SNMPの制限および注意事項

SEILのSNMP機能を使用する際に注意が必要となる項目

注: ファームウェアの不具合が原因の制限事項は、ファームウェアのリリースノートを参照してください。
  • SNMPのトランスポートについて、UDPのみ対応しています。
  • 工場出荷時のコンフィグでは community の値に "public" が設定されています。v1,v2cを使用する場合は既定値から変更することを検討してください。
  • "clear counter interface" コマンドが実行されると、SNMPで応答するカウンタ情報も初期化されます。
  • v2c, v3 のトラップに未対応です。
  • inform に未対応です。
  • RMON に未対応です。
  • インタフェースにdescriptionを設定可能ですが、SNMPで取得することができません。
  • SEIL の設定において、インタフェースにエイリアスアドレスを設定可能ですが、 SNMPでifAliasを取得することができません。
  • ifDescr がインタフェース名を示しています。 ただし以下のインタフェース名は例外です
    discard
    経路制御において、宛先として使います。
    faith0
    トランスレータ機能に関係します。
  • 以下に列挙する特定のインタフェースの ifType の値が、IANAIfType-MIB から外れています
    discard
    ifPwType (246), -- Pseudowire interface type
    faith0
    x86laps (242), -- LAPS based on ITU-T X.86/Y.1323
    tunnel
    dvbTdm (240), -- DVB Satellite TDM
    ipsec
    voiceEBS (245), -- voice P-phone EBS physical interface
    l2tp
    ilan (247), -- Internal LAN on a bridge per IEEE 802.1ap
    pppac
    pip (248), -- Provider Instance Port on a bridge per IEEE 802.1ah PBB

MIBへの対応状況

SEIL の MIB への対応状況を以下に示します。 まずシステム全体に関係する MIB の対応状況を以下の一覧します
RFC 4133 Entity MIB
未対応
RFC 2790 Host Resources MIB
対応していますが、デバイスとしてのネットワークインタフェースはサポートしていません
RFC 4022 TCP MIB
対応
RFC 4113 UDP MIB
対応
RFC 2011 IPv4 MIB
対応
RFC 2465 IPv6 MIB
対応
RFC 2466 ICMPv6 MIB
対応
RFC 4087 IP Tunnel MIB
未対応
RFC 5132 IP Multicast MIB
未対応
RFC 2933 IGMP MIB
未対応
RFC 3635 Ethernet-like MIB
未対応
RFC 2790 Host Resources MIB
対応
RFC 2863 The Interfaces Group MIB
対応
次に機能設定コマンド別に対応状況を以下に一覧します
access
未対応
application-gateway
未対応
arp
RFC 4293 未対応
date
RFC 2790 未対応
bridge
RFC 2108 4188 4363 未対応
cbq
未対応
dhcp
未対応
dhcp6
未対応
dialup-device
未対応
dialup-network
未対応
dns
RFC 1611 未対応
filter
未対応
filter6
未対応
function
未対応
httpd
RFC 2039 未対応
ike
RFC 4807 未対応
interface
RFC 2863 対応
ipsec
RFC 4807 未対応
l2tp
RFC 3371 未対応
macfilter
未対応
monitor
IIJ-SEIL-MIB.txt IIJ-SEIL-V1TRAP.txt 対応
nat
rfc 4008 未対応
nat6
未対応
ndp
rfc 4293 未対応
ntp
rfc 5907 未対応
option
未対応
ppp
rfc 1471 から 1474 に未対応
pppac
未対応
resolver
rfc 1612 未対応
route
RFC 4292 未対応
ospf
RFC 1850 未対応
rip
RFC 1724 未対応
route6
RFC 4292 未対応
ripng
未対応
ospfv3
RFC 5643 未対応
rtadvd
RFC 4293 未対応
snmp
RFC 3418 対応
sshd
未対応
ssh-config
未対応
syslog
RFC 5427 未対応
telnetd
未対応
timezone
未対応
translator
未対応
vrrp
RFC 2787 未対応
vrrp3
未対応
wol-target
未対応

インタフェースのリンク状態の変化によるSNMP機能の再起動

以下のインタフェースのリンク状態の変化によって、 SEIL の snmpd が再起動します
  • LAN インタフェースのリンク状態がアップからダウンへ変化
  • LAN インタフェースのリンク状態がダウンからアップへ変化
  • PPP インタフェースのリンク状態がダウンからアップへ変化 (注: PPP インタフェースのリンク状態が、 アップからダウンへ変化する場合、ntpd 再起動の対象外とします)
  • PPPoE インタフェースのリンク状態がダウンからアップへ変化
  • PPPoE インタフェースのリンク状態がアップからダウンへ変化

当該インタフェースのアップとダウンが繰り返されると、snmpd の再起動も繰り返されるため、 SNMP機能が実質機能停止します。

SEILのsnmpdが再起動するたびに、sysUpTime が初期化され、"show status snmp" コマンドの実行結果も初期化されます。なお、SEILのsysUpTimeの値は、snmpdのuptimeを示すものであり、"show system uptime" の値とは異なります。

SEIL/X2について

SEIL/X2 の場合、特別な注意が必要です。

SEIL/X2 のアーキテクチャ上、1000base-Tで内部が接続されています。このため、インタフェースの media 設定が 10base-Tであっても、ifOutOctetsに最大1Gbps相当の値が計数されます。このことからSEIL/X2の場合、インタフェースのmediaが10base-Tや100base-TXであっても、1000base-T に設定されているものとみなして、SNMP のポーリング間隔を調整してください。

第三者からのアクセスに関する注意

"show status snmp" を使って、 community を間違えた問い合せが計数されていたことがわかった場合、 それが意図されたものかを確認してください。 意図から外れたものであった場合、 第三者からの SNMP の問い合せがあったことになりますので、 パケットフィルタが正しく機能しているか確認して、 SNMP を守ってください。

no privacy(非暗号化)を拒否できない

現在のSEILシリーズの snmpd は authNoPriv を拒否できません。平文での snmp message のやりとりを懸念する場合は、利用する SNMP Manager の設定を確認し、セキュリティレベルが authPriv であることを確認して下さい。
  • SEIL側で authPriv のみを受け付ける設定ができません。
  • SEILは noAuthNoPriv は拒否します。

参考: https://tools.ietf.org/html/rfc3411#section-3.4.3

ファームウェアアップグレードに関する注意

ファームウェアをアップグレードする場合、 以下の事に注意ください。
  • インタフェースに割り当てられている ifIndex の値が、 ファームウェアのアップグレードによって変わる場合があります。 お使いのネットワーク管理システムから、 ifIndex の値を指定して SNMP の問い合せをしているならば、 問い合せに使っている ifIndex の値を変更してください。
  • SEIL マニュアルと共に配布している、 IIJ-SEIL-MIB.txt ファイルと IIJ-SEIL-V1TRAP.txt ファイルの更新があれば、 ダウンロードして、 お使いのネットワーク管理システムに反映してください。