Simple Network Management Protocol - SNMP, PRTG - Network Monitoring Software
Để quản lý 1 thiết bị từ xa chúng ta sử dụng giao thức SNMP, SNMP vận chuyển dữ liệu từ client (thiết bị cần giám sát) về server là nơi lưu trữ tập trung các log file nhằm giúp cho việc phân tích dễ dàng hơn. Trong LAB này chúng tôi sử dụng phần mềm PRTG demo.
YÊU CẦU:
1. Download và cài đặt PRTG theo mặt định
2. Cấu hình SNMP version v1, v2c trên switch cisco
3. Tạo group, thêm device, thêm sensor trên PRTG
4. Cấu hình V3 với các yêu cầu: AuthPriv; user là SNMPUser; password là snmpPASSWORD123, mã hóa MD5. và chỉ cho phép duy nhất thiết bị có IP 192.168.99.24 mới có thể kết nối SNMP vào switch.
5. Cài SNMP trên windows
6. Cài đặt trên PRTG để lấy thông tin ổ đĩa, CPU của server 192.168.99.15
THỰC HIỆN:
1. Download và cài đặt PRTG theo mặt định
2. Cấu hình SNMP version v1, v2c trên switch cisco
Cấu hình trên switch:
snmp-server community public ro
Chú ý: ro: Read Only; chúng ta cũng có thể cấu hình thêm snmp-server host inside <IP của máy SNMP server>, chỉ cho phép duy nhất máy có IP mới có thể kết nối snmp với thiết bị switch này. Nếu không cấu hình thì cho phép tất cả các IP.
Kiểm tra:
Cisco-SNMPV2#show run | include snmpsnmp-server community public RO
Cisco-SNMPV2#
3. Tạo group, thêm device, thêm sensor trên PRTG
Đảm bảo port UDP 161 đã được cho phép trên firewall (firewall.cpl) của server PRTG nhé.
Tạo Group
Thêm device/thiết bị cần giám sát (trong trường hợp là IP 192.168.100.6)
Thêm sensor cần theo giõi (trong trường hợp này tiện thể add gói ping vào, thực ra gói ping không cần cấu hình SNMP cũng add được)
Thêm sensor, trong trường hợp này chúng ta chọn SNMP và chọn SNMP Traffic -> chọn các interface cần giám sát (các interface nào up thì có màu đậm và trạng trái là Connected)
Trong tab overview chúng ta thấy dữ liệu đã có (có phân biệt dữ liệu vào và dữ liệu ra), chúng ta có thể xem dữ liệu theo: realtime, 2days, 30days, 365days, hoặc Hictoric Data là chọn theo thời gian mà chúng ta tự chọn.
4. Cấu hình V3 với các yêu cầu: AuthPriv; user là SNMPUser; password là snmpPASSWORD123, mã hóa MD5. và chỉ cho phép duy nhất thiết bị có IP 192.168.99.24 mới có thể kết nối SNMP vào switch.
Cấu hình trên switch
snmp-server group SNMPGroup v3 priv
snmp-server user SNMPUser SNMPGroup v3 auth md5 snmpPASSWORD123 priv des snmpKEY123
snmp-server host 192.168.99.24 version 3 auth SNMPUser
Kiểm tra:
Cisco-SNMPv3-AuthPriv#show snmp userUser name: SNMPUser
Engine ID: 80000009030088F031D42781
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: DES
Group-name: SNMPGroup
Cisco-SNMPv3-AuthPriv#show snmp groupgroupname: SNMPGroup security model:v3 priv
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active
Cisco-SNMPv3-AuthPriv#show run | include snmpsnmp-server group SNMPGroup v3 priv
snmp-server host 192.168.99.24 version 3 auth SNMPUser
Khi show cấu hình dòng: "snmp-server user SNMPUser SNMPGroup v3 auth md5 snmpPASSWORD123 priv des" không hiển thị
Chú ý: nên tồn tại duy nhất 1 phiên bản (version) của SNMP trên thiết bị mà thôi
Chỉnh SNMP v3 với thông tin vừa cấu hình trên PRTG
5. Cài SNMP trên windows
Đảm bảo SNMP đã cài đặt bằng Windows PowerShell
nếu chưa thì cài đặt, có thể cài đặt bằng giao diện GUI
Hoặc bằng PowerShell
Đảm bảo SNMP đã cài đặt bằng Windows PowerShell
PS C:\Users\administrator> Get-WindowsFeature SNMP-ServiceDisplay Name Name Install State
------------ ---- -------------
[X] SNMP Service SNMP-Service Installed
nếu chưa thì cài đặt, có thể cài đặt bằng giao diện GUI
Hoặc bằng PowerShell
Install-WindowsFeature SNMP-Service -IncludeManagementTools
Cài đặt SNMP chỉ cho phép duy nhất server có IP 192.168.99.24 mới có thể sử dụng SNMP truy cập vào server này.
