Ce document décrit les nouvelles fonctionnalités SNMP (Simple Network Management Protocol) disponibles pour le pare-feu de la gamme ASA 5500-X de Cisco dans les versions 9.1.5 et 9.2.1 et ultérieures du logiciel.
Aucune spécification déterminée n'est requise pour ce document.
Les informations de ce document sont basées sur le pare-feu de la gamme Cisco ASA 5500-X qui exécute le logiciel Cisco ASA® version 9.1.5 et 9.2.1 et ultérieures.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Dans les versions 9.1.5 et 9.2.1 d'ASA, ces améliorations SNMP sont présentées :
Cette fonctionnalité permet à l'ASA de prendre en charge plus que les 32 hôtes SNMP actuels.
Actuellement, l'ASA a une limite de 32 hôtes SNMP au total. Cela inclut les hôtes qui peuvent être configurés pour les pièges et pour l'interrogation. Les sections suivantes décrivent les effets de cette fonction sur les modes à contexte unique et multicontexte.
Vous pouvez préférer surveiller les périphériques réseau à partir d'un grand pool d'hôtes SNMP. Idéalement, vous souhaitez pouvoir spécifier une plage IP et/ou un sous-réseau des adresses IP autorisées à surveiller les périphériques réseau. L'ASA n'offre actuellement pas cette flexibilité et limite le nombre maximal d'hôtes SNMP à 32.
La prise en charge de cette fonctionnalité comporte deux aspects :
La conception actuelle de l'ASA est telle que des hôtes individuels peuvent être configurés via l'interface de ligne de commande. Pour cette fonction, les exigences de conception supplémentaires suivantes ont été prises en compte :
Certaines restrictions et restrictions logicielles associées à cette fonctionnalité sont les suivantes :
Voici un exemple :
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List
Entrez la commande show snmp-server host afin d'afficher les entrées d'hôte :
asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
host ip = 64.103.236.43, interface = inside poll version 3 cisco1
host ip = 64.103.236.44, interface = inside poll version 3 cisco1
host ip = 64.103.236.45, interface = inside poll version 3 cisco1
host ip = 64.103.236.46, interface = inside poll version 3 cisco1
host ip = 64.103.236.47, interface = inside poll version 3 cisco1
host ip = 64.103.236.48, interface = inside poll version 3 cisco1
host ip = 64.103.236.49, interface = inside poll version 3 cisco1
host ip = 64.103.236.50, interface = inside poll version 3 cisco1
host ip = 64.103.236.51, interface = inside poll version 3 cisco1
host ip = 64.103.236.52, interface = inside poll version 3 cisco1
host ip = 64.103.236.53, interface = inside poll version 3 cisco1
host ip = 64.103.236.54, interface = inside poll version 3 cisco1
host ip = 64.103.236.55, interface = inside poll version 3 cisco1
Voici quelques remarques importantes sur l'utilisation de cette fonctionnalité :
Utilisez les informations décrites dans cette section afin de configurer l'ASA afin que cette nouvelle fonctionnalité soit implémentée.
Pour SNMP Version 3, l'administrateur peut associer différents utilisateurs à un groupe d'hôtes spécifié. Cela est utile si l'administrateur souhaite qu'un ensemble d'utilisateurs ait la possibilité d'accéder à l'ASA à partir d'un groupe d'hôtes. Cette commande CLI est utilisée afin de configurer une liste d'utilisateurs pour plusieurs utilisateurs :
ASA(config)# [no] snmp-server user-listusername
Afin d'associer la liste des utilisateurs à un groupe d'hôtes, entrez cette commande dans l'interface de ligne de commande :
[no] snmp-server host-group[trap|poll]
[community [enc_type]] [version {1 | 2c | 3 [user name | user-list
]}] [udp-port ]
Avec cette commande unique, vous pouvez spécifier un objet réseau afin d'indiquer les hôtes multiples qui doivent être ajoutés. Avec l'objet réseau, vous pouvez spécifier un masque de sous-réseau ou la plage d'adresses IP à ajouter, à l'aide d'une seule commande. Toutes les adresses IP répertoriées comme faisant partie de l'objet réseau sont ajoutées en tant qu'entrées d'hôte SNMP. De même, pour chacun des utilisateurs spécifiés dans la liste des utilisateurs, il existe une entrée hôte SNMP distincte.
Ces commandes sont utilisées afin de permettre aux administrateurs d'effacer et d'afficher les nouvelles options de configuration pour les serveurs SNMP :
Complétez ces étapes afin d'utiliser les nouvelles options de groupe SNMP et de créer un groupe d'hôtes de serveur SNMP pour l'interrogation de la version 2c :
asa(config)# object network network1
asa(config-network-object)# range 64.103.236.40 64.103.236.50
asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
asa(config)#snmp-server user-list SNMP-List username cisco1
asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List
Cette image illustre les modifications apportées dans Cisco Adaptive Security Device Manager (ASDM) :
Cette fonctionnalité permet à l'ASA de prendre en charge les OID SNMP cpmCPUTotal5minRev.
Cette fonctionnalité ajoute la prise en charge des OID cpmCPUTotal5minRev et cpmCPUTotal1minRev sur l'ASA et désapprouve les OID actuellement pris en charge cpmCPUTotal5min et cpmCPUTotal1min. L'objectif de ces OID est de surveiller l'utilisation du processeur. Les OID actuellement pris en charge vont de 1 à 100, tandis que les OID nouvellement pris en charge vont de 0 à 100. C'est pourquoi des OID plus récents ont été pris en charge, car ils couvrent une plus large gamme.
Il est important de noter que puisque les OID déconseillés (cpmCPUTotal5min et cpmCPUTotal1min) ne sont plus pris en charge sur l'ASA, si l'ASA est mis à niveau et que les OID déconseillés sont interrogés, l'ASA ne renvoie aucune information pour ces OID. Après une mise à niveau de l'ASA, vous devez maintenant surveiller le cpmCPUTotal5minRev et cpmCPUTotal1minRev pour l'utilisation du CPU.
Aucune modification CLI n'a été introduite avec cette nouvelle fonctionnalité.
Voici les nouveaux OID ajoutés avec cette fonctionnalité :
Les plates-formes ASA limitent la taille de paquet maximale pour les requêtes SNMP à 512 octets. Lorsque vous exécutez une requête en masse pour un grand nombre d'OID MIB dans une seule requête SNMP, le délai de connexion SNMP et un syslog d'erreur sont générés sur l'ASA. Le RFC3417 suggère que la taille maximale de paquet pour les requêtes SNMP doit être de 1 472 octets. Il s'agit de la taille de la charge utile SNMP pour le paquet. En outre, l’en-tête Ethernet et la taille de l’en-tête IP doivent être ajoutés afin de calculer la taille totale du paquet.
Cette section fournit des informations que vous pouvez utiliser afin de dépanner les problèmes système sur l'ASA.
Ces commandes show peuvent être utiles lorsque des tentatives sont faites pour résoudre des problèmes sur l'ASA :
Cette commande CLI affiche les entrées présentes dans la table d'adresses du serveur SNMP, qui inclut les configurations de l'hôte et du groupe d'hôtes :
asa(config)#show run object network
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
object network network3
range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
Comme indiqué, ces commandes affichent tous les hôtes configurés via la commande host-group. Vous pouvez utiliser cette commande afin de vérifier si toutes les entrées sont disponibles et également vérifier de manière croisée les groupes hôtes qui se chevauchent.