소개
이 문서에서는 SNMPv3 컨피그레이션에 대해 설명하고 보안(인증), 암호화(프라이버시) 및 제한(보기)에 대해 설명합니다.
배경
SNMPv3 컨피그레이션은 수행해야 할 작업이 파악될 때까지 구성이 복잡하고 어려운 것으로 간주되는 경우가 많습니다. SNMPv3의 존재 이유는 HTTPS와 비슷합니다. 보안, 암호화 및 제한 때문입니다.
사전 요구 사항
SD-WAN 기능 템플릿 및 디바이스 템플릿에 대한 지식
SNMP MIB, SNMP Poll 및 SNMP Walk에 대한 일반적인 이해
요구 사항
SD-WAN 컨트롤러
Cisco 에지 라우터
사용되는 구성 요소
20.9의 SD-WAN 컨트롤러
Cisco Edge Router on 17.9
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이 다이어그램은 CLI 스탠드포인트에서 SNMPv3를 구성하는 데 필요한 모든 사항을 이해하는 데 도움이 됩니다.
- 4단계로 간소화된 SNMPv3
개념을 CLI 또는 기능 템플릿에 쉽게 추가할 수 있습니다. 한번 들어봅시다.
1단계:
누가 시스템(이 경우에는 라우터)을 폴링할 수 있도록 ACL을 구성합니다.
ip access-list standard snmp-poll-server
2단계:
용어 는 poller가 액세스할 수 있는 mib를 의미하므로 snmp 보기를 정의합니다. 이는 제한입니다.
snmp-server view MyView iso included
3단계:
snmp 그룹을 정의하면 snmp 그룹은 주로 두 부분으로 구성됩니다. a. 보안 수준 b. 제한 사항(보기).
보안 수준:
- noAuthNoPriv: 인증 및 프라이버시 없음(암호화 없음).
- authNoPriv: 인증이 필요하지만 개인 정보는 없습니다.
- authPriv: 인증과 프라이버시가 모두 필요합니다.
제한은 우리가 2단계에서 정의한 것이며, 모든 것을 종합해 보자.
!NoAuthNoPriv: noauth
snmp-server group MyGroup v3 noauth read MyView
!AuthNoPriv: auth
snmp-server group MyGroup v3 auth read MyView
!AuthPriv: priv
snmp-server group MyGroup v3 priv read MyView
4단계:
이 단계에서는 그룹을 사용자와 연결하고, 각 그룹을 각 인증 및 개인 정보(암호화)를 정의하는 사용자와 연결하며, 액세스 제어 목록을 사용하여 더 안전하게 보호할 수 있습니다.
!NoAuthNoPriv: noauth
snmp-server user MyUser MyGroup v3 access snmp-poll-server
!AuthNoPriv: auth
snmp-server user MyUser MyGroup v3 auth sha AuthPassword access snmp-poll-server
!AuthPriv: priv
snmp-server user MyUser MyGroup v3 auth sha AuthPassword priv aes 128 PrivPassword access snmp-poll-server
주의: snmp 서버 사용자를 구성하려고 할 때 컨텍스트 도움말이 제공되지 않으며 실행 중인 컨피그레이션에도 표시되지 않음을 알 수 있습니다. 이는 RFC 3414를 준수하기 위한 것입니다. full 명령을 입력하면 파서가 컨피그레이션을 수락합니다
cEdge-RT01(config)# snmp-server user ? ^ % Invalid input detected at '^' marker.
Cisco 버그 ID CSCvn71472
축하드립니다, 그것이 필요한 전부입니다. 이제 cli 및 개념을 통해 Catalyst SD-WAN Manager에서 SNMP 기능 템플릿을 사용하여 구성하는 방법을 확인할 수 있습니다
Cisco vManage > Configuration > Templates > Feature로 이동합니다.
- 기능 템플릿
Other Template(기타 템플릿) 섹션에 있는 Cisco SNMP로 이동합니다.
- SNMP 기능
SNMP 보기(제한)를 정의합니다. 2단계입니다.
- SNMP 보기
- SNMP OID
SNMP 그룹을 정의합니다. 3단계입니다.
- SNMP 그룹
- SNMP 그룹
사용자 그룹을 정의합니다. 이 단계에서는 인증 및 암호화 비밀번호를 정의합니다.
- SNMP 사용자
- SNMP 사용자 암호화
참고: SNMP 그룹 보안 수준에 따라 사용자와 연결된 각 필드가 활성화됩니다.
이제 기능 템플릿을 디바이스 템플릿에 연결합니다.
- SNMP 기능 템플릿
다음을 확인합니다.
Router#show snmp user User name: MyUser Engine ID: 800000090300B8A3772FF870 storage-type: nonvolatile active access-list: snmp-poll-server Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: MyGroup
snmpwalk가 설치된 시스템에서 명령을 실행하여 각 보안 레벨에 대한 SNMP 응답을 확인할 수 있습니다
!NoAuthNoPriv: noauth snmpwalk -v 3 -l noAuthNoPriv -u MyUser <IP_ADDRESS> .1 !AuthNoPriv: auth snmpwalk -v 3 -l authNoPriv -u MyUser -a SHA -A AuthPassword <IP_ADDRESS> .1 !AuthPriv: priv snmpwalk -v 3 -l authPriv -u MyUser -a SHA -A AuthPassword -x AES -X PrivPassword <IP_ADDRESS> .1
-v: 버전 (3)
-l : 보안 수준
-A: 인증 프로토콜 암호
-X: 프라이버시 프로토콜 암호
참조