Kết quả:
Tham khảo thêm về enable SNMP trên cisco
Xong!
6. Cài đặt trên PRTG để lấy thông tin ổ đĩa, CPU của server 192.168.99.15
Các bạn cũng có thể lấy các thông tin như: CPU, RAM, đĩa cứng, băng thông,... ở đây chúng tôi ví dụ là lấy thông tin của CPU và HDD
Tham khảo thêm về enable SNMP trên cisco
Simple Network Management Protocol - SNMP, PRTG - Network Monitoring Software
Để quản lý 1 thiết bị từ xa chúng ta sử dụng giao thức SNMP, SNMP vận chuyển dữ liệu từ client (thiết bị cần giám sát) về server là nơi lưu trữ tập trung các log file nhằm giúp cho việc phân tích dễ dàng hơn. Trong LAB này chúng tôi sử dụng phần mềm PRTG demo.
YÊU CẦU:
1. Download và cài đặt PRTG theo mặt định
2. Cấu hình SNMP version v1, v2c trên switch cisco
3. Tạo group, thêm device, thêm sensor trên PRTG
4. Cấu hình V3 với các yêu cầu: AuthPriv; user là SNMPUser; password là snmpPASSWORD123, mã hóa MD5. và chỉ cho phép duy nhất thiết bị có IP 192.168.99.24 mới có thể kết nối SNMP vào switch.
5. Cài SNMP trên windows
6. Cài đặt trên PRTG để lấy thông tin ổ đĩa, CPU của server 192.168.99.15
THỰC HIỆN:
1. Download và cài đặt PRTG theo mặt định
2. Cấu hình SNMP version v1, v2c trên switch cisco
Cấu hình trên switch:
snmp-server community public ro
Chú ý: ro: Read Only; chúng ta cũng có thể cấu hình thêm snmp-server host inside <IP của máy SNMP server>, chỉ cho phép duy nhất máy có IP mới có thể kết nối snmp với thiết bị switch này. Nếu không cấu hình thì cho phép tất cả các IP.
Kiểm tra:
Cisco-SNMPV2#show run | include snmp
snmp-server community public RO
Cisco-SNMPV2#
3. Tạo group, thêm device, thêm sensor trên PRTG
Đảm bảo port UDP 161 đã được cho phép trên firewall (firewall.cpl) của server PRTG nhé.
Tạo Group
Thêm device/thiết bị cần giám sát (trong trường hợp là IP 192.168.100.6)
Thêm sensor cần theo giõi (trong trường hợp này tiện thể add gói ping vào, thực ra gói ping không cần cấu hình SNMP cũng add được)
Thêm sensor, trong trường hợp này chúng ta chọn SNMP và chọn SNMP Traffic -> chọn các interface cần giám sát (các interface nào up thì có màu đậm và trạng trái là Connected)
Trong tab overview chúng ta thấy dữ liệu đã có (có phân biệt dữ liệu vào và dữ liệu ra), chúng ta có thể xem dữ liệu theo: realtime, 2days, 30days, 365days, hoặc Hictoric Data là chọn theo thời gian mà chúng ta tự chọn.
4. Cấu hình V3 với các yêu cầu: AuthPriv; user là SNMPUser; password là snmpPASSWORD123, mã hóa MD5. và chỉ cho phép duy nhất thiết bị có IP 192.168.99.24 mới có thể kết nối SNMP vào switch.
