faq обучение настройка
Текущее время: Вт июл 29, 2025 16:12

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
СообщениеДобавлено: Вт фев 12, 2013 12:50 
Не в сети

Зарегистрирован: Пт апр 18, 2008 14:57
Сообщений: 71
DES-3528 Firmware Version Build 3.00.B020

create snmp view CommunityView 1 view_type included
create snmp group GolasGroup v3 auth_priv read_view CommunityView

=================================================
просчитываем MD5 для пароля "mypasssss"
perl -MDigest::MD5 -e 'print Digest::MD5::md5_hex("mypasssss")."\n";';
- 354fdc4117a97e6d45116308acf485cd
================================================

объявляем учетку
create snmp user myuser GolasGroup encrypted by_key auth md5 354fdc4117a97e6d45116308acf485cd priv des 354fdc4117a97e6d45116308acf485cd
==================================================

пробуем отработать запрос

snmpwalk -u myuser -A mypasssss -l authPriv -X mypasssss -v 3 172.25.12.12 sysUpTime
или так:
snmpwalk -u myuser -A mypasssss -a MD5 -l authPriv -X mypasssss -x DES -e 2223456678 -v 3 172.25.12.12 sysUpTime
е - SNMP Engine ID Settings
В ответ получаем
Authentication failed for myuser
Authentication failed for myuser
Authentication failed for myuser
Authentication failed for myuser
Authentication failed for myuser
Authentication failed for myuser
Timeout: No Response from 172.25.12.12

В чем может быть проблема ?
NET-SNMP version: 5.7.2.rc1.
Gentoo
host45 _python # locale
LANG=ru_RU.UTF-8
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC=POSIX
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASUREMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL=


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 23, 2014 17:03 
Не в сети

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188
Подниму тему. Хотим перевести коммутаторы 3028 3200-28 3528 3120 на версию SNMPv3 с auth_nopriv, какие настройки необходимо ввести ?

Начинаю с пустых настроек:

Код:
DES-3028:5#show snmp community
Command: show snmp community

SNMP Community Table

Community Name                    View Name                         Access Right
-------------------------------  -------------------------------  ------------
SNMP Community Table is empty !

DES-3028:5#show snmp groups
Command: show snmp groups

Vacm Access Table is empty !
DES-3028:5#sh snmp user
Command: show snmp user

SNMP User table is empty !

create snmp community test view CommunityView read_write

DES-3028:5#show snmp community
Command: show snmp community

SNMP Community Table

Community Name                    View Name                         Access Right
-------------------------------  -------------------------------  ------------
test                             CommunityView                    read_write

Total Entries: 1

DES-3028:5#show snmp groups
Command: show snmp groups

Vacm Access Table Settings

Group    Name     : test
ReadView Name     : CommunityView
WriteView Name    : CommunityView
Notify View Name  : CommunityView
Securiy Model     : SNMPv1
Securiy Level     : NoAuthNoPriv

Group    Name     : test
ReadView Name     : CommunityView
WriteView Name    : CommunityView
Notify View Name  : CommunityView
Securiy Model     : SNMPv2
Securiy Level     : NoAuthNoPriv

Total Entries  : 2


Вопрос - почему после созданию community он создает мне еще две группы v1 и v2 ?

Далее создаю группу:

Код:
create snmp group test v3 auth_nopriv read_view CommunityView write_view CommunityView notify_view CommunityView


и пользователя:

Код:
create snmp user test1 test encrypted by_password auth sha 12345678 priv none


По SNMPv3 аутентификация работает, но так же и работает v1 и v2 без шифрования и пароля, просто через community. Может кто нибудь объяснить какие из этих параметров нужны для работы SNMPv3 ? (Хотим опрашивать и изменять параметры в дальнейшем через систему мониторинга по SNMPv3)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 23, 2014 17:47 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Прошу прощения, что встреваю, но меня мучает вопрос:
вы переходите на snmp v3 только ради безопасности?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 23, 2014 17:58 
Не в сети

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188
Ну в общем и это тоже. У нас не используется сейчас доступ по read_write, а разрешать на запись без шифрования не особо хочется. К тому же полно левых клиентских узлов и оборудования которые пытаются опрашивать по разным community в сторону провайдера. Естественно ACL проописаны на запрет опроса в dst наших адресов. + cpu acl

А по моему вопросу, я так предполагаю, что community не указывается. Нужна только группа, юзер и хост ?


create snmp group test v3 auth_nopriv read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp user test1 test encrypted by_password auth sha 12345678 priv none
create snmp host IP v3 auth_nopriv test1


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 23, 2014 18:00 
Не в сети

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188
terrible писал(а):
Прошу прощения, что встреваю, но меня мучает вопрос:
вы переходите на snmp v3 только ради безопасности?


А вы каким образом используете SNMPv2 и защищаете сеть от перехвата community и запрета опроса и изменения вашего оборудования от клиентов ?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 23, 2014 18:27 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
На свичах агрегации (в примере указан 3612):

create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 1-12 permit rx_rate no_limit
create access_profile profile_id 2 ip destination_ip_mask 255.255.0.0
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 172.16.0.0 port 1-12 deny

где 172.16.0.0/16 - management vlan
даже trusted host удалил со свичей доступа


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 23, 2014 18:48 
Не в сети

Зарегистрирован: Чт авг 26, 2010 16:34
Сообщений: 514
Откуда: North KZ south Kokchetav
hsvt писал(а):
А вы каким образом используете SNMPv2 и защищаете сеть от перехвата community и запрета опроса и изменения вашего оборудования от клиентов ?

Менедж влан + немаршрутизируемая сеть


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 12


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB