Difference between revisions of "Cisco SNMP"

From HackerNet
Jump to: navigation, search
m
 
(5 intermediate revisions by the same user not shown)
Line 1: Line 1:
Simple Network Management Protocol. En SNMP-agent är en router eller en switch med information som kan frågas om med SNMP. Vilken typ av information som hålls av enheten kallas en MIB (Management Information Base).
+
Simple Network Management Protocol är ett protokoll definierat av IETF som används för att övervaka och hantera nätverk baserade på TCP/IP. En SNMP-agent är en router eller en switch med information som kan frågas om med SNMP. Vilken typ av information som hålls av enheten kallas en MIB (Management Information Base), [http://snmp.cloudapps.cisco.com/Support/SNMP/do/BrowseOID.do SNMP Object Navigator]. SNMPv1 does not support 64 bit counters, only 32 bit counters.
  
===SNMPv3===
+
=Konfiguration=
Med SNMPv3 används både autentisering och kryptering.
+
snmp-server contact Admin
* NoAuthNoPriv
+
snmp-server location Molnet
* AuthNoPriv
+
snmp-server community Hackernet
* AuthPriv
+
 +
show snmp
 +
show snmp community
  
=NX-OS=
+
Maintain ifindex values across reboots. Detta kommando hette tidigare ''snmp-server ifindex persist''. Det går även att göra per interface.
'''SNMPv3'''
+
snmp ifmib ifindex persist
 +
show snmp mib ifmib ifindex
  
Privacy  
+
===Access control===
 +
Vitlista de som ska få prata SNMP.
 +
access-list 10 permit 172.16.0.0 0.0.0.255
 +
access-list 10 deny any log
 +
 +
snmp-server community PUBLIC ro 10
 +
 
 +
===Views===
 +
Med views kan man begränsa vad som får frågas om, t.ex. endast vissa MIB subtree. Man kan specificera object name eller OID. <br/>
 +
Exempel: alla Cisco-MIBar utom de EIGRP-relaterade.
 +
snmp-server view CISCO cisco included
 +
snmp-server view CISCO ciscoEigrpMIB excluded
 +
 
 +
Users och communities går att binda till views.
 +
snmp-server community PUBLIC view CISCO
 +
Verify
 +
show snmp view
 +
 
 +
===Traps===
 +
SNMP Traps skickas default till UDP 162.
 +
snmp-server enable traps
 +
snmp-server host 10.0.0.10 traps v2c-community/v3-username
 +
show snmp host
 +
 
 +
Det går att skicka traps vid t.ex. linkup och down på interface.
 +
snmp-server enable traps snmp linkup linkdown
 +
 
 +
Per interface
 +
int gi2
 +
  snmp trap link-status permit duplicates
 +
  snmp trap ip verify drop-rate
 +
 
 +
Det går att skicka traps med [[Cisco_Logging|Syslog]]. Först skickas det lokalt till en speciell history buffer och sedan replikerar SNMP agenten det till traps.
 +
snmp-server enable traps syslog
 +
 
 +
=SNMPv3=
 +
Den stora skillnaden med SNMPv3 kontra tidigare varianter är säkerheten. Med version 3 kan både autentisering och kryptering användas.
 +
* '''noauth:''' no auth, no enrypt
 +
* '''auth:''' auth, no enrypt
 +
* '''priv:''' auth, enrypt
 +
 
 +
Skapa grupp för version 3. Grupper definierar access rights för users till MIBar genom att kopplas till MIB views.
 +
snmp-server group v3GROUP v3 priv
 +
show snmp group
 +
Skapa user, detta sparas ej i runnning conf. SNMPv3 user passwords hashas utifrån local Engine-ID.
 +
snmp-server user SNMPUSER v3GROUP v3 auth sha SECRETKEY priv aes 128 SECRETKEY
 +
show snmp user
 +
 
 +
===NX-OS===
 +
NX-OS har inte stöd för SNMPv3 noAuthNoPriv security level.
 +
 
 +
Privacy, enforces message encryption för alla users.
 
