Setarea SNMP

Configurarea SNMP - destul de un subiect interesant, pentru că SNMP este un instrument puternic în mâinile administratorului de sistem și necesitatea critică pentru o rețea mare. dispozitiv de rețea va acționa router CISCO.

Un pic de teorie

concepte generale

În propriile lor cuvinte, pentru a face mai clar - SNMP este format din 3 părți:

Agent, configurat la un dispozitiv de rețea;
Supraveghetorul configurat pe calculator;
În plus, dispozitivul are o baza de informații de management (MIB), care stochează de fapt, datele necesare.

Baza este completată automat de către dispozitivul de rețea. Este necesar doar pentru a selecta datele necesare de acolo.

Interacțiunea dintre manager și agentul are loc două moduri diferite:

La apariția unor evenimente predeterminate asupra dispozitivului, agentul trimite datele independent evenimentului controler - SNMP capcana;
Managerul colectează statistici privind parametri prestabiliți, interogarea unui anumit interval de agent - cerere SNMP GetRequest.

Aceasta este, în cazul în care expeditorul a acordat dreptul de a read-only (RO), în cazul dat dreptul de a scrie (RW), are o caracteristică suplimentară:

Managerul modifică parametrii predeterminate în MIB, prin trimiterea unei cereri către agentul - cerere SNMP SetRequest;

Conceptul de declanșare - atunci când valoarea parametrului care este monitorizat de regulatorul este schimbat, controlerul efectuează în avans o anumită acțiune (de exemplu, trimite un mesaj la e-mail).

Conceptul de siruri de caractere comunitare - este parola care identifică în mod unic agent de versiunea 1/2.

versiuni SNMP

Există 3 versiuni de SNMP:

Versiunea 1 - standard de bază;
Versiunea 2c - modificat în ceea ce privește versiunea de performanță 1, nu include securitatea versiunii 2 și informal cunoscut sub numele de SNMPv1.5. Rafinament este faptul că parametrii MIB pot alege să nu 1, și de grup;
Versiunea 3 - modificat numai de siguranță în ceea ce privește 2c, și anume criptare și autentificare.

În ceea ce privește punerea în aplicare a muncii între versiunile unei diferențe, ci pentru că singura versiune de 3 în condiții de siguranță, atunci ea este data și versiunea 1 și 2c în timp ce încă luptă, dar considerate depășite.

Structura de bază este neobișnuită pentru înțelegere, este pur și simplu să ne amintim și în cele din urmă nimic nu ar fi neobișnuit. Această structură este un arbore inversat. în care cilindrul - 1 (uneori scris .1), iar ramurile sunt indicate prin numere care încep cu 1 și, de asemenea, în continuare. nivelurile cuibar pot fi multe, noi sucursale în ramura, și așa mai departe. Cele mai multe dintre ramurile se încheie parametrii. Parametrii din cadrul sucursalei sunt, de asemenea, numerotate de la 1 la calea parametru este format din numere care încep cu din trunchiul și trece prin ramura care duce la parametrul. Numerele separate prin puncte. Această cale este numită OID (Object ID). Este important de menționat faptul că acest standard - numerotare clar prevăzute în prezentul standard și aceeași pentru toți producătorii, dar producătorul specific poate adăuga ramuri lor unice, care sunt prezente doar în echipamentele sale.

Manager de SNMP (program) are o bază de date standard MIB, programul aflat despre ramurile și parametrii unui anumit producător specifice, este necesar să se încarce MIB producătorului.

Citiți despre MIB CISCO:
(//www.cisco.com/c/ru_ru/support/docs/ip/simple-network-management-protocol-snmp/9226-mibs-9226.html)

parametrii utili OID trebuie să se uite pe internet / documentație.

Exemplu. Calea către sistemul de ramură standard de. în care sunt stocate, de exemplu, parametri, cum ar fi descrierea sistemului (sysDescr) și timpul scurs de la pornirea sistemului (sysUpTime) - 1.3.6.1.2.1.1. Calea către parametrul sysDescr - 1.3.6.1.2.1.1.1. Am adăugat un altul, deoarece este prima ramură parametru. Calea către sysUpTime - 1.3.6.1.2.1.1.3 - a treia opțiune.

producătorii de sucursale brevetate întotdeauna aranjate într-o iso.org.dod.internet.private.enterprises cale strict predeterminată sau numeric 1.3.6.1.4.1.

Mediul de testare

Fi configurat router CISCO c3725, care rulează de sub GNS3 și datele vor ajunge în mașina virtuală (VM) Hyper-V. Agentul SNMP este deja parte a router-ului firmware-ului intern (IOS), dar ca manager al software-ului liber va fi folosit - Manager de PowerSNMP gratuit. Și un router sunt conectate prin intermediul VM GNS3 Cloud. Pentru a face acest lucru, specificați comutatorul virtual de proprietăți nori interne la care placa de rețea este conectat VM:

IP F0 / 0 router - 192.168.137.2/24
IP a computerului - 192.168.137.40/24
IP vEthernet (HUB1) - 192.168.137.1/24

În această etapă, se crede că toate presetările au fost deja puse în aplicare.

SNMPv1 / SNMPv2c

Versiunile sunt configurate la fel ca și versiunea nu este specificat la crearea unui agent SNMP (string comunitate), dar numai pentru a crea capcane. Când creați un șir de comunitate este specificat sau doar dreptul de a citi (RO), sau dreptul de a scrie (RW).

Exemplu. Router-ul este configurat până în prezent doar interfața F0 / 0, ceea ce duce la nor (și VM). Introducerea agentului de comandă crearea (string comunitate):

2 Creați grupuri pentru a citi - v1 TEST și v2c TEST. Scoateți și comunitate grupuri:

Acum a crea o comunitate cu dreptul de a înregistra:

Din nou, vom introduce următoarea comandă:

crea din nou 2 grupuri - v1 și 2c, numai de data aceasta cu dreptul și să citească și să scrie:

În Managerul SNMP pentru funcționare poate fi selectată, sau 1 sau 2 versiune a agentului.

Configurarea router

personalizare completă a versiunilor 1 și 2:

Echipa 1 - crearea unei liste de acces (SNMP_ACL).
Comanda 2 - a fost doar permite interacțiunea cu calculatorul (192.168.137.40) a spus.
Echipa 3 - Întoarcerea configurației modului listei de acces (config-std-nacl) # în modul de configurare globală (config-std-clorură de sodiu) #.
Echipa 4 - crea Agent SNMP (TEST șir comunitate) este read-only (ro) - Manager pentru a citi valorile parametrilor, dar nu va fi în măsură să scrie valori noi și în cele din urmă se leagă lista de acces.
Echipa 5 - specificați în cazul în care pentru a trimite datele atunci când capcana a declanșat (192.168.137.40) și versiunea 1 la versiunea 2 va - 2c în loc de 1, numele comunității (TEST).
Echipa 6 - includ capcane și de a determina exact ceea ce ne interesează în capcana (SNMP).

Parametrul include următoarele SNMP capcane:

Ele sunt un număr foarte mare de:

Setarea VM

Apăsând butonul Find pentru a arăta lipsa de rețea disponibile de agenți și de declanșare capcană autentificare:

Ce se întâmplă pentru că implicit în program de către publicul comunității, agentul nostru a fost interogat, dar refuzat accesul. Schimbarea publicului pe TEST, agentul nu se adaugă din nou - de difuzare. Proprietățile set 192.168.137.2 IP și TEST comunitate, atunci agentul a adăugat cu succes.

Încă o dată, șirul de comunitate (comunitate) - este doar o parolă. doar numit în mod diferit.

Acum stinge interfața F0 / 0 și apoi din nou:

Cu o ușoară întârziere, pentru că interfața asociată dezactivată, zbura mesaje capcană, uite:

OID este responsabil pentru starea de F0 / 0: 1.3.6.1.4.1.9 .2.2.1.1.20.1 - primul parametru util. Trebuie remarcat faptul că opțiunea este în ramura de proprietate echipamente CISCO.

Acum vom încerca să adăugați această opțiune pentru a monitoriza:

Configurarea router

Eliminați tot ceea ce se referă la setarea anterioară, altele decât lista de acces. Mai mult, setarea rupt în 2 bucăți, atunci va fi clar de ce.

agent SNMPv3 este configurat diferit decât SNMPv1 / SNMPv2:

În schimb, șirul de comunitate creată de un utilizator cu o parolă (cisco123) și criptarea (aes 128, cheie de criptare snmp321) - să ne amintim că prima specifică parola utilizatorului (AUT sha cisco123) și a doua cheie de criptare (aes 128 snmp321). Acest lucru este important.

Pre-a creat pentru grupul de utilizatori, si arata chiar mai devreme. Tipul determină ce parte a arborelui MIB pentru a lucra cu.

Mai mult timp pentru echipele:

Comanda 1 - Crearea formei (SNMP-RO) pentru a lucra cu ramura MIB (sistem).
Comanda 2 - crearea formei (SNMP-RO) pentru utilizarea cu o ramură MIB (MIB-2), 2-MIB incluse în sistem - aceasta comanda este pentru scopuri ilustrative numai, este posibil să se adauge mai multe ramuri.
Echipa 3 - Creați grupuri (TEST) versiunea 3 (V3) de autentificare și criptare (priv) este read-only (citit) pentru speciile (SNMP-RO) și lista de acces (SNMP_ACL).
Echipa 4 - a crea un utilizator (ADMIN) în grupul (TEST) versiunea 3 (V3) de autentificare pentru algoritmul (SHA), parola (cisco123) și criptare (priv) pe algoritmul (AES 128) și cheia de criptare (snmp321).
Comandă 5 - includ capcane și capcane definiție tip (snmp).

Trebuie să ne amintim de securitate 3 SNMPv3:

auth - grup folosind nivelul de securitate authNoPriv (autentificare MD5 fără criptare);
noauth - grup folosind nivelul noAuthNoPriv de securitate (fără autentificare și criptare);
priv - grup utilizând nivelul SNMPv3 authPriv de securitate (autentificare MD5, criptarea datelor).

Acum verifica ce sa întâmplat:

Din motive de securitate, utilizatorii SNMP nu sunt afișate în configurația.

Destinatarul Setarea capcane SNMPv3:

Echipa 6 - indică gazdă în cazul în care pentru a trimite datele atunci când capcana a declanșat (192.168.137.40) versiunea 3, fără criptare și autentificare (noauth) pentru utilizator (ADMIN).

Verificăm utilizatorul ca el a fost și a rămas, dar în grupul SNMP și modificări interesante la configurația:

Un nou grup de TEST, deși echipa pe crearea acesteia nu a fost.

Și o astfel de linie amuzant în configurare:

Înțelegeți că este posibil prin rularea comenzii:

Se vede clar că activitatea de cereri de lucru agent și agent de capcane - 2 proces complet diferit.

Setarea VM

Pentru a începe, scos și activați interfața S0 / 0 (una dintre interfețele opționale, interfețele implicite pe router sunt dezactivate), acoperi mesajul capcane, dispecerul determină capcana ca versiunea 2+:

După cum se poate observa din figura la utilizatorul ADMIN nu are capcane de criptare și parola.

Apoi se adaugă agentul care indică versiunea și atribute:

Și încercați să adăugați un parametru 1.3.6.1.4.1.9.2.2.1.1.20.2 - starea S0 / 0 de monitorizare a interfeței.

Și același lucru este valabil pentru F0 / 0 - 1.3.6.1.4.1.9.2.2.1.1.20.1. Care-i problema? Dar faptul că setarea este într-o ramură a privat, iar această ramură noi nu sunt adăugate la forma la locul de muncă, adăugând:

Starea interfeței este afișată corect. Cu versiunea 3 agent de toate.

Setarea V3 capcane cu parolă și criptare

Scoateți receptorul capcană.

Verificați utilizator, grup, tipuri, configurații, în cazul în care se elimină ceva - restabilirea (de fapt, nu ar trebui să lase nimic, dar atunci când configurați, primele 3 ori de fiecare dată sa dovedit în mod diferit). acum:

Și re-verifica totul. creează automat puncte de vedere, utilizatorul pe site-ul cu aceiași parametri, nu există nici un nou grup de testare ca setările de autentificare și criptare coincid cu testul grupul inițial creat anterior. Configurația setare pentru formulare generate automat pentru a termina linia grupului:

Dacă acum plăti / ridica interfață, capcanele nu vin la dispecerat.

Programul este în așteptare pentru ID-ul de intrare de motor în formă de 80-00-00-09-03-00-C2-01-25-D0-00-00, nici o conversie automată. Asigurați-vă detaliile de utilizator din nou stinge / ridicare interfață S0 / 0, capcane vin: