Closed13
CCNP-ENARSI_SNMP
ito_110SNMP(Simple Network Management Protocol)
ネットワーク機器を監視・管理する際に使用するプロトコル
UDP161(SNMP)・UDP162(SNMPトラップ)を利用する
ito_110SNMPを構成するコンポーネント
-
SNMPマネージャ
SNMPを管理する機器。SNMPエージェントを管理する
-
SNMPエージェント
SNMPマネージャに管理される機器
-
MIB(Management Information Base)
SNMPでやりとりする情報
ito_110SNMPのバージョン
| バージョン | コマンド | 説明 |
|---|---|---|
| SNMPv1 | Get Request | 指定のオブジェクトIDの情報の要求 |
| GetNext Request | 次のオブジェクトIDの情報の要求 | |
| Set Request | SNMPエージェントの制御 | |
| Get Request | マネージャからの要求に応答 | |
| Trap | SNMPエージェントからマネージャへの通知 | |
| SNMPv2cから追加 | GetBulk Request | 繰り返しの要求 |
| Inform Request | SNMPエージェントからマネージャへの状態通知 マネージャから応答がなければ再送する |
|
| SNMPv3から追加 | - | メッセージの完全性・認証・暗号化が追加される |
ito_110SNMPのセキュリティ
| バージョン | セキュリティレベル | 認証 | 暗号化 | 説明 |
|---|---|---|---|---|
| SNMPv1 | noAuthNoPriv | コミュニティストリング | なし | コミュニティストリングより認証 |
| SNMPv2c | noAuthNoPriv | コミュニティストリング | なし | コミュニティストリングより認証 |
| SNMPv3 | noAuthNoPriv | ユーザ名 | なし | ユーザ名を照合して認証 |
| SNMPv3 | AuthNoPriv | MD5・SHA | なし | HMAC-MD5またはHMAC-SHAに基づいて認証 |
| SNMPv3 | AuthPriv | MD5・SHA | DES/3DES/AES | HMAC-MD5またはHMAC-SHAに基づいて認証 DES/3DES/AESによって暗号化 |
ito_110SNMPv2cの設定コマンド:SNMPエージェントのコミュニティストリング
(config)#snmp-server community [コミュニティストリング] [ro|rw] [ipv6 {IPv6 ACL}] [{IPv4 ACL}]
- コミュニティストリング:コミュニティストリングとして使用する文字列
- ro|rw:権限設定(ro:Read only_MIBの読み取りのみ)(rw:Read write_MIBの読み書き許可)
- IPv6 ACL/IPv4 ACL :SNMPエージェントへのアクセスを制限するためのACL
ito_110SNMPv2cの設定コマンド:SNMP Trap/Inform Request
(config)#snmp-server host [送信先アドレス] [informs] version 2c [通知コミュニティストリング]
- 送信先アドレス:SNMP Trap/Inform Requestを受信するホストのアドレス
- informs :TrapではなくInform Requestを送信する
- 通知コミュニティストリング:Trap/Inform Request送信時に使用するコミュニティストリング。受信する側が認証に使用
(config)#snmp-server enable traps [オプション]
- オプション・・・指定したオプションのみのTrap/Informを有効化。
※ オプションを指定しない場合は全てのTrap/Informの送信を有効化
※ BGPやOSPFなどを指定可能
ito_110SNMPv2cの設定コマンド:その他の設定コマンド
# SNMPリンクトラップの制御
(config-if)#[no] snmp trap link-status
# SNMPエージェントに関する情報を設定(設置場所)
(config)#snmp-server location [設置場所]
# SNMPエージェントに関する情報を設定(管理者情報)
(config)#snmp-server contact [管理者情報]
SNMPv2cの確認コマンド
# SNMPv2cの確認コマンド(コミュニティストリング)
#show snmp community
# SNMPv2cの確認コマンド(設置場所)
#show snmp location
# SNMPv2cの確認コマンド(管理者情報)
#show snmp contact
# SNMPv2cの確認コマンド(トラップ送信先)
#show snmp host
# SNMPv2cの確認コマンド(SNMPサーバの稼働状況)
#show snmp
SNMPv3の設定コマンド:グループの設定
# グループの作成
(config)#snmp-server group {グループ名} v3 {noauth|auth|priv} [write v1default] [access [ipv6] {ACL}]
- グループ名:作成するグループ名
- noauth | auth | priv:SNMPセキュリティレベル
- write v1default:v1defaultビューへのSNMP Setを有効にする
- ACL:SNMPエージェントへのアクセスが可能な送信元アドレスの範囲(標準ACL)
ito_110# SNMPv3の設定コマンド:ユーザの設定
# ユーザの作成
(config)#snmp-server user {ユーザ名} {グループ名} v3 {認証設定} [access [ipv6] {ACL}]
- ユーザ名:作成するユーザ名
- グループ名:所属させるグループ名
- 認証設定:関連付けるグループのSNMPセキュリティレベルに応じて以下のように設定します。
| グループのセキュリティレベル | 設定内容 |
|---|---|
| noauth | ユーザ名のみのため設定不要 |
| auth | auth [md5 or sha] パスワード |
| priv | auth [md5 or sha] パスワード priv [DES |
- ACL:このユーザ名でアクセス可能な送信元アドレスの範囲(標準ACL)
ito_110SNMPv3の設定コマンド:SNMP Trap/Inform Request
(config)#snmp-server host {送信先アドレス} [informs] version 3 {noauth|auth|priv} {ユーザ名}
- 送信先アドレス:SNMP Trap/Inform Requestを受信するホストのアドレス
- informs :TrapではなくInform Requestを送信する
- noauth | auth | priv:SNMPセキュリティレベル
- ユーザ名:Trap/Inform Request送信時に使用するユーザ名。受信する側が認証に使用する。
ito_110SNMPv3の確認コマンド
# SNMPv3の確認コマンド(グループ)
#show snmp group
# SNMPv3の確認コマンド(ユーザ)
#show snmp user
SNMP ifIndex パーシステンスの設定
ifIndex値とは?
物理インターフェースおよび論理インターフェースを一意に識別するための値
再起動時に変更される場合があるため、SNMP監視に影響がある場合がある。
この影響はifIndex値を固定化することで対策できる。
# 全てのインターフェースでifIndex値を固定化する
(config)#snmp-server ifindex persist
# 特定のインターフェースでifIndex値を固定化する
(config)#interface {インターフェース}
(config-if)#snmp ifindex persist
このスクラップは2024/03/04にクローズされました