コンフィグレーションガイド Vol.1


16.1.1 SNMP概説

〈この項の構成〉

(1) ネットワーク管理

ネットワークシステムの稼働環境や性能を維持するためには,高度なネットワーク管理が必要です。SNMP(simple network management protocol)は業界標準のネットワーク管理プロトコルです。SNMPをサポートしているネットワーク機器で構成されたマルチベンダーネットワークを管理できます。管理情報を収集して管理するサーバをSNMPマネージャ,管理される側のネットワーク機器をSNMPエージェントといいます。ネットワーク管理の概要を次の図に示します。

図16‒1 ネットワーク管理の概要

[図データ]

(2) SNMPエージェント機能

本装置のSNMPエージェントは,ネットワーク上の装置内部に組み込まれたプログラムです。装置内の情報をSNMPマネージャに提供する機能があります。装置内にある各種情報をMIB(Management Information Base)と呼びます。SNMPマネージャは,装置の情報を取り出して編集・加工し,ネットワーク管理を行うための各種情報をネットワーク管理者に提供するソフトウェアです。MIB取得の例を次の図に示します。

図16‒2 MIB取得の例

[図データ]

本装置の運用コマンドにはMIB情報を表示するためのSNMPコマンドがあります。このコマンドは,自装置およびリモート装置のSNMPエージェントのMIBを表示します。

本装置では,SNMPv1(RFC1157),SNMPv2C(RFC1901),およびSNMPv3(RFC3410)をサポートしています。SNMPマネージャを使用してネットワーク管理を行う場合は,SNMPv1,SNMPv2C,またはSNMPv3プロトコルで使用してください。なお,SNMPv1,SNMPv2C,SNMPv3をそれぞれ同時に使用することもできます。

また,SNMPエージェントはトラップ(Trap)やインフォーム(Inform)と呼ばれるイベント通知(主に障害発生の情報など)機能があります。以降,トラップおよびインフォームをSNMP通知と呼びます。SNMPマネージャは,SNMP通知を受信することで定期的に装置の状態変化を監視しなくても変化を知ることができます。ただし,トラップはUDPを使用しているため,装置からSNMPマネージャに対するトラップの到達確認ができません。そのため,ネットワークの輻輳などによって,トラップがマネージャに到達しない場合があります。トラップの例を次の図に示します。

図16‒3 トラップの例

[図データ]

インフォームもトラップと同じUDPによるイベント通知ですが,トラップとは異なってSNMPマネージャからの応答を要求します。そのため,応答の有無でインフォームの到達を確認できます。これによって,ネットワークの輻輳などに対してもインフォームの再送で対応できます。

本装置のSNMPプロトコルはIPv6に対応しています。コンフィグレーションに設定したSNMPマネージャのIPアドレスによって,IPv4またはIPv6アドレスが設定されているSNMPマネージャからのMIB要求や,SNMPマネージャへのSNMP通知を送信できます。IPv4/IPv6 SNMPマネージャからのMIB要求と応答の例を次の図に示します。

図16‒4 IPv4/IPv6 SNMPマネージャからのMIB要求と応答の例

[図データ]

(3) SNMPv3

SNMPv3はSNMPv2Cまでの全機能に加えて,管理セキュリティ機能が大幅に強化されています。ネットワーク上を流れるSNMPパケットを認証・暗号化することによって,SNMPv2Cでのコミュニティ名とSNMPマネージャのIPアドレスの組み合わせによるセキュリティ機能では実現できなかった,盗聴,なりすまし,改ざん,再送などのネットワーク上の危険からSNMPパケットを守ることができます。

(a) SNMPエンティティ

SNMPv3では,SNMPマネージャおよびSNMPエージェントを「SNMPエンティティ」と総称します。本装置のSNMPv3は,SNMPエージェントに相当するSNMPエンティティをサポートしています。

(b) SNMPエンジン

SNMPエンジンは認証,および暗号化したメッセージ送受信と管理オブジェクトへのアクセス制御のためのサービスを提供します。SNMPエンティティとは1対1の関係です。SNMPエンジンは,同一管理ドメイン内でユニークなSNMPエンジンIDによって識別されます。

(c) ユーザ認証とプライバシー機能

SNMPv1,SNMPv2Cでのコミュニティ名による認証に対して,SNMPv3ではユーザ認証を行います。また,SNMPv1,SNMPv2Cにはなかったプライバシー機能(暗号化,復号化)もSNMPv3でサポートされています。ユーザ認証とプライバシー機能は,ユーザ単位に設定できます。

本装置では,ユーザ認証プロトコルとして次の二つプロトコルをサポートしています。

  • HMAC-MD5-96(メッセージダイジェストアルゴリズムを使用した認証プロトコル。128ビットのダイジェストのうち,最初の96ビットを使用する。秘密鍵は16オクテット)

  • HMAC-SHA-96(SHAメッセージダイジェストアルゴリズムを使用した認証プロトコル。160ビットのSHAダイジェストのうち,最初の96ビットを使用する。秘密鍵は20オクテット)

プライバシープロトコルとして次のプロトコルをサポートしています。

  • CBC-DES(Cipher Block Chaining - Data Encryption Standard。共通鍵暗号アルゴリズムであるDES(56ビット鍵)を,CBCモードで強力にした暗号化プロトコル)

(d) MIBビューによるアクセス制御

SNMPv3では,ユーザ単位に,アクセスできるMIBオブジェクトの集合を設定できます。このMIBオブジェクトの集合をMIBビューと呼びます。MIBビューは,MIBのオブジェクトIDのツリーを表すビューサブツリーを集約することによって表現されます。集約する際には,ビューサブツリーごとにincluded(MIBビューに含む),またはexcluded(MIBビューから除外する)を選択できます。MIBビューは,ユーザ単位に,Readビュー,Writeビュー,Notifyビューとして設定できます。

次に,MIBビューの例を示します。MIBビューは,「図16‒5 MIBビューの例」に示すようなMIBツリーの一部であるMIBサブツリーをまとめて設定します。オブジェクトID 1.1.2.1.2は,サブツリー1.1.2.1に含まれるので,MIBビューAでアクセスできます。しかし,オブジェクトID 1.2.1は,どちらのサブツリーにも含まれないので,アクセスできません。また,オブジェクトID 1.1.2.1.2.1.4は,サブツリー1.1.2.1.2.1がビューAから除外されているためアクセスできません。

図16‒5 MIBビューの例

[図データ]