Secure Domain Manager の動作
Secure Domain Manager は、SNMPv1、SNMPv2 および SNMPv3 通信をサポートしています。SDM (SDManager)と SDC (SDConnector)の 2 つの異なるプロセスで構成されています。
casp1032jp
Secure Domain Manager は、SNMPv1、SNMPv2 および SNMPv3 通信をサポートしています。SDM (SDManager)と SDC (SDConnector)の 2 つの異なるプロセスで構成されています。
- SDManagerSDManagerは SpectroSERVER によってロードされるサーバ メッセージング ライブラリです。
- SDConnectorSDConnectorは、SpectroSERVER の SDManager との通信を担当するリモート プロセスです。これはリモート プライベート ネットワークにあるホスト マシンで実行され、プライベート ネットワークのデバイスを管理できるように、(通常、プライベート IP 領域に展開される) SpectroSERVER の代理として SNMP および ICMP メッセージを転送できます。SDConnector は、プライマリとバックアップの両方の SpectroSERVER 情報を含めることができる設定ファイル(sdc.config)を使用して設定されます。これは Secure Domain Manager ソリューションの一部です。
以下は、これらのプロセスが安全なネットワーク環境で展開する仕組みを示した図です。
注:
SDC と SDM 間で 1 対 1 にマッピングすることをお勧めします。複数の SDM が単一の SDC に接続されている場合、SDC は接続されているすべての SDM にトラップを転送します。Secure Domain Manager を使用した NAT ネットワーク環境
注:
SpectroSERVER と同じ領域に配置されるデバイスは SNMP を使用して管理されますが、Secure Domain Manager を使用しません。パブリック IP 領域にある SpectroSERVER が、リモートの安全な領域にあるデバイスと通信する必要がある場合、SpectroSERVER は SDManager に要求を送信します。SDManager は、SNMP データを独自の形式に変換し、デバイスと同じ領域内にある SDConnector にデータを送信します。SDManager と SDConnector が SSL で実行されるように設定されている場合、SSL over TCP を使用し、データは暗号化され、安全なトンネルを通って SDConnector に送信されます。SDConnector はデータを受信すると、SNMP にデータを再変換し、適切なデバイスに要求を送信します。
ファイアウォールが展開されている場合も同じように動作します。ネットワーク管理者は、既知の 2 つのホストの専用のファイアウォールごとに「ホール」を作成する必要があります。2 つ以上のファイアウォールを通過する領域内にあるデバイスも、このソリューションを使用して管理可能です。この通信を有効にするには、各ファイアウォールでポートを開きます。このポートは既知のポートである必要があります。これにより、隣接する領域内の既知のホストのペアが TCP を使用して通信できます。
重複する IP ドメインを管理するために Secure Domain Manager を展開する場合は、各 SDConnector ホスト マシンが一意のパブリック IP アドレスを持っている必要があります。ホストは、SDConnector が通信する必要があるすべてのデバイス(SpectroSERVER ホスト マシン、およびそれが管理する 1 つのプライベート IP ドメイン内のすべてのデバイスを含む)と通信できる必要があります。 この SDConnector ホストの可能性の高い候補は、NAT から一意の IP アドレスが静的に割り当てられる、NAT の背後のマシンです。SpectroSERVER は追加の識別子として SDConnector ホスト マシンの一意の IP アドレスを使用し、同じプライベート IP アドレスを持つ複数のデバイスを一意に識別します。
注:
Network Configuration Manager (NCM)および IP サービス管理アプリケーション(Multicast Manager および Enterprise VPN Manager を含む)など、特定の CA Spectrum
製品は重複する IP アドレスを管理できません。ただし、SpectroSERVER ではなく SDConnector でデバイスをモデリングする場合、引き続きこれらのアプリケーションと共に Secure Domain Manager を使用できます。そのような設定では、重複する IP アドレスを使用して設定されたデバイスを SDConnector が管理していない場合、各 SpectroSERVER に対して複数の SDConnector を展開できます。この方法を使用して、ローカル SpectroSERVER 上でもデバイスをモデリングできますが、SDConnector 経由で管理されているデバイス上で設定された IP アドレスと重複する IP アドレスを使用してデバイスが設定されていない場合に限られます。