在Catalyst SD-WAN上配置SNMPv3

下载选项

  • PDF     (836.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (547.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (529.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 6 月 4 日
文档 ID:222042

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍SNMPv3配置,并解释有关安全(身份验证)、加密(隐私)和限制(查看)的内容。

    背景

    通常,在我们知道需要做什么之前,SNMPv3配置会非常复杂且难以配置。SNMPv3存在的原因与HTTPS类似:安全性、加密和限制。

    先决条件

    了解SD-WAN功能模板和设备模板。

    对SNMP MIB、SNMP轮询和SNMP Walk的一般了解

    要求

    SD-WAN控制器

    思科边缘路由器

    使用的组件

    20.9上的SD-WAN控制器

    17.9版的思科边缘路由器

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    该图有助于您了解从CLI支架配置SNMPv3的所有要求。

    • SNMPv3 Simplified in 4 StepsSNMPv3简化为4步

    一旦您了解了它很容易将概念放到CLI或功能模板中。让我们深入了解一下。

    步骤 1:

    配置ACL以允许可以轮询系统的用户(本例中为路由器)。

    ip access-list standard snmp-poll-server

    步骤 2:

    定义snmp视图,因为术语表示轮询器可以访问什么,这是我们的限制

    snmp-server view MyView iso included

    步骤 3:

    定义snmp组,snmp组主要包括两部分a。安全级别b。限制(视图)。

    安全级别:

    • noAuthNoPriv:无身份验证和隐私(无加密)。
    • authNoPriv:身份验证是必需的,但不需要隐私。
    • authPriv:身份验证和隐私都是必需的。

    限制是我们在步骤2中定义的限制,我们将其全部放在一起。

    !NoAuthNoPriv: noauth
snmp-server group MyGroup v3 noauth read MyView

!AuthNoPriv: auth
snmp-server group MyGroup v3 auth read MyView

!AuthPriv: priv
snmp-server group MyGroup v3 priv read MyView

    步骤 4:

    在此步骤中,我们将组与用户关联,将每个组与定义各自身份验证和隐私(加密)的用户关联,并可使用访问控制列表进行进一步保护。

    !NoAuthNoPriv: noauth
snmp-server user MyUser MyGroup v3 access snmp-poll-server

!AuthNoPriv: auth
snmp-server user MyUser MyGroup v3 auth sha AuthPassword access snmp-poll-server

!AuthPriv: priv
snmp-server user MyUser MyGroup v3 auth sha AuthPassword priv aes 128 PrivPassword access snmp-poll-server
    caution-icon

    警告:在尝试配置snmp-server user时,您会发现上下文帮助不可用,并且未显示在运行配置中,这是为了符合RFC 3414。键入完整命令,解析器接受配置

    cEdge-RT01(config)# snmp-server user ? ^ % Invalid input detected at '^' marker.

    Cisco Bug ID CSCvn71472 

    祝贺您,您只需要这些。既然您已经了解了cli和概念,现在我们来了解如何在Catalyst SD-WAN Manager上使用SNMP功能模板进行配置

    导航到Cisco vManage > Configuration > Templates > Feature

    • Navigate to Feature Template功能模板

     导航至Cisco SNMP,可在其他模板部分找到

    • Select SNMP FeatureSNMP功能

      

    定义SNMP视图(限制),这是我们的步骤2 

    • Configure SNMP ViewSNMP 视图

    • Configure SNMP OIDSNMP OID

    定义SNMP组这是我们的步骤3 

    • Configure SNMP GroupSNMP组

    • Configure SNMP GroupSNMP组

    定义用户组,这是我们定义身份验证和加密密码的第4步。

    • Configure SNMP UserSNMP用户

    • Configure SNMP User EncryptionSNMP用户加密

    note-icon

    注意:根据SNMP组安全级别,与用户关联的相应字段将启用。

    现在将功能模板附加到设备模板。

    • Add SNMP Feature Template to Device TemplateSNMP功能模板

    验证

    Router#show snmp user

User name: MyUser
Engine ID: 800000090300B8A3772FF870
storage-type: nonvolatile	 active	access-list: snmp-poll-server
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: MyGroup

    在安装了snmpwalk的计算机上,您可以运行命令以验证各安全级别的SNMP响应

    !NoAuthNoPriv: noauth
snmpwalk -v 3 -l noAuthNoPriv -u MyUser  .1

!AuthNoPriv: auth
snmpwalk -v 3 -l authNoPriv -u MyUser -a SHA -A AuthPassword  .1

!AuthPriv: priv
snmpwalk -v 3 -l authPriv -u MyUser -a SHA -A AuthPassword -x AES -X PrivPassword  .1

    -v:版本(3)

    -l :安全级别

    -A:身份验证协议口令

    -X:隐私协议口令

    参考 

    修订历史记录

    版本 发布日期 备注
    1.0
    04-Jun-2024
    初始版本

    提供者

    • 阿莫德·奥古斯丁
      思科高级服务

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品