Налаштування snmp - сайт

Налаштування SNMP - досить цікава тема, так як протокол SNMP є потужним інструментом в руках системного адміністратора і критично необхідним у великій мережі. Мережевим пристроєм буде виступати маршрутизатор CISCO.

трохи теорії

загальні поняття

Своїми словами, щоб було зрозуміліше - SNMP складається з 3 частин:

  1. Агента, налаштованого на мережевому пристрої;
  2. Програми-диспетчера, налаштованої на комп'ютері;
  3. Крім цього на пристрої є База Керуючої Інформації (MIB), де власне і зберігаються потрібні дані.

База заповнюється автоматично мережевим пристроєм. Потрібно тільки вибирати звідти необхідні дані.

Взаємодія між диспетчером і агентом відбувається 2 різними способами:

  1. При настанні певних заздалегідь подій на пристрої, агент самостійно відсилає дані про подію диспетчеру - пастка SNMP;
  2. Диспетчер збирає статистику по заздалегідь заданих параметрах, опитуючи з певним інтервалом агента - запит SNMP GetRequest.

Це якщо у диспетчера видано право тільки на читання (RO), якщо ж видано право на запис (RW), тобто додаткова можливість:

  • Диспетчер змінює заздалегідь задані параметри в MIB, посилаючи запит агенту - запит SNMP SetRequest;

Поняття тригера - якщо значення параметра, який моніториться з боку диспетчера, змінюється, то диспетчер виконує заздалегідь певну дію (наприклад, посилає повідомлення на електронну пошту).

Поняття рядка спільноти - це пароль, який однозначно ідентифікує агента для версії 1/2.

версії SNMP

Існує 3 версії SNMP:

  • Версія 1 - основний стандарт;
  • Версія 2c - допрацьована в плані продуктивності версія 1, не включає в себе безпеку версії 2 і неофіційно відома як SNMPv1.5. Доопрацювання полягає в тому, що параметри з MIB можна вибирати не по 1, а групою;
  • Версія 3 - доопрацьована тільки безпеку по відношенню до 2c, а саме шифрування і аутентифікація.

У плані реалізації роботи між версіями різниця невелика, але оскільки тільки версія 3 безпечна, то саме вона є актуальною, а версії 1 і 2c хоча все ще бойові, але вважаються застарілими.

Структура бази незвична для розуміння, тут просто потрібно запам'ятати і з часом нічого незвичного не буде. Це структура перевернутого дерева. де стовбур - 1 (іноді пишуть .1), а гілки позначаються цифрами починаючи теж з 1 і далі. Рівнів вкладеності може бути багато, в гілці нові гілки і так далі. Більшість гілок закінчуються параметрами. Параметри всередині гілки також нумеруються з 1. Шлях до параметру складається з цифр починаючи з зі стовбура і проходить через ведуть до параметру гілки. Цифри поділяються точками. Такий шлях називається OID (Object ID). Важливо відзначити, що це стандарт - нумерація чітко прописана в даному стандарті і однакова для всіх виробників обладнання, але конкретний виробник може додавати свої унікальні гілки, які присутні тільки в його обладнанні.

Диспетчер SNMP (програма) має стандартну базу MIB, щоб програма дізналася про специфічних гілках і параметрах конкретного виробника, потрібно довантажити MIB цього виробника.

Почитати про MIB CISCO:
(//www.cisco.com/c/ru_ru/support/docs/ip/simple-network-management-protocol-snmp/9226-mibs-9226.html)

OID корисних параметрів доведеться шукати в інтернеті / документації.

Приклад. Шлях до стандартної гілці system. де зберігаються такі, наприклад, параметри як опис системи (sysDescr) і час що минув з запуску системи (sysUpTime) - 1.3.6.1.2.1.1. Шлях до параметру sysDescr - 1.3.6.1.2.1.1.1. додалася ще 1, так як це перший параметр гілки. Шлях до sysUpTime - 1.3.6.1.2.1.1.3 - третій параметр.

Налаштування snmp - сайт

Пропрієтарні гілки виробників завжди розташовуються по строго заданому шляху iso.org.dod.internet.private.enterprises або в цифровому вираженні 1.3.6.1.4.1.

тестового середовища

Налаштовуватися буде маршрутизатор CISCO c3725, запущений з під GNS3 і дані будуть надходити в віртуальну машину (VM) Hyper-V. Агент SNMP вже є частиною внутрішньої прошивки (IOS) маршрутизатора, а ось в якості диспетчера буде використовуватися безкоштовне ПО - PowerSNMP Free Manager. З'єднуються маршрутизатор і VM допомогою Хмари GNS3. Для цього вказуємо у властивостях Хмари внутрішній віртуальний комутатор, до якого приєднана мережева карта VM:

Налаштування snmp - сайт

  • IP F0 / 0 маршрутизатора - 192.168.137.2/24
  • IP комп'ютера - 192.168.137.40/24
  • IP vEthernet (HUB1) - 192.168.137.1/24

Налаштування snmp - сайт

На цьому етапі вважається, що всі попередні налаштування вже виконані.

SNMPv1 / SNMPv2c

Версії налаштовуються однаково, так як версія не вказується при створенні SNMP агента (рядки спільноти), а лише при створенні пасток. При створенні рядка спільноти задається лише або право на читання (RO), або право на запис (RW).

Приклад. У маршрутизаторі налаштований поки тільки інтерфейс F0 / 0, провідний до хмари (і VM). Введемо команду створення агента (рядки спільноти):

Налаштування snmp - сайт

Склалося 2 групи на читання - TEST v1 і TEST v2c. Видалимо співтовариство і групи:

Тепер створимо співтовариство з правом на запис:

Знову введемо команду:

Знову склалося 2 групи - v1 і 2c, тільки вже з правом і на читання, і на запис:

Налаштування snmp - сайт

На диспетчері SNMP для роботи можна буде вибрати або 1, або 2 версію агента.

Налаштування маршрутизатора

Повна настройка версій 1 і 2:

  • Команда 1 - створення списку доступу (SNMP_ACL).
  • Команда 2 - дозволяє взаємодія було тільки із зазначеним комп'ютером (192.168.137.40).
  • Команда 3 - повернення з режиму конфігурації списку доступу (config-std-nacl) # в режим глобальної конфігурації (config-std-nacl) #.
  • Команда 4 - створюємо Агент SNMP (рядок спільноти TEST) тільки для читання (ro) - диспетчер зможе зчитувати значення параметрів, але не зможе записувати нові значення і нарешті, прив'язуємо список доступу.
  • Команда 5 - вказуємо куди відсилати дані при спрацьовуванні пастки (192.168.137.40) і версія 1, для версії 2 буде - 2c замість 1, ім'я співтовариства (TEST).
  • Команда 6 - включаємо пастки і визначаємо які саме пастки нас цікавлять (snmp).

У параметр snmp входять наступні пастки:

Їх там величезна кількість:

Налаштування snmp - сайт

Налаштування VM

Налаштування snmp - сайт

Натискання кнопки Find покаже відсутність доступних агентів в мережі і спрацьовування пастки authentication:

Налаштування snmp - сайт

Відбувається так тому, що за замовчуванням в програмі стоїть співтовариство public, наш агент був опитаний, але відмовив у доступі. Міняємо public на TEST, агент знову не додається - циркулярний запит. У властивостях ставимо IP 192.168.137.2 і співтовариство TEST, після чого агент успішно додається.

Ще раз, рядок спільноти (community) - це просто пароль. тільки називається по-іншому.

Тепер погасимо інтерфейс F0 / 0 і знову включимо:

З невеликою затримкою, адже пов'язаний інтерфейс вимикався, прилітають повідомлення пасток, дивимося:

Налаштування snmp - сайт

OID відповідає за стан F0 / 0: 1.3.6.1.4.1.9 .2.2.1.1.20.1 - перший корисний параметр. Слід звернути на те, що параметр знаходиться в проприетарной гілці обладнання CISCO.

Тепер пробуємо додати цей параметр для моніторингу:

Налаштування snmp - сайт

Налаштування snmp - сайт

Налаштування маршрутизатора

Видаляємо все що відноситься до попередньої налаштуванні крім списку доступу. Далі, розбив настройку на 2 частини, потім буде зрозуміло чому.

Агент SNMPv3 налаштовується по-іншому ніж SNMPv1 / SNMPv2:

Замість рядка спільноти створюється користувач з паролем (cisco123) і шифруванням (aes 128, ключ шифрування snmp321) - слід запам'ятати, що першим вказується пароль користувача (auth sha cisco123) і другим ключ шифрування (aes 128 snmp321). Це важливо.

Попередньо для користувача створюється група, а ще раніше вид. Вид визначає з якою частиною дерева MIB належить працювати.

Ще раз по командам:

  • Команда 1 - створення образу (SNMP-RO) для роботи з гілкою MIB (system).
  • Команда 2 - створення образу (SNMP-RO) для роботи з гілкою MIB (mib-2), mib-2 входить в system - ця команда тільки для прикладу, що можна додавати кілька гілок.
  • Команда 3 - створення групи (TEST) версії 3 (v3) з аутентифікацією і шифруванням (priv) тільки для читання (read) для виду (SNMP-RO) і списком доступу (SNMP_ACL).
  • Команда 4 - створення користувача (ADMIN) в групі (TEST) версії 3 (v3) аутентификацией за алгоритмом (sha), паролем (cisco123) і шифруванням (priv) за алгоритмом (aes 128) і ключем шифрування (snmp321).
  • Команда 5 - включаємо пастки і визначення типів пасток (snmp).

Тут треба згадати 3 рівня безпеки SNMPv3:

  • auth - group using the authNoPriv Security Level (md5 аутентифікація, без шифрування даних);
  • noauth - group using the noAuthNoPriv Security Level (без аутентифікації і шифрування);
  • priv - group using SNMPv3 authPriv security level (md5 аутентифікація, шифрування даних).

Тепер перевіримо що вийшло:

Налаштування snmp - сайт

Налаштування snmp - сайт

З міркувань безпеки користувачі SNMP не відображаються в конфігурації.

Налаштування одержувача пасток SNMPv3:

  • Команда 6 - вказуємо хост куди відсилати дані при спрацьовуванні пастки (192.168.137.40) версії 3, без шифрування і аутентифікації (noauth) для користувача (ADMIN).

Перевіряємо, користувач як був так і залишився, а ось в групах SNMP і в конфігурації цікаві зміни:

Налаштування snmp - сайт

З'явилася нова група TEST, хоча команди на її створення не було.

І ось така цікава рядок в конфіги:

Зрозуміти що це таке можна виконавши команду:

Тут чітко видно, що робота агента з запитами і робота агента з пастками - 2 абсолютно різні процеси.

Налаштування VM

Для початку погасимо і включимо інтерфейс S0 / 0 (один з додаткових інтерфейсів, інтерфейси за замовчуванням на маршрутизаторі вимкнені), прилітають повідомлення пасток, диспетчер визначає пастки як версію 2+:

Налаштування snmp - сайт

Як видно з малюнка у користувача ADMIN для пасток немає шифрування і пароля.

Далі додаємо агента із зазначенням версії і атрибутів:

Налаштування snmp - сайт

І пробуємо додати параметр 1.3.6.1.4.1.9.2.2.1.1.20.2 - стан інтерфейсу S0 / 0 для моніторингу.

І те ж саме для F0 / 0 - 1.3.6.1.4.1.9.2.2.1.1.20.1. В чому справа? А справа в тому, що параметр знаходиться в гілці private, а цю гілку ми не додавали в вид для роботи, додамо:

Стан інтерфейсу відображається коректно. З агентом версії 3 все.

Налаштування пасток v3 з паролем і шифруванням

Видаляємо одержувача пасток.

Перевіряємо користувача, групи, види, конфігурацію, якщо щось віддалилося - відновлюємо (насправді піти нічого не повинно, але коли налаштовував, то перші рази 3 кожен раз виходило по-різному). тепер:

І заново все перевіряємо. Автоматично створилися види, користувач на місці з тими ж параметрами, немає нової групи TEST, так як параметри аутентифікації і шифрування збігаються з створеної раніше, вихідною групою TEST. У конфігурації параметр для автоматично створених видів дописався до рядка групи:

Якщо тепер погасити / підняти інтерфейс, то пастки не приходять диспетчеру.

Програма очікує введення Engine ID у вигляді 80-00-00-09-03-00-C2-01-25-D0-00-00, автоматичного перетворення немає. Вносимо реквізити користувача, знову гасимо / піднімаємо інтерфейс S0 / 0, пастки приходять:

Налаштування snmp - сайт

Відкриваємо повідомлення пастки і бачимо, що пароль і шифрування задіяні:

Налаштування snmp - сайт

На цьому розгляд базової роботи SNMP завершено.

Якщо тема зацікавила, то пропоную виконати лабу по SNMP.

Довідка по командам CISCO IOS SNMP: //www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/command/nm-snmp-cr-book/nm-snmp-cr-s5 .html