1.启用SNMPv3.

是时候在我们的网络环境中退出SNMPv2了。以下是所有思科设备的示例配置。一些旧设备不支持AES,那么Des将是选择。

IP访问列表标准SNMP-允许
许可证192.168.1.0 0.0.0.255

SNMP-Server View ReadAccess ISO包含在内

SNMP-Server View ReadAccess 1.3.6.1.6.3.18排除在外
SNMP-Server View ReadAccess 1.3.6.1.6.3.16排除在外
SNMP-Server View ReadAccess 1.3.6.1.6.3.15排除在外
SNMP-Server View ReadAccess 1.3.6.1.2.1.4.21排除在外
SNMP-Server View ReadAccess 1.3.6.1.2.1.4.22排除

SNMP-Server View ReadAccess ISO包含在内
SNMP-Server View包括ReadAccess Internet
SNMP-Server View包含Readaccess系统
SNMP-Server View包含readaccess接口
SNMP-Server View Readaccess机箱包括在内
SNMP-Server View WriteAccess ISO包含在内
SNMP-Server查看WriteAccess互联网包括在内
包括SNMP-Server View WriteAccess系统
SNMP-Server View包含包含的WriteAccess接口
SNMP-Server View WriteAccess机箱包括在内

SNMP-Server View WriteAccess ISO包含在内

SNMP-Server View WriteAccess 1.3.6.1.6.3.18被排除在外
SNMP-Server View WriteAccess 1.3.6.1.6.3.16被排除在外
SNMP-Server View WriteAccess 1.3.6.1.6.3.15被排除在外
SNMP-Server View WriteAccess 1.3.6.1.2.1.4.21被排除在外
SNMP-Server View WriteAccess 1.3.6.1.2.1.4.22排除在外

SNMP-Server Group AccessRw V3 Priv Read Readaccess Write WriteAccess Access SNMP-允许

SNMP-Server Group Accessro V3 Priv Read ReadAccess Access SNMP-允许

SNMP-Server用户NetServices-RW Accessrw V3 Auth Sha Cisco Friv AES 128 Cisco

SNMP-Server用户NetServices-Ro Accessro V3 Auth Sha Cisco Friv AES 128 Cisco


SNMP-Server主机192.168.1.40陷阱版本3 priv netservice-ro


SNMP-Server启用陷阱

2.禁用SNMP V1和SNMP V2C

ciscotest#显示SNMP组 
GroupName:ILMI安全模型:V1 
ContextName:<no context specified>存储类型:永久性
readview:*ilmi                  WRITEVIEW:*ilmi                           
NotifyView:<没有指定的NotifyView.>       
行状态:活动

GroupName:ILMI安全模型:V2C 
ContextName:<no context specified>存储类型:永久性
readview:*ilmi                  WRITEVIEW:*ilmi                           
NotifyView:<没有指定的NotifyView.>       
行状态:活动

GroupName:SNMPv3-RO安全模型:V3 riv 
ContextName:<no context specified>存储类型:非易失性
ReadView:ReadView-all WriteView:<没有指定WriteView>        
NotifyView:<没有指定的NotifyView.>       
行状态:活动访问列表:SNMP-允许

GroupName:SNMPv3-RW安全模型:V3 riv 
ContextName:<no context specified>存储类型:非易失性
ReadView:ReadView-all WriteView:WriteView-All                   
NotifyView:<没有指定的NotifyView.>       
行状态:活动访问列表:SNMP-允许

GroupName:NetService-RO安全模型:v3 riv 
ContextName:<no context specified>存储类型:非易失性
readview:<没有指定的ReadView>WRITEVIEW:<没有指定WriteView>        
NotifyView:* tv.ffffffff.ffffffff.fffffffff.f
行状态:活动

ciscotest(config)#没有SNMP服务器组ILMI v1
ciscotest(config)#没有SNMP-Server组ILMI V2C
ciscotest(config)#做SNMP组
GroupName:SNMPv3-RO安全模型:V3 riv 
ContextName:<no context specified>存储类型:非易失性
ReadView:ReadView-all WriteView:<没有指定WriteView>        
NotifyView:<没有指定的NotifyView.>       
行状态:活动访问列表:SNMP-允许

GroupName:SNMPv3-RW安全模型:V3 riv 
ContextName:<no context specified>存储类型:非易失性
ReadView:ReadView-all WriteView:WriteView-All                   
NotifyView:<没有指定的NotifyView.>       
行状态:活动访问列表:SNMP-允许

GroupName:NetService-RO安全模型:v3 riv 
ContextName:<no context specified>存储类型:非易失性
readview:<没有指定的ReadView>WRITEVIEW:<没有指定WriteView>        
NotifyView:* tv.ffffffff.ffffffff.fffffffff.f
行状态:活动

不幸的是,这些组重新启动后将回来。最佳方法是通过以下命令从系统视图中删除它们:

SNMP-Server视图* ILMI系统排除在外
SNMP-Server视图* ILMI ATMFORUMUNI排除在外
SNMP-Server View V1Default ISO排除

R-Test-Lab#显示SNMP视图
* ILMI系统 - 排除非挥发性活跃
* ILMI ATMFORUMUNI - 排除的非挥发性活跃
CAC_VIEW PIMMIB - 包含只读活动
CAC_VIEW MSDPMIB - 包含只读活动
CAC_VIEW接口 - 包括只读活动
CAC_VIEW IP - 包含只读活动
CAC_VIEW OSPF - 包含只读活动
CAC_VIEW BGP - 包含只读活动
cac_view dot1dbridge - 包括只读活动
CAC_VIEW IFMIB - 包含只读活动
CAC_VIEW NHRPMIB - 包含只读活动
CAC_VIEW IPMROUTESTDMIB - 包含只读活动
CAC_VIEW IGMPSTDMIB - 包含只读活动
cac_view ipforward - 包含只读活动
cac_view iptrafficstats - 包含只读活动
CAC_VIEW OSPFTRAP - 包含只读活动
cac_view sysuptime.0 - 包含只读活动
cac_view ciscopingmib - 包含只读活动
CAC_VIEW CISCOIPSECFOLLMONITMIB - 包括只读活动
CAC_VIEW CISCOIPSECPOLMAPMIB - 包含只读活动
CAC_VIEW CISCOPIMMIB - 包含只读活动
CAC_VIEW CISCOMGMT.187 - 包括只读活动
CAC_VIEW CISCOIFEXENIONSMIB - 包含只读活动
cac_view ciscoeigpmib - 包含只读活动
CAC_VIEW CISCOCEFMIB - 包含只读活动
CAC_VIEW CISCONHRPEXTMIB - 包括只读活动
CAC_VIEW CISCOIPMROUTEMIB - 包含只读活动
CAC_VIEW CISCOIPSECMIB - 包括只读活动
CAC_VIEW COSPF - 包括只读活动
CAC_VIEW CISCOEXPERIME.101 - 包含只读活动
CAC_VIEW CiscoietFisismib - 包括只读活动
cac_view ciscoietfbfdmib - 包含只读活动
CAC_VIEW IFINDEX - 包含只读活动
cac_view ifdescr - 包含只读活动
CAC_VIEW IFTYPE - 包含只读活动
CAC_VIEW ifAdminStatus - 包含只读活动
CAC_VIEW IDOPERSTATUS - 包含只读活动
CAC_VIEW SNMPTRAPS.3 - 包含只读活动
CAC_VIEW SNMPTRAPS.4 - 包含只读活动
cac_view snmptrapoid.0 - 包含只读活动
CAC_VIEW Internet.6.3.1.1.4.3.0 - 包含只读活动
CAC_VIEW LIFENTRY.20 - 包含只读活动
CAC_VIEW CCIDERCRINESTRY.1 - 包含只读活动
v1default iso - 排除的nonvolatile活动
V1Default Internet.6.3.15 - 排除了永久性主动
V1Default Internet.6.3.16 - 不包括永久性主动
V1Default Internet.6.3.18 - 不包括永久性主动
v1default ciscomgmt.394 - 排除永久主动
v1default ciscomgmt.395 - 不包括永久性主动
v1default ciscomgmt.399 - 排除永久主动
v1default ciscomgmt.400 - 排除永久主动

经过 Jon.

2关于“启用SNMP v3 - 第1部分:Cisco IOS设备 - 禁用SNMP v1和SNMP V2C”的思考
  1. 你是对的。删除那些隐藏的默认思科集团将无法在重新启动中生存。最佳方法是通过以下命令将它们从这些系统视图中禁用:

    SNMP-Server视图* ILMI系统排除在外
    SNMP-Server视图* ILMI ATMFORUMUNI排除在外
    SNMP-Server View V1Default ISO排除

发表评论