Протокол IP : Протокол SNMP

Как найти источник прерываний Cisco SNMP AuthenticationFailure

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ поможет вам определить IP-адрес, вызвавший прерывание authenticationFailure. Прерывание authenticationFailure говорит о том, что объект протокола-отправитель является адресатом сообщения протокола без надлежащей аутентификации. Это сообщение прерывания появляется, когда система управления сетью (NMS) опрашивает устройство с неверной строкой имени и пароля.

Предварительные условия

Требования

Для использования данного документа требуется знание следующих тем:

  • Определения MIB

  • Перехваты простого протокола управления сетью (SNMP)

  • Идентификаторы объекта (OID)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Весь Cisco выпуски ПО IOS� 11.x и 12. x

  • Все маршрутизаторы и коммутаторы Cisco

  • Операционная система Catalyst (CatOS) 6.3.1 для поддержки MIB Cisco Systems

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Ловушки AuthenticationFailure

Само trap-сообщение не является большой справкой без varbind authAddr, который идет с trap-сообщением. varbind является объектом дополнительного MIB, который прибывает из MIB Старого Cisco Systems. authAddr говорит вам последний IP-адрес сбоя авторизации SNMP. Вот оба определения MIB:

Определение MIB Количество 1

Это определение из CISCOTRAP-ОПРЕДЕЛЕНИЙ-MIB:

.1.3.6.1.2.1.11.0.4 
authenticationFailure OBJECT-TYPE
-- FROM CISCOTRAP-MIB 
TRAP 
VARBINDS { authAddr } 
DESCRIPTION "An authenticationFailure trap signifies that the sending protocol 
entity is the addressee of a protocol message that is not properly authenticated. 
While implementations of the SNMP must be capable of generating this trap, they 
must also be capable of suppressing the emission of such traps via an implementation- 
specific mechanism." 
::= { iso(1) org(3) dod(6) internet(1) mgmt(2) mib-2(1) snmp(11) snmp#(0) 4}

Определение MIB Количество 2

Это определение из Определений OLD-CISCO-SYSTEM-MIB:

.1.3.6.1.4.1.9.2.1.5 
authAddr OBJECT-TYPE 
-- FROM OLD-CISCO-SYSTEM-MIB 
SYNTAX IpAddress 
MAX-ACCESS read-only 
STATUS Mandatory 
DESCRIPTION "This variable contains the last SNMP 
authorization failure IP address."
::= { ISO(1) org(3) DOD(6) Internet(1) private(4) enterprises(1) cisco(9) local(2) 
  lsystem(1) 5 }

MIB общих прерываний Cisco

Необходимо загрузить MIB Общих Trap-сообщений Cisco в системе NMS для надлежащего форматирования trap-сообщения. Кроме того, у вас должен быть весь импорт, перечисленный наверху MIB Общего Trap-сообщения Cisco, прежде чем можно будет скомпилировать MIB Общих Trap-сообщений Cisco. Вот список:

IMPORTS 
  sysUpTime, ifIndex, ifDescr, ifType, egpNeighAddr, 
  tcpConnState 
  FROM RFC1213-MIB
  cisco
  FROM CISCO-SMI 
  whyReload, authAddr 
  FROM OLD-CISCO-SYSTEM-MIB 
  locIfReason 
  FROM OLD-CISCO-INTERFACES-MIB 
  tslineSesType, tsLineUser 
  FROM OLD-CISCO-TS-MIB
  loctcpConnElapsed, loctcpConnInBytes, loctcpConnOutBytes
  FROM OLD-CISCO-TCP-MIB
  TRAP-TYPE
  FROM RFC-1215;

После компиляции всех корректных определений MIB trap-сообщение похоже на это:

Oct 18 16:54:04 nms-server2 snmptrapd[415]: 10.29.4.1: Authentication Failure 
  Trap (0) Uptime: 148 days, 19:19:06.60,

enterprises.cisco.local.lsystem.authAddr.0 = IpAddress: 172.18.123.63

Oct 18 16:54:05 nms-server2 snmptrapd[415]: 10.29.4.1: Authentication Failure 
  Trap (0) Uptime: 148 days, 19:19:07.61,

enterprises.cisco.local.lsystem.authAddr.0 = IpAddress: 172.18.123.63

Вы видите, что 172.18.123.63 опрашивает 10.29.4.1 с неверной строкой имени и пароля. Если эта система является той, которая должна опросить 10.29.4.1 устройства, необходимо заняться расследованиями 172.18.123.63 для определения, почему система использует неверный строковый пароль. Затем измените сообщество на корректную строку имени и пароля. Если система не является известным NMS, проблема может состоять в том, что что-то пытается взломать устройство через SNMP.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 19003