Catalyst 2960 - Configuration SNMP.

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)
Liste de contrôle d’accès
Catalyst Configurer les macros Smartports
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
OSPF - Comment OSPF génère les routes par défaut
LAN Médias cch_ccnp.
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Configuration - Diagnostics en ligne
Sécurité - VPN - Configurer la mise à jour du client
SNET: Administration et sécurisation des réseaux EPFC Alain Smets
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
CCNP Routage Chapitre 4 - Questionnaire N°1
Catalyst Configurer les macros Smartports
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
de listes d'accès filtres
Cisco Catalyst 3550 Configuration IGMP Snooping & MVR
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
HSRP (Hot Standby Routing Protocol)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
Comprendre les valeurs
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Préparation de mise à jour
Configuration de LLDP et
Routage S 7 - Questionnaire N°1
Chapitre 12 Surveillance des ressources et des performances
Sécurité - Configuration de
Commande show ip eigrp topology
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
OSPF - Commande show ip ospf neighbor.
Configuration de l'Authentification 802.1X
Sécurité - Configuration de -
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
interfaces de couche 3 Commutateur Catalyst 4006
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
Commande show vtp ccnp_cch ccnp_cch.
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
(Switch Database Management)
QoS - Configuration Fragmentation
Windows Server 2012 Objectifs
DONNÉE DE BASE QM Manuel de formation. Agenda 2  Introduction  Objectif de la formation  Données de base QM: Caractéristique de contrôle Catalogue.
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

Catalyst 2960 - Configuration SNMP

Sommaire • Introduction • Comprendre SNMP - Versions de SNMP - Fonctions SNMP Manager - Fonctions Agent SNMP - Noms de communauté SNMP - Utiliser SNMP pour accéder aux variables MIB - Notifications SNMP - Valeurs de l'objet MIB SNMP ifIndex • Configuration SNMP - Configuration SNMP par défaut - Conseils pour la configuration de SNMP - Dévalider l'agent SNMP - Configurer les noms de communautés - Configurer les groupes et les utilisateurs SNMP - Configurer les notifications SNMP - Configurer la priorité de la notification Trap SNMP - Configurer l'information de localisation et le "Contact Agent" - Limiter le nombre de serveurs TFTP utilisés via SNMP - Exemple SNMP • Afficher l'état SNMP

Introduction Ce document décrit comment configurer SNMP (Simple Management Network Protocol) sur un commutateur Catalyst 2960. Ce document contient les sections suivantes: • Comprendre SNMP • Configurer SNMP • Afficher l'état SNMP Comprendre SNMP SNMP est un protocole de couche application qui fournit des messages pour commu- niquer entre des managers et des agents SNMP. Le système SNMP est constitué d'un manager SNMP, d'un agent SNMP et d'une MIB. Le Manager SNMP peut être une par- tie d'un système de d'administration de réseau (Network Management System) tel que CiscoWorks. L'agent et la MIB (Management Information Base) résident sur le commu- tateur. Pour configurer SNMP sur un commutateur, vous définissez la relation entre le manager et l'agent. L'agent SNMP contient les variables de la MIB dont les valeurs peuvent être deman- dées ou modifiées par le manager. Un manager peut obtenir une valeur d'un agent ou stocker une valeur sur l'agent. L'agent rassemble les données à partir de la MIB, le dépositaire des informations sur les paramètres de l'équipement et des données réseau. L'agent peut également répondre à une requête du manager qui veut obtenir ou modifier des données. Un agent peut transmettre des traps non-sollicités au manager. Les traps sont des messages alertant le manager qu'un évènement particulier se produit sur le réseau. Les traps peuvent signaler une authentification incorrecte d'un utilisateur, des redé- marrages, des changements d'état de lien, un traçage d'adresse MAC, la fermeture de connexion TCP, perte de connexion avec un voisin ou tout autre évènement siginifi- catif. Cette section est constituée des parties suivantes: ● Versions SNMP ● Fonctions du Manager SNMP ● Fonctions de l' Agent SNMP ● Noms de communautés SNMP ● Utilisation de SNMP pour accéder aux variables MIB ● Les notifications SNMP ● Valeurs de l'objet MIB SNMP ifIndex

