コンテンツにスキップ
CLI および API ガイドを含むローカル管理スイッチのドキュメントを開くには、ここをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=switch-management-snmp

SNMP

SNMP ページを使用すると、Sophos Switch 上で SNMP (Simple Network Management Protocol) 設定を構成できます。ユーザーやグループ、コミュニティ文字列、ビューリストやアクセスリスト、および通知設定を構成して、安全なネットワーク監視と管理を行うことができます。

Switch に移動し、スイッチ、スタック、またはサイトを選択し、SNMP を設定するには、「SNMP」をクリックします。

グローバル設定

グローバル設定」タブを使用すると、SNMP をオンまたはオフにして、SNMPv3 の「エンジン ID」を設定できます。

以下の設定の構成が可能です。

  • SNMP ステータス: 「オン」または「オフ」を選択し て、SNMP のオン/オフを切り替えます。ローカルスイッチ設定を使用するには、「未設定」を選択します。

  • エンジン ID: 16進数の値を設定します。文字数は 10~64 の範囲で指定できます。この値はスイッチの一意の識別子であり、メッセージのリプレイ、遅延、およびリダイレクトの問題に対して保護します。「デフォルト」を選択してデフォルト値を使用することをお勧めします。

    警告

    エンジン ID」を削除または変更するとすべてのローカル SNMP ユーザーがクリアされます。それらを再設定する必要があります。

設定のソース」には、SNMP 設定の発信元が表示されます。

更新」をクリックして変更を保存します。

値をリセットするには、「クリア」をクリックします。

ユーザーとグループ

SNMP ユーザーは、SNMP の監視および管理に認証、認可、および暗号化を追加することでネットワークにセキュリティを追加します。「ユーザーとコミュニティ」では、作成したグループに関連付ける SNMP ユーザーを作成することで、SNMP デバイスへのアクセスを管理できます。アクセスリストを使用する場合は、少なくとも 1つのグループを作成する必要があります。

!!! info "Click the appropriate tab to see how to manage Users & Communities and Groups.

ユーザーとコミュニティ」リストには、スイッチ上のすべての SNMP ユーザーについて、名前プロトコル、および認証設定が表示されます。「設定のソース」には、ユーザー設定の発信元が表示されます。

ユーザーとグループを追加するには、次の手順を実行します。

  1. ユーザーとグループ」で、「追加」をクリックします。

  2. 次の情報を入力します。

    • 名前: ユーザーの名前。文字数は 4〜20文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

    • 権限モード: 次のいずれかのオプションを選択してください。

      • 認証なし: 認証を使用しません。
      • 認証: デバイスとやり取りする前にユーザーを認証します。
      • 権限: ユーザーを認証し、SNMP メッセージを暗号化します。

    • 認証プロトコル: 次のいずれかのオプションを選択してください。

      • MD5: HMAC-MD5 を使用します。
      • SHA: HMAC-SHA-96 を使用します。

    • 認証パスワード: 使用するパスワードを入力します。文字数は 8〜32文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

    • 暗号プロトコル: ユーザーの認証方法を選択します。

      • DES_CBC: 暗号ブロック チェーン (CBC) を使用した 64ビットの DES (Data Encryption Standard) 暗号化。
      • AES_CFB128: 暗号フィードバック方式 (CFB) を使用した 128 ビットの AES (Advanced Encryption Standard) 暗号化。

    • 暗号化パスワード: 使用するパスワードを入力します。文字数は 8〜40文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

  3. (任意) 「このユーザーの SNMP v1/v2c を有効にします」を選択します。

    SNMPv1 および SNMPv2c は、パスワードとしてコミュニティ文字列を使用してアクセス制御を行います。このオプションを選択すると、入力された名前を使用してコミュニティが作成され、ユーザーが関連付けられます。この情報は平文で送信されるため、SNMPv3 で使用される暗号化されたパスワードよりもセキュリティが低く、SNMPv3 をサポートしていないレガシーデバイスにのみ使用する必要があります。

    SNMPv1 および SNMPv2c は、トランスポートタグに基づいて SNMP マネージャに情報を送信します。特定の SNMP デバイスにコミュニティを関連付けるために、「トランスポートタグ」を入力できます。トランスポートタグは、SNMP メッセージが確実に特定のデバイスにのみ送信および受信されるようにします。タグがコミュニティ文字列の一部でない場合、スイッチは SNMP リクエストに応答できません。これらの値を、「タグ識別子」として、「通知 > ターゲットアドレス」で定義する必要があります。詳細は、通知を参照してください。

  4. 追加」をクリックします。

ユーザーを削除するには、削除するユーザーを選択し、「削除」をクリックします。

SNMP グループは、SNMP ユーザーを整理し、彼らのアクセスニーズに応じて異なる管理権限を割り当てることによって、ネットワークアクセスを制御するのに役立ちます。その後、これらのグループをアクセスリストに追加して、ネットワーク内の SNMP デバイスへのアクセスを制御できます。

グループのリストは、スイッチ上のすべての SNMP グループのグループ名、セキュリティモード、およびセキュリティ名を表示します。

グループを追加するには、次の手順を実行します。

  1. グループ」の「追加」をクリックします。
  2. グループ名」を入力します。文字数は 1〜30文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

  3. チェックボックスを使用して、グループに追加するユーザーと SNMP バージョンを選択します。

    ヒント

    利用可能なすべてのユーザーに対して、「v1」、「v2c」、または「v3」の列の上にあるチェックボックスを選択すると、そのセキュリティモードが選択されます。

  4. 追加」をクリックします。

    必要な権限を持たないユーザーを選択するか、既に同じ設定を持つ別のグループに属しているユーザーを選択した場合、エラーが発生します。ただし、Sophos Central は引き続き、これらのユーザーを含まないグループを作成します。

グループの名前をクリックして設定を編集します。

グループを削除するには、削除するグループの横にあるチェックボックスを選択し、「削除」をクリックします。

表示とアクセスリスト

表示とアクセスリストにより、SNMP ユーザーがアクセスできる MIB (Management Information Base) オブジェクト識別子 (OID) を詳細に制御できます。

表示」と「アクセスリスト」を設定する前に、MIB と OID に精通しておくことをお勧めします。詳細は、MIB と OIDを参照してください。

!!! info "Click the appropriate tab to see how to manage Views and Access lists.

SNMPは、MIB ファイルで定義された情報を使用してネットワークデバイスを管理および監視します。MIB ファイル内には、OID を含む階層型の名前空間があり、デバイスに関する情報が整理されています。アクセスリストに追加する表示を作成することで、SNMP ユーザーが操作できる OID を正確に指定できます。

表示」は、スイッチ上のすべての表示の名前と OID のマッピングを表示します。

新しい表示を設定するには、次の手順を実行します。

  1. 表示」の「追加」をクリックします。
  2. ビュー名」を入力します。文字数は 1〜20文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

  3. 新しいマッピングを追加」をクリックします。

    OID マッピング」テーブルに新しい行が作成されます。

  4. サブツリー OID」を入力します。OID は、SNMP マネージャーがアクセスを含めるか除外するオブジェクトを識別する一意の文字列です。

  5. サブツリーマスク」を入力します。これは、MIB 内の関連するオブジェクトのグループを識別する 1~20 の整数です。番号は、SNMP マネージャがマスクを適用するレベルを識別します。たとえば、5サブツリー マスクは、MIB ツリーの 5番目のレベルのオブジェクトにのみ適用されます。
  6. ビューの種類」を選択します。選択した SNMP ビューから MIB ツリー内の OID ブランチを「含む」か、「除外」を選択します。エントリを「除外」とマークする場合、OID サブツリーが除外エントリと重なる含むエントリを作成することをお勧めします。

  7. (任意) 追加マッピングを追加するには、「新しいマッピングを追加」をクリックします。

    これを複数回繰り返すことができます。

  8. 保存」をクリックします。

ビューの名前をクリックして設定を編集します。

ビューを削除するには、削除するビューの横にあるチェックボックスを選択し、「削除」をクリックします。

SNMP アクセスリストを使用すると、特定のデバイスとやり取りできる SNMP グループと、許可されているやり取りのレベルを制御できます。アクセスリストを使用して特定のグループやビューリストに対する読み取り、書き込み、および通知の権限を指定できます。アクセスリストを作成するには、少なくとも 1つのグループを作成する必要があります。

アクセスリストは、スイッチ上のすべてのアクセスリストの名前、セキュリティモード、権限モード、読み取り、書き込み、および通知のビューを表示します。

新しいアクセスリストを作成するには、次の手順を実行します。

  1. アクセスリスト」で「追加」をクリックします。

  2. ドロップダウンリストから適用するアクセスリストのグループを選択します。

    グループの「セキュリティモード」および「権限モード」の詳細が表に表示されています。「権限モード」の設定を調整できます。

  3. グループで有効になっている SNMP のバージョンごとに、「読み取りビュー」を選択します。これは読み取り専用に制限するビューリストの名前です。

  4. グループで有効になっている SNMP のバージョンごとに「書き込みビュー」を選択します。これは、書き込み権限を許可するビューリストの名前です。
  5. グループで有効になっている SNMP のバージョンごとに、「通知ビュー」を選択します。これは、スイッチの SNMP エージェントによって生成された SNMP トラップメッセージを受信したいビューリストの名前です。
  6. 保存」をクリックします。

アクセスリストの名前をクリックして設定を編集します。

アクセスリスト削除するには、削除するアクセスリストの横にあるチェックボックスを選択し、「削除」をクリックします。

MIB と OID

MIB は、SNMP マネージャーの参照となるものであり、基本的には SNMP デバイスに関する情報を整理したデータベースです。Sophos Switch MIB ファイルは Sophos Central から入手できます。Sophos Switch MIB ファイルをダウンロードするには、次の手順を実行します。

  1. デバイス > インストーラ」に移動します。
  2. スイッチ」の下で、「SNMP MIB ファイルのダウンロード」をクリックし、Sophos Switch のすべての機種の MIB ファイルを含むアーカイブをダウンロードします。
  3. アーカイブを任意の場所に保存します。
  4. アーカイブから MIB ファイルを解凍します。

すべての OID は、SNMP を介して読み取り、または設定ができる変数を識別します。公開パラメーターの大規模なリストがあり、ベンダーは独自のハードウェアに対して固有の OID を提供します。OID を参照するか、ベンダーのドキュメントを参照してください。

通知

SNMP デバイス同士の通信方法を制御するには、通知、ターゲットパラメータ、およびターゲットアドレスを設定します。

!!! info "Click the appropriate tab to see how to manage Target parameters, Notifications, and Target address.

すべての SNMP 通知には、ターゲットパラメータが必要です。通知を送信する際に、SNMP のバージョン、セキュリティレベル、権限を定義します。この情報はターゲットアドレスとは別であり、1つのターゲットパラメータに複数のターゲットアドレスを関連付けることができます。

ターゲットパラメータは、スイッチ上のすべてのターゲットパラメータに関連する名前、セキュリティ設定、権限モード、ユーザーを表示します。

ターゲットパラメータを追加するには、次の手順を実行します。

  1. ターゲットパラメータ」で「追加」をクリックします。
  2. 名前」を入力します。文字数は 1〜30文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。
  3. ドロップダウンリストから「メッセージ処理モデル」を選択します。「v1」、「v2c」、または「v3」を選択します。

  4. ドロップダウンリストから「セキュリティモード」を選択します。「v1」、「v2c」、または「v3」を選択します。

    v3 を選択する場合は、「権限モード」も選択する必要があります。

  5. ドロップダウンリストから「ユーザー」を選択します。

  6. 保存」をクリックします。

ターゲットパラメータ名をクリックして設定を編集します。

ターゲットパラメータを削除するには、削除するターゲットパラメータの横にあるチェックボックスを選択し、「削除」をクリックします。

SNMP 通知は、SNMP デバイス間で送信されるメッセージです。イベントが発生した際にスイッチが SNMP マネージャに送信する通知の種類を選択し、簡単にカテゴリ分けできるようにタグ付けできます。

通知」は、スイッチ上のすべての通知の名前、タグ、メッセージの種類を表示します。

通知を追加するには、次の手順を実行します。

  1. 通知」の「追加」をクリックします。

  2. 次の情報を入力します。

  3. 通知名: 名前を入力します。文字数は 1〜32文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

  4. タグ識別子: タグ識別子の文字列を入力します。これは通知のターゲットアドレスを識別します。文字数は 1〜20文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。

  5. 通知の種類: 次のいずれかのオプションを選択してください。

    • トラップ: トラップは片方向の通信であり、応答を送信しません。配信は確認されていませんし、保証されません。
    • 情報: SNMPv2c および SNMPv3 のみ。情報メッセージは、受領確認の要求を含むため、より信頼性があります。ただし、システムおよびネットワークリソースをより多く消費します。

  6. 保存」をクリックします。

通知の名前をクリックして設定を編集します。

通知を削除するには、削除する通知の横にあるチェックボックスを選択し、「削除」をクリックします。

SNMP 通知の送信にはターゲットアドレスが必要です。ターゲットアドレスは、SNMP エージェントに、受信者のドメインとアドレス情報、使用するポート、通知を送信すや再試行する頻度などを伝えます。ターゲットアドレスを設定する前に、少なくとも 1つのターゲットパラメータを設定する必要があります。

ターゲットアドレスは、スイッチ上のすべてのターゲットアドレスに対する名前、通信設定を表示します。

ターゲットアドレスを設定するには、以下の手順に従います。

  1. ターゲットアドレス」で「追加」をクリックします。

  2. 次の設定を行います。

    • ターゲットアドレス名: 名前を入力します。文字数は 1〜32文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。
    • IP アドレス: ターゲット IP アドレスを入力します。
    • UDP ポート: 通知を送信するために使用される UDP ポートを入力します。
    • タイムアウト: デバイスが通知を再送する前に待機する時間を入力します。既定値は 15 秒です。

    • 再試行: デバイスが情報要求を再送する前に待機する時間を入力します。既定値は 3 秒です。

      制限事項

      タイムアウト」と「再試行」は、通知の「種類」を「情報」に設定した場合にのみ適用されます。

    • タグ識別子: タグ識別子の文字列を入力します。文字数は 1〜20文字の範囲で、"\%&?'!;|+、またはスペースを含めることはできません。これはトランスポートタグ情報として使用されます。詳細は、ユーザーとグループを参照してください。

    • ターゲットパラメータ: 「ターゲットパラメータ」をドロップダウンリストから選択します。

  3. 保存」をクリックします。

ターゲットアドレス名をクリックして設定を編集します。

ターゲットアドレスを削除するには、削除するターゲットアドレスの横にあるチェックボックスを選択し、「削除」をクリックします。