Protocole SNMP

SNMP = Protocole de Supervision

SNMP = Protocole de Supervision

SNMP = Simple Network Management Protocol

UDP 161 / 162

Il existe deux rôles SNMP :

SNMP Manager (Serveur de supervision).
SNMP Agent (Processus présent sur nos équipements à superviser).

Le manager SNMP va interroger les agents SNMP afin de récupérer l’état de santé de l’équipement sur lequel il est installé.
L’agent SNMP va interroger sa base donnée MIB afin d’avoir ses informations.
Chaques équipements possèdent une MIB. (Management Information Base).
Cette MIB est une base de données qui contient tous les états de notre équipement actif (Charge CPU, état des ports, utilisation de la mémoire, etc. ).
Chaque état correspond à un OID (Object Identifier)

Exemple : pour la charge CPU d’un équipement CISCO, son OID sera : .1.3.6.1.4.1.9.2.1.58

SNMP - OID

SNMP – OID

Les numéros OID sont normalisées !! le numéro 1.3.6.1.4.1.9.2.1.58 correspondra toujours à la charge CPU d’un équipement réseau CISCO.

Comme tout protocole qui se respecte, il existe en plusieurs versions :

SNMPv1

– Apparition en 1990 ;
– Présence de « communauté » ;
– Pas de sécurité (Pas d’authentification, la communauté passe en clair sur le réseau, l’information demandée n’est pas chiffrée).

SNMPv2

– Apparition en 1993 Création de notification (Traps) ;
– Ajout de la commande « GetBulk » (Cette commande de mettre plusieurs informations dans une même trame) ;
– Plusieurs versions existes pour la version 2, la plus utilisée est la version v2c (community).

SNMPv3

– Login/mot de passé ;
– Sécurisé.

 

Configuration de l’agent SNMP


SNMPv1


Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 Finger

2 = numéro de votre ACL ;
192.168.0.1 = Adresse IP de votre Serveur SNMP.

Finger = Nom de votre communauté
RO =  Read Only (Le serveur pourra uniquement interroger notre équipement, il ne pourra pas lui donner d’ordre, genre s’éteindre)

Activation des traps, il envoie au serveur tout changement

Router(config)# snmp-server enable traps

 

SNMPv2C


La version la plus utilisé au monde à l’heure ou je vous parle est la version v2c, Nous allons donc voir comment la mettre en place de façon sécurisé : 

Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 version 2c Finger

2 = numéro de votre ACL ;
192.168.0.1 = Adresse IP de votre Serveur SNMP.

Finger = Nom de votre communauté
RO =  Read Only (Le serveur pourra uniquement interroger notre équipement, il ne pourra pas lui donner d’ordre, genre s’éteindre)

Activation des traps, il envoie au serveur tout changement

Router(config)# snmp-server enable traps

 

SNMPv3


Nous avons vu plus haut que le SNMPv3 permet de mettre en place de l’authentification. Afin de pouvoir le paramétrer , il va falloir définir :

– La configuration du groupe SNMPv3.

via la commande snmp-server group.

– La configuration de l’authentification du Manager SNMP.

via la commande snmp-server user.

– L’Identification du Manager SNMP.

via la commande snmp-server host.

Router(config)# snmp-server group Finger v3 auth write v1default
Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5 P@ssw0rd
Router(config)# snmp-server host 192.168.0.1 version 3 auth EyesOfNetwork

On vas détailler un peu tout ça.

 

La configuration du groupe SNMPv3


Elle se fait via la commande suivante :

Router(config)# snmp-server group Finger v3 auth write v1default

Finger = nom du groupe à définir
– v3 = Version SNMP
– auth = 3 Choix possible :

– noauth = Pas d’authentification / Echange non crypté
– auth = Présence d’authentification / Echange non crypté
– privPrésence d’authentification / Echange crypté

Le mode priv est disponible uniquement avec les IOS supportant la cryptographie.

write = 2 Choix possible :

read = Accès à la MIB uniquement en lecture
write = Accès à la MIB en lecture / écriture

v1default = Il est possible de sécurisé notre MIB en autorisant ou non l’accès en Read ou Read/write à certains OID via un nom de groupe View . Par défaut, le groupe view v1default n’a pas de restriction.

 

La configuration de l’authentification du Manager SNMP


Cette étape permet de configurer un login / mot de passe pour notre manager SNMP. Elle se fait via la commande suivante :

Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5 P@ssw0rd

– EyesOfNetwork = nom de connexion / Login
groupname = nom du groupe précédemment configurer
– v3 = version SNMP
– auth = définition de l’authentification
– md5 (ou sha) = cryptage utilisé pour l’authentification
P@ssw0rd = Mot de passe de connexion du manager.

 

L’Identification du Manager SNMP


Cette étape permet d’identifier (via une adresse IP) le serveur de supervision aillant l’agent « manager SNMP ».

Cela se fait via la commande :

Router(config)# snmp-server host 192.168.0.1 version 3 auth EyesOfNetwork

192.168.0.1 = Adresse IP du serveur de supervision
– auth (ou noauth ou priv) = Type d’échanges entre l’agent et le manager.

– noauth = Pas d’authentification / Echange non crypté
– auth = Présence d’authentification / Echange non crypté
– privPrésence d’authentification / Echange crypté

– EyesOfNetwork = username précédemment configuré

 

Configuration du manager SNMP


Maintenant, il faut installer un serveur de supervision, je vous conseille fortement EyesOfNetwork !! gratuit et français 🙂

EyesOfNetwork

EyesOfNetwork - Synopsys

EyesOfNetwork – Synopsys

EyesOfNetwork - Exemple

EyesOfNetwork – Exemple

En espérant que cet article vous a été utile ! Hésitez pas à me la faire savoir !!

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

1
Poster un Commentaire

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
kayoumt
Invité
kayoumt

Félicitations !

Merci pour la référence à https://www.eyesofnetwork.com/. J’ai déjà essayé d’installer SNMP server ; j’avais peiné à trouver un outil gratuit.