Aplicação do aprimoramento de recursos ASA SNMP

Documentos relacionados
Configurar um server público com Cisco ASDM

Transferência de arquivo ASA com exemplo de configuração FXP

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Configurar receptores da notificação de SNMP em um interruptor com o CLI

Configurar a licença HCM-F 10.X e os trabalhos HLM

Configurar ajustes do relé do protocolo de configuração dinâmica host (DHCP) em um interruptor através do comando line interface(cli)

Troubleshooting da configuração da tradução de endereço de rede ASA

Exemplo de configuração do filtro ACL do ponto de acesso

Este documento não se restringe a versões de software e hardware específicas.

Mobilidade DHCP interno expresso

Backup da fineza e configuração da elevação com SFTP

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

Configurar a transmissão da porta da versão ASA 9.x com NAT

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Configurando Perfis de discagem para construir uma ponte sobre usando o ISDN

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Utilizando NAT em redes sobrepostas

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

ASA 8.x: Cisco ASA no modo de contexto múltiplo sincronizado com o exemplo de configuração do servidor de NTP

Exemplo de configuração da opção de DHCP 82 do controlador do Wireless LAN

Utilização de Números de Porta FTP Não- Padrão com NAT

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Uso de scripts EEM monitorar a utilização elevada da CPU em Series Switch do Cisco catalyst

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

Configurar o Multicast na mobilidade AP expressos de Cisco

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

A memória entra o Switches controlado 200/300 Series

Índice. Introdução. Introdução Perguntas gerais Problemas conhecidos e soluções Mensagens de erro do software TrafficDirector Informações Relacionadas

Exemplo de configuração: Trabalhos em rede do Cisco Unity Express

Servidor DNS de Microsoft Windows 2003 para o exemplo de configuração da descoberta do controlador do Wireless LAN (WLC)

Configurar o SNMPv3 no WAP125 e no WAP581

Troubleshooting da configuração da tradução de endereço de rede ASA

Configuração automática CUCM para gateways SCCP

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

Configurando o interruptor como um cliente SNTP do protocolo de tempo de rede simples do unicast através do CLI

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Configurar a característica do desvio do estado TCP no 5500 Series ASA

Configurar configurações de rede para o LAN e o DHCP em SPA122

CUCM BATE o exemplo de configuração

Sistema operacional elástico de FirePOWER (FXO) 2.2: Authentication e autorização do chassi para o Gerenciamento remoto com ACS usando o TACACS+.

Cisco FirePOWER pesquisa defeitos procedimentos de geração do arquivo

Exclusão do tráfego ASA da inspeção CWs com exemplo de configuração FQDN

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Filtros ACL no exemplo de configuração de Aironet AP

Migração principal do acreditação da Colaboração de 11.x a 12.1

PIX/ASA 7.x e FWSM: Indicações NAT e de PANCADINHA

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Tráfego em linha do Multi-jogador de Xbox Live (túnel UDP 3544 do Teredo) obstruído por FTD

Balanceamento de carga da rede Microsoft no exemplo da configuração de distribuição dos server da série UCS-b

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Guia de Referência Rápida IBM CMM

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

As informações neste documento são baseadas nestas versões de software e hardware:

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Multicast UCS L2 com exemplo de configuração dos 5000 e 1000V Series Switch do nexo

Exemplo de configuração do ISDN - IP

Instale a ativação e as chaves de recurso em um IP GW do TelePresence

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Grupos da autorização do comando shell ACS no exemplo de configuração IO e ASA/PIX/FWSM

Configurar o Access point de pouco peso como um suplicante do 802.1x

Papel da autenticação chap configurado sob a relação celular

Configurar o gerente das comunicações unificadas de Cisco do server da paginação de InformaCast (CUCM) 12.0

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Client e configuração Nenhum-MODE

Grupos da autorização do comando shell ACS no exemplo de configuração IO e ASA/PIX/FWSM

O discador BA não conecta com o CTI Server - ordem de associação NIC

Cisco Jabber para Windows no exemplo de configuração expresso do CallManager

Polling snmp ASA para estatísticas Memóriarelacionadas

Armazenamento anexado direto UCS e de Zoneamento FC exemplo de configuração

Configurar o SNMP a fim receber armadilhas do server CVP

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

WCCP no ASA: Conceitos, limitações, e configuração

Exemplo de configuração do gerenciamento de largura de banda do VPN 3000 concentrator

Configurando a tradução de endereço de rede: Getting Started

WCCP no ASA: Conceitos, limitações, e configuração

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

Discar endereços IP de Um ou Mais Servidores Cisco ICM NT dos valores-limite registrados a CUCM com VCS/exemplo de configuração de Expressway

Configurar o sibilo das opções entre CUCM e CUBO

Vazamento de rota em redes MPLS/VPN

Configurar o proxy WebRTC com o CMS sobre a via expressa com domínio duplo

Edite a conexão de WAN no Roteadores RV016, RV042, RV042G e RV082 VPN

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

Transcrição:

Aplicação do aprimoramento de recursos ASA SNMP Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Apoio para anfitriões 128 SNMP Propósito Modo do Único-contexto Modo do Multi-contexto Descrição Configurar Comandos CLI Exemplo de configuração Apoio para o cpmcputotal5minrev SNMP OID Propósito Comandos CLI OID novos Troubleshooting comandos show Introdução Este documento descreve as características novas do Simple Network Management Protocol (SNMP) que estão disponíveis para o Firewall adaptável do 5500-X Series da ferramenta de segurança de Cisco (ASA) no Software Release 9.1.5 e nas liberações 9.2.(1) e mais atrasadas. Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Utilizados

A informação neste documento é baseada no Firewall do 5500-X Series de Cisco ASA que executa o Software Release 9.1.5 e as liberações do de Cisco ASA 9.2.(1) e mais atrasado. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Informações de Apoio Nas versões ASA 9.1.5 e 9.2.1, estes realces SNMP são introduzidos: O apoio para anfitriões 128 SNMP é adicionado. O apoio para os identificadores de objeto do cpmcputotal5minrev SNMP (OID) é adicionado. O apoio para os mensagens snmp 1,472-byte é adicionado. Apoio para anfitriões 128 SNMP Esta característica permite que o ASA apoie mais do que a corrente 32 anfitriões SNMP. Propósito Atualmente, o ASA tem um limite duro de um total de 32 anfitriões SNMP. Isto inclui os anfitriões que podem ser configurados para armadilhas e votando. As próximas seções descrevem as influências que esta característica tem modos em únicos e do multi-contexto. Modo do Único-contexto Permite que um número significativamente mais alto de entradas (anfitriões totais) seja configurado, para cima de 4,096. Contudo, fora destas entradas, somente o 128 pode ser usado para armadilhas. Para propósitos de configuração de vatação, a até são permitidos 4,096 anfitriões e host de armadilha 128 de vatação ser configurados. Contudo, o número real de server que votam o sistema devem ser restringidos a menos do que o 128, porque os impactos no desempenho de um número mais alto de anfitriões são desconhecidos e não apoiados. Modo do Multi-contexto Para propósitos de configuração, até 4,000 anfitriões pelo contexto são permitidos e um limite sistema-largo de 64,000 anfitriões totais é imposto.

