소개
이 문서에서는 SNMP를 사용하여 Cisco Nexus 스위치를 트러블슈팅하고 구성하는 방법에 대해 설명합니다
배경
SNMP 액세스를 사용할 수 있는 경우 Nexus 스위치 구성을 수정할 수 있습니다.
모든 Nexus 플랫폼에 적용됩니다.
사용된 구성 요소
버전 5.1(3)을 실행하는 Nexus 5000 스위치
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
SNMP를 사용한 액세스 복구
디바이스에 기본 vrf에 L3 인터페이스(Mgmt 0 제외)가 있음
TFTF 서버에서 비활성화된 기본 vrf 및 인증을 통해 이 스위치에서 TFTP 서버에 액세스할 수 있어야 합니다.
Nexus 디바이스는 SNMPv2 읽기-쓰기 커뮤니티 또는 V3 사용자로 구성해야 합니다.
AAA 권한 부여를 비활성화해야 합니다.
다음 스위치 구성
스위치 컨피그레이션에 적용된 ACL이 있어 디바이스에 액세스할 수 없음
N5K(config)# sh run int mgmt0
version 5.1(3)N2(1)
interface mgmt0
description “Testing with snmpv3"
ip access-group filter_internal_snmp_i in
vrf member management
ip address10.22.65.39/25
1단계 - 실행 중인 Nexus 스위치 컨피그레이션에서 변경하거나 롤백할 명령을 사용하여 컨피그레이션 파일을 생성합니다.
다음 예는 Mgmt 0 포트에 적용된 ACL을 제거하기 위한 컨피그레이션 파일의 내용을 보여줍니다
interface mgmt0
no ip access-group filter_internal_snmp_i in
디바이스에서 AAA 설정을 로컬 인증으로 재설정하는 또 다른 예
aaa authentication login local
2단계 - 파일을.config 확장명을 사용하여 TFTP 애플리케이션의 부트 또는 홈 디렉토리 내부에 배치합니다.
3단계 - SNMP를 통해 연결성 및 접근성을 확인하기 위해 디바이스에 대한 SNMP 단계를 수행합니다.
$ ./snmpwalk -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.10.222
4단계 - 다음 명령을 실행합니다.snmp-server에서(강조 표시된 항목은 실제 값으로 대체해야 함)
snmp v2 사용
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 i 5
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.2.222 i 1
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.3.222 i 1
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.4.222 i 4
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.5.222 a
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.6.222 s <switch.config>
$ snmpset -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 i 1
$ ./snmpwalk -v2c -c
1.3.6.1.4.1.9.9.96.1.1.1.1.10.222
SNMPv3 사용
snmpset -v3 -l authNoPriv -u
-a MD5 -A
.1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 integer 6 ( to destroy any previous row )
snmpset -v3 -l authNoPriv -u
-a MD5 -A
.1.3.6.1.4.1.9.9.96.1.1.1.1.2.222 integer 1 .1.3.6.1.4.1.9.9.96.1.1.1.1.3.222 integer 1 .1.3.6.1.4.1.9.9.96.1.1.1.1.4.222 integer 4 .1.3.6.1.4.1.9.9.96.1.1.1.1.5.222 a
.1.3.6.1.4.1.9.9.96.1.1.1.1.6.222 s "switch.config" .1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 integer
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.2.222 = INTEGER: 1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.3.222 = INTEGER: 1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.4.222 = INTEGER: 4
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.5.222 = IpAddress:
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.6.222 = STRING: "switch.config"
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.14.222 = INTEGER: 4
SNMPv3 단계
snmpset -v3 -l authNoPriv -u admin -a MD5 -A ******* 10.22.65.39 .1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 integer 6 ( to destroy any previous row )
snmpset -v3 -l authNoPriv -u admin -a MD5 -A ******* 10.22.65.39 .1.3.6.1.4.1.9.9.96.1.1.1.1.2.222 integer 1 .1.3.6.1.4.1.9.9.96.1.1.1.1.3.222 integer 1 .1.3.6.1.4.1.9.9.96.1.1.1.1.4.222 integer 4 .1.3.6.1.4.1.9.9.96.1.1.1.1.5.222 a 172.18.108.26 .1.3.6.1.4.1.9.9.96.1.1.1.1.6.222 s "switch.config" .1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 integer 4
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.2.222 = INTEGER: 1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.3.222 = INTEGER: 1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.4.222 = INTEGER: 4
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.5.222 = IpAddress: 172.16.1.1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.6.222 = STRING: "switch.config"
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.14.222 = INTEGER: 4
해결 방법 다음에 스위치 구성
N5K-1(config)# sh run int mgmt0
version 5.1(3)N2(1)
interface mgmt0
description “Testing with snmpv3"
vrf member management
ip address 10.22.65.39/25
또한 어카운팅 로그를 확인하여 명령이 실행되었는지 확인할 수 있습니다.SNMP에서 수행한 구성 변경은 루트 사용자로 나타납니다.
N5K-1(config)# sh accounting log
Mon Aug 6 17:07:37 2018:type=start:id=vsh.5777:user=root:cmd
Mon Aug 6 17:07:37 2018:type=update:id=vsh.5777:user=root:cmd=configure terminal ; interface mgmt0 (SUCCESS)
Mon Aug 6 17:07:37 2018:type=update:id=vsh.5777:user=root:cmd=configure terminal ; interface mgmt0 ; no ip access-group filter_internal_snmp_i in (SUCCESS)
Mon Aug 6 17:07:37 2018:type=stop:id=vsh.5777:user=root:cmd=
5단계 - SSH/텔넷을 수행하여 디바이스에 대한 액세스를 확인합니다.
SNMP를 사용하여 구성
아래와 같이 구성 파일
switch3.config:
vrf context management
ip route 0.0.0.0/0 10.128.164.1
end
SNMP 명령 집합
$ snmpset -v2c -c TEST 10.10.10.1 1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 integer 6 ( to clear any previous line)
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.14.222 = INTEGER: 6
$ snmpset -v2c -c TEST 10.10.10.1 .1.3.6.1.4.1.9.9.96.1.1.1.1.2.222 integer 1 .1.3.6.1.4.1.9.9.96.1.1.1.1.3.222 integer 1 .1.3.6.1.4.1.9.9.96.1.1.1.1.4.222 integer 4 .1.3.6.1.4.1.9.9.96.1.1.1.1.5.222 a 172.18.108.26 .1.3.6.1.4.1.9.9.96.1.1.1.1.6.222 s "switch3.config" .1.3.6.1.4.1.9.9.96.1.1.1.1.14.222 integer 4
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.2.222 = INTEGER: 1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.3.222 = INTEGER: 1
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.4.222 = INTEGER: 4
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.5.222 = IpAddress: 172.18.108.26
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.6.222 = STRING: "switch3.config"
SNMPv2-SMI::enterprises.9.9.96.1.1.1.1.14.222 = INTEGER: 4
계정 로그
Mon Sep 3 15:15:35 2018:type=update:id=snmp_62528_10.82.250.52:user=TEST:cmd=copy tftp://172.18.108.26:69switch3.config running-config vrf management (SUCCESS)
Mon Sep 3 15:15:35 2018:type=start:id=vsh.12593:user=root:cmd=
Mon Sep 3 15:15:35 2018:type=update:id=vsh.12593:user=root:cmd=configure terminal ; vrf context management (SUCCESS)
Mon Sep 3 15:15:35 2018:type=update:id=vsh.12593:user=root:cmd=configure terminal ; vrf context management ; ip route 0.0.0.0/0 10.128.164.1 (SUCCESS)
Mon Sep 3 15:15:35 2018:type=stop:id=vsh.12593:user=root:cmd=
참조
Nexus 보안 컨피그레이션 가이드
NXOS 비밀번호 복구
피드백