Zowel SNMPv1 als SNMPv2C maken gebruik van een community-gebaseerde vorm van beveiliging. De community van managers die toegang hebben tot de MIB van de agent, wordt gedefinieerd door een lijst met toegangscontrole voor IP-adressen en een wachtwoord.
SNMPv2C bevat een functie voor het ophalen van bulk en meer gedetailleerde rapportage van foutmeldingen aan beheerstations. De functie voor het ophalen van bulk haalt tabellen en grote hoeveelheden informatie op, waardoor het aantal vereiste retourvluchten wordt geminimaliseerd. De SNMPv2C verbeterde foutafhandeling bevat uitgebreide foutcodes die verschillende soorten foutcondities onderscheiden; deze condities worden gerapporteerd door middel van één enkele foutcode in SNMPv1. Foutretourcodes in SNMPv2C rapporteren het type fout.
SNMPv3 biedt zowel beveiligingsmodellen als beveiligingsniveaus. Een beveiligingsmodel is een verificatiestrategie die is ingesteld voor een gebruiker en de groep waarin de gebruiker zich bevindt. Een beveiligingsniveau is het toegestane beveiligingsniveau binnen een beveiligingsmodel. Een combinatie van het beveiligingsniveau en het beveiligingsmodel bepalen welke beveiligingsmethode wordt gebruikt bij het verwerken van een SNMP-pakket. Beschikbare beveiligingsmodellen zijn SNMPv1, SNMPv2C en SNMPv3.
Deze tabel identificeert kenmerken en vergelijkt verschillende combinaties van beveiligingsmodellen en -niveaus:
Model |
waterpas |
Verificatie |
encryptie |
resultaat |
SNMPv1 |
noAuthNoPriv |
Community-tekenreeks |
Nee |
Gebruikt een community string match voor authenticatie. |
SNMPv2C |
noAuthNoPriv |
Community-tekenreeks |
Nee |
Gebruikt een community string match voor authenticatie. |
SNMPv3 |
noAuthNoPriv |
Username |
Nee |
Maakt gebruik van een gebruikersnaam match voor authenticatie. |
SNMPv3 |
AuthNoPriv |
Message Digest 5 (MD5) of Secure Hash Algorithm (SHA) |
Nee |
Biedt verificatie op basis van de HMAC-MD5- of HMAC-SHA-algoritmen. |
SNMPv3 |
authPriv |
MD5 of SHA |
Data Encryption Standard (DES) of Advanced Encryption Standard (AES) |
Biedt verificatie op basis van de HMAC-MD5- of HMAC-SHA-algoritmen.
Hiermee kunt u het gebruikersgebaseerde beveiligingsmodel (USM) opgeven met deze coderingsalgoritmen:
-
DES 56-bits codering naast verificatie op basis van de CBC-DES (DES-56)-standaard.
-
3DES 168-bits codering
-
AES 128-bits, 192-bits of 256-bits codering
|
Netwerkdiagram
SNMPv2c
Config
Switch(config)#snmp-server community cisco RW >Read-only access with this community string
Switch(config)#snmp-server community cisco RO >Read-write access with this community string
Verifiëren
Switch#show snmp community
Community name: cisco
Community Index: cisco
Community SecurityName: cisco
storage-type: nonvolatile active
~ % snmpwalk -v2c -c cisco 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111410969) 12 days, 21:28:29.69
SNMPv3
noAuthNoPriv
Config
Switch(config)#snmp-server group noAuthNoPrivGroup v3 noauth
Switch(config)#snmp-server user testuser1 noAuthNoPrivGroup v3
Verifiëren
Switch#show snmp user
User name: testuser1
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: None
Privacy Protocol: None
Group-name: noAuthNoPrivGroup
~ % snmpwalk -v3 -u testuser1 -l noAuthNoPriv 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111425887) 12 days, 21:30:58.87
AuthNoPriv
auth-SHA
Config
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser2 AuthNoPrivGroup v3 auth sha Password123
Verifiëren
Switch#show snmp user
User name: testuser2
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111447478) 12 days, 21:34:34.78
auth-MD5
Config
Switch(config)#snmp-server group AuthNoPrivGroup v3 auth
Switch(config)#snmp-server user testuser3 AuthNoPrivGroup v3 auth md5 Password123
Verifiëren
Switch#show snmp user
User name: testuser3
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: None
Group-name: AuthNoPrivGroup
~ % snmpwalk -v3 -u testuser3 -l authNoPriv -a MD5 -A Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111455526) 12 days, 21:35:55.26
authPriv
auth-SHA + priv-DES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser4 AuthPrivGroup v3 auth sha Password123 priv des Password123
Verifiëren
Switch#show snmp user
User name: testuser4
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser4 -l authPriv -a SHA -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111472744) 12 days, 21:38:47.44
auth-SHA + priv-AES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser5 AuthPrivGroup v3 auth sha Password123 priv aes 128 Password123
Verifiëren
Switch#show snmp user
User name: testuser5
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser5 -l authPriv -a SHA -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (111476608) 12 days, 21:39:26.08
auth-MD5 + priv-DES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser6 AuthPrivGroup v3 auth md5 Password123 priv des Password123
Verifiëren
Switch#show snmp user
User name: testuser6
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: DES
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser6 -l authPriv -a MD5 -A Password123 -x DES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76726018) 8 days, 21:07:40.18
auth-MD5 + priv-AES
Config
Switch(config)#snmp-server group AuthPrivGroup v3 priv
Switch(config)#snmp-server user testuser7 AuthPrivGroup v3 auth md5 Password123 priv aes 128 Password123
Verifiëren
Switch#show snmp user
User name: testuser7
Engine ID: 800000090300EC1D8B0A7B80
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: AES128
Group-name: AuthPrivGroup
~ % snmpwalk -v3 -u testuser7 -l authPriv -a MD5 -A Password123 -x AES -X Password123 192.168.1.1 1.3.6.1.2.1.1.3
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (76738170) 8 days, 21:09:41.70
Gerelateerde informatie