SNMPv3 - Cisco Config 3



 ◆ SNMPv3の設定 - ビューの設定

 SNMPビューを定義することでMIB全体からMIBオブジェクトをフィルタリングして、MIBオブジェクトの
 サブセットを定義できます。また、後に設定するSNMPグループごとに定義したビューへのアクセスだけを
 許可したり、特定の監視対象のオブジェクト(OID)を含めたり(included)除外(excluded)できます。

 
◆ SNMPv3 - ビューの設定
 (config)#
snmp-server view name OID [ include | excluded ]



 ◆ SNMPv3の設定 - エンジンIDの設定

 SNMPエンジンを識別するためのユニークなIDを設定できます。SNMPエンジンIDはSNMPv3 通信において
 相手側に通知されます。ローカルを指定しない場合は、デフォルトで自動的に生成されるエンジンIDとなり
 その値は
show snmp engineIDコマンドによって確認することができます。

 ◆ SNMPv3 - エンジンIDの設定
 (config)#
snmp-server engineID [ local engineid-string | remote address engineid-string ]

コマンド引数 説明
 engineid-string


 24文字のIDストリング。後続にゼロが含まれる場合、24文字のID全てを指定する必要なない。
 例えば123400000000000000000000というSNMPエンジンIDを設定する場合、実際の設定は
 
snmp-server engineID local 1234 と入力できる。

 address

 リモートホスト(SNMPマネージャ)のIPアドレス

 engineid-string

 リモートホスト(SNMPマネージャ)用のエンジンIDの指定


 Catalystのマニュアルに次のような記述があります ⇒ 「特定のエージェントのリモートユーザを設定
 する前に snmp-server engineIDコマンドを remote オプションとともに使用して、SNMPエンジンID
 を設定してください。先にリモートエンジンIDを設定しておかなければコマンドがエラーになります。」


 ◆ SNMPv3の設定 - SNMPグループの設定

 SNMPユーザをSNMPビューにマッピングするSNMPグループを設定します。これにより、SNMPビューに
 対してauth、noauth、privなどのセキュリティレベルでアクセスするグループを作成することができます。

 ◆ SNMPv3 - SNMPグループの設定
 (config)#
snmp-server group group-name v3 [ auth | noauth | priv ]
 
[ read readview ] [ write writeview ] [ notify notifyview ] [ access acl-number ]

コマンド引数 説明
 auth | noauth | priv


 noauth:下表のセキュリティレベルの「noAuthNoPriv」が該当。デフォルト値。
 auth:下表のセキュリティレベルの「authNoPriv」が該当。MD5とSHAによる認証が可。
 priv:下表のセキュリティレベルの「autPriv」が該当。DES による暗号化をイネーブル。

 readview

 オプション:エージェントの内容を表示できるビューの名前

 writeview

 オプション:データを入力して、エージェントの内容を表示できるビューの名前

 notifyview  オプション:通知、情報、またはトラップを指定するビューの名前


セキュリティレベル 認証 暗号化 結果
 noAuthNoPriv  ユーザ名  なし  ユーザ名だけを使用して認証。暗号化なし
 authNoPriv  MD5 or SHA  なし  HMAC-MD5 or HMAC-SHAを使用して認証。暗号化なし
 authPriv  MD5 or SHA  DES or AES  HMAC-MD5 or HMAC-SHAを使用して認証。※1で暗号化

 ※1 次の暗号化レベルを指定可能 ⇒ 「CBC-DES」「3DES」「AES128」「AES192」「AES256」



 ◆ SNMPv3の設定 - SNMPユーザの設定

 先ほど作成したSNMPグループに参加するSNMPユーザを作成します。

 ◆ SNMPv3 - SNMPグループの設定
 (config)#
snmp-server user username groupname [ remote address v3 [ encrypted ]
 auth
[ md5 | sha ] auth-password [ priv [ des | 3des | aes [ 128 | 192 | 256 ] priv-password

コマンド引数 説明
 username

 エージェントに接続するホスト上のユーザ名

 groupname

 ユーザが対応づけられるグループ名

 address

 ユーザが所属すリモートSNMPエンティティのホスト名またはIPアドレスを指定

 encrypted  パスワードを暗号化表示するように指定
 md5 | sha  HMAC-MD5-96(md5)または HMAC-SHA-96(sha)認証レベルを使用。
 auth-password でパスワードの文字列を指定。
 priv [ des | 3des | aes ]  プライベート(priv)暗号化アルゴリズムとパスワード文字列( priv-password)を指定


 ◆ SNMPv3の設定 - トラップの設定

 SNMPv1、SNMPv2cでもトラップの概念があるので、以下の構文はSNMPv3用のコマンドとして抜粋。

 
◆ トラップの設定
 
(config)# snmp-server host address [ informs | traps ] [ version 3 [ auth | noauth | priv ] type

コマンド引数 説明
 address

 SNMPマネージャのIPアドレスを指定。DNS解決できるならホスト名を指定してもOK。

 informs | traps

 通知する方式を選択。指定しない場合(一般的に指定しない)は traps が指定される。

 auth | noauth | priv


 auth:パケット認証して暗号化しない 
 noauth:パケット認証も暗号化もしない 
 priv:パケット認証も暗号化もする

 type  オプション:特定のトラップを通知したい場合は通知タイプを指定。デフォルトは全てが通知。


 ◆ トラップの有効化
 (config)# snmp-server enable traps notification-types



 ◆ SNMPv3の設定例

 SNMPv3の設定例その1。SNMPマネージャがRO(読み取り権限)で全てのMIBオブジェクトにアクセス
 できるようにする設定。ユーザは「CCIE」と定義されて、パスワードは「Cisco123」と定義しています。


 Cisco(config) #
snmp-server view READVIEW internet included
 Cisco(config) # snmp-server view READVIEW iso included

 Cisco(config) # snmp-server group AUTHG v3 noauth read READVIEW
 Cisco(config) # snmp-server user CCIE AUTHG v3 auth md5 Cisco123



 SNMPv3の設定例その2。ユーザとリモートホスト(SNMPマネージャ)を関連付け、ユーザがグローバル
 コンフィグレーションモードの時にauth(authNoPriv)認証レベルで情報を送信する設定例です。


 Cisco(config) #
snmp-server engineID remote 192.168.1.101 00000063000100a1c0b4011b
 Cisco(config) # snmp-server group AUTHG v3 auth
 Cisco(config) # snmp-server user authuser AUTHG remote 192.168.1.101 v3 auth md5 mypassword
 Cisco(config) # snmp-server user authuser AUTHG v3 auth md5 mypassword
 Cisco(config) # snmp-server host 192.168.1.101 informs version 3 auth authuser config
 Cisco(config) # snmp-server enable traps


  通信監視の要件に「SNMPv3による管理と実装」があり、顧客がSNMPv3による実装が初めての場合には、
  ベンダーのNWエンジニアはある程度の作業工数を確保することをお勧めします。以上の解説だけ見ると
  実装は簡単なように思えますが、意図した動作をしない場合の問題切り分けはそれなりに時間を要します。



ネットワーク管理の技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.