Как ни странно, но в преобладающем большинстве русскоязычных заметок, статей и т.п. по теме настройки SNMP на маршрутизаторах (и коммутаторах) cisco описано конфигурирование протокола версий v1 или v2c, хотя третья версия протокола поддерживается давным-давно. И это есть нехорошо, поскольку v3 намного продвинутей в плане безопасности.

Попытаюсь немного заполнить этот пробел данной заметкой.

Ключевыми особенностями третьей версии протокола являются:

• Конфиденциальность — шифрование пакетов для предупреждения перехвата.
• Целостность — выполняется проверка целостности пакетов, чтобы убедиться, что они не были изменены.
• Аутентификация — проверка подлинности источника сообщений.

Особенности использования SNMPv3 в устройствах cisco:

• Каждый пользователь входит в какую-то группу;
• Группа определяет политику доступа для пользователей (доступ к каким SNMP-объектам можно получить на создание, чтение или просмотр);
• Группа определяет список уведомлений, которые могут получать пользователи;
• Модель безопасности и уровень безопасности определяется группой

Сам процесс конфигурирования SNMPv3 довольно прост и мало чем отличается от конфигурирования двух предыдущих версий протокола. Разве что обязательным созданием видов, групп и пользователей.

Контактная информация, размещение:

snmp-server location Main Building, Server room #2
snmp-server contact net@zp.domain.ua

Создание вида, при помощи которого будет определяться к каким MIB-ам можно получить доступ:

snmp-server view NetAdmin internet included
snmp-server view NetAdmin system included
snmp-server view NetAdmin interfaces included
snmp-server view NetAdmin at included
snmp-server view NetAdmin ip included
snmp-server view NetAdmin icmp included
snmp-server view NetAdmin tcp included
snmp-server view NetAdmin udp included
snmp-server view NetAdmin transmission included
snmp-server view NetAdmin snmp included
snmp-server view NetAdmin ospf included
snmp-server view NetAdmin rmon included
snmp-server view NetAdmin ifMIB included
snmp-server view NetAdmin cisco included
snmp-server view NetAdmin ciscoMgmt included
snmp-server view NetAdmin chassis included

Определение ACL для желающих работать с девайсом:

no access-list 46
access-list 46 permit  10.1.1.1
access-list 46 permit  10.1.1.3
access-list 46 permit  10.1.1.4
access-list 46 permit  10.1.1.5
access-list 46 permit  10.2.2.9
access-list 46 permit  10.2.3.40
access-list 46 permit  10.3.4.53

Включение возможностью управления перезагрузками/выключениями питания через SNMP:

snmp-server system-shutdown

Определение группы.

snmp-server group [groupname {v1 | v2c | v3{auth | noauth | priv}}] [read readview] [write writeview] [notify notifyview] [access access-list]

В данном примере группа называется NetMon и определяет доступ только на чтение с адресов, указанных в ACL 46:

snmp-server group NetMon v3 priv read NetAdmin access 46

Определение пользователей.

snmp-server user username [groupname remote ip-address [udp-port port] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv password]] [access access-list]

Пример:

snmp-server user NetAdmin1 NetMon v3 auth md5 authpass priv des56 privpass

Пример получения информации по SNMPv3 в Nagios:

define command{
   command_name    check_snmp2
   command_line    $USER1$/check_snmp $ARG1$
   }
define service{
    use                   generic-service
    host_name             rout-c2811-1
    service_description   Tunnel 4567
    check_command         check_snmp2!-H 10.1.3.3 -r1 -P3 -U NetAdmin1 -A authpass -L authPriv -X privpass -o ifOperStatus.287
    }

За пределами этой заметки осталось конфигурирование отправки trap-ов.

Популярность: 17%