SNMP の概要
SNMP は、ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション層プロトコルで、TCP/IP プロトコル スイートの一部です。ASAは SNMP バージョン 1、2c、および 3 を使用したネットワーク監視に対するサポートを提供し、3 つのバージョンの同時使用をサポートします。ASA のインターフェイス上で動作する SNMP エージェントを使用すると、HP OpenView などのネットワーク管理システム(NMS)を使用してネットワーク デバイスをモニタできます。ASAは GET 要求の発行を通じて SNMP 読み取り専用アクセスをサポートします。SNMP 書き込みアクセスは許可されていないため、SNMP を使用して変更することはできません。さらに、SNMP SET 要求はサポートされていません。
NMS(ネットワーク管理システム)に特定のイベント(イベント通知)を送信するために、管理対象デバイスから管理ステーションへの要求外のメッセージであるトラップを送信するように ASA を設定したり、NMS(ネットワーク管理システム)を使用してセキュリティ デバイス上で管理情報ベース(MIB)を検索できます。MIB は定義の集合であり、ASAは各定義に対応する値のデータベースを保持しています。MIB をブラウズすることは、NMS から MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して値を決定することを意味します。
ASA には SNMP エージェントが含まれています。このエージェントは、通知を必要とすることが事前に定義されているイベント(たとえば、ネットワーク内のリンクがアップ状態またはダウン状態になる)が発生すると、指定した管理ステーションに通知します。このエージェントが送信する通知には、管理ステーションに対して自身を識別する SNMP OID が含まれています。ASA エージェントは、管理ステーションが情報を要求した場合にも応答します。
SNMP の用語
次の表に、SNMP で頻繁に使用される用語を示します。
用語 |
説明 |
---|---|
エージェント |
ASAで稼働する SNMP サーバ。SNMP エージェントは、次の機能を搭載しています。
|
ブラウジング |
デバイス上の SNMP エージェントから必要な情報をポーリングすることによって、ネットワーク管理ステーションからデバイスのヘルスをモニタすること。このアクティビティには、ネットワーク管理ステーションから MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して、値を決定することが含まれる場合があります。 |
管理情報ベース(MIB) |
パケット、接続、バッファ、フェールオーバーなどに関する情報を収集するための標準化されたデータ構造。MIB は、大部分のネットワーク デバイスで使用される製品、プロトコル、およびハードウェア標準によって定義されます。SNMP ネットワーク管理ステーションは、MIB をブラウズし、特定のデータまたはイベントの発生時にこれらを要求できます。 |
ネットワーク管理ステーション(NMS) |
SNMP イベントのモニタやASAなどのデバイスの管理用に設定されている、PC またはワークステーション。 |
オブジェクト ID(OID) |
NMS に対してデバイスを識別し、モニタおよび表示される情報の源をユーザに示すシステム。 |
Trap |
SNMP エージェントから NMS へのメッセージを生成する、事前定義済みのイベント。イベントには、リンクアップ、リンクダウン、コールドスタート、ウォームスタート、認証、syslog メッセージなどのアラーム状態が含まれます。 |
SNMP バージョン 3 の概要
SNMP バージョン 3 は SNMP バージョン 1 またはバージョン 2c では使用できなかったセキュリティ拡張機能を提供します。SNMP バージョン 1 とバージョン 2c は SNMP サーバと SNMP エージェント間でデータをクリア テキストで転送します。SNMP バージョン 3 は認証とプライバシー オプションを追加してプロトコル オペレーションをセキュリティ保護します。また、このバージョンはユーザベース セキュリティ モデル(USM)とビューベース アクセス コントロール モデル(VACM)を通して SNMP エージェントと MIB オブジェクトへのアクセスをコントロールします。ASA および ASASM は、SNMP グループとユーザの作成、およびセキュアな SNMP 通信の転送の認証と暗号化をイネーブルにするために必要なホストの作成もサポートします。
セキュリティ モデル
設定上の目的のために、認証とプライバシーのオプションはセキュリティ モデルにまとめられます。セキュリティ モデルはユーザとグループに適用され、次の 3 つのタイプに分けられます。
-
NoAuthPriv:認証もプライバシーもありません。メッセージにどのようなセキュリティも適用されないことを意味します。
-
AuthNoPriv:認証はありますがプライバシーはありません。メッセージが認証されることを意味します。
-
AuthPriv:認証とプライバシーがあります。メッセージが認証および暗号化されることを意味します。
SNMP グループ
SNMP グループはユーザを追加できるアクセス コントロール ポリシーです。各 SNMP グループはセキュリティ モデルを使用して設定され、SNMP ビューに関連付けられます。SNMP グループ内のユーザは、SNMP グループのセキュリティ モデルに一致する必要があります。これらのパラメータは、SNMP グループ内のユーザがどのタイプの認証とプライバシーを使用するかを指定します。各 SNMP グループ名とセキュリティ モデルのペアは固有である必要があります。
SNMP ユーザ
SNMP ユーザは、指定されたユーザ名、ユーザが属するグループ、認証パスワード、暗号化パスワード、および使用する認証アルゴリズムと暗号化アルゴリズムを持ちます。認証アルゴリズムのオプションは MD5 と SHA です。暗号化アルゴリズムのオプションは DES、3DES、および AES(128、192、および 256 バージョンで使用可能)です。ユーザを作成した場合は、それを SNMP グループに関連付ける必要があります。その後、そのユーザはグループのセキュリティ モデルを継承します。
SNMP ホスト
SNMP ホストは SNMP 通知とトラップの送信先となる IP アドレスです。トラップは設定されたユーザだけに送信されるため、ターゲット IP アドレスとともに SNMP バージョン 3 のホストを設定するには、ユーザ名を設定する必要があります。SNMP ターゲット IP アドレスとターゲット パラメータ名は ASA および ASA サービス モジュールで固有である必要があります。各 SNMP ホストはそれぞれに関連付けられているユーザ名を 1 つだけ持つことができます。SNMP トラップを受信するには、SNMP NMS を設定し、NMS のユーザ クレデンシャルが ASA および ASASM のクレデンシャルと一致するように設定してください。
ASA、ASA サービス モジュール、Cisco IOS ソフトウェアの間の実装には、Cisco IOSソフトウェア サービス モジュール
ASA および ASASM での SNMP バージョン 3 の実装は、Cisco IOS ソフトウェアでの SNMP バージョン 3 の実装と次の点で異なります。
-
ローカル エンジン ID とリモート エンジン ID は設定できません。ローカル エンジン ID は、ASA または ASASM が起動されたとき、あるいはコンテキストが作成されたときに生成されます。
-
ビューベースのアクセス コントロールに対するサポートはないため、結果として MIB のブラウジングは無制限になります。
-
サポートは、USM、VACM、FRAMEWORK、および TARGET という MIB に制限されます。
-
正しいセキュリティ モデルを使用してユーザとグループを作成する必要があります。
-
正しい順序でユーザ、グループ、およびホストを削除する必要があります。
-
snmp-server host コマンドを使用すると、着信 SNMP トラフィックを許可する ASA、ASAv、または ASASM のルールが作成されます。
SNMP syslog メッセージ
SNMP では、212nnn という番号が付いた詳細な syslog メッセージが生成されます。syslog メッセージは、ASA または ASASM から、SNMP 要求、SNMP トラップ、SNMP チャネルのステータスを、指定のインターフェイスの指定のホストに表示します。
syslog メッセージの詳細については、『syslog メッセージ ガイド』を参照してください。
(注) |
SNMP syslog メッセージがレート制限(毎秒約 4000)を超えた場合、SNMP ポーリングは失敗します。 |
アプリケーション サービスとサードパーティ ツール
SNMP サポートについては、次の URL を参照してください。
http://www.cisco.com/en/US/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html
SNMP バージョン 3 MIB をウォークするためのサードパーティ ツールの使い方については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa83/snmp/snmpv3_tools.html