SNMPv3

使用開始

SNMPv3 を使用して WhatsUp Gold からの監視を行う前に、ターゲットデバイスについて以下の点を確認してください。

• SNMPv3 (物理的なデバイスで) を使用するように設定されている。デバイスでは、SNMPv3 エージェントが実行されている必要があります。また、デバイスにはデフォルトまたはカスタムの SNMP エンジン ID が必要です。
• 適切な SNMPv3 グループおよびビューへのアクセス権を持つ SNMPv3 ユーザーが (物理デバイスで) 定義されている。
• VLAN 特有のコンテキストをサポートするデバイスの場合、デバイスで定義されている VLAN と、固有の各 VLAN のコンテキストが関連付けられている。(詳細は、本トピックで後述します。)
• WhatsUp Gold 内で適切な SNMPv3 認証情報と関連付けられている。マイネットワークでデバイスを選択した際に、デバイスカードにはこの関連付けが表示されます。

SNMPv2 との相違点

SNMPv2 とは異なり、SNMPv3 では View Based Access Control Model (VACM) が採用されています。つまり、WhatsUp Gold SNMPv3 モニタでは、管理対象デバイスの権限および特権を持つユーザーが必要です。[SNMPv3 認証情報] ダイアログ ( [ユーザー名] ) で指定したこの SNMPv3 ユーザーは、サイト要件の必要に応じて、特定の MIB リソースにアクセスするためにデバイスの特権をすでに持っているか、特権が必要なユーザーを表しています。

これはオプションですが、有効なユーザー認証情報 ( [認証プロトコル] ) とペイロードの暗号化 ( [暗号化プロトコル] ) の両方を使用して、MIB オブジェクトを管理することをお勧めします。この機能の補足を組み合わせて、ターゲットデバイスの SNMPv3 認証サービスと範囲指定されたリソースアクセス (MIB オブジェクトビューの一部の形式で) の両方を活用することで、SNMPv3 の完全な機能を提供します。

[SNMPv3 Credential Configuration (SNMPv3 認証情報設定)] ダイアログ

SNMPv3 認証情報を作成するには、次のフィールドを設定します。

• [名前] 。認証情報の固有の名前を入力します。この名前は認証情報ライブラリに表示されます。
• [説明] 。(省略可能) 認証情報に関する追加情報を入力します。この情報は、認証情報ライブラリで認証情報の横に表示されます。
• [ユーザー名] 。ターゲットデバイスで実行中の SNMP エージェントによって認識されているアクセス特権を持つユーザー名を入力します。このユーザー名は、認証ヘッダーの各 SNMP パケットに含まれています。SNMP デバイスはパケットを受け取ると、このユーザー名を使用して設定されている認証パラメータと暗号化パラメータを検索し、受信したメッセージに適用します。
• [コンテキスト] 。(オプション) この機能を使用する場合に、ターゲットデバイスで定義された SNMPv3 コンテキストがわかる場合は、適切な SNMPv3 コンテキストの名前をここに入力します。ここに入力する値は、プライマリコンテキストを表します。MIB オブジェクトのコレクションへのアクセスを制限するように、デバイスのコンテキストを定義することができます。空白値 ("") (デフォルトコンテキストとも呼ばれます) は、明示的な (名前付き) コンテキストの定義によって定義されていない MIB にアクセスできることを示します。
  注: VLAN 特有のテーブル (つまり、BRIDGE-MIB) へのアクセスにコンテキストを使用する場合は、1 つ以上の [VLAN パターン] エントリを指定してください。
• [VLAN パターン] 。(1 つ以上のアクティブな BRIDGE-MIB コンテキストビューを照合する場合に使用されます。)

  このコントロールを使用すると、VLAN 特有のテーブルへのアクセス用のコンテキストを指定することができます。特定の VLAN に使用するコンテキストを決定するときに、WhatsUp Gold は一致した VLAN の VLAN 特有の情報にアクセスできる最初のパターンを検出するため、各パターンを試行します。以下の「VLAN パターンマッチングの構文と例」を参照してください。

  重要: WhatsUp Gold がこの認証情報の有効性を検証しようとするときに、どの VLAN をクエリするかを把握できるように (ルーティングテーブルからコンテンツを正常に読み取るなど)、デフォルトコンテキスト ("") またはプライマリコンテキスト (指定されている場合) には VLAN テーブルへのアクセス権が含まれる必要があります。
• [認証] 。必要に応じて、この SNMP 認証情報の認証プロトコルを選択します。
  • [プロトコル] 。SNMPv3 パケットを認証するためのアルゴリズムメソッドを選択します。MD5 は 128 ビットのデジタル署名を作成し、SHA-1 は 160 ビットのデジタル署名を作成し、SHA-256 は 256 ビットのデジタル署名を作成します。
  • [パスワード] 。認証パスワードを入力します。
  • [パスワードの確認] 。認証パスワードを確認するために再入力します。
• [暗号化] 。サポートされており、認証プロトコルが SNMPv3 デバイス用に選択されている場合は、SNMP 認証情報の暗号化プロトコルを選択します。
  • [プロトコル] 。SNMPv3 パケットを暗号化するためのアルゴリズムメソッドを選択します。DES56 は 56 ビットの暗号化スキームを使用し、AES-128 は 128 ビットの暗号化スキームを使用し、AES-192 は 192 ビットの暗号化スキームを使用し、AES-256 は 256 ビットの暗号化スキームを使用します。Triple DES 暗号化を選択することもできます。
  • [パスワード] 。キーに使用される暗号化パスフレーズを入力します。
  • [パスワードの確認] 。認証パスワードを確認するために再入力します。

VLAN パターンマッチングの構文と例

アクティブな VLAN コンテキストとのマッチングには、次のうち 1 つまたは複数の方法を使用できます。

[Pattern prefix and substitution (パターンプレフィックスと置換)]。コンテキスト名 (VLAN 名/インデックスではなく) がわかる場合に有用です:

例 1: MyVLanContext-{index}

—ここで、 {index} は、デバイスによって認識されている VLAN のリストから読み取られた VLAN インデックスに (繰り返し) 置換されます。

例 2: VLANContext-{name}

—ここで、 {name} は、デバイスによって認識されている VLAN のリストから読み取られた VLAN 名に (繰り返し) 置換されます。

[Literal VLAN name/index and Context pair (no substitution) (リテラル VLAN 名/インデックスとコンテキストのペア (置換なし))]。コンテキストと VLAN 名の両方に対して明示的な値を試す場合に有用です。

構文: <name> :< context>

例 3: VLAN0065:bridge1

—ここで、 VLAN0065 はデバイスに認識されている VLAN であり、 bridge1 は VLAN0065 MIB 値へのゲーティングアクセスに定義可能なコンテキストです。

構文: <number> :< context>

例 4: 65:bridge1

—ここで、 65 はデバイスに認識されている VLAN 番号であり、 bridge1 はその VLAN に特有の MIB 値へのゲーティングアクセスに定義可能なコンテキストです。

(コンテキストは、デバイスの VLAN テーブルと関連付けられている BRIDGE-MIB オブジェクトのコンテンツを読み取る場合に必要です。)

VLAN パターンマッチングのベストプラクティス

VLAN パターンにパターンマッチングまたは置換を使用する場合に考慮すべき重要点を以下に示します。

• コンテキスト名には覚えておきやすいプレフィックスを使用してください。 vlan-10 など (ここで、10 は VLAN インデックスです)。
• VLAN コンテキストに簡単なパターンがない場合、特定の (よりリテラルな) パターンを指定して完全一致を取得することができます。
• デバイスで VLAN コンテキスト名を確認できます (たとえば、サポートされている Cisco スイッチの場合、 #show snmp context )。