SNMP 정보
SNMP는 네트워크 디바이스 간의 관리 정보 교환을 촉진하기 위한 애플리케이션 계층 프로토콜이며 TCP/IP 프로토콜 군의 일부입니다. ASA는 SNMP 버전 1, 2c 및 3을 사용하여 네트워크 모니터링을 지원하고 모든 3개 버전의 동시 사용도 지원합니다. ASA 인터페이스에서 실행되는 SNMP 에이전트를 사용하면 HP OpenView와 같은 NMS(네트워크 관리 시스템)을 통해 네트워크 디바이스를 모니터링할 수 있습니다. ASA는 GET 요청 발행을 통해 SNMP 읽기 전용 액세스를 지원합니다. SNMP 쓰기 액세스는 허용되지 않으므로 SNMP를 사용하여 변경할 수는 없습니다. 또한 SNMP SET 요청은 지원되지 않습니다.
ASA를 NMS로의 특정 이벤트(알림 포함)에 대해 관리 디바이스에서 관리 스테이션으로 전송되는 요청하지 않은 메시지인 트랩을 보내도록 구성하거나 NMS를 사용하여 보안 디바이스에서 MIB(관리 정보 기반)를 찾아볼 수 있습니다. MIB는 정의 모음이고 ASA은 각 정의에 대한 값 데이터베이스를 유지합니다. MIB를 찾아보는 것은 NMS에서 MIB 트리에 대한 일련의 GET-NEXT 또는 GET-BULK 요청을 발행하는 것을 의미합니다.
![]() 참고 |
워크로드가 과중한 경우 10개 이상의 NMS를 구축하면 디바이스의 성능에 영향을 미칠 수 있습니다. 디바이스의 안정성과 응답성을 보장하기 위해 SNMP 워크 폴링을 수행하고 트랩 트래픽을 관리할 때 NMS를 신중하게 활용하는 것이 좋습니다. |
ASA에는 예를 들어 네트워크 링크가 실행 또는 중단 상태로 전환될 때 알림이 필요하도록 사전 정의된 이벤트가 발생하는 경우 지정된 관리 스테이션에 알려주는 SNMP 에이전트가 있습니다. 이때 보내는 알림은 관리 스테이션에 스스로를 식별하는 SNMP OID를 포함합니다. ASA 에이전트는 관리 스테이션이 정보를 요구할 때 응답하기도 합니다.
SNMP 용어
다음 표는 SNMP에서 작업할 때 일반적으로 사용되는 용어를 나열합니다.
용어 |
설명 |
---|---|
에이전트 |
ASA에서 실행되는 SNMP 서버입니다. SNMP 에이전트는 다음과 같은 특징을 갖습니다.
|
찾아보기 |
디바이스의 SNMP 에이전트에서 필요한 정보를 폴링함으로써 네트워크 관리 스테이션에서 해당 디바이스의 상태를 모니터링합니다. 이 작업은 값을 결정하기 위해 네트워크 관리 스테이션에서 MIB 트리에 대한 일련의 GET-NEXT 또는 GET-BULK 요청을 생성하는 것을 포함할 수 있습니다. |
MIB(관리 정보 기반) |
패킷, 연결, 버퍼, 장애 조치 등에 관한 정보를 수집하기 위한 표준화된 데이터 구조입니다. MIB는 대부분의 네트워크 디바이스에서 사용되는 제품, 프로토콜 및 하드웨어 표준으로 정의됩니다. SNMP 네트워크 관리 스테이션은 MIB를 찾아보고 특정 데이터나 이벤트 전송을 실시간으로 요청할 수 있습니다. |
NMS(네트워크 관리 스테이션) |
SNMP 이벤트를 모니터링하고 ASA 등의 디바이스를 관리하도록 설정된 PC나 워크스테이션입니다. |
OID(객체 식별자) |
NMS에서 디바이스를 식별하고 사용자에게 모니터링 및 표시되는 정보의 소스를 보여주는 시스템입니다. |
트랩 |
SNMP 에이전트에서 NMS로 메시지를 생성하는 사전 정의된 이벤트입니다. 이벤트는 linkup, linkdown, coldstart, warmstart, authentication 또는 syslog 메시지와 같은 경보 조건을 포함합니다. |
MIB 및 트랩
MIB는 표준이거나 기업별로 구분됩니다. 표준 MIB는 IETF에 의해 생성되며 다양한 RFC에 문서화되어 있습니다. 트랩은 네트워크 디바이스에서 발생하는 중요 이벤트(대부분 오류나 장애)를 보고합니다. SNMP 트랩은 표준 또는 기업별 MIB로 정의됩니다. 표준 트랩은 IETF에 의해 생성되며 다양한 RFC에 문서화되어 있습니다. SNMP 트랩은 ASA 소프트웨어로 컴파일됩니다.
필요한 경우 다음 위치에서 RFC, 표준 MIB 및 표준 트랩을 다운로드할 수 있습니다.
다음 위치에서 Cisco MIB, 트랩 및 OID의 전체 목록을 검색하십시오.
https://github.com/cisco/cisco-mibs/blob/main/supportlists/asa/asa-supportlist.html
또한 다음 위치에서 FTP를 통해 Cisco OID를 다운로드할 수 있습니다.
https://github.com/cisco/cisco-mibs/tree/main/oid
![]() 참고 |
소프트웨어 7.2(1), 8.0(2) 이후 버전에서는 SNMP를 통해 액세스하는 인터페이스 정보를 약 5초마다 새로 고칩니다. 따라서 연속 폴링 사이에 적어도 5초를 기다리는 것이 좋습니다. |
MIB에 있는 모든 OID가 지원되지는 않습니다. 특정 ASA에 대해 지원되는 SNMP MIB 및 OID 목록을 얻으려면 다음 명령을 입력합니다.
ciscoasa(config)# show snmp-server oidlist
![]() 참고 |
oidlist 키워드는 show snmp-server 명령 도움말에 대한 옵션 목록에 나타나지 않더라도 사용할 수 있습니다. 그러나 이 명령은 Cisco TAC 전용입니다. 이 명령을 사용하기 전에 Cisco TAC에 문의하십시오. |
다음은 show snmp-server oidlist 명령의 샘플 출력입니다.
ciscoasa(config)# show snmp-server oidlist
[0] 1.3.6.1.2.1.1.1. sysDescr
[1] 1.3.6.1.2.1.1.2. sysObjectID
[2] 1.3.6.1.2.1.1.3. sysUpTime
[3] 1.3.6.1.2.1.1.4. sysContact
[4] 1.3.6.1.2.1.1.5. sysName
[5] 1.3.6.1.2.1.1.6. sysLocation
[6] 1.3.6.1.2.1.1.7. sysServices
[7] 1.3.6.1.2.1.2.1. ifNumber
[8] 1.3.6.1.2.1.2.2.1.1. ifIndex
[9] 1.3.6.1.2.1.2.2.1.2. ifDescr
[10] 1.3.6.1.2.1.2.2.1.3. ifType
[11] 1.3.6.1.2.1.2.2.1.4. ifMtu
[12] 1.3.6.1.2.1.2.2.1.5. ifSpeed
[13] 1.3.6.1.2.1.2.2.1.6. ifPhysAddress
[14] 1.3.6.1.2.1.2.2.1.7. ifAdminStatus
[15] 1.3.6.1.2.1.2.2.1.8. ifOperStatus
[16] 1.3.6.1.2.1.2.2.1.9. ifLastChange
[17] 1.3.6.1.2.1.2.2.1.10. ifInOctets
[18] 1.3.6.1.2.1.2.2.1.11. ifInUcastPkts
[19] 1.3.6.1.2.1.2.2.1.12. ifInNUcastPkts
[20] 1.3.6.1.2.1.2.2.1.13. ifInDiscards
[21] 1.3.6.1.2.1.2.2.1.14. ifInErrors
[22] 1.3.6.1.2.1.2.2.1.16. ifOutOctets
[23] 1.3.6.1.2.1.2.2.1.17. ifOutUcastPkts
[24] 1.3.6.1.2.1.2.2.1.18. ifOutNUcastPkts
[25] 1.3.6.1.2.1.2.2.1.19. ifOutDiscards
[26] 1.3.6.1.2.1.2.2.1.20. ifOutErrors
[27] 1.3.6.1.2.1.2.2.1.21. ifOutQLen
[28] 1.3.6.1.2.1.2.2.1.22. ifSpecific
[29] 1.3.6.1.2.1.4.1. ipForwarding
[30] 1.3.6.1.2.1.4.20.1.1. ipAdEntAddr
[31] 1.3.6.1.2.1.4.20.1.2. ipAdEntIfIndex
[32] 1.3.6.1.2.1.4.20.1.3. ipAdEntNetMask
[33] 1.3.6.1.2.1.4.20.1.4. ipAdEntBcastAddr
[34] 1.3.6.1.2.1.4.20.1.5. ipAdEntReasmMaxSize
[35] 1.3.6.1.2.1.11.1. snmpInPkts
[36] 1.3.6.1.2.1.11.2. snmpOutPkts
[37] 1.3.6.1.2.1.11.3. snmpInBadVersions
[38] 1.3.6.1.2.1.11.4. snmpInBadCommunityNames
[39] 1.3.6.1.2.1.11.5. snmpInBadCommunityUses
[40] 1.3.6.1.2.1.11.6. snmpInASNParseErrs
[41] 1.3.6.1.2.1.11.8. snmpInTooBigs
[42] 1.3.6.1.2.1.11.9. snmpInNoSuchNames
[43] 1.3.6.1.2.1.11.10. snmpInBadValues
[44] 1.3.6.1.2.1.11.11. snmpInReadOnlys
[45] 1.3.6.1.2.1.11.12. snmpInGenErrs
[46] 1.3.6.1.2.1.11.13. snmpInTotalReqVars
[47] 1.3.6.1.2.1.11.14. snmpInTotalSetVars
[48] 1.3.6.1.2.1.11.15. snmpInGetRequests
[49] 1.3.6.1.2.1.11.16. snmpInGetNexts
[50] 1.3.6.1.2.1.11.17. snmpInSetRequests
[51] 1.3.6.1.2.1.11.18. snmpInGetResponses
[52] 1.3.6.1.2.1.11.19. snmpInTraps
[53] 1.3.6.1.2.1.11.20. snmpOutTooBigs
[54] 1.3.6.1.2.1.11.21. snmpOutNoSuchNames
[55] 1.3.6.1.2.1.11.22. snmpOutBadValues
[56] 1.3.6.1.2.1.11.24. snmpOutGenErrs
[57] 1.3.6.1.2.1.11.25. snmpOutGetRequests
[58] 1.3.6.1.2.1.11.26. snmpOutGetNexts
