Налаштування SNMP - Зайцев Я

Все найцікавіше у розділі "Флудилка"

зайцев
зайцев
налаштування
snmp
snmp

Хто на сайті

Обговорення Joomla, Virtuemart 2, Cisco IOS, Asterisk, PHP

налаштування

  • Розмір шрифту: БільшеМенше
  • Переглядів: 7567
  • Коментарів: 0
  • Підписатися на оновлення
  • Друкувати
  • Поділитися
  • Поскаржитись на це повідомлення

Етапи налаштування SNMP

Адміністратор мережі може налаштувати SNMPv2 для отримання інформації про мережу від мережевих пристроїв. Як показано на малюнку, основні кроки налаштування SNMP виконуються як глобальної конфігурації.

зайцев

Крок 1. (Обов'язково) Налаштуйте рядок спільноти та рівень доступу («тільки читання» або «читання та запис») за допомогою командиsnmp-server community stringrorw.

Крок 2. (Додатково) Документально зафіксуйте розташування пристрою за допомогою командиsnmp-server location text .

Крок 3. (Додатково) Документально зафіксуйте системний контакт за допомогою командиsnmp-server contact text .

Крок 4. (Додатково) Обмежте доступ до SNMP, дозволивши його лише вузлам NMS (диспетчерам SNMP), які дозволені списком контролю доступу: визначте список контролю доступу, а потім вкажіть посилання на цей список контролю доступу за допомогою командиsnmp-server community string access-list-number-or-name . Цю команду можна використовувати як визначення рядка спільноти, так обмеження доступу SNMP за допомогою списків контролю доступу. За бажання кроки 1 і 4 можна об'єднати в один; мережний пристрій Cisco об'єднує дві команди в одну, якщо вони вводяться окремо.

Крок 5. (Додатково) Вкажіть одержувача операцій пастки SNMP за допомогою командиsnmp-server host host-id [version <12c3 [authnoauthpriv ]>] community-string . За промовчанням диспетчери пасток не визначено.

Крок 6. (Додатково) Увімкніть пастки на агенті SNMP за допомогою командиsnmp-server enable traps notification-types . Якщо в цій команді не визначено типи сповіщень-пасток, надсилаються всі типи пасток. Якщо потрібно застосувати конкретні типи пасток, необхідно повторне використання цієї команди.

Примітка. За промовчанням у SNMP не встановлено пастки. Без цієї команди диспетчери SNMP мають проводити опитування для отримання всієї суттєвої інформації.

Перевірка налаштування SNMP

ПК 1 і R1 налаштовані для відображення вихідних даних, пов'язаних з пастками SNMP, диспетчері SNMP.

зайцев

Після налаштування маршрутизатора R1 при виникненні події, що підходить під визначення пастки, на диспетчер SNMP відправляються пастки SNMP. Наприклад, якщо стан інтерфейсу змінюється активним, на сервер відправляється пастка. Зміни налаштування на маршрутизаторі також викликають надсилання пасток SNMP диспетчеру SNMP. Список з більш ніж 60 типів сповіщень-пасток можна побачити за допомогою командиsnmp-server enable traps?. У налаштуванні R1 у командіsnmp-server enable traps -пасток, тому вирушають усі пастки.

snmp

На малюнку 2 у менюSetup (Налаштування) встановлено прапорець. Це означає, що адміністратору мережі потрібно, щоб програмне забезпечення диспетчера SNMP приймало пастки SNMP через порт UDP 162.

налаштування

На малюнку 3 верхнярядок вихідних даних пастки SNMP означає, що стан інтерфейсу GigabitEthernet0/0 змінився активний. Крім того, при кожному вході в режим глобальної конфігурації з привілейованого режиму диспетчер SNMP приймає пастку, як показано у виділеному рядку.

Для перевірки настроювання SNMP використовуйте будь-які варіанти командиshow snmp у привілейованому режимі. Найкориснішою є просто команда , оскільки вона відображає інформацію, яка зазвичай представляє інтерес при перевірці налаштування SNMP. Якщо мова йде про налаштування SNMPv3, під час використання більшості інших параметрів команди відображаються лише окремі частини вихідних даних командиshow snmp. На малюнку 4 представлений приклад вихідних даних show snmp 20 .

зайцев

У вихідних даних командиshow snmp не відображаються відомості, що стосуються рядка спільноти SNMP або зв'язаного списку контролю доступу, якщо такий існує. На малюнку 5 представлено рядок спільноти SNMP та дані списку контролю доступу, виведені за допомогою команди show snmp community .

налаштування

Практичні рекомендації щодо забезпечення безпеки

Хоча протокол SNMP є корисним для моніторингу та налагодження (як показано на малюнку), він може призвести до виникнення вразливостей з точки зору безпеки. З цієї причини перед впровадженням SNMP вивчіть найкращі практичні рекомендації щодо безпеки.

зайцев

У SNMPv1 та SNMPv2c використовуються рядки спільноти SNMP у незашифрованому вигляді для автентифікації доступу до об'єктів MIB. Рядки спільноти, як і будь-який інший пароль, слід ретельно вибирати, щоб їх було непросто зламати. Крім того, рядки доступу необхідно регулярно змінювати відповідно до політиківбезпеки мережі. Наприклад, рядки змінюються, якщо мережевий адміністратор змінює ролі або йде з компанії. Якщо протокол SNMP використовується лише для спостереження за пристроями, використовуйте спільноти лише для читання.

Переконайтеся, що SNMP-повідомлення не поширюється за межі консолей керування. Щоб запобігти потраплянню повідомлень SNMP за межі необхідних пристроїв, використовуйте списки контролю доступу. Для надання доступу лише системам керування на контрольованих пристроях також має використовуватись список контролю доступу.

Рекомендується використовувати протокол SNMPv3, що забезпечує аутентифікацію та шифрування. Існує ряд інших команд режиму глобальної конфігурації, які мережевий адміністратор може застосовувати, щоб скористатися перевагами підтримки автентифікації та шифрування, що надається протоколом SNMPv3:

  • Командаsnmp-server group groupname<v1v2cv3 <authnoauthpriv >> створює нову групу SNMP на пристрої.
  • Командаsnmp-server user username groupnamev3 [encrypted ] [auth <md5sha > auth-password ] [priv <des3desaes <128192256 >> priv-password ] використовується для додавання нового користувача до групи SNMP, визначеної в командіsnmp-server group groupname .

Примітка. Налаштування SNMPv3 виходить за межі навчальних програм CCNA.