Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

ACTIVIDAD DE APRENDIZAJE
Ingeniera en Conectividad y Redes
Carrera/s
Sigla Curso
Modalidad
Versin PDA
Material de apoyo (insumos y
equipamiento) para la actividad

CAS6501
Presencial
2015

2 switches (Cisco 2960 con Cisco IOS Release

15.0(2)SE6 C2960-LANBASEK9-M o equivalente)

2 switches (Cisco 3560 con Cisco IOS Release

15.0(2)SE6 C3560-IPSERVICESK9-M o equivalente)

Cables Ethernet y consolas

1 PC (Host Windows con IP esttica) con un software de

monitoreo de red (la versin libre del navegador
ManageEngine MIB se usa en este laboratorio)

NOMBRE DE LA ACTIVIDAD
Configuracin de Soporte para SNMPv3

Topologa

Escenario
SNMP es un protocolo de la capa de aplicacin que facilita el intercambio de informacin de
administracin entre un agente y un servidor de administracin. SNMP permite a los
administradores de red monitorear y administrar el desempeo de la red, encontrando y
resolviendo problemas, y planeando el crecimiento de la red. Las estaciones de trabajo pueden
preguntar (GET) por el valor de un identificador de objeto especfico (OID) de la base de
informacin de administracin (MIB) mantenida por los agentes SNMP. El administrador puede

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

adems configurar (SET) los valores de variables especficas en un OID. Adicionalmente, el

agente puede enviar notificaciones (capturas o informes) cuando ocurre un evento o se ha
alcanzado un umbral. Sin embargo, SNMP puede ser peligroso si no se usa apropiadamente, y
asegurar el protocolo y sus usos pueden ser crtico.
Existen tres versiones de SNMP. SNMPv3 es considerada la ms segura porque ofrece
autenticacin y encriptacin, donde las versiones 1 y 2 no lo hacen

Preparacin del Laboratorio

Este laboratorio usa las configuraciones del Laboratorio anterior de NTP

Configurar la informacin general de SNMP

Configurar los valores generales para identificar el dispositivo, su localizacin y el punto de
contacto. Configurar con loa valores adecuados para cada switch:
DLS1(config)# snmp-server location Rack 1
DLS1(config)# snmp-server contact Estudiante
DLS1(config)# snmp-server chassis-id Cisco 3560 SN FTX2222222

Configurar Listas de Acceso para SNMP.

Configurar una lista de acceso en cada switch. Esta ACL ser usada para especificar
exactamente donde SNMP obtiene (GET) y configura (SET) mensajes. En este laboratorio la
red 172.16.99.0/24 es la red administrativa. Configurar esta ACL en los 4 switchs:
DLS1(config)# ip access-list standard NMS-SERVERS
DLS1(config-std-nacl)# permit 172.16.99.0 0.0.0.255
DLS1(config-std-nacl)# exit

Configurar el perfil SNMP.

El acceso al MIB es abierto por defecto, y cualquier usuario autorizado puede leer o cambiar el
valor de cualquier OID en el MIB. A parte de la ACL, tambin se deben configurar los perfiles
SNMP. Un perfil especficamente permite o deniega el acceso a ciertas partes del MIB, el cual
puede proveer seguridad y ayudar a controlar la utilizacin de la CPU limitando grandes grupos
SNMP.
La MIB es grande y posee diferentes partes y variables, por lo que cmo los perfiles son
configurados depende de cmo el NMS es implementado versus otros accesos SNMP al
sistema. Los perfiles pueden ser creados y configurados para contener todas las variables
requeridas por las diferentes entidades que pueden hacer uso de SNMP para acceder a los
dispositivos.
Los comandos especifican la raiz del rbol MIB. Configurar este perfil en todos los switchs.
DLS1(config)#snmp-server
DLS1(config)#snmp-server
DLS1(config)#snmp-server
DLS1(config)#snmp-server
DLS1(config)#snmp-server
DLS1(config)#snmp-server
DLS1(config)#snmp-server

view
view
view
view
view
view
view

NMS-LIMIT
NMS-LIMIT
NMS-LIMIT
NMS-LIMIT
NMS-LIMIT
NMS-LIMIT
NMS-LIMIT

iso included
1.3.6.1.2.1.4.21 excluded
1.3.6.1.2.1.4.22 excluded
1.3.6.1.2.1.4.35 excluded
1.3.6.1.2.1.3 excluded
1.3.6.1.6.3.15 excluded
1.3.6.1.6.3.16 excluded

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

DLS1(config)#snmp-server view NMS-LIMIT 1.3.6.1.6.3.18 excluded

Los valores OID en la configuracin anterior corresponde a:

1.3.6.1.2.1.4.21 is (iso-1).(org-3).(dod-6).(internet-1).(mgmt-2).(mib2-1).(ip-4).(ipRouteTable-21).
1.3.6.1.2.1.4.21 is (iso-1).(org-3).(dod-6).(internet-1).(mgmt-2).(mib2-1).(ip-4).(ipNetToMediaTable-22).
1.3.6.1.2.1.4.21 is (iso-1).(org-3).(dod-6).(internet-1).(mgmt-2).(mib2-1).(ip-4).(ipNetToPhysicalTable-35).
1.3.6.1.2.1.3 is (iso-1).(org-3).(dod-6).(internet-1).(mgmt-2).(mib2-1).(atTable-3)
1.3.6.1.6.3.15 is (iso-1).(org-3).(dod-6).(internet-1).(snmpv2-6).(snmpModules-3).(snmpUsmMIB-15)
1.3.6.1.6.3.16 is (iso-1).(org-3).(dod-6).(internet-1).(snmpv2-6).(snmpModules-3).(snmpVacMMIB-16)
1.3.6.1.6.3.18 is (iso-1).(org-3).(dod-6).(internet-1).(snmpv2-6).(snmpModules-3).(snmpCommunityMIB18)

Revisar el enlace:
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/12-4t/snmp-12-4tbook/nm-snmp-cfg-snmp-support.html

Configurar los grupos SNMP.

Los grupos SNMP son una construccin que permite a los usuarios y perfiles ser asociados
entre ellos.
Incluido como parte de la configuracin del grupo para SNMPv3 es el modelo de seguridad (no
auth, auth, o priv), los perfiles asociados a lectura, escritura e informacin son opcionales,
adems de las listas de acceso que controlan las direcciones de origen en el grupo.
En la siguiente salida, un grupo llamado ccnp-switch3 es creado para usar SNMPv3, las
caractersticas de seguridad implementadas por el grupo, el perfil de lectura de NMS-LIMIT y
sus restricciones por la ACL NMS-SERVERS. Hacer esto en DLS1 y DLS2.
DLS1(config)# snmp-server group ccnp-switch3 v3 priv read NMS-LIMIT
access NMS-SERVERS
En la salida siguiente, se crea un grupo llamado ccnp-switch2 para usar SNMPv2c, el perfil
NMS-LIMIT y la ACL NMS-SERVER. Hacer esto en el ALS1 y ALS2.
ALS1(config)# snmp-server group ccnp-switch2 v2c read NMS-LIMIT
access NMS-SERVERS

Configurar los usuarios SNMP.

Configurar los usuarios en todos los switch.

DLS1 y DLS2 usarn un usuario SNMPv3 el cual es parte del grupo ccnp-switch3.
Se autenticarn usando SHA con password cisco123, y sern encriptados usando
AES 128 conla contrasea cisco123.

ALS1 y ALS2 usarn un usuario SNMP v2c. El usuario es parte del grupo ccnpswitch2.

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

DLS1(config)# snmp-server user student ccnp-switch3 v3 auth sha

cisco123 priv aes 128 cisco123
ALS1(config)# snmp-server user student ccnp-switch2 v2c

Configurar el receptor de capturas (traps) SNMP

Configurar las capturas del servidor NMS que sern enviadas. Como parte de este comando,
se puede especificar las capturas o conjunto de capturas. Si no se especifican capturas, el
receptor reenviar todas las capturas habilitadas. Esta particular configuracin necesita ser
coordinada con el sistema de administracin de red y los requerimientos de monitoreo de red
para la organizacin.
Configurar la 172.16.99.100 como un receptor de capturas en todos los switchs. DLS1 y DLS2
usarn SNMPv3, mientras que ALS1 y ALS2 usarn SNMPv2c. Por simplicidad, no se
configurar ningn lmite a las capturas.
DLS1(config)# snmp-server host 172.16.99.100 traps version 3 priv
student
ALS1(config)# snmp-server host 172.16.99.100 ver 2 ccnp-switch2

Configurar el ndice de Persistencia de la Interface (Interface Index Persistence).

Los sistemas de monitoreo de red registran la tasa de transferencia y otras estadsticas de las
interfaces usando sondeo SNMP. Cada interface es referida por un ndice nico, el cual es
dinmicamente usado por el IOS al momento de bootear. El ndice de cada interface puede ser
determinado con el comando show snmp mib ifmib ifindex. El aspecto de la asignacin
dinmica puede ser problemtica para documentacin. Por lo tanto, puede ser una buena idea
instruir al sistema que mantenga una lista persistente de las interfaces, en vez de dinmica. El
uso de este comando crea un archivo almacenado en la NVRAM. Hacer esto con todos los
switchs:
DLS1(config)# snmp-server ifindex persist

Habilitar el envo de capturas SNMP

Este comando habilita el envo de capturas a los receptores de capturas configurados. Como
parte de este comando, las capturas pueden ser limitadas. Una vez ms, esto debe ser
coordinado con el sistema de administracin de red y los requerimientos de monitoreo de red
de la organizacin.
DLS1(config)# snmp-server traps enable

Verificar la configuracin de SNMP

Usar el comando show snmp para revisar la informacin de configuracin de SNMP:
DLS1# show snmp

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Chassis: FDT11111111
2932 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
20 Encoding errors
1421 Number of requested variables
0 Number of altered variables
1421 Get-request PDUs
0 Get-next PDUs
0 Set-request PDUs
0 Input queue packet drops (Maximum queue size 1000)
2912 SNMP packets output
0 Too big errors (Maximum packet size 1500)
0 No such name errors
0 Bad values errors
0 General errors
0 Response PDUs
0 Trap PDUs
SNMP global trap: enabled
SNMP logging: enabled
Logging to 172.16.99.100.162, 0/10, 0 sent, 0 dropped.
SNMP agent enabled

Usar el comando show snmp view:

DLS1# show snmp view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view
cac_view

pimMIB - included read-only active

msdpMIB - included read-only active
ip - included read-only active
ospf - included read-only active
bgp - included read-only active
dot1dBridge - included read-only active
ipMRouteStdMIB - included read-only active
igmpStdMIB - included read-only active
ipForward - included read-only active
ipTrafficStats - included read-only active
ospfTrap - included read-only active
sysUpTime.0 - included read-only active
ciscoPingMIB - included read-only active
ciscoStpExtensionsMIB - included read-only active
ciscoIpSecFlowMonitorMIB - included read-only active
ciscoPimMIB - included read-only active
ciscoMgmt.187 - included read-only active
ciscoEigrpMIB - included read-only active
ciscoCefMIB - included read-only active
ciscoIpMRouteMIB - included read-only active
ciscoIPsecMIB - included read-only active

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

cac_view cospf - included read-only active

cac_view ciscoExperiment.101 - included read-only active
cac_view ciscoIetfIsisMIB - included read-only active
cac_view ifIndex - included read-only active
cac_view ifDescr - included read-only active
cac_view ifType - included read-only active
cac_view ifAdminStatus - included read-only active
cac_view ifOperStatus - included read-only active
cac_view snmpTraps.3 - included read-only active
cac_view snmpTraps.4 - included read-only active
cac_view snmpTrapOID.0 - included read-only active
cac_view snmpMIB.1.4.3.0 - included read-only active
cac_view lifEntry.20 - included read-only active
cac_view cciDescriptionEntry.1 - included read-only active
NMS-LIMIT iso - included nonvolatile active
NMS-LIMIT at - excluded nonvolatile active
NMS-LIMIT snmpUsmMIB - excluded nonvolatile active
NMS-LIMIT snmpVacmMIB - excluded nonvolatile active
NMS-LIMIT snmpCommunityMIB - excluded nonvolatile active
NMS-LIMIT ip.21 - excluded nonvolatile active
NMS-LIMIT ip.22 - excluded nonvolatile active
NMS-LIMIT ip.35 - excluded nonvolatile active
v1default iso - included permanent active
v1default internet - included permanent active
v1default snmpUsmMIB - excluded permanent active
v1default snmpVacmMIB - excluded permanent active
v1default snmpCommunityMIB - excluded permanent active
v1default ciscoMgmt.252 - excluded permanent active
*tv.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF
.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF0F iso included volatile active
*tv.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF
.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF0F
iso.2.840.10036 - included volatile active

Verificar los grupos SNMP.

DLS1# show snmp group
groupname: ccnp-switch3
security model:v3 priv
contextname: <no context specified>
storage-type: nonvolatile
readview : NMS-LIMIT
writeview: <no writeview
specified>
notifyview: *tv.FFFFFFFF.FFFFFFFF.FFFFFFFF.F
row status: active
access-list: NMS-SERVERS

ALS1# show snmp group

groupname: ccnp-switch2

security model:v1

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

contextname: <no context specified>

storage-type: volatile
readview : <no readview specified>
writeview: <no writeview
specified>
notifyview: *tv.FFFFFFFF.FFFFFFFF.FFFFFFFF.F
row status: active
groupname: ccnp-switch2
security model:v2c
contextname: <no context specified>
storage-type: nonvolatile
readview : NMS-LIMIT
writeview: <no writeview
specified>
notifyview: <no notifyview specified>
row status: active
access-list: NMS-SERVERS

Verificar los usuarios SNMPv3:

DLS1#show snmp user
User name: student
Engine ID: 800000090300E840406F8B83
storage-type: nonvolatile
active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: ccnp-switch3

Verificar la operacin de las Capturas SNMP

Este laboratorio usa la herramienta libre "MIBBrowser" de ManageEngine para verificacin.

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Verificar la operacin de SNMP GET

Este laboratorio usa la herramienta libre "MIBBrowser" de ManageEngine para verificacin.

Target Host: Direccin IP de DLS1 (172.16.99.1)

User Name: student
Security Level: Auth,Priv
Auth Protocol: SHA
Auth Password: cisco123
Priv Protocol: CFB-AES-128
Priv Password: cisco123

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje