Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Implémentation d'amélioration de caractéristique SNMP ASA

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit les nouvelles caractéristiques de Protocole SNMP (Simple Network Management Protocol) qui sont disponibles pour le Pare-feu de gamme 5500-X de l'appliance de sécurité adaptable Cisco (ASA) dans la version de logiciel 9.1.5 et les versions 9.2.(1) et plus tard.

Contribué par Dinkar Sharma, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur le Pare-feu de gamme 5500-X de Cisco ASA qui exécute la version de logiciel 9.1.5 et les versions de ® de Cisco ASA 9.2.(1) et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Dans des versions 9.1.5 et 9.2.1 ASA, ces améliorations SNMP sont introduites :

  • Le soutien de 128 hôtes SNMP est ajouté.

  • Le soutien des identifiants d'objet SNMP cpmCPUTotal5minRev (OID) est ajouté.

  • Le soutien des messages SNMP 1,472-byte est ajouté.

Soutien de 128 hôtes SNMP

Cette caractéristique permet à l'ASA pour prendre en charge plus que le courant 32 hôtes SNMP.

But

Actuellement, l'ASA a une limite dure de total de 32 hôtes SNMP. Ceci inclut les hôtes qui peuvent être configurés pour des déroutements et pour le vote. Les sections suivantes décrivent les affects que cette caractéristique a sur des modes simples et de multi-contexte.

Mode de contexte unique

  • Permet de manière significative un nombre supérieur d'entrées (hôtes de total) à configurer, vers le haut de 4,096. Cependant, hors de ces entrées, seulement 128 peuvent être utilisés pour des déroutements.

  • Pour les raisons de configuration de vote, on permet à jusqu'à 4,096 hôtes de vote et 128 hôtes de déroutement pour être configuré. Cependant, le nombre réel de serveurs qui votent le système devraient être limités à moins de 128, car les incidences des performances d'un nombre supérieur d'hôtes sont inconnues et non prises en charge.

Mode de Multi-contexte

  • Pour des raisons de configuration, on permet jusqu'à 4,000 hôtes par contexte et au niveau système une limite de 64,000 hôtes totaux est imposée.

  • Du total des hôtes configurés, seulement 128 (par contexte) peuvent être utilisés pour des déroutements, et la limite de système global pour des déroutements en mode de multi-contexte est 32,000.

  • Bien que vous puissiez configurer jusqu'à 4,000 hôtes totaux par contexte, le nombre réel de serveurs qui votent n'importe quel contexte devrait être limité à 128.

Description

Vous pourriez préférer surveiller les périphériques de réseau d'un grand groupe d'hôtes SNMP. Dans le meilleur des cas, vous voulez la capacité de spécifier une plage IP et/ou un sous-réseau des adresses IP qui sont permises pour surveiller les périphériques de réseau. L'ASA actuellement ne fournit pas que flexibilité et limite les hôtes SNMP de maximum à 32.

Le soutien de cette caractéristique implique deux aspects :

  • Fournissez la capacité pour que l'ASA manipule jusqu'à 128 hôtes SNMP.

  • Fournissez les commandes de configuration requises de sorte que vous puissiez configurer de manière significative un nombre supérieur d'hôtes, comme détaillé dans la section précédente par l'intermédiaire d'une commande simple.

La conception en cours sur l'ASA est telle que différents hôtes peuvent être configurés par l'intermédiaire du CLI. Pour cette caractéristique, ces conditions requises de conception supplémentaires ont été considérées :

  • L'introduction de la commande CLI de groupe hôte de serveur SNMP avec la conservation de commande CLI de snmp-server host.

  • La capacité pour que les entrées proviennent le groupe hôte et le snmp-server host CLI de serveur SNMP commande.

  • Pour le SNMP version 3, l'introduction de la commande CLI d'userlist de serveur SNMP avec la conservation de commande CLI de snmp-server user.

  • Une superposition de configuration doit également être prise en charge. Par exemple, les plusieurs instructions de groupe hôte peuvent être données avec les hôtes qui superposent dans les objets de réseau. De même, vous pouvez spécifier un hôte avec une adresse IP qui des superpositions avec les hôtes en cours ou le groupe hôte. Ceci fournit un mécanisme qui peut être utilisé afin de remplacer les paramètres pour quelques hôtes dans un groupe, sans nécessité de modifier le groupe complet.

Quelques restrictions et mises en garde de logiciel qui sont associées avec cette configuration sont : 

  • Comme partie de l'ordre de groupe hôte de serveur SNMP, le par défaut est balayage si [déroutement|le balayage] n'est pas spécifié. Il est également important de noter que pour cette commande, les déroutements et l'interrogation ne peuvent pas être activés pour le même groupe hôte. Si ceci est exigé, Cisco recommande que vous utilisiez la commande de snmp-server host pour les hôtes appropriés.

  • Vous pouvez spécifier les objets de réseau qui superposent dans différents ordres de groupe hôte. Les valeurs qui sont spécifiées au dernier groupe hôte les prend effet pour l'ensemble commun d'hôtes dans les différents objets de réseau.

Voici un exemple :

object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55

snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List

Sélectionnez la commande de snmp-server host d'exposition afin de visualiser des entrées de hôte :

asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside  poll version 3 cisco1
host ip = 64.103.236.37, interface = inside  poll version 3 cisco1
host ip = 64.103.236.38, interface = inside  poll version 3 cisco1
host ip = 64.103.236.39, interface = inside  poll version 3 cisco1
host ip = 64.103.236.40, interface = inside  poll version 3 cisco1
host ip = 64.103.236.41, interface = inside  poll version 3 cisco1
host ip = 64.103.236.42, interface = inside  poll version 3 cisco1
host ip = 64.103.236.43, interface = inside  poll version 3 cisco1
host ip = 64.103.236.44, interface = inside  poll version 3 cisco1
host ip = 64.103.236.45, interface = inside  poll version 3 cisco1
host ip = 64.103.236.46, interface = inside  poll version 3 cisco1
host ip = 64.103.236.47, interface = inside  poll version 3 cisco1
host ip = 64.103.236.48, interface = inside  poll version 3 cisco1
host ip = 64.103.236.49, interface = inside  poll version 3 cisco1
host ip = 64.103.236.50, interface = inside  poll version 3 cisco1
host ip = 64.103.236.51, interface = inside  poll version 3 cisco1
host ip = 64.103.236.52, interface = inside  poll version 3 cisco1
host ip = 64.103.236.53, interface = inside  poll version 3 cisco1
host ip = 64.103.236.54, interface = inside  poll version 3 cisco1
host ip = 64.103.236.55, interface = inside  poll version 3 cisco1

Voici quelques informations importantes au sujet de l'utilisation de cette caractéristique :

  • Si un groupe hôte ou un hôte qui superposent avec d'autres groupes hôte est supprimé, les hôtes sont installés de nouveau avec les valeurs qui sont utilisées pour les groupes hôte configurés.

  • Les valeurs ou les paramètres qui sont associés avec les hôtes dépendent de la commande que les commandes sont exécutées.

  • La liste des utilisateurs qui est configurée ne peut pas être supprimée si la liste est utilisée par un groupe d'hôte spécifique.

  • L'utilisateur SNMP ne peut pas être supprimé si l'utilisateur est mentionné à une liste des utilisateurs particulière.

  • Un objet de réseau ne peut pas être supprimé s'il est utilisé par la commande CLI de groupe hôte.

Configurez

Utilisez les informations qui sont décrites dans cette section afin de configurer l'ASA de sorte que cette nouvelle caractéristique soit mise en application.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Commandes CLI

Pour le SNMP version 3, l'administrateur peut associer de divers utilisateurs avec un groupe spécifié de serveurs. C'est utile si l'administrateur veut qu'un ensemble d'utilisateurs ait la capacité d'accéder à l'ASA d'un groupe d'hôtes. Cette commande CLI est utilisée afin de configurer une liste des utilisateurs pour des plusieurs utilisateurs :

ASA(config)# [no] snmp-server user-list <list_name> username <user_name>

Afin d'associer la liste des utilisateurs avec un groupe hôte, sélectionnez cette commande dans le CLI :

[no] snmp-server host-group <interface> <network-object> [trap|poll]
[community [enc_type] <text>] [version {1 | 2c | 3 [user name | user-list
<list-name>]}] [udp-port <port_number>]
 

Avec cette commande simple, vous pouvez spécifier un objet de réseau afin d'indiquer les plusieurs hôtes qui devraient être ajoutés. Avec l'objet de réseau, vous pouvez spécifier un masque de sous-réseau ou la plage des adresses IP qui devraient être ajoutées, avec l'utilisation d'une commande simple. Toutes les adresses IP qui sont répertoriées pendant qu'une partie de l'objet de réseau sont ajoutées comme entrées de hôte SNMP. De même, pour chacun des utilisateurs qui sont spécifiés dans la liste des utilisateurs, il y a une entrée de hôte distincte SNMP.

Ces commandes sont utilisées afin de permettre à des administrateurs pour effacer et visualiser les nouvelles options de configuration pour les serveurs SNMP :

  • l'espace libre configurent la liste des utilisateurs de serveur SNMP
  • l'espace libre configurent le groupe hôte de serveur SNMP
  • liste des utilisateurs de serveur SNMP de show running-config
  • groupe hôte de serveur SNMP de show running-config

Exemple de configuration

Terminez-vous ces étapes afin d'utiliser les nouvelles options de groupe SNMP et créer un groupe d'hôte de serveur SNMP pour l'interrogation de version 2c :

  1. Créez un objet de réseau :
    asa(config)# object network network1
    asa(config-network-object)# range 64.103.236.40 64.103.236.50
  2. Définissez le groupe hôte SNMP :
    asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
  3. Définissez le groupe de SNMP version 3 :
    asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
  4. Attachez les groupes aux utilisateurs :
    asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
    asa(config)#snmp-server user-list SNMP-List username cisco1
    asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List

 Cette image illustre les modifications qui sont apportées chez le Cisco Adaptive Security Device Manager (ASDM) :

Soutien de SNMP OID cpmCPUTotal5minRev

Cette caractéristique permet à l'ASA pour prendre en charge SNMP OID cpmCPUTotal5minRev.

But

Cette caractéristique ajoute le soutien de cpmCPUTotal5minRev et de cpmCPUTotal1minRev OID sur l'ASA et désapprouve les OID actuellement-pris en charge cpmCPUTotal5min et cpmCPUTotal1min. Le but de ces OID est de surveiller l'utilisation du CPU. Les OID actuellement-pris en charge s'étendent de 1 à 100, alors que les OID nouveau-pris en charge s'étendent de 0 à 100. Par conséquent, le support a été ajouté pour de plus nouveaux OID, comme ils couvrent une plus grande plage.

Il est important de noter que puisque les OID désapprouvés (cpmCPUTotal5min et cpmCPUTotal1min) ne sont plus pris en charge sur l'ASA, si l'ASA est mis à jour et les OID désapprouvés sont votés, l'ASA ne renvoie aucune informations pour ces OID. Après qu'une mise à jour de l'ASA, vous soient maintenant exigées pour surveiller le cpmCPUTotal5minRev et le cpmCPUTotal1minRev pour l'utilisation du CPU.

Commandes CLI

Il n'y a aucune modification CLI introduite avec cette nouvelle configuration.

Nouveaux OID

Ce sont les nouveaux OID qui sont ajoutés avec cette configuration :

  • 1.3.6.1.4.1.9.9.109.1.1.1.1.7.  cpmCPUTotal1minRev
  • 1.3.6.1.4.1.9.9.109.1.1.1.1.8.  cpmCPUTotal5minRev

Soutien des messages SNMP 1,472-Byte

Les Plateformes ASA limitent la taille de paquet maximale pour des demandes SNMP à 512 octets. Quand vous exécutez une requête en vrac pour un grand nombre de MIB OID dans une demande simple SNMP, les minuteries de connexion SNMP et un Syslog d'erreur est générées sur l'ASA. RFC3417 suggère que la taille de paquet maximale pour des demandes SNMP devrait être de 1,472 octets. C'est la taille de la charge utile SNMP pour le paquet. Supplémentaire, l'en-tête Ethernet et la taille d'en-tête IP doivent être ajoutées afin de calculer la taille totale du paquet.

Remarque: Le contexte unique et les modes de contexte multiple sont pris en charge avec cette configuration.

Dépannez

Cette section fournit les informations que vous pouvez employer afin de dépanner des questions de système sur l'ASA.

Commandes show

Ces commandes show peuvent être utiles quand des tentatives sont faites pour dépanner des questions sur l'ASA :

  • groupe hôte de serveur SNMP de passage d'exposition d'asa#
    groupe hôte de serveur SNMP à l'intérieur de SNMP-liste de liste des utilisateurs de version 3 du balayage network1

  • liste des utilisateurs de serveur SNMP de passage d'exposition d'asa#
    nom d'utilisateur cisco1 de SNMP-liste de liste des utilisateurs de serveur SNMP

  • snmp-server host d'exposition d'asa#

Cette commande CLI affiche les entrées qui sont présentes dans la table d'adresse du serveur SNMP, qui inclut l'hôte et les configurations de groupe hôte :

asa(config)#show run object network
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
object network network3
range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside  poll version 3 cisco1
host ip = 64.103.236.37, interface = inside  poll version 3 cisco1
host ip = 64.103.236.38, interface = inside  poll version 3 cisco1
host ip = 64.103.236.39, interface = inside  poll version 3 cisco1
host ip = 64.103.236.40, interface = inside  poll version 3 cisco1
host ip = 64.103.236.41, interface = inside  poll version 3 cisco1
host ip = 64.103.236.42, interface = inside  poll version 3 cisco1

Comme affiché, ces commandes affichent tous les hôtes qui sont configurés par l'intermédiaire de l'ordre de groupe hôte. Vous pouvez employer cette commande afin de vérifier si toutes les entrées sont disponibles et croix-vérifier également les groupes hôte qui superposent.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118051