SNMP configureren in ACI

Inleiding

Dit document beschrijft de configuratie van Simple Network Management Protocol (SNMP) en SNMP-traps in ACI.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Fabric-detectie voltooid
• In-Band/Out-of-Band-connectiviteit met uw Application Policy Infrastructure Controller (APIC) en fabric-switches
• In-Band/Out-of-Band-contracten geconfigureerd om SNMP-verkeer mogelijk te maken (UDP-poorten 161 en 162)
• Adressen voor statisch knooppuntbeheer die zijn geconfigureerd voor uw APIC's en fabric-switches onder de standaardbeheertenant (zonder dit kan SNMP-informatie uit een APIC niet worden gehaald)
• De SNMP-protocolworkflow begrijpen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• APIC
• browser
• Application Centric Infrastructure (ACI) met 5.2 (8e)
• Snmpwalk  opdracht

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Cisco ACI biedt ondersteuning voor SNMPv1, v2c en v3, waaronder Management Information Bases (MIB's) en meldingen (traps). Met de SNMP-standaard kunnen toepassingen van derden die de verschillende MIB's ondersteunen de ACI-switches en APIC-controllers beheren en bewaken.

SNMP-schrijfopdrachten (Set) worden echter niet ondersteund in ACI.

Het SNMP-beleid wordt toegepast en werkt onafhankelijk op de switches van bladeren en ruggengraat en op APIC-controllers. Aangezien elk ACI-apparaat zijn eigen SNMP-entiteit heeft, dat wil zeggen dat meerdere APIC's in een APIC-cluster afzonderlijk moeten worden bewaakt, evenals de switches. De SNMP-beleidsbron wordt echter gemaakt als bewakingspolitiek voor de gehele ACI-structuur.

Standaard gebruikt SNMP UDP-poort 161 voor polling en poort 162 voor TRAP's.

SNMP-scopes begrijpen

Een snelle fundamentele concept van SNMP in ACI is dat er twee scopes SNMP informatie kan worden getrokken uit:
1. Wereldwijd
2. Virtual Routing and Forwarding (VRF) Context

De Global Scope is om chassis-MIB's te trekken, zoals het aantal interfaces, interface-indexen, interfacenamen, interfacestatus, enzovoort van een blad / wervelkolom-knooppunt.

VRF Context Scope specifieke MIB's trekken VRF-specifieke informatie zoals IP-adressen en routeringsprotocolinformatie.

Er is een volledige lijst met ondersteunde APIC- en fabric switch Global- en VRF Context-MIB's in de Cisco ACI MIB-ondersteuningslijst.

Opmerking: een MIB met een globale scope heeft slechts één instantie in het systeem. De gegevens in een Global MIB hebben betrekking op het totale systeem.

Een MIB met een VRF-specifiek bereik kan per-VRF-instanties in het systeem hebben. De gegevens in een VRF-specifieke MIB hebben alleen betrekking op die VRF.

Configuratiestappen (voor zowel globale als VRF-contextscopen)

Stap 1. SNMP-structuurbeleid configureren

Opmerking: hier worden SNMP-instellingen opgegeven, zoals SNMP-communitybeleid en SNMP-clientgroepsbeleid.

De eerste stap bij het configureren van SNMP is het maken van het benodigde SNMP-structuurbeleid. Als u het SNMP-structuurbeleid wilt maken, gaat u naar het APIC-webGUI-pad;Fabric > Fabric Policies > Policies > Pod > SNMP.

U kunt een nieuw SNMP-beleid maken of het standaard SNMP-beleid wijzigen.

In het document wordt het SNMP-beleid New-SNMP genoemd en wordt SNMP versie v2c gebruikt, dus de enige velden die hier nodig zijn, zijn Gemeenschapsbeleid en beleid voor clientgroepen.

Het veld Naam van communautair beleid definieert de te gebruiken SNMP-tekenreeks. In ons geval, New-1. Je ziet waar deze twee community-snaren later binnenkomen.

Naam - de naam van het SNMP-beleid. Deze naam kan tussen 1 en 64 alfanumerieke tekens bevatten.

Beschrijving - de beschrijving van het SNMP-beleid. De beschrijving kan 0 tot 128 alfanumerieke tekens bevatten.

Admin State - de administratieve staat van het SNMP-beleid. De status kan worden in- of uitgeschakeld. De staten zijn:

• Ingeschakeld - De beheerdersstatus is ingeschakeld

• Uitgeschakeld - De beheerdersstatus is uitgeschakeld

De standaardinstelling is uitgeschakeld.

Contact - de contactgegevens voor het SNMP-beleid.

Locatie - de locatie voor het SNMP-beleid.

SNMP v3-gebruikers - het SNMP-gebruikersprofiel wordt gebruikt om gebruikers te koppelen aan het SNMP-beleid voor het bewaken van apparaten in een netwerk.

Communitybeleid - het SNMP-communityprofiel maakt toegang tot de routerstatistieken of switch mogelijk voor monitoring.

Beleid voor clientgroepen:

De volgende stap is het toevoegen van het beleid/profiel van de clientgroep. Het doel van het beleid/profiel van de clientgroep is te definiëren welke IP's/subnetten SNMP-gegevens kunnen ophalen uit APIC's en fabric-switches:

Naam - de naam van het clientgroepsprofiel. Deze naam kan tussen 1 en 64 alfanumerieke tekens bevatten.

Beschrijving - de beschrijving van het clientgroepsprofiel. De beschrijving kan 0 tot 128 alfanumerieke tekens bevatten.

Associated Management End Point Group (EPG) - de onderscheidende naam van een eindpuntgroep via welke de VRF toegankelijk is. De maximaal ondersteunde tekenreekslengte is 255 ASCII-tekens. De standaardinstelling is de beheertenant Out-of-Band beheertoegang EPG.

Clientvermeldingen - het IP-adres van het SNMP-clientprofiel.

In het document wordt het beleid/profiel van de clientgroep Nieuwe client genoemd.

In het beleid/profiel van de clientgroep moet u de voorkeurs-EPG voor beheer koppelen. U moet ervoor zorgen dat de door u gekozen beheer-EPG de nodige contracten heeft om SNMP-verkeer toe te staan (UDP-poorten 161 en 162). De standaard Out-of-Band Management EPG wordt in het document gebruikt voor demonstratiedoeleinden.

De laatste stap is het definiëren van uw clientvermeldingen om specifieke IP's of volledige subnetten toegang te geven tot ACI SNMP-gegevens. Er is een syntaxis voor het definiëren van een specifiek IP of een volledig subnet:

• Specifieke host-IP: 192.168.1.5
• Geheel subnet: 192.168.1.0/24

Opmerking: u kunt 0.0.0.0 niet gebruiken in de clientvermelding om alle subnetten toe te staan (als u alle subnetten toegang wilt geven tot SNMP MIB, laat u de clientvermeldingen gewoon leeg).

Stap 2. Het SNMP-beleid toepassen op de POD-beleidsgroep (Fabric Policy Group)

Om deze configuratie toe te passen, navigeert u naar het APIC web GUI-pad;Fabric > Fabric Policies > Pods > Policy Groups > POD_POLICY_GROUP(standaard in het document).

In het rechterdeelvenster ziet u een veld voor SNMP-beleid. Kies in de vervolgkeuzelijst uw nieuw gemaakte SNMP-beleid en dien uw wijzigingen in.

Stap 3. De beleidsgroep Pod koppelen aan het profiel Pod

Gebruik in het document het standaard pod-profiel voor eenvoud. Navigeer hiervoor naar het APIC-webGUI-pad;Fabric > Fabric Policies > Pods > Profiles > POD_PROFILE(standaard in het document).

Configureer in deze fase de basis-SNMP voor globale MIB's.

Opmerking: op dit punt zijn alle noodzakelijke stappen (stappen 1-3) voor SNMP-configuratie voltooid en is het algemene MIB-bereik impliciet gebruikt. Hierdoor kan een SNMP-wandeling worden uitgevoerd voor elke ACI-node of APIC.

Stap 4. Configureer VRF-contextscopen

Als u eenmaal een communitystring aan een VRF-context hebt gekoppeld, kan die specifieke communitystring niet worden gebruikt om SNMP-gegevens van de globale scope te trekken. Het is dus vereist om twee SNMP-communitystrings te maken als u zowel Global scope als VRF Context SNMP-gegevens wilt ophalen.

In dit geval gebruiken de eerder gemaakte community-strings (in stap 1.), namelijk (Nieuw-1), Nieuw-1 voor VRF-contextbereik en VRF-1 aangepaste VRF in Voorbeeld aangepaste tenant. Om dit te doen, navigeert u naar het APIC web GUI-pad; Tenants > Example > Networking > VRFs > VRF-1 (right click) > Create SNMP Context .

Nadat u de configuratie hebt ingediend, kunt u de SNMP-contextconfiguratie die u hebt toegepast, controleren door met de linkermuisknop op de VRF te klikken, naar het tabblad Beleid op de VRF te gaan en naar beneden te scrollen naar de onderkant van het deelvenster:

Als u een SNMP-context op een VRF wilt uitschakelen, schakelt u het selectievakje SNMP-context maken (te zien in de schermafbeelding) uit of klikt u met de rechtermuisknop op de VRF en kiest u SNMP-context verwijderen.

Configuratie SNMP TRAP's met behulp van GUI

SNMP-TRAP's worden zonder polling naar de SNMP-server (SNMP Destination/Network Management Systems (NMS)) verzonden en de ACI-node/APIC verzendt de SNMP-TRAP zodra de fout/gebeurtenis (gedefinieerde toestand) zich voordoet.

SNMP-traps zijn ingeschakeld op basis van de reikwijdte van het beleid in het kader van het controlebeleid voor Access/Fabric/Tenant. ACI ondersteunt maximaal 10 Trap-ontvangers.

Opmerking: zonder de stappen 1-3 uit de vorige sectie is de configuratie van SNMP TRAP's niet voldoende. Stap 2. in de SNMP TRAP-configuratie is gerelateerd aan het bewaken van beleid voor toegang/verbinding/huurder.

Als u SNMP-TRAP's in ACI wilt configureren, hebt u de twee stappen naast stap 1, 2 en 3 in de vorige sectie nodig.

Stap 1. SNMP TRAP-server configureren

Om dit te doen, navigeert u naar het APIC web GUI-pad;Admin > Eternal Data Collectors > Monitoring Destinations > SNMP.

Hostnaam/IP - de host voor de SNMP-trapbestemming.

Port - de servicepoort van de SNMP-trapbestemming. Het bereik is 0 (niet gespecificeerd) tot 65535; de standaardwaarde is 162.

Versie - de ondersteunde CDP-versie voor de SNMP-trapbestemming. De versie kan zijn:

• v1 - gebruikt een tekenreeksovereenkomst voor gebruikersverificatie.

• V2C - gebruikt een community string match voor gebruikersverificatie.

• V3 - een op standaarden gebaseerd interoperabel protocol voor netwerkbeheer dat veilige toegang tot apparaten biedt door een combinatie van het verifiëren en coderen van frames over het netwerk.

De standaardwaarde is v2c.

Beveiligingsnaam - de SNMP-trapbestemmingsbeveiligingsnaam (communitynaam). Het @ symbool mag niet worden gebruikt.

v.3 Beveiligingsniveau - het SNMPv3-beveiligingsniveau voor het SNMP-bestemmingspad. Het niveau kan zijn:

• auth

• noauth

• priv

De standaardwaarde is noauth.

EPG voor beheer - de naam van de eindpuntgroep voor beheer voor de SNMP-bestemming via welke de externe host bereikbaar is.

Stap 2. SNMP TRAP-bron configureren onder (Access/Fabric/Tenant)-controlebeleid

U kunt controlebeleid maken met de drie toepassingsgebieden:

• Toegang - toegangspoorten, FEX, VM-controllers
• Stof - stofpoorten, kaarten, chassis, ventilatoren

• Huurder - EPG's, toepassingsprofielen, services

Opmerking: u kunt een of een combinatie van hen kiezen om te configureren volgens uw behoeften.

Optie 1. SNMP-bron definiëren onder toegangsbeleid

Om dit te doen, navigeert u naar het APIC web GUI-pad;Fabric > Access Polices > Polices >  Monitoring > Default > Callhome/Smart Callhome/SNMP/Syslog/TACACS.

Opmerking: u kunt een aangepast monitoringbeleid gebruiken (indien geconfigureerd) in plaats van het standaardbeleid. U kunt opgeven welk monitoringobject moet worden gecontroleerd; alle objecten zijn hier gebruikt.

Optie 2. SNMP-bron definiëren onder Verbindingsbeleid

Om dit te doen, navigeert u naar het APIC web GUI-pad;Fabric > Fabric Polices > Polices >  Monitoring > Default > Callhome/Smart Callhome/SNMP/Syslog/TACACS.

Optie 3. SNMP-bron definiëren onder huurdersbeleid

Om dit te doen, navigeert u naar het APIC web GUI-pad;Tenant > (Tenant Name) > Polices > Monitoring > (Custom monitoring policy) > Callhome/Smart Callhome/SNMP/Syslog/TACACS.

Verifiëren

Gebruik snmpwalk Command om te controleren

Kijk eerst naar het trekken van SNMP-gegevens uit de wereldwijde reikwijdte van een blad switch. Het gebruik van de snmpwalk-opdracht kan precies dat doen;snmpwalk -v 2c -c New-1 x.x.x.x.

snmpwalk = Het uitvoerbare bestand van snmpwalk dat is geïnstalleerd op MacOS/Linux/Windows
-v = Geeft de versie van SNMP aan die u wilt gebruiken
2c= Geeft aan dat u SNMP versie 2c gebruikt
-c= Geeft aan dat een bepaalde community string
New-1= De community string wordt gebruikt voor het trekken van Global scope SNMP data
x.x.x.x= Het out-of-band beheer IP-adres van mijn leaf switch

Opdrachtresultaat:

$ snmpwalk -v 2c -c New-1 x.x.x.x
SNMPv2-MIB::sysDescr.0 = STRING: Cisco NX-OS(tm) aci, Software (aci-n9000-system), Version 15.2(8e), RELEASE SOFTWARE Copyright (c) 2002-2015 by Cisco Systems, Inc. Compiled 2018/07/26 09:34:42
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.12.3.1.3.1626
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (45013216) 5 days, 5:02:12.16
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: leaf1
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 70
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (3) 0:00:00.03
SNMPv2-MIB::sysORID.1 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.2 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.4 = OID: SNMP-MPD-MIB::snmpMPDCompliance
SNMPv2-MIB::sysORID.5 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
SNMPv2-MIB::sysORDescr.1 = STRING: The MIB module for SNMPv2 entities
SNMPv2-MIB::sysORDescr.2 = STRING: View-based Access Control Model for SNMP.
SNMPv2-MIB::sysORDescr.3 = STRING: The SNMP Management Architecture MIB.
SNMPv2-MIB::sysORDescr.4 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.5 = STRING: The management information definitions for the SNMP User-based Security Model.

In de uitvoer van de opdracht knipt, kunt u zien dat de snmpwalk succesvol is en hardware-specifieke informatie werd getrokken. Als u de snapwalk laat doorgaan, ziet u de namen van de hardware-interface, beschrijvingen, enzovoort.

Ga nu verder met het ophalen van VRF Context SNMP-gegevens, eerder gemaakte SNMP-contexten, New-VRF-SNMP voor VRF's met behulp van de SNMP-communitytekenreeks, New-1.

Aangezien dezelfde communitytekenreeks wordt gebruikt, Nieuw-1, in twee verschillende SNMP-contexten, moet u opgeven uit welke SNMP-context u de SNMP-gegevens wilt halen. Er is de syntaxis die u moet gebruiken om een bepaalde SNMP-context op te geven;snmpwalk -v 2c -c New-1@New-VrF-SNMP 10.x.x.x.

U kunt zien dat om te trekken uit een specifieke SNMP-context, u het formaat gebruikt: .

CLI-weergaveopdrachten gebruiken

Over APIC:

show snmp
show snmp policy 
show snmp summary
show snmp clientgroups
show snmp community
show snmp hosts
show snmp engineid

Te Switch:

show snmp
show snmp | grep "SNMP packets"
show snmp summary
show snmp community
show snmp host
show snmp engineID
show snmp context
show snmp user
show snmp internal dump-internal-log
show snmp internal globals
show snmp internal trace log

CLI-moquery-opdrachten gebruiken

Op APIC/Switch:

moquery -c snmpGroup         #The SNMP destination group, which contains information needed to send traps or informs to a set of destinations. 
moquery -c snmpTrapDest      #A destination to which traps and informs are sent.
moquery -c snmpRtDestGroup   #A target relation to SNMP destination group. This group contains information needed to send traps or informs to a set of destinations.
moquery -c snmpPol           #The SNMP policy, which enables you to monitor client group, v3 user, and/or community SNMP policies. 
moquery -c snmpClientGrpP    #A client group, which is a group of client IP addresses that allows SNMP access to routers or switches.
moquery -c snmpCommunityP    #The SNMP community profile, which enables access to the router or switch statistics for monitoring. 
moquery -c snmpRtSnmpPol     #A target relation to an SNMP policy that contains site information and general protocol configuration parameters. Note that this relation is an internal object.
moquery -c snmpClientP       #The client profile information.
moquery -c snmpRsEpg         #A source relation to the endpoint group VRF through which the clients can connect. The VRF is an in-band or out of-band management endpoint.
moquery -c snmpSrc           #The SNMP source profile, which determines the fault information, severity level, and destination for sending messages to the SNMP destination. 
moquery -c snmpCtxP          #The SNMP context profile, which enables you to specify a context to monitor with a community profile.

CLI-cat-opdrachten gebruiken

Over APIC:

cat /aci/tenants/mgmt/security-policies/out-of-band-contracts/summary
cat /aci/tenants/mgmt/security-policies/filters/summary
cat /aci/tenants/mgmt/node-management-epgs/default/out-of-band/default/summary
cat /aci/admin/external-data-collectors/monitoring-destinations/snmp/*/snmp-trap-destinations/summary
cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/summary
cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/*/summary
cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/*/client-group-policies/*/*/summary
cat /aci/fabric/fabric-policies/pod-policies/policy-groups/summary
cat /aci/fabric/fabric-policies/pod-policies/pod-selector-default-all/summary
cat /aci/fabric/fabric-policies/monitoring-policies/monitoring-policy-default/callhome-snmp-syslog/all/snmp*/summary
cat /aci/fabric/fabric-policies/monitoring-policies/common-policy/callhome-snmp-syslog/snmp/*/summary
cat /aci/fabric/access-policies/monitoring-policies/default/callhome-snmp-syslog/all/snmp*/summary

Problemen oplossen

Controleer het snmpd-proces

Te Switch:

ps aux | grep snmp
pidof snmpd

Over APIC:

ps aux | grep snmp

Als het proces normaal is, neemt u contact op met Cisco TAC voor meer hulp.