Cisco Nexus 1000V システム管理コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)

SNMP 機能の概要

SNMP フレームワークは 3 つの部分で構成されます。

• SNMP マネージャ：SNMP を使用してネットワーク デバイスの動作を制御およびモニタするためのシステム。

• SNMP エージェント：管理デバイス内部のソフトウェア コンポーネントで、デバイスに関するデータを維持し、必要に応じてこれらのデータを管理システムに伝えます。Cisco Nexus 1000V はエージェントと MIB をサポートします。SNMP エージェントをイネーブルにするには、マネージャとエージェントの関係を定義する必要があります。

• Managed Information Base（MIB; 管理情報ベース）：SNMP エージェント上の管理対象オブジェクトのコレクション。

SNMP は、RFC 3411 ～ 3418 で規定されています。

（注） SNMP Role Based Access Control（RBAC）はサポートされていません。

SNMPv1、SNMPv2c、および SNMPv3 です。SNMPv1 および SNMPv2c の両方により、コミュニティベースのセキュリティ形式の使用がサポートされています。

SNMP 通知

SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知によって、不正なユーザ認証、再起動、接続の終了、隣接ルータとの接続切断、またはその他の重要イベントを示すことができます。

SNMP 通知は、トラップまたは応答要求として生成されます。トラップは、エージェントからホスト レシーバ テーブルで指定された SNMP マネージャに送信される、非同期の非確認応答メッセージです。応答要求は、SNMP エージェントから SNMP マネージャに送信される非同期メッセージで、マネージャは受信したという確認応答が必要です。

トラップの信頼性はインフォームより低くなります。SNMP マネージャはトラップを受信しても Acknowledgment（ACK; 確認応答）を送信しないからです。Cisco Nexus 1000V では、トラップを受信したかどうかを判断できません。インフォーム要求を受信する SNMP マネージャは、SNMP 応答 Protocol Data Unit（PDU; プロトコル データ ユニット）でメッセージの受信を確認します。応答を受信しなかった場合、Cisco Nexus 1000V は再度インフォーム要求を送信できます。

複数のホスト レシーバーに通知を送信するよう Cisco Nexus 1000V を設定できます。ホスト レシーバーの詳細については、「SNMP 通知レシーバーの設定」を参照してください。

SNMPv3

SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 が提供するセキュリティ機能は、次のとおりです。

• メッセージの完全性：パケットが伝送中に改ざんされていないことを保証します。

• 認証：メッセージの送信元が有効かどうかを判別します。

• 暗号化：許可されていない送信元により判読されないように、パケットの内容のスクランブルを行います。

SNMPv3 は、セキュリティ モデルとセキュリティ レベルの両方を提供します。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルは、セキュリティ モデル内で許可されたセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。

ここでは、次の内容について説明します。

• 「SNMPv1、SNMPv2、SNMPv3 のセキュリティ モデルおよびセキュリティ レベル」

• 「ユーザベースのセキュリティ モデル」

• 「CLI および SNMP ユーザの同期」

• 「グループベースの SNMP アクセス」

SNMPv1、SNMPv2、SNMPv3 のセキュリティ モデルおよびセキュリティ レベル

セキュリティ レベルは、SNMP メッセージを開示から保護する必要があるかどうか、およびメッセージを認証するかどうか判断します。セキュリティ モデル内のさまざまなセキュリティ レベルは、次のとおりです。

• noAuthNoPriv：認証または暗号化を実行しないセキュリティ レベル

• authNoPriv：認証は実行するが、暗号化を実行しないセキュリティ レベル

• authPriv：認証と暗号化両方を実行するセキュリティ レベル

SNMPv1、SNMPv2c、および SNMPv3 の 3 つのセキュリティ モデルを使用できます。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。

表 10-1 に、セキュリティ モデルとセキュリティ レベルの組み合わせの意味を示します。

ユーザベースのセキュリティ モデル

SNMPv3 User-Based Security Model（USM）は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。

• メッセージの完全性：メッセージが不正な方法で変更または破壊されていないこと、データ シーケンスが悪意なく起こり得る範囲を超えて変更されていないことを保証します。

• メッセージ発信元の認証：受信データを発信したユーザのアイデンティティが確認されたことを保証します。

• メッセージの機密性：情報が使用不可であること、または不正なユーザ、エンティティ、またはプロセスに開示されないことを保証します。

SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。

Cisco Nexus 1000V は、次の 2 つの SNMPv3 認証プロトコルを使用します。

• HMAC-MD5-96 認証プロトコル

• HMAC-SHA-96 認証プロトコル

Cisco Nexus 1000V は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard（AES）を使用し、RFC 3826 に準拠します。

priv オプションで、SNMP セキュリティ暗号化方式として、DES または 128 ビット AES を選択できます。 priv オプションを aes-128 トークンと併用すると、プライバシー パスワードは 128 ビット AES キーの生成に使用されます。AES のプライバシー パスワードは最小で 8 文字です。パスフレーズをクリア テキストで指定する場合は、大文字と小文字を区別して、最大 64 文字の英数字を指定できます。ローカライズド キーを使用する場合は、最大 130 文字を指定できます。

（注） 外部 AAA（認証、認可、アカウンティング）サーバを使用する SNMPv3 動作の場合は、外部 AAA サーバ上のユーザ コンフィギュレーションで、プライバシー プロトコルとして AES を使用する必要があります。

CLI および SNMP ユーザの同期

SNMPv3 ユーザ管理は、Access Authentication and Accounting（AAA）サーバ レベルで集中化できます。この中央集中型ユーザ管理により、Cisco Nexus 1000Vの SNMP エージェントは AAA サーバのユーザ認証サービスを利用できます。ユーザ認証が検証されると、SNMP PDU の処理が進行します。AAA サーバはユーザ グループ名の格納にも使用されます。SNMP はグループ名を使用して、スイッチでローカルに使用できるアクセス ポリシーまたはロール ポリシーを適用します。

ユーザ グループ、ロール、またはパスワードの設定が変更されると、SNMP と AAA の両方のデータベースが同期化されます。

Cisco Nexus 1000Vは、次のようにユーザ設定を同期化します。

• snmp-server user コマンドで指定された認証パスフレーズが CLI ユーザのパスワードになります

• username コマンドで指定されたパスワードが SNMP ユーザの認証およびプライバシー パスフレーズになります。

• SNMP または CLI を使用してユーザを削除すると、SNMP と CLI の両方でユーザが削除されます。

• ユーザとロールの対応関係の変更は、SNMP と CLI で同期化されます。

• CLI から行ったロール変更（削除または変更）は、SNMP と同期します。

（注） パスフレーズ/パスワードをローカライズド キー/暗号化形式で設定すると、Cisco Nexus 1000Vはパスワードを同期化しません。

Cisco NX-OS はデフォルトで、同期したユーザ設定を 60 分間維持します。このデフォルト値の変更方法については、「AAA 同期時間の変更」を参照してください。

グループベースの SNMP アクセス

（注） グループが業界全体で使用されている標準 SNMP 用語なので、この SNMP の項では、ロールのことをグループと言います。

SNMP アクセス権は、グループ別に編成されます。SNMP 内の各グループは、CLI を使用する場合のロールに似ています。各グループは読み取りアクセス権または読み取りと書き込みアクセス権を指定して定義します。

ユーザ名が作成され、ユーザのロールが管理者によって設定され、ユーザがそのロールに追加されていれば、そのユーザはエージェントとの通信を開始できます。

ハイ アベイラビリティ

SNMP ではステートレス リスタートがサポートされています。リブートまたはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションを適用します。

SNMP ユーザの設定

この手順を使用して、SNMP のユーザを設定します。

はじめる前に

• EXEC モードで CLI にログインしていること。

手順の概要

1. config t

2. snmp-server user name [ auth { md5 | sha } passphrase [ auto ] [ priv [ aes-128 ] passphrase ] [ engineID id ] [ localizedkey] ]

3. show snmp user

4. copy running-config startup-config

手順の詳細

次の例では、SNMP のコンタクトおよびロケーション情報を設定する方法を示します。

switch# config t

Enter configuration commands, one per line. End with CNTL/Z.

switch(config)# snmp-server user Admin auth sha abcd1234 priv abcdefgh

SNMP メッセージ暗号化の適用

着信要求に認証または暗号化が必要となるよう SNMP を設定できます。デフォルトでは、SNMP エージェントは認証および暗号化を行わないでも SNMPv3 メッセージを受け付けます。プライバシーを強化する場合、Cisco Nexus 1000V は noAuthoNoPriv または authNoPriv の securityLevel パラメータを使用している SNMPv3 PDU 要求に、authorizationError で応答します。

SNMP メッセージの暗号化をユーザに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP メッセージの暗号化をすべてのユーザに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP コミュニティの作成

SNMPv1 または SNMPv2c の SNMP コミュニティを作成できます。

SNMP コミュニティ ストリングを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP 通知レシーバーの設定

複数のホスト レシーバに対して SNMP 通知を作成するように、Cisco Nexus 1000V を設定できます。

SNMPv1 トラップのホスト レシーバを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMPv2c トラップまたは応答要求のホスト レシーバを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMPv3 トラップまたは応答要求のホスト レシーバを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

（注） SNMP マネージャは SNMPv3 メッセージを認証して解読するために、Cisco Nexus 1000V デバイスの SNMP engineID に基づいてユーザ クレデンシャル（authKey/PrivKey）を調べる必要があります。

通知ターゲット ユーザの設定

通知ホスト レシーバに SNMPv3 応答要求通知を送信するには、デバイス上で通知ターゲット ユーザを設定する必要があります。

Cisco Nexus 1000V は通知ターゲット ユーザのクレデンシャルを使用して、設定された通知ホスト レシーバへの SNMPv3 応答要求通知メッセージを暗号化します。

（注） 受信した INFORM PDU を認証して解読する場合、Cisco Nexus 1000V で設定されているのと同じ、応答要求を認証して解読するユーザ クレデンシャルが通知ホスト レシーバに必要です。

通知ターゲット ユーザを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP 通知のイネーブル化

通知をイネーブルまたはディセーブルにできます。通知名を指定しないと、Cisco Nexus 1000Vは通知をすべてイネーブルにします。

表 10-3 には、Cisco Nexus 1000V MIB に関する通知をイネーブルにする、CLI コマンドを示します。

（注） snmp-server enable traps コマンドを使用すると、設定されている通知ホスト レシーバに応じて、トラップおよび応答要求の両方がイネーブルになります。

ライセンス通知は、デフォルトではイネーブルです。他の通知はすべて、デフォルトではディセーブルです。

指定した通知をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

インターフェイスに関する linkUp/linkDown 通知のディセーブル化

個別のインターフェイスで linkUp および linkDown 通知をディセーブルにできます。フラッピング インターフェイス（Up と Down の間を頻繁に切り替わるインターフェイス）で、この制限通知を使用できます。

インターフェイスに関する linkUp/linkDown 通知をディセーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

TCP による SNMP のワンタイム認証のイネーブル化

TCP セッションでの 1 回限りの SNMP 認証をイネーブルにできます。

TCP による SNMP のワンタイム認証をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP スイッチのコンタクトおよびロケーション情報の指定

32 文字までの長さで（スペースを含まない）のスイッチ コンタクト情報を指定できます。さらに、スイッチ ロケーションを指定できます。

はじめる前に

• EXEC モードで CLI にログインしていること。

手順の概要

1. config t

2. snmp-server contact name

3. snmp-server location name

4. show snmp

5. copy running-config startup-config

手順の詳細

次の例では、SNMP のコンタクトおよびロケーション情報を設定する方法を示します。

switch# config t

Enter configuration commands, one per line. End with CNTL/Z.

switch(config)# snmp contact Admin

switch(config)# snmp location Lab-7

SNMP のディセーブル化

デバイスの SNMP プロトコルをディセーブルにできます。

SNMP プロトコルをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

AAA 同期時間の変更

同期したユーザ設定を Cisco NX-OS に維持させる時間の長さを変更できます。

AAA 同期時間を変更するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

関連資料

標準

MIB