LABORATORIUM 3 Konfiguracja agenta SNMP Schemat połączeń do konfiguracji komunikacji SNMP zarządca - agent: 1. Uruchomić 2 komputery PC: dołączyć do jednego z nich interfejs fa 0/0 rutera, a do drugiego konsolę tego samego rutera. 2. Na komputerze dołączonym do interfejsu fa 0/0 uruchomić program PuTTy (połączenie: Serial), 3. Na komputerze PC dołączonym do konsoli routera uruchomić konsolę Windows (polecenie: cmd) i sprawdzić czy jest zainstalowany pakiet net-snmp (np. wpisać polecenie snmpget). 4. Uruchomić router i sprawdzić poprawne działanie konsoli routera. 5. Uruchomić Wireshark 1. Konfiguracja routera i PC Celem ćwiczenia jest skonfigurowanie zestawu zarządca - agent dla protokołu SNMP i przetestowanie podstawowych funkcji monitorujących i zarządzających. W tym celu należy przystosować PC do konfiguracji rutera przez konsolę oraz uruchomić możliwość transmisji komunikatów SNMP do rutera oraz odbieranie odpowiedzi. Ruter Podstawowa konfiguracja rutera wraz z opisem "promp" aby ułatwić nawigowanie. Router>enable Router#conf term Enter configuration commands, one per line. End with CNTL/Z. 1
Router(config)#hostname R31 (nazwa rutera dowolna, zależy od dostępu do sprzętu oraz inwencji realizujących laboratorium) R31(config)#interface fa 0/0 R31(config-if)#ip address 192.168.1.6 255.255.255.0 R31(config-if)#no shutdown R31(config-if)# Na ruterze należy także włączyć wyświetlania nagłówków lub całych komunikatów SNMP R31(config-if)#exit (wyjście z konfiguracji interfejsu) R31(config)#snmp-server community public R31(config)#exit R31# *Jan 1 07:29:40.883: %SYS-5-CONFIG_I: Configured from console by consoleenable R31#enable R31#debug snmp headers SNMP packet header debugging is on R31#debug snmp packets SNMP packet debugging is on Ruter jest obecnie przygotowany do akceptacji komunikatów SNMP PC Na konsoli PC (połączonego z ruterem) należy sprawdzić czy jest zainstalowany pakiet netsnmp. Można to sprawdzić wpisując w konsoli np. snmpget. Uruchomić program Wireshark, uruchomić nasłuchiwanie sieci z następującym ustawionym filtrem: udp port 161 or udp port 162 następnie proszę wysłać zapytanie getrequest do rutera: C:\Users\Administrator.PC>snmpget -v2c -c public 192.168.1.6 sysdescr.0 SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, 2800 Software (C2800NM-ADVI PSERVICESK9-M), Version 12.4(22)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Fri 10-Oct-08 00:05 by prod_rel_team W celu analizy struktury danych MIB należy uruchomić MIBrowser. Bez uruchomienia tej aplikacji można realizować ćwiczenie zgodnie z instrukcją (bez alternatywnych działań). Przykład (błędne zapytanie o obiekt sysuptime - "literówka"): C:\Users\Administrator.PC>snmpget -v2c -c public 192.168.1.6 sysuptime.0 sysuptime.0: (Sub-id not found: (top) -> sysuptime) Poprawne zapytanie: 2
C:\Users\Administrator.PC>snmpget -v2c -c public 192.168.1.6 sysuptime.0 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (190986) 0:31:49.86 2. Podstawowa konfiguracja agenta SNMP Skonfiguruj agenta SNMP n aruterze w taki sposób aby przekazywał informacje, że administratorem jest [NN}, który jest dostępny w [...] a element zarządzany znajduje się w lokalizacji "Serwerownia". enable conf term snmp-server contact NN, L1, D6 snmp-server location Serwerownia L1, D6 Dla celów ustanowienia dostępu do różnych zasobów. Konfigurację SNMP można przegladać: R21#show snmp view 3. Konfiguracja i weryfikacja mechanizmów bezpieczeństwa w SNMPv2c Należy przeprowadzić konfigurację agenta SNMP na ruterze w taki sposób aby: stacja zarządzająca używająca społeczności "public" miała dostęp tylko do obiektów grupy system z prawem wyłącznie do odczytu; stacja zarządzająca używająca społeczności "private" miała dostęp tylko do obiektów grupy system oraz interfaces z prawem wyłącznie do odczytu; stacja zarządzająca używająca społeczności "secret" miała dostęp tylko do całego drzewa MIB z prawem zarówno do odczytu jak i zapisu; Router R21>enable R21#conf term Enter configuration commands, one per line. End with CNTL/Z. R21(config)#snmp-server view system 1.3.6.1.2.1.1 excluded R21(config)#snmp-server view system 1.3.6.1.2.1.1 included R21(config)#snmp-server view system 1.3.6.1.2.1.1 included R21(config)#snmp-server view system-interfaces 1.3.6.1.2.1 excluded R21(config)#snmp-server view system-interfaces 1.3.6.1.2.1.1 included R21(config)#snmp-server view system-interfaces 1.3.6.1.2.1.2 included R21(config)#snmp-server community public view system ro 3
R21(config)#snmp-server community private view systeminterfaces ro R21(config)#snmp-server community secret rw R21(config)#exit R21# Sprawdź poprawność zdefiniowanych widoków oraz społeczności. Sprawdzenie działania agenta SNMP będzie polegać na odczytaniu wartości obiektów z grupy "interfaces" korzystając ze społeczności "public". Następnie proszę wykorzystać społeczność "private". snmpget -v2c -c public 192.168.1.6 sysdescr.0 snmptable -v2c -c public 192.168.1.6 iftable snmptable -v2c -c private 192.168.1.6 iftable Jakie informacje są przesyłane w wiadomości SNMP? Jakie wiadomości SNMP są wykorzystywane do pobrania całej tabeli (komenda snmptable? Do czego służy opcja "-c string"? Jak wpływa na działanie komendy snmptable? Proszę spróbować pobrać obiekty MIB korzystając z komendy snmpbulkget. Proszę spróbować ustawić wartości obiektów MIB korzystając z obu społeczności. Jakie rodzaje błędów są zgłaszane po wprowadzeniu następujących komend: snmpset -v2c -c private 192.168.1.6 sysdescr s System snmpset -v2c -c secret 192.168.1.6 sysdescr s System snmpset -v2c -c secret 192.168.1.6 iftable i 10 snmpset -v2c -c secret 192.168.1.6 sysname s System Proszę uzyskać informacje z tabeli ipnettomediatable, korzystając ze społeczności "public", "private" oraz "secret". Jakie komunikaty wysyła agent SNMP w zalezności od wykorzystywanej społeczności? snmptable -v2c -c private 192.168.1.6 ipnettomediatable snmptable -v2c -c private 192.168.1.6 ipnettomediatable Proszę wpisać następującą komendę: snmpset -v2c -c secret 192.168.1.6 ifadminstatus.1 i 2 i wyjaśnić co się stało? Uwaga: Poniżej przykładowa reakcja na niepoprawną składnię: R21(config)#snmp-server view system 1.3.6.1.2.1. included %Bad OID 4
4. Zagadnienia do analizy W jaki sposób sprawdzić, które urządzenia w sieci lokalnej mogą odpowiedzieć na zapytania SNMP? Jaka może być przyczyna, że urządzenie, którego adres IP znamy, nie opowiada na zapytania SNMP? W jaki sposób można sprawdzić bieżącą konfigurację agenta SNMP? Czy system Windows 10 ma agenta SNMP? 5. Dodatek Zawartość grupy system: system (.1.3.6.1.2.1.1) sysdesc (.1.3.6.1.2.1.1.1) sysobjectid (.1.3.6.1.2.1.1.2) sysuptime (.1.3.6.1.2.1.1.3) syscontact (.1.3.6.1.2.1.1.4) sysname (.1.3.6.1.2.1.1.5) syslocation (.1.3.6.1.2.1.1.6) sysservices (.1.3.6.1.2.1.1.7) 5