Configurer SNMPv3 sur un Nexus 7000 (en version 6.1(3))

Cisco NX-OS supporte une unique instance SNMP par VDC (Virtual Device Context).

SNMP est est VRF-aware, il est possible de configurer SNMP pour utiliser une VRF particulière afin d'accéder au superviseur.

 

Configuration des utilisateurs SNMP

Il est possible de configurer un utilisateur SNMP à l'aide de la commande :

snmp-server user Admin auth sha abcd1234 priv abcdefgh

 

Renforcement du Cryptage des messages SNMP

Il est possible de configurer SNMP afin qu'il exige une authentification ou un cryptage des requêtes entrantes. Par défaut, l'agent SNMP accepte les messages SNMPv3 sans authentification ni cryptage. En cas de renforcementCisco NX-OS répond avec une authorizationError pour toute requête PDU SNMPv3 utilisant le paramètre securityLevel configuré à noAuthNoPriv ou authNoPriv.

Pour renforcer le cryptage des messages SNMP d'un utilisateur, utiliser la commande globale :
"snmp-server user name enforcePriv"

Pour le faire pour l'ensemble des utilisateurs, utiliser la commande : "snmp-server globalEnforcePriv".

 

Affecter un utilisateur à plusieurs Rôles

Après avoir configurer un utilisateur SNMP, il est possible de lui affecter plusieurs rôles via la commande globale suivante : "snmp-server user name group"

 

SNMP Notification Receivers

Il est possible d'affecter plusieurs superviseurs à un agent. Pour SNMPv3, cela peut être fait ainsi : "snmp-server host ip-address {traps | informs} version 3 {auth | noauth | priv} username [udp_port number]".

Il est possible d'envoyer des traps ou des informs à une adresse IPv4 ou IPv6. Le port UDP doit être choisi dans la plage 0 à 65535.

Le superviseur SNMP doit connaître les identifiants (authKey/PrivKey) afin d'authentifier et décrypter les messages SNMPv3.

Il est possible de spécifier l'interface source utilisée pour un superviseur ou pour tous les superviseurs. Pour un superviseur : "snmp-server host ip-address source-interface if-type if-number [udp_port number]", par exemple "snmp-server host 192.0.2.1 source-interface ethernet 2/1".

Pour tous les superviseurs : "snmp-server source-interface {traps | informs} if-type if-number".

Utiliser la commande "show snmp source-interface" pour afficher les informations concernant les interfaces sources.

 

Vérifier la configuration SNMP

Les commandes suivantes permettent la vérification de la configuration SNMP :

 

 D'autres informations sur SNMP sont disponibles dans cet article : Simple Network Management Protocol (SNMP)

Informations supplémentaires