Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Router Teldat Agente SNMP

Anuncio 
Router Teldat
Agente SNMP
Doc. DM712 Rev. 10.92
Marzo, 2014
ÍNDICE
Capítulo 1 Introducción al protocolo SNMP ..................................................................1
1.
2.
3.
4.
Introducción ....................................................................................................................... 2
Versiones del protocolo SNMP .......................................................................................... 3
Tipos de paquetes SNMP ................................................................................................... 4
Seguridad............................................................................................................................ 5
4.1.
SNMPv1 y SNMPv2c ............................................................................................. 5
4.2.
SNMPv3.................................................................................................................. 5
4.3.
Control de acceso basado en vistas ......................................................................... 6
Capítulo 2 Configuración del agente SNMP ...................................................................7
1.
2.
Acceso al entorno de configuración SNMP ....................................................................... 8
Comandos de configuración SNMP ................................................................................... 9
2.1.
? (AYUDA) ............................................................................................................. 9
2.2.
ACCESS ................................................................................................................. 10
2.3.
COMMUNITY ....................................................................................................... 11
a)
COMMUNITY nombre_comunidad DEFAULT ...................................................... 11
b)
COMMUNITY nombre_comunidad ACCESS ......................................................... 11
c)
COMMUNITY nombre_comunidad CONTEXT ...................................................... 12
d)
COMMUNITY nombre_comunidad SUBNET ......................................................... 12
e)
COMMUNITY nombre_comunidad VIEW .............................................................. 13
2.4.
CONTEXT .............................................................................................................. 13
2.5.
DEFAULT-CONFIG .............................................................................................. 13
2.6.
DISABLE ................................................................................................................ 14
2.7.
ENABLE ................................................................................................................. 14
2.8.
ENGINEID LOCAL ............................................................................................... 14
2.9.
GROUP ................................................................................................................... 14
2.10.
HOST ...................................................................................................................... 15
2.11.
LIST ........................................................................................................................ 17
a)
LIST ACCESS.......................................................................................................... 17
b)
LIST ALL ................................................................................................................. 17
c)
LIST COMMUNITY ................................................................................................ 19
d)
LIST GROUP .......................................................................................................... 20
e)
LIST HOST .............................................................................................................. 20
f)
LIST TRAP-SENDING-PARAMETERS .................................................................. 21
g)
LIST USER .............................................................................................................. 21
h)
LIST VIEW .............................................................................................................. 22
2.12.
MIB ......................................................................................................................... 22
a)
MIB IFMIB.............................................................................................................. 22
•
MIB IFMIB IFALIAS ................................................................................. 22
2.13.
NO ........................................................................................................................... 22
2.14.
SUBTREE ............................................................................................................... 23
2.15.
TRAP ...................................................................................................................... 24
a)
TRAP SENDING-PARAMETERS ........................................................................... 24
2.16.
USER ...................................................................................................................... 26
2.17.
EXIT ....................................................................................................................... 27
Capítulo 3 Monitorización del agente SNMP..................................................................28
1.
2.
Acceso al entorno de monitorización SNMP ..................................................................... 29
Comandos de monitorización SNMP ................................................................................. 30
2.1.
? (AYUDA) ............................................................................................................. 30
2.2.
LIST ........................................................................................................................ 30
a)
LIST ACCESS-ENTRY ............................................................................................ 30
b)
LIST ALL ................................................................................................................. 31
c)
LIST COMMUNITY ................................................................................................ 33
d)
LIST DEBUG .......................................................................................................... 34
- ii -
e)
f)
g)
h)
i)
j)
2.3.
LIST GROUP .......................................................................................................... 34
LIST HOST .............................................................................................................. 35
LIST STATISTICS ................................................................................................... 35
LIST TRAP-SENDING-PARAMETERS .................................................................. 36
LIST USER .............................................................................................................. 36
LIST VIEW .............................................................................................................. 36
EXIT ....................................................................................................................... 37
Capítulo 4 Ejemplos de configuración .............................................................................38
1.
2.
3.
4.
SNMPv1 ............................................................................................................................. 39
SNMPv3 ............................................................................................................................. 40
SNMPv1/v2 consultas multi-VRF ...................................................................................... 42
SNMPv3 consultas multi-VRF ........................................................................................... 43
- iii -
Capítulo 1
Introducción al protocolo SNMP
1. Introducción
SNMP es un protocolo de nivel 7 (nivel de aplicación) según el modelo OSI (Open Systems
Interconnection), utilizado para configurar y monitorizar diferentes características del router.
SNMP permite, a las estaciones de trabajo de la red, leer y modificar algunos de los parámetros del
router. Posibilita a un software ejecutándose en una estación remota, contactar a través de la red con el
router y obtener información actualizada de dicho router. Por lo tanto, se puede llevar a cabo una
gestión centralizada de los routers existentes en la red.
Entre las facilidades básicas de SNMP se incluyen:
• La recogida de información y la modificación de los parámetros operativos del router por parte
de los usuarios SNMP remotos.
• El envío y la recepción de paquetes SNMP a través del protocolo IP.
Nivel OSI
Router
Sistema Gestor
7
SNMP
SNMP
4
UDP
UDP
IP
IP
3
Aplicación
Red
Figura 1: Niveles de protocolo del entorno SNMP
El software que procesa las peticiones SNMP se ejecuta en el router y se denomina agente SNMP. El
programa de usuario que construye las peticiones SNMP se ejecuta en cualquier estación de usuario de
la red, no en el router, y se llama gestor SNMP. El agente SNMP en el router y el gestor en la estación
de trabajo usan el protocolo UDP para intercambiar los paquetes.
Para más información sobre SNMP, consúltese la recomendación RFC 1157, A Simple Network
Management Protocol. Las recomendaciones RFC 3410 a 3418, RFC 3584 y RFC 3826 proporcionan
información sobre la última versión del protocolo SNMP, SNMPv3.
ROUTER TELDAT - Introducción SNMP
I-2
Doc.DM712
Rev.10.92
2. Versiones del protocolo SNMP
Existen tres versiones del protocolo SNMP. La primera versión, SNMPv1, define las operaciones
básicas del protocolo SNMP, así como un mecanismo elemental de autenticación basado en
comunidades.
La segunda versión del protocolo, SNMPv2, introduce nuevas operaciones y tipos de datos que
mejoran la eficacia del protocolo SNMP. En esta segunda versión se intentó mejorar la seguridad del
protocolo, pero la complejidad de las soluciones propuestas hizo que en la práctica se siguiese usando
el mecanismo de autenticación de SNMPv1. La versión de SNMPv2 con este mecanismo de
autenticación se denomina habitualmente SNMPv2c (c de comunidad).
La tercera versión del protocolo, SNMPv3, establece un marco de seguridad completo para el
protocolo SNMP. Al hacerlo, además, separa el protocolo SNMP en módulos independientes,
facilitando ampliaciones futuras.
ROUTER TELDAT - Introducción SNMP
I-3
Doc.DM712
Rev.10.92
3. Tipos de paquetes SNMP
Existen tres operaciones básicas en el protocolo SNMP:
• petición de datos al agente.
• configuración de datos en el agente.
• notificaciones: información enviada por el agente al gestor para informar de alguna
circunstancia que se ha producido en el agente.
Estas tres operaciones se llevan a cabo, en SNMPv1, mediante los siguientes tipos de paquete:
• GET-REQUEST: el gestor utiliza este comando para pedir al agente el estado de una o varias
variables. El gestor espera respuesta del agente.
• GET-NEXT: el gestor utiliza este comando para pedir al agente el estado de la variable que,
en el árbol de gestión, sigue a la variable indicada. Este comando es útil para recorrer tablas u
obtener un subconjunto del árbol de gestión. El gestor espera respuesta del agente.
• SET-REQUEST: el gestor utiliza este comando para configurar el valor de una o varias
variables en el agente. El gestor espera respuesta del agente.
• GET-RESPONSE (denominado simplemente RESPONSE a partir de la versión 2): el agente
utiliza este comando para responder a las peticiones del gestor. En el caso de los comandos
GET-REQUEST y GET-NEXT, el agente responde con el valor de la variable pedida (en el
caso del comando GET-NEXT, identificando además dicha variable). En el caso de un
comando SET-REQUEST, el agente responde indicando si la operación se ha podido llevar a
cabo con éxito o no.
• TRAP: el agente utiliza este comando para informar al gestor de algún evento significativo. El
agente no espera respuesta del gestor.
En las versiones 2 y 3 del protocolo se introducen nuevos comandos:
• GET-BULK: el gestor utiliza este comando para pedir al agente el estado de varias variables.
La definición de este comando lo hace especialmente útil para obtener el estado de todas las
variables de una tabla.
• INFORM: un gestor utiliza este comando para comunicar información a otro gestor de algún
evento significativo. A diferencia del comando TRAP, en este caso se espera que el gestor
responda con un comando RESPONSE.
• NOTIFICATION: este comando sustituye al comando TRAP de la versión 1.
• REPORT: el agente utiliza este comando para informar al gestor de algún error excepcional en
el tratamiento de la petición hecha por el gestor. Este comando se usa en la versión 3 del
protocolo SNMP como parte del proceso de descubrimiento de los datos necesarios del agente.
ROUTER TELDAT - Introducción SNMP
I-4
Doc.DM712
Rev.10.92
4. Seguridad
4.1. SNMPv1 y SNMPv2c
En el protocolo SNMPv1 y SNMPv2c el mecanismo de seguridad es muy simple: no existe cifrado de
los datos y la autenticación utilizada es muy básica.
Cada paquete SNMP incluye un campo indicando la comunidad a la que se refiere. La comunidad no
es más que un conjunto de caracteres. Para cada comunidad, es posible especificar en el agente:
• el nivel de acceso, ya sea de lectura o de escritura
• la vista, es decir, el conjunto de variables accesibles utilizando dicha comunidad
• las direcciones IP que pertenecen a dicha comunidad. Dicho de otro modo, las direcciones IP
de los gestores que pueden acceder al agente utilizado esa comunidad.
Cada paquete SNMP que llegue al router es validado o descartado según cumpla o no las restricciones
impuestas por el esquema de autenticación. En concreto, la variable accedida, su tipo de acceso y la
dirección IP origen del paquete SNMP deberán estar incluidas en las asociadas al nombre de
comunidad del paquete SNMP.
Dado que la información de la comunidad viaja en claro (sin cifrar) en el paquete SNMP, resulta muy
sencillo averiguar el nombre de la comunidad y tener acceso al agente. La falta de seguridad del
protocolo SNMPv1 (y por extensión SNMPv2c), hace que en la práctica se utilice sobre todo para
monitorizar el estado del router, no configurándose permisos de escritura.
4.2. SNMPv3
Como ya se indicó, el protocolo SNMPv3 intenta solucionar los problemas de seguridad existentes en
las versiones anteriores del protocolo. Para ello, se definen mecanismos robustos tanto de
autenticación como de cifrado. Además, la modularidad de esta versión permite añadir nuevos
algoritmos de cifrado o autenticación al protocolo. En la actualidad, existen dos mecanismos de
autenticación, HMAC-MD5 y HMAC-SHA y dos mecanismos de cifrado, DES y AES-128.
En SNMPv3 se identifica un modelo de seguridad, modelo a aplicar a los paquetes SNMP y un nivel
de seguridad dentro de ese modelo.
Los modelos de seguridad existentes actualmente son:
• SNMPv1
• SNMPv2c
• SNMPv3 USM: User Security Model. Modelo de seguridad basado en usuarios
Los niveles de seguridad que se distinguen son los siguientes:
• noAuthNoPriv: los paquetes no usan autenticación ni cifrado. Es el único nivel de seguridad
aplicable a los paquetes de los modelos de seguridad SNMPv1 y SNMPv2c
• AuthNoPriv: los paquetes usan autenticación, pero no van cifrados.
• AuthPriv: los paquetes usan autenticación y cifrado.
Obsérvese que no se contempla la posibilidad de paquetes cifrados sin autenticación.
ROUTER TELDAT - Introducción SNMP
I-5
Doc.DM712
Rev.10.92
4.3. Control de acceso basado en vistas
El control de acceso determina si un gestor SNMP tiene acceso o no a una determinada variable.
En SNMPv1 y SNMPv2c se utiliza la comunidad (y quizá la dirección IP del gestor) para determinar
si se concede acceso a una determinada variable.
En SNMPv3, el mecanismo de control de acceso se generaliza introduciendo más variables en la toma
de decisión. Las variables que se utilizan son las siguientes:
• Grupo: un grupo es un conjunto de tuplas <securityName, securityModel>. El securityName
es el identificador del gestor SNMP (la comunidad en caso de SNMPv1 y SNMPv2c, el
usuario en SNMPv3). Todos los miembros de un grupo tiene los mismos niveles de acceso a
las variables del agente. Una combinación de <securityName, securityModel> sólo puede
pertenecer a un grupo.
• Contexto: un contexto es un conjunto de variables gestionables accesible por una entidad
SNMP. Una variable gestionable puede aparecer en más de un contexto. Para más información
sobre el concepto de contexto consúltese la RFC 3411.
• Nivel de seguridad: los niveles de acceso pueden ser diferentes para un mensaje sin cifrar y
para un mensaje cifrado. Se puede, por ejemplo, exigir que el mensaje esté cifrado para
permitir accesos de escritura a una variable.
El identificador de usuario (securityName) y el modelo de seguridad (securityModel) incluidos en
el paquete SNMP, se usan para obtener el grupo. El grupo, contexto, modelo de seguridad, nivel
de seguridad y tipo de acceso deseado (lectura, escritura o notificación) permiten seleccionar una
determinada vista.
Una vista no es más que un conjunto de variables a las que se tiene acceso. Si la vista seleccionada
incluye la variable a la que se desea acceder, se permite el acceso. En caso contrario, se deniega el
acceso.
ROUTER TELDAT - Introducción SNMP
I-6
Doc.DM712
Rev.10.92
Capítulo 2
Configuración del agente SNMP
1. Acceso al entorno de configuración SNMP
Para acceder al entorno de configuración SNMP, utilize el comando PROTOCOL SNMP desde el
menú de configuración general.
Config>protocol snmp
-- SNMP user configuration -SNMP config>
ROUTER TELDAT - Configuración SNMP
II - 8
Doc.DM712
Rev.10.92
2. Comandos de configuración SNMP
En este apartado se resumen los distintos comandos de configuración del protocolo SNMP.
Comando
Función
? (AYUDA)
Muestra los comandos disponibles o las opciones asociadas a un comando
específico.
Configura las vistas asociadas a un determinado grupo y modelo de seguridad.
Crea una comunidad o modifica los parámetros de una comunidad ya
existente.
Crea un contexto o modifica uno existente.
Habilita la configuración por defecto.
Deshabilita el protocolo SNMP.
Habilita el protocolo SNMP.
Configura el EngineID utilizado por SNMPv3.
Asigna un usuario y modelo de seguridad a un grupo.
Configura un equipo gestor al que enviar notificaciones SNMP.
Muestra la configuración del protocolo SNMP.
Configura opciones para las MIB.
Borra configuración o configura parámetros con valores por defecto.
Especifica las porciones de MIB incluidas o excluidas de una determinada
vista.
Configura parámetros relativos al envío de notificaciones.
Crea un usuario o modifica los parámetros de un usuario ya existente.
Sale del menú de configuración del protocolo SNMP.
ACCESS
COMMUNITY
CONTEXT
DEFAULT-CONFIG
DISABLE
ENABLE
ENGINEID
GROUP
HOST
LIST
MIB
NO
SUBTREE
TRAP
USER
EXIT
2.1. ? (AYUDA)
Muestra los comandos disponibles o las opciones de un comando.
Sintaxis:
SNMP config>?
Ejemplo:
SNMP config>?
access
community
context
default-config
disable
enable
engineid
group
host
list
mib
no
subtree
Specify access views asociated to a group and security
model
Create a community or modify parameters of an existing one
Create a context or modify an existing one
Enable the SNMP default configuration
Disable SNMP
Enable SNMP
Specify an SNMPv3 EngineID
Assign a <user, securityModel> tuple to a group
Specify a host to receive SNMP notification messages
Display SNMP configuration
Configure options for a MIB
Negate a command or set its defaults
Create or modify a MIB view
ROUTER TELDAT - Configuración SNMP
II - 9
Doc.DM712
Rev.10.92
trap
user
exit
SNMP config>
Set trap parameters
Create a SNMPv3 user or modify parameters of an existing
one
Exit SNMP configuration menu
2.2. ACCESS
Configura las vistas asociadas a un determinado grupo y modelo de seguridad. Permite asociar, a un
determinado grupo y un modelo de seguridad, una vista de lectura, escritura y notificación. Se pueden
configurar vistas distintas para distintos modelos de seguridad dentro de un mismo grupo. Además, es
posible configurar vistas distintas para un mismo grupo y modelo de seguridad usando contextos
distintos.
