Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SNMPv3 の構成

Junos OS を実行しているデバイスでの最小 SNMPv3 構成

SNMPv3 の最小要件を設定するには、 [edit snmp v3]および[edit snmp]階層レベルで以下のステートメントを追加します。

注:

[edit snmp view-name]階層レベルで少なくとも1つのビュー (通知、読み取り、または書き込み) を設定する必要があります。

例:SNMPv3 構成

SNMPv3 構成の定義:

SNMPv3 ユーザーの作成

各 SNMPv3 ユーザーに対して、ユーザー名、認証タイプ、認証パスワード、プライバシタイプ、プライバシパスワードを指定できます。ユーザーがパスワードを入力すると、エンジン ID とパスワードに基づいたキーが生成され、設定ファイルに書き込まれます。キーが生成されると、パスワードはこの設定ファイルから削除されます。

注:

各 SNMPv3 ユーザーに対して設定できる暗号化タイプは1つだけです。

ユーザーを作成するにはuser 、以下の[edit snmp v3 usm local-engine]明細書を階層レベルに含めます。

usernameSNMPv3 ユーザーを識別する名前です。

ユーザー認証と暗号化を構成するには、次のステートメント[edit snmp v3 usm local-engine user username]を階層レベルに含めます。

例:SNMPv3 ユーザーの作成

SNMPv3 ユーザーの定義:

SNMPv3 認証タイプの設定

デフォルトでは、Junos OS 設定では、SNMPv3 認証タイプがなしに設定されています。

このトピックは、以下のセクションで構成されています。

MD5 認証の設定

SNMPv3 ユーザーの認証タイプとして MD5 (message digest algorithm) を設定するには、 authentication-md5階層レベルの[edit snmp v3 usm local-engine user username]文を含めます。

authentication-password認証に使用されるキーを生成するために使用されるパスワードです。

SNMPv3 のパスワードをルーターまたはスイッチ上で作成する場合、以下の特別な要件があります。

  • パスワードは8文字以上にする必要があります。

  • パスワードには、英数字、特殊文字を含めることができますが、制御文字を含めることはできません。

SHA 認証の設定

SNMPv3 ユーザーの認証タイプとしてセキュアハッシュアルゴリズム (SHA) を設定するには、 authentication-sha階層レベルの[edit snmp v3 usm local-engine user username]文を含めます。

authentication-password認証に使用されるキーを生成するために使用されるパスワードです。

SNMPv3 のパスワードをルーターまたはスイッチ上で作成する場合、以下の特別な要件があります。

  • パスワードは8文字以上にする必要があります。

  • パスワードには、英数字、特殊文字を含めることができますが、制御文字を含めることはできません。

認証を構成しない

SNMPv3 ユーザーの認証を設定しない場合は、 authentication-none次のよう[edit snmp v3 usm local-engine user username]に階層レベルのステートメントを追加します。

SNMPv3 暗号化タイプの設定

デフォルトでは、暗号化は none に設定されています。

注:

暗号化を構成する前に、MD5 または SHA 認証を構成する必要があります。

privacy-desprivacy-3desステートメントをprivacy-aes128構成jcryptoする前に、パッケージをインストールし、SNMP プロセスを再起動するか、ルーターを再起動する必要があります。

このトピックは、以下のセクションで構成されています。

高度な暗号化規格アルゴリズムの設定

SNMPv3 ユーザー用に Advanced Encryption Standard (AES) アルゴリズムを設定するには、 privacy-aes128階層レベルの[edit snmp v3 usm local-engine user username]ステートメントを含めます。

privacy-password暗号化に使用されるキーを生成するために使用されるパスワードです。

SNMPv3 のパスワードをルーターまたはスイッチ上で作成する場合、以下の特別な要件があります。

  • パスワードは8文字以上にする必要があります。

  • パスワードには、英数字、特殊文字を含めることができますが、制御文字を含めることはできません。

データ暗号化アルゴリズムの設定

SNMPv3 ユーザーのデータ暗号化アルゴリズム (DES) を設定するには、次privacy-desのように[edit snmp v3 usm local-engine user username]階層レベルのステートメントを追加します。

privacy-password暗号化に使用されるキーを生成するために使用されるパスワードです。

SNMPv3 のパスワードをルーターまたはスイッチ上で作成する場合、以下の特別な要件があります。

  • パスワードは8文字以上にする必要があります。

  • パスワードには、英数字、特殊文字を含めることができますが、制御文字を含めることはできません。

トリプル DES の構成

SNMPv3 ユーザーに対してトリプル DES を設定するにprivacy-3desは、次[edit snmp v3 usm local-engine user username]のように階層レベルのステートメントを追加します。

privacy-password暗号化に使用されるキーを生成するために使用されるパスワードです。

SNMPv3 のパスワードをルーターまたはスイッチ上で作成する場合、以下の特別な要件があります。

  • パスワードは8文字以上にする必要があります。

  • パスワードには、英数字、特殊文字を含めることができますが、制御文字を含めることはできません。

暗号化を構成しない

SNMPv3 ユーザーの暗号化を設定しない場合は、 privacy-none次のよう[edit snmp v3 usm local-engine user username]に階層レベルのステートメントを追加します。

SNMP グループのアクセス権限の定義

SNMP バージョン 3 (SNMPv3) は、ビューベースのアクセスコントロールモデル (VACM) を使用して、グループに付与されるアクセス権限を設定できます。アクセスは、事前定義されたビューを使用して特定の操作に使用可能な MIB オブジェクトをフィルタリングすることによって制御します。ビューを割り当てることにより、特定のコンテキスト、特定のセキュリティモデル (v1、v2c、usm)、特定のセキュリティレベル (認証済み、プライバシ、または none) を使用して、特定のグループに対して読み取り、書き込み、および通知の各操作に表示されるオブジェクトを決定します。ビューを構成する方法の詳細については、「 MIB ビューの構成」を参照してください。

管理情報への[edit snmp v3 vacm]ユーザーアクセスを階層レベルで定義します。VACM 内のすべてのアクセスコントロールは、グループ、USM で定義されたユーザーの集合、または SNMPv1 と SNMPv2c のセキュリティモデルで定義されたコミュニティー文字列で動作します。これらのsecurity-name一般的なエンドユーザーを意味しています。特定のセキュリティ名が属するグループは、 [edit snmp v3 vacm security-to-group]階層レベルで設定されます。そのセキュリティ名は、 [edit snmp v3 vacm security-to-group]階層レベルで定義されたグループに関連付けることができます。グループは、同じアクセスポリシーを共有する SNMP ユーザーの集合を識別します。次に、 [edit snmp v3 vacm access]階層レベルでグループに関連付けられたアクセス権限を定義します。アクセス権限は、ビューを使用して定義されます。各グループについて、SNMPの運用に応じて異なるビューを適用できます。たとえば、 read ( 、 ) ( )、 通知 、使用されるセキュリティ レベル(認証、プライバシー、またはなし)、および SNMPリクエストで使用されるセキュリティモデル getgetNextgetBulkset (v1、v2c、usm)

security-nameステートメントを使用してグループのメンバーを構成します。USM を使用した v3 パケットでは、セキュリティ名はユーザー名と同じです。SNMPv1 または SNMPv2c のパケットでは、セキュリティ名はコミュニティー文字列に基づいて決定されます。セキュリティー名はセキュリティーモデルに固有のものです。SNMPv1 または SNMPv2c パケットに対して VACM アクセスポリシーも設定している場合は、 [edit snmp v3 vacm security-to-group]階層レベルでセキュリティモデル (SNMPv1 または SNMPv2c) ごとにセキュリティ名をグループに割り当てる必要があります。また、セキュリティ名を階層レベルの SNMP コミュニティに関連 [edit snmp v3 snmp-community community-index] 付ける必要があります。

SNMP グループのアクセス権限を設定するには、以下のよう[edit snmp v3 vacm]に階層レベルのステートメントを追加します。

グループに付与されるアクセス権限の設定

このトピックは、以下のセクションで構成されています。

グループの構成

グループに付与されるアクセス権限を設定するにはgroup 、以下の[edit snmp v3 vacm access]ように階層レベルのステートメントを追加します。

group-nameは、アクセスポリシーを定義する共通 SNMP リストに属している SNMP ユーザーの集合体です。特定の SNMP グループに属しているユーザーは、そのグループに付与されているすべてのアクセス権限を継承します。

セキュリティモデルの設定

セキュリティモデルを構成するには、 security-model次のよう[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)]に階層レベルのステートメントを含めます。

  • any:任意のセキュリティ モデル

  • usm—SNMPv3 セキュリティ モデル

  • v1—SNMPV1 セキュリティ モデル

  • v2c—SNMPv2c セキュリティ モデル

セキュリティレベルの設定

特定のセキュリティレベルでパケットに付与されるアクセス権限を設定するにsecurity-levelは、 [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)]階層レベルに以下のステートメントを追加します。

  • none:認証も暗号化も実行しません。

  • authentication:認証は可能ですが、暗号化は提供しません。

  • privacy:認証と暗号化を提供します。

    注:

    アクセス権限は、設定したセキュリティレベル以上のすべてのパケットに付与されます。SNMPv1 または SNMPv2c のセキュリティモデルを構成しているnone場合は、セキュリティレベルとしてを使用します。SNMPv3 セキュリティモデル (usm) を構成している場合は、 authenticationnone、またprivacyはのセキュリティレベルを使用します。

MIB ビューと SNMP ユーザーグループの関連付け

MIB ビューは、グループのメンバーのアクセス権限を定義します。SNMP がサポートする各セキュリティモデル (usm、v1、および v2c) と各セキュリティーレベル (認証、なし、およびプライバシ) 内では、SNMP 運用 (読み取り、書き込み、通知) ごとに個別のビューを適用できます。

MIB ビューを SNMP ユーザーグループに関連付けるには、以下のステートメントを[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]階層レベルで追加します。

注:

[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]階層レベルで、少なくとも1つのビュー (notify、read、write) を関連付ける必要があります。

[edit snmp view view-name]階層レベルで MIB のビューを設定する必要があります。MIB のビューを構成する方法の詳細については、「 MIB ビューの構成」を参照してください。

このセクションでは、この構成に関連する以下のトピックについて説明します。

通知ビューの設定

SNMP ユーザーグループを使用して通知アクセスを関連付けるにnotify-viewは、階層[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]レベルのステートメントを追加します。

view-name通知アクセスを指定します。これは、SNMP グループ内の各ユーザーに送信できる通知のリストです。ビュー名は、32文字を超えることはできません。

読み取り表示の設定

読み取りビューを SNMP グループに関連付けるには、以下のread-viewように階層[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]レベルのステートメントを追加します。

view-nameSNMP ユーザーグループの読み取りアクセスを指定します。ビュー名は、32文字を超えることはできません。

書き込みビューの設定

書き込みビューを SNMP ユーザーグループに関連付けるには、以下のwrite-viewステートメントを[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]階層レベルに含めます。

view-nameSNMP ユーザーグループの書き込みアクセスを指定します。ビュー名は、32文字を超えることはできません。

例:グループに付与されるアクセス権限の設定

アクセス権限の定義:

セキュリティモデルとセキュリティ名のグループへの割り当て

グループにセキュリティ名を割り当てるには、次のステートメントを[edit snmp v3 vacm security-to-group]階層レベルに追加します。

このトピックは、以下のセクションで構成されています。

セキュリティモデルの設定

セキュリティモデルを構成するには、 security-model次のよう[edit snmp v3 vacm security-to-group]に階層レベルのステートメントを含めます。

  • usm—SNMPv3 セキュリティ モデル

  • v1—SNMPv1 セキュリティ モデル

  • v2c—SNMPv2 セキュリティ モデル

グループへのセキュリティ名の割り当て

セキュリティ名を SNMPv3 ユーザーに関連付ける場合、または v1 または v2 のコミュニティー文字列を指定security-nameする場合は[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] 、階層レベルに以下のステートメントを追加します。

SNMPv3 の場合はsecurity-name[edit snmp v3 usm local-engine user username]階層レベルで設定されたユーザー名が使用されます。SNMPv1 と SNMPv2c では、セキュリティ名は[edit snmp v3 snmp-community community-index]階層レベルで設定されたコミュニティー文字列です。ユーザー名の設定について詳しくは、 SNMPv3 ユーザーの作成を参照してください。コミュニティーの設定について詳しくは、 SNMPv3 コミュニティーの設定を参照してください。

注:

USM セキュリティ名は、SNMPv1 および SNMPv2c のセキュリティ名とは別のものです。SNMPv3 に加え、SNMPv1 と SNMPv2c をサポートしている場合は、階層レベルの[edit snmp v3 vacm access]セキュリティからグループへの構成で、セキュリティ名を個別に設定する必要があります。

グループの構成

SNMPv3 ユーザーまたは v1 または v2 セキュリティ名を作成した後、それらをグループに関連付けます。グループは、特定のセキュリティーモデルに属するセキュリティー名のセットです。グループは、それに属するすべてのユーザーのアクセス権を定義します。アクセス権は、どの SNMP オブジェクトの読み取り、書き込み、または作成が可能かを定義します。また、グループはユーザーが受信できる通知を定義します。

ユーザーに付与するすべての表示およびアクセス権を持つグループがすでにある場合は、そのグループにそのユーザーを追加できます。他のグループを持たないユーザーに対して表示とアクセスを許可する場合、またはグループが構成されていない場合は、グループを作成してユーザーを追加します。

グループに付与されるアクセス権限を設定するにはgroup 、以下の[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name]ように階層レベルのステートメントを追加します。

group-name同じアクセスポリシーを共有する SNMP セキュリティ名のコレクションを識別します。グループの詳細については、 SNMP グループのアクセス権限の定義を参照してください。

例:セキュリティグループの構成

グループへのセキュリティ名の割り当て:

Junos OS を実行しているデバイスで SNMPv3 トラップを設定する

SNMPv3 では、、、、の各notifytarget-addresstarget-parametersパラメーターを構成することで、トラップを作成します。トラップは通知されるのではありませんが、確認された通知を通知します。このセクションでは、SNMP トラップを構成する方法について説明します。SNMP の通知の設定については、 snmp の通知の構成を参照してください。

ターゲット アドレスは、通知の送信に使用する管理アプリケーションのアドレスとパラメーターを定義します。ターゲットパラメーターは、特定の管理ターゲットに通知を送信する際に使用されるメッセージ処理およびセキュリティパラメーターを定義します。SNMPv3 では、SNMPv1 と SNMPv2c のトラップを定義することもできます。

注:

SNMP トラップを構成する場合は、設定したアクセス権限によってトラップの送信が許可されていることを確認してください。アクセス権限は、 [edit snmp v3 vacm access]および[edit snmp v3 vacm security-to-group]階層レベルで設定されています。

SNMP トラップを構成するには、次のステートメント[edit snmp v3]を階層レベルに追加します。

SNMPv3 トラップ通知の構成

このnotify文は、通知のタイプを指定し、1つのタグを含みます。タグは、トラップを受信するターゲットアドレスのセットを定義します。タグリストには、1つ以上のタグが含まれ[edit snmp v3 target-address target-address-name]ており、階層レベルで構成されています。タグリストにこのタグが含まれている場合、Junos OS は、このタグに関連付けられたすべてのターゲットアドレスに通知を送信します。

トラップ通知を構成するには、 notify次のよう[edit snmp v3]に階層レベルのステートメントを含めます。

name通知に割り当てられた名前です。

tag-nameこの通知の送信先アドレスを定義します。この通知は、タグリストにこのタグを持つすべてのターゲットアドレスに送信されます。このtag-name通知には、が含まれていません。

trap通知のタイプです。

注:

各通知エントリ名は一意にする必要があります。

Junos OS は、次の2種類の通知をサポートしています。trapand inform.

タグ リストの設定方法については、「 Trap Target Address の設定 」を参照してください

例:SNMPv3 トラップ通知の構成

3つの宛先セットを指定してトラップを送信します。

トラップ通知フィルターの構成

SNMPv3 は notify フィルターを使用して、ネットワーク管理システム (NMS) に送信するトラップ (またはトラップの対象となるオブジェクト) を定義します。トラップ通知フィルターは、NMS に送信するトラップのタイプを制限します。

各オブジェクト識別子は、MIB オブジェクト階層のサブツリーを表しています。サブツリーは、ドットで区切られた整数 (1.3.6.1.2.1.2 など) またはそのサブツリー名 (などinterfaces) のいずれかで表すことができます。オブジェクト識別子 (OID) にワイルドカード文字アスタリスク (*) を使用して、特定のパターンに一致するオブジェクト識別子を指定することもできます。

トラップ通知フィルターを構成するには、 notify-filter次のよう[edit snmp v3]に階層レベルのステートメントを追加します。

profile-name通知フィルターに割り当てられた名前です。

デフォルトでは、OID はにinclude設定されています。トラップ (またはトラップからのオブジェクト) へのアクセスを定義oidするには[edit snmp v3 notify-filter profile-name] 、以下のように階層レベルのステートメントを追加します。

oidオブジェクト識別子です。この文によって表されるすべての MIB オブジェクトは、プレフィックスとして指定された OID を持ちます。この値は、ドットで区切られた一連の整数か、サブツリー名で指定できます。

  • include—指定された OID で表MIBのサブツリーを含める。

  • exclude—指定された OID で表MIBのサブツリーを除外します。

トラップターゲットアドレスの構成

ターゲット アドレスは、通知の送信に使用される管理アプリケーションのアドレスとパラメーターを定義します。また、特定のコミュニティ文字列の使用を許可されている管理ステーションを識別することもできます。認識されているコミュニティ文字列でパケットを受信し、タグが関連付けられている場合、Junos OS はこのタグを使用してすべてのターゲットアドレスを検索し、このパケットの送信元アドレスが設定されたターゲットアドレスの1つと一致することを確認します。

注:

SNMP コミュニティーを構成する場合は、アドレスマスクを構成する必要があります。

トラップを送信する場所を指定し、許可される SNMPv1 と SNMPv2cc パケットを定義するには、 target-address階層レベルの[edit snmp v3]ステートメントを追加します。

target-address-nameターゲットアドレスを識別する文字列です。

ターゲットアドレスのプロパティを構成するには、以下のステートメント[edit snmp v3 target-address target-address-name]を階層レベルで記述します。

SNMP v2 とは異なり、SNMPv3 では、インバウンド ポーリングを制限する設定オプションはありません。しかし、監視システム IP からの SNMP を許可するルールを作成して、インバウンド ポーリングを制限する lo0 フィルターを設定できます。たとえば、以下のように記述します。

アドレスの構成

アドレスを構成するには、 address次のよう[edit snmp v3 target-address target-address-name]に階層レベルのステートメントを含めます。

addressSNMP ターゲットアドレスです。

アドレスマスクの構成

アドレスマスクは、コミュニティー文字列を使用して、ターゲットアドレスのグループの送信元アドレスを確認するために許可される一連のアドレスを指定します。

アドレスマスクを構成するには、 address-mask次のよう[edit snmp v3 target-address target-address-name]に階層レベルのステートメントを含めます。

address-maskアドレスとの組み合わせによって、アドレスの範囲が定義されます。コミュニティー文字列を構成する方法の詳細については、 SNMPv3 コミュニティの設定を参照してください。

ポートの構成

デフォルトでは、UDP ポートは162に設定されています。別のポート番号を設定するにはport 、次の[edit snmp v3 target-address target-address-name]ように階層レベルのステートメントを追加します。

port-numberSNMP ターゲットポート番号です。

ルーティングインスタンスの設定

トラップはデフォルトルーティングインスタンスを介して送信されます。トラップを送信するためのルーティングインスタンスを設定するrouting-instanceには、 [edit snmp v3 target-address target-address-name]以下のステートメントを階層レベルに含めます。

instanceルーティングインスタンスの名前です。論理システム内でルーティングインスタンスを設定するには、論理システム名を指定し、その後にルーティングインスタンス名を入力します。2つの名前/を区切るには、スラッシュ () を使用test-lr/test-riします (など)。論理システム上でデフォルトのルーティングインスタンスを設定するには、その後にdefault論理システム名を指定test-lr/defaultします (例:)。

トラップターゲットアドレスの構成

target-addressステートメントは、タグリストに設定された1つまたは複数のタグを持つことができます。各タグは、複数のタグリストに表示できます。ネットワークデバイスで重大なイベントが発生すると、タグリストによって通知が送信されるターゲットが識別されます。

タグリストを構成するには、 tag-list次のよう[edit snmp v3 target-address target-address-name]に階層レベルのステートメントを追加します。

tag-list二重引用符で囲まれたスペース区切りリストとして、1つまたは複数のタグを指定します。

タグリスト設定の例については、次の例を参照してください。タグリストを構成しています。

[edit snmp v3 notify notify-name]階層レベルでタグを指定する方法の詳細については、 SNMPv3 トラップ通知の設定を参照してください。

注:

SNMP トラップを構成する場合は、設定したアクセス権限によってトラップの送信が許可されていることを確認してください。[edit snmp v3 vacm access]階層レベルでアクセス権限を設定します。

ターゲットパラメーターの適用

階層target-parametersレベルの[edit snmp v3]明細書には、 [edit snmp v3 target-parameters target-parameters-name]階層レベルで設定されたターゲットパラメーターが適用されます。

構成されたターゲットパラメーターを参照target-parametersするには[edit snmp v3 target-address target-address-name] 、以下のように階層レベルのステートメントを追加します。

target-parameters-name特定の管理ターゲットに通知を送信するときに使用されるメッセージ処理およびセキュリティのパラメーターに関連付けられた名前です。

例:タグリストの設定

次の例では、2つのrouter1タグrouter2エントリ (and) が[edit snmp v3 notify notify-name]階層レベルで定義されています。イベントによって通知がトリガーされると、Junos OS router1は、ターゲットアドレスタグリストrouter2に含まれているか構成されているすべてのターゲットアドレスにトラップを送信します。その結果、最初の2つのターゲットは、1つのトラップを取得し、3つ目のターゲットはトラップを2個取得します。

トラップターゲットパラメーターの定義と設定

ターゲットパラメーターは、特定の管理ターゲットに通知を送信する際に使用されるメッセージ処理およびセキュリティパラメーターを定義します。

一連のターゲットパラメーターを定義するには、 target-parameters以下のよう[edit snmp v3]に階層レベルのステートメントを追加します。

target-parameters-nameターゲットパラメーターに割り当てられた名前です。

ターゲットパラメーターのプロパティを設定するには、以下の[edit snmp v3 target-parameters target-parameter-name]ステートメントを階層レベルで指定します。

注:

MX シリーズルーターで加入者の secure policy の SNMP トラップ通知を設定する場合は、以下の手順に従ってパラメーターを設定する必要があります。

  • メッセージ処理モデル: v3

  • セキュリティレベル: privacy

  • セキュリティモデル: usm

加入者のセキュアなポリシーの設定の詳細については、加入者のセキュアポリシーの概要を参照してください。

このトピックは、以下のセクションで構成されています。

トラップ通知フィルターの適用

トラップ通知フィルターを適用するには、 notify-filter次のよう[edit snmp v3 target-parameters target-parameter-name]に階層レベルのステートメントを追加します。

profile-name設定された通知フィルターの名前です。通知フィルターの設定について詳しくは、トラップ通知フィルターの設定を参照してください。

ターゲットパラメーターの設定

ターゲットパラメーターのプロパティを設定するには、以下の[edit snmp v3 target-parameters target-parameter-name parameters]ステートメントを階層レベルで指定します。

ここでは、以下のトピックについて説明します。

メッセージ処理モデルの設定

メッセージ処理モデルは、SNMP 通知を生成するときに使用する SNMP のバージョンを定義します。メッセージ処理モデルを構成するには、 message-processing-model次のよう[edit snmp v3 target-parameters target-parameter-name parameters]に階層レベルのステートメントを追加します。

  • v1—SNMPv1 メッセージ処理モデル

  • v2c—SNMPv2c メッセージ処理モデル

  • v3—SNMPV3 メッセージ処理モデル

注:

MX v3シリーズルーターの加入者セキュアポリシーには、メッセージ処理モデルが必要です。詳細については、加入者の Secure Policy の概要を参照してください。

セキュリティモデルの設定

SNMP 通知を生成する際に使用するセキュリティーモデルを定義するsecurity-modelには、 [edit snmp v3 target-parameters target-parameter-name parameters]以下のステートメントを階層レベルに含めます。

  • usm—SNMPv3 セキュリティ モデル

  • v1—SNMPv1 セキュリティ モデル

  • v2c—SNMPv2c セキュリティ モデル

注:

MX usmシリーズルーターの加入者セキュアポリシーには、セキュリティモデルが必要です。詳細については、加入者の Secure Policy の概要を参照してください。

セキュリティレベルの設定

このsecurity-levelステートメントは、トラップが送信される前に認証され、暗号化されるかどうかを指定します。

SNMP 通知を生成する際に使用するセキュリティレベルを設定するsecurity-levelには、 [edit snmp v3 target-parameters target-parameter-name parameters]以下のステートメントを階層レベルに含めます。

  • authentication:認証は可能ですが、暗号化は提供しません。

  • none:セキュリティはなし。認証と暗号化なしを提供します。

  • privacy:認証と暗号化を提供します。

    注:

    SNMPv1 または SNMPV2c のセキュリティモデルを構成しているnone場合は、セキュリティレベルとしてを使用します。SNMPv3 (USM) セキュリティモデルを構成している場合は、 authenticationまたprivacyはセキュリティレベルを使用します。

    MX privacyシリーズルーターの加入者セキュアポリシーには、セキュリティレベルが必要です。詳細については、加入者の Secure Policy の概要を参照してください。

セキュリティ名の構成

SNMP 通知を生成する際に使用するセキュリティ名を設定するsecurity-nameには、 [edit snmp v3 target-parameters target-parameter-name parameters]以下のステートメントを階層レベルに含めます。

USM セキュリティーモデルが使用されているsecurity-name場合、は、通知が生成されたときに使用されるユーザーを識別します。V1 または v2c のセキュリティモデルが使用さsecurity-nameれている場合は、通知の生成時に使用される SNMP コミュニティーを識別します。

注:

セキュリティ名に関連付けられているグループのアクセス権限によって、この通知が送信されるようにする必要があります。

V1 または v2 のセキュリティモデルを使用している場合、 [edit snmp v3 vacm security-to-group]階層レベルのセキュリティー名は、 [edit snmp v3 snmp-community community-index]階層レベルのセキュリティー名と一致しなければなりません。

SNMP による通知の構成

Junos OS は、次の2種類の通知をサポートしています。トラップと通知トラップを使用すると、受信者はトラップを受信しても受信確認を送信できません。そのため、送信者はトラップが受信されたかどうかを判断することはできません。転送中に問題が発生したため、トラップが失われる場合があります。信頼性を高めるために、通知はトラップに似ていますが、通知は格納され、次の条件の1つが発生するまでは定期的に再送信される点が異なります。

  • 通知の受信者 (ターゲット) は、SNMP エージェントへの確認応答を返します。

  • 再送信が失敗した回数が指定されており、エージェントは inform メッセージを破棄します。

送信者が応答を受信しない場合は、通知を再送信することができます。そのため、トラップの宛先よりも、目的地に到達する可能性が高いことが伝えられます。通知は、トラップ (同じソケットとポート) と同じ通信チャネルを使用しますが、プロトコルデータユニット (PDU) のタイプが異なります。

通知はトラップよりも信頼性が高いですが、ネットワーク、ルーター、スイッチのリソースも増加図 1しています (を参照)。トラップとは異なり、応答が受信されるかタイムアウトに達するまで、通知はメモリ内に保持されます。また、トラップは1回だけ送信されるのに対し、通知は何度も再試行される場合があります。SNMP マネージャーがすべての通知を受信することが重要な場合に、通知を使用します。ただし、ネットワークトラフィックやルーターとスイッチのメモリについてより不安がある場合は、トラップを使用します。

図 1: 要求と応答の通知要求と応答の通知

Inform 通知タイプとターゲットアドレスの設定

Inform 通知タイプとターゲット情報を設定するには、以下のステートメントを[edit snmp v3]階層レベルで行います。

notify name通知に割り当てられた名前です。各通知エントリ名は一意にする必要があります。

tag tag-nameこの通知を送信するターゲットアドレスを定義します。通知は、タグリストにこのタグを持つすべてのターゲットアドレスに送信されます。このtag-name通知には、が含まれていません。タグ リストの設定方法については、「 Trap Target Address の設定 」を参照してください

type inform通知のタイプです。

target-address target-address-nameターゲットアドレスを識別します。ターゲット アドレスは、情報への応答に使用される管理アプリケーションのアドレスとパラメーターを定義します。

timeout seconds受信確認を待機する秒数です。タイムアウト期間内に確認応答が受信されなければ、通知が再送されます。デフォルトのタイムアウトは15秒です。

retry-count number受信確認が受信されなかった場合に通知を送信する回数の最大値です。デフォルトは3です。通知が最大回数送信された後、確認応答が受信されない場合は、inform メッセージが破棄されます。

message-processing-model SNMP 通知が生成されるときに使用する SNMP のバージョンを定義します。メッセージ処理モデルv3を必要としていることを通知します。

security-modelSNMP 通知が生成されるときに使用するセキュリティモデルを定義します。セキュリティモデルがusm必要であることを伝えます。

security-modelSNMP 通知が生成されるときに使用するセキュリティモデルを定義します。セキュリティモデルがusm必要であることを伝えます。

security-level送信前に通知を認証して暗号化するかどうかを指定します。usmセキュリティモデルでは、セキュリティレベルは以下のいずれかである必要があります。

  • authentication:認証は可能ですが、暗号化は提供しません。

  • privacy:認証と暗号化を提供します。

security-name通知の生成時に使用されるユーザー名を識別します。

例:Inform 通知タイプとターゲットアドレスの設定

次の例では、ターゲット172.17.20.184 は通知に応答するように設定されています。通知タイムアウトは30秒で、最大再送回数は3です。Tl1 リスト内のすべてのターゲットに通知が送信されます。リモートユーザーのセキュリティモデルは usm で、リモートエンジンのユーザー名は u10 です。

リモートエンジンとリモートユーザーの設定

リモートデバイス上の SNMPv3 ユーザーに通知メッセージを送信するには、まずユーザーが存在するリモートデバイス上の SNMP エージェントのエンジン識別子を指定する必要があります。リモートエンジン ID は、リモートホスト上でユーザーに送信されたパケットの認証と暗号化のためのセキュリティダイジェストの計算に使用されます。担当者は、通知メッセージを送信するときに、リモートエンジンに設定されたユーザーの認証情報を使用します (inform ターゲット)。

リモートエンジンとリモートユーザーが SNMP の通知を受信して応答するように設定するには、 [edit snmp v3]次のステートメントを階層レベルに含めます。

通知の場合remote-engine engine-id 、ユーザーが存在するリモートデバイス上の SNMP エージェントの識別子です。

通知を受けるuser usernameには、ユーザーが通知を受信するリモート SNMP エンジンを使用します。

生成unauthenticatedauthenticatedされる通知は、リモートエンジンに設定された SNMPv3 ユーザーのセキュリティーレベル (inform 受信者) によって異なります。 authenticated_and_encrypted 認証キーは、メッセージ認証コード (MAC) の生成に使用されます。プライバシキーは、メッセージの inform PDU 部分を暗号化するために使用されます。

例:リモートエンジン ID とリモートユーザーの設定

この例では、SNMP 通知通知を受信して応答できるように、リモートエンジンとリモートユーザーを設定する方法を示しています。Inform 通知を認証して暗号化できます。また、トラップよりも信頼性が高く、Junos OS によってサポートされている別のタイプの通知より優れています。トラップとは異なり、通知が保存され、一定の間隔で再伝送されます。これらの条件の1つが発生します。

  • 通知の宛先は SNMP エージェントへの確認応答を返します。

  • 再送信が失敗した回数が指定されました。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

この機能では、SNMPv3 に対応したプレーンテキストパスワードを使用する必要があります。ルーターまたはスイッチ上でプレーンテキストパスワードを作成する場合、SNMPv3 には以下の特別な要件があります。

  • パスワードは8文字以上にする必要があります。

  • パスワードには、英数字、特殊文字を含めることができますが、制御文字を含めることはできません。

引用符は常にパスワードを囲む必要はありませんが、使用することをお勧めします。パスワードにスペースが含まれている場合、または特定の特殊文字や句読点の場合には、引用符が必要な場合があります。

概要

の通知は、SNMPv3 で信頼性を高めるためにサポートされています。たとえば、通知を受信した SNMP エージェントが受信確認を受け付けます。

通知メッセージの場合、リモートエンジン ID は、ユーザーが存在するリモートデバイス上の SNMP エージェントを識別し、ユーザー名が通知を受信するリモート SNMP エンジンのユーザーを識別します。

この例では、リモートエンジン ID とリモート表 1ユーザーを構成するために、の値を使用するシナリオを考えてみてください。

表 1: 例で使用する値

変数名

金額

username

u10

リモートエンジン ID

800007E5804089071BC6D10A41

認証タイプ

authentication-md5

認証パスワード

qol67R%?

暗号化タイプ

プライバシ-des

プライバシパスワード

m*72Jl9v

構成

CLI クイック構成

この例を迅速に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に一致する必要がある詳細を変更して、 [edit snmp v3]これらのコマンドを階層レベルで CLI にコピーして貼り付けます。設定モードからcommit入力します。

リモートエンジンとリモートユーザーの設定

順を追った手順

次の例では、構成階層のさまざまなレベルに移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

リモートエンジン ID とリモートユーザーを設定するには、次のようにします。

  1. リモートエンジン ID、ユーザー名、認証タイプ、パスワードを設定します。

  2. 暗号化タイプとプライバシパスワードを設定します。

    SNMPv3 ユーザー1人に1つの暗号化タイプのみを構成できます。

結果

設定モードでは、 showコマンドを入力して設定を確認してください。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

構成が正しいことを確認した後、設定commitモードから入力します。

検証

リモートエンジン ID とユーザー名の構成を確認しています

目的

エンジン ID とユーザー情報のステータスを確認します。

アクション

SNMPv3 エンジン ID とユーザーに関する情報を表示します。

この出力には、以下の情報が表示されます。

  • ローカルエンジン ID とエンジンに関する詳細情報

  • リモートエンジン ID (ラベルEngine ID付き)

  • ユーザー名

  • ユーザーに対して構成されている認証タイプと暗号化 (プライバシ) タイプ

  • ユーザー名のストレージタイプ (不揮発性 (構成保存時) または揮発性 (保存対象外) のいずれかです。

  • 新しいユーザーのステータス。SNMPv3 を使用できるのは、アクティブ状態のユーザーのみです。

ローカルエンジン ID の設定

デフォルトでは、ローカルのエンジン ID は、ルーターのデフォルト IP アドレスを使用します。ローカルエンジン ID は、SNMPv3 エンジン用の管理者固有の識別子です。このステートメントはオプションです。ローカルエンジン ID を設定するには、 engine-id次のよう[edit snmp]に階層レベルのステートメントを含めます。

  • local engine-id-suffix—エンジン ID のサフィックスは明示的に設定されています。

  • use-default-ip-address—エンジン ID のサフィックスは、デフォルトの IP アドレスから生成されます。

  • use-mac-address—SNMP エンジン識別子は、ルーター上の管理インターフェイスの MAC(Media Access Control)アドレスから生成されます。

注:

SNMPv3 を使用していて、エンジン ID が MAC アドレスに基づいていて、以前のリリースからいずれかのリリースにアップグレードする場合 (14.1 個の X53-D50、16.1 R5、17.1 R2、17.2 R1、15.1 x53-D231、14.1 X53-D43、15.1 X53-D232)、エンジン ID が必要な場合は、SNMPv3 を再設定してください。アップグレードによって変更されます。SNMPv3 を再構成しない場合は、アップグレード後にエンジン ID が変更されるため、SNMPv3 ポーリングの認証エラーが表示されます。このような最初のアップグレードでは、SNMPv3 の再構成が必要になります。その後、上記のリリースの1つをこれらのリリースにアップグレードしても、SNMPv3 をアップグレードする必要はありません。

SNMPv3 を再構成するには、以下の手順を使用します。このコマンドはrollback 1使用しないでください。

SNMPv3 を再構成するには:

  1. SNMPv3 構成の内容を確認します。
  2. SNMPv3 構成を削除します。
  3. SNMPv3 構成を再構成します (手順1の出力を参照してください)。

ローカルエンジン ID は、SNMPv3 エンジンの管理上の固有識別子として定義されており、アドレス指定ではなく識別に使用されます。エンジン ID には次の2つの部分があります。プレフィックスとサフィックス。プレフィックスは、RFC 3411、 An Architecture for Describing Simple Network Management Protocol(SNMP)Management Frameworks で定義されている仕様に従ってフォーマットされます。ここでサフィックスを構成できます。

注:

対応するパスワードとエンジン ID に基づいて、SNMPv3 認証および暗号化キーが生成されます。エンジン ID を構成または変更する場合は、SNMPv3 ユーザーを設定する前に、新しいエンジン ID をコミットする必要があります。それ以外の場合、設定されたパスワードから生成されるキーは、以前のエンジン ID をベースにしています。エンジンIDについては、デバイスに複数のルーティング エンジンが搭載され、プライマリIPアドレスが設定されている場合、デバイスのプライマリIPアドレスを使用することをお勧めします。また、デバイスにルーティングエンジンが1つしかない場合は、管理ポートの MAC アドレスを使用することもできます。

