SNMPv3

Учетные данные SNMPv3 (меню ПАРАМЕТРЫ > Библиотека > Учетные данные [SNMP v3]) сохраняют информацию для мониторинга устройств с поддержкой SNMPv3 при помощи WhatsUp Gold.

Подходящие учетные данные позволяют использовать мониторы с поддержкой SNMP (активные мониторы WhatsUp Gold, такие как Расширенный монитор SNMP, Мониторы производительности и т.д.) для управления и мониторинга целевых устройств под управлением контроля доступа на уровне просмотра SNMPv3.

После добавления учетных данных SNMPv3 в Библиотеку учетных данных можно выполнить следующее...

Добавление учетных данных к списку учетных данных, которые может использовать WhatsUp Gold в ходе сканирования обнаружения.
Связывание учетных данных непосредственно с устройствами под управлением WhatsUp Gold на карте «Моя сеть» на панели Свойства устройства.
Определение учетных данных при помощи сопоставления шаблонов VLAN для запроса данных таблиц VLAN без нужды в конкретных контекстных именах, дополнительных агентах или протоколах, таких как CDP/LLDP.

Начало работы

Перед мониторингом WhatsUp Gold с использованием SNMPv3 убедитесь, что целевое устройство...

Настроено на использование SNMPv3 (на физическом устройстве). На устройстве должен работать агент SNMPv3 и стандартный либо настраиваемый обработчик SNMP ID.
Имеет учетную запись пользователя SNMPv3 (на физическом устройстве) с доступом к нужным группам SNMPv3 и просмотрам.
Имеет уникальные контексты для VLAN, связанные с какими-либо VLAN, определенными на устройстве, для устройств с поддержкой контекстов VLAN. (Подробно рассматривается далее в данном разделе.)
Связано с учетными данными SNMPv3 в WhatsUp Gold. Карта устройства отображает эту связь при выборе устройства на карте «Моя сеть».

Tip: Для устройств с поддержкой чтения BRIDGE-MIB для каждой VLAN с контекстом VLAN правильная настройка этих устройств и WUG может уменьшить необходимость во включении CDP/LLDP для получения требуемого объема информации для расчета параметров подключения устройств. Дополнительные сведения см. в разделе Шаблон VLAN и в примерах далее в данном разделе.

Отличия от SNMPv2

В отличие от SNMPv2, в SNMPv3 используется контроль доступа на уровне просмотра (VACM). Это означает, что для монитора SNMPv3 WhatsUp Gold на управляемом устройстве требуется полномочный пользователь с соответствующими правами. Пользователь SNMPv3, указанный в диалоговом окне учетных данных SNMPv3 (Имя пользователя), обозначает пользователя, у которого уже есть либо которому требуются права на устройстве для доступа к особым ресурсам MIB, необходимым для работы.

Необязательно, но рекомендуется управлять объектами MIB при включенной проверке подлинности пользователя (протокол проверки подлинности) и шифровании полезных данных (протокол шифрования). Этот набор функций предоставляет все возможности SNMPv3 за счет использования на целевом устройстве служб проверки подлинности и определения прав доступа к групповым ресурсам SNMPv3 (в виде просмотра объектов MIB).

Note: Для доступа к информации, относящейся к VLAN, в MIB устройства (то есть BRIDGE-MIB с информацией о переадресации, используемой при расчете параметров подключения) необходим доступ пользователя или группы SNMPv3 к уникальному контексту, настроенному для каждой VLAN. Контексты SNMPv3 предоставляют доступ к коллекциям объектов и необходимы для опроса информации VLAN на целевом устройстве. (В SNMPv1/2 для доступа к данным VLAN использовалась индексация имен сообщества, недоступная для SNMPv3.)

Tip: Для мониторинга наиболее целесообразно использовать пользователя SNMPv3 в учетных данных WhatsUp Gold с разрешениями Чтение и Уведомление для целевых объектов MIB. Для обслуживания таблиц VLAN необходимо заранее настроить разрешения на Запись для каждого контекста VLAN, и у пользователя должны быть права доступа к этому контексту.

Диалоговое окно настройки учетных данных SNMPv3

Для создания учетных данных SNMPv3 настройте следующие поля:

Имя. Введите имя учетных данных. Это имя появится в Библиотеке учетных данных.
Описание. (Не обязательно) Введите дополнительную информацию об учетных данных. Эта информация появится рядом с учетными данными в Библиотеке учетных данных.
Имя пользователя. Введите имя пользователя с правами доступа, указанными в настройках агента SNMP на целевом устройстве. Это имя пользователя добавляется в каждый пакет SNMP в заголовке проверки пользователя. Устройство SNMP, при получении пакета, использует это имя пользователя для поиска настроенных параметров шифрования и проверки подлинности, и применяет к полученному сообщению.
Контекст. (Дополнительно) Если необходима эта функция и известно, что имя контекста SNMPv3 указано на целевом устройстве, введите соответствующее имя контекста SNMPv3 здесь. Введенное значение обозначает первичный контекст. Контексты можно указать на устройствах для ограничения доступа к коллекции объектов MIB. Пустое значение ("") (также называемое контекстом по умолчанию) показывает, что возможен доступ к любому MIB, не определенному при помощи явного (названного по имени) определения контекста.
Note: При использовании контекстов для доступа к таблицам VLAN (то есть BRIDGE-MIB) укажите одну или несколько записей Шаблона VLAN.
Шаблон VLAN. (Используется для сопоставления одного или нескольких активных просмотров контекста BRIDGE-MIB.)

Этот элемент управления позволяет указать контексты для доступа к таблицам VLAN. При определении контекста для использования с данной VLAN WhatsUp Gold пробует все шаблоны, пока не найдет тот, который предоставляет доступ к данным соответствующей VLAN. См. синтаксис и примеры сопоставления шаблонов VLAN далее.

Important: Контекст по умолчанию ("") или первичный контекст (если указан) должны иметь доступ к таблице VLAN, чтобы системе WhatsUp Gold было известно, какие VLAN необходимо опрашивать при попытке оценки эффективности работы этих учетных данных (такой как успешное чтение содержания таблиц маршрутизации).

Проверка подлинности. При необходимости выберите протокол проверки подлинности для этих учетных данных SNMP.
- Протокол. Выберите алгоритм для проверки подлинности пакетов SNMPv3. MD5 создает 128-битную цифровую подпись, SHA-1 создает 160-битную цифровую подпись, а SHA-256 создает 256-битную цифровую подпись.
- Пароль. Введите пароль проверки подлинности.
- Подтвердите пароль. Повторно введите пароль проверки подлинности для подтверждения.
Шифрование. Если поддерживается, и протокол проверки подлинности выбран для устройства SNMPv3, выберите протокол шифрования для учетных данных SNMP.
- Протокол. Выберите алгоритм для шифрования пакетов SNMPv3. DES56 использует 56-битное шифрование, AES-128 использует 128-битное шифрование, AES-192 использует 192-битное шифрование, а AES-256 использует 256-битное шифрование. Также можно выбрать тройное шифрование DES.
- Пароль. Введите парольную фразу шифрования, использованную для ключа.
- Подтвердите пароль. Повторно введите пароль проверки подлинности для подтверждения.

Note: Длина паролей SNMPv3 ограничена 64 символами.

Синтаксис и примеры сопоставления шаблонов VLAN

Для сопоставления активного контекста VLAN можно использовать один или несколько следующих способов:

Префикс и замена шаблона. Полезно, если известно имя контекста (но не имя/индекс VLAN):

Пример 1: MyVLanContext-{индекс}

— где {индекс} заменяется (несколько раз) на значение индекса VLAN, считанное из списка имен VLAN, указанных в данном устройстве.

Пример 2: VLANContext-{имя}

— где {имя} заменяется (несколько раз) на имя VLAN, считанное из списка имен VLAN, указанных в данном устройстве.

Пара буквенного имени/индекса VLAN и контекста (без замены). Полезно при наличии явных значений контекста и имени VLAN.

Синтаксис: <имя>:<контекст>

Пример 3: VLAN0065:bridge1

— где VLAN0065 — это VLAN, указанная в устройстве, а bridge1 — вероятный контекст, определенный для доступа к значениям MIB VLAN0065.

Синтаксис: <номер>:<контекст>

Пример 4: 65:bridge1

— где 65 — это номер VLAN, указанной в устройстве, а bridge1 — вероятный контекст, определенный для доступа к значениям MIB, относящимся к данной VLAN.

(Контексты необходимы для чтения содержимого объектов BRIDGE-MIB, связанных с таблицами VLAN.)

Tip: Контексты можно связывать с MIB помимо объектов VLAN/BRIDGE-MIB, но при связи с BRIDGE-MIB они связываются исключительно друг с другом.

Передовые методы сопоставления шаблонов VLAN

При сопоставлении или замене шаблонов VLAN необходимо учитывать следующее:

Для имен контекста используйте легко запоминающийся префикс. Например, vlan-10 (где 10 обозначает индекс VLAN).
Если для контекстов VLAN нельзя придумать простые шаблоны, можно указать точный (более дословный) шаблон для получения точного совпадения.
Имена контекстов VLAN можно проверить на устройстве (например, #show snmp context — для поддерживаемых коммутаторов Cisco).