Re: SNMPv3 in NX-OS

anderson327 · ‎02-18-2020

Hi Community,

In this opportunity i need help with the configuration of SNMPv3 in 9.3.1 version.

I have set the basic parameters:

snmp-server host ....
snmp-server user ....
I will skip the other parameters necessary for its operation .....

Now my problem is that although these parameters are configured and also snmp-server host x.x.x.x use-vrf, the snmp traffic is not arriving at the gateway of the switch within the vrf default. I understand that by default the device uses this vrf to send any traffic that is not explicitly routed through the vrf management.

The switch gateway is a firewall and does not register rejected and much less allowed snmp packets.

Please can you tell me about your experience with this service with NX-OS.

Regards!

Anderson

Diana Karolina Rojas · ‎02-19-2020

Hola Anderson buenos días,

¿Especificaste el source-interface del SNMP? el mismo esta en la vrf default o en otra vrf? si no lo especificaste ¿puedes hacerle ping al next-hop de ese paquete desde la vrf default sin problemas? ¿tienes una ruta en la tabla de ruteo que sepa como llegar a la red donde se aloja tu servidor SNMP? porque si el equipo en su tabla de routing de la vrf default no sabe llegar al server entonces debes especificarle la ruta o si no verifica que tengas todo el camino (todos los equipos intermedios) con las rutas para llegar a esa red y el retorno también debes chequearlo.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,

anderson327 · ‎02-19-2020

Hola Diana

Entiendo que indistintamente de por cual vrf decida mandar los traps al servidor snmp , debo indicarle tanto:

snmp-server host x.x.x.x use-vrf "nombre vrf"

snmp-server host X.X.X.X source-interface

Eso mismo he hecho indicando la vrf management, sin embargo, cuando le pido al switch que me indique porque vrf intenta comunicarse con el servidor "show ip route "ip_servidor_snmp" puedo ver que lo intenta hacer a través de la vrf default.

Entonces es mi duda sobre por cual VRF realmente intenta el equipo enviar este tráfico.

El tema de la conectividad lo estare revisando.

Diana Karolina Rojas · ‎02-19-2020

Anderson buen día,

Si estas usando la vrf de Management y el source es la interfaz de Management entonces el equipo esta tratando de enviar el paquete usando la tabla de routing de la vrf de Management no usa la default. Ahora, si no tienes ninguna ruta para alcanzar a la red de tu server SNMP en la tabla de ruteo de esa vrf el paquete se va a descartar, y esa es la razón por la que no estas recibiendo los traps, en la vrf de management debes tener: o una ruta default apuntando al gateway o una ruta especifica a la red del server de SNMP apuntando al gateway de tu red de management. ***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,

anderson327 · ‎02-20-2020

Hola Diana,

Te detallo la configuración que uso para apuntar el tráfico hacia el servidor snmp y vrf que debe rutear el tráfico:

snmp-server source-interface traps mgmt0

snmp-server source-interface informs mgmt0

snmp-sevver host x.x.x.x use-vrf management

snmp-sevver host x.x.x.x source-interface mgmt0

Adicionalmente, como indicas cree una ruta estática apuntando hacia el servidor snmp usando el vrf management . Cuando verifico la tabla de ruteo con el comando:

Show ip route "ip_servidor"

puedo ver que usa la ruta creada para tal fin.

Luego de esto hago pruebas de conectividad haciendo ping o telnet a la ip del servidor snmp desde la vrf management, y desde la consola del checkpoint que tengo de por medio, puedo ver que registra este tráfico de prueba. Sin embargo, cuando simulo algún evento (link down) en el switch, no veo en la consola del checkpoint registros del tráfico snmp hacia el servidor.

Déjame saber en base a tu experiencia cualquier detalle que pueda estar omitiendo.

Saludos.