SNMPv3

SNMPv3 認証情報 ([設定] メニュー > [ライブラリ] > [Credentials [SNMP v3] (認証情報 [SNMP v3])]) には、WhatsUp Gold で SNMPv3 対応デバイスの監視に必要な情報が保存されます。

適切な認証情報を使用すると、SNMP ベースのモニタ (SNMP 拡張、パフォーマンスモニタのような WhatsUp Gold アクティブモニタ) を活用して、SNMPv3 の表示ベースのアクセス制御によって管理されているターゲットデバイスを管理および監視することができます。

SNMPv3 認証情報を認証情報ライブラリに追加すると、次のことを行うことができます。

検出スキャンの一部として WhatsUp Gold が試行する認証情報のリストに追加する。
[デバイスのプロパティ] から [マイネットワーク] の WhatsUp Gold による管理対象デバイスに直接関連付ける。
VLAN パターンマッチングで定義して、特定のコンテキストの名前や追加のエージェント、CDP/LLDP などのプロトコルを必要とせずに、VLAN テーブルから詳細のクエリを実行する。

使用開始

SNMPv3 を使用して WhatsUp Gold からの監視を行う前に、ターゲットデバイスについて以下の点を確認してください。

SNMPv3 (物理的なデバイスで) を使用するように設定されている。デバイスでは、SNMPv3 エージェントが実行されている必要があります。また、デバイスにはデフォルトまたはカスタムの SNMP エンジン ID が必要です。
適切な SNMPv3 グループおよびビューへのアクセス権を持つ SNMPv3 ユーザーが (物理デバイスで) 定義されている。
VLAN 特有のコンテキストをサポートするデバイスの場合、デバイスで定義されている VLAN と、固有の各 VLAN のコンテキストが関連付けられている。(詳細は、本トピックで後述します。)
WhatsUp Gold 内で適切な SNMPv3 認証情報と関連付けられている。マイネットワークでデバイスを選択した際に、デバイスカードにはこの関連付けが表示されます。

Tip: VLAN 特有のコンテキストを持つ各 VLAN の BRIDGE-MIB の読み取りをサポートするデバイスの場合、これらのデバイスと WUG を適切に設定すると、CDP/LLDP がデバイスの接続性を計算するのに十分な情報を取得できるようにする必要性を低くすることができます。詳細については、このトピックで後述される [VLAN パターン] のコントロールと例を参照してください。

SNMPv2 との相違点

SNMPv2 とは異なり、SNMPv3 では View Based Access Control Model (VACM) が採用されています。つまり、WhatsUp Gold SNMPv3 モニタでは、管理対象デバイスの権限および特権を持つユーザーが必要です。[SNMPv3 認証情報] ダイアログ ([ユーザー名]) で指定したこの SNMPv3 ユーザーは、サイト要件の必要に応じて、特定の MIB リソースにアクセスするためにデバイスの特権をすでに持っているか、特権が必要なユーザーを表しています。

これはオプションですが、有効なユーザー認証情報 ([認証プロトコル]) とペイロードの暗号化 ([暗号化プロトコル]) の両方を使用して、MIB オブジェクトを管理することをお勧めします。この機能の補足を組み合わせて、ターゲットデバイスの SNMPv3 認証サービスと範囲指定されたリソースアクセス (MIB オブジェクトビューの一部の形式で) の両方を活用することで、SNMPv3 の完全な機能を提供します。

Note: VLAN-specデバイスの MIB 内に含まれる VLAN 特有の情報 (つまり、接続性の計算に使用される転送情報が含まれる BRIDGE-MIB) へのすべてのアクセスは、各 VLAN に設定されている固有の [コンテキスト] への SNMPv3 ユーザーまたはグループのアクセス権を必要とします。SNMPv3 コンテキストは、オブジェクトのコレクションへのアクセス権を提供します。これらは、ターゲットデバイスの VLAN 情報のポーリングに必要です。(一方、SNMPv1/2 では、VLAN 特有の情報にアクセスするため、SNMPv3 で使用できない、コミュニティ名のインデックス作成を使用します。)

Tip: 監視のみの場合、ターゲット MIB オブジェクトの読み取りアクセス許可と通知アクセス許可を適用する WhatsUp Gold 認証情報の SNMPv3 ユーザーを活用することをお勧めします。VLAN テーブルを維持管理する場合、各 VLAN 特有のコンテキストの書き込みアクセス許可を事前に設定する必要があり、ユーザーにはこのコンテキストへのアクセス権が必要です。

[SNMPv3 Credential Configuration (SNMPv3 認証情報設定)] ダイアログ

SNMPv3 認証情報を作成するには、次のフィールドを設定します。

[名前]。認証情報の固有の名前を入力します。この名前は認証情報ライブラリに表示されます。
[説明]。(省略可能) 認証情報に関する追加情報を入力します。この情報は、認証情報ライブラリで認証情報の横に表示されます。
[ユーザー名]。ターゲットデバイスで実行中の SNMP エージェントによって認識されているアクセス特権を持つユーザー名を入力します。このユーザー名は、認証ヘッダーの各 SNMP パケットに含まれています。SNMP デバイスはパケットを受け取ると、このユーザー名を使用して設定されている認証パラメータと暗号化パラメータを検索し、受信したメッセージに適用します。
[コンテキスト]。(オプション) この機能を使用する場合に、ターゲットデバイスで定義された SNMPv3 コンテキストがわかる場合は、適切な SNMPv3 コンテキストの名前をここに入力します。ここに入力する値は、プライマリコンテキストを表します。MIB オブジェクトのコレクションへのアクセスを制限するように、デバイスのコンテキストを定義することができます。空白値 ("") (デフォルトコンテキストとも呼ばれます) は、明示的な (名前付き) コンテキストの定義によって定義されていない MIB にアクセスできることを示します。
Note: VLAN 特有のテーブル (つまり、BRIDGE-MIB) へのアクセスにコンテキストを使用する場合は、1 つ以上の [VLAN パターン] エントリを指定してください。
[VLAN パターン]。(1 つ以上のアクティブな BRIDGE-MIB コンテキストビューを照合する場合に使用されます。)

このコントロールを使用すると、VLAN 特有のテーブルへのアクセス用のコンテキストを指定することができます。特定の VLAN に使用するコンテキストを決定するときに、WhatsUp Gold は一致した VLAN の VLAN 特有の情報にアクセスできる最初のパターンを検出するため、各パターンを試行します。以下の「VLAN パターンマッチングの構文と例」を参照してください。

Important: WhatsUp Gold がこの認証情報の有効性を検証しようとするときに、どの VLAN をクエリするかを把握できるように (ルーティングテーブルからコンテンツを正常に読み取るなど)、デフォルトコンテキスト ("") またはプライマリコンテキスト (指定されている場合) には VLAN テーブルへのアクセス権が含まれる必要があります。

[認証]。必要に応じて、この SNMP 認証情報の認証プロトコルを選択します。
- [プロトコル]。SNMPv3 パケットを認証するためのアルゴリズムメソッドを選択します。MD5 は 128 ビットのデジタル署名を作成し、SHA-1 は 160 ビットのデジタル署名を作成し、SHA-256 は 256 ビットのデジタル署名を作成します。
- [パスワード]。認証パスワードを入力します。
- [パスワードの確認]。認証パスワードを確認するために再入力します。
[暗号化]。サポートされており、認証プロトコルが SNMPv3 デバイス用に選択されている場合は、SNMP 認証情報の暗号化プロトコルを選択します。
- [プロトコル]。SNMPv3 パケットを暗号化するためのアルゴリズムメソッドを選択します。DES56 は 56 ビットの暗号化スキームを使用し、AES-128 は 128 ビットの暗号化スキームを使用し、AES-192 は 192 ビットの暗号化スキームを使用し、AES-256 は 256 ビットの暗号化スキームを使用します。Triple DES 暗号化を選択することもできます。
- [パスワード]。キーに使用される暗号化パスフレーズを入力します。
- [パスワードの確認]。認証パスワードを確認するために再入力します。

Note: SNMPv3 のパスワードは 64 文字までに制限されています。

VLAN パターンマッチングの構文と例

アクティブな VLAN コンテキストとのマッチングには、次のうち 1 つまたは複数の方法を使用できます。

[Pattern prefix and substitution (パターンプレフィックスと置換)]。コンテキスト名 (VLAN 名/インデックスではなく) がわかる場合に有用です:

例 1:MyVLanContext-{index}

—ここで、{index} は、デバイスによって認識されている VLAN のリストから読み取られた VLAN インデックスに (繰り返し) 置換されます。

例 2:VLANContext-{name}

—ここで、{name} は、デバイスによって認識されている VLAN のリストから読み取られた VLAN 名に (繰り返し) 置換されます。

[Literal VLAN name/index and Context pair (no substitution) (リテラル VLAN 名/インデックスとコンテキストのペア (置換なし))]。コンテキストと VLAN 名の両方に対して明示的な値を試す場合に有用です。

構文: <name>:<context>

例 3: VLAN0065:bridge1

—ここで、VLAN0065 はデバイスに認識されている VLAN であり、bridge1 は VLAN0065 MIB 値へのゲーティングアクセスに定義可能なコンテキストです。

構文: <number>:<context>

例 4:65:bridge1

—ここで、 65 はデバイスに認識されている VLAN 番号であり、 bridge1 はその VLAN に特有の MIB 値へのゲーティングアクセスに定義可能なコンテキストです。

(コンテキストは、デバイスの VLAN テーブルと関連付けられている BRIDGE-MIB オブジェクトのコンテンツを読み取る場合に必要です。)

Tip: コンテキストは、VLAN/BRIDGE-MIB オブジェクト以外の MIB に関連付けることができますが、BRIDGE-MIB と関連付ける場合、これらは 1 対 1 の関係を持ちます。

VLAN パターンマッチングのベストプラクティス

VLAN パターンにパターンマッチングまたは置換を使用する場合に考慮すべき重要点を以下に示します。

コンテキスト名には覚えておきやすいプレフィックスを使用してください。vlan-10 など (ここで、10 は VLAN インデックスです)。
VLAN コンテキストに簡単なパターンがない場合、特定の (よりリテラルな) パターンを指定して完全一致を取得することができます。
デバイスで VLAN コンテキスト名を確認できます (たとえば、サポートされている Cisco スイッチの場合、#show snmp context)。