SNMP

SNMP

 

Introduction


SNMP = Simple Network Management Protocol

  • UDP 161 / 162

 

Il existe deux rôles SNMP :

  • SNMP Manager (Serveur de supervision)
  • SNMP Agent (Processus présent sur nos équipements à superviser)

Le manager SNMP va intérroger les agents SNMP afin de récupérer l’état de santé de l’équipement sur le quel il est installé.

L’agent SNMP va interroger sa base donnée MIB afin d’avoir ses informations.

Chaque équipements possède une MIB. (Management Information Base)

Cette MIB est une base de donnée qui contient tout les états de notre équipement actif (Charge CPU, état des ports, Utilisation de la mémoire, etc )

Chaque état correspond à un OID (Object Identifier)

Exemple : pour la charge CPU d’un équipement CISCO, son OID sera : .1.3.6.1.4.1.9.2.1.58

142741

Les numéros OID sont normalisées !! le numéro 1.3.6.1.4.1.9.2.1.58 correspondra toujours à la charge CPU d’un équipement réseau CISCO.

Comme tout protocole qui se respecte, le SNMP existe en plusieurs versions :

  • SNMP v1
    • Apparition en 1990
    • Présence de « communauté »
    • Pas de sécurité (Pas d’authentification, la communauté passe en clair sur le réseau, l’information demandé n’est pas chiffé)
  • SNMP v2
    • Apparition en 1993
    • Création de notification (Traps)
    • Ajout de la commande « GetBulk » (Cette commande de mettre plusieurs informations dans une même Trame)

Plusieurs versions existe pour la version 2, la plus utilisé est la version v2c (community)

  • SNMP v3
    • Login/mot de passe
    • Sécurisé

 

Configuration de l’agent SNMP


 

SNMP v2C


 

La version la plus utilisé au monde à l’heure ou je vous parle est la version v2c, Nous allons donc voir comment la mettre en place de façon sécurisé :

router(config)#snmp-server enable

                         Activation du SNMP

router(config)#snmp version 2c

                         Utilisation de la version V2C

router(config)#access-list 2 permit host 192.168.0.1

2 = numéro de votre ACL

192.168.0.1 = Adresse IP de votre Serveur SNMP

router(config)#deny any log

                        Création d’une ACL afin d’autorisé uniquement notre serveur à interroger notre équipement actif

router(config)#snmp-server community Finger RO 2

Finger = Nom de votre communauté

RO =  Read Only (Le serveur pourra uniquement interrogé notre équipement, il ne pourra pas lui donner d’ordre, genre s’éteindre)

2 = le numéro de votre ACL

router(config)#snmp-server enable traps

Activation des traps, il envoi au serveur tout changement

router(config)#snmp-server host 192.168.0.1 Finger

192.168.0.1 = Adresse IP du serveur de supervision

Finger = Communauté

Notre équipement actif est sécurisé 🙂

 

SNMP v3


Nous avons vu plus haut que le SNMPv3 permet de mettre en place de l’authentification. Afin de pouvoir le paramétrer , il va falloir définir :

– La configuration du groupe SNMPv3

via la commande snmp-server group

– La configuration de l’authentification du Manager SNMP

via la commande snmp-server user

– L’Identification du Manager SNMP

via la commande snmp-server host

 

La configuration du groupe SNMPv3


Elle se fait via la commande suivante :

router(config)#snmp-server group Finger v3 auth write v1default

Finger = nom du groupe à définir

– v3 = Version SNMP

– auth = 3 Choix possible :

– noauth = Pas d’authentification / Echange non crypté

– auth = Présence d’authentification / Echange non crypté

– privPrésence d’authentification / Echange crypté

Le mode priv est disponible uniquement avec les IOS supportant la cryptographie.

write = 2 Choix possible :

read = Accès à la MIB uniquement en lecture

write = Accès à la MIB en lecture / écriture

v1default = Il est possible de sécurisé notre MIB en autorisant ou non l’accès en Read ou Read/write à certains OID via un nom de groupe View . Par défaut, le groupe view v1default n’à pas de restriction.

 

La configuration de l’authentification du Manager SNMP 


Cette étape permet de configurer un login / mot de passe pour notre manager SNMP. Elle se fait via la commande suivante :

router(config)#snmp-server user EyesOfNetwork Finger v3 auth md5 P@ssw0rd

– EyesOfNetwork = nom de connexion / Login

groupname = nom du groupe précédement configurer

– v3 = version SNMP

– auth = définition de l’authentification

– md5 (ou sha) = cryptage utilisé pour l’authentification

P@ssw0rd = Mot de passe de connexion du manager SNMP

 

L’Identification du Manager SNMP


 

Cette étape permet d’identifier (via une adresse IP) le serveur de supervision aillant l’agent « manager SNMP ».

Cela se fait via la commande :

router(config)#snmp-server host 192.168.0.1 version 3 auth EyesOfNetwork

192.168.0.1 = Adresse IP du serveur de supervision

– version 3 = version SNMP

– auth (ou noauth ou priv) = Type d’échanges entre l’agent SNMP et le manager SNMP.

– noauth = Pas d’authentification / Echange non crypté

– auth = Présence d’authentification / Echange non crypté

– privPrésence d’authentification / Echange crypté

– EyesOfNetwork = username précédement configuré

 

Configuration du manager SNMP


 

Maintenant, il faut installé un serveur de supervison, je vous conseille fortement EyesOfNetwork !! Gratuit et Francais 🙂

EyesOfNetwork

synopsys

eon-exemple

 

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

2 thoughts on “SNMP”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *