SNMPv3 サポート
内容
casp1032jp
内容
注:
SNMPv3 規格では、各 SNMP エンティティ(またはエンジン)に固有の engineID が割り当てられている必要があります。SNMP エンジン/アプリケーションには、それがマネージャかエージェントかに関係なく、固有の engineID が割り当てられている必要があります。RFC 3414 と RFC 3418 は、公式の SNMPv3 規格です。詳細については、IETF Web サイト(http://www.ietf.org/rfc.html)を参照してください。SNMPv3 サポートには、以下の機能が含まれます。
- 認証
- プライバシー
- 64 ビット カウンタ
CA Spectrum
は、SNMPv1、SNMPv2c、および SNMPv3 をサポートするデバイスをモデリングし、同時に管理します。SNMP v3 プロファイル作成のセキュア ドメイン オプション
Spectrum 10.3.1 では、SNMP v3 プロファイル作成ダイアログ ボックスでのセキュア ドメイン オプションのサポートが導入されました。この機能では、v3 プロファイルをセキュア ドメインオプションで指定された特定の SDC に制限し、ユーザが他のユーザに属するデバイス プロファイルを表示できないようにすることで、プライバシーとセキュリティを確保しています。ユーザは IP アドレスを指定し、デバイスのセキュア ドメインを設定する必要があります。SNMPV3 プロファイルに関するサポートの強化の詳細については、「SNMP v3 プロファイル ダイアログ ボックス」ページを参照してください。
SNMPv3 の認証
10.3 から、CA Spectrum では、snmpv3 ユーザ名、認証パスワード、およびプライバシー パスワードで「/」および「:」が使用できるようになりました。
SNMPv3 には、未認証、認証済み、プライバシーありで認証済みの 3 つのセキュリティ レベルがあります。SNMPv3 の認証では、メッセージの送信元が有効なソースかどうかを判断する際に、暗号化アルゴリズムを使用します。
CA Spectrum
は、メッセージの認証に関する SNMPv3 規格をサポートしています。デバイス モデルを作成する際、その認証パスワードを指定します。SNMP パケットが SNMPv3 に変換される際、デバイスに送信される SNMPv3 パケットにセキュリティ パラメータが追加されます。デバイス上の SNMPv3 エージェントはメッセージの信頼性をチェックして、パケットの送信元が認証済みソースであることを確認します。
このデバイスから
CA Spectrum
に送信された SNMPv3 データも同様のセキュリティ パラメータを使用します。CA Spectrum
は、パケットを受信して、その信頼性を確認します。CA Spectrum
でサポートされている認証の暗号化アルゴリズムを以下に示します。- MD5 (Message Digest Algorithm): 128 ビット(16 バイト)のメッセージ ダイジェストを生成します。デフォルトの暗号化アルゴリズムです。[プライバシーなしで認証]または[プライバシーありで認証]を使用することによって、MD5 を使用するように設定してデバイスをモデリングできます。
- SHA (Secure Hash Algorithm): 160 ビット(20 バイト)のメッセージ ダイジェストを生成します。
SNMPv3 プライバシーの有効化
SNMPv3 のプライバシーは、暗号化アルゴリズムを使用して SNMPv3 パケットの内容をエンコードし、ネットワーク上に転送されたときに権限のないエンティティによる読み取りが不可能であることを保証することによって実現します。
CA Spectrum
では、メッセージの暗号化に対する SNMPv3 規格がサポートされています。デバイス モデルには、その作成時にプライバシー パスワードを指定します。正しく設定されている場合、
CA Spectrum
は SNMPv3 メッセージをパスワードで暗号化してからネットワーク上に送出します。宛先として指定されたデバイスは、SNMPv3 メッセージを受信して復号化します。このデバイスから CA Spectrum
に返信されるデータも暗号化されます。CA Spectrum
でサポートされているプライバシーの暗号化アルゴリズムを以下に示します。- DES: Data Encryption Standard (DES)は、データの暗号化と復号化を行う 64 ビット規格です。
- 3DES: 3 Data Encryption Standard(DES)は、データの暗号化と復号化を 3 回行う 64 ビット規格です。
- AES: Advanced Encryption Standard (AES)は、データの暗号化と復号化を行う 128 ビット規格の暗号アルゴリズムです。
- AES256: Advanced Encryption Standard (AES 256)は、データの暗号化と復号化を行う 256 ビット規格の暗号アルゴリズムです。
以下の手順に従います。
- コンテンツ画面の[トポロジ]タブで
(IP アドレスで新しいモデルを作成する)ボタンをクリックします。[IP アドレスでモデルを作成]ダイアログ ボックスが表示されます。 - 必要に応じてフィールドにデータを入力します。
- ネットワーク アドレスモデリングするデバイスの IPv4 アドレスまたは IPv6 アドレスを指定します。
- DCM タイムアウト(ミリ秒)次回の再試行までのタイムアウト(ミリ秒)を指定します。デフォルト:3000 ミリ秒(3 秒)
- DCM 再試行回数応答しないデバイスに DCM が要求送信を試行する必要がある回数を入力します。
- エージェント ポートSNMP エージェント ポートを指定します。デフォルト:161
- [SNMP 通信オプション]セクションで[SNMP v3]オプションを選択します。[SNMP コミュニティ文字列]フィールドは無効になります。
- [プロファイル]をクリックし、新しい SNMPv3 セキュリティ プロファイルを作成します。[SNMP v3 プロファイルの編集]ダイアログ ボックスが表示されます。
注:
また、[SNMP v3 プロファイルの編集]ダイアログ ボックスにアクセスするには、[ディスカバリ コンソール]の[設定]タブ内の[プロファイル]をクリックします。詳細については、[SNMPv3 プロファイルの編集]ダイアログ ボックスを参照してください。64 ビット カウンタ
SNMPv3 規格では、64 ビット カウンタがサポートされています。
CA Spectrum
は、SNMPv3 規格に準拠するすべての SNMPv3 デバイスの 64 ビット カウンタ MIB 変数にアクセスできます。SNMPv3 サポートの問題
SNMPv3 サポートに関するいくつかの問題を以下に示します。
- get-bulk コマンドCA Spectrumの SNMPv3 サポートには、get-bulk コマンドは含まれません。
- View Access Control Model (VACM)CA Spectrumでは SNMPv3 の VACM 機能をサポートしていますが、VACM を使用することは推奨していません。CA Spectrumには、デバイスにセキュアにアクセスできる機能が用意されています。CA Spectrumにすべてのデバイス MIB に対するフル ビュー アクセスを許可した場合、効果的な監視と管理のパフォーマンスが得られます。
- パフォーマンスと容量CA Spectrumで SNMPv3 デバイスを効率的に管理するには、大量の処理リソースが必要です。認証機能とプライバシー機能を使用する場合、各メッセージの復号化と認証に時間がかかるので、オーバーヘッドが増加します。このことは、SpectroSERVERが管理できるデバイス モデルの数に影響します。
- SpectroSERVER上の SNMPv3 セキュリティ ユーザ名SNMPv3 の 3 つのレベル(未認証、認証済み、プライバシーありで認証済み)間で同一ユーザ名を共有することはできません。たとえば、SNMPv3 レベル 1 (未認証)でユーザ名「user1」を使用している場合、SNMPv3 レベル 2 (認証済み)や SNMPv3 レベル 3 (プライバシーありで認証済み)ではそれと同じユーザ名を使用できません。