Manual del Agente SNMP en español - asistp.com paquete SNMP que llegue al router s validado o descartado según cumpla o no las restricciones e impuestas por el esquema de autenticación

Router Teldat Agente SNMP

Doc. DM712 Rev. 10.92 Marzo, 2014

- ii -

ÍNDICE

Capítulo 1 Introducción al protocolo SNMP .................................................................. 1 1. Introducción ....................................................................................................................... 2 2. Versiones del protocolo SNMP .......................................................................................... 3 3. Tipos de paquetes SNMP ................................................................................................... 4 4. Seguridad............................................................................................................................ 5

4.1. SNMPv1 y SNMPv2c ............................................................................................. 5 4.2. SNMPv3 .................................................................................................................. 5 4.3. Control de acceso basado en vistas ......................................................................... 6

Capítulo 2 Configuración del agente SNMP ................................................................... 7 1. Acceso al entorno de configuración SNMP ....................................................................... 8 2. Comandos de configuración SNMP ................................................................................... 9

2.1. ? (AYUDA) ............................................................................................................. 9 2.2. ACCESS ................................................................................................................. 10 2.3. COMMUNITY ....................................................................................................... 11

a) COMMUNITY nombre_comunidad DEFAULT ...................................................... 11 b) COMMUNITY nombre_comunidad ACCESS ......................................................... 11 c) COMMUNITY nombre_comunidad CONTEXT ...................................................... 12 d) COMMUNITY nombre_comunidad SUBNET ......................................................... 12 e) COMMUNITY nombre_comunidad VIEW .............................................................. 13

2.4. CONTEXT .............................................................................................................. 13 2.5. DEFAULT-CONFIG .............................................................................................. 13 2.6. DISABLE ................................................................................................................ 14 2.7. ENABLE ................................................................................................................. 14 2.8. ENGINEID LOCAL ............................................................................................... 14 2.9. GROUP ................................................................................................................... 14 2.10. HOST ...................................................................................................................... 15 2.11. LIST ........................................................................................................................ 17

a) LIST ACCESS .......................................................................................................... 17 b) LIST ALL ................................................................................................................. 17 c) LIST COMMUNITY ................................................................................................ 19 d) LIST GROUP .......................................................................................................... 20 e) LIST HOST .............................................................................................................. 20 f) LIST TRAP-SENDING-PARAMETERS .................................................................. 21 g) LIST USER .............................................................................................................. 21 h) LIST VIEW .............................................................................................................. 22

2.12. MIB ......................................................................................................................... 22 a) MIB IFMIB.............................................................................................................. 22

• MIB IFMIB IFALIAS ................................................................................. 22 2.13. NO ........................................................................................................................... 22 2.14. SUBTREE ............................................................................................................... 23 2.15. TRAP ...................................................................................................................... 24

a) TRAP SENDING-PARAMETERS ........................................................................... 24 2.16. USER ...................................................................................................................... 26 2.17. EXIT ....................................................................................................................... 27

Capítulo 3 Monitorización del agente SNMP.................................................................. 28 1. Acceso al entorno de monitorización SNMP ..................................................................... 29 2. Comandos de monitorización SNMP ................................................................................. 30

2.1. ? (AYUDA) ............................................................................................................. 30 2.2. LIST ........................................................................................................................ 30

a) LIST ACCESS-ENTRY ............................................................................................ 30 b) LIST ALL ................................................................................................................. 31 c) LIST COMMUNITY ................................................................................................ 33 d) LIST DEBUG .......................................................................................................... 34

- iii -

e) LIST GROUP .......................................................................................................... 34 f) LIST HOST .............................................................................................................. 35 g) LIST STATISTICS ................................................................................................... 35 h) LIST TRAP-SENDING-PARAMETERS .................................................................. 36 i) LIST USER .............................................................................................................. 36 j) LIST VIEW .............................................................................................................. 36

2.3. EXIT ....................................................................................................................... 37 Capítulo 4 Ejemplos de configuración ............................................................................. 38

1. SNMPv1 ............................................................................................................................. 39 2. SNMPv3 ............................................................................................................................. 40 3. SNMPv1/v2 consultas multi-VRF ...................................................................................... 42 4. SNMPv3 consultas multi-VRF ........................................................................................... 43

Capítulo 1 Introducción al protocolo SNMP

ROUTER TELDAT - Introducción SNMP

I - 2 Doc.DM712

Rev.10.92

1. Introducción

SNMP es un protocolo de nivel 7 (nivel de aplicación) según el modelo OSI (Open Systems Interconnection), utilizado para configurar y monitorizar diferentes características del router. SNMP permite, a las estaciones de trabajo de la red, leer y modificar algunos de los parámetros del router. Posibilita a un software ejecutándose en una estación remota, contactar a través de la red con el router y obtener información actualizada de dicho router. Por lo tanto, se puede llevar a cabo una gestión centralizada de los routers existentes en la red. Entre las facilidades básicas de SNMP se incluyen:

• La recogida de información y la modificación de los parámetros operativos del router por parte de los usuarios SNMP remotos.

• El envío y la recepción de paquetes SNMP a través del protocolo IP.

SNMP

UDP

IP

SNMP

UDP

IP

Nivel OSI

7

4

3

Red

Router Sistema Gestor

Aplicación

Figura 1: Niveles de protocolo del entorno SNMP

El software que procesa las peticiones SNMP se ejecuta en el router y se denomina agente SNMP. El programa de usuario que construye las peticiones SNMP se ejecuta en cualquier estación de usuario de la red, no en el router, y se llama gestor SNMP. El agente SNMP en el router y el gestor en la estación de trabajo usan el protocolo UDP para intercambiar los paquetes. Para más información sobre SNMP, consúltese la recomendación RFC 1157, A Simple Network Management Protocol. Las recomendaciones RFC 3410 a 3418, RFC 3584 y RFC 3826 proporcionan información sobre la última versión del protocolo SNMP, SNMPv3.


I - 3 Doc.DM712

Rev.10.92

2. Versiones del protocolo SNMP

Existen tres versiones del protocolo SNMP. La primera versión, SNMPv1, define las operaciones básicas del protocolo SNMP, así como un mecanismo elemental de autenticación basado en comunidades. La segunda versión del protocolo, SNMPv2, introduce nuevas operaciones y tipos de datos que mejoran la eficacia del protocolo SNMP. En esta segunda versión se intentó mejorar la seguridad del protocolo, pero la complejidad de las soluciones propuestas hizo que en la práctica se siguiese usando el mecanismo de autenticación de SNMPv1. La versión de SNMPv2 con este mecanismo de autenticación se denomina habitualmente SNMPv2c (c de comunidad). La tercera versión del protocolo, SNMPv3, establece un marco de seguridad completo para el protocolo SNMP. Al hacerlo, además, separa el protocolo SNMP en módulos independientes, facilitando ampliaciones futuras.


I - 4 Doc.DM712

Rev.10.92

3. Tipos de paquetes SNMP

Existen tres operaciones básicas en el protocolo SNMP: • petición de datos al agente. • configuración de datos en el agente. • notificaciones: información enviada por el agente al gestor para informar de alguna

circunstancia que se ha producido en el agente. Estas tres operaciones se llevan a cabo, en SNMPv1, mediante los siguientes tipos de paquete:

• GET-REQUEST: el gestor utiliza este comando para pedir al agente el estado de una o varias variables. El gestor espera respuesta del agente.

• GET-NEXT: el gestor utiliza este comando para pedir al agente el estado de la variable que, en el árbol de gestión, sigue a la variable indicada. Este comando es útil para recorrer tablas u obtener un subconjunto del árbol de gestión. El gestor espera respuesta del agente.

• SET-REQUEST: el gestor utiliza este comando para configurar el valor de una o varias variables en el agente. El gestor espera respuesta del agente.

• GET-RESPONSE (denominado simplemente RESPONSE a partir de la versión 2): el agente utiliza este comando para responder a las peticiones del gestor. En el caso de los comandos GET-REQUEST y GET-NEXT, el agente responde con el valor de la variable pedida (en el caso del comando GET-NEXT, identificando además dicha variable). En el caso de un comando SET-REQUEST, el agente responde indicando si la operación se ha podido llevar a cabo con éxito o no.

• TRAP: el agente utiliza este comando para informar al gestor de algún evento significativo. El agente no espera respuesta del gestor.

En las versiones 2 y 3 del protocolo se introducen nuevos comandos:

• GET-BULK: el gestor utiliza este comando para pedir al agente el estado de varias variables. La definición de este comando lo hace especialmente útil para obtener el estado de todas las variables de una tabla.

• INFORM: un gestor utiliza este comando para comunicar información a otro gestor de algún evento significativo. A diferencia del comando TRAP, en este caso se espera que el gestor responda con un comando RESPONSE.

• NOTIFICATION: este comando sustituye al comando TRAP de la versión 1. • REPORT: el agente utiliza este comando para informar al gestor de algún error excepcional en

el tratamiento de la petición hecha por el gestor. Este comando se usa en la versión 3 del protocolo SNMP como parte del proceso de descubrimiento de los datos necesarios del agente.


I - 5 Doc.DM712

Rev.10.92

4. Seguridad

4.1. SNMPv1 y SNMPv2c

En el protocolo SNMPv1 y SNMPv2c el mecanismo de seguridad es muy simple: no existe cifrado de los datos y la autenticación utilizada es muy básica. Cada paquete SNMP incluye un campo indicando la comunidad a la que se refiere. La comunidad no es más que un conjunto de caracteres. Para cada comunidad, es posible especificar en el agente:

• el nivel de acceso, ya sea de lectura o de escritura • la vista, es decir, el conjunto de variables accesibles utilizando dicha comunidad • las direcciones IP que pertenecen a dicha comunidad. Dicho de otro modo, las direcciones IP

de los gestores que pueden acceder al agente utilizado esa comunidad. Cada paquete SNMP que llegue al router es validado o descartado según cumpla o no las restricciones impuestas por el esquema de autenticación. En concreto, la variable accedida, su tipo de acceso y la dirección IP origen del paquete SNMP deberán estar incluidas en las asociadas al nombre de comunidad del paquete SNMP. Dado que la información de la comunidad viaja en claro (sin cifrar) en el paquete SNMP, resulta muy sencillo averiguar el nombre de la comunidad y tener acceso al agente. La falta de seguridad del protocolo SNMPv1 (y por extensión SNMPv2c), hace que en la práctica se utilice sobre todo para monitorizar el estado del router, no configurándose permisos de escritura.

4.2. SNMPv3

Como ya se indicó, el protocolo SNMPv3 intenta solucionar los problemas de seguridad existentes en las versiones anteriores del protocolo. Para ello, se definen mecanismos robustos tanto de autenticación como de cifrado. Además, la modularidad de esta versión permite añadir nuevos algoritmos de cifrado o autenticación al protocolo. En la actualidad, existen dos mecanismos de autenticación, HMAC-MD5 y HMAC-SHA y dos mecanismos de cifrado, DES y AES-128. En SNMPv3 se identifica un modelo de seguridad, modelo a aplicar a los paquetes SNMP y un nivel de seguridad dentro de ese modelo. Los modelos de seguridad existentes actualmente son:

• SNMPv1 • SNMPv2c • SNMPv3 USM: User Security Model. Modelo de seguridad basado en usuarios

Los niveles de seguridad que se distinguen son los siguientes: • noAuthNoPriv: los paquetes no usan autenticación ni cifrado. Es el único nivel de seguridad

aplicable a los paquetes de los modelos de seguridad SNMPv1 y SNMPv2c • AuthNoPriv: los paquetes usan autenticación, pero no van cifrados. • AuthPriv: los paquetes usan autenticación y cifrado.

Obsérvese que no se contempla la posibilidad de paquetes cifrados sin autenticación.


I - 6 Doc.DM712

Rev.10.92

4.3. Control de acceso basado en vistas

El control de acceso determina si un gestor SNMP tiene acceso o no a una determinada variable. En SNMPv1 y SNMPv2c se utiliza la comunidad (y quizá la dirección IP del gestor) para determinar si se concede acceso a una determinada variable. En SNMPv3, el mecanismo de control de acceso se generaliza introduciendo más variables en la toma de decisión. Las variables que se utilizan son las siguientes:

• Grupo: un grupo es un conjunto de tuplas <securityName, securityModel>. El securityName es el identificador del gestor SNMP (la comunidad en caso de SNMPv1 y SNMPv2c, el usuario en SNMPv3). Todos los miembros de un grupo tiene los mismos niveles de acceso a las variables del agente. Una combinación de <securityName, securityModel> sólo puede pertenecer a un grupo.

• Contexto: un contexto es un conjunto de variables gestionables accesible por una entidad SNMP. Una variable gestionable puede aparecer en más de un contexto. Para más información sobre el concepto de contexto consúltese la RFC 3411.

• Nivel de seguridad: los niveles de acceso pueden ser diferentes para un mensaje sin cifrar y para un mensaje cifrado. Se puede, por ejemplo, exigir que el mensaje esté cifrado para permitir accesos de escritura a una variable.

El identificador de usuario (securityName) y el modelo de seguridad (securityModel) incluidos en el paquete SNMP, se usan para obtener el grupo. El grupo, contexto, modelo de seguridad, nivel de seguridad y tipo de acceso deseado (lectura, escritura o notificación) permiten seleccionar una determinada vista. Una vista no es más que un conjunto de variables a las que se tiene acceso. Si la vista seleccionada incluye la variable a la que se desea acceder, se permite el acceso. En caso contrario, se deniega el acceso.

Capítulo 2 Configuración del agente SNMP

ROUTER TELDAT - Configuración SNMP

II - 8 Doc.DM712

Rev.10.92

1. Acceso al entorno de configuración SNMP

Para acceder al entorno de configuración SNMP, utilize el comando PROTOCOL SNMP desde el menú de configuración general.

Config>protocol snmp -- SNMP user configuration -- SNMP config>


II - 9 Doc.DM712

Rev.10.92

2. Comandos de configuración SNMP

En este apartado se resumen los distintos comandos de configuración del protocolo SNMP. Comando Función ? (AYUDA) Muestra los comandos disponibles o las opciones asociadas a un comando

específico. ACCESS Configura las vistas asociadas a un determinado grupo y modelo de seguridad. COMMUNITY Crea una comunidad o modifica los parámetros de una comunidad ya

existente. CONTEXT Crea un contexto o modifica uno existente. DEFAULT-CONFIG Habilita la configuración por defecto. DISABLE Deshabilita el protocolo SNMP. ENABLE Habilita el protocolo SNMP. ENGINEID Configura el EngineID utilizado por SNMPv3. GROUP Asigna un usuario y modelo de seguridad a un grupo. HOST Configura un equipo gestor al que enviar notificaciones SNMP. LIST Muestra la configuración del protocolo SNMP. MIB Configura opciones para las MIB. NO Borra configuración o configura parámetros con valores por defecto. SUBTREE Especifica las porciones de MIB incluidas o excluidas de una determinada

vista. TRAP Configura parámetros relativos al envío de notificaciones. USER Crea un usuario o modifica los parámetros de un usuario ya existente. EXIT Sale del menú de configuración del protocolo SNMP.

2.1. ? (AYUDA)

Muestra los comandos disponibles o las opciones de un comando. Sintaxis:

SNMP config>?

Ejemplo: SNMP config>? access Specify access views asociated to a group and security model community Create a community or modify parameters of an existing one context Create a context or modify an existing one default-config Enable the SNMP default configuration disable Disable SNMP enable Enable SNMP engineid Specify an SNMPv3 EngineID group Assign a <user, securityModel> tuple to a group host Specify a host to receive SNMP notification messages list Display SNMP configuration mib Configure options for a MIB no Negate a command or set its defaults subtree Create or modify a MIB view


II - 10 Doc.DM712

Rev.10.92

trap Set trap parameters user Create a SNMPv3 user or modify parameters of an existing one exit Exit SNMP configuration menu SNMP config>

2.2. ACCESS

Configura las vistas asociadas a un determinado grupo y modelo de seguridad. Permite asociar, a un determinado grupo y un modelo de seguridad, una vista de lectura, escritura y notificación. Se pueden configurar vistas distintas para distintos modelos de seguridad dentro de un mismo grupo. Además, es posible configurar vistas distintas para un mismo grupo y modelo de seguridad usando contextos distintos.

Para obtener información de una VRF secundaria mediante el contexto, peticiones podemos realizar solamente las siguientes peticiones: sobre la MIB IP-FORWARD-MIB, y en concreto, sobre el objeto ipCidrRouteNumber (OID: 1.3.6.1.2.1.4.24.3) y la tabla ipCidrRouteTable (OID: 1.3.6.1.2.1.4.24.4), y sobre la tabla ip AddrTable (OID: 1.3.6.1.2.1.4.20) de la MIB2. Para obtener información de la VRF principal, la petición se hace como siempre, aunque ésta se haga desde un gestor que se encuentra en la VRF secundaria.

Consúltese el apartado 4.3 del capítulo 1 para más información sobre el control de acceso basado en vistas. Sintaxis:

SNMP config>group <GroupName> [context <ContextName>] <securityModel> <securityLevel> {read-view <view> | notify-view <view> | write-view <view>}

securityModel: modelo de seguridad. Puede ser:

• any: cualquier modelo de seguridad • v1: SNMPv1 • v2c: SNMPv2c • v3-usm: SNMPv3 User Security Model (actualmente es el único modelo de seguridad definido

para SNMPv3) securityLevel: nivel de seguridad (sólo si se selecciona v3-usm como modelo de seguridad). Puede ser:

• auth: autenticación, no cifrado • noauth: no autenticación, no cifrado • authpriv: autenticación y cifrado

En caso de que no se especifique alguna de las vistas, se interpreta por defecto como la vista asociada a todos los OIDs. Esta vista está siempre creada, y se denomina internamente “_all_”. En caso de no querer acceso a todos los OIDs se puede utilizar la vista “_none_”


II - 11 Doc.DM712

Rev.10.92

Ejemplo: Asociación de una vista de lectura teldatreadview y una vista de notificación teldatnotifyview al grupo teldatgroup para SNMPv3 con cifrado y autenticación.

SNMP config>access teldatgroup v3-usm priv read-view teldatreadview notify-view teldatnotifyview SNMP config>

Ejemplo: Asociación de una vista de escritura teldatwriteview al grupo teldatgroup2 para SNMPv1.

SNMP config>access groupteldat2 v1 write-view teldatwriteview SNMP config>

2.3. COMMUNITY

Crea una comunidad o modifica los parámetros de una comunidad ya existente. Sintaxis:

SNMP config>community <Community Name> default Create a SNMP community with default values access Set access permissions for this community context Set a context for this community subnet Specify subnet with access using this community string view Set a view for this community SNMP config>

Community Name: Especifica el nombre de la comunidad (32 caracteres como máximo). Caracteres

especiales como espacios, tabuladores, etc., no son válidos.

a) COMMUNITY nombre_comunidad DEFAULT Crea una comunidad con los parámetros por defecto o reestablece dichos parámetros para una comunidad ya existente. Los parámetros por defecto son:

• acceso de lectura y generación de traps • vista asociada a toda la MIB • acceso permitido desde todas las direcciones IP

Ejemplo: SNMP config>community public default SNMP config>

b) COMMUNITY nombre_comunidad ACCESS Establece el nivel de acceso asociado a una comunidad. Los niveles de acceso posibles son: read-trap: Lectura y generación de traps. trap-only: Generación de traps. write-read-trap: Lectura-escritura y generación de traps. Sintaxis:

SNMP config>community public access ? read-trap Read SNMP variables and generate traps trap-only Generate traps only write-read-trap Read and write SNMP variables and generate traps SNMP config>

Valor por defecto: por defecto se permite el acceso de lectura y generación de traps.


II - 12 Doc.DM712

Rev.10.92

Ejemplo: SNMP config>community public access write-read-trap SNMP config>

c) COMMUNITY nombre_comunidad CONTEXT Especifica un contexto que se va a asociar a la comunidad especificada. Este contexto nos permite realizar una asociación entre la comunidad y una VRF secundaria.

Para obtener información de una VRF secundaria mediante el contexto, peticiones podemos realizar solamente las siguientes peticiones: sobre la MIB IP-FORWARD-MIB, y en concreto, sobre el objeto ipCidrRouteNumber (OID: 1.3.6.1.2.1.4.24.3) y la tabla ipCidrRouteTable (OID: 1.3.6.1.2.1.4.24.4), y sobre la tabla ip AddrTable (OID: 1.3.6.1.2.1.4.20) de la MIB2. Para obtener información de la VRF principal, la petición se hace como siempre, aunque ésta se haga desde un gestor que se encuentra en la VRF secundaria.

Sintaxis:

SNMP config>community public context ? <1..32 chars> Context name SNMP config>

Ejemplo:

SNMP config>community public context cntxt SNMP config>

d) COMMUNITY nombre_comunidad SUBNET Especifica una subred desde la que está permitido el acceso usando la comunidad especificada.

NOTA: Las peticiones SNMP pueden llegar dirigidas a cualquiera de las direcciones del router.

Se pueden especificar una o más subredes para una comunidad. Para ello se debe repetir la operación tantas veces como subredes se quieran añadir. Las peticiones SNMP serán aceptadas para una comunidad si el resultado de la función lógica AND entre la dirección IP origen de la petición y la máscara de red de la comunidad coincide con el resultado de la función lógica AND entre la dirección IP de la comunidad y la máscara de la misma, en alguna de las direcciones configuradas en la comunidad. Esto quiere decir que se aceptarán peticiones de cualquier equipo de las subredes definidas por las máscaras. Si no se especifica ninguna dirección para la comunidad, las peticiones son aceptadas desde cualquier host.


II - 13 Doc.DM712

Rev.10.92

Sintaxis: SNMP config>community public subnet ? <a.b.c.d> IP Address SNMP config>community public subnet 192.6.2.168 ? <a.b.c.d> Mask SNMP config>community public subnet 192.6.2.168 255.255.255.0 ? <cr> SNMP config>

Valor por defecto: por defecto se permite el acceso desde cualquier dirección IP. Ejemplo 1:

SNMP config>community public subnet 192.6.2.168 255.255.255.0 SNMP config>

Esta operación ocasiona que las peticiones con la comunidad public sean aceptadas si provienen de cualquier host de la red 192.6.2.0. Ejemplo 2:

SNMP config>community public subnet 192.6.2.168 255.255.255.255 SNMP config>

Esta operación ocasiona que las peticiones con la comunidad public sean aceptadas sólo si provienen del host 192.6.2.168.

e) COMMUNITY nombre_comunidad VIEW Asigna una vista de la MIB a una comunidad. La vista debe estar previamente creada con el comando SUBTREE. Si la vista que asociamos a la comunidad no existe, se restringe el acceso a toda la MIB. Si se indica que la vista asociada a una comunidad es “all”, la comunidad tendrá acceso a toda la MIB. Ejemplo:

SNMP config>community private view teldat SNMP config>

Valor por defecto: por defecto se permite el acceso a toda la MIB.

2.4. CONTEXT

Crea un contexto o modifica uno existente. Sintaxis:

SNMP config>context <Context-Name>

Ejemplo: SNMP config>context TeldatContext SNMP config>

2.5. DEFAULT-CONFIG

Habilita la configuración por defecto. El comando DEFAULT-CONFIG habilita SNMP y crea una comunidad que se denomina “teldat”, con las características siguientes: tiene todos los permisos (lectura, escritura y generación de traps), acepta peticiones de cualquier dirección, y ve toda la MIB.


II - 14 Doc.DM712

Rev.10.92

Valor por defecto: la configuración por defecto está habilitada. Sintaxis:

SNMP config>default-config

2.6. DISABLE

Deshabilita el protocolo SNMP. Sintaxis:

SNMP config>disable

NOTA: Si se encuentra habilitada la configuración por defecto, SNMP siempre está habilitado, y por tanto no puede ser deshabilitado hasta que no se deshabilite previamente dicha configuración por defecto.

2.7. ENABLE

Habilita el protocolo SNMP. Sintaxis:

SNMP config>enable

Valor por defecto: Por defecto el protocolo SNMP está habilitado.

2.8. ENGINEID LOCAL

Configura el engineID que utiliza el router en el protocolo SNMPv3. El engineID identifica unívocamente a una entidad SNMP cuando se utiliza el protocolo SNMPv3. Sintaxis:

SNMP config>engineid local ? <8..64 hex chars> EngineID hexadecimal octet string SNMP config>

Valor por defecto: por defecto no hay ningún engineID configurado. En este caso, se genera un engineID aleatorio al arrancar el equipo.

2.9. GROUP

Asigna un usuario y modelo de seguridad a un grupo.La tupla <usuario, modelo de seguridad> sólo puede pertenecer a un grupo. Los grupos se utilizan para definir el control de acceso basado en vistas. Para más información, consúltese el apartado 4.3 del capítulo 1. Sintaxis:

SNMP config>group <secName> <secModel> <groupName>

secName: usuario que se va a añadir a un grupo securityModel: modelo de seguridad. Puede ser:

• any: cualquier modelo de seguridad


II - 15 Doc.DM712

Rev.10.92

• v1: SNMPv1 • v2c: SNMPv2c • v3-usm: SNMPv3 User Security Model (actualmente es el único modelo de seguridad definido

para SNMPv3) groupName: nombre del grupo Ejemplo: Creación del grupo teldatgroup, con los usuarios teldatuser para SNMPv3 y teldatuser1 para SNMPv1.

SNMP config>group teldatuser v3-usm teldatgroup SNMP config>group teldatuser2 v1 teldatgroup SNMP config>

2.10. HOST

Configura un equipo gestor al que enviar notificaciones SNMP, así como las características de envío de dichas notificaciones. Sintaxis:

SNMP config>host <IP address> <trap | inform> version <secModel> <secLevel> <secName> [udp-port <port>] [vrf <vrf-name>] [{traps}] SNMP config>

IP address: dirección IP del equipo gestor al que se envían las notificaciones SNMP. trap: indica que las notificaciones se envian como TRAPS inform: indica que las notificaciones se envian como INFORMs. secModel: especifica la versión de SNMPv3 empleada en el envío de las notificaciones. Las versiones posibles son:

• v1: SNMPv1 (no disponible en caso de inform) • v2c: SNMPv2c • v3: SNMPv3

secLevel: nivel de seguridad empleado en el envío de notificaciones. Sólo es configurable en el caso de SNMPv3. Los valores posibles son:

• auth: autenticación, no cifrado • noauth: no autenticación, no cifrado • authpriv: autenticación y cifrado

secName: nombre de usuario o comunidad a utilizar en el envío de las notificaciones. udp-port <port>: puerto UDP al que se envían las notificaciones. Este parámetro es opcional. En caso de no especificarse, las notificaciones se envían al puerto 162. vrf <vrf-name>: VRF secundaria sobre la cual se envían las notificaciones. Este parámetro es opcional. En caso de no especificarse, las notificaciones se envían sobre la VRF principal. traps: especifica los tipos de notificación que se envian al equipo gestor. Se pueden especificar varios tipos de notificación. Los tipos de notificación existentes son los siguientes: Tipo Descripción all todas las notificaciones authentication-failure notificaciones por error de autenticación cold-start notificaciones cuando el router ha realizado un “arranque en frío”


II - 16 Doc.DM712

Rev.10.92

enterprise-specific notificaciones específicas de empresa. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo “specific-trap” de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE). Al habilitar las notificaciones específias se habilitan automáticamente las de los demás grupos. De esta manera llegan al host los eventos habilitados para “snmp-trap” y para todos los demás grupos.

enterprise-specific-group1

notificaciones específicas de empresa del grupo 1. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo “specific-trap-group1” de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE).







link-down notificación de “link down”. Indica un fallo en uno de los interfaces del router. La notificación contiene el valor de ifIndex del interfaz afectado como primer elemento de su lista de variables.

link-up notificación de “link up”. Indica que uno de los interfaces del router que estaba caído, ha vuelto a funcionar. La notificación contiene el valor de ifIndex del interfaz afectado como primer elemento de su lista de variables.

warm-start notificaciones cuando el router ha realizado un “arranque en caliente”.

Ejemplo: Se configura el equipo gestor en la dirección 172.24.51.12 para enviarle traps de SNMPv3 cifradas usando el usuario teldatuser. Las notificaciones se envian al puerto 170. Se envian notificaciones por cambio en los estados de los interfaces.

SNMP config>host 172.24.51.12 trap version v3 auth teldatuser udp-port 170 link- up link-down SNMP config>


II - 17 Doc.DM712

Rev.10.92

Ejemplo: Se configura el equipo gestor en la dirección 172.24.51.13 para enviarle informs SNMPv2 usando la comunidad teldatcomm1. Se envian todas las notificaciones.

SNMP config>host 172.24.51.13 inform version v2 teldatcomm1 all SNMP config>

Ejemplo: Se configura el equipo gestor en la dirección 172.24.51.12 para enviarle traps de SNMPv1 usando la comunidad teldatcomm2. Se envian las notificaciones específicas de empresa.

SNMP config>host 172.24.51.12 trap version v1 teldatcomm2 enterprise-specific SNMP config>

2.11. LIST

Muestra la configuración del protocolo SNMP. Sintaxis:

SNMP config>list ? access Display current access views configuration all Display all the SNMP configuration information community Display current communities configuration group Display current groups configuration host Display current hosts configuration trap-sending-parameters Display trap sending configuration user Display current users configuration view Display current views configuration SNMP config>

a) LIST ACCESS Muestra las vistas configuradas para cada grupo y modelo de seguridad. Ejemplo:

SNMP config>list access -------------- Access Entries -------------- Group Name Context secModel secLevel Views ------------ ---------- -------- ------------ ----------------------------- groupteldat2 v1 noAuthNoPriv readView: writeView: teldatwriteview notifyView: groupteldat v3-usm Priv readView: _all_ writeView: _all_ notifyView: _all_ pap sd any AuthNoPriv readView: fd writeView: ff notifyView: df teldatgroup v3-usm Priv readView: teldatreadview writeView: notifyView: teldatnotifyviewe SNMP config>

b) LIST ALL Muestra toda la información de configuración SNMP.


II - 18 Doc.DM712

Rev.10.92

Ejemplo: SNMP config>list all Default configuration is disabled SNMP is enabled No trap sending parameters, showing default values Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo Community Name IP Address IP Mask --------------------------------- -------------------------- public ALL private 192.6.2.168 255.255.255.255 Community Name Access --------------------------------- -------------------------- public Read, Trap private Read, Write, Trap Community name Views --------------------------------- -------------------------- public mib2 private teldat View name Subtree --------------------------------- -------------------------- mib2 1.3.6.1.2.1 (included) teldat 1.3.6.1.4.1.2007 (included) -------------- Access Entries -------------- Group Name Context secModel secLevel Views ------------ ---------- -------- ------------ ----------------------------- groupteldat2 v1 noAuthNoPriv readView: writeView: teldatwriteview notifyView: groupteldat v3-usm Priv readView: _all_ writeView: _all_ notifyView: _all_ pap sd any AuthNoPriv readView: fd writeView: ff notifyView: df teldatgroup v3-usm Priv readView: teldatreadview writeView: notifyView: teldatnotifyviewe ------ Groups ------ SecName secModel Group name -------------------- -------- ------------------- teldat v3-usm teldatgroup2 teldatmd5aes v3-usm teldatgroup2 teldatmd5des v3-usm teldatgroup2 teldatshades v3-usm teldatgroup2 teldatuser v3-usm teldatgroup2


II - 19 Doc.DM712

Rev.10.92

teldatuser2 v1 teldatgroup ----- Hosts ----- SecName IP Address Type Port Security Traps ----------- --------------- ------ ----- ------------------- ------------------- teldat 172.24.51.12 trap 162 v3-usm Priv Cold Start Warm Start Link Down Link Up Auth. Failure Enterprise Specific teldat2 172.24.51.12 trap 162 v3-usm AuthNoPriv Cold Start Warm Start Link Down Link Up Auth. Failure Enterprise Specific teldatcomm2 172.24.51.12 trap 162 v1 noAuthNoPriv Enterprise Specific teldatuser 172.24.51.12 trap 170 v3-usm AuthNoPriv Link Down Link Up Ent. Sp. Group 2 Ent. Sp. Group 3 teldatcomm1 172.24.51.12 inform 162 v2c noAuthNoPriv None ----- Users ----- SecName auth type priv type ------------------------------- --------- --------- teldat sha aes-128 teldatmd5aes md5 aes-128 teldatmd5des md5 des teldatshades sha des teldatuser sha des teldatuser2 sha aes-128 SNMP config>

NOTA: Si está habilitada la configuración por defecto, SNMP siempre está habilitado.

c) LIST COMMUNITY Muestra información de las comunidades configuradas. Sintaxis:

SNMP config>list community ? access Display the access mode information for all communities address Display the associated addresses information for all communities view Display the view information associated to each community SNMP config>


II - 20 Doc.DM712

Rev.10.92

LIST COMMUNITY ACCESS Muestra información del nivel de acceso asociado a las distintas comunidades configuradas. Ejemplo:

SNMP config>list community access Community Name Access --------------------------------- -------------------------- public Read, Trap private Read, Write, Trap SNMP config>

LIST COMMUNITY ADDRESS Muestra información de las subredes desde las que está permitido el acceso usando las distintas comunidades. Ejemplo:

SNMP config>list community address Community Name IP Address IP Mask --------------------------------- -------------------------- public ALL private 192.6.2.168 255.255.255.255 SNMP config>

LIST COMMUNITY VIEW Muestra información de la vista asociada a cada comunidad. Ejemplo:

SNMP config>list community view Community name Views --------------------------------- -------------------------- public mib2 private teldat SNMP config>

d) LIST GROUP Muestra información de los grupos configurados. Ejemplo:

SNMP config>list group ------ Groups ------ SecName secModel Group name -------------------- -------- ------------------- teldat v3-usm teldatgroup2 teldatmd5aes v3-usm teldatgroup2 teldatmd5des v3-usm teldatgroup2 teldatshades v3-usm teldatgroup2 teldatuser v3-usm teldatgroup2 teldatuser2 v1 teldatgroup SNMP config>

e) LIST HOST Muestra información de las notificaciones configuradas.


II - 21 Doc.DM712

Rev.10.92

Ejemplo: SNMP config>list host

-----

Hosts

-----

SecName IP Address Type Port VRF Name Security Traps

----------- --------------- ------ ----- ------------ ------------------- -------------------

teldat 172.24.51.12 trap 162 <main> v3-usm Priv Cold Start

Warm Start

Link Down

Link Up

Auth. Failure

Enterprise Specific

teldat2 172.24.51.12 trap 162 <main> v3-usm AuthNoPriv Cold Start

Warm Start

Link Down

Link Up

Auth. Failure

Enterprise Specific

teldatcomm2 172.24.51.12 trap 162 <main> v1 noAuthNoPriv Enterprise Specific

teldatuser 172.24.51.12 trap 170 <main> v3-usm AuthNoPriv Link Down

Link Up

Ent. Sp. Group 2

Ent. Sp. Group 3

teldatcomm1 172.24.51.12 inform 162 <main> v2c noAuthNoPriv None

SNMP config>

f) LIST TRAP-SENDING-PARAMETERS Muestra información relativa al envío de notificaciones. Ejemplo:

SNMP config>list trap-sending-parameters No trap sending parameters, showing default values Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo SNMP config>

g) LIST USER Muestra información de los usuarios configurados. Ejemplo:

SNMP config>list user ----- Users -----


II - 22 Doc.DM712

Rev.10.92

SecName auth type priv type ------------------------------- --------- --------- teldat sha aes-128 teldatmd5aes md5 aes-128 teldatmd5des md5 des teldatshades sha des teldatuser sha des teldatuser2 sha aes-128 SNMP config>

h) LIST VIEW Muestra información de las vistas definidas en el sistema, con las partes de la MIB o subtrees asociados a cada una. Ejemplo:

SNMP config>list view View name Subtree --------------------------------- -------------------------- teldatview 1.3.6.1.4.1.2007 (included) mib2 1.3.5.1.2.1 (included) SNMP config>

2.12. MIB

Permite configurar opciones para las MIBs. Sintaxis:

SNMP config>mib <mibName> <variableName> <option>

a) MIB IFMIB Permite configurar opciones de la MIB IF-MIB.

SNMP config>mib ? ifmib Options for IF-MIB

• MIB IFMIB IFALIAS Permite configurar opciones para la variable ifAlias de la MIB IF-MIB.

SNMP config>mib ifmib ? ifalias Options for ifAlias variable SNMP config>mib ifmib ifalias ? 256 Change ifAlias value larger than 64 characters

• 256: Permite aumentar el límite máximo en la longitud permitida para la cadena de caracteres que constituye el valor de la variable ifAlias.

Ejemplo: SNMP config>mib ifmib ifalias 256

2.13. NO

Configura parámetros con valores por defecto o borra configuración.


II - 23 Doc.DM712

Rev.10.92

Sintaxis: SNMP config>no ? access Specify access views asociated to a group and security model community Create a community or modify parameters of an existing one context Create a context or modify an existing one default-config Enable the SNMP default configuration engineid Specify an SNMPv3 EngineID group Assign a <user, securityModel> tuple to a group host Specify a host to receive SNMP notification messages mib Configure options for a MIB subtree Create or modify a MIB view trap Set trap parameters user Create a SNMPv3 user or modify parameters of an existing one SNMP config>

Ejemplo: Borrado de la comunidad private

SNMP config>no community private SNMP config>

Ejemplo: Borrado de toda la configuración de notificaciones asociada al equipo gestor 172.24.51.12.

SNMP config>no host 172.24.51.12 SNMP config>

Ejemplo: Configuración por defecto del tiempo máximo que se guarda una notificación antes de enviarse.

SNMP config>no trap sending-parameters time SNMP config>

2.14. SUBTREE

Crea una nueva vista o añade una porción de la MIB a una vista ya esistente. Es posible incluir o excluir la porción de la MIB de la vista existente. Para asignar una vista a una o más comunidades utilice el comando COMMUNITY nombre_comunidad VIEW. Para asignar una vista a un grupo, utilice el comando ACCESS. Sintaxis:

SNMP config>subtree <viewName> <OID> <included | excluded> SNMP config>

View name Especifica el nombre de la vista (32 caracteres como máximo). Caracteres especiales,

como espacios, tabuladores, etc. no son válidos. OID Especifica el identificador del objeto de la MIB (subtree). Todos los objetos que

cuelguen de este OID estarán incluidos o excluidos de la vista. included El OID especificado está incluido en la vista (puede accederse a él). excluded El OID especificado está excluido de la vista (no puede accederse a él). Ejemplo:

SNMP config>subtree mib2 1.3.6.1.2.1 included SNMP config>


II - 24 Doc.DM712

Rev.10.92

Si en una vista se indican una o varias porciones de la MIB de tipo ‘excluded’, todo lo no perteneciente está excluido también de la vista. Es decir, por defecto se restringe el acceso a todas las variables que no se especifiquen explicítamente como ‘included’.

2.15. TRAP

Configura los parámetros utilizados para determinar las condiciones de envío de notificaciones. Sintaxis:

SNMP config>trap ? sending-parameters Set trap sending parameters SNMP config>

a) TRAP SENDING-PARAMETERS Permite configurar los parámetros de envío de notificaciones. El envío de una notificación SNMP puede provocar una llamada X.25 o RDSI si el destinatario de las notificaciones se encuentra situado al otro lado de un interfaz de ese tipo. Por ello puede ser conveniente agrupar las notificaciones a enviar en un buffer y enviarlas todas juntas, para reducir el número de llamadas realizadas. Además, interesaría asegurarse de que la dirección que se ha configurado como destino de las notificaciones es alcanzable (se ha establecido ya la llamada, siguiendo con el ejemplo anterior), de modo que la probabilidad de que las notificaciones se pierdan por el camino disminuya. Sin embargo, en otras ocasiones puede que lo que más interese sea recibir las notificaciones lo más rápido posible, por lo que convendría minimizar el número de notificaciones que se guardarán en el buffer antes de ser enviadas o el tiempo máximo en que una notificaciones puede permanecer esperando ser transmitida. En este caso tampoco sería recomendable comprobar si la estación gestora que recibirá las notificaciones es alcanzable, ya que esto podría introducir un cierto retardo si se tiene que esperar a recibir la respuesta al ECHO UDP o ICMP que desde el equipo se envía a cada destino configurado para averiguar si está accesible. El tipo de traps enviadas al notificar un evento es otro de los parámetros que se puede configurar mediante este comando. Los parámetros de envío de notificaciones que se configuran desde esta opción son: NUMBER Tamaño del buffer de notificaciones a reagrupar: número de

notificaciones que pueden llegar a almacenarse antes de enviarse al destino.

REACHABILITY-CHECKING Indica si se realizarán las comprobaciones de alcanzabilidad de las estaciones gestoras configuradas como destino de las notificaciones antes de proceder a su envío.

TIME Tiempo máximo que se guarda una notificación en el buffer antes de enviarse (si el buffer no se llena antes).

FORMAT Formato de la lista de variable-bindings que se construye al enviar una trap.


II - 25 Doc.DM712

Rev.10.92

Sintaxis: SNMP config>trap sending-parameters ? number Number of traps to store before sending reachability-checking Reachability checking before sending traps time Max time to store traps in buffer before sending format Configure the variable-bindings list format SNMP config>

TRAP SENDING-PARAMETERS NUMBER Configura el tamaño del buffer de notificaciones a reagrupar, es decir, el número de notificaciones que pueden llegar a almacenarse antes de enviarse al destino. En cualquier caso las notificaciones se enviarán individualmente, cada una en un paquete UDP. Sintaxis:

SNMP config>trap sending-parameters number ? <1..63> Max number of traps to store SNMP config>

Valor por defecto: por defecto se almacenan 32 notificaciones. Ejemplo:

SNMP config>trap sending-parameters number 30 SNMP config>

TRAP SENDING-PARAMETERS REACHABILITY-CHECKING Este parámetro indica si se realizarán las comprobaciones de alcanzabilidad de las estaciones gestoras configuradas como destino de las notificaciones antes de proceder a su envío. Los valores permitidos para esta variable son: icmp: se habilita el envío de ECHO ICMP a los destinos para determinar si son accesibles. ip-route: las notificaciones se enviarán sólo cuando haga más de 10 segundos (o el valor configurado) que existe una ruta para ir al destino. Mediante la opción up-delay se puede configurar durante cuánto tiempo ha de existir ruta IP al destino para determinar que es accesible. udp: se habilita el envío de ECHO UDP a los destinos para determinar si son accesibles. Sintaxis:

SNMP config>trap sending-parameters reachability-checking ? icmp ICMP checking ip-route IP route checking udp UDP checking SNMP config>trap sending-parameters reachability-checking ip-route ? up-delay IP route uptime to consider it accesible <cr> SNMP config>trap sending-parameters reachability-checking ip-route up-delay ? <1s..10m> Route uptime SNMP config>

Valor por defecto: por defecto se utiliza el envío de ECHO UDP. Ejemplo:

SNMP config>trap sending-parameters reachability-checking ip-route up-delay 15s SNMP config>

TRAP SENDING-PARAMETERS TIME Tiempo máximo que se guarda una notificación en el buffer antes de enviarse si el buffer no se llena antes. Las notificaciones se envían cuando el buffer se llena o cuando han pasado como máximo los segundos indicados por este parámetro si el buffer no se ha llenado antes.


II - 26 Doc.DM712

Rev.10.92

Sintaxis: SNMP config>trap sending-parameters time ? <0s..3550w> Max time storing traps (Time value) SNMP config>

Valor por defecto: por defecto las notificaciones se almacenan como máximo durante 50 segundos. Ejemplo:

SNMP config>trap sending-parameters time 40s SNMP config>

TRAP SENDING-PARAMETERS FORMAT El tipo de trap que se construye al notificar un evento depende del formato configurado con este comando. Con la opción de formato “legacy” cada evento del sistema que se notifica mediante SNMP, se transforma en un mismo tipo de trap, que incluye una lista de variable-bindings cuyo tamaño depende del número de argumentos del evento. En la recepción de dos traps de este tipo, la misma variable-binding en cada una de las traps puede contener instancias de un objeto cuyo significado y sintaxis sea diferente en función del evento que las genera. Este modo de envío de traps es propietario y no sigue el estándar. Mediante la opción de formato “standard”, cada evento que se notifica se transforma en un tipo de trap específico para ese evento, cuyos argumentos se convierten en la lista de variable-bindings definida para ese tipo de trap. Sintaxis:

SNMP config> trap sending-parameters format { legacy | standard }

La opción de formato configurada por defecto es “legacy”.

2.16. USER

Configura un usuario para SNMPv3. Especifica las características de autenticación y cifrado asociadas al usuario. Sintaxis:

SNMP config>user <userName> [auth {md5|sha} {plain|ciphered} <auth-key> [priv {aes128|des} {plain|ciphered} <priv-key>]]

userName: identificador del usuario. auth: tipo de autenticación utilizada. Puede ser md5 o sha. plain: elija esta opción para introducir la clave sin cifrar. ciphered: elija esta opción para introducir la clave cifrada. auth-key: clave utilizada para la autenticación. priv: tipo de cifrado utilizado. Puede ser aes128 o des. priv-key: clave utilizada para el cifrado. Ejemplo: Configuración de un usuario teldat sin parámetros de seguridad (sin autenticación ni cifrado).

SNMP config>user teldat

Ejemplo: Configuración de un usuario teldatmd5 con autenticación MD5 utilizando la clave teldatauth y sin cifrado.


II - 27 Doc.DM712

Rev.10.92

SNMP config>user teldatmd5 auth md5 plain teldatauth

Ejemplo: Configuración de un usuario teldatshaaes con autenticación SHA utilizando la clave teldatauth2 y cifrado AES-128 utilizando la clave teldatpriv.

SNMP config>user teldatshaaes auth sha plain teldatauth2 priv aes128 plain teldatpriv

2.17. EXIT

Sale del menú de configuración del protocolo SNMP. Sintaxis:

SNMP config>exit

Ejemplo: SNMP config>exit Config>

Capítulo 3 Monitorización del agente SNMP

ROUTER TELDAT – Monitorización SNMP

III - 29 Doc.DM712

Rev.10.92

1. Acceso al entorno de monitorización SNMP

Para acceder al entorno de monitorización SNMP, utilize el comando PROTOCOL SNMP desde el menú de monitorización general.

+protocol snmp -- SNMP protocol monitor -- SNMP+


III - 30 Doc.DM712

Rev.10.92

2. Comandos de monitorización SNMP

Comando Función ? (AYUDA) Muestra comandos u opciones. LIST Muestra información del protocolo SNMP. EXIT Sale del menú de monitorización del protocolo SNMP.

2.1. ? (AYUDA)

Muestra los comandos disponibles o las opciones de un comando. Sintaxis:

SNMP+?

Ejemplo: SNMP+? list Show protocol information exit SNMP+

2.2. LIST

Muestra la configuración actual del protocolo SNMP. Sintaxis:

SNMP+list ? access-entry Access entries information all All the information community Communities information debug Debug information group Groups information host Hosts and notifications information statistics SNMP statistics trap-sending-parameters Information related to sending traps user Users information view Views defined in the system

a) LIST ACCESS-ENTRY Muestra las vistas asociadas a cada grupo y modelo de seguridad. Ejemplo:

SNMP+list access-entry Access Group Name Access Parameters --------------------------------- -------------------------- grpcomm1 Context: Context match: prefix Security model: any noAuthNoPriv Read view: teldatview Write view: teldatview Notify view: teldatview Storage Type: permanent Row status: active grpcomm2 Context:


III - 31 Doc.DM712

Rev.10.92

Context match: prefix Security model: any noAuthNoPriv Read view: _all_ Write view: <not specified> Notify view: _all_ Storage Type: permanent Row status: active groupteldat Context: Context match: exact Security model: v3 (USM) authPriv Read view: _all_ Write view: _all_ Notify view: _all_ Storage Type: permanent Row status: active groupteldat2 Context: Context match: exact Security model: v1 noAuthNoPriv Read view: _all_ Write view: teldatwriteview Notify view: _all_ Storage Type: permanent Row status: active

La configuración de comunidades se transforma internamente a configuración de grupos. Este es el motivo de que aparezcan grupos no configurados explícitamente.

b) LIST ALL Muestra toda la información de configuración SNMP actualmente activa. Sintaxis:

SNMP+list all

Ejemplo: SNMP+list all SNMP is enabled Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo Community Name IP Address IP Mask --------------------------------- -------------------------- private ALL Community Name Access --------------------------------- -------------------------- private Read, Write, Trap Community name Views --------------------------------- -------------------------- private teldatview Community Name SecName Parameters --------------------------------- -------------------------- private Context: SecName: comm1


III - 32 Doc.DM712

Rev.10.92

Network prefix: 0.0.0.0/0 Access Group Name Access Parameters -------------------------------- -------------------------- grpcomm1 Context: Context match: prefix Security model: any noAuthNoPriv Read view: teldatview Write view: teldatview Notify view: teldatview Storage Type: permanent Row status: active grpcomm2 Context: Context match: prefix Security model: any noAuthNoPriv Read view: _all_ Write view: <not specified> Notify view: _all_ Storage Type: permanent Row status: active groupteldat Context: Context match: exact Security model: v3 (USM) authPriv Read view: _all_ Write view: _all_ Notify view: _all_ Storage Type: permanent Row status: active groupteldat2 Context: Context match: exact Security model: v1 noAuthNoPriv Read view: _all_ Write view: teldatwriteview Notify view: _all_ Storage Type: permanent Row status: active Group Name Parameters --------------------------------- -------------------------- grpcomm1 SecName: comm1 Security model: v1 Storage Type: permanent Row status: active teldatgroup SecName: teldatuser2 Security model: v1 Storage Type: permanent Row status: active grpcomm1 SecName: comm1 Security model: v2c Storage Type: permanent Row status: active teldatgroup SecName: teldatuser Security model: v3 (USM) Storage Type: permanent Row status: active There are no host notifications User Name Parameters --------------------------------- -------------------------- teldatuser


III - 33 Doc.DM712

Rev.10.92

Engine ID: 1234567890 Group-name: teldatgroup SecName: teldat Authentication Protocol: SHA Privacy Protocol: AES128 _all_ view subtree: .0 view mask: view type: included Storage Type: permanent Row status: active _all_ view subtree: .1 view mask: view type: included Storage Type: permanent Row status: active _all_ view subtree: .2 view mask: view type: included Storage Type: permanent Row status: active _none_ view subtree: .0 view mask: view type: excluded Storage Type: permanent Row status: active _none_ view subtree: .1 view mask: view type: excluded Storage Type: permanent Row status: active _none_ view subtree: .2 view mask: view type: excluded Storage Type: permanent Row status: active SNMP+

c) LIST COMMUNITY Muestra información de las comunidades configuradas. Sintaxis:

SNMP+list community ? access Display the access mode information for all communities address Display the associated addresses information for all communities view Display the view information associated to each community

LIST COMMUNITY ACCESS Muestra información del nivel de acceso asociado a las distintas comunidades configuradas. Sintaxis:

SNMP+list community access


III - 34 Doc.DM712

Rev.10.92

Ejemplo: SNMP+list community access Community Name Access --------------------------------- -------------------------- public Read, Trap private Read, Write, Trap SNMP+

LIST COMMUNITY ADDRESS Muestra información de las subredes desde las que está permitido el acceso usando las distintas comunidades. Sintaxis:

SNMP+list community address

Ejemplo: SNMP+list community address Community Name IP Address IP Mask --------------------------------- -------------------------- public ALL private 192.6.2.168 255.255.255.255 SNMP+

LIST COMMUNITY VIEW Muestra información de la vista asociada a cada comunidad. Sintaxis:

SNMP+list community view

Ejemplo: SNMP+list community view Community name Views --------------------------------- -------------------------- public mib2 private teldat SNMP+

d) LIST DEBUG Muestra información de las estructuras internas usadas en el código de SNMP. Esta información es útil únicamente para depurar.

e) LIST GROUP Muestra información de los grupos configurados. Sintaxis:

SNMP+list group

Ejemplo: SNMP+list group Group Name Parameters --------------------------------- -------------------------- grpcomm1 SecName: comm1 Security model: v1 Storage Type: permanent Row status: active teldatgroup SecName: teldatuser2 Security model: v1 Storage Type: permanent


III - 35 Doc.DM712

Rev.10.92

Row status: active grpcomm1 SecName: comm1 Security model: v2c Storage Type: permanent Row status: active teldatgroup SecName: teldatuser Security model: v3 (USM) Storage Type: permanent Row status: active

f) LIST HOST Muestra información de las notificaciones configuradas. Sintaxis:

SNMP+list host

Ejemplo: SNMP+list host Host Address Parameters --------------------------------- -------------------------- 172.24.51.12 UDP port: 162 Notification type: trap SecName: private Message Processing Model: v1 security: v1 noAuthNoPriv

g) LIST STATISTICS Muestra estadísticos de paquetes recibidos y enviados. Sintaxis:

SNMP+list statistics

Ejemplo: SNMP+list statistics ----------------------------------------- SNMP Counters ----------------------------------------- In Packets ...................... 0 In Bad Versions ............... 0 In Bad Community Names ........ 0 In Bad Community Uses ......... 0 In ASN Parse Errors ........... 0 In Total Request Variables .... 0 In Total Set Variables ........ 0 In GET Requests ............... 0 In GET-NEXT Requests .......... 0 In SET Requests ............... 0 In GET-RESPONSEs .............. 0 In Traps ...................... 0 Out Packets ..................... 0 Out Packets Too Big ........... 0 Out No Such Names ............. 0 Out Bad Values ................ 0 Out Generic Errors ............ 0 Out GET-RESPONSEs ............. 0 Out Traps ..................... 0 ----------------------------------------- USM Counters ----------------------------------------- Unsupported Security Levels ..... 0 Not In Time Windos .............. 0 Unknown User Names .............. 0


III - 36 Doc.DM712

Rev.10.92

Unknown Engine IDs .............. 0 Wrong Digests ................... 0 Descryption Errors .............. 0 ----------------------------------------- Target MIB Counters ----------------------------------------- Unknown Contexts ................ 0 ----------------------------------------- Other Counters ----------------------------------------- Unknown Security Models ......... 0 Invalid Messages ................ 0 Unknown PDU Handlers ............ 0 SNMP+

h) LIST TRAP-SENDING-PARAMETERS Muestra la información relativa al envío de notificaciones. Sintaxis:

SNMP+list trap-sending-parameters

Ejemplo: SNMP+list trap-sending-parameters Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo SNMP+

i) LIST USER Muestra información de los usuarios configurados. Sintaxis:

SNMP+list user

Ejemplo: SNMP+list user User Name Parameters --------------------------------- -------------------------- teldatuser Engine ID: 1234567890 Group-name: teldatgroup SecName: teldat Authentication Protocol: SHA Privacy Protocol: AES128

j) LIST VIEW Muestra información de las vistas definidas en el sistema. Sintaxis:

SNMP+list view

Ejemplo: SNMP+list view _all_ view subtree: .0 view mask: view type: included Storage Type: permanent


III - 37 Doc.DM712

Rev.10.92

Row status: active _all_ view subtree: .1 view mask: view type: included Storage Type: permanent Row status: active _all_ view subtree: .2 view mask: view type: included Storage Type: permanent Row status: active _none_ view subtree: .0 view mask: view type: excluded Storage Type: permanent Row status: active _none_ view subtree: .1 view mask: view type: excluded Storage Type: permanent Row status: active _none_ view subtree: .2 view mask: view type: excluded Storage Type: permanent Row status: active SNMP+

2.3. EXIT

Sale del menú de monitorización del protocolo SNMP. Sintaxis:

SNMP+exit

Ejemplo: SNMP+exit +

Capítulo 4 Ejemplos de configuración

ROUTER TELDAT – Ejemplos de Configuración SNMP

IV - 39 Doc.DM712

Rev.10.92

1. SNMPv1

Se configura una comunidad private con acceso de lectura y escritura, accesible desde la subred 172.24.0.0.

community private access write-read-trap community private subnet 172.24.0.0 255.255.0.0


IV - 40 Doc.DM712

Rev.10.92

2. SNMPv3

Se configuran cuatro usuarios diferentes, usando las diferentes combinaciones de autenticación y cifrado posibles. Los cuatro usuarios tiene acceso a toda la MIB. Se configura, además, el engineID, para facilitar la captura y descifrado de los datos con un analizador de tráfico. Primero se configura el engineID:

SNMP config>engineid local 1234567890 SNMP config>

A continuación, se configuran los distintos usuarios:

SNMP config>user teldatshaaes auth sha plain teldatshakey1 priv aes128 plain teldataeskey1 SNMP config>user teldatmd5aes auth md5 plain teldatmd5key1 priv aes128 plain teldataeskey2 SNMP config>user teldatmd5des auth md5 plain teldatmd5key2 priv des plain teldatdeskey1 SNMP config>user teldatshades auth sha plain teldatshakey2 priv des plain teldatdeskey2

Se asocian los usuarios a un grupo:

SNMP config>group teldatshaaes v3-usm teldatgroup SNMP config>group teldatmd5aes v3-usm teldatgroup SNMP config>group teldatmd5des v3-usm teldatgroup SNMP config>group teldatshades v3-usm teldatgroup

Por último, se definen las vistas asociadas a dicho grupo. Se utiliza la vista _all_ para indicar todos los OIDs.

SNMP config>access teldatgroup v3-usm priv read-view _all_ write-view _all_ noti fy-view _all_

La configuración final queda como sigue:

SNMP config>sho conf ; Showing Menu and Submenus Configuration for access-level 15 ... ; Super Router * * Version 10.8.0-Alfa engineid local 1234567890 user teldatmd5aes auth md5 ciphered 0x9EF49A1E6DE98B3A17B395CC91972DD1 priv aes128 ciphered 0xF85A722D9DFE44BD02B19BD7FDF39A31 user teldatmd5des auth md5 ciphered 0x9EF49A1E6DE98B3A3B301FEBBE355690 priv des ciphered 0xC5577087CC1FC12A979CDB77D6EE1682 user teldatshaaes auth sha ciphered 0xABF7853ECFB670CAF5830731ECEF2D4F priv aes128 ciphered 0xF85A722D9DFE44BD56ADCA608C25C3EE user teldatshades auth sha ciphered 0xABF7853ECFB670CA26C2B4252C567511 priv des ciphered 0xC5577087CC1FC12AB10CF76833CD4F80 ; group teldatmd5aes v3-usm teldatgroup ; group teldatmd5des v3-usm teldatgroup ; group teldatshaaes v3-usm teldatgroup ; group teldatshades v3-usm teldatgroup


IV - 41 Doc.DM712

Rev.10.92

; ; access teldatgroup v3-usm priv read-view _all_ write-view _all_ notify-view _all_ ; SNMP config>


IV - 42 Doc.DM712

Rev.10.92

3. SNMPv1/v2 consultas multi-VRF

Se necesita configurar un contexto asociado a la VRF secundaria que se quiere consultar. Este contexto se define en el menú del protocol SNMP y además ha de asociarse a la comunidad.

log-command-errors no configuration feature vrf ; -- VRF user configuration -- vrf vrf1 context ctxt exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -- ip address 192.168.10.1 255.255.255.0 ; exit ; ; protocol snmp ; -- SNMP user configuration -- community second context ctxt ; context ctxt ; exit ; dump-command-errors end


IV - 43 Doc.DM712

Rev.10.92

4. SNMPv3 consultas multi-VRF

Se necesita configurar un contexto asociado a la VRF secundaria que se quiere consultar. Este contexto se define en el menú del protocol SNMP y además ha de asociarse al comando access.

log-command-errors no configuration feature vrf ; -- VRF user configuration -- vrf vrf1 context ctxt exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -- ip address 192.168.10.1 255.255.255.0 ; exit ; ; protocol snmp ; -- SNMP user configuration -- user snmp_user ; group snmp_user v3-usm snmp_group ; access snmp_group context ctxt v3-usm noauth ; context ctxt ; exit ; dump-command-errors end

Documents

Manual del Agente SNMP en español - asistp.com paquete SNMP que llegue al router s validado o descartado según cumpla o no las restricciones e impuestas por el esquema de autenticación