SNMPの制限および注意事項
SEILのSNMP機能を使用する際に注意が必要となる項目
注: ファームウェアの不具合が原因の制限事項は、ファームウェアのリリースノートを参照してください。
- SNMPのトランスポートについて、UDPのみ対応しています。
- 工場出荷時のコンフィグでは community の値に "public" が設定されています。v1,v2cを使用する場合は既定値から変更することを検討してください。
- "clear counter interface" コマンドが実行されると、SNMPで応答するカウンタ情報も初期化されます。
- v2c, v3 のトラップに未対応です。
- inform に未対応です。
- RMON に未対応です。
- インタフェースにdescriptionを設定可能ですが、SNMPで取得することができません。
- SEIL の設定において、インタフェースにエイリアスアドレスを設定可能ですが、 SNMPでifAliasを取得することができません。
-
ifDescr がインタフェース名を示しています。 ただし以下のインタフェース名は例外です
- discard
- 経路制御において、宛先として使います。
- faith0
- トランスレータ機能に関係します。
- 以下に列挙する特定のインタフェースの ifType の値が、IANAIfType-MIB から外れています
- discard
- ifPwType (246), -- Pseudowire interface type
- faith0
- x86laps (242), -- LAPS based on ITU-T X.86/Y.1323
- tunnel
- dvbTdm (240), -- DVB Satellite TDM
- ipsec
- voiceEBS (245), -- voice P-phone EBS physical interface
- l2tp
- ilan (247), -- Internal LAN on a bridge per IEEE 802.1ap
- pppac
- pip (248), -- Provider Instance Port on a bridge per IEEE 802.1ah PBB
MIBへの対応状況
SEIL の MIB への対応状況を以下に示します。 まずシステム全体に関係する MIB の対応状況を以下の一覧します
- RFC 4133 Entity MIB
- 未対応
- RFC 2790 Host Resources MIB
- 対応していますが、デバイスとしてのネットワークインタフェースはサポートしていません
- RFC 4022 TCP MIB
- 対応
- RFC 4113 UDP MIB
- 対応
- RFC 2011 IPv4 MIB
- 対応
- RFC 2465 IPv6 MIB
- 対応
- RFC 2466 ICMPv6 MIB
- 対応
- RFC 4087 IP Tunnel MIB
- 未対応
- RFC 5132 IP Multicast MIB
- 未対応
- RFC 2933 IGMP MIB
- 未対応
- RFC 3635 Ethernet-like MIB
- 未対応
- RFC 2790 Host Resources MIB
- 対応
- RFC 2863 The Interfaces Group MIB
- 対応
- access
- 未対応
- application-gateway
- 未対応
- arp
- RFC 4293 未対応
- date
- RFC 2790 未対応
- bridge
- RFC 2108 4188 4363 未対応
- cbq
- 未対応
- dhcp
- 未対応
- dhcp6
- 未対応
- dialup-device
- 未対応
- dialup-network
- 未対応
- dns
- RFC 1611 未対応
- filter
- 未対応
- filter6
- 未対応
- function
- 未対応
- httpd
- RFC 2039 未対応
- ike
- RFC 4807 未対応
- interface
- RFC 2863 対応
- ipsec
- RFC 4807 未対応
- l2tp
- RFC 3371 未対応
- macfilter
- 未対応
- monitor
- IIJ-SEIL-MIB.txt IIJ-SEIL-V1TRAP.txt 対応
- nat
- rfc 4008 未対応
- nat6
- 未対応
- ndp
- rfc 4293 未対応
- ntp
- rfc 5907 未対応
- option
- 未対応
- ppp
- rfc 1471 から 1474 に未対応
- pppac
- 未対応
- resolver
- rfc 1612 未対応
- route
- RFC 4292 未対応
- ospf
- RFC 1850 未対応
- rip
- RFC 1724 未対応
- route6
- RFC 4292 未対応
- ripng
- 未対応
- ospfv3
- RFC 5643 未対応
- rtadvd
- RFC 4293 未対応
- snmp
- RFC 3418 対応
- sshd
- 未対応
- ssh-config
- 未対応
- syslog
- RFC 5427 未対応
- telnetd
- 未対応
- timezone
- 未対応
- translator
- 未対応
- vrrp
- RFC 2787 未対応
- vrrp3
- 未対応
- wol-target
- 未対応
インタフェースのリンク状態の変化によるSNMP機能の再起動
以下のインタフェースのリンク状態の変化によって、 SEIL の snmpd が再起動します- LAN インタフェースのリンク状態がアップからダウンへ変化
- LAN インタフェースのリンク状態がダウンからアップへ変化
- PPP インタフェースのリンク状態がダウンからアップへ変化 (注: PPP インタフェースのリンク状態が、 アップからダウンへ変化する場合、ntpd 再起動の対象外とします)
- PPPoE インタフェースのリンク状態がダウンからアップへ変化
- PPPoE インタフェースのリンク状態がアップからダウンへ変化
当該インタフェースのアップとダウンが繰り返されると、snmpd の再起動も繰り返されるため、 SNMP機能が実質機能停止します。
SEILのsnmpdが再起動するたびに、sysUpTime が初期化され、"show status snmp" コマンドの実行結果も初期化されます。なお、SEILのsysUpTimeの値は、snmpdのuptimeを示すものであり、"show system uptime" の値とは異なります。
SEIL/X2について
SEIL/X2 の場合、特別な注意が必要です。
SEIL/X2 のアーキテクチャ上、1000base-Tで内部が接続されています。このため、インタフェースの media 設定が 10base-Tであっても、ifOutOctetsに最大1Gbps相当の値が計数されます。このことからSEIL/X2の場合、インタフェースのmediaが10base-Tや100base-TXであっても、1000base-T に設定されているものとみなして、SNMP のポーリング間隔を調整してください。
第三者からのアクセスに関する注意
"show status snmp" を使って、 community を間違えた問い合せが計数されていたことがわかった場合、 それが意図されたものかを確認してください。 意図から外れたものであった場合、 第三者からの SNMP の問い合せがあったことになりますので、 パケットフィルタが正しく機能しているか確認して、 SNMP を守ってください。
no privacy(非暗号化)を拒否できない
現在のSEILシリーズの snmpd は authNoPriv を拒否できません。平文での snmp message のやりとりを懸念する場合は、利用する SNMP Manager の設定を確認し、セキュリティレベルが authPriv であることを確認して下さい。
- SEIL側で authPriv のみを受け付ける設定ができません。
- SEILは noAuthNoPriv は拒否します。
ファームウェアアップグレードに関する注意
ファームウェアをアップグレードする場合、 以下の事に注意ください。
- インタフェースに割り当てられている ifIndex の値が、 ファームウェアのアップグレードによって変わる場合があります。 お使いのネットワーク管理システムから、 ifIndex の値を指定して SNMP の問い合せをしているならば、 問い合せに使っている ifIndex の値を変更してください。
- SEIL マニュアルと共に配布している、 IIJ-SEIL-MIB.txt ファイルと IIJ-SEIL-V1TRAP.txt ファイルの更新があれば、 ダウンロードして、 お使いのネットワーク管理システムに反映してください。