Cisco Aironet 1300 シリーズ屋外アクセス ポイント/ブリッジ Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.3(4)JA
簡易ネットワーク管理プロトコル (SNMP)の設定
簡易ネットワーク管理プロトコル(SNMP)の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

簡易ネットワーク管理プロトコル(SNMP)の設定

SNMP の概要

SNMP バージョン

SNMP マネージャの機能

SNMP エージェントの機能

SNMP コミュニティ ストリング

SNMP による MIB 変数へのアクセス

SNMP の設定

デフォルトの SNMP 設定

SNMP エージェントの有効化

コミュニティ ストリングの設定

トラップ マネージャの設定とトラップの有効化

エージェントの連絡先と場所の情報の設定

snmp-server view コマンドの使用

SNMP の例

SNMP ステータスの表示

簡易ネットワーク管理プロトコル(SNMP)の設定

この章では、アクセス ポイントにSimple Network Management Protocol(SNMP;簡易ネットワーク管理プロトコル)を設定する方法について説明します。


) この章で使用されるコマンドの構文と使用方法の詳細は、このリリースの『Cisco IOS Command Reference for Cisco Aironet Access Points and Bridges』、およびリリース 12.3 の『Cisco IOS Configuration Fundamentals Command Reference』を参照してください。


この章の内容は、次のとおりです。

「SNMP の概要」

「SNMP の設定」

「SNMP の設定」

SNMP の概要

SNMP は、SNMP のマネージャとエージェント間の通信のメッセージ形式を提供するアプリケーションレイヤ プロトコルです。SNMP マネージャは、CiscoWorks などの NMS(network management system;ネットワーク管理システム)に組み込まれています。エージェントと MIB(management information base;管理情報ベース)は、アクセス ポイント上に置かれます。アクセス ポイント上で SNMP を設定する場合、マネージャとエージェント間の関連性を定義します。

SNMP エージェントには、SNMP マネージャが値を要求または変更できる MIB 変数が格納されます。マネージャはエージェントから値を取得し、またエージェントに値を保存します。エージェントは、デバイス パラメータとネットワーク データの情報のリポジトリである MIB からデータを収集します。またエージェントは、マネージャのデータ取得またはデータ設定の要求に応答できます。

エージェントは割り込みトラップをマネージャに送信できます。トラップは SNMP マネージャにネットワークの状況を警告するメッセージです。トラップは不適切なユーザ認証や、再起動、リンク ステータス(起動または停止)、media access control(MAC;メディア アクセス制御)アドレスの追跡、Transmission Control Protocol(TCP)接続の終了、近接との接続の損失、またはその他の重要なイベントを表す場合があります。

この項では、次の概念を説明します。

「SNMP バージョン」

「SNMP マネージャの機能」

「SNMP エージェントの機能」

「SNMP コミュニティ ストリング」

「SNMP による MIB 変数へのアクセス」

SNMP バージョン

このソフトウェア リリースでは、次の SNMP バージョンをサポートします。

SNMPv1:Simple Network Management Protocol。RFC 1157 で定義される完全なインターネット規格。

SNMPv2C。SNMPv2C には、次の機能があります。

SNMPv2:Simple Network Management Protocol のバージョン 2。RFC 1902 ~ 1907 で定義されるドラフト インターネット規格。

SNMPv2C:SNMPv2 のコミュニティベースの管理フレームワーク。RFC 1901 で定義される試用段階のインターネット プロトコル。

SNMPv3。SNMPv3 には、次の機能があります。

Secure Hash Algorithm(SHA)および Message Digest 5(MD5)認証プロトコルと Data Encryption Standard(DES;データ暗号規格)56 暗号化のサポート。

3 つのセキュリティ レベル:NoAuthNoPriv(認証なし、プライバシーなし)、AuthNoPriv(認証あり、プライバシーなし)、AuthPriv(認証あり、プライバシーあり)

SNMPv3 は、SNMP 通信における最も可用性の高いセキュリティ レベルをサポートします。SNMPv1 と SNMPv2 のコミュニティ ストリングは、暗号化されずにプレーン テキストとして保存および送信されます。SNMPv3 セキュリティ モデルでは、SNMP ユーザは認証され、ユーザ グループに参加します。システム データへのアクセスは、そのグループに基づいて制限されます。

SNMP エージェントは、管理ステーションでサポートされる SNMP のバージョンを使用するように設定する必要があります。エージェントは複数のマネージャと対話できるため、SNMPv3 プロトコルを使用する管理ステーションや、SNMPv2 または SNMPv1 プロトコルを使用する管理ステーションとの通信をサポートするようにソフトウェアを設定できます。

表17-1 は、アクセス ポイントでサポートされる SNMP バージョンとセキュリティ レベルを示しています。

 

表17-1 SNMP バージョンとセキュリティ レベル

SNMP バージョン
セキュリティ レベル
認証
暗号化

v1

NoAuthNoPriv

コミュニティ ストリングの一致

なし

v2C

NoAuthNoPriv

コミュニティ ストリングの一致

なし

v3

NoAuthNoPriv

ユーザ名の一致

なし

v3

AuthNoPriv

Keyed-Hashing for Message Authentication Code-Message Digest 5(HMAC-MD5)または Keyed-Hashing for Message Authentication Code-Secure Hash Algorithm(HMAC-SHA)アルゴリズム

なし

v3

AuthPriv

HMAC-MD5 または HMAC-SHA アルゴリズム

データ暗号規格
56ビット暗号化

SNMPv3 の詳細は、次のリンクをクリックして、Cisco IOS リリース 12.0(3)T の『New Feature Documentation』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/snmp3.htm

SNMP マネージャの機能

SNMP マネージャは、MIB 内の情報を使用して、 表17-2 に説明する操作を実行します。

 

表17-2 SNMP の操作

操作
説明

get-request

特定の変数から値を取得します。

get-next-request

テーブル内の特定の変数から値を 1 つ取得します。1

get-bulk-request2

テーブル内の複数行など、小さなデータ ブロックを数多く送信するような場合に、大きなブロックでデータを取得します。

get-response

NMS が送信した get-request、get-next-request、set-request 要求に返答します。

set-request

特定の変数に値を保存します。

trap

あるイベントが発生したときに、SNMP エージェントが SNMP マネージャに送信する割り込みメッセージです。

1.この操作により、SNMP マネージャは正確な変数名を知る必要がなくなります。テーブルから必要な変数を見つけるために、逐次検索が実行されます。

2.get-bulk コマンドは、SNMPv2 でのみ機能します。

SNMP エージェントの機能

SNMP エージェントは、SNMP マネージャからの要求に次のように応答します。

MIB 変数の取得:SNMP エージェントは、NMS からの要求に応じてこの機能を開始します。エージェントは、要求された MIB 変数の値を取得し、NMS にその値を返します。

MIB 変数の設定:SNMP エージェントは、NMS からのメッセージに応じてこの機能を開始します。SNMP エージェントは MIB 変数の値を NMS が要求した値に変更します。

また、SNMP エージェントは割り込みトラップ メッセージを送信して、エージェントで重要なイベントが発生したことを NMS に伝えます。トラップの状況の例として、ポートまたはモジュールの起動または停止、スパニングツリー トポロジの変更、認証の失敗などが含まれます。

SNMP コミュニティ ストリング

SNMP コミュニティ ストリングは、MIB オブジェクトへのアクセスを認証し、組み込みパスワードとして機能します。NMS がアクセス ポイントにアクセスするために、NMS のコミュニティ ストリングの定義は、アクセス ポイントの 3 つのコミュニティ ストリング定義のうちの少なくとも 1 つと一致している必要があります。

コミュニティ ストリングには、次の属性のいずれかを指定できます。

読み取り専用:許可された管理ステーションへの読み取りアクセスを、コミュニティ ストリングを除く MIB のすべてのオブジェクトに許可しますが、書き込みアクセスは許可しません。

