Le protocole SNMP (Simple Network Management Protocol) est crucial pour la gestion des réseaux, particulièrement dans les environnements utilisant des équipements Cisco. Ce protocole évolue à travers trois versions principales, chacune augmentant le niveau de fonctionnalités et de sécurité.

Informations techniques essentielles

• Norme : RFC 1157 (SNMPv1), RFC 1901-1908 (SNMPv2c), RFC 3411-3418 (SNMPv3)
• Ports utilisés : UDP 161 (requêtes agent), UDP 162 (traps et notifications)
• Couche OSI : Couche 7 (Application)
• Transport : UDP exclusivement
• Versions : SNMPv1, SNMPv2c, SNMPv3
• Architecture : Manager/Agent (NMS communique avec agents sur équipements)
• Format de données : ASN.1 (Abstract Syntax Notation One)
• Sécurité SNMPv3 : Authentification MD5/SHA, chiffrement DES/AES

Architecture et terminologie spécifique

Le protocole SNMP repose sur une architecture Manager-Agent où le NMS (Network Management Station) interroge les agents SNMP présents sur chaque routeur et switch Cisco.

MIB (Management Information Base) : Base de données hiérarchique contenant tous les objets gérables, organisée en arbre avec des OID (Object Identifier) uniques. Chaque paramètre (statut d’interface, CPU, mémoire) possède un OID spécifique.

Agent SNMP : Service activé sur les équipements Cisco qui répond aux requêtes du NMS et génère des notifications autonomes.

Community String : Chaîne de communauté servant d’authentification basique en SNMPv1/v2c, transmise en clair sur le réseau.

Trap : Notification asynchrone envoyée par l’agent vers le NMS lors d’événements (panne interface, redémarrage).

Inform : Trap avec accusé de réception garantissant la réception par le NMS.

Types de messages SNMP

• GetRequest : Lecture d’une ou plusieurs variables MIB
• GetNextRequest : Lecture séquentielle dans la MIB (parcours d’arbre)
• GetBulkRequest : Lecture en masse (SNMPv2c/v3 uniquement)
• SetRequest : Modification d’une variable MIB
• Response : Réponse de l’agent aux requêtes Get/Set
• Trap : Notification autonome sans accusé
• InformRequest : Notification avec accusé de réception

Configuration SNMP sur routeurs et switchs Cisco

Configuration de base SNMPv1/v2c

R1# configure terminal
R1(config)# snmp-server community public RO
R1(config)# snmp-server community private RW
R1(config)# snmp-server location "Datacenter Paris Rack 42"
R1(config)# snmp-server contact "admin@entreprise.com"

La commande snmp-server community définit la chaîne de communauté avec les droits d’accès. RO (Read-Only) autorise uniquement la lecture, RW (Read-Write) permet la lecture et modification.

Configuration des destinations de traps

R1(config)# snmp-server host 192.168.1.100 version 2c public
R1(config)# snmp-server enable traps snmp linkdown linkup
R1(config)# snmp-server enable traps config
R1(config)# snmp-server enable traps entity

La commande snmp-server host spécifie l’adresse du NMS recevant les traps. Les commandes snmp-server enable traps activent différents types de notifications (changements de liens, modifications de configuration, événements matériels).

Sécurisation avec ACL

R1(config)# access-list 10 permit 192.168.1.100
R1(config)# access-list 10 permit 10.1.1.0 0.0.0.255
R1(config)# snmp-server community management RO 10

Cette configuration limite l’accès SNMP aux adresses IP autorisées par l’ACL 10, renforçant significativement la sécurité.

Configuration SNMPv3 (recommandée)

Création des groupes et utilisateurs

R1(config)# snmp-server group ADMIN v3 priv
R1(config)# snmp-server group MONITORING v3 auth
R1(config)# snmp-server user adminuser ADMIN v3 auth sha AuthPass123 priv aes 128 PrivPass123
R1(config)# snmp-server user monitoruser MONITORING v3 auth md5 MonitorPass123

La commande snmp-server group crée des groupes avec différents niveaux de sécurité :

• noauth : Aucune authentification
• auth : Authentification requise
• priv : Authentification et chiffrement

Configuration des hôtes SNMPv3

R1(config)# snmp-server host 192.168.1.100 version 3 auth adminuser
R1(config)# snmp-server host 192.168.1.101 version 3 priv monitoruser

Cette configuration définit les destinataires des traps SNMPv3 avec les niveaux de sécurité appropriés.

Commandes de vérification et diagnostic

Vérification de la configuration

R1# show running-config | include snmp
R1# show snmp
R1# show snmp group
R1# show snmp user

La commande show snmp affiche les statistiques globales, les versions supportées et l’état de l’agent. show snmp group et show snmp user détaillent la configuration SNMPv3.

Diagnostic avancé

R1# show snmp engineID
R1# show snmp sessions
R1# debug snmp packet
R1# debug snmp detail

Ces commandes permettent d’analyser les échanges SNMP et diagnostiquer les problèmes de communication avec le NMS.

Configuration des vues SNMP (contrôle d’accès granulaire)

R1(config)# snmp-server view INTERFACE-ONLY iso.3.6.1.2.1.2 included
R1(config)# snmp-server view SYSTEM-INFO iso.3.6.1.2.1.1 included
R1(config)# snmp-server group READONLY v3 auth read INTERFACE-ONLY
R1(config)# snmp-server user technicien READONLY v3 auth sha TechPass123

Les vues SNMP permettent de restreindre l’accès à certaines branches de la MIB, limitant ainsi les informations accessibles selon les groupes d’utilisateurs.

Options avancées de configuration

Configuration des timeout et retry

R1(config)# snmp-server host 192.168.1.100 timeout 30 retries 5

Cette commande configure les paramètres de timeout et de tentatives pour l’envoi des traps.

Activation de SNMP sur des interfaces spécifiques

R1(config)# interface gigabitethernet 0/0
R1(config-if)# snmp trap link-status

Permet d’activer spécifiquement les traps de changement d’état sur une interface particulière.

Intégration avec Cisco Prime Infrastructure

Les routeurs et switchs Cisco s’intègrent naturellement avec Cisco Prime Infrastructure qui utilise le protocole SNMP pour :

• La découverte automatique d’équipements
• La collecte de métriques de performance
• La gestion des configurations
• Le monitoring temps réel des infrastructures

Bonnes pratiques de sécurité

Changement des communities par défaut

R1(config)# no snmp-server community public
R1(config)# no snmp-server community private
R1(config)# snmp-server community Entreprise2024! RO
R1(config)# snmp-server community AdminSecure2024! RW

Toujours modifier les chaînes de communauté par défaut pour éviter les accès non autorisés.

Utilisation exclusive de SNMPv3 en production

R1(config)# no snmp-server community public
R1(config)# snmp-server group SecureAdmin v3 priv
R1(config)# snmp-server user admin SecureAdmin v3 auth sha ComplexAuth2024! priv aes 256 ComplexPriv2024!

SNMPv3 avec authentification SHA et chiffrement AES 256 bits représente le standard de sécurité recommandé.

Concepts essentiels pour les certifications Cisco

Pour réussir vos certifications Cisco, maîtrisez ces éléments cruciaux :

• Structure hiérarchique des MIB et navigation par OID
• Différences entre SNMPv1, v2c et v3 (sécurité, fonctionnalités)
• Configuration des community strings et leur impact sécuritaire
• Mise en place de SNMPv3 avec authentification et chiffrement
• Utilisation des ACL pour restreindre l’accès SNMP
• Configuration des traps et informs pour la supervision
• Commandes de diagnostic (show snmp, debug snmp)
• Intégration avec les solutions Cisco (Prime Infrastructure)

Le protocole SNMP constitue un pilier fondamental de la gestion réseau Cisco. Sa parfaite maîtrise, particulièrement SNMPv3, est indispensable pour administrer efficacement des infrastructures d’entreprise et réussir les certifications CCNA et supérieures.

Pour approfondir vos connaissances sur le protocole SNMP et maîtriser sa configuration sur les équipements Cisco, rejoignez la formation CCNA 200-301 qui couvre exhaustivement tous les aspects de la gestion et supervision réseau.

Points clés à retenir pour les certifications :

Le protocole SNMP est incontournable pour la supervision des infrastructures Cisco. Maîtrisez SNMPv3 pour la sécurité, les commandes de configuration et diagnostic, ainsi que l’intégration avec les outils de gestion Cisco pour exceller dans vos certifications.