SNMPv3

با سلام و خسته نباشید به استاد عزیز

من نرم افزار SolarWinds Engineer’s Toolset v9.2 را نصب کرده ام و میخواستم به روتر وصل بشوم هر کاری کردم نشد. در قسمت select router بعد از وارد کردن ip به 2 گزینه بر میخوریم (credentials) کدام را باید انتخاب کنم و چگونه در حالت snmp ver3 کار کنم. آیا روتر هم تنظیم بشود.

با تشکر . علی

پاسخ:

Credentials در شبکه به معنی Username و Password است و در سیسکو علاوه برآن به Enable Secret يا Enable Password نیز نیاز است تا به Privilege Mode دسترسی داشته باشیم.

تنظیم SNMPv3 بسیار ساده است:

snmp-server engineID

snmp-server community mypublic ro

snmp-server group mygroup v3 auth

snmp-server user myuser mygroup v3 auth md5 mypassword

!

snmp-server host 10.1.10.1 version 3 auth mygroup

http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html

حال با این مقدمه دو راه برای تنظیم Solarwinds دارید:

راه حل اول که همیشه جواب میدهد:

Community تنظیم

فراموش نکنید که دستوری که در تصویر بالا در سیسکو وارد شده را تایپ کنید

پس از آن جهت تست میتوانیم Config را download کنیم

solar2

راه حل دو استفاده از snmpv3 برای solarwinds است که در همه برنامه پشتیبانی نمیشود:

به دستورات دقت کنید

solar3

در بخش Authentication گزینه MD5 را انتخاب کنید و پسورد آن mypass است

در بخش encryption طبق تصویر DES را انتخاب کنید در قسمت Key عبارت mypriv را تایپ کنید

برخی از ابزارهای solarwind متاسفانه snmpv3 را پشتیبانی نمیکنند اما با Bandwidth Gauges تست کردم و جواب داد.

~ توسط Shafagh در آوریل 21, 2009.

نوشته شده در IOS Services, پاسخ به پرسش ها

21 پاسخ to “SNMPv3”

  1. با سلام و تشکر از جواب شما
    من باز هم با راهنمایی شما نتونستم به روتر وصل شوم.
    نتونستم فیلدهای برنامه سولاروینز را با تنظیمات اس ان ام پی روی روتر مچ کنم.
    من عکسهای برنامه را براتون میفرستم بی زحمت بفرمایید داخل فیلدها چه اطلاعاتی باید بنویسم.
    با تشکر.

    ali گفت در آوریل 22, 2009 در 1:12 ب.ظ.

  2. فراموش کرده بودم تصاویر را upload کنم لطفا طبق این پست دوباره امتحان کنید. راه حل اول برای شما کافی است و نیازی به دومی ندارید.

    Shafagh گفت در آوریل 25, 2009 در 4:28 ب.ظ.

  3. با سلام …
    آقا یک دنیا ممنون .مرسی..
    خدا نگدارت باشد.

    علی گفت در آوریل 27, 2009 در 12:55 ب.ظ.

  4. با سلام
    دستورات بالا رو انجام دادم.

    show running-config
    snmp-server engineID local 1111111111
    snmp-server group XXXX v3 auth notify *tv.FFFFFFFF.FFFFFFFF.FFFFFFFF
    snmp-server community ADEL RO
    snmp-server ifindex persist
    snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
    snmp-server enable traps isdn call-information
    snmp-server enable traps isdn layer2
    snmp-server enable traps isdn chan-not-avail
    snmp-server enable traps isdn ietf
    snmp-server enable traps hsrp
    snmp-server enable traps config
    snmp-server enable traps entity
    snmp-server enable traps envmon
    snmp-server enable traps bgp
    snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message
    snmp-server enable traps ipmulticast
    snmp-server enable traps msdp
    snmp-server enable traps rsvp
    snmp-server enable traps frame-relay
    snmp-server enable traps rtr
    snmp-server enable traps syslog
    snmp-server host 10.1.10.1 version 3 auth XXXX

    عادل گفت در آگوست 7, 2009 در 1:36 ق.ظ.

  5. برای تنظیم MRTG یک خط کافی بود:
    snmp-server community ADEL RO

    سپس در Configuration File مربوط به MRTG متغییر Community را ADEL ست کنید.

    Shafagh گفت در آگوست 7, 2009 در 3:01 ب.ظ.

  6. چطور میشه دستورات در روتر رو پاک کرد.
    مثلا در اینجا میخوام دستورات snmp که اضافه است از کانفیگ پاک کنم.

