| Scroll Ignore | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
Contexte
Afin de superviser un switch via les protocoles SNMPv3, le pack Switch-SNMP vous met à disposition six modèles d'hôtes.
- Switch-SNMPv3-( noAuthNoPriv / authNoPriv / authPriv ) permettent une supervision d'un switch pour une utilisation minimal et synthétique. L'unique différence entre ces trois modèles est la configration de la connexion SNMPv3.
- Switch-SNMPv3-( noAuthNoPriv / authNoPriv / authPriv )-detailed permettent une supervision d'une switch pour une utilisation détaillée de chaque interface réseau et fournissent des informations supplémentaires ( utilisation CPU, consommation mémoire… ). L'unique différence entre ces trois modèles est la configration de la connexion SNMPv3.
Consulter le tableau suivant pour comparer les modèles et choisir celui convenant le mieux pour votre supervision.
| Excerpt | ||||
|---|---|---|---|---|
|
Contexte
Le pack Switch vous offre deux manières de vous connecter en SNMP.
La version 1/2c qui correspond aux modèles d'hôtes suivant : switch et switch-detailedOn a ensuite 6 modèles d'hôtes que l'on peux divisé en 2 catégories et qui vont premettre de faire une connexion en Sersion 3 :
- Les modèles d'hôtes qui offrent une vue gloable sur les interfaces du switch (expliqué dans la partie gauche du tableau ci-dessous), soit : switch-SNMPv3-authPriv, switch-SNMPv3-authNoPriv et switch-SNMPv3-noAuthNoPriv
- Les modèles d'hôtes qui offrent une vue spécifique sur chaques interfaces du switch (expliqué dans la partie droite du tableau ci-dessous), soit : switch-SNMPv3-authPriv-detailed, switch-SNMPv3-authNoPriv-detailed et switch-SNMPv3-noAuthNoPriv-detailed
Différence entre les modèles (switch, switch_snmp_v3) et (switch-detailed, switch_snmp_v3-detailed)
- Ces modèles offrent une vue d'ensemble pour chaque check sur l'état général de vos interfaces
- Mise a part la mise en place du protocol SNMP, il ne nécéssite aucune configuration
- Ces modèles sont donc conseillés si vous voulez une vue sur l'ensemble de vos interfaces en un seul résultat, mais attention, si un problème est rencontré même sur une seule des interfaces, alors le résultat indiquant l'erreur risque d'être noyé par la masse d'informations renvoyées par le check.De même, si un second problème venait à apparaître, il en serait alors, encore plus difficilement repérable.
|
Les différences entre les méthodes d'authentifications
SNMPv1/2c
Une seule méthode pour s'authentifier est possible
En effet, en SNMPv1/2c le seul moyen sécuritaire qui est proposé est l'utilisation d'un nom de communauté qui servira de mot de passe pour les utilisateurs voulant récupérer les informations du matériel ciblé
SNMPv3
noAuthNoPriv
Ce mode d'authentification revient au mode que l'on retrouve dans la version 1 et 2c de SNMP.
Ici, le seul champ a remplir est SWITCH_LOGIN.
Les modèles d'hôtes qui utilisent cette authentification sont : switch-SNMPv3-noAuthNoPriv et switch-SNMPv3-noAuthNoPriv-detailed
authNoPriv
Ce mode d'authenfication est le mode intermédiaire au niveau de l'authentification. Il utilise un login, un mot de passe et une protocole d'authentification.
Les champs a remplir sont donc : SWITCH_LOGIN, SWITCH_PASSPHRASE_AUTH et SWITCH_PROTOCOL_AUTH
Les modèles d'hôtes qui utilisent cette authentification sont : switch-SNMPv3-authNoPriv et switch-SNMPv3-authNoPriv-detailed
authPriv
Ce mode d'authentification est le mode le plus complet de la connexion SNMPv3.
Les champs a remplir sont donc : SWITCH_LOGIN, SWITCH_PASSPHRASE_AUTH, SWITCH_PROTOCOL_AUTH, SWITCH_PASSPHRASE_PRIV et SWITCH_PROTOCOL_PRIV
Les modèles d'hôtes qui utilisent cette authentification sont : switch-SNMPv3-authPriv et switch-SNMPv3-authPriv-detailed
Test de connexion pour s'assurer de la configuration SNMP
Les différents tests
|
Liste des modèles d'hôte pour SNMPv3
| Nom | Lien | ||
|---|---|---|---|
| Modèles Switch-SNMPv3-( noAuthNoPriv, authNoPriv, authPriv ) | ||
| Modèles Switch-SNMPv3-( noAuthNoPriv / authNoPriv / authPriv )-detailed |
Vérification de la compatibilité SNMP avec le switch à superviser
Vous pouvez tester la Vous pouvez tester la bonne configuration du service SNMP de votre switch depuis votre serveur Poller en fonction du SNMP utilisé
SNMP V2
| Code Block |
|---|
[root@shinken-poller ~]# snmpwalk -v2c -c COMMUNAUTE IP-SWITCH |
En replaçant COMMUNAUTE et IP-SWITCH par ceux de votre switch.
Une liste de valeur doit défiler à l'écran pour valider la bonne connexion..
Dans le cas de SNMPv3, la liste des arguments de la commande est plus exhaustive, mais tous ne sont pas forcément nécessaires suivant le mode de connexion configuré.
Remplacer ou enlever :
- IP-SWITCH par l'adresse IP de votre switch
- USER-NAME par le nom d'utilisateur
- CONTEXT par le contexte SNMP ( optionnel ),
- LEVEL par le niveau de sécurité configuré pour la connexion SNMPv3 ( noAuthNoPriv | authNoPriv | authPriv ),
- AUTH_PROTOCOL par le protocole d'authentification utilisé ( à utiliser dans le cas du niveau authNoPriv et authPriv ) ,
- AUTH_PASSPHRASE par le mot de passe lié au protocole d'authentification ( à utiliser dans le cas du niveau authNoPriv et authPriv ),
- PRIV_PROTOCOL par le protocole de confidentialité utilisé pour la connexion SNMPv3 ( à utiliser dans le cas du niveau authPriv ),
- PRIV_PASSPHRASE par le mot de passe lié au protocole de confidentialité ( à utiliser dans le cas du niveau authPriv ),
- SECU_ENGINE-ID par l'lD de sécurité ( optionnel ),
- CONTEXT_ENGINE-ID par l'ID du contexte ( optionnel ),
| Code Block | ||||
|---|---|---|---|---|
|
| Code Block | ||
|---|---|---|
| ||
$ snmpwalk -v2c -c public 192.168.1.4
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Internetwork Operating System SoftwareIOS (tm) MSFC Software (C6MSFC-JS-M), Version 12.0(7)XE1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)TAC:Home:SW:IOS:Specials for infoCopyright (c) 1986-2000 by cisco Systems, Inc.Compiled Thu 03-Feb-00 23:
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.258
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (22061) 0:03:40.61
SNMPv2-MIB::sysContact.0 = STRING: admin
SNMPv2-MIB::sysName.0 = STRING: CISCOROUTER
SNMPv2-MIB::sysLocation.0 = STRING: server-room
SNMPv2-MIB::sysServices.0 = INTEGER: 78
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00
IF-MIB::ifNumber.0 = INTEGER: 13
IF-MIB::ifIndex.2 = INTEGER: 2
... |
SNMP V3
[root@shinken-poller ~]# snmpwalk -v3 IP-SWITCH -u USER-l SecurityLevelNAME -n CONTEXT -ul LOGINLEVEL -a AUTH_PROTOCOL -A AUTHPASSWORDAUTH_PASSPHRASE -x PRIV_PROTOCOL -X PRIVPASSWORD IP-SWITCH PRIV_PASSPHRASE -e SECU_ENGINE-ID -E CONTEXT_ENGINE-ID |
Exemple de résultat
Il vous faudra alors remplacer :
- SecurityLevel par : noAuthNoPriv ou authNoPriv ou authPriv suivant la configuration de votre connexion SNMPv3.
- LOGIN par le login utilisé sur le switch.
- AUTH l'algorithm d'authenfication que vous avez choisi pour la connexion (md5 ou sha).
- AUTHPASSWORD par le mot de passe que vous avez choisi pour l'authentification SNMPv3.
- PRIV par le protocole de confidentialité que vous avez choisi pour la connexion SNMPv3 (aes ou des).
- PRIVPASSWORD par le mot de passe de confidentialité que vous avez choisi pour la connexion SNMPv3.
- IP-SWITCH par l'adresse IP de votre switch.
Une liste de valeur doit défiler à l'écran pour valider la bonne connexion ( l'exemple ci-dessous était dans le cadre d'une connexion SNMPv3 ).
| Code Block | ||||
|---|---|---|---|---|
| ||||
$ snmpwalk -v3 -l authPriv 1.2.3.4 -u newUserMyUser -a MD5 -A abc12345Password1 -x DES -X abc12345 192.168.1.5 -v3Password2 SNMPv2-MIB::sysDescr.0 = STRING: Cisco Internetwork Operating System Software IOSSoftwareIOS (tm) 7200MSFC Software (C7200C6MSFC-ISJS-M), Version 12.30(21b7)XE1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) CopyrightTAC:Home:SW:IOS:Specials for infoCopyright (c) 1986-20072000 by cisco Systems, Inc. Compiled SatThu 2103-JulFeb-0700 1623:57 by ccai SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.223258 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (359719974) 0:0003:3519.9774 SNMPv2-MIB::sysContact.0 = STRING: admin SNMPv2-MIB::sysNamesysLocation.0 = STRING: Xiamen-R SNMPv2-MIB::sysLocation.0 = STRING:server-room SNMPv2-MIB::sysServices.0 = INTEGER: 678 SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00 IF-MIB::ifNumber.0 = INTEGER: 5 IF-MIB::ifIndex.1 = INTEGER: 113 IF-MIB::ifIndex.2 = INTEGER: 2 ... |
PASSS
SNMP v3
Dans chaque hôte héritant du modèle d'hôte "switch_SNMP_v3" ou "switch_SNMP_v3-detailed", vous aurez plusieurs données a modifier ou non suivant la configuration SNMP choisi :
Login SNMP v3
- EN SNMP v3, la communauté est un équivalent du nom d'utilisateur dans une doublet login/mot de passe
Protocol d'authentification SNMP v3
- Ce protocol n'est pas obligatoire mais conseillé pour une meilleur sécurisation de la connexion.
- Deux protocol sont possibles ici, MD5 ou SHA
Mot de passe d'authentification SNMP v3
- Le mot de passe garantit l'intégrité des données et permet de'authentifier l'origine des données
Protocol de confidentialité SNMP v3
- Ce protocol n'est pas non plus obligatoire, mais tout comme le protocol d'authentification, il permet une sécurité suppleméntaire pour la communication via SNMP
- Deux protocoles sont possibles ici, AES ou DES
Mot de passe de confidentialité SNMP v3
- Le mot de passe de confidentialité assure le chiffrement et le déchiffrement des données.