Fora do total os anfitriões configurados, somente 128 (pelo contexto) podem ser usados para armadilhas, e o limite de sistema total para armadilhas no modo do multi-contexto são 32,000. Embora você possa configurar até 4,000 anfitriões totais pelo contexto, o número real de server que votam todo o contexto deve ser limitado ao 128. Descrição Você pôde preferir monitorar os dispositivos de rede de um grande pool de anfitriões SNMP. Idealmente, você quer a capacidade para especificar uma escala IP e/ou uma sub-rede dos endereços IP de Um ou Mais Servidores Cisco ICM NT que são permitidos monitorar os dispositivos de rede. O ASA atualmente não fornece essa flexibilidade e limita os anfitriões do máximo SNMP a 32. O apoio para esta característica envolve dois aspectos: Forneça a capacidade para que o ASA segure até anfitriões 128 SNMP. Forneça os comandos required configuration de modo que você possa configurar um número significativamente mais alto de anfitriões, como detalhado na seção anterior através de um comando único. O projeto atual no ASA é tal que os host individuais podem ser configurados através do CLI. Para esta característica, estes requisitos de projeto adicionais foram considerados: A introdução do comando CLI do host-grupo do servidor snmp com retenção do comando CLI do host do servidor snmp. A capacidade para que as entradas venham do host-grupo do servidor snmp e dos comandos CLI do host do servidor snmp. Para o SNMP Versão 3, a introdução do comando CLI do userlist do servidor snmp com retenção do comando CLI do usuário do servidor snmp. Uma sobreposição da configuração deve igualmente ser apoiada. Por exemplo, os comandos múltiplos do host-grupo podem ser dados com anfitriões que sobrepõem nos objetos de rede. Similarmente, você pode especificar um host com um endereço IP de Um ou Mais Servidores Cisco ICM NT que sobreponha com os anfitriões atuais ou o grupo do host. Isto fornece um mecanismo que possa ser usado a fim overwrite os parâmetros para alguns anfitriões em um grupo, sem a necessidade de reconfigurar o grupo completo. Algumas restrições de software e advertências que são associadas com esta característica são: Como parte do comando do host-grupo do servidor snmp, o padrão é votação se [armadilha a votação] não é especificada. É igualmente importante notar que para este comando, as armadilhas e a votação não podem ser permitidas para o mesmo grupo do host. Se isto é exigido, Cisco recomenda que você usa o comando snmp-server host para os anfitriões relevantes.

Você pode especificar os objetos de rede que sobrepõem em comandos diferentes do hostgrupo. Os valores que são especificados no último grupo do host tomam o efeito para o grupo comum de anfitriões nos objetos de rede diferentes. Aqui está um exemplo: object network network1 range 64.103.236.40 64.103.236.50 object network network2 range 64.103.236.35 64.103.236.55 snmp-server host-group inside network1 poll version 3 user-list SNMP-List snmp-server host-group inside network2 poll version 3 user-list SNMP-List Inscreva o comando snmp-server host da mostra a fim ver entradas de host: asa(config)# show snmp-server host host ip = 64.103.236.35, interface = inside poll version 3 cisco1 host ip = 64.103.236.36, interface = inside poll version 3 cisco1 host ip = 64.103.236.37, interface = inside poll version 3 cisco1 host ip = 64.103.236.38, interface = inside poll version 3 cisco1 host ip = 64.103.236.39, interface = inside poll version 3 cisco1 host ip = 64.103.236.40, interface = inside poll version 3 cisco1 host ip = 64.103.236.41, interface = inside poll version 3 cisco1 host ip = 64.103.236.42, interface = inside poll version 3 cisco1 host ip = 64.103.236.43, interface = inside poll version 3 cisco1 host ip = 64.103.236.44, interface = inside poll version 3 cisco1 host ip = 64.103.236.45, interface = inside poll version 3 cisco1 host ip = 64.103.236.46, interface = inside poll version 3 cisco1 host ip = 64.103.236.47, interface = inside poll version 3 cisco1 host ip = 64.103.236.48, interface = inside poll version 3 cisco1 host ip = 64.103.236.49, interface = inside poll version 3 cisco1 host ip = 64.103.236.50, interface = inside poll version 3 cisco1 host ip = 64.103.236.51, interface = inside poll version 3 cisco1 host ip = 64.103.236.52, interface = inside poll version 3 cisco1 host ip = 64.103.236.53, interface = inside poll version 3 cisco1 host ip = 64.103.236.54, interface = inside poll version 3 cisco1 host ip = 64.103.236.55, interface = inside poll version 3 cisco1 Estão aqui algumas observações importantes sobre o uso desta característica: Se um grupo do host ou um host que sobreponham com outros grupos do host são suprimidos, os anfitriões estabelecem-se outra vez com os valores que são usados para os grupos configurados do host. Os valores ou os parâmetros que são associados com os anfitriões são dependentes da ordem que os comandos estão executados. A lista de usuários que é configurada não pode ser suprimida se a lista é usada por um grupo do host particular. O usuário SNMP não pode ser suprimido se o usuário é referido dentro uma lista de usuário particular. Um objeto de rede não pode ser suprimido se é usado pelo comando CLI do host-grupo. Configurar

