4.7.1.2: Pasos de configuración de SNMPv3

SNMPv3 se puede asegurar con solo unos pocos comandos, como se muestra en los siguientes pasos:

Paso 1. Configurar una ACL que permita el acceso a los administradores de SNMP autorizados.

Router(config)# ip access-list standard acl-name

Router(config-std-nacl)# permit source_net

Paso 2. Configurar una vista de SNMP con el comando snmp-server view para identificar qué identificadores de objetos MIB (OID) podrá leer el administrador de SNMP. Se requiere la configuración de una visualización para limitar los mensajes SNMP a acceso de sólo lectura.

Router(config)# snmp-server view view-name oid-tree {included | excluded}

Paso 3. Configurar características de grupo SNMP con el comandosnmp-server group:

1. Configure un nombre para el grupo.
2. Establezca la versión de SNMP en 3 con la palabra clave v3.
3. Requerir autenticación y el cifrado con la palabra clave priv.
4. Asocie una visualización al grupo y otórguele acceso de solo lectura con el comando read.
5. Especifique la ACL configurada en el paso 1.

Router(config)# snmp-server group group-name v3 priv read view-name access [acl-number | acl-name]

Paso 4. Configure las características de usuario del grupo SNMP con el comando snmp-server user:

1. Configure un nombre de usuario y asigne el usuario al nombre del grupo que se configuró en el paso 3.
2. Establezca la versión de SNMP en 3 con la palabra clave v3.
3. Establezca el tipo de autenticación en md5 o sha y configurar una contraseña de autenticación. Se prefiere el SHA y debe ser admitido por el software de administración de SNMP.
4. Requiera cifrado con la palabra clave priv y configure una contraseña de cifrado.

Router(config)# snmp-server user username group-name v3 auth {md5 | sha} auth-password  priv {des | 3des | aes {128 | 192 | 256}} privpassword

En el Ejemplo 1, una ACL estándar con nombre PERMIT-ADMIN está configurada para admitir sólo la red 192.168.1.0/24. Todos los hosts conectados a esta red tendrán permiso para acceder al agente SNMP que se ejecuta en R1.

Una vista de SNMP se denomina SNMP-RO y está configurada para incluir el árbol completo de la iso de la MIB. En una red de producción, el administrador de red probablemente configuraría esta vista para incluir sólo los OID de MIB que fueran necesarios para supervisar y administrar la red.

Se configura un grupo SNMP con el nombre ADMIN. El SNMP se establece en versión 3 con autenticación y cifrado requeridos. El grupo tiene acceso de solo lectura a la vista (SNMP-RO). El acceso para el grupo está limitado por PERMIT-ADMIN ACL.

Un usuario SNMP, BOB, se configura como miembro del grupo ADMIN. El SNMP se establece en la versión 3. La autenticación se establece para usar SHA, y se configura una contraseña de autenticación. Aunque el R1 admite hasta el cifrado AES 256, software de administración SNMP solo admite AES 128. Por lo tanto, el cifrado se establece en AES 128 y se configura una contraseña de cifrado.

Un análisis completo de las opciones de configuración para SNMPv3 excede el alcance de este curso.

Ejemplo 1: Configuración de SNMPv3 con autenticación y cifrado

R1(config)# ip access-list standard PERMIT-ADMIN R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255 R1(config-std-nacl)# exit R1(config)# snmp-server view SNMP-RO iso included R1(config)# snmp-server group ADMIN v3 priv read SNMP-RO access PERMIT-ADMIN R1(config)# snmp-server user BOB ADMIN v3 auth sha cisco12345 priv aes 128 cisco54321 R1(config)# end R1#