D-Link • Просмотр темы - DES-3200-c1 и cacti SNMP v3

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-c1 и cacti SNMP v3

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 3 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Maksel

Заголовок сообщения: DES-3200-c1 и cacti SNMP v3

Добавлено: Чт окт 15, 2015 18:09

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA

есть проблема и не могу сам решить.
Настроил один коммутатор на общий для меня конфиг. для упраления по сети использую SNMP v3
потом этот же конфиг заливаю в другой коммутатор создаю.
в cacti создаю новое устройство, ввожу те же данные user mrtg3m cacti показывает информацию от свитче. имя , время работы, модель. достает информацию по потам, но сами графики не строит.
Думал проблема в кактусе, но если использовать snmp v2 - все рисует, и если сбросить коммутатор на заводские настройки и все данные настроить заново руками - графики рисует.

вот часть конфига.
до этого использовал MRTG проблем небыло, перешел на кактус - и получил сюрприз.
может тут какой ти прикол как с ssh после обновление прошивки меняются ключи.

что такое engineID 800000ab03ec2280affc50 - зачем оно надо. получается оно дублируется с другого коммутатора.

Код:

# SNMPv3

delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
delete snmp view restricted all
delete snmp view CommunityView all
config snmp engineID 800000ab03ec2280affc50
create snmp view restricted 1.3.6.1.2.1.1 view_type included
create snmp view restricted 1.3.6.1.2.1.11 view_type included
create snmp view restricted 1.3.6.1.6.3.10.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.11.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.15.1.1 view_type included
create snmp view CommunityView 1 view_type included
create snmp view CommunityView 1.3.6.1.6.3 view_type excluded
create snmp view CommunityView 1.3.6.1.6.3.1 view_type included
create snmp group v3RW v3  auth_priv read_view CommunityView write_view CommunityView
create snmp group v3Rm v3  auth_nopriv read_view CommunityView
create snmp group public v1 read_view CommunityView notify_view CommunityView
create snmp group public v2c read_view CommunityView notify_view CommunityView
create snmp group initial v3  noauth_nopriv read_view restricted notify_view restricted
create snmp group private v1 read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp group private v2c read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp community private view CommunityView read_write
create snmp community public view CommunityView read_only
create snmp user pub3 v3RW encrypted by_key auth md5 ------ priv des -----
create snmp user mrtg3m v3Rm encrypted by_key auth md5 9----- priv none
disable community_encryption

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Вернуться наверх

bionic

Заголовок сообщения: Re: DES-3200-c1 и cacti SNMP v3

Добавлено: Чт окт 15, 2015 19:15

Зарегистрирован: Пн фев 04, 2013 18:24
Сообщений: 167
Откуда: Санкт-Петербург

Maksel писал(а):

может тут какой ти прикол как с ssh после обновление прошивки меняются ключи.

Вы недалеки от истины. Согласно RFC3414 https://tools.ietf.org/html/rfc3414, engineID должен быть уникальным для каждого устройства:

Each SNMP engine maintains a value, snmpEngineID, which uniquely identifies the SNMP engine.

На странице помощи системы мониторинга Zabbix https://www.zabbix.com/documentation/2.0/ru/manual/config/items/itemtypes/snmp об этом явно сказано:

Если мониторите устройства по SNMPv3, убедитесь что msgAuthoritativeEngineID (также известное как snmpEngineID или “Engine ID”) никогда не будет общим для двух устройств. Оно должно быть уникальным для каждого устройства.

В то же самое время у D-Link значение Engine ID используется для вычисления хеша пароля snmpv3 пользователя, а это значит что для корректной работы (согласно RFC) по snmpv3 протоколу нельзя заливать один и тот же конфиг на разные коммутаторы. Более того, необходимо в каждый вновь сконфигурированный коммутатор вручную заводить snmpv3 пользователей с задание паролей в открытом виде, т.к. уникальный engineID + одинаковый пароль = разный хеш. Алгоритм хеширования компания D-Link не раскрывает.

Но это ещё не всё. Также D-Link не поддерживает snmpEngineBoots, хотя в RFC3414 сказано:

Each SNMP engine maintains two values, snmpEngineBoots and snmpEngineTime, which taken together provide an indication of time at that SNMP engine. Both of these values are included in an authenticated message sent to/received from that SNMP engine. On receipt, the values are checked to ensure that the indicated timeliness value is within a Time Window of the current time.

Подробнее см.
viewtopic.php?f=2&t=44511
viewtopic.php?f=2&t=166236

Использовать ли snmpv3 для работы с продукцией D-Link - решать Вам.

Вернуться наверх

Maksel

Заголовок сообщения: Re: DES-3200-c1 и cacti SNMP v3

Добавлено: Сб окт 17, 2015 16:11

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA

Огромное спасибо за разъяснение.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 3 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 180

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения