Configuración de SNMP en dispositivos Firepower NGFW
Contenido
Introducción
Este documento describe cómo configurar y resolver problemas de protocolo simple de administración de red (SNMP) en los appliances de defensa frente a amenazas de última generación (NGFW) Firepower (FTD).
Prerequisites
Requirements
Este documento requiere conocimientos básicos del protocolo SNMP.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Los appliances NGFW Firepower se pueden dividir en dos subsistemas principales:
- El sistema operativo ampliable FirePOWER (FX-OS) controla el hardware del chasis.
- Firepower Threat Defense (FTD) se ejecuta en el módulo.
FTD es un software unificado que consta de 2 motores principales, el motor Snort y el motor LINA. El motor SNMP actual del FTD deriva del ASA clásico y tiene visibilidad de las funciones relacionadas con LINA.
FX-OS y FTD tienen planos de control independientes y, con fines de supervisión, tienen diferentes motores SNMP. Cada uno de los motores SNMP proporciona información diferente y puede que le interese monitorear ambos para obtener una vista más completa del estado del dispositivo.
Desde el punto de vista del hardware, actualmente hay dos arquitecturas principales para los appliances Firepower NGFW: Firepower serie 2100 y Firepower serie 4100/9300.
Los dispositivos Firepower 4100/9300 tienen una interfaz dedicada para la administración de dispositivos y éste es el origen y el destino del tráfico SNMP dirigido al subsistema FXOS. Por otra parte, la aplicación FTD utiliza una interfaz LINA (datos y/o diagnóstico). En las versiones posteriores a 6.6 FTD, la interfaz de administración FTD también se puede utilizar) para la configuración SNMP.
El motor SNMP en los appliances Firepower 2100 utiliza la interfaz de administración FTD y la IP. El dispositivo en sí puentea el tráfico SNMP recibido en esta interfaz y lo reenvía al software FXOS.
En los FTD que utilizan la versión de software 6.6+, se introdujeron estos cambios:
- SNMP sobre la interfaz de administración.
- En las plataformas FPR1000 o FPR2100 Series, unifica SNMP LINA y FXOS en esta única interfaz de administración. Además, proporciona un único punto de configuración en FMC bajo Configuración de plataforma > SNMP.
Configurar
Chasis (FXOS) SNMP en FPR4100/FPR9300
Configuración de FXOS SNMPv1/v2c a través de la GUI
Paso 1. Abra la interfaz de usuario de Firepower Chassis Manager (FCM) y vaya a la ficha Configuración de plataforma > SNMP. Marque la casilla SNMP enable, especifique la cadena de comunidad que se utilizará en las solicitudes SNMP y Save.
Paso 2. Configure el servidor de destino de trampas SNMP.
El host se puede definir como dirección IP o por nombre. Seleccione OK y la configuración del servidor de trampa SNMP se guarda automáticamente. No es necesario seleccionar el botón Guardar de la página principal SNMP. Lo mismo ocurre cuando se elimina un host.
Configuración de FXOS SNMPv1/v2c mediante la interfaz de línea de comandos (CLI)
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring* # set snmp community Enter a snmp community: ksec-fpr9k-1-A /monitoring* # enter snmp-trap 192.168.10.100 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v2c ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
Configuración de FXOS SNMPv3 a través de la GUI
Paso 1. Abra FCM y navegue hasta la ficha Configuración de plataforma > SNMP.
Paso 2. Para SNMP v3 no hay necesidad de establecer ninguna cadena de comunidad en la sección superior. Todos los usuarios creados pueden ejecutar correctamente consultas al motor SNMP FXOS. El primer paso es habilitar SNMP en la plataforma. Una vez hecho, puede crear los usuarios y el host de trampa de destino. Tanto los usuarios SNMP como los hosts de trampa SNMP se guardan automáticamente.
Paso 3. Como se muestra en la imagen, agregue el usuario SNMP. El tipo de autenticación siempre es SHA pero puede utilizar AES o DES para el cifrado:
Paso 4. Agregue el host de trampa SNMP, como se muestra en la imagen:
Configuración de FXOS SNMPv3 mediante CLI
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring # create snmp-user user1 Password: ksec-fpr9k-1-A /monitoring/snmp-user* # set auth sha ksec-fpr9k-1-A /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: ksec-fpr9k-1-A /monitoring/snmp-user* # set aes-128 yes ksec-fpr9k-1-A /monitoring/snmp-user* # exit ksec-fpr9k-1-A /monitoring* # enter snmp-trap 10.48.26.190 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v3 ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
FTD (LINA) SNMP en FPR4100/FPR9300
Cambios en las versiones 6.6+
- En las versiones posteriores a la 6.6, también tiene la opción de utilizar la interfaz de administración de FTD para sondeos y trampas.
La función SNMP Single IP management se soporta a partir de 6.6 en todas las plataformas FTD:
- FPR2100
- FPR1000
- FPR4100
- FPR9300
- ASA5500 que ejecuta FTD
- FTDv
Configuración de LINA SNMPv2c
Paso 1. En la interfaz de usuario de FMC, navegue hasta Dispositivos > Configuración de plataforma > SNMP. Verifique la opción "Habilitar servidores SNMP" y configure los parámetros SNMPv2 de la siguiente manera:
Paso 2. En la ficha Hosts, seleccione el botón Add y especifique la configuración del servidor SNMP:
También puede especificar la interfaz de diagnóstico como origen para los mensajes SNMP. La interfaz de diagnóstico es una interfaz de datos que sólo permite el tráfico de forma inmediata y desde el propio dispositivo (sólo gestión).
Esta imagen es de la versión 6.6 y utiliza el tema ligero.
Además, en las versiones de FTD posteriores a la 6.6 también puede elegir la interfaz de administración:
Si se selecciona la nueva interfaz de administración, el SNMP de LINA está disponible a través de la interfaz de administración.
El resultado:
Configuración de LINA SNMPv3
Paso 1. En la interfaz de usuario de FMC, navegue hasta Dispositivos > Configuración de plataforma > SNMP. Verifique la opción Enable SNMP Servers y configure SNMPv3 User and Host:
Paso 2. Configure el host también para recibir trampas:
Paso 3. Las trampas que desea recibir se pueden seleccionar en la sección Trampas SNMP:
SNMP en FPR2100
En los sistemas FPR2100, no hay FCM. La única manera de configurar SNMP es a través de FMC.
SNMP de chasis (FXOS) en FPR2100
A partir de FTD 6.6+, también tiene la opción de utilizar la interfaz de administración FTD para SNMP. En este caso, tanto la información de SNMP de FXOS como de LINA se transfieren a través de la interfaz de administración de FTD.
Configuración de FXOS SNMPv1/v2c
Abra la interfaz de usuario de FMC y navegue hasta Dispositivos > Administración de dispositivos. Seleccione el dispositivo y seleccione SNMP:
Cambio en FTD 6.6+
Puede especificar la interfaz de administración de FTD:
Dado que la interfaz de administración también se puede configurar para SNMP, la página muestra este mensaje de advertencia:
La configuración de configuración de SNMP de la plataforma de dispositivo en esta página se desactivará si la configuración de SNMP se configura con la interfaz de administración de dispositivos a través de Dispositivos > Configuración de la plataforma (Defensa de amenazas) > SNMP > Hosts.
Configuración de FXOS SNMPv3
Abra la interfaz de usuario de FMC y navegue hasta Elegir dispositivos > Administración de dispositivos. Seleccione el dispositivo y seleccione SNMP.
