SNMP на CISCO

[BorisPlus]

Всем привет. В первый раз разбираюсь с CISCO и опять же в первый с SNMP.

На CISCO сконфигурировал SNMP, то есть
1) создал представление
2) создал группу, которой позволено просматривать представление
3) создал пользователя данной группы

(Нажмите, чтобы показать/скрыть)

#conf t
config# snmp-server view my_view system included
config# snmp-server group my_group v3 auth read my_view
config# snmp-server user my_user my_group v3 auth md5 password
config#^Z

#sh snmp user
   User name: my_user
   Engine ID: 800000000000000000000000
   storage-type: nonvolatile        active
   Authentication Protocol: MD5
   Group-name: nagios
#sh snmp group
   groupname: my_group                         security model:v3 auth
   readview : my_view                          writeview: <no writeview specified> 
   notifyview: <no notifyview specified>
   row status: active

#sh snmp view
   v1default iso - included volatile active
   v1default internet.6.3.15 - excluded volatile active
   v1default internet.6.3.16 - excluded volatile active
   v1default internet.6.3.18 - excluded volatile active
   v1default ciscoMgmt.252 - excluded volatile active
   my_view system - included nonvolatile active
   *tv.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF0F iso.2.840.10036 - included volatile active
   *tv.FFFFFFFF.FFFFFFFF.FFFFFFFF.FFFFFFFF0F internet - included volatile active

#sh snmp
   Chassis: FOC1110Z0ZJ
   1155 SNMP packets input
      0 Bad SNMP version errors
      958 Unknown community name
      0 Illegal operation for community name supplied
      0 Encoding errors
      91 Number of requested variables
      0 Number of altered variables
      27 Get-request PDUs
      86 Get-next PDUs
      0 Set-request PDUs
   914 SNMP packets output
      0 Too big errors (Maximum packet size 1500)
      0 No such name errors
      0 Bad values errors
      0 General errors
      0 Response PDUs
      717 Trap PDUs
   SNMP global trap: enabled
   SNMP logging: disabled
   SNMP agent enabled

теперь с рабочей машины опрашиваю CISCO

(Нажмите, чтобы показать/скрыть)

user@my_server:~$ snmpwalk -v 3 -u my_user -l authNoPriv -a MD5 -A password ip.ip.ip.ip system

   SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)
   Copyright (c) 1986-2006 by Cisco Systems, Inc.
   Compiled Fri 28-Jul-06 04:33 by yenanh
   SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.716
   DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (1001071311) 115 days, 20:45:13.11
   SNMPv2-MIB::sysContact.0 = STRING:
   SNMPv2-MIB::sysName.0 = STRING: Cisco1
   SNMPv2-MIB::sysLocation.0 = STRING:
   SNMPv2-MIB::sysServices.0 = INTEGER: 2
   SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00
   SNMPv2-MIB::sysORLastChange.0 = No more variables left in this MIB View (It is past the end of the MIB tree)

Вопросов масса. Я подошел достаточно педантично и решил их как-то причесать. Поправте рассуждения. Спасибо заранее.

Как я понял, в команде "snmp-server view my_view system included" используется описание OID вместо непосредственного его (OID) числового идентификатора, представляющего собой набор цифр, разделенных точкой. OIDы организованы в виде иерархической структуры и их можно глянуть, например, в ftp on cisco.com
Список OID и их соответствий зависит от самого CISCO-устройства, но есть стандартный набор OID, например, http://www.opennet.ru/base/cisco/cisco_snmp.txt.html и утилитой snmptranslate можно найти соответствие имен и ID для стандартных OID.

Вопрос 1. : Не могу понять, почему нет описания OID'ов CISCO 2960 в  ftp on cisco.com или оно полностью совпадает с 2900? Но тогда где отсальные OID'ы - температура, загрузка, аптайм?

Вопрос 2. : Список команд

Код: [Выделить]

snmp-server view my_view SomeOID1 included
snmp-server view my_view SomeOID2 included
snmp-server view my_view SomeOID3 exludedозначает, что это одно и тоже представление my_view с включенными SomeOID1 и SomeOID2 подструктурами и исключенной SomeOID3. Будет ли зависеть результат от порядка ввода данных команд?

Вопрос 3.
Использую команду "snmpwalk -v 3 -u my_user -l authNoPriv -a MD5 -A password ip.ip.ip.ip system", так как через созданное сообщество меня не захотело впускать "snmpwalk -c my_community ip.ip.ip.ip", вывод команды "no securityName specified",  в чем может быть проблема?

-------------------------------------------------------------
Спасибо всем заранее, даже тем, кто просто осилил это дело прочесть ))

[Strangertlt]

http://tools.cisco.com/Support/SNMP/do/MIBSupport.do?local=en&step=3   Это по первому вопросу, на странице по ссылке есть поиск, можно ввести название ios'а и получить возможные mib'ы для него.

[Data]

1. Посоветовал бы по интернету тщательнее полазать. Не вводить в поиске просто "Cisco 2960 OID". А выполнять поиск по какому-нибудь уже известному OID-у. Тогда поисковик может уже вывести на сайты, где будет их перечень с описанием. В своё время именно так и сделал. На сторонних сайтах находил OID-ы  и их описание, а на Cisco ничего вменяемого иной раз не удавалось найти. У меня киски другие были, по твоей ничего сказать сходу не могу.

2. Версию 3 не настраивал ибо у меня всё крутилось в локальной сети и актуальности в этом не было.
Есть такая статейка:
http://docstore.mik.ua/orelly/networking_2ndEd/snmp/appf_02.htm

3. Через "snmpwalk -v2c -c community ip oid"   запрос проходит?
Если да, то нужно включать wireshark на порту сервера при ".. -v 3 ...", если нет возможности с порта снимать, то tcpdump на порту и потом в Wireshark смотришь что он отправляет, что получает. Если сам не разберешься, то выкладывай сюда дамп, посмотрим)

[BorisPlus]

Спасибо за такой быстрый ответ

1. поищу тщательней
2. ну собственно ее перевод я и использовал
3. snmpwalk -v2c -c my_community ip.ip.ip.ip system - отвечает Timeout: No Response from ip.ip.ip.ip

Сообщество на циске добавлял как
snmp-server community my_community ro my_view

Смущает вывод sh snmp
958 Unknown community name

Как можно все коммунити просмотреть?

[fisher74]

snmp-server community my_community ro my_view

Да простят меня модераторы...

Код: [Выделить]

sh access-lists | include my_viewЧто-то мне подсказывет, что такого аццесслиста нет...

Как можно все коммунити просмотреть?

Код: [Выделить]

sh snmp community

[BorisPlus]

3. заработало!

Код: [Выделить]

snmpwalk -v2c -c my_community ip.ip.ip.ip system
snmpwalk -v 1 -c my_community ip.ip.ip.ip system отрабатывают, когда я сделал

Код: [Выделить]

(conf)#access-list 2 host myip.myip.myip.myip
(conf)#snmp-server community my_community view my_view ro acces-list 2
про access-list случайно в диалоге увидел по проблеме Unknown community name у иностранцев

4. вопрос остался с коммьюнити, - как их список просмотреть? или удалить все если я их имен уже не помню? а то смущает

6220 Unknown community name

Data, а у тебя сеть в одном здании? Считаешь, мне  не стоит запариваться с SNMPv3 ? На сколько он оправдано у тебя?
Пользователь решил продолжить мысль 07 Июля 2011, 14:45:05:fisher74 - отдельный респект, я пока писал, а ты уже и помог мне ))))

Удивительно, что "sh snmp community" не показывается в подсказках в консоли )) Спасибо!

Кажется тема исчерпана!

Спасибо всем!
Пользователь решил продолжить мысль 07 Июля 2011, 14:50:31:Удивительно, получилось, что мой один комьюнити сразу создал комьюнити для всех VLANов с access-list 2 -  my_communitн@1, my_communit@1000, my_communit@1001 и т.д.

Это так и должно быть?

Пользователь решил продолжить мысль 07 Июля 2011, 14:54:16:Unknown community name - осталось ненулевым - это нормально?

[BorisPlus]

не могу найти параметр температуры на Cisco 2900XL, на 2960-е нашел, хотя у них он позволяет только судить - хорошо, плохо, неизвестно, и мне этого достаточно, а вот на Cisco 2900XL никак не найду.
snmpwalk со стандартным IOD температуры молчит и ничего не возвращает, даже не пишет, что нет такого OID. По телнету на Cisco 2900XL sh env - нет такой команды, а sh env temperature и подавно.

никак нельзя судить на 2900XL о температуре?

[fisher74]

Вам бы к кошководам обратиться, а не человечностых пугать ios-овскими командами

[BorisPlus]

Как мне показалось, тут тоже гуру по кискам хватает )  Да, вопрос висит в воздухе, знать бы где спрашивать, чтоб ответили.