تنفيذ تحسين ميزة ASA SNMP
المحتويات
المقدمة
يصف هذا المستند ميزات بروتوكول إدارة الشبكة البسيط (SNMP) الجديد التي تتوفر لجدار حماية جهاز الأمان القابل للتكيف (ASA) من السلسلة 5500-X في إصدار البرنامج 9.1.5 والإصدارات 9.2.2(1) والإصدارات الأحدث.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى جدار الحماية Cisco ASA 5500-X Series Firewall الذي يشغل برنامج Cisco ASA® الإصدار 9.1.5 والإصدارات 9.2.2(1) والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
في إصدارات ASA 9.1.5 و 9.2.1، يتم تقديم تحسينات SNMP هذه:
- يتم إضافة دعم ل 128 جهازا مضيفا من SNMP.
- تتم إضافة دعم لمعرفات كائن CPMcputOtal5minRev SNMP (OIDs).
- تتم إضافة دعم رسائل SNMP ذات 1472 بايت.
دعم 128 جهازا مضيفا من SNMP
تتيح هذه الميزة ل ASA دعم أكثر من 32 جهازا مضيفا SNMP حاليا.
الغرض
حاليا، الحد الأقصى ل ASA هو 32 جهازا مضيفا SNMP. وهذا يشمل مضيفين يمكن تكوينهم للفخاخ وللاستطلاع. تصف الأقسام التالية التأثير الذي تتركه هذه الميزة على أوضاع السياق الواحد والمتعدد.
وضع السياق المفرد
- يسمح بتكوين عدد أكبر بكثير من الإدخالات (إجمالي الأجهزة المضيفة)، ما يزيد عن 4096. ومع ذلك، من بين هذه الإدخالات، يمكن إستخدام 128 فقط للملائمات.
- لأغراض تكوين الاقتراع، يسمح بتكوين ما يصل إلى 4،096 مضيف اقتراع و 128 مضيف مصيدة. ومع ذلك، يجب أن يقتصر العدد الفعلي للخوادم التي تقوم باستطلاع النظام على أقل من 128 خادما، حيث إن تأثيرات الأداء من عدد أكبر من الأجهزة المضيفة غير معروفة وغير مدعومة.
الوضع متعدد السياق
- ولأغراض التكوين، يتم السماح بما يصل إلى 4000 مضيف لكل سياق ويتم فرض حد على مستوى النظام يبلغ إجمالي 64000 مضيف.
- من إجمالي البيئات المضيفة التي تم تكوينها، يمكن إستخدام 128 فقط (لكل سياق) للإختبارات، كما أن الحد الإجمالي للنظام للإختبارات في وضع السياقات المتعددة هو 32000.
- على الرغم من أنه يمكنك تكوين ما يصل إلى إجمالي 4000 مضيف لكل سياق، إلا أن العدد الفعلي للخوادم التي تقوم باستطلاع أي سياق يجب أن يكون محدودا إلى 128.
الوصف
قد تفضل مراقبة أجهزة الشبكة من مجموعة كبيرة من مضيفي SNMP. وبشكل مثالي، تريد القدرة على تحديد نطاق IP و/أو شبكة فرعية من عناوين IP المسموح بها لمراقبة أجهزة الشبكة. لا يوفر ASA حاليا هذه المرونة ويحد أقصى عدد من مضيفي SNMP إلى 32.
يتضمن دعم هذه الميزة جانبين:
- توفير قدرة ASA على معالجة ما يصل إلى 128 جهازا مضيفا ل SNMP.
- قم بتوفير أوامر التكوين المطلوبة بحيث يمكنك تكوين عدد أكبر بكثير من البيئات المضيفة، كما هو موضح في القسم السابق عبر أمر واحد.
يشير التصميم الحالي على ASA إلى أنه يمكن تكوين البيئات المضيفة الفردية عبر واجهة سطر الأوامر. لهذه الميزة، تم النظر في متطلبات التصميم الإضافية التالية:
- إدخال أمر واجهة سطر الأوامر (CLI) من خادم snmp-host-group مع استبقاء أمر واجهة سطر الأوامر (CLI) لمضيف خادم snmp.
- إمكانية أن تأتي الإدخالات من كل من أوامر واجهة سطر الأوامر (CLI) لمضيف خادم snmp ومضيف خادم snmp.
- بالنسبة للإصدار 3 من SNMP، يتم إدخال أمر CLI الخاص بقائمة مستخدمي خادم snmp مع استبقاء أمر CLI لمستخدم خادم snmp.
- يجب أيضا دعم تداخل التكوين. على سبيل المثال، يمكن إعطاء أوامر مجموعة مضيف متعددة مع البيئات المضيفة التي تتداخل في كائنات الشبكة. بالمثل، يمكنك تحديد مضيف بعنوان IP يتداخل مع المضيف الحالي أو مجموعة المضيف. وهذا يوفر آلية يمكن إستخدامها للكتابة فوق المعلمات لعدد قليل من البيئات المضيفة في مجموعة ما، دون الحاجة إلى إعادة تكوين المجموعة الكاملة.
بعض قيود البرامج والتحذيرات المرتبطة بهذه الميزة هي:
- كجزء من أمر مجموعة مضيف خادم snmp، يتم تعيين الإعداد الافتراضي لاستطلاع إذا لم يتم تحديد [trap|poll]. من المهم أيضا ملاحظة أنه بالنسبة لهذا الأمر، لا يمكن تمكين كل من الفخاخ والتصويت لنفس المجموعة المضيفة. إذا كان هذا مطلوبا، فإن Cisco توصيك باستخدام الأمر snmp-server host للمضيفين المعنيين.
- يمكنك تعيين كائنات شبكة تتداخل في أوامر مجموعة مضيف مختلفة. يتم تطبيق القيم المحددة في المجموعة المضيفة الأخيرة للمجموعة المشتركة من البيئات المضيفة في كائنات الشبكة المختلفة.
فيما يلي مثال:
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List
أدخل الأمر show snmp-server host لعرض إدخالات المضيف:
asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
host ip = 64.103.236.43, interface = inside poll version 3 cisco1
host ip = 64.103.236.44, interface = inside poll version 3 cisco1
host ip = 64.103.236.45, interface = inside poll version 3 cisco1
host ip = 64.103.236.46, interface = inside poll version 3 cisco1
host ip = 64.103.236.47, interface = inside poll version 3 cisco1
host ip = 64.103.236.48, interface = inside poll version 3 cisco1
host ip = 64.103.236.49, interface = inside poll version 3 cisco1
host ip = 64.103.236.50, interface = inside poll version 3 cisco1
host ip = 64.103.236.51, interface = inside poll version 3 cisco1
host ip = 64.103.236.52, interface = inside poll version 3 cisco1
host ip = 64.103.236.53, interface = inside poll version 3 cisco1
host ip = 64.103.236.54, interface = inside poll version 3 cisco1
host ip = 64.103.236.55, interface = inside poll version 3 cisco1
فيما يلي بعض الملاحظات الهامة حول إستخدام هذه الميزة:
- إذا تم حذف مجموعة مضيف أو مضيف يتداخل مع مجموعات مضيفة أخرى، يتم إعداد البيئات المضيفة مرة أخرى باستخدام القيم المستخدمة لمجموعات المضيف التي تم تكوينها.
- تعتمد القيم أو المعلمات المرتبطة بالأجهزة المضيفة على ترتيب تنفيذ الأوامر.
- لا يمكن حذف قائمة المستخدمين التي تم تكوينها إذا كانت القائمة مستخدمة من قبل مجموعة مضيف معينة.
- لا يمكن حذف مستخدم SNMP إذا تمت الإشارة إلى المستخدم في قائمة مستخدم معينة.
- لا يمكن حذف كائن شبكة إذا تم إستخدامه من قبل أمر واجهة سطر الأوامر (CLI) host-group.
التكوين
أستخدم المعلومات الموضحة في هذا القسم لتكوين ASA حتى يتم تنفيذ هذه الميزة الجديدة.
أوامر CLI
بالنسبة للإصدار 3 من SNMP، يمكن للمسؤول إقران مختلف المستخدمين بمجموعة محددة من البيئات المضيفة. وهذا مفيد إذا كان المسؤول يريد أن يكون لمجموعة من المستخدمين القدرة على الوصول إلى ASA من مجموعة من الأجهزة المضيفة. يتم إستخدام أمر واجهة سطر الأوامر (CLI) هذا لتكوين قائمة مستخدم لعدة مستخدمين:
ASA(config)# [no] snmp-server user-list
username
دخلت in order to صحبت المستعمل قائمة مع مضيف مجموعة، هذا أمر في ال CLI:
[no] snmp-server host-group
[trap|poll]
[community [enc_type]
] [version {1 | 2c | 3 [user name | user-list
]}] [udp-port
]
باستخدام هذا الأمر المفرد، يمكنك تعيين كائن شبكة للإشارة إلى البيئات المضيفة المتعددة التي يجب إضافتها. مع كائن الشبكة، يمكنك تحديد إما قناع شبكة فرعية أو نطاق عناوين IP التي يجب إضافتها، باستخدام أمر واحد. تتم إضافة جميع عناوين IP المدرجة كجزء من كائن الشبكة كإدخالات مضيف SNMP. وبالمثل، لكل مستخدم من المستخدمين المحددين في قائمة المستخدمين، يوجد إدخال مضيف SNMP منفصل.
يتم إستخدام هذه الأوامر للسماح للمسؤولين بمسح خيارات التكوين الجديدة لخوادم SNMP وعرضها:
- مسح تكوين قائمة مستخدم خادم snmp
- مسح تكوين مجموعة مضيف خادم snmp
- show running-config snmp-server user-list
- show running-config snmp-server host-group
مثال على التكوين
أكمل هذه الخطوات لاستخدام خيارات مجموعة SNMP الجديدة وإنشاء مجموعة مضيف خادم SNMP لاستطلاع الإصدار 2c:
- إنشاء كائن شبكة:
asa(config)# object network network1
asa(config-network-object)# range 64.103.236.40 64.103.236.50 - تحديد مجموعة مضيف SNMP:
asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
- تحديد مجموعة الإصدار 3 من SNMP:
asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
- ربط المجموعات بالمستخدمين:
asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
asa(config)#snmp-server user-list SNMP-List username cisco1
asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List
توضح هذه الصورة التغييرات التي يتم إجراؤها داخل مدير أجهزة الأمان المعدلة (ASDM) من Cisco:
دعم CPMcputOtal5minRev SNMP OIDs
تتيح هذه الميزة ل ASA دعم معرفات OIDs لبروتوكول CPMcputOtal5minRev SNMP.
الغرض
تضيف هذه الميزة دعم ل cpmCPUTotal5minRev وcpmCPUTotal1minRev OIDs على ASA وتتجاهل OIDs المدعومة حاليا cpmCPUTotal5min وcpmCPUTotal1min. والغرض من معرفات OIDs هذه هو مراقبة إستخدام وحدة المعالجة المركزية. تتراوح معرفات الأجهزة (OID) المدعومة حاليا من 1 إلى 100، بينما تتراوح معرفات الأجهزة (OID) المدعومة حديثا من 0 إلى 100. ومن ثم، أضيف دعم إلى الأجهزة الجديدة، لأنها تغطي نطاقا أوسع.
ومن المهم ملاحظة أنه نظرا لأن معرفات OID المهملة (cpmCPUTotal5min وcpmCPUTotal1min) لم تعد مدعومة على ASA، فإذا تمت ترقية ASA وتم إستعراض معرفات OIDs المهملة، فإن ASA لا يرجع أي معلومات عن معرفات OIDs هذه. بعد ترقية ASA، أنت الآن مطالب أن يراقب CPMcputOtal5minRev وcpmCPUTotal1minRev لاستخدام وحدة المعالجة المركزية.
أوامر CLI
لا توجد تغييرات CLI التي تم تقديمها مع هذه الميزة الجديدة.
OIDs جديدة
هذا هو ال OIDs جديد أن يكون أضفت مع هذا سمة:
- 1.3.6.1.4.1.9.9.109.1.1.1.7. cpmCPUTotal1minRev
- 1.3.6.1.4.1.9.9.109.1.1.1.8 cpmCPUTotal5minRev
دعم رسائل SNMP ذات 1472 بايت
تحدد الأنظمة الأساسية ASA الحد الأقصى لحجم الحزمة لطلبات SNMP إلى 512 بايت. عند إجراء استعلام مجمع لعدد كبير من معرفات قاعدة معلومات الإدارة (MIB) داخل طلب SNMP واحد، يتم إنشاء مهلة اتصال SNMP و syslog للخطأ على ASA. يقترح RFC3417 أن الحد الأقصى لحجم الحزمة لطلبات SNMP يجب أن يكون 1472 بايت. هذا هو حجم حمولة SNMP للحزمة. وبالإضافة إلى ذلك، يجب إضافة رأس الإيثرنت وحجم رأس IP لحساب الحجم الإجمالي للحزمة.
استكشاف الأخطاء وإصلاحها
يزود هذا قسم معلومة أن أنت يستطيع استعملت in order to تحريت نظام إصدار على ال ASA.
إظهار الأوامر
هذا عرض أمر يستطيع كنت مفيد عندما حاولت أن يتحرى إصدار على ال ASA:
- ASA#show قم بتشغيل مجموعة مضيف خادم snmp
مجموعة مضيف خادم snmp داخل الشبكة 1 الاستطلاع الإصدار 3 مستخدم-list SNMP-list - ASA# عرض قائمة مستخدم خادم snmp التي يتم تشغيلها
اسم مستخدم قائمة مستخدم خادم snmp-list ل cisco1 - ASA# show snmp-server host
يعرض أمر واجهة سطر الأوامر (CLI) هذا الإدخالات الموجودة في جدول عناوين خادم SNMP، والتي تتضمن تكوينات كل من المضيف ومجموعة المضيف:
asa(config)#show run object network
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
object network network3
range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
كما هو موضح، تعرض هذه الأوامر جميع البيئات المضيفة التي تم تكوينها عبر الأمر host-group. يمكنك إستخدام هذا الأمر للتحقق مما إذا كانت جميع الإدخالات متوفرة وأيضا تحقق من صحة مجموعات المضيف التي تتداخل.
التعليقات