يصف هذا المستند ميزات بروتوكول إدارة الشبكة البسيط (SNMP) الجديد التي تتوفر لجدار حماية جهاز الأمان القابل للتكيف (ASA) من السلسلة 5500-X في إصدار البرنامج 9.1.5 والإصدارات 9.2.2(1) والإصدارات الأحدث.
لا توجد متطلبات خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى جدار الحماية Cisco ASA 5500-X Series Firewall الذي يشغل برنامج Cisco ASA® الإصدار 9.1.5 والإصدارات 9.2.2(1) والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
في إصدارات ASA 9.1.5 و 9.2.1، يتم تقديم تحسينات SNMP هذه:
تتيح هذه الميزة ل ASA دعم أكثر من 32 جهازا مضيفا SNMP حاليا.
حاليا، الحد الأقصى ل ASA هو 32 جهازا مضيفا SNMP. وهذا يشمل مضيفين يمكن تكوينهم للفخاخ وللاستطلاع. تصف الأقسام التالية التأثير الذي تتركه هذه الميزة على أوضاع السياق الواحد والمتعدد.
قد تفضل مراقبة أجهزة الشبكة من مجموعة كبيرة من مضيفي SNMP. وبشكل مثالي، تريد القدرة على تحديد نطاق IP و/أو شبكة فرعية من عناوين IP المسموح بها لمراقبة أجهزة الشبكة. لا يوفر ASA حاليا هذه المرونة ويحد أقصى عدد من مضيفي SNMP إلى 32.
يتضمن دعم هذه الميزة جانبين:
يشير التصميم الحالي على ASA إلى أنه يمكن تكوين البيئات المضيفة الفردية عبر واجهة سطر الأوامر. لهذه الميزة، تم النظر في متطلبات التصميم الإضافية التالية:
بعض قيود البرامج والتحذيرات المرتبطة بهذه الميزة هي:
فيما يلي مثال:
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List
أدخل الأمر show snmp-server host لعرض إدخالات المضيف:
asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
host ip = 64.103.236.43, interface = inside poll version 3 cisco1
host ip = 64.103.236.44, interface = inside poll version 3 cisco1
host ip = 64.103.236.45, interface = inside poll version 3 cisco1
host ip = 64.103.236.46, interface = inside poll version 3 cisco1
host ip = 64.103.236.47, interface = inside poll version 3 cisco1
host ip = 64.103.236.48, interface = inside poll version 3 cisco1
host ip = 64.103.236.49, interface = inside poll version 3 cisco1
host ip = 64.103.236.50, interface = inside poll version 3 cisco1
host ip = 64.103.236.51, interface = inside poll version 3 cisco1
host ip = 64.103.236.52, interface = inside poll version 3 cisco1
host ip = 64.103.236.53, interface = inside poll version 3 cisco1
host ip = 64.103.236.54, interface = inside poll version 3 cisco1
host ip = 64.103.236.55, interface = inside poll version 3 cisco1
فيما يلي بعض الملاحظات الهامة حول إستخدام هذه الميزة:
أستخدم المعلومات الموضحة في هذا القسم لتكوين ASA حتى يتم تنفيذ هذه الميزة الجديدة.
بالنسبة للإصدار 3 من SNMP، يمكن للمسؤول إقران مختلف المستخدمين بمجموعة محددة من البيئات المضيفة. وهذا مفيد إذا كان المسؤول يريد أن يكون لمجموعة من المستخدمين القدرة على الوصول إلى ASA من مجموعة من الأجهزة المضيفة. يتم إستخدام أمر واجهة سطر الأوامر (CLI) هذا لتكوين قائمة مستخدم لعدة مستخدمين:
ASA(config)# [no] snmp-server user-listusername
دخلت in order to صحبت المستعمل قائمة مع مضيف مجموعة، هذا أمر في ال CLI:
[no] snmp-server host-group[trap|poll]
[community [enc_type]] [version {1 | 2c | 3 [user name | user-list
]}] [udp-port ]
باستخدام هذا الأمر المفرد، يمكنك تعيين كائن شبكة للإشارة إلى البيئات المضيفة المتعددة التي يجب إضافتها. مع كائن الشبكة، يمكنك تحديد إما قناع شبكة فرعية أو نطاق عناوين IP التي يجب إضافتها، باستخدام أمر واحد. تتم إضافة جميع عناوين IP المدرجة كجزء من كائن الشبكة كإدخالات مضيف SNMP. وبالمثل، لكل مستخدم من المستخدمين المحددين في قائمة المستخدمين، يوجد إدخال مضيف SNMP منفصل.
يتم إستخدام هذه الأوامر للسماح للمسؤولين بمسح خيارات التكوين الجديدة لخوادم SNMP وعرضها:
أكمل هذه الخطوات لاستخدام خيارات مجموعة SNMP الجديدة وإنشاء مجموعة مضيف خادم SNMP لاستطلاع الإصدار 2c:
asa(config)# object network network1
asa(config-network-object)# range 64.103.236.40 64.103.236.50
asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
asa(config)#snmp-server user-list SNMP-List username cisco1
asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List
توضح هذه الصورة التغييرات التي يتم إجراؤها داخل مدير أجهزة الأمان المعدلة (ASDM) من Cisco:
تتيح هذه الميزة ل ASA دعم معرفات OIDs لبروتوكول CPMcputOtal5minRev SNMP.
تضيف هذه الميزة دعم ل cpmCPUTotal5minRev وcpmCPUTotal1minRev OIDs على ASA وتتجاهل OIDs المدعومة حاليا cpmCPUTotal5min وcpmCPUTotal1min. والغرض من معرفات OIDs هذه هو مراقبة إستخدام وحدة المعالجة المركزية. تتراوح معرفات الأجهزة (OID) المدعومة حاليا من 1 إلى 100، بينما تتراوح معرفات الأجهزة (OID) المدعومة حديثا من 0 إلى 100. ومن ثم، أضيف دعم إلى الأجهزة الجديدة، لأنها تغطي نطاقا أوسع.
ومن المهم ملاحظة أنه نظرا لأن معرفات OID المهملة (cpmCPUTotal5min وcpmCPUTotal1min) لم تعد مدعومة على ASA، فإذا تمت ترقية ASA وتم إستعراض معرفات OIDs المهملة، فإن ASA لا يرجع أي معلومات عن معرفات OIDs هذه. بعد ترقية ASA، أنت الآن مطالب أن يراقب CPMcputOtal5minRev وcpmCPUTotal1minRev لاستخدام وحدة المعالجة المركزية.
لا توجد تغييرات CLI التي تم تقديمها مع هذه الميزة الجديدة.
هذا هو ال OIDs جديد أن يكون أضفت مع هذا سمة:
تحدد الأنظمة الأساسية ASA الحد الأقصى لحجم الحزمة لطلبات SNMP إلى 512 بايت. عند إجراء استعلام مجمع لعدد كبير من معرفات قاعدة معلومات الإدارة (MIB) داخل طلب SNMP واحد، يتم إنشاء مهلة اتصال SNMP و syslog للخطأ على ASA. يقترح RFC3417 أن الحد الأقصى لحجم الحزمة لطلبات SNMP يجب أن يكون 1472 بايت. هذا هو حجم حمولة SNMP للحزمة. وبالإضافة إلى ذلك، يجب إضافة رأس الإيثرنت وحجم رأس IP لحساب الحجم الإجمالي للحزمة.
يزود هذا قسم معلومة أن أنت يستطيع استعملت in order to تحريت نظام إصدار على ال ASA.
هذا عرض أمر يستطيع كنت مفيد عندما حاولت أن يتحرى إصدار على ال ASA:
يعرض أمر واجهة سطر الأوامر (CLI) هذا الإدخالات الموجودة في جدول عناوين خادم SNMP، والتي تتضمن تكوينات كل من المضيف ومجموعة المضيف:
asa(config)#show run object network
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
object network network3
range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
كما هو موضح، تعرض هذه الأوامر جميع البيئات المضيفة التي تم تكوينها عبر الأمر host-group. يمكنك إستخدام هذا الأمر للتحقق مما إذا كانت جميع الإدخالات متوفرة وأيضا تحقق من صحة مجموعات المضيف التي تتداخل.