cisco snmp community and group

 

선요약 : community는 id/pw 같은거라 이것만 알면 다 접근 가능하지만 group은 등록된 사용자만 접근 가능

 

네트워크 장비 점검 항목 중에 "snmp community string" 관련 점검 항목이 있다.

 

'snmp 커뮤니티 이름 복잡성 설정', 'snmp 커뮤니티 권한 설정' 등 이름에서 알 수 있듯이 snmp 커뮤니티 관련 설정을 보는 것이다.

 

'snmp 커뮤니티 이름 복잡성 설정'의 경우 커뮤니티 이름이 'public', 'private' 등의 초기값이 아니거나 복잡도를 만족하면 양호고,

 

'snmp 커뮤니티 권한 설정'의 경우 snmp community string 권한이 RO이면 양호이다.

 

근데 가끔 snmp community string이 아니라 snmp group을 사용하는 곳이 있다.

 

 

snmp group 설정 관련 항목은 없지만 몇 가지 궁금사항이 있어서 조사해보았다.

 

1. snmp group은 snmp user를 생성 후에 해당 group에 넣어줘야 함

 

2. read/read-view의 default 값은 read only로 보면 됨

 

3. write/write-view의 default 값은 쓰기권한 없음으로 보면 됨

 

다음 구문을 사용하여 SNMP 그룹을 생성합니다. snmp-server group name{{v1/v2/v3 {{noauth/auth/priv}}[notify notifyview]}[read readview] [write writeview]. 위치: group groupname - 그룹 이름을 지정할 수 있습니다. 그룹 이름의 길이는 1자에서 30자입니다. v1 - 이 옵션은 SNMP 버전 1 보안 모델을 사용합니다. v2 - 이 옵션은 SNMP 버전 2 보안 모델을 사용합니다 v3 - 이 옵션은 SNMP 버전 3 보안 모델을 사용합니다. noauth - 이 옵션은 패킷 인증이 수행되지 않도록 지정합니다. 이 옵션은 SNMPv3 보안 모델에만 적용됩니다. auth - 이 옵션은 암호화 없이 패킷 인증을 수행하도록 지정합니다. 이 옵션은 SNMPv3 보안 모델에만 적용됩니다. priv - 이 옵션은 암호화를 사용한 패킷 인증이 수행되도록 지정합니다. 이 옵션은 SNMPv3 보안 모델에만 적용됩니다. notify notifyview - (선택 사항) 이 옵션은 알림 또는 트랩을 생성할 수 있는 보기 이름을 지정합니다. 알림은 승인을 필요로 하는 트랩입니다. 이 옵션은 SNMPv3 보안 모델에서만 사용할 수 있습니다. read readview - (선택 사항) 이 옵션은 보기 전용을 활성화하는 뷰 이름을 지정합니다. 뷰 이름은 1자에서 30자 사이여야 합니다. write writeview - (선택 사항) 이 옵션은 에이전트 구성을 활성화하는 뷰 이름을 지정합니다. 보기 이름은 1자에서 30자까지 가능합니다.

Group Name — Enter the name of the group. The default group names are RO and RW. Group names can contain up to 32 alphanumeric characters. Security Level — Choose the security level for the group, from the following options: noAuthNoPriv — No authentication and no data encryption (no security). authNoPriv — Authentication, but no data encryption. With this security level, users send SNMP messages that use the SHA key or password for authentication, but not a DES key or AES128 for encryption. authPriv — Authentication and data encryption. With this security level, users send the SHA key or password for authentication and a DES or AES128 for encryption. For groups that require authentication, encryption, or both, you must define the SHA, DES and AES128 keys or passwords on the SNMP Users page. Write Views — Choose the write access for the group's MIBs from one of the following options: view-all — The group can create, alter, and delete MIBs. view-none — The group cannot create, alter, or delete MIBs. Read Views — Choose the read access to MIBs for the group, from one of the following options: view-all — The group is allowed to view and read all MIBs. view-none — The group cannot view or read MIBs.

 

 

참고1: https://www.cisco.com/c/ko_kr/support/docs/smb/switches/cisco-250-series-smart-switches/smb5638-configure-simple-network-management-protocol-snmp-groups-on.html

CLI를 통해 스위치에서 SNMP 그룹 구성

참고2: https://www.cisco.com/assets/sol/sb/AP541N_Emulators/AP541N_Emulator_v1.9.2/help_SNMP_Groups.htm

SNMP Groups

참고3: https://www.cisco.com/assets/sol/sb/WAP581_Emulators/WAP581_Emulator_v1-0-1-3/help/t_SNMPv3_Groups.html

SNMPv3 Groups

참고4: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/command/nm-snmp-cr-book/nm-snmp-cr-s5.html

Cisco IOS SNMP Support Command Reference - snmp-server engineID local through snmp trap link-status [Support]

참고5: https://fliedcat.tistory.com/239

CISCO SNMP V3 구성