Шаблон конфигурации для SNMPv3

Tim Glen

Содержание [Содержание]
[Автоматизация]
[Резюме]
[Терминология]
[Уровни безопасности]
[Поддержка]
[Шаги по настройке]
[Создание списка доступа SNMP-опросника]
[Создание представлений SNMP]
[Создание групп SNMP]
[Создание пользователей SNMP только для чтения]
[Создание пользователей SNMP с правом чтения и записи]
[Часто используемые OID]
[Проверка]
[Ссылки] Автоматизация
Скоро появятся сценарии Ansible!
Резюме
Я часто слышу, как люди говорят: «Настройка SNMPv3 слишком сложна» или «Настройка SNMPv2 проще». Я хотел бы развеять этот миф! SNMP — очень мощный инструмент, который можно использовать для получения информации об устройстве IOS XE и внесения изменений в сетевое устройство. Я согласен, что для настройки SNMPv3 требуется несколько дополнительных команд, однако он прост для понимания, легко настраивается, и, если возможно, мы всегда должны шифровать везде.
Танцуйте, как будто никто не смотрит, шифруйте, как будто все смотрят!
![]
Терминология
Агент
Устройство IOS XE, которое мы будем опрашивать
Пароль аутентификации
Секретный ключ, используемый для аутентификации
Строка сообщества
Строка безопасности, используемая в незашифрованных SNMP v1 и v2c
Get
Операция, используемая приложениями-менеджерами SNMP для извлечения одного или нескольких значений из управляемых объектов, поддерживаемых агентом SNMP
Get Next
Операция, которая извлекает значение следующего OID в дереве. GETNEXT может использоваться для извлечения данных таблицы, а также для переменных, которые не имеют имени.
Менеджер
Программа, также известная как станция управления сетью, которая работает на хосте в сети.
MIB
База управленческой информации. MIB представляет собой иерархическую коллекцию OID, обычно в формате текстового файла.
OID
Идентификаторы объектов. OID уникально идентифицируют управляемые объекты в MIB. При запросе OID возвращают информацию об управляемом устройстве.
Пароль конфиденциальности
Секретный ключ, используемый для шифрования
Набор
Операция, используемая приложением Manager для изменения значений в агенте
SNMP-просмотр
Виды определяют уровень доступа, который будет иметь опрашивающее устройство.
Группа SNMP
Группы сопоставляются с SNMP-просмотрами
SNMP-опрашиватель
Приложение, которое запрашивает сетевые устройства для получения статистических данных об устройстве
Пользователь SNMP
Пользователи являются членами групп SNMP
Walk
Операция, которая выполняет несколько запросов Get Next
Уровни безопасности
В SNMPv3 определено 3 уровня безопасности.
NoAuthNoPriv
— не использует аутентификацию или шифрование
AuthNoPriv
— использует аутентификацию, но не использует шифрование
AuthPriv
— использует как аутентификацию, так и шифрование. В нашем примере ниже будет использоваться этот уровень.
Поддержка
С 2022 года поддержка SNMPv3 в IOS XE существует уже более десяти лет. Я лично использовал приведенную ниже конфигурацию на 2960, 2960G, 2960X, 3560, 9200, 9300, ASR1000, ISR4k и, вероятно, других платформах.
Настройка SNMPv3 в основном означает настройку пользователей и групп, звучит просто, да? Продолжайте читать!
Пользователи должны быть настроены с помощью пароля аутентификации и пароля конфиденциальности. AuthPass используется для аутентификации пользователя, а PrivPass — для шифрования данных, передаваемых между устройствами. Лучше всего настроить SNMP на использование как AuthPass, так и PrivPass.
Cisco поддерживает методы аутентификации MD5 и SHA. SHA является более надежным и широко поддерживается. Cisco поддерживает алгоритмы шифрования и конфиденциальности AES-128, AES-192 и AES-256. Некоторые продукты Network Manager также поддерживают AES 192 или AES 256. Я рекомендую использовать Auth=SHA и Priv=AES-128.
Обновление: обратите внимание, что SHA-2 поддерживается начиная с IOS-XE 17.10 — подробности см. в разделе
«Поддержка SHA-2 для аутентификации пользователей SNMPv3
».
Я начал использовать этот шаблон в конце IOS 12.1 или 12.2 и до сих пор использую его в IOS XE 17.9. Этот шаблон оказался очень надежным.
Шаги по настройке
Создание списка доступа SNMP Poller
SNMP — это мощный сервис, к которому следует относиться так же, как к SSH или любому другому протоколу управления. Только авторизованные IP-адреса должны иметь возможность запрашивать данные у ваших сетевых устройств.
!
configure terminal
ip access-list standard snmp-service
remark SNMP Poller Server #1
permit 192.168.100.101
remark SNMP Poller Server #2
permit 192.168.100.102
end
!
Создание представлений SNMP
Эти команды создают представление только для чтения и представление для чтения и записи. Оба представления включают все OID на устройстве Cisco.
!
configure terminal
snmp-server view snmp-v3-ReadOnly-View iso included
snmp-server view snmp-v3-ReadWrite-View iso included
end
!
Создание групп SNMP
Эти группы связаны с представлениями SNMP, которые мы создали на предыдущем шаге. Эти команды создают группу «Только для чтения» и группу «Чтение-запись».
Запросы могут выполнять только IP-адреса, определенные в ACL, созданном на первом шаге.
!
configure terminal
snmp-server group snmp-v3-ReadOnly v3 priv read snmp-v3-ReadOnly-View access snmp-service
snmp-server group snmp-v3-ReadWrite v3 priv write snmp-v3-ReadWrite-View access snmp-service
end
!
Создание пользователей SNMP только для чтения
ПРИМЕЧАНИЕ.
Я считаю, что пароли auth или priv лучше всего работают, когда они состоят из букв и цифр и имеют длину менее 15 символов. Специальные символы могут привести к неожиданным результатам.
Обратите внимание, что эти пользователи являются членами группы ReadOnly, созданной на предыдущем шаге.
!
configure terminal
snmp-server user cacti-user snmp-v3-ReadOnly v3 auth sha AaBbCcDdEe1234 priv aes 128 123456789AaBbCc access snmp-service
snmp-server user read-only-user snmp-v3-ReadOnly v3 auth sha 5678MmNnOoPp priv aes 128 MnNnOo7890 access snmp-service
end
!
Создание пользователей SNMP с правом чтения и записи
!
configure terminal
snmp-server user net-config-user snmp-v3-ReadWrite v3 auth sha 9876QqRrSsTt priv aes 128 TtUuVv3456 access snmp-service
end
!
Часто используемые OID
Ниже приведены некоторые распространенные OID, на которые должны реагировать все устройства Cisco. Они очень хорошо подходят для тестирования.
OID
Название OID
Описание
1.3.6.1.2.1.1.1
sysDescr
Текстовое описание сущности.
1.3.6.1.2.1.1.3
sysUpTime
Время (в сотых долях секунды) с момента последней переинициализации части системы, отвечающей за управление сетью.
1.3.6.1.2.1.1.5
sysName
Административно назначенное имя для этого управляемого узла. По соглашению, это полное доменное имя узла.
Проверка
Пользователи SNMPv3 не отображаются в рабочей конфигурации, но мы можем увидеть их с помощью этой команды show.
show snmp user
![TimGlen_0-1671315090651.png]
Мы можем использовать популярные инструменты snmpget и snmpwalk для запроса устройства IOS XE.
Запросим OID sysDescr. Команда приведена ниже. Мы видим, что коммутатор возвращает версию IOS XE и некоторую другую информацию.
snmpwalk -v3 -a SHA -A 5678MmNnOoPp -x AES -X MnNnOo7890 -u read-only-user -l authPriv 10.65.0.6 1.3.6.1.2.1.1.1
![snmpwalk-example1.png]
Вот результат, когда имя пользователя неверно.
![TimGlen_1-1671313474165.png]
Вот результат, когда ключ аутентификации неверный.
![TimGlen_0-1671313379043.png]
Вот результат, когда ключ конфиденциальности неверный.
![TimGlen_2-1671313584560.png] Ссылки
Справочник команд поддержки SNMP Cisco IOS
Руководство по настройке SNMP для Cisco Catalyst 9300 IOS XE 17.6
RFC 3414 — Модель безопасности на основе пользователя (USM) для версии 3 простого протокола управления сетью (SNMPv3)

herogee

Отличный пост, спасибо!

evertos

Отличный пост! Целый день мучился с этим...