SNMP の概要
SNMP は、ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション層プロトコルで、TCP/IP プロトコル スイートの一部です。ASAは SNMP バージョン 1、2c、および 3 を使用したネットワーク監視に対するサポートを提供し、3 つのバージョンの同時使用をサポートします。ASA のインターフェイス上で動作する SNMP エージェントを使用すると、HP OpenView などのネットワーク管理システム(NMS)を使用してネットワーク デバイスをモニターできます。ASAは GET 要求の発行を通じて SNMP 読み取り専用アクセスをサポートします。SNMP 書き込みアクセスは許可されていないため、SNMP を使用して変更することはできません。さらに、SNMP SET 要求はサポートされていません。
NMS(ネットワーク管理システム)に特定のイベント(イベント通知)を送信するために、管理対象デバイスから管理ステーションへの要求外のメッセージであるトラップを送信するように ASA を設定したり、NMS を使用してセキュリティ デバイス上で管理情報ベース(MIB)を検索できます。MIB は定義の集合であり、ASAは各定義に対応する値のデータベースを保持しています。MIB をブラウズすることは、NMS から MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して値を決定することを意味します。
ASA には SNMP エージェントが含まれています。このエージェントは、通知を必要とすることが事前に定義されているイベント(たとえば、ネットワーク内のリンクがアップ状態またはダウン状態になる)が発生すると、指定した管理ステーションに通知します。このエージェントが送信する通知には、管理ステーションに対して自身を識別する SNMP OID が含まれています。ASA エージェントは、管理ステーションが情報を要求した場合にも応答します。
SNMP の用語
次の表に、SNMP で頻繁に使用される用語を示します。
用語 |
説明 |
---|---|
エージェント |
ASAで稼働する SNMP サーバー。SNMP エージェントは、次の機能を搭載しています。
|
ブラウジング |
デバイス上の SNMP エージェントから必要な情報をポーリングすることによって、ネットワーク管理ステーションからデバイスのヘルスをモニターすること。このアクティビティには、ネットワーク管理ステーションから MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して、値を決定することが含まれる場合があります。 |
管理情報ベース(MIB) |
パケット、接続、バッファ、フェールオーバーなどに関する情報を収集するための標準化されたデータ構造。MIB は、大部分のネットワーク デバイスで使用される製品、プロトコル、およびハードウェア標準によって定義されます。SNMP ネットワーク管理ステーションは、MIB をブラウズし、特定のデータまたはイベントの発生時にこれらを要求できます。 |
ネットワーク管理ステーション(NMS) |
SNMP イベントのモニターやASAなどのデバイスの管理用に設定されている、PC またはワークステーション。 |
オブジェクト ID(OID) |
NMS に対してデバイスを識別し、モニターおよび表示される情報の源をユーザーに示すシステム。 |
Trap |
SNMP エージェントから NMS へのメッセージを生成する、事前定義済みのイベント。イベントには、リンクアップ、リンクダウン、コールドスタート、ウォームスタート、認証、syslog メッセージなどのアラーム状態が含まれます。 |
MIB およびトラップ
MIB は、標準またはエンタープライズ固有です。標準 MIB はインターネット技術特別調査委員会(IETF)によって作成され、さまざまな Request for Comment(RFC)に記載されています。トラップは、ネットワーク デバイスで発生する重要なイベント(多くの場合、エラーまたは障害)を報告します。SNMP トラップは、標準またはエンタープライズ固有の MIB のいずれかで定義されます。標準トラップは IETF によって作成され、さまざまな RFC に記載されています。SNMP トラップは、ASA ソフトウェアにコンパイルされています。
必要に応じて、次の場所から RFC、標準 MIB、および標準トラップをダウンロードすることもできます。
次の場所から Cisco MIB、トラップ、および OID の完全なリストを参照してください。
https://github.com/cisco/cisco-mibs/blob/main/supportlists/asa/asa-supportlist.html
また、Cisco OID を次の場所から FTP でダウンロードしてください。
https://github.com/cisco/cisco-mibs/tree/main/oid
(注) |
ソフトウェア バージョン 7.2(1)、8.0(2) 以降では、SNMP を介してアクセスされるインターフェイス情報は 5 秒ごとにリフレッシュされます。そのため、連続するポーリングの間に少なくとも 5 秒間は待機することをお勧めします。 |
MIB のすべての OID がサポートされているわけではありません。特定の ASA に対してサポートされている SNMP MIB および OID のリストを取得するには、次のコマンドを入力します。
ciscoasa(config)# show snmp-server oidlist
(注) |
oidlist キーワードは show snmp-server コマンドのヘルプのオプション リストには表示されませんが、使用できます。ただし、このコマンドは Cisco TAC でのみ使用されます。このコマンドを使用する前に TAC にお問い合わせください。 |
次に、show snmp-server oidlist コマンドの出力例を示します。
ciscoasa(config)# show snmp-server oidlist
[0] 1.3.6.1.2.1.1.1. sysDescr
[1] 1.3.6.1.2.1.1.2. sysObjectID
[2] 1.3.6.1.2.1.1.3. sysUpTime
[3] 1.3.6.1.2.1.1.4. sysContact
[4] 1.3.6.1.2.1.1.5. sysName
[5] 1.3.6.1.2.1.1.6. sysLocation
[6] 1.3.6.1.2.1.1.7. sysServices
[7] 1.3.6.1.2.1.2.1. ifNumber
[8] 1.3.6.1.2.1.2.2.1.1. ifIndex
[9] 1.3.6.1.2.1.2.2.1.2. ifDescr
[10] 1.3.6.1.2.1.2.2.1.3. ifType
[11] 1.3.6.1.2.1.2.2.1.4. ifMtu
[12] 1.3.6.1.2.1.2.2.1.5. ifSpeed
[13] 1.3.6.1.2.1.2.2.1.6. ifPhysAddress
[14] 1.3.6.1.2.1.2.2.1.7. ifAdminStatus
[15] 1.3.6.1.2.1.2.2.1.8. ifOperStatus
[16] 1.3.6.1.2.1.2.2.1.9. ifLastChange
[17] 1.3.6.1.2.1.2.2.1.10. ifInOctets
[18] 1.3.6.1.2.1.2.2.1.11. ifInUcastPkts
[19] 1.3.6.1.2.1.2.2.1.12. ifInNUcastPkts
[20] 1.3.6.1.2.1.2.2.1.13. ifInDiscards
[21] 1.3.6.1.2.1.2.2.1.14. ifInErrors
[22] 1.3.6.1.2.1.2.2.1.16. ifOutOctets
[23] 1.3.6.1.2.1.2.2.1.17. ifOutUcastPkts
[24] 1.3.6.1.2.1.2.2.1.18. ifOutNUcastPkts
[25] 1.3.6.1.2.1.2.2.1.19. ifOutDiscards
[26] 1.3.6.1.2.1.2.2.1.20. ifOutErrors
[27] 1.3.6.1.2.1.2.2.1.21. ifOutQLen
[28] 1.3.6.1.2.1.2.2.1.22. ifSpecific
[29] 1.3.6.1.2.1.4.1. ipForwarding
[30] 1.3.6.1.2.1.4.20.1.1. ipAdEntAddr
[31] 1.3.6.1.2.1.4.20.1.2. ipAdEntIfIndex
[32] 1.3.6.1.2.1.4.20.1.3. ipAdEntNetMask
[33] 1.3.6.1.2.1.4.20.1.4. ipAdEntBcastAddr
[34] 1.3.6.1.2.1.4.20.1.5. ipAdEntReasmMaxSize
[35] 1.3.6.1.2.1.11.1. snmpInPkts
[36] 1.3.6.1.2.1.11.2. snmpOutPkts
[37] 1.3.6.1.2.1.11.3. snmpInBadVersions
[38] 1.3.6.1.2.1.11.4. snmpInBadCommunityNames
[39] 1.3.6.1.2.1.11.5. snmpInBadCommunityUses
[40] 1.3.6.1.2.1.11.6. snmpInASNParseErrs
[41] 1.3.6.1.2.1.11.8. snmpInTooBigs
[42] 1.3.6.1.2.1.11.9. snmpInNoSuchNames
[43] 1.3.6.1.2.1.11.10. snmpInBadValues
[44] 1.3.6.1.2.1.11.11. snmpInReadOnlys
[45] 1.3.6.1.2.1.11.12. snmpInGenErrs
[46] 1.3.6.1.2.1.11.13. snmpInTotalReqVars
[47] 1.3.6.1.2.1.11.14. snmpInTotalSetVars
[48] 1.3.6.1.2.1.11.15. snmpInGetRequests
[49] 1.3.6.1.2.1.11.16. snmpInGetNexts
[50] 1.3.6.1.2.1.11.17. snmpInSetRequests
[51] 1.3.6.1.2.1.11.18. snmpInGetResponses
[52] 1.3.6.1.2.1.11.19. snmpInTraps
[53] 1.3.6.1.2.1.11.20. snmpOutTooBigs
[54] 1.3.6.1.2.1.11.21. snmpOutNoSuchNames
[55] 1.3.6.1.2.1.11.22. snmpOutBadValues
[56] 1.3.6.1.2.1.11.24. snmpOutGenErrs
[57] 1.3.6.1.2.1.11.25. snmpOutGetRequests
[58] 1.3.6.1.2.1.11.26. snmpOutGetNexts
[59] 1.3.6.1.2.1.11.27. snmpOutSetRequests
[60] 1.3.6.1.2.1.11.28. snmpOutGetResponses
[61] 1.3.6.1.2.1.11.29. snmpOutTraps
[62] 1.3.6.1.2.1.11.30. snmpEnableAuthenTraps
[63] 1.3.6.1.2.1.11.31. snmpSilentDrops
[64] 1.3.6.1.2.1.11.32. snmpProxyDrops
[65] 1.3.6.1.2.1.31.1.1.1.1. ifName
[66] 1.3.6.1.2.1.31.1.1.1.2. ifInMulticastPkts
[67] 1.3.6.1.2.1.31.1.1.1.3. ifInBroadcastPkts
[68] 1.3.6.1.2.1.31.1.1.1.4. ifOutMulticastPkts
[69] 1.3.6.1.2.1.31.1.1.1.5. ifOutBroadcastPkts
[70] 1.3.6.1.2.1.31.1.1.1.6. ifHCInOctets
--More--
SNMP オブジェクト識別子
シスコのシステムレベルの各製品には、MIB-II の sysObjectID として使用される SNMP オブジェクト ID(OID)があります。CISCO-PRODUCTS-MIB と CISCO-ENTITY-VENDORTYPE-OID-MIB は、SNMPv2-MIB、Entity Sensor MIB および Entity Sensor Threshold Ext MIB の sysObjectID オブジェクト内で報告できる OID が含まれています。モデル タイプを識別するためにこの値を使用できます。次の表に、ASA および ISA モデルの sysObjectID OID を示します。
製品 ID |
sysObjectID |
モデル番号 |
---|---|---|
ASA 仮想 |
ciscoASAv(ciscoProducts 1902) |
Cisco 適応型セキュリティ仮想アプライアンス(ASA 仮想) |
ASA 仮想 システム コンテキスト |
ciscoASAvsy(ciscoProducts 1903) |
Cisco 適応型セキュリティ仮想アプライアンス(ASA 仮想)のシステム コンテキスト |
ASA 仮想 セキュリティ コンテキスト |
ciscoASAvsc(ciscoProducts 1904) |
Cisco 適応型セキュリティ仮想アプライアンス(ASA 仮想)のセキュリティ コンテキスト |
ISA 30004C 産業用セキュリティ アプライアンス |
ciscoProducts 2268 |
ciscoISA30004C |
CISCO ISA30004C(4 GE Copper セキュリティ コンテキスト) |
ciscoProducts 2139 |
ciscoISA30004Csc |
CISCO ISA30004C(4 GE Copper システム コンテキスト) |
ciscoProducts 2140 |
ciscoISA30004Csy |
ISA 30002C2F 産業用セキュリティ アプライアンス |
ciscoProducts 2267 |
ciscoISA30002C2F |
CISCO ISA30002C2F(2 GE 銅線ポート、2 GE 光ファイバ セキュリティ コンテキスト) |
ciscoProducts 2142 |
ciscoISA30002C2Fsc |
CISCO ISA30002C2F(2 GE 銅線ポート、2 GE 光ファイバ システム コンテキスト) |
ciscoProducts 2143 |
ciscoISA30002C2Fsy |
Cisco 産業用セキュリティ アプライアンス(ISA)30004C シャーシ |
cevChassis 1677 |
cevChassisISA30004C |
Cisco 産業用セキュリティ アプライアンス(ISA)30002C2F シャーシ |
cevChassis 1678 |
cevChassisISA30002C2F |
ISA30004C Copper SKU 向け中央演算処理装置温度センサー |
cevSensor 187 |
cevSensorISA30004CCpuTempSensor |
ISA30002C2F 光ファイバ向け中央演算処理装置温度センサー |
cevSensor 189 |
cevSensorISA30002C2FCpuTempSensor |
ISA30004C Copper SKU 向けプロセッサ カード温度センサー |
cevSensor 192 |
cevSensorISA30004CPTS |
ISA30002C2F Fiber SKU 向けプロセッサ カード温度センサー |
cevSensor 193 |
cevSensorISA30002C2FPTS |
ISA30004C Copper SKU 向けパワー カード温度センサー |
cevSensor 197 |
cevSensorISA30004CPowercardTS |
ISA30002C2F Fiber SKU 向けパワー カード温度センサー |
cevSensor 198 |
cevSensorISA30002C2FPowercardTS |
ISA30004C 向けポート カード温度センサー |
cevSensor 199 |
cevSensorISA30004CPortcardTS |
ISA30002C2F 向けポート カード温度センサー |
cevSensor 200 |
cevSensorISA30002C2FPortcardTS |
ISA30004C Copper SKU 向け中央演算処理装置 |
cevModuleCpuType 329 |
cevCpuISA30004C |
ISA30002C2F 光ファイバ SKU 向け中央演算処理装置 |
cevModuleCpuType 330 |
cevCpuISA30002C2F |
モジュール ISA30004C、ISA30002C2F |
cevModule 111 |
cevModuleISA3000Type |
30004C 産業用セキュリティ アプライアンス ソリッド ステート ドライブ |
cevModuleISA3000Type 1 |
cevModuleISA30004CSSD64 |
30002C2F 産業用セキュリティ アプライアンス ソリッド ステート ドライブ |
cevModuleISA3000Type 2 |
cevModuleISA30002C2FSSD64 |
Cisco ISA30004C/ISA30002C2F ハードウェア バイパス |
cevModuleISA3000Type 5 |
cevModuleISA3000HardwareBypass |
FirePOWER 4140 セキュリティ アプライアンス、1U(組み込みセキュリティ モジュール 36) |
ciscoFpr4140K9(ciscoProducts 2293) |
FirePOWER 4140 |
FirePOWER 4120 セキュリティ アプライアンス、1U(組み込みセキュリティ モジュール 24) |
ciscoFpr4120K9(ciscoProducts 2294) |
FirePOWER 4120 |
FirePOWER 4110 セキュリティ アプライアンス、1U(組み込みセキュリティ モジュール 12) |
ciscoFpr4110K9(ciscoProducts 2295) |
FirePOWER 4110 |
FirePOWER 4110 セキュリティ モジュール 12 |
ciscoFpr4110SM12(ciscoProducts 2313) |
FirePOWER 4110 セキュリティ モジュール 12 |
FirePOWER 4120 セキュリティ モジュール 24 |
ciscoFpr4120SM24(ciscoProducts 2314) |
FirePOWER 4110 セキュリティ モジュール 24 |
FirePOWER 4140 セキュリティ モジュール 36 |
ciscoFpr4140SM36(ciscoProducts 2315) |
FirePOWER 4110 セキュリティ モジュール 36 |
FirePOWER 4110 シャーシ |
cevChassis 1714 |
cevChassisFPR4110 |
FirePOWER 4120 シャーシ |
cevChassis 1715 |
cevChassisFPR4120 |
FirePOWER 4140 シャーシ |
cevChassis 1716 |
cevChassisFPR4140 |
FirePOWER 4K ファン ベイ |
cevContainer 363 |
cevContainerFPR4KFanBay |
FirePOWER 4K 電源ベイ |
cevContainer 364 |
cevContainerFPR4KPowerSupplyBay |
FirePOWER 4120 スーパーバイザ モジュール |
cevModuleFPRType 4 |
cevFPR4120SUPFixedModule |
FirePOWER 4140 スーパーバイザ モジュール |
cevModuleFPRType 5 |
cevFPR4140SUPFixedModule |
FirePOWER 4110 スーパーバイザ モジュール |
cevModuleFPRType 7 |
cevFPR4110SUPFixedModule |
Cisco FirePOWER 4110 セキュリティ アプライアンス、Threat Defense |
cevChassis 1787 |
cevChassisCiscoFpr4110td |
Cisco FirePOWER 4120 セキュリティ アプライアンス、Threat Defense |
cevChassis 1788 |
cevChassisCiscoFpr4120td |
Cisco FirePOWER 4140 セキュリティ アプライアンス、Threat Defense |
cevChassis 1789 |
cevChassisCiscoFpr4140td |
Cisco Firepower 9000 セキュリティ モジュール 24、Threat Defense |
cevChassis 1791 |
cevChassisCiscoFpr9000SM24td |
Cisco Firepower 9000 セキュリティ モジュール 24 NEBS、Threat Defense |
cevChassis 1792 |
cevChassisCiscoFpr9000SM24Ntd |
Cisco Firepower 9000 セキュリティ モジュール 36、Threat Defense |
cevChassis 1793 |
cevChassisCiscoFpr9000SM36td |
Cisco Secure Firewall Threat Defense Virtual、VMware |
cevChassis 1795 |
cevChassisCiscoFTDVVMW |
Cisco Threat Defense Virtual、AWS |
cevChassis 1796 |
cevChassisCiscoFTDVAWS |
物理ベンダー タイプ値
シスコの各シャーシまたはスタンドアロン システムには、SNMP で使用する一意のタイプ番号があります。entPhysicalVendorType OID は CISCO-ENTITY-VENDORTYPE-OID-MIB で定義されます。この値は、ASA、ASA 仮想、または ASASM の SNMP エージェントから entPhysicalVendorType オブジェクトで返されます。この値を使用してコンポーネントのタイプ(モジュール、電源装置、ファン、センサー、CPU など)を識別できます。次の表に、ASA モデルの物理ベンダータイプ値を示します。
項目 |
entPhysicalVendorType OID の説明 |
---|---|
ギガビット イーサネット ポート |
cevPortGe(cevPort 109) |
Cisco 適応型セキュリティ仮想アプライアンス |
cevChassisASAv(cevChassis 1451) |
MIB でサポートされるテーブルおよびオブジェクト
次の表 に、指定された MIB でサポートされるテーブルおよびオブジェクトを示します。
マルチコンテキストモードでは、これらのテーブルとオブジェクトは単一のコンテキストに関する情報を提供します。コンテキスト全体のデータが必要な場合は、それらを合計する必要があります。たとえば、全体的なメモリ使用量を取得するには、各コンテキストの cempMemPoolHCUsed 値を合計します。
MIB 名と OID |
サポートされているテーブルとオブジェクト |
||
---|---|---|---|
CISCO-ENHANCED-MEMPOOL-MIB、OID:1.3.6.1.4.1.9.9.221 |
cempMemPoolTable、cempMemPoolIndex、cempMemPoolType、cempMemPoolName、cempMemPoolAlternate、cempMemPoolValid 32 ビットメモリシステムの場合は、32 ビットメモリカウンタを使用してポーリング:cempMemPoolUsed、cempMemPoolFree、cempMemPoolUsedOvrflw、cempMemPoolFreeOvrflw、cempMemPoolLargestFree、cempMemPoolLowestFree、cempMemPoolUsedLowWaterMark、cempMemPoolAllocHit、cempMemPoolAllocMiss、cempMemPoolFreeHit、cempMemPoolFreeMiss、cempMemPoolLargestFreeOvrflw、cempMemPoolLowestFreeOvrflw、cempMemPoolUsedLowWaterMarkOvrflw、cempMemPoolSharedOvrflw 64 ビットメモリシステムの場合は、64 ビットメモリカウンタを使用してポーリング:cempMemPoolHCUsed、cempMemPoolHCFree、cempMemPoolHCLargestFree、cempMemPoolHCLowestFree、cempMemPoolHCUsedLowWaterMark、cempMemPoolHCShared |
||
CISCO-REMOTE-ACCESS-MONITOR-MIB、OID:1.3.6.1.4.1.9.9.392
|
crasNumTotalFailures、crasNumSetupFailInsufResources、crasNumAbortedSessions |
||
CISCO-ENTITY-SENSOR-EXT-MIB、OID:1.3.6.1.4.1.9.9.745 |
ceSensorExtThresholdTable |
||
CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB、OID:1.3.6.1.4.1.9.9.480 |
ciscoL4L7ResourceLimitTable |
||
CISCO-TRUSTSEC-SXP-MIB、OID:1.3.6.1.4.1.9.9.720
|
ctsxSxpGlobalObjects、ctsxSxpConnectionObjects、ctsxSxpSgtObjects |
||
DISMAN-EVENT-MIB、OID:1.3.6.1.2.1.88 |
mteTriggerTable、mteTriggerThresholdTable、mteObjectsTable、mteEventTable、mteEventNotificationTable |
||
DISMAN-EXPRESSION-MIB、OID:1.3.6.1.2.1.90 |
expExpressionTable、expObjectTable、expValueTable |
||
ENTITY-SENSOR-MIB、OID: 1.3.6.1.2.1.99
|
entPhySensorTable |
||
NAT-MIB、OID:1.3.6.1.2.1.123 |
natAddrMapTable、natAddrMapIndex、natAddrMapName、natAddrMapGlobalAddrType、natAddrMapGlobalAddrFrom、natAddrMapGlobalAddrTo、natAddrMapGlobalPortFrom、natAddrMapGlobalPortTo、natAddrMapProtocol、natAddrMapAddrUsed、natAddrMapRowStatus |
||
CISCO-PTP-MIB、OID:1.3.6.1.4.1.9.9.760
|
ciscoPtpMIBSystemInfo、cPtpClockDefaultDSTable、cPtpClockTransDefaultDSTable、cPtpClockPortTransDSTable |
サポートされるトラップ(通知)
次の表 に、サポートされているトラップ(通知)および関連する MIB を示します。
トラップおよび MIB 名 |
変数バインド リスト |
説明 |
||
---|---|---|---|---|
authenticationFailure (SNMPv2-MIB) |
— |
SNMP バージョン 1 または 2 の場合は、SNMP 要求で指定されたコミュニティ ストリングが正しくありません。SNMP バージョン 3 では、auth または priv パスワードまたはユーザ名が間違っている場合、レポート PDU がトラップの代わりに生成されます。 snmp-server enable traps snmp authentication コマンドは、これらのトラップの伝送をイネーブルおよびディセーブルにするために使用されます。 |
||
bgpBackwardTransition |
bgpPeerLastError、bgpPeerState |
snmp-server enable traps peer-flap コマンドは、BGP ピアフラップに関連するトラップの送信をイネーブルにするために使用されます。 |
||
ccmCLIRunningConfigChanged (CISCO-CONFIG-MAN-MIB) |
ccmHistoryRunningLastChanged、ccmHistoryEventTerminalType |
snmp-server enable traps config コマンドは、このトラップの送信をイネーブルにするために使用されます。 |
||
cefcFRUInserted (CISCO-ENTITY-FRU-CONTROL -MIB) |
entPhysicalContainedIn |
snmp-server enable traps entity fru-insert コマンドはこの通知をイネーブルにするために使用されます。 |
||
cefcFRURemoved (CISCO-ENTITY-FRU-CONTROL -MIB) |
entPhysicalContainedIn |
snmp-server enable traps entity fru-remove コマンドはこの通知をイネーブルにするために使用されます。 |
||
ceSensorExtThresholdNotification (CISCO-ENTITY-SENSOR-EXT -MIB) |
entPhysicalName、entPhysicalDescr、entPhySensorValue、entPhySensorType、ceSensorExtThresholdValue |
snmp-server enable traps entity [power-supply-failure | fan-failure | cpu-temperature] コマンドは、エンティティしきい値通知の伝送をイネーブルにするために使用されます。この通知は、電源障害に対して送信されます。送信されるオブジェクトは、ファンおよび CPU の温度を指定します。 snmp-server enable traps entity fan-failure コマンドは、ファン障害トラップの送信をイネーブルにするために使用されます。このトラップは、Firepower 2100 シリーズには適用されません。 snmp-server enable traps entity power-supply-failure コマンドは、電源障害トラップの送信をイネーブルにするために使用されます。このトラップは、Firepower 2100 シリーズには適用されません。 snmp-server enable traps entity chassis-fan-failure コマンドは、シャーシ ファン障害トラップの送信をイネーブルにするために使用されます。 snmp-server enable traps entity cpu-temperature コマンドは、高 CPU 温度トラップの送信をイネーブルにするために使用されます。このトラップは、Firepower 2100 シリーズには適用されません。 snmp-server enable traps entity power-supply-presence コマンドは、電源プレゼンス障害トラップの送信をイネーブルにするために使用されます。 snmp-server enable traps entity power-supply-temperature コマンドは、電源温度しきい値トラップの送信をイネーブルにするために使用されます。 snmp-server enable traps entity chassis-temperature コマンドは、シャーシ周囲温度トラップの送信をイネーブルにするために使用されます。このトラップは、Firepower 2100 シリーズには適用されません。 snmp-server enable traps entity accelerator-temperature コマンドは、シャーシ アクセラレータ温度トラップの送信をイネーブルにするために使用されます。 |
||
cikeTunnelStart (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cikePeerLocalAddr、cikePeerRemoteAddr、cikeTunLifeTime |
snmp-server enable traps ikev2 start コマンドは、ikev2 start トラップの送信をイネーブルにするために使用されます。 |
||
cikeTunnelStop (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cikePeerLocalAddr、cikePeerRemoteAddr、cikeTunActiveTime |
snmp-server enable traps ikev2 stop コマンドは、ikev2 stop トラップの送信をイネーブルにするために使用されます。 |
||
cipSecTunnelStart (CISCO-IPSEC-FLOW-MONITOR -MIB) |
cipSecTunLifeTime、cipSecTunLifeSize |
snmp-server enable traps ipsec start コマンドは、このトラップの送信をイネーブルにするために使用されます。 |
||
cipSecTunnelStop (CISCO-IPSEC-FLOW-MONITOR -MIB) |
cipSecTunActiveTime |
snmp-server enable traps ipsec stop コマンドは、このトラップの送信をイネーブルにするために使用されます。 |
||
ciscoConfigManEvent (CISCO-CONFIG-MAN-MIB) |
ccmHistoryEventCommandSource、ccmHistoryEventConfigSource、ccmHistoryEventConfigDestination |
snmp-server enable traps config コマンドは、このトラップの送信をイネーブルにするために使用されます。 |
||
ciscoRasTooManySessions (CISCO-REMOTE-ACCESS -MONITOR-MIB) |
crasNumSessions、crasNumUsers、crasMaxSessionsSupportable、crasMaxUsersSupportable、crasThrMaxSessions |
snmp-server enable traps remote-access session-threshold-exceeded コマンドは、これらのトラップの送信をイネーブルにするために使用されます。 |
||
ciscoUFwFailoverStateChanged (CISCO-UNIFIED-FIREWALL-MIB) |
gid、FOStatus |
snmp-server enable traps failover-state コマンドは、failover-state トラップの送信をイネーブルにするために使用されます。 |
||
clogMessageGenerated (CISCO-SYSLOG-MIB) |
clogHistFacility、clogHistSeverity、clogHistMsgName、clogHistMsgText、clogHistTimestamp |
syslog メッセージが生成されます。 clogMaxSeverity オブジェクトの値は、トラップとして送信する syslog メッセージを決定するために使用されます。 snmp-server enable traps syslog コマンドは、これらのトラップの伝送をイネーブルおよびディセーブルにするために使用されます。 |
||
clrResourceLimitReached (CISCO-L4L7MODULE-RESOURCE -LIMIT-MIB) |
crlResourceLimitValueType、crlResourceLimitMax、clogOriginIDType、clogOriginID |
snmp-server enable traps connection-limit-reached コマンドは、この connection-limit-reached 通知の伝送を有効にするために使用されます。clogOriginID オブジェクトには、トラップを発信したコンテキスト名が含まれています。 |
||
coldStart (SNMPv2-MIB) |
— |
SNMP エージェントが起動されました。 snmp-server enable traps snmp coldstart コマンドは、これらのトラップの伝送をイネーブルおよびディセーブルにするために使用されます。 |
||
cpmCPURisingThreshold (CISCO-PROCESS-MIB) |
cpmCPURisingThresholdValue、cpmCPUTotalMonIntervalValue、cpmCPUInterruptMonIntervalValue、cpmCPURisingThresholdPeriod、cpmProcessTimeCreated、cpmProcExtUtil5SecRev |
snmp-server enable traps cpu threshold rising コマンドは、CPU threshold rising 通知の伝送を有効にするために使用されます。cpmCPURisingThresholdPeriod オブジェクトは、他のオブジェクトとともに送信されます。 |
||
cufwClusterStateChanged (CISCO-UNIFIED-FIREWALL-MIB) |
status |
snmp-server enable traps cluster-state コマンドは、cluster-state トラップの送信をイネーブルにするために使用されます。 |
||
entConfigChange (ENTITY-MIB) |
— |
snmp-server enable traps entity config-change fru-insert fru-remove コマンドは、この通知をイネーブルにするために使用されます。
|
||
linkDown (IF-MIB) |
ifIndex、ifAdminStatus、ifOperStatus |
インターフェイスのリンクダウン トラップ。 snmp-server enable traps snmp linkdown コマンドは、これらのトラップの伝送をイネーブルおよびディセーブルにするために使用されます。 |
||
linkUp (IF-MIB) |
ifIndex、ifAdminStatus、ifOperStatus |
インターフェイスのリンクアップ トラップ。 snmp-server enable traps snmp linkup コマンドは、これらのトラップの伝送をイネーブルおよびディセーブルにするために使用されます。 |
||
mteTriggerFired (DISMAN-EVENT-MIB) |
mteHotTrigger、mteHotTargetName、mteHotContextName、mteHotOID、mteHotValue、cempMemPoolName、cempMemPoolHCUsed |
snmp-server enable traps memory-threshold コマンドは、memory threshold 通知を有効にするために使用されてます。mteHotOID が cempMemPoolHCUsed に設定されます。cempMemPoolName および cempMemPoolHCUsed オブジェクトは、他のオブジェクトとともに送信されます。 |
||
mteTriggerFired (DISMAN-EVENT-MIB) |
mteHotTrigger、mteHotTargetName、mteHotContextName、mteHotOID、mteHotValue、ifHCInOctets、ifHCOutOctets、ifHighSpeed、entPhysicalName |
snmp-server enable traps interface-threshold コマンドは、interface threshold 通知を有効にするために使用されます。entPhysicalName オブジェクトは、他のオブジェクトと共に送信されます。 |
||
natPacketDiscard (NAT-MIB) |
ifIndex |
snmp-server enable traps nat packet-discard コマンドは、NAT packet discard 通知を有効にするために使用されます。この通知は、マッピング スペースを使用できないため、5 分間にレート制限され、IP パケットが NAT により廃棄された場合に生成されます。ifIndex は、マッピング インターフェイスの ID を提供します。 |
||
ospfNbrStateChange |
ospfRouterId、ospfNbrIpAddr、ospfNbrAddressLessIndex、ospfNbrRtrId、ospfNbrState |
snmp-server enable traps peer-flap コマンドは、OSPF peer-flap に関連するトラップの送信をイネーブルにするために使用されます。 |
||
warmStart (SNMPv2-MIB) |
— |
snmp-server enable traps snmp warmstart コマンドは、これらのトラップの伝送をイネーブルおよびディセーブルにするために使用されます。 |
インターフェイスの種類と例
SNMP トラフィック統計情報を生成するインターフェイスの種類には次のものがあります。
-
論理:物理統計情報のサブセットであり、ソフトウェア ドライバによって収集される統計情報。
-
物理:ハードウェア ドライバによって収集される統計情報。物理的な名前の付いた各インターフェイスは、それに関連付けられている論理統計情報と物理統計情報のセットを 1 つ持っています。各物理インターフェイスは、関連付けられている VLAN インターフェイスを複数持っている場合があります。VLAN インターフェイスは論理統計情報だけを持っています。
(注)
複数の VLAN インターフェイスが関連付けられている物理インターフェイスでは、ifInOctets と ifOutoctets の OID の SNMP カウンタがその物理インターフェイスの集約トラフィック カウンタと一致していることに注意してください。
-
VLAN-only:SNMP は ifInOctets と ifOutOctets に対して論理統計情報を使用します。
次の表の例で、SNMP トラフィック統計情報における差異を示します。例 1 では、show interface コマンドと show traffic コマンドの物理出力統計情報と論理出力統計情報の差異を示します。例 2 では、show interface コマンドと show traffic コマンドの VLAN だけのインターフェイスに対する出力統計情報を示します。この例は、統計情報が show traffic コマンドに対して表示される出力に近いことを示しています。
例 1 |
例 2 |
---|---|
次の例は、管理インターフェイスと物理インターフェイスの SNMP 出力統計情報を示しています。ifInOctets 値は、show traffic コマンド出力で表示される物理統計情報出力に近くなりますが、論理統計情報出力には近くなりません。 mgmt インターフェイスの ifIndex:
物理インターフェイス統計情報に対応する物理インターフェイス統計:
|
内部の VLAN の ifIndex:
|
SNMP バージョン 3 の概要
SNMP バージョン 3 は SNMP バージョン 1 またはバージョン 2c では使用できなかったセキュリティ拡張機能を提供します。SNMP バージョン 1 とバージョン 2c は SNMP サーバーと SNMP エージェント間でデータをクリア テキストで転送します。SNMP バージョン 3 は認証とプライバシー オプションを追加してプロトコル オペレーションをセキュリティ保護します。また、このバージョンはユーザーベース セキュリティ モデル(USM)とビューベース アクセス コントロール モデル(VACM)を通して SNMP エージェントと MIB オブジェクトへのアクセスをコントロールします。ASA は、SNMP グループとユーザーの作成、およびセキュアな SNMP 通信の転送の認証と暗号化を有効にするために必要なホストの作成もサポートします。
セキュリティ モデル
設定上の目的のために、認証とプライバシーのオプションはセキュリティ モデルにまとめられます。セキュリティ モデルはユーザーとグループに適用され、次の 3 つのタイプに分けられます。
-
NoAuthPriv:認証もプライバシーもありません。メッセージにどのようなセキュリティも適用されないことを意味します。
-
AuthNoPriv:認証はありますがプライバシーはありません。メッセージが認証されることを意味します。
-
AuthPriv:認証とプライバシーがあります。メッセージが認証および暗号化されることを意味します。
SNMP グループ
SNMP グループはユーザーを追加できるアクセス コントロール ポリシーです。各 SNMP グループはセキュリティ モデルを使用して設定され、SNMP ビューに関連付けられます。SNMP グループ内のユーザーは、SNMP グループのセキュリティ モデルに一致する必要があります。これらのパラメータは、SNMP グループ内のユーザがどのタイプの認証とプライバシーを使用するかを指定します。各 SNMP グループ名とセキュリティ モデルのペアは固有である必要があります。
SNMP ユーザー
SNMP ユーザーは、指定されたユーザー名、ユーザーが属するグループ、認証パスワード、暗号化パスワード、および使用する認証アルゴリズムと暗号化アルゴリズムを持ちます。認証アルゴリズムのオプションは SHA-1、SHA-224、SHA-256 HMAC および SHA-384 です。暗号化アルゴリズムのオプションは、3DES および AES(128、192、および 256 バージョンで使用可能)です。ユーザーを作成した場合は、それを SNMP グループに関連付ける必要があります。その後、そのユーザーはグループのセキュリティ モデルを継承します。
(注) |
SNMP v3 ユーザーアカウントを設定するときは、認証アルゴリズムの長さが暗号化アルゴリズムの長さ以上であることを確認してください。 |
SNMP ホスト
SNMP ホストは SNMP 通知とトラップの送信先となる IP アドレスです。トラップは設定されたユーザーだけに送信されるため、ターゲット IP アドレスとともに SNMP バージョン 3 のホストを設定するには、ユーザー名を設定する必要があります。SNMP ターゲット IP アドレスとターゲットパラメータ名は ASA で一意である必要があります。各 SNMP ホストはそれぞれに関連付けられているユーザ名を 1 つだけ持つことができます。SNMP トラップを受信するには、snmp-server host コマンドを追加した後に、NMS のユーザークレデンシャルが ASA のクレデンシャルと一致するように設定してください。
(注) |
最大 8,192 個までホストを追加できます。ただし、トラップの対象として設定できるのはそのうちの 128 個だけです。 |
ASA と Cisco IOS ソフトウェアの実装の相違点
ASA での SNMP バージョン 3 の実装は、Cisco IOS ソフトウェアでの SNMP バージョン 3 の実装とは次の点で異なります。
-
ローカル エンジン ID とリモート エンジン ID は設定できません。ローカルエンジン ID は、ASA が起動されたとき、またはコンテキストが作成されたときに生成されます。
-
ビューベースのアクセス コントロールに対するサポートはないため、結果として MIB のブラウジングは無制限になります。
-
サポートは、USM、VACM、FRAMEWORK、および TARGET という MIB に制限されます。
-
正しいセキュリティ モデルを使用してユーザーとグループを作成する必要があります。
-
正しい順序でユーザー、グループ、およびホストを削除する必要があります。
-
snmp-server host コマンドを使用すると、着信 SNMP トラフィックを許可する ASA ルールが作成されます。
SNMP syslog メッセージ
SNMP では、212nnn という番号が付いた詳細な syslog メッセージが生成されます。syslog メッセージは、ASA または ASASM から、SNMP 要求、SNMP トラップ、SNMP チャネルのステータスを、指定のインターフェイスの指定のホストに表示します。
syslog メッセージの詳細については、syslog メッセージガイドを参照してください。
(注) |
SNMP syslog メッセージがレート制限(毎秒約 4000)を超えた場合、SNMP ポーリングは失敗します。 |
アプリケーション サービスとサードパーティ ツール
SNMP サポートについては、次の URL を参照してください。
http://www.cisco.com/en/US/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html
SNMP バージョン 3 MIB をウォークするためのサードパーティ ツールの使い方については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa83/snmp/snmpv3_tools.html