Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

SNMPv3の設定

QFX3500スイッチは、SNMPバージョン3(SNMPv3)をサポートします。SNMPv3では、ユーザー認証とデータ暗号化をサポートしており、SNMPv1とSNMPv2cの機能が強化されています。SNMPv3では、ユーザーベースのセキュリティモデル(USM)を使用することでSNMPメッセージにセキュリティを提供し、ビューベースのアクセス制御モデル(VACM)を使用してユーザーアクセス制御を提供します。

SNMPv3の機能は次のとおりです:

  • USMを使用すると、SNMPマネージャとエージェント間のSNMPメッセージで、メッセージ ソースが認証され、データの整合性を確認することができます。USMは、タイムアウト制限を適用し、重複するメッセージ要求IDをチェックすることにより、メッセージングの遅延とメッセージの再生を削減します。

  • VACMは、エージェントにSNMPクエリーのユーザーアクセス制御を提供することで、USMを補完します。1 人以上のユーザーのグループに拡張するアクセス権を定義します。アクセス権は、セキュリティモデルパラメーター(usmv1、またはv2)とセキュリティレベルパラメーター(authenticationprivacy、またはnone)によって決定されます。各セキュリティレベルに対して、グループのMIBビューを1つ関連付ける必要があります。MIBビューをグループに関連付けることで、グループのMIBオブジェクトのセットに対する読み取り、書き込み、または通知のアクセス許可が付与されます。

  • ユーザー名、認証の種類と認証パスワード、プライバシーの種類とプライバシーパスワードなど、各ユーザーのセキュリティパラメーターを設定します。各ユーザーに与えられるユーザー名は、そのユーザーに対して構成されたセキュリティモデルに依存する形式です。

  • メッセージングのセキュリティを確保するために、セキュリティ名と呼ばれる別のタイプのユーザー名が、ローカルSNMPサーバーと送信先SNMPサーバー間に送信されるメッセージングデータに含まれます。各ユーザー名はセキュリティ名にマップされますが、セキュリティ名はセキュリティモデルには依存しない形式で作成されます。

  • SNMPv3のトラップエントリーは、通知、通知フィルター、ターゲットアドレス、およびターゲットパラメーターを設定することで作成されます。notifyステートメントは、通知のタイプ(トラップ)を指定し、トラップを受信するターゲットアドレスセットを定義する単一のタグが含まれます。通知フィルターは、トラップのオブジェクト識別子 (OID) の集合体へのアクセスを定義します。ターゲットアドレスは、SNMP管理アプリケーションのアドレスと、通知の送信に使用されるその他の属性を定義します。ターゲットパラメーターは、特定のターゲットに通知を送信するときに使用するメッセージ処理とセキュリティパラメーターを定義します。

SNMPv3 を設定するには、以下のタスクを実行します。

注:

SNMPv3は、認証キーと暗号化キーと共にUSMを使用することにより、SNMPメッセージのセキュリティを強化します。そのため、SNMPv3 を使用してルーターまたはスイッチにクエリを実行するときに、外部マシンを制限する必要はありません。そのため、Junos OSまたはJunos OS EvolvedでのSNMPv3設定は、アクセス制限のクライアントリストをサポートしていません。

しかしながら、SNMPv2はコミュニティ文字列ベースのアクセスに依存するため、特定のクライアントマシンがSNMPクエリーを送信できるようにするには、クライアントリストを使用する必要があります。

SNMPv3ユーザーを作成する

各 SNMPv3 ユーザーに対して、ユーザー名、認証タイプ、認証パスワード、プライバシ タイプ、プライバシ パスワードを指定できます。ユーザーがパスワードを入力すると、エンジンIDとパスワードに基づくキーが生成され、構成ファイルに書き込まれます。キーの生成後、この設定ファイルからパスワードを削除できます。

SNMPv3ユーザー1つにつき、暗号化タイプは1つだけ設定できます。

ユーザーを作成するには、[edit snmp v3 usm local-engine]階層レベルでuserステートメントを記述します。

ユーザー認証と暗号化を設定するには、[edit snmp v3 usm local-engine user username]階層レベルで次のステートメントを記述します。

Junos OS搭載デバイスにおけるSNMPv3の最小構成

SNMPv3を最小要件で設定するには、[edit snmp v3]および[edit snmp]階層レベルで次のステートメントを記述します。

[edit snmp view-name] 階層レベルで少なくとも1つのビュー(通知、読み取りまたは書き込み)を設定する必要があります。

  1. ユーザーを作成し、認証を設定します。
    user@host# set snmp v3 usm local-engine user superuser authentication-md5 authentication-password 12345678
    user@host#set snmp v3 usm local-engine user superuser privacy-aes128 privacy-password 12345678
  2. グループへのアクセス権限を設定します。
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication context-match exact
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication read-view readview
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication write-view writeview
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication notify-view notifyview
    user@host# set snmp v3 vacm security-to-group security-model usm security-name superuser group supergroup
  3. (オプション)トラップ通知が送信されるターゲットアドレスプロパティを設定します。
    user@host# set snmp v3 target-address TA address <nms-ipaddress> tag-list trap_recv target-parameters tp1
    user@host# set snmp v3 target-parameters tp1 parameters message-processing-model v3 security-model usm security-level authentication security-name superuser
    user@host# set snmp v3 target-parameters tp1 notify-filter nfilter1
    user@host# set snmp v3 notify-filter nfilter1 oid .1 include
    user@host# set snmp v3 notify notify1 type trap tag trap_recv
  4. snmpビューを設定して、MIBへのアクセスを読み書きおよび通知します。
    user@host# set snmp view readview oid .1 include
    user@host# set snmp view writeview oid .1 include
    user@host# set snmp view notifyview oid .1 include

関連項目

例:SNMPv3 設定

SNMPv3 設定を定義します。