Use a informação que é descrita nesta seção a fim configurar o ASA de modo que estes novos recursos sejam executados. Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Comandos CLI Para o SNMP Versão 3, o administrador pode associar vários usuários com um grupo especificado de anfitriões. Isto é útil se o administrador quer um grupo de usuários ter a capacidade para alcançar o ASA de um grupo de anfitriões. Este comando CLI é usado a fim configurar uma lista de usuários para usuários múltiplos: ASA(config)# [no] snmp-server user-list <list_name> username <user_name> A fim associar a lista de usuários com um grupo do host, incorpore este comando no CLI: [no] snmp-server host-group <interface> <network-object> [trap poll] [community [enc_type] <text>] [version {1 2c 3 [user name user-list <list-name>]}] [udp-port <port_number>] Com este comando único, você pode especificar um objeto de rede a fim indicar os host múltiplos que devem ser adicionados. Com o objeto de rede, você pode especificar uma máscara de subrede ou a escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT que devem ser adicionados, com o uso de um comando único. Todos os endereços IP de Um ou Mais Servidores Cisco ICM NT que são alistados como parte do objeto de rede são adicionados como entradas de host SNMP. Similarmente, para cada um dos usuários que são especificados na lista de usuários, há uma entrada de host separada SNMP. Estes comandos são usados a fim permitir que os administradores cancelem e ver as opções de configuração novas para os servidores SNMP: o espaço livre configura a lista de usuários do servidor snmp o espaço livre configura o host-grupo do servidor snmp mostre a lista de usuários do servidor snmp da executar-configuração mostre o host-grupo do servidor snmp da executar-configuração Exemplo de configuração Termine estas etapas a fim usar as opções novas do grupo SNMP e criar um grupo do host do servidor SNMP para a votação da versão 2c: 1. Crie um objeto de rede: asa(config)# object network network1 asa(config-network-object)# range 64.103.236.40 64.103.236.50 2. Defina o grupo do host SNMP: asa(config)#snmp-server host-group inside network1 poll community ***** version 2c 3. Defina o grupo do SNMP Versão 3: asa(config)#snmp-server group SNMPRW-GROUP v3 noauth 4. Amarre os grupos aos usuários: asa(config)#snmp-server user cisco1 SNMPRW-GROUP v3 asa(config)#snmp-server user-list SNMP-List username cisco1 asa(config)#snmp-server host-group inside network1 poll version 3 user-list SNMP-List

Esta imagem ilustra as mudanças que são feitas dentro do Cisco Adaptive Security Device Manager (ASDM): Apoio para o cpmcputotal5minrev SNMP OID Esta característica permite que o ASA apoie o cpmcputotal5minrev SNMP OID. Propósito Esta característica adiciona o apoio para o cpmcputotal5minrev e o cpmcputotal1minrev OID no ASA e suplica o cpmcputotal5min OID e o cpmcputotal1min atual-apoiados. A finalidade destes OID é monitorar o USO de CPU. Os OID atual-apoiados variam de 1 a 100, quando os OID novo-apoiados variarem de 0 a 100. Daqui, o apoio foi adicionado para uns OID mais novos, como cobrem uma escala mais larga. Éimportante notar que desde que os OID suplicados (cpmcputotal5min e cpmcputotal1min) estão apoiados já não no ASA, se o ASA são promovidos e os OID suplicados estão votados, o ASA não retorna nenhuma informação para aqueles OID. Depois que uma elevação do ASA, você é exigida agora para monitorar o cpmcputotal5minrev e o cpmcputotal1minrev para o USO de CPU. Comandos CLI Não há nenhuma mudança CLI introduzida com estes novos recursos. OID novos

Estes são os OID novos que são adicionados com esta característica: 1.3.6.1.4.1.9.9.109.1.1.1.1.7. cpmcputotal1minrev 1.3.6.1.4.1.9.9.109.1.1.1.1.8. cpmcputotal5minrev Apoio para os mensagens snmp 1,472-Byte As Plataformas ASA limitam o tamanho máximo do pacote para pedidos SNMP a 512 bytes. Quando você executa uma pergunta maioria para um grande número MIB OID dentro de um único pedido SNMP, os intervalos de conexão SNMP e um Syslog do erro estão gerados no ASA. O RFC3417 sugere que o tamanho máximo do pacote para pedidos SNMP seja 1,472 bytes. Este é o tamanho do payload SNMP para o pacote. Adicionalmente, o cabeçalho de Ethernet e o tamanho do cabeçalho IP devem ser adicionados a fim computar o tamanho total do pacote.

Nota: O único-contexto e os modos de contexto múltiplo são apoiados com esta característica. Troubleshooting Esta seção fornece a informação que você pode usar a fim pesquisar defeitos edições do sistema no ASA. Comandos show Estes comandos show podem ser úteis quando as tentativas são feitas para pesquisar defeitos edições no ASA: host-grupo do servidor snmp da corrida da mostra do asa# host-grupo do servidor snmp dentro da SNMP-lista da lista de usuários da versão 3 da votação network1 lista de usuários do servidor snmp da corrida da mostra do asa# username cisco1 da SNMP-lista da lista de usuários do servidor snmp host do servidor snmp da mostra do asa# Este comando CLI indica as entradas que estam presente na tabela de endereço do servidor SNMP, que inclui o host e as configurações de grupo do host: asa(config)#show run object network object network network1 range 64.103.236.40 64.103.236.50 object network network2 range 64.103.236.35 64.103.236.55

object network network3 range 64.103.236.60 64.103.236.70 ciscoasa/admin(config)# show run snmp-server snmp-server group cisco-group v3 noauth snmp-server user user1 cisco-group v3 snmp-server user user2 cisco-group v3 snmp-server user user3 cisco-group v3 snmp-server user-list cisco username user1 snmp-server user-list cisco username user2 snmp-server user-list cisco username user3 snmp-server host-group management0/0 net2 poll version 3 user-list cisco no snmp-server locationno snmp-server contact ciscoasa/admin(config)# show snmp-server host host ip = 64.103.236.35, interface = inside poll version 3 cisco1 host ip = 64.103.236.36, interface = inside poll version 3 cisco1 host ip = 64.103.236.37, interface = inside poll version 3 cisco1 host ip = 64.103.236.38, interface = inside poll version 3 cisco1 host ip = 64.103.236.39, interface = inside poll version 3 cisco1 host ip = 64.103.236.40, interface = inside poll version 3 cisco1 host ip = 64.103.236.41, interface = inside poll version 3 cisco1 host ip = 64.103.236.42, interface = inside poll version 3 cisco1 Como mostrado, estes comandos show todos os anfitriões que são configurados através do comando do host-grupo. Você pode usar este comando a fim verificar se todas as entradas estão disponíveis e cruz-para verificar igualmente os grupos do host que sobrepõem.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback