SNMP の設定
(注) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。
(注) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。
この章では、センサーが SNMP および SNMP トラップを使用するように設定する方法について説明します。内容は次のとおりです。
• 「SNMP の概要」
• 「SNMP の一般設定の設定」
• 「SNMP トラップの設定」
• 「サポート対象 MIB」
SNMP の概要
注意 センサーが SNMP トラップを送信するようにするには、シグニチャの設定時にイベント アクションとして [Request SNMP Trap] も選択する必要があります。
SNMP は、ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション層プロトコルです。SNMP を使用すると、ネットワーク管理者は、ネットワークのパフォーマンスを管理し、ネットワークの問題を検出および解決し、ネットワークの拡大に対する計画を策定できます。
SNMP は単純な要求/応答プロトコルです。ネットワーク管理システムが要求を発行し、管理対象デバイスが応答を返します。この動作は、Get、GetNext、Set、および Trap の 4 つのプロトコル操作のいずれかを使用することによって実装されます。
SNMP によるモニタリングのためにセンサーを設定することができます。SNMP は、ネットワーク管理ステーションがスイッチ、ルータ、センサーなどの多くのタイプのデバイスのヘルスとステータスをモニタするための標準的な方法を定義します。
SNMP トラップを送信するようにセンサーを設定できます。SNMP トラップを使用すると、エージェントは非送信請求 SNMP メッセージを使用して管理ステーションに重要なイベントを通知できます。
トラップで指示される通知には次の利点があります。マネージャが多数のデバイスを管理する必要があり、各デバイスに多数のオブジェクトがある場合に、すべてのデバイスのすべてのオブジェクトに情報をポーリングまたは要求することは非現実的です。ソリューションは、送信要求を行わずに、管理対象デバイス上のエージェントごとにマネージャに通知することです。イベントのトラップと呼ばれるメッセージを送信することで、この処理を行います。
イベントの受信後、マネージャはイベントを表示し、イベントに基づいてアクションを実行できます。たとえば、マネージャは、エージェントを直接ポーリングするか、他の関連デバイス エージェントをポーリングしてイベントの詳細情報を取得できます。
(注) トラップで指示された通知は、重要でない SNMP 要求を排除することによって、ネットワークおよびエージェントのリソースを実質的に節約できます。ただし、SNMP ポーリングを完全には排除できません。SNMP 要求は、検出とトポロジ変更に必要です。また、管理対象デバイス エージェントは、デバイスに致命的な停止が生じた場合にはトラップを送信できません。
詳細情報
センサーに SNMP トラップを送信させる手順については、「シグニチャへのアクションの割り当て」を参照してください。
SNMP の一般設定の設定
ここでは、SNMP の設定方法について説明します。内容は次のとおりです。
• 「[SNMP General Configuration] ペイン」
• 「[SNMP General Configuration] ペインのフィールド定義」
• 「SNMP の一般パラメータの設定」
[SNMP General Configuration] ペイン
(注) SNMP を使用するようにセンサーを設定するには、管理者である必要があります。
SNMP を使用するようにセンサーを設定するには、[General Configuration] ペインを使用します。
[SNMP General Configuration] ペインのフィールド定義
[SNMP General Configuration] ペインには、次のフィールドが表示されます。
• [Enable SNMP Gets/Sets]:このフィールドがオンの場合、SNMP get および SNMP set が許可されます。
• [SNMP Agent Parameters]:SNMP エージェントのパラメータを設定します。
– [Read-Only Community String]:読み取り専用アクセスのコミュニティ ストリングを示します。
– [Read-Write Community String]:読み取りと書き込みアクセスのコミュニティ ストリングを示します。
– [Sensor Contact]:センサーの問い合せ先担当者、問い合せ先、またはその両方を示します。
– [Sensor Location]:センサーの場所を示します。
– [Sensor Agent Port]:センサーの IP ポートを示します。デフォルトは 161 です。
– [Sensor Agent Protocol]:センサーの IP プロトコルを示します。デフォルトは UDP です。
SNMP の一般パラメータの設定
一般的な SNMP パラメータを設定するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [SNMP] > [General Configuration] を選択します。
ステップ 3 SNMP 管理ワークステーションがセンサー SNMP エージェントに要求を発行できるように、[Enable SNMP Gets/Sets] チェックボックスをオンにして SNMP をイネーブルにします。
ステップ 4 SNMP エージェント パラメータを設定します。SNMP 管理ワークステーションがセンサー SNMP エージェントに対して要求できる値があります。
a. [Read-Only Community String] フィールドに、読み取り専用コミュニティ ストリングを入力します。読み取り専用コミュニティ ストリングは、センサー SNMP エージェントの識別に役立ちます。
b. [Read-Write Community String] フィールドに、読み取り/書き込みコミュニティ ストリングを入力します。読み取り/書き込みコミュニティ ストリングは、センサー SNMP エージェントの識別に役立ちます。
(注) 管理ワークステーションは SNMP 要求を、センサーに常駐するセンサー SNMP エージェントに送信します。管理ワークステーションから発行された要求において、コミュニティ ストリングがセンサー上の内容と一致しない場合、センサーによって要求が拒否されます。
c. [Sensor Contact] フィールドにセンサーの問い合せ先のユーザ ID を入力します。
d. [Sensor Location] フィールドにセンサーの場所を入力します。
e. [Sensor Agent Port] フィールドにセンサー SNMP エージェントのポートを入力します デフォルトの SNMP ポート番号は 161 です。
f. [Sensor Agent Protocol] ドロップダウン リストから、センサー SNMP エージェントが使用するプロトコルを選択します。デフォルト プロトコルは UDP です。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 5 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
SNMP トラップの設定
ここでは、SNMP トラップの設定方法について説明します。内容は次のとおりです。
• 「[Traps Configuration] ペイン」
