Muchos de los comandos en este ejercicio no tienen que ejecutarse como root, pero no hay problema con ejecutarlos todos como root. Así que sería más sencillo si inicia una shell de root y los ejecuta todos desde ahí. Puede iniciar una shell de root así:
$ sudo -sEmpieza instalando el software de net-snmp:
# apt-get install snmp
# apt-get install snmp-mibs-downloaderEl segundo paquete (snmp-mibs-downloader) baja los MIBs estandares de IANA y de IETF que no estan incluidos por defecto.
Nota: Para que esto funciona tiene que habilitar el fuente "multiverse" en su configuracion de APT - hemos hecho esto para Ud.
Ahora tiene que editar el archivo /etc/snmp/snmp.conf
# vi /etc/snmp/snmp.confy cambiar este linea:
mibs :
... para que se vea asi:
# mibs :
Ahora, guarde el archivo y salga del editor.
Esta accion deshabilito la linea de mibs vacia que estaba indicando a las herramientas de SNMP de no cargar automaticamente los mibs en el directorio /usr/share/mibs/.
Ahora, realice su propia copia del fichero /etc/snmp/snmp.conf, configure los permisos de solo lectura solo para usted y adicione sus credenciales:
Tiene que trabajar como el usario "sysadm" así, deja de ser el usuario "root":
# exitY, ahora haz:
$ cd
$ mkdir /.snmp
$ cp /etc/snmp/snmp.conf /.snmp/
$ chmod 700 /.snmp/
$ sudo editor /.snmp/snmp.confAdiciones las siguientes lineas al final:
defVersion 3 defCommunity NetManage defSecurityName admin defSecurityLevel authNoPriv defAuthPassphrase NetManage defAuthType SHA
Con este informacion no sera necesario definir las credenciales cada vez que utilice los comandos SNMP
Para esta parte del ejercicio, necesitan trabajar en grupos. Una persona estará asignada para escribir en el teclado.
Si no está seguro de a qué grupo pertenece, refiérase al diagrama de red en la wiki del taller, en http://noc.ws.nsrc.org/
Ahora conéctese a su enrutador:
$ ssh cisco@rtrN.ws.nsrc.org (ó "ssh cisco@10.10.N.254")username: cisco
password: <CLASS PASSWORD>
rtrN> enable
Password: <CLASS PASSWORD>
rtrN# configure terminal (conf t)Ahora es necesario agregar una lista de control de acceso (ACL) para acceso a SNMP. Luego iniciaremos el agente SNMP, asignaremos una "comunidad" de sólo lectura y le indicaremos al enrutador que nunca cambie los índices de interfaces al reiniciarse. Para ello, haremos lo siguiente:
rtrN(config)# access-list 99 permit 10.10.0.0 0.0.255.255
rtrN(config)# snmp-server community NetManage ro 99
rtrN(config)# snmp-server group ReadGroup v3 auth access 99
rtrN(config)# snmp-server user admin ReadGroup v3 auth sha NetManage
rtrN(config)# snmp-server ifindex persistAhora salgamos del modo configuración y grabemos:
rtrN(config)# exit
rtrN# write memory (wr mem)
rtrN# exit (volver al shell del PC)Ahora, probaremos si estos cambios han hecho efecto.
Para verificar que su instalación de SNMP funciona, ejecute el comando 'snmpstatus' en cada uno de los siguientes nodos:
$ snmpstatus <IP_ADDRESS>Donde
* El servidor NOC: 10.10.0.254
* Su enrutador: 10.10.N.254
* El switch dorsal: 10.10.0.253
* The backbone router: 10.10.0.254
* Los puntos de acceso: 10.10.0.251, 10.10.0.252 (no siempre funcionan)Note que se ha utilizado SNMPv3. No todos los dispositivos que implementan SNMP soportan la version 3. Intentelo de nuevo, adicionando "-v2c" como parametro El comando automaticamente utiliza la comunidad definida en el fichero snmp.conf y no las credenciales de la version 3. Pruebe "-v1".
Qué pasa si intenta usando la comunidad incorrecta (ej. cambie "NetManage" por algo diferente)
Ahora, utilizará el comando 'snmpwalk', parte de la suite SNMP, para listar las tablas asociadas con los OIDs más abajo, para cada dispositivo que probó más arriba:
.1.3.6.1.2.1.2.2.1.2
.1.3.6.1.2.1.31.1.1.1.18
.1.3.6.1.4.1.9.9.13.1
.1.3.6.1.2.1.25.2.3.1
.1.3.6.1.2.1.25.4.2.1$ snmpwalk <IP_ADDRESS> <OID>y
$ snmpwalk -On <IP_ADDRESS> <OID>... Donde
... Donde
Nota: la opcion "-On" habilita salida numerica, asi no traduccion del OID <-> MIB pasara.
Con estos OIDs:
Para este ejercicio su grupo necesita verificar que el servicio SNMP está activo y respondiendo a solicitudes desde todas las máquinas de su grupo. Primero active el demonio snmpd en su máquina, luego pruebe si su máquina está respondiendo, y luego compruebe cada máquina de sus compañeros de grupo.
$ sudo apt-get install snmpd
$ sudo apt-get install libsnmp-devDebido a un fallo en Ubuntu (https://bugs.launchpad.net/ubuntu/+source/net-snmp/+bug/1322431), el comando para crear los usuarios SNMPv3 no existe, mientras se corrige el error, realice siguiente:
$ cd /tmp/
$ wget https://gist.githubusercontent.com/rarylson/72d1414d6907a4548427/raw/d97aed8debf0a291a0457ec634a3be370bd16546/net-snmp-create-v3-user
$ chmod +x net-snmp-create-v3-user
$ sudo mv net-snmp-create-v3-user /usr/local/binHaremos una copia de respaldo del archivo que viene con el paquete, y luego crearemos uno propio:
# cd /etc/snmp
# mv snmpd.conf snmpd.conf.dist
# editor snmpd.confLuego, copiar/pegar lo siguiente (no incluya las líneas -- cortar aquí --)
-- cortar aquí -------------------------
# Escuchar en todas las interfaces (en IPv4 *e* IPv6)
agentAddress udp:161,udp6:[::1]:161
# Configurar comunidad de "sólo lectura"
# y restringir quién se puede conectar
rocommunity NetManage 10.10.0.0/16
rocommunity NetManage 127.0.0.1
# Información sobre este servidor
sysLocation NSRC Network Management Workshop
sysContact sysadm@pcX.ws.nsrc.org
# Cuáles capas OSI están activas
# (applicación + extremo a extremo)
sysServices 72
# Incluye MIB de dskTable que es propietario (además de hrStorageTable)
includeAllDisks 10%-- cortar aquí -------------------------
Ahora guarde el fichero y salga del editor.
Ahora, adicione el mismo usuario SNMPv3 en su computadora. Se necesita detener snmpd antes de adicionar el usuario y reinicarlo para aplicar los cambios y el nuevo usuario
$ sudo service snmpd stop
$ sudo net-snmp-create-v3-user -a SHA -A NetManage admin
$ sudo service snmpd start$ snmpstatus localhostQué puede observar?
Compruebe que ahora puede ejecutar snmpstatus con cada uno de los servidores de su grupo:
$ snmpstatus pcN.ws.nsrc.orgPor ejemplo, en el grupo 5:
* pc17.ws.nsrc.org
* pc18.ws.nsrc.org
* pc19.ws.nsrc.org
* pc20.ws.nsrc.orgRecuerde que cuando ejecutó:
$ snmpwalk 10.10.X.254 .1.3.6.1.4.1.9.9.13.1El cliente SNMP (snmpwalk) no pudo interpretar todos los OIDS que venían en la respuesta:
SNMPv2-SMI::enterprises.9.9.13.1.3.1.2.1 = STRING: "chassis"
SNMPv2-SMI::enterprises.9.9.13.1.3.1.6.1 = INTEGER: 1Qué es '9.9.13.1.3.1' ?
Para poder interpretar esta información, necesitamos instalar MIBs adicionales:
Utilizaremos las siguientes MIBs (no las descargue todavía!):
MIBS de Cisco
ftp://ftp.cisco.com/pub/mibs/v2/CISCO-SMI.my
ftp://ftp.cisco.com/pub/mibs/v2/CISCO-ENVMON-MIB.myPara hacerlo más fácil, tenemos una copia local en http://noc.ws.nsrc.org/mibs/
Descargalos así:
$ cd /usr/share/mibs
$ sudo mkdir cisco
$ cd cisco
$ sudo wget http://noc.ws.nsrc.org/downloads/mibs/CISCO-SMI.my
$ sudo wget http://noc.ws.nsrc.org/downloads/mibs/CISCO-ENVMON-MIB.myAhora tenemos que decir a las herramientas de snmp que tenemos los MIBS que deberia cargar. Edite el archivo /etc/snmp/snmp.conf y agrega las dos siguiente lineas:
mibdirs +/usr/share/mibs/cisco
mibs +CISCO-ENVMON-MIB:CISCO-SMIGrabe el archivo y salga.
Ahora, pruebe de nuevo:
$ snmpwalk 10.10.X.254 .1.3.6.1.4.1.9.9.13.1Qué puede notar?
Intente ejecutar snmpwalk en cualquiera de los nodos (enrutadores, switches, PCs) que no haya probado todavía, en la red 10.10.0.X.
Note el tipo de información que obtiene.
$ snmpwalk 10.10.0.X ifDescr
$ snmpwalk 10.10.0.X ifAlias
$ snmpwalk 10.10.0.X ifTable | less
$ snmpwalk 10.10.0.X ifXTable | less
$ snmpwalk 10.10.0.X ifOperStatus
$ snmpwalk 10.10.0.X ifAdminStatus
$ snmpwalk 10.10.0.X if(Recuerda que con "less" apreta la barra del espacio por la proxima pagina, 'b' para ir atras una pagina y 'q' para salir)
Puede ver la diferencia entre ifTable y ifXTable?
Que puede ser la diferencia entre 'ifOperStatus' y 'ifAdminStatus' ? Puede imaginar en qué escenario esto sería útil?
Puede usar nombres cortos para "caminar" estas tablas?
$ snmptranslate .1.3.6.1.4.1.9.9.13.1