Versions de SNMP Cette release logicielle supporte ces versions SNMP: - SNMPv1 -- Simple Network Management Protocol, un standard Internet défini par le RFC 1157. - SNMPv2c remplace le cadre administratif basé sur la partie et sécurité de SNMPv2 classique avec le cadre administratif basé sur la communauté de SNMPv2c tout en gardant la récupération par bloc et la gestion d'erreur améliorée de SNMPv2. Ces caractéristiques sont les suivantes: - SNMPv2 -- Version 2 de SNMP, un standard Internet "Draft" défini dans les RFCs 1902 à 1907. - SNMPv2c -- Trame administrative basée sur la communauté, un protocole Internet expérimental défini dans le RFC 1901. - SNMPv3 - La version 3 de SNMP est un protocole interopérable basé sur un stan- dard défini dans les RFCs 2273 à 2275. SNMPv3 fournit un accès sécurisé aux équipements par authentification et cryptage des paquets sur le réseau et inclut ces caractéristiques de sécurité: - Intégrité des messages - Assure que le paquet n'a pas été corrompu pendant son transit sur le réseau. - Authentification - Permet de savoir que le message a une source valide. - Cryptage - Crypte le message afin d'empêcher sa lecture par une source non autorisée. Note: Pour sélectionner le cryptage entrez le mot-clé priv. Le mot-clé est disponi- ble uniquement quand image logicielle avec cryptage est installée. SNMPv1 et SNMPv2c une forme de sécurité basée sur la communauté. La communau- té des managers capables d'accéder aux agents MIB est définie par une liste de con- trôle d'accès IP et un mot de passe. SNMPv2c inclut un mécanisme de récupération par blocs et des messages d'erreurs plus détaillés pour les stations d'administration. Le mécanisme de récupération par blocs récupère les tables et de grandes quantités d'informations tout en minimisant le nombre d'échanges nécessaires. La gestion d'erreur améliorée de SNMPv2c inclut des codes d'erreur étendus qui permettent de mieux différencier les cas d'erreur; ces cas sont rapportés avec un seul code d'erreur dans SNMPv1. Les codes de retour d'erreur dans SNMPv2c annoncent maintenant le type d'erreur. SNMPv3 fournit des modèles et des niveaux de sécurité. Un modèle de sécurité est une stratégie d'authentification fixée pour un utilisateur et un groupe dans lequel cet utilisateur réside. Un niveau de sécurité est le niveau de sécurité permis à l'inté- rieur d'un modèle de sécurité. Une combinaison du niveau de sécurité et du modèle de sécurité détermine quel mécanisme est utilisé lors du traitement d'un paquet SNMP. Les modèles de sécurité disponibles sont SNMPv1, SNMPv2c et SNMPv3.

Le tableau suivant identifie les caractéristiques des différentes combinaisons de modè- les et de niveaux de sécurité. Modèle Niveau Authentification Cryptage Résultat SNMPv1 noAuthNoPriv Nom de communauté Non Nom de communauté pour l'authentification SNMPv2c SNMPv3 Nom d'utilisateur Nom d'utilisateur pour l'authentification authNoPriv MD5 ou SHA Fournit une authenti- fication basée sur les algorithmes HMAC-MD5 ou HMAC-SHA authPriv DES Fournit une authenti- fication basée sur les algorithmes HMAC-MD5 ou HMAC-SHA Fournit un cryptage DES-56 bit , en plus de l'authentification, basé sur le standard CBC-DES (DES-56). Vous devez configurer l'agent SNMP pour utiliser la version supportée par la station de d'administration. Comme un agent peut communiquer avec plusieurs managers, vous pouvez configurer le logiciel pour supporter des communications SNMPv1, SNMPv2c ou SNMPv3. Fonctions du Manager SNMP Le manager SNMP utilise l'information de la MIB pour réaliser les fonctions décrites dans le tabeau suivant: Fonction Description get-request Récupère la valeur d'une variable donnée. get-next-request Récupère la valeur d'une variable dans une table.1 get-bulk-request2 Récupère de grands blocs de données telles de multiples lignes d'une table get-response Réponse à get-request, get-next-request et set-request. set-request Stocke une valeur dans une variable donnée. trap Message non sollicité transmis par un agent SNMP vers un Manager SNMP quand un évènement particulier se produit. 1. Avec cette fonction, un Manager SNMP n'a pas besoin de connaître le nom exact de la variable. Une recherche séquentielle est faite pour trouver la variable dans la table. 2. La commande get-bulk fonctionne uniquement avec SNMPv2 ou suivant.

Fonctions de l'Agent SNMP L'agent SNMP répond aux requêtes du Manager SNMP comme suit: • Get (lecture) d'une variable MIB -- L'agent SNMP débute dans fonction en réponse à une requête venant de la NMS (Network Management Station). L'agent SNMP récu- père la valeur de la variable MIB requise et retourne cette valeur à la NMS. • Set (écriture) d'une variable MIB -- L'agent SNMP débute cette fonction en réponse à un message venant de la NMS (Network Management Station). L'agent SNMP change la valeur de la variable par celle requise par la NMS. L'agent SNMP transmet également des messages trap non sollicités pour notifier à la NMS qu'un évènement significatif s'est produit sur l'agent. Les exemples de conditions de trap sont, mais ne sont pas limités à ceux-ci, passage de l'état "up" à "down" d'un port ou un changement de topologie Spanning-tree ou un échec d'authentification. Noms de communauté SNMP Les noms de communauté SNMP authentifient l'accès aux objets MIB et fonctionnent comme des mots de passe embarqués. Pour que la NMS puisse accéder au commuta- teur, les définitions de noms de communautés de la NMS doivent correspondre à au moins une des trois définitions de noms communautés définis sur le commutateur. Un nom de communauté peut avoir un de ces attributs: • Read-Only (RO) -- Donne accès en lecture, uniquement aux stations d'administra- tion autorisées, à tous les objets de la MIB sauf les noms de communautés mais n'autorise pas les accès en écriture. • Read-Write (RW) -- Donne accès en lecture et en écriture, aux stations d'adminis- tration autorisées, à tous les objets de la MIB exceptés les noms de communauté. • Quand un cluster est crée, le commutateur de commande gère les échanges de messages avec les commutateurs membres et l'application SNMP. Le logiciel Net- work Assistant ajoute le numéro du commutateur membre (@esN, où N est le nu- méro du commutateur membre) aux premiers noms de communautés configurés RO et RW sur le commutateur de commande et les propage vers les commutateurs membres. Utiliser SNMP pour accéder aux variables MIB Un exemple de station d'administration est le logiciel d'administration réseau Cisco- Works. Le logiciel CiscoWorks 2000 utilise les variables MIB du commutateur pour fixer les variables et pour interroger les équiments du réseau pour obtenir des infor- mations. Les résultats d'une interrogation peuvent être affichés sous forme de graphe et analysés pour résoudre des problèmes dans le réseau, accroître les performances, vérifier la configuration des équipements, superviser les charges de trafic,etc...

Comme le montre la figure suivante, l'agent SNMP rassemble les données issues de la MIB. L'agent peut transmettre des traps ou notifier des évènements au manager SNMP qui reçoit et traite les traps. Les traps sont des messages alertant le manager SNMP d'une condition particulière sur le réseau telle qu'une authentification incorrecte, des redémarrages, des changements d'état de liaison (up - down), traçage d'adresse MAC, etc.... L'agent SNMP répond également aux requêtes transmises par le manager SNMP, relatives à la MIB, au format get-request, get-next-request et set-request. Get-request, Get-next-request, Get-bulk, Set-request Equipement réseau NMS Get-response, traps MIB Agent SNMP Manager SNMP Notifications SNMP SNMP permet au commutateur de transmettre des notifications au manager SNMP quand un évènement particulier se produit. Les notifications SNMP peuvent être transmises comme des Traps ou des requêtes de type "inform". Dans la syntaxe de la commande, sauf s'il y a une option pour sélectionner soit les "informs" soit les traps, le mot-clé traps fait référence aux traps ou aux "informs" ou aux deux. Utilisez la commande snmp-server host pour spécifier la transmission des notifications SNMP soit comme des traps ou des "informs". Note: SNMPv1 ne supporte pas les "informs". Les traps sont non fiables car le récepteur ne transmet pas d'accusé quand il reçoit un trap et l'émetteur ne sait pas si le trap a été reçu. Quand un manager SNMP re- çoit une requête "inform", il acquitte le message avec un message de réponse SNMP. Si l'émetteur ne reçoit pas de réponse, le message requête "inform" peut être retrans- mis. Comme les messages "inform" peuvent être retransmis, ils sont plus susceptibles d'atteindre leur destination que les traps. Les caractéristiques qui rendent les "informs" plus fiables que les traps consomment plus de ressources sur le commutateur et le réseau. Au contraire du trap qui est effa- cé dès qu'il a été transmis, une requête "inform" est gardée en mémoire jusqu'à ce que la réponse soit reçue ou que le timer expire. Les traps sont transmis une seule fois par contre un "inform" peut être retransmis plusieurs fois. Les retransmissions accroissent le trafic du réseau. Par contre les traps et les "informs" requièrent un compromis entre fiabilité et ressources. S'il est très important que le manager SNMP reçoive toutes les notifications, utilisez les requêtes "inform". Si le trafic sur le réseau et la mémoire du commutateur sont des facteurs importants et pas les notifications alors utilisez les Traps.

Valeurs de l'objet SNMP ifIndex Dans un système d'administration de réseau, la IF-MIB génère et affecte une valeur d'objet index d'interface (ifIndex) qui est un nombre unique supérieur à zéro pour identifier une interface physique ou logique. Quand le commutateur redémarre ou que le logiciel du commutateur est mis à niveau, le commutateur utilise la même valeur pour l'interface. Par exemple, si le commutateur affecte au port 2 une valeur ifIndex de 10003, cette valeur sera la même après le redémarrage du commutateur. Le commutateur utilise une des valeurs du tableau suivant pour affecter une valeur ifIndex à une interface. Type d'interface Intervalle ifIndex SVI1 1-4999 EtherChannel 5000-5012 Loopback 5013-5077 Tunnel 5078-5142 Physique ( interface Ethernet Gigabit ou modules SFP2) 10000-14500 Null 14501 1. SVI = Switch Virtual Interface 2. SFP = Small Form-factor Pluggable Note: Le commutateur peut ne pas utiliser de valeurs en séquence dans l'intervalle. Configurer SNMP Cette section décrit comment configurer SNMP sur un commutateur. • Configuration SNMP par défaut • Dévalider l'agent SNMP • Configuration des noms de communautés • Configuration des groupes SNMP et des utilisateurs • Configuration des notifications SNMP • Configuration de la priorité des notifications Trap SNMP • Configurer l'information Location et Agent Contact • Limiter les serveurs TFTP utilisés avec SNMP • Exemples SNMP

Conseils pour la configuration de SNMP Configuration SNMP par défaut Le tableau suivant montre la configuration SNMP par défaut. Fonction Valeur par défaut Agent SNMP Dévalidé.1 Receveur de traps SNMP Non configuré. Traps SNMP Non configurés sauf le Trap pour les connexions TCP (tty) Version SNMP Si le mot-clé version n'est pas présent, la version par défaut est 1. Authentification SNMPv3 Si aucun mot-clé n'est entré, le niveau de sécurité par défaut est noauth (noAuthPriv). Type de notification SNMP Si aucun type n'est spécifié, toutes les notifications sont transmises. 1. C'est la valeur par défaut lorsque le commutateur démarre et que la configuration de démarrage ne contient aucune commande snmp-server en mode de configuration global. Conseils pour la configuration de SNMP Si le commutateur démarre et que la configuration de démarrage contient au moins une commande de configuration globale snmp-server, l'agent SNMP sera validé. Un groupe SNMP est une table qui fait correspondre les utilisateurs SNMP avec des vues SNMP. Un utilisateur SNMP est un membre d'un groupe. Un host SNMP est le receveur d'un trap. Un engine ID SNMP est le nom local ou distant de la machine SNMP. Quand vous configurez SNMP suivez ces conseils: ● Quand vous configurez un groupe SNMP, ne spécifiez pas de vue "notify". La com- mande de configuration globale snmp-server host autogénère une vue "notify" pour l'utilisateur et l'ajoute ensuite au groupe associé avec cet utilisateur. Modifiez la vue du groupe "notify" affecte tous les utilisateurs associés avec ce groupe. ● Pour configurer un utilisateur distant, spécifiez l'adresse IP ou le numéro de port pour l'agent SNMP distant de l'équipement sur lequel réside l'utilisateur. ● Avant de configurer les utilisateurs distants pour un agent particulier, configurez le SNMP engine ID en utilisant la commande de configuration globale snmp-server engineID avec l'option remote. Le SNMP engine ID de l'agent distant et le mot de passe utilisateur sont utilisés pour calculer l'authentification et digests privés. Si vous ne configurez pas l'engine ID distant en premier, la commande de configura- tion échoue. ● Quand vous configurez les "informs" SNMP, vous devez d'abord configurer l'engine ID SNMP pour l'agent distant dans la base de données SNMP avant que vous puis- siez lui transmettre des requêtes proxy ou des "informs".

quand l'engine ID change. ● Si un utilisateur local n'est pas associé avec un host distant, le commutateur ne transmettra pas d'"informs" pour les niveaux d'authentification auth (authNoPriv) et priv (authPriv). ● Changer la valeur de l'engine ID SNMP a des effets de bord très importants. Un mot de passe utilisateur (entré en ligne de commande) est converti en un hash de sécu- rité SHA ou MD5 basé sur le mot de passe et l'engine ID. La ligne commande pass- word est ensuite détruite comme cela est requis par le RFC 2274. A cause de cet ef- facement, si la valeur de l'engine ID change, les hashs de sécurité des utilisateurs SNMPv3 deviennent invalides et vous devez reconfigurer les utilisateurs SNMP en utilisant la commande de configuration globale snmp-server user username. Des restrictions similaires requièrent la reconfiguration des noms de communautés quand l'engine ID change. Dévalider l'agent SNMP En débutant en mode EXEC privilégié, suivez ces étapes pour dévalider l'agent SNMP. Commande Fonction configure terminal Entrée en mode de configuration global. no snmp-server Dévalider l'agent SNMP end Retour en mode EXEC privilégié show running-config Vérification de la configuration copy running-config startup-config (Optionnel) Sauvegarde de la configuration La commande de configuration globale no snmp-server dévalide toutes les versions SNMP opérationnelles (Version 1, Version 2c et Version 3) sur l'équipement. Il n'y a pas de commande spécifique de l'IOS Cisco pour valider SNMP. La première comman- de snmp-server en mode de configuration global que vous entrez valide toutes les versions SNMP. Configurer les noms de communautés Vous utilisez le nom de communauté SNMP pour définir la relation entre le manager SNMP et l'agent. Les noms de communauté agissent comme un mot de passe pour permettre l'accès à l'agent situé sur le commutateur. Optionnellement vous pouvez spécifier une ou plusieurs de ces caractéristiques associées au nom: • Une liste d'accès contenant les adresses IP des managers SNMP qui sont autorisés à utiliser les noms de communauté pour obtenir l'accès à l'agent. • Une vue de la MIB qui définit un sous-ensemble de tous les objets MIB accessibles à une communauté donnée. • Les permissions "Read" et "Write" ou "Read-Only" pour les objets MIB accessibles par une communauté.

Suivre ces étapes en mode de configuration EXEC privilégié pour configurer les noms de communauté sur le commutateur. Commande Fonction configure terminal Entrée en mode de configuration global. snmp-server community string [view view-name] [ro|rw] [access-list-number] Configurer le nom de communauté. • Pour string, spécifier un nom qui agit comme un mot de passe et permet l'accès au protocole SNMP. Vous pouvez configurer un ou plusieurs noms de communauté. • (Optionnel) Pour view, spécifiez l'enregistre- ment view accessible à la communauté. • (Optionnel) Spécifier soit read-only (ro) si vous voulez autoriser les stations de gestion à récu- pérer des objets MIB, ou spécifier read-write (rw) si vous voulez autoriser les stations de tra- vail à récupérer et modifier des objets MIB. Par défaut le nom de communauté permet un ac- cès en lecture seule pour tous les objets. • (Optionnel) Pour access-list-number entrez un numéro de liste d'accès standard de 1 à 99 et 1300 à 1399. acces-list access-list-number { deny| permit} source [source-wilcard] (Optionnel) Si vous spécifiez une liste d'accès IP standard dans l'étape 2, créez la liste d'accès. • Pour access-list-number, entrez le numéro de liste d'accès spécifié à l'étape 2. • Le mot-clé deny refuse l'accès si les conditions sont satisfaites. Le mot-clé permit permet l'accès si les conditions sont satisfaites. • Pour source, entrez les adresses IP des managers SNMP qui sont autorisés à utiliser le nom de communauté pour accéder à l'agent. • (Optionnel) Pour source-wildcard, entrez les bits du masque générique à appliquer à la source. Il faut se rappeler que la liste d'accès est toujours terminée par une instruction deny all implicite.

end Retour en mode EXEC privilégié show running-config Vérification de la configuration copy running-config startup-config (Optionnel) Sauvegarde de la configuration Note: Pour dévalider l'accès pour la communauté SNMP, configurer le nom de commu- nauté avec la chaîne nulle (ne pas entrer de valeur pour le nom de communauté). Pour retirer un nom de communauté spécifique, utilisez la commande no snmp-server community string en mode configuration global. Cet exemple montre comment affecter le nom de communauté commaccess à SNMP pour permettre l'accès en lecture seule et spécifier que la liste d'accès IP 4 peut utili- ser le nom de communauté pour accéder à l'agent SNMP du commutateur. Swich(config)# snmp-server community comaccess ro 4 Configurer les Groupes SNMP et les Utilisateurs Vous pouvez spécifier un nom d'identification (engineID) pour la machine serveur SNMP locale ou distante sur le commutateur. Vous pouvez configurer un groupe ser- veur SNMP qui fait correspondre des utilisateurs SNMP à des vues SNMP et vous pou- vez ajouter de nouveaux utilisateurs à un groupe. Exécutez les étapes suivantes sur le commutateur en étant en mode EXEC privilégié. Commande Fonction configure terminal Entrée en mode de configuration global. snmp-server engineID { local engineid- string| remote ip-address [udp-port port-number] engineid-string } Configurer un nom pour SNMP local ou distant. • L'engineid-string est un ID de 24 caractères avec le nom SNMP. Vous n'avez pas besoin de spécifier la totalité des 24 caractères de l'ID s'ils contient des zéros en fin de nom. Spécifiez uniquement la portion de l'engine ID jusqu'au point où commence la suite de zéros. Par exemple, pour configurer un engine ID de 1234000000000000000000000, vous pouvez entrer snmp-server engineID local 1234. • Si vous choisissez remote, spécifiez l'adresse IP (ip-address) de l'équipement distant qui con- tient SNMP et le numéro de port UDP optionnel sur l'équipement distant. Le port par défaut est 162.

Commande Fonction snmp-server group { groupname { v1| v2c|v3 { auth|noauth|priv }} [ read readview ] [write writeview] [notify notifyview] [ access access-list] Configure un nouveau groupe SNMP sur l'équi- pement distant. • Pour groupname, entrez le nom du groupe. • Spécifiez le modèle de sécurité: - v1 est le moins sécurisé des modèles de sécurité - v2c est le deuxième modèle le moins sécu- risé. Il permet de transmettre des informs et des entiers de taille double par rapport à SNMPv1. - v3 est le modèle le plus sécurisé et requiert la sélection d'un niveau d'authentification: auth - Valide l'authentification des paquets avec MD5 (Message Digest 5) et SHA (Secure HASH Algorithm) noauth - Valide le niveau de sécurité noAuth-Priv. C'est le niveau par défaut. priv - Valide le cryptage des paquets avec DES (Data Encryption Standard) Note: Le mot-clé priv est disponible uni- quement lorsque l'image logicielle instal- lée permet le cryptage. • (Optionnel) Entrez read readview avec une chaîne ( n'excédant pas 64 caractè- res) qui est le nom de la vue dans laquelle vous pouvez uniquement voir le contenu de l'agent. • (Optionnel) Entrez write readview avec une chaîne ( n'excédant pas 64 caractè- res) qui est le nom de la vue dans laquelle vous pouvez entrer des données et configurer le contenu de l'agent. • (Optionnel) Entrez notify notifyview avec une chaîne ( n'excédant pas 64 caractères) qui est le nom de la vue dans laquelle vous spécifiez une notification, un inform ou un Trap. • (Optionnel) Entrez access access-list avec une chaîne ( n'excédant pas 64 caractères) qui est le nom de la liste d'accès.

Commande Fonction snmp-server user username groupname { remote host [udp-port port] } { v1 [ access access-list] | v2c [ access access-list] | v3 [ encrypted ] [ access access-list] [ auth { md5|sha } auth-password ] } Ajout d'un nouvel utilisateur dans un groupe SNMP • Pour username, entrez le nom de l'utili- sateur sur le host qui se connecte à l'agent. • Le groupname est le nom du groupe au- quel l'utilisateur appartient. • Pour remote entrez une entité SNMP distante à laquelle l'utilisateur appar- tient et le nom de host ou l'adresse IP de cette entité avec le port UDP option- nel. La valeur par défaut est 162. • Entrez le numéro de version SNMP (v1, v2c ou v3). Si vous entrez v3 vous avez ces options supplémentaires: - encrypted spécifie que le mot de pas- se apparaît sous une forme cryptée. - auth est un niveau d'authentification pour la session qui peut être un ni- veau d'authentification HMAC-MD5-96 (md5) ou HMAC-SHA-96 (sha) et exige un mot de passe ( < à 64 caractères) end Retour en mode EXEC privilégié show running-config Vérification de la configuration copy running-config startup-config (Optionnel) Sauvegarde de la configuration

Configurer les notifications SNMP Un trap manger est une station de gestion qui reçoit et traite les traps. Les traps sont des alertes système que le commutateur génère quand certains évènements se produi- sent. Par défaut, aucun trap manager n'est défini et aucun trap n'est transmis. Les commutateurs opérant avec cette release de l'IOS Cisco peuvent avoir un nombre illi- mité de trap managers. Note: Plusieurs commandes utilisent le mot traps dans la syntaxe de la commande. A moins qu'il y ait une option dans la commande pour sélectionner soit les traps soit les "informs", le mot-clé traps fait référence soit aux traps soit aux informs ou aux deux. Utilisez la commande snmp-server host en mode de configuration global pour spéci- fier de transmettre les notifications SNMP soit comme des traps soit comme des informs. Le tableau suivant décrit les traps supportés par le commutateur (notifications types). Vous pouvez valider un de ces traps ou tous et configurer un trap manager pour les recevoir. Type de notification (mot-clé) Description bridge Génère des traps MIB STP bridge. cluster Génère un trap quand la configuration du cluster change. config Génère un trap pour les modifications de configuration SNMP. copy-config Génère un trap pour les modifications de copie de configuration SNMP. entity Génère un trap pour les modifications d'entité SNMP. envmon Génère des traps du moniteur d'environnement. Vous pouvez valider tout ou partie de ces traps d'environnement: ventilateur, arrêt, état, alimentation, température. errdisable Génère un trap pour un port VLAN errdisabled. Vous pouvez également limiter nombre maximum de trap par minute. L'intervalle va de 0 à 10000; la valeur par défaut est 0 ce qui signifie qu'il n'y à pas de limite. flash Génère des notifications SNMP FLASH. hsrp Génère un trap pour des changements Hot Standby Router Protocol (HSRP). ipmulticast Génère un trap pour des changements dans le routage IP multicast. mac-notification Génère un trap pour des notifications d'adresses MAC. msdp Génère un trap pour des changements de Multicast Source Discovery Protocol (MSDP). ospf Génère un trap pour des changements dans Open Shortest Path First (OSPF). Vous pouvez valider tout ou partie de ces traps: spécifique Cisco, erreurs, link-state advertisement, limite de débit, retransmission et changements d'état.

snmp-server host host-addr informs. Mot-clé Type de notification Description pim Génère un trap pour des changements PIM (Protocol Indepen- dent Multicast). Vous pouvez valider un ou tous ces traps: Messages PIM invalides, changements de voisin et change- ments de correspondance de RP (Rendez-vous Point). port-security Génère un trap SNMP pour la sécurité de port. Vous pouvez également fixer un nombre maximum de trap par seconde. L'intervalle est compris de 1 à 1000; La valeur par défaut est 0 ce qui indique qu'il n'y a pas de limite. rtr Génère un trap pour le Response Time Reporter SNMP. snmp Génère un trap pour des notifications SNMP-type pour l'authentification, démarrage à froid, démarrage à chaud, liaison up ou liaison down. storm-control Génère un trap SNMP pour le storm-control. Vous pouvez également fixer un nombre maximum de traps par seconde. L'intervalle va de 0 à 1000; la valeur par défaut est 0 (aucune limite imposée; un trap est transmis à chaque occurrence). stpx Génère des traps SNMP STP Extended MIB. syslog Génère des traps SNMP syslog. tty Génère a trap pour les connexions TCP. Ce trap est validé par défaut. vlan-membership Génère a trap SNMP pour des modifications d'appartenance à un VLAN. vlancreate Génère des traps SNMP de création de VLAN. vlandelete Génère des traps SNMP d'effacement de VLAN. vtp Génère un trap pour des modifications dans le VLAN Trunking Protocol (VTP). Note: Bien que visibles dans l'aide de la ligne de commande, les mots-clés cpu [threshold], insertion et removal ne sont pas supportés. Valider l'émission des notifications inform de SNMP, utilisez la commande snmp-server enable traps en mode de configuration global combinée avec la commande de configuration globale snmp-server host host-addr informs. Vous pouvez utiliser la commande de configuration globale snmp-server host pour spécifier qu'un host particulier reçoive les types de notifications listés dans la table précédente.

En débutant en mode EXEC privilégié, suivre ces étapes pour configurer le commuta- teur pour qu'il transmette des traps et des "informs" vers un host. Commande Fonction configure terminal Entrée en mode de configuration global snmp-server engineID remote ip-address engineid-string Spécifie l'engine ID pour le host distant. snmp-server user username groupname { remote host [udp-port port]} {v1 [access access-list]|v2c [access access-list]| v3 [encrypted] [access access-list] [auth {md5|sha} auth-password]} Configure un utilisateur qui sera associé au host distant crée à l'étape précédente Note: Vous ne pouvez pas configurer un utilisa- teur distant pour une adresse sans avoir d'abord configuré l'engine ID pour le host distant sinon vous avez un message d'erreur et la commande n'est pas exécutée. snmp-server group [groupname { v1|v2c|v3 {auth|noauth|priv}}] [read readview] [write writeview] [notify notifyview]|v2c [access access-list] [access access-list] Configure un groupe SNMP. snmp-server host host-addr [informs|traps] [version {1|2c|3 {auth|noauth|priv}}] community-string [notification-type] Spécifie le receveur des messages trap. ● Pour host-addr, spécifier le nom ou l'adresse IP du host (le receveur). ● (Optionnel) Entrez informs pour transmettre des "informs" SNMP vers le host. ● (Optionnel) Entrez traps (par défaut) pour transmettre des traps SNMP vers le host. ● (Optionnel) Spécifiez la version SNMP (1, 2c, 3). SNMPv1 n'utilise pas les "informs". ● (Optionnel) Pour la Version 3, sélectionnez le niveau d'authentification auth, noauth ou priv. Note: Le mot-clé priv est disponible seulement si l'image logicielle avec cryptage est installée. ● Pour community-string quand version 1 ou version 2c est spécifié, entrez le nom de communauté comme mot de passe qui est trans mis avec la notification. Quand la version 3 est spécifiée, entrez le nom d'utilisateur SNMPv3. ● (Optionnel) Pour notification-type, utilisez les mots-clés listés dans le tableau précédent. Si aucun type n'est spécifié, toutes les notifica- tions sont transmises.

Commande Fonction snmp-server enable traps notification-type Autorise le commutateur à transmettre des traps ou des "informs" et spécifie le type de notification à transmette. Pour avoir la liste des type de no- tifications, voir le tableau précédent ou entrez snmp-server enable traps ?. Pour valider plusieurs types de traps, vous devez entrer une commande snmp-server enable traps pour chaque type de trap. snmp-server trap-source interface-id (Optionnel) Spécifiez l'interface source qui fournit l'adresse IP pour le message trap. Cette commande fixe également l'adresse IP source pour les informs. snmp-server queue-length length (Optionnel) Etablit la longueur de la file d'attente du host pour chaque trap. L'intervalle va de 1 à 1000, la valeur par défaut est 10. snmp-server trap-timeout seconds (Optionnel) Définit la fréquence de reémission des messages traps. L'intervalle va de 1 à 1000, la valeur par défaut est 30 secondes. end Retour en mode EXEC privilégié. show running-config Vérification de la configuration copy running-config startup-config (Optionnel) Sauvegarde de la configuration La commande snmp-server host spécifie quels hosts doivent recevoir les notifications. la commande snmp-server enable trap valide globalement le mécanisme pour les no- tifications spécifiées (traps et "informs"). Pour permettre à un host de recevoir un "in- form", vous devez utiliser la commande snmp-server host informs pour le host et va- lider globalement les informs en utilisant la commande snmp-server enable traps. Pour arrêter la réception des traps par le host spécifié, utilisez la commande no snmp -server host host en mode configuration global. La commande no snmp-server host sans mot-clé dévalide les traps vers le host mais pas les informs. Pour dévalider les informs, utilisez la commande no snmp-server host informs en mode de configura- tion global. Pour dévalider un type de trap spécifique, utilisez la commande no snmp -server enable traps notification-types en mode de configuration global.

Configurer l'information de localisation et le "Contact Agent" Depuis le mode EXEC privilégié, suivre ces étapes pour paramétrer le contact système et la localisation de l'agent SNMP pour que ces destinations soient accessibles au tra- vers du fichier de configuration. Commande Fonction configure terminal Entrée en mode de configuration global snmp-server contact text Paramètre le nom du contact système. Par exemple: snmp-server contact Appel opérateur par 06303135 snmp-server location text Paramètre la localisation du système. Par exemple: snmp-server location Bâtiment 5 Etage 1 LTN1 end Retour en mode EXEC privilégié show running-config Vérification de la configuration copy running-config startup-config (Optionnel) Sauvegarde de la configuration

Limiter les serveurs TFTP utilisés avec SNMP Depuis le mode EXEC privilégié, suivre ces étapes pour limiter les serveurs TFTP utili- sés pour sauvegarder et charger les fichiers de configuration au travers de SNMP aux serveurs spécifiés dans la liste d'accès. Commande Fonction configure terminal Entrée en mode de configuration global. snmp-server server tftp-server-list access-list-number Limite les serveurs TFTP pour les copies de fichiers de configuration avec SNMP vers les serveurs de la liste d'accès.. Pour access-list-number entrez un numéro de liste d'accès standard de 1 à 99 et 1300 à 1399. acces-list access-list-number { deny| permit} source [source-wilcard] Crée une liste d'accès IP . • Pour access-list-number, entrez le numéro de liste d'accès à l'étape 2. • Le mot-clé deny refuse l'accès si les conditions sont satisfaites. Le mot-clé permit permet l'accès si les conditions sont satisfaites. • Pour source, entrez les adresses IP des serveurs TFTP qui peuvent accéder au commutateur. • (Optionnel) Pour source-wildcard, entrez les bits du masque générique à appliquer à la source. Il faut se rappeler que la liste d'accès est toujours terminée par une instruction deny all implicite. end Retour en mode EXEC privilégié show running-config Vérification de la configuration copy running-config startup-config (Optionnel) Sauvegarde de la configuration

Exemples SNMP Cet exemple montre comment valider SNMPv1 et SNMPv2c. La configuration permet à tout manager SNMP d'accéder à tous les objets avec les permissions read-only en utilisant la communauté public. Cette configuration n'entraine pas de génération de traps de la part du commutateur. Switch(config)# snmp-server community public Cet exemple montre comment autoriser tout manager SNMP à accéder à tous les objets avec la permission read-only et en utilisant la communauté public. Le commu- tateur transmet également des traps VTP aux hosts 192.180.1.111 et 192.180.1.33 en utilisant SNMPv1 et au host 192.180.1.27 en utilisant SNMPv2c. Le nom de com- munauté public est transmis avec les Traps. Switch(config)# snmp-server community public Switch(config)# snmp-server enable traps vtp Switch(config)# snmp-server host 192.180.1.27 version 2c public Switch(config)# snmp-server host 192.180.1.111 version 1 public Switch(config)# snmp-server host 192.180.1.33 public Cet exemple montre comment autoriser l'accès en lecture uniquement à tous les membres de la liste d'accès 4 qui utilise le nom de communauté comaccess. Aucun autre manager SNMP n'a accès aux objets. Les traps SNMP Authentication Failure sont transmis avec SNMPv2c au host cisco.com avec le nom de communauté public. Switch(config)# snmp-server community comaccess ro 4 Switch(config)# snmp-server enable traps snmp authentication Switch(config)# snmp-server host cisco.com version 2c public Cet exemple montre comment transmettre les traps "Entity MIB" au host cisco.com. Le nom de communauté est restricted. La première ligne permet au commutateur de transmettre les traps "Entity MIB" en plus de tous les traps validés précédemment. La deuxième ligne spécifie la destination de ces traps et outrepasse toutes les com- mandes snmp-server host précédentes pour le host cisco.com. Switch(config)# snmp-server enable traps entity Switch(config)# snmp-server host cisco.com restricted entity Cet exemple montre comment autoriser le commutateur à transmettre tous les traps au host myhost.cisco.com avec le nom de communauté public. Switch(config)# snmp-server enable traps Switch(config)# snmp-server host myhostcisco.com public

Cet exemple montre comment associer un utilisateur à un host distant et à transmet- tre le niveau d'authentification des informs auth (authPriv) quand l'utilisateur entre en mode de configuration global. Switch(config)# snmp-server engineID remote 192.180.1.27 00000063000100a1c0b4à11b Switch(config)# snmp-server group authgroup v3 auth Switch(config)# snmp-server user authuser authgroup remote 192.180.1.27 v3 auth md5 mypassword Switch(config)# snmp-server user authuser authgroup v3 auth md5 mypassword Switch(config)# snmp-server host 192.180.1.27 informs version 3 auth authuser config Switch(config)# snmp-server enable traps Switch(config)# snmp-server informs retries 0 Afficher l'état de SNMP Pour afficher les statistiques d'entrée et de sortie de SNMP y compris le nombre d'en- trées de noms de communauté illégaux, les erreurs et les variables demandées, utilisez la commande show snmp en mode de commande EXEC privilégié. Vous pouvez égale- ment utilisez les autres commandes en mode EXEC privilégié pour afficher des infor- mations sur SNMP. Commande Fonction show snmp Affiche les statistiques SNMP. show snmp engineID [local|remote] Affiche des informations sur la machine SNMP locale et toutes les machines SNMP distantes qui ont été configurées sur l'équipement. show snmp group Affiche des informations sur tous les groupes SNMP du réseau. show snmp pending Affiche des informations sur les requêtes SNMP en attente. show snmp sessions Affiche des informations sur tous les sessions SNMP courantes. show snmp user Affiche des informations sur tous les noms d'utilisateurs SNMP dans la table des utilisa- teurs SNMP.