Cấu hình trên switch
snmp-server group SNMPGroup v3 priv
snmp-server user SNMPUser SNMPGroup v3 auth md5 snmpPASSWORD123 priv des snmpKEY123
snmp-server host 192.168.99.24 version 3 auth SNMPUser
Kiểm tra:
Cisco-SNMPv3-AuthPriv#show snmp user
User name: SNMPUser
Engine ID: 80000009030088F031D42781
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: DES
Group-name: SNMPGroup
Cisco-SNMPv3-AuthPriv#show snmp group
groupname: SNMPGroup security model:v3 priv
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active
Cisco-SNMPv3-AuthPriv#show run | include snmp
snmp-server group SNMPGroup v3 priv
snmp-server host 192.168.99.24 version 3 auth SNMPUser
Khi show cấu hình dòng: "snmp-server user SNMPUser SNMPGroup v3 auth md5 snmpPASSWORD123 priv des" không hiển thị
Chú ý: nên tồn tại duy nhất 1 phiên bản (version) của SNMP trên thiết bị mà thôi
Chỉnh SNMP v3 với thông tin vừa cấu hình trên PRTG
5. Cài SNMP trên windows
Đảm bảo SNMP đã cài đặt bằng Windows PowerShell
nếu chưa thì cài đặt, có thể cài đặt bằng giao diện GUI
Hoặc bằng PowerShell
Đảm bảo SNMP đã cài đặt bằng Windows PowerShell
PS C:\Users\administrator> Get-WindowsFeature SNMP-Service
Display Name Name Install State
------------ ---- -------------
[X] SNMP Service SNMP-Service Installed
nếu chưa thì cài đặt, có thể cài đặt bằng giao diện GUI
Hoặc bằng PowerShell
Install-WindowsFeature SNMP-Service -IncludeManagementTools
Cài đặt SNMP chỉ cho phép duy nhất server có IP 192.168.99.24 mới có thể sử dụng SNMP truy cập vào server này.
Kết quả:
Tham khảo thêm về enable SNMP trên cisco
Xong!
6. Cài đặt trên PRTG để lấy thông tin ổ đĩa, CPU của server 192.168.99.15
Các bạn cũng có thể lấy các thông tin như: CPU, RAM, đĩa cứng, băng thông,... ở đây chúng tôi ví dụ là lấy thông tin của CPU và HDD
Tham khảo thêm về enable SNMP trên cisco
LAB, Troubleshooting SPAN, RSPAN, Wireshark
Để việc giám sát mạng hiệu quả hơn chúng ta sử dụng Switched Port Analyzer - SPAN. Tính năng này sử dụng để copy - sao chép dữ liệu khi trao đổi của một port, vlan hay một IP cụ thể nào đó sang port khác, ta gọi là monitoring. Thiết bị phân tích sẽ gắng vào port này để phân tích dữ liệu/các gói tin đó nhằm mục đích ....
Yêu cầu:
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20
2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)
3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26
4. Cấu hình Remote Span - RSPAN
Thực hiện:
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20
Cấu hình trên switch:
monitor session 1 source interface Gi0/20 both
monitor session 1 destination interface Gi0/18
Kiểm tra:
Sw_01#show monitor session 1Session 1
---------
Type : Local Session
Source Ports :
Both : Gi0/20
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
Sw_01#show interfaces Gi0/18GigabitEthernet0/18 is up, line protocol is down (monitoring)
Hardware is Gigabit Ethernet, address is 88f0.31d4.2792 (bia 88f0.31d4.2792)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
{...}
Mặc định khi cổng đã được cấu hình monitor port thì switch drop lưu lương vào cổng đó
2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)
Giữ nguyên cấu hình ở yêu cầu 1 và cấu hình thêm phần filter 116 theo yêu cầu
Sw_01
monitor session 1 filter vlan 116
3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26
Tạo Access-List trên Sw_01
ip access-list extended LAB-SPAN-Filter
permit ip host 192.168.116.187 host 192.168.99.26
exit
!
no monitor session 1 filter vlan 116
monitor session 1 filter ip access-group LAB-SPAN-Filter
!
Chỉ được phép tồn tại file điều kiện filter nên chúng ta phải bỏ cấu hình ở yêu cầu 2 và gán điều kiện filter của ACL vừa tạo
Sw_01#show monitor session 1Session 1
---------
Type : Local Session
Source Ports :
Both : Gi0/20
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
IP Access-group : LAB-SPAN-Filter
4. Cấu hình Remote Span - RSPAN
Đảm bảo đường đấu nối 2 switch phải là trunk
Sw_01#show interfaces trunkPort Mode Encapsulation Status Native vlan
Gi0/24 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/24 1-4094
{...}
Tham khảo cấu hình trunk cho interfaceSw_02
interface GigabitEthernet7/48
switchport trunk encapsulation dot1q
switchport mode trunk
end
Sw_01
interface GigabitEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
end
Chúng ta phải tạo thêm vlan nhằm nhờ vlan này chuyển dữ liệu cho RSPAN thông qua đường trunk được thiết lập giữa các switch
Tạo VLAN 500 trên cả 2 switch
Sw_02
vlan 500
Remote-SPAN
exit
!
monitor session 2 source interface Gi7/22
monitor session 2 destination remote vlan 500
exit
Sw_01
vlan 500
Remote-SPAN
exit
!
monitor session 2 source remote vlan 500
monitor session 2 destination interface Gi0/18
exit
Kiểm tra
Sw_02#show monitor session 2Session 2
---------
Type : Remote Source Session
Source Ports :
Both : Gi7/22
Filter Pkt Type :
RX Only : Good
Dest RSPAN VLAN : 500
Sw_01#show monitor session 2Session 2
---------
Type : Remote Destination Session
Source RSPAN VLAN : 500
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
LAB, Troubleshooting SPAN, RSPAN, Wireshark
Để việc giám sát mạng hiệu quả hơn chúng ta sử dụng Switched Port Analyzer - SPAN. Tính năng này sử dụng để copy - sao chép dữ liệu khi trao đổi của một port, vlan hay một IP cụ thể nào đó sang port khác, ta gọi là monitoring. Thiết bị phân tích sẽ gắng vào port này để phân tích dữ liệu/các gói tin đó nhằm mục đích ....
Yêu cầu:
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20
2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)
3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26
4. Cấu hình Remote Span - RSPAN
Thực hiện:
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20
Cấu hình trên switch:
monitor session 1 source interface Gi0/20 both
monitor session 1 destination interface Gi0/18
Kiểm tra:
Sw_01#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi0/20
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
Sw_01#show interfaces Gi0/18
GigabitEthernet0/18 is up, line protocol is down (monitoring)
Hardware is Gigabit Ethernet, address is 88f0.31d4.2792 (bia 88f0.31d4.2792)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
{...}
Mặc định khi cổng đã được cấu hình monitor port thì switch drop lưu lương vào cổng đó
2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)
Giữ nguyên cấu hình ở yêu cầu 1 và cấu hình thêm phần filter 116 theo yêu cầu
Sw_01
monitor session 1 filter vlan 116
3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26
Tạo Access-List trên Sw_01
ip access-list extended LAB-SPAN-Filter
permit ip host 192.168.116.187 host 192.168.99.26
exit
!
no monitor session 1 filter vlan 116
monitor session 1 filter ip access-group LAB-SPAN-Filter
!
Chỉ được phép tồn tại file điều kiện filter nên chúng ta phải bỏ cấu hình ở yêu cầu 2 và gán điều kiện filter của ACL vừa tạo
Sw_01#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi0/20
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
IP Access-group : LAB-SPAN-Filter
4. Cấu hình Remote Span - RSPAN
Đảm bảo đường đấu nối 2 switch phải là trunk
Sw_01#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/24 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/24 1-4094
{...}
Tham khảo cấu hình trunk cho interfaceSw_02
interface GigabitEthernet7/48
switchport trunk encapsulation dot1q
switchport mode trunk
end
Sw_01
interface GigabitEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
end
Chúng ta phải tạo thêm vlan nhằm nhờ vlan này chuyển dữ liệu cho RSPAN thông qua đường trunk được thiết lập giữa các switch
Tạo VLAN 500 trên cả 2 switch
Sw_02
vlan 500
Remote-SPAN
exit
!
monitor session 2 source interface Gi7/22
monitor session 2 destination remote vlan 500
exit
Sw_01
vlan 500
Remote-SPAN
exit
!
monitor session 2 source remote vlan 500
monitor session 2 destination interface Gi0/18
exit
Kiểm tra
Sw_02#show monitor session 2
Session 2
---------
Type : Remote Source Session
Source Ports :
Both : Gi7/22
Filter Pkt Type :
RX Only : Good
Dest RSPAN VLAN : 500
Sw_01#show monitor session 2
Session 2
---------
Type : Remote Destination Session
Source RSPAN VLAN : 500
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
Xong!
Subscribe to:
Posts (Atom)