Router Teldat. Agente SNMP

Router Teldat Agente SNMP Doc. DM712 Rev. 10.92 Marzo, 2014

ÍNDICE Capítulo 1 Introducción al protocolo SNMP... 1 1. Introducción... 2 2. Versiones del protocolo SNMP... 3 3. Tipos de paquetes SNMP... 4 4. Seguridad... 5 4.1. SNMPv1 y SNMPv2c... 5 4.2. SNMPv3... 5 4.3. Control de acceso basado en vistas... 6 Capítulo 2 Configuración del agente SNMP... 7 1. Acceso al entorno de configuración SNMP... 8 2. Comandos de configuración SNMP... 9 2.1.? (AYUDA)... 9 2.2. ACCESS... 10 2.3. COMMUNITY... 11 a) COMMUNITY nombre_comunidad DEFAULT... 11 b) COMMUNITY nombre_comunidad ACCESS... 11 c) COMMUNITY nombre_comunidad CONTEXT... 12 d) COMMUNITY nombre_comunidad SUBNET... 12 e) COMMUNITY nombre_comunidad VIEW... 13 2.4. CONTEXT... 13 2.5. DEFAULT-CONFIG... 13 2.6. DISABLE... 14 2.7. ENABLE... 14 2.8. ENGINEID LOCAL... 14 2.9. GROUP... 14 2.10. HOST... 15 2.11. LIST... 17 a) LIST ACCESS... 17 b) LIST ALL... 17 c) LIST COMMUNITY... 19 d) LIST GROUP... 20 e) LIST HOST... 20 f) LIST TRAP-SENDING-PARAMETERS... 21 g) LIST USER... 21 h) LIST VIEW... 22 2.12. MIB... 22 a) MIB IFMIB... 22 MIB IFMIB IFALIAS... 22 2.13. NO... 22 2.14. SUBTREE... 23 2.15. TRAP... 24 a) TRAP SENDING-PARAMETERS... 24 2.16. USER... 26 2.17. EXIT... 27 Capítulo 3 Monitorización del agente SNMP... 28 1. Acceso al entorno de monitorización SNMP... 29 2. Comandos de monitorización SNMP... 30 2.1.? (AYUDA)... 30 2.2. LIST... 30 a) LIST ACCESS-ENTRY... 30 b) LIST ALL... 31 c) LIST COMMUNITY... 33 d) LIST DEBUG... 34 - ii -

e) LIST GROUP... 34 f) LIST HOST... 35 g) LIST STATISTICS... 35 h) LIST TRAP-SENDING-PARAMETERS... 36 i) LIST USER... 36 j) LIST VIEW... 36 2.3. EXIT... 37 Capítulo 4 Ejemplos de configuración... 38 1. SNMPv1... 39 2. SNMPv3... 40 3. SNMPv1/v2 consultas multi-vrf... 42 4. SNMPv3 consultas multi-vrf... 43 - iii -

Capítulo 1 Introducción al protocolo SNMP

1. Introducción SNMP es un protocolo de nivel 7 (nivel de aplicación) según el modelo OSI (Open Systems Interconnection), utilizado para configurar y monitorizar diferentes características del router. SNMP permite, a las estaciones de trabajo de la red, leer y modificar algunos de los parámetros del router. Posibilita a un software ejecutándose en una estación remota, contactar a través de la red con el router y obtener información actualizada de dicho router. Por lo tanto, se puede llevar a cabo una gestión centralizada de los routers existentes en la red. Entre las facilidades básicas de SNMP se incluyen: La recogida de información y la modificación de los parámetros operativos del router por parte de los usuarios SNMP remotos. El envío y la recepción de paquetes SNMP a través del protocolo IP. Nivel OSI Router Sistema Gestor 7 SN M P SN M P Aplicación 4 UDP UDP 3 IP IP Red Figura 1: Niveles de protocolo del entorno SNMP El software que procesa las peticiones SNMP se ejecuta en el router y se denomina agente SNMP. El programa de usuario que construye las peticiones SNMP se ejecuta en cualquier estación de usuario de la red, no en el router, y se llama gestor SNMP. El agente SNMP en el router y el gestor en la estación de trabajo usan el protocolo UDP para intercambiar los paquetes. Para más información sobre SNMP, consúltese la recomendación RFC 1157, A Simple Network Management Protocol. Las recomendaciones RFC 3410 a 3418, RFC 3584 y RFC 3826 proporcionan información sobre la última versión del protocolo SNMP, SNMPv3. ROUTER TELDAT - Introducción SNMP I - 2

2. Versiones del protocolo SNMP Existen tres versiones del protocolo SNMP. La primera versión, SNMPv1, define las operaciones básicas del protocolo SNMP, así como un mecanismo elemental de autenticación basado en comunidades. La segunda versión del protocolo, SNMPv2, introduce nuevas operaciones y tipos de datos que mejoran la eficacia del protocolo SNMP. En esta segunda versión se intentó mejorar la seguridad del protocolo, pero la complejidad de las soluciones propuestas hizo que en la práctica se siguiese usando el mecanismo de autenticación de SNMPv1. La versión de SNMPv2 con este mecanismo de autenticación se denomina habitualmente SNMPv2c (c de comunidad). La tercera versión del protocolo, SNMPv3, establece un marco de seguridad completo para el protocolo SNMP. Al hacerlo, además, separa el protocolo SNMP en módulos independientes, facilitando ampliaciones futuras. ROUTER TELDAT - Introducción SNMP I - 3

3. Tipos de paquetes SNMP Existen tres operaciones básicas en el protocolo SNMP: petición de datos al agente. configuración de datos en el agente. notificaciones: información enviada por el agente al gestor para informar de alguna circunstancia que se ha producido en el agente. Estas tres operaciones se llevan a cabo, en SNMPv1, mediante los siguientes tipos de paquete: GET-REQUEST: el gestor utiliza este comando para pedir al agente el estado de una o varias variables. El gestor espera respuesta del agente. GET-NEXT: el gestor utiliza este comando para pedir al agente el estado de la variable que, en el árbol de gestión, sigue a la variable indicada. Este comando es útil para recorrer tablas u obtener un subconjunto del árbol de gestión. El gestor espera respuesta del agente. SET-REQUEST: el gestor utiliza este comando para configurar el valor de una o varias variables en el agente. El gestor espera respuesta del agente. GET-RESPONSE (denominado simplemente RESPONSE a partir de la versión 2): el agente utiliza este comando para responder a las peticiones del gestor. En el caso de los comandos GET-REQUEST y GET-NEXT, el agente responde con el valor de la variable pedida (en el caso del comando GET-NEXT, identificando además dicha variable). En el caso de un comando SET-REQUEST, el agente responde indicando si la operación se ha podido llevar a cabo con éxito o no. TRAP: el agente utiliza este comando para informar al gestor de algún evento significativo. El agente no espera respuesta del gestor. En las versiones 2 y 3 del protocolo se introducen nuevos comandos: GET-BULK: el gestor utiliza este comando para pedir al agente el estado de varias variables. La definición de este comando lo hace especialmente útil para obtener el estado de todas las variables de una tabla. INFORM: un gestor utiliza este comando para comunicar información a otro gestor de algún evento significativo. A diferencia del comando TRAP, en este caso se espera que el gestor responda con un comando RESPONSE. NOTIFICATION: este comando sustituye al comando TRAP de la versión 1. REPORT: el agente utiliza este comando para informar al gestor de algún error excepcional en el tratamiento de la petición hecha por el gestor. Este comando se usa en la versión 3 del protocolo SNMP como parte del proceso de descubrimiento de los datos necesarios del agente. ROUTER TELDAT - Introducción SNMP I - 4

4. Seguridad 4.1. SNMPv1 y SNMPv2c En el protocolo SNMPv1 y SNMPv2c el mecanismo de seguridad es muy simple: no existe cifrado de los datos y la autenticación utilizada es muy básica. Cada paquete SNMP incluye un campo indicando la comunidad a la que se refiere. La comunidad no es más que un conjunto de caracteres. Para cada comunidad, es posible especificar en el agente: el nivel de acceso, ya sea de lectura o de escritura la vista, es decir, el conjunto de variables accesibles utilizando dicha comunidad las direcciones IP que pertenecen a dicha comunidad. Dicho de otro modo, las direcciones IP de los gestores que pueden acceder al agente utilizado esa comunidad. Cada paquete SNMP que llegue al router es validado o descartado según cumpla o no las restricciones impuestas por el esquema de autenticación. En concreto, la variable accedida, su tipo de acceso y la dirección IP origen del paquete SNMP deberán estar incluidas en las asociadas al nombre de comunidad del paquete SNMP. Dado que la información de la comunidad viaja en claro (sin cifrar) en el paquete SNMP, resulta muy sencillo averiguar el nombre de la comunidad y tener acceso al agente. La falta de seguridad del protocolo SNMPv1 (y por extensión SNMPv2c), hace que en la práctica se utilice sobre todo para monitorizar el estado del router, no configurándose permisos de escritura. 4.2. SNMPv3 Como ya se indicó, el protocolo SNMPv3 intenta solucionar los problemas de seguridad existentes en las versiones anteriores del protocolo. Para ello, se definen mecanismos robustos tanto de autenticación como de cifrado. Además, la modularidad de esta versión permite añadir nuevos algoritmos de cifrado o autenticación al protocolo. En la actualidad, existen dos mecanismos de autenticación, HMAC-MD5 y HMAC-SHA y dos mecanismos de cifrado, DES y AES-128. En SNMPv3 se identifica un modelo de seguridad, modelo a aplicar a los paquetes SNMP y un nivel de seguridad dentro de ese modelo. Los modelos de seguridad existentes actualmente son: SNMPv1 SNMPv2c SNMPv3 USM: User Security Model. Modelo de seguridad basado en usuarios Los niveles de seguridad que se distinguen son los siguientes: noauthnopriv: los paquetes no usan autenticación ni cifrado. Es el único nivel de seguridad aplicable a los paquetes de los modelos de seguridad SNMPv1 y SNMPv2c AuthNoPriv: los paquetes usan autenticación, pero no van cifrados. AuthPriv: los paquetes usan autenticación y cifrado. Obsérvese que no se contempla la posibilidad de paquetes cifrados sin autenticación. ROUTER TELDAT - Introducción SNMP I - 5

4.3. Control de acceso basado en vistas El control de acceso determina si un gestor SNMP tiene acceso o no a una determinada variable. En SNMPv1 y SNMPv2c se utiliza la comunidad (y quizá la dirección IP del gestor) para determinar si se concede acceso a una determinada variable. En SNMPv3, el mecanismo de control de acceso se generaliza introduciendo más variables en la toma de decisión. Las variables que se utilizan son las siguientes: Grupo: un grupo es un conjunto de tuplas <securityname, securitymodel>. El securityname es el identificador del gestor SNMP (la comunidad en caso de SNMPv1 y SNMPv2c, el usuario en SNMPv3). Todos los miembros de un grupo tiene los mismos niveles de acceso a las variables del agente. Una combinación de <securityname, securitymodel> sólo puede pertenecer a un grupo. Contexto: un contexto es un conjunto de variables gestionables accesible por una entidad SNMP. Una variable gestionable puede aparecer en más de un contexto. Para más información sobre el concepto de contexto consúltese la RFC 3411. Nivel de seguridad: los niveles de acceso pueden ser diferentes para un mensaje sin cifrar y para un mensaje cifrado. Se puede, por ejemplo, exigir que el mensaje esté cifrado para permitir accesos de escritura a una variable. El identificador de usuario (securityname) y el modelo de seguridad (securitymodel) incluidos en el paquete SNMP, se usan para obtener el grupo. El grupo, contexto, modelo de seguridad, nivel de seguridad y tipo de acceso deseado (lectura, escritura o notificación) permiten seleccionar una determinada vista. Una vista no es más que un conjunto de variables a las que se tiene acceso. Si la vista seleccionada incluye la variable a la que se desea acceder, se permite el acceso. En caso contrario, se deniega el acceso. ROUTER TELDAT - Introducción SNMP I - 6

Capítulo 2 Configuración del agente SNMP

1. Acceso al entorno de configuración SNMP Para acceder al entorno de configuración SNMP, utilize el comando PROTOCOL SNMP desde el menú de configuración general. Config>protocol snmp -- SNMP user configuration -- ROUTER TELDAT - Configuración SNMP II - 8

2. Comandos de configuración SNMP En este apartado se resumen los distintos comandos de configuración del protocolo SNMP. Comando Función? (AYUDA) Muestra los comandos disponibles o las opciones asociadas a un comando específico. ACCESS Configura las vistas asociadas a un determinado grupo y modelo de seguridad. COMMUNITY Crea una comunidad o modifica los parámetros de una comunidad ya existente. CONTEXT Crea un contexto o modifica uno existente. DEFAULT-CONFIG Habilita la configuración por defecto. DISABLE Deshabilita el protocolo SNMP. ENABLE Habilita el protocolo SNMP. ENGINEID Configura el EngineID utilizado por SNMPv3. GROUP Asigna un usuario y modelo de seguridad a un grupo. HOST Configura un equipo gestor al que enviar notificaciones SNMP. LIST Muestra la configuración del protocolo SNMP. MIB Configura opciones para las MIB. NO Borra configuración o configura parámetros con valores por defecto. SUBTREE Especifica las porciones de MIB incluidas o excluidas de una determinada vista. TRAP Configura parámetros relativos al envío de notificaciones. USER Crea un usuario o modifica los parámetros de un usuario ya existente. EXIT Sale del menú de configuración del protocolo SNMP. 2.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando.?? access community context default-config disable enable engineid group host list mib no subtree Specify access views asociated to a group and security model Create a community or modify parameters of an existing one Create a context or modify an existing one Enable the SNMP default configuration Disable SNMP Enable SNMP Specify an SNMPv3 EngineID Assign a <user, securitymodel> tuple to a group Specify a host to receive SNMP notification messages Display SNMP configuration Configure options for a MIB Negate a command or set its defaults Create or modify a MIB view ROUTER TELDAT - Configuración SNMP II - 9

trap user exit Set trap parameters Create a SNMPv3 user or modify parameters of an existing one Exit SNMP configuration menu 2.2. ACCESS Configura las vistas asociadas a un determinado grupo y modelo de seguridad. Permite asociar, a un determinado grupo y un modelo de seguridad, una vista de lectura, escritura y notificación. Se pueden configurar vistas distintas para distintos modelos de seguridad dentro de un mismo grupo. Además, es posible configurar vistas distintas para un mismo grupo y modelo de seguridad usando contextos distintos. Para obtener información de una VRF secundaria mediante el contexto, peticiones podemos realizar solamente las siguientes peticiones: sobre la MIB IP-FORWARD-MIB, y en concreto, sobre el objeto ipcidrroutenumber (OID: 1.3.6.1.2.1.4.24.3) y la tabla ipcidrroutetable (OID: 1.3.6.1.2.1.4.24.4), y sobre la tabla ip AddrTable (OID: 1.3.6.1.2.1.4.20) de la MIB2. Para obtener información de la VRF principal, la petición se hace como siempre, aunque ésta se haga desde un gestor que se encuentra en la VRF secundaria. Consúltese el apartado 4.3 del capítulo 1 para más información sobre el control de acceso basado en vistas. group <GroupName> [context <ContextName>] <securitymodel> <securitylevel> {read-view <view> notify-view <view> write-view <view>} securitymodel: modelo de seguridad. Puede ser: any: cualquier modelo de seguridad v1: SNMPv1 v2c: SNMPv2c v3-usm: SNMPv3 User Security Model (actualmente es el único modelo de seguridad definido para SNMPv3) securitylevel: nivel de seguridad (sólo si se selecciona v3-usm como modelo de seguridad). Puede ser: auth: autenticación, no cifrado noauth: no autenticación, no cifrado authpriv: autenticación y cifrado En caso de que no se especifique alguna de las vistas, se interpreta por defecto como la vista asociada a todos los OIDs. Esta vista está siempre creada, y se denomina internamente _all_. En caso de no querer acceso a todos los OIDs se puede utilizar la vista _none_ ROUTER TELDAT - Configuración SNMP II - 10

Asociación de una vista de lectura teldatreadview y una vista de notificación teldatnotifyview al grupo teldatgroup para SNMPv3 con cifrado y autenticación. access teldatgroup v3-usm priv read-view teldatreadview notify-view teldatnotifyview Asociación de una vista de escritura teldatwriteview al grupo teldatgroup2 para SNMPv1. access groupteldat2 v1 write-view teldatwriteview 2.3. COMMUNITY Crea una comunidad o modifica los parámetros de una comunidad ya existente. community <Community Name> default Create a SNMP community with default values access Set access permissions for this community context Set a context for this community subnet Specify subnet with access using this community string view Set a view for this community Community Name: Especifica el nombre de la comunidad (32 caracteres como máximo). Caracteres especiales como espacios, tabuladores, etc., no son válidos. a) COMMUNITY nombre_comunidad DEFAULT Crea una comunidad con los parámetros por defecto o reestablece dichos parámetros para una comunidad ya existente. Los parámetros por defecto son: acceso de lectura y generación de traps vista asociada a toda la MIB acceso permitido desde todas las direcciones IP community public default b) COMMUNITY nombre_comunidad ACCESS Establece el nivel de acceso asociado a una comunidad. Los niveles de acceso posibles son: read-trap: Lectura y generación de traps. trap-only: Generación de traps. write-read-trap: Lectura-escritura y generación de traps. community public access? read-trap Read SNMP variables and generate traps trap-only Generate traps only write-read-trap Read and write SNMP variables and generate traps Valor por defecto: por defecto se permite el acceso de lectura y generación de traps. ROUTER TELDAT - Configuración SNMP II - 11

community public access write-read-trap c) COMMUNITY nombre_comunidad CONTEXT Especifica un contexto que se va a asociar a la comunidad especificada. Este contexto nos permite realizar una asociación entre la comunidad y una VRF secundaria. Para obtener información de una VRF secundaria mediante el contexto, peticiones podemos realizar solamente las siguientes peticiones: sobre la MIB IP-FORWARD-MIB, y en concreto, sobre el objeto ipcidrroutenumber (OID: 1.3.6.1.2.1.4.24.3) y la tabla ipcidrroutetable (OID: 1.3.6.1.2.1.4.24.4), y sobre la tabla ip AddrTable (OID: 1.3.6.1.2.1.4.20) de la MIB2. Para obtener información de la VRF principal, la petición se hace como siempre, aunque ésta se haga desde un gestor que se encuentra en la VRF secundaria. community public context? <1..32 chars> Context name community public context cntxt d) COMMUNITY nombre_comunidad SUBNET Especifica una subred desde la que está permitido el acceso usando la comunidad especificada. NOTA: Las peticiones SNMP pueden llegar dirigidas a cualquiera de las direcciones del router. Se pueden especificar una o más subredes para una comunidad. Para ello se debe repetir la operación tantas veces como subredes se quieran añadir. Las peticiones SNMP serán aceptadas para una comunidad si el resultado de la función lógica AND entre la dirección IP origen de la petición y la máscara de red de la comunidad coincide con el resultado de la función lógica AND entre la dirección IP de la comunidad y la máscara de la misma, en alguna de las direcciones configuradas en la comunidad. Esto quiere decir que se aceptarán peticiones de cualquier equipo de las subredes definidas por las máscaras. Si no se especifica ninguna dirección para la comunidad, las peticiones son aceptadas desde cualquier host. ROUTER TELDAT - Configuración SNMP II - 12

community public subnet? <a.b.c.d> IP Address community public subnet 192.6.2.168? <a.b.c.d> Mask community public subnet 192.6.2.168 255.255.255.0? <cr> Valor por defecto: por defecto se permite el acceso desde cualquier dirección IP. Ejemplo 1: community public subnet 192.6.2.168 255.255.255.0 Esta operación ocasiona que las peticiones con la comunidad public sean aceptadas si provienen de cualquier host de la red 192.6.2.0. Ejemplo 2: community public subnet 192.6.2.168 255.255.255.255 Esta operación ocasiona que las peticiones con la comunidad public sean aceptadas sólo si provienen del host 192.6.2.168. e) COMMUNITY nombre_comunidad VIEW Asigna una vista de la MIB a una comunidad. La vista debe estar previamente creada con el comando SUBTREE. Si la vista que asociamos a la comunidad no existe, se restringe el acceso a toda la MIB. Si se indica que la vista asociada a una comunidad es all, la comunidad tendrá acceso a toda la MIB. community private view teldat Valor por defecto: por defecto se permite el acceso a toda la MIB. 2.4. CONTEXT Crea un contexto o modifica uno existente. context <Context-Name> context TeldatContext 2.5. DEFAULT-CONFIG Habilita la configuración por defecto. El comando DEFAULT-CONFIG habilita SNMP y crea una comunidad que se denomina teldat, con las características siguientes: tiene todos los permisos (lectura, escritura y generación de traps), acepta peticiones de cualquier dirección, y ve toda la MIB. ROUTER TELDAT - Configuración SNMP II - 13

Valor por defecto: la configuración por defecto está habilitada. default-config 2.6. DISABLE Deshabilita el protocolo SNMP. disable NOTA: Si se encuentra habilitada la configuración por defecto, SNMP siempre está habilitado, y por tanto no puede ser deshabilitado hasta que no se deshabilite previamente dicha configuración por defecto. 2.7. ENABLE Habilita el protocolo SNMP. enable Valor por defecto: Por defecto el protocolo SNMP está habilitado. 2.8. ENGINEID LOCAL Configura el engineid que utiliza el router en el protocolo SNMPv3. El engineid identifica unívocamente a una entidad SNMP cuando se utiliza el protocolo SNMPv3. engineid local? <8..64 hex chars> EngineID hexadecimal octet string Valor por defecto: por defecto no hay ningún engineid configurado. En este caso, se genera un engineid aleatorio al arrancar el equipo. 2.9. GROUP Asigna un usuario y modelo de seguridad a un grupo.la tupla <usuario, modelo de seguridad> sólo puede pertenecer a un grupo. Los grupos se utilizan para definir el control de acceso basado en vistas. Para más información, consúltese el apartado 4.3 del capítulo 1. group <secname> <secmodel> <groupname> secname: usuario que se va a añadir a un grupo securitymodel: modelo de seguridad. Puede ser: any: cualquier modelo de seguridad ROUTER TELDAT - Configuración SNMP II - 14

v1: SNMPv1 v2c: SNMPv2c v3-usm: SNMPv3 User Security Model (actualmente es el único modelo de seguridad definido para SNMPv3) groupname: nombre del grupo Creación del grupo teldatgroup, con los usuarios teldatuser para SNMPv3 y teldatuser1 para SNMPv1. group teldatuser v3-usm teldatgroup group teldatuser2 v1 teldatgroup 2.10. HOST Configura un equipo gestor al que enviar notificaciones SNMP, así como las características de envío de dichas notificaciones. host <IP address> <trap inform> version <secmodel> <seclevel> <secname> [udp-port <port>] [vrf <vrf-name>] [{traps}] IP address: dirección IP del equipo gestor al que se envían las notificaciones SNMP. trap: indica que las notificaciones se envian como TRAPS inform: indica que las notificaciones se envian como INFORMs. secmodel: especifica la versión de SNMPv3 empleada en el envío de las notificaciones. Las versiones posibles son: v1: SNMPv1 (no disponible en caso de inform) v2c: SNMPv2c v3: SNMPv3 seclevel: nivel de seguridad empleado en el envío de notificaciones. Sólo es configurable en el caso de SNMPv3. Los valores posibles son: auth: autenticación, no cifrado noauth: no autenticación, no cifrado authpriv: autenticación y cifrado secname: nombre de usuario o comunidad a utilizar en el envío de las notificaciones. udp-port <port>: puerto UDP al que se envían las notificaciones. Este parámetro es opcional. En caso de no especificarse, las notificaciones se envían al puerto 162. vrf <vrf-name>: VRF secundaria sobre la cual se envían las notificaciones. Este parámetro es opcional. En caso de no especificarse, las notificaciones se envían sobre la VRF principal. traps: especifica los tipos de notificación que se envian al equipo gestor. Se pueden especificar varios tipos de notificación. Los tipos de notificación existentes son los siguientes: Tipo all authentication-failure cold-start Descripción todas las notificaciones notificaciones por error de autenticación notificaciones cuando el router ha realizado un arranque en frío ROUTER TELDAT - Configuración SNMP II - 15

enterprise-specific enterprise-specificgroup1 enterprise-specificgroup2 enterprise-specificgroup3 enterprise-specificgroup4 link-down link-up warm-start notificaciones específicas de empresa. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo specific-trap de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE). Al habilitar las notificaciones específias se habilitan automáticamente las de los demás grupos. De esta manera llegan al host los eventos habilitados para snmp-trap y para todos los demás grupos. notificaciones específicas de empresa del grupo 1. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo specifictrap-group1 de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE). notificaciones específicas de empresa del grupo 2. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo specifictrap-group2 de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE). notificaciones específicas de empresa del grupo 3. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo specifictrap-group3 de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE). notificaciones específicas de empresa del grupo 4. Las notificaciones específicas de empresa indican que ha ocurrido algún hecho de los que se han definido como destacables y que deben ser notificados. El campo specifictrap-group4 de la notificación identifica el evento particular que ocurrió. En el Router Teldat, las notificaciones específicas de empresa son las configuradas como tales en el Sistema de Registro de Eventos (SRE). notificación de link down. Indica un fallo en uno de los interfaces del router. La notificación contiene el valor de ifindex del interfaz afectado como primer elemento de su lista de variables. notificación de link up. Indica que uno de los interfaces del router que estaba caído, ha vuelto a funcionar. La notificación contiene el valor de ifindex del interfaz afectado como primer elemento de su lista de variables. notificaciones cuando el router ha realizado un arranque en caliente. Se configura el equipo gestor en la dirección 172.24.51.12 para enviarle traps de SNMPv3 cifradas usando el usuario teldatuser. Las notificaciones se envian al puerto 170. Se envian notificaciones por cambio en los estados de los interfaces. host 172.24.51.12 trap version v3 auth teldatuser udp-port 170 linkup link-down ROUTER TELDAT - Configuración SNMP II - 16

Se configura el equipo gestor en la dirección 172.24.51.13 para enviarle informs SNMPv2 usando la comunidad teldatcomm1. Se envian todas las notificaciones. host 172.24.51.13 inform version v2 teldatcomm1 all Se configura el equipo gestor en la dirección 172.24.51.12 para enviarle traps de SNMPv1 usando la comunidad teldatcomm2. Se envian las notificaciones específicas de empresa. host 172.24.51.12 trap version v1 teldatcomm2 enterprise-specific 2.11. LIST Muestra la configuración del protocolo SNMP. list? access Display current access views configuration all Display all the SNMP configuration information community Display current communities configuration group Display current groups configuration host Display current hosts configuration trap-sending-parameters Display trap sending configuration user Display current users configuration view Display current views configuration a) LIST ACCESS Muestra las vistas configuradas para cada grupo y modelo de seguridad. list access -------------- Access Entries -------------- Group Name Context secmodel seclevel Views ------------ ---------- -------- ------------ ----------------------------- groupteldat2 v1 noauthnopriv readview: writeview: teldatwriteview notifyview: groupteldat v3-usm Priv readview: _all_ writeview: _all_ notifyview: _all_ pap sd any AuthNoPriv readview: fd writeview: ff notifyview: df teldatgroup v3-usm Priv readview: teldatreadview writeview: notifyview: teldatnotifyviewe b) LIST ALL Muestra toda la información de configuración SNMP. ROUTER TELDAT - Configuración SNMP II - 17

list all Default configuration is disabled SNMP is enabled No trap sending parameters, showing default values Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo Community Name IP Address IP Mask --------------------------------- -------------------------- public ALL private 192.6.2.168 255.255.255.255 Community Name Access --------------------------------- -------------------------- public Read, Trap private Read, Write, Trap Community name Views --------------------------------- -------------------------- public mib2 private teldat View name Subtree --------------------------------- -------------------------- mib2 1.3.6.1.2.1 (included) teldat 1.3.6.1.4.1.2007 (included) -------------- Access Entries -------------- Group Name Context secmodel seclevel Views ------------ ---------- -------- ------------ ----------------------------- groupteldat2 v1 noauthnopriv readview: writeview: teldatwriteview notifyview: groupteldat v3-usm Priv readview: _all_ writeview: _all_ notifyview: _all_ pap sd any AuthNoPriv readview: fd writeview: ff notifyview: df teldatgroup v3-usm Priv readview: teldatreadview writeview: notifyview: teldatnotifyviewe ------ Groups ------ SecName secmodel Group name -------------------- -------- ------------------- teldat v3-usm teldatgroup2 teldatmd5aes v3-usm teldatgroup2 teldatmd5des v3-usm teldatgroup2 teldatshades v3-usm teldatgroup2 teldatuser v3-usm teldatgroup2 ROUTER TELDAT - Configuración SNMP II - 18

teldatuser2 v1 teldatgroup ----- Hosts ----- SecName IP Address Type Port Security Traps ----------- --------------- ------ ----- ------------------- ------------------- teldat 172.24.51.12 trap 162 v3-usm Priv Cold Start Warm Start Link Down Link Up Auth. Failure Enterprise Specific teldat2 172.24.51.12 trap 162 v3-usm AuthNoPriv Cold Start Warm Start Link Down Link Up Auth. Failure Enterprise Specific teldatcomm2 172.24.51.12 trap 162 v1 noauthnopriv Enterprise Specific teldatuser 172.24.51.12 trap 170 v3-usm AuthNoPriv Link Down Link Up Ent. Sp. Group 2 Ent. Sp. Group 3 teldatcomm1 172.24.51.12 inform 162 v2c noauthnopriv None ----- Users ----- SecName auth type priv type ------------------------------- --------- --------- teldat sha aes-128 teldatmd5aes md5 aes-128 teldatmd5des md5 des teldatshades sha des teldatuser sha des teldatuser2 sha aes-128 NOTA: Si está habilitada la configuración por defecto, SNMP siempre está habilitado. c) LIST COMMUNITY Muestra información de las comunidades configuradas. list community? access Display the access mode information for all communities address Display the associated addresses information for all communities view Display the view information associated to each community ROUTER TELDAT - Configuración SNMP II - 19

LIST COMMUNITY ACCESS Muestra información del nivel de acceso asociado a las distintas comunidades configuradas. list community access Community Name Access --------------------------------- -------------------------- public Read, Trap private Read, Write, Trap LIST COMMUNITY ADDRESS Muestra información de las subredes desde las que está permitido el acceso usando las distintas comunidades. list community address Community Name IP Address IP Mask --------------------------------- -------------------------- public ALL private 192.6.2.168 255.255.255.255 LIST COMMUNITY VIEW Muestra información de la vista asociada a cada comunidad. list community view Community name Views --------------------------------- -------------------------- public mib2 private teldat d) LIST GROUP Muestra información de los grupos configurados. list group ------ Groups ------ SecName secmodel Group name -------------------- -------- ------------------- teldat v3-usm teldatgroup2 teldatmd5aes v3-usm teldatgroup2 teldatmd5des v3-usm teldatgroup2 teldatshades v3-usm teldatgroup2 teldatuser v3-usm teldatgroup2 teldatuser2 v1 teldatgroup e) LIST HOST Muestra información de las notificaciones configuradas. ROUTER TELDAT - Configuración SNMP II - 20

list host ----- Hosts ----- SecName IP Address Type Port VRF Name Security Traps ----------- --------------- ------ ----- ------------ ------------------- ------------------- teldat 172.24.51.12 trap 162 <main> v3-usm Priv Cold Start Warm Start Link Down Link Up Auth. Failure Enterprise Specific teldat2 172.24.51.12 trap 162 <main> v3-usm AuthNoPriv Cold Start Warm Start Link Down Link Up Auth. Failure Enterprise Specific teldatcomm2 172.24.51.12 trap 162 <main> v1 noauthnopriv Enterprise Specific teldatuser 172.24.51.12 trap 170 <main> v3-usm AuthNoPriv Link Down teldatcomm1 172.24.51.12 inform 162 <main> v2c noauthnopriv None f) LIST TRAP-SENDING-PARAMETERS Muestra información relativa al envío de notificaciones. list trap-sending-parameters No trap sending parameters, showing default values Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo g) LIST USER Muestra información de los usuarios configurados. list user Link Up Ent. Sp. Group 2 Ent. Sp. Group 3 ----- Users ----- ROUTER TELDAT - Configuración SNMP II - 21

SecName auth type priv type ------------------------------- --------- --------- teldat sha aes-128 teldatmd5aes md5 aes-128 teldatmd5des md5 des teldatshades sha des teldatuser sha des teldatuser2 sha aes-128 h) LIST VIEW Muestra información de las vistas definidas en el sistema, con las partes de la MIB o subtrees asociados a cada una. list view View name Subtree --------------------------------- -------------------------- teldatview 1.3.6.1.4.1.2007 (included) mib2 1.3.5.1.2.1 (included) 2.12. MIB Permite configurar opciones para las MIBs. mib <mibname> <variablename> <option> a) MIB IFMIB Permite configurar opciones de la MIB IF-MIB. mib? ifmib Options for IF-MIB MIB IFMIB IFALIAS Permite configurar opciones para la variable ifalias de la MIB IF-MIB. mib ifmib? ifalias Options for ifalias variable mib ifmib ifalias? 256 Change ifalias value larger than 64 characters 256: Permite aumentar el límite máximo en la longitud permitida para la cadena de caracteres que constituye el valor de la variable ifalias. mib ifmib ifalias 256 2.13. NO Configura parámetros con valores por defecto o borra configuración. ROUTER TELDAT - Configuración SNMP II - 22

no? access community context default-config engineid group host mib subtree trap user Borrado de la comunidad private no community private Specify access views asociated to a group and security model Create a community or modify parameters of an existing one Create a context or modify an existing one Enable the SNMP default configuration Specify an SNMPv3 EngineID Assign a <user, securitymodel> tuple to a group Specify a host to receive SNMP notification messages Configure options for a MIB Create or modify a MIB view Set trap parameters Create a SNMPv3 user or modify parameters of an existing one Borrado de toda la configuración de notificaciones asociada al equipo gestor 172.24.51.12. no host 172.24.51.12 Configuración por defecto del tiempo máximo que se guarda una notificación antes de enviarse. no trap sending-parameters time 2.14. SUBTREE Crea una nueva vista o añade una porción de la MIB a una vista ya esistente. Es posible incluir o excluir la porción de la MIB de la vista existente. Para asignar una vista a una o más comunidades utilice el comando COMMUNITY nombre_comunidad VIEW. Para asignar una vista a un grupo, utilice el comando ACCESS. subtree <viewname> <OID> <included excluded> View name OID included excluded Especifica el nombre de la vista (32 caracteres como máximo). Caracteres especiales, como espacios, tabuladores, etc. no son válidos. Especifica el identificador del objeto de la MIB (subtree). Todos los objetos que cuelguen de este OID estarán incluidos o excluidos de la vista. El OID especificado está incluido en la vista (puede accederse a él). El OID especificado está excluido de la vista (no puede accederse a él). subtree mib2 1.3.6.1.2.1 included ROUTER TELDAT - Configuración SNMP II - 23

Si en una vista se indican una o varias porciones de la MIB de tipo excluded, todo lo no perteneciente está excluido también de la vista. Es decir, por defecto se restringe el acceso a todas las variables que no se especifiquen explicítamente como included. 2.15. TRAP Configura los parámetros utilizados para determinar las condiciones de envío de notificaciones. trap? sending-parameters Set trap sending parameters a) TRAP SENDING-PARAMETERS Permite configurar los parámetros de envío de notificaciones. El envío de una notificación SNMP puede provocar una llamada X.25 o RDSI si el destinatario de las notificaciones se encuentra situado al otro lado de un interfaz de ese tipo. Por ello puede ser conveniente agrupar las notificaciones a enviar en un buffer y enviarlas todas juntas, para reducir el número de llamadas realizadas. Además, interesaría asegurarse de que la dirección que se ha configurado como destino de las notificaciones es alcanzable (se ha establecido ya la llamada, siguiendo con el ejemplo anterior), de modo que la probabilidad de que las notificaciones se pierdan por el camino disminuya. Sin embargo, en otras ocasiones puede que lo que más interese sea recibir las notificaciones lo más rápido posible, por lo que convendría minimizar el número de notificaciones que se guardarán en el buffer antes de ser enviadas o el tiempo máximo en que una notificaciones puede permanecer esperando ser transmitida. En este caso tampoco sería recomendable comprobar si la estación gestora que recibirá las notificaciones es alcanzable, ya que esto podría introducir un cierto retardo si se tiene que esperar a recibir la respuesta al ECHO UDP o ICMP que desde el equipo se envía a cada destino configurado para averiguar si está accesible. El tipo de traps enviadas al notificar un evento es otro de los parámetros que se puede configurar mediante este comando. Los parámetros de envío de notificaciones que se configuran desde esta opción son: NUMBER Tamaño del buffer de notificaciones a reagrupar: número de notificaciones que pueden llegar a almacenarse antes de enviarse al destino. REACHABILITY-CHECKING Indica si se realizarán las comprobaciones de alcanzabilidad de las estaciones gestoras configuradas como destino de las notificaciones antes de proceder a su envío. TIME Tiempo máximo que se guarda una notificación en el buffer antes de enviarse (si el buffer no se llena antes). FORMAT Formato de la lista de variable-bindings que se construye al enviar una trap. ROUTER TELDAT - Configuración SNMP II - 24

trap sending-parameters? number Number of traps to store before sending reachability-checking Reachability checking before sending traps time Max time to store traps in buffer before sending format Configure the variable-bindings list format TRAP SENDING-PARAMETERS NUMBER Configura el tamaño del buffer de notificaciones a reagrupar, es decir, el número de notificaciones que pueden llegar a almacenarse antes de enviarse al destino. En cualquier caso las notificaciones se enviarán individualmente, cada una en un paquete UDP. trap sending-parameters number? <1..63> Max number of traps to store Valor por defecto: por defecto se almacenan 32 notificaciones. trap sending-parameters number 30 TRAP SENDING-PARAMETERS REACHABILITY-CHECKING Este parámetro indica si se realizarán las comprobaciones de alcanzabilidad de las estaciones gestoras configuradas como destino de las notificaciones antes de proceder a su envío. Los valores permitidos para esta variable son: icmp: se habilita el envío de ECHO ICMP a los destinos para determinar si son accesibles. ip-route: las notificaciones se enviarán sólo cuando haga más de 10 segundos (o el valor configurado) que existe una ruta para ir al destino. Mediante la opción up-delay se puede configurar durante cuánto tiempo ha de existir ruta IP al destino para determinar que es accesible. udp: se habilita el envío de ECHO UDP a los destinos para determinar si son accesibles. trap sending-parameters reachability-checking? icmp ICMP checking ip-route IP route checking udp UDP checking trap sending-parameters reachability-checking ip-route? up-delay IP route uptime to consider it accesible <cr> trap sending-parameters reachability-checking ip-route up-delay? <1s..10m> Route uptime Valor por defecto: por defecto se utiliza el envío de ECHO UDP. trap sending-parameters reachability-checking ip-route up-delay 15s TRAP SENDING-PARAMETERS TIME Tiempo máximo que se guarda una notificación en el buffer antes de enviarse si el buffer no se llena antes. Las notificaciones se envían cuando el buffer se llena o cuando han pasado como máximo los segundos indicados por este parámetro si el buffer no se ha llenado antes. ROUTER TELDAT - Configuración SNMP II - 25

trap sending-parameters time? <0s..3550w> Max time storing traps (Time value) Valor por defecto: por defecto las notificaciones se almacenan como máximo durante 50 segundos. trap sending-parameters time 40s TRAP SENDING-PARAMETERS FORMAT El tipo de trap que se construye al notificar un evento depende del formato configurado con este comando. Con la opción de formato legacy cada evento del sistema que se notifica mediante SNMP, se transforma en un mismo tipo de trap, que incluye una lista de variable-bindings cuyo tamaño depende del número de argumentos del evento. En la recepción de dos traps de este tipo, la misma variablebinding en cada una de las traps puede contener instancias de un objeto cuyo significado y sintaxis sea diferente en función del evento que las genera. Este modo de envío de traps es propietario y no sigue el estándar. Mediante la opción de formato standard, cada evento que se notifica se transforma en un tipo de trap específico para ese evento, cuyos argumentos se convierten en la lista de variable-bindings definida para ese tipo de trap. trap sending-parameters format { legacy standard } La opción de formato configurada por defecto es legacy. 2.16. USER Configura un usuario para SNMPv3. Especifica las características de autenticación y cifrado asociadas al usuario. user <username> [auth {md5 sha} {plain ciphered} <auth-key> [priv {aes128 des} {plain ciphered} <priv-key>]] username: identificador del usuario. auth: tipo de autenticación utilizada. Puede ser md5 o sha. plain: elija esta opción para introducir la clave sin cifrar. ciphered: elija esta opción para introducir la clave cifrada. auth-key: clave utilizada para la autenticación. priv: tipo de cifrado utilizado. Puede ser aes128 o des. priv-key: clave utilizada para el cifrado. Configuración de un usuario teldat sin parámetros de seguridad (sin autenticación ni cifrado). user teldat Configuración de un usuario teldatmd5 con autenticación MD5 utilizando la clave teldatauth y sin cifrado. ROUTER TELDAT - Configuración SNMP II - 26

user teldatmd5 auth md5 plain teldatauth Configuración de un usuario teldatshaaes con autenticación SHA utilizando la clave teldatauth2 y cifrado AES-128 utilizando la clave teldatpriv. user teldatshaaes auth sha plain teldatauth2 priv aes128 plain teldatpriv 2.17. EXIT Sale del menú de configuración del protocolo SNMP. exit exit Config> ROUTER TELDAT - Configuración SNMP II - 27

Capítulo 3 Monitorización del agente SNMP

1. Acceso al entorno de monitorización SNMP Para acceder al entorno de monitorización SNMP, utilize el comando PROTOCOL SNMP desde el menú de monitorización general. +protocol snmp -- SNMP protocol monitor -- SNMP+ ROUTER TELDAT Monitorización SNMP III - 29

2. Comandos de monitorización SNMP Comando Función? (AYUDA) Muestra comandos u opciones. LIST Muestra información del protocolo SNMP. EXIT Sale del menú de monitorización del protocolo SNMP. 2.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando. SNMP+? SNMP+? list exit SNMP+ Show protocol information 2.2. LIST Muestra la configuración actual del protocolo SNMP. SNMP+list? access-entry all community debug group host statistics trap-sending-parameters user view Access entries information All the information Communities information Debug information Groups information Hosts and notifications information SNMP statistics Information related to sending traps Users information Views defined in the system a) LIST ACCESS-ENTRY Muestra las vistas asociadas a cada grupo y modelo de seguridad. SNMP+list access-entry Access Group Name Access Parameters --------------------------------- -------------------------- grpcomm1 Context: Context match: prefix Security model: any noauthnopriv Read view: teldatview Write view: teldatview Notify view: teldatview grpcomm2 Context: ROUTER TELDAT Monitorización SNMP III - 30

Context match: prefix Security model: any noauthnopriv Read view: _all_ Write view: <not specified> Notify view: _all_ groupteldat groupteldat2 Context: Context match: exact Security model: v3 (USM) authpriv Read view: _all_ Write view: _all_ Notify view: _all_ Context: Context match: exact Security model: v1 noauthnopriv Read view: _all_ Write view: teldatwriteview Notify view: _all_ La configuración de comunidades se transforma internamente a configuración de grupos. Este es el motivo de que aparezcan grupos no configurados explícitamente. b) LIST ALL Muestra toda la información de configuración SNMP actualmente activa. SNMP+list all SNMP+list all SNMP is enabled Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo Community Name IP Address IP Mask --------------------------------- -------------------------- private ALL Community Name Access --------------------------------- -------------------------- private Read, Write, Trap Community name Views --------------------------------- -------------------------- private teldatview Community Name SecName Parameters --------------------------------- -------------------------- private Context: SecName: comm1 ROUTER TELDAT Monitorización SNMP III - 31

Network prefix: 0.0.0.0/0 Access Group Name Access Parameters -------------------------------- -------------------------- grpcomm1 Context: Context match: prefix Security model: any noauthnopriv Read view: teldatview Write view: teldatview Notify view: teldatview grpcomm2 groupteldat groupteldat2 Context: Context match: prefix Security model: any noauthnopriv Read view: _all_ Write view: <not specified> Notify view: _all_ Context: Context match: exact Security model: v3 (USM) authpriv Read view: _all_ Write view: _all_ Notify view: _all_ Context: Context match: exact Security model: v1 noauthnopriv Read view: _all_ Write view: teldatwriteview Notify view: _all_ Group Name Parameters --------------------------------- -------------------------- grpcomm1 SecName: comm1 Security model: v1 teldatgroup grpcomm1 teldatgroup SecName: teldatuser2 Security model: v1 SecName: comm1 Security model: v2c SecName: teldatuser Security model: v3 (USM) There are no host notifications User Name Parameters --------------------------------- -------------------------- teldatuser ROUTER TELDAT Monitorización SNMP III - 32

Engine ID: 1234567890 Group-name: teldatgroup SecName: teldat Authentication Protocol: SHA Privacy Protocol: AES128 _all all all none none none_ SNMP+ view subtree:.0 view mask: view type: included view subtree:.1 view mask: view type: included view subtree:.2 view mask: view type: included view subtree:.0 view mask: view type: excluded view subtree:.1 view mask: view type: excluded view subtree:.2 view mask: view type: excluded c) LIST COMMUNITY Muestra información de las comunidades configuradas. SNMP+list community? access Display the access mode information for all communities address Display the associated addresses information for all communities view Display the view information associated to each community LIST COMMUNITY ACCESS Muestra información del nivel de acceso asociado a las distintas comunidades configuradas. SNMP+list community access ROUTER TELDAT Monitorización SNMP III - 33

SNMP+list community access Community Name Access --------------------------------- -------------------------- public Read, Trap private Read, Write, Trap SNMP+ LIST COMMUNITY ADDRESS Muestra información de las subredes desde las que está permitido el acceso usando las distintas comunidades. SNMP+list community address SNMP+list community address Community Name IP Address IP Mask --------------------------------- -------------------------- public ALL private 192.6.2.168 255.255.255.255 SNMP+ LIST COMMUNITY VIEW Muestra información de la vista asociada a cada comunidad. SNMP+list community view SNMP+list community view Community name Views --------------------------------- -------------------------- public mib2 private teldat SNMP+ d) LIST DEBUG Muestra información de las estructuras internas usadas en el código de SNMP. Esta información es útil únicamente para depurar. e) LIST GROUP Muestra información de los grupos configurados. SNMP+list group SNMP+list group Group Name Parameters --------------------------------- -------------------------- grpcomm1 SecName: comm1 Security model: v1 teldatgroup SecName: teldatuser2 Security model: v1 ROUTER TELDAT Monitorización SNMP III - 34

grpcomm1 teldatgroup SecName: comm1 Security model: v2c SecName: teldatuser Security model: v3 (USM) f) LIST HOST Muestra información de las notificaciones configuradas. SNMP+list host SNMP+list host Host Address Parameters --------------------------------- -------------------------- 172.24.51.12 UDP port: 162 Notification type: trap SecName: private Message Processing Model: v1 security: v1 noauthnopriv g) LIST STATISTICS Muestra estadísticos de paquetes recibidos y enviados. SNMP+list statistics SNMP+list statistics ----------------------------------------- SNMP Counters ----------------------------------------- In Packets... 0 In Bad Versions... 0 In Bad Community Names... 0 In Bad Community Uses... 0 In ASN Parse Errors... 0 In Total Request Variables... 0 In Total Set Variables... 0 In GET Requests... 0 In GET-NEXT Requests... 0 In SET Requests... 0 In GET-RESPONSEs... 0 In Traps... 0 Out Packets... 0 Out Packets Too Big... 0 Out No Such Names... 0 Out Bad Values... 0 Out Generic Errors... 0 Out GET-RESPONSEs... 0 Out Traps... 0 ----------------------------------------- USM Counters ----------------------------------------- Unsupported Security Levels... 0 Not In Time Windos... 0 Unknown User Names... 0 ROUTER TELDAT Monitorización SNMP III - 35

Unknown Engine IDs... 0 Wrong Digests... 0 Descryption Errors... 0 ----------------------------------------- Target MIB Counters ----------------------------------------- Unknown Contexts... 0 ----------------------------------------- Other Counters ----------------------------------------- Unknown Security Models... 0 Invalid Messages... 0 Unknown PDU Handlers... 0 SNMP+ h) LIST TRAP-SENDING-PARAMETERS Muestra la información relativa al envío de notificaciones. SNMP+list trap-sending-parameters SNMP+list trap-sending-parameters Max time storing traps (seg): 50 Max number of traps to store: 32 Manager reachability check before sending traps: UDP echo SNMP+ i) LIST USER Muestra información de los usuarios configurados. SNMP+list user SNMP+list user User Name Parameters --------------------------------- -------------------------- teldatuser Engine ID: 1234567890 Group-name: teldatgroup SecName: teldat Authentication Protocol: SHA Privacy Protocol: AES128 j) LIST VIEW Muestra información de las vistas definidas en el sistema. SNMP+list view SNMP+list view _all_ view subtree:.0 view mask: view type: included ROUTER TELDAT Monitorización SNMP III - 36

_all all none none none_ view subtree:.1 view mask: view type: included view subtree:.2 view mask: view type: included view subtree:.0 view mask: view type: excluded view subtree:.1 view mask: view type: excluded view subtree:.2 view mask: view type: excluded SNMP+ 2.3. EXIT Sale del menú de monitorización del protocolo SNMP. SNMP+exit SNMP+exit + ROUTER TELDAT Monitorización SNMP III - 37

Capítulo 4 Ejemplos de configuración

1. SNMPv1 Se configura una comunidad private con acceso de lectura y escritura, accesible desde la subred 172.24.0.0. community private access write-read-trap community private subnet 172.24.0.0 255.255.0.0 ROUTER TELDAT Ejemplos de Configuración SNMP IV - 39

2. SNMPv3 Se configuran cuatro usuarios diferentes, usando las diferentes combinaciones de autenticación y cifrado posibles. Los cuatro usuarios tiene acceso a toda la MIB. Se configura, además, el engineid, para facilitar la captura y descifrado de los datos con un analizador de tráfico. Primero se configura el engineid: engineid local 1234567890 A continuación, se configuran los distintos usuarios: user teldatshaaes auth sha plain teldatshakey1 priv aes128 plain teldataeskey1 user teldatmd5aes auth md5 plain teldatmd5key1 priv aes128 plain teldataeskey2 user teldatmd5des auth md5 plain teldatmd5key2 priv des plain teldatdeskey1 user teldatshades auth sha plain teldatshakey2 priv des plain teldatdeskey2 Se asocian los usuarios a un grupo: group teldatshaaes v3-usm teldatgroup group teldatmd5aes v3-usm teldatgroup group teldatmd5des v3-usm teldatgroup group teldatshades v3-usm teldatgroup Por último, se definen las vistas asociadas a dicho grupo. Se utiliza la vista _all_ para indicar todos los OIDs. access teldatgroup v3-usm priv read-view _all_ write-view _all_ noti fy-view _all_ La configuración final queda como sigue: sho conf ; Showing Menu and Submenus Configuration for access-level 15... ; Super Router * * Version 10.8.0-Alfa engineid local 1234567890 user teldatmd5aes auth md5 ciphered 0x9EF49A1E6DE98B3A17B395CC91972DD1 priv aes128 ciphered 0xF85A722D9DFE44BD02B19BD7FDF39A31 user teldatmd5des auth md5 ciphered 0x9EF49A1E6DE98B3A3B301FEBBE355690 priv des ciphered 0xC5577087CC1FC12A979CDB77D6EE1682 user teldatshaaes auth sha ciphered 0xABF7853ECFB670CAF5830731ECEF2D4F priv aes128 ciphered 0xF85A722D9DFE44BD56ADCA608C25C3EE user teldatshades auth sha ciphered 0xABF7853ECFB670CA26C2B4252C567511 priv des ciphered 0xC5577087CC1FC12AB10CF76833CD4F80 ; group teldatmd5aes v3-usm teldatgroup ; group teldatmd5des v3-usm teldatgroup ; group teldatshaaes v3-usm teldatgroup ; group teldatshades v3-usm teldatgroup ROUTER TELDAT Ejemplos de Configuración SNMP IV - 40

; ; access teldatgroup v3-usm priv read-view _all_ write-view _all_ notify-view _all_ ; ROUTER TELDAT Ejemplos de Configuración SNMP IV - 41

3. SNMPv1/v2 consultas multi-vrf Se necesita configurar un contexto asociado a la VRF secundaria que se quiere consultar. Este contexto se define en el menú del protocol SNMP y además ha de asociarse a la comunidad. log-command-errors no configuration feature vrf ; -- VRF user configuration -- vrf vrf1 context ctxt exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -- ip address 192.168.10.1 255.255.255.0 ; exit ; ; protocol snmp ; -- SNMP user configuration -- community second context ctxt ; context ctxt ; exit ; dump-command-errors end ROUTER TELDAT Ejemplos de Configuración SNMP IV - 42

4. SNMPv3 consultas multi-vrf Se necesita configurar un contexto asociado a la VRF secundaria que se quiere consultar. Este contexto se define en el menú del protocol SNMP y además ha de asociarse al comando access. log-command-errors no configuration feature vrf ; -- VRF user configuration -- vrf vrf1 context ctxt exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -- ip address 192.168.10.1 255.255.255.0 ; exit ; ; protocol snmp ; -- SNMP user configuration -- user snmp_user ; group snmp_user v3-usm snmp_group ; access snmp_group context ctxt v3-usm noauth ; context ctxt ; exit ; dump-command-errors end ROUTER TELDAT Ejemplos de Configuración SNMP IV - 43