FTD (LINA) SNMP en FPR2100
- Para las versiones anteriores a la 6.6, la configuración SNMP de LINA FTD en los dispositivos FTD FP1xxx/FP21xx es idéntica a una FTD en los appliances Firepower 4100 o 9300.
Versiones de FTD 6.6+
- En las versiones posteriores a la 6.6 también tiene la opción de utilizar la interfaz de administración de FTD para las encuestas y trampas de LINA.
Si se selecciona la nueva interfaz de administración:
- LINA SNMP está disponible en la interfaz de administración.
- En Devices > Device Management la pestaña SNMP está inhabilitada porque ya no es necesaria. Se muestra un banner de notificación. La ficha del dispositivo SNMP sólo estaba visible en las plataformas 2100/1100. Esta página no existe en las plataformas FPR9300/FPR4100 y FTD55xx.
Una vez configurada, una información de trampa/sondeo SNMP de LINA SNMP + FXOS (en FP1xxx/FP2xxx) combinada se encuentra sobre la interfaz de administración de FTD.
La función SNMP Single IP management se soporta a partir de 6.6 en todas las plataformas FTD:
- FPR2100
- FPR1000
- FPR4100
- FPR9300
- ASA5500 que ejecuta FTD
- FTDv
Para obtener más detalles, consulte Configuración de SNMP para Threat Defense
Verificación
Verifique FXOS SNMP para FPR4100/FPR9300
Verificaciones FXOS SNMPv2c
Verificación de la configuración CLI:
ksec-fpr9k-1-A /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: Yes
Sys Contact:
Sys Location:
ksec-fpr9k-1-A /monitoring # show snmp-trap
SNMP Trap:
SNMP Trap Port Community Version V3 Privilege Notification Type
------------------------ -------- ---------- ------- ------------ -----------------
192.168.10.100 162 V2c Noauth Traps
Desde el modo FXOS:
ksec-fpr9k-1-A(fxos)# show run snmp !Command: show running-config snmp !Time: Mon Oct 16 15:41:09 2017 version 5.0(3)N2(4.21) snmp-server host 192.168.10.100 traps version 2c cisco456 snmp-server enable traps callhome event-notify snmp-server enable traps callhome smtp-send-fail … All traps will appear as enable … snmp-server enable traps flexlink ifStatusChange snmp-server context mgmt vrf management snmp-server community cisco123 group network-operator
Comprobaciones adicionales:
ksec-fpr9k-1-A(fxos)# show snmp host ------------------------------------------------------------------- Host Port Version Level Type SecName ------------------------------------------------------------------- 192.168.10.100 162 v2c noauth trap cisco456 -------------------------------------------------------------------
ksec-fpr9k-1-A(fxos)# show snmp Community Group / Access context acl_filter --------- -------------- ------- ---------- cisco123 network-operator
...
Probar solicitudes SNMP
Realice una solicitud SNMP desde un host válido:
Confirmar generación de trampa
Puede utilizar flap una interfaz con ethanalyzer habilitado para confirmar que las trampas SNMP se generan y se envían a los hosts de trampa definidos:
ksec-fpr9k-1-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" Capturing on eth0 wireshark-broadcom-rcpu-dissector: ethertype=0xde08, devicetype=0x0 2017-11-17 09:01:35.954624 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap 2017-11-17 09:01:36.054511 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap
Verificaciones de FXOS SNMPv3
Paso 1. Open FCM UI Platform Settings > SNMP > User muestra si hay alguna contraseña y contraseña de privacidad configuradas:
Paso 2. En la CLI puede verificar la configuración SNMP bajo el monitoreo de alcance:
ksec-fpr9k-1-A /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: No
Sys Contact:
Sys Location:
ksec-fpr9k-1-A /monitoring # show snmp-user
SNMPv3 User:
Name Authentication type
------------------------ -------------------
user1 Sha
ksec-fpr9k-1-A /monitoring # show snmp-user detail
SNMPv3 User:
Name: user1
Authentication type: Sha
Password: ****
Privacy password: ****
Use AES-128: Yes
ksec-fpr9k-1-A /monitoring # show snmp-trap
SNMP Trap:
SNMP Trap Port Community Version V3 Privilege Notification Type
------------------------ -------- ---------- ------- ------------ -----------------
192.168.10.100 162 V3 Priv Traps
Paso 3. En el modo FXOS puede expandir la configuración SNMP y los detalles:
ksec-fpr9k-1-A(fxos)# show running-config snmp all
…
snmp-server user user1 network-operator auth sha 0x022957ee4690a01f910f1103433e4b7b07d4b5fc priv aes-128 0x022957ee4690a01f910f1103433e4b7b07d4b5fc localizedkey
snmp-server host 192.168.10.100 traps version 3 priv user1
ksec-fpr9k-1-A(fxos)# show snmp user
______________________________________________________________
SNMP USERS
______________________________________________________________
User Auth Priv(enforce) Groups
____ ____ _____________ ______
user1 sha aes-128(yes) network-operator
______________________________________________________________
NOTIFICATION TARGET USERS (configured for sending V3 Inform)
______________________________________________________________
User Auth Priv
____ ____ ____
ksec-fpr9k-1-A(fxos)# show snmp host
-------------------------------------------------------------------
Host Port Version Level Type SecName
-------------------------------------------------------------------
10.48.26.190 162 v3 priv trap user1
-------------------------------------------------------------------
Probar solicitudes SNMP
Puede verificar la configuración y realizar una solicitud SNMP desde cualquier dispositivo con capacidades SNMP:
Para verificar cómo se procesa la solicitud SNMP, puede utilizar el debug SNMP:
ksec-fpr9k-1-A(fxos)# debug snmp pkt-dump ksec-fpr9k-1-A(fxos)# 2017 Oct 16 17:11:54.681396 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2 = NULL SNMPPKTEND 2017 Oct 16 17:11:54.681833 snmpd: SNMPPKTSTRT: 3.000000 161 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89 2017 Oct 16 17:11:54.683952 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2.83886080 = STRING: "mgmt0" SNMPPKTEND 2017 Oct 16 17:11:54.684370 snmpd: SNMPPKTSTRT: 3.000000 162 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89
Verifique FXOS SNMP para FPR2100
Verificaciones de FXOS SNMPv2
Verifique la configuración a través de CLI:
FP2110-4 /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: Yes Sys Contact: Sys Location: FP2110-4 /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Version V3 Privilege Notification Type ------------------------ -------- ------- ------------ ----------------- 10.48.26.190 162 V2c Noauth Traps
Confirmar el comportamiento SNMP
Puede verificar que puede sondear FXOS y enviar una solicitud SNMP desde un host o cualquier dispositivo con capacidades SNMP:
Utilice el comando capture-traffic para ver la solicitud y respuesta SNMP:
