cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel

Configuración de SNMPv3 para dispositivos que utilizan IOS

14096
Visitas
45
ÚTIL
0
Comentarios

Introducción

Este documento contiene un ejemplo de una configuración funcional de SNMPv3 que puede ser aplicada a cualquier dispositivo IOS que soporte SNMPv3. Esta configuración puede utilizarse como guía y puede modificarse para solventar necesidades de seguridad de diferentes redes.

Requisitos previos

Requisitos

Asegúrese de cumplir con los siguientes requisitos antes de intentar esta configuración:

  • Conocimiento básico del protocolo SNMP y su funcionamiento
  • Asegurarse que su IOS soporte SNMPv3 y que soporte los niveles de cifrado que usted desea utilizar para la configuración de privacidad, para esto puede utilizar el Cisco IOS feature navigator tool: http://tools.cisco.com/ITDIT/CFN/jsp/SearchBySoftware.jsp

Componentes utilizados

Dispositivos que usan IOS.

Configuraciones:

A continuación se incluye una configuración básica de SNMP versión 3, la cual solamente utiliza autenticación pero no privacidad:

snmp-server group V3Group v3 auth read V3Read write V3Write

snmp-server user V3User V3Group v3 auth sha [contraseña]

snmp-server view V3Read iso included

snmp-server view V3Write iso included

snmp-server host *. *. *. * version 3 auth V3User

snmp-server enable traps

Básicamente, para configurar SNMP versión 3 se requiere configurar lo siguiente:

1) Vistas o "views": Las vistas especifican los OIDs que van a poder ser accedidos para escritura o lectura por los usuarios de un grupo especifico de SNMPv3, para esto se debe especificar directamente cual es/son los OIDs que van a ser permitidos o denegados, utilizando las opciones del comando 'snmp-server view', las cuales son included o excluded.

2) Un grupo de SNMPv3 que especifica el nivel de seguridad que se va a utilizar (en este caso es auth) y al cual se le asignan las vistas creadas anteriormente para permitir/restringir el acceso a ciertos MIBs/OIDs.

snmp-server grupo V3Group v3 auth read V3Read write V3Write

Notese que se pueden utilizar 3 niveles de seguridad con SNMPv3:

  1. noAuthNoPriv - Comunicación sin autenticación y sin privacidad.
  2. authNoPriv - Comunicación con autenticación y sin privacidad. Los protocolos que se utilizan para la autenticación son MD5 y SHA (Secure Hash Algorithm).
  3. authPriv - Comunicación con autenticación y privacidad. Los protocolos que se utilizan para la autenticación son MD5 y SHA, y para la privacidad, los protocolos son: DES (Data Encryption Standard) y AES (Advanced Encryption Standard) pueden ser utilizados.

3) Un usuario de SNMP que pertenezca al grupo anterior: Note que el nivel de privacidad del usuario debe concordar con el nivel elegido para el grupo.

snmp-server user V3User V3Group v3 auth sha [contraseña]

En este caso, dado que se utiliza el nivel de seguridad de authNoPriv, solo se requiere configurar: el nombre del usuario ( en este caso V3User), se especifica el grupo al que pertenece (en este caso V3Group) y se especifica el nivel de seguridad y el protocolo para la autenticación con su respectiva contraseña.

Si se utiliza alguna opción de privacidad el comando va a desplegar mas opciones para la misma:

snmp-server user V3User V3Group v3 auth sha [contraseña] priv des56 [contraseña]

Opciones adicionales:

Si se desea, se puede configurar el dispositivo para el envio de traps con el comando:

snmp-server enable traps

Y se puede definir a que servidor/aplicación son enviadas estos traps con el comando snmp-server host:

snmp-server host *. *. *. * version 3 auth V3User

Por favor recuerde que *. *. *. * Debe ser reemplazado por la dirección IP de su servidor NMS.

Adicionalmente, si usted necesita para obtener información de las VLAN configuradas en un switch a través de SNMPv3, necesitará configurar lo siguiente (SNMPv3 que no utiliza la indexación de cadena de comunidad o 'community string indexing) que son realizados automaticamente en version 1 y version 2):

snmp-server group <nombre_grupo> v3 auth context <nombre_contexto>

para cada VLAN. Usted puede obtener una lista de context_names (y VLANs) al ejecutar el comando 'show snmp context'.

El proceso para esta configuración consiste en lo siguiente:

1) Obtener la lista de context_names (y VLANs), escriba: 'show snmp context'

2) Ejecutar el siguiente comando para cada CONTEXT_NAME encontrado en la lista anterior, o bien para las VLANs de las que necesito obtener información:

snmp-server group <nombre_grupo> v3 auth context <nombre_contexto>

por ejemplo: snmp-server grupo CWorks v3 auth context vlan32

Recuerde que el dispositivo en sí debe retornar información cuando ejecuta el comando 'show snmp context'.

Si su dispositivo no admite este comando, o no llena esta información, usted no será capaz de obtener la información del BRIDGE-MIB, por ejemplo.

Verificar

Utilice los comandos en esta sección para confirmar que la configuración seleccionada funcione correctamente.


  • show snmp groups: muestra información sobre cada grupo de SNMP en la red.

Ejemplo:

Router#show snmp group

groupname: V3Group security model:v3

auth readview : V3Read writeview: V3Write

  • show snmp users: Muestra información sobre cada usuario SNMP en la tabla de usuarios de SNMP.

Ejemplo:

Router#show snmp user

User name: V3User Engine ID: 800000090300001CF964CF01 storage-type: nonvolatile active Authentication Protocol: SHA Group-name: V3Group

Información relacionada

http://docwiki.cisco.com/wiki/Snmp_v3_configurations

http://www.cisco.com/en/US/partner/tech/tk648/tk362/tk605/tsd_technology_support_sub-protocol_home.html

http://www.cisco.com/en/US/partner/docs/ios-xml/ios/snmp/command/nm-snmp-cr-s2.html#GUID-2F3F13E4-EE81-4590-871D-6AE1043473DE

CrearPor favor para crear contenido
Content for Community-Ad
Community Helping Community
No se pudo mostrar este complemento.