이 문서에서는 소프트웨어 릴리스 9.1.5 및 릴리스 9.2.(1) 이상에서 Cisco ASA(Adaptive Security Appliance) 5500-X Series 방화벽에 사용할 수 있는 새로운 SNMP(Simple Network Management Protocol) 기능에 대해 설명합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 Cisco ASA® 소프트웨어 릴리스 9.1.5 및 릴리스 9.2.(1) 이상을 실행하는 Cisco ASA 5500-X Series 방화벽을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
ASA 버전 9.1.5 및 9.2.1에서 다음과 같은 SNMP 개선 사항이 도입되었습니다.
이 기능을 사용하면 ASA가 현재 32개 이상의 SNMP 호스트를 지원할 수 있습니다.
현재 ASA는 총 32개의 SNMP 호스트 제한을 가집니다.여기에는 트랩 및 폴링을 위해 구성할 수 있는 호스트가 포함됩니다.다음 섹션에서는 이 기능이 단일 및 다중 컨텍스트 모드에서 가지는 영향을 설명합니다.
대규모 SNMP 호스트 풀에서 네트워크 디바이스를 모니터링하는 것이 좋습니다.네트워크 디바이스를 모니터링할 수 있는 IP 주소의 IP 범위 및/또는 서브넷을 지정할 수 있는 기능을 사용하는 것이 좋습니다.ASA는 현재 이러한 유연성을 제공하지 않으며 최대 SNMP 호스트를 32개로 제한합니다.
이 기능에 대한 지원에는 두 가지 측면이 있습니다.
ASA의 현재 설계에서는 CLI를 통해 개별 호스트를 구성할 수 있습니다.이 기능에서는 다음과 같은 추가적인 설계 요구 사항을 고려했습니다.
이 기능과 관련된 일부 소프트웨어 제한 및 주의 사항은 다음과 같습니다.
예를 들면 다음과 같습니다.
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List
호스트 항목을 보려면 show snmp-server host 명령을 입력합니다.
asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
host ip = 64.103.236.43, interface = inside poll version 3 cisco1
host ip = 64.103.236.44, interface = inside poll version 3 cisco1
host ip = 64.103.236.45, interface = inside poll version 3 cisco1
host ip = 64.103.236.46, interface = inside poll version 3 cisco1
host ip = 64.103.236.47, interface = inside poll version 3 cisco1
host ip = 64.103.236.48, interface = inside poll version 3 cisco1
host ip = 64.103.236.49, interface = inside poll version 3 cisco1
host ip = 64.103.236.50, interface = inside poll version 3 cisco1
host ip = 64.103.236.51, interface = inside poll version 3 cisco1
host ip = 64.103.236.52, interface = inside poll version 3 cisco1
host ip = 64.103.236.53, interface = inside poll version 3 cisco1
host ip = 64.103.236.54, interface = inside poll version 3 cisco1
host ip = 64.103.236.55, interface = inside poll version 3 cisco1
다음은 이 기능의 사용에 대한 몇 가지 중요한 참고 사항입니다.
이 새 기능이 구현되도록 ASA를 구성하려면 이 섹션에 설명된 정보를 사용합니다.
SNMP 버전 3의 경우 관리자는 다양한 사용자를 지정된 호스트 그룹과 연결할 수 있습니다.이는 관리자가 호스트 그룹에서 ASA에 액세스할 수 있는 권한을 가진 사용자 집합을 원하는 경우에 유용합니다.이 CLI 명령은 여러 사용자에 대한 사용자 목록을 구성하는 데 사용됩니다.
ASA(config)# [no] snmp-server user-listusername
사용자 목록을 호스트 그룹과 연결하려면 CLI에 다음 명령을 입력합니다.
[no] snmp-server host-group[trap|poll]
[community [enc_type]] [version {1 | 2c | 3 [user name | user-list
]}] [udp-port ]
이 단일 명령을 사용하면 추가할 여러 호스트를 나타내기 위해 네트워크 객체를 지정할 수 있습니다.네트워크 객체를 사용하면 단일 명령을 사용하여 추가할 IP 주소 범위 또는 서브넷 마스크를 지정할 수 있습니다.네트워크 객체의 일부로 나열되는 모든 IP 주소가 SNMP 호스트 항목으로 추가됩니다.마찬가지로 사용자 목록에 지정된 각 사용자에 대해 별도의 SNMP 호스트 항목이 있습니다.
이러한 명령은 관리자가 SNMP 서버에 대한 새 구성 옵션을 지우고 볼 수 있도록 하기 위해 사용됩니다.
새 SNMP 그룹 옵션을 사용하고 버전 2c 폴링을 위한 SNMP 서버 호스트 그룹을 생성하려면 다음 단계를 완료합니다.
asa(config)# object network network1
asa(config-network-object)# range 64.103.236.40 64.103.236.50
asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
asa(config)#snmp-server user-list SNMP-List username cisco1
asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List
이 그림에서는 Cisco ASDM(Adaptive Security Device Manager) 내에서 수행된 변경 사항을 보여 줍니다.
이 기능을 사용하면 ASA가 cpmCPUTOTALominRev SNMP OID를 지원할 수 있습니다.
이 기능은 ASA에서 cpmCPUTOTAL5MINReV 및 CPMCPUTotal1minRev OID에 대한 지원을 추가하며 현재 지원되는 OID cpmCPUTotal5min 및 cpmCPUTotal1min을에 사용하지 않습니다.이러한 OID의 목적은 CPU 사용량을 모니터링하는 것입니다.현재 지원되는 OID의 범위는 1~100이고 새로 지원되는 OID의 범위는 0~100입니다. 따라서 더 넓은 범위를 포괄하면서 새로운 OID에 대한 지원이 추가되었습니다.
더 이상 사용되지 않는 OID(cpmCPUTotal5min 및 cpmCPUTotal1min)가 ASA에서 지원되지 않으므로 ASA가 업그레이드되고 사용되지 않는 OID가 폴링되면 ASA는 해당 OID에 대한 정보를 반환하지 않습니다.ASA를 업그레이드한 후 이제 CPU 사용량에 대해 cpmCPUTotal5minRev 및 cpmCPUTotal1minRev를 모니터링해야 합니다.
이 새 기능에 도입된 CLI 변경 사항이 없습니다.
다음은 이 기능과 함께 추가된 새 OID입니다.
ASA 플랫폼은 SNMP 요청의 최대 패킷 크기를 512바이트로 제한합니다.단일 SNMP 요청 내에서 많은 수의 MIB OID에 대해 대량 쿼리를 수행하면 SNMP 연결 시간 초과 및 오류 syslog가 ASA에 생성됩니다.RFC3417은 SNMP 요청에 대한 최대 패킷 크기는 1,472바이트여야 한다고 제안합니다.패킷에 대한 SNMP 페이로드의 크기입니다.또한 패킷의 총 크기를 계산하려면 이더넷 헤더 및 IP 헤더 크기를 추가해야 합니다.
이 섹션에서는 ASA에서 시스템 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
이러한 show 명령은 ASA에서 문제를 해결하기 위해 시도할 때 유용합니다.
이 CLI 명령은 호스트 및 호스트 그룹 컨피그레이션을 모두 포함하는 SNMP 서버 주소 테이블에 있는 항목을 표시합니다.
asa(config)#show run object network
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
object network network3
range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
표시된 대로, 이 명령은 host-group 명령을 통해 구성된 모든 호스트를 표시합니다.모든 항목을 사용할 수 있는지 확인하고 겹치는 호스트 그룹을 상호 검증하기 위해 이 명령을 사용할 수 있습니다.