Verbetering in ASA SNMP-functies

Downloadopties

  • PDF     (443.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (343.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (246.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 juli 2014
Document-id:118051

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de nieuwe functies van Simple Network Management Protocol (SNMP) die beschikbaar zijn voor Cisco adaptieve security applicatie (ASA) 5500-X Series Firewall in softwarerelease 9.1.5 en releases 9.2.2(1) en later.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco ASA 5500-X Series Firewall die Cisco ASA® softwarerelease 9.1.5 en releases 9.2(1) en later draait.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

In ASA versies 9.1.5 en 9.2.1 worden deze SNMP-verbeteringen geïntroduceerd:

  • Ondersteuning voor 128 SNMP-hosts wordt toegevoegd.

  • Er wordt ondersteuning toegevoegd voor CPUTotal5minRev SNMP-Objectidentificatoren (OID’s).

  • Ondersteuning voor 1.472-byte SNMP-berichten wordt toegevoegd.

Ondersteuning voor 128 SNMP-hosts

Deze functie stelt de ASA in staat om meer dan de huidige 32 SNMP hosts te ondersteunen.

doel

Op dit moment heeft de ASA een harde limiet van 32 SNMP-hosts. Dit omvat gastheren die voor vallen en voor opiniepeiling kunnen worden gevormd. In de volgende secties wordt beschreven welke effecten deze optie heeft op enkele en multi-context modi.

Modus met één context

  • Hiermee kan een aanzienlijk hoger aantal items (totale hosts) worden geconfigureerd, opwaarts van 4.096. Van deze items kunnen echter slechts 128 voor vallen worden gebruikt.

  • Voor doeleinden van de stemconfiguratie mogen maximaal 4.096 pollinghosts en 128 valhosts worden geconfigureerd. Het werkelijke aantal servers dat het systeem opinieert, moet echter worden beperkt tot minder dan 128, aangezien de impact van de prestaties van een hoger aantal hosts onbekend is en niet wordt ondersteund.

Modus met multi-context

  • Voor configuratiedoeleinden zijn maximaal 4000 hosts per context toegestaan en wordt een systeembrede limiet van 64.000 hosts opgelegd.

  • Van de totale geconfigureerde hosts kunnen slechts 128 (per context) worden gebruikt voor vallen, en is de totale systeemlimiet voor vallen in multi-context 32.000.

  • Hoewel u tot 4.000 totale hosts per context kunt configureren, zou het feitelijke aantal servers dat elke context opinieert, moeten worden beperkt tot 128.

Beschrijving

U kunt de netwerkapparaten wellicht liever controleren vanuit een grote pool van SNMP-hosts. Idealiter wilt u de mogelijkheid om een IP-bereik en/of een subtype van de IP-adressen op te geven die zijn toegestaan om de netwerkapparaten te controleren. De ASA voorziet momenteel niet in die flexibiliteit en beperkt de maximum SNMP-hosts tot 32.

De steun voor deze functie omvat twee aspecten:

  • Zorg ervoor dat de ASA maximaal 128 SNMP-hosts kan verwerken.

  • Geef de gewenste configuratieopdrachten op zodat u een aanzienlijk hoger aantal hosts kunt configureren, zoals in de vorige sectie wordt beschreven via één opdracht.

Het huidige ontwerp op de ASA is van dien aard dat individuele hosts via de CLI kunnen worden geconfigureerd. Voor deze functie werden deze aanvullende ontwerpvereisten in aanmerking genomen:

  • De introductie van de snmp-server host-group CLI opdracht met snmp-server host CLI opdrachtretentie.

  • De mogelijkheid voor inzendingen te komen van zowel de multi-server host-group als de CLI-opdrachten van de host-server.

  • Voor SNMP versie 3, de introductie van de snmp-server user list CLI opdracht met snmp-server gebruiker CLI opdrachtretentie.

  • Ook een configuratie-overlap moet worden ondersteund. Bijvoorbeeld, de meerdere host-group opdrachten kunnen met hosts worden gegeven die elkaar overlappen in de netwerkobjecten. Op dezelfde manier kunt u een host met een IP-adres specificeren die overlapt met de huidige hosts of de groep die wordt gehouden. Dit voorziet een mechanisme dat kan worden gebruikt om de parameters voor een paar hosts in een groep te overschrijven, zonder dat de volledige groep moet worden aangepast.

Sommige softwarebeperkingen en voorbehouden die bij deze functie zijn gekoppeld: 

  • Als onderdeel van de opdracht host-group van de SNMP-server is de standaardinstelling enquête als [trap|opiniepeiling] niet is gespecificeerd. Het is ook belangrijk om op te merken dat voor deze opdracht, zowel de vallen als de opiniepeiling niet voor dezelfde gastgroep kunnen worden ingeschakeld. Als dit vereist is, raadt Cisco u aan om de opdracht van de SNMP-server host voor de relevante hosts te gebruiken.

  • U kunt netwerkobjecten specificeren die elkaar overlappen in verschillende host-group opdrachten. De waarden die in de laatste groep van de gastheer worden gespecificeerd worden van kracht voor de gemeenschappelijke reeks hosts in de verschillende netwerkobjecten.

Hierna volgt een voorbeeld:

object network network1
 range 64.103.236.40 64.103.236.50
object network network2
 range 64.103.236.35 64.103.236.55

snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List

Geef de opdracht Sensnl-server host op om de host-items weer te geven:

asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside  poll version 3 cisco1
host ip = 64.103.236.36, interface = inside  poll version 3 cisco1
host ip = 64.103.236.37, interface = inside  poll version 3 cisco1
host ip = 64.103.236.38, interface = inside  poll version 3 cisco1
host ip = 64.103.236.39, interface = inside  poll version 3 cisco1
host ip = 64.103.236.40, interface = inside  poll version 3 cisco1
host ip = 64.103.236.41, interface = inside  poll version 3 cisco1
host ip = 64.103.236.42, interface = inside  poll version 3 cisco1
host ip = 64.103.236.43, interface = inside  poll version 3 cisco1
host ip = 64.103.236.44, interface = inside  poll version 3 cisco1
host ip = 64.103.236.45, interface = inside  poll version 3 cisco1
host ip = 64.103.236.46, interface = inside  poll version 3 cisco1
host ip = 64.103.236.47, interface = inside  poll version 3 cisco1
host ip = 64.103.236.48, interface = inside  poll version 3 cisco1
host ip = 64.103.236.49, interface = inside  poll version 3 cisco1
host ip = 64.103.236.50, interface = inside  poll version 3 cisco1
host ip = 64.103.236.51, interface = inside  poll version 3 cisco1
host ip = 64.103.236.52, interface = inside  poll version 3 cisco1
host ip = 64.103.236.53, interface = inside  poll version 3 cisco1
host ip = 64.103.236.54, interface = inside  poll version 3 cisco1
host ip = 64.103.236.55, interface = inside  poll version 3 cisco1

Hier volgen een paar belangrijke opmerkingen over het gebruik van deze functie:

  • Als een host-groep of een host-groep die overlapt met andere host-groepen wordt verwijderd, worden de hosts opnieuw ingesteld met de waarden die worden gebruikt voor de geconfigureerde host-groepen.

  • De waarden of parameters die met de hosts zijn geassocieerd, zijn afhankelijk van de volgorde waarin de opdrachten worden uitgevoerd.

  • De gebruikerslijst die is ingesteld kan niet worden verwijderd als de lijst door een bepaalde groep host wordt gebruikt.

  • De SNMP-gebruiker kan niet worden verwijderd als de gebruiker in een bepaalde gebruikerslijst wordt genoemd.

  • Een netwerkobject kan niet worden verwijderd als het door de opdracht host-group CLI wordt gebruikt.

Configureren

Gebruik de informatie die in deze sectie wordt beschreven om de ASA te configureren zodat deze nieuwe functie wordt geïmplementeerd.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde gebruikers) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

CLI-opdrachten

Voor SNMP versie 3 kan de beheerder verschillende gebruikers met een gespecificeerde groep hosts associëren. Dit is nuttig als de beheerder een reeks gebruikers de mogelijkheid wil hebben om van een groep van hosts toegang tot de ASA te hebben. Deze CLI-opdracht wordt gebruikt om een gebruikerslijst voor meerdere gebruikers te configureren:

ASA(config)# [no] snmp-server user-list 
     
     
       username

Om de gebruikerslijst met een hostgroep te associëren, voert u deze opdracht in de CLI in:

[no] snmp-server host-group 
     
      
      
        [trap|poll] 
       
 [community [enc_type] 
       
         ] [version {1 | 2c | 3 [user name | user-list 
        
 
        
          ]}] [udp-port 
         
           ] 
          
         
        
       
      

Met deze enkele opdracht kunt u een netwerkobject instellen om aan te geven dat er meerdere hosts moeten worden toegevoegd. Met het netwerkobject kunt u een subnetmasker of de bereik van IP-adressen instellen die moeten worden toegevoegd met één opdracht. Alle IP-adressen die als deel van het netwerkobject zijn vermeld, worden als SNMP-hostingangen toegevoegd. Op dezelfde manier is er voor elk van de gebruikers die in de gebruikerslijst zijn gespecificeerd een afzonderlijk SNMP host-ingang.

Deze opdrachten worden gebruikt om beheerders in staat te stellen de nieuwe configuratieopties voor de SNMP-servers te wissen en weer te geven:

  • duidelijke gebruikerslijst voor SNMP-server
  • ontgrendel de serverhost-groep
  • toonaangevend in werking stellen van een configuratie van een snmp-server gebruikerslijst
  • show run-Configuration SNMP-server host-group

Configuratievoorbeeld

Voltooi deze stappen om de nieuwe SNMP-groepsopties te gebruiken en om een SNMP-serverhost-groep voor opiniepeiling van versie 2c te maken:

  1. Een netwerkobject maken:
    asa(config)# object network network1
    asa(config-network-object)# range 64.103.236.40 64.103.236.50
  2. Defineert de SNMP-hostgroep:
    asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
  3. Defineert de groep SNMP versie 3:
    asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
  4. Bouw de groepen in op de gebruikers:
    asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
    asa(config)#snmp-server user-list SNMP-List username cisco1
    asa(config)#snmp-server host-group inside  network1 poll version 3 user-list SNMP-List

 Dit beeld illustreert de veranderingen die binnen Cisco Adaptieve Security Devices Manager (ASDM) worden aangebracht:

Ondersteuning van TCP/CPUTotal5minRev SNMP-id’s

Met deze functie kan de ASA CPUTotal5minRev SNMP-apparatuur ondersteunen.

doel

Deze functie voegt ondersteuning toe voor CPUTotal5minRev en cpmCPUTotal1minRev OIDs op de ASA-basis en drukt de momenteel ondersteunde OIDs cpmCPUTotal5min en cpmCPUTotal1min af. Deze OID’s zijn bedoeld om het CPU-gebruik te bewaken. De momenteel ondersteunde OID's variëren van 1 tot 100, terwijl de nieuw ondersteunde OID's variëren van 0 tot 100. Daarom werd steun toegevoegd voor nieuwere OID's, omdat ze een breder bereik hebben.

Het is belangrijk op te merken dat aangezien de afgekeurde OID's (cpmCPUTotal5min en cpmCPUTotal1min) niet langer worden ondersteund op de ASA, indien de ASA is bijgewerkt en de afgekeurde OID's worden gepoogd, de ASA geen informatie voor die OID's teruggeeft. Na een upgrade van de ASA, dient u nu de cpmCPUTotal5minRev en cpmCPUTotal1minRev te controleren voor CPU-gebruik.

CLI-opdrachten

Er zijn geen CLI wijzigingen aangebracht met deze nieuwe functie.

Nieuwe OID’s

Dit zijn de nieuwe OID's die met deze functie worden toegevoegd:

  • 1.3.6.1.4.1.9.9.109.1.1.1.7.  CPUTotal1minRev
  • 1.3.6.1.4.1.9.9.109.1.1.1.8.  CPUTotal5minRev

Ondersteuning voor 1.472-Byte SNMP-berichten

De ASA platforms beperken de maximale pakketgrootte voor SNMP-verzoeken tot 512 bytes. Wanneer u een bulk query voor een groot aantal MIB OIDs uitvoert binnen één SNMP-verzoek, worden de SNMP verbinding tijden-out en een foutmelding gegenereerd op de ASA. RFC3417 stelt voor dat de maximale pakketgrootte voor SNMP-verzoeken 1.472 bytes moet zijn. Dit is de grootte van de SNMP lading voor het pakket. Daarnaast moeten de Ethernet-header en de IP-headergrootte worden toegevoegd om de totale grootte van het pakket te berekenen.

Opmerking: Zowel single-context- als meerdere context-modi worden met deze optie ondersteund.

Problemen oplossen

Deze sectie verschaft informatie die u kunt gebruiken om systeemproblemen met betrekking tot de ASA op te lossen.

Opdrachten weergeven

Deze tonen opdrachten kunnen nuttig zijn wanneer er pogingen worden gedaan om problemen met de oplossing van problemen in de ASA op te lossen:

  • asa#show run snmp-server host-group
    snmp-server host-group in network1 poll versie 3 van de gebruikerslijst SNMP-List

  • asa#show run op snmp-server
    SNMP-Lijst met gebruikersnaam voor SNMP-E1 voor SNMP-server

  • als a# tonen de host van een snmp-server

Deze CLI-opdracht geeft de items weer die in de SNMP-serveradrestabel aanwezig zijn, inclusief de host- en de host-groepsconfiguraties:

asa(config)#show run object network
object network network1
 range 64.103.236.40 64.103.236.50
object network network2
 range 64.103.236.35 64.103.236.55
object network network3
 range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside  poll version 3 cisco1
host ip = 64.103.236.36, interface = inside  poll version 3 cisco1
host ip = 64.103.236.37, interface = inside  poll version 3 cisco1
host ip = 64.103.236.38, interface = inside  poll version 3 cisco1
host ip = 64.103.236.39, interface = inside  poll version 3 cisco1
host ip = 64.103.236.40, interface = inside  poll version 3 cisco1
host ip = 64.103.236.41, interface = inside  poll version 3 cisco1
host ip = 64.103.236.42, interface = inside  poll version 3 cisco1

Zoals getoond, tonen deze opdrachten alle hosts die via de opdracht host-group worden geconfigureerd. U kunt deze opdracht gebruiken om te controleren of alle items beschikbaar zijn en ook de hostgroepen die elkaar overlappen te controleren.

TAC Authored

Bijgedragen door Cisco-engineers

  • Dinkar Sharma
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten