Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

Simple Network Management Protocol (SNMP)

Finger In The Net

OBJECTIF DU SNMP = SUPERVISION

  • SNMP = Simple Network Management Protocol
  • UDP 161 / 162

Il existe deux rôles SNMP :

  • SNMP Manager (serveur de supervision)
  • SNMP Agent (processus présent sur nos équipements à superviser)

Le manager SNMP va interroger les agents SNMP afin de récupérer l’état de santé de l’équipement sur lequel il est installé.
L’agent SNMP va interroger sa base de donnée MIB afin d’avoir ses informations.
Chaque équipement possède une MIB (Management Information Base).

Cette MIB est une base de données qui contient tous les états de notre équipement actif (charge CPU, état des ports, utilisation de la mémoire, etc.).

-> Chaque état correspond à un OID (Object Identifier).

Exemple :

Pour la charge CPU d’un équipement CISCO, son OID sera : .1.3.6.1.4.1.9.2.1.58

SNMP - OID
SNMP – OID

Les numéros OID sont normalisés !! Le numéro 1.3.6.1.4.1.9.2.1.58 correspondra toujours à la charge CPU d’un équipement réseau CISCO.

Comme tout protocole qui se respecte, il existe en plusieurs versions :

SNMPv1

  • apparition en 1990
  • présence de “communauté”
  • pas de sécurité (pas d’authentification, la communauté passe en claire sur le réseau, l’information demandée n’est pas chiffrée)

SNMPv2

  • apparition en 1993, créations de notifications (traps)
  • ajout de la commande “GetBulk” (cette commande permet de mettre plusieurs informations dans une même trame)
  • plusieurs versions existent pour la version 2, la plus utilisée est la version v2c (community)

SNMPv3

  • login/mot de passe
  • sécurisé
Bonus

Le cours SNMP en vidéo

Chapitre 1

Configuration de SNMP v1

Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 Finger
  • 2 = Numéro de votre ACL ;
  • 192.168.0.1 = Adresse IP de votre serveur SNMP.
  • Finger = Nom de votre communauté
  • RO =  Read Only (le serveur pourra uniquement interroger notre équipement, il ne pourra pas lui donner d’ordre, type s’éteindre)

Activation des traps, il envoi au serveur tout changement :

Router(config)# snmp-server enable traps

 

Chapitre 2

Configuration de SNMP v2

La version la plus utilisée au monde à l’heure où je vous parle est la version v2c. Nous allons donc voir comment la mettre en place de façon sécurisée : 

Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 version 2c Finger
  • 2 = Numéro de votre ACL
  • 192.168.0.1 = Adresse IP de votre serveur SNMP
  • Finger = Nom de votre communauté
  • RO =  Read Only (le serveur pourra uniquement interroger notre équipement, il ne pourra pas lui donner d’ordre, type s’éteindre)

Activation des traps, il envoi au serveur tout changement.

Router(config)# snmp-server enable traps
Chapitre 3

Configuration de SNMP v3

Nous avons vu plus haut que le SNMPv3 permet de mettre en place de l’authentification. Afin de pouvoir le paramétrer , il va falloir définir :

  • la configuration du groupe SNMPv3 => Via la commande snmp-server group
  • la configuration de l’authentification du manager SNMP => Via la commande snmp-server user
  • l’Identification du manager SNMP. => Via la commande snmp-server host
Router(config)# snmp-server group Finger v3 auth write v1default
Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5 P@ssw0rd
Router(config)# snmp-server host 192.168.0.1 version 3 auth EyesOfNetwork

Détaillons un peu tout ça :

Étape 1 : La configuration du groupe SNMPv3

La configuration du groupe SNMVv3 se fait via la commande suivante :

Router(config)# snmp-server group Finger v3 auth write v1default
  • Finger = Nom du groupe à définir
  • v3 = Version SNMP
  • auth = 3 choix possibles :
    • noauth = Pas d’authentification / Echange non crypté
    • auth = Présence d’authentification / Echange non crypté
    • privPrésence d’authentification / Echange crypté
  • write = 2 choix possibles :
    • read = Accès à la MIB uniquement en lecture
    • write = Accès à la MIB en lecture/Ecriture
  • v1default = Il est possible de sécuriser notre MIB en autorisant ou non l’accès en Read ou Read/Write a quelques OID via un nom de groupe view. Par défaut, le groupe view v1default n’a pas de restriction

NB : Le mode priv est disponible uniquement avec les IOS supportant la cryptographie.

Étape 2 : La configuration de l'authentification du Manager SNMP

Cette étape permet de configurer un login/mot de passe pour notre manager SNMP.

Elle se fait via la commande suivante :

Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5 P@ssw0rd
  • EyesOfNetwork = Nom de connexion/Login
  • groupname = Nom du groupe précédemment configuré
  • v3 = Version SNMP
  • auth = Définition de l’authentification
  • md5 (ou sha) = Cryptage utilisé pour l’authentification
  • P@ssw0rd = Mot de passe de connexion du manager

Étape 3 : L'Identification du manager SNMP

Cette étape permet d’identifier (via une adresse IP) le serveur de supervision aillant l’agent “manager SNMP”. Elle se fait via la commande suivante :

Router(config)# snmp-server host 192.168.0.1 version 3 auth EyesOfNetwork
  • 192.168.0.1 = Adresse IP du serveur de supervision
  • auth (ou noauth ou priv) = Type d’échanges entre l’agent et le manager
    • noauth = Pas d’authentification/Echange non crypté
    • auth = Présence d’authentification/Echange non crypté
    • priv =  Présence d’authentification/Echange crypté
  • EyesOfNetwork = Username précédemment configuré
Chapitre 4

Le manager SNMP

Maintenant, il faut installer un serveur de supervision, je vous conseille fortement EyesOfNetwork !! Gratuit et français 🙂

EyesOfNetwork

EyesOfNetwork - Synopsys
EyesOfNetwork – Synopsys
EyesOfNetwork - Exemple
EyesOfNetwork – Exemple
Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

16 − 12 =

CURSUS DE FORMATION

LA BOUTIQUE
DES GEEKS