[59] 1.3.6.1.2.1.11.27. snmpOutSetRequests
[60] 1.3.6.1.2.1.11.28. snmpOutGetResponses
[61] 1.3.6.1.2.1.11.29. snmpOutTraps
[62] 1.3.6.1.2.1.11.30. snmpEnableAuthenTraps
[63] 1.3.6.1.2.1.11.31. snmpSilentDrops
[64] 1.3.6.1.2.1.11.32. snmpProxyDrops
[65] 1.3.6.1.2.1.31.1.1.1.1. ifName
[66] 1.3.6.1.2.1.31.1.1.1.2. ifInMulticastPkts
[67] 1.3.6.1.2.1.31.1.1.1.3. ifInBroadcastPkts
[68] 1.3.6.1.2.1.31.1.1.1.4. ifOutMulticastPkts
[69] 1.3.6.1.2.1.31.1.1.1.5. ifOutBroadcastPkts
[70] 1.3.6.1.2.1.31.1.1.1.6. ifHCInOctets
--More--
SNMP Object Identifier
모든 Cisco 시스템 레벨 제품에는 MIB II sysObjectID로 사용하기 위한 SNMP OID(object identifier)가 있습니다. CISCO-PRODUCTS-MIB 및 CISCO-ENTITY-VENDORTYPE-OID-MIB는 SNMPv2-MIB, Entity Sensor MIB 및 Entity Sensor Threshold Ext MIB에서 sysObjectID 개체로 보고될 수 있는 OID를 포함합니다. 이 값을 사용하여 모델 유형을 식별할 수 있습니다. 다음 표에는 ASA 및 ISA 모델의 sysObjectID OID가 나와 있습니다.
제품 ID |
sysObjectID |
모델 번호 |
---|---|---|
ASA 가상 |
ciscoASAv(ciscoProducts 1902) |
Cisco Adaptive Security Virtual Appliance(ASA 가상) |
ASA 가상 시스템 상황 |
ciscoASAvsy(ciscoProducts 1903) |
Cisco Adaptive Security Virtual Appliance(ASA 가상) 시스템 상황 |
ASA 가상 보안 상황 |
ciscoASAvsc(ciscoProducts 1904) |
Cisco Adaptive Security Virtual Appliance(ASA 가상) 보안 컨텍스트 |
Secure Firewall 4200 |
ciscoFpr4215td(ciscoProducts 3043) ciscoFpr4225td(ciscoProducts 3042) ciscoFpr4245td(ciscoProducts 3041) |
FPR4215, FPR4225, FPR4245 |
ISA 30004C Industrial Security Appliance |
ciscoProducts 2268 |
ciscoISA30004C |
4GE Copper Security Context가 포함된 CISCO ISA30004C |
ciscoProducts 2139 |
ciscoISA30004Csc |
4GE Copper System Context가 포함된 CISCO ISA30004C |
ciscoProducts 2140 |
ciscoISA30004Csy |
ISA 30002C2F Industrial Security Appliance |
ciscoProducts 2267 |
ciscoISA30002C2F |
2GE 구리 포트 + 2GE Fiber Security Context가 포함된 CISCO ISA30002C2F |
ciscoProducts 2142 |
ciscoISA30002C2Fsc |
2GE 구리 포트 + 2GE Fiber System Context가 포함된 CISCO ISA30002C2F |
ciscoProducts 2143 |
ciscoISA30002C2Fsy |
Cisco Industrial Security Appliance(ISA) 30004C Chassis |
cevChassis 1677 |
cevChassisISA30004C |
Cisco Industrial Security Appliance(ISA) 30002C2F Chassis |
cevChassis 1678 |
cevChassisISA30002C2F |
ISA30004C Copper SKU용 중앙 처리 장치 온도 센서 |
cevSensor 187 |
cevSensorISA30004CCpuTempSensor |
ISA30002C2F Fiber용 중앙 처리 장치 온도 센서 |
cevSensor 189 |
cevSensorISA30002C2FCpuTempSensor |
ISA30004C Copper SKU용 프로세서 카드 온도 센서 |
cevSensor 192 |
cevSensorISA30004CPTS |
ISA30002C2F Fiber SKU용 프로세서 카드 온도 센서 |
cevSensor 193 |
cevSensorISA30002C2FPTS |
ISA30004C Copper SKU용 전력 카드 온도 센서 |
cevSensor 197 |
cevSensorISA30004CPowercardTS |
ISA30002C2F Fiber SKU용 전력 카드 온도 센서 |
cevSensor 198 |
cevSensorISA30002C2FPowercardTS |
ISA30004C용 포트 카드 온도 센서 |
cevSensor 199 |
cevSensorISA30004CPortcardTS |
ISA30002C2F용 포트 카드 온도 센서 |
cevSensor 200 |
cevSensorISA30002C2FPortcardTS |
ISA30004C Copper SKU용 중앙 처리 장치 |
cevModuleCpuType 329 |
cevCpuISA30004C |
ISA30002C2F Fiber SKU용 중앙 처리 장치 |
cevModuleCpuType 330 |
cevCpuISA30002C2F |
모듈 ISA30004C, ISA30002C2F |
cevModule 111 |
cevModuleISA3000Type |
30004C Industrial Security Appliance Solid State Drive |
cevModuleISA3000Type 1 |
cevModuleISA30004CSSD64 |
30002C2F Industrial Security Appliance Solid State Drive |
cevModuleISA3000Type 2 |
cevModuleISA30002C2FSSD64 |
Cisco ISA30004C/ISA30002C2F Hardware Bypass |
cevModuleISA3000Type 5 |
cevModuleISA3000HardwareBypass |
FirePOWER 4140 Security Appliance, 포함된 보안 모듈 36이 있는 1U |
ciscoFpr4140K9(ciscoProducts 2293) |
FirePOWER 4140 |
FirePOWER 4120 Security Appliance, 포함된 보안 모듈 24가 있는 1U |
ciscoFpr4120K9(ciscoProducts 2294) |
FirePOWER 4120 |
FirePOWER 4K Fan Bay |
cevContainer 363 |
cevContainerFPR4KFanBay |
FirePOWER 4K Power Supply Bay |
cevContainer 364 |
cevContainerFPR4KPowerSupplyBay |
Cisco Secure Firewall Threat Defense Virtual, VMware |
cevChassis 1795 |
cevChassisCiscoFTDVVMW |
시스코 Threat Defense Virtual, AWS |
cevChassis 1796 |
cevChassisCiscoFTDVAWS |
물리적 공급업체 유형 값
각 Cisco 섀시 또는 독립형 시스템은 SNMP 사용을 위한 고유한 유형의 숫자를 갖습니다. entPhysicalVendorType OID는 CISCO-ENTITY-VENDORTYPE-OID-MIB에 정의되어 있습니다. 이 값은 ASA, ASA 가상 또는 ASASM SNMP 에이전트의 entPhysicalVendorType 개체에서 반환됩니다. 이 값을 사용하여 구성 요소의 유형(모듈, 전원 공급 장치, 팬, 센서, CPU 등)을 식별할 수 있습니다. 다음 표는 ASA 모델에 대한 실제 공급업체 유형 값을 나열합니다.
항목 |
entPhysicalVendorType OID 설명 |
---|---|
기가비트 이더넷 포트 |
cevPortGe(cevPort 109) |
Cisco Adaptive Security Virtual Appliance |
cevChassisASAv(cevChassis 1451) |
Secure Firewall 4200-X (FPR4215/FPR4225/FPR4245) |
cevFPRNM4X200Gng 및 cevFPRNM2X100Gng(슬롯 2 및 슬롯 3에 추가된 듀얼 EPM 2X100G 및 4X200G용) |
MIB에서 지원되는 테이블 및 개체
다음 표에서는 지정된 MIB에 대해 지원되는 테이블 및 개체를 소개합니다.
멀티 컨텍스트 모드에서 이러한 테이블과 개체는 단일 컨텍스트에 대한 정보를 제공합니다. 컨텍스트 전반에 걸친 데이터를 원하는 경우 합산해야 합니다. 예를 들어 전체 메모리 사용량을 가져오려면 각 컨텍스트에 대해 cempMemPoolHCUsed 값을 합산합니다.
MIB 이름 및 OID |
지원되는 테이블 및 개체 |
||
---|---|---|---|
ENTITY-MIB; OID: 1.3.6.1.2.1.47 |
entPhysicalTable, entPhysicalDescr, entPhysicalVendorType, entPhysicalName |
||
CISCO-ENHANCED-MEMPOOL-MIB; OID:1.3.6.1.4.1.9.9.221 |
cempMemPoolTable, cempMemPoolIndex, cempMemPoolType, cempMemPoolName, cempMemPoolAlternate, cempMemPoolValid. 32비트 메모리 시스템의 경우 32비트 메모리 카운터(cempMemPoolUsed, cempMemPoolFree,cempMemPoolUsedOvrflw, cempMemPoolFreeOvrflw, cempMemPoolLargestFree, cempMemPoolLowestFree, cempMemPoolUsedLowWaterMark, cempMemPoolAllocHit, cempMemPoolAllocMiss, cempMemPoolFreeHit, cempMemPoolFreeMiss, cempMemPoolLargestFreeOvrflw, cempMemPoolLowestFreeOvrflw, cempMemPoolUsedLowWaterMarkOvrflw, cempMemPoolSharedOvrflw)를 사용하여 폴링합니다. 64비트 메모리 시스템의 경우 64비트 메모리 카운터(cempMemPoolHCUsed, cempMemPoolHCFree, cempMemPoolHCLargestFree, cempMemPoolHCLowestFree, cempMemPoolHCUsedLowWaterMark, cempMemPoolHCShared)를 사용하여 폴링합니다. |
||
CISCO-REMOTE-ACCESS-MONITOR-MIB; OID:1.3.6.1.4.1.9.9.392
|
crasNumTotalFailures, crasNumSetupFailInsufResources, crasNumAbortedSessions |
||
CISCO-ENTITY-SENSOR-EXT-MIB; OID:1.3.6.1.4.1.9.9.745 |
ceSensorExtThresholdTable |
||
CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB; OID:1.3.6.1.4.1.9.9.480 |
ciscoL4L7ResourceLimitTable |
||
CISCO-TRUSTSEC-SXP-MIB; OID:1.3.6.1.4.1.9.9.720
|
ctsxSxpGlobalObjects, ctsxSxpConnectionObjects, ctsxSxpSgtObjects |
||
DISMAN-EVENT-MIB; OID:1.3.6.1.2.1.88 |
mteTriggerTable, mteTriggerThresholdTable, mteObjectsTable, mteEventTable, mteEventNotificationTable |
||
DISMAN-EXPRESSION-MIB; OID:1.3.6.1.2.1.90 |
expExpressionTable, expObjectTable, expValueTable |
||
ENTITY-SENSOR-MIB; OID: 1.3.6.1.2.1.99
|
entPhySensorTable |
||
NAT-MIB; OID:1.3.6.1.2.1.123 |
natAddrMapTable, natAddrMapIndex, natAddrMapName, natAddrMapGlobalAddrType, natAddrMapGlobalAddrFrom, natAddrMapGlobalAddrTo, natAddrMapGlobalPortFrom, natAddrMapGlobalPortTo, natAddrMapProtocol, natAddrMapAddrUsed, natAddrMapRowStatus |
||
CISCO-PTP-MIB; OID:1.3.6.1.4.1.9.9.760
|
ciscoPtpMIBSystemInfo, cPtpClockDefaultDSTable, cPtpClockTransDefaultDSTable, cPtpClockPortTransDSTable |
||
CISCO-PROCESS-MIB; 1.3.6.1.4.1.9.9.109.1.1.1.1.7.1 1.3.6.1.4.1.9.9.109.1.1.1.1.7.2 to 1.3.6.1.4.1.9.9.109.1.1.1.1.7.(n+1) |
cpmCPUTotal1minRev 연결된 매개변수 및 cpmCPUTotal1minRev 값 예:
|
지원되는 트랩(알림)
다음 표에서는 지원되는 트랩(알림) 및 해당 MIB를 소개합니다.
트랩 및 MIB 이름 |
Varbind 목록 |
설명 |
||
---|---|---|---|---|
authenticationFailure (SNMPv2-MIB) |
— |
SNMP 버전 1 또는 2의 경우 SNMP 요청에서 제공된 커뮤니티 문자열이 바르지 않습니다. SNMP Version 3의 경우 auth 또는 priv 비밀번호나 사용자 이름이 바르지 않은 경우 트랩 대신 보고서 PDU가 생성됩니다. snmp-server enable traps snmp authentication 명령은 이러한 트랩 전송을 활성화하거나 비활성화하는 데 사용됩니다. |
||
bgpBackwardTransition |
bgpPeerLastError, bgpPeerState |
snmp-server enable traps peer-flap 명령은 BGP 피어 플랩 관련 트랩 전송을 활성화하는 데 사용됩니다. |
||
ccmCLIRunningConfigChanged (CISCO-CONFIG-MAN-MIB) |
ccmHistoryRunningLastChanged, ccmHistoryEventTerminalType |
snmp-server enable traps config 명령은 이 트랩 전송을 활성화하는 데 사용됩니다. |
||
cefcFRUInserted (CISCO-ENTITY-FRU-CONTROL-MIB) |
entPhysicalContainedIn |
snmp-server enable traps entity fru-insert 명령은 이 알림을 활성화하는 데 사용됩니다. |
||
cefcFRURemoved (CISCO-ENTITY-FRU-CONTROL-MIB) |
entPhysicalContainedIn |
snmp-server enable traps entity fru-remove 명령은 이 알림을 활성화하는 데 사용됩니다. |
||
ceSensorExtThresholdNotification (CISCO-ENTITY-SENSOR-EXT-MIB) |
entPhysicalName, entPhysicalDescr, entPhySensorValue, entPhySensorType, ceSensorExtThresholdValue |
snmp-server enable traps entity [power-supply-failure | fan-failure | cpu-temperature] 명령은 엔티티 임계값 알림 전송을 활성화하는 데 사용됩니다. 이 알림은 전원 공급 장치 장애에 대해 전송됩니다. 전송된 객체는 팬과 CPU 온도를 파악합니다. snmp-server enable traps entity fan-failure 명령은 팬 장애 트랩 전송을 활성화하는 데 사용됩니다.이 트랩은 Firepower 2100 Series에 적용되지 않습니다. snmp-server enable traps entity power-supply-failure 명령은 전원 공급 장치 장애 트랩 전송을 활성화하는 데 사용됩니다. snmp-server enable traps entity chassis-fan-failure 명령은 섀시 팬 장애 트랩 전송을 활성화하는 데 사용됩니다. snmp-server enable traps entity cpu-temperature 명령은 CPU 고온 트랩 전송을 활성화하는 데 사용됩니다. snmp-server enable traps entity power-supply-presence 명령은 전원 공급 장치 감지 장애 트랩 전송을 활성화하는 데 사용됩니다. snmp-server enable traps entity power-supply-temperature 명령은 전원 공급 장치 온도 임계값 트랩 전송을 활성화하는 데 사용됩니다. snmp-server enable traps entity chassis-temperature 명령은 섀시 주변 온도 트랩 전송을 활성화하는 데 사용됩니다. snmp-server enable traps entity accelerator-temperature 명령은 섀시 가속기 온도 트랩 전송을 활성화하는 데 사용됩니다. |
||
cikeTunnelStart (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cikePeerLocalAddr, cikePeerRemoteAddr, cikeTunLifeTime |
snmp-server enable traps ikev2 start 명령은 ikev2 시작 트랩 전송을 활성화하는 데 사용됩니다. |
||
cikeTunnelStop (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cikePeerLocalAddr, cikePeerRemoteAddr, cikeTunActiveTime |
snmp-server enable traps ikev2 stop 명령은 ikev2 스톱 트랩 전송을 활성화하는 데 사용됩니다. |
||
cipSecTunnelStart (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cipSecTunLifeTime, cipSecTunLifeSize |
snmp-server enable traps ipsec start 명령은 이 트랩 전송을 활성화하는 데 사용됩니다. |
||
cipSecTunnelStop (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cipSecTunActiveTime |
snmp-server enable traps ipsec stop 명령은 이 트랩 전송을 활성화하는 데 사용됩니다. |
||
ciscoConfigManEvent (CISCO-CONFIG-MAN-MIB) |
ccmHistoryEventCommandSource, ccmHistoryEventConfigSource, ccmHistoryEventConfigDestination |
snmp-server enable traps config 명령은 이 트랩 전송을 활성화하는 데 사용됩니다. |
||
ciscoRasTooManySessions (CISCO-REMOTE-ACCESS-MONITOR-MIB) |
crasNumSessions, crasNumUsers, crasMaxSessionsSupportable, crasMaxUsersSupportable, crasThrMaxSessions |
snmp-server enable traps remote-access session-threshold-exceeded 명령은 이 트랩 전송을 활성화하는 데 사용됩니다. |
||
ciscoUFwFailoverStateChanged (CISCO-UNIFIED-FIREWALL-MIB) |
gid, FOStatus |
snmp-server enable traps failover-state 명령은 장애 조치 상태 트랩 전송을 활성화하는 데 사용됩니다. |
||
clogMessageGenerated (CISCO-SYSLOG-MIB) |
clogHistFacility, clogHistSeverity, clogHistMsgName, clogHistMsgText, clogHistTimestamp |
Syslog 메시지가 생성됩니다. clogMaxSeverity 객체의 값은 어떤 syslog 메시지가 트랩으로 전송되는지 결정하는 데 사용됩니다. snmp-server enable traps syslog 명령은 이러한 트랩 전송을 활성화하거나 비활성화하는 데 사용됩니다. |
||
clrResourceLimitReached (CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB) |
crlResourceLimitValueType, crlResourceLimitMax, clogOriginIDType, clogOriginID |
snmp-server enable traps connection-limit-reached 명령은 connection-limit-reached 알림 전송을 활성화하는 데 사용됩니다. clogOriginID 객체는 트랩이 시작하는 상황 이름을 포함합니다. |
||
coldStart (SNMPv2-MIB) |
— |
SNMP 구성 후 SNMP 에이전트가 시작할 때 발생하는 coldStart 트랩 입니다. 이 트랩은 시스템 재부팅 후 에이전트가 시작할 때도 발생합니다.
snmp-server enable traps snmp coldstart 명령은 이러한 트랩 전송을 활성화하거나 비활성화하는 데 사용됩니다. |
||
cpmCPURisingThreshold (CISCO-PROCESS-MIB) |
cpmCPURisingThresholdValue, cpmCPUTotalMonIntervalValue, cpmCPUInterruptMonIntervalValue, cpmCPURisingThresholdPeriod, cpmProcessTimeCreated, cpmProcExtUtil5SecRev |
snmp-server enable traps cpu threshold rising 명령은 CPU 임계값 상승 알림 전송을 활성화하는 데 사용됩니다. cpmCPURisingThresholdPeriod 객체가 다른 객체와 함께 전송됩니다. |
||
cufwClusterStateChanged (CISCO-UNIFIED-FIREWALL-MIB) |
status |
snmp-server enable traps cluster-state 명령은 클러스터 상태 트랩 전송을 활성화하는 데 사용됩니다. |
||
entConfigChange (ENTITY-MIB) |
— |
snmp-server enable traps entity config-change fru-insert fru-remove 명령은 이 알림을 활성화하는 데 사용됩니다.
|
||
linkDown (IF-MIB) |
ifIndex, ifAdminStatus, ifOperStatus |
인터페이스에 대한 linkdown 트랩. snmp-server enable traps snmp linkdown 명령은 이러한 트랩 전송을 활성화하거나 비활성화하는 데 사용됩니다. |
||
linkUp (IF-MIB) |
ifIndex, ifAdminStatus, ifOperStatus |
인터페이스에 대한 linkup 트랩. snmp-server enable traps snmp linkup 명령은 이러한 트랩 전송을 활성화하거나 비활성화하는 데 사용됩니다. |
||
mteTriggerFired (DISMAN-EVENT-MIB) |
mteHotTrigger, mteHotTargetName, mteHotContextName, mteHotOID, mteHotValue, cempMemPoolName, cempMemPoolHCUsed |
snmp-server enable traps memory-threshold 명령은 메모리 임계값 알림을 활성화하는 데 사용됩니다. mteHotOID는 cempMemPoolHCUsed로 설정됩니다. cempMemPoolName 및 cempMemPoolHCUsed 객체는 다른 객체와 함께 전송됩니다. |
||
mteTriggerFired (DISMAN-EVENT-MIB) |
mteHotTrigger, mteHotTargetName, mteHotContextName, mteHotOID, mteHotValue, ifHCInOctets, ifHCOutOctets, ifHighSpeed, entPhysicalName |
snmp-server enable traps interface-threshold 명령은 인터페이스 임계값 알림을 활성화하는 데 사용됩니다. entPhysicalName 객체는 다른 객체와 함께 전송됩니다. |
||
natPacketDiscard (NAT-MIB) |
ifIndex |
snmp-server enable traps nat packet-discard 명령은 NAT 패킷 폐기 알림을 활성화하는 데 사용됩니다. 이 알림은 5분으로 속도가 제한되어 있으며 매핑 공간이 제공되지 않으므로 NAT가 IP 패킷을 버릴 때 생성됩니다. ifIndex는 매핑된 인터페이스의 ID를 제공합니다. |
||
ospfNbrStateChange |
ospfRouterId, ospfNbrIpAddr, ospfNbrAddressLessIndex, ospfNbrRtrId, ospfNbrState |
snmp-server enable traps peer-flap 명령은 OSPF 피어 플랩 관련 트랩 전송을 활성화하는 데 사용됩니다. |
||
warmStart (SNMPv2-MIB) |
— |
SNMP 에이전트를 처음으로 재시작할 때 발생하는 warmStart 트랩 입니다. 이 트랩은 모든 SNMP 호스트 설정이 제거되고 새 SNMP 설정이 수행되는 SNMP 구성 변경 후 에이전트가 다시 시작되는 경우에도 발생합니다. snmp-server enable traps snmp warmstart 명령은 이러한 트랩 전송을 활성화하거나 비활성화하는 데 사용됩니다. |
인터페이스 유형 및 예
SNMP 트래픽 통계를 생산하는 인터페이스 유형은 다음을 포함합니다.
-
논리—소프트웨어 드라이버가 수집한 통계로 물리적 통계의 하위 집합.
-
물리—하드웨어 드라이버가 수집한 통계. 각 물리적 이름 지정 인터페이스에는 논리적 통계와 물리적 통계 집합이 연결되어 있습니다. 각 물리적 인터페이스에는 연결된 VLAN 인터페이스가 두 개 이상 있습니다. VLAN 인터페이스에는 논리적 통계만 있습니다.
참고
여러 VLAN 인터페이스가 연결된 물리적 인터페이스의 경우 ifInOctets 및 ifOutoctets OID에 대한 SNMP 카운터가 해당 물리적 인터페이스의 종합 트래픽 카운터와 일치하도록 주의하십시오.
-
VLAN 전용—SNMP는 ifInOctets 및 ifOutOctets에 대해 논리적 통계를 사용합니다.
다음 표의 예에서는 SNMP 트래픽 통계의 차이점을 보여줍니다. 예 1은 showinterface 명령과 show traffic 명령에 대한 물리적 및 논리적 출력 통계의 차이를 보여 줍니다. 예 2는 show interface 명령과 show traffic 명령에 대한 VLAN 전용 인터페이스에 대한 출력 통계를 보여 줍니다. 예는 통계가 show traffic 명령에 대한 출력과 비슷함을 보여 줍니다.
예 1 |
예 2 |
---|---|
다음 예는 관리 인터페이스 및 물리 인터페이스에 대한 SNMP 출력 통계를 보여줍니다. ifInOctets 값은 show traffic 명령 출력에 나타나는 물리적 통계와 비슷하지만 논리적 통계 출력과는 다릅니다. ifIndex of the mgmt interface:
물리적 인터페이스 통계에 대응하는 ifInOctets:
|
ifIndex of VLAN inside:
|
SNMP Version 3 개요
SNMP Version 3에서는 SNMP Version 1 또는 Version 2c에 없는 향상된 보안을 제공합니다. SNMP 버전 1 및 2c는 일반 텍스트로 SNMP 서버와 SNMP 에이전트 간에 데이터를 전송합니다. SNMP 버전 3은 프로토콜 작동을 보호하기 위한 인증 및 프라이버시 옵션을 추가합니다. 또한 이 버전은 USM(사용자 기반 보안 모델) 및 VACM(보기 기반 제어 모델)을 통해 SNMP 에이전트와 MIB 객체에 대한 액세스를 제어합니다. 또한 ASA는 SNMP 그룹 및 사용자는 물론 호스트 생성을 지원하며 이는 안전한 SNMP 통신을 위한 전송 인증 및 암호화 활성화를 위해 필요합니다.
보안 모델
구성을 위해 인증 및 프라이버시 옵션은 보안 모델로 그룹화됩니다. 보안 모델은 사용자와 그룹에 적용되며 다음 3개 유형으로 나누어집니다.
-
NoAuthPriv—No Authentication and No Privacy(인증 없음 및 개인정보 보호 없음)로 메시지에 보안이 적용되지 않음을 의미합니다.
-
AuthNoPriv—Authentication but No Privacy(인증 있음 및 개인정보 보호 없음)로 메시지가 인증을 받음을 의미합니다.
-
AuthPriv—Authentication and Privacy(인증 있음 및 개인정보 보호 있음)로 메시지가 인증을 받고 암호화됨을 의미합니다.
SNMP 그룹
SNMP 그룹은 사용자를 추가할 수 있는 액세스 제어 정책입니다. 각 SNMP 그룹은 보안 모델로 구성되며 SNMP 보기와 연결됩니다. SNMP 그룹 내의 사용자는 SNMP 그룹의 보안 모델과 일치해야 합니다. 이러한 파라미터는 SNMP 그룹 내 사용자가 이용하는 인증 및 프라이버시 유형을 지정합니다. 각 SNMP 그룹 이름 및 보안 모델 쌍은 고유해야 합니다.
SNMP 사용자
SNMP 사용자는 지정된 사용자 이름, 사용자가 속하는 그룹, 인증 비밀번호, 암호화 비밀번호 및 승인, 그리고 사용할 암호화 알고리즘을 가져야 합니다. 인증 알고리즘 옵션은 SHA-1, SHA-224, SHA-256 HMAC 및 SHA-384입니다. 암호화 알고리즘 옵션은 3DES 및 AES(128, 192, 256 버전으로 제공)입니다. 사용자를 생성할 때 반드시 SNMP 그룹과 연결해야 합니다. 그러면 사용자에게 그룹의 보안 모델이 상속됩니다.
![]() 참고 |
SNMP v3 사용자 계정을 구성할 때는 인증 알고리즘의 길이가 암호화 알고리즘의 길이와 같거나 더 길어야 합니다. |
SNMP 호스트
SNMP 호스트는 SNMP 알림 및 트랩이 전송되는 IP 주소입니다. 트랩은 구성된 사용자에게만 전송되기 때문에 SNMP 버전 3 호스트를 대상 IP 주소와 함께 구성하려면 사용자 이름을 구성해야 합니다. SNMP 대상 IP 주소 및 대상 파라미터 이름은 ASA에서 고유해야 합니다. 각 SNMP 호스트는 연결된 하나의 사용자 이름만 가질 수 있습니다. SNMP 트랩을 수신하려면, snmp-server host 명령을 추가한 후, SNMP NMS를 구성하고, NMS의 사용자 자격 증명을 ASA에 대한 자격 증명과 일치하도록 구성해야 합니다.
![]() 참고 |
최대 8192개의 호스트를 추가할 수 있습니다. 하지만 이 중 128개만 트랩에 사용할 수 있습니다. |
ASA와 Cisco IOS 소프트웨어의 구현 차이점
ASA의 SNMP 버전 3 구현은 Cisco IOS 소프트웨어에서의 SNMP 버전 3 구현과 다다음과 같은 차이가 있습니다.
-
로컬 엔진 및 원격 엔진 ID를 구성할 수 없습니다. 로컬 엔진 ID는 ASA가 시작되거나 컨텍스트가 생성될 때 생성됩니다.
-
무제한 MIB 찾아보기를 야기하는 보기 기반 액세스 제어는 지원되지 않습니다.
-
지원은 다음 MIB로 제한됩니다. USM, VACM, FRAMEWORK 및 TARGET.
-
정확한 보안 모델로 사용자 및 그룹을 생성해야 합니다.
-
사용자, 그룹 및 호스트를 올바른 순서로 제거해야 합니다.
-
snmp-server host 명령을 사용하면 들어오는 SNMP 트래픽을 허용하는 ASA 규칙이 생성됩니다.
SNMP Syslog 메시징
SNMP는 212nnn 형식으로 번호가 매겨지는 상세한 syslog 메시지를 생성합니다. Syslog 메시지는 ASA 또는 ASASM에서 특정 인터페이스의 지정된 호스트로 SNMP 요청, SNMP 트랩, SNMP 채널 및 SNMP 응답의 상태를 알려 줍니다.
syslog 메시지에 대한 자세한 설명은 syslog 메시지 가이드를 참고하십시오.
![]() 참고 |
SNMP syslog 메시지가 높은 속도(초당 약 4000)를 초과하면 SNMP 폴링이 실패합니다. |
애플리케이션 서비스 및 서드파티 툴
SNMP 지원에 대한 자세한 내용은 다음 URL을 참조하십시오.
http://www.cisco.com/en/US/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html
SNMP Version 3 MIB를 위한 서드파티 툴 사용에 대한 자세한 내용은 다음 URL을 참조하십시오.
http://www.cisco.com/en/US/docs/security/asa/asa83/snmp/snmpv3_tools.html