ADC

Konfiguration von NetScaler für SNMPv3-Abfragen

Simple Network Management Protocol Version 3 (SNMPv3) basiert auf der Grundstruktur und Architektur von SNMPv1 und SNMPv2. SNMPv3 erweitert jedoch die Basisarchitektur, um Verwaltungs- und Sicherheitsfunktionen wie Authentifizierung, Zugriffskontrolle, Datenintegritätsprüfung, Überprüfung des Datenursprungs, Überprüfung der Aktualität von Nachrichten und Datenvertraulichkeit zu integrieren.

Zur Implementierung von Sicherheit und Zugriffskontrolle auf Nachrichtenebene führt SNMPv3 das benutzerbasierte Sicherheitsmodell (USM) und das View-based Access Control Model (VACM) ein.

  • Benutzerbasiertes Sicherheitsmodell. Das benutzerbasierte Sicherheitsmodell (USM) bietet Sicherheit auf Nachrichtenebene. Es ermöglicht Ihnen, Benutzer und Sicherheitsparameter für den SNMP-Agenten und den SNMP-Manager zu konfigurieren. USM bietet die folgenden Funktionen:
    • Datenintegrität: Zum Schutz von Nachrichten vor Änderungen während der Übertragung über das Netzwerk.
    • Überprüfung der Datenherkunft: Um den Benutzer zu authentifizieren, der die Nachrichtenanfrage gesendet hat.
    • Aktualität von Nachrichten: Zum Schutz vor Verzögerungen oder Wiederholungen von Nachrichten.
    • Vertraulichkeit der Daten: Um den Inhalt von Nachrichten vor der Offenlegung an unbefugte Stellen oder Einzelpersonen zu schützen.
  • Modell der ansichtsbasierten Zugriffskontrolle. Mit dem View-based Access Control Model (VACM) können Sie Zugriffsrechte für einen bestimmten Unterbaum der MIB auf der Grundlage verschiedener Parameter wie Sicherheitsstufe, Sicherheitsmodell, Benutzername und Ansichtstyp konfigurieren. Es ermöglicht Ihnen, Agenten so zu konfigurieren, dass sie verschiedenen Managern unterschiedliche Zugriffsebenen auf die MIB gewähren.

NetScaler unterstützt die folgenden Entitäten, mit denen Sie die Sicherheitsfunktionen von SNMPv3 implementieren können:

  • SNMP-Engines
  • SNMP-Ansichten
  • SNMP-Gruppen
  • SNMP-Benutzer

Diese Entitäten arbeiten zusammen, um die SNMPv3-Sicherheitsfunktionen zu implementieren. Views werden erstellt, um den Zugriff auf Teilbäume der MIB zu ermöglichen. Anschließend werden Gruppen mit der erforderlichen Sicherheitsstufe und dem Zugriff auf die definierten Ansichten erstellt. Schließlich werden Benutzer erstellt und den Gruppen zugewiesen.

Hinweis:

Die Ansicht-, Gruppen- und Benutzerkonfiguration werden synchronisiert und in einem Hochverfügbarkeitspaar (HA) an den sekundären Knoten weitergegeben. Die Engine-ID wird jedoch weder weitergegeben noch synchronisiert, da sie für jede NetScaler-Appliance eindeutig ist.

Um die Nachrichtenauthentifizierung und Zugriffskontrolle zu implementieren, müssen Sie Folgendes tun:

Einstellung der Engine-ID

SNMP-Engines sind Dienstanbieter, die sich im SNMP-Agenten befinden. Sie bieten Dienste wie das Senden, Empfangen und Authentifizieren von Nachrichten. SNMP-Engines werden anhand von Engine-IDs eindeutig identifiziert.

Die NetScaler-Appliance verfügt über eine eindeutige EngineID, die auf der MAC-Adresse einer ihrer Schnittstellen basiert. Es ist nicht erforderlich, die EngineID zu überschreiben. Wenn Sie die Engine-ID jedoch ändern möchten, können Sie sie zurücksetzen.

So legen Sie die Engine-ID mithilfe der Befehlszeilenschnittstelle fest

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

  • set snmp engineId <engineID>
  • show snmp engineId

Beispiel

> set snmp engineId 8000173f0300c095f80c68

So legen Sie die Engine-ID mithilfe der GUI fest

Navigieren Sie zu System > SNMP > Benutzer, klicken Sie auf Engine-ID konfigurieren und geben Sie eine Engine-ID ein.

Eine Ansicht konfigurieren

SNMP-Ansichten beschränken den Benutzerzugriff auf bestimmte Teile der MIB. SNMP-Ansichten werden verwendet, um die Zugriffssteuerung zu implementieren.

So fügen Sie mithilfe der Befehlszeilenschnittstelle eine SNMP-Ansicht hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

Hierbei gilt:

Name. Name für die SNMPv3-Ansicht. Es kann aus 1 bis 31 Zeichen bestehen, die Groß- und Kleinbuchstaben, Zahlen und die Zeichen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), At-Zeichen (@), Gleichheitszeichen (=), Doppelpunkt (:) und Unterstriche (_) enthalten. Sie sollten einen Namen wählen, der hilft, die SNMPv3-Ansicht zu identifizieren.

Teilbaum. Ein bestimmter Zweig (Unterbaum) des MIB-Baums, den Sie dieser SNMPv3-Ansicht zuordnen möchten. Sie müssen den Teilbaum als SNMP-OID angeben. Dies ist ein Argument mit einer maximalen Länge: 99.

Typ. Schließt den durch den Teilbaumparameter angegebenen Teilbaum in oder aus dieser Ansicht ein. Diese Einstellung kann nützlich sein, wenn Sie einen Teilbaum wie A in eine SNMPv3-Ansicht aufgenommen haben und einen bestimmten Teilbaum von A, z. B. B, aus der SNMPv3-Ansicht ausschließen möchten. Dies ist ein zwingendes Argument. Mögliche Werte: enthalten, ausgeschlossen.

Beispiele

add snmp view SNMPv3test 1.1.1.1 -type included sh snmp view SNMPv3test rm snmp view SNMPv3test 1.1.1.1

So konfigurieren Sie eine SNMP-Ansicht mithilfe der GUI

Navigieren Sie zu System > SNMP > Viewsund erstellen Sie die SNMP-Ansicht.

Eine Gruppe konfigurieren

SNMP-Gruppen sind logische Aggregationen von SNMP-Benutzern. Sie werden verwendet, um die Zugriffskontrolle zu implementieren und die Sicherheitsstufen zu definieren. Sie können eine SNMP-Gruppe konfigurieren, um Zugriffsrechte für Benutzer festzulegen, die dieser Gruppe zugewiesen sind, wodurch die Benutzer auf bestimmte Ansichten beschränkt werden.

Sie müssen eine SNMP-Gruppe konfigurieren, um Zugriffsrechte für Benutzer festzulegen, die dieser Gruppe zugewiesen sind.

So fügen Sie eine SNMP-Gruppe mithilfe der Befehlszeilenschnittstelle hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

Hierbei gilt:

Name. Name für die SNMPv3-Gruppe. Kann aus 1 bis 31 Zeichen bestehen, die Groß- und Kleinbuchstaben, Zahlen und die Zeichen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), At-Zeichen (@), Gleichheitszeichen (=), Doppelpunkt (:) und Unterstriche (_) enthalten. Sie sollten einen Namen wählen, anhand dessen die SNMPv3-Gruppe identifiziert werden kann.

Sicherheitsstufe. Sicherheitsstufe, die für die Kommunikation zwischen der NetScaler-Appliance und den SNMPv3-Benutzern, die der Gruppe angehören, erforderlich ist. Geben Sie eine der folgenden Optionen an:

noAuthNoPriv. Erfordert weder Authentifizierung noch Verschlüsselung.

authNoPriv. Authentifizierung erforderlich, aber keine Verschlüsselung.

authPriv. Authentifizierung und Verschlüsselung erforderlich. Hinweis: Wenn Sie die Authentifizierung angeben, müssen Sie einen Verschlüsselungsalgorithmus angeben, wenn Sie der Gruppe einen SNMPv3-Benutzer zuweisen. Wenn Sie auch Verschlüsselung angeben, müssen Sie jedem Gruppenmitglied sowohl einen Authentifizierungs- als auch einen Verschlüsselungsalgorithmus zuweisen. Dies ist ein zwingendes Argument. Mögliche Werte: noAuthNoPriv, authNoPriv, authPriv.

Lesen Sie den Namen der Ansicht. Name der konfigurierten SNMPv3-Ansicht, die Sie an diese SNMPv3-Gruppe binden möchten. Ein an diese Gruppe gebundener SNMPv3-Benutzer kann auf die Teilbäume zugreifen, die an diese SNMPv3-Ansicht als Typ INCLUDED gebunden sind, aber nicht auf die, die vom Typ EXCLUDED sind. Wenn die NetScaler-Appliance mehrere SNMPv3-View-Einträge mit demselben Namen hat, sind alle diese Einträge der SNMPv3-Gruppe zugeordnet. Dies ist ein zwingendes Argument. Maximale Länge: 31

So konfigurieren Sie eine SNMP-Gruppe mithilfe der GUI

Navigieren Sie zu System > SNMP > Gruppenund erstellen Sie die SNMP-Gruppe.

Einen Benutzer konfigurieren

SNMP-Benutzer sind die SNMP-Manager, denen die Agenten den Zugriff auf die MIBs ermöglichen. Jeder SNMP-Benutzer ist einer SNMP-Gruppe zugewiesen.

Sie müssen Benutzer am Agenten konfigurieren und jeden Benutzer einer Gruppe zuweisen.

So konfigurieren Sie einen Benutzer mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

Hierbei gilt:

AuthType ist die Authentifizierungsoption, die bei der Konfiguration eines Benutzers verfügbar ist. Es gibt zwei Authentifizierungstypen wie MD5 und SHA.

PrivType ist die Verschlüsselungsoption, die bei der Konfiguration eines Benutzers verfügbar ist. Es gibt zwei Arten der Verschlüsselung, z. B. DES mit einer Schlüsselgröße von 128 Bit und AES mit einer Schlüsselgröße von 128 Bit.

Beispiel

> add snmp user edocs_user -group edocs_group
<!--NeedCopy-->

So konfigurieren Sie einen SNMP-Benutzer mithilfe der GUI

Navigieren Sie zu System > SNMP > Benutzerund erstellen Sie den SNMP-Benutzer.

Konfiguration von NetScaler für SNMPv3-Abfragen