这篇文章是SNMPv3配置的第二部分。第一部分在 这个帖子 用于思科设备。
在检查点设备上设置SNMPv3的过程中,发现一些有用的步骤和说明。我将它们放在一起以备将来参考。

1.  SNMP常规设置:

2. V3 –基于用户的安全模型(USM)

身份验证正在使用MD5
隐私使用DES。
如果要更改SHA或AES,则必须使用命令行添加SNMP V3用户。所有步骤已在步骤4中列出。

 3. Enabled Traps

 4.陷阱接收器设置

对于命令行,这是一个很好的帖子 pingtool.org。一些配置复制到这里:

set snmp 代理人on
set snmp 联系“[电子邮件 protected]
将snmp位置设置为“虚无”
添加snmp地址123.34.56.78
设置snmp agent-version v3-Only
添加snmp usm用户snmpv3用户安全级别authPriv auth-pass-phrase 111222333 私人acy-pass-phrase 555666777

注意:默认情况下,在WebGUI上,Checkpoint SNMPv3仅支持 MD5DES 身份验证类型和隐私类型。确保在设置SNMP管理器服务器时,选择MD5和DES。


CP> show snmp 
地址   – snmp代理地址
代理人        – snmp daemon
代理版本– snmp版本
社区   – snmp代理社区
联系      – snmp Contact
位置     – snmp Location
陷阱        – snmp Traps
usm         – SNMPv3 USM(基于用户的安全模型)


CP> show snmp usmuser ReadView-All
用户名ReadView-All
安全级别authPriv
身份验证类型MD5
隐私类型DES

注意:在命令行中,Checkpoint可以按照以下步骤在Gaia OS上配置SNMPv3用户以使用来自SK97692的SHA(SHA1)/ AES身份验证,从而手动添加SNMPv3用户以使用SHA或AES:

4.1。连接到Gaia OS计算机上的命令行(通过SSH或控制台)。  

4.2。登录到Clish。 

4.3.从Clish停止SNMP代理: 
主机名> set snmp 代理人off 

4.4.登录到专家模式。 

4.5.Backup the current /etc/snmp/userDefinedSettings.conffile: 
[[电子邮件 protected]]#cp /etc/snmp/userDefinedSettings.conf /etc/snmp/userDefinedSettings.conf_ORIGINAL 

4.6.Edit the current /etc/snmp/userDefinedSettings.conffile: 
[[电子邮件 protected]]#vi /etc/snmp/userDefinedSettings.conf 

4.7.通过使用“ createUser”指令和“ rwuser”指令来定义SNMPv3用户。 
通用语法:

createUser 用户名 (MD5|SHA) authpassphrase [DES|AES] [privpassphrase]

rwuser [-s SECMODEL] USER [noauth | auth | 私人 [OID | -V VIEW [CONTEXT]]

“ createUser”指令的注意事项:

“ createUser”指令可创建SNMPv3用户。 
MD5和SHA是要使用的身份验证类型。 
DES和AES是要使用的隐私协议。 
如果未指定隐私“ 私人passphrase”,则假定它与身份验证“ authpassphrase”相同。 
警告:密码短语的最小长度为8个字符。 
“ rwuser”指令的注意事项:

“ rwuser”指令允许SNMPv3用户进行读写(GET,GETNEXT和SET)访问(默认情况下,这将使用默认上下文提供对已认证(包括加密的)SNMPv3请求的完整OID树的访问)。 
“ noauth”允许未经身份验证的请求。 
“ auth”仅允许通过身份验证的请求。 
“ 私人”强制使用加密。 
“ OID”字段将该用户的访问权限限制为以给定OID为根的子树。 
“ VIEW”字段将该用户的访问权限限制为以给定命名视图为根的子树。 
例:

createUser test_user SHA 通过1234
rwuser test_user

4.8.登录到Clish。 

4.9.从Clish启动SNMP代理: 
主机名> set snmp 代理人on
主机名> save config 

4.10.登录到专家模式。 

4.11.测试新的SNMPv3用户: 
[[电子邮件 protected]]#snmpget -v 3 -u<username>-n“” -l authNoPriv -a SHA -A<password>本地主机sysUpTime.0 
例:
[[电子邮件 protected]]#snmpget -v 3 -utest_user-n“” -l authNoPriv -a SHA -Apass1234本地主机sysUpTime.0

5.重新启动您的snmp守护程序:

[[电子邮件 protected]]# 服务snmpd重新启动
正在停止snmpd:[FAILED]
启动snmpd:[ OK  ]
[[电子邮件 protected]]# 服务snmpd重新启动
正在停止snmpd:[ OK  ]
启动snmpd:[ OK  ]

————————————————————————————————————
对于SPLAT操作系统,请参阅以下文章:


[[电子邮件 protected]]# snmp用户del public [[电子邮件 protected]]# snmp用户添加authuser  Nagios pass complexpassphrase priv privatepass [[电子邮件 protected]]# SNMP服务启用
[[电子邮件 protected]]#cat /etc/snmp/snmpd.conf
主代理x
syslocation“ GDAI”
syscontact CIT32-安全性
系统服务76
rocommunity Snmp3166 *
trap2sink 10.9.200.23 Snmp3166 *
cp_cleartrap 10 2
proc syslogd 1 1
磁盘/ var 20%
cp_monitor 1.3.6.1.2.1.2.2.1.8.1 == 2 60“链路1断开”
cp_monitor prErrorFlag.1!=“ 0” 60“过程监视器”
cp_monitor dskErrorFlag.1!= 0 60“磁盘监视器”
cp_monitor 1.3.6.1.4.1.2021.10.1.5.1>100 60“ CPU负载1分钟”
cp_monitor 1.3.6.1.4.1.2021.10.1.5.2>90 60“ CPU负载5分钟”
cp_monitor 1.3.6.1.4.1.2021.4.4.0<2000 60“ memAvailSwap”
cp_monitor 1.3.6.1.4.1.2021.4.6.0<2000 60“ memAvailReal”
cp_monitor 1.3.6.1.4.1.2620.1.5.6.0!=“活动” 20“集群状态”
cp_monitor 1.3.6.1.4.1.2620.1.1.25.3.0>50000 20“防火墙连接”
cp_monitor 1.3.6.1.2.1.25.2.3.1.6.6>60000 60“ / opt hrStorageUsed”
smuxpeer 1.3.6.1.4.1.4.3.1.4
exec maxconn / bin / sh /home/admin/getMaxConn.sh


使用cpconfig激活Check Point MIB :
2.SNMP扩展

应该有两个正在运行的进程: 
 /usr/sbin/snmpd  /opt/CPshrd-R75.40/bin/cpsnmpd
是否要实时获取当前连接数?
[[电子邮件 protected]]#cat getMaxConn.sh #!/ bin / sh / bin / cpfw_start ctl pstat | grep“并发连接:” | sed‘s /.*([0-9] +)之内。* / 1 / g’

通过避免在/ var / log / messages中出现snmp垃圾邮件的方式: 12月7日15:50:48主机名snmpd [2621]:从UDP接收到SNMP数据包:[10.22.1.2]:34665

遵循以下SK: 禁用详细的SNMP日志记录–“ snmpd [PID]:从UDP接收到的SNMP数据包:” 解决方案编号:           sk59023

通过 约翰

发表评论