Para obtener información de una VRF secundaria mediante el contexto,
peticiones podemos realizar solamente las siguientes peticiones: sobre la MIB
IP-FORWARD-MIB, y en concreto, sobre el objeto ipCidrRouteNumber (OID:
1.3.6.1.2.1.4.24.3) y la tabla ipCidrRouteTable (OID: 1.3.6.1.2.1.4.24.4), y sobre
la tabla ip AddrTable (OID: 1.3.6.1.2.1.4.20) de la MIB2.
Para obtener información de la VRF principal, la petición se hace como
siempre, aunque ésta se haga desde un gestor que se encuentra en la VRF
secundaria.
Consúltese el apartado 4.3 del capítulo 1 para más información sobre el control de acceso basado en
vistas.
Sintaxis:
SNMP config>group <GroupName> [context <ContextName>] <securityModel>
<securityLevel> {read-view <view> | notify-view <view> | write-view <view>}
securityModel: modelo de seguridad. Puede ser:
• any: cualquier modelo de seguridad
• v1: SNMPv1
• v2c: SNMPv2c
• v3-usm: SNMPv3 User Security Model (actualmente es el único modelo de seguridad definido
para SNMPv3)
securityLevel: nivel de seguridad (sólo si se selecciona v3-usm como modelo de seguridad). Puede ser:
• auth: autenticación, no cifrado
• noauth: no autenticación, no cifrado
• authpriv: autenticación y cifrado
En caso de que no se especifique alguna de las vistas, se interpreta por defecto como la
vista asociada a todos los OIDs. Esta vista está siempre creada, y se denomina
internamente “_all_”. En caso de no querer acceso a todos los OIDs se puede utilizar
la vista “_none_”
ROUTER TELDAT - Configuración SNMP
II - 10
Doc.DM712
Rev.10.92
Ejemplo:
Asociación de una vista de lectura teldatreadview y una vista de notificación teldatnotifyview al grupo
teldatgroup para SNMPv3 con cifrado y autenticación.
SNMP config>access teldatgroup v3-usm priv read-view teldatreadview notify-view
teldatnotifyview
SNMP config>
Ejemplo:
Asociación de una vista de escritura teldatwriteview al grupo teldatgroup2 para SNMPv1.
SNMP config>access groupteldat2 v1 write-view teldatwriteview
SNMP config>
2.3. COMMUNITY
Crea una comunidad o modifica los parámetros de una comunidad ya existente.
Sintaxis:
SNMP config>community <Community Name>
default
Create a SNMP community with default values
access
Set access permissions for this community
context
Set a context for this community
subnet
Specify subnet with access using this community string
view
Set a view for this community
SNMP config>
Community Name: Especifica el nombre de la comunidad (32 caracteres como máximo). Caracteres
especiales como espacios, tabuladores, etc., no son válidos.
a) COMMUNITY nombre_comunidad DEFAULT
Crea una comunidad con los parámetros por defecto o reestablece dichos parámetros para una
comunidad ya existente. Los parámetros por defecto son:
• acceso de lectura y generación de traps
• vista asociada a toda la MIB
• acceso permitido desde todas las direcciones IP
Ejemplo:
SNMP config>community public default
SNMP config>
b) COMMUNITY nombre_comunidad ACCESS
Establece el nivel de acceso asociado a una comunidad. Los niveles de acceso posibles son:
read-trap: Lectura y generación de traps.
trap-only: Generación de traps.
write-read-trap: Lectura-escritura y generación de traps.
Sintaxis:
SNMP config>community public access ?
read-trap
Read SNMP variables and generate traps
trap-only
Generate traps only
write-read-trap
Read and write SNMP variables and generate traps
SNMP config>
Valor por defecto: por defecto se permite el acceso de lectura y generación de traps.
ROUTER TELDAT - Configuración SNMP
II - 11
Doc.DM712
Rev.10.92
Ejemplo:
SNMP config>community public access write-read-trap
SNMP config>
c) COMMUNITY nombre_comunidad CONTEXT
Especifica un contexto que se va a asociar a la comunidad especificada. Este contexto nos permite
realizar una asociación entre la comunidad y una VRF secundaria.
Para obtener información de una VRF secundaria mediante el contexto,
peticiones podemos realizar solamente las siguientes peticiones: sobre la MIB
IP-FORWARD-MIB, y en concreto, sobre el objeto ipCidrRouteNumber (OID:
1.3.6.1.2.1.4.24.3) y la tabla ipCidrRouteTable (OID: 1.3.6.1.2.1.4.24.4), y sobre
la tabla ip AddrTable (OID: 1.3.6.1.2.1.4.20) de la MIB2.
Para obtener información de la VRF principal, la petición se hace como
siempre, aunque ésta se haga desde un gestor que se encuentra en la VRF
secundaria.
Sintaxis:
SNMP config>community public context ?
<1..32 chars>
Context name
SNMP config>
Ejemplo:
SNMP config>community public context cntxt
SNMP config>
d) COMMUNITY nombre_comunidad SUBNET
Especifica una subred desde la que está permitido el acceso usando la comunidad especificada.
NOTA: Las peticiones SNMP pueden llegar dirigidas a cualquiera de las direcciones
del router.
Se pueden especificar una o más subredes para una comunidad. Para ello se debe repetir la operación
tantas veces como subredes se quieran añadir.
Las peticiones SNMP serán aceptadas para una comunidad si el resultado de la función lógica AND
entre la dirección IP origen de la petición y la máscara de red de la comunidad coincide con el
resultado de la función lógica AND entre la dirección IP de la comunidad y la máscara de la misma, en
alguna de las direcciones configuradas en la comunidad. Esto quiere decir que se aceptarán peticiones
de cualquier equipo de las subredes definidas por las máscaras. Si no se especifica ninguna dirección
para la comunidad, las peticiones son aceptadas desde cualquier host.
ROUTER TELDAT - Configuración SNMP
II - 12
Doc.DM712
Rev.10.92
Sintaxis:
SNMP config>community public subnet ?
<a.b.c.d>
IP Address
SNMP config>community public subnet 192.6.2.168 ?
<a.b.c.d>
Mask
SNMP config>community public subnet 192.6.2.168 255.255.255.0 ?
<cr>
SNMP config>
Valor por defecto: por defecto se permite el acceso desde cualquier dirección IP.
Ejemplo 1:
SNMP config>community public subnet 192.6.2.168 255.255.255.0
SNMP config>
Esta operación ocasiona que las peticiones con la comunidad public sean aceptadas si provienen de
cualquier host de la red 192.6.2.0.
Ejemplo 2:
SNMP config>community public subnet 192.6.2.168 255.255.255.255
SNMP config>
Esta operación ocasiona que las peticiones con la comunidad public sean aceptadas sólo si provienen
del host 192.6.2.168.
e) COMMUNITY nombre_comunidad VIEW
Asigna una vista de la MIB a una comunidad. La vista debe estar previamente creada con el comando
SUBTREE. Si la vista que asociamos a la comunidad no existe, se restringe el acceso a toda la MIB.
Si se indica que la vista asociada a una comunidad es “all”, la comunidad tendrá acceso a toda la MIB.
Ejemplo:
SNMP config>community private view teldat
SNMP config>
Valor por defecto: por defecto se permite el acceso a toda la MIB.
2.4. CONTEXT
Crea un contexto o modifica uno existente.
Sintaxis:
SNMP config>context <Context-Name>
Ejemplo:
SNMP config>context TeldatContext
SNMP config>
2.5. DEFAULT-CONFIG
Habilita la configuración por defecto. El comando DEFAULT-CONFIG habilita SNMP y crea una
comunidad que se denomina “teldat”, con las características siguientes: tiene todos los permisos
(lectura, escritura y generación de traps), acepta peticiones de cualquier dirección, y ve toda la MIB.
ROUTER TELDAT - Configuración SNMP
II - 13
Doc.DM712
Rev.10.92
Valor por defecto: la configuración por defecto está habilitada.
Sintaxis:
SNMP config>default-config
2.6. DISABLE
Deshabilita el protocolo SNMP.
Sintaxis:
SNMP config>disable
NOTA: Si se encuentra habilitada la configuración por defecto, SNMP siempre está
habilitado, y por tanto no puede ser deshabilitado hasta que no se deshabilite
previamente dicha configuración por defecto.
2.7. ENABLE
Habilita el protocolo SNMP.
Sintaxis:
SNMP config>enable
Valor por defecto: Por defecto el protocolo SNMP está habilitado.
2.8. ENGINEID LOCAL
Configura el engineID que utiliza el router en el protocolo SNMPv3. El engineID identifica
unívocamente a una entidad SNMP cuando se utiliza el protocolo SNMPv3.
Sintaxis:
SNMP config>engineid local ?
<8..64 hex chars>
EngineID hexadecimal octet string
SNMP config>
Valor por defecto: por defecto no hay ningún engineID configurado. En este caso, se genera un
engineID aleatorio al arrancar el equipo.
2.9. GROUP
Asigna un usuario y modelo de seguridad a un grupo.La tupla <usuario, modelo de seguridad> sólo
puede pertenecer a un grupo. Los grupos se utilizan para definir el control de acceso basado en vistas.
Para más información, consúltese el apartado 4.3 del capítulo 1.
Sintaxis:
SNMP config>group <secName> <secModel> <groupName>
secName: usuario que se va a añadir a un grupo
securityModel: modelo de seguridad. Puede ser:
• any: cualquier modelo de seguridad
ROUTER TELDAT - Configuración SNMP
II - 14
Doc.DM712
Rev.10.92
•
•
•
v1: SNMPv1
v2c: SNMPv2c
v3-usm: SNMPv3 User Security Model (actualmente es el único modelo de seguridad definido
para SNMPv3)
groupName: nombre del grupo
Ejemplo:
Creación del grupo teldatgroup, con los usuarios teldatuser para SNMPv3 y teldatuser1 para
SNMPv1.
SNMP config>group teldatuser v3-usm teldatgroup
SNMP config>group teldatuser2 v1 teldatgroup
SNMP config>
2.10. HOST
Configura un equipo gestor al que enviar notificaciones SNMP, así como las características de envío
de dichas notificaciones.
Sintaxis:
SNMP config>host <IP address> <trap | inform> version <secModel> <secLevel>
<secName> [udp-port <port>] [vrf <vrf-name>] [{traps}]
SNMP config>
IP address: dirección IP del equipo gestor al que se envían las notificaciones SNMP.
trap: indica que las notificaciones se envian como TRAPS
inform: indica que las notificaciones se envian como INFORMs.
secModel: especifica la versión de SNMPv3 empleada en el envío de las notificaciones. Las versiones
posibles son:
• v1: SNMPv1 (no disponible en caso de inform)
• v2c: SNMPv2c
• v3: SNMPv3
secLevel: nivel de seguridad empleado en el envío de notificaciones. Sólo es configurable en el caso de
SNMPv3. Los valores posibles son:
• auth: autenticación, no cifrado
• noauth: no autenticación, no cifrado
• authpriv: autenticación y cifrado
secName: nombre de usuario o comunidad a utilizar en el envío de las notificaciones.
udp-port <port>: puerto UDP al que se envían las notificaciones. Este parámetro es opcional. En caso
de no especificarse, las notificaciones se envían al puerto 162.
vrf <vrf-name>: VRF secundaria sobre la cual se envían las notificaciones. Este parámetro es
opcional. En caso de no especificarse, las notificaciones se envían sobre la VRF principal.
traps: especifica los tipos de notificación que se envian al equipo gestor. Se pueden especificar varios
tipos de notificación. Los tipos de notificación existentes son los siguientes:
Tipo
all
authentication-failure
cold-start
Descripción
todas las notificaciones
notificaciones por error de autenticación
notificaciones cuando el router ha realizado un “arranque en frío”
ROUTER TELDAT - Configuración SNMP
II - 15
Doc.DM712
Rev.10.92
enterprise-specific
enterprise-specificgroup1
enterprise-specificgroup2
enterprise-specificgroup3
enterprise-specificgroup4
link-down
link-up
warm-start
notificaciones específicas de empresa. Las notificaciones específicas de
empresa indican que ha ocurrido algún hecho de los que se han definido
como destacables y que deben ser notificados. El campo “specific-trap” de la
notificación identifica el evento particular que ocurrió. En el Router Teldat,
las notificaciones específicas de empresa son las configuradas como tales en
el Sistema de Registro de Eventos (SRE). Al habilitar las notificaciones
específias se habilitan automáticamente las de los demás grupos. De esta
manera llegan al host los eventos habilitados para “snmp-trap” y para todos
los demás grupos.
notificaciones específicas de empresa del grupo 1. Las notificaciones
específicas de empresa indican que ha ocurrido algún hecho de los que se han
definido como destacables y que deben ser notificados. El campo “specifictrap-group1” de la notificación identifica el evento particular que ocurrió. En
el Router Teldat, las notificaciones específicas de empresa son las
configuradas como tales en el Sistema de Registro de Eventos (SRE).
notificaciones específicas de empresa del grupo 2. Las notificaciones
específicas de empresa indican que ha ocurrido algún hecho de los que se han
definido como destacables y que deben ser notificados. El campo “specifictrap-group2” de la notificación identifica el evento particular que ocurrió. En
el Router Teldat, las notificaciones específicas de empresa son las
configuradas como tales en el Sistema de Registro de Eventos (SRE).
notificaciones específicas de empresa del grupo 3. Las notificaciones
específicas de empresa indican que ha ocurrido algún hecho de los que se han
definido como destacables y que deben ser notificados. El campo “specifictrap-group3” de la notificación identifica el evento particular que ocurrió. En
el Router Teldat, las notificaciones específicas de empresa son las
configuradas como tales en el Sistema de Registro de Eventos (SRE).
notificaciones específicas de empresa del grupo 4. Las notificaciones
específicas de empresa indican que ha ocurrido algún hecho de los que se han
definido como destacables y que deben ser notificados. El campo “specifictrap-group4” de la notificación identifica el evento particular que ocurrió. En
el Router Teldat, las notificaciones específicas de empresa son las
configuradas como tales en el Sistema de Registro de Eventos (SRE).
notificación de “link down”. Indica un fallo en uno de los interfaces del
router. La notificación contiene el valor de ifIndex del interfaz afectado como
primer elemento de su lista de variables.
notificación de “link up”. Indica que uno de los interfaces del router que
estaba caído, ha vuelto a funcionar. La notificación contiene el valor de
ifIndex del interfaz afectado como primer elemento de su lista de variables.
notificaciones cuando el router ha realizado un “arranque en caliente”.
Ejemplo:
Se configura el equipo gestor en la dirección 172.24.51.12 para enviarle traps de SNMPv3 cifradas
usando el usuario teldatuser. Las notificaciones se envian al puerto 170. Se envian notificaciones por
cambio en los estados de los interfaces.
SNMP config>host 172.24.51.12 trap version v3 auth teldatuser udp-port 170 linkup link-down
SNMP config>
ROUTER TELDAT - Configuración SNMP
II - 16
Doc.DM712
Rev.10.92
Ejemplo:
Se configura el equipo gestor en la dirección 172.24.51.13 para enviarle informs SNMPv2 usando la
comunidad teldatcomm1. Se envian todas las notificaciones.
SNMP config>host 172.24.51.13 inform version v2 teldatcomm1 all
SNMP config>
Ejemplo:
Se configura el equipo gestor en la dirección 172.24.51.12 para enviarle traps de SNMPv1 usando la
comunidad teldatcomm2. Se envian las notificaciones específicas de empresa.
SNMP config>host 172.24.51.12 trap version v1 teldatcomm2 enterprise-specific
SNMP config>
2.11. LIST
Muestra la configuración del protocolo SNMP.
Sintaxis:
SNMP config>list ?
access
all
community
group
host
trap-sending-parameters
user
view
SNMP config>
Display
Display
Display
Display
Display
Display
Display
Display
current access views configuration
all the SNMP configuration information
current communities configuration
current groups configuration
current hosts configuration
trap sending configuration
current users configuration
current views configuration
a) LIST ACCESS
Muestra las vistas configuradas para cada grupo y modelo de seguridad.
Ejemplo:
SNMP config>list access
-------------Access Entries
-------------Group Name
-----------groupteldat2
Context
----------
groupteldat
pap
teldatgroup
sd
secModel
secLevel
-------- -----------v1
noAuthNoPriv
v3-usm
Priv
any
AuthNoPriv
v3-usm
Priv
Views
----------------------------readView:
writeView: teldatwriteview
notifyView:
readView: _all_
writeView: _all_
notifyView: _all_
readView: fd
writeView: ff
notifyView: df
readView: teldatreadview
writeView:
notifyView: teldatnotifyviewe
SNMP config>
b) LIST ALL
Muestra toda la información de configuración SNMP.
ROUTER TELDAT - Configuración SNMP
II - 17
Doc.DM712
Rev.10.92
Ejemplo:
SNMP config>list all
Default configuration is disabled
SNMP is enabled
No trap sending parameters, showing default values
Max time storing traps (seg):
50
Max number of traps to store:
32
Manager reachability check before sending traps: UDP echo
Community Name
--------------------------------public
private
IP Address
IP Mask
-------------------------ALL
192.6.2.168
255.255.255.255
Community Name
--------------------------------public
private
Access
-------------------------Read, Trap
Read, Write, Trap
Community name
--------------------------------public
private
Views
-------------------------mib2
teldat
View name
--------------------------------mib2
teldat
Subtree
-------------------------1.3.6.1.2.1 (included)
1.3.6.1.4.1.2007 (included)
-------------Access Entries
-------------Group Name
-----------groupteldat2
Context
----------
groupteldat
pap
sd
teldatgroup
secModel
secLevel
-------- -----------v1
noAuthNoPriv
v3-usm
Priv
any
AuthNoPriv
v3-usm
Priv
Views
----------------------------readView:
writeView: teldatwriteview
notifyView:
readView: _all_
writeView: _all_
notifyView: _all_
readView: fd
writeView: ff
notifyView: df
readView: teldatreadview
writeView:
notifyView: teldatnotifyviewe
-----Groups
-----SecName
-------------------teldat
teldatmd5aes
teldatmd5des
teldatshades
teldatuser
secModel
-------v3-usm
v3-usm
v3-usm
v3-usm
v3-usm
Group name
------------------teldatgroup2
teldatgroup2
teldatgroup2
teldatgroup2
teldatgroup2
ROUTER TELDAT - Configuración SNMP
II - 18
Doc.DM712
Rev.10.92
teldatuser2
v1
teldatgroup
----Hosts
-----
SecName
IP Address
Type Port
Security
Traps
----------- --------------- ------ ----- ------------------- ------------------teldat
172.24.51.12
trap
162
v3-usm Priv
Cold Start
Warm Start
Link Down
Link Up
Auth. Failure
Enterprise Specific
teldat2
172.24.51.12
trap
162
v3-usm AuthNoPriv
Cold Start
Warm Start
Link Down
Link Up
Auth. Failure
Enterprise Specific
teldatcomm2 172.24.51.12
trap
162
v1
noAuthNoPriv Enterprise Specific
teldatuser 172.24.51.12
trap
170
v3-usm AuthNoPriv
Link Down
Link Up
Ent. Sp. Group 2
Ent. Sp. Group 3
teldatcomm1 172.24.51.12
inform 162
v2c
noAuthNoPriv None
----Users
----SecName
------------------------------teldat
teldatmd5aes
teldatmd5des
teldatshades
teldatuser
teldatuser2
auth type
--------sha
md5
md5
sha
sha
sha
priv type
--------aes-128
aes-128
des
des
des
aes-128
SNMP config>
NOTA: Si está habilitada la configuración por defecto, SNMP siempre está habilitado.
c) LIST COMMUNITY
Muestra información de las comunidades configuradas.
Sintaxis:
SNMP config>list community ?
access
Display the access mode information for all communities
address
Display the associated addresses information for all communities
view
Display the view information associated to each community
SNMP config>
ROUTER TELDAT - Configuración SNMP
II - 19
Doc.DM712
Rev.10.92
LIST COMMUNITY ACCESS
Muestra información del nivel de acceso asociado a las distintas comunidades configuradas.
Ejemplo:
SNMP config>list community access
Community Name
--------------------------------public
private
SNMP config>
Access
-------------------------Read, Trap
Read, Write, Trap
LIST COMMUNITY ADDRESS
Muestra información de las subredes desde las que está permitido el acceso usando las distintas
comunidades.
Ejemplo:
SNMP config>list community address
Community Name
--------------------------------public
private
SNMP config>
IP Address
IP Mask
-------------------------ALL
192.6.2.168
255.255.255.255
LIST COMMUNITY VIEW
Muestra información de la vista asociada a cada comunidad.
Ejemplo:
SNMP config>list community view
Community name
--------------------------------public
private
SNMP config>
Views
-------------------------mib2
teldat
d) LIST GROUP
Muestra información de los grupos configurados.
Ejemplo:
SNMP config>list group
-----Groups
-----SecName
-------------------teldat
teldatmd5aes
teldatmd5des
teldatshades
teldatuser
teldatuser2
SNMP config>
secModel
-------v3-usm
v3-usm
v3-usm
v3-usm
v3-usm
v1
Group name
------------------teldatgroup2
teldatgroup2
teldatgroup2
teldatgroup2
teldatgroup2
teldatgroup
e) LIST HOST
Muestra información de las notificaciones configuradas.
ROUTER TELDAT - Configuración SNMP
II - 20
Doc.DM712
Rev.10.92
Ejemplo:
SNMP config>list host
----Hosts
----SecName
IP Address
Type
Port
VRF Name
Security
Traps
----------- --------------- ------ ----- ------------ ------------------- ------------------teldat
172.24.51.12
trap
162
<main>
v3-usm Priv
Cold Start
Warm Start
Link Down
Link Up
Auth. Failure
teldat2
172.24.51.12
trap
162
<main>
Enterprise Specific
v3-usm AuthNoPriv Cold Start
Warm Start
Link Down
Link Up
Auth. Failure
Enterprise Specific
teldatcomm2 172.24.51.12
teldatuser 172.24.51.12
trap
trap
162
170
<main>
<main>
v1 noAuthNoPriv Enterprise Specific
v3-usm AuthNoPriv Link Down
Link Up
Ent. Sp. Group 2
teldatcomm1 172.24.51.12
inform 162
<main>
v2c
Ent. Sp. Group 3
noAuthNoPriv None
SNMP config>
f) LIST TRAP-SENDING-PARAMETERS
Muestra información relativa al envío de notificaciones.
Ejemplo:
SNMP config>list trap-sending-parameters
No trap sending parameters, showing default values
Max time storing traps (seg):
50
Max number of traps to store:
32
Manager reachability check before sending traps: UDP echo
SNMP config>
g) LIST USER
Muestra información de los usuarios configurados.
Ejemplo:
SNMP config>list user
----Users
-----
ROUTER TELDAT - Configuración SNMP
II - 21
Doc.DM712
Rev.10.92
SecName
------------------------------teldat
teldatmd5aes
teldatmd5des
teldatshades
teldatuser
teldatuser2
SNMP config>
auth type
--------sha
md5
md5
sha
sha
sha
priv type
--------aes-128
aes-128
des
des
des
aes-128
h) LIST VIEW
Muestra información de las vistas definidas en el sistema, con las partes de la MIB o subtrees
asociados a cada una.
Ejemplo:
SNMP config>list view
View name
--------------------------------teldatview
mib2
SNMP config>
Subtree
-------------------------1.3.6.1.4.1.2007 (included)
1.3.5.1.2.1 (included)
2.12. MIB
Permite configurar opciones para las MIBs.
Sintaxis:
SNMP config>mib <mibName> <variableName> <option>
a) MIB IFMIB
Permite configurar opciones de la MIB IF-MIB.
SNMP config>mib ?
ifmib
Options for IF-MIB
• MIB IFMIB IFALIAS
Permite configurar opciones para la variable ifAlias de la MIB IF-MIB.
SNMP config>mib ifmib ?
ifalias
Options for ifAlias variable
SNMP config>mib ifmib ifalias ?
256
Change ifAlias value larger than 64 characters
•
256: Permite aumentar el límite máximo en la longitud permitida para la cadena de caracteres
que constituye el valor de la variable ifAlias.
Ejemplo:
SNMP config>mib ifmib ifalias 256
2.13. NO
Configura parámetros con valores por defecto o borra configuración.
ROUTER TELDAT - Configuración SNMP
II - 22
Doc.DM712
Rev.10.92
Sintaxis:
SNMP config>no ?
access
Specify access views asociated to a group and security
model
Create a community or modify parameters of an existing one
Create a context or modify an existing one
Enable the SNMP default configuration
Specify an SNMPv3 EngineID
Assign a <user, securityModel> tuple to a group
Specify a host to receive SNMP notification messages
Configure options for a MIB
Create or modify a MIB view
Set trap parameters
Create a SNMPv3 user or modify parameters of an existing
one
community
context
default-config
engineid
group
host
mib
subtree
trap
user
SNMP config>
Ejemplo:
Borrado de la comunidad private
SNMP config>no community private
SNMP config>
Ejemplo:
Borrado de toda la configuración de notificaciones asociada al equipo gestor 172.24.51.12.
SNMP config>no host 172.24.51.12
SNMP config>
Ejemplo:
Configuración por defecto del tiempo máximo que se guarda una notificación antes de enviarse.
SNMP config>no trap sending-parameters time
SNMP config>
2.14. SUBTREE
Crea una nueva vista o añade una porción de la MIB a una vista ya esistente. Es posible incluir o
excluir la porción de la MIB de la vista existente.
Para asignar una vista a una o más comunidades utilice el comando COMMUNITY
nombre_comunidad VIEW. Para asignar una vista a un grupo, utilice el comando ACCESS.
Sintaxis:
SNMP config>subtree <viewName> <OID> <included | excluded>
SNMP config>
View name
OID
included
excluded
Ejemplo:
Especifica el nombre de la vista (32 caracteres como máximo). Caracteres especiales,
como espacios, tabuladores, etc. no son válidos.
Especifica el identificador del objeto de la MIB (subtree). Todos los objetos que
cuelguen de este OID estarán incluidos o excluidos de la vista.
El OID especificado está incluido en la vista (puede accederse a él).
El OID especificado está excluido de la vista (no puede accederse a él).
SNMP config>subtree mib2 1.3.6.1.2.1 included
SNMP config>
ROUTER TELDAT - Configuración SNMP
II - 23
Doc.DM712
Rev.10.92
Si en una vista se indican una o varias porciones de la MIB de tipo ‘excluded’, todo lo
no perteneciente está excluido también de la vista. Es decir, por defecto se restringe el
acceso a todas las variables que no se especifiquen explicítamente como ‘included’.
2.15. TRAP
Configura los parámetros utilizados para determinar las condiciones de envío de notificaciones.
Sintaxis:
SNMP config>trap ?
sending-parameters
SNMP config>
Set trap sending parameters
a) TRAP SENDING-PARAMETERS
Permite configurar los parámetros de envío de notificaciones. El envío de una notificación SNMP
puede provocar una llamada X.25 o RDSI si el destinatario de las notificaciones se encuentra situado
al otro lado de un interfaz de ese tipo. Por ello puede ser conveniente agrupar las notificaciones a
enviar en un buffer y enviarlas todas juntas, para reducir el número de llamadas realizadas. Además,
interesaría asegurarse de que la dirección que se ha configurado como destino de las notificaciones es
alcanzable (se ha establecido ya la llamada, siguiendo con el ejemplo anterior), de modo que la
probabilidad de que las notificaciones se pierdan por el camino disminuya. Sin embargo, en otras
ocasiones puede que lo que más interese sea recibir las notificaciones lo más rápido posible, por lo que
convendría minimizar el número de notificaciones que se guardarán en el buffer antes de ser enviadas
o el tiempo máximo en que una notificaciones puede permanecer esperando ser transmitida. En este
caso tampoco sería recomendable comprobar si la estación gestora que recibirá las notificaciones es
alcanzable, ya que esto podría introducir un cierto retardo si se tiene que esperar a recibir la respuesta
al ECHO UDP o ICMP que desde el equipo se envía a cada destino configurado para averiguar si está
accesible.
El tipo de traps enviadas al notificar un evento es otro de los parámetros que se puede configurar
mediante este comando.
Los parámetros de envío de notificaciones que se configuran desde esta opción son:
NUMBER
Tamaño del buffer de notificaciones a reagrupar: número de
notificaciones que pueden llegar a almacenarse antes de enviarse al
destino.
REACHABILITY-CHECKING Indica si se realizarán las comprobaciones de alcanzabilidad de las
estaciones gestoras configuradas como destino de las notificaciones
antes de proceder a su envío.
TIME
Tiempo máximo que se guarda una notificación en el buffer antes
de enviarse (si el buffer no se llena antes).
FORMAT
Formato de la lista de variable-bindings que se construye al enviar
una trap.
ROUTER TELDAT - Configuración SNMP
II - 24
Doc.DM712
Rev.10.92
Sintaxis:
SNMP config>trap sending-parameters ?
number
Number of traps to store before sending
reachability-checking
Reachability checking before sending traps
time
Max time to store traps in buffer before sending
format
Configure the variable-bindings list format
SNMP config>
TRAP SENDING-PARAMETERS NUMBER
Configura el tamaño del buffer de notificaciones a reagrupar, es decir, el número de notificaciones que
pueden llegar a almacenarse antes de enviarse al destino. En cualquier caso las notificaciones se
enviarán individualmente, cada una en un paquete UDP.
Sintaxis:
SNMP config>trap sending-parameters number ?
<1..63>
Max number of traps to store
SNMP config>
Valor por defecto: por defecto se almacenan 32 notificaciones.
Ejemplo:
SNMP config>trap sending-parameters number 30
SNMP config>
TRAP SENDING-PARAMETERS REACHABILITY-CHECKING
Este parámetro indica si se realizarán las comprobaciones de alcanzabilidad de las estaciones gestoras
configuradas como destino de las notificaciones antes de proceder a su envío. Los valores permitidos
para esta variable son:
icmp: se habilita el envío de ECHO ICMP a los destinos para determinar si son accesibles.
ip-route: las notificaciones se enviarán sólo cuando haga más de 10 segundos (o el valor configurado)
que existe una ruta para ir al destino. Mediante la opción up-delay se puede configurar durante cuánto
tiempo ha de existir ruta IP al destino para determinar que es accesible.
udp: se habilita el envío de ECHO UDP a los destinos para determinar si son accesibles.
Sintaxis:
SNMP config>trap sending-parameters reachability-checking ?
icmp
ICMP checking
ip-route
IP route checking
udp
UDP checking
SNMP config>trap sending-parameters reachability-checking ip-route ?
up-delay
IP route uptime to consider it accesible
<cr>
SNMP config>trap sending-parameters reachability-checking ip-route up-delay ?
<1s..10m>
Route uptime
SNMP config>
Valor por defecto: por defecto se utiliza el envío de ECHO UDP.
Ejemplo:
SNMP config>trap sending-parameters reachability-checking ip-route up-delay 15s
SNMP config>
TRAP SENDING-PARAMETERS TIME
Tiempo máximo que se guarda una notificación en el buffer antes de enviarse si el buffer no se llena
antes. Las notificaciones se envían cuando el buffer se llena o cuando han pasado como máximo los
segundos indicados por este parámetro si el buffer no se ha llenado antes.
ROUTER TELDAT - Configuración SNMP
II - 25
Doc.DM712
Rev.10.92
Sintaxis:
SNMP config>trap sending-parameters time ?
<0s..3550w>
Max time storing traps (Time value)
SNMP config>
Valor por defecto: por defecto las notificaciones se almacenan como máximo durante 50 segundos.
Ejemplo:
SNMP config>trap sending-parameters time 40s
SNMP config>
TRAP SENDING-PARAMETERS FORMAT
El tipo de trap que se construye al notificar un evento depende del formato configurado con este
comando.
Con la opción de formato “legacy” cada evento del sistema que se notifica mediante SNMP, se
transforma en un mismo tipo de trap, que incluye una lista de variable-bindings cuyo tamaño depende
del número de argumentos del evento. En la recepción de dos traps de este tipo, la misma variablebinding en cada una de las traps puede contener instancias de un objeto cuyo significado y sintaxis sea
diferente en función del evento que las genera. Este modo de envío de traps es propietario y no sigue
el estándar.
Mediante la opción de formato “standard”, cada evento que se notifica se transforma en un tipo de
trap específico para ese evento, cuyos argumentos se convierten en la lista de variable-bindings
definida para ese tipo de trap.
Sintaxis:
SNMP config> trap sending-parameters format { legacy | standard }
La opción de formato configurada por defecto es “legacy”.
2.16. USER
Configura un usuario para SNMPv3. Especifica las características de autenticación y cifrado asociadas
al usuario.
Sintaxis:
SNMP config>user <userName> [auth {md5|sha} {plain|ciphered} <auth-key> [priv
{aes128|des} {plain|ciphered} <priv-key>]]
userName: identificador del usuario.
auth: tipo de autenticación utilizada. Puede ser md5 o sha.
plain: elija esta opción para introducir la clave sin cifrar.
ciphered: elija esta opción para introducir la clave cifrada.
auth-key: clave utilizada para la autenticación.
priv: tipo de cifrado utilizado. Puede ser aes128 o des.
priv-key: clave utilizada para el cifrado.
Ejemplo:
Configuración de un usuario teldat sin parámetros de seguridad (sin autenticación ni cifrado).
SNMP config>user teldat
Ejemplo:
Configuración de un usuario teldatmd5 con autenticación MD5 utilizando la clave teldatauth y sin
cifrado.
ROUTER TELDAT - Configuración SNMP
II - 26
Doc.DM712
Rev.10.92
SNMP config>user teldatmd5 auth md5 plain teldatauth
Ejemplo:
Configuración de un usuario teldatshaaes con autenticación SHA utilizando la clave teldatauth2 y
cifrado AES-128 utilizando la clave teldatpriv.
SNMP config>user teldatshaaes auth sha plain teldatauth2 priv aes128 plain
teldatpriv
2.17. EXIT
Sale del menú de configuración del protocolo SNMP.
Sintaxis:
SNMP config>exit
Ejemplo:
SNMP config>exit
Config>
ROUTER TELDAT - Configuración SNMP
II - 27
Doc.DM712
Rev.10.92
Capítulo 3
Monitorización del agente SNMP
1. Acceso al entorno de monitorización SNMP
Para acceder al entorno de monitorización SNMP, utilize el comando PROTOCOL SNMP desde el
menú de monitorización general.
+protocol snmp
-- SNMP protocol monitor -SNMP+
ROUTER TELDAT – Monitorización SNMP
III - 29
Doc.DM712
Rev.10.92
2. Comandos de monitorización SNMP
Comando
Función
? (AYUDA)
LIST
EXIT
Muestra comandos u opciones.
Muestra información del protocolo SNMP.
Sale del menú de monitorización del protocolo SNMP.
2.1. ? (AYUDA)
Muestra los comandos disponibles o las opciones de un comando.
Sintaxis:
SNMP+?
Ejemplo:
SNMP+?
list
exit
SNMP+
Show protocol information
2.2. LIST
Muestra la configuración actual del protocolo SNMP.
Sintaxis:
SNMP+list ?
access-entry
all
community
debug
group
host
statistics
trap-sending-parameters
user
view
Access entries information
All the information
Communities information
Debug information
Groups information
Hosts and notifications information
SNMP statistics
Information related to sending traps
Users information
Views defined in the system
a) LIST ACCESS-ENTRY
Muestra las vistas asociadas a cada grupo y modelo de seguridad.
Ejemplo:
SNMP+list access-entry
Access Group Name
--------------------------------grpcomm1
Access Parameters
-------------------------Context:
Context match: prefix
Security model: any noAuthNoPriv
Read view: teldatview
Write view: teldatview
Notify view: teldatview
Storage Type: permanent
Row status: active
grpcomm2
Context:
ROUTER TELDAT – Monitorización SNMP
III - 30
Doc.DM712
Rev.10.92
Context match: prefix
Security model: any noAuthNoPriv
Read view: _all_
Write view: <not specified>
Notify view: _all_
Storage Type: permanent
Row status: active
groupteldat
Context:
Context match: exact
Security model: v3 (USM) authPriv
Read view: _all_
Write view: _all_
Notify view: _all_
Storage Type: permanent
Row status: active
groupteldat2
Context:
Context match: exact
Security model: v1 noAuthNoPriv
Read view: _all_
Write view: teldatwriteview
Notify view: _all_
Storage Type: permanent
Row status: active
La configuración de comunidades se transforma internamente a configuración de
grupos. Este es el motivo de que aparezcan grupos no configurados explícitamente.
b) LIST ALL
Muestra toda la información de configuración SNMP actualmente activa.
Sintaxis:
SNMP+list all
Ejemplo:
SNMP+list all
SNMP is enabled
Max time storing traps (seg):
50
Max number of traps to store:
32
Manager reachability check before sending traps: UDP echo
Community Name
--------------------------------private
IP Address
IP Mask
-------------------------ALL
Community Name
--------------------------------private
Access
-------------------------Read, Write, Trap
Community name
--------------------------------private
Views
-------------------------teldatview
Community Name
--------------------------------private
SecName Parameters
-------------------------Context:
SecName: comm1
ROUTER TELDAT – Monitorización SNMP
III - 31
Doc.DM712
Rev.10.92
Network prefix: 0.0.0.0/0
Access Group Name
-------------------------------grpcomm1
Access Parameters
-------------------------Context:
Context match: prefix
Security model: any noAuthNoPriv
Read view: teldatview
Write view: teldatview
Notify view: teldatview
Storage Type: permanent
Row status: active
grpcomm2
Context:
Context match: prefix
Security model: any noAuthNoPriv
Read view: _all_
Write view: <not specified>
Notify view: _all_
Storage Type: permanent
Row status: active
groupteldat
Context:
Context match: exact
Security model: v3 (USM) authPriv
Read view: _all_
Write view: _all_
Notify view: _all_
Storage Type: permanent
Row status: active
groupteldat2
Context:
Context match: exact
Security model: v1 noAuthNoPriv
Read view: _all_
Write view: teldatwriteview
Notify view: _all_
Storage Type: permanent
Row status: active
Group Name
--------------------------------grpcomm1
Parameters
-------------------------SecName: comm1
Security model: v1
Storage Type: permanent
Row status: active
teldatgroup
SecName: teldatuser2
Security model: v1
Storage Type: permanent
Row status: active
grpcomm1
SecName: comm1
Security model: v2c
Storage Type: permanent
Row status: active
teldatgroup
SecName: teldatuser
Security model: v3 (USM)
Storage Type: permanent
Row status: active
There are no host notifications
User Name
--------------------------------teldatuser
Parameters
--------------------------
ROUTER TELDAT – Monitorización SNMP
III - 32
Doc.DM712
Rev.10.92
Engine ID: 1234567890
Group-name: teldatgroup
SecName: teldat
Authentication Protocol: SHA
Privacy Protocol: AES128
_all_
view subtree: .0
view mask:
view type: included
Storage Type: permanent
Row status: active
_all_
view subtree: .1
view mask:
view type: included
Storage Type: permanent
Row status: active
_all_
view subtree: .2
view mask:
view type: included
Storage Type: permanent
Row status: active
_none_
view subtree: .0
view mask:
view type: excluded
Storage Type: permanent
Row status: active
_none_
view subtree: .1
view mask:
view type: excluded
Storage Type: permanent
Row status: active
_none_
view subtree: .2
view mask:
view type: excluded
Storage Type: permanent
Row status: active
SNMP+
c) LIST COMMUNITY
Muestra información de las comunidades configuradas.
Sintaxis:
SNMP+list community ?
access
Display the access mode information for all communities
address
Display the associated addresses information for all communities
view
Display the view information associated to each community
LIST COMMUNITY ACCESS
Muestra información del nivel de acceso asociado a las distintas comunidades configuradas.
Sintaxis:
SNMP+list community access
ROUTER TELDAT – Monitorización SNMP
III - 33
Doc.DM712
Rev.10.92
Ejemplo:
SNMP+list community access
Community Name
--------------------------------public
private
SNMP+
Access
-------------------------Read, Trap
Read, Write, Trap
LIST COMMUNITY ADDRESS
Muestra información de las subredes desde las que está permitido el acceso usando las distintas
comunidades.
Sintaxis:
SNMP+list community address
Ejemplo:
SNMP+list community address
Community Name
--------------------------------public
private
SNMP+
IP Address
IP Mask
-------------------------ALL
192.6.2.168
255.255.255.255
LIST COMMUNITY VIEW
Muestra información de la vista asociada a cada comunidad.
Sintaxis:
SNMP+list community view
Ejemplo:
SNMP+list community view
Community name
--------------------------------public
private
SNMP+
Views
-------------------------mib2
teldat
d) LIST DEBUG
Muestra información de las estructuras internas usadas en el código de SNMP. Esta información es útil
únicamente para depurar.
e) LIST GROUP
Muestra información de los grupos configurados.
Sintaxis:
SNMP+list group
Ejemplo:
SNMP+list group
Group Name
--------------------------------grpcomm1
teldatgroup
Parameters
-------------------------SecName: comm1
Security model: v1
Storage Type: permanent
Row status: active
SecName: teldatuser2
Security model: v1
Storage Type: permanent
ROUTER TELDAT – Monitorización SNMP
III - 34
Doc.DM712
Rev.10.92
Row status: active
grpcomm1
SecName: comm1
Security model: v2c
Storage Type: permanent
Row status: active
teldatgroup
SecName: teldatuser
Security model: v3 (USM)
Storage Type: permanent
Row status: active
f) LIST HOST
Muestra información de las notificaciones configuradas.
Sintaxis:
SNMP+list host
Ejemplo:
SNMP+list host
Host Address
--------------------------------172.24.51.12
Parameters
-------------------------UDP port: 162
Notification type: trap
SecName: private
Message Processing Model: v1
security: v1 noAuthNoPriv
g) LIST STATISTICS
Muestra estadísticos de paquetes recibidos y enviados.
Sintaxis:
SNMP+list statistics
Ejemplo:
SNMP+list statistics
----------------------------------------SNMP Counters
----------------------------------------In Packets ...................... 0
In Bad Versions ............... 0
In Bad Community Names ........ 0
In Bad Community Uses ......... 0
In ASN Parse Errors ........... 0
In Total Request Variables .... 0
In Total Set Variables ........ 0
In GET Requests ............... 0
In GET-NEXT Requests .......... 0
In SET Requests ............... 0
In GET-RESPONSEs .............. 0
In Traps ...................... 0
Out Packets ..................... 0
Out Packets Too Big ........... 0
Out No Such Names ............. 0
Out Bad Values ................ 0
Out Generic Errors ............ 0
Out GET-RESPONSEs ............. 0
Out Traps ..................... 0
----------------------------------------USM Counters
----------------------------------------Unsupported Security Levels ..... 0
Not In Time Windos .............. 0
Unknown User Names .............. 0
ROUTER TELDAT – Monitorización SNMP
III - 35
Doc.DM712
Rev.10.92
Unknown Engine IDs .............. 0
Wrong Digests ................... 0
Descryption Errors .............. 0
----------------------------------------Target MIB Counters
----------------------------------------Unknown Contexts ................ 0
----------------------------------------Other Counters
----------------------------------------Unknown Security Models ......... 0
Invalid Messages ................ 0
Unknown PDU Handlers ............ 0
SNMP+
h) LIST TRAP-SENDING-PARAMETERS
Muestra la información relativa al envío de notificaciones.
Sintaxis:
SNMP+list trap-sending-parameters
Ejemplo:
SNMP+list trap-sending-parameters
Max time storing traps (seg):
50
Max number of traps to store:
32
Manager reachability check before sending traps: UDP echo
SNMP+
i) LIST USER
Muestra información de los usuarios configurados.
Sintaxis:
SNMP+list user
Ejemplo:
SNMP+list user
User Name
--------------------------------teldatuser
Parameters
-------------------------Engine ID: 1234567890
Group-name: teldatgroup
SecName: teldat
Authentication Protocol: SHA
Privacy Protocol: AES128
j) LIST VIEW
Muestra información de las vistas definidas en el sistema.
Sintaxis:
SNMP+list view
Ejemplo:
SNMP+list view
_all_
view subtree: .0
view mask:
view type: included
Storage Type: permanent
ROUTER TELDAT – Monitorización SNMP
III - 36
Doc.DM712
Rev.10.92
Row status: active
_all_
view subtree: .1
view mask:
view type: included
Storage Type: permanent
Row status: active
_all_
view subtree: .2
view mask:
view type: included
Storage Type: permanent
Row status: active
_none_
view subtree: .0
view mask:
view type: excluded
Storage Type: permanent
Row status: active
_none_
view subtree: .1
view mask:
view type: excluded
Storage Type: permanent
Row status: active
_none_
view subtree: .2
view mask:
view type: excluded
Storage Type: permanent
Row status: active
SNMP+
2.3. EXIT
Sale del menú de monitorización del protocolo SNMP.
Sintaxis:
SNMP+exit
Ejemplo:
SNMP+exit
+
ROUTER TELDAT – Monitorización SNMP
III - 37
Doc.DM712
Rev.10.92
Capítulo 4
Ejemplos de configuración
1. SNMPv1
Se configura una comunidad private con acceso de lectura y escritura, accesible desde la subred
172.24.0.0.
community private access write-read-trap
community private subnet 172.24.0.0 255.255.0.0
ROUTER TELDAT – Ejemplos de Configuración SNMP
IV - 39
Doc.DM712
Rev.10.92
2. SNMPv3
Se configuran cuatro usuarios diferentes, usando las diferentes combinaciones de autenticación y
cifrado posibles. Los cuatro usuarios tiene acceso a toda la MIB.
Se configura, además, el engineID, para facilitar la captura y descifrado de los datos con un analizador
de tráfico.
Primero se configura el engineID:
SNMP config>engineid local 1234567890
SNMP config>
A continuación, se configuran los distintos usuarios:
SNMP config>user
teldataeskey1
SNMP config>user
teldataeskey2
SNMP config>user
teldatdeskey1
SNMP config>user
teldatdeskey2
teldatshaaes auth sha plain teldatshakey1 priv aes128 plain
teldatmd5aes auth md5 plain teldatmd5key1 priv aes128 plain
teldatmd5des auth md5 plain teldatmd5key2 priv des plain
teldatshades auth sha plain teldatshakey2 priv des plain
Se asocian los usuarios a un grupo:
SNMP
SNMP
SNMP
SNMP
config>group
config>group
config>group
config>group
teldatshaaes
teldatmd5aes
teldatmd5des
teldatshades
v3-usm
v3-usm
v3-usm
v3-usm
teldatgroup
teldatgroup
teldatgroup
teldatgroup
Por último, se definen las vistas asociadas a dicho grupo. Se utiliza la vista _all_ para indicar todos los
OIDs.
SNMP config>access teldatgroup v3-usm priv read-view _all_ write-view _all_ noti
fy-view _all_
La configuración final queda como sigue:
SNMP config>sho conf
; Showing Menu and Submenus Configuration for access-level 15 ...
; Super Router * * Version 10.8.0-Alfa
engineid local 1234567890
user teldatmd5aes auth md5 ciphered 0x9EF49A1E6DE98B3A17B395CC91972DD1
aes128 ciphered 0xF85A722D9DFE44BD02B19BD7FDF39A31
user teldatmd5des auth md5 ciphered 0x9EF49A1E6DE98B3A3B301FEBBE355690
des ciphered 0xC5577087CC1FC12A979CDB77D6EE1682
user teldatshaaes auth sha ciphered 0xABF7853ECFB670CAF5830731ECEF2D4F
aes128 ciphered 0xF85A722D9DFE44BD56ADCA608C25C3EE
user teldatshades auth sha ciphered 0xABF7853ECFB670CA26C2B4252C567511
des ciphered 0xC5577087CC1FC12AB10CF76833CD4F80
;
group teldatmd5aes v3-usm teldatgroup
;
group teldatmd5des v3-usm teldatgroup
;
group teldatshaaes v3-usm teldatgroup
;
group teldatshades v3-usm teldatgroup
ROUTER TELDAT – Ejemplos de Configuración SNMP
IV - 40
priv
priv
priv
priv
Doc.DM712
Rev.10.92
;
;
access teldatgroup v3-usm priv read-view _all_ write-view _all_ notify-view
_all_
;
SNMP config>
ROUTER TELDAT – Ejemplos de Configuración SNMP
IV - 41
Doc.DM712
Rev.10.92
3. SNMPv1/v2 consultas multi-VRF
Se necesita configurar un contexto asociado a la VRF secundaria que se quiere consultar.
Este contexto se define en el menú del protocol SNMP y además ha de asociarse a la comunidad.
log-command-errors
no configuration
feature vrf
; -- VRF user configuration -vrf vrf1 context ctxt
exit
;
network ethernet0/0
; -- Ethernet Interface User Configuration -ip address 192.168.10.1 255.255.255.0
;
exit
;
;
protocol snmp
; -- SNMP user configuration -community second context ctxt
;
context ctxt
;
exit
;
dump-command-errors
end
ROUTER TELDAT – Ejemplos de Configuración SNMP
IV - 42
Doc.DM712
Rev.10.92
4. SNMPv3 consultas multi-VRF
Se necesita configurar un contexto asociado a la VRF secundaria que se quiere consultar.
Este contexto se define en el menú del protocol SNMP y además ha de asociarse al comando access.
log-command-errors
no configuration
feature vrf
; -- VRF user configuration -vrf vrf1 context ctxt
exit
;
network ethernet0/0
; -- Ethernet Interface User Configuration -ip address 192.168.10.1 255.255.255.0
;
exit
;
;
protocol snmp
; -- SNMP user configuration -user snmp_user
;
group snmp_user v3-usm snmp_group
;
access snmp_group context ctxt v3-usm noauth
;
context ctxt
;
exit
;
dump-command-errors
end
ROUTER TELDAT – Ejemplos de Configuración SNMP
IV - 43
Doc.DM712
Rev.10.92
Documentos relacionados
Protocolos HTTP, HTTPS, IPv4, IPv6, NTP, SMTP, SNMP v1, SNMP
Protocolos HTTP, HTTPS, IPv4, IPv6, NTP, SMTP, SNMP v1, SNMP
Apéndice SNMP
Apéndice SNMP
INSTALACIÓN Y CONFIGURACIÓN DE UN AGENTE DE
INSTALACIÓN Y CONFIGURACIÓN DE UN AGENTE DE
Descargar
Anuncio
Anuncio