API Guide
Table Of Contents
OS10(config)# exit
OS10# write memory
SNMP ルール
Simple Network Management Protocol(SNMP)へのアクセス制限により、SNMP を使用する際のデバイスのセキュリティが向上し
ます。
[特定の SNMP コミュニティーへの読み取り/書き込みアクセスの禁止]
[論拠]:単一または複数の SNMP コミュニティーへの読み取り/書き込みアクセスを禁止して、不正なエンティティーがデバイス
をリモートで操作できないようにします。
[構成]:
OS10(config)# no snmp-server community community_string {ro | rw}
OS10(config)# exit
OS10# write memory
[ACL なしの SNMP へのアクセスを禁止]
[論拠]:ACL が構成されていない場合、有効な SNMP コミュニティー文字列を持つユーザーは誰でもシステムにアクセスでき、不
要な変更を加える可能性があります。信頼できるステーションの許可されたグループのみがシステムへの SNMP アクセスを行え
るように、ACL を定義して適用します。
[構成]:
OS10(config)# snmp-server community name {ro | rw} acl acl-name
OS10(config)# exit
OS10# write memory
OS10(config)# ip access-list snmp-read-only-acl
OS10(config-ipv4-acl)# permit ip 172.16.0.0 255.255.0.0 any
OS10(config-ipv4-acl)# exit
OS10(config)# snmp-server community public ro acl snmp-read-only-acl
OS10(config)# exit
OS10# write memory
[SNMP v3 の構成]
[論拠]:SNMP v2 は暗号化または認証をサポートしていません。Dell EMC Networking は、SNMP リソースへの安全なアクセスを
サポートする SNMP v3 を使用することを強く推奨します。
[構成]:
● SNMP エンジン ID を構成します。snmp-server engineID [local engineID] [remote ip-address {[udp-port
port-number] remote-engineID}]
○ local engineID:スイッチのローカル SNMP エージェントを識別するエンジン ID を、オクテットのコロン区切りの数字
で入力します。最大 27 文字です。
○ remote ip-address:ローカル SNMP エージェントにアクセスするリモート SNMP デバイスの IPv4 または IPv6 アドレ
スを入力します。
○ udp-port port-number:リモート デバイスの UDP ポート番号を 0~65535 の範囲で入力します。
○ remote-engineID:リモート デバイス上の SNMP エージェントを識別するエンジン ID を、0x および 16 進数の文字列で
入力します。
● SNMP の表示を構成します。
OS10(config)# snmp-server view view-name oid-tree [included | excluded]
○ view-name:読み取り専用、読み取り/書き込み、または通知ビューの名前を入力します。最大 32 文字です。
○ oid-tree:ビューが 12 オクテットのドット区切り形式で始まる SNMP オブジェクト ID を入力します。
○ included:(オプション)ビューに MIB ファミリーを含めます。
○ excluded:(オプション)MIB ファミリーをビューから除外します。
● SNMP グループを構成します。
OS10(config)# snmp-server group group-name v3 security-level [read view-name] [write view-
name] [notify view-name]
OS10 セキュリティのベスト プラクティス 17