SNMP の概要
SNMP は、ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション層プロトコルで、TCP/IP プロトコル スイートの一部です。ASAは SNMP バージョン 1、2c、および 3 を使用したネットワーク監視に対するサポートを提供し、3 つのバージョンの同時使用をサポートします。ASA のインターフェイス上で動作する SNMP エージェントを使用すると、HP OpenView などのネットワーク管理システム(NMS)を使用してネットワーク デバイスをモニターできます。ASAは GET 要求の発行を通じて SNMP 読み取り専用アクセスをサポートします。SNMP 書き込みアクセスは許可されていないため、SNMP を使用して変更することはできません。さらに、SNMP SET 要求はサポートされていません。
NMS(ネットワーク管理システム)に特定のイベント(イベント通知)を送信するために、管理対象デバイスから管理ステーションへの要求外のメッセージであるトラップを送信するように ASA を設定したり、NMS を使用してセキュリティ デバイス上で管理情報ベース(MIB)を検索できます。MIB は定義の集合であり、ASAは各定義に対応する値のデータベースを保持しています。MIB をブラウズすることは、NMS から MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して値を決定することを意味します。
ASA には SNMP エージェントが含まれています。このエージェントは、通知を必要とすることが事前に定義されているイベント(たとえば、ネットワーク内のリンクがアップ状態またはダウン状態になる)が発生すると、指定した管理ステーションに通知します。このエージェントが送信する通知には、管理ステーションに対して自身を識別する SNMP OID が含まれています。ASA エージェントは、管理ステーションが情報を要求した場合にも応答します。
SNMP の用語
次の表に、SNMP で頻繁に使用される用語を示します。
用語 |
説明 |
---|---|
エージェント |
ASAで稼働する SNMP サーバー。SNMP エージェントは、次の機能を搭載しています。
|
ブラウジング |
デバイス上の SNMP エージェントから必要な情報をポーリングすることによって、ネットワーク管理ステーションからデバイスのヘルスをモニターすること。このアクティビティには、ネットワーク管理ステーションから MIB ツリーの一連の GET-NEXT または GET-BULK 要求を発行して、値を決定することが含まれる場合があります。 |
管理情報ベース(MIB) |
パケット、接続、バッファ、フェールオーバーなどに関する情報を収集するための標準化されたデータ構造。MIB は、大部分のネットワーク デバイスで使用される製品、プロトコル、およびハードウェア標準によって定義されます。SNMP ネットワーク管理ステーションは、MIB をブラウズし、特定のデータまたはイベントの発生時にこれらを要求できます。 |
ネットワーク管理ステーション(NMS) |
SNMP イベントのモニターやASAなどのデバイスの管理用に設定されている、PC またはワークステーション。 |
オブジェクト ID(OID) |
NMS に対してデバイスを識別し、モニターおよび表示される情報の源をユーザーに示すシステム。 |
Trap |
SNMP エージェントから NMS へのメッセージを生成する、事前定義済みのイベント。イベントには、リンクアップ、リンクダウン、コールドスタート、ウォームスタート、認証、syslog メッセージなどのアラーム状態が含まれます。 |
SNMP バージョン 3 の概要
SNMP バージョン 3 は SNMP バージョン 1 またはバージョン 2c では使用できなかったセキュリティ拡張機能を提供します。SNMP バージョン 1 とバージョン 2c は SNMP サーバーと SNMP エージェント間でデータをクリア テキストで転送します。SNMP バージョン 3 は認証とプライバシー オプションを追加してプロトコル オペレーションをセキュリティ保護します。また、このバージョンはユーザーベース セキュリティ モデル(USM)とビューベース アクセス コントロール モデル(VACM)を通して SNMP エージェントと MIB オブジェクトへのアクセスをコントロールします。ASA は、SNMP グループとユーザーの作成、およびセキュアな SNMP 通信の転送の認証と暗号化を有効にするために必要なホストの作成もサポートします。
セキュリティ モデル
設定上の目的のために、認証とプライバシーのオプションはセキュリティ モデルにまとめられます。セキュリティ モデルはユーザーとグループに適用され、次の 3 つのタイプに分けられます。
-
NoAuthPriv:認証もプライバシーもありません。メッセージにどのようなセキュリティも適用されないことを意味します。
-
AuthNoPriv:認証はありますがプライバシーはありません。メッセージが認証されることを意味します。
-
AuthPriv:認証とプライバシーがあります。メッセージが認証および暗号化されることを意味します。
SNMP グループ
SNMP グループはユーザーを追加できるアクセス コントロール ポリシーです。各 SNMP グループはセキュリティ モデルを使用して設定され、SNMP ビューに関連付けられます。SNMP グループ内のユーザーは、SNMP グループのセキュリティ モデルに一致する必要があります。これらのパラメータは、SNMP グループ内のユーザがどのタイプの認証とプライバシーを使用するかを指定します。各 SNMP グループ名とセキュリティ モデルのペアは固有である必要があります。
SNMP ユーザー
SNMP ユーザーは、指定されたユーザー名、ユーザーが属するグループ、認証パスワード、暗号化パスワード、および使用する認証アルゴリズムと暗号化アルゴリズムを持ちます。認証アルゴリズムのオプションは SHA-1、SHA-224、SHA-256 HMAC および SHA-384 です。暗号化アルゴリズムのオプションは、3DES および AES(128、192、および 256 バージョンで使用可能)です。ユーザーを作成した場合は、それを SNMP グループに関連付ける必要があります。その後、そのユーザーはグループのセキュリティ モデルを継承します。
(注) |
SNMP v3 ユーザーアカウントを設定するときは、認証アルゴリズムの長さが暗号化アルゴリズムの長さ以上であることを確認してください。 |
SNMP ホスト
SNMP ホストは SNMP 通知とトラップの送信先となる IP アドレスです。トラップは設定されたユーザーだけに送信されるため、ターゲット IP アドレスとともに SNMP バージョン 3 のホストを設定するには、ユーザー名を設定する必要があります。SNMP ターゲット IP アドレスとターゲットパラメータ名は ASA で一意である必要があります。各 SNMP ホストはそれぞれに関連付けられているユーザ名を 1 つだけ持つことができます。SNMP トラップを受信するには、SNMP NMS を設定し、NMS のユーザークレデンシャルが ASA のクレデンシャルと一致するように設定してください。
(注) |
最大 8,192 個までホストを追加できます。ただし、トラップの対象として設定できるのはそのうちの 128 個だけです。 |
ASA と Cisco IOS ソフトウェアの実装の相違点
ASA での SNMP バージョン 3 の実装は、Cisco IOS ソフトウェアでの SNMP バージョン 3 の実装とは次の点で異なります。
-
ローカル エンジン ID とリモート エンジン ID は設定できません。ローカルエンジン ID は、ASA が起動されたとき、またはコンテキストが作成されたときに生成されます。
-
ビューベースのアクセス コントロールに対するサポートはないため、結果として MIB のブラウジングは無制限になります。
-
サポートは、USM、VACM、FRAMEWORK、および TARGET という MIB に制限されます。
-
正しいセキュリティ モデルを使用してユーザーとグループを作成する必要があります。
-
正しい順序でユーザー、グループ、およびホストを削除する必要があります。
-
snmp-server host コマンドを使用すると、着信 SNMP トラフィックを許可する ASA ルールが作成されます。
SNMP syslog メッセージ
SNMP では、212nnn という番号が付いた詳細な syslog メッセージが生成されます。syslog メッセージは、ASA または ASASM から、SNMP 要求、SNMP トラップ、SNMP チャネルのステータスを、指定のインターフェイスの指定のホストに表示します。
syslog メッセージの詳細については、syslog メッセージガイドを参照してください。
(注) |
SNMP syslog メッセージがレート制限(毎秒約 4000)を超えた場合、SNMP ポーリングは失敗します。 |
アプリケーション サービスとサードパーティ ツール
SNMP サポートについては、次の URL を参照してください。
http://www.cisco.com/en/US/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html
SNMP バージョン 3 MIB をウォークするためのサードパーティ ツールの使い方については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa83/snmp/snmpv3_tools.html