Cisco ONS15454/NCS2000 디바이스에서 SNMPv3 구성

소개

이 문서에서는 ONS15454/NCS2000 디바이스에서 SNMPv3(Simple Network Management Protocol version 3)을 구성하는 방법에 대한 단계별 지침을 설명합니다.모든 주제에는 예제가 포함됩니다.

참고:이 문서에 제공된 속성 목록은 완전하거나 신뢰할 수 없으며 이 문서를 업데이트하지 않으면 언제든지 변경될 수 있습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco CTC(Transport Controller) GUI
• 기본 서버 지식
• 기본 Linux/Unix 명령

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

독립형/멀티쉘프 노드

ONS15454/NCS2000 디바이스에서 authPriv 모드 구성

1단계. Super User 자격 증명을 사용하여 CTC를 통해 노드에 로그인합니다.

2단계. Node view(노드 보기) > Provisioning(프로비저닝) > SNMP > SNMP V3로 이동합니다.

3단계. 사용자 탭으로 이동합니다.사용자를 생성합니다.

User Name:<anything based on specifications>

Group name:default_group

Authentication

       Protocol:MD5

           Password:<anything based on specifications> 

    Privacy

           Protocol:DES

           Password:<anythingbased on specifications>

4단계. 이미지에 표시된 대로 확인을 클릭합니다.

사양:

User Name(사용자 이름) - 에이전트에 연결되는 호스트의 사용자 이름을 지정합니다.사용자 이름은 최소 6자, 최대 40자(TACACS 및 RADIUS 인증의 경우 최대 39자)여야 합니다. 영숫자(a-z, A-Z, 0-9) 문자를 포함하며 허용되는 특수 문자는 @, "-"(하이픈) 및 "."입니다. (점). TL1 호환성을 위해 사용자 이름은 6~10자여야 합니다.

Group Name(그룹 이름) - 사용자가 속한 그룹을 지정합니다.

인증:

Protocol(프로토콜) - 사용할 인증 알고리즘을 선택합니다.옵션은 NONE, MD5 및 SHA입니다.

Password(비밀번호) - MD5 또는 SHA를 선택하는 경우 비밀번호를 입력합니다.기본적으로 비밀번호 길이는 최소 8자로 설정됩니다.

Privacy(프라이버시) - 호스트가 에이전트로 전송되는 메시지의 내용을 암호화할 수 있는 프라이버시 인증 레벨 설정 세션을 시작합니다.

Protocol(프로토콜) - 프라이버시 인증 알고리즘을 선택합니다.사용 가능한 옵션은 None, DES 및 AES-256-CFB입니다.

Password(비밀번호) - None(없음) 이외의 프로토콜을 선택할 경우 비밀번호를 입력합니다.

5단계. MIB 보기가 이 이미지에 따라 구성되었는지 확인합니다.

사양:

Name(이름) - 뷰의 이름입니다.

하위 트리 OID - 마스크와 결합될 때 하위 트리 제품군을 정의하는 MIB 하위 트리입니다.

비트 마스크 - 뷰 하위 트리 그룹입니다.비트 마스크의 각 비트는 하위 트리 OID의 하위 식별자에 해당합니다.

유형 - 뷰 유형을 선택합니다.옵션은 포함 및 제외됩니다.

유형은 서브트리 OID와 비트 마스크 조합에 의해 정의된 하위 트리 제품군을 알림 필터에서 포함할지 또는 제외할지를 정의합니다.

6단계. 이미지에 표시된 대로 그룹 액세스를 구성합니다.기본적으로 그룹 이름은 default_group 및 보안 수준이 authPriv입니다. 

참고:그룹 이름은 3단계에서 사용자를 생성할 때 사용한 이름과 동일해야 합니다.

사양:

Group Name(그룹 이름) - 공통 액세스 정책을 공유하는 SNMP 그룹 또는 사용자 컬렉션의 이름입니다.

보안 레벨 - 액세스 매개변수가 정의된 보안 레벨입니다.다음 옵션 중에서 선택합니다.

   noAuthNoPriv - 인증에 사용자 이름 일치를 사용합니다.

   AuthNoPriv - HMAC-MD5 또는 HMAC-SHA 알고리즘을 기반으로 인증을 제공합니다.

   AuthPriv - HMAC-MD5 또는 HMAC-SHA 알고리즘을 기반으로 인증을 제공합니다.인증 외에도 CBC-DES(DES-56) 표준을 기반으로 DES 56비트 암호화를 제공합니다.

그룹에 대해 authNoPriv 또는 authPriv를 선택하는 경우 해당 사용자는 인증 프로토콜 및 비밀번호, 프라이버시 프로토콜 및 비밀번호 또는 둘 모두를 사용하여 구성해야 합니다.

보기

   보기 이름 읽기 - 그룹의 보기 이름을 읽습니다.

   Notify View Name(뷰 이름 알림) - 그룹의 뷰 이름을 알립니다.

Allow SNMP Sets(SNMP 세트 허용) - SNMP 에이전트가 SNMP SET 요청을 수락하도록 하려면 이 확인란을 선택합니다.이 확인란을 선택하지 않으면 SET 요청이 거부됩니다.

참고: SNMP SET 요청 액세스는 매우 적은 객체에 대해 구현됩니다.

7단계. Node View(노드 보기) > Provisioning(프로비저닝) > SNMP > SNMP V3 > Trap Destination(V3)으로 이동합니다. Create and Configure를 클릭합니다.

Target address:<any build server> (eg: blr-ong-lnx10)

UDP port: <anything between 1024 to 65535>

User name:<same as we created in step 3>

Security Level:AuthPriv

8단계. 이미지에 표시된 대로 확인을 클릭합니다.

참고: blr-ong-lnx10은 NMS 서버입니다.

사양:

Target Address(대상 주소) - 트랩을 보내야 하는 대상입니다.IPv4 또는 IPv6 주소를 사용합니다.

UDP Port - 호스트에서 사용하는 UDP 포트 번호입니다.기본값은 162입니다.

User Name(사용자 이름) - 에이전트에 연결되는 호스트의 사용자 이름을 지정합니다.

보안 수준 - 다음 옵션 중 하나를 선택합니다.

   noAuthNoPriv - 인증에 사용자 이름 일치를 사용합니다.

   AuthNoPriv - HMAC-MD5 또는 HMAC-SHA 알고리즘을 기반으로 인증을 제공합니다.

   AuthPriv - HMAC-MD5 또는 HMAC-SHA 알고리즘을 기반으로 인증을 제공합니다.인증 외에도 CBC-DES(DES-56) 표준을 기반으로 DES 56비트 암호화를 제공합니다.

Filter Profile(필터 프로필) - 이 확인란을 선택하고 필터 프로필 이름을 입력합니다.필터 프로필 이름을 제공하고 알림 필터를 생성하는 경우에만 트랩이 전송됩니다.

Proxy Traps Only(프록시 트랩 전용) - 이 옵션을 선택한 경우 ENE에서 프록시 트랩만 전달합니다.이 노드의 트랩은 이 항목으로 식별된 트랩 대상으로 전송되지 않습니다.

Proxy Tags(프록시 태그) - 태그 목록을 지정합니다.태그 목록은 ENE가 이 엔트리에 의해 식별된 트랩 대상으로 트랩을 전송해야 하고 GNE를 프록시로 사용하려는 경우에만 GNE에서 필요합니다.

NMS 서버 구성(blr-ong-lnx10)

1단계. 서버의 홈 디렉토리에 snmp라는 이름의 디렉토리를 생성합니다.

2단계. 이 디렉토리 아래에 snmptrapd.conf 파일을 생성합니다.

3단계. snmptrapd.conf 파일을 다음과 같이 변경합니다.

vi snmptrapd.conf

createUser -e 0xEngine ID <user_name>< MD5> <password > DES <password>

예:

createUser -e 0x0000059B1B00F0005523A71C ank MD5 cisco123 DES cisco123

이 예에서는

user_name=ank

MD5 password = cisco123

DES password  = cisco123

Engine ID = can be available from CTC. 
Node view > Provisioning > SNMP > SNMP V3 > General

authPriv 모드 확인

1단계. CTC에서 이미지에 표시된 대로 Node View(노드 보기) > Provisioning(프로비저닝) > Security(보안) > Access(액세스) > snmp 액세스 상태를 Secure(보안)로 변경합니다.

2단계. NMS 서버로 이동하고 snmpwalk를 수행합니다.

구문:

snmpwalk -v 3 -l authpriv -u <user name> -a MD5 -A <password> -x DES -X <password> <node IP> <MIB>

예:

blr-ong-lnx10:151> snmpwalk -v 3 -l authpriv -u ank -a MD5 -A cisco123 -x DES -X cisco123 10.64.106.40 system

RFC1213-MIB::sysDescr.0 = STRING: "Cisco ONS 15454 M6 10.50-015E-05.18-SPA Factory Defaults PLATFORM=15454-M6"

RFC1213-MIB::sysObjectID.0 = OID: CERENT-GLOBAL-REGISTRY::cerent454M6Node

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (214312) 0:35:43.12

RFC1213-MIB::sysContact.0 = ""

RFC1213-MIB::sysName.0 = STRING: "Ankit_40"

RFC1213-MIB::sysLocation.0 = ""

RFC1213-MIB::sysServices.0 = INTEGER: 79

SNMP 트랩:

snmptrapd -f -Lo -OQ -Ob -Ot -F "%V\n%B\n%N\n%w\n%q\n%P\n%v\n\n" <port number>

트랩 cmd는 모든 버전에서 동일합니다.

ONS15454/NCS2000 디바이스에서 authNoPriv 모드 구성

1단계. CTC에서 이미지에 표시된 대로 Node View(노드 보기) > Provisioning(프로비저닝) > Security(보안) > Access(액세스) > snmp 액세스 상태를 Non-secure 모드로 변경합니다.

2단계. Node View(노드 보기) > Provisioning(프로비저닝) > SNMP > SNMP V3 > Users(사용자) > Create User(사용자 생성)로 이동하고 이미지에 표시된 대로 구성합니다.

3단계. MIB 보기가 이미지에 표시된 대로 구성되었는지 확인합니다.

4단계. authnopriv 모드에 대한 이미지에 표시된 대로 그룹 액세스를 구성합니다.

5단계. Node View(노드 보기) > Provisioning(프로비저닝) > SNMP > SNMP V3 > Trap Destination(V3)으로 이동합니다. 이미지에 표시된 대로 Create and Configure를 클릭합니다.

authNoPriv 모드 확인

1단계. NMS 서버로 이동하고 snmpwalk를 수행합니다.

구문:

snmpwalk -v 3 -l authnopriv -u <user name> -a MD5 -A <password> <node IP> <MIB>

예:

blr-ong-lnx10:154> snmpwalk -v 3 -l authnopriv -u ank1 -a MD5 -A cisco123  10.64.106.40 system

RFC1213-MIB::sysDescr.0 = STRING: "Cisco ONS 15454 M6 10.50-015E-05.18-SPA Factory Defaults PLATFORM=15454-M6"

RFC1213-MIB::sysObjectID.0 = OID: CERENT-GLOBAL-REGISTRY::cerent454M6Node

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (430323) 1:11:43.23

RFC1213-MIB::sysContact.0 = ""

RFC1213-MIB::sysName.0 = STRING: "Ankit_40"

RFC1213-MIB::sysLocation.0 = ""

RFC1213-MIB::sysServices.0 = INTEGER: 79

SNMP 트랩:

snmptrapd -f -Lo -OQ -Ob -Ot -F "%V\n%B\n%N\n%w\n%q\n%P\n%v\n\n" <port number>

트랩 cmd는 모든 버전에서 동일합니다.

ONS15454/NCS2000 디바이스에서 noAuthNoPriv 모드 구성

1단계. CTC에서 이미지에 표시된 대로 Node View(노드 보기) > Provisioning(프로비저닝) > Security(보안) > Access(액세스) > snmp 액세스 상태를 Non-secure 모드로 변경합니다.

2단계. Node View(노드 보기) > Provisioning(프로비저닝) > SNMP > SNMP V3 > Users(사용자) > Create User(사용자 생성) 및 Configure(구성)로 이동하여 이미지에 표시된 대로 이동합니다.

3단계. MIB 보기가 이미지에 표시된 대로 구성되었는지 확인합니다.

4단계. noauthnopriv 모드에 대한 이미지에 표시된 대로 그룹 액세스를 구성합니다.

5단계. Node View(노드 보기) > Provisioning(프로비저닝) > SNMP > SNMP V3 > Trap Destination(V3)으로 이동합니다. 이미지에 표시된 대로 Create and Configure를 클릭합니다.

noAuthNoPriv 모드 확인

1단계. NMS 서버로 이동하고 snmpwalk를 수행합니다.

snmpwalk -v 3 -l noauthnopriv -u <user name> <node IP> <MIB>

예:

blr-ong-lnx10:155> snmpwalk -v 3 -l noauthnopriv -u ank2 10.64.106.40 system

RFC1213-MIB::sysDescr.0 = STRING: "Cisco ONS 15454 M6 10.50-015E-05.18-SPA Factory Defaults PLATFORM=15454-M6"

RFC1213-MIB::sysObjectID.0 = OID: CERENT-GLOBAL-REGISTRY::cerent454M6Node

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (486910) 1:21:09.10

RFC1213-MIB::sysContact.0 = ""

RFC1213-MIB::sysName.0 = STRING: "Ankit_40"

RFC1213-MIB::sysLocation.0 = ""

RFC1213-MIB::sysServices.0 = INTEGER: 79

blr-ong-lnx10:156>  

SNMP 트랩:

snmptrapd -f -Lo -OQ -Ob -Ot -F "%V\n%B\n%N\n%w\n%q\n%P\n%v\n\n" <port number>

트랩 cmd는 모든 버전에서 동일합니다.

GNE/ENE 설정을 위한 SNMP V3 트랩

GNE 노드

1단계. 다음으로 이동합니다. 프로비저닝 > SNMP > SNMP V3 및 C그룹 액세스 생성(그룹 액세스 탭):이미지에 표시된 대로 보안 수준(noAuthnoPriv|AuthnoPriv|authPriv|authPriv)과 전체 보기 읽기 및 알림 액세스 권한이 있는 그룹 이름을 제공합니다.

2단계. 사용자 액세스 생성(사용자 탭):그룹 액세스 탭에서 이전에 만든 것과 동일한 그룹 이름을 가진 사용자를 만듭니다.또한 이미지에 표시된 대로 액세스 레벨을 기반으로 인증을 제공합니다.

3단계. 트랩 대상(V3) 탭:

대상 주소:트랩이 실행될 NMS 서버의 주소(예:Blr-ong-lnx10).

UDP 포트:트랩을 수신할 포트 번호(예: 9977).

사용자 이름:사용자 탭에 있는 사용자의 이름입니다.

보안 수준:앞서 User(사용자) 탭에서 구성한 대로

프록시 태그:프록시 태그 제공(예:태그75).

ENE 노드

1단계. Provisioning(프로비저닝) > SNMP > SNMP V3 및 Create Group Access(그룹 액세스 탭)로 이동합니다.이미지에 표시된 대로 액세스 수준(noAuthnoPriv|AuthnoPriv|authPriv|authPriv)과 전체 보기 읽기 및 알림 액세스 권한이 있는 그룹 이름을 제공합니다.

2단계. 사용자 액세스 생성(사용자 탭):그룹 액세스 탭에서 이전에 만든 것과 동일한 그룹 이름을 가진 사용자를 만듭니다.또한 액세스 레벨을 기반으로 인증을 제공합니다.

Group Access(그룹 액세스) 탭에 없는 경우 User(사용자) 탭에 표시되는 default_group(기본 그룹)이 Group Access(그룹 액세스) 탭에 생성되었는지 확인합니다.

3단계. 트랩 대상(V3) 탭:

대상 주소:GNE 노드 IP입니다.

UDP 포트:162 .

사용자 이름:사용자 탭에 있는 사용자의 이름입니다.

보안 수준:앞서 User(사용자) 탭에서 구성한 대로

프록시 태그:GNE(예:태그75).

CTC에서 네트워크 보기로 이동합니다.

1단계. SNMPv3 탭으로 이동합니다.

2단계. SNMPv3 프록시 트랩 전달자 테이블:수동 또는 자동 생성을 수행할 수 있습니다.

자동 생성을 선택합니다.그 아래에서

• 대상 태그:GNE에 설정된 프록시 태그
• 원격 트랩 원본 목록:이미지에 표시된 대로 ENE 노드 IP를 선택합니다.

GNE/ENE 설정 확인

NMS 서버 구성(blr-ong-lnx10):

1단계. 서버의 홈 디렉토리에서 디렉토리를 생성하고 이름을 snmp로 지정합니다.

2단계. 이 디렉토리 아래에 snmptrapd.conf 파일을 생성합니다.

3단계. snmptrapd.conf에서 다음 컨피그레이션을 생성합니다.

createUser -e 0x
     
      
      
          MD5 
       
         DES 
         
        
       
     

                                Engine_NO = can be available from CTC. Open GNE node-->Node view->Provisioning->SNMP->SNMP V3-->General.

SNMP 트랩:

snmptrapd -f -Lo -OQ -Ob -Ot -F "%V\n%B\n%N\n%w\n%q\n%P\n%v\n\n" 
     
     

ENE의 snmpwalk:

인증 모드의 경우:

snmpwalk -v 3 -l authpriv -u <user_name> -a MD5 -A <auth_password>123 -x DES -X <des_password> -E <ene_engine_id> <gne_ip_address> <OID>

인증 모드의 경우:

snmpwalk -v 3 -l authnopriv -u <user_name> -a MD5 -A <auth_password>  -E <ene_engine_id> <gne_ip_address> <OID>

noauthnopriv 모드의 경우:

snmpwalk -v 3 -l authpriv -u 
     
     
         -E 
       
        
         
        
       
     

문제 해결

현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.