18.1.1 SNMP概説
- 〈この項の構成〉
(1) ネットワーク管理
ネットワークシステムの稼働環境や性能を維持するためには,高度なネットワーク管理が必要です。SNMP(simple network management protocol)は業界標準のネットワーク管理プロトコルです。SNMPをサポートしているネットワーク機器で構成されたマルチベンダーネットワークを管理できます。管理情報を収集して管理するサーバをSNMPマネージャ,管理される側のネットワーク機器をSNMPエージェントといいます。ネットワーク管理の概要を次の図に示します。
(2) SNMPエージェント機能
本装置のSNMPエージェントは,ネットワーク上の装置内部に組み込まれたプログラムです。装置内の情報をSNMPマネージャに提供する機能があります。装置内にある各種情報をMIB(Management Information Base)と呼びます。SNMPマネージャは,装置の情報を取り出して編集・加工し,ネットワーク管理を行うための各種情報をネットワーク管理者に提供するソフトウェアです。MIB取得の例を次の図に示します。
本装置の運用コマンドにはMIB情報を表示するためのSNMPコマンドがあります。このコマンドは,自装置およびリモート装置のSNMPエージェントのMIBを表示します。
本装置では,SNMPv1(RFC1157),SNMPv2C(RFC1901),およびSNMPv3(RFC3410)をサポートしています。SNMPマネージャを使用してネットワーク管理を行う場合は,SNMPv1,SNMPv2C,またはSNMPv3プロトコルで使用してください。なお,SNMPv1,SNMPv2C,SNMPv3をそれぞれ同時に使用することもできます。
また,SNMPエージェントはトラップ(Trap)やインフォーム(Inform)と呼ばれるイベント通知(主に障害発生の情報など)機能があります。以降,トラップおよびインフォームをSNMP通知と呼びます。SNMPマネージャは,SNMP通知を受信することで定期的に装置の状態変化を監視しなくても変化を知ることができます。ただし,トラップはUDPを使用しているため,装置からSNMPマネージャに対するトラップの到達確認ができません。そのため,ネットワークの輻輳などによって,トラップがマネージャに到達しない場合があります。トラップの例を次の図に示します。
インフォームもトラップと同じUDPによるイベント通知ですが,トラップとは異なってSNMPマネージャからの応答を要求します。そのため,応答の有無でインフォームの到達を確認できます。これによって,ネットワークの輻輳などに対してもインフォームの再送で対応できます。
本装置のSNMPプロトコルはIPv6に対応しています。コンフィグレーションに設定したSNMPマネージャのIPアドレスによって,IPv4またはIPv6アドレスが設定されているSNMPマネージャからのMIB要求や,SNMPマネージャへのSNMP通知の送信ができます。IPv4/IPv6 SNMPマネージャからのMIB要求と応答の例を次の図に示します。
(3) SNMPv3
SNMPv3はSNMPv2Cまでの全機能に加えて,管理セキュリティ機能が大幅に強化されています。ネットワーク上を流れるSNMPパケットを認証・暗号化することによって,SNMPv2Cでのコミュニティ名とSNMPマネージャのIPアドレスの組み合わせによるセキュリティ機能では実現できなかった,盗聴,なりすまし,改ざん,再送などのネットワーク上の危険からSNMPパケットを守ることができます。
(a) SNMPエンティティ
SNMPv3では,SNMPマネージャおよびSNMPエージェントを「SNMPエンティティ」と総称します。本装置のSNMPv3は,SNMPエージェントに相当するSNMPエンティティをサポートしています。
(b) SNMPエンジン
SNMPエンジンは認証,および暗号化したメッセージ送受信と管理オブジェクトへのアクセス制御のためのサービスを提供します。SNMPエンティティとは1対1の関係です。SNMPエンジンは,同一管理ドメイン内でユニークなSNMPエンジンIDにより識別されます。
(c) ユーザ認証と暗号化機能
SNMPv1,SNMPv2Cでのコミュニティ名による認証に対して,SNMPv3ではユーザ認証を行います。また,SNMPv1,SNMPv2Cにはなかった暗号化機能もSNMPv3でサポートされています。ユーザ認証と暗号化機能は,ユーザ単位に設定できます。
本装置では,ユーザ認証に使用する認証プロトコルとして次のプロトコルをサポートしています。
- HMAC-MD5-96
-
MD5アルゴリズムを使用した認証プロトコルです。128ビットのダイジェストのうち,先頭の96ビットを使用します。
- HMAC-SHA-96
-
SHA-1アルゴリズムを使用した認証プロトコルです。160ビットのダイジェストのうち,先頭の96ビットを使用します。
- HMAC-SHA-256
-
SHA-256アルゴリズムを使用した認証プロトコルです。256ビットのダイジェストのうち,先頭の192ビットを使用します。
- HMAC-SHA-512
-
SHA-512アルゴリズムを使用した認証プロトコルです。512ビットのダイジェストのうち,先頭の384ビットを使用します。
暗号化機能に使用するプライバシープロトコルとして次のプロトコルをサポートしています。
- CBC-DES
-
DESアルゴリズムと,暗号利用モードCBCを組み合わせて暗号化するプライバシープロトコルです。
- CFB128-AES-128
-
AESアルゴリズムと,暗号利用モードCFBを組み合わせて暗号化するプライバシープロトコルです。
(d) MIBビューによるアクセス制御
SNMPv3では,ユーザ単位に,アクセスできるMIBオブジェクトの集合を設定できます。このMIBオブジェクトの集合をMIBビューと呼びます。MIBビューは,MIBのオブジェクトIDのツリーを表すビューサブツリーを集約することによって表現されます。集約する際には,ビューサブツリーごとにincluded(MIBビューに含む),またはexcluded(MIBビューから除外する)を選択できます。MIBビューは,ユーザ単位に,Readビュー,Writeビュー,Notifyビューとして設定できます。
次に,MIBビューの例を示します。MIBビューは,「図18‒5 MIBビューの例」に示すようなMIBツリーの一部であるMIBサブツリーをまとめて設定します。オブジェクトID 1.1.2.1.2は,サブツリー1.1.2.1に含まれるので,MIBビューAでアクセスできます。しかし,オブジェクトID 1.2.1は,どちらのサブツリーにも含まれないので,アクセスできません。また,オブジェクトID 1.1.2.1.2.1.4は,サブツリー1.1.2.1.2.1がビューAから除外されているためアクセスできません。