読み取りと書き込み:許可された管理ステーションへの読み取りおよび書き込みアクセスを、MIB のすべてのオブジェクトに許可しますが、コミュニティ ストリングには許可しません。

SNMP による MIB 変数へのアクセス

NMS の例として、CiscoWorks ネットワーク管理ソフトウェアがあります。CiscoWorks 2000 ソフトウェアは、アクセス ポイントの MIB 変数を使用してデバイスの変数を設定し、ネットワーク上のデバイスに特定の情報をポーリングします。ポーリングの結果をグラフで表示して分析し、インターネットワーキング問題のトラブルシューティング、ネットワークのパフォーマンス向上、デバイスの設定の確認、トラフィック負荷の監視などに使用できます。

図17-1 に示すように、SNMP エージェントは MIB からデータを収集します。エージェントは SNMP マネージャにトラップ(特定のイベントの通知)を送信することができ、SNMP マネージャはトラップを受信して処理します。トラップは、不適切なユーザ認証、再起動、リンク ステータス(起動または停止)、MAC アドレスの追跡などの、ネットワーク上の状況を SNMP マネージャに警告するメッセージです。また、SNMP エージェントは、SNMP マネージャが get-request get-next-request 、および set-request の形式で送信する、MIB 関連のクエリーに応答します。

図17-1 SNMP ネットワーク

 

サポートされる MIB とそのアクセス方法については、 付録C「サポートされている MIB」 を参照してください。

SNMP の設定

この項では、アクセス ポイントで SNMP を設定する方法について説明します。内容は次のとおりです。

「デフォルトの SNMP 設定」

「SNMP エージェントの有効化」

「コミュニティ ストリングの設定」

「トラップ マネージャの設定とトラップの有効化」

「エージェントの連絡先と場所の情報の設定」

「snmp-server view コマンドの使用」

「SNMP の例」

デフォルトの SNMP 設定

表17-3 は、デフォルトの SNMP 設定を示しています。

 

表17-3 デフォルトの SNMP 設定

機能
デフォルト設定

SNMP エージェント

無効

SNMP コミュニティ ストリング

どのストリングも、デフォルトでは設定されていません。ただし、Web ブラウザ インターフェイスで SNMP を有効にする場合、アクセス ポイントは IEEE802dot11 MIB への読み取り専用アクセスで、public コミュニティを自動的に生成します。

SNMP トラップ レシーバー

設定されていません。

SNMP トラップ

有効なトラップなし。

SNMP エージェントの有効化

SNMP を有効にするための特定の command-line interface(CLI;コマンド ライン インターフェイス)コマンドはありません。最初に入力したグローバル コンフィギュレーション コマンド snmp-server を使用すると、SNMPv1 とSNMPv2 が有効になります。

また、Web ブラウザ インターフェイスの SNMP Properties ページで、SNMP を有効にすることもできます。Web ブラウザ インターフェイスで SNMP を有効にする場合、アクセス ポイントは自動的に、IEEE802dot11 MIB 読み取り専用アクセスで、public と呼ばれるコミュニティ ストリングを生成します。

コミュニティ ストリングの設定

SNMP コミュニティ ストリングを使用して、SNMP マネージャとエージェント間の関連性を定義します。コミュニティ ストリングはパスワードと同様に機能し、アクセス ポイント上のエージェントへのアクセスを許可します。

オプションで、ストリングに関連した次の特性の 1 つまたは複数を指定できます。

SNMP マネージャの IP アドレスのアクセス リスト。コミュニティ ストリングを使用してエージェントにアクセスすることが許可された SNMP マネージャが対象です。

MIB ビュー。特定のコミュニティにアクセスできるすべての MIB オブジェクトを定義します。

コミュニティにアクセスできる MIB オブジェクトに対する読み取りと書き込み権限、または読み取り専用の権限。


) 現在の Cisco IOS MIB エージェント実装では、デフォルトのコミュニティ ストリングは、インターネット MIB オブジェクト サブツリーに対するものです。IEEE802dot11 は、MIB オブジェクト ツリーの別のブランチのもとにあるので、IEEE802dot11 MIB 上の別のコミュニティ ストリングとビュー、あるいは、MIB オブジェクト ツリー内の ISO オブジェクト上の共通のビューとコミュニティ ストリングのいずれかを有効にする必要があります。ISO は、IEEE(IEEE802dot11)およびインターネットの共通の親ノードです。この MIB エージェントの動作は、Cisco IOS ソフトウェアを実行していないアクセス ポイントでの MIB エージェントの動作とは異なります。


特権 EXEC モードから、次の手順に従ってアクセス ポイントにコミュニティ ストリングを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server community string
[ access-list-number ]
[ view mib-view ]
[ ro | rw ]

コミュニティ ストリングを設定します。

string には、パスワードと同様に機能し、SNMP プロトコルへのアクセスを許可する文字列を指定します。任意の長さの 1 つまたは複数のコミュニティ ストリングを設定できます。

(オプション) access-list-number には、1 ~ 99 および 1300 ~ 1999 の標準的な IP アクセス リスト番号を入力します。

(オプション)view mib-view には、ieee802dot11 など、このコミュニティがアクセスできる MIB ビューを指定します。IEEE ビューを通じて標準 IEEE 802.11 MIB オブジェクトにアクセスする snmp-server view コマンドの使用方法は、「snmp-server view コマンドの使用」を参照してください。

(オプション)許可された管理ステーションで MIB オブジェクトを取得する場合は読み取り専用( ro )を指定し、許可された管理ステーションで MIB オブジェクトを取得し、修正する場合は読み取りと書き込み( rw )を指定します。デフォルトでは、コミュニティ ストリングはすべてのオブジェクトへの読み取り専用アクセスを許可します。


) IEEE802dot11 MIB にアクセスするには、IEEE802dot11 MIB 上の別のコミュニティ ストリングとビュー、あるいは、MIB オブジェクト ツリー内の ISO オブジェクト上の共通のビューとコミュニティ ストリングを有効にする必要があります。


ステップ 3

access-list access-list-number { deny | permit } source [ source-wildcard ]

(オプション)ステップ 2 で IP の標準アクセス リストの番号を指定している場合は、このコマンドを必要な回数だけ繰り返してリストを作成します。

access-list-number には、ステップ 2 で指定したアクセス リスト番号を入力します。

deny キーワードは、条件に一致する場合にアクセスを拒否します。 permit キーワードは、条件に一致する場合にアクセスを許可します。

source には、コミュニティ ストリングを使用してエージェントにアクセスすることが許可された SNMP マネージャの IP アドレスを入力します。

(オプション) source-wildcard には、ソースに適用されるワイルドカード ビットをドット付き 10 進表記で入力します。無視するビット位置にワイルドカードを指定します。

アクセス リストは常に、すべてを暗黙的に否定するステートメントで終了することに注意してください。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

SNMP コミュニティのアクセスを無効にするには、そのコミュニティのコミュニティ ストリングをヌル文字列に設定します(コミュニティ ストリングに値を入力しない)。特定のコミュニティ ストリングを削除する場合は、グローバル コンフィギュレーション コマンド no snmp-server community string を使用します。

次の例は、コミュニティ ストリング open と ieee を SNMP に割り当てる方法、両方に対する読み取りと書き込みアクセスを許可する方法、open が非 IEEE802dot11-MIB オブジェクトのクエリーに対するコミュニティ ストリングであり、ieee が IEEE802dot11 MIB オブジェクトのクエリーに対するコミュニティ ストリングであることを指定する方法を示しています。

ap(config)# snmp-server view dot11view ieee802dot11 included
ap(config)# snmp-server community open rw
ap(config)# snmp-server community ieee view ieee802dot11 rw
 

トラップ マネージャの設定とトラップの有効化

トラップ マネージャは、トラップを受信し処理する管理ステーションです。トラップは、特定のイベントが発生したときにアクセス ポイントが生成するシステム アラートです。デフォルトではトラップ マネージャは定義されておらず、トラップは発行されません。

この Cisco IOS リリースを実行するアクセス ポイントには、トラップ マネージャを無制限に設定できます。コミュニティ ストリングの長さは任意です。

表17-4 は、サポートされるアクセス ポイントのトラップ(通知タイプ)について説明しています。これらのトラップの一部またはすべてを有効にして、そのトラップを受信するようにトラップ マネージャを設定できます。

 

表17-4 通知タイプ

通知タイプ
説明

authenticate-fail

認証の失敗のトラップを有効にします。

config

SNMP 設定変更のトラップを有効にします。

deauthenticate

クライアント デバイスの認証取り消しのトラップを有効にします。

disassociate

クライアント デバイスのアソシエーション解除のトラップを有効にします。

dot11-qos

QoS(Quality Of Service)変更のトラップを有効にします。

entity

SNMP のエンティティ変更のトラップを有効にします。

rogue-ap

不正アクセス ポイント検出のトラップを有効にします。

snmp

SNMP イベントのトラップを有効にします。

switch-over

切り替えのトラップを有効にします。

syslog

syslog トラップを有効にします。

wlan-wep

WEP トラップを有効にします。

tty udp-port などの一部の通知タイプは、グローバル コンフィギュレーション コマンド snmp-server enable で制御できません。これらの通知タイプは、常に有効です。 表17-4 に示す通知タイプを受信する場合は、特定のホストにグローバル コンフィギュレーション コマンド snmp-server host を使用します。

特権 EXEC モードから、次の手順に従ってホストにトラップを送信するようにアクセス ポイントを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server host host-addr { traps | informs }
{
version { 1 | 2c | 3 {auth | noauth | priv} }} community-string [udp-port port]
notification-type

トラップ メッセージの受信者を指定します。

host-addr には、(ターゲットの受信者)ホストの名前またはアドレスを指定します。

ホストに SNMP トラップを送信する場合は、 traps (デフォルト)を指定します。ホストに SNMP 情報を送信する場合は、 informs を指定します。

サポートする SNMP バージョンを指定します。informs を指定した場合は、デフォルトのバージョン 1 は使用できません。バージョン 3 には、次の 3 つのセキュリティ レベルがあります。

auth:暗号化を行わないパケットの認証を指定します。

noauth:パケットに認証も暗号化も使用しないことを指定します。

priv:パケットに認証と暗号化を使用することを指定します。

community-string には、通知操作で送信する文字列を指定します。この文字列は snmp-server host コマンドを使用して設定できますが、シスコでは、 snmp-server host コマンドを使用する前に snmp-server community コマンドを使用してこの文字列を定義することをお勧めします。

notification-type には、表17-4 内のキーワードを使用します。

ステップ 3

snmp-server enable traps notification-types

アクセス ポイントで特定のトラップの送信を有効にします。トラップのリストは、表17-4 を参照してください。

複数のタイプのトラップを有効にする場合、各トラップ タイプに snmp-server enable traps コマンドを個別に発行します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

特定のホストについてトラップの受信を無効にするには、グローバル コンフィギュレーション コマンド no snmp-server host host を使用します。特定のトラップ タイプを無効にするには、グローバル コンフィギュレーション コマンド no snmp-server enable traps notification-types を使用します。

エージェントの連絡先と場所の情報の設定

特権 EXEC モードから、次の手順に従って SNMP エージェントのシステム接点と場所を設定し、コンフィギュレーション ファイルからこれらの記述にアクセスできるようにします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

snmp-server contact text

システム接点の文字列を設定します。

例:

snmp-server contact Dial System Operator at beeper 21555 .

ステップ 3

snmp-server contact text

システムの場所の文字列を設定します。

例:

snmp-server location Building 3/Room 222

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show running-config

入力内容を確認します。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

snmp-server view コマンドの使用

グローバル コンフィギュレーション モードで snmp-server view コマンドを使用して、IEEE ビューおよび dot11 読み取りと書き込みコミュニティ ストリングを通じて、標準 IEEE 802.11 MIB オブジェクトにアクセスします。

次の例は、IEEE ビューと dot11 読み取りと書き込みコミュニティ ストリングを有効にする方法を示しています。

ap(config)# snmp-server view ieee ieee802dot11 included
ap(config)# snmp-server community dot11 view ieee RW
 

SNMP の例

次の例は、SNMPv1 および SNMPv2C を有効にする方法を示しています。この設定により、SNMP マネージャはコミュニティ ストリング public を使用した読み取り専用権限ですべてのオブジェクトへのアクセスが許可されます。この設定で、アクセス ポイントからトラップが送信されることはありません。

AP(config)# snmp-server community public
 

次の例は、コミュニティ ストリング open と ieee を SNMP に割り当てる方法、両方に対する読み取りと書き込みアクセスを許可する方法、open が非 IEEE802dot11-MIB オブジェクトのクエリーに対するコミュニティ ストリングであり、ieee が IEEE802dot11 MIB オブジェクトのクエリーに対するコミュニティ ストリングであることを指定する方法を示しています。

ap(config)# snmp-server view dot11view ieee802dot11 included
ap(config)# snmp-server community open rw
ap(config)# snmp-server community ieee view ieee802dot11 rw
 

次の例は、コミュニティ ストリング public を使用した読み取り専用権限で、すべてのオブジェクトへのアクセスを SNMP マネージャに許可する方法を示しています。アクセス ポイントはまた SNMPv1 を使用してホスト 192.180.1.111 と 192.180.1.33 に、SNMPv2C を使用してホスト 192.180.1.27 に設定トラップを送信します。コミュニティ ストリング public はトラップで送信されます。

ap(config)# snmp-server community public
ap(config)# snmp-server enable traps config
ap(config)# snmp-server host 192.180.1.27 version 2c public
ap(config)# snmp-server host 192.180.1.111 version 1 public
ap(config)# snmp-server host 192.180.1.33 public
 

次の例は、 comaccess コミュニティ ストリングを使用するアクセス リスト 4 のメンバーに対して、すべてのオブジェクトへの読み取り専用アクセスを許可する方法を示しています。他の SNMP マネージャは、オブジェクトにアクセスできません。SNMP 認証失敗トラップは、コミュニティ ストリング public を使用して、SNMPv2C がホスト cisco.com に送信します。

ap(config)# snmp-server community comaccess ro 4
ap(config)# snmp-server enable traps snmp authentication
ap(config)# snmp-server host cisco.com version 2c public
 

次の例は、エンティティ MIB トラップをホスト cisco.com に送信する方法を示しています。コミュニティ ストリングは制限されます。最初の行で、アクセス ポイントは、それまでに有効になったトラップ以外にエンティティ MIB トラップを送信できます。2 行目ではこれらのトラップの宛先を指定し、ホスト cisco.com に対してそれまでに発行された snmp-server host コマンドを上書きします。

ap(config)# snmp-server enable traps entity
ap(config)# snmp-server host cisco.com restricted entity
 

次の例は、アクセス ポイントがコミュニティ ストリング public を使用して、ホスト myhost.cisco.com にすべてのトラップを送信する動作を有効にする方法を示しています。

ap(config)# snmp-server enable traps
ap(config)# snmp-server host myhost.cisco.com public

SNMP ステータスの表示

不正なコミュニティ ストリングのエントリ数、エラー、要求された変数など SNMP の入出力の統計を表示する場合は、 show snmp 特権 EXEC コマンドを使用します。この表示のフィールドについては、リリース 12.3 の『Cisco IOS Configuration Fundamentals Command Reference』を参照してください。