5.1.3 SNMPアクセス制御
管理対象デバイス上のSNMPエージェントとの通信には,アクセス制御資格情報が必要です。
SNMPv1とSNMPv2c
各NNMi要求内のコミュニティ文字列は,応答するSNMPエージェントで設定されているコミュニティ文字列と一致する必要があります。通信はすべて,クリアテキスト(暗号化なし)でネットワークを通過します。
SNMPv3
SNMPエージェントとの通信は,ユーザーベースのセキュリティモデル(USM)に従います。各SNMPエージェントには,設定済みのユーザー名とそれに関連する認証要件のリストがあります(認証プロファイル)。すべての通信のフォーマットは,設定によって制御されます。NNMi SNMP要求は,有効なユーザーを指定し,そのユーザーに対して設定されている認証とプライバシの制御に従う必要があります。
認証プロトコルは,メッセージ認証を使用しないか,HMAC-MD5-96,HMAC-SHA-1,HMAC128-SHA-224,HMAC192-SHA-256,HMAC256-SHA-384,またはHMAC384-SHA-512のどれかを選択したものの,ハッシュベースのメッセージ認証コードを使用します。
-
プライバシプロトコルは,暗号化を使用しないか,DES-CBC,TripleDES,AES-128,AES-192またはAES-256のどれかを選択したものの,対称暗号化プロトコルを使用します。
DES-CBCは弱い暗号と考えられています。そのため,DES-CBCを使用する場合は,より強い暗号を選択することをお勧めします。NNMiが管理するノードでSNMPv3通信を設定する場合は,DES-CBCの使用はお勧めしません。
暗号の選択を変更する場合は,次の手順で実施します。
NNMiコンソールから,[設定]ワークスペースをクリックする。
[インシデント]フォルダを展開する。
[トラップサーバー]フォルダを展開する。
[トラップ転送設定..]をクリックする。
[プライバシプロトコル]リストで,より強い暗号を選択する。
NNMiは,(IPアドレスフィルタやホスト名フィルタ経由で定義された)ネットワークの領域のマルチSNMPアクセス制御資格情報の仕様をサポートします。NNMiは,設定したすべての値を,所定のSNMPセキュリティレベルで並行して試し,その領域内のデバイスと通信しようとします。NNMiがその領域で使用する最小限のSNMPセキュリティレベルを指定できます。NNMiは,各ノードから返される最初の値(デバイスのSNMPエージェントからの応答)を検出と監視の目的で使用します。
デフォルトのHA環境では,SNMPソースアドレスは物理クラスタノードアドレスに設定されます。SNMPソースアドレスをNNM_INTERFACE(仮想IPアドレスに設定される)に設定するには,ov.confファイルを編集して,IGNORE_NNM_IF_FOR_SNMPの値をOFFに設定する必要があります(デフォルトでは,これはONに設定されます)。