ネットワークを管理(SNMPv3) : コマンド設定

管理番号:YMHSW-4180

本設定例の対応機種は、SWX2310P-28GTSWX2310P-18GSWX2310P-10GSWX2300-24G(Rev.2.00.10以降)、SWX2300-16G(Rev.2.00.10以降)、SWX2300-8G(Rev.2.00.10以降)です。

図 ネットワークを管理(SNMPv3) : コマンド設定

インテリジェントL2スイッチのSNMP機能を使用して、スイッチを監視する設定例です。
スイッチは、SNMPエージェントとして動作し、SNMPマネージャーからの管理情報の要求に応答します。また、スイッチの状態に変化があった場合、SNMPマネージャーに通知することもできます。

本設定例では、通信内容の認証と暗号化ができるSNMPv3をご紹介します。
SNMPv3では、SNMPv2までの全機能に加え、セキュリティー機能が強化されています。ネットワーク上を流れるSNMPパケットを認証、暗号化することで、盗聴、なりすまし、改ざん、リプレイ攻撃などを防ぐことができます。

技術情報:SNMP (SWX2310PSWX2300

本設定例では、以下の内容を設定しています。

  • SNMPビュー:MIB-II(1.3.6.1.2.1)
  • SNMPグループ名:admin
  • SNMPユーザー名:admin1
  • 認証アルゴリズム:HMAC-SHA-96
  • 暗号化アルゴリズム:AES128-CFB
  • 送信トラップの種類:リンクダウン、リンクアップ
  • SNMPマネージャーのIPアドレス:192.168.100.200
  • スイッチのIPアドレス:192.168.100.240

スイッチの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

SWX2310Pの場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2310P>enable
    SWX2310P#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2310P#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2310P(config)#
    
  3. SNMPビューを設定します。
    [コンソール]
    SWX2310P(config)#snmp-server view mib-2 1.3.6.1.2.1 include
    SWX2310P(config)#
    
  4. SNMPグループを設定します。
    [コンソール]
    SWX2310P(config)#snmp-server group admin priv read mib-2
    SWX2310P(config)#
    
  5. SNMPユーザーを定義し、通信内容の認証と暗号化で使用するアルゴリズムとパスワードを設定します。
    [コンソール]
    SWX2310P(config)#snmp-server user admin1 admin auth sha (認証パスワード) priv aes (暗号化パスワード)
    SWX2310P(config)#
    
  6. トラップ送信先のアドレス、セキュリティーレベル、ユーザー名を設定します。トラップの送信先のアドレスには、SNMPマネージャーのIPアドレスを設定します。
    [コンソール]
    SWX2310P(config)#snmp-server host 192.168.100.200 traps version 3 priv admin1
    SWX2310P(config)#
    
  7. SNMPマネージャーに送信するトラップの種類を設定します。
    [コンソール]
    SWX2310P(config)#snmp-server enable trap linkdown linkup
    SWX2310P(config)#
    

設定内容

SNMPv3の設定 snmp-server view mib-2 1.3.6.1.2.1 include
snmp-server group admin priv read mib-2
snmp-server user admin1 admin auth sha (認証パスワード) priv aes (暗号化パスワード)
snmp-server host 192.168.100.200 traps version 3 priv admin1
snmp-server enable trap linkdown linkup

設定の確認

・「show snmp view」コマンドでSNMPビューの設定内容を確認します。

[コンソール]
SWX2310P#show snmp view
SNMP View information
  View Name: mib-2
   OID: 1.3.6.1.2.1
   Type: include
SWX2310P#
[解説]
SNMPビュー mib-2 の管理対象となるオブジェクトIDは、1.3.6.1.2.1にしています。コマンドの詳細は、SNMPビューの設定内容の表示 をご覧ください。

・「show snmp group」コマンドでSNMPグループの設定内容を確認します。

[コンソール]
SWX2310P#show snmp group
SNMP Group information
  Group Name: admin
  Security Level: priv
  Read View: mib-2
SWX2310P#
[解説]
SNMPグループ admin のセキュリティーレベルは、認証あり、暗号化ありで、mib-2 を読み込み用ビューとしています。コマンドの詳細は、SNMPグループの設定内容の表示 をご覧ください。

・「show snmp user」コマンドでSNMPユーザーの設定内容を確認します。

[コンソール]
SWX2310P#show snmp user
SNMP User information
  EngineID: 0x8000049e0300a0deaeb829

  User Name: admin1
  Group Name: admin
  Auth: sha
  Priv: aes
SWX2310P#
[解説]
SNMPユーザー admin1 は、admin グループに所属し、認証アルゴリズムに HMAC-SHA-96、暗号化アルゴリズムに AES128-CFB を使用しています。コマンドの詳細は、SNMPユーザーの設定内容の表示 をご覧ください。

SNMPマネージャーにて、以下を確認できます。

  • SNMPマネージャーから、SWX2310Pにユーザー名「admin1」でアクセスすることで、SWX2310Pの管理情報を取得できます。ネットワーク上に流れるSNMPパケットは暗号化されます。
  • SWX2310Pのポートのリンクアップ、リンクダウンが発生した場合、SNMPマネージャー宛てにトラップが送信されます。ネットワーク上に流れるSNMPパケットは暗号化されます。
SWX2300の場合

下記の設定(Config)を取り出すことができます。

設定手順

  1. ユーザモードから特権EXECモードに移行します。
    [コンソール]
    SWX2300>enable
    SWX2300#
    
  2. グローバルコンフィグレーションモードに移行します。
    [コンソール]
    SWX2300#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    SWX2300(config)#
    
  3. SNMPビューを設定します。
    [コンソール]
    SWX2300(config)#snmp-server view mib-2 1.3.6.1.2.1 include
    SWX2300(config)#
    
  4. SNMPグループを設定します。
    [コンソール]
    SWX2300(config)#snmp-server group admin priv read mib-2
    SWX2300(config)#
    
  5. SNMPユーザーを定義し、通信内容の認証と暗号化で使用するアルゴリズムとパスワードを設定します。
    [コンソール]
    SWX2300(config)#snmp-server user admin1 admin auth sha (認証パスワード) priv aes (暗号化パスワード)
    SWX2300(config)#
    
  6. トラップ送信先のアドレス、セキュリティーレベル、ユーザー名を設定します。トラップの送信先のアドレスには、SNMPマネージャーのIPアドレスを設定します。
    [コンソール]
    SWX2300(config)#snmp-server host 192.168.100.200 traps version 3 priv admin1
    SWX2300(config)#
    
  7. SNMPマネージャーに送信するトラップの種類を設定します。
    [コンソール]
    SWX2300(config)#snmp-server enable trap linkdown linkup
    SWX2300(config)#
    

設定内容

SNMPv3の設定 snmp-server view mib-2 1.3.6.1.2.1 include
snmp-server group admin priv read mib-2
snmp-server user admin1 admin auth sha (認証パスワード) priv aes (暗号化パスワード)
snmp-server host 192.168.100.200 traps version 3 priv admin1
snmp-server enable trap linkdown linkup

設定の確認

・「show snmp view」コマンドでSNMPビューの設定内容を確認します。

[コンソール]
SWX2300#show snmp view
SNMP View information
  View Name: mib-2
   OID: 1.3.6.1.2.1
   Type: include
SWX2300#
[解説]
SNMPビュー mib-2 の管理対象となるオブジェクトIDは、1.3.6.1.2.1にしています。コマンドの詳細は、SNMPビューの設定内容の表示 をご覧ください。

・「show snmp group」コマンドでSNMPグループの設定内容を確認します。

[コンソール]
SWX2300#show snmp group
SNMP Group information
  Group Name: admin
  Security Level: priv
  Read View: mib-2
SWX2300#
[解説]
SNMPグループ admin のセキュリティーレベルは、認証あり、暗号化ありで、mib-2 を読み込み用ビューとしています。コマンドの詳細は、SNMPグループの設定内容の表示 をご覧ください。

・「show snmp user」コマンドでSNMPユーザーの設定内容を確認します。

[コンソール]
SWX2300#show snmp user
SNMP User information
  EngineID: 0x8000049e0300a0deaeb829

  User Name: admin1
  Group Name: admin
  Auth: sha
  Priv: aes
SWX2300#
[解説]
SNMPユーザー admin1 は、admin グループに所属し、認証アルゴリズムに HMAC-SHA-96、暗号化アルゴリズムに AES128-CFB を使用しています。コマンドの詳細は、SNMPユーザーの設定内容の表示 をご覧ください。

SNMPマネージャーにて、以下を確認できます。

  • SNMPマネージャーから、SWX2300にユーザー名「admin1」でアクセスすることで、SWX2300の管理情報を取得できます。ネットワーク上に流れるSNMPパケットは暗号化されます。
  • SWX2300のポートのリンクアップ、リンクダウンが発生した場合、SNMPマネージャー宛てにトラップが送信されます。ネットワーク上に流れるSNMPパケットは暗号化されます。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