4.7 思科ASA：snmp

4.7 思科ASA：snmp

SNMP 示例

下节提供了可用作所有 SNMP 版本的参考的示例。

SNMP 第 1 版和第 2c 版

从内部接口上的主机 192.0.2.5 接收 SNMP 请求，但又不向任何主机发送任何 SNMP 系统日志请求：

ciscoasa(config)# snmp-server host 192.0.2.5

ciscoasa(config)# snmp-server location building 42

ciscoasa(config)# snmp-server contact EmployeeA

ciscoasa(config)# snmp-server community ohwhatakeyisthee

SNMP 第 3 版

使用 SNMP 版本 3 安全模型接收 SNMP 请求，这要求配置遵循如下特定的顺序：组、用户、主机：

ciscoasa(config)# snmp-server group v3 vpn-group priv

ciscoasa(config)# snmp-server user admin vpn group v3 auth sha letmein priv 3des cisco123

ciscoasa(config)# snmp-server host mgmt 10.0.0.1 version 3 priv admin

配置 SNMP 陷阱

要指定 SNMP 代理生成哪些陷阱以及如何将其收集并发送到 NMS，请执行以下步骤：

过程

将单个陷阱、陷阱集合或所有陷阱发送到 NMS。

snmp-server enable traps [all | syslog | snmp [authentication | linkup | linkdown | coldstart | warmstart] | config | entity [config-change | fru-insert | fru-remove | fan-failure | cpu-temperature | chassis-fan-failure | power-supply] | chassis-temperature | power-supply-presence | power-supply-temperature | accelerator-temperature | l1-bypass-status] | ikev2 [start | stop] | ipsec [start | stop] | remote-access [session-threshold-exceeded] | connection-limit-reached | cpu threshold rising | interface-threshold | memory-threshold | nat [packet-discard]

示例:

ciscoasa(config)# snmp-server enable traps snmp authentication

linkup linkdown coldstart warmstart

配置 CPU 使用率阈值

要配置 CPU 使用率阈值，请执行以下步骤：

过程

为高 CPU 阈值和阈值监控期配置阈值。

snmp cpu threshold rising threshold_value monitoring_period

示例:

ciscoasa(config)# snmp cpu threshold rising 75% 30 minutes

要清除阈值和 CPU 使用率的监控期间，请使用此命令的 no 形式。如果未配置 snmp cpu threshold rising 命令，则高阈值级别的默认值为超过 70%，临界阈值级别的默认值为超过 95%。默认监控期设置为 1 分钟。

临界 CPU 阈值级别始终保持在 95%，无法配置。高 CPU 阈值的有效阈值范围为 10% 到 94%。监控期的有效值范围为 1 到 60 分钟。

配置物理接口阀值

要配置物理接口阈值，请执行以下步骤：

过程

配置 SNMP 物理接口的阀值。

snmp interface threshold threshold_value

示例:

ciscoasa(config)# snmp interface threshold 75%

要清除 SNMP 物理接口的阈值，请使用此命令的 no 形式。阈值定义为接口带宽利用率的百分比。有效阈值范围为 30% 到 99%。默认值为 70%。

snmp interface threshold 命令仅在管理情景中可用。

物理接口使用情况在单模和多模下受到监控，系统情景中物理接口的陷阱通过管理情景发送。仅物理接口用于计算阈值使用情况。

故障排除提示

    要确保接收来自 NMS 的传入数据包的 SNMP 进程，请输入以下命令：

    ciscoasa(config)# show process | grep snmp

    要捕获来自 SNMP 的系统日志消息并将其显示在 ASA 控制台上，请输入以下命令：

    ciscoasa(config)# logging list snmp message 212001-212015

    ciscoasa(config)# logging console snmp

    要确保 SNMP 进程正在发送和接收数据包，请输入以下命令：

    ciscoasa(config)# clear snmp-server statistics

    ciscoasa(config)# show snmp-server statistics

    输出基于 SNMPv2-MIB 的 SNMP 组。

    要确保 SNMP 数据包通过 ASA 并指向 SNMP 进程，请输入以下命令：

    ciscoasa(config)# clear asp drop

    ciscoasa(config)# show asp drop

    如果 NMS 无法成功请求对象或者未正确处理来自 ASA 的传入陷阱，请使用数据包捕获确定问题，方法是输入以下命令：

    ciscoasa (config)# access-list snmp permit udp any eq snmptrap any

    ciscoasa (config)# access-list snmp permit udp any any eq snmp

    ciscoasa (config)# capture snmp type raw-data access-list snmp interface mgmt

    ciscoasa (config)# copy /pcap capture:snmp tftp://192.0.2.5/exampledir/snmp.pcap

    如果 ASA 不按预期执行，请通过执行以下操作来获取有关网络拓扑和流量的信息：

        对于 NMS 配置，请获取以下信息：

        超时次数

        重试计数

        引擎 ID 缓存

        使用的用户名和密码

        发出以下命令：

        show block

        show interface

        show process

        show cpu

        show vm

    如果发生严重错误，如要帮助重现错误，请将回溯文件和 show tech-support 命令的输出发送到思科 TAC。

    如果不允许 SNMP 流量通过 ASA 接口，您可能还需要使用 icmp permit 命令允许来自远程 SNMP 服务器的 ICMP 流量。

    执行 SNMP 漫游操作时，ASA 将查询 MEMPOOL_DMA 和 MEMPOOL_Global_SHARED 池中的内存信息。这可能会导致与SNMP相关的CPU消耗导致丢包。要缓解此问题，请避免使用 no snmp-server enable oid 命令轮询与全局共享池相关的 OID。禁用时，内存池 OID 将返回 0 字节。

监控 SNMP

用于监控 SNMP 的命令。

    show running-config snmp-server [default]

    此命令可显示所有 SNMP 服务器配置信息。

    show running-config snmp-server group

    此命令可显示 SNMP 组配置设置。

    show running-config snmp-server host

    此命令可显示供 SNMP 用于控制发送到远程主机的消息和通知的配置设置。

    show running-config snmp-server host-group

    此命令可显示 SNMP 主机组配置。

    show running-config snmp-server user

    此命令可显示 SNMP 基于用户的配置设置。

    show running-config snmp-server user-list

    此命令可显示 SNMP 用户列表配置。

    show snmp-server engineid

    此命令可显示所配置的 SNMP 引擎的 ID。

    show snmp-server group

    此命令可显示已配置的 SNMP 组的名称。如果已经配置社区字符串，则默认情况下在输出中会显示两个额外的组。此行为是正常的。

    show snmp-server statistics

    此命令可显示已配置的 SNMP 服务器特征。要将所有 SNMP 计数器重置为零，请使用 clear snmp-server statistics 命令。

    show snmp-server user

    此命令可显示已配置的用户特征。

示例

以下示例说明如何显示 SNMP 服务器统计信息：

ciscoasa(config)# show snmp-server statistics

0 SNMP packets input

    0 Bad SNMP version errors

    0 Unknown community name

    0 Illegal operation for community name supplied

    0 Encoding errors

    0 Number of requested variables

    0 Number of altered variables

    0 Get-request PDUs

    0 Get-next PDUs

    0 Get-bulk PDUs

    0 Set-request PDUs (Not supported)

0 SNMP packets output

    0 Too big errors (Maximum packet size 512)

    0 No such name errors

    0 Bad values errors

    0 General errors

    0 Response PDUs

    0 Trap PDUs

以下示例说明如何显示 SNMP 服务器运行配置：

ciscoasa(config)# show running-config snmp-server

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html