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 13:50:50.521383 IP 10.48.26.190.42224 > FP2110-4.snmp: C=cisco123 GetNextRequest(29) interfaces.ifTable.ifEntry.ifDescr 13:50:50.521533 IP FP2110-4.snmp > 10.48.26.190.42224: C=cisco123 GetResponse(32) interfaces.ifTable.ifEntry.ifDescr.1=[|snmp] ^C Caught interrupt signal Exiting. 2 packets captured 2 packets received by filter 0 packets dropped by kernel
Verificaciones de FXOS SNMPv3
Verifique la configuración a través de CLI:
FP2110-4 /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: No
Sys Contact:
Sys Location:
FP2110-4 /monitoring # show snmp-user detail
SNMPv3 User:
Name: user1
Authentication type: Sha
Password: ****
Privacy password: ****
Use AES-128: Yes
FP2110-4 /monitoring # show snmp-trap detail
SNMP Trap:
SNMP Trap: 10.48.26.190
Port: 163
Version: V3
V3 Privilege: Priv
Notification Type: Traps
Confirme el comportamiento SNMP:
Envíe una solicitud SNMP para verificar que puede sondear el FXOS:
Además, puede capturar la solicitud:
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 14:07:24.016590 IP 10.48.26.190.38790 > FP2110-4.snmp: F=r U= E= C= [|snmp] 14:07:24.016851 IP FP2110-4.snmp > 10.48.26.190.38790: F= [|snmp][|snmp] 14:07:24.076768 IP 10.48.26.190.38790 > FP2110-4.snmp: F=apr [|snmp][|snmp] 14:07:24.077035 IP FP2110-4.snmp > 10.48.26.190.38790: F=ap [|snmp][|snmp] ^C4 packets captured Caught interrupt signal Exiting. 4 packets received by filter 0 packets dropped by kernel
Verificar SNMP FTD
Para verificar la configuración de FTD LINA SNMP:
Firepower-module1# show run snmp-server snmp-server host OUTSIDE3 10.62.148.75 community ***** version 2c no snmp-server location no snmp-server contact snmp-server community *****
En el FTD posterior a 6.6 puede configurar y utilizar la interfaz de administración FTD para SNMP:
firepower# show running-config snmp-server snmp-server group Priv v3 priv snmp-server group NoAuth v3 noauth snmp-server user uspriv1 Priv v3 engineID 80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 encrypted auth sha256 6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05:82:be:30:88:86:19:3c:96:42:3b :98:a5:35:1b:da:db priv aes 128 6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05 snmp-server user usnoauth NoAuth v3 engineID 80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 snmp-server host ngfw-management 10.225.126.168 community ***** version 2c snmp-server host ngfw-management 10.225.126.167 community ***** snmp-server host ngfw-management 10.225.126.186 version 3 uspriv1 no snmp-server location no snmp-server contact
Verificación adicional:
Firepower-module1# show snmp-server host host ip = 10.62.148.75, interface = OUTSIDE3 poll community ***** version 2c
Desde la CLI del servidor SNMP, ejecute un snmpwalk:
root@host:/Volume/home/admin# snmpwalk -v2c -c cisco -OS 10.62.148.48 SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 6.2.3.1 (Build 43), ASA Version 9.9(2)4 SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2313 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8350600) 23:11:46.00 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: Firepower-module1 SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 4 IF-MIB::ifNumber.0 = INTEGER: 10 IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifIndex.6 = INTEGER: 6 IF-MIB::ifIndex.7 = INTEGER: 7 IF-MIB::ifIndex.8 = INTEGER: 8 IF-MIB::ifIndex.9 = INTEGER: 9 IF-MIB::ifIndex.10 = INTEGER: 10 IF-MIB::ifIndex.11 = INTEGER: 11 ...
Verificación de las estadísticas de tráfico SNMP.
Firepower-module1# show snmp-server statistics
1899 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
1899 Number of requested variables
0 Number of altered variables
0 Get-request PDUs
1899 Get-next PDUs
0 Get-bulk PDUs
0 Set-request PDUs (Not supported)
1904 SNMP packets output
0 Too big errors (Maximum packet size 1500)
0 No such name errors
0 Bad values errors
0 General errors
1899 Response PDUs
5 Trap PDUs
Permitir el tráfico SNMP a FXOS en FPR4100/FPR9300
La configuración FXOS en FPR4100/9300 puede restringir el acceso SNMP por dirección IP de origen. La sección de configuración de la lista de acceso define qué redes/hosts pueden alcanzar el dispositivo a través de SSH, HTTPS o SNMP. Debe asegurarse de que se permiten las consultas SNMP del servidor SNMP.
Configuración de la lista de acceso global a través de la GUI
Configuración de la lista de acceso global mediante CLI
ksec-fpr9k-1-A# scope system ksec-fpr9k-1-A /system # scope services ksec-fpr9k-1-A /system/services # enter ip-block 0.0.0.0 0 snmp ksec-fpr9k-1-A /system/services/ip-block* # commit-buffer
Verificación
ksec-fpr9k-1-A /system/services # show ip-block
Permitted IP Block:
IP Address Prefix Length Protocol
--------------- ------------- --------
0.0.0.0 0 https
0.0.0.0 0 snmp
0.0.0.0 0 ssh
Utilizar el Navegador de Objetos OID
Cisco SNMP Object Navigator es una herramienta en línea donde puede traducir los diferentes OID y obtener una breve descripción.
Utilice el comando show snmp-server oid de la CLI de LINA FTD para recuperar la lista completa de OID de LINA que se pueden sondear.
> system support diagnostic-cli
firepower# show snmp-server oid ------------------------------------------------- [0] 1.3.6.1.2.1.1.1. sysDescr [1] 1.3.6.1.2.1.1.2. sysObjectID [2] 1.3.6.1.2.1.1.3. sysUpTime [3] 1.3.6.1.2.1.1.4. sysContact [4] 1.3.6.1.2.1.1.5. sysName [5] 1.3.6.1.2.1.1.6. sysLocation [6] 1.3.6.1.2.1.1.7. sysServices [7] 1.3.6.1.2.1.1.8. sysORLastChange
... [1081] 1.3.6.1.6.3.16.1.4.1.9. vacmAccessStatus [1082] 1.3.6.1.6.3.16.1.5.1. vacmViewSpinLock [1083] 1.3.6.1.6.3.16.1.5.2.1.3. vacmViewTreeFamilyMask [1084] 1.3.6.1.6.3.16.1.5.2.1.4. vacmViewTreeFamilyType [1085] 1.3.6.1.6.3.16.1.5.2.1.5. vacmViewTreeFamilyStorageType [1086] 1.3.6.1.6.3.16.1.5.2.1.6. vacmViewTreeFamilyStatus ------------------------------------------------- firepower#
Troubleshoot
Estos son los generadores de casos SNMP más comunes observados por el TAC de Cisco:
- No se puede sondear FTD LINA SNMP
- No se puede sondear FXOS SNMP
- ¿Qué valores OID de SNMP se deben utilizar?
- No se pueden obtener trampas SNMP
- No se puede supervisar FMC mediante SNMP
- No se puede configurar SNMP
- Configuración SNMP en Firepower Device Manager
No se puede sondear FTD LINA SNMP
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "No se pueden obtener datos a través de SNMP."
- "No se puede sondear el dispositivo a través de SNMPv2."
- "SNMP no funciona. Queremos monitorear el firewall con SNMP pero después de la configuración, enfrentamos problemas".
- "Tenemos dos sistemas de supervisión que no pueden monitorear el FTD a través de SNMP v2c o 3".
- "SNMP walk no funciona en el firewall".
Solución de problemas recomendada
Este es el diagrama de flujo de solución de problemas recomendado para problemas de sondeo SNMP de LINA:
Perspectiva en profundidad
1. ¿Llega el paquete SNMP en FTD?
- Habilitar capturas para verificar la llegada del paquete SNMP
SNMP en la interfaz de administración de FTD (versión posterior a 6.6) utiliza la palabra clave "management":
firepower# show run snmp-server
snmp-server host management 192.0.2.100 community ***** version 2c
SNMP en las interfaces de datos FTD utiliza el nombre de la interfaz:
firepower# show run snmp-server
snmp-server host net201 192.0.2.100 community ***** version 2c
Capturar en la interfaz de gestión FTD:
> capture-traffic
Please choose domain to capture traffic from:
0 - management1
1 - management0
2 - Global
Selection? 1
Captura en la interfaz de datos FTD:
firepower# capture SNMP interface net201 trace match udp any any eq 161
Seguimiento de paquetes de interfaz de datos FTD (escenario funcional - anterior a 6.6/9.14.1):
Seguimiento de paquetes de interfaz de datos FTD (escenario no funcional - posterior a 6.6/9.14.1):
2. En caso de que no vea los paquetes SNMP en las capturas de ingreso FTD:
- Tomar capturas en sentido ascendente a lo largo de la ruta
- Asegúrese de que el servidor SNMP utiliza la IP FTD adecuada
- Comience desde el switchport que se encuentra frente a la interfaz FTD y se mueve ascendente
3. ¿Ve las respuestas FTD SNMP?
Para verificar si FTD responde, verifique:
- Captura de salida FTD (interfaz de administración o LINA)
Verifique los paquetes SNMP con el puerto de origen 161:
firepower# show capture SNMP
75 packets captured
1: 22:43:39.568101 802.1Q vlan#201 P0 192.0.2.100.58255 > 192.0.2.50.161: udp 39
2: 22:43:39.568329 802.1Q vlan#201 P0 192.0.2.100.58255 > 192.0.2.50.161: udp 39
3: 22:43:39.569611 802.1Q vlan#201 P0 192.0.2.50.161 > 192.0.2.100.58255: udp 119
En las versiones posteriores a 6.6/9.14.1, tiene un punto de captura adicional: Capture en la interfaz de pulsación de NLP. Observe que la IP NATed pertenece al rango 162.254.x.x:
admin@firepower:~$ sudo tcpdump -i tap_nlp
listening on tap_nlp, link-type EN10MB (Ethernet), capture size 262144 bytes
16:46:28.372018 IP 192.0.2.100.49008 > 169.254.1.2.snmp: C="Cisc0123" GetNextRequest(28) E:cisco.9.109
16:46:28.372498 IP 169.254.1.2.snmp > 192.0.2.100.49008: C="Cisc0123" GetResponse(35) E:cisco.9.109.1.1.1.1.2.1=0
Comprobaciones adicionales
a. Verifique las estadísticas del servidor snmp de LINA FTD:
firepower# clear snmp-server statistics
firepower# show snmp-server statistics
379 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
351 Number of requested variables <- SNMP requests in
…
360 SNMP packets output
0 Too big errors (Maximum packet size 1500)
0 No such name errors
0 Bad values errors
0 General errors
351 Response PDUs <- SNMP replies out
9 Trap PDUs
b. tabla de conexión FTD LINA
Esta verificación es muy útil en caso de que no vea los paquetes en la captura en la interfaz de ingreso FTD. Tenga en cuenta que esta es una verificación válida sólo para SNMP en la interfaz de datos. Si SNMP se encuentra en la interfaz de administración (post-6.6/9.14.1), no se crea ninguna conexión.
firepower# show conn all protocol udp port 161
13 in use, 16 most used
...
UDP nlp_int_tap 169.254.1.2:161 net201 192.0.2.100:55048, idle 0:00:21, bytes 70277, flags -c
c. Syslogs de LINA FTD
Esto también es una verificación válida sólo para SNMP en la interfaz de datos. Si SNMP está en la interfaz de administración, no se crea ningún registro:
firepower# show log | i 302015.*161
Jul 13 2021 21:24:45: %FTD-6-302015: Built inbound UDP connection 5292 for net201:192.0.2.100/42909 (192.0.2.100/42909) to nlp_int_tap:169.254.1.2/161 (192.0.2.50/161)
d. Verifique si el FTD descarta los paquetes SNMP debido a una IP de origen de host incorrecta
e. Credenciales incorrectas (comunidad SNMP)
En el contenido de la captura puede ver los valores de comunidad (SNMP v1 y 2c):
f. Configuración incorrecta (por ejemplo, versión SNMP o cadena de comunidad)
Hay algunas maneras de verificar la configuración SNMP del dispositivo y las cadenas de comunidad:
firepower# more system:running-config | i community
snmp-server host net201 192.0.2.100 community cISCO123 version 2c
Otra forma:
firepower# debug menu netsnmp 4
g FTD LINA/ASA ASP descartes
Esta es una comprobación útil para verificar si el FTD descarta los paquetes SNMP. Primero, borre los contadores (clear asp drop) y, a continuación, pruebe:
firepower# clear asp drop
firepower# show asp drop
Frame drop:
No valid adjacency (no-adjacency) 6
No route to host (no-route) 204
Flow is denied by configured rule (acl-drop) 502
FP L2 rule drop (l2_acl) 1
Last clearing: 19:25:03 UTC Aug 6 2021 by enable_15
Flow drop:
Last clearing: 19:25:03 UTC Aug 6 2021 by enable_15
h. Capturas ASP
Las capturas ASP proporcionan visibilidad de los paquetes perdidos (por ejemplo, ACL o adyacencia):
firepower# capture ASP type asp-drop all
Pruebe y, a continuación, compruebe el contenido de la captura:
firepower# show capture
capture ASP type asp-drop all [Capturing - 196278 bytes]
i. Núcleo SNMP (seguimiento) - modo de verificación 1
Esta verificación es útil en caso de que sospeche que hay problemas de estabilidad del sistema:
firepower# show disk0: | i core
13 52286547 Jun 11 2021 12:25:16 coredumpfsys/core.snmpd.6208.1626214134.gz
Núcleo SNMP (seguimiento) - verificación, modo 2
admin@firepower:~$ ls -l /var/data/cores
-rw-r--r-- 1 root root 685287 Jul 14 00:08 core.snmpd.6208.1626214134.gz
Si ve un archivo de núcleo SNMP, recopile estos elementos y póngase en contacto con el TAC de Cisco:
- Archivo TS de FTD (o show tech de ASA)
- snmpd core files
Depuraciones SNMP (estos son comandos ocultos y sólo están disponibles en versiones más recientes):
firepower# debug snmp trace [255]
firepower# debug snmp verbose [255]
firepower# debug snmp error [255]
firepower# debug snmp packet [255]
¿Llega el servidor la respuesta SNMP del firewall?
Si el FTD responde, pero la respuesta no llega a la verificación del servidor:
a. ruteo FTD
Para el ruteo de la interfaz de administración de FTD:
> show network
Para el ruteo de la interfaz de datos FTD LINA:
firepower# show route
b. Verificación MAC de destino
Verificación MAC de dst de administración FTD:
> capture-traffic
Please choose domain to capture traffic from:
0 - management1
1 - management0
2 - Global
Selection? 1
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n -e udp port 161
01:00:59.553385 a2:b8:dc:00:00:02 > 5c:fc:66:36:50:ce, ethertype IPv4 (0x0800), length 161: 10.62.148.197.161 > 10.62.184.23.49704: C="cisco" GetResponse(105) .1.3.6.1.2.1.1.1.0="Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3"
Verificación MAC de destino de la interfaz de datos FTD LINA:
firepower# show capture SNMP detail
...
6: 01:03:01.391886 a2b8.dc00.0003 0050.5685.3ed2 0x8100 Length: 165
802.1Q vlan#201 P0 192.168.21.50.161 > 192.168.21.100.40687: [udp sum ok] udp 119 (DF) (ttl 64, id 42429)
c. Verifique los dispositivos a lo largo del trayecto que potencialmente descartan/bloquean los paquetes SNMP.
Verifique el servidor SNMP
a. Verifique el contenido de la captura para verificar la configuración
b. Verificar la configuración del servidor
c. Intente modificar el nombre de comunidad SNMP (por ejemplo, sin caracteres especiales)
Puede utilizar un host final o incluso el FMC para probar el sondeo siempre y cuando se cumplan las dos condiciones:
- La conectividad SNMP está implementada
- Se permite a la IP de origen sondear el dispositivo
admin@FS2600-2:~$ snmpwalk -c cisco -v2c 192.0.2.197
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3
Consideraciones de Sondeo de SNMPv3
- Licencia: SNMPv3 requiere licencia de cifrado seguro. Asegúrese de que tiene activada la función de exportación controlada en el portal de licencias inteligentes
- Para solucionar problemas, puede intentar con un nuevo usuario/credenciales
- Si se utiliza el cifrado, puede descifrar el tráfico SNMPv3 y verificar la carga como se describe en: https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/215092-analyze-firepower-firewall-captures-to-e.html#anc59
- Considere AES128 para el cifrado en caso de que su software se vea afectado por defectos como:
Id. de bug Cisco CSCvy27283 
El sondeo de SNMPv3 ASA/FTD puede fallar utilizando algoritmos de privacidad AES192/AES256
Id. de bug Cisco CSCvx45604 Snmpv3 walk falla en el usuario con auth sha y priv aes 192
Consideraciones de sondeo de SNMPv3: casos prácticos
- SNMPv3 snmpwalk - Escenario funcional
admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a SHA -A Cisco123 -x AES -X Cisco123 192.168.21.50
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2315
En la captura (snmpwalk) verá una respuesta para cada paquete:
El archivo de captura no muestra nada inusual:
- SNMPv3 snmpwalk - Error de cifrado
Sugerencia nº 1: Hay un tiempo de espera:
admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a SHA -A Cisco123 -x DES -X Cisco123 192.168.21.50
Timeout: No Response from 192.0.2.1
Sugerencia nº 2: Hay muchas solicitudes y 1 respuesta:
Sugerencia nº 3: Error de descifrado de Wireshark:
Sugerencia nº 4. Verifique el archivo ma_ctx2000.log para los mensajes de "error analizando ScopedPDU":
> expert
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log
security service 3 error parsing ScopedPDU
security service 3 error parsing ScopedPDU
security service 3 error parsing ScopedPDU
La ‘PDU de análisis de errores’ es un fuerte indicio de un error de cifrado. Tenga en cuenta que el archivo ma_ctx2000.log muestra los eventos sólo para SNMPv3.
- SNMPv3 snmpwalk - Error de autenticación
Sugerencia nº 1: Falla de autenticación
admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a MD5 -A Cisco123 -x AES -X Cisco123 192.168.21.50
snmpwalk: Authentication failure (incorrect password, community or key)
Sugerencia nº 2: Hay muchas solicitudes y muchas respuestas
Sugerencia nº 3: Paquete mal formado de Wireshark
Sugerencia nº 4. Verifique el archivo ma_ctx2000.log para los mensajes ‘Error de autenticación’:
> expert
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log
Authentication failed for Cisco123
Authentication failed for Cisco123
No se puede sondear FXOS SNMP
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "SNMP ofrece una versión incorrecta para FXOS. Cuando se consulta con SNMP para la versión de FXOS, el resultado es difícil de entender".
- "No se puede configurar la comunidad snmp en FXOS FTD4115".
- "Después de una actualización de FXOS de 2.8 a 2.9 en el firewall en espera, obtenemos un tiempo de espera cuando intentamos recibir cualquier información a través de SNMP."
- "snmpwalk falla en 9300 fxos pero funciona en 4140 fxos en la misma versión. La accesibilidad y la comunidad no son el problema".
- "Queremos agregar 25 servidores SNMP en FPR4K FXOS, pero no podemos".
Solución de problemas recomendada
Este es el diagrama de flujo de solución de problemas recomendado para los problemas de sondeo SNMP de FXOS:
1. ¿Ve los paquetes SNMP en las capturas de FXOS?
FPR1xxx/21xx
- En FPR1xxx/21xx no hay administrador de chasis (modo de dispositivo)
- Puede sondear el software FXOS desde la interfaz de administración
> capture-traffic
Please choose domain to capture traffic from:
0 - management0
1 - Global
Selection? 0
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 192.0.2.100 and udp port 161
41xx/9300
- En Firepower 41xx/93xx utilice la herramienta Ethanalyzer CLI para tomar una captura del chasis:
firepower# connect fxos
firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 161" limit-captured-frames 50 write workspace:///SNMP.pcap
firepower(fxos)# exit
firepower# connect local-mgmt
firepower(local-mgmt)# dir
1 11152 Jul 26 09:42:12 2021 SNMP.pcap
firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap
2. ¿No hay paquetes en capturas de FXOS?
- Tomar capturas en sentido ascendente a lo largo de la ruta
3. ¿Respuestas FXOS?
- Escenario funcional:
> capture-traffic
...
Options: -n host 192.0.2.23 and udp port 161
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:17:25.952457 IP 192.0.2.23.36501 > 192.0.2.28.161: C="Cisco123" GetNextRequest(25) .1.3.6.1.2.1
08:17:25.952651 IP 192.0.2.28.161 > 192.0.2.23.36501: C="Cisco123" GetResponse(97) .1.3.6.1.2.1.1.1.0="Cisco Firepower FPR-1150 Security Appliance, System Version 2.10(1.1)"
- FXOS no responde
Comprobaciones adicionales
- Verifique la configuración SNMP (desde la interfaz de usuario o la CLI):
firepower# scope monitoring
firepower /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: Yes
- Tenga cuidado con los caracteres especiales (por ejemplo, "$"):
FP4145-1# connect fxos
FP4145-1(fxos)# show running-config snmp all
FP4145-1(fxos)# show snmp community
Community Group / Access context acl_filter
--------- -------------- ------- ----------
Cisco123 network-operator
- Para SNMP v3 use show snmp-user [detail]
- Verifique la compatibilidad de FXOS
4. En caso de que FXOS no responda
Verifique los contadores SNMP de FXOS:
- Verifique la lista de control de acceso (ACL) de FXOS. Esto sólo se aplica a las plataformas FPR41xx/9300.
Si el tráfico está bloqueado por la ACL FXOS verá las solicitudes, pero no verá ninguna respuesta:
firepower(fxos)# ethanalyzer local interface mgmt capture-filter
"udp port 161" limit-captured-frames 50 write workspace:///SNMP.pcap
Capturing on 'eth0'
1 2021-07-26 11:56:53.376536964 192.0.2.23 → 192.0.2.37 SNMP 84 get-next-request 1.3.6.1.2.1
2 2021-07-26 11:56:54.377572596 192.0.2.23 → 192.0.2.37 SNMP 84 get-next-request 1.3.6.1.2.1
3 2021-07-26 11:56:55.378602241 192.0.2.23 → 192.0.2.37 SNMP 84 get-next-request 1.3.6.1.2.1
Puede verificar la ACL FXOS desde la interfaz de usuario (IU):
También puede verificar la ACL FXOS desde la CLI:
firepower# scope system
firepower /system # scope services
firepower /system/services # show ip-block detail
Permitted IP Block:
IP Address: 0.0.0.0
Prefix Length: 0
Protocol: snmp
- Depurar SNMP (sólo paquetes). Aplicable únicamente en FPR41xx/9300:
FP4145-1# connect fxos
FP4145-1(fxos)# terminal monitor
FP4145-1(fxos)# debug snmp pkt-dump
2021 Aug 4 09:51:24.963619 snmpd: SNMPPKTSTRT: 1.000000 161 495192988.000000 0.000000 0.000000 0.000000 0 0 2 1 0 Cisco123 8 remote ip,v4: snmp_44048_192.0.2.23 0 0 0 0 0 0 0 15
- Debug SNMP (all) - Este resultado de debug es muy detallado!
