Configuración de SNMPv3 en Catalyst SD-WAN

Actualizado:4 de junio de 2024
ID del documento:222042

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración de SNMPv3 y explica la seguridad (autenticación), el cifrado (privacidad) y la restricción (vista).

    Background

    A menudo, la configuración de SNMPv3 se ve como compleja y difícil de configurar, hasta que sabemos lo que debe hacerse. La razón de la existencia de SNMPv3 es similar a HTTPS: para la seguridad, el cifrado y la restricción.

    Prerequisites

    Conocimiento de las plantillas de funciones SD-WAN y de las plantillas de dispositivos.

    Información general sobre SNMP MIB, SNMP Poll y SNMP Walk

    Requirements

    Controladores SD-WAN

    Router de extremo de Cisco

    Componentes Utilizados

    Controladores SD-WAN en 20.9

    Router de extremo de Cisco en 17.9

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    El diagrama le ayuda a entender todo lo necesario para configurar SNMPv3 desde un punto de vista CLI.

    • SNMPv3 simplificado en 4 pasosSNMPv3 simplificado en 4 pasos

    Una vez que comprenda que es fácil incluir el concepto en CLI o en una plantilla de función. Vamos a sumergirnos.

    Paso 1:

    Configure una ACL para permitir a los usuarios que puedan sondear el sistema (router en nuestro caso).

    ip access-list standard snmp-poll-server

    Paso 2:

    Defina una vista snmp, ya que el término implica a qué mibs tiene acceso el sondeador, esta es nuestra restricción.

    snmp-server view MyView iso included

    Paso 3:

    Defina el grupo snmp, el grupo snmp tiene principalmente dos partes a. Nivel de seguridad b. Restricción (ver).

    Niveles de seguridad:

    • noAuthNoPriv: Sin autenticación ni privacidad (sin cifrado).
    • authNoPriv: se requiere autenticación, pero no privacidad.
    • authPriv: se requieren autenticación y privacidad.

    La restricción es lo que definimos en el paso 2, pongamos todos juntos.

    !NoAuthNoPriv: noauth
snmp-server group MyGroup v3 noauth read MyView

!AuthNoPriv: auth
snmp-server group MyGroup v3 auth read MyView

!AuthPriv: priv
snmp-server group MyGroup v3 priv read MyView

    Paso 4:

    En este paso asociamos el grupo a un usuario, asociamos cada grupo con los usuarios definiendo la autenticación y privacidad respectivas (cifrado) y se puede asegurar aún más usando la lista de control de acceso.

    !NoAuthNoPriv: noauth
snmp-server user MyUser MyGroup v3 access snmp-poll-server

!AuthNoPriv: auth
snmp-server user MyUser MyGroup v3 auth sha AuthPassword access snmp-poll-server

!AuthPriv: priv
snmp-server user MyUser MyGroup v3 auth sha AuthPassword priv aes 128 PrivPassword access snmp-poll-server
    icono de precaución

    Precaución: puede notar que al intentar configurar el usuario snmp-server la ayuda de contexto no está disponible y tampoco se muestra en la configuración en ejecución, esto es para cumplir con RFC 3414. Escriba el comando completo y el analizador aceptará la configuración

    cEdge-RT01(config)# snmp-server user ? ^ % Invalid input detected at '^' marker.

    ID de bug de Cisco CSCvn71472 

    Felicidades, eso es todo lo que se necesita. Ahora que conoce la CLI y el concepto, vea cómo configurar el uso de la plantilla de función SNMP en un Catalyst SD-WAN Manager

    Vaya a Cisco vManage > Configuration > Templates > Feature

    • Desplácese hasta Plantilla de funciónPlantilla de funciones
      •

     Navegue hasta Cisco SNMP, que se puede encontrar en la sección Otras plantillas

    • Seleccionar función SNMPFunción SNMP
      •

      

    Defina la vista SNMP (restricción); este es el paso 2 

    • Configurar vista SNMPVistas de SNMP
      •

    • Configuración de SNMP OIDOID DE SNMP
      •

    Defina el grupo SNMP, éste es nuestro paso 3 

    • Configurar grupo SNMPGrupo SNMP
      •

    • Configurar grupo SNMPGrupo SNMP
      •

    Defina el grupo de usuarios, este es nuestro Paso 4 en el que definimos la contraseña de autenticación y cifrado.

    • Configurar usuario SNMPUsuario SNMP
      •

    • Configuración del Cifrado de Usuario SNMPCifrado de usuario SNMP
      •

    icono de nota

    Nota: Según el nivel de seguridad del grupo SNMP, se habilita el campo correspondiente asociado con el usuario.

    Ahora adjunte la plantilla de función a la plantilla de dispositivo.

    • Agregar plantilla de función SNMP a plantilla de dispositivoPlantilla de función SNMP
      •

    Verificación

    Router#show snmp user User name: MyUser Engine ID: 800000090300B8A3772FF870 storage-type: nonvolatile active access-list: snmp-poll-server Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: MyGroup

    Desde una máquina que tiene snmpwalk instalado, puede ejecutar el comando para verificar la respuesta SNMP para el nivel de seguridad respectivo

    !NoAuthNoPriv: noauth snmpwalk -v 3 -l noAuthNoPriv -u MyUser <IP_ADDRESS> .1 !AuthNoPriv: auth snmpwalk -v 3 -l authNoPriv -u MyUser -a SHA -A AuthPassword <IP_ADDRESS> .1 !AuthPriv: priv snmpwalk -v 3 -l authPriv -u MyUser -a SHA -A AuthPassword -x AES -X PrivPassword <IP_ADDRESS> .1

    -v: Versión (3)

    -l: Nivel de seguridad

    -A: Frase de paso del protocolo de autenticación

    -X: Frase de paso del protocolo de privacidad

    Referencias 

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    04-Jun-2024
    Versión inicial

    Contribución realizada por

    • Amod Augustin
      Servicios avanzados de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos