SNMPのコミュニティ名について

こんにちは。

SNMPについて、教えて下さい。

OpenViewなど監視マネージャからネットワーク機器を監視する場合に、
SNMPのコミュニティ名を決める必要があるそうです。

1台の監視マネージャから、100台の機器を監視したい場合、
50台の監視を「Coma」、もう50台を「Comb」という感じで
コミュニティ名を使い分けることは可能なのでしょうか？。

よろしくお願いします。

No.5 回答者： 774danger 回答日時： 2009/05/15 02:51

まず、コミュニティ名というのはSNMPでアクセスを行う際のパスワードのような役割を持っています

OpenViewのようなNMSからSNMP対応のNW機器にアクセスする際、これが一致していればSNMPgetで情報を拾ってきたり、SNMPsetで設定ができたりします
ということで、コミュニティ名はNMSとNW機器両方に設定する必要があります

NW機器側に関しては、100台一緒のコミュニティ名にしても、100台別々のコミュニティ名にしても、コミュニティ名を設定する(デフォルトのpublic/privateから変更する)と言う意味では作業量は一緒でしょう

OpenViewなどのNMS側では、
・もしコミュニティ名が1つ(全てComa)であれば、「全ての機器はComaでアクセスする」という設定でよい
・もしコミュニティ名が2つ(ComaとComb)であり、IPアドレスがそれぞれきれいに分かれていれば「192.168.0.1～254はComaでアクセスする。192.168.1.1～254はCombでアクセスする。」という2つの設定でよい
・もしコミュニティ名が2つ(ComaとComb)であり、IPアドレスがきれいに分かれていないと、最悪1台1台設定する必要がある
という感じになります
(この辺の設定の自由度はNMSによっても変わりますが)

例えばNMSが2台あって、それぞれ受注処理のNW機器と会計のNW機器を別々に監視させたい(お互いに相手の機器は監視させない)場合であればコミュニティ名を分ける意味はありますが、そうでない場合は手間をかけて分けるメリットがないでしょう

この回答へのお礼

皆様有難うございました。
参考にさせて頂きます。

お礼日時：2009/05/31 02:19

No.4 回答者： localica 回答日時： 2009/05/15 01:56

>コミュニティ名が異なると、その分監視マネージャの処理に

>負担がかかるという感じでしょうか・・。

マネージャーに負担がかかることはありません。

>あくまで管理上分けてみたい、という話になっています。

管理分けが理由でコミュニティを変えるメリットがありません。
業務を意識した管理分けなら機器名で分けられます。（というかそれが一般的）
なぜならデータの扱いは機器単位であり、コミュニティ名によるデータ反映の余地が無いからです。

例えば、機器を交換したときなどそれぞれのコミュニティ名を設定しなければならないとか、機器をそのまま交換流用できないとか、管理が煩雑になるだけですが、それでも構わなければ使い分けても機能的に差はありません。

No.3 回答者： Toshi0230 回答日時： 2009/05/14 20:42

コミュニティ名は監視対象機器に設定し、OpenViewで機器を登録する際にコミュニティ名を指定して登録する訳なので、2つだろうが100個だろうが使い分けができないわけではありません。

が、個人的にはそのような運用にメリットが見いだせません（面倒なだけ:-P）

なお、No.1さんが書かれているとおり、セキュリティ面から見た場合、SNMPからできることは必要最小限にとどめておくべきでしょう。

No.2 回答者： n_kudoujp 回答日時： 2009/05/14 18:02

OpenViewがわからないので、的確なことは言えませんが、SNMPというのは、RSAIIのことでしょうか。

であれば、RSAIIでコミュニティ名を設定することはできません。RSAIIで設定出来るのは、どのサーバに対してイベントを送信するかという設定くらいです。IBM Directorを使用した場合は、コミュニティ名はDirector側で設定しましたよ。コミュニティ名を使い分けることも出来たはずです。

なので、OpenViewでも同様に、コミュニティ名はOpenView側で設定するのではないでしょうか。やり方はマニュアルを見れば、書いてあると思いますよ。

System x サーバを元に考えているので、見当違いでしたらすみません。

No.1 回答者： localica 回答日時： 2009/05/14 18:01

可能か不可能かで答えるなら可能ですが、そのような使用法に意味はないと思います。

一般にコミュニティ名「public」と「private」があり、privateとして自由にコミュニティ名を指定するのですが、主な目的は権限の分離です。
つまり1つのエージェントに以下のように、権限を振り分けるの一般的です。（※一例に過ぎません）
Coma　リードオンリー権限
Comb　リードライト権限

そしてセキュリティ上の理由から必要がなければライト権限は使用すべきではないし、リード権限も監視マネージャー以外に与えてはいけません。
エージェントにアクセスする際にはIPベースの問い合わせになりますし、その際にコミュニティ名が違うということになれば無駄な処理をして応答が遅くなるだけです。
従って、可能ではあるけれどデメリットしかないと思います。

この回答へのお礼

皆様有難うございます。

現状ですが「public」は使用不可となりそうで、
「private」で何らかの名前を付ける方向です。

実は100個のネットワーク機器は2つの業務システムにそれぞれ
使用されています。
その業務システムを意識したコミュニティ名を
付けようと検討しています。

受注処理では　order_com
会計なら　account_com

という感じです。
あくまで管理上分けてみたい、という話になっています。

コミュニティ名が異なると、その分監視マネージャの処理に
負担がかかるという感じでしょうか・・。

お礼日時：2009/05/15 00:52