با سلام و خسته نباشید به استاد عزیز
من نرم افزار SolarWinds Engineer’s Toolset v9.2 را نصب کرده ام و میخواستم به روتر وصل بشوم هر کاری کردم نشد. در قسمت select router بعد از وارد کردن ip به 2 گزینه بر میخوریم (credentials) کدام را باید انتخاب کنم و چگونه در حالت snmp ver3 کار کنم. آیا روتر هم تنظیم بشود.
با تشکر . علی
پاسخ:
Credentials در شبکه به معنی Username و Password است و در سیسکو علاوه برآن به Enable Secret يا Enable Password نیز نیاز است تا به Privilege Mode دسترسی داشته باشیم.
تنظیم SNMPv3 بسیار ساده است:
snmp-server engineID
snmp-server community mypublic ro
snmp-server group mygroup v3 auth
snmp-server user myuser mygroup v3 auth md5 mypassword
!
snmp-server host 10.1.10.1 version 3 auth mygroup
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html
حال با این مقدمه دو راه برای تنظیم Solarwinds دارید:
راه حل اول که همیشه جواب میدهد:
فراموش نکنید که دستوری که در تصویر بالا در سیسکو وارد شده را تایپ کنید
پس از آن جهت تست میتوانیم Config را download کنیم
راه حل دو استفاده از snmpv3 برای solarwinds است که در همه برنامه پشتیبانی نمیشود:
به دستورات دقت کنید
در بخش Authentication گزینه MD5 را انتخاب کنید و پسورد آن mypass است
در بخش encryption طبق تصویر DES را انتخاب کنید در قسمت Key عبارت mypriv را تایپ کنید
برخی از ابزارهای solarwind متاسفانه snmpv3 را پشتیبانی نمیکنند اما با Bandwidth Gauges تست کردم و جواب داد.
با سلام و تشکر از جواب شما
من باز هم با راهنمایی شما نتونستم به روتر وصل شوم.
نتونستم فیلدهای برنامه سولاروینز را با تنظیمات اس ان ام پی روی روتر مچ کنم.
من عکسهای برنامه را براتون میفرستم بی زحمت بفرمایید داخل فیلدها چه اطلاعاتی باید بنویسم.
با تشکر.
فراموش کرده بودم تصاویر را upload کنم لطفا طبق این پست دوباره امتحان کنید. راه حل اول برای شما کافی است و نیازی به دومی ندارید.
با سلام …
آقا یک دنیا ممنون .مرسی..
خدا نگدارت باشد.
با سلام
دستورات بالا رو انجام دادم.
show running-config
snmp-server engineID local 1111111111
snmp-server group XXXX v3 auth notify *tv.FFFFFFFF.FFFFFFFF.FFFFFFFF
snmp-server community ADEL RO
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps isdn call-information
snmp-server enable traps isdn layer2
snmp-server enable traps isdn chan-not-avail
snmp-server enable traps isdn ietf
snmp-server enable traps hsrp
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps envmon
snmp-server enable traps bgp
snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message
snmp-server enable traps ipmulticast
snmp-server enable traps msdp
snmp-server enable traps rsvp
snmp-server enable traps frame-relay
snmp-server enable traps rtr
snmp-server enable traps syslog
snmp-server host 10.1.10.1 version 3 auth XXXX
برای تنظیم MRTG یک خط کافی بود:
snmp-server community ADEL RO
سپس در Configuration File مربوط به MRTG متغییر Community را ADEL ست کنید.
چطور میشه دستورات در روتر رو پاک کرد.
مثلا در اینجا میخوام دستورات snmp که اضافه است از کانفیگ پاک کنم.
همان دستور را با فرم No (در ابتدایش) وارد کنید… عموما برای این کار دستورات را در Notepad کپی میکنیم و بعد از اضافه کردن No جلوی هر خط آنها را دورن ترمینال Paste میکنیم:
no snmp-server enable traps msdp
no snmp-server enable traps rsvp
ممنونم آقای شفق.
آیا SNMP از نظر امنیتی برای روتر مشکلی پیش میاره؟
SNMP مشکل امنیتی زیاد دارد بخاطر همین SNMPv3 ارائه شده… اما با استفاده از Access-List میتوانید ارتباط SNMP را تنها به یک یا چند سرور محدود کنید… اگر فرض کنیم سرور شما 192.168.1.1 است:
access-list 66 permit host 192.168.1.1
snmp-server community public ro 66
2 تا سوال:
1- یعنی فقط به رنج آی پی سروری که SNMP روش مانیتور میشه اجازه استفاده از این سرویس رو بدم؟
2- از کجا میشه فهمید داریم از SNMP V3 استفاده می کنیم؟ دستور خاصی باید داده بشه تا از این سرویس استفاده کنه یا بطور پیش فرض از اون استفاده میشه؟
1. بله
2. کل این مطلبی که پیش روی شماست در رابطه با همین است! که چگونه SNMPv3 استفاده کنیم اما فعلا به شما پیشنهاد نمیکنم روی MRTG از SNMP3 استفاده کنید که به اندکی تجربه نیاز دارد.
پس پیشنهاد شما چیست؟
استفاده از همان Access-List که اشاره شد.
مرسی.
جناب زندی
بعد از اینکه فقط به یک آی پی اجازه استفاده از SNMP دادیم. طبق دستورات زیر:
access-list 66 permit 192.168.1.1
snmp-server community public RO 66
آیا لازمه که از دستور زیر هم استفاده کنیم؟
access-list 66 deny ip any any
نیازی به این کار نیست
پایان هر ACL خود به خود deny any است حتی اگر ذکر نشود.
از وقتی SNMP رو راه انداختم از یه آی پی سعی میشه به سیستمی که گراف روتر رو میگیره نفوذ بشه.
89.34.153.248
نظرتون چیه؟
ربطی به راه اندازی SNMP ندارد بلکه شاید PC شما نقش Webserver را نیز برای نمایش وب انجام میدهد و مورد توجه یک Worm قرار گرفته برای این کار یا از فایروال استفاده کنید یا IP دستگاه های داخل شبکه را Valid ست نکنید (اگر نیازی به دسترسی از بیرون وجود ندارد)
فایروال دارم. همون بلوکش کرد.
آی پی ولید نیست.
از رنج اینولید روتر آی پی داره.
اگر Public IP ندارد پس نمیتواند به شما Packet ارسال کند. Log فایروال شما داستان دیگری دارد!