こんにちは。

SNMPについて、教えて下さい。

OpenViewなど監視マネージャからネットワーク機器を監視する場合に、
SNMPのコミュニティ名を決める必要があるそうです。

1台の監視マネージャから、100台の機器を監視したい場合、
50台の監視を「Coma」、もう50台を「Comb」という感じで
コミュニティ名を使い分けることは可能なのでしょうか?。

よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (5件)

まず、コミュニティ名というのはSNMPでアクセスを行う際のパスワードのような役割を持っています


OpenViewのようなNMSからSNMP対応のNW機器にアクセスする際、これが一致していればSNMPgetで情報を拾ってきたり、SNMPsetで設定ができたりします
ということで、コミュニティ名はNMSとNW機器両方に設定する必要があります

NW機器側に関しては、100台一緒のコミュニティ名にしても、100台別々のコミュニティ名にしても、コミュニティ名を設定する(デフォルトのpublic/privateから変更する)と言う意味では作業量は一緒でしょう

OpenViewなどのNMS側では、
・もしコミュニティ名が1つ(全てComa)であれば、「全ての機器はComaでアクセスする」という設定でよい
・もしコミュニティ名が2つ(ComaとComb)であり、IPアドレスがそれぞれきれいに分かれていれば「192.168.0.1~254はComaでアクセスする。192.168.1.1~254はCombでアクセスする。」という2つの設定でよい
・もしコミュニティ名が2つ(ComaとComb)であり、IPアドレスがきれいに分かれていないと、最悪1台1台設定する必要がある
という感じになります
(この辺の設定の自由度はNMSによっても変わりますが)

例えばNMSが2台あって、それぞれ受注処理のNW機器と会計のNW機器を別々に監視させたい(お互いに相手の機器は監視させない)場合であればコミュニティ名を分ける意味はありますが、そうでない場合は手間をかけて分けるメリットがないでしょう
    • good
    • 0
この回答へのお礼

皆様有難うございました。
参考にさせて頂きます。

お礼日時:2009/05/31 02:19

>コミュニティ名が異なると、その分監視マネージャの処理に


>負担がかかるという感じでしょうか・・。

マネージャーに負担がかかることはありません。

>あくまで管理上分けてみたい、という話になっています。

管理分けが理由でコミュニティを変えるメリットがありません。
業務を意識した管理分けなら機器名で分けられます。(というかそれが一般的)
なぜならデータの扱いは機器単位であり、コミュニティ名によるデータ反映の余地が無いからです。

例えば、機器を交換したときなどそれぞれのコミュニティ名を設定しなければならないとか、機器をそのまま交換流用できないとか、管理が煩雑になるだけですが、それでも構わなければ使い分けても機能的に差はありません。
    • good
    • 1

コミュニティ名は監視対象機器に設定し、OpenViewで機器を登録する際にコミュニティ名を指定して登録する訳なので、2つだろうが100個だろうが使い分けができないわけではありません。


が、個人的にはそのような運用にメリットが見いだせません(面倒なだけ:-P)

なお、No.1さんが書かれているとおり、セキュリティ面から見た場合、SNMPからできることは必要最小限にとどめておくべきでしょう。
    • good
    • 0

OpenViewがわからないので、的確なことは言えませんが、SNMPというのは、RSAIIのことでしょうか。



であれば、RSAIIでコミュニティ名を設定することはできません。RSAIIで設定出来るのは、どのサーバに対してイベントを送信するかという設定くらいです。IBM Directorを使用した場合は、コミュニティ名はDirector側で設定しましたよ。コミュニティ名を使い分けることも出来たはずです。

なので、OpenViewでも同様に、コミュニティ名はOpenView側で設定するのではないでしょうか。やり方はマニュアルを見れば、書いてあると思いますよ。

System x サーバを元に考えているので、見当違いでしたらすみません。
    • good
    • 0

可能か不可能かで答えるなら可能ですが、そのような使用法に意味はないと思います。



一般にコミュニティ名「public」と「private」があり、privateとして自由にコミュニティ名を指定するのですが、主な目的は権限の分離です。
つまり1つのエージェントに以下のように、権限を振り分けるの一般的です。(※一例に過ぎません)
Coma リードオンリー権限
Comb リードライト権限

そしてセキュリティ上の理由から必要がなければライト権限は使用すべきではないし、リード権限も監視マネージャー以外に与えてはいけません。
エージェントにアクセスする際にはIPベースの問い合わせになりますし、その際にコミュニティ名が違うということになれば無駄な処理をして応答が遅くなるだけです。
従って、可能ではあるけれどデメリットしかないと思います。
    • good
    • 0
この回答へのお礼

皆様有難うございます。

現状ですが「public」は使用不可となりそうで、
「private」で何らかの名前を付ける方向です。

実は100個のネットワーク機器は2つの業務システムにそれぞれ
使用されています。
その業務システムを意識したコミュニティ名を
付けようと検討しています。

受注処理では order_com
会計なら account_com

という感じです。
あくまで管理上分けてみたい、という話になっています。

コミュニティ名が異なると、その分監視マネージャの処理に
負担がかかるという感じでしょうか・・。

お礼日時:2009/05/15 00:52

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

QNTPで同期が始まらない

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntpq -pの結果は下記となります。

remote refid st t when poll reach delay offset jitter
==============================================================================
133.100.9.2 .INIT. 16 u - 64 0 0.000 0.000 4000.00
130.69.251.23 .GPS. 1 u 27 64 377 8.015 -99970. 17262.6

同期ができれば「remote」列に「*」が表示されると思っています。
何か設定が足りないでしょうか?。
尚、「/vat/log/message」をtailしてますが特にエラーは無さそうです。

よろしくお願いします。

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntp...続きを読む

Aベストアンサー

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハードウエアclockを合わせます。
http://www.linux.or.jp/JM/html/util-linux/man8/hwclock.8.html

○ntpdの動作
ntpによる時刻調整は、調整幅が通常128mSと小さいので、1時間は様子をましょう。
2時間程度経過しても、時刻修正の兆候が見られない場合ハードウェアの不良も考えられます。

時刻調整の兆候としては、
・logファイルに 一時間毎に調整したメッセージが書かれる。
Jan 7 21:57:40 ntpd[91145]: offset 0.000994 sec freq -190.802 ppm error 0.000076 poll 8
・ntpq -p の出力の最初の桁に"*,+"が付く。また、reach が377になる。
% ntpq -np
remote refid st t when poll reach delay offset jitter
+192.168.0.102 GPS_NMEA(0) 2 u 3 32 377 0.926 -0.330 0.023
*192.168.0.192 GPS_NMEA(1) 2 u 10 32 377 0.747 -0.336 0.023
192.168.0.9 PPS(1) 2 u 3 32 377 0.757 6.559 0.161


○その他
・PC起動時には、システムクロックを計測してその後の動作の基準にしていますが、
CMOSバッテリ不足やハードウェアに何らかの異常があるととんでもない時刻を示すことがあります。(要修理です)
・BIOSの時計も起動時の初期時刻として使われてしまうので、ある程度合わせておいた方がいいです。

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハ...続きを読む

Qレッドハットのバージョン確認方法

自分のサーバで使用しているREDHATのバージョン確認はどうすればいいのでしょうか?

more /etc/issue
とやっても英文しか出てきませんでした。

uname -all
でもカーネルのバージョンは出るのですが、REDHATのバージョンは出ませんでした。

Aベストアンサー

> more /etc/issue
> とやっても英文しか出てきませんでした。

その英文にはRedHatのバージョンは書いてなかったのですか?
書いていなかったとしたら、管理者により編集されている可能性
がありますね。

cat /etc/redhat-release

ではいかがでしょう?
やっぱり英文ですけど。

rpm -q redhat-release

でもいいかも

Qコマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法

ipアドレスは分かっていますがコンピュータ名が分かりません。リモート接続ソフトなどは使えないので、それでコンピュータ名を調べることはできません。
コマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法を教えてください!

Aベストアンサー

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理しており、対象IPについても管理者の管理下にある場合……以下2つのいずれかの方法で検索できます。

  nslookup <IP address>

または

  nslookup -q=ptr <reverse ip>.in-addr.arpa.
  ex) 192.168.12.1 のIPを調べたい場合、以下のように入力する
  nslookup -q=ptr 1.12.168.192.in-addr.arpa.

  (DNSサーバで逆引きが設定されていないと、正しく検索できない場合があります)

パターン3:
上記以外の場合

外部から名前解決できないので、調べようがありません。または、調べてもそれが正しいホスト名である保証がありません。
そのIPの端末自体に設定されているホスト名を直接調べるしかありませんが、それには実際にそのIPの端末を操作して調べるしかありません。
つまり、No.2さんの回答となるのですが、
IPを使用しているのがWindows PCやUnixサーバなどである保証はないので、確認するコマンドはその端末の種類(OS)によって異なります。

なお、tracert (traceroute)を使用する、という回答がありますが、これはパターン1またはパターン2のいずれかまたは両方を満たしていないと表示されませんので、厳密には正しい答えとはいえません。
(たいていの場合、"tracert <IP address>" や "ping <IP address>"で用が足りてしまうことも多いので、必ずしも間違いではないのですが)

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理して...続きを読む

QSYSユーザーでログインしたい

SQL plusでSYSユーザーでログインするにはどうすればよいのでしょうか?
SYSTEMユーザーやSCOTTユーザーではログインできるのですが、SYSユーザーになる方法がわかりません。
お願いします。

Aベストアンサー

>SQL plusでSYSユーザーでログインするにはどうすればよいのでしょうか?
特別なことする必要がないと思います。
ログインできない場合いろいろな原因が考えられます。
一番可能な原因は設定によってSYSユーザーNOMAL権限でログインできない場合あります。
この場合
sqlplus sys/パスワード@接続文字列 as sysdba
で試してください。


>SYSTEMユーザーやSCOTTユーザーではログインできるのですが、SYSユーザーになる方法がわかりません。
conn sys/パスワード@接続文字列 as sysdba

QUNIXからWindowsへのファイル転送

UNIXからWindowsサーバーへFTP以外でファイル転送をしようと考えています。

方法としてはSFTPがあると思いますが、
Windowsサーバー側に条件はなにがありますでしょうか?
IISでFTPを構築しないとだめでしょうか?

UNIXでsftpコマンドは実行できることを確認しています。

また、逆のパターンとして
WindowsサーバーからUNIXサーバーへWinSCPでのファイル転送の場合は
WinSCPを導入するだけでよいでしょうか?
転送する側でIISでのFTP設定も必要でしょうか?

初歩的な質問で申し訳ございませんが、
ご教授の程よろしくお願いいたします。

Aベストアンサー

通信を暗号化する必要がなければ、smbclient コマンドでWindows側の共有フォルダへputするのが簡単だと思います。
Linuxだとパッケージで導入出来るはず。Unixだとsambaがサポートされていれば付いているかも。無ければソースからインストールなのでやや面倒か。

smbclient -U ユーザ名 '\\サーバ名\共有名'
詳しくはmanを。

もしくは、管理者権限で動作させて良いなら、Windowsの共有フォルダをマウントして、書き込むか。
mount -t cifs -o user=ユーザ名 //サーバ名/共有名 /mnt先


SFTPを使うならWindows側にsshサーバが必要です。SFU(Service For Unix)をインストール使うのかな?

>WindowsサーバーからUNIXサーバーへWinSCPでのファイル転送の場合は

UNIX側でsshサーバが上がっていれば、Windows側はクライアントがあればいいです。

Q「ご連絡いたします」は敬語として正しい?

連絡するのは、自分なのだから、「ご」を付けるのは
おかしいのではないか、と思うのですが。
「ご連絡いたします。」「ご報告します。」
ていうのは正しい敬語なのでしょうか?

Aベストアンサー

「お(ご)~する(いたす)」は、自分側の動作をへりくだる謙譲語です。
「ご連絡致します」も「ご報告致します」も、正しいです。

文法上は参考URLをご覧ください。

参考URL:http://www.nihongokyoshi.co.jp/manbou_data/a5524170.html


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング