ADC

Configuración de NetScaler para consultas SNMPv3

El Protocolo simple de administración de redes versión 3 (SNMPv3) se basa en la estructura y arquitectura básicas de SNMPv1 y SNMPv2. Sin embargo, SNMPv3 mejora la arquitectura básica para incorporar capacidades de administración y seguridad, como autenticación, control de acceso, verificación de integridad de datos, verificación del origen de los datos, verificación de puntualidad de los mensajes y confidencialidad de los datos.

Para implementar la seguridad a nivel de mensajes y el control de acceso, SNMPv3 presenta el modelo de seguridad basado en el usuario (USM) y el modelo de control de acceso basado en la vista (VACM).

  • Modelo de seguridad basado en el usuario. El modelo de seguridad basado en el usuario (USM) proporciona seguridad a nivel de mensajes. Permite configurar los usuarios y los parámetros de seguridad para el agente SNMP y el administrador SNMP. USM ofrece las siguientes funciones:
    • Integridad de los datos: para evitar que los mensajes se modifiquen durante la transmisión a través de la red.
    • Verificación del origen de los datos: para autenticar al usuario que envió la solicitud de mensaje.
    • Puntualidad de los mensajes: para evitar retrasos o repeticiones de los mensajes.
    • Confidencialidad de los datos: para evitar que el contenido de los mensajes se divulgue a entidades o personas no autorizadas.
  • Modelo de control de acceso basado en vistas. El modelo de control de acceso basado en vistas (VACM) permite configurar los derechos de acceso a un subárbol específico de la MIB en función de varios parámetros, como el nivel de seguridad, el modelo de seguridad, el nombre de usuario y el tipo de vista. Le permite configurar agentes para proporcionar diferentes niveles de acceso a la MIB a diferentes administradores.

NetScaler admite las siguientes entidades que permiten implementar las funciones de seguridad de SNMPv3:

  • Motores SNMP
  • Vistas de SNMP
  • Grupos SNMP
  • Usuarios de SNMP

Estas entidades funcionan juntas para implementar las funciones de seguridad de SNMPv3. Las vistas se crean para permitir el acceso a los subárboles de la MIB. A continuación, se crean grupos con el nivel de seguridad requerido y el acceso a las vistas definidas. Por último, los usuarios se crean y se asignan a los grupos.

Nota:

La configuración de la vista, el grupo y el usuario se sincronizan y se propagan al nodo secundario en un par de alta disponibilidad (HA). Sin embargo, el ID del motor no se propaga ni se sincroniza, ya que es exclusivo de cada dispositivo NetScaler.

Para implementar la autenticación de mensajes y el control de acceso, debe hacer lo siguiente:

Configuración del ID del motor

Los motores SNMP son proveedores de servicios que residen en el agente SNMP. Proporcionan servicios como el envío, la recepción y la autenticación de mensajes. Los motores SNMP se identifican de forma exclusiva mediante identificadores de motor.

El dispositivo NetScaler tiene un ID de motor único basado en la dirección MAC de una de sus interfaces. No es necesario anular el ID del motor. Sin embargo, si desea cambiar el ID del motor, puede restablecerlo.

Para configurar el ID del motor mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • set snmp engineId <engineID>
  • show snmp engineId

Ejemplo

> set snmp engineId 8000173f0300c095f80c68

Para configurar el ID del motor mediante la interfaz gráfica

Vaya a Sistema > SNMP > Usuarios, haga clic en Configurar ID de motor y escriba un ID de motor.

Configurar una vista

Las vistas SNMP restringen el acceso de los usuarios a partes específicas de la MIB. Las vistas SNMP se utilizan para implementar el control de acceso.

Para agregar una vista SNMP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

Donde:

Nombre. Nombre de la vista SNMPv3. Puede constar de 1 a 31 caracteres e incluir letras mayúsculas y minúsculas, números y caracteres de guión (-), punto (.) libra (#), espacio (), signo de at (@), igual a (=), dos puntos (:) y caracteres de subrayado (_). Debe elegir un nombre que ayude a identificar la vista de SNMPv3.

Subárbol. Una rama (subárbol) particular del árbol MIB que desea asociar a esta vista de SNMPv3. Debe especificar el subárbol como un OID de SNMP. Este es un argumento de longitud máxima: 99.

type. Incluya o excluya el subárbol, especificado en el parámetro del subárbol, en o desde esta vista. Esta configuración puede resultar útil cuando se ha incluido un árbol secundario, como A, en una vista SNMPv3 y se quiere excluir un árbol secundario específico de A, como B, de la vista SNMPv3. Se trata de un argumento obligatorio. Valores posibles: incluidos, excluidos.

Ejemplos

añadir snmp view SNMPv3Test 1.1.1.1 -tipo incluido sh snmp view SNMPv3Test rm snmp view SNMPv3Test 1.1.1.1

Para configurar una vista SNMP mediante la interfaz gráfica

Vaya a Sistema > SNMP > Vistasy cree la vista SNMP.

Configurar un grupo

Los grupos SNMP son agregaciones lógicas de usuarios de SNMP. Se utilizan para implementar el control de acceso y definir los niveles de seguridad. Puede configurar un grupo SNMP para establecer los derechos de acceso para los usuarios asignados a ese grupo, restringiendo así a los usuarios a vistas específicas.

Debe configurar un grupo SNMP para establecer los derechos de acceso para los usuarios asignados a ese grupo.

Para agregar un grupo SNMP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

Donde:

Nombre. Nombre del grupo SNMPv3. Puede constar de 1 a 31 caracteres e incluir letras mayúsculas y minúsculas, números y caracteres de guión (-), punto (.) libra (#), espacio (), signo de at (@), igual a (=), dos puntos (:) y caracteres de subrayado (_). Debe elegir un nombre que ayude a identificar el grupo SNMPv3.

Nivel de seguridad. Nivel de seguridad requerido para la comunicación entre el dispositivo NetScaler y los usuarios de SNMPv3 que pertenecen al grupo. Especifique una de las siguientes opciones:

NoAuthNoPriv. No requieren autenticación ni cifrado.

AuthNoPriv. Requiere autenticación pero no cifrado.

AuthPriv. Exigen autenticación y cifrado. Nota: Si especifica la autenticación, debe especificar un algoritmo de cifrado al asignar un usuario SNMPv3 al grupo. Si también especifica el cifrado, debe asignar un algoritmo de autenticación y uno de cifrado para cada miembro del grupo. Se trata de un argumento obligatorio. Valores posibles: NoAuthNoPriv, AuthNoPriv, AuthPriv.

ReadViewName. Nombre de la vista SNMPv3 configurada que desea vincular a este grupo SNMPv3. Un usuario de SNMPv3 vinculado a este grupo puede acceder a los subárboles que están enlazados a esta vista de SNMPv3 con el tipo INCLUIDO, pero no puede acceder a los del tipo EXCLUIDO. Si el dispositivo NetScaler tiene varias entradas de vista de SNMPv3 con el mismo nombre, todas esas entradas se asocian al grupo SNMPv3. Se trata de un argumento obligatorio. Longitud máxima: 31

Para configurar un grupo SNMP mediante la interfaz gráfica de usuario

Vaya a Sistema > SNMP > Gruposy cree el grupo SNMP.

Configuración de un usuario

Los usuarios de SNMP son los administradores de SNMP a los que los agentes permiten acceder a las MIB. Cada usuario de SNMP está asignado a un grupo SNMP.

Debe configurar los usuarios en el agente y asignar cada usuario a un grupo.

Para configurar un usuario mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

Donde:

AuthType es la opción de autenticación disponible al configurar un usuario. Hay dos tipos de autenticación, como MD5 y SHA.

PrivType es la opción de cifrado disponible al configurar un usuario. Hay dos tipos de cifrado, como el DES con un tamaño de clave de 128 bits y el AES con un tamaño de clave de 128 bits.

Ejemplo

> add snmp user edocs_user -group edocs_group
<!--NeedCopy-->

Para configurar un usuario SNMP mediante la interfaz gráfica de usuario

Vaya a Sistema > SNMP > Usuarios y cree el usuario SNMP.

Configuración de NetScaler para consultas SNMPv3