  snmp-server globalEnforcePriv
 
  snmp-server globalEnforcePriv
 
Skapa user
 
Skapa user
Line 19: Line 73:
 
Traps  
 
Traps  
 
  snmp-server host 10.1.2.4 traps version 3 priv SNMPUSER
 
  snmp-server host 10.1.2.4 traps version 3 priv SNMPUSER
 
+
Man kan kolla vilka interface som används som source för SNMP-paket.
=IOS XE=
+
  show snmp source-interface
Skapa grupp för v3
 
snmp-server group v3GROUP v3 priv
 
Skapa user
 
  snmp-server user SNMPUSER v3GROUP v3 auth sha SECRETKEY priv aes 128 SECRETKEY
 
  
 
[[Category:Cisco]]
 
[[Category:Cisco]]

Latest revision as of 09:20, 24 August 2018

Simple Network Management Protocol är ett protokoll definierat av IETF som används för att övervaka och hantera nätverk baserade på TCP/IP. En SNMP-agent är en router eller en switch med information som kan frågas om med SNMP. Vilken typ av information som hålls av enheten kallas en MIB (Management Information Base), SNMP Object Navigator. SNMPv1 does not support 64 bit counters, only 32 bit counters.

Konfiguration

snmp-server contact Admin
snmp-server location Molnet
snmp-server community Hackernet

show snmp
show snmp community

Maintain ifindex values across reboots. Detta kommando hette tidigare snmp-server ifindex persist. Det går även att göra per interface.

snmp ifmib ifindex persist
show snmp mib ifmib ifindex

Access control

Vitlista de som ska få prata SNMP.

access-list 10 permit 172.16.0.0 0.0.0.255
access-list 10 deny any log

snmp-server community PUBLIC ro 10

Views

Med views kan man begränsa vad som får frågas om, t.ex. endast vissa MIB subtree. Man kan specificera object name eller OID.
Exempel: alla Cisco-MIBar utom de EIGRP-relaterade.

snmp-server view CISCO cisco included
snmp-server view CISCO ciscoEigrpMIB excluded

Users och communities går att binda till views.

snmp-server community PUBLIC view CISCO

Verify

show snmp view

Traps

SNMP Traps skickas default till UDP 162.

snmp-server enable traps
snmp-server host 10.0.0.10 traps v2c-community/v3-username
show snmp host

Det går att skicka traps vid t.ex. linkup och down på interface.

snmp-server enable traps snmp linkup linkdown

Per interface

int gi2
 snmp trap link-status permit duplicates
 snmp trap ip verify drop-rate

Det går att skicka traps med Syslog. Först skickas det lokalt till en speciell history buffer och sedan replikerar SNMP agenten det till traps.

snmp-server enable traps syslog

SNMPv3

Den stora skillnaden med SNMPv3 kontra tidigare varianter är säkerheten. Med version 3 kan både autentisering och kryptering användas.

  • noauth: no auth, no enrypt
  • auth: auth, no enrypt
  • priv: auth, enrypt

Skapa grupp för version 3. Grupper definierar access rights för users till MIBar genom att kopplas till MIB views.

snmp-server group v3GROUP v3 priv
show snmp group

Skapa user, detta sparas ej i runnning conf. SNMPv3 user passwords hashas utifrån local Engine-ID.

snmp-server user SNMPUSER v3GROUP v3 auth sha SECRETKEY priv aes 128 SECRETKEY
show snmp user

NX-OS

NX-OS har inte stöd för SNMPv3 noAuthNoPriv security level.

Privacy, enforces message encryption för alla users.

snmp-server globalEnforcePriv

Skapa user

snmp-server user SNMPUSER network-operator auth sha SECRETKEY priv aes-128 SEVRETKEY
show snmp user

VRF

snmp-server host 10.1.2.4 use-vrf management

Traps

snmp-server host 10.1.2.4 traps version 3 priv SNMPUSER

Man kan kolla vilka interface som används som source för SNMP-paket.

show snmp source-interface