Apprendre à Configurer et Vérifier SNMP

Apprendre à Configurer et Vérifier SNMP

Cet article ainsi que des prochains articles porteront sur les outils utilisés pour surveiller, gérer et maintenir les routeurs et les commutateurs. Pour la surveillance des périphériques, nous expliquons comment configurer et vérifier le protocole SNMP (Simple Network Management Protocol), syslog et le protocole NTP (Network Time Protocol).

Pour la gestion des périphériques, nous passons en revue la sauvegarde et la restauration de la configuration de votre périphérique et des licences Cisco IOS.

Pour la maintenance des périphériques, nous passons en revue la gestion du système de fichiers, les mises à niveau Cisco IOS et la récupération des mots de passe.

Fonctionnement SNMP

SNMP est un protocole de couche d’application qui fournit un format de message pour la communication entre les gestionnaires et les agents.

Composants SNMP

Le système SNMP se compose de trois éléments :

  • Gestionnaire SNMP
  • Agents SNMP (nœud géré)
  • Base d’information de gestion (BIM)

Messages SNMP

Le gestionnaire SNMP fait partie d’un système de gestion de réseau (NMS) et utilise un logiciel de gestion SNMP. Les agents SNMP sont les appareils gérés. La MIB stocke les variables SNMP. SNMP utilise trois messages de base entre les gestionnaires SNMP et les agents.

Le gestionnaire SNMP utilise les messages get pour interroger un périphérique afin d’obtenir des informations et configurer les messages pour modifier un paramètre du périphérique. Un agent SNMP peut indépendamment avertir le NMS lorsqu’un problème survient en utilisant des traps SNMP.

Par exemple, SNMP peut surveiller l’utilisation du CPU sur un routeur Cisco. Le NMS peut échantillonner cette valeur périodiquement et avertir l’administrateur réseau lorsque la valeur s’écarte de la valeur de base.

Un agent SNMP peut également être configuré pour envoyer un message trap lorsque l’utilisation du CPU s’écarte des valeurs normales pour le réseau. Le tableau A résume les actions get et set.

Tableau A – Les opérations SNMP get et set

OpérationDescription
get-requestRécupère une valeur d'une variable spécifique.
get-next-requestRécupère une valeur d'une variable dans une table. Le gestionnaire SNMP n'a pas besoin de connaître le nom exact de la variable. Une recherche séquentielle est effectuée pour trouver la variable nécessaire à partir d'une table.
get-bulk-requestRécupère de grands blocs de données, tels que plusieurs lignes dans un tableau, qui nécessiteraient autrement la transmission de nombreux petits blocs de données. (Cela ne fonctionne qu'avec SNMPv2 ou une version ultérieure.
get-responseRépond à get-request, get-next-request, ou set-request envoyées par un NMS.
set-requestMémorise une valeur dans une variable spécifique.

Versions SNMP

Il existe plusieurs versions de SNMP :

SNMPv1 : Le protocole de gestion de réseau simple défini dans le RFC 1157.

SNMPv2c : Défini dans les RFC 1901 à 1908. Utilise un framework administratif communautaire basé sur des chaînes de caractères.

SNMPv3 : Protocole interopérable basé sur des normes définies à l’origine dans les RFC 2273 à 2275. Fournit un accès sécurisé aux périphériques en authentifiant et en chiffrant les paquets sur le réseau.

SNMPv1 et SNMPv2c utilisent des chaînes communautaires qui contrôlent l’accès au MIB. Les chaînes communautaires sont des mots de passe en texte clair. Il existe deux types de chaînes communautaires :

Lecture seule (ro) : Permet d’accéder aux variables MIB mais ne permet pas de modifier ces variables (lecture seule)

Lecture-écriture (rw) : Permet d’accéder en lecture et en écriture à tous les objets du MIB

La base d’information de gestion

La MIB organise les variables de façon hiérarchique. Les variables MIB permettent au logiciel de gestion de surveiller et de contrôler le périphérique réseau. Formellement, la MIB définit chaque variable comme un ID d’objet (OID).

Les OID identifient de manière unique les objets gérés dans la hiérarchie MIB. La MIB organise les OIDs basés sur les standards RFC en une hiérarchie d’OIDs, généralement représentée par un arbre.

Les RFC définissent certaines variables publiques communes. La figure A montre des parties de la structure MIB définie par Cisco Systems.

Figure A - ID des objets de la base d'information de gestion
Figure A – ID des objets de la base d’information de gestion

Notez comment l’OID peut être décrit par des mots ou des chiffres pour aider à localiser une variable particulière dans l’arbre. Par exemple, les OID appartenant à Cisco sont numérotés comme suit : iso (1). org (3).dod (6).internet (1).private (4).enterprises (1).cisco (9). Ceci est affiché ou configuré comme 1.3.6.1.4.1.9.

Une façon de démontrer l’utilisation de ces OIDs est de voir comment ils peuvent être implémentés dans l’utilitaire gratuit SNMPGET.

L’exemple A montre comment configurer SNMPGET pour obtenir une moyenne mobile exponentielle de 5 minutes du pourcentage d’occupation du CPU à partir d’un routeur.

Exemple A – Obtention d’une valeur MIB avec SNMPGET

[13:22][cisco@NMS~ ]$ snmpget -v2c -c community 10.250.250.14 1.3.6.1.4.1.9.2.1.58.0
SNMPv2-SMI::enterprises.9.2.1.58.0 = INTEGER: 11

Le texte en gras montre une commande assez longue avec plusieurs paramètres en surbrillance :

  • -v2c : La version de SNMP utilisée
  • -c community: Le mot de passe SNMP, appelé chaîne communautaire
  • 10.250.250.14 : Adresse IP de l’appareil surveillé
  • 1.3.6.1.4.1.9.2.1.58.0 : L’OID numérique de la variable MIB

La dernière ligne indique la réponse. La sortie affiche une version abrégée de la variable MIB. Il indique ensuite la valeur réelle de l’emplacement de la MIB ; dans cet exemple, cela signifie que l’UC est à 11 % d’utilisation.

Configuration de SNMP

Configurer SNMP Version 2c sur un routeur ou un commutateur Cisco ne nécessite qu’une seule commande de configuration globale : snmp-server community. Les étapes suivantes incluent quelques commandes optionnelles :

Étape 1. (Obligatoire) Configurer la chaîne communautaire et le niveau d’accès (lecture seule ou lecture-écriture) avec la chaîne communautaire snmp-server {RO|RW} commande globale.

Étape 2. (Facultatif) Documenter l’emplacement de l’appareil à l’aide de la commande de configuration globale snmp-server location text-describing-location.

Étape 3. (Facultatif) Documenter l’emplacement de l’appareil à l’aide de la commande de configuration globale snmp-server contact contact-name.

Étape 4. (Facultatif) Restreindre l’accès SNMP aux hôtes NMS autorisés par une liste de contrôle d’accès (ACL) en définissant une ACL et en référençant l’ACL sur la commande de configuration globale de la chaîne snmp-server community string acl.

L’exemple B montre comment utiliser les commandes obligatoires et facultatives.

Exemple B – Configuration de SNMP Version 2c pour l’accès en lecture seule

R1(config)# ip access-list standard SNMP_ACCESS
R1(config-std-nacl)# permit host 172.16.3.110
R1(config-std-nacl)# exit
R1(config)# snmp-server community 4md!n0n1y RO SNMP_ACCESS
R1(config)# snmp-server location Austin, TX
R1(config)# snmp-server contact Bob Smith
R1(config)# end

 

Vérification de SNMP

Pour vérifier la configuration SNMP, utilisez la commande show snmp (voir exemple C).

Exemple C – Vérification de SNMP

R1# show snmp
Chassis: FTX1636848Z
Contact: Bob Smith
Location: Lima, OH
   0 SNMP packets input
   0 Bad SNMP version errors
   0 Unknown community name
   0 Illegal operation for community name supplied
   0 Encoding errors
   0 Number of requested variables
   0 Number of altered variables
   0 Get-request PDUs
   0 Get-next PDUs
   0 Set-request PDUs
   0 Input queue packet drops (Maximum queue size 1000)
359 SNMP packets output
   0 Too big errors (Maximum packet size 1500)
   0 No such name errors
   0 Bad values errors
   0 General errors
   0 Response PDUs
359 Trap PDUs
SNMP Dispatcher:
   queue 0/75 (current/max), 0 dropped
SNMP Engine:
   queue 0/1000 (current/max), 0 dropped


SNMP logging: enabled
   Logging to 172.16.3.10, 0/10, 359 sent, 0 dropped.

La sortie de la commande show snmp n’affiche pas les informations relatives à la chaîne de communauté SNMP ou à l’ACL associée (le cas échéant).

L’exemple D affiche la chaîne de communauté SNMP et les informations ACL, en utilisant la commande show snmp community.

Exemple D – Vérification des chaînes communauté SNMP

R1# show snmp community


Community name: ILMI
Community Index: cisco0
Community SecurityName: ILMI
storage-type: read-only active


Community name: 4md!n0n1y
Community Index: cisco7
Community SecurityName: 4md!n0n1y
storage-type: nonvolatile active access-list: SNMP_ACCESS


Community name: 4md!n0n1y
Community Index: cisco8
Community SecurityName: 4md!n0n1y
storage-type: nonvolatile active
access-list: SNMP_ACCESS

 

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image