FP4145-1(fxos)# debug snmp all
2021 Aug 4 09:52:19.909032 snmpd: SDWRAP message Successfully processed
2021 Aug 4 09:52:21.741747 snmpd: Sending it to SDB-Dispatch
2021 Aug 4 09:52:21.741756 snmpd: Sdb-dispatch did not process
- Verifique si hay algún error FXOS relacionado con SNMP:
FXOS# show fault
Severity Code Last Transition Time ID Description
--------- -------- ------------------------ -------- -----------
Warning F78672 2020-04-01T21:48:55.182 1451792 [FSM:STAGE:REMOTE-ERROR]: Result: resource-unavailable Code: unspecified Message: Failed to set SNMP user (sam:dme:CommSvcEpUpdateSvcEp:SetEpLocal)
- Verifique si hay núcleos snmpd:
En FPR41xx/FPR9300:
firepower# connect local-mgmt
firepower(local-mgmt)# dir cores
1 1983847 Apr 01 17:26:40 2021 core.snmpd.10012.1585762000.gz
1 1984340 Apr 01 16:53:09 2021 core.snmpd.10018.1585759989.gz
En FPR1xxx/21xx:
firepower(local-mgmt)# dir cores_fxos
Si ve algún núcleo snmpd, recopile los núcleos junto con el paquete de solución de problemas FXOS y póngase en contacto con el TAC de Cisco.
5. ¿Llega la respuesta SNMP en el servidor SNMP?
- Verifique el ruteo FXOS
Esta salida es de FPR41xx/9300:
firepower# show fabric-interconnect
Fabric Interconnect:
ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability Ingress VLAN Group Entry Count (Current/Max) Switch Forwarding Path Entry Count (Current/Max)
---- --------------- --------------- --------------- ---------------- ---------------- ------ ----------- --------------------------------------------
A 192.0.2.37 192.0.2.1 255.255.255.128 :: :: 64 Operable 0/500 14/1021
- Tome una captura, exporte el pcap y verifique el dst MAC de la respuesta
- Finalmente, verifique el servidor SNMP (capturas, configuración, aplicación, etc.)
¿Qué valores OID de SNMP se deben utilizar?
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "Queremos supervisar el equipo Cisco Firepower. Proporcione OID de SNMP para cada CPU principal, memoria y discos"
- "¿Hay algún OID que se pueda utilizar para supervisar el estado de la fuente de alimentación en el dispositivo ASA 5555?"
- "Queremos obtener el OID SNMP del chasis en FPR 2K y FPR 4K".
- "Queremos sondear la memoria caché ARP de ASA".
- "Necesitamos conocer el OID de SNMP para el peer BGP hacia abajo".
Cómo Buscar los Valores OID SNMP
Estos documentos proporcionan información sobre OID de SNMP en dispositivos Firepower:
- Informe técnico de supervisión SNMP de Cisco Firepower Threat Defense (FTD):
- Guía de Referencia de Cisco Firepower 4100/9300 FXOS MIB:
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/mib/b_FXOS_4100_9300_MIBRef.html
- Cómo buscar un OID específico en plataformas FXOS:
- Verifique los OID de SNMP desde la CLI (ASA/LINA)
firepower# show snmp-server ?
engineID Show snmp engineID
group Show snmp groups
host Show snmp host's
statistics Show snmp-server statistics
user Show snmp users
firepower# show snmp-server oid <- hidden option!
[1] .1.3.6.1.2.1.2.1 IF-MIB::ifNumber
[2] .1.3.6.1.2.1.2.2.1.1 IF-MIB::ifIndex
[3] .1.3.6.1.2.1.2.2.1.2 IF-MIB::ifDescr
[4] .1.3.6.1.2.1.2.2.1.3 IF-MIB::ifType
- Para obtener más información sobre OID, consulte el Navegador de objetos SNMP
https://snmp.cloudapps.cisco.com/Support/SNMP/do/BrowseOID.do?local=en
- En FXOS (41xx/9300) ejecute estos dos comandos desde la CLI de FXOS:
FP4145-1# connect fxos
FP4145-1(fxos)# show snmp internal oids supported create
FP4145-1(fxos)# show snmp internal oids supported
- SNMP All supported MIB OIDs -0x11a72920
Subtrees for Context:
ccitt
1
1.0.8802.1.1.1.1.1.1 ieee8021paeMIB
1.0.8802.1.1.1.1.1.2
...
Referencia rápida de OID comunes
| Requisito |
OID (ID del objeto) |
| CPU (LINA) |
1.3.6.1.4.1.9.9.109 |
| CPU (Snort) |
1.3.6.1.4.1.9.9.109.1.1.1.7, 1.3.6.1.4.1.9.9.109.1.1.1.1.10 (FP >= 6.7) |
| Memoria (LINA) |
1.3.6.1.4.1.9.9.48, 1.3.6.1.4.1.9.9.221 |
| Memoria (Linux/FMC) |
1.3.6.1.4.1.2021.4 |
| FXOS Utilizado/Memoria libre (41xx/93xx) |
1.3.6.1.4.1.9.9.109.1.1.1.1.12.1, 1.3.6.1.4.1.9.9.109.1.1.1.1.13.1 |
| Interfaces |
1.3.6.1.2.1.2 |
| Información de HA |
1.3.6.1.4.1.9.9.147.1.2.1.1.1 |
| Información del clúster |
1.3.6.1.4.1.9.9.491.1.8.1 |
| información de VPN |
1.3.6.1.4.1.9.9.171.1 - Sugerencia: firepower# show snmp-server oid | i ike |
| estado de BGP |
ENH ID de bug Cisco CSCux13512 |
| Licencia inteligente FPR1K/2K ASA/ASAv |
ENH ID de bug Cisco CSCvv83590 |
| OID SNMP de Lina para el canal de puerto de nivel FXOS |
ENH ID de bug Cisco CSCvu91544 |
No se pueden obtener trampas SNMP
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "SNMPv3 de FTD no envía ninguna trampa al servidor SNMP."
- "FMC y FTD no envían mensajes de trampa SNMP".
- "Hemos configurado SNMP en nuestro FTD 4100 para FXOS y hemos intentado SNMPv3 y SNMPv2, pero ambos no pueden enviar trampas".
- "Firepower SNMP no envía trampas a la herramienta de monitoreo".
- "El firewall FTD no envía la trampa SNMP a NMS".
- "Las trampas del servidor SNMP no funcionan".
- "Hemos configurado SNMP en nuestro FTD 4100 para FXOS y hemos intentado SNMPv3 y SNMPv2, pero ambos no pueden enviar trampas".
Solución de problemas recomendada
Este es el diagrama de flujo de solución de problemas recomendado para los problemas de trampa SNMP de Firepower:
1. ¿Ve trampas SNMP en la captura de salida?
Para capturar trampas de LINA/ASA en la interfaz de administración:
> capture-traffic
Please choose domain to capture traffic from:
0 - management0
1 - Global
Selection? 0
Options: -n host 192.0.2.100 and udp port 162
Para capturar trampas LINA/ASA en la interfaz de datos:
firepower# capture SNMP interface net208 match udp any any eq 162
Para capturar trampas FXOS (41xx/9300):
firepower# connect fxos
firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" limit-captured-frames 500 write workspace:///SNMP.pcap
1 2021-08-02 11:22:23.661436002 10.62.184.9 → 10.62.184.23 SNMP 160 snmpV2-trap 1.3.6.1.2.1.1.3.0 1.3.6.1.6.3.1.1.4.1.0
firepower(fxos)# exit
firepower# connect local-mgmt
firepower(local-mgmt)# dir
1 11134 Aug 2 11:25:15 2021 SNMP.pcap
firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap
2. Si no ve paquetes en la interfaz de salida
firepower# show run all snmp-server
snmp-server host ngfw-management 10.62.184.23 version 3 Cisco123 udp-port 162
snmp-server host net208 192.168.208.100 community ***** version 2c udp-port 162
snmp-server enable traps failover-state
Configuración de trampas SNMP FXOS:
FP4145-1# scope monitoring
FP4145-1 /monitoring # show snmp-trap
SNMP Trap:
SNMP Trap Port Community Version V3 Privilege Notification Type
------------------- ------- --------------- ----------- ---------------- -----------------
192.0.2.100 162 **** V2c Noauth Traps
Nota: En 1xxx/21xx sólo verá estos ajustes en el caso de Devices > Device Management > SNMP config.
- Routing LINA/ASA para trampas a través de la interfaz de administración:
> show network
- Routing LINA/ASA para trampas a través de la interfaz de datos:
firepower# show route
- Ruteo FXOS (41xx/9300):
FP4145-1# show fabric-interconnect
- Contadores de trampa (LINA/ASA):
firepower# show snmp-server statistics | i Trap
20 Trap PDUs
Y FXOS:
FP4145-1# connect fxos
FP4145-1(fxos)# show snmp | grep Trap
1296 Out Traps PDU
Comprobaciones adicionales
- Realizar una captura en el servidor SNMP de destino
Otras cosas a comprobar:
- Capturas a lo largo de la ruta
- Dirección MAC de destino de paquetes de trampa SNMP
- La configuración y el estado del servidor SNMP (por ejemplo, firewall, puertos abiertos, etc.)
- La cadena de comunidad SNMP
- La configuración del servidor SNMP
No se puede supervisar FMC mediante SNMP
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "SNMP no funciona en FMC en espera".
- "Necesidad de supervisar la memoria FMC".
- "¿Debe funcionar SNMP en el FMC en espera 6.4.0.8?"
- "Tenemos que configurar los FMC para supervisar sus recursos como la CPU, la memoria, etc."
Solución de problemas recomendada
Este es el diagrama de flujo de Troubleshooting recomendado para problemas SNMP de FMC:
1. ¿Llega el paquete SNMP en FMC?
- Captura en la interfaz de administración de FMC:
admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:58:45.961836 IP 192.0.2.10.57076 > 192.0.2.23.161: C="Cisco123" GetNextRequest(28) .1.3.6.1.4.1.2021.4
admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n -w /var/common/FMC_SNMP.pcap
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C46 packets captured
46 packets received by filter
¿Responde FMC?
Si FMC no responde, verifique:
- Configuración de FMC SNMP (Sistema > Configuración)
- sección SNMP
- Sección Lista de acceso
Si FMC no responde, verifique:
- Captura (pcap) de contenido
- Cadena de comunidad (esto se puede ver en las capturas)
- Salida de cola de FMC (busque errores, fallos, seguimientos) y contenido de /var/log/snmpd.log
- proceso snmpd
admin@FS2600-2:~$ sudo pmtool status | grep snmpd
snmpd (normal) - Running 12948
Command: /usr/sbin/snmpd -c /etc/snmpd.conf -Ls daemon -f -p /var/run/snmpd.pid
PID File: /var/run/snmpd.pid
Enable File: /etc/snmpd.conf
- snmpd cores
admin@FS2600-2:~$ ls -al /var/common | grep snmpd
-rw------- 1 root root 5840896 Aug 3 11:28 core_1627990129_FS2600-2_snmpd_3.12948
- Archivo de configuración de backend en /etc/snmpd.conf:
admin@FS2600-2:~$ sudo cat /etc/snmpd.conf
# additional user/custom config can be defined in *.conf files in this folder
includeDir /etc/snmp/config.d
engineIDType 3
agentaddress udp:161,udp6:161
rocommunity Cisco123
rocommunity6 Cisco123
- ¿Es un FMC en espera?
En pre-6.4.0-9 y pre-6.6.0, el FMC en espera no envía datos SNMP (snmpd está en estado en espera). Debe ocurrir lo siguiente. Check Enhancement Cisco bug ID CSCvs32303
No se puede configurar SNMP
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "Queremos configurar SNMP para Cisco Firepower Management Center y Firepower 4115 Threat Defense".
- "Compatibilidad con configuración SNMP en FTD"
- "Queremos habilitar la supervisión SNMP en mi dispositivo FTD".
- "Intentamos configurar el servicio SNMP en FXOS, pero el sistema no nos permite comprometer-buffer al final. Dice Error: No se permiten cambios. utilice 'Connect ftd' para realizar cambios."
- "Queremos habilitar la supervisión SNMP en nuestro dispositivo FTD".
- "No se puede configurar SNMP en FTD y detectar el dispositivo en la supervisión".
Cómo abordar los problemas de configuración de SNMP
Lo primero: Documentación!
- Lea el documento actual.
- Guía de configuración de FMC:
- Guía de configuración de FXOS:
Tenga en cuenta los diversos documentos SNMP.
FMC SNMP:
FXOS SNMP:
Configuración de Firepower 41xx/9300 SNMP:
Configuración de Firepower 1xxx/21xx SNMP:
Configuración SNMP en Firepower Device Manager (FDM)
Descripciones de problemas (ejemplo de casos reales de Cisco TAC):
- "Necesitamos orientación sobre SNMPv3 en Firepower del dispositivo con FDM".
- "La configuración SNMP no funciona en el dispositivo FPR 2100 desde FDM".
- "No se puede conseguir que la configuración SNMP v3 funcione en el FDM".
- "Asistencia para la configuración SNMP de FDM 6.7".
- "Habilitar SNMP v3 en Firepower FDM".
Cómo abordar los problemas de configuración de SNMP FDM
- Para la versión anterior a 6.7, puede realizar la configuración SNMP con el uso de FlexConfig:
- A partir de la versión 6.7 de Firepower, la configuración SNMP ya no se realiza con FlexConfig, sino con la API REST:
Hojas de referencia de resolución de problemas SNMP
1xxx/21xx/41xx/9300 (LINA/ASA): Qué recopilar antes de abrir un caso con Cisco TAC
| Comando |
Descripción |
| firepower# show run snmp-server |
Verifique la configuración de ASA/FTD LINA SNMP |
| firepower# show snmp-server statistics |
Verifique las estadísticas SNMP en ASA/FTD LINA. Céntrese en los contadores de entrada de paquetes SNMP y de salida de paquetes SNMP. |
| > Captura-tráfico |
Capturar tráfico en la interfaz de administración |
| firepower# capture SNMP-POLL interface net201 trace match udp any eq 161 |
Captura el tráfico en la interfaz de datos (nombre "net201") para UDP 161 (sondeo SNMP) |
| firepower# capture SNMP-TRAP interface net208 match udp any eq 162 |
Captura el tráfico en la interfaz de datos (nombre "net208") para UDP 162 (trampas SNMP) |
| firepower# show capture SNMP-POLL packet-number 1 trace |
Seguimiento de un paquete SNMP de ingreso que llega a la interfaz de datos de LINA ASA/FTD |
| admin@firepower:~$ sudo tcpdump -i tap_nlp |
Captura en la interfaz de pulsación interna de NLP (proceso no Lina) |
| firepower# show conn all protocol udp port 161 |
Verifique todas las conexiones de LINA ASA/FTD en UDP 161 (sondeo SNMP) |
| firepower# show log | i 302015.*161 |
Verifique el registro de LINA ASA/FTD 302015 para el sondeo SNMP |
| firepower# more system:running-config | i comunidad |
Verifique la cadena de comunidad SNMP |
| firepower# debug menu netsnmp 4 |
Verifique la configuración SNMP y la ID del proceso |
| firepower# show asp table classify interface net201 domain permit match port=161 |
Verifique los hitcount en la ACL SNMP en la interfaz denominada ‘net201’ |
| firepower# show disk0: | i core |
Compruebe si hay núcleos SNMP |
| admin@firepower:~$ ls -l /var/data/cores |
Verifique si hay núcleos SNMP. Aplicable sólo en FTD |
| firepower# show route |
Verifique la tabla de ruteo de ASA/FTD LINA |
| > show network |
Verificar la tabla de ruteo del plano de administración FTD |
| admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log |
Verificar/Resolver Problemas de SNMPv3 en FTD |
| firepower# debug snmp trace [255] firepower# debug snmp verbose [255] firepower# debug snmp error [255] firepower# debug snmp packet [255] |
Comandos ocultos en las versiones más recientes. Depuraciones internas, útiles para resolver problemas de SNMP con Cisco TAC |
41xx/9300 (FXOS): Qué recopilar antes de abrir un caso con Cisco TAC
| Comando |
Descripción |
| firepower# connect fxos firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 161" limit-capture-frames 50 write workspace:///SNMP-POLL.pcap firepower(fxos)# exit firepower# connect local-mgmt firepower(local-mgmt)# dir 1 11152 26 jul 09:42:12 2021 SNMP.pcap firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap |
Captura de FXOS para sondeo SNMP (UDP 161) Cargar en un servidor FTP remoto IP FTP: 192.0.2.100 Nombre de usuario FTP: FTP |
| firepower# connect fxos firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" limit-capture-frames 50 write workspace:///SNMP-TRAP.pcap |
Captura FXOS para trampas SNMP (UDP 162) |
| sistema de alcance firepower# firepower /system # scope services firepower /system/services # show ip-block detail |
Verifique la ACL FXOS |
| firepower# show failure |
Compruebe los fallos de FXOS |
| firepower# show fabric-interconnect |
Verifique la configuración de la interfaz FXOS y la configuración de la gateway predeterminada |
| firepower# connect fxos firepower(fxos)# show running-config snmp all |
Verifique la configuración de FXOS SNMP |
| firepower# connect fxos firepower(fxos)# show snmp internal oids supported create firepower(fxos)# show snmp internal oids soportado |
Verifique los OID de SNMP de FXOS |
| firepower# connect fxos firepower(fxos)# show snmp |
Verificar los contadores y la configuración de FXOS SNMP |
| firepower# connect fxos firepower(fxos)# terminal monitor firepower(fxos)# debug snmp pkt-dump firepower(fxos)# debug snmp all |
Depurar FXOS SNMP ("paquetes" o "todo") Utilice "terminal no monitor" y "undebug all" para detenerlo |
1xxx/21xx (FXOS): Qué recopilar antes de abrir un caso con Cisco TAC
| Comando |
Descripción |
| > Captura-tráfico |
Capturar tráfico en la interfaz de administración |
| > show network |
Verificar la tabla de ruteo del plano de administración FTD |
| monitoreo de alcance firepower# firepower /monitor # show snmp [host] firepower /monitor # show snmp-user [detail] firepower /monitor # show snmp-trap |
Verificar la configuración de FXOS SNMP |
| firepower# show failure |
Compruebe los fallos de FXOS |
| firepower# connect local-mgmt firepower(local-mgmt)# dir cores_fxos firepower(local-mgmt)# núcleos dir |
Comprobar los archivos de núcleo FXOS (pistas) |
FMC: qué recopilar antes de abrir un caso con Cisco TAC
| Comando |
Descripción |
| admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n |
Capturar tráfico en la interfaz de administración para sondeo SNMP |
| admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n -w /var/common/FMC_SNMP.pcap |
Capture el tráfico en la interfaz de administración para sondeo SNMP y guárdelo en un archivo |
| admin@FS2600-2:~$ estado de sudo pmtool | grep snmpd |
Verifique el estado del proceso SNMP |
| admin@FS2600-2:~$ ls -al /var/common | grep snmpd |
Verifique los archivos de núcleo SNMP (rastreadores) |
| admin@FS2600-2:~$ sudo cat /etc/snmpd.conf |
Verifique el contenido del archivo de configuración SNMP |
Ejemplos de snmpwalk
Estos comandos se pueden utilizar para la verificación y resolución de problemas:
| Comando |
Descripción |
| # snmpwalk -c Cisco123 -v2c 192.0.2.1 |
Obtiene todos los OID del host remoto con el uso de SNMP v2c. Cisco123 = Cadena de comunidad 192.0.2.1 = host de destino |
| # snmpwalk -v2c -c Cisco123 -OS 192.0.2.1 1.3.6.1.4.1.9.9.109.1.1.1.1.3 iso.3.6.1.4.1.9.9.109.1.1.1.1.3.1 = Indicador32: 0 |
Obtiene un OID específico del host remoto con el uso de SNMP v2c |
| # snmpwalk -c Cisco123 -v2c 192.0.2.1.1.3.6.1.4.1.9.9.109.1.1.1.1 -On .1.3.6.1.4.1.9.9.109.1.1.1.1.6.1 = Indicador32: 0 |
Muestra los OID obtenidos en formato numérico |
| # snmpwalk -v3 -l authPriv -u cisco -a SHA -A Cisco123 -x AES -X Cisco123 192.0.2.1 |
Obtiene todos los OID del host remoto con el uso de SNMP v3. Usuario SNMPv3 = Cisco Autenticación SNMPv3 = SHA. Autorización SNMPv3 = AES |
| # snmpwalk -v3 -l authPriv -u cisco -a MD5 -A Cisco123 -x AES -X Cisco123 192.0.2.1 |
Obtiene todos los OID del host remoto con el uso de SNMP v3 (MD5 y AES128) |
| # snmpwalk -v3 -l auth -u cisco -a SHA -A Cisco123 192.0.2.1 |
SNMPv3 con autenticación solamente |
Cómo buscar defectos SNMP
- Vaya a https://bst.cloudapps.cisco.com/bugsearch/search?kw=snmp&pf=prdNm&sb=anfr&bt=custV
- Ingrese la palabra clave snmp y seleccione Seleccionar de la lista
Productos más comunes:
- Software Cisco Adaptive Security Appliance (ASA)
- Cisco Firepower serie 9300
- Dispositivo virtual de Cisco Firepower Management Center
- NGFW Cisco Firepower
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
26-Oct-2021 |
Texto alternativo de imagen actualizado. |
1.0 |
03-Oct-2021 |
Versión inicial |
Comentarios