    عادل گفت در آگوست 9, 2009 در 12:29 ق.ظ.

  7. همان دستور را با فرم No (در ابتدایش) وارد کنید… عموما برای این کار دستورات را در Notepad کپی میکنیم و بعد از اضافه کردن No جلوی هر خط آنها را دورن ترمینال Paste میکنیم:

    no snmp-server enable traps msdp
    no snmp-server enable traps rsvp

    Shafagh گفت در آگوست 9, 2009 در 8:37 ق.ظ.

  8. ممنونم آقای شفق.

    عادل گفت در آگوست 9, 2009 در 10:23 ب.ظ.

  9. آیا SNMP از نظر امنیتی برای روتر مشکلی پیش میاره؟

    عادل گفت در آگوست 10, 2009 در 12:45 ق.ظ.

  10. SNMP مشکل امنیتی زیاد دارد بخاطر همین SNMPv3 ارائه شده… اما با استفاده از Access-List میتوانید ارتباط SNMP را تنها به یک یا چند سرور محدود کنید… اگر فرض کنیم سرور شما 192.168.1.1 است:

    access-list 66 permit host 192.168.1.1

    snmp-server community public ro 66

    Shafagh گفت در آگوست 10, 2009 در 8:06 ب.ظ.

  11. 2 تا سوال:
    1- یعنی فقط به رنج آی پی سروری که SNMP روش مانیتور میشه اجازه استفاده از این سرویس رو بدم؟
    2- از کجا میشه فهمید داریم از SNMP V3 استفاده می کنیم؟ دستور خاصی باید داده بشه تا از این سرویس استفاده کنه یا بطور پیش فرض از اون استفاده میشه؟

    عادل گفت در آگوست 10, 2009 در 10:05 ب.ظ.

  12. 1. بله
    2. کل این مطلبی که پیش روی شماست در رابطه با همین است! که چگونه SNMPv3 استفاده کنیم اما فعلا به شما پیشنهاد نمیکنم روی MRTG از SNMP3 استفاده کنید که به اندکی تجربه نیاز دارد.

    Shafagh گفت در آگوست 10, 2009 در 10:41 ب.ظ.

  13. پس پیشنهاد شما چیست؟

    عادل گفت در آگوست 10, 2009 در 11:44 ب.ظ.

  14. استفاده از همان Access-List که اشاره شد.

    Shafagh گفت در آگوست 10, 2009 در 11:45 ب.ظ.

  15. مرسی.

    عادل گفت در آگوست 10, 2009 در 11:47 ب.ظ.

  16. جناب زندی

    بعد از اینکه فقط به یک آی پی اجازه استفاده از SNMP دادیم. طبق دستورات زیر:

    access-list 66 permit 192.168.1.1
    snmp-server community public RO 66

    آیا لازمه که از دستور زیر هم استفاده کنیم؟
    access-list 66 deny ip any any

    عادل گفت در آگوست 22, 2009 در 3:56 ق.ظ.

  17. نیازی به این کار نیست
    پایان هر ACL خود به خود deny any است حتی اگر ذکر نشود.

    Shafagh گفت در آگوست 22, 2009 در 11:00 ب.ظ.

  18. از وقتی SNMP رو راه انداختم از یه آی پی سعی میشه به سیستمی که گراف روتر رو میگیره نفوذ بشه.
    89.34.153.248

    نظرتون چیه؟

    عادل گفت در آگوست 25, 2009 در 12:36 ب.ظ.

  19. ربطی به راه اندازی SNMP ندارد بلکه شاید PC شما نقش Webserver را نیز برای نمایش وب انجام میدهد و مورد توجه یک Worm قرار گرفته برای این کار یا از فایروال استفاده کنید یا IP دستگاه های داخل شبکه را Valid ست نکنید (اگر نیازی به دسترسی از بیرون وجود ندارد)

    Shafagh گفت در آگوست 25, 2009 در 4:44 ب.ظ.

  20. فایروال دارم. همون بلوکش کرد.
    آی پی ولید نیست.
    از رنج اینولید روتر آی پی داره.

    عادل گفت در آگوست 25, 2009 در 9:38 ب.ظ.

  21. اگر Public IP ندارد پس نمیتواند به شما Packet ارسال کند. Log فایروال شما داستان دیگری دارد!

    Shafagh گفت در آگوست 25, 2009 در 9:48 ب.ظ.

پاسخی بگذارید