SNMP в ProCurve
Материал из Xgu.ru
Содержание |
[править] Описание протокола
- Основная страница: SNMP
[править] SNMPv3 в коммутаторах ProCurve
Задачи по настройке SNMPv3:
- Включить SNMPv3 на коммутаторе
- Настроить SNMP пользователей
- Настроить SNMP communities
- Настроить получателей trap
[править] Включение SNMPv3
Включение SNMPv3 на коммутаторе:
switch(config)# snmpv3 enable
Настройка коммутатора на работу только по SNMPv3, сообщения SNMP других версий будут отбрасываться:
switch(config)# snmpv3 only
Предоставить агентам SNMPv1 и SNMPv2 доступ только для чтения:
switch(config)# snmpv3 restricted-access
[править] Настройка пользователей SNMPv3
Создание пользователя:
switch(config)# snmpv3 user <username> [auth <md5 | sha> <auth-pwd> priv <des | aes> <priv-pwd>]
Пример создания пользователя proadmin:
switch(config)# snmpv3 user proadmin auth sha pr0Curve priv aes pr0@dm1n
Параметры команды:
- <username> — имя пользователя
- <md5 | sha> — метод аутентификации
- <auth-pwd> — пароль для аутентификации
- <des | aes> — метод обеспечения приватности (алгоритм шифрования)
- <priv-pwd> — пароль для шифрования
Просмотр информации о созданных пользователях:
switch(config)# show snmpv3 user
[править] Назначение пользователей в группы
На коммутаторе есть 8 предопределенных групп, с различными уровнями доступа:
- 4 группы для SNMPv3
- 4 группы для SNMPv1/SNMPv2
Имя группы | Тип доступа | Read View | Write View |
---|---|---|---|
ManagerPriv | v3 Auth and Privacy | ManagerReadView | ManagerWriteView |
ManagerAuth | v3 Auth | ManagerReadView | ManagerWriteView |
OperatorAuth | v3 Auth | OperatorReadView | DiscoveryView |
OperatorNoAuth | v3 no Auth or Privacy | OperatorReadView | DiscoveryView |
ComManagerRW | v2c or v1 | ManagerReadView | ManagerWriteView |
ComManagerR | v2c or v1 | ManagerReadView | DiscoveryView |
ComOperatorRW | v2c or v1 | OperatorReadView | OperatorReadView |
ManagerPriv | v2c or v1 | OperatorReadView | DiscoveryView |
С каждой группой ассоцирован view с различными правами на просмотр или модификацию различных MIB:
- ManagerReadView — доступ ко всем управляемым объектам
- ManagerWriteView — доступ ко всем управляемым объектам, кроме следующих:
- vacmContextTable
- vacmAccessTable
- vacmViewTreeFamilyTable
- OperatorReadView — запрещен доступ к таким объектам:
- icfSecurityMIB
- hpSwitchIpTftp-Mode
- vacmContextTable
- vacmAccessTable
- vacmViewTreeFamilyTable
- usmUserTable
- snmpCommunityTable
- DiscoveryView — доступ только к samplingProbe.
На коммутаторе есть предопределенные группы (8 групп) и view (4 view). Они не могут быть изменены или дополнены новыми группами или view. |
Назначение пользователя в группу:
switch(config)# snmpv3 group <group-name> user <username> sec-model <ver1 | ver2c | ver3>
Для групп SNMPv3 должна использоваться security model только ver3.
Пример назначения пользователя в группу (до этого пользователь должен быть создан):
switch(config)# snmpv3 group managerpriv user proadmin sec-model ver3
[править] Настройка community
SNMP communities необходимы для того, чтобы приложения, которые используют SNMPv1 или SNMPv2c могли получить доступ к коммутатору. Community привязывается к группам, которые используются для поддержки v1 и v2c. Соответствие community-группа возникает автоматически на основании прав доступа community, но могут быть заданы и другие соответствия.
Настройка соответствия community-группа:
switch(config)# snmpv3 community index <index-name> name <community-name> sec-name <security-name> tag <tag-value>
Параметры команды:
- index <index-name> — номер соответствия. Номера 1-5 зарезервированы и не могут использоваться;
- name <community-name> — имя community, которое ставится в соответствие группе;
- sec-name <security-name> — имя группы с соответствующим уровнем доступа;
- tag <tag-value> — used to specify which target address may have access by way of this index reference.
Пример настройки соответствия community-группа:
switch(config)# snmpv3 community index 25 name Operator sec-name CommunityManagerReadWrite tag MngStation1
Для удаления соответствия community-группа достаточно указать index:
switch(config)# no snmpv3 community index 25
[править] Настройка получателей trap
[править] Контроль доступа к MIB настроек аутентификации
На некоторых коммутаторах в ProCurve SNMP MIB есть объект hpSwitchAuthMib. Этот объект используется для управления настройками аутентификации.
По умолчанию к объекту hpSwitchAuthMib, который отвечают за различные функции аутентификации, разрешен доступ только для manager на чтение и запись. Доступ на чтение и запись для operator всегда запрещен.
В этом объекте MIB хранятся следующие функции (настройки) аутентификации:
- Локальные пароли и имена пользователей с уровнями доступа operator и manager
- Количество попыток логина на коммутатор и введения пароля на режим manager
- Настройки RADIUS
- Настройки TACACS+
- Некоторые настройки 802.1X
- Настройки keys и chain для key management subsystem (KMS)
- Настройки аутентификации интерфейсов OSPF
С помощью объекта hpSwitchAuthMib:
- Можно просматривать настройки перечисленных функций аутентификации, но нельзя просмотреть пароли, ключи, имена пользователей;
- На SNMP-запрос о пароле, имени пользователя и ключах, коммутатор вернет пустую строку;
- Все настройки можно изменять с помощью SNMP.
Отключение доступа к hpSwitchAuthMib по SNMP:
switch(config)# snmp-server mib hpswitchauthmib excluded
Включение доступа к hpSwitchAuthMib по SNMP (включен по умолчанию):
switch(config)# snmp-server mib hpswitchauthmib included
При включенном доступе к hpSwitchAuthMib, рекомендуется использовать SNMPv3 и отключить доступ по SNMPv1 и SNMPv2c. |
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |