SNMP в ProCurve

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Содержание

[править] Описание протокола

Основная страница: SNMP

[править] SNMPv3 в коммутаторах ProCurve

Задачи по настройке SNMPv3:

  1. Включить SNMPv3 на коммутаторе
  2. Настроить SNMP пользователей
  3. Настроить SNMP communities
  4. Настроить получателей trap

[править] Включение SNMPv3

Включение SNMPv3 на коммутаторе:

switch(config)# snmpv3 enable

Настройка коммутатора на работу только по SNMPv3, сообщения SNMP других версий будут отбрасываться:

switch(config)# snmpv3 only

Предоставить агентам SNMPv1 и SNMPv2 доступ только для чтения:

switch(config)# snmpv3 restricted-access

[править] Настройка пользователей SNMPv3

Создание пользователя:

switch(config)# snmpv3 user <username> [auth <md5 | sha> <auth-pwd> priv <des | aes> <priv-pwd>]

Пример создания пользователя proadmin:

switch(config)# snmpv3 user proadmin auth sha pr0Curve priv aes pr0@dm1n

Параметры команды:

  • <username> — имя пользователя
  • <md5 | sha> — метод аутентификации
  • <auth-pwd> — пароль для аутентификации
  • <des | aes> — метод обеспечения приватности (алгоритм шифрования)
  • <priv-pwd> — пароль для шифрования

Просмотр информации о созданных пользователях:

switch(config)# show snmpv3 user

[править] Назначение пользователей в группы

На коммутаторе есть 8 предопределенных групп, с различными уровнями доступа:

  • 4 группы для SNMPv3
  • 4 группы для SNMPv1/SNMPv2
Имя группы Тип доступа Read View Write View
ManagerPriv v3 Auth and Privacy ManagerReadView ManagerWriteView
ManagerAuth v3 Auth ManagerReadView ManagerWriteView
OperatorAuth v3 Auth OperatorReadView DiscoveryView
OperatorNoAuth v3 no Auth or Privacy OperatorReadView DiscoveryView
ComManagerRW v2c or v1 ManagerReadView ManagerWriteView
ComManagerR v2c or v1 ManagerReadView DiscoveryView
ComOperatorRW v2c or v1 OperatorReadView OperatorReadView
ManagerPriv v2c or v1 OperatorReadView DiscoveryView

С каждой группой ассоцирован view с различными правами на просмотр или модификацию различных MIB:

  • ManagerReadView — доступ ко всем управляемым объектам
  • ManagerWriteView — доступ ко всем управляемым объектам, кроме следующих:
    • vacmContextTable
    • vacmAccessTable
    • vacmViewTreeFamilyTable
  • OperatorReadView — запрещен доступ к таким объектам:
    • icfSecurityMIB
    • hpSwitchIpTftp-Mode
    • vacmContextTable
    • vacmAccessTable
    • vacmViewTreeFamilyTable
    • usmUserTable
    • snmpCommunityTable
  • DiscoveryView — доступ только к samplingProbe.

Icon-caution.gif

На коммутаторе есть предопределенные группы (8 групп) и view (4 view). Они не могут быть изменены или дополнены новыми группами или view.

Назначение пользователя в группу:

switch(config)# snmpv3 group <group-name> user <username> sec-model <ver1 | ver2c | ver3>

Для групп SNMPv3 должна использоваться security model только ver3.

Пример назначения пользователя в группу (до этого пользователь должен быть создан):

switch(config)# snmpv3 group managerpriv user proadmin sec-model ver3

[править] Настройка community

SNMP communities необходимы для того, чтобы приложения, которые используют SNMPv1 или SNMPv2c могли получить доступ к коммутатору. Community привязывается к группам, которые используются для поддержки v1 и v2c. Соответствие community-группа возникает автоматически на основании прав доступа community, но могут быть заданы и другие соответствия.

Настройка соответствия community-группа:

switch(config)# snmpv3 community index <index-name> name <community-name> sec-name <security-name> tag <tag-value>

Параметры команды:

  • index <index-name> — номер соответствия. Номера 1-5 зарезервированы и не могут использоваться;
  • name <community-name> — имя community, которое ставится в соответствие группе;
  • sec-name <security-name> — имя группы с соответствующим уровнем доступа;
  • tag <tag-value> — used to specify which target address may have access by way of this index reference.

Пример настройки соответствия community-группа:

switch(config)# snmpv3 community index 25 name Operator sec-name CommunityManagerReadWrite tag MngStation1

Для удаления соответствия community-группа достаточно указать index:

switch(config)# no snmpv3 community index 25 

[править] Настройка получателей trap

[править] Контроль доступа к MIB настроек аутентификации

На некоторых коммутаторах в ProCurve SNMP MIB есть объект hpSwitchAuthMib. Этот объект используется для управления настройками аутентификации.

По умолчанию к объекту hpSwitchAuthMib, который отвечают за различные функции аутентификации, разрешен доступ только для manager на чтение и запись. Доступ на чтение и запись для operator всегда запрещен.

В этом объекте MIB хранятся следующие функции (настройки) аутентификации:

  • Локальные пароли и имена пользователей с уровнями доступа operator и manager
  • Количество попыток логина на коммутатор и введения пароля на режим manager
  • Настройки RADIUS
  • Настройки TACACS+
  • Некоторые настройки 802.1X
  • Настройки keys и chain для key management subsystem (KMS)
  • Настройки аутентификации интерфейсов OSPF

С помощью объекта hpSwitchAuthMib:

  • Можно просматривать настройки перечисленных функций аутентификации, но нельзя просмотреть пароли, ключи, имена пользователей;
  • На SNMP-запрос о пароле, имени пользователя и ключах, коммутатор вернет пустую строку;
  • Все настройки можно изменять с помощью SNMP.

Отключение доступа к hpSwitchAuthMib по SNMP:

switch(config)# snmp-server mib hpswitchauthmib excluded 

Включение доступа к hpSwitchAuthMib по SNMP (включен по умолчанию):

switch(config)# snmp-server mib hpswitchauthmib included 

Icon-caution.gif

При включенном доступе к hpSwitchAuthMib, рекомендуется использовать SNMPv3 и отключить доступ по SNMPv1 и SNMPv2c.