簡介
本檔案將說明SNMPv3的組態,並解釋有關安全性(驗證)、加密(私密性)和限制(檢視)的情況。
背景
通常,在我們知道需要做什麼之前,SNMPv3配置會被視為複雜且難以配置。SNMPv3存在的原因與HTTPS類似:安全性、加密和限制。
必要條件
瞭解SD-WAN功能模板和裝置模板。
對SNMP MIB、SNMP輪詢和SNMP Walk的一般瞭解
需求
SD-WAN控制器
思科邊緣路由器
採用元件
20.9上的SD-WAN控制器
17.9版的思科邊緣路由器
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
該圖幫助您瞭解從CLI支架配置SNMPv3所需的全部功能。
SNMPv3簡化為四個步驟
一旦您瞭解了它很容易將概念放到CLI或功能模板中。我們潛進去。
步驟 1:
配置ACL以允許可以輪詢系統的人員(本例中為路由器)。
ip access-list standard snmp-poll-server
步驟 2:
定義snmp檢視,因為此術語表示輪詢器可以訪問的mib,這是我們的限制。
snmp-server view MyView iso included
步驟 3:
定義snmp組,snmp組主要包括兩部分a。安全級別b。限制(檢視)。
安全級別:
- noAuthNoPriv:無身份驗證,無隱私(無加密)。
- authNoPriv:需要身份驗證,但是沒有隱私。
- authPriv:需要身份驗證和隱私。
限制是我們在第2步中定義的限制,讓我們將它們放在一起。
!NoAuthNoPriv: noauth
snmp-server group MyGroup v3 noauth read MyView
!AuthNoPriv: auth
snmp-server group MyGroup v3 auth read MyView
!AuthPriv: priv
snmp-server group MyGroup v3 priv read MyView
步驟 4:
在此步驟中,我們將組與使用者相關聯,將每個組與定義各自身份驗證和隱私(加密)的使用者相關聯,並且可使用訪問控制清單進行進一步保護。
!NoAuthNoPriv: noauth
snmp-server user MyUser MyGroup v3 access snmp-poll-server
!AuthNoPriv: auth
snmp-server user MyUser MyGroup v3 auth sha AuthPassword access snmp-poll-server
!AuthPriv: priv
snmp-server user MyUser MyGroup v3 auth sha AuthPassword priv aes 128 PrivPassword access snmp-poll-server
注意:嘗試設定snmp-server使用者時,可以注意到環境說明無法使用,而且執行設定中也沒有顯示,因此是符合RFC 3414。輸入full命令,解析器將接受配置
cEdge-RT01(config)# snmp-server user ?
^
% Invalid input detected at '^' marker.
思科錯誤ID CSCvn71472
祝賀你,這是我們需要的。現在您已瞭解了CLI和概念,現在您可以瞭解如何在Catalyst SD-WAN管理器上使用SNMP功能模板進行配置
導航至Cisco vManage > Configuration > Templates > Feature
功能模板
導航到Cisco SNMP,可在其他模板部分找到
SNMP功能
定義SNMP檢視(限制),這是我們的步驟2
SNMP檢視
SNMP OID
定義SNMP組這是我們的步驟3
SNMP組
SNMP組
定義使用者組,這是我們在其中定義身份驗證和加密密碼的步驟4。
SNMP使用者
SNMP使用者加密
附註:根據SNMP組安全級別,與使用者關聯的各個欄位將啟用。
現在將功能模板附加到裝置模板。
SNMP功能模板
驗證
Router#show snmp user
User name: MyUser
Engine ID: 800000090300B8A3772FF870
storage-type: nonvolatile active access-list: snmp-poll-server
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: MyGroup
在安裝了snmpwalk的電腦上,您可以運行命令以驗證相應安全級別的SNMP響應
!NoAuthNoPriv: noauth
snmpwalk -v 3 -l noAuthNoPriv -u MyUser .1
!AuthNoPriv: auth
snmpwalk -v 3 -l authNoPriv -u MyUser -a SHA -A AuthPassword .1
!AuthPriv: priv
snmpwalk -v 3 -l authPriv -u MyUser -a SHA -A AuthPassword -x AES -X PrivPassword .1
-v:版本(3)
-l :安全級別
-A:身份驗證協定密碼短語
-X:隱私協定密碼短語
參考資料