Как настроить SNMP v3 на Cisco

Армия компьютеров требует протокола SNMP

Для построения отказоустойчивой информационной системы нам нужно всегда знать в каком состоянии она находиться. Для того чтобы развернуть полноценный мониторинг как cacti, zabbix или nagios, нам нужно настроить каждое оборудование таким образом, чтобы оно автоматически отсылало данные о своем состоянии.

Для коммутаторов и маршрутизаторов настроить такую отправку (по протоколу SNMP) является очень важной задачей. Благодаря этому в чрезвычайных ситуациях можно будет легко «поднять» все накопленные данные за «проблемный» период и найти проблему, вызвавшую критическую ошибку.


Настройка SNMP v2 в Cisco

Включаем SNMP

В начале настройки нужно создать группу. В нашем случае будет community. Этой группе установим права только на чтение SNMP-traps. Дословный перевод SNMP-traps звучит как SNMP-ловушки.

SNMP-ловушки (SNMP-traps) – это широковещательные UDP-пакеты, отправляемые устройствами, находящимся под мониторингом. Такие сигналы отправляются сборщикам SNMP-трафика, чтобы оповестить о наступлении критических событий.

Для включения SNMP нужно исполнить команду:

snmp-server community public RO

После этой настройки ваш коммутатор начнет отправлять служебную информацию. По сути, настройка закончена. Единственный минус всего этого только в том, что получать эту информацию будут все кто захочет. У Cisco есть возможность, средствами ACL, ограничить отправку SNMP-информации только определенному IP-адресу, что и будем делать. Ограничение по логину и паролю в SNMP есть только в версии 3, которая в моих коммутаторах 2960 не поддерживается. Настройка SNMP v3 на коммутаторах Cisco будет чуть ниже.

Если Вам нужно явно указать версию SNMP, то делается это так:

snmp-server community v3 public RO

Здесь настройка точно закончена и можно переходить к сборщику данных – cacti, zabbix, nagios и т.д. на свое усмотрение.

Настройка ограничения доступа к SNMP по IP-адресу

Чтобы настроить ограничение доступа, создадим простое (стандартное) правило ACL и ограничим только одним IP-адресом:

ip access-list standard SNMP_ACCESS_RO
permit 192.168.1.2

Понятно, что это слабо можно назвать защитой SNMP-трафика, но это лучше чем ничего. Да и к тому же SNMP мы пускаем только внутри предприятия, трафик которого не может уйти во вне, а вероятность появиться злоумышленнику на территории предприятия значительно ниже, чем во внешнем мире.

Настройка SNMP v3 в Cisco

Если Ваши коммутаторы Cisco поддерживают SNMP версии 3, то Вы можете использовать авторизацию по логину/паролю. Для этого команды включения SNMP в Cisco будут выглядеть так:

snmp-server group community v3 auth
snmp-server admin community v3 auth sha SuperPassword

где admin – это логин,
community – это группа,
SuperPassword – это пароль.

В качестве хеш-алгоритма для пароля может выступать как в нашем случае sha, так и md5 или aes.

Теги:

Комментарии

Граватар пользователя «VladislavK.»
VladislavK., 9 октября 2015 г. 19:28 #

Расписано понятно. Спасибо. Обладателям устройств компании Cisco однозначно поможет. Продолжайте в том же духе.




В качестве аватарки используется сервис - gravatar.com



IT-событие
Создание Cisco
Создание Cisco
Оглавление
  1. Настройка SNMP v2 в Cisco
    1. Включаем SNMP
    2. Настройка ограничения доступа к SNMP по IP-адресу
  2. Настройка SNMP v3 в Cisco
  3. Комментарии