Este documento descreve os novos recursos do Simple Network Management Protocol (SNMP) disponíveis para o Cisco Adaptive Security Appliance (ASA) 5500-X Series Firewall no software versão 9.1.5 e versões 9.2.1 e posteriores.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco ASA 5500-X Series Firewall que executa o Cisco ASA® Software Release 9.1.5 e Versões 9.2.1(1) e posteriores.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Nas versões 9.1.5 e 9.2.1 do ASA, esses aprimoramentos do SNMP são apresentados:
Esse recurso permite que o ASA suporte mais do que os 32 hosts SNMP atuais.
Atualmente, o ASA tem um limite rígido de 32 hosts SNMP no total. Isso inclui hosts que podem ser configurados para interceptações e para sondagem. As próximas seções descrevem os efeitos que esse recurso tem em modos de contexto único e multicontexto.
Você pode preferir monitorar os dispositivos de rede de um grande pool de hosts SNMP. Idealmente, você deseja a capacidade de especificar um intervalo IP e/ou uma sub-rede dos endereços IP que têm permissão para monitorar os dispositivos de rede. O ASA atualmente não oferece essa flexibilidade e limita o máximo de hosts SNMP a 32.
O suporte para este recurso envolve dois aspectos:
O projeto atual no ASA é tal que os hosts individuais podem ser configurados via CLI. Para esse recurso, esses requisitos de projeto adicionais foram considerados:
Algumas restrições de software e advertências associadas a este recurso são:
Aqui está um exemplo:
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
snmp-server host-group inside network1 poll version 3 user-list SNMP-List
snmp-server host-group inside network2 poll version 3 user-list SNMP-List
Insira o comando show snmp-server host para exibir as entradas do host:
asa(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
host ip = 64.103.236.43, interface = inside poll version 3 cisco1
host ip = 64.103.236.44, interface = inside poll version 3 cisco1
host ip = 64.103.236.45, interface = inside poll version 3 cisco1
host ip = 64.103.236.46, interface = inside poll version 3 cisco1
host ip = 64.103.236.47, interface = inside poll version 3 cisco1
host ip = 64.103.236.48, interface = inside poll version 3 cisco1
host ip = 64.103.236.49, interface = inside poll version 3 cisco1
host ip = 64.103.236.50, interface = inside poll version 3 cisco1
host ip = 64.103.236.51, interface = inside poll version 3 cisco1
host ip = 64.103.236.52, interface = inside poll version 3 cisco1
host ip = 64.103.236.53, interface = inside poll version 3 cisco1
host ip = 64.103.236.54, interface = inside poll version 3 cisco1
host ip = 64.103.236.55, interface = inside poll version 3 cisco1
Aqui estão algumas notas importantes sobre o uso deste recurso:
Use as informações descritas nesta seção para configurar o ASA de modo que esse novo recurso seja implementado.
Para o SNMP Versão 3, o administrador pode associar vários usuários a um grupo especificado de hosts. Isso é útil se o administrador desejar que um conjunto de usuários tenha a capacidade de acessar o ASA de um grupo de hosts. Este comando CLI é usado para configurar uma lista de usuários para vários usuários:
ASA(config)# [no] snmp-server user-listusername
Para associar a lista de usuários a um grupo de hosts, insira este comando na CLI:
[no] snmp-server host-group[trap|poll]
[community [enc_type]] [version {1 | 2c | 3 [user name | user-list
]}] [udp-port ]
Com esse único comando, você pode especificar um objeto de rede para indicar os vários hosts que devem ser adicionados. Com o objeto de rede, você pode especificar uma máscara de sub-rede ou o intervalo de endereços IP que devem ser adicionados, com o uso de um único comando. Todos os endereços IP listados como parte do objeto de rede são adicionados como entradas de host SNMP. Da mesma forma, para cada um dos usuários especificados na lista de usuários, há uma entrada de host SNMP separada.
Esses comandos são usados para permitir que os administradores limpem e visualizem as novas opções de configuração para os servidores SNMP:
Conclua estes passos para usar as novas opções de grupo SNMP e criar um grupo de hosts de servidor SNMP para polling da Versão 2c:
asa(config)# object network network1
asa(config-network-object)# range 64.103.236.40 64.103.236.50
asa(config)#snmp-server host-group inside network1 poll community ***** version 2c
asa(config)#snmp-server group SNMPRW-GROUP v3 noauth
asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3
asa(config)#snmp-server user-list SNMP-List username cisco1
asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List
Esta imagem ilustra as alterações feitas no Cisco Adaptive Security Device Manager (ASDM):
Este recurso permite que o ASA suporte cpmCPUTotal5minRev SNMP OIDs.
Este recurso adiciona suporte para cpmCPUTotal5minRev e cpmCPUTotal1minRev OIDs no ASA e pretere os OIDs cpmCPUTotal5min e cpmCPUTotal1min. A finalidade desses OIDs é monitorar o uso da CPU. Os OIDs suportados no momento variam de 1 a 100, enquanto os OIDs suportados recentemente variam de 0 a 100. Assim, foi adicionado suporte para OIDs mais recentes, pois eles cobrem uma faixa maior.
É importante observar que como os OIDs preteridos (cpmCPUTotal5min e cpmCPUTotal1min) não são mais suportados no ASA, se o ASA for atualizado e os OIDs preteridos forem consultados, o ASA não retornará nenhuma informação para esses OIDs. Depois de uma atualização do ASA, você agora precisa monitorar o cpmCPUTotal5minRev e o cpmCPUTotal1minRev para o uso da CPU.
Não há alterações de CLI introduzidas com este novo recurso.
Estes são os novos OIDs adicionados com este recurso:
As plataformas ASA limitam o tamanho máximo de pacote para solicitações SNMP a 512 bytes. Quando você executa uma consulta em massa para um grande número de OIDs MIB em uma única solicitação SNMP, o tempo limite da conexão SNMP e um syslog de erro são gerados no ASA. O RFC3417 sugere que o tamanho máximo do pacote para solicitações SNMP deve ser de 1.472 bytes. Esse é o tamanho do payload SNMP para o pacote. Além disso, o cabeçalho Ethernet e o tamanho do cabeçalho IP devem ser adicionados para calcular o tamanho total do pacote.
Esta seção fornece informações que você pode usar para solucionar problemas do sistema no ASA.
Esses comandos show podem ser úteis quando são feitas tentativas para solucionar problemas no ASA:
Este comando CLI exibe as entradas presentes na tabela de endereços do servidor SNMP, que inclui as configurações do host e do grupo de hosts:
asa(config)#show run object network
object network network1
range 64.103.236.40 64.103.236.50
object network network2
range 64.103.236.35 64.103.236.55
object network network3
range 64.103.236.60 64.103.236.70
ciscoasa/admin(config)# show run snmp-server
snmp-server group cisco-group v3 noauth
snmp-server user user1 cisco-group v3
snmp-server user user2 cisco-group v3
snmp-server user user3 cisco-group v3
snmp-server user-list cisco username user1
snmp-server user-list cisco username user2
snmp-server user-list cisco username user3
snmp-server host-group management0/0 net2 poll version 3 user-list cisco
no snmp-server locationno snmp-server contact
ciscoasa/admin(config)# show snmp-server host
host ip = 64.103.236.35, interface = inside poll version 3 cisco1
host ip = 64.103.236.36, interface = inside poll version 3 cisco1
host ip = 64.103.236.37, interface = inside poll version 3 cisco1
host ip = 64.103.236.38, interface = inside poll version 3 cisco1
host ip = 64.103.236.39, interface = inside poll version 3 cisco1
host ip = 64.103.236.40, interface = inside poll version 3 cisco1
host ip = 64.103.236.41, interface = inside poll version 3 cisco1
host ip = 64.103.236.42, interface = inside poll version 3 cisco1
Como mostrado, esses comandos mostram todos os hosts configurados por meio do comando host-group. Você pode usar esse comando para verificar se todas as entradas estão disponíveis e também verificar os grupos de hosts que se sobrepõem.