/AES)。


) この機能を使用する権利があるかどうかを確認するには、show version コマンドまたは show activation-key コマンドを入力します。


SNMP の前提条件

SNMP には次の前提条件があります。

SNMP トラップを受信するか MIB をブラウズするには、CiscoWorks for Windows か別の SNMP MIB-II 互換ブラウザを持っている必要があります。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

SNMP バージョン 3 でサポートされています。

各適応型セキュリティ アプライアンスの SNMP クライアントはそれぞれのピアとエンジン データを共有します。エンジン データには、SNMP-FRAMEWORK-MIB の engineID、engineBoots、および engineTime オブジェクトが含まれます。

IPv6 のガイドライン

IPv6 はサポートされません。

追加のガイドライン

VACM はサポートされません。

AIP SSM または AIP SSC では、SNMP バージョン 3 はサポートされません。

SNMP デバッグはサポートされません。

NET-SNMP バージョン 5.4.2.1 を使用する場合、暗号化アルゴリズム バージョン AES128 だけがサポートされます。暗号化アルゴリズム バージョンの AES246 または AES192 はサポートされません。

SNMP バージョン 3 の設定は、グループ、ユーザ、ホストの順に行う必要があります。

グループを削除する前に、そのグループに関連付けられているすべてのユーザが削除されていることを確認する必要があります。

ユーザを削除する前に、そのユーザ名に関連付けられているホストが設定されていないことを確認する必要があります。

特定のセキュリティ モデルを使用して特定のグループに属するようにユーザが設定されている場合にそのグループのセキュリティ レベルを変更する場合は、次の順に操作を実行する必要があります。

そのグループからユーザを削除します。

グループのセキュリティ レベルを変更します。

新しいグループに属するユーザを追加します。

MIB オブジェクトのサブセットへのユーザ アクセスを制限するためのカスタム ビューの作成はサポートされていません。

すべての要求とトラップは、デフォルトの読み取り/通知ビューだけで使用できます。

SNMP の設定

この項では、SNMP を設定する方法について説明します。次の項目を取り上げます。

「SNMP のイネーブル化」

「Cisco Syslog MIB ファイルのコンパイル」

SNMP のイネーブル化

適応型セキュリティ アプライアンスで動作する SNMP エージェントは、次の 2 つの機能を実行します。

NMS からの SNMP 要求に応答する。

トラップ(イベント通知)を NMS に送信する。

SNMP エージェントをイネーブルにし、SNMP サーバに接続できる NMS を識別するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

snmp-server enable
 
 

hostname(config)# snmp-server enable

適応型セキュリティ アプライアンス上の SNMP サーバがイネーブルになっていることを確認します。デフォルトでは、SNMP サーバはイネーブルになっています。

ステップ 2

snmp-server group group-name v3 [ auth | noauth | priv ]
 
 

hostname(config)# snmp-server group testgroup1 v3 auth

新しい SNMP グループを指定します。コミュニティ ストリングが設定されている場合は、コミュニティ ストリングに一致する名前を持つ 2 つの追加グループが自動生成されます。1 つは バージョン 1 のセキュリティ モデルのグループであり、もう 1 つは バージョン 2 のセキュリティ モデルのグループです。セキュリティ モデルの詳細については、「セキュリティ モデル」を参照してください。 auth キーワードは、パケット認証をイネーブルにします。 noauth キーワードは、パケット認証または暗号化が使用されていないことを示します。 priv キーワードは、パケット暗号化と認証をイネーブルします。 auth または priv キーワードには、デフォルト値はありません。

SNMP バージョン 3 だけ で使用されます。

ステップ 3

snmp-server user username group-name { v3 [ encrypted ]] [ auth { md5 | sha ]} auth-password [ priv [ des | 3des | aes ] [ 128 | 192 | 256 ] priv-password
 
 

hostname(config)# snmp-server user testuser1 testgroup1 v3 auth md5 testpassword aes 128 mypassword

 

hostname(config)# snmp-server user testuser1 public v3 encrypted auth md5 00:11:22:33:44:55:66:77:88:99:AA:BB:CC:DD:EE:FF

SNMP グループに対する新しいユーザを設定します。 username 引数は、SNMP エージェントに属するホスト上のユーザの名前です。 group-name 引数は、ユーザが属するグループの名前です。 v3 キーワードは、SNMP バージョン 3 のセキュリティ モデルを使用する必要があることを指定し、 encrypted、priv、 および auth キーワードの使用をイネーブルにします。 encrypted キーワードは、暗号化された形式でパスワードを指定します。暗号化されたパスワードは、16 進数の形式である必要があります。 auth キーワードは、使用する認証レベル( md5 または sha )を指定します。 priv キーワードは、暗号化レベルを指定します。 auth または priv キーワードのデフォルト値はありません。また、デフォルト パスワードもありません。暗号化アルゴリズムには、 des 3des 、または aes を指定できます。使用する AES 暗号化アルゴリズムのバージョンとして、 128 192 256 のいずれかを指定することもできます。 auth-password は、認証ユーザ パスワードを指定します。 priv-password は、暗号化ユーザ パスワードを指定します。

(注) パスワードを忘れた場合は復旧することができず、ユーザを再設定する必要があります。プレーン テキストのパスワードまたはローカライズされたダイジェストを指定できます。ローカライズされたダイジェストは、ユーザに対して選択した認証アルゴリズム(MD5 または SHA にすることができます)に一致する必要があります。ユーザ設定がコンソールに表示される場合、またはファイル(スタートアップ コンフィグレーション ファイルなど)に書き込まれる場合、ローカライズされた認証ダイジェストとプライバシー ダイジェストが常にプレーン テキストのパスワードの代わりに表示されます(2 番目の例を参照してください)。パスワードの最小長は 1 文字ですが、セキュリティを確保するために 8 文字以上にすることをお勧めします。

SNMP バージョン 3 だけ で使用されます。

ステップ 4

snmp-server host interface { hostname | ip_address } [ trap | poll ] [ community community-string ] [ version { 1 | 2c | 3 username }] [ udp-port port ]
 
 

hostname(config)# snmp-server host mgmt 10.7.14.90 version 3 testuser1

 

hostname(config)# snmp-server host mgmt 10.7.26.5 version 3 testuser2

 

hostname(config)# snmp-server host corp 172.18.154.159 community public

SNMP 通知の受信者を指定します。トラップの送信元となるインターフェイスを示します。適応型セキュリティ アプライアンスに接続できる NMS または SNMP マネージャの名前と IP アドレスを指定します。 trap キーワードは、NMS をトラップの受信だけに制限します 。poll キーワードは、NMS を要求の送信(ポーリング)だけに制限します。デフォルトでは、SNMP トラップはイネーブルになっています。デフォルトでは、UDP ポートは 162 です。コミュニティ ストリングは、適応型セキュリティ アプライアンスと NMS の間の共有秘密キーです。キーは、大文字と小文字が区別される最大 32 文字の値です。スペースは使用できません。デフォルトのコミュニティ ストリングは「public」です。適応型セキュリティ アプライアンスは、このキーを使用して着信 SNMP 要求が有効かどうかを判断します。たとえば、コミュニティ ストリングを使用してサイトを指定すると、適応型セキュリティ アプライアンスと管理ステーションを同じストリングを使用して設定できます。適応型セキュリティ アプライアンスは指定されたストリングを使用し、無効なコミュニティ ストリングを使用した要求には応答しません。SNMP ホストの詳細については、「SNMP ホスト」を参照してください。

コマンドを追加した後に、適応型セキュリティ アプライアンスで設定されたクレデンシャルと同じクレデンシャルを使用して NMS でユーザを確実に設定するようにします。

ステップ 5

snmp-server community community-string
 
 

hostname(config)# snmp-server community onceuponatime

コミュニティ ストリングを設定します。

SNMP バージョン 1 または 2c だけ で使用されます。

ステップ 6

snmp-server [ contact | location ] text
 
 

hostname(config)# snmp-server location building 42

 

hostname(config)# snmp-server contact EmployeeA

SNMP サーバの位置または接点情報を設定します。

ステップ 7

snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | entity [ trap ] [...] | ipsec [ trap ] [...] | remote-access [ trap ]]
 
 

hostname(config)# snmp-server enable traps snmp authentication linkup linkdown coldstart

個別のトラップ、トラップのセット、または NMS へのすべてのトラップを送信します。トラップとして NMS に送信する syslog メッセージをイネーブルにします。デフォルト コンフィギュレーショでは、例に示すように、すべての SNMP コア トラップがイネーブルになっています。これらのトラップをディセーブルにするには、 no snmp-server enable traps snmp コマンドを使用します。このコマンドを入力するときにトラップ タイプを指定しない場合、デフォルトでは syslog トラップになります。デフォルトでは、syslog トラップはイネーブルになっています。デフォルトの SNMP トラップは、syslog トラップとともにイネーブルの状態を続けます。SNMP トラップがイネーブルにされたデフォルトの状態を復元するには、 clear configure snmp-server コマンドを使用します。

Cisco Syslog MIB ファイルのコンパイル

適応型セキュリティ アプライアンスからセキュリティとフェールオーバーの SNMP トラップを受信するには、Cisco SMI MIB と Cisco Syslog MIB を SNMP 管理アプリケーションにコンパイルします。Cisco Syslog MIB をアプリケーションにコンパイルしない場合は、linkup または linkdown、coldstart、および authentication の失敗に対するトラップだけを受信します。

CiscoWorks for Windows を使用して Cisco Syslog MIB ファイルをブラウザにコンパイルするには、次の手順を実行します。


ステップ 1 Cisco MIB をダウンロードするために、次の Web サイトに移動します。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

ステップ 2 [Cisco Secure and VPN Products] ドロップダウン リストから [Adaptive Security Appliance] を選択します。

[Adaptive Security Appliance MIB Support List] が表示されます。

ステップ 3 [CISCO-SYSLOG-MIB.my] リンクをクリックしてファイルをデスクトップに保存します。

ステップ 4 CiscoWorks for Windows を起動します。

ステップ 5 [Config] > [Compile MIB] を選択します。

ステップ 6 リストの下部までスクロールし、最後のエントリをクリックします。

ステップ 7 [Add] をクリックします。

ステップ 8 Cisco Syslog MIB ファイルを検索します。


) CiscoWorks for Windows のファイル選択ウィンドウには拡張子が .mib のファイルだけが表示されるため、拡張子が .my のファイルの名前を .mib 拡張子に手動で変更する必要があります。


ステップ 9 [CISCO-FIREWALL-MIB.mib] をクリックし、[OK] をクリックします。

ステップ 10 リストの下部までスクロールし、最後のエントリをクリックします。

ステップ 11 [Add] をクリックします。

ステップ 12 [CISCO-MEMORY-POOL-MIB.mib] をクリックし、[OK] をクリックします。

ステップ 13 リストの下部までスクロールし、最後のエントリをクリックします。

ステップ 14 [Add] をクリックします。

ステップ 15 [CISCO-SMI-MIB.mib] をクリックし、[OK] をクリックします。

ステップ 16 リストの下部までスクロールし、最後のエントリをクリックします。

ステップ 17 [Add] をクリックします。

ステップ 18 [CISCO-SYSLOG-MIB.mib] をクリックし、[OK] をクリックします。

ステップ 19 [Load All] をクリックします。

ステップ 20 エラーが発生しない場合は、CiscoWorks for Windows を再起動します。


 

トラブルシューティングのヒント

NMS からの着信パケットを受信する SNMP プロセスが実行されていることを確認するには、次のコマンドを入力します。

hostname(config)# show process | grep snmp
 

SNMP からの syslog メッセージをキャプチャし、それらを適応型セキュリティ アプライアンス コンソールに表示するには、次のコマンドを入力します。

hostname(config)# logging list snmp message 212001-212015
hostname(config)# logging console snmp
 

SNMP プロセスがパケットを送受信していることを確認するには、次のコマンドを入力します。

hostname(config)# clear snmp-server statistics
hostname(config)# show snmp-server statistics
 

出力は SNMPv2-MIB の SNMP グループに基づきます。

SNMP パケットが適応型セキュリティ アプライアンスを通過し、SNMP プロセスに送信されていることを確認するには、次のコマンドを入力します。

hostname(config)# clear asp drop
hostname(config)# show asp drop
 

NMS が正常にオブジェクトを要求できない場合、または適応型セキュリティ アプライアンスからの着信トラップを処理していない場合は、次のコマンドを入力して問題を分離するためにパケット キャプチャを使用します。

hostname (config)# access-list snmp permit udp any eq snmptrap any
hostname (config)# access-list snmp permit udp any any eq snmp
hostname (config)# capture snmp type raw-data access-list snmp interface mgmt
hostname (config)# copy /pcap capture:snmp tftp://192.0.2.5/exampledir/snmp.pcap
 

適応型セキュリティ アプライアンスが予期したとおりに実行していない場合は、次の操作を実行して、ネットワーク トポロジとトラフィックに関する情報を取得します。

NMS 設定の場合:

タイムアウトの回数

リトライ回数

エンジン ID キャッシング

使用されるユーザ名とパスワード

次のコマンドを実行します。

show block

show interface

show process

show cpu

重大エラーが発生した場合は、エラーの再現を支援するために、Cisco TAC にトレースバック ファイルと show tech-support コマンドの出力を送信します。

SNMP トラフィックが適応型セキュリティ アプライアンス インターフェイスの通過を許可されていない場合は、 icmp permit コマンドを使用してリモート SNMP サーバからの ICMP トラフィックを許可する必要がある場合があります。

ASA 5580 では、 show interface コマンドと show traffic コマンドの間で、物理インターフェイス統計情報の出力と論理インターフェイス統計情報の出力に差異が現れる場合があります。

インターフェイスの種類と例

SNMP トラフィック統計情報を生成するインターフェイスの種類には次のものがあります。

論理:物理統計情報のサブセットであり、ソフトウェア ドライバによって収集される統計情報。

物理:ハードウェア ドライバによって収集される統計情報。物理的な名前の付いた各インターフェイスは、それに関連付けられている論理統計情報と物理統計情報のセットを 1 つ持っています。各物理インターフェイスは、関連付けられている VLAN インターフェイスを複数持っている場合があります。VLAN インターフェイスは論理統計情報だけを持っています。複数の VLAN インターフェイスが関連付けられている物理インターフェイスでは、次の点に注意してください。


) 複数の VLAN インターフェイスが関連付けられている物理インターフェイスでは、ifInOctets と ifOutoctets の OID の SNMP カウンタがその物理インターフェイスの集約トラフィック カウンタと一致していることに注意してください。


VLAN-only:SNMP は ifInOctets と ifOutOctets に対して論理統計情報を使用します。

表 76-1 の例で、SNMP トラフィック統計情報における差異を示します。

 

表 76-1 物理インターフェイスと VLAN インターフェイスの SNMP トラフィック統計情報

例 1
例 2

次の例で、 show interface コマンドと show traffic コマンドの物理出力統計情報と論理出力統計情報の差異を示します。

hostname# show interface GigabitEthernet3/2

interface GigabitEthernet3/2
description fullt-mgmt
nameif mgmt
security-level 10
ip address 10.7.14.201 255.255.255.0
management-only
 
hostname# show traffic
(Condensed output)
 
Physical Statistics
GigabitEthernet3/2:
received (in 121.760 secs)
36 packets 3428 bytes
0 pkts/sec 28 bytes/sec
 
Logical Statistics
mgmt:
received (in 117.780 secs)
36 packets 2780 bytes
0 pkts/sec 23 bytes/sec
 

次の例は、管理インターフェイスと物理インターフェイスの SNMP 出力統計情報を示しています。ifInOctets 値は、 show traffic コマンド出力で表示される物理統計情報出力に近くなりますが、論理統計情報出力には近くなりません。

mgmt インターフェイスの ifIndex:

IF_MIB::ifDescr.6 = Adaptive Security Appliance ‘mgmt’ interface
 

物理インターフェイス統計情報に対応する ifInOctets:

IF-MIB::ifInOctets.6 = Counter32:3246

次の例は、 show interface コマンドと show traffic コマンドの VLAN だけのインターフェイスに対する出力統計情報を示しています。この例は、統計情報が show traffic コマンドに対して表示される出力に近いことを示しています。

hostname# show interface GigabitEthernet0/0.100
interface GigabitEthernet0/0.100
vlan 100
nameif inside
security-level 100
ip address 47.7.1.101 255.255.255.0 standby 47.7.1.102
 
hostname# show traffic
inside
received (in 9921.450 secs)
1977 packets 126528 bytes
0 pkts/sec 12 bytes/sec
transmitted (in 9921.450 secs)
1978 packets 126556 bytes
0 pkts/sec 12 bytes/sec
 

内部の VLAN の ifIndex:

IF-MIB::ifDescr.9 = Adaptive Security Appliance ‘inside’ interface
IF-MIB::ifInOctets.9 = Counter32: 126318

SNMP の監視

SNMP を監視するには、次のいずれかの手順を実行します。

 

コマンド
目的
clear snmp-server statistics

すべての SNMP カウンタをゼロにリセットします。

show running-config [default] snmp-server

すべての SNMP サーバ コンフィギュレーション情報を表示します。

show running-config snmp-server group

SNMP グループ コンフィギュレーション設定を表示します。

show running-config snmp-server host

リモート ホストに送信されるメッセージと通知を制御するために SNMP によって使用されているコンフィギュレーション設定を表示します。

show running-config snmp-server user

SNMP ユーザベース コンフィギュレーション設定を表示します。

show snmp-server engineid

設定されている SNMP エンジンの ID を表示します。

show snmp-server group

設定されている SNMP グループの名前を表示します。

(注) コミュニティ ストリングがすでに設定されている場合、デフォルトでは 2 つの別のグループが出力に表示されます。この動作は通常のものです。

show snmp-server statistics

SNMP サーバの設定済み特性を表示します。

show snmp-server user

ユーザの設定済み特性を表示します。

hostname(config)# show snmp-server statistics
0 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
0 Number of requested variables
0 Number of altered variables
0 Get-request PDUs
0 Get-next PDUs
0 Get-bulk PDUs
0 Set-request PDUs (Not supported)
0 SNMP packets output
0 Too big errors (Maximum packet size 512)
0 No such name errors
0 Bad values errors
0 General errors
0 Response PDUs
0 Trap PDUs
 
hostname(config)# show running-config snmp-server
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

SNMP の設定例

この項は、次の内容で構成されています。

「SNMP バージョン 1 と 2c の設定例」

「SNMP バージョン 3 の設定例」

SNMP バージョン 1 と 2c の設定例

次の例は、どのホストにも SNMP syslog 要求を送信せずに、適応型セキュリティ アプライアンスが内部インターフェイスでホスト 192.0.2.5 からの SNMP 要求を受信する方法を示しています。

hostname(config)# snmp-server host 192.0.2.5
hostname(config)# snmp-server location building 42
hostname(config)# snmp-server contact EmployeeA
hostname(config)# snmp-server community ohwhatakeyisthee
 

SNMP バージョン 3 の設定例

次の例は、適応型セキュリティ アプライアンスが SNMP バージョン 3 のセキュリティ モデルを使用して SNMP 要求を受信する方法を示しています。このモデルでは、グループ、ユーザ、ホストという一定の順序で設定する必要があります。

hostname(config)# snmp-server group v3 vpn-group priv
hostname(config)# snmp-server user admin vpn group v3 auth sha letmein priv 3des cisco123
hostname(config)# snmp-server host mgmt 10.0.0.1 version 3 priv admin
 

その他の参考資料

SNMP の実装に関するその他の情報については、次の項を参照してください。

「SNMP バージョン 3 の RFC」

「MIB」

SNMP バージョン 3 の RFC

 

RFC
タイトル

3410

Introduction and Applicability Statements for Internet Standard Management Framework

3411

An Architecture for Describing SNMP Management Frameworks

3412

Message Processing and Dispatching for the Simple Network Management Protocol (SNMP)

3413

Simple Network Management Protocol (SNMP) Applications

3414

User-based Security Model (USM) for Version 3 of the Simple Network Management Protocol (SNMP)

3826

The Advanced Encryption Standard (AES) Cipher Algorithm in the SNMP User-based Security Model

MIB

リリースごとの適応型セキュリティ アプライアンスに対してサポートされている MIB とトラップのリストについては、次の URL を参照してください。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

指定された適応型セキュリティ アプライアンスに対してサポートされている SNMP MIB のリストを取得するには、次のコマンドを入力します。

hostname(config)# show snmp-server oidlist
 

oidlist キーワードは show snmp-server コマンドのヘルプのオプション リストには表示されませんが、使用できます。


次に、 show snmp-server oidlist コマンドの出力例を示します。

[0] 1.3.6.1.2.1.1.1. sysDescr
[1] 1.3.6.1.2.1.1.2. sysObjectID
[2] 1.3.6.1.2.1.1.3. sysUpTime
[3] 1.3.6.1.2.1.1.4. sysContact
[4] 1.3.6.1.2.1.1.5. sysName
[5] 1.3.6.1.2.1.1.6. sysLocation
[6] 1.3.6.1.2.1.1.7. sysServices
[7] 1.3.6.1.2.1.2.1. ifNumber
[8] 1.3.6.1.2.1.2.2.1.1. ifIndex
[9] 1.3.6.1.2.1.2.2.1.2. ifDescr
[10] 1.3.6.1.2.1.2.2.1.3. ifType
[11] 1.3.6.1.2.1.2.2.1.4. ifMtu
[12] 1.3.6.1.2.1.2.2.1.5. ifSpeed
[13] 1.3.6.1.2.1.2.2.1.6. ifPhysAddress
[14] 1.3.6.1.2.1.2.2.1.7. ifAdminStatus
[15] 1.3.6.1.2.1.2.2.1.8. ifOperStatus
[16] 1.3.6.1.2.1.2.2.1.9. ifLastChange
[17] 1.3.6.1.2.1.2.2.1.10. ifInOctets
[18] 1.3.6.1.2.1.2.2.1.11. ifInUcastPkts
[19] 1.3.6.1.2.1.2.2.1.12. ifInNUcastPkts
[20] 1.3.6.1.2.1.2.2.1.13. ifInDiscards
[21] 1.3.6.1.2.1.2.2.1.14. ifInErrors
[22] 1.3.6.1.2.1.2.2.1.16. ifOutOctets
[23] 1.3.6.1.2.1.2.2.1.17. ifOutUcastPkts
[24] 1.3.6.1.2.1.2.2.1.18. ifOutNUcastPkts
[25] 1.3.6.1.2.1.2.2.1.19. ifOutDiscards
[26] 1.3.6.1.2.1.2.2.1.20. ifOutErrors
[27] 1.3.6.1.2.1.2.2.1.21. ifOutQLen
[28] 1.3.6.1.2.1.2.2.1.22. ifSpecific
[29] 1.3.6.1.2.1.4.1. ipForwarding
[30] 1.3.6.1.2.1.4.20.1.1. ipAdEntAddr
[31] 1.3.6.1.2.1.4.20.1.2. ipAdEntIfIndex
[32] 1.3.6.1.2.1.4.20.1.3. ipAdEntNetMask
[33] 1.3.6.1.2.1.4.20.1.4. ipAdEntBcastAddr
[34] 1.3.6.1.2.1.4.20.1.5. ipAdEntReasmMaxSize
[35] 1.3.6.1.2.1.11.1. snmpInPkts
[36] 1.3.6.1.2.1.11.2. snmpOutPkts
[37] 1.3.6.1.2.1.11.3. snmpInBadVersions
[38] 1.3.6.1.2.1.11.4. snmpInBadCommunityNames
[39] 1.3.6.1.2.1.11.5. snmpInBadCommunityUses
[40] 1.3.6.1.2.1.11.6. snmpInASNParseErrs
[41] 1.3.6.1.2.1.11.8. snmpInTooBigs
[42] 1.3.6.1.2.1.11.9. snmpInNoSuchNames
[43] 1.3.6.1.2.1.11.10. snmpInBadValues
[44] 1.3.6.1.2.1.11.11. snmpInReadOnlys
[45] 1.3.6.1.2.1.11.12. snmpInGenErrs
[46] 1.3.6.1.2.1.11.13. snmpInTotalReqVars
[47] 1.3.6.1.2.1.11.14. snmpInTotalSetVars
[48] 1.3.6.1.2.1.11.15. snmpInGetRequests
[49] 1.3.6.1.2.1.11.16. snmpInGetNexts
[50] 1.3.6.1.2.1.11.17. snmpInSetRequests
[51] 1.3.6.1.2.1.11.18. snmpInGetResponses
[52] 1.3.6.1.2.1.11.19. snmpInTraps
[53] 1.3.6.1.2.1.11.20. snmpOutTooBigs
[54] 1.3.6.1.2.1.11.21. snmpOutNoSuchNames
[55] 1.3.6.1.2.1.11.22. snmpOutBadValues
[56] 1.3.6.1.2.1.11.24. snmpOutGenErrs
[57] 1.3.6.1.2.1.11.25. snmpOutGetRequests
[58] 1.3.6.1.2.1.11.26. snmpOutGetNexts
[59] 1.3.6.1.2.1.11.27. snmpOutSetRequests
[60] 1.3.6.1.2.1.11.28. snmpOutGetResponses
[61] 1.3.6.1.2.1.11.29. snmpOutTraps
[62] 1.3.6.1.2.1.11.30. snmpEnableAuthenTraps
[63] 1.3.6.1.2.1.11.31. snmpSilentDrops
[64] 1.3.6.1.2.1.11.32. snmpProxyDrops
[65] 1.3.6.1.2.1.31.1.1.1.1. ifName
[66] 1.3.6.1.2.1.31.1.1.1.2. ifInMulticastPkts
[67] 1.3.6.1.2.1.31.1.1.1.3. ifInBroadcastPkts
[68] 1.3.6.1.2.1.31.1.1.1.4. ifOutMulticastPkts
[69] 1.3.6.1.2.1.31.1.1.1.5. ifOutBroadcastPkts
[70] 1.3.6.1.2.1.31.1.1.1.6. ifHCInOctets
--More--

SNMP の機能履歴

表 76-2 に、この機能のリリース履歴の一覧を示します。

 

表 76-2 SNMP の機能履歴

機能名
リリース
機能情報

SNMP バージョン 1 と 2c

7.0(1)

クリア テキスト コミュニティ ストリングを使用した SNMP サーバと SNMP エージェントの間でのデータ送信によって、適応型セキュリティ アプライアンス ネットワーク モニタリングとイベント情報を提供します。

SNMP バージョン 3

8.2(1)

3DES または AES 暗号化、およびサポートされているセキュリティ モデルの中で最もセキュアな形式である SNMP バージョン 3 のサポートを提供します。このバージョンでは、USM を使用して、ユーザ、グループ、ホスト、および認証の特性を設定できます。さらに、このバージョンでは、エージェントと MIB オブジェクトへのアクセス コントロールが許可され、追加の MIB サポートが含まれます。

次のコマンドが導入されました。

show snmp-server engineid

show snmp-server group

show snmp-server user

snmp-server group

snmp-server user

次のコマンドが変更されました。

snmp-server host