SNMP の概要
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP はネットワーク デバイスのモニタリングや管理のための標準化されたフレームワークと共通言語を提供します。
SNMP 機能の概要
SNMP フレームワークは 3 つの部分で構成されます。
-
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
-
SNMP エージェント: Cisco UCS 内のソフトウェア コンポーネント。 Cisco UCS のデータを維持し、必要に応じて SNMP マネージャにレポートします。Cisco UCS にはエージェントと MIB のコレクションが含まれます。SNMP エージェントを有効にしてマネージャとエージェント間のリレーションシップを作成するには、Cisco UCS Manager で SNMP を有効にして設定します。
-
Managed Information Base(MIB):SNMP エージェントの管理対象オブジェクトの集合。 Cisco UCS リリース 1.4(1) 以降では、それ以前のリリースより大量の MIB をサポートしています。
Cisco UCS は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
-
RFC 3410(http://tools.ietf.org/html/rfc3410)
-
RFC 3411(http://tools.ietf.org/html/rfc3411)
-
RFC 3412(http://tools.ietf.org/html/rfc3412)
-
RFC 3413(http://tools.ietf.org/html/rfc3413)
-
RFC 3414(http://tools.ietf.org/html/rfc3414)
-
RFC 3415(http://tools.ietf.org/html/rfc3415)
-
RFC 3416(http://tools.ietf.org/html/rfc3416)
-
RFC 3417(http://tools.ietf.org/html/rfc3417)
-
RFC 3418(http://tools.ietf.org/html/rfc3418)
-
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Cisco UCS Manager は、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Cisco UCS Manager はトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認します。Cisco UCS Manager が PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルは選択されたセキュリティ レベルと組み合わされ、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な権限を決定します。権限のレベルによって、メッセージが情報開示の保護を必要とするか、またはメッセージが認証されるかが決定されます。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
-
noAuthNoPriv:認証なし、暗号化なし
-
authNoPriv:認証あり、暗号化なし
-
authPriv:認証あり、暗号化あり
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせを示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
未対応 |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
未対応 |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
ユーザ名 |
未対応 |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-MD5 または HMAC-SHA |
未対応 |
Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。 |
v3 |
authPriv |
HMAC-MD5 または HMAC-SHA |
DES |
HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 セキュリティ機能
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、管理操作および暗号化 SNMP メッセージを実行するために、設定されているユーザのみを承認します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
-
メッセージの完全性:メッセージが不正な方法で変更または破壊されていないこと、悪意なく起こり得る範囲を超えてデータ シーケンスが変更されていないことを保証します。
-
メッセージの発信元の認証:メッセージ送信者の ID を確認できることを保証します。
-
メッセージの機密性および暗号化:不正なユーザ、エンティティ、プロセスに対して情報を利用不可にしたり開示しないようにします。
Cisco UCS での SNMP サポート
Cisco UCS は、SNMP に対して以下のサポートを提供します。
MIB のサポート
Cisco UCS は、MIB への読み取り専用アクセスをサポートします。
Cisco UCS で使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/b-series/b_UCS_MIBRef.html を、C シリーズは http://www.cisco.com/en/US/docs/unified_computing/ucs/sw/mib/c-series/b_UCS_Standalone_C-Series_MIBRef.html を参照してください。
SNMPv3 ユーザの認証プロトコル
Cisco UCS は、SNMPv3 ユーザに次の認証プロトコルをサポートします。
-
HMAC-MD5-96(MD5)
-
HMAC-SHA-96(SHA)
Cisco UCS Manager リリース 3.2(3) および以降のリリースでは、SNMPv3 が連邦情報処理標準(FIPS) モードの場合、MD5 認証をサポートしていません。したがって、既存の、または新しく作成された MD5 認証の SNMPv3 ユーザは、これらのリリースでは展開されず、次のエラー メッセージが表示されます。
Major F1036 2018-02-01T14:36:32.995 99095 SNMP User testuser can't be
deployed. Error: MD5 auth is not supported
このようなユーザを展開するには、認証タイプを [SHA] に変更します。
SNMPv3 ユーザの AES プライバシー プロトコル
Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Cisco UCS Manager はそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES プライバシー パスワードは最小で 8 文字です。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
Cisco UCS Managerリリース 3.2(3) および以降のリリースでは、SNMPv3 ユーザ AES 暗号化なしではサポートされません。したがって、既存の、または新しく作成された、AES 暗号化されていない SNMPv3 ユーザは、これらのリリースでは展開されず、次のエラー メッセージが表示されます。
Major F1036 2018-02-01T14:36:32.995 99095 SNMP User testuser can't be
deployed. Error: AES is not enabled
このようなユーザを展開するには、[AES-128] 暗号化を有効にします。