关于 SNMP
SNMP 是促进网络设备之间的管理信息交换的应用层协议,并且是 TCP/IP 协议套件的一部分。ASA 使用 SNMP 第 1、2c 和 3 版为网络监控提供支持,并且支持同时使用所有三个版本。利用在 ASA 接口上运行的 SNMP 代理,您可以通过诸如 HP OpenView 之类的网络管理系统 (NMS) 监控网络设备。ASA 通过发出 GET 请求来支持 SNMP 只读访问。不允许 SNMP 写访问,因此您无法对 SNMP 进行更改。此外,不支持 SNMP SET 请求。
您可以将 ASA 配置为向 NMS 发送陷阱,即针对特定事件从托管设备发送到管理站的未经请求的消息(事件通知),也可以使用 NMS 浏览安全设备上的管理信息库 (MIB)。MIB 是定义的集合,而 ASA 维护由每个定义的值组成的数据库。浏览 MIB 意味着从 NMS 发出 MIB 树的一系列 GET-NEXT 或 GET-BULKGET 请求以确定值。
ASA 具有 SNMP 代理,用于在发生预定义为需要通知(例如,当网络中的链路开启或关闭时)的事件的情况下通知指定的管理站。它发送的通知包括用于向管理站表明其自身身份 SNMP OID。ASA 代理还会在管理站请求信息时进行回复。
SNMP 术语
下表列出在使用 SNMP 时常用的术语。
|
术语 |
说明 |
|---|---|
|
代理 |
在 ASA 上运行的 SNMP 服务器。SNMP 代理具有以下功能:
|
|
浏览 |
通过从设备上的 SNMP 代理轮询所需信息来从网络管理站监控该设备的运行状况。此活动可能包括从网络管理站发出 MIB 树的一系列 GET-NEXT 或 GET-BULK 请求以确定值。 |
|
管理信息库 (MIB) |
用于收集有关数据包、连接、缓冲区、故障转移等的信息的标准化数据结构。MIB 由大多数网络设备使用的产品、协议和硬件标准来定义。SNMP 网络管理站可以浏览 MIB,并请求在出现特定数据或事件时将其发送。 |
|
网络管理站 (NMS) |
设置 PC 或工作站是为了监控 SNMP 事件和管理设备,例如 ASA。 |
|
对象标识符 (OID) |
用于向设备的 NMS 表明该设备的身份并向用户指示监控和显示的信息源的系统。 |
|
陷阱 |
用于生成从 SNMP 代理到 NMS 的消息的预定义事件。事件包括警报条件,例如链路开启、链路关闭、冷启动、热启动、身份验证或系统日志消息。 |
MIB 和陷阱
MIB 特定于标准或特定于企业。标准 MIB 由 IETF 创建并记录在各种 RFC 中。陷阱报告发生在网络设备上的重大事件,大多数情况下是错误或故障。SNMP 陷阱在特定于标准或特定于企业的 MIB 中进行定义。标准陷阱由 IETF 创建并记录在各种 RFC 中。SNMP 陷阱会编译成 ASA 软件。
如果需要,您还可以从以下位置下载 RFC、标准 MIB 和标准陷阱:
从以下位置浏览思科 MIB、陷阱和 OID 的完整列表:
https://github.com/cisco/cisco-mibs/blob/main/supportlists/asa/asa-supportlist.html
此外,从以下位置通过 FTP 下载思科 OID:
https://github.com/cisco/cisco-mibs/tree/main/oid
 注 |
在软件 7.2(1) 版、8.0(2) 版及更高版本中,通过 SNMP 访问的接口信息大约每 5 秒刷新一次。因此,我们建议在连续的轮询之间等待至少 5 秒。 |
在 MIB 中,并非所有 OID 都受支持。要获取特定 ASA 的受支持 SNMP MIB 和 OID 的列表,请输入以下命令:
ciscoasa(config)# show snmp-server oidlist
注 |
尽管 oidlist 关键字没有显示在 show snmp-server 命令的选项列表中,但它是可用的。但是,此命令仅供思科 TAC 使用。使用此命令之前,请联系思科 TAC。 |
以下是 show snmp-server oidlist 命令的输出示例:
ciscoasa(config)# show snmp-server oidlist
[0] 1.3.6.1.2.1.1.1. sysDescr
[1] 1.3.6.1.2.1.1.2. sysObjectID
[2] 1.3.6.1.2.1.1.3. sysUpTime
[3] 1.3.6.1.2.1.1.4. sysContact
[4] 1.3.6.1.2.1.1.5. sysName
[5] 1.3.6.1.2.1.1.6. sysLocation
[6] 1.3.6.1.2.1.1.7. sysServices
[7] 1.3.6.1.2.1.2.1. ifNumber
[8] 1.3.6.1.2.1.2.2.1.1. ifIndex
[9] 1.3.6.1.2.1.2.2.1.2. ifDescr
[10] 1.3.6.1.2.1.2.2.1.3. ifType
[11] 1.3.6.1.2.1.2.2.1.4. ifMtu
[12] 1.3.6.1.2.1.2.2.1.5. ifSpeed
[13] 1.3.6.1.2.1.2.2.1.6. ifPhysAddress
[14] 1.3.6.1.2.1.2.2.1.7. ifAdminStatus
[15] 1.3.6.1.2.1.2.2.1.8. ifOperStatus
[16] 1.3.6.1.2.1.2.2.1.9. ifLastChange
[17] 1.3.6.1.2.1.2.2.1.10. ifInOctets
[18] 1.3.6.1.2.1.2.2.1.11. ifInUcastPkts
[19] 1.3.6.1.2.1.2.2.1.12. ifInNUcastPkts
[20] 1.3.6.1.2.1.2.2.1.13. ifInDiscards
[21] 1.3.6.1.2.1.2.2.1.14. ifInErrors
[22] 1.3.6.1.2.1.2.2.1.16. ifOutOctets
[23] 1.3.6.1.2.1.2.2.1.17. ifOutUcastPkts
[24] 1.3.6.1.2.1.2.2.1.18. ifOutNUcastPkts
[25] 1.3.6.1.2.1.2.2.1.19. ifOutDiscards
[26] 1.3.6.1.2.1.2.2.1.20. ifOutErrors
[27] 1.3.6.1.2.1.2.2.1.21. ifOutQLen
[28] 1.3.6.1.2.1.2.2.1.22. ifSpecific
[29] 1.3.6.1.2.1.4.1. ipForwarding
[30] 1.3.6.1.2.1.4.20.1.1. ipAdEntAddr
[31] 1.3.6.1.2.1.4.20.1.2. ipAdEntIfIndex
[32] 1.3.6.1.2.1.4.20.1.3. ipAdEntNetMask
[33] 1.3.6.1.2.1.4.20.1.4. ipAdEntBcastAddr
[34] 1.3.6.1.2.1.4.20.1.5. ipAdEntReasmMaxSize
[35] 1.3.6.1.2.1.11.1. snmpInPkts
[36] 1.3.6.1.2.1.11.2. snmpOutPkts
[37] 1.3.6.1.2.1.11.3. snmpInBadVersions
[38] 1.3.6.1.2.1.11.4. snmpInBadCommunityNames
[39] 1.3.6.1.2.1.11.5. snmpInBadCommunityUses
[40] 1.3.6.1.2.1.11.6. snmpInASNParseErrs
[41] 1.3.6.1.2.1.11.8. snmpInTooBigs
[42] 1.3.6.1.2.1.11.9. snmpInNoSuchNames
[43] 1.3.6.1.2.1.11.10. snmpInBadValues
[44] 1.3.6.1.2.1.11.11. snmpInReadOnlys
[45] 1.3.6.1.2.1.11.12. snmpInGenErrs
[46] 1.3.6.1.2.1.11.13. snmpInTotalReqVars
[47] 1.3.6.1.2.1.11.14. snmpInTotalSetVars
[48] 1.3.6.1.2.1.11.15. snmpInGetRequests
[49] 1.3.6.1.2.1.11.16. snmpInGetNexts
[50] 1.3.6.1.2.1.11.17. snmpInSetRequests
[51] 1.3.6.1.2.1.11.18. snmpInGetResponses
[52] 1.3.6.1.2.1.11.19. snmpInTraps
[53] 1.3.6.1.2.1.11.20. snmpOutTooBigs
[54] 1.3.6.1.2.1.11.21. snmpOutNoSuchNames
[55] 1.3.6.1.2.1.11.22. snmpOutBadValues
[56] 1.3.6.1.2.1.11.24. snmpOutGenErrs
[57] 1.3.6.1.2.1.11.25. snmpOutGetRequests
[58] 1.3.6.1.2.1.11.26. snmpOutGetNexts
[59] 1.3.6.1.2.1.11.27. snmpOutSetRequests
[60] 1.3.6.1.2.1.11.28. snmpOutGetResponses
[61] 1.3.6.1.2.1.11.29. snmpOutTraps
[62] 1.3.6.1.2.1.11.30. snmpEnableAuthenTraps
[63] 1.3.6.1.2.1.11.31. snmpSilentDrops
[64] 1.3.6.1.2.1.11.32. snmpProxyDrops
[65] 1.3.6.1.2.1.31.1.1.1.1. ifName
[66] 1.3.6.1.2.1.31.1.1.1.2. ifInMulticastPkts
[67] 1.3.6.1.2.1.31.1.1.1.3. ifInBroadcastPkts
[68] 1.3.6.1.2.1.31.1.1.1.4. ifOutMulticastPkts
[69] 1.3.6.1.2.1.31.1.1.1.5. ifOutBroadcastPkts
[70] 1.3.6.1.2.1.31.1.1.1.6. ifHCInOctets
--More--
SNMP 对象标识符
每个思科系统级产品都具有供用作 MIB-II sysObjectID 的 SNMP 对象标识符 (OID)。CISCO-PRODUCTS-MIB 和 CISCO-ENTITY-VENDORTYPE-OID-MIB 包括可在 SNMPv2-MIB、Entity Sensor MIB 和 Entity Sensor Threshold Ext MIB 内的 sysObjectID 对象中报告的 OID。您可以使用此值标识型号。下表列出了不同型号 ASA 和 ISA 的 sysObjectID OID。
|
产品标识符 |
sysObjectID |
型号编号 |
|---|---|---|
|
ASA Virtual |
ciscoASAv (ciscoProducts 1902) |
思科自适应安全虚拟设备 (ASA virtual) |
|
ASA Virtual 系统情景 |
ciscoASAvsy (ciscoProducts 1903) |
思科自适应安全虚拟设备 (ASA virtual) 系统情景 |
|
ASA Virtual 安全情境 |
ciscoASAvsc (ciscoProducts 1904) |
思科自适应安全虚拟设备 (ASA virtual) 安全情景. |
|
ISA 30004C 工业安全设备 |
ciscoProducts 2268 |
ciscoISA30004C |
|
带有 4 GE 铜缆安全情景的思科 ISA30004C |
ciscoProducts 2139 |
ciscoISA30004Csc |
|
带有 4 GE 铜缆系统情景的思科 ISA30004C |
ciscoProducts 2140 |
ciscoISA30004Csy |
|
ISA 30002C2F 工业安全设备 |
ciscoProducts 2267 |
ciscoISA30002C2F |
|
带有 2 GE 铜缆端口 + 2 GE 光纤安全情景的思科 ISA30002C2F |
ciscoProducts 2142 |
ciscoISA30002C2Fsc |
|
带有 2 GE 铜缆端口 + 2 GE 光纤系统情景的思科 ISA30002C2F |
ciscoProducts 2143 |
ciscoISA30002C2Fsy |
|
思科工业安全设备 (ISA) 30004C 机箱 |
cevChassis 1677 |
cevChassisISA30004C |
|
思科工业安全设备 (ISA) 30002C2F 机箱 |
cevChassis 1678 |
cevChassisISA30002C2F |
|
适用于 ISA30004C 铜缆 SKU 的中央处理单元温度传感器 |
cevSensor 187 |
cevSensorISA30004CCpuTempSensor |
|
适用于 ISA30002C2F 光纤的中央处理单元温度传感器 |
cevSensor 189 |
cevSensorISA30002C2FCpuTempSensor |
|
适用于 ISA30004C 铜缆 SKU 的处理器卡温度传感器 |
cevSensor 192 |
cevSensorISA30004CPTS |
|
适用于 ISA30002C2F 光纤 SKU 的处理器卡温度传感器 |
cevSensor 193 |
cevSensorISA30002C2FPTS |
|
适用于 ISA30004C 铜缆 SKU 的电源卡温度传感器 |
cevSensor 197 |
cevSensorISA30004CPowercardTS |
|
适用于 ISA30002C2F 光纤 SKU 的电源卡温度传感器 |
cevSensor 198 |
cevSensorISA30002C2FPowercardTS |
|
适用于 ISA30004C 的端口卡温度传感器 |
cevSensor 199 |
cevSensorISA30004CPortcardTS |
|
适用于 ISA30002C2F 的端口卡温度传感器 |
cevSensor 200 |
cevSensorISA30002C2FPortcardTS |
|
适用于 ISA30004C 铜缆 SKU 的中央处理单元 |
cevModuleCpuType 329 |
cevCpuISA30004C |
|
适用于 ISA30002C2F 光纤 SKU 的中央处理单元 |
cevModuleCpuType 330 |
cevCpuISA30002C2F |
|
模块 ISA30004C、ISA30002C2F |
cevModule 111 |
cevModuleISA3000Type |
|
30004C 工业安全设备固态硬盘 |
cevModuleISA3000Type 1 |
cevModuleISA30004CSSD64 |
|
30002C2F 工业安全设备固态硬盘 |
cevModuleISA3000Type 2 |
cevModuleISA30002C2FSSD64 |
|
思科 ISA30004C/ISA30002C2F 硬件旁路 |
cevModuleISA3000Type 5 |
cevModuleISA3000HardwareBypass |
|
FirePOWER 4140 安全设备,1U,带有内置安全模块 36 |
ciscoFpr4140K9 (ciscoProducts 2293) |
FirePOWER 4140 |
|
FirePOWER 4120 安全设备,1U,带有内置安全模块 24 |
ciscoFpr4120K9 (ciscoProducts 2294) |
FirePOWER 4120 |
|
FirePOWER 4K 风扇槽位 |
cevContainer 363 |
cevContainerFPR4KFanBay |
|
FirePOWER 4K 电源槽位 |
cevContainer 364 |
cevContainerFPR4KPowerSupplyBay |
|
Cisco Cisco Secure Firewall Threat Defense Virtual、VMware |
cevChassis 1795 |
cevChassisCiscoFTDVVMW |
|
Cisco Threat Defense Virtual、 AWS |
cevChassis 1796 |
cevChassisCiscoFTDVAWS |
物理供应商类型值
每个思科机箱或独立系统都具有供 SNMP 使用的唯一类型编号。entPhysicalVendorType OID 在 CISCO-ENTITY-VENDORTYPE-OID-MIB 中进行定义。此值在 ASA、 ASA virtual或 ASASM SNMP 代理的 entPhysicalVendorType 对象中返回。您可以使用此值标识组件的类型(模块、电源、风扇、传感器、CPU 等)。下表列出用于各型号 ASA 的物理供应商类型值。
|
项目 |
entPhysicalVendorType OID 说明 |
|---|---|
|
千兆以太网端口 |
cevPortGe (cevPort 109) |
|
思科自适应安全虚拟设备 |
cevChassisASAv (cevChassis 1451) |
MIB 中支持的表格和对象
下表列出对指定 MIB 支持的表和对象。
在多情景模式下,这些表和对象提供单个情景的信息。如果需要跨情景的数据,则需要对它们求和。例如,要获取整体内存使用率,请对每个情景的cempMemPoolHCUsed值求和。
|
MIB 名称和 OID |
支持的表和对象 |
||
|---|---|---|---|
|
CISCO-ENHANCED-MEMPOOL-MIB; OID:1.3.6.1.4.1.9.9.221 |
cempMemPoolTable、cempMemPoolIndex、cempMemPoolType、cempMemPoolName、cempMemPoolAlternate、cempMemPoolValid。 对于 32 位内存系统,使用 32 位内存计数器进行轮询—cempMemPoolUsed、 cempMemPoolFree、cempMemPoolUsedOvrflw、 cempMemPoolFreeOvrflw、 cempMemPoolLargestFree、 cempMemPoolLowestFree、 cempMemPoolUsedLowWaterMark、 cempMemPoolAllocHit、 cempMemPoolAllocMiss、 cempMemPoolFreeHit、 cempMemPoolFreeMiss、 cempMemPoolLargestFreeOvrflw、 cempMemPoolLowestFreeOvrflw、 cempMemPoolUsedLowWaterMarkOvrflw、 cempMemPoolSharedOvrflw。 对于 64 位内存系统,使用 64 位内存计数器进行轮询 - cempMemPoolHCUsed、cempMemPoolHCFree、cempMemPoolHCLargestFree、cempMemPoolHCLowestFree、cempMemPoolHCUsedLowWaterMark、cempMemPoolHCShared |
||
|
CISCO-REMOTE-ACCESS-MONITOR-MIB; OID:1.3.6.1.4.1.9.9.392
|
crasNumTotalFailures,crasNumSetupFailInsufResources,crasNumAbortedSessions |
||
|
CISCO-ENTITY-SENSOR-EXT-MIB; OID:1.3.6.1.4.1.9.9.745 |
ceSensorExtThresholdTable |
||
|
CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB; OID:1.3.6.1.4.1.9.9.480 |
ciscoL4L7ResourceLimitTable |
||
|
CISCO-TRUSTSEC-SXP-MIB; OID:1.3.6.1.4.1.9.9.720
|
ctsxSxpGlobalObjects、ctsxSxpConnectionObjects、ctsxSxpSgtObjects |
||
|
DISMAN-EVENT-MIB; OID:1.3.6.1.2.1.88 |
mteTriggerTable、mteTriggerThresholdTable、mteObjectsTable、mteEventTable、mteEventNotificationTable |
||
|
DISMAN-EXPRESSION-MIB; OID:1.3.6.1.2.1.90 |
expExpressionTable、expObjectTable、expValueTable |
||
|
ENTITY-SENSOR-MIB; OID: 1.3.6.1.2.1.99
|
entPhySensorTable |
||
|
NAT-MIB; OID:1.3.6.1.2.1.123 |
natAddrMapTable、natAddrMapIndex、natAddrMapName、natAddrMapGlobalAddrType、natAddrMapGlobalAddrFrom、natAddrMapGlobalAddrTo、natAddrMapGlobalPortFrom、natAddrMapGlobalPortTo、natAddrMapProtocol、natAddrMapAddrUsed、natAddrMapRowStatus |
||
|
CISCO-PTP-MIB; OID:1.3.6.1.4.1.9.9.760
|
ciscoPtpMIBSystemInfo、cPtpClockDefaultDSTable、cPtpClockTransDefaultDSTable、cPtpClockPortTransDSTable |
||
|
CISCO-PROCESS-MIB; 1.3.6.1.4.1.9.9.109.1.1.1.1.7.1 1.3.6.1.4.1.9.9.109.1.1.1.1.7.2 至 1.3.6.1.4.1.9.9.109.1.1.1.1.7.(n+1) |
cpmCPUTotal1minRev cpmCPUTotal1minRev 的关联参数和值 示例:
|
支持的陷阱(通知)
下表列出支持的陷阱(通知)及其关联 MIB。
|
陷阱和 MIB 名称 |
Varbind 列表 |
说明 |
||
|---|---|---|---|---|
|
authenticationFailure (SNMPv2-MIB) |
- |
对于 SNMP 第 1 版或第 2 版,SNMP 请求中提供的社区字符串不正确。对于 SNMP 第 3 版,如果 auth 或 priv 关键字或用户名不正确,则会生成报告 PDU 而不是陷阱。 snmp-server enable traps snmp authentication 命令用于启用和禁用这些陷阱的传输。 |
||
|
bgpBackwardTransition |
bgpPeerLastError、bgpPeerState |
snmp-server enable traps peer-flap 命令用于启用此陷阱的传输。 |
||
|
ccmCLIRunningConfigChanged (CISCO-CONFIG-MAN-MIB) |
ccmHistoryRunningLastChanged、ccmHistoryEventTerminalType |
snmp-server enable traps config 命令用于启用此陷阱的传输。 |
||
|
cefcFRUInserted (CISCO-ENTITY-FRU-CONTROL -MIB) |
entPhysicalContainedIn |
snmp-server enable traps entity fru-insert 命令用于启用此通知。 |
||
|
cefcFRURemoved (CISCO-ENTITY-FRU-CONTROL -MIB) |
entPhysicalContainedIn |
snmp-server enable traps entity fru-remove 命令用于启用此通知。 |
||
|
ceSensorExtThresholdNotification (CISCO-ENTITY-SENSOR-EXT -MIB) |
entPhysicalName、entPhysicalDescr、entPhySensorValue、entPhySensorType、 ceSensorExtThresholdValue |
snmp-server enable traps entity [power-supply-failure | fan-failure | cpu-temperature] 命令用于启用实体阈值通知的传输。系统会针对电源故障发送此通知。所发送的对象会识别风扇和 CPU 温度。 snmp-server enable traps entity fan-failure 命令用于启用风扇故障陷阱的传输。此陷阱不适用于 Firepower 2100 系列。 snmp-server enable traps entity power-supply-failure 命令用于启用电源故障陷阱的传输。此陷阱不适用于 Firepower 2100 系列。 snmp-server enable traps entity chassis-fan-failure 命令用于启用机箱风扇故障陷阱的传输。 snmp-server enable traps entity cpu-temperature 命令用于启用高 CPU 温度陷阱的传输。此陷阱不适用于 Firepower 2100 系列。 snmp-server enable traps entity power-supply-presence 命令用于启用电源状态故障陷阱的传输。 snmp-server enable traps entity power-supply-temperature 命令用于启用电源温度阈值陷阱的传输。 snmp-server enable traps entity chassis-temperature 命令用于启用机箱环境温度陷阱的传输。此陷阱不适用于 Firepower 2100 系列。 snmp-server enable traps entity accelerator-temperature 命令用于启用机箱加速器温度陷阱的传输。 |
||
|
cikeTunnelStart (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cikePeerLocalAddr、cikePeerRemoteAddr、cikeTunLifeTime |
snmp-server enable traps ikev2 start 命令用于启用此陷阱的传输。 |
||
|
cikeTunnelStop (CISCO-IPSEC-FLOW-MONITOR-MIB) |
cikePeerLocalAddr、cikePeerRemoteAddr、cikeTunActiveTime |
snmp-server enable traps ikev2 stop 命令用于启用此陷阱的传输。 |
||
|
cipSecTunnelStart (CISCO-IPSEC-FLOW-MONITOR -MIB) |
cipSecTunLifeTime, cipSecTunLifeSize |
snmp-server enable traps ipsec start 命令用于启用此陷阱的传输。 |
||
|
cipSecTunnelStop (CISCO-IPSEC-FLOW-MONITOR -MIB) |
cipSecTunActiveTime |
snmp-server enable traps ipsec stop 命令用于启用此陷阱的传输。 |
||
|
ciscoConfigManEvent (CISCO-CONFIG-MAN-MIB) |
ccmHistoryEventCommandSource, ccmHistoryEventConfigSource, ccmHistoryEventConfigDestination |
snmp-server enable traps config 命令用于启用此陷阱的传输。 |
||
|
ciscoRasTooManySessions (CISCO-REMOTE-ACCESS -MONITOR-MIB) |
crasNumSessions、crasNumUsers、crasMaxSessionsSupportable、crasMaxUsersSupportable、crasThrMaxSessions |
snmp-server enable traps remote-access session-threshold-exceeded 命令用于启用这些陷阱的传输。 |
||
|
ciscoUFwFailoverStateChanged (CISCO-UNIFIED-FIREWALL-MIB) |
gid, FOStatus |
snmp-server enable traps failover-state 命令用于启用此陷阱的传输。 |
||
|
clogMessageGenerated (CISCO-SYSLOG-MIB) |
clogHistFacility、clogHistSeverity、clogHistMsgName、clogHistMsgText、clogHistTimestamp |
系统将生成系统日志消息。 clogMaxSeverity 对象的值用于决定哪些系统日志消息作为陷阱发送。 snmp-server enable traps syslog 命令用于启用和禁用这些陷阱的传输。 |
||
|
clrResourceLimitReached (CISCO-L4L7MODULE-RESOURCE -LIMIT-MIB) |
crlResourceLimitValueType、crlResourceLimitMax、clogOriginIDType、clogOriginID |
snmp-server enable traps connection-limit-reached 命令用于启用 connection-limit-reached 通知的传输。clogOriginID 对象包括陷阱源于的情景名称。 |
||
|
coldStart (SNMPv2-MIB) |
- |
SNMP 代理已启动。 snmp-server enable traps snmp coldstart 命令用于启用和禁用这些陷阱的传输。 |
||
|
cpmCPURisingThreshold (CISCO-PROCESS-MIB) |
cpmCPURisingThresholdValue、cpmCPUTotalMonIntervalValue、cpmCPUInterruptMonIntervalValue、cpmCPURisingThresholdPeriod、cpmProcessTimeCreated、cpmProcExtUtil5SecRev |
snmp-server enable traps cpu threshold rising 命令用于启用 CPU threshold rising 通知的传输。cpmCPURisingThresholdPeriod 对象与其他对象一起发送。 |
||
|
cufwClusterStateChanged (CISCO-UNIFIED-FIREWALL-MIB) |
status |
snmp-server enable traps cluster-state 命令用于启用此陷阱的传输。 |
||
|
entConfigChange (ENTITY-MIB) |
- |
snmp-server enable traps entity config-change fru-insert fru-remove 命令用于启用此通知。
|
||
|
linkDown (IF-MIB) |
ifIndex、ifAdminStatus、ifOperStatus |
接口的链路关闭陷阱。 snmp-server enable traps snmp linkdown 命令用于启用和禁用这些陷阱的传输。 |
||
|
linkUp (IF-MIB) |
ifIndex、ifAdminStatus、ifOperStatus |
接口的链路开启陷阱。 snmp-server enable traps snmp linkup 命令用于启用和禁用这些陷阱的传输。 |
||
|
mteTriggerFired (DISMAN-EVENT-MIB) |
mteHotTrigger、mteHotTargetName、mteHotContextName、mteHotOID、mteHotValue、cempMemPoolName、cempMemPoolHCUsed |
snmp-server enable traps memory-threshold 命令用于启用内存阈值通知。mteHotOID 设置为 cempMemPoolHCUsed。cempMemPoolName 和 cempMemPoolHCUsed 对象与其他对象一起发送。 |
||
|
mteTriggerFired (DISMAN-EVENT-MIB) |
mteHotTrigger、mteHotTargetName、mteHotContextName、mteHotOID、mteHotValue、ifHCInOctets、ifHCOutOctets、ifHighSpeed、entPhysicalName |
snmp-server enable traps interface-threshold 命令用于启用接口阈值通知。entPhysicalName 对象将与其他对象一起发送。 |
||
|
natPacketDiscard (NAT-MIB) |
ifIndex |
snmp-server enable traps nat packet-discard 命令用于启用 NAT 数据包丢弃通知。此通知会受到时长为 5 分钟的速率限制,并且是在 IP 数据包因映射空间不可用而被 NAT 丢弃的情况下生成。ifIndex 提供映射接口的 ID。 |
||
|
ospfNbrStateChange |
ospfRouterId, ospfNbrIpAddr, ospfNbrAddressLessIndex, ospfNbrRtrId, ospfNbrState |
snmp-server enable traps peer-flap 命令用于启用此陷阱的传输。 |
||
|
warmStart (SNMPv2-MIB) |
- |
snmp-server enable traps snmp warmstart 命令用于启用和禁用这些陷阱的传输。 |
接口类型和示例
产生 SNMP 流量统计信息的接口类型包括:
-
逻辑 - 由软件驱动程序收集的统计信息,它是物理统计信息的子集。
-
物理 - 由硬件驱动程序收集的统计信息。每个物理指定接口具有一组与其关联的逻辑和物理统计信息。每个物理接口可能具有多个与其关联的 VLAN 接口。VLAN 接口仅具有逻辑统计信息。
注
对于具有多个与其关联的 VLAN 接口的物理接口,请注意,ifInOctets OID 和 ifOutoctets OID 的 SNMP 计数器会与该物理接口的汇聚流量计数器相匹配。
-
VLAN 专用 - SNMP 使用 ifInOctets 和 ifOutOctets 的逻辑统计信息。
下表中的示例显示 SNMP 流量统计信息中的差异。示例 1 显示对于 show interface 命令和 show traffic 命令而言物理与逻辑输出统计信息中的差异。示例 2 显示对于 show interface 命令和 show traffic 命令而言 VLAN 专用接口的输出统计信息。示例表明统计信息接近于为 show traffic 命令显示的输出。
|
示例 1 |
示例 2 |
|---|---|
以下示例显示管理接口和物理接口的 SNMP 输出统计信息。ifInOctets 值接近于 show traffic 命令输出中显示的物理统计信息输出,但不接近于逻辑统计信息输出。 管理接口的 ifIndex: 对应于物理接口 统计信息的 ifInOctets: |
VLAN 内部的 ifIndex: |
SNMP 第 3 版概述
SNMP 第 3 版提供第 1 版或第 2c 版中没有的安全增强功能。SNMP 第 1 版和第 2c 版以明文形式在 SNMP 服务器和 SNMP 代理之间传输数据。SNMP 第 3 版向安全协议操作中添加了身份验证和隐私选项。此外,此版本通过基于用户的安全模式 (USM) 和基于视图的访问控制模式 (VACM) 控制对 SNMP 代理和 MIB 对象的访问。ASA 还支持创建 SNMP 组和用户,以及为安全 SNMP 通信启用传输身份验证和加密所需的主机。
安全模型
为进行配置,身份验证和隐私选项会共同组成安全模式。安全模式应用于用户和组,它们分为以下三种类型:
-
NoAuthPriv - 无身份验证且无隐私,意味着未对消息应用安全设置。
-
AuthNoPriv - 有身份验证但无隐私,意味着消息会进行身份验证。
-
AuthPriv - 有身份验证并有隐私,意味着消息会进行身份验证并加密。
SNMP 组
SNMP 组是可以将用户添加到的访问控制策略。每个 SNMP 组配置有安全模式,并与 SNMP 视图关联。SNMP 组内的用户必须与 SNMP 组的安全模式匹配。这些参数指定 SNMP 组内的用户使用的身份验证和隐私类型。每个 SNMP 组名称/安全模式对必须唯一。
SNMP 用户
SNMP 用户具有指定的用户名、用户所属的组、身份验证密码、加密密码,以及要使用的身份验证和加密算法。身份验证算法选项包括 SHA-1、SHA-224、SHA-256 HMAC 和 SHA-384。加密算法选项为 3DES 和 AES(在 128、192 和 256 版中可用)。创建用户时,必须将其与 SNMP 组相关联。然后,用户将继承该组的安全模式。
注 |
配置 SNMP v3 用户账户时,请确保身份验证算法的长度等于或大于加密算法的长度。 |
SNMP 主机
SNMP 主机是 SNMP 通知和陷阱所发送到的 IP 地址。要配置 SNMP 第 3 版主机及目标 IP 地址,必须配置用户名,因为陷阱仅发送到已配置的用户。SNMP 目标 IP 地址和目标参数名称在 ASA 上必须唯一。每个 SNMP 主机只能具有一个与其关联的用户名。要接收 SNMP 陷阱,请在添加 snmp-server host 命令后,确保将 NMS 上的用户凭证配置为与 ASA 的凭证相匹配。
注 |
最多可以添加 8192 台主机。但是,其中仅 128 台可用于陷阱。 |
ASA 和思科 IOS 软件之间的实施差异
ASA 中的 SNMP 第 3 版实施在以下方面不同于思科 IOS 软件中的 SNMP 第 3 版实施:
-
本地引擎和远程引擎 ID 为不可配置。本地引擎 ID 是在 ASA 启动时或者创建了情景时生成。
-
不支持基于视图的访问控制,导致 MIB 浏览不受限制。
-
支持限于以下 MIB:USM、VACM、FRAMEWORK 和 TARGET。
-
您必须使用正确的安全模式创建用户和组。
-
您必须按正确的顺序删除用户、组和主机。
-
使用 snmp - server host 命令创建 ASA 规则以允许传入 SNMP 流量。
SNMP 系统日志消息传递
SNMP 生成编号为 212nnn 的详细系统日志消息。系统日志消息向指定接口上的指定主机表明 SNMP 请求、SNMP 陷阱、SNMP 信道和来自 ASA 或 ASASM 的 SNMP 响应的状态。
有关系统日志消息的详细信息,请参阅系统日志消息指南。
注 |
如果 SNMP 系统日志消息超过较高的速率(约 4000 条/秒),则 SNMP 轮询将失败。 |
应用服务和第三方工具
有关 SNMP 支持的信息,请参阅以下 URL:
http://www.cisco.com/en/US/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html
有关使用第三方工具处理 SNMP 第 3 版 MIB 的信息,请参阅以下 URL:
http://www.cisco.com/en/US/docs/security/asa/asa83/snmp/snmpv3_tools.html
反馈