この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェントの間の通信のメッセージ フォーマットを提供するアプリケーション層プロトコルです。 SNMP は、ネットワーク内のデバイスのモニタリングおよび管理に使用する標準フレームワークと共通言語を提供します。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP は、RFC 3411 ~ 3418 で規定されています。
(注) |
SNMP Role Based Access Control(RBAC)はサポートされていません。 |
Cisco NX-OS は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知によって、不正なユーザ認証、再起動、接続の終了、ネイバー ルータとの接続切断、またはその他の重要イベントを示すことができます。
Cisco NX-OS は、トラップまたはインフォームとして SNMP 通知を生成します。 トラップは、エージェントからホスト レシーバ テーブルで指定された SNMP マネージャに送信される、非同期の非確認応答メッセージです。 応答要求は、SNMP エージェントから SNMP マネージャに送信される非同期メッセージで、マネージャは受信したという確認応答が必要です。
トラップの信頼性はインフォームより低くなります。SNMP マネージャはトラップを受信しても Acknowledgment(ACK; 確認応答)を送信しないからです。 このため、トラップが受信されたかどうかを Cisco NX-OS が判断できません。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答 Protocol Data Unit(PDU; プロトコル データ ユニット)でメッセージの受信を確認します。 Cisco NX-OS が応答を受信しない場合、インフォーム要求を再度送信できます。
複数のホスト レシーバーに通知を送信するように Cisco Nexus NX-OS を設定できます。
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 が提供するセキュリティ機能は、次のとおりです。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP メッセージを開示から保護する必要があるかどうか、およびメッセージを認証するかどうか判断します。 セキュリティ モデル内のさまざまなセキュリティ レベルは、次のとおりです。
SNMPv1、SNMPv2c、および SNMPv3 の 3 つのセキュリティ モデルを使用できます。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング(Community string) |
いいえ(No) |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング(Community string) |
いいえ(No) |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
ユーザ名(Username) |
いいえ(No) |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
いいえ(No) |
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 User-Based Security Model(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します
Cisco NX-OS は SNMPv3 に 2 種類の認証プロトコルを使用します。
Cisco NX-OS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして高度暗号化規格(AES)を使用し、RFC 3826 に準拠しています。
priv オプションで、SNMP セキュリティ暗号化方式として、DES または 128 ビット AES を選択できます。 priv オプションを aes-128 トークンと併用すると、プライバシー パスワードは 128 ビット AES キーの生成に使用されます。AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合は、大文字と小文字を区別して、最大 64 文字の英数字を指定できます。 ローカライズド キーを使用する場合は、最大 130 文字を指定できます。
(注) |
外部 AAA(認証、許可、アカウンティング)サーバを使用する SNMPv3 動作の場合は、外部 AAA サーバ上のユーザ コンフィギュレーションで、プライバシー プロトコルとして AES を使用する必要があります。 |
SNMPv3 ユーザ管理は、Access Authentication and Accounting(AAA)サーバ レベルで集中化できます。 この中央集中型ユーザ管理により、Cisco NX-OS の SNMP エージェントは AAA サーバのユーザ認証サービスを利用できます。 ユーザ認証が検証されると、SNMP PDU の処理が進行します。 AAA サーバはユーザ グループ名の格納にも使用されます。 SNMP はグループ名を使用して、スイッチでローカルに使用できるアクセス ポリシーまたはロール ポリシーを適用します。
ユーザ グループ、ロール、またはパスワードの設定が変更されると、SNMP と AAA の両方のデータベースが同期化されます。
Cisco Nexus 1000V NX-OS は次のようにユーザ設定を同期します。
(注) |
パスフレーズまたはパスワードをローカライズしたキーおよび暗号形式で設定した場合、Cisco NX-OS はユーザ情報(パスワードやロールなど)を同期させません。 |
Cisco NX-OS はデフォルトで、同期したユーザ設定を 60 分間維持します。 このデフォルト値の変更方法については、AAA 同期時間の変更を参照してください。
(注) |
グループは業界全体で使用されている標準的な SNMP 用語なので、SNMP に関する説明では、「ロール」ではなく「グループ」を使用します。 |
SNMP アクセス権は、グループ別に編成されます。 SNMP 内の各グループは、CLI を使用する場合のロールに似ています。 各グループは読み取りアクセス権または読み取りと書き込みアクセス権を指定して定義します。
ユーザ名が作成され、ユーザのロールが管理者によって設定され、ユーザがそのロールに追加されていれば、そのユーザはエージェントとの通信を開始できます。
SNMP ではステートレス リスタートがサポートされています。 リブートまたはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションを適用します。
パラメータ |
デフォルト |
---|---|
ライセンス通知 |
enabled |
この項では、次のトピックについて取り上げます。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# snmp-server user Admin auth sha abcd1234 priv abcdefgh
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# snmp-server globalEnforcePriv | すべてのユーザに対して SNMP メッセージ暗号化を適用します。 |
switch(config)# snmp-server globalEnforcePriv
SNMPv1 または SNMPv2c の SNMP コミュニティを作成できます。
グローバル コンフィギュレーション モードである必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# snmp-server community name {ro | rw} | SNMP コミュニティ ストリングを作成します。 |
switch(config)# snmp-server community public ro
SNMPv3 インフォーム通知を通知ホスト レシーバに送信するには、デバイスに通知ターゲット ユーザを設定する必要があります
Cisco Nexus 1000V は通知ターゲット ユーザのクレデンシャルを使用して、設定された通知ホスト レシーバへの SNMPv3 応答要求通知メッセージを暗号化します。
(注) |
受信した INFORM PDU を認証して解読する場合、Cisco Nexus 1000V で設定されているのと同じ、応答要求を認証して解読するユーザ クレデンシャルが通知ホスト レシーバに必要です。 |
グローバル コンフィギュレーション モードである必要があります。
switch(config)# snmp-server user NMS auth sha abcd1234 priv abcdefgh engineID 00:00:00:63:00:01:00:10:20:15:10:03
通知をイネーブルまたはディセーブルにできます。 通知名を指定しないと、Cisco Nexus 1000V はすべての通知をイネーブルにします。
次の表に、Cisco Nexus 1000V MIB の通知をイネーブルにするコマンドを示します。
(注) |
snmp-server enable traps コマンドを使用すると、設定されている通知ホスト レシーバに応じて、トラップおよび応答要求の両方がイネーブルになります。 |
MIB |
関連コマンド |
---|---|
すべての通知 |
snmp-server enable traps |
CISCO-AAA-SERVER-MIB |
snmp-server enable traps aaa |
ENITY-MIB |
snmp-server enable traps entity |
CISCO-ENTITY-FRU-CONTROL-MIB |
snmp-server enable traps entity fru |
CISCO-LICENSE-MGR-MIB |
snmp-server enable traps license |
IF-MIB |
snmp-server enable traps link |
CISCO-PSM-MIB |
snmp-server enable traps port-security |
SNMPv2-MIB |
snmp-server enable traps snmp snmp-server enable traps snmp authentication |
ライセンス通知は、デフォルトではイネーブルです。 他の通知はすべて、デフォルトではディセーブルです。
指定した通知をイネーブルにするには、グローバル コンフィギュレーション モードである必要があります
個別のインターフェイスで linkUp および linkDown 通知をディセーブルにできます。 フラッピング インターフェイス(Up と Down の間を頻繁に切り替わるインターフェイス)で、この制限通知を使用できます。
インターフェイスに関する linkUp/linkDown 通知をディセーブルにするには、インターフェイス コンフィギュレーション モードである必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config-if)# no snmp trap link-status | インターフェイスの SNMP リンクステート トラップをディセーブルにします。 このコマンドはデフォルトでイネーブルになっています。 |
switch(config-if)# no snmp trap link-status
TCP による SNMP のワンタイム認証をイネーブルにするには、グローバル コンフィギュレーション モードである必要があります
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# snmp-server tcp-session [auth] | TCP セッション上で SNMP に対するワンタイム認証をイネーブルにします。 デフォルトではディセーブルになっています。 |
switch(config)# snmp-server tcp-session
32 文字までの長さで(スペースを含まない)のスイッチ コンタクト情報を指定できます。さらに、スイッチ ロケーションを指定できます。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# snmp contact Admin switch(config)# snmp location Lab-7 switch(config)# show snmp switch(config)# copy running-config startup-config
グローバル コンフィギュレーション モードである必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# snmp-server host ip-address traps version 1 community [udp_port number] | SNMPv1 トラップのホスト レシーバを設定します。 community には最大 255 の英数字を使用できます。 UDP ポート番号の範囲は 0 ~ 65535 です。 |
switch(config)# snmp-server host 192.0.2.1 traps version 1 public
デバイスの SNMP プロトコルをディセーブルにするには、グローバル コンフィギュレーション モードである必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# no snmp-server protocol enable | SNMP プロトコルをディセーブルにします。 このコマンドはデフォルトでイネーブルになっています。 |
switch(config)# no snmp-server protocol enable
同期したユーザ設定を Cisco NX-OS に維持させる時間の長さを変更できます。
グローバル コンフィギュレーション モードである必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch(config)# snmp-server aaa-user cache-timeout seconds | ローカル キャッシュで AAA 同期ユーザ設定を維持する時間を設定します。 値の範囲は 1 ~ 86400 秒です。 デフォルト値は 3600 です。 |
switch(config)# snmp-server aaa-user cache-timeout 1200
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show running-config snmp [all] |
SNMP の実行コンフィギュレーションを表示します。 |
show snmp |
SNMP ステータスを表示します。 |
show snmp community |
SNMP コミュニティ ストリングを表示します。 |
show snmp context |
SNMP コンテキスト マッピングを表示します。 |
show snmp engineID |
SNMP engineID を表示します。 |
show snmp group |
SNMP ロールを表示します。 |
show snmp session |
SNMP セッションを表示します。 |
show snmp trap |
イネーブルまたはディセーブルである SNMP 通知を表示します。 |
show snmp user |
SNMPv3 ユーザを表示します。 |
次に、Blue VRF を使用して、ある通知ホスト レシーバに Cisco linkUp/Down 通知を送信するよう設定し、Admin と NMS という 2 つの SNMP ユーザを定義する例を示します。
switch# configure terminal switch(config)# snmp-server contact Admin@company.com switch(config)# snmp-server user Admin auth sha abcd1234 priv abcdefgh switch(config)# snmp-server user NMS auth sha abcd1234 priv abcdefgh engineID 00:00:00:63:00:01:00:22:32:15:10:03 switch(config)# snmp-server host 192.0.2.1 informs version 3 auth NMS switch(config)# snmp-server host 192.0.2.1 use-vrf Blue switch(config)# snmp-server enable traps link cisco
関連項目 |
マニュアル タイトル |
---|---|
MIB |
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
機能名 |
リリース |
機能情報 |
---|---|---|
SNMP |
Release 5.2(1)IC1(1.1) |
この機能が導入されました。 |
目次
- SNMP の設定
- SNMP について
- SNMP 機能の概要
- SNMP 通知
- SNMPv3
- SNMPv1、SNMPv2、SNMPv3 のセキュリティ モデルおよびセキュリティ レベル
- ユーザベースのセキュリティ モデル
- コマンドライン インターフェイス(CLI)および SNMP ユーザの同期
- グループベースの SNMP アクセス
- ハイ アベイラビリティ
- SNMP の注意事項および制約事項
- SNMP のデフォルト設定
- SNMP の設定
- SNMP ユーザの設定
- すべてのユーザに対する SNMP メッセージ暗号化の適用
- SNMP コミュニティの作成
- SNMP 通知レシーバーの設定
- 通知対象ユーザの設定
- SNMP 通知のイネーブル化
- インターフェイスに関する linkUp/linkDown 通知のディセーブル化
- TCP による SNMP のワンタイム認証のイネーブル化
- SNMP スイッチのコンタクトおよびロケーション情報の指定
- SNMPv1 トラップのホスト レシーバの設定
- SNMP のディセーブル化
- AAA 同期時間の変更
- SNMP の設定確認
- SNMP の設定例
- SNMP の関連資料
- MIB
- SNMP の機能履歴
この章の内容は、次のとおりです。
SNMP について
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェントの間の通信のメッセージ フォーマットを提供するアプリケーション層プロトコルです。 SNMP は、ネットワーク内のデバイスのモニタリングおよび管理に使用する標準フレームワークと共通言語を提供します。
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
- SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
- SNMP エージェント:デバイスのデータを維持し、必要に応じてこれらのデータを管理システムに報告する、管理対象デバイス内のソフトウェア コンポーネント。 Cisco NX-OS はエージェントおよび MIB をサポートします。 SNMP エージェントをイネーブルにするには、マネージャとエージェントの関係を定義する必要があります。
- 管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。
SNMP は、RFC 3411 ~ 3418 で規定されています。
(注)
SNMP Role Based Access Control(RBAC)はサポートされていません。
Cisco NX-OS は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 と SNMPv2c は、ともにコミュニティベース形式のセキュリティを使用します。
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知によって、不正なユーザ認証、再起動、接続の終了、ネイバー ルータとの接続切断、またはその他の重要イベントを示すことができます。
Cisco NX-OS は、トラップまたはインフォームとして SNMP 通知を生成します。 トラップは、エージェントからホスト レシーバ テーブルで指定された SNMP マネージャに送信される、非同期の非確認応答メッセージです。 応答要求は、SNMP エージェントから SNMP マネージャに送信される非同期メッセージで、マネージャは受信したという確認応答が必要です。
トラップの信頼性はインフォームより低くなります。SNMP マネージャはトラップを受信しても Acknowledgment(ACK; 確認応答)を送信しないからです。 このため、トラップが受信されたかどうかを Cisco NX-OS が判断できません。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答 Protocol Data Unit(PDU; プロトコル データ ユニット)でメッセージの受信を確認します。 Cisco NX-OS が応答を受信しない場合、インフォーム要求を再度送信できます。
複数のホスト レシーバーに通知を送信するように Cisco Nexus NX-OS を設定できます。
SNMPv3
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 が提供するセキュリティ機能は、次のとおりです。
- メッセージの完全性:パケットが伝送中に改ざんされていないことを保証します。
- 認証:メッセージのソースが有効かどうかを判別します。
- 暗号化:許可されていないソースにより判読されないように、パケットの内容のスクランブルを行います。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
- SNMPv1、SNMPv2、SNMPv3 のセキュリティ モデルおよびセキュリティ レベル
- ユーザベースのセキュリティ モデル
- コマンドライン インターフェイス(CLI)および SNMP ユーザの同期
- グループベースの SNMP アクセス
SNMPv1、SNMPv2、SNMPv3 のセキュリティ モデルおよびセキュリティ レベル
セキュリティ レベルは、SNMP メッセージを開示から保護する必要があるかどうか、およびメッセージを認証するかどうか判断します。 セキュリティ モデル内のさまざまなセキュリティ レベルは、次のとおりです。
- noAuthNoPriv:認証または暗号化を実行しないセキュリティ レベル。
- authNoPriv:認証は実行するが、暗号化を実行しないセキュリティ レベル。
- authPriv:認証と暗号化両方を実行するセキュリティ レベル。
SNMPv1、SNMPv2c、および SNMPv3 の 3 つのセキュリティ モデルを使用できます。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング(Community string)
いいえ(No)
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング(Community string)
いいえ(No)
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
ユーザ名(Username)
いいえ(No)
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-MD5 または HMAC-SHA
いいえ(No)
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。
v3
authPriv
HMAC-MD5 または HMAC-SHA
DES
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
ユーザベースのセキュリティ モデル
SNMPv3 User-Based Security Model(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
- メッセージの完全性:メッセージが不正な方法で変更または破壊されず、データ シーケンスが悪意なく起こり得る範囲を超えて変更されていないことを保証します。
- メッセージ発信元の認証:受信データを発信したユーザのアイデンティティが確認されたことを保証します。
- メッセージの機密性:情報が使用不可であること、または不正なユーザ、エンティティ、またはプロセスに開示されないことを保証します。
SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します
Cisco NX-OS は SNMPv3 に 2 種類の認証プロトコルを使用します。
Cisco NX-OS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして高度暗号化規格(AES)を使用し、RFC 3826 に準拠しています。
priv オプションで、SNMP セキュリティ暗号化方式として、DES または 128 ビット AES を選択できます。 priv オプションを aes-128 トークンと併用すると、プライバシー パスワードは 128 ビット AES キーの生成に使用されます。AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合は、大文字と小文字を区別して、最大 64 文字の英数字を指定できます。 ローカライズド キーを使用する場合は、最大 130 文字を指定できます。
(注)
外部 AAA(認証、許可、アカウンティング)サーバを使用する SNMPv3 動作の場合は、外部 AAA サーバ上のユーザ コンフィギュレーションで、プライバシー プロトコルとして AES を使用する必要があります。
コマンドライン インターフェイス(CLI)および SNMP ユーザの同期
SNMPv3 ユーザ管理は、Access Authentication and Accounting(AAA)サーバ レベルで集中化できます。 この中央集中型ユーザ管理により、Cisco NX-OS の SNMP エージェントは AAA サーバのユーザ認証サービスを利用できます。 ユーザ認証が検証されると、SNMP PDU の処理が進行します。 AAA サーバはユーザ グループ名の格納にも使用されます。 SNMP はグループ名を使用して、スイッチでローカルに使用できるアクセス ポリシーまたはロール ポリシーを適用します。
ユーザ グループ、ロール、またはパスワードの設定が変更されると、SNMP と AAA の両方のデータベースが同期化されます。
Cisco Nexus 1000V NX-OS は次のようにユーザ設定を同期します。
- snmp-server user コマンドで指定された認証パスフレーズが CLI ユーザのパスワードになります
- username コマンドで指定されたパスワードが SNMP ユーザの認証およびプライバシーパスフレーズになります。
- SNMP または CLI を使用してユーザを削除すると、SNMP と CLI の両方でユーザが削除されます。
- ユーザとロールの対応関係の変更は、SNMP と CLI で同期化されます。
- CLI から行ったロール変更(削除または変更)は、SNMP と同期します。
(注)
パスフレーズまたはパスワードをローカライズしたキーおよび暗号形式で設定した場合、Cisco NX-OS はユーザ情報(パスワードやロールなど)を同期させません。
Cisco NX-OS はデフォルトで、同期したユーザ設定を 60 分間維持します。 このデフォルト値の変更方法については、AAA 同期時間の変更を参照してください。
SNMP の注意事項および制約事項
- 一部の SNMP MIB に対する読み取り専用アクセスがサポートされています。 詳細については次の URL にアクセスして、Cisco NX-OS の MIB サポート リストを参照してください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
- SNMP Role Based Access Control(RBAC)はサポートされていません。
- SNMP 設定コマンドは、次の Cisco MIB でサポートされています。
- 推奨される SNMP ポーリングのインタビュー時間は 5 分です。
SNMP の設定
この項では、次のトピックについて取り上げます。
- SNMP ユーザの設定
- すべてのユーザに対する SNMP メッセージ暗号化の適用
- SNMP コミュニティの作成
- SNMP 通知レシーバーの設定
- 通知対象ユーザの設定
- SNMP 通知のイネーブル化
- インターフェイスに関する linkUp/linkDown 通知のディセーブル化
- TCP による SNMP のワンタイム認証のイネーブル化
- SNMP スイッチのコンタクトおよびロケーション情報の指定
- SNMPv1 トラップのホスト レシーバの設定
- SNMP のディセーブル化
- AAA 同期時間の変更
SNMP ユーザの設定
手順
通知対象ユーザの設定
手順SNMPv3 インフォーム通知を通知ホスト レシーバに送信するには、デバイスに通知ターゲット ユーザを設定する必要があります
Cisco Nexus 1000V は通知ターゲット ユーザのクレデンシャルを使用して、設定された通知ホスト レシーバへの SNMPv3 応答要求通知メッセージを暗号化します。
(注)
受信した INFORM PDU を認証して解読する場合、Cisco Nexus 1000V で設定されているのと同じ、応答要求を認証して解読するユーザ クレデンシャルが通知ホスト レシーバに必要です。
SNMP 通知のイネーブル化
手順通知をイネーブルまたはディセーブルにできます。 通知名を指定しないと、Cisco Nexus 1000V はすべての通知をイネーブルにします。
次の表に、Cisco Nexus 1000V MIB の通知をイネーブルにするコマンドを示します。
(注)
snmp-server enable traps コマンドを使用すると、設定されている通知ホスト レシーバに応じて、トラップおよび応答要求の両方がイネーブルになります。
MIB
関連コマンド
すべての通知
snmp-server enable traps
CISCO-AAA-SERVER-MIB
snmp-server enable traps aaa
ENITY-MIB
snmp-server enable traps entity
CISCO-ENTITY-FRU-CONTROL-MIB
snmp-server enable traps entity fru
CISCO-LICENSE-MGR-MIB
snmp-server enable traps license
IF-MIB
snmp-server enable traps link
CISCO-PSM-MIB
snmp-server enable traps port-security
SNMPv2-MIB
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
ライセンス通知は、デフォルトではイネーブルです。 他の通知はすべて、デフォルトではディセーブルです。
インターフェイスに関する linkUp/linkDown 通知のディセーブル化
SNMP スイッチのコンタクトおよびロケーション情報の指定
手順
SNMPv1 トラップのホスト レシーバの設定
SNMP の設定確認
次のいずれかのコマンドを使用して、設定を確認します。
コマンド
目的
show running-config snmp [all]
SNMP の実行コンフィギュレーションを表示します。
show snmp
SNMP ステータスを表示します。
show snmp community
SNMP コミュニティ ストリングを表示します。
show snmp context
SNMP コンテキスト マッピングを表示します。
show snmp engineID
SNMP engineID を表示します。
show snmp group
SNMP ロールを表示します。
show snmp session
SNMP セッションを表示します。
show snmp trap
イネーブルまたはディセーブルである SNMP 通知を表示します。
show snmp user
SNMPv3 ユーザを表示します。
SNMP の設定例
次に、Blue VRF を使用して、ある通知ホスト レシーバに Cisco linkUp/Down 通知を送信するよう設定し、Admin と NMS という 2 つの SNMP ユーザを定義する例を示します。
switch# configure terminal switch(config)# snmp-server contact Admin@company.com switch(config)# snmp-server user Admin auth sha abcd1234 priv abcdefgh switch(config)# snmp-server user NMS auth sha abcd1234 priv abcdefgh engineID 00:00:00:63:00:01:00:22:32:15:10:03 switch(config)# snmp-server host 192.0.2.1 informs version 3 auth NMS switch(config)# snmp-server host 192.0.2.1 use-vrf Blue switch(config)# snmp-server enable traps link ciscoMIB
- CISCO-TC
- SNMPv2-MIB
- SNMP-COMMUNITY-MIB
- SNMP-FRAMEWORK-MIB
- SNMP-NOTIFICATION-MIB
- SNMP-TARGET-MIB
- ENTITY-MIB
- IF-MIB
- CISCO-ENTITY-EXT-MIB
- CISCO-ENTITY-FRU-CONTROL-MIB
- CISCO-FLASH-MIB
- CISCO-IMAGE-MIB
- CISCO-VIRTUAL-NIC-MIB
- CISCO-ENTITY-VENDORTYPE-OID-MIB
- NOTIFICATION-LOG-MIB
- IANA-ADDRESS-FAMILY-NUMBERS-MIB
- IANAifType-MIB
- IANAiprouteprotocol-MIB
- HCNUM-TC
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml