在Catalyst SD-WAN上配置SNMPv3

已更新: 2024 年 6 月 4 日
文档 ID:222042

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍SNMPv3配置,并解释有关安全(身份验证)、加密(隐私)和限制(查看)的信息。

    背景

    通常,在我们了解需要做什么之前,SNMPv3配置会非常复杂且难以配置。SNMPv3存在的原因与HTTPS类似:出于安全性、加密和限制。

    先决条件

    SD-WAN功能模板和设备模板的知识。

    对SNMP MIB、SNMP轮询和SNMP Walk的一般了解

    要求

    SD-WAN控制器

    Cisco Edge路由器

    使用的组件

    20.9上的SD-WAN控制器

    17.9上的Cisco Edge路由器

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    该图帮助您了解从CLI站点配置SNMPv3的所有要求。

    • SNMPv3简化为4步SNMPv3简化为4步

    一旦您了解了CLI或功能模板的概念,您就可以轻松地将它应用到CLI或功能模板中。让我们深入了解一下。

    步骤 1:

    配置ACL以允许可以轮询系统的人员(本例中为路由器)。

    ip access-list standard snmp-poll-server

    步骤 2:

    定义snmp视图,因为术语表示轮询器有权访问的mib,这是我们的限制

    snmp-server view MyView iso included

    步骤 3:

    定义snmp组,snmp组主要包括两部分a。安全级别b。限制(视图)。

    安全级别:

    • noAuthNoPriv:无身份验证和无隐私(无加密)。
    • authNoPriv:需要进行身份验证,但是没有隐私。
    • authPriv:同时需要身份验证和隐私。

    限制是我们在步骤2中定义的限制,让我们将它们放在一起。

    !NoAuthNoPriv: noauth
snmp-server group MyGroup v3 noauth read MyView

!AuthNoPriv: auth
snmp-server group MyGroup v3 auth read MyView

!AuthPriv: priv
snmp-server group MyGroup v3 priv read MyView

    步骤 4:

    在此步骤中,我们将组与用户关联,将每个组与定义各自身份验证和隐私(加密)的用户关联,并可使用访问控制列表进行进一步保护。

    !NoAuthNoPriv: noauth
snmp-server user MyUser MyGroup v3 access snmp-poll-server

!AuthNoPriv: auth
snmp-server user MyUser MyGroup v3 auth sha AuthPassword access snmp-poll-server

!AuthPriv: priv
snmp-server user MyUser MyGroup v3 auth sha AuthPassword priv aes 128 PrivPassword access snmp-poll-server
    警告图标

    注意:在尝试配置snmp-server user时,您会注意到上下文帮助不可用,并且没有在运行配置中显示,这是为了符合RFC 3414。键入完整命令,解析器接受配置

    cEdge-RT01(config)# snmp-server user ? ^ % Invalid input detected at '^' marker.

    思科漏洞ID CSCvn71472 

    恭喜,这才是我们需要的。现在您已经了解了cli和概念,接下来我们将介绍如何使用SNMP功能模板在Catalyst SD-WAN Manager上进行配置

    导航到Cisco vManage > Configuration > Templates > Feature

    • 导航到功能模板功能模板
      •

     导航到Cisco SNMP,可在其他模板部分找到

    • 选择SNMP功能SNMP功能
      •

      

    定义SNMP视图(限制),这是我们的步骤2 

    • 配置SNMP视图SNMP 视图
      •

    • 配置SNMP OIDSNMP OID
      •

    定义SNMP组这是我们的步骤3 

    • 配置SNMP组SNMP组
      •

    • 配置SNMP组SNMP组
      •

    定义用户组,这是我们定义身份验证和加密密码的第4步。

    • 配置SNMP用户SNMP用户
      •

    • 配置SNMP用户加密SNMP用户加密
      •

    注释图标

    注意:根据SNMP组安全级别,与用户关联的相应字段将启用。

    现在将功能模板附加到设备模板。

    • 将SNMP功能模板添加到设备模板SNMP功能模板
      •

    验证

    Router#show snmp user User name: MyUser Engine ID: 800000090300B8A3772FF870 storage-type: nonvolatile active access-list: snmp-poll-server Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: MyGroup

    从安装了snmpwalk的计算机,您可以运行该命令来验证各自安全级别的SNMP响应

    !NoAuthNoPriv: noauth snmpwalk -v 3 -l noAuthNoPriv -u MyUser <IP_ADDRESS> .1 !AuthNoPriv: auth snmpwalk -v 3 -l authNoPriv -u MyUser -a SHA -A AuthPassword <IP_ADDRESS> .1 !AuthPriv: priv snmpwalk -v 3 -l authPriv -u MyUser -a SHA -A AuthPassword -x AES -X PrivPassword <IP_ADDRESS> .1

    -v:版本(3)

    -l:安全级别

    -A:身份验证协议口令

    -X:隐私协议密码短语

    参考 

    修订历史记录

    版本 发布日期 备注
    1.0
    04-Jun-2024
    初始版本

    提供者

    • 阿莫德·奥古斯丁
      思科高级服务

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品