Cisco Aironet 1100 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(4)JA
SNMP の設定
SNMP の設定
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

SNMP の設定

SNMP の概要

SNMP のバージョン

SNMP マネージャの機能

SNMP エージェントの機能

SNMP のコミュニティ文字列

SNMP による MIB 変数へのアクセス

SNMP の設定

SNMP のデフォルト設定

SNMP エージェントのディセーブル化

コミュニティ文字列の設定

トラップ マネージャの設定とトラップのイネーブル化

エージェントの連絡先の設定

snmp-server view コマンドの使用

SNMP の例

SNMP ステータスの表示

SNMP の設定

この章では、アクセス ポイントに Simple Network Management Protocol(SNMP;簡易ネットワーク管理プロトコル)を設定する手順について説明します。


) この章で使用されるコマンドのシンタックスと使用方法については、『Cisco Aironet 1100 Series
Access Point Command Reference
(今回のリリース) と『Cisco IOS Configuration Fundamentals Command Reference for Release 12.2』を参照してください。


この章では、次の項目について説明します。

「SNMP の概要」

「SNMP の設定」

「SNMP ステータスの表示」

SNMP の概要

SNMP は、SNMP のマネージャとエージェントとの通信に使用されるメッセージ形式を提供するアプリケーションレイヤ プロトコルです。 SNMP マネージャは、CiscoWorks などの network
management system(NMS;ネットワーク管理システム)の一員になることができます。 エージェントと management information base(MIB)は、アクセス ポイントに存在します。 アクセス ポイントに SNMP を設定するには、マネージャとエージェントの間に関連性を定義します。

SNMP エージェントには、SNMP マネージャが値をリクエストし、または変更できる MIB 変数が格納されています。 マネージャはエージェントから値を取得し、またエージェントに値を格納できます。 エージェントはMIB、つまりデバイス パラメータとネットワーク データの情報を収めたリポジトリからデータを収集します。 またエージェントはマネージャのリクエストに応答して、データを取得または設定できます。

エージェントは、マネージャに非要求トラップを送信できます。 トラップは SNMP マネージャにネットワーク上の状況をアラートするメッセージです。 トラップは不適切なユーザ認証、再起動、リンク ステータス(up または down)、MAC アドレスの追跡、TCP 接続の切断、近接との接続の損失、その他の重要なイベントを表す場合があります。

ここでは次の概念を扱います。

「SNMP のバージョン」

「SNMP マネージャの機能」

「SNMP エージェントの機能」

「SNMP のコミュニティ文字列」

「SNMP による MIB 変数へのアクセス」

SNMP のバージョン

このソフトウェア リリースでは、次の SNMP バージョンをサポートしています。

SNMPv1:RFC 1157 で定義される完全なインターネット標準、Simple Network Management Protocol(SNMP;簡易ネットワーク管理プロトコル)

SNMPv2C:次の種類があります。

SNMPv2:SNMP Version 2。RFC 1902 ~ 1907 で定義されるインターネット ドラフト標準。

SNMPv2C:SNMPv2 のコミュニティベースの管理フレームワーク。RFC 1901 で定義されるインターネット実験プロトコル。

SNMPv2C では、パーティベース管理およびセキュリティ フレームワークの SNMPv2Classic が、コミュニティベース管理フレームワークの SNMPv2C に置き換えられていますが、SNMPv2Classic のバルク検索と拡張エラー処理は残されています。

SNMPv1 と SNMPv2C はいずれも、コミュニティベースのセキュリティ形式を使用しています。 エージェントの MIB にアクセスできるマネージャ コミュニティは、IP アドレスの access control list(ACL;アクセス制御リスト)とパスワードで定義されます。

SNMPv2C では、バルク検索メカニズムと管理ステーションへのより詳細なエラー メッセージ報告が機能します。 バルク検索メカニズムは、テーブルと大量の情報を検索して、要求される往復回数を最小限に抑えます。 SNMPv2Cの拡張エラー処理では、異なる種類のエラー状況を区別する拡張エラー コードが使用されます。これらの状況は、SNMPv1 の単一のエラー コードで報告されます。 今回からエラー リターン コードでエラー タイプが報告されます。

SNMP エージェントは、管理ステーションでサポートされるバージョンの SNMP を使用するように設定する必要があります。 エージェントは複数のマネージャと対話できます。したがって SNMPv1 プロトコルを使用する管理ステーションと、SNMPv2 プロトコルを使用する管理ステーションとの通信をサポートするようにソフトウェアを設定できます。

SNMP マネージャの機能

SNMP マネージャは、MIB の情報を使用して 表 17-1 で説明する操作を行います。

 

表 17-1 SNMP の操作

操作
説明

get-request

特定の変数から値を取り出す。

get-next-request

テーブル内の変数から値を取り出す。1

get-bulk-request2

大量のデータ ブロックを取り出す。このコマンドを指定しない場合、テーブル内の複数行など、小さなデータ ブロックを数多く送信する要求になります。

get-response

NMS が送信した get-request、get-next-request、set-request に返答する。

set-request

特定の変数に値を格納する。

trap

何らかのイベントが発生したときに、SNMP エージェントが SNMP マネージャに送信する非要求メッセージ。

1.この操作の間、SNMP マネージャは正確な変数名を知る必要はありません。 テーブル内から必要な変数を見つけるために、逐次検索が行われます。

2.get-bulk コマンドは SNMPv2 で機能します。

SNMP エージェントの機能

SNMP エージェントは、次の手順で SNMP マネージャのリクエストに応答します。

MIB 変数の取得:SNMP エージェントは NMS からのリクエストに応じてこの機能を開始します。 エージェントは、リクエストされた MIB 変数の値を取り出し、その値で NMS に応答します。

MIB 変数の設定:SNMP エージェントは NMS からのリクエストに応じてこの機能を開始します。 SNMP エージェントは MIB 変数の値を NMS がリクエストした値に変更します。

また SNMP エージェントは非要求トラップ メッセージを送信して、エージェントで重大なイベントが発生したことを NMS に伝えます。 トラップ状況の例として、ポートまたはモジュールの起動または停止、スパニングツリー トポロジーの変更、認証の失敗などがあげられます。

SNMP のコミュニティ文字列

SNMP のコミュニティ文字列は、MIB オブジェクトへのアクセスを認証し、埋め込みパスワードとして機能します。 NMS がアクセス ポイントにアクセスできるように、NMS のコミュニティ文字列の定義が、アクセス ポイントの 3 つのコミュニティ文字列の定義の 1 つ以上に一致している必要があります。

コミュニティ文字列は次の属性のいずれかを持ちます。

読み取り専用:MIB のコミュニティ文字列以外のすべてのオブジェクトに、正式な管理ステーションの読み取りアクセスを許可しますが、書き込みアクセスは許可しません。

読み書き:MIB のすべてのオブジェクトに、正式な管理ステーションへの読み書きアクセスを許可しますが、コミュニティ文字列へのアクセスは許可しません。

読み書きすべて:コミュニティ文字列を含む MIB のすべてのオブジェクトに、正式な管理ステーションへの読み書きアクセスを許可します。

SNMP による MIB 変数へのアクセス

NMS の例に CiscoWorks ネットワーク管理ソフトウェアがあります。 CiscoWorks 2000 ソフトウェアは、アクセス ポイントの MIB 変数を使用してデバイスの変数を設定し、ネットワーク上のデバイスで特定の情報をポーリングします。 ポーリングの結果をグラフで表示して、分析することで、ネットワーキング問題のトラブルシューティング、ネットワーク パフォーマンスの向上、デバイスの設定検証、トラフィック負荷の監視などに役立てることができます。

図 17-1に示すように、SNMP エージェントは MIB からデータを収集します。 エージェントは SNMP マネージャにトラップ(特定のイベントの通知)を送信できます。SNMP マネージャはトラップを受信するとこれを処理します。 トラップは、不正なユーザ認証、再起動、リンク ステータス(up または down)、MAC アドレスの追跡などのネットワーク上の状況を SNMP マネージャにアラートするメッセージです。 また SNMP エージェントは SNMP マネージャが送信した MIB 関連のクエリに、 get-request get-next-request set-request の形式で応答します。

図 17-1 SNMP ネットワーク

 

サポートされる MIB と、それらの MIB にアクセスする方法については、 付録E「サポートされている MIB」 を参照してください。

SNMP の設定

この項では、アクセス ポイントで SNMP を設定する方法について説明します。 次の設定情報から構成されます。

「SNMP のデフォルト設定」

「SNMP エージェントのディセーブル化」

「コミュニティ文字列の設定」

「トラップ マネージャの設定とトラップのイネーブル化」

「エージェントの連絡先の設定」

「snmp-server view コマンドの使用」

「SNMP の例」

SNMP のデフォルト設定

表 17-2 に SNMP のデフォルト設定を示します。

 

表 17-2 SNMP のデフォルト設定

機能
デフォルトの設定

SNMP エージェント

Enabled

SNMP コミュニティ文字列

読み出し専用。 パブリック

読み書き。 プライベート

読み書きすべて。 シークレット

SNMP トラップ レシーバ

設定なし

SNMP トラップ

イネーブル設定なし

SNMP エージェントのディセーブル化

イネーブル EXEC モードから、SNMP をディセーブルにする手順は次のとおりです。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

no snmp-server

SNMP エージェントの操作をディセーブルにします。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

エントリを確認します。

ステップ 5

copy running-config startup-config

(任意)エントリをコンフィギュレーション ファイルに保存します。

SNMP をイネーブルにする特定の IOS コマンドはありません。 最初に入力する snmp-server グローバル コンフィギュレーション コマンドは、SNMPv1 と SNMPv2 をイネーブルにします。

コミュニティ文字列の設定

SNMP マネージャとエージェント間の関係は、SNMP コミュニティ文字列を使用して定義します。 コミュニティ文字列は、パスワードと同様に機能しアクセス ポイント上のエージェントへのアクセスを許可します。 オプションで文字列に関連した次の特性の 1 つまたは複数を指定できます。

コミュニティ文字列を使用してエージェントへのアクセスが許可された SNMP マネージャの IP アドレスを示すアクセス リスト。

MIB ビュー。特定のコミュニティにアクセスできるすべての MIB オブジェクトのサブセットを定義します。

コミュニティにアクセスできる MIB オブジェクトへの、読み書きまたは読み出し専用許可。

イネーブル EXEC モードから、アクセス ポイントでコミュニティ文字列を設定する手順は次のとおりです。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server community string [ ro | rw ] [ access-list-number ]

コミュニティ文字列を設定します。

string には、パスワードと同様に機能し、SNMP プロトコルへのアクセスを許可する文字列を指定します。 任意の長さのコミュニティ文字列を 1 つまたは複数設定できます。

(任意)許可された管理ステーションで MIB オブジェクトを取り出す場合は読み出し専用( ro )を、許可された管理ステーションで MIB オブジェクトを取り出して修正する場合は読み出し/書き込み( rw )を指定します。 デフォルトでは、コミュニティ文字列はすべてのオブジェクトへの読み出し専用アクセスを許可します。

(任意) access-list-number には、1 ~ 99 と 1300 ~ 1999 までの IP 標準アクセス リストを入力します。

ステップ 3

access-list access-list-number { deny | permit } source [ source-wildcard ]

(任意)手順 2 で IP 標準アクセス リスト番号を指定している場合、リストを作成し、コマンドを必要な回数繰り返します。

access-list-number には、手順 2 で指定したアクセス リスト番号を入力します。

deny キーワードは、条件が一致すればアクセスを拒否します。
permit キーワードは、条件が一致すればアクセスを許可します。

source には、コミュニティ文字列を使用してエージェントへのアクセスが許可された SNMP マネージャの IP アドレスを入力します。

(任意) source-wildcard には、ワイルドカード ビットをソースに適用されるドット付き 10 進表記で入力します。 無視するビット位置にワイルドカードを指定します。

アクセス リストは常に、すべてに対する黙示的な否定文によって終了します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

エントリを確認します。

ステップ 6

copy running-config startup-config

(任意)エントリをコンフィギュレーション ファイルに保存します。


) SNMP コミュニティのアクセスをディセーブルにするには、そのコミュニティのコミュニティ文字列をヌル文字列に設定します(コミュニティ文字列に値を入力しません)。


特定のコミュニティ文字列を削除するには、 no snmp-server community string グローバル コンフィギュレーション コマンドを使用します。

次に SNMP に文字列 comaccess を割り当て、読み出し専用アクセスを許可し、IP アクセス リスト 4 がコミュニティ文字列を使用してアクセス ポイントの SNMP エージェントにアクセスするのを許可する手順を示します。

AP(config)# snmp-server community comaccess ro 4

トラップ マネージャの設定とトラップのイネーブル化

トラップ マネージャはトラップを受信し処理する管理ステーションです。 トラップは、特定のイベントが起こったときにアクセス ポイントが生成するシステム アラートです。 デフォルトでは、トラップ マネージャは定義されておらず、トラップは発行されません。

この IOS リリースを実行するアクセス ポイントは、トラップ マネージャを無制限に定義できます。 任意の長さのコミュニティ文字列を指定できます。

表 17-3 に、サポートされるアクセス ポイントのトラップ(通知タイプ)を説明します。 次のトラップのいずれか、またはすべてをイネーブルにできます。また、それらを受信するようにトラップ マネージャを設定できます。

 

表 17-3 通知タイプ

通知タイプ
説明

authenticate-fail

認証の失敗に使用するトラップをイネーブルにする。

config

SNMP コンフィギュレーションの変更に使用するトラップをイネーブルにする。

deauthenticate

クライアント デバイスの認証解除に使用するトラップをイネーブルにする。

disassociate

クライアント デバイスの結合解除に使用するトラップをイネーブルにする。

dot11-qos

QoS 変更に使用するトラップをイネーブルにする。

entity

SNMP エンティティの変更に使用するトラップをイネーブルにする。

rogue-ap

不正なアクセス ポイントの検出に使用するトラップをイネーブルにする。

snmp

SNMP イベントに使用するトラップをイネーブルにする。

switch-over

スイッチオーバーに使用するトラップをイネーブルにする。

syslog

syslog トラップをイネーブルにする。

wlan-wep

WEP トラップをイネーブルにする。

snmp-server enable グローバル コンフィギュレーション コマンドでは、 tty udp-port など、一部の通知タイプを制御できません。 これらの通知タイプは常にイネーブルに設定されます。 表 17-3 でリストされる通知タイプを受け取るように、特定のホストに snmp-server host グローバル コンフィギュレーション コマンドを指定することができます。

イネーブル EXEC モードから、ホストにトラップを送信するようにアクセス ポイントを設定する手順は次のとおりです。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server host host-addr { traps | informs } { version { 1 | 2c }} community-string
notification-type

トラップ メッセージの受信者を指定します。

host-addr, には、ホスト(ターゲットの受信者)の名前またはアドレスを指定します。

ホストに SNMP トラップを送信する場合は、 traps (デフォルト)を指定します。 ホストに SNMP の情報を送信する場合は、 informs を指定します。

サポートされる SNMP バージョンを指定します。 デフォルトの version 1 は、informs に使用できません。


version 3 キーワード(SNMPv3)は、コマンドライン ヘルプ文字列に表示されますがサポートされません。


community-string には、通知操作で送信する文字列を指定します。 snmp-server host コマンドを使用してこの文字列を設定できますが、 snmp-server host コマンドを使用する前に、 snmp-server community コマンドを使用してこの文字列を定義することをお勧めします。

notification-type には、表 17-3 のリスト内のキーワードを使用します。

ステップ 3

snmp-server enable traps notification-types

アクセス ポイントでの特定のトラップの送信をイネーブルにします。 トラップのリストについては、表 17-3を参照してください。

複数のタイプのトラップをイネーブルにするには、各トラップのタイプに個別に snmp-server enable traps コマンドを発行する必要があります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

エントリを確認します。

ステップ 6

copy running-config startup-config

(任意)エントリをコンフィギュレーション ファイルに保存します。

指定したホストがトラップを受信しないようにするには、 no snmp-server host host グローバル コンフィギュレーション コマンドを使用します。 特定のトラップ タイプをディセーブルにするには、 no snmp-server enable traps notification-types グローバル コンフィギュレーション コマンドを使用します。

エージェントの連絡先の設定

イネーブル EXEC モードから、SNMP エージェントのシステムの連絡先を設定する手順は次のとおりです。これらの情報にはコンフィギュレーション ファイルからアクセスできます。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server contact text

システムの連絡先担当者の文字列を設定します。

例:

snmp-server contact Dial System Operator at beeper 21555 .

ステップ 3

snmp-server location text

システムの連絡先住所の文字列を設定します。

例:

snmp-server location Building 3/Room 222

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show running-config

エントリを確認します。

ステップ 6

copy running-config startup-config

(任意)エントリをコンフィギュレーション ファイルに保存します。

snmp-server view コマンドの使用

グローバル コンフィギュレーション モードで、IEEE ビューと dot11 読み書きコミュニティ文字列から標準の IEEE 802.11 MIB オブジェクトにアクセスするには、snmp-server view コマンドを使用します。

次に IEEE ビューと dot11 読み書きコミュニティ文字列をイネーブルにする手順を示します。

AP(config)# snmp-server view ieee ieee802dot11 included
AP(config)# snmp-server community dot11 view ieee RW
 

SNMP の例

次に SNMPv1 と SNMPv2C をイネーブルにする手順を示します。 この設定では SNMP マネージャがコミュニティ文字列 public を使用して読み出し専用が許可されたすべてのオブジェクトにアクセスするのを許可します。 この設定により、アクセス ポイントはトラップの送信を停止します。

AP(config)# snmp-server community public
 

次に 任意の SNMP マネージャがコミュニティ文字列 public を使用して読み出し専用が許可されたすべてのオブジェクトにアクセスするのを許可する手順を示します。 アクセス ポイントは SNMPv1 を使用してホスト 192.180.1.111 と 192.180.1.33 に、SNMPv2C を使用してホスト 192.180.1.27 に設定トラップを送信します。 トラップと一緒にコミュニティ文字列 public が送信されます。

AP(config)# snmp-server community public
AP(config)# snmp-server enable traps config
AP(config)# snmp-server host 192.180.1.27 version 2c public
AP(config)# snmp-server host 192.180.1.111 version 1 public
AP(config)# snmp-server host 192.180.1.33 public
 

次に comaccess コミュニティ文字列を使用するアクセス リスト 4 のメンバーに、すべてのオブジェクトへの読み出し専用アクセスを許可する手順を示します。 他の SNMP マネージャはどのオブジェクトにもアクセスできません。 SNMPv2C はコミュニティ文字列 public を使用してホスト cisco.com に SNMP Authentication Failure トラップを送信します。

AP(config)# snmp-server community comaccess ro 4
AP(config)# snmp-server enable traps snmp authentication
AP(config)# snmp-server host cisco.com version 2c public
 

次にホスト cisco.com に Entity MIB トラップを送信する手順を示します。 コミュニティ文字列は制限されます。 最初の行でそれまでイネーブルにされたすべてのトラップに加えて、アクセス ポイントからの Entity MIB トラップの送信がイネーブルになります。 2 行目でこれらのトラップの宛先が指定され、ホスト cisco.com に対する以前の snmp-server host コマンドがすべて上書きされます。

AP(config)# snmp-server enable traps entity
AP(config)# snmp-server host cisco.com restricted entity
 

次にコミュニティ文字列 public を使用して、アクセス ポイントでホスト myhost.cisco.com にすべてのトラップを送信するのをイネーブルにする手順を示します。

AP(config)# snmp-server enable traps
AP(config)# snmp-server host myhost.cisco.com public

SNMP ステータスの表示

不正なコミュニティ文字列エントリ、エラー、リクエストされた変数を含む、SNMP での入力および出力の統計情報を表示するには show snmp イネーブル EXEC コマンドを使用します。 この表示のフィールドについての詳細は、『 Cisco IOS Configuration Fundamentals Command Reference for Release 12.2 』を参照してください。