Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer le Protocole SNMP (Simple Network Management Protocol) sur les appliances de la défense contre des menaces de FirePOWER du Pare-feu de nouvelle génération (NGFW) (FTD).
Ce document exige la connaissance de base du protocole SNMP.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Des appliances de FirePOWER NGFW peuvent être coupées en 2 sous-systèmes importants :
FTD est un logiciel unifié qui se compose de 2 engines principales, de l'engine de renifler et de l'engine de LINA. L'engine SNMP de courant du FTD dérive de l'ASA classique et elle a la visibilité aux caractéristiques liées à la Lina.
FX-OS et FTD ont des avions de contrôle indépendant et pour surveiller des buts, ils ont différentes engines SNMP. Chacune des engines SNMP fournit des informations différentes et vous pourriez être intéressé à surveiller chacun des deux pour une vue plus complète de l'état des périphériques.
Au niveau système surveillant par l'intermédiaire du SNMP au-dessus de l'interface de gestion FTD qui inclut LINA et les informations Snort n'est pas possible (amélioration CSCvd12321)
D'un point de vue de matériel, il y a actuellement deux architectures importantes pour les appliances de FirePOWER NGFW : la gamme 2100 de FirePOWER et la gamme 4100/9300 de FirePOWER.
FirePOWER 4100/9300 périphérique ont une interface dédiée pour la Gestion de périphériques et c'est la source et la destination pour le trafic SNMP adressé au sous-système FXOS. D'autre part, l'application FTD utilise une interface de LINA (des données et/ou diagnostic. Dans post-6.6 FTD libère l'interface de gestion FTD peut être aussi bien utilisé) pour la configuration SNMP.
L'engine SNMP sur FirePOWER 2100 appliances utilise l'interface de gestion FTD et l'IP. L'appliance elle-même jette un pont sur le trafic SNMP reçu là-dessus ces interface et en avant au logiciel FXOS.
Sur FTDs exécutant le point de gel 6.6 ces modifications ont été introduites :
Étape 1. Ouvrez le gestionnaire de châssis de FirePOWER (FCM) UI et naviguez vers les configurations de plate-forme > l'onglet SNMP. Cochez la case d'enable SNMP, spécifiez la chaîne de la Communauté pour l'utiliser sur des demandes et la sauvegarde SNMP.
Remarque: Si le champ de la Communauté/nom d'utilisateur est déjà placé, le texte à la droite du champ vide lit le positionnement : Oui. Si le champ de la Communauté/nom d'utilisateur n'est pas encore rempli avec une valeur, le texte à la droite du champ vide lit le positionnement : Non
Étape 2. Configurez le serveur cible de déroutements SNMP.
Remarque: Les valeurs de la communauté pour les requêtes et l'hôte de déroutement sont indépendantes et peuvent être différentes
L'hôte peut être défini comme adresse IP ou de nom. Sélectionnez CORRECT et la configuration du serveur de déroutement SNMP est enregistrée automatiquement. Il n'y a aucun besoin de sélectionner le bouton de sauvegarde de la page principale SNMP. Le même se produit quand vous supprimez un hôte.
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring* # set snmp community Enter a snmp community: ksec-fpr9k-1-A /monitoring* # enter snmp-trap 192.168.10.100 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v2c ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
Étape 1. Ouvrez FCM et naviguez vers les configurations de plate-forme > l'onglet SNMP.
Étape 2. Pour SNMP v3 il n'y a aucun besoin de placer n'importe quelle chaîne de la communauté dans la section supérieure. Chaque créé par l'utilisateur peut exécuter avec succès des requêtes à l'engine SNMP FXOS. La première étape est d'activer le SNMP dans la plate-forme. Une fois que fait te peut créer les utilisateurs et l'hôte de déroutement de destination. Chacun des deux, des utilisateurs SNMP et des hôtes du déroutement SNMP sont enregistrés automatiquement.
Étape 3. Suivant les indications de l'image, ajoutez l'utilisateur SNMP. Le type d'authentification est toujours SHA mais vous pouvez utiliser AES ou DES pour le cryptage.
Étape 4. Ajoutez l'hôte de déroutement SNMP, suivant les indications de l'image.
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring # create snmp-user user1 Password: ksec-fpr9k-1-A /monitoring/snmp-user* # set auth sha ksec-fpr9k-1-A /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: ksec-fpr9k-1-A /monitoring/snmp-user* # set aes-128 yes ksec-fpr9k-1-A /monitoring/snmp-user* # exit ksec-fpr9k-1-A /monitoring* # enter snmp-trap 10.48.26.190 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v3 ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
Changements des releases 6.6+
La fonctionnalité de gestion simple IP SNMP est prise en charge à compter de 6.6 sur toutes les Plateformes FTD :
Étape 1. Sur FMC UI, naviguez vers des périphériques > des configurations de plate-forme > le SNMP. Vérifiez l'option « serveurs SNMP d'enable » et configurez les configurations SNMPv2 comme suit.
Étape 2. Sur l'onglet d'hôtes sélectionnez le bouton d'ajouter et spécifiez les configurations de serveur SNMP.
Vous pouvez également spécifier l'interface diagnostique comme source pour les messages SNMP. L'interface diagnostique c'est une interface de données qui permet seulement l'à-le-case et la de-le-case du trafic (réservées à la Gestion).
Ce tir d'écran est de la release 6.6 et utilise le thème léger.
Supplémentaire, dans post-6.6 FTD vous libère peut également choisir l'interface de gestion :
Si la nouvelle interface de gestion est sélectionnée le SNMP de LINA est disponible au-dessus de l'interface de gestion.
Le résultat :
Étape 1. Sur FMC UI naviguent vers des périphériques > des configurations de plate-forme > le SNMP. Vérifiez les serveurs SNMP d'enable d'option et configurez l'utilisateur SNMPv3 et l'hôte.
Étape 2. Configurez l'hôte également pour recevoir des déroutements.
Étape 3. Les déroutements que vous voulez recevoir peuvent être sélectionnés sous la section de déroutements SNMP.
Sur les systèmes FPR2100, il n'y a aucun FCM. La seule manière de configurer le SNMP est par l'intermédiaire de FMC.
Comme de FTD 6.6+ vous avez également l'option d'utiliser l'interface de gestion FTD pour le SNMP. Dans ce cas FXOS et informations SNMP de LINA sont transférés par l'interface de gestion FTD.
Ouvrez FMC UI et naviguez vers les périphériques > la Gestion de périphériques. Sélectionnez le périphérique et sélectionnez le SNMP.
Changement de FTD 6.6+
Vous pouvez spécifier l'interface de gestion FTD :
Puisque l'interface de gestion peut être également configurd pour le SNMP la page affiche ce message d'avertissement :
La configuration de configuration SNMP de plate-forme de périphérique à cette page sera désactivée, si des configurations SNMP configurées avec l'interface de Gestion de périphériques par des périphériques > des configurations de plate-forme (défense contre des menaces) > SNMP > hôtes.
Ouvrez FMC UI et naviguez pour choisir les périphériques > la Gestion de périphériques. Sélectionnez le périphérique et sélectionnez le SNMP.
Releases FTD 6.6+
Si la nouvelle interface de gestion est sélectionnée :
Une fois que configuré, LINA combiné SNMP + balayage SNMP FXOS (sur FP1xxx/FP2xxx)/informations de déroutement est au-dessus d'interface de gestion FTD.
La fonctionnalité de gestion simple IP SNMP est prise en charge à compter de 6.6 sur toutes les Plateformes FTD :
Pour plus de contrôle de détails configurez le SNMP pour la défense contre des menaces
Vérification de configuration CLI
ksec-fpr9k-1-A /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: Yes Sys Contact: Sys Location: ksec-fpr9k-1-A /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Community Version V3 Privilege Notification Type ------------------------ -------- ---------- ------- ------------ ----------------- 192.168.10.100 162 V2c Noauth Traps
Du mode FXOS.
ksec-fpr9k-1-A(fxos)# show run snmp !Command: show running-config snmp !Time: Mon Oct 16 15:41:09 2017 version 5.0(3)N2(4.21) snmp-server host 192.168.10.100 traps version 2c cisco456 snmp-server enable traps callhome event-notify snmp-server enable traps callhome smtp-send-fail … All traps will appear as enable … snmp-server enable traps flexlink ifStatusChange snmp-server context mgmt vrf management snmp-server community cisco123 group network-operator
Vérifications d'Addional :
ksec-fpr9k-1-A(fxos)# show snmp host ------------------------------------------------------------------- Host Port Version Level Type SecName ------------------------------------------------------------------- 192.168.10.100 162 v2c noauth trap cisco456 -------------------------------------------------------------------
ksec-fpr9k-1-A(fxos)# show snmp Community Group / Access context acl_filter --------- -------------- ------- ---------- cisco123 network-operator
...
Demandes SNMP de test :
Exécutez une demande SNMP d'un hôte valide.
Confirmez la génération de déroutement :
Vous pouvez utiliser l'instabilité une interface avec l'ethanalyzer activé confirmer que des déroutements SNMP sont générés et envoyés aux hôtes de déroutement définis
ksec-fpr9k-1-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" Capturing on eth0 wireshark-broadcom-rcpu-dissector: ethertype=0xde08, devicetype=0x0 2017-11-17 09:01:35.954624 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap 2017-11-17 09:01:36.054511 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap
Avertissement : Le battement d'une interface entraînera une panne du trafic. Faites ce test seulement dans un environnement de travaux pratiques ou pendant une fenêtre de maintenance
Étape 1. Les configurations ouvertes de plate-forme FCM UI > le SNMP > l'utilisateur affiche s'il y a n'importe quel mot de passe configuré de mot de passe et d'intimité.
Étape 2. Dans le CLI vous pouvez vérifier la configuration SNMP sous la surveillance de portée.
ksec-fpr9k-1-A /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: No Sys Contact: Sys Location: ksec-fpr9k-1-A /monitoring # show snmp-user SNMPv3 User: Name Authentication type ------------------------ ------------------- user1 Sha
ksec-fpr9k-1-A /monitoring # show snmp-user detail SNMPv3 User: Name: user1 Authentication type: Sha Password: **** Privacy password: **** Use AES-128: Yes
ksec-fpr9k-1-A /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Community Version V3 Privilege Notification Type ------------------------ -------- ---------- ------- ------------ ----------------- 192.168.10.100 162 V3 Priv Traps
Étape 3. Sous le mode FXOS vous pouvez développer la configuration et des détails SNMP.
ksec-fpr9k-1-A(fxos)# show running-config snmp all … snmp-server user user1 network-operator auth sha 0x022957ee4690a01f910f1103433e4b7b07d4b5fc priv aes-128 0x022957ee4690a01f910f1103433e4b7b07d4b5fc localizedkey snmp-server host 192.168.10.100 traps version 3 priv user1 ksec-fpr9k-1-A(fxos)# show snmp user ______________________________________________________________ SNMP USERS ______________________________________________________________ User Auth Priv(enforce) Groups ____ ____ _____________ ______ user1 sha aes-128(yes) network-operator ______________________________________________________________ NOTIFICATION TARGET USERS (configured for sending V3 Inform) ______________________________________________________________ User Auth Priv ____ ____ ____
ksec-fpr9k-1-A(fxos)# show snmp host ------------------------------------------------------------------- Host Port Version Level Type SecName ------------------------------------------------------------------- 10.48.26.190 162 v3 priv trap user1 -------------------------------------------------------------------
Demandes SNMP de test :
Vous pouvez vérifier la configuration et faire une demande SNMP de n'importe quel périphérique avec des capacités SNMP.
Pour vous vérifier comment la demande SNMP est traitée peut utiliser le débogage SNMP.
ksec-fpr9k-1-A(fxos)# debug snmp pkt-dump ksec-fpr9k-1-A(fxos)# 2017 Oct 16 17:11:54.681396 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2 = NULL SNMPPKTEND 2017 Oct 16 17:11:54.681833 snmpd: SNMPPKTSTRT: 3.000000 161 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89 2017 Oct 16 17:11:54.683952 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2.83886080 = STRING: "mgmt0" SNMPPKTEND 2017 Oct 16 17:11:54.684370 snmpd: SNMPPKTSTRT: 3.000000 162 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89
Attention : Un débogage peut affecter la représentation de périphérique.
Vérifiez la configuration par l'intermédiaire du CLI
FP2110-4 /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: Yes Sys Contact: Sys Location: FP2110-4 /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Version V3 Privilege Notification Type ------------------------ -------- ------- ------------ ----------------- 10.48.26.190 162 V2c Noauth Traps
Confirmez le comportement SNMP :
Vous pouvez vérifier que vous pouvez voter le FXOS et envoyer une demande SNMP d'un hôte ou de n'importe quel périphérique avec des capacités SNMP.
Utilisez la commande du capture-trafic de voir la demande et la réponse SNMP.
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 13:50:50.521383 IP 10.48.26.190.42224 > FP2110-4.snmp: C=cisco123 GetNextRequest(29) interfaces.ifTable.ifEntry.ifDescr 13:50:50.521533 IP FP2110-4.snmp > 10.48.26.190.42224: C=cisco123 GetResponse(32) interfaces.ifTable.ifEntry.ifDescr.1=[|snmp] ^C Caught interrupt signal Exiting. 2 packets captured 2 packets received by filter 0 packets dropped by kernel
Vérifiez la configuration par l'intermédiaire du CLI.
FP2110-4 /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: No Sys Contact: Sys Location: FP2110-4 /monitoring # show snmp-user detail SNMPv3 User: Name: user1 Authentication type: Sha Password: **** Privacy password: **** Use AES-128: Yes FP2110-4 /monitoring # show snmp-trap detail SNMP Trap: SNMP Trap: 10.48.26.190 Port: 163 Version: V3 V3 Privilege: Priv Notification Type: Traps
Confirmez le comportement SNMP :
Envoyez une demande SNMP de vérifier que vous pouvez voter le FXOS.
Supplémentaire, vous pouvez capturer la demande.
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 14:07:24.016590 IP 10.48.26.190.38790 > FP2110-4.snmp: F=r U= E= C= [|snmp] 14:07:24.016851 IP FP2110-4.snmp > 10.48.26.190.38790: F= [|snmp][|snmp] 14:07:24.076768 IP 10.48.26.190.38790 > FP2110-4.snmp: F=apr [|snmp][|snmp] 14:07:24.077035 IP FP2110-4.snmp > 10.48.26.190.38790: F=ap [|snmp][|snmp] ^C4 packets captured Caught interrupt signal Exiting. 4 packets received by filter 0 packets dropped by kernel
Pour vérifier la configuration SNMP FTD LINA.
Firepower-module1# show run snmp-server snmp-server host OUTSIDE3 10.62.148.75 community ***** version 2c no snmp-server location no snmp-server contact snmp-server community *****
Dans post-6.6 FTD vous pouvez configurer et utiliser l'interface de gestion FTD pour le SNMP :
firepower# show running-config snmp-server snmp-server group Priv v3 priv snmp-server group NoAuth v3 noauth snmp-server user uspriv1 Priv v3 engineID 80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 encrypted auth sha256 6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05:82:be:30:88:86:19:3c:96:42:3b :98:a5:35:1b:da:db priv aes 128 6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05 snmp-server user usnoauth NoAuth v3 engineID 80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 snmp-server host ngfw-management 10.225.126.168 community ***** version 2c snmp-server host ngfw-management 10.225.126.167 community ***** snmp-server host ngfw-management 10.225.126.186 version 3 uspriv1 no snmp-server location no snmp-server contact
Vérification supplémentaire.
Firepower-module1# show snmp-server host host ip = 10.62.148.75, interface = OUTSIDE3 poll community ***** version 2c
Du serveur CLI SNMP exécutez un snmpwalk.
root@host:/Volume/home/admin# snmpwalk -v2c -c cisco -OS 10.62.148.48 SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 6.2.3.1 (Build 43), ASA Version 9.9(2)4 SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2313 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8350600) 23:11:46.00 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: Firepower-module1 SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 4 IF-MIB::ifNumber.0 = INTEGER: 10 IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifIndex.6 = INTEGER: 6 IF-MIB::ifIndex.7 = INTEGER: 7 IF-MIB::ifIndex.8 = INTEGER: 8 IF-MIB::ifIndex.9 = INTEGER: 9 IF-MIB::ifIndex.10 = INTEGER: 10 IF-MIB::ifIndex.11 = INTEGER: 11 ...
Vérification des statistiques de trafic SNMP.
Firepower-module1# show snmp-server statistics 1899 SNMP packets input 0 Bad SNMP version errors 0 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 1899 Number of requested variables 0 Number of altered variables 0 Get-request PDUs 1899 Get-next PDUs 0 Get-bulk PDUs 0 Set-request PDUs (Not supported) 1904 SNMP packets output 0 Too big errors (Maximum packet size 1500) 0 No such name errors 0 Bad values errors 0 General errors 1899 Response PDUs 5 Trap PDUs
La configuration FXOS sur FPR4100/9300 peut limiter l'accès SNMP par adresse IP source. La section de configuration de liste d'accès définit que les réseaux/hôtes peuvent atteindre le périphérique par l'intermédiaire du SSH, du HTTPS ou du SNMP. Vous devez s'assurer qu'on permet des requêtes SNMP de votre serveur SNMP.
ksec-fpr9k-1-A# scope system ksec-fpr9k-1-A /system # scope services ksec-fpr9k-1-A /system/services # enter ip-block 0.0.0.0 0 snmp ksec-fpr9k-1-A /system/services/ip-block* # commit-buffer
ksec-fpr9k-1-A /system/services # show ip-block Permitted IP Block: IP Address Prefix Length Protocol --------------- ------------- -------- 0.0.0.0 0 https 0.0.0.0 0 snmp 0.0.0.0 0 ssh
Le navigateur d'objet SNMP de Cisco est un outil en ligne où vous pouvez traduire les différents OID et obtenir une description courte.
Employez l'oid de serveur SNMP d'exposition de commande du FTD LINA CLI pour récupérer la liste de totalité de LINA OID qui peut être votée.
> system support diagnostic-cli
firepower# show snmp-server oid ------------------------------------------------- [0] 1.3.6.1.2.1.1.1. sysDescr [1] 1.3.6.1.2.1.1.2. sysObjectID [2] 1.3.6.1.2.1.1.3. sysUpTime [3] 1.3.6.1.2.1.1.4. sysContact [4] 1.3.6.1.2.1.1.5. sysName [5] 1.3.6.1.2.1.1.6. sysLocation [6] 1.3.6.1.2.1.1.7. sysServices [7] 1.3.6.1.2.1.1.8. sysORLastChange
... [1081] 1.3.6.1.6.3.16.1.4.1.9. vacmAccessStatus [1082] 1.3.6.1.6.3.16.1.5.1. vacmViewSpinLock [1083] 1.3.6.1.6.3.16.1.5.2.1.3. vacmViewTreeFamilyMask [1084] 1.3.6.1.6.3.16.1.5.2.1.4. vacmViewTreeFamilyType [1085] 1.3.6.1.6.3.16.1.5.2.1.5. vacmViewTreeFamilyStorageType [1086] 1.3.6.1.6.3.16.1.5.2.1.6. vacmViewTreeFamilyStatus ------------------------------------------------- firepower#
Remarque: La commande est masquée.