Protocole SNMP

Auteur

Noël NICOLAS

Date

22 avril 2016

Commentaires

Services

OBJECTIF DU SNMP = SUPERVISION
SNMP = Simple Network Management Protocol
UDP 161 / 162

Il existe deux rôles SNMP :

– SNMP Manager (serveur de supervision)
– SNMP Agent (processus présent sur nos équipements à superviser)

Le manager SNMP va interroger les agents SNMP afin de récupérer l’état de santé de l’équipement sur lequel il est installé.
L’agent SNMP va interroger sa base de donnée MIB afin d’avoir ses informations.
Chaque équipement possède une MIB (Management Information Base).

Cette MIB est une base de données qui contient tous les états de notre équipement actif (charge CPU, état des ports, utilisation de la mémoire, etc.).

-> Chaque état correspond à un OID (Object Identifier).

Exemple :

Pour la charge CPU d’un équipement CISCO, son OID sera : .1.3.6.1.4.1.9.2.1.58

Les numéros OID sont normalisés !! Le numéro 1.3.6.1.4.1.9.2.1.58 correspondra toujours à la charge CPU d’un équipement réseau CISCO.

Comme tout protocole qui se respecte, il existe en plusieurs versions :

SNMPv1

– apparition en 1990
– présence de « communauté »
– pas de sécurité (pas d’authentification, la communauté passe en claire sur le réseau, l’information demandée n’est pas chiffrée)

SNMPv2

– apparition en 1993, créations de notifications (traps)
– ajout de la commande « GetBulk » (cette commande permet de mettre plusieurs informations dans une même trame)
– plusieurs versions existent pour la version 2, la plus utilisée est la version v2c (community)

SNMPv3

– login/mot de passe
– sécurisé

Configuration de l’agent SNMP

SNMPv1

Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 Finger

2 = Numéro de votre ACL ;
192.168.0.1 = Adresse IP de votre serveur SNMP.
Finger = Nom de votre communauté
RO = Read Only (le serveur pourra uniquement interroger notre équipement, il ne pourra pas lui donner d’ordre, type s’éteindre)

-> Activation des traps, il envoi au serveur tout changement.

Router(config)# snmp-server enable traps

SNMPv2C

La version la plus utilisée au monde à l’heure où je vous parle est la version v2c.

Nous allons donc voir comment la mettre en place de façon sécurisée :

Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 version 2c Finger

2 = Numéro de votre ACL
192.168.0.1 = Adresse IP de votre serveur SNMP
Finger = Nom de votre communauté
RO = Read Only (le serveur pourra uniquement interroger notre équipement, il ne pourra pas lui donner d’ordre, type s’éteindre)

-> Activation des traps, il envoi au serveur tout changement.

Router(config)# snmp-server enable traps

SNMPv3

Nous avons vu plus haut que le SNMPv3 permet de mettre en place de l’authentification. Afin de pouvoir le paramétrer , il va falloir définir :

– la configuration du groupe SNMPv3

Via la commande snmp-server group

– la configuration de l’authentification du manager SNMP

Via la commande snmp-server user

– l’Identification du manager SNMP.

Via la commande snmp-server host

Router(config)# snmp-server group Finger v3 auth write v1default
Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5 P@ssw0rd
Router(config)# snmp-server host 192.168.0.1 version 3 auth EyesOfNetwork