Mikan Network Lab.

ネットワーク技術やCisco製品に関して、勉強・検証した内容を発信しています。

Mikan Network Lab.

IOS: SNMP - SNMPv3ポーリング

Cisco IOSにおけるSNMPv3ポーリングの設定例を記載します。

目次

1. 前提条件

本記事は以下に基づいて作成しています。
・Cisco Modeling Labs 2.1.1
・Cisco IOS Software, Version 15.9(3)M2
・CentOS 7.9.2009 (Core)
・Net-SNMP 5.7.2-49

2. 要件

  • SNMPv3を用いてSNMPマネージャからR1のMIBオブジェクトを取得できるように設定してください。
  • SNMPグループは名前「SNMP_GROUP」、セキュリティレベル「authPriv」とし、アクセスできるSNMPマネージャは192.168.12.201のみに制限してください。
  • SNMPユーザは名前「SNMP_USER」、認証方式「SHA」、認証パスワード「PASSWORD1」、暗号化方式「AES128」、暗号化パスワード「PASSWORD2」としてください。

構成図

3. 設定例

要件を満たす設定例を以下に示します。

 R1 

hostname R1
!
interface GigabitEthernet0/0
 ip address 192.168.12.254 255.255.255.0
!
ip access-list standard SNMP_ACL
 permit 192.168.12.201
!
snmp-server group SNMP_GROUP v3 priv access SNMP_ACL
snmp-server user SNMP_USER SNMP_GROUP v3 auth sha PASSWORD1 priv aes 128 PASSWORD2

4. 動作確認

4.1. show snmp group

  • R1でSNMPグループ「SNMP_GROUP」が設定されていることを確認します。

R1#show snmp group
groupname: ILMI                             security model:v1
contextname: <no context specified>         storage-type: permanent
readview : *ilmi                            writeview: *ilmi
notifyview: <no notifyview specified>
row status: active

groupname: ILMI                             security model:v2c
contextname: <no context specified>         storage-type: permanent
readview : *ilmi                            writeview: *ilmi
notifyview: <no notifyview specified>
row status: active

groupname: SNMP_GROUP                       security model:v3 priv
contextname: <no context specified>         storage-type: nonvolatile
readview : v1default                        writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active      access-list: SNMP_ACL

4.2. show snmp user

  • R1でSNMPユーザ「SNMP_USER」が設定されていることを確認します。

R1#show snmp user

User name: SNMP_USER
Engine ID: 80000009030052540016F5B1
storage-type: nonvolatile        active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SNMP_GROUP

4.3. snmpwalk

  • SNMPマネージャ192.168.12.201からR1に対してホスト名を取得するSNMPポーリングを実施し、ホスト名を取得できていることを確認します。
  • SNMPマネージャ192.168.12.202からR1に対してホスト名を取得するSNMPポーリングを実施し、ホスト名を取得できていないことを確認します。

[root@localhost ~]# ifconfig ens33 | grep 192.168.12.
        inet 192.168.12.201  netmask 255.255.255.0  broadcast 192.168.12.255

[root@localhost ~]# snmpwalk -v3 -l authPriv -a sha -A PASSWORD1 -x aes -X PASSWORD2 -u SNMP_USER 192.168.12.254 sysName
SNMPv2-MIB::sysName.0 = STRING: R1
[root@localhost ~]# ifconfig ens33 | grep 192.168.12.
        inet 192.168.12.202  netmask 255.255.255.0  broadcast 192.168.12.255

[root@localhost ~]# snmpwalk -v3 -l authPriv -a sha -A PASSWORD1 -x aes -X PASSWORD2 -u SNMP_USER 192.168.12.254 sysName
Timeout: No Response from 192.168.12.254

5. 補足

  • SNMPユーザの設定はrunning-config、startup-config上に出力されません。