- はじめに
- 製品概要
- CLI
- スイッチの初期設定
- スイッチの管理
- Cisco IOS ISSU プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- RPR および SSOを使用したスーパーバイザ エンジンの冗長設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- PoE の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの 設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイス の設定
- レイヤ 2 イーサネット インターフェイ スの設定
- SmartPort マクロの設定
- STP および MST の設定
- Resilient Ethernet Protocol の設定
- 任意の STP 機能の設定
- EtherChannel の設定
- IGMP スヌーピングとフィルタリング の設定
- IPv6 MLD スヌーピングの設定
- 802.1Q およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP および LLDP-MED の設定
- UDLD の設定
- レイヤ 3 インターフェイスの設定
- CEF の設定
- ユニキャスト RPF の設定
- 単一方向イーサネットの設定
- IP マルチキャストの設定
- PBR の設定
- VRF-Lite の設定
- QoS の設定
- 音声インターフェイスの設定
- PVLAN の設定
- 802.1X ポートベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングの 設定
- DHCP スヌーピング、IP ソース ガー ド、およびスタティック ホストの IPSG の設定
- DAI の設定
- ACL によるネットワーク セキュリティ の設定
- ポート ユニキャストおよびマルチキャ スト フラッディング ブロック
- ストーム制御の設定
- SPAN と RSPAN の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2(44)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月17日
章のタイトル: SNMP の設定
SNMP の設定
この章では、Catalyst 4500 シリーズ スイッチに SNMP(簡易ネットワーク管理プロトコル)を設定する方法を説明します。
(注) ここで使用するコマンドの構文および使用方法の詳細については、次の URL にある『Cisco IOS Configuration Fundamentals Command Reference』Release 12.4 を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124tcr/tcf_r/index.htm
SNMP の概要
SNMP は、マネージャとエージェント間の通信にメッセージ形式を提供するアプリケーションレイヤ プロトコルです。SNMP は、SNMP マネージャ、SNMP エージェント、および MIB(管理情報ベース)で構成されています。SNMP マネージャは、Cisco Works などの NMS(Network Management System; ネットワーク管理システム)の一部になることができます。エージェントと MIB はスイッチに常駐します。スイッチに SNMP を設定するには、マネージャとエージェントの関係を定義する必要があります。
SNMP エージェントには、SNMP マネージャが値を要求または変更できる MIB 変数が含まれています。マネージャはエージェントから値を取得することも、エージェントに値を保存することもできます。エージェントは、デバイス パラメータおよびネットワーク データに関する情報のリポジトリである MIB からデータを収集します。エージェントは、マネージャの要求に応じてデータを取得または設定できます。
エージェントはマネージャに非送信請求トラップを送信できます。トラップとは、そのネットワークの状態を SNMP マネージャに通知するメッセージです。トラップには、間違ったユーザ認証、再起動、リンク状態(アップまたはダウン)、MAC アドレスの追跡、Transmission Control Protocol(TCP)接続の終了、ネイバーへの接続の消失、その他の重要なイベントがあります。
SNMP のバージョン
Catalyst 4500 シリーズ スイッチは、次の SNMP バージョンをサポートします。
•
SNMPv1 ― 完全インターネット標準の SNMPで、RFC 1157 で定義されています。
• SNMPv2C ― SNMPv2Classic のパーティベース管理およびセキュリティ フレームワークが SNMPv2C のコミュニティストリングベース管理フレームワークに置き換えられていますが、SNMPv2Classic のバルク検索は引き継がれ、エラー処理は改良されています。SNMPv2C には次の機能があります。
–SNMPv2 ― SNMP のバージョン 2 で、RFC 1902 ~ 1907 で定義されているドラフト インターネット標準です。
–SNMPv2C ― SNMPv2 のコミュニティストリングベース管理フレームワークで、RFC 1901 で定義されている実験的インターネット プロトコルです。
• SNMPv3 ― SNMP のバージョン 3 で、RFC 2273 ~ 2275 で定義されている相互運用可能な標準ベースのプロトコルです。SNMPv3 はネットワークのパケットを認証して暗号化することによってデバイスへのセキュアなアクセスを提供し、次のセキュリティ機能があります。
–メッセージ完全性 ― 送信中にパケットが改ざんされないようにします。
–認証 ― 有効な送信元からのメッセージであることを判断します。
–暗号化 ― パッケージの内容を混ぜ合わせ、不正なソースによって読み取られることを防ぎます。
(注) 暗号化を選択するには、priv キーワードを入力します。このキーワードは、暗号(暗号化)ソフトウェア イメージがインストールされている場合にのみ指定できます。
SNMPv1 と SNMPv2C はどちらもコミュニティスベースのセキュリティ形式を使用します。エージェントの MIB にアクセスできるマネージャのコミュニティは、IP アドレス Access Control List(ACL; アクセス コントロール リスト)とパスワードによって定義されます。
SNMPv2C には、バルク検索メカニズムと、詳細なエラー メッセージを管理ステーションに報告する機能が備わっています。バルク検索メカニズムはテーブルおよび大量の情報を検索し、必要な往復回数を最小限に抑えます。SNMPv2C の改良されたエラー処理には多様なエラー状態を区別する拡張型エラー コードがあります。これらの状態は、SNMPv1 では 1 つのエラー コードで報告されます。SNMPv2C ではエラー戻りコードがエラーの種類を報告します。
SNMPv3 は、セキュリティ モデルとセキュリティ レベルの両方を提供します。セキュリティ モデルは、ユーザおよびユーザが存在するグループに設定された認証方法です。セキュリティ レベルは、セキュリティ モデルで許可されたセキュリティのレベルです。セキュリティ レベルとセキュリティ モデルの組み合わせにより、SNMP パケットを処理する場合に使用するセキュリティ メカニズムが決まります。利用可能なセキュリティ モデルは、SNMPv1、SNMPv2C、および SNMPv3 です。
表47-1 に、セキュリティ モデルとセキュリティ レベルの組み合わせの特性を示します。
|
|
|
|
|
|
|---|---|---|---|---|
HMAC-MD5 または HMAC-SHA アルゴリズムに基づく認証を行う |
管理ステーションがサポートする SNMP バージョンを使用するには SNMP エージェントを設定する必要があります。エージェントは複数のマネージャと通信できるため、ソフトウェアを設定して SNMPv1、SNMPv2C、およびSNMPv3 プロトコルを使用する通信をサポートすることができます。
SNMP マネージャの機能
SNMP マネージャは MIB の情報を使用して、 表47-2 に示す動作を行います。
|
|
|
|---|---|
テーブル内の変数の値を取得します。 1 |
|
get-bulk-request 2 |
|
NMS が送信した get-request、get-next-request、および set-request に応答します。 |
|
| 1.この動作では、SNMP マネージャが正しい変数名を知る必要はありません。必要な変数が見つかるまでテーブル内でのシーケンシャルな検索が実行されます。 |
SNMP エージェントの機能
SNMP エージェントは、次のような SNMP マネージャ要求に応答します。
• MIB 変数の取得 ― SNMP エージェントは、NMS の要求に応じてこの機能を開始します。エージェントは要求された MIB 変数の値を取得して NMS にその値を返します。
• MIB 変数の設定 ― SNMP エージェントは、NMS のメッセージに応じてこの機能を開始します。SNMP エージェントは MIB 変数の値を NMS が要求する値に変更します。
SNMP エージェントは、重要なイベントがエージェントで発生したことを NMS に知らせる割り込みトラップ メッセージも送信します。トラップ条件の例には、ポートまたはモジュールがアップまたはダウンになった場合、スパニングツリー トポロジが変更された場合、認証に失敗した場合などがありますが、これだけに限定されることはありません。
SNMP コミュニティ ストリング
SNMP コミュニティ ストリングは MIB オブジェクトへのアクセスを認証し、埋め込みパスワードとして機能します。NMS がスイッチにアクセスできるためには、NMS のコミュニティ ストリング定義がスイッチに定義された 3 つのコミュニティ ストリングの少なくとも 1 つと一致する必要があります。
• Read-only(RO) ― 認可された管理ステーションに、コミュニティ ストリングを除く MIB の全オブジェクトに対する読み取りアクセス権を与えますが、書き込みアクセス権は与えません。
• Read-write(RW) ― 認可された管理ステーションに、MIB の全オブジェクトに対する読み取りおよび書き込みアクセス権を与えますが、コミュニティ ストリングへのアクセス権は与えません。
• Read-write-all ― 認可された管理ステーションに、コミュニティ ストリングを含む MIB の全オブジェクトに対する読み取りおよび書き込みアクセス権を与えます。
SNMP を使用した MIB 変数へのアクセス
NMS の 1 つに CiscoWorks ネットワーク管理ソフトウェアがあります。CiscoWorks 2000 はスイッチ MIB 変数を使用してデバイス変数を設定し、ネットワーク上のデバイスの特定の情報をポーリングします。ポーリングした結果をグラフなどで表示して分析し、インターネットワーキングのトラブルシューティング、ネットワーク パフォーマンスの向上、デバイスの設定確認、トラフィック負荷のモニタリングなどを行うことができます。
図47-1 で示すように、SNMP エージェントは MIB のデータを収集します。エージェントは SNMP マネージャにトラップや特定イベントの通知を送信し、SNMP マネージャはトラップを受信して処理します。トラップは SNMP マネージャにネットワークの状態を通知します。不適切なユーザ認証、再起動、リンクの状態(アップまたはダウン)、MAC アドレスの追跡などが通知されます。SNMP エージェントは、SNMP マネージャから get-request 、 get-next-request 、および set-request 形式で送信される MIB 関連のクエリーにも応答します。
SNMP 通知
SNMP では、特定のイベントが発生した場合にスイッチから SNMP マネージャに通知を送信できます。SNMP 通知はトラップまたはインフォーム要求として送信されます。コマンド構文では、コマンドでトラップとインフォームのどちらかを任意で選択できないかぎり、 traps キーワードは、トラップとインフォームのどちらか一方または両方を意味します。SNMP 通知をトラップまたはインフォームとして送信するには、 snmp-server host コマンドを使用します。
受信側はトラップを受信しても acknowledgment(ACK; 確認応答)を送信しないのでトラップが受信されたかどうかを送信側で判断することができないため、トラップには信頼性があるとは言えません。SNMP マネージャがインフォーム要求を受信すると、SNMP 応答 Protocol Data Unit(PDU; プロトコル データ ユニット)を使用してメッセージに確認応答します。送信側が応答を受信しなかった場合、インフォーム要求が再送信されます。このため、インフォームは、指定した宛先に到着する可能性がトラップよりも高くなります。
インフォームにはトラップよりも信頼性が高いという特性がありますが、より多くのスイッチおよびネットワークのリソースを消費します。送信後すぐに廃棄されるトラップとは異なり、インフォーム要求は、応答を受信するか要求期限が過ぎるまでメモリに保存されます。トラップは 1 回しか送信されませんが、インフォームは何度か再送信されます。再送信によってトラフィックが増し、ネットワークのオーバーヘッドにつながります。このため、トラップとインフォームには信頼性とリソースの間で妥協が必要になります。SNMP マネージャがすべての通知を受け取ることが重要であれば、インフォーム要求を使用します。ネットワークのトラフィックやスイッチのメモリが問題であり通知が不要であれば、トラップを使用します。
SNMP の設定
ここでは、スイッチに SNMP を設定する方法を説明します。内容は次のとおりです。
SNMP のデフォルト設定
表47-3 に、SNMP のデフォルト設定を示します。
|
|
|
|---|---|
SNMP 設定時の注意事項
SNMP group は、SNMP ユーザを SNMP ビューにマッピングするテーブルです。SNMP user は、SNMP グループのメンバです。SNMP host は、SNMP トラップ動作のレシーバです。SNMP engine ID は、ローカルまたはリモート SNMP エンジンの名前です。
SNMP を設定する場合は、以下の注意事項に従ってください。
• SNMP グループを設定する場合、通知ビューを設定しないようにします。 snmp-server host グローバル コンフィギュレーション コマンドはユーザの通知ビューを自動的に生成し、そのユーザに関連付けられているグループに追加します。グループの通知ビューを変更すると、そのグループに関連付けられているすべてのユーザが影響を受けます。通知ビューを設定するタイミングについては、『 Cisco IOS Configuration Fundamentals Command Reference 』Release 12.2 を参照してください。
• リモート ユーザを設定するには、ユーザが存在するデバイスのリモート SNMP エージェントの IP アドレスまたはポート番号を指定します。
• 特定のエージェントにリモート ユーザを設定する前に、 snmp-server engineID グローバル コンフィギュレーション コマンドに remote オプションを使用して SNMP エンジン ID を設定します。リモート エージェントの SNMP エンジン ID とユーザ パスワードは、認証およびプライバシー ダイジェストを計算するために使用されます。最初にリモート エンジン ID を設定しなかった場合、コンフィギュレーション コマンドは失敗します。
• SNMP インフォームを設定する場合、まず SNMP データベースにリモート エージェントの SNMP エンジン ID を設定し、それからプロキシ要求やインフォームを送信します。
• ローカル ユーザがリモート ホストに関連付けられていない場合、スイッチは auth (authNoPriv)および priv (authPriv)認証レベルのインフォームを送信しません。
• SNMP エンジン ID の値を変更すると大きな影響が発生します。ユーザのパスワード(コマンドラインで入力)は、パスワードとローカル エンジン ID に基づいて MD5 または SHA セキュリティ ダイジェストに変換されます。その後、RFC 2274 に従ってコマンドライン パスワードは破棄されます。このため、エンジン ID の値を変更すると SNMPv3 ユーザのセキュリティ ダイジェストが無効になり、 snmp-server user username グローバル コンフィギュレーション コマンドを使用して SNMP ユーザを再設定する必要があります。エンジン ID を変更した場合にも、同様の制約によってコミュニティ ストリングの再設定が必要になります。
SNMP エージェントのディセーブル化
SNMP エージェントをディセーブルにするには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
no snmp-server グローバル コンフィギュレーション コマンドは、デバイスで実行するすべてのバージョン(バージョン 1、バージョン 2C、およびバージョン 3)をディセーブルにします。SNMP をイネーブルにするための特別な IOS コマンドはありません。最初に snmp-server グローバル コンフィギュレーション コマンドを入力すると、SNMP の全バージョンがイネーブルになります。
コミュニティ ストリングの設定
SNMP マネージャとエージェントの関係を定義するには、SNMP コミュニティ ストリングを使用します。コミュニティ ストリングは、スイッチのエージェントへのアクセスを許可するパスワードのように機能します。オプションとして、コミュニティ ストリングに関連付けられた次の特性のうち 1 つまたは複数を指定できます。
• エージェントへのアクセスを取得するためにコミュニティ ストリングを使用することを許可された SNMP マネージャの IP アドレスのアクセス リスト
• MIB ビュー。指定したコミュニティがアクセス可能なすべての MIB オブジェクトのサブセットを定義します。
• コミュニティがアクセス可能な MIB オブジェクトの読み取りおよび書き込み、または読み取りアクセス権
スイッチにコミュニティ ストリング設定するには、次の作業を行います。
(注) SNMP コミュニティへのアクセスをディセーブルにするには、そのコミュニティのコミュニティ ストリングをヌル ストリングに設定します(コミュニティ ストリングに値を入力しません)。
(注) snmp-server enable informs コマンドはサポートされません。SNMP 応答要求型通知の送信をイネーブルにするには、snmp-server enable trapsコマンドをsnmp-server host host-addr informs コマンドとともに使用します。
次に、SNMP に文字列 comaccess を割り当てて読み取りアクセス権を設定し、IP アクセス リスト 4 でコミュニティ ストリングを使用してスイッチ SNMP エージェントへのアクセスを取得する例を示します。
SNMP グループおよびユーザの設定
スイッチのローカルまたはリモート SNMP サーバ エンジンに ID 名(エンジン ID)を指定できます。SNMP ユーザを SNMP ビューにマッピングする SNMP サーバ グループを設定し、SNMP グループに新しいユーザを追加することができます。
スイッチに SNMP を設定するには、次の作業を実行します。
SNMP 通知の設定
トラップ マネージャは、トラップを受信して処理する管理ステーションです。トラップはシステムの警報で、特定のイベントが発生した場合にスイッチが生成します。デフォルトでは、トラップ マネージャは定義されておらず、トラップは送信されません。IOS Cisco IOS Release 12.2(31)SG を実行するスイッチで使用できるトラップ マネージャの数には制限がありません。
(注) コマンド構文で traps という単語を使用するコマンドは多数あります。トラップとインフォームのどちらかを選択するオプションがコマンドにないかぎり、traps キーワードは、トラップとインフォームのどちらか一方または両方を意味します。SNMP 通知をトラップまたはインフォームとして送信するには、snmp-server host コマンドを使用します。
表47-4 に、サポートされるスイッチ トラップを示します(通知の種類)。これらのトラップの一部または全部をイネーブルにし、受信するためのトラップ マネージャを設定できます。
特定のホストに snmp-server host グローバル コンフィギュレーション コマンドを使用して、 表47-4 に示した通知の種類を受信することができます。
ホストにトラップまたはインフォームを送信するようにスイッチを設定するには、次の作業を実行します。
|
|
|
|
|---|---|---|
|
|
||
|
|
SNMP ユーザを設定し、ステップ 2 で作成したリモート ホストに関連付けます。
(注) リモート ユーザのアドレスを設定するには、最初にリモート ホストにエンジン ID を設定する必要があります。リモート エンジン ID を設定する前にユーザを設定しようとするとエラー メッセージが表示され、コマンドは実行されません。 |
|
|
[ version { 1 | 2c | 3 [ auth | noauth | priv ]}] community-string [ udp-port port ] [ notification-type ] |
• • • • •
(注) priv キーワードは、暗号イメージがインストールされている場合にのみ指定できます。 • • • |
|
|
|
スイッチでのトラップまたはインフォームの送信をイネーブルにし、送信する通知の種類を指定します。通知の種類については表47-4を参照するか、次のように入力します。 snmp-server enable traps ? 複数の種類のトラップをイネーブルにするには、トラップの種類ごとに snmp-server enable traps コマンドを個別に入力する必要があります。 |
|
|
|
(任意)発信元インターフェイスを指定します。このインターフェイスによってトラップ メッセージの IP アドレスが提供されます。このコマンドはインフォームの発信元 IP アドレスも設定します。 |
|
|
|
(任意)各トラップ ホストのメッセージ キューの長さを指定します。指定できる範囲は 1 ~ 1000 です。デフォルトは 10 です。 |
|
|
|
(任意)トラップ メッセージを再送信する頻度を指定します。指定できる範囲は 1 ~ 1000 です。デフォルトは 30 秒です。 |
|
|
|
||
|
|
||
|
|
snmp-server host コマンドは、通知を受信するホストを指定します。 snmp-server enable trap コマンドは、指定した通知(トラップおよびインフォーム)のメカニズムをグローバルにイネーブルにします。ホストにインフォームを受信させるには、ホストに snmp-server host informs コマンドを設定し、 snmp-server enable traps コマンドを使用してインフォームをグローバルにイネーブルにする必要があります。
受信トラップから指定したホストを削除するには、 no snmp-server host host グローバル コンフィギュレーション コマンドを使用します。 no snmp-server host コマンドにキーワードを使用しなかった場合、トラップはディセーブルになりますがインフォームはディセーブルになりません。インフォームをディセーブルにするには、 no snmp-server host informs グローバル コンフィギュレーション コマンドを使用します。特定の種類のトラップをディセーブルにするには、 no snmp-server enable traps notification-types グローバル コンフィギュレーション コマンドを使用します。
エージェントの連絡先および設置場所の設定
システムの連絡先および SNMP エージェントの設置場所を設定してコンフィギュレーション ファイルを通じてアクセスできるようにするには、次の作業を実行します。
SNMP で使用する TFTP サーバの限定
SNMP を介したコンフィギュレーション ファイルの保存とロードに使用する TFTP サーバを、アクセス リストで指定したサーバに限定するには、次の作業を実行します。
SNMP の例
次に、SNMP の全バージョンをイネーブルにする例を示します。コミュニティ ストリング public を使用して、SNMP マネージャからすべてのオブジェクトへの読み取りアクセスを許可します。この設定によりスイッチがトラップを送信することはありません。
次に、コミュニティ ストリング public を使用して、SNMP マネージャからすべてのオブジェクトへの読み取りアクセスを許可する例を示します。スイッチはまた、SNMPv1 を使用した場合はホスト 192.180.1.111 および 192.180.1.33 に、SNMPv2C を使用した場合はホスト 192.180.1.27 に、VTP トラップを送信します。コミュニティ ストリング public はトラップとともに送信されます。
次に、 comaccess コミュニティ ストリングを使用するアクセス リスト 4 のメンバに対してすべてのオブジェクトへの読み取りアクセスを許可する例を示します。他の SNMP マネージャはどのオブジェクトにもアクセスできません。SNMP Authentication Failure トラップは、コミュニティ ストリング public を使用して SNMPv2C によってホスト cisco.com に送信されます。
次に、Entity MIB トラップをホスト cisco.com に送信する例を示します。コミュニティ ストリングは restricted です。最初の行では、それまでにイネーブルになったトラップのほかに Entity MIB トラップをスイッチで送信できるようにします。2 番めの行ではこれらのトラップの宛先が指定され、ホスト cisco.com についての以前の snmp-server host コマンドを上書きします。
次に、コミュニティ ストリング public を使用して、スイッチですべてのトラップをホスト myhost.cisco.com に送信できるようにする例を示します。
次に、ユーザをリモート ホストに関連付け、ユーザがグローバル コンフィギュレーション モードを開始したとき auth (authNoPriv)認証レベルのインフォームを送信する例を示します。
SNMP ステータスの表示
SNMP の出入力統計情報を、不正なコミュニティ ストリング エントリの数、エラー、および要求された変数を含めて表示するには、 show snmp 特権 EXEC コマンドを使用します。 表47-5 の他の特権 EXEC コマンドを使用して SNMP 情報を表示することもできます。出力のフィールドについては、『 Cisco IOS Configuration Fundamentals Command Reference 』Release 12.4 を参照してください。
|
|
|
|---|---|
(注) snmp-server enable informs コマンドはサポートされません。SNMP 応答要求型通知の送信をイネーブルにするには、snmp-server enable trapsコマンドをsnmp-server host host-addr informs コマンドとともに使用します。
フィードバック