Перейти к содержанию

Настройка SNMP

Описание и назначение функции

SNMP на коммутаторах CIT L3200 обеспечивает централизованный опрос параметров устройства и отправку уведомлений на систему управления. Для практической эксплуатации обычно настраивают либо SNMPv2c с community-строкой и ограничением представлением MIB, либо SNMPv3 с группой, пользователем и защитой auth/priv.

Функция полезна, когда нужно получать инвентарные данные, контролировать состояние устройства и принимать trap-сообщения от коммутатора на сервер мониторинга. На CIT L3200 дополнительно можно включить журнал истории trap-сообщений для локальной проверки факта отправки.

Основные сценарии использования:

  • Подключение коммутатора к системе мониторинга по SNMPv2c
  • Подключение коммутатора к системе мониторинга по SNMPv3
  • Передача trap-сообщений на выделенный сервер NMS/NOC
  • Ограничение доступа к дереву OID через представление internet
  • Локальная проверка состояния SNMP-агента, пользователей, групп и счетчиков

Используйте SNMPv2c в закрытых сегментах управления, где требования к защите минимальны и важна простота настройки. Используйте SNMPv3, когда нужно аутентифицировать запросы и шифровать полезную нагрузку.

Необходимые условия и предварительные требования

Для настройки SNMP требуется:

  • Коммутатор CIT серии L3200
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Настроенная IP-связность между коммутатором и сервером мониторинга
  • Доступ в режим Privileged EXEC
  • Определенный адрес сервера trap-сообщений, в примерах - 172.16.3.100
  • Подготовленное представление internet, если требуется ограничение области доступа
  • Для SNMPv2c - согласованная community-строка
  • Для SNMPv3 - имя группы, имя пользователя, параметры auth и priv

Примечание

В предоставленных примерах представление internet уже присутствует в системе и исключает ветви 1.3.6.1.6.3.15 и 1.3.6.1.6.3.16. Это ограничение нужно учитывать при опросе объектов безопасности и статистики SNMP.

Назначение команд конфигурации

Команда Режим Назначение
snmp version v2 Global config Включает работу SNMPv2c
snmp version v3 Global config Включает работу SNMPv3
snmp contact NOC Global config Задает контактную информацию устройства
snmp location LAB-RACK-1 Global config Задает местоположение устройства
snmp auth-trap enable Global config Включает trap-сообщения об ошибках аутентификации
snmp trap-history enable Global config Включает локальную историю trap-сообщений
snmp trap-history 1024 Global config Задает размер буфера истории trap-сообщений
snmp community MONITOR ro view internet Global config Создает community SNMPv2c только для чтения с представлением internet
snmp trap-server 172.16.3.100 MONITOR v2 Global config Настраивает сервер trap-сообщений для SNMPv2c
snmp group NMSGRP read-view internet write-view internet notify-view internet Global config Создает группу SNMPv3 и связывает представления чтения, записи и уведомлений
snmp user NMSUSER group NMSGRP auth sha AUTHPASS123 priv aes PRIVPASS123 Global config Создает пользователя SNMPv3 с аутентификацией SHA и шифрованием AES
snmp trap-server 172.16.3.100 NMSUSER v3 Global config Настраивает сервер trap-сообщений для SNMPv3

Эти команды закрывают базовую задачу: включить агент, ограничить доступ к дереву OID и направить trap-сообщения на сервер мониторинга. Для эксплуатации достаточно дополнить конфигурацию проверочными командами show snmp ....

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Перейдите в режим конфигурации

1
2
SW1#configure
%Enter configuration commands.End with Ctrl+Z or command "quit" & "end"

Команда открывает глобальный режим конфигурации.

Шаг 2: Включите SNMPv2c

1
SW1(config)#snmp version v2

Команда переводит агент в режим SNMPv2c.

Шаг 3: Задайте контакт и местоположение

1
2
SW1(config)#snmp contact NOC
SW1(config)#snmp location LAB-RACK-1

Эти параметры отображаются в данных агента и помогают идентифицировать устройство в системе мониторинга.

Шаг 4: Включите trap-сообщения и историю

1
2
3
SW1(config)#snmp auth-trap enable
SW1(config)#snmp trap-history enable
SW1(config)#snmp trap-history 1024

Команды включают уведомления об ошибках аутентификации и сохраняют историю trap-сообщений в буфере на 1024 записи.

Шаг 5: Создайте community только для чтения

1
SW1(config)#snmp community MONITOR ro view internet

Команда создает SNMPv2c community с доступом только на чтение и привязкой к представлению internet.

Шаг 6: Укажите сервер trap-сообщений

1
SW1(config)#snmp trap-server 172.16.3.100 MONITOR v2

Коммутатор начнет отправлять SNMPv2 trap-сообщения на адрес 172.16.3.100.

Шаг 7: Проверьте параметры агента

1
2
3
4
5
6
7
SW1#show snmp agent
SNMP agent:
  location is LAB-RACK-1
  contact is NOC
  auth-failure trap is enable
  Local EngineID:80000EDF03B4E02500764B
  sysObjectID:1.3.6.1.4.1.3087.1.575219

Проверьте location, contact и состояние auth-failure trap.

Шаг 8: Проверьте community и представление

1
2
3
4
5
6
7
8
9
SW1#show snmp community
  Community                                                                                 Privilege  Status  Filter View
  $9$518h$de81b856bb511002e2b7f2ea09b7a73c                                                  ro         VALID   N/A    internet

SW1#show snmp view
View                             Type      OidTree                         Mask
internet                         included  1.3.6                           all-1
internet                         excluded  1.3.6.1.6.3.15                  all-1
internet                         excluded  1.3.6.1.6.3.16                  all-1

Убедитесь, что privilege установлен в ro, статус - VALID, а view совпадает с требуемым.

Шаг 9: Проверьте сервер trap-сообщений и статистику

1
2
3
4
5
6
SW1#show snmp trap-server
  IP-Address                                Port  Ver Status   Level Name                              VPN
  172.16.3.100                              162   V2  active   None  $9$C150$bfc4a73cf6e1c866e2b7f2ea09b7a73c

SW1#show snmp statistic
  snmpOutTraps : 1

Статус active подтверждает наличие записи, а snmpOutTraps : 1 показывает факт отправки trap-сообщения.

Пошаговые инструкции для SNMPv3

Шаг 1: Включите SNMPv3

1
SW2(config)#snmp version v3

Команда переводит агент в режим SNMPv3.

Шаг 2: Задайте контакт, местоположение и историю trap-сообщений

1
2
3
4
5
SW2(config)#snmp contact NOC
SW2(config)#snmp location LAB-RACK-1
SW2(config)#snmp auth-trap enable
SW2(config)#snmp trap-history enable
SW2(config)#snmp trap-history 1024

Этот набор команд повторяет общие параметры агента и локальную регистрацию trap-сообщений.

Шаг 3: Создайте группу и пользователя

1
2
SW2(config)#snmp group NMSGRP read-view internet write-view internet notify-view internet
SW2(config)#snmp user NMSUSER group NMSGRP auth sha AUTHPASS123 priv aes PRIVPASS123

Группа определяет доступ к представлениям, а пользователь задает параметры аутентификации и шифрования.

Шаг 4: Укажите сервер trap-сообщений

1
SW2(config)#snmp trap-server 172.16.3.100 NMSUSER v3

Команда настраивает отправку SNMPv3 trap-сообщений с использованием пользователя NMSUSER.

Шаг 5: Проверьте группу, пользователя и сервер trap-сообщений

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
SW2#show snmp group
Group                             ReadView                          WriteView                         NotifyView
NMSGRP                            internet                          internet                          internet

SW2#show snmp user
User                             Group                            Auth    Priv    Filter
NMSUSER                          NMSGRP                           SHA     AES      N/A

SW2#show snmp trap-server
  IP-Address                                Port  Ver Status   Level Name                              VPN
  172.16.3.100                              162   V3  active   None  $9$OUE9$8a9625b9ce47c5f402cb552b90c31ed6

Проверьте соответствие группы, алгоритмов SHA/AES и версии V3.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
configure
snmp version v2
snmp contact NOC
snmp location LAB-RACK-1
snmp auth-trap enable
snmp trap-history enable
snmp trap-history 1024
snmp community MONITOR ro view internet
snmp trap-server 172.16.3.100 MONITOR v2
end

Альтернативный вариант для SNMPv3:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
configure
snmp version v3
snmp contact NOC
snmp location LAB-RACK-1
snmp auth-trap enable
snmp trap-history enable
snmp trap-history 1024
snmp group NMSGRP read-view internet write-view internet notify-view internet
snmp user NMSUSER group NMSGRP auth sha AUTHPASS123 priv aes PRIVPASS123
snmp trap-server 172.16.3.100 NMSUSER v3
end

Вывод show running-config:

1
2
3
4
5
6
!
snmp location LAB-RACK-1
snmp contact NOC
snmp community $9$97Y8$f4da57a20460f598e2b7f2ea09b7a73c ro cipher view internet
snmp trap-server 172.16.3.100 162 $9$97Y8$f4da57a20460f598e2b7f2ea09b7a73c v2
!

Для SNMPv3:

1
2
3
4
5
6
7
!
snmp location LAB-RACK-1
snmp contact NOC
snmp trap-server 172.16.3.100 162 $9$QZhw$43e7a3a78f38977a02cb552b90c31ed6 v3
snmp group NMSGRP read-view internet write-view internet notify-view internet
snmp user NMSUSER group NMSGRP auth sha 0x8371fe6e48aea0c65a3c679917d3fe3cab282ebc priv aes 0xe10aec46f1a5fd493850ef7018f11ff0
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

1
SW1#show running-config

Обратите внимание на строки:

  • snmp community ... ro cipher view internet - наличие community, режима доступа и представления
  • snmp trap-server 172.16.3.100 162 ... v2 - адрес, порт и версия trap-сервера
  • snmp group NMSGRP read-view internet write-view internet notify-view internet - состав группы SNMPv3
  • snmp user NMSUSER group NMSGRP auth sha ... priv aes ... - параметры пользователя SNMPv3

Просмотр параметров работы

Состояние SNMP-агента:

1
2
3
4
5
6
7
SW1#show snmp agent
SNMP agent:
  location is LAB-RACK-1
  contact is NOC
  auth-failure trap is enable      <---- проверка отправки trap при ошибке аутентификации
  Local EngineID:80000EDF03B4E02500764B
  sysObjectID:1.3.6.1.4.1.3087.1.575219

Проверка сервера trap-сообщений:

1
2
3
SW1#show snmp trap-server
  IP-Address                                Port  Ver Status   Level Name                              VPN
  172.16.3.100                              162   V2  active   None  $9$C150$bfc4a73cf6e1c866e2b7f2ea09b7a73c   <---- сервер активен

Проверка истории trap-сообщений:

1
2
3
4
5
6
7
8
9
SW1#show snmp trap-history

Snmp trap history information:
Size:1024
Current number:406
Total number:0/406
State:enable                      <---- история включена
Index    Descr-ID Time(H:M:S)     Value
1        29       0:00:32         ...

Проверка статистики SNMP:

1
2
3
4
5
6
7
SW1#show snmp statistic
  snmpInBadCommunityNames : 0
  snmpInBadCommunityUses : 0
  snmpOutTraps : 1                <---- trap-сообщение отправлено
  usmStatsUnknownUserNames : 0
  usmStatsWrongDigests : 0
  usmStatsDecryptionErrors : 0

Рекомендации выполнения команд и настроек

Выбор версии

  • Используйте SNMPv3 для производственной сети и удаленных сегментов управления.
  • SNMPv2c оставляйте для закрытых контуров, где риск перехвата минимален.

Ограничение области доступа

  • Привязывайте community, группы и уведомления к представлению internet или более узкому представлению.
  • Избегайте доступа ко всему дереву OID без необходимости.

Настройка trap-сообщений

  • Включайте snmp auth-trap enable, если нужно фиксировать попытки доступа с неверными параметрами.
  • Проверяйте show snmp trap-server и show snmp statistic сразу после настройки.

Контроль истории trap-сообщений

  • Включайте snmp trap-history enable на этапах ввода в эксплуатацию и диагностики.
  • Увеличенный буфер полезен при нестабильной связи с NMS или при разборе инцидентов.

Проверка SNMPv3

  • После создания пользователя проверяйте Auth и Priv через show snmp user.
  • Несовпадение алгоритмов или ключей обычно проявляется ростом usmStatsWrongDigests и usmStatsDecryptionErrors.

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Версия ПО

По предоставленным данным командами SNMPv2c и SNMPv3 можно пользоваться как минимум начиная с ПО V1.0.2, где уже доступны группы, пользователи, trap-серверы и журнал истории trap-сообщений.

Ссылка на внешнюю документацию

Стандарт

Для общей модели данных и формата объектов MIB используйте:

  • RFC 3411 - An Architecture for Describing SNMP Management Frameworks
  • RFC 3414 - User-based Security Model (USM) for SNMPv3
  • RFC 3418 - Management Information Base (MIB) for SNMP

При возникновении вопросов обратитесь к технической поддержке.