この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
SNMP(簡易ネットワーク管理プロトコル)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP はネットワーク デバイスの監視や管理に使用される、標準化されたフレームワークと共通言語を提供します。
• 「SNMPv3」
• SNMP マネージャ -- SNMP を使用してネットワーク デバイスの動作を制御および監視するためのシステム。
• SNMP エージェント -- 管理デバイス内部のソフトウェア コンポーネントで、デバイスに関するデータを維持し、必要に応じてこれらのデータを管理システムに伝えます。Cisco NX-OS はエージェントおよび MIB をサポートします。SNMP エージェントをイネーブルにするには、マネージャとエージェント間の関係を定義する必要があります。
• MIB(management information base; 管理情報ベース) -- SNMP エージェント上の管理対象オブジェクトのコレクション。
SNMP は RFC 3411 ~ 3418 で定義されています。
(注) Cisco NX-OS は、SNMP セットをサポートしません。
Cisco NX-OS は SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベースのセキュリティ形式を使用します。
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を作成できるということです。これらの通知は、SNMP マネージャからの要求送信を必要としません。通知によって、不正なユーザ認証、再起動、接続の終了、ネイバー ルータとの接続切断、またはその他の重要イベントを示すことができます。
Cisco NX-OS はトラップまたは応答要求のどちらかとして SNMP 通知を生成します。トラップは、エージェントからホスト レシーバー テーブルで指定された SNMP マネージャに送信される、非同期の非確認応答メッセージです(VRF を使用する SNMP 通知レシーバーの設定を参照)。応答要求は、SNMP エージェントから SNMP マネージャに送信される非同期メッセージで、マネージャは受信したという確認応答が必要です。
トラップは応答要求より信頼性が低くなります。トラップの受信時に、SNMP マネージャが確認応答を送信しないので、トラップが受信されたかどうかを Cisco NX-OS が判断できないからです。応答要求を受信した場合、SNMP マネージャは SNMP 応答 PDU(プロトコル データ ユニット)を使用して、メッセージを確認します。応答がなかった場合、Cisco NX-OS はもう一度、応答要求を送信します。
複数のホスト レシーバーに通知を送信するように、Cisco NX-OS を設定できます。ホスト レシーバーの詳細については、「SNMP 通知レシーバーの設定」を参照してください。
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 が提供するセキュリティ機能は、次のとおりです。
• メッセージの完全性 -- パケットが伝送中に改ざんされていないことを保証します。
• 認証 -- 有効な送信元からのメッセージであることを判別します。
• 暗号化 -- パケット内容のスクランブルによって、不正な送信元で判読できないようにします。
SNMPv3 は、セキュリティ モデルとセキュリティ レベルの両方を提供します。セキュリティ モデルは、ユーザおよびユーザに与えられている役割に合わせて設定される認証方式です。セキュリティ レベルは、セキュリティ モデル内で許可されるセキュリティ レベルです。セキュリティ モデルとセキュリティ レベルのコンビネーションによって、SNMP パケットを取り扱うときに使用するセキュリティ メカニズムが決まります。
セキュリティ レベルによって、SNMP メッセージを開示から保護する必要があるか、メッセージの認証が必要かどうかが決定されます。セキュリティ モデル内に存在する各種セキュリティ レベルは、次のとおりです。
• noAuthNoPriv -- 認証も暗号化も行わないセキュリティ レベル
• authNoPriv -- 認証は行うが暗号化は行わないセキュリティ レベル
• authPriv -- 認証と暗号化の両方を行うセキュリティ レベル
使用できるセキュリティ モデルは 3 種類あり、SNMPv1、SNMPv2c、および SNMPv3 です。セキュリティ レベルと組み合わされたセキュリティ モデルによって、SNMP メッセージの処理時に適用されるセキュリティ メカニズムが決まります。
表7-1 に、セキュリティ モデルとセキュリティ レベルのコンビネーションが何を意味するかを示します。
|
|
|
|
|
---|---|---|---|---|
HMAC-MD5 または HMAC-SHA アルゴリズムに基づいて認証します。CBC(暗号ブロック連鎖)DES(データ暗号規格)-56 規格に基づいた認証に加え、DES 56 ビット暗号化を行います。 |
SNMPv3 User-Based Security Model(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
• メッセージの完全性 -- メッセージが不正な方法で変更または破壊されず、データ シーケンスが悪意なく起こり得る範囲を超えて変更されていないことを保証します。
• メッセージ起点認証 -- ユーザのために受信したデータの起点として主張されたアイデンティティが確認されていることを保証します。
• メッセージの機密性 -- 不正な個人、エンティティ、またはプロセスに対して、情報が使用可能になったり開示されたりしていないことを保証します。
SNMPv3 で管理操作が許可されるのは、設定ユーザおよび暗号化 SNMP メッセージによる場合だけです。
Cisco NX-OS では、SNMPv3 に対応する 2 種類の認証プロトコルを使用します。
Cisco NX-OS は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、AES(高度暗号化規格)を使用し、RFC 3826 に準拠します。
priv オプションで、SNMP セキュリティ暗号化に DES を使用するか、それとも 128 ビット AES 暗号化を使用するかを選択できます。 priv オプションと aes-128 トークンを組み合わせた場合は、このプライバシー パスワードが 128 ビットの AES 鍵を作成するためのものであることを意味します。AES priv パスワードは、8 文字以上の長さにできます。パスフレーズをクリア テキストで指定する場合は、大文字と小文字を区別して、最大 64 文字の英数字を指定できます。ローカライズした鍵を使用する場合は、130 文字まで指定できます。
(注) 外部 AAA(認証、認可、アカウンティング)サーバを使用する SNMPv3 動作の場合は、外部 AAA サーバ上のユーザ コンフィギュレーションで、プライバシー プロトコルとして AES を使用する必要があります。
SNMPv3 のユーザ管理は、Access Authentication and Accounting(AAA)サーバ レベルで集中させることができます。この集中ユーザ管理によって、Cisco NX-OS の SNMP エージェントは AAA サーバのユーザ認証サービスを活用できます。ユーザ認証が確認されると、SNMP PDU がさらに処理されます。また、ユーザ グループ名の保管に AAA サーバも使用されます。SNMP ではグループ名を使用して、スイッチでローカルに使用できるアクセス/ロール ポリシーを適用します。
ユーザ グループ、ロール、またはパスワードの設定を変更すると、SNMP と AAA の両方について、データベースの同期が図られます。
Cisco NX-OS では次のように、ユーザ設定を同期させます。
• snmp-server user コマンドで指定された認証パスフレーズが CLI ユーザのパスワードになります。
• username コマンドで指定されたパスワードが SNMP ユーザの認証およびプライバシー パスフレーズになります。
• SNMP または CLI を使用してユーザを削除すると、SNMP と CLI の両方でユーザが削除されます。
• ユーザとロール(役割)間のマッピング変更は、SNMP と CLI で同期します。
• CLI から行ったロール変更(削除または変更)は、SNMPと同期します。
(注) パスフレーズ/パスワードをローカライズした鍵/暗号形式で設定した場合、Cisco NX-OS はパスワードを同期させません。
Cisco NX-OS はデフォルトで、同期したユーザ設定を 60 分間維持します。このデフォルト値の変更方法については、「AAA 同期時間の変更」を参照してください。
(注) グループが業界全体で使用されている標準 SNMP 用語なので、この SNMP の項では、ロールのことをグループと言います。
SNMP のアクセス権は、グループ別に編成されます。SNMP の各グループは、CLI でのロールと同様です。各グループは読み取りアクセス権または読み取りと書き込みアクセス権を指定して定義します。
自分のユーザ名を作成すると、エージェントとの通信を開始し、管理者に自分のロールを設定してもらい、そのロールに自分を追加してもらうことができます。
EEM(Embedded Event Manager)機能は、SNMP MIB オブジェクトを含めてイベントを監視し、これらのイベントに基づいてアクションを開始します。SNMP 通知の送信もアクションの 1 つです。EEM は SNMP 通知として、CISCO-EMBEDDED-EVENT-MGR-MIB の cEventMgrPolicyEvent を送信します。
EEM の詳細については、 第 10 章「Embedded Event Manager の設定」 を参照してください。
デバイスはプロトコル インスタンス、VRF など、論理ネットワーク エンティティのインスタンスを複数サポートできます。大部分の既存 MIB は、これら複数の論理ネットワーク エンティティを識別できません。たとえば、元々の OSPF-MIB ではデバイス上のプロトコル インスタンスが 1 つであることが前提になりますが、現在はデバイス上で複数の OSPF インスタンスを設定できます。
SNMPv3 ではコンテキストを使用して、複数のインスタンスを識別します。SNMP コンテキストは管理情報のコレクションであり、SNMP エージェントを通じてアクセスできます。デバイスは、さまざまな論理ネットワーク エンティティの複数のコンテキストをサポートできます。SNMP コンテキストによって、SNMP マネージャはさまざまな論理ネットワーク エンティティに対応するデバイス上でサポートされる、MIB モジュールの複数のインスタンスの 1 つにアクセスできます。
Cisco NX-OS Release 4.0(2) 以降のリリースでは、NX-OS は SNMP コンテキストと論理ネットワーク エンティティ間のマッピングのために、CISCO-CONTEXT-MAPPING-MIB をサポートします。SNMP コンテキストは VRF、プロトコル インスタンス、またはトポロジに関連付けることができます。
SNMPv3 は、SNMPv3 PDU の contextName フィールドでコンテキストをサポートします。この contextName フィールドを特定のプロトコル インスタンスまたは VRF にマッピングできます。
SNMPv2 の場合は、SNMP-COMMUNITY-MIB の snmpCommunityContextName MIB オブジェクトを使用して、SNMP コミュニティをコンテキストにマッピングできます(RFC 3584)。さらに CISCO-CONTEXT-MAPPING-MIB または CLI を使用すると、この snmpCommunityContextName を特定のプロトコル インスタンスまたは VRF にマッピングできます。
SNMP コンテキストを論理ネットワーク エンティティにマッピングする手順は、次のとおりです。
ステップ 2 論理ネットワーク エンティティのインスタンスを決定します。
ステップ 3 SNMPv3 コンテキストを論理ネットワーク エンティティにマッピングします。
ステップ 4 任意で、SNMPv3 コンテキストを SNMPv2 コミュニティにマッピングします。
詳細については、「コンテキストとネットワーク エンティティ間のマッピング設定」を参照してください。
Cisco NX-OS は、SNMP のステートレス リスタートをサポートします。リブートまたはスーパーバイザ スイッチオーバーのあとに、Cisco NX-OS は実行コンフィギュレーションを適用します。
Cisco NX-OS は、VDC(Virtual Device Context; 仮想デバイス コンテキスト)ごとに SNMP インスタンスを 1 つずつサポートします。デフォルトでは、Cisco NX-OS はデフォルトの VDC が使用されるようにします。詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
Cisco NX-OS Release 4.0(2) 以降のリリースでは、SNMP は複数の MIB モジュール インスタンスをサポートし、それらを論理ネットワーク エンティティにマッピングします。詳細については、「マルチインスタンス サポート」を参照してください。
SNMP も VRF を認識します。特定の VRF を使用して、SNMP 通知ホスト レシーバーに接続するように SNMP を設定できます。通知が発生した VRF に基づいて、SHMP ホスト レシーバーへの通知をフィルタリングするように SNMP を設定することもできます。詳細については、「VRF を使用する SNMP 通知レシーバーの設定」を参照してください。
|
|
---|---|
SNMP にはライセンスは不要です。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされて提供されます。追加料金は発生しません。NX-OS ライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide 』を参照してください。 |
• VDC を設定する場合は、Advanced Services ライセンスをインストールし、所定の VDCを開始してください(『 Cisco NX-OS Virtual Device Context Configuration Guide 』を参照)。
SNMP に関する設定時の注意事項および制約事項は、次のとおりです。
• Cisco NX-OS は一部の SNMP MIB について、読み取り専用アクセスをサポートします。詳細については次の URL にアクセスして、Cisco NX-OS の MIB サポート リストを参照してください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
• 「複数のロールに SNMPv3 ユーザを割り当てる場合」
• 「インターフェイスに関する linkUp/linkDown 通知のディセーブル化」
• 「TCP による SNMP のワンタイム認証のイネーブル化」
• 「SNMP スイッチのコンタクト(連絡先)およびロケーション情報の指定」
• 「コンテキストとネットワーク エンティティ間のマッピング設定」
(注) Cisco IOS CLI の詳しい知識がある場合は、この機能で使用する Cisco NX-OS コマンドが、よく使用される Cisco IOS コマンドとは異なる可能性があることに注意してください。
2. snmp-server user name [ auth { md5 | sha } passphrase [ auto ] [ priv [ aes-128 ] passphrase ] [ engineID id ] [ localizedkey] ]
SNMP のコンタクトおよびロケーション情報を設定する例を示します。
switch(config)# snmp-server user Admin auth sha abcd1234 priv abcdefgh
着信要求の認証または暗号化を求めるように、SNMP を設定できます。デフォルトでは、SNMP エージェントは認証および暗号化を行わないでも SNMPv3 メッセージを受け付けます。プライバシーを強化する場合、Cisco NX-OS は noAuthoNoPriv または authNoPriv のsecurityLevel パラメータを使用している SNMPv3 PDU に、authorizationError で応答します。
SNMP メッセージの暗号化をユーザに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
SNMP メッセージの暗号化をすべてのユーザに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
SNMP ユーザの設定後、ユーザに複数のロールを割り当てることができます。
(注) 他のユーザにロールを割り当てることができるのは、network-admin ロールに属しているユーザだけです。
SNMP ユーザにロールを割り当てるには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
SNMPv1 または SNMPv2c に対応する SNMP コミュニティを作成できます。
SNMP コミュニティ ストリングを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
複数のホスト レシーバーに対して SNMP 通知を作成するように、Cisco NX-OS を設定できます。
SNMPv1 トラップのホスト レシーバーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
SNMPv2c トラップまたは応答要求のホスト レシーバーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
SNMPv3 トラップまたは応答要求のホスト レシーバーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
(注) SNMP マネージャは SNMPv3 メッセージを認証して解読するために、Cisco NX-OS デバイスの SNMP engineID に基づいてユーザ クレデンシャル(authKey/PrivKey)を調べる必要があります。
通知ホスト レシーバーに SNMPv3 応答要求通知を送信するには、デバイス上で通知ターゲット ユーザを設定する必要があります。
Cisco NX-OS は通知ターゲット ユーザのクレデンシャルを使用して、設定された通知ホスト レシーバーへの SNMPv3 応答要求通知メッセージを暗号化します。
(注) 受信した INFORM PDU を認証して解読する場合、Cisco NX-OS で設定されているのと同じ、応答要求を認証して解読するユーザ クレデンシャルが通知ホスト レシーバーに必要です。
通知ターゲット ユーザを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
SNMP 通知レシーバーの VRF 到達可能性およびフィルタリング オプションを設定すると、SNMP によって CISCO-SNMP-TARGET-EXT-MIB の cExtSnmpTargetVrfTable にエントリが追加されます。
(注) VRF 到達可能性またはフィルタリング オプションを設定する前に、ホストを設定する必要があります。
設定された VRF を使用してホスト レシーバーに接続するように Cisco NX-OS を設定できます。
ホスト レシーバーへの通知の送信に使用する VRF を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
通知が発生した VRF に基づいて、通知をフィルタリングするように Cisco NX-OS を設定できます。
設定された VRF に基づいて通知をフィルタリングするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
通知をイネーブルまたはディセーブルにできます。通知の名前を指定しなかった場合、Cisco NX-OS はすべての通知をイネーブルにします。
表7-2 に、Cisco NX-OS に関する通知をイネーブルにする、CLI コマンドを示します。
(注) snmp-server enable traps CLI コマンド を使用すると、設定されている通知ホスト サーバに応じて、トラップおよび応答要求の両方がイネーブルになります。
ライセンス通知は、デフォルトでイネーブルです。その他の通知はすべて、デフォルトでディセーブルです。
指定した通知をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
個々のインターフェイスに関する linkUp および linkDown 通知をディセーブルにできます。これにより、フラッピング インターフェイス(アップとダウン間の移行を繰り返しているインターフェイス)に関する通知を制限できます。
インターフェイスに関する linkUp/linkDown 通知をディセーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
インターフェイスの SNMP リンクステート トラップをディセーブルにします。このコマンドは、デフォルトでイネーブルにされています。 |
TCP セッションでの 1 回限りの SNMP 認証をイネーブルにできます。
TCP による SNMP のワンタイム認証をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
32 文字までの長さで(スペースを含まない)のスイッチ コンタクト情報を指定できます。さらに、スイッチ ロケーションを指定できます。
|
|
|
---|---|---|
SNMP のコンタクトおよびロケーション情報を設定する例を示します。
switch(config)# snmp contact Admin
プロトコル インスタンス、VRF などの論理ネットワーク エンティティに対する SNMP コンテキストのマッピングを設定できます。
正しい VDC を使用していることを確認します(または、 switchto vdc コマンドを使用します)。
論理ネットワーク エンティティのインスタンスを決定します。VRF およびプロトコル インスタスの詳細については、『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』または『 Cisco NX-OS Multicast Routing Configuration Guide, Release 4.0 』を参照してください。
2. snmp-server context context-name [ instance instance-name ] [ vrf vrf-name ] [ topology topology-name ]
3. snmp-server mib community-map community-name context context-name
VRF red を SNMPv2c のパブリック コミュニティ ストリングにマッピングする例を示します。
switch(config)# vrf context red
switch(config)# snmp -server context public1 vrf red
switch(config)# snmp-server mib community-map public context public1
OSPF インスタンス Enterprise を同じ SNMPv2c パブリック コミュニティ ストリングにマッピングする例を示します。
switch(config)# router ospf Enterprise
switch(config)# snmp-server context public1 instance Enterprise
switch(config)# snmp-server mib community-map public context public1
SNMP コンテキストと論理ネットワーク エンティティ間のマッピングを削除するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
デバイス上で SNMP プロトコルをディセーブルにできます。
SNMP プロトコルをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
同期したユーザ設定を Cisco NX-OS に維持させる時間の長さを変更できます。
AAA 同期時間を変更するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
---|---|
ローカル キャッシュで AAA 同期ユーザ設定を維持する時間を設定します。値の範囲は 1 ~ 86400 秒です。デフォルト値は 3600 です。 |
SNMP の設定情報を表示するには、次の作業のいずれかを行います。
|
|
---|---|
Blue VRF を使用してある通知ホスト レシーバーに Cisco linkUp/linkDown 通知を送信するように Cisco NX-OS を設定し、Admin と NMS という 2 つの SNMP ユーザを定義する例を示します。
表7-3 に、SNMP パラメータのデフォルト設定を示します。
|
|
---|---|
SNMP の実装に関連する詳細情報については、次の項を参照してください。
• 「関連資料」
• 「規格」
• 「MIB」
|
|
---|---|
『 Cisco NX-OS System Management Configuration Guide, Release 4.0 』。URL は次のとおりです。 |
|
『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』。URL は次のとおりです。 |
|
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
|
|
---|---|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。 |
|
|
---|---|
MIB を見つけてダウンロードするには、次の URL を参照してください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
表7-4 に、この機能のリリース履歴を示します。
|
|
|
---|---|---|