• 「[SNMP Traps Configuration] ペインのフィールド定義」
• 「[Add SNMP Trap Destination]/[Edit SNMP Trap Destination] ダイアログボックスのフィールド定義」
• 「SNMP トラップの設定」
[Traps Configuration] ペイン
(注) センサー上に SNMP トラップを設定するには、管理者である必要があります。
SNMP トラップとセンサーのトラップ宛先をセットアップするには、[Traps Configuration] ペインを使用します。SNMP トラップは通知です。イベントが fatal、error、または warning のいずれかであるかに基づいて、センサーがトラップを送信するように設定します。
[SNMP Traps Configuration] ペインのフィールド定義
[SNMP Traps Configuration] ペインには、次のフィールドが表示されます。
• [Enable SNMP Traps]:このフィールドがオンの場合、プル アップデートを使用するようにリモート サーバに指示します。
• [SNMP Traps]:SNMP を使用して通知するエラー イベントを選択します。
– [Fatal]:すべての fatal エラー イベントについてトラップを生成します。
– [Error]:すべての error エラー イベントについてトラップを生成します。
– [Warning]:すべての warning エラー イベントについてトラップを生成します。
• [Enable detailed traps for alerts]:このフィールドがオンの場合、トラップにアラートの全テキストが含まれます。選択しない場合は、スパース モードが使用されます。スパース モードでは、484 バイト未満のアラートのテキストが含まれます。
• [Default Trap Community String]:トラップに特定のストリングが設定されていない場合に使用するコミュニティ ストリング。
• [SNMP Trap Destinations]:トラップの宛先を示します。宛先について次の情報を指定する必要があります。
– [IP Address]:トラップ宛先の IP アドレス。
– [UDP Port]:トラップ宛先の UDP ポート。
– [Trap Community String]:トラップ コミュニティ ストリング。
[Add SNMP Trap Destination]/[Edit SNMP Trap Destination] ダイアログボックスのフィールド定義
[Add SNMP Trap Destination]/[Edit SNMP Trap Destination] ダイアログボックスには、次のフィールドが表示されます。
• [IP Address]:トラップ宛先の IP アドレス。
• [UDP Port]:トラップ宛先の UDP ポート。デフォルトはポート 162 です。
• [Trap Community String]:トラップ コミュニティ ストリング。
SNMP トラップの設定
SNMP トラップを設定するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [SNMP] > [Traps Configuration] を選択します。
ステップ 3 [Enable SNMP Traps] チェックボックスをオンにして、SNMP トラップをイネーブルにします。
ステップ 4 SNMP トラップのパラメータを設定します。
a. SNMP トラップを使用して通知するエラー イベントを選択します。センサーが、fatal、error、warning のエラー イベントのいずれかに基づいて SNMP トラップを送信するか、またはすべてに基づいて SNMP トラップを送信するかを選択できます。
b. 詳細な SNMP トラップが必要な場合は、[Enable detailed traps for alerts] チェックボックスをオンにします。
c. [Default Trap Community String] フィールドに、詳細なトラップに含めるコミュニティ ストリングを入力します。
ステップ 5 どの管理ワークステーションに送信するかをセンサーに知らせるため、SNMP トラップ宛先のパラメータを設定します。
a. [Add] をクリックします。
b. [IP Address] フィールドに SNMP 管理ステーションの IP アドレスを入力します。
c. [UDP Port] フィールドに SNMP 管理ステーションの UDP ポートを入力します。
d. [Trap Community String] フィールドにトラップ コミュニティ ストリングを入力します。
(注) コミュニティ ストリングがトラップに表示されます。これは、複数のエージェントから複数のタイプのトラップを受信する場合に役立ちます。たとえば、ルータまたはセンサーがトラップを送信する場合に、具体的にルータまたはセンサーを識別する何かをコミュニティ ストリングに入力すると、コミュニティ ストリングに基づいてトラップをフィルタリングすることができます。
ヒント 変更を破棄して [Add SNMP Trap Destination] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [OK] をクリックします。[Traps Configuration] ペインのリストに新しい SNMP トラップ宛先が表示されます。
ステップ 7 SNMP トラップ宛先を編集するには、その SNMP トラップ宛先を選択して [Edit] をクリックします。
ステップ 8 必要に応じて [UDP Port] フィールドおよび [Trap Community String] フィールドを編集します。
ヒント 変更を破棄して [Edit SNMP Trap Destination] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 9 [OK] をクリックします。[Traps Configuration] ペインのリストに編集した SNMP トラップ宛先が表示されます。
ステップ 10 SNMP トラップ宛先を削除するには、その SNMP トラップ宛先を選択して [Delete] をクリックします。削除された SNMP トラップ宛先は、[Traps Configuration] ペインのリストに表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 11 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
サポート対象 MIB
センサーでは次の専用 MIB がサポートされています。
• CISCO-CIDS-MIB
• CISCO-PROCESS-MIB
• CISCO-ENHANCED-MEMPOOL-MIB
• CISCO-ENTITY-ALARM-MIB
(注) MIB II はセンサーで使用できますが、サポート対象外です。一部の要素が正しくないことが認識されています(検知インターフェイスでの IF MIB からのパケット カウントなど)。MIB II の要素を使用することはできますが、これらすべてが正確な情報を提供することは保証できません。他に掲載されている MIB は完全にサポートされ、出力も正確です。
これらのシスコの専用 MIB は、次の URL から SNMP v2 の見出しの下で取得できます。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml