简介
本文档介绍SNMPv3配置,并解释有关安全(身份验证)、加密(隐私)和限制(查看)的信息。
背景
通常,在我们了解需要做什么之前,SNMPv3配置会非常复杂且难以配置。SNMPv3存在的原因与HTTPS类似:出于安全性、加密和限制。
先决条件
SD-WAN功能模板和设备模板的知识。
对SNMP MIB、SNMP轮询和SNMP Walk的一般了解
要求
SD-WAN控制器
Cisco Edge路由器
使用的组件
20.9上的SD-WAN控制器
17.9上的Cisco Edge路由器
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
该图帮助您了解从CLI站点配置SNMPv3的所有要求。
- SNMPv3简化为4步
一旦您了解了CLI或功能模板的概念,您就可以轻松地将它应用到CLI或功能模板中。让我们深入了解一下。
步骤 1:
配置ACL以允许可以轮询系统的人员(本例中为路由器)。
ip access-list standard snmp-poll-server
步骤 2:
定义snmp视图,因为术语表示轮询器有权访问的mib,这是我们的限制。
snmp-server view MyView iso included
步骤 3:
定义snmp组,snmp组主要包括两部分a。安全级别b。限制(视图)。
安全级别:
- noAuthNoPriv:无身份验证和无隐私(无加密)。
- authNoPriv:需要进行身份验证,但是没有隐私。
- authPriv:同时需要身份验证和隐私。
限制是我们在步骤2中定义的限制,让我们将它们放在一起。
!NoAuthNoPriv: noauth
snmp-server group MyGroup v3 noauth read MyView
!AuthNoPriv: auth
snmp-server group MyGroup v3 auth read MyView
!AuthPriv: priv
snmp-server group MyGroup v3 priv read MyView
步骤 4:
在此步骤中,我们将组与用户关联,将每个组与定义各自身份验证和隐私(加密)的用户关联,并可使用访问控制列表进行进一步保护。
!NoAuthNoPriv: noauth
snmp-server user MyUser MyGroup v3 access snmp-poll-server
!AuthNoPriv: auth
snmp-server user MyUser MyGroup v3 auth sha AuthPassword access snmp-poll-server
!AuthPriv: priv
snmp-server user MyUser MyGroup v3 auth sha AuthPassword priv aes 128 PrivPassword access snmp-poll-server
注意:在尝试配置snmp-server user时,您会注意到上下文帮助不可用,并且没有在运行配置中显示,这是为了符合RFC 3414。键入完整命令,解析器接受配置
cEdge-RT01(config)# snmp-server user ? ^ % Invalid input detected at '^' marker.
思科漏洞ID CSCvn71472
恭喜,这才是我们需要的。现在您已经了解了cli和概念,接下来我们将介绍如何使用SNMP功能模板在Catalyst SD-WAN Manager上进行配置
导航到Cisco vManage > Configuration > Templates > Feature
- 功能模板
导航到Cisco SNMP,可在其他模板部分找到
- SNMP功能
定义SNMP视图(限制),这是我们的步骤2
- SNMP 视图
- SNMP OID
定义SNMP组这是我们的步骤3
- SNMP组
- SNMP组
定义用户组,这是我们定义身份验证和加密密码的第4步。
- SNMP用户
- SNMP用户加密
注意:根据SNMP组安全级别,与用户关联的相应字段将启用。
现在将功能模板附加到设备模板。
- SNMP功能模板
验证
Router#show snmp user User name: MyUser Engine ID: 800000090300B8A3772FF870 storage-type: nonvolatile active access-list: snmp-poll-server Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: MyGroup
从安装了snmpwalk的计算机,您可以运行该命令来验证各自安全级别的SNMP响应
!NoAuthNoPriv: noauth snmpwalk -v 3 -l noAuthNoPriv -u MyUser <IP_ADDRESS> .1 !AuthNoPriv: auth snmpwalk -v 3 -l authNoPriv -u MyUser -a SHA -A AuthPassword <IP_ADDRESS> .1 !AuthPriv: priv snmpwalk -v 3 -l authPriv -u MyUser -a SHA -A AuthPassword -x AES -X PrivPassword <IP_ADDRESS> .1
-v:版本(3)
-l:安全级别
-A:身份验证协议口令
-X:隐私协议密码短语
参考