動作確認環境
- FPR-1010 (Firepower 1010)
- ASA OS Version 9.18(3)55
Firepower (ASA OS) での SNMP 設定
ここでは、ASA OS をインストールしている Firepower 1000/2100 シリーズでの以下の設定について記載します。
- デフォルトの SNMP コミュニティの設定
- SNMP マネージャの設定
- SNMP トラップ送信の設定
SNMP 機能の有効化
Firepower で SNMP 機能を使用するためには、SNMP 機能が有効化されている必要があります。これはデフォルトで有効化されているため、無効にしていない限りは気にする必要はありません。
snmp-server enable
設定例:
ciscoasa(config)# snmp-server enableデフォルトの SNMP コミュニティの設定
デフォルトの SNMP コミュニティを以下コマンドで設定できます。
snmp-server community <string>community <string>:コミュニティ文字列
設定例:
ciscoasa(config)# snmp-server community hogehoge次以降の項目で説明する SNMP マネージャの設定ではオプションとしてコミュニティを指定しますが、SNMP マネージャの設定でコミュニティを指定しなかった場合、上のコマンドで設定したデフォルトのコミュニティが自動で設定されます。
SNMP マネージャの設定でコミュニティを指定せず、かつデフォルトのコミュニティも設定されていなかった場合、当該 SNMP マネージャ設定はペンディング状態になります。
SNMP マネージャの設定
SNMP マネージャ<ポーリング受け付けのみ>の設定
用途がポーリング受付のみの SNMP マネージャを設定するためには、以下のコマンドで設定します。
snmp-server host <nameif> <address> poll community <string> version <1|2c><nameif>:ポーリングを受け付けるインターフェースの名前<address>:SNMP マネージャの IP アドレスcommunity <string>:コミュニティ文字列version <1|2c>:SNMP バージョン
設定例:
ciscoasa(config)# snmp-server host management 192.168.45.100 poll community hogehoge version 2c上記設定では poll オプションを指定していますが、これを指定している場合、指定の SNMP マネージャからのポーリングを受け付けますが、SNMP マネージャへのトラップ送信はされません。
SNMP マネージャ<トラップ送信先のみ>の設定
用途がトラップ送信先のみの SNMP マネージャを設定するためには、以下のコマンドで設定します。
snmp-server host <nameif> <address> trap community <string> version <1|2c><nameif>:トラップの送信元となるインターフェースの名前<address>:SNMP マネージャの IP アドレスcommunity <string>:コミュニティ文字列version <1|2c>:SNMP バージョン
設定例:
ciscoasa(config)# snmp-server host management 192.168.45.100 trap community hogehoge version 2c上記設定では trap オプションを指定していますが、これを指定している場合、指定の SNMP マネージャへのトラップ送信をしますが、SNMP マネージャからのポーリングを受け付けません。
SNMP マネージャ<ポーリング受付/トラップ送信先>の設定
用途がポーリングを受け付け、かつトラップ送信先である SNMP マネージャを設定するためには、以下のコマンドで設定します。
snmp-server host <nameif> <address> community <string> version <1|2c><nameif>:ポーリングを受け付ける/トラップの送信元となるインターフェースの名前<address>:SNMP マネージャの IP アドレスcommunity <string>:コミュニティ文字列version <1|2c>:SNMP バージョン
設定例:
ciscoasa(config)# snmp-server host management 192.168.45.100 community hogehoge version 2c上記設定では poll/trap オプションをどちらも指定していませんが、この場合、指定の SNMP マネージャからのポーリングを受け付け、かつ SNMP マネージャへのトラップ送信をするようになります。
【注意】SNMP マネージャ設定の削除について
SNMP マネージャの設定は、コンフィグ上では以下のようにコミュニティ部分が「*****」とマスクされて表示されます。
snmp-server host management 192.168.45.100 community ***** version 2cただ、この設定を no コマンドで削除しようとする場合は、以下のようにコミュニティも含めて正確な設定値を指定して削除する必要があります。
no snmp-server host management 192.168.45.100 community hogehoge version 2cこのときコミュニティが間違えていると設定を削除できません。
コミュニティが不明の場合、以下のコマンドで snmp-server host 設定をすべてクリアする必要があります。
ciscoasa(config)# clear configure snmp-server hostこのコマンドで設定削除する場合、設定されているすべての snmp-server host 設定が削除されるため注意してください。
機能別の SNMP トラップ送信有効/無効の設定
SNMP トラップについては対象の機能別に送信する/送信しないの設定ができます。
snmp-server enable traps <大分類> [<小分類>]<大分類><小分類>:小分類
大分類としては以下の項目があります。
all Enable all traps
cluster-state Enable cluster related traps
config Enable SNMP config traps
connection-limit-reached Enable Connection Limit traps
cpu Enable CPU utilization related traps
entity Enable ENTITY MIB notifications
failover-state Enable Fover related traps
ikev2 Enable IKEv2 traps
interface-threshold Enable interface threshold reached traps
ipsec Enable IPSec traps
memory-threshold Enable memory threshold reached traps
nat Enable NAT related traps
peer-flap Enable bgp/ospf peer-flap related traps
remote-access Enable remote-access traps
snmp Enable SNMP traps
syslog Enable syslog traps大分類の下にさらに小分類が存在する場合があります。例えば snmp の下にはさらに以下の項目があります。
authentication Enable authentication trap
coldstart Enable coldStart trap
linkdown Enable linkDown trap
linkup Enable linkUp trap
warmstart Enable warmstart trapデフォルトでは SNMP の各項目が有効になっています。
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstartその他 SNMP 設定
SNMP Location と Contact の設定
snmp-server location <location>
snmp-server contact <contact>
設定例:
ciscoasa(config)# snmp-server location piyopiyo
ciscoasa(config)# snmp-server contact fugafuga【参考】SNMP 関係のデフォルト設定
SNMP 関係のデフォルト設定は以下の通りです。
snmp-server listen-port 161
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
no snmp-server enable traps syslog
no snmp-server enable traps ipsec start stop
no snmp-server enable traps entity config-change fru-insert fru-remove fan-failure power-supply power-supply-presence cpu-temperature chassis-temperature power-supply-temperature chassis-fan-failure accelerator-temperature l1-bypass-status
no snmp-server enable traps memory-threshold
no snmp-server enable traps interface-threshold
no snmp-server enable traps remote-access session-threshold-exceeded
no snmp-server enable traps connection-limit-reached
no snmp-server enable traps cpu threshold rising
no snmp-server enable traps ikev2 start stop
no snmp-server enable traps nat packet-discard
no snmp-server enable traps config
no snmp-server enable traps failover-state
no snmp-server enable traps cluster-state
no snmp-server enable traps peer-flap
snmp-server enable oid mempool
snmp-server enable参考資料