SNMPv3 コミュニティの構成

SNMP コミュニティーは、SNMP サーバーシステムとクライアントシステムの間の関係を定義します。このステートメントはオプションです。

SNMP コミュニティーを構成するには、 snmp-community以下のよう[edit snmp v3]に階層レベルのステートメントを追加します。

community-indexSNMP コミュニティーのインデックスです。

SNMP コミュニティーのプロパティを設定するには、以下のステートメント[edit snmp v3 snmp-community community-index]を階層レベルで含めます。

ここでは、以下のトピックについて説明します。

コミュニティー名の設定

コミュニティー名によって、SNMP コミュニティが定義されます。SNMP コミュニティーは、SNMPv1 または SNMPv2c のクライアントを認定します。設定したセキュリティ名に関連付けられているアクセス権限により、そのオブジェクトで使用可能な MIB オブジェクトとその操作 (読み取り、書き込み、notify) が定義されます。

SNMP コミュニティー名を設定するには、 community-name次のよう[edit snmp v3 snmp-community community-index]に階層レベルのステートメントを追加します。

community-nameは、SNMPv1 または SNMPv2c コミュニティーのコミュニティーの文字列です。

未構成の場合は、コミュニティーインデックスと同じです。

コミュニティー名にスペースが含まれている場合は、スペースを引用符(" ")で囲みます。

注:

コミュニティ名は一意である必要があります。[edit snmp community]および[edit snmp v3 snmp-community community-index]階層レベルで同じコミュニティー名を設定することはできません。[edit snmp v3 snmp-community community-index]階層レベルの設定されたコミュニティ名は暗号化されています。コミュニティを設定して変更をコミットした後に、コミュニティー名を表示することはできません。CLI (コマンドラインインターフェイス) では、コミュニティー名は隠されています。

コンテキストの設定

SNMP コンテキストは、SNMP エンティティーからアクセス可能な管理情報の集合を定義します。通常、SNMP エンティティーは、複数のコンテキストにアクセスします。コンテキストには、物理システムまたは論理コンピューター、複数のシステムの集合体、システムのサブセットなどがあります。管理ドメイン内の各コンテキストには、一意の識別子があります。

SNMP コンテキストを構成するには、 context context-name次のよう[edit snmp v3 snmp-community community-index]に階層レベルのステートメントを追加します。

注:

ルーティングインスタンスまたは論理システムを照会するには、

セキュリティ名の構成

セキュリティ名にコミュニティ文字列を割り当てるには、次のsecurity-nameように階層[edit snmp v3 snmp-community community-index]レベルのステートメントを追加します。

security-nameアクセスコントロールが設定されている場合に使用します。このsecurity-to-groupグループは、 [edit snmp v3 vacm]階層レベルの設定によって識別されます。

注:

このセキュリティー名は、トラップを構成する際に[edit snmp v3 target-parameters target-parameters-name parameters] 、階層レベルで設定されたセキュリティー名と一致しなければなりません。

タグの設定

タグを設定するには、 tag次のよう[edit snmp v3 snmp-community community-index]に階層レベルのステートメントを含めます。

tag-nameコミュニティーの使用を許可されているマネージャーのアドレスを識別します。

例:SNMPv3 コミュニティの構成

この例では、SNMPv3 コミュニティを構成する方法を示します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、SNMPv3 コミュニティーの作成方法を示しています。SNMP コミュニティー名を定義し、アクセスコントロールを実行するセキュリティ名を指定し、コミュニティ文字列の使用を許可されているマネージャーのアドレスを識別するタグ名を定義します。ターゲットアドレスは、通知を送信する際に使用される管理アプリケーションのアドレスとパラメーターを定義します。

デバイスが認識されたコミュニティー文字列を持つパケットを受信し、タグがそのパケットに関連付けられると、Junos ソフトウェアはこのタグを使用してターゲットアドレスをすべて検索し、このパケットの送信元アドレスが構成済みターゲットの1つに一致することを確認します。資料.

トラップを送信する場所を指定し、許可される SNMPv1 と SNMPv2c パケットを定義します。ターゲットアドレスを識別するターゲットアドレス名を指定し、ターゲットアドレス、アドレスのマスク範囲、ポート番号、タグリスト、ターゲットパラメーターを定義します。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit snmp v3]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディター の Junos OS CLI使用 」を 参照してください

  1. SNMP コミュニティー名を設定します。

    注:

    SNMP コミュニティ名は一意である必要があります。

  2. アクセスコントロールを実行するためのセキュリティ名を設定します。

  3. タグ名を定義します。タグ名は、コミュニティー文字列の使用が許可されているマネージャーのアドレスを識別します。

  4. SNMP ターゲットアドレスを構成します。

  5. コミュニティー文字列アクセスコントロールのアドレスのマスク範囲を設定します。

  6. SNMPv3 のターゲットポート番号を設定します。

  7. SNMPv3 タグリストを設定して、ターゲットアドレスを選択します。

  8. SNMPv3 ターゲットのパラメーター名をターゲットパラメータテーブルで設定します。

結果

設定モードから、 show snmp v3 コマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返します。

検証

SNMPv3 コミュニティーの検証

目的

SNMPv3 コミュニティーが有効になっているかどうかを確認します。

アクション

SNMPv3 コミュニティー構成を確認するにshow snmp v3 communityは、コマンドを入力します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

この出力には、コンピューター上で有効になっている SNMPv3 コミュニティーに関する情報が表示されます。