Configurazione di SNMPv2c/v3 sugli switch Catalyst serie 9000
Introduzione
Questo documento descrive la configurazione di base di SNMPv2c e SNMPv3 sugli switch Catalyst 9000.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Protocollo SNMP (Simple Network Management Protocol).
- Familiarità con gli switch Catalyst serie 9000.
- Familiarità con SNMP Object Identifier (OID).
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- C9200
- C9300
- C9400
- C9500
- C9600
- Software Cisco IOS® XE &17.X
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Prerequisiti per SNMP
Sia SNMPv1 che SNMPv2C utilizzano una forma di sicurezza basata su community. La comunità di manager in grado di accedere al MIB dell'agente è definita da un elenco di controllo di accesso con indirizzo IP e password.
SNMPv2C include una funzione di recupero in blocco e una segnalazione più dettagliata dei messaggi di errore alle stazioni di gestione. La funzione di recupero in blocco recupera tabelle e grandi quantità di informazioni, riducendo al minimo il numero di round-trip richiesti. La migliore gestione degli errori di SNMPv2C include codici di errore estesi che distinguono i diversi tipi di condizioni di errore; queste condizioni vengono segnalate tramite un singolo codice di errore in SNMPv1. I codici di errore restituiti in SNMPv2C indicano il tipo di errore.
L'SNMPv3 fornisce sia modelli di sicurezza che livelli di sicurezza. Un modello di protezione è una strategia di autenticazione impostata per un utente e il gruppo in cui risiede l'utente. Un livello di protezione è il livello di protezione consentito all'interno di un modello di protezione. Una combinazione del livello di protezione e del modello di protezione determina il metodo di protezione utilizzato quando si gestisce un pacchetto SNMP. I modelli di sicurezza disponibili sono SNMPv1, SNMPv2C e SNMPv3.
Questa tabella identifica le caratteristiche e confronta diverse combinazioni di modelli e livelli di protezione:
| Modello | Livello | Autenticazione | Crittografia | Risultato |
|---|---|---|---|---|
| SNMPv1 | noAuthNoPriv | Stringa della community | No | Utilizza una stringa della community corrispondente per l'autenticazione. |
| SNMPv2C | noAuthNoPriv | Stringa della community | No | Utilizza una stringa della community corrispondente per l'autenticazione. |
| SNMPv3 | noAuthNoPriv | Username | No | Utilizza un nome utente corrispondente per l'autenticazione. |
| SNMPv3 | authNoPriv | MD5 (Message Digest 5) o SHA (Secure Hash Algorithm) | No | Fornisce l'autenticazione basata sugli algoritmi HMAC-MD5 o HMAC-SHA. |
| SNMPv3 | authPriv | MD5 o Agente integrità sistema | DES (Data Encryption Standard) o AES (Advanced Encryption Standard) |
Fornisce l'autenticazione basata sugli algoritmi HMAC-MD5 o HMAC-SHA. Consente di specificare il modello USM (User-Based Security Model) con i seguenti algoritmi di crittografia:
|
Esempio di rete
SNMPv2c
Config
Switch(config)#snmp-server community cisco RW >Read-only access with this community string
Switch(config)#snmp-server community cisco RO >Read-write access with this community string
Verifica
Switch#show snmp community
Community name: cisco
Community Index: cisco
Community SecurityName: cisco
storage-type: nonvolatile active
~ % snmpwalk -v2c -c cisco 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111410969) 12 days, 21:28:29.69
SNMPv3
noAuthNoPriv
Config
Switch(config)#snmp-server group noAuthNoPrivGroup v3 noauth
Switch(config)#snmp-server user testuser1 noAuthNoPrivGroup v3
Verifica
Switch#show snmp user
User name: testuser1
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: None
Privacy Protocol: None
Group-name: noAuthNoPrivGroup
~ % snmpwalk -v3 -u testuser1 -l noAuthNoPriv 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111425887) 12 days, 21:30:58.87
authNoPriv
auth-SHA
Config
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser2 AuthNoPrivGroup v3 auth sha Password123
Verifica
Switch#show snmp user
User name: testuser2
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111447478) 12 days, 21:34:34.78
auth-MD5
Config
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser3 AuthNoPrivGroup v3 auth md5 Password123
Verifica
Switch#show snmp user
User name: testuser3
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111455526) 12 days, 21:35:55.26
authPriv
auth-SHA + priv-DES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser4 AuthPrivGroup v3 auth sha Password123 priv des Password123
Verifica
Switch#show snmp user
User name: testuser4
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser4 -l authPriv -a SHA -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111472744) 12 days, 21:38:47.44
auth-SHA + priv-AES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser5 AuthPrivGroup v3 auth sha Password123 priv aes 128 Password123
Verifica
Switch#show snmp user
User name: testuser5
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser5 -l authPriv -a SHA -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111476608) 12 days, 21:39:26.08
auth-MD5 + priv-DES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser6 AuthPrivGroup v3 auth md5 Password123 priv des Password123
Verifica
Switch#show snmp user
User name: testuser6
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser6 -l authPriv -a MD5 -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76726018) 8 days, 21:07:40.18
auth-MD5 + priv-AES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser7 AuthPrivGroup v3 auth md5 Password123 priv aes 128 Password123
Verifica
Switch#show snmp user
User name: testuser7
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser7 -l authPriv -a MD5 -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76738170) 8 days, 21:09:41.70
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
30-Sep-2025
|
Versione iniziale |
Feedback