Está en la página 1de 34

Diseo y Mantenimiento de Redes (5 I.I.

) PRCTICA 1

CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO


Curso 2004/2005

Unidad Docente de Redes rea de Arquitectura y Tecnologa de Computadoras Departamento de Informtica Universidad de Castilla-La Mancha

DCE= S0/0 DTE= S0/1 MADRID SEVILLA 172.20.32.0/21


172.20.88.0/21
172.20.88.1 172.20.88.2 172.20.96.1

172.20.8.0/21
172.20.24.2 172.20.32.1 172.20.32.2 172.20.80.1 172.20.80.2

BARCELONA ALBACETE

172.20.16.0/21 S0/1 S0/1


S0/0 S0/1
172.20.136.1

VALENCIA

172.20.24.0/21 S0/0 S0/0


S0/0 F0/0

DCE= S0/0 DTE= S0/1 JAEN 172.20.80.0/21


172.20.96.2

GUADALAJARA CIUDAD REAL 172.20.96.0/21 172.20.104.0/21


172.20.104.1 172.20.104.2

TOLEDO

172.20.8.1

172.20.8.2

172.20.16.1

172.20.16.2

172.20.24.1

172.20.112.0/21 S0/1
172.20.144.1

CUENCA
172.20.112.1 172.20.112.2

GRANADA 172.20.120.0/21
172.20.120.1 172.20.120.2

S0/1 S0/1
172.20.128.1 F0/0

S0/0
172.20.64.1 172.20.72.1

S0/1 F0/0 F0/0

S0/0

S0/1

S0/0

172.20.40.1

F0/0

S0/0 F0/0

S0/1
172.20.152.1

S0/0 F0/0

S0/1

S0/0
172.20.160.1 F0/0

S0/1
172.20.168.1

S0/0 F0/0

172.20.48.1

F0/0

172.20.56.1

F0/0

172.20.40.2 172.20.64.2 172.20.72.2


172.20.128.2

172.20.48.2

172.20.56.2

172.20.136.2

172.20.144..2

172.20.152.2

172.20.160.2

172.20.168.2

172.20.40.3 172.20.47.254

172.20.48.3 172.20.55.254

172.20.56.3 172.20.63.254

172.20.64.3

172.20.71.254

172.20.72.3 172.20.79.254

172.20.128.3 172.20.135.254

172.20.136.3

172.20.143.254

172.20.144.3

172.20.151.254

172.20.152.3 172.20.159.254

172.20.160.3

172.20.167.254

172.20.168.3 172.20.175.254

172.20.40.0/21

172.20.48.0/21

172.20.56.0/21

172.20.64.0/21

172.20.72.0/21

172.20.128.0/21

172.20.136.0/21

172.20.144.0/21

172.20.152.0/21

172.20.160.0/21

172.20.168.0/21

172.20.0.0/16

172.20.0.0/16

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

1. Objetivos
Los objetivos a cubrir con el desarrollo de esta prctica se pueden resumir en los siguientes tres puntos: Aprender a configurar el protocolo de mantenimiento SNMP en los routers y switches del Laboratorio. Familiarizarse con la informacin acerca de los distintos componentes de la red que se puede obtener mediante el protocolo SNMP. Para ello, emplearemos un navegador de MIBs (MG-SOFT MIB Browser). Aprender a configurar el protocolo de monitorizacin remota RMON en los routers y switches del Laboratorio

Como apoyo a esta memoria, en la pgina web de la asignatura hay documentos que contienen la descripcin de los comandos que emplearemos durante la prctica, y algunos ms, relacionados con SNMP y RMON, tanto para los routers como para los switches del Laboratorio.

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

PARTE I SNMP (Simple Network Management Protocol)


SNMP es un protocolo del nivel de aplicacin que proporciona un formato de mensajes para el intercambio de informacin entre gestores y agentes de SNMP. Esto es, SNMP ofrece un entorno de trabajo estandarizado y un lenguaje comn empleado para la monitorizacin y gestin de los dispositivos de una red. El entorno SNMP tiene tres partes: Un gestor SNMP Un agente SNMP Una MIB (Management Information Base)

El gestor SNMP es el sistema empleado para controlar y monitorizar la actividad de los componentes de la red, mediante SNMP. El sistema de gestin ms comn se denomina Sistema de Gestin de Red (SGR, en ingls Network Management System o NMS). El trmino SGR se puede aplicar a un dispositivo dedicado empleado para la gestin de red, o bien a la aplicacin que se ejecuta en dicho dispositivo. Existen una gran variedad de aplicaciones de gestin disponibles para usar con SNMP, que van desde sencillas aplicaciones de lnea de comandos (como por ejemplo, el paquete NET-SNMP para sistemas Unix) hasta sofisticadas y potentes aplicaciones con interfaces de usuario grficos (como la familia de productos CiscoWorks2000). El agente SNMP es el componente de software dentro del dispositivo gestionado que mantiene los datos del mismo e informa a los gestores acerca de ellos, cuando haga falta. La MIB (Management Information Base) es una coleccin de objetos de informacin de gestin. Tanto la MIB como el agente SNMP residen en cada uno de los dispositivos gestionados. Dentro de la MIB hay colecciones de objetos relacionados, definidos como mdulos de MIB. Estos mdulos estn escritos en un lenguaje especial, definido en el estndar de Internet STD 58, y en los RFCs de Internet 2578, 2579 y 2580. El agente SNMP contiene por tanto variables de la MIB cuyos valores pueden ser solicitados o modificados por el gestor SNMP a travs de operaciones Get y Set. Un gestor puede leer un valor de un agente o almacenar un valor en dicho agente. El agente obtiene los datos en la MIB, donde se almacenan los parmetros del dispositivo y datos del funcionamiento de la red. Adems, el agente responde a las solicitudes de los gestores. El agente tambin puede enviar a los gestores notificaciones no solicitadas, en forma de informes o de interrupciones (traps), para informar acerca de condiciones de la red. En resumen, se pueden ejecutar las siguientes operaciones entre agentes y gestores: get-request Solicita el valor de una variable especfica
4

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

get-next-request

Solicita el valor de una variable sin conocer su nombre exacto. til para bsquedas secuenciales en tablas

get-bulk-request2 Solicita bloques grandes de datos, como por ejemplo varias filas de una tabla get-response set-request inform-request2 trap
2

Respuesta a get-request, get-next-request o set-request Almacena un valor en una variable especfica Comunicacin entre gestores SNMP Mensaje no solicitado enviado por un agente a un gestor SNMP cuando ocurre algn evento

Estas dos operaciones slo estn disponibles a partir de SNMPv2

Grficamente, la interaccin entre agentes y gestores SNMP sera as:


Gestor SNMPv2 InformRequest GetResponse, Trap Agente SNMPv2 Gestor bilinge GetRequest, GetNextRequest, GetBulkRequest, SetRequest

InformRequest

GetRequest, GetNextRequest, SetRequest Agente SNMP GetResponse, Trap

El protocolo SNMP funciona segn el modelo cliente/servidor. El proceso servidor se ejecuta en los agentes, donde se mantiene a la escucha de peticiones por parte del gestor SNMP. El servidor SNMP (en el agente) emplea el puerto 161 de UDP. Por otro lado, las notificaciones que genera el agente se envan al gestor al puerto UDP 162, donde debe existir un proceso gestor de interrupciones (trap manager) que las procese. Versiones de SNMP Desde su aparicin en 1989, ha habido diferentes versiones del protocolo SNMP. El software IOS de Cisco soporta las siguientes versiones: SNMPv1 Se trata de la primera versin, definida en el RFC 1157. Es un estndar de Internet. Emplea seguridad basada en nombres de comunidad (community strings). SNMPv2c La limitada seguridad y las sobrecargas en las transferencias de datos de SNMP motivaron el desarrollo de la versin 2 de SNMP. Sin embargo, slo se resolvi satisfactoriamente el problema de optimizacin de las transferencias de informacin. Por ello, la versin de SNMP publicada en los RFCs 1901-1908 se le denomina SNMPv2c, donde la c indica que se mantiene el esquema de seguridad basado en comunidades.
5

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

SNMPv3 Es la ltima versin hasta la fecha del protocolo SNMP. Se define en los RFCs 3410-3415. Proporciona un acceso seguro a los dispositivos empleando autentificacin y encriptando los paquetes que viajan por la red. Ms concretamente, las caractersticas de seguridad que se proporcionan en SNMPv3 son las siguientes: Integridad de los mensajes, asegurando que un paquete no se ha modificado mientras viajaba por la red Autentificacin, determinando que el mensaje proviene de una fuente vlida Encriptacin, para asegurar que una fuente no autorizada no pueda leer el contenido de los paquetes

Tanto SNMPv1 como SNMPv2c emplean un esquema de seguridad basado en comunidades. La comunidad de gestores que pueden acceder a la MIB de un agente se define por una lista de control de acceso sobre direcciones IP y una palabra clave. SNMPv2c incorpora un mecanismo de recuperacin de informacin en bloques (bulk request), junto con mensajes de error ms detallados. SNMPv3 define un modelo de seguridad. Un modelo de seguridad es una estrategia de autentificacin que se establece para un usuario y el grupo al que pertenece. Un nivel de seguridad es el nivel de seguridad permitido dentro de un modelo de seguridad. Una combinacin de un modelo de seguridad y un nivel de seguridad determinar qu mecanismo de seguridad se emplear cuando se maneje un paquete SNMP. Hay tres modelos de seguridad disponibles: SNMPv1, SNMPv2c y SNMPv3. La siguiente tabla indica lo que significan las combinaciones de modelos y niveles de seguridad. Modelo Nivel Autentificacin Encriptacin Qu sucede

v1

noAuthNoPriv

Nombre de comunidad

No

Emplea concordancia del nombre de comunidad para la autentificacin Emplea concordancia del nombre de comunidad para la autentificacin Emplea concordancia del nombre de usuario para la autentificacin Proporciona autentificacin basada en los algoritmos HMACMD5 o HMAC-SHA

v2c

noAuthNoPriv

Nombre de comunidad

No

v3

noAuthNoPriv

Username

No

v3

authNoPriv

MD5 or SHA

No

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Proporciona autentificacin basada en los algoritmos HMACMD5 o HMAC-SHA. v3 authPriv MD5 or SHA DES Proporciona encriptacin DES de 56 bits adems de la autentificacin basada en el estndar CBC-DES (DES-56).

Hay que configurar al agente SNMP para que emplee la misma versin de SNMP que soporte el gestor. Un agente se puede comunicar con ms de un gestor. Para cada uno de ellos, el software de Cisco IOS permite especificar una versin distinta de SNMP. Estructura de la MIB Para definir la informacin de gestin estndar hay que definir dos aspectos: Un esquema de nombres nicos para cada objeto gestionado La definicin de los objetos y lo que significa cada uno de ellos

El primer punto se consigue definiendo una estructura de gestin de la informacin (SMI, Structucture of Management Information). El segundo punto se consigue definiendo los objetos y su estructura en la base de informacin de gestin (MIB, Management Information Base). La estructura del SMI y de la MIB se definen empleando el estndar ASN.1 (Abstract Syntax Notation One) de CCITT/ISO. SNMP utiliza el esquema jerrquico de nombres desarrollado por ISO. El espacio de nombres forma un rbol, con una raz conectada a un conjunto de nodos etiquetados, donde cada etiqueta se compone de una breve descripcin textual y un entero, por ejemplo: iso(1). El identificador de objeto (OID) es el nombre de un nodo, compuesto con la secuencia de enteros de las etiquetas de cada nodo, desde la raz hasta el nodo en cuestin. Se trata de un identificador nico para cada objeto, donde la parte textual slo se emplea por las personas, nunca se transmite. La figura de la pgina siguiente muestra la estructura de los objetos de la MIB. Por ejemplo, segn dicha figura, vemos que dentro del nodo tcp(6), se define el objeto tcpRtoAlgorithm(1); ste es el nombre que se le da al objeto para que las personas lo identifiquen (algoritmo de timeout empleado para las retransmisiones TCP utilizado por el dispositivo). Su identificador de objeto (OID) es 1.3.6.1.2.1.6.1. Se pueden observar las siguientes caractersticas: La raz no se etiqueta, y de ella cuelgan tres nodos: iso(1), ccitt(2) y joint-iso-ccitt(3) Del nodo iso(1) cuelgan nodos para distintas organizaciones, entre ellas est el Departamento de Defensa de EE.UU. : dod(6)
7

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Ah hay un nodo administrado por el IAB, que se define as:


internet OBJECT IDENTIFIER::={iso(1) org(3) dod(6) 1}

As, el nodo internet tiene el identificador de objeto (OID) 1.3.6.1 Todos los objetos de inters para SNMP cuelgan del nodo internet, y por tanto tienen el prefijo 1.3.6.1 en sus identificadores de objeto El RFC 1155 define 4 nodos por debajo del nodo internet: o directory(1): reservado para el directorio de OSI (X.500) o mgmt(2): objetos definidos en los documentos aprobados por el IAB o experimental(3): objetos empleados experimentalmente o private(4): objetos definidos por empresas Dentro del subrbol mgmt(2) estn las definiciones de MIB aprobadas por el IAB, como la mib-2(1)

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

iso(1) org(3) dod(6) internet(1) directory(1) mgmt(2) mib-2(1) system(1) interfaces(2) at(3) ip(4) icmp(5) tcp(6) tcpRtoAlgorithm(1) tcpConnTable(13) tcpConnEntry(1) tcpConnState(1) tcpConnLocalAddress(2) tcpConnLocalPort(3) tcpConnRemAddress(4) tcpConnRemPort(5) udp(7) egp(8) transmission(10) snmp(11) rmon(16) experimental(3) private(4) enterprises(1) cisco(9) hp(11)

root iso(1) ccitt(0) dod(6) internet(1) mgmt(2) mib-2(1) system(1) interfaces(2) at(3) ip(4) experimental(3) private(4) enterprises(1) snmp(11) cisco(9) hp(11) udp(7) tcp(6) icmp(5) org(3) joint(2)

Se pueden definir objetos adicionales para las MIB de tres formas: Expansin o reemplazamiento del subrbol mib-2: por ejemplo, con una versin posterior (mib-3) o aadiendo subrboles a mib-2, como la base de monitorizacin remota de la red (RMON). Construccin de una MIB experimental, para una aplicacin particular: primero se incluyen los objetos en el subrbol experimental, y cuando el IAB los aprueba, pasan al mgmt. Extensiones privadas en el subrbol private: dentro de private existe el nodo enterprises, donde se asigna una rama a cada fabricante que registra un identificador de objeto. Por ejemplo, la empresa Cisco tiene asignado el nodo con el identificador 9, mientras que la empresa HP tiene asignado el identificador 11.

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

La autoridad administrativa de cada nodo tiene libertad para asignar nuevos nodos subordinados, o puede delegar esta autoridad a otras organizaciones para nombrar objetos bajo esos nodos. TAREA 1. Familiarizarse con la herramienta MIB Browser y la MIB-II. Ejecuta el navegador de MIBs MG-SOFT MIB Browser. La aplicacin tiene el siguiente aspecto:

Configuracin del agente SNMP

IP del agente SNMP

rea del rbol MIB

rea de presentacin de las respuestas obtenidas

En el rea donde se muestra el rbol MIB cada nodo se puede desplegar si contiene dentro ms objetos. Los nodos finales (hojas) son los que contienen finalmente los datos. Si seleccionamos uno y pulsamos con el botn derecho del ratn, se abre un men contextual, una de cuyas opciones es Properties.... Si la seleccionamos, aparece una ventana con la informacin acerca del objeto tal y como aparece en la descripcin de la MIB. Por ejemplo, para el objeto sysDescr tenemos la siguiente descripcin:

10

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Se trata de que naveguis por los distintos grupos de la MIB II, obteniendo la descripcin de algunos objetos, para familiarizaros con el tipo de informacin que podis solicitar del agente SNMP.

Notificaciones SNMP Una caracterstica clave de SNMP es la capacidad de un agente SNMP para generar notificaciones. Estas notificaciones no requieren que el gestor SNMP haga una peticin previa. Estas notificaciones no solicitadas o asncronas se pueden generar de dos formas: como interrupciones o traps, o como peticiones de informe. Ejemplos tpicos de su uso son fallo en la autentificacin de un usuario, rearranques del dispositivo, cierre de conexiones, cada de un enlace, etc. Las interrupciones (traps) son mensajes que sirven para alertar al gestor SNMP de alguna condicin de la red. Son menos fiables que los informes porque el receptor (el gestor) no enva ninguna confirmacin cuando recibe una interrupcin. Por tanto, el agente que la ha enviado no puede saber si la interrupcin fue recibida o no. Las peticiones de informe son similares a las interrupciones, pero implican una solicitud de acuse de recibo por parte del gestor SNMP. Realmente, se implementan con los mensajes de tipo inform-request de SNMPv2, pensados para el intercambio de informacin entre gestores. Cuando un gestor SNMP recibe una peticin de informe, reconoce el mensaje mediante un mensaje de respuesta SNMP. Si el agente no recibe dicha respuesta tras haber enviado el informe, ste puede ser enviado de nuevo. De esta forma, es mucho ms probable que la informacin llegue a su destino. Sin embargo, las interrupciones son a menudo el mtodo preferido, porque los informes consumen ms recursos en el dispositivo y en la red. Al contrario que las interrupciones, que se descartan tan pronto como se envan, una peticin de informe debe almacenarse en memoria hasta que se reciba respuesta o hasta que expire. Adems, las interrupciones se envan una sola vez, mientras que un informe puede llegar a reenviarse varias veces. Estos reintentos incrementan el trfico y aumentan la sobrecarga de la red. En resumen, hay que encontrar un compromiso entre fiabilidad y uso de recursos para decidir cundo se emplean interrupciones y cuando informes. Si es importante que el gestor reciba todas las notificaciones, habr que emplear informes. Si esto no es tan importante, y se prefiere no sobrecargar la red y el router, ser mejor emplear interrupciones.

2. Configuracin de SNMP en un router CISCO


Puesto que nuestro gestor de red (el navegador de MIBs) slo nos permite emplear la versin 1 de SNMP, vamos a configurar el router para que atienda debidamente esas peticiones. Tambin introduciremos algunas medidas de seguridad sencillas para disminuir las probabilidades de que algn usuario malicioso ataque a nuestro router mediante SNMP.

11

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Tarea 2: Averiguar si SNMP est activo en la configuracin actual Lo primero que vamos a hacer es ver si en la configuracin actual est habilitado SNMP, y con qu parmetros. Para ello, y desde el programa Procomm, lo primero es pasar al modo de configuracin global:
Router> enable Router# configure terminal Router(config)#

Entonces, podemos hacer:


Router# show running-config | include snmp

As extrae de la configuracin actual, las lneas que incluyan la palabra snmp. Si el soporte a SNMP est activo aparecern al menos un par de lneas con este aspecto:
snmp-server community public RO snmp-server community private RW

Estas lneas indican que hay una comunidad de lectura y otra de escritura configuradas. Si no deseamos tener soporte a SNMP en nuestro router, hemos de deshabilitarlo completamente por motivos de seguridad. En nuestro caso, lo haremos para partir de una configuracin sin SNMP. Por tanto, en caso de que SNMP est activado, seguiremos los siguientes pasos para deshabilitar completamente SNMP: Paso 1. Borrar las comunidades establecidas
Router(config)# no snmp-server community public RO Router(config)# no snmp-server community private RW

Paso 2. Deshabilitar las interrupciones


Router(config)# no snmp-server enable traps

Paso 3. Deshabilitar la posibilidad de apagar el router mediante mensajes SNMP


Router(config)# no snmp-server system-shutdown

Paso 4. Deshabilitar el servicio SNMP

12

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO Router(config)# no snmp-server

No existe ningn comando especfico para habilitar SNMP en el router. SNMP se habilita con el primer comando del tipo snmp-server que se introduzca. Para configurar el soporte de SNMP, hay que realizar las tareas que indicaremos a continuacin. En todas ellas, excepto para los comandos show y debug, hay que estar en el modo de configuracin global:
Router> enable Router# configure terminal Router(config)#

1) Crear el control de acceso para una comunidad SNMP Hay que emplear un nombre de comunidad para definir la relacin entre el gestor SNMP y el agente. Dicha comunidad acta como una palabra clave para regular el acceso al agente que se haya en el router. Se pueden especificar opcionalmente algunas caractersticas adicionales: Una vista de la MIB, que define el subconjunto de los objetos de la MIB accesibles para la comunidad dada (veremos ahora despus como se crea una vista). Permiso de lectura y escritura o de slo lectura para los objetos de la MIB accesibles Una lista de control de acceso (ACL) con direcciones IP de los gestores SNMP a los que se permite acceder al agente empleando el nombre de comunidad especificado

El comando que hay que emplear para definir una comunidad es el siguiente:
Router(config)# snmp-server [ro|rw] [nmero_de_acl] community nombre_comunidad [view nombre_vista]

Si se quiere deshabilitar una comunidad, hay que emplear el siguiente comando:


Router(config)# no snmp-server community nombre_comunidad

Por defecto, si no se especifican los parmetros opcionales, se facilita acceso de slo lectura a toda la MIB (vista por defecto everything) y a todos los hosts.

13

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Ejemplo: Se define la comunidad comaccess, de solo lectura, con acceso permitido slo a las direcciones IP especificadas en la ACL nmero 4. Como no se indica ninguna vista, el acceso se refiere a toda la MIB.
Router(config)# snmp-server community comaccess ro 4

2) Crear un registro de vista SNMP Otros comandos SNMP requieren una vista como argumento. Las vistas se emplean para delimitar los objetos de la MIB accesibles para un gestor SNMP. Se puede usar una vista predefinida, o bien, crear nuevas vistas. Las vistas predefinidas son dos: everything, que abarca toda la MIB, y restricted, que incluye slo los grupos system, snmpStats y snmpParties. El comando que hay que usar para crear o modificar un registro de vista SNMP es:
Router(config)# snmp-server view nombre_vista arbol_OID {included | excluded}

Se puede introducir este comando varias veces para el mismo registro de vista. Lo que se hace es aadir o eliminar elementos de dicha vista, dependiendo de si se especifica included o excluded. Si un identificador de objeto se incluye en dos o ms comandos, es el ms reciente el que tiene efecto. El parmetro arbol_OID es el identificador de objeto del nodo raz del subrbol dentro del rbol de nombres al que va a afectar el comando. El siguiente comando elimina por completo un registro de vista:
Router(config)# no snmp-server view nombre_vista

Ejemplo 1: As se crea una vista (mib2) que contiene todo el subrbol mib-2:
Router(config)# snmp-server view mib2 mib-2 included

Ejemplo 2: Para crear una vista (phred) que incluye todos los objetos en el grupo system de la MIB-II y todos los objetos de la MIB de cisco en el grupo enterprise:
Router(config)# snmp-server view phred system included Router(config)# snmp-server view phred cisco included

Tarea 3. Configurar las comunidades en el Router Vamos a preparar al router para que acepte peticiones SNMP de lectura y escritura sobre toda la MIB solamente desde una estacin en concreto (la estacin gestora), y

14

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

peticiones de lectura desde cualquier mquina, pero limitadas sobre el grupo system de la MIB. Paso 1. Desde una mquina conectada a la consola del router, nos conectaremos con l de la forma habitual (programa ProComm), y entraremos en modo de configuracin global:
Router> enable Router# configure terminal Router(config)#

Paso 2. Slo vamos a permitir el acceso total de lectura y escritura desde una misma direccin IP, que ser la de una mquina situada al lado de la que hace de consola. Por tanto, crearemos una lista de acceso que slo incluya a dicha estacin. Supongamos que tiene la direccin IP 172.20.40.4 (OJO!!: debis usar la direccin IP adecuada al router y a la subred en la que estis conectados), entonces la lista de acceso se crea as:
Router(config)# access-list 10 permit host 172.20.40.4 Router(config)# access-list 10 deny any log

Esta lista permite el paso de los datagramas generados en la direccin IP 172.20.40.4, y deniega el paso al resto de datagramas. Paso 3. El acceso de lectura se podr hacer desde cualquier estacin, pero slo al grupo system de la MIB. Por tanto, hemos de definir la vista correspondiente, de nombre publico:
Router(config)# snmp-server view publico system included

Paso 4. Ahora hemos de crear dos comunidades: una de solo lectura (ro) y otra de lectura y escritura (rw). La primera tendr el nombre de comunidad s0l0le0, mientras que la segunda se llamar le0escrib0:
Router(config)# snmp-server community s0l0le0 view publico ro Router(comfit)# snmp-server community le0escrib0 rw 10

OJO: es imporante elegir nombres de comunidad que no sean muy obvios, para dificultar que sean adivinados por usuarios malintencionados. Por eso, en los nombres escogidos para el ejemplo, hemos sustituido las o por 0 (ceros). Con esto, nuestro router estar preparado para recibir y atender las peticiones SNMPv1 de lectura sobre el grupo system de cualquier host, y las peticiones de lectura y escritura sobre toda la MIB nicamente desde la estacin configurada en la ACL, siempre y cuando sta especifique el nombre de comunidad le0escrib0. IMPORTANTE: si quisiramos usar exclusivamente SNMPv3, con sus caractersticas de seguridad mejoradas, no debemos ejecutar el comando snmp-server community, pues en ese caso se habilitan automticamente SNMPv1 y SNMPv2.

15

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Paso 5. Vamos a comprobar que el acceso a la MIB del router se realiza tal y como pretendamos. Para ello, emplearemos el MIB Browser. Ejecutad este programa en la estacin gestora y en otra. Tendris que configurar el acceso al agente SNMP. Introducid la IP de vuestro router en el espacio dedicado a ello, y pulsando en el botn de al lado, os aparecer una ventana similar a la de la figura (SNMP Protocol Preferences). Ah tenis que introducir los nombres de comunidad que hemos configurado. Nos permite especificar dos nombres distintos, uno que se emplear en las lecturas (comandos get) y otro para las escirturas (comandos set). Probad a poner en primer lugar s0l0le0 como comunidad de lectura y le0escrib0 para las escrituras (set), en lugar de public y private (que son los valores por defecto). Ahora probad a acceder a distintas partes de la MIB desde cada mquina. Al menos, debis hacer las siguientes pruebas desde cada estacin: Leer objetos del grupo system Leer objetos de otro grupo Escribir un objeto del grupo system, por ejemplo, sysContact.

Qu sucede en cada caso? Podis leer toda la MIB desde la estacin gestora con las comunidades establecidas as? Si no es as, qu tenis que hacer para poder acceder?

3) Configurar las notificaciones SNMP Para configurar el router para que enve interrupciones o informes a un host, se deben emplear los siguientes comandos. Se observa que en muchos casos se emplea la palabra clave traps. A menos que exista una opcin en el comando para indicar si se emplean interrupciones (traps) o informes, la palabra clave traps hace referencia tanto a interrupciones como a informes. Hay que sealar que para emitir notificaciones en forma de informes, el dispositivo debe contar con un gestor proxy SNMP. Este gestor no est disponible en todas la imgenes de IOS, sino slo en las PLUS. Adems, es necesario que el gestor soporte SNMPv2. Paso 1. En primer lugar, hay que especificar a quin irn dirigidas las notificaciones:

16

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO Router(config)# snmp-server host host-ident [traps|informs] [version {1 | 2c | 3 [auth | noauth | priv]} ] nombre_comunidad [udp-port numero_puerto] [tipo_notificacin]

As, se especifica el host mediante su nombre o su direccin IP, y de forma opcional, si se le van a enviar informes o interrupciones (por defecto, se envan interrupciones, traps), la versin del protocolo a emplear (en el caso de la versin 3, hay que indicar el nivel de seguridad), el nmero de puerto al que se dirigirn las notificaciones (por defecto es el 162 de UDP), y el tipo de notificacin (por defecto, todas). Existen diversos tipos de notificaciones (ver la documentacin de IOS). Se puede especificar ms de un tipo a la vez. Tambin es posible introducir varios comandos snmp-server host para dirigir distintos tipos de notificacin a distintos hosts. Ejemplo: Para dirigir las notificaciones (en forma de interrupciones o traps) del tipo snmp (RFC 1157)1 al host myhost.cisco.com, con la comunidad comaccess:
Router(config)# snmp-server host myhost.cisco.com comaccess

Paso 2. Habilitar el envo de notificaciones, y especificar el tipo de notificaciones que se va a enviar. Si no se especifica uno o ms tipos de notificacin, se habilitarn todos los tipos disponibles:
Router(config)# snmp-server enable traps [tipo_notificacion] [opciones_notificacion]

Para averiguar qu tipos hay disponibles en el router, basta con emplear el comando:
Router(config)# snmp-server enable traps ?

En el Paso 1 (comando snmp-server host) se especifica quin va a recibir las notificaciones SNMP, y si sern interrupciones o informes. En el Paso 2 (comando snmp-server enable traps) se habilita globalmente el mecanismo de notificaciones para los tipos especificados. Es necesario hacer estos dos pasos para los tipos de notificaciones que deseemos que ocurran para que stas se produzcan. Esto es, si habilitamos las notificaciones de un tipo en el Paso 2, y no las hemos incluido para que las reciba ningn host con comandos como las del Paso 1, esas notificaciones no se producirn. Y viceversa, si se especifica un tipo de interrupcin para que las reciba un host, y luego no se habilitan en el Paso 2, no se llegarn a producir dichas notificaciones. Tambin es posible cambiar los valores por defecto que regulan la operacin de las notificaciones:

Se trata de las notificaciones genricas authenticationFailure, linkUp, linkDown, warmStart y coldStart.

17

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

1) Cambio del interfaz por defecto por donde se envan las notificaciones:
Router(config)# snmp-server trap-source interface

2) Cambio del tamao de la cola de mensajes:


Router(config)# snmp-server queue-length longitud

3) Cambio del temporizador de retransmisiones:


Router(config)# snmp-server trap-timeout segundos

Este temporizador es el tiempo mximo que espera el sistema mientras busca una ruta hacia el host destino de la notificacin.

Tarea 4. Configurar las notificaciones en el Router Ahora vamos a configurar el router para que enve todas las notificaciones a la mquina que hemos considerado como gestora (la misma a la que hemos concedido acceso de lectura y escritura a toda la MIB previamente). Paso 1. Indicar a qu host hay que enviar las notificaciones. Por defecto, emplea SNMPv1, que es lo que queremos, as que basta con introducir el siguiente comando:
Router(config)# snmp-server host 172.20.40.4 le0escrib0

Paso 2. Ahora hay que habilitar las interrupciones. As las habilitamos todas:
Router(config)# snmp-server enable traps

A partir de ahora, cuando ocurra un evento asociado a una interrupcin, sta se enviar a nuestra estacin gestora. Paso 3. Averigua tambin qu tipos de interrupciones se pueden producir en nuestro router. Paso 4. Vamos a preparar ahora al MIB Browser para que reciba las interrupciones cuando se produzcan y nos informe de ello. Simplemente, hay que abrir la consola de recepcin de interrupciones (men Tools | Trap Ringer Console, o pinchando el icono del despertador que aparece en la barra de herramientas). Cuando se reciba una interrupcin, ah se mostrar la informacin que haya en el paquete SNMP que la comunica. Paso 5. Ahora slo nos queda hacer que se produzca alguna interrupcin para comprobar que todo funciona correctamente. Ms concretamente, vamos a provocar
18

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

alguna de las interrupciones estndar de SNMP: authenticationFailure, linkUp, linkDown, warmStart y coldStart. La primera (authenticationFailure) se produce cuando existe una peticin SNMP con el nombre de comunidad errneo para el acceso que pretende. Vamos a provocarla intentando acceder al router con un nombre de comunidad errneo. De qu otra forma se puede hacer que salte esta interrupcin, con la configuracin de SNMP que tenemos en el router?

Otra posibilidad es desconectar y conectar de nuevo un enlace. As se dispararn consecutivamente las interrupciones linkDown y linkUp. Para ello, adems de todo lo explicado anteriormente, los interfaces deben estar configurados para disparar estas interrupciones. Esto se hace entrando en el modo de configuracin por interfaz, de la siguiente forma (por ejemplo, para el interfaz FastEthernet 0/0):
Router# configure terminal Router(config)# interface f0/0 Router(config-if)# snmp trap link-status Router(config-if)# exit Router(config)# exit Router#

Las otras dos (warmStart y coldStart) no las vamos a probar, pues implican rearrancar el router y eso nos llevara demasiado tiempo (aparte que podemos perder lo que llevamos hecho como no tengamos cuidado de salvar la configuracin actual antes de rearrancar).

Con estos pasos, el router ya estara preparado para responder a consultas SNMPv1 y enviar notificaciones (interrupciones) ante la ocurrencia de eventos. Los siguientes comandos, aunque no son imprescindibles, son de utilidad para terminar de ajustar la configuracin. a. Establecer la informacin de contacto y la situacin del agente SNMP Con los siguientes comandos, se pueden establecer la informacin de contacto, y situacin del agente SNMP, de manera que puedan ser accedidos a travs del fichero de configuracin:
Router(config)# snmp-server contact texto Router(config)# snmp-server location texto

19

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Tarea 5. Modificar la informacin de contacto del router Paso 1. Introduce la informacin de contacto y de situacin del router empleando los comandos anteriores. Pon los textos que quieras. Paso 2. Visualiza el grupo systems de la MIB desde cualquier estacin. Se ha modificado con respecto a lo que haba antes?

b. Definir el tamao mximo de paquete del agente SNMP As se define el tamao mximo de paquete permitido cuando el agente SNMP est recibiendo peticiones o generando respuestas. Por defecto, es de 1500 bytes:
Router(config)# snmp-server packetsize numero_bytes

c. Limitar los servidores TFTP usados mediante SNMP Los ficheros de configuracin del router puede ser descargados desde servidores TFTP. Mediante este comando, podemos controlar los servidores TFTP de los cuales se pueden efectuar las descargas, especificando un nmero de lista de control de acceso:
Router(config)# snmp-server tftp-server-list numero_acl

Mostrar y depurar el estado de SNMP Para observar el estado y la configuracin del agente SNMP, se puede emplear el siguiente comando, en modo usuario del router:
Router> show snmp

Muestra el estado de SNMP

Tarea 6. Mostrar el estado de SNMP Visualiza el estado de SNMP en el router. Qu tipo de informacin se proporciona?

Para hacer un seguimiento de la actividad de las notificaciones en tiempo real se usa los el comando debug de SNMP, en modo usuario privilegiado. Se pueden monitorizar los paquetes recibidos o enviados por el agente SNMP:
Router> enable Router# debug snmp packet

Se va mostrando informacin sobre el tipo de paquete y su contenido. Para deshabilitar el seguimiento se emplea el comando
20

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO Router# no debug snmp packet

Tarea 7. Seguimiento de la actividad de SNMP Haz que se visualicen mensajes por cada paquete SNMP que enve o reciba el router. Observa la informacin que se proporciona cuando accedes a su MIB, y cuando haces saltar la interrupcin de authenticationFailure.

3. Configuracin de SNMP en un switch CISCO


Ahora vamos a proceder a aplicar la misma configuracin SNMP que hemos aplicado al router al switch directamente conectado a l. Es importante sealar que por defecto, SNMP viene habilitado en los switches, ms concretamente est habilitada la versin 1 del protocolo, con nombres de comunidades public y private. Esto se debe cambiar de inmediato para no comprometer la seguridad de la red. En cambio, las interrupciones no estn habilitadas. Tarea 8. Configuracin de SNMP en el switch Catalyst Conectaremos la estacin que hace de consola al switch, y pasaremos al modo de configuracin global:
Switch> enable Switch# configure terminal Switch(config)#

Desde ah, procederemos a introducir los comandos necesarios. Los comandos son prcticamente idnticos a los empleados en el router, por lo que se deja como ejercicio el configurar el switch de la misma manera que se hizo con el router, esto es: a) Slo la estacin gestora tiene acceso de lectura y escritura a toda la MIB, empleando el nombre de comunidad le0escrib0. b) Cualquier estacin tiene acceso de lectura al grupo system, y slo a ese grupo, empleando la comunidad s0l0le0. c) Se deben habilitar las interrupciones de todos los tipos posibles, y enviarlas a la estacin gestora. Obtener tambin los tipos de interrupciones que puede generar el agente SNMP del switch. Coinciden con las del router? Emplead el sistema de ayuda en lnea (comando ?), para solucionar cualquier problema debido a la sintaxis concreta de los comandos. Cuando la configuracin se haya finalizado, hay que probarla siguiendo el mismo procedimiento empleado para el router.
21

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Documentacin Adicional: SNMPv3


La configuracin del agente SNMP del router para trabajar con SNMPv3 es algo ms compleja de la que hemos visto aqu, pues debido a las mejoras de seguridad que introduce hay que definir ms elementos, como usuarios, grupos de usuarios, contraseas, etc. Existe un documento de Cisco que trata especficamente de los comandos necesarios para configurar SNMP3, disponible en la pgina web de la asignatura. Asimismo, existe un captulo dedicado a ello en el documento Router Security Configuration Guide de la Agencia Nacional de Seguridad de EE.UU., disponible tambin en la pgina web de la asignatura.

22

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

PARTE II Monitorizacin remota de redes: RMON


La MIB definida para SNMP nos permite obtener informacin de gestin acerca de un nico nodo: el que ejecuta el agente SNMP. Si quisiramos obtener informacin acerca de una red como un todo deberamos realizar sucesivas consultas individuales a cada nodo conectado en la red. Esto supone un gran consumo de recursos (tiempo de procesamiento en agentes y el gestor, y ancho de banda consumido por las consultas/respuestas SNMP). Con esa motivacin surge RMON. RMON es un protocolo para la monitorizacin remota de redes. Un agente RMON, denominado tambin monitor o sonda RMON, recoger informacin de gestin, principalmente estadsticas del trfico, sobre la red entera, y las pondr a disposicin de las estaciones de gestin. Es interesante resaltar que RMON consiste bsicamente en una extensin a la MIB-II. Esto implica que para que RMON funcione, SNMP debe estar habilitado y convenientemente configurado. RMON define nuevos objetos de gestin. Para acceder a esos objetos, se emplea el protocolo SNMP. La MIB de RMON cuelga del nodo mib-2, con el identificador 16. La MIB RMON define: Un conjunto de objetos gestionados tiles para soportar la funcin de monitorizacin remota Un conjunto de funciones monitorizacin remota de

Los nuevos objetos de gestin definidos por RMON se organizan en 9 grupos: Grupo statistics(1): mantiene estadsticas del trfico y de errores para cada subred monitorizada por el agente. Grupo history(2): almacena muestras peridicas de estadsticas de la informacin disponible en el grupo statistics. Grupo host(3): contiene contadores para varios tipos de trfico hacia o desde los hosts conectados en la subred, y mantienen informacin de hosts (errores recibidos, paquetes enviados o recibidos...).

23

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Grupo hostTopN(4): contiene estadsticas ordenadas que informan de los hosts que encabezan una lista basada en algn parmetro. Por ejemplo: los N hosts que han recibido ms errores. Grupo matrix(5): almacena la informacin de utilizacin y de errores en forma matricial. As, el administrador puede solicitar informacin respecto a cualquier par de direcciones de red. Grupo alarm(6): permite establecer intervalos de muestreo y umbrales de alarma para cualquier contador o entero registrado por el agente RMON. Grupo filter(7): permite al monitor observar paquetes que se ajusten a un filtro especificado. El monitor puede capturar todos los paquetes que pasen el filtro, o bien almacenar estadsticas sobre ellos. Grupo capture(8): relacionado con la organizacin de los buffers para la captura de paquetes de acuerdo con cada tipo de filtro. Grupo event(9): mantiene una tabla de todos los eventos generados por el agente RMON.

Todos los grupos son opcionales, aunque existen las siguientes dependencias: El grupo hostTopN requiere la implementacin del grupo host El grupo alarm requiere la implementacin del grupo event El grupo capture requiere la implementacin del grupo filter

Generalmente, los grupos de RMON contienen tablas de dos tipos: de control y de datos. Las tablas de control pueden ser leidas y escritas por los gestores. Sirven para configurar el funcionamiento de RMON y regular la recogida de datos. Estos datos se depositarn en las filas correspondientes de las tablas de datos. En todas las tablas aparecen al menos tres campos: Una cadena de caracteres que indica el propietario de la fila. Se trata de un identificador del gestor que cre la fila, y por tanto, es el nico que puede modificarla o borrarla. Un tipo entero enumerado que representa el estado de la fila. Este estado puede tomar 4 valores: {valid(1), createRequest(2), underCreation(3), invalid(4)}. El estado se tiene en cuenta en el proceso de creacin de la fila. Para cada tabla se define un objeto ndice, que sirve para referenciar una o ms filas en una o ms tablas de datos.

Para aadir una fila a una tabla, una estacin de gestin debe enviar una PDU SetRequest con la lista de identificadores de objetos de la tabla. Cada uno de ellos es realmente un identificador de instancia, es decir, el identificador de objeto ms los valores de instancia de los ndices para esa tabla.
24

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

El gestor debe indicar el valor createRequest para el estado de la fila. El agente, si puede crear la fila, la pasar al estado underCreation. Esto impide la creacin de la misma fila por ms de un gestor a la vez. Una vez se hayan establecido los valores para todos los campos de la fila, y otras filas asociadas en otras tablas, el gestor puede cambiar el valor del estado a valid, habilitando as la funcin definida por los objetos de la fila.

4. Configuracin de RMON en un router CISCO


Por defecto, las imgenes del IOS para los routers Cisco tienen un soporte a RMON limitado. Slo implementan los grupos alarm y event. Esto implica que lo nico que se puede hacer es establecer alarmas sobre el comportamiento de alguno de los objetos de la MIB-II del router, y asociar eventos con la generacin de alarmas. Existen tambin imgenes que incluyen explcitamente soporte a RMON. Estas imgenes implementan los 9 grupos de RMON, incluidos el grupo de captura de paquetes. Las imgenes IOS instaladas en los routers del Laboratorio son del primer tipo, esto es, slo soportan los grupos alarm y event:

El grupo alarm permite definir una funcin de monitorizacin sobre objetos enteros de la MIB-II. Cada cierto tiempo, esta funcin compara el valor de dicho objeto con unos umbrales de subida (rising-threshold) y de bajada (falling-threshold). En caso de que el valor muestreado sea superior al umbral de subida, se genera una alarma de subida. Si es menor que el umbral de bajada, se genera una alarma de bajada. Despus de haber generado una alarma de subida, no se puede generar otra hasta despus de haber cruzado el umbral de bajada, y viceversa (mecanismo de histresis). Esto permite limitar las veces que se dispara la alarma, evitando la generacin de alarmas consecutivas ante fluctuaciones no significativas del valor muestreado. El grupo event permite definir eventos, que se pueden asociar con el disparo de una alarma de subida o de bajada. Ante la ocurrencia de un evento, ste se puede registrar en una tabla del grupo events de RMON (logTable), o bien, generar una interrupcin (trap) de SNMP, o bien, ambas cosas.
25

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

OJO: Para visualizar la MIB de RMON en el MIB Browser, primero debemos de cargar la definicin del mdulo de MIB de RMON. Eso se hace en la pestaa MIB. Deberemos seleccionar RMON-MIB. Para definir una alarma, se emplea el comando rmon alarm con la siguiente sintaxis:
Router(config)# rmon alarm numero variable_MIB intervalo {delta | absolute} rising-threshold valor [num_evento] falling-threshold valor [num_evento] [owner cadena]

Se indica un nmero para identificar la alarma, el objeto de la MIB que se va a monitorizar, si se va a comparar su valor absoluto (absolute) o la diferencia entre el valor actual y el anterior (delta). A continuacin, se indica el valor del umbral de subida, y de bajada. Opcionalmente, se puede indicar el nmero de un evento asociado al cruce del umbral de subida y de bajada. Finalmente, se puede especificar una cadena de caracteres para el propietario de la fila. El efecto de este comando es aadir una fila en la tabla alarmTable, del grupo alarm de la MIB de RMON. Los objetos MIB a monitorizar son entradas de una tabla. Ms concretamente, se han de especificar como entrada.n.i, donde entrada es el nombre del objeto que define una entrada en la tabla, n es el entero que representa el campo de la entrada, e i es el identificador de la instancia. Por ejemplo, el valor del campo ifInErrors de la tabla ifTable del grupo interfaces de la MIB-II, para el interfaz nmero 1 se especificara como ifEntry.14.1. Ejemplo: El siguiente comando configura la alarma nmero 10. La alarma monitoriza la variable de la MIB-II ifEntry.20.1 una vez cada 20 segundos y comprueba la variacin en el valor de la variable. Si el valor del objeto ifEntry.20.1 se incrementa en un valor superior a 15, la alarma se dispara. A su vez, la alarma hace que se dispare el evento nmero 1. Si la alarma se incrementa en cantidad 0 (valor de fallingthreshold), la alarma se resetea y puede ser generada de nuevo:
Router(config)# rmon alarm 10 ifEntry.20.1 20 delta rising-threshold 15 1 falling-threshold 0 owner gestor1

(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17) (18) (19) (20) (21) (22)

El objeto ifEntry.20.1 se refiere a la instancia para el interfaz nmero 1, del objeto ifOutErrors, esto es, el nmero de tramas que no han podido ser transmitidas por causa de algn error. Cuando en el intervalo de muestreo actual ha habido ms de 15 errores, se dispara la alarma, provocando la generacin del evento nmero 1. Cuando en un intervalo no haya habido errores, se cruza el umbral de bajada, y ya se puede generar otra vez la alarma de subida.

26

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Para definir un evento, se emplea el comando rmon event con la siguiente sintaxis:
Router(config)# rmon event numero [log] [trap comunidad] [description cadena] [owner cadena]

Se especifica el nmero que identifica el evento, y opcionalmente, si se guarda informacin de la ocurrencia del evento en la tabla de log de RMON (objeto logTable en el grupo event), la comunidad para enviar el trap cuando ocurra el evento, una descripcin textual, y el propietario del evento. El efecto del comando es aadir una nueva entrada en la tabla eventTable, del grupo event de la MIB de RMON. Ejemplo: El siguiente comando crea el evento RMON nmero 1, que se describe como ifOutErrors elevado. Cuando se produce el evento, se aade una entrada en la tabla de log (objeto logTable de la MIB RMON) y se genera un trap SNMP con la comunidad trap-evento. El usuario gestor1 es el propietario de la fila creada en la tabla de eventos (objeto eventTable de la MIB RMON) por este comando:
Router(config)# rmon event 1 log trap trap-evento description ifOutErrors elevado owner gestor1

Recordemos que previamente se defini la alarma 10 para que disparase este evento cuando la variable monitorizada cruzase el umbral de subida. Para eliminar una alarma o un evento, se emplea el mismo comando que se us para habilitarlo, pero en su forma no. Ejemplo: Para eliminar la alarma y el evento anteriores, se emplearan los comandos:
Router(config)# no rmon event 1 Router(config)# no rmon alarm 10

Tarea 9. Configuracin de alarmas y eventos en el router Cisco En esta tarea, estableceremos una alarma, la nmero 10, que se disparar cuando la cantidad de trfico generado por el interfaz Fast-Ethernet de nuestro router (objeto ifOutOctets = ifEntry.16) supere los 20000 bytes cada 30 segundos. La alarma, una vez disparada, no se volver a poder generar hasta que la cantidad de bytes generados en ese intervalo baje hasta los 5000 bytes. Al cruzar el umbral de subida, la alarma generar el evento 1, mientras que cuando cruce el umbral de bajada, generar el evento 2. En ambos casos, la ocurrencia del evento se registrar en la tabla de log, y se enviar un trap SNMP empleando la comunidad le0escrib0. Suponemos que SNMP est activo y configurado adecuadamente para poder enviar los traps a la estacin donde estamos ejecutando el MIB-Browser. Paso 1. Nos conectamos a la consola del router, y desde el modo de configuracin global, definimos los eventos 1 y 2, mediante los comandos:

27

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO Router(config)# rmon event 1 log trap le0escrib0 description ifOutOctets > 20000 bytes owner gestor-prueba Router(config)# rmon event 2 log trap le0escrib0 description ifOutOctets < 5000 bytes owner gestor-prueba

Paso 2. Ahora definimos la alarma. Pero antes necesitamos averiguar cual es el nmero asociado al interfaz FastEthernet del router, para poder especificar la instancia de ifOutOctets que queremos monitorizar. Para ello, visualiza en el MIB-Browser la tabla ifTable, y busca la entrada donde aparezca FastEthernet en el campo de tipo. En algunos routers, hay dos interfaces FastEthernet, aunque slo uno de ellos estar activo (campos ifAdminStatus e ifOperStatus). El valor del campo ifIndex para la entrada correspondiente a un interfaz FastEthernet activo es el dato que andamos buscando. Llammosle i. El comando para habilitar la alarma es el siguiente:
Router(config)# rmon alarm 10 ifEntry.16.i 30 delta rising-threshold 20000 1 falling-threshold 5000 2 owner gestor-prueba

Observa que hemos indicado que el valor que se ha de comparar con los umbrales es el incremento entre muestras consecutivas experimentado por el contador ifEntry.16.i (delta). Paso 3. Para verificar que la alarma est activa, podemos usar el comando
Router# show rmon alarms

El router nos mostrar informacin acerca de las alarmas establecidas en este momento. Observa la informacin que proporciona y comprueba que coincide con el comportamiento deseado para la alarma. Lo mismo podemos hacer con los eventos:
Router# show rmon events

El router mostrar informacin de los eventos definidos, as como de la ltima vez que fueron disparados. Comprueba tambin que los datos que proporciona este comando coinciden con los deseados. Paso 4. Con el programa MIB-Browser, accede a las objetos alarmTable y eventTable y compara la informacin que contienen con los comandos que acabas de introducir. Podramos configurar el router con el mismo comportamiento que hemos configurado mediante los comandos rmon alarm y rmon event desde el MIB Browser a travs de estas tablas?

28

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Paso 5. Finalmente, vamos a provocar la generacin de trfico a travs del interfaz FastEthernet del router, para que salte la alarma. Antes, tenemos que tener abierto en el programa MIB-Browser la consola de traps. Para ello, ejecutaremos el comando ping, configurndolo para que genere 20 paquetes de tamao grande, por ejemplo, 1000 bytes (por defecto genera una secuencia de 5 paquetes de 30 bytes). Esto se consigue ejecutando ping sin parmetros. Se nos pedir el valor para varios parmetros. Dejaremos todos con su valor por defecto, excepto el tamao del datagrama, el nmero de paquetes, y la direccin IP destino. Lanzaremos el ping contra cualquier estacin conectada en la misma red que el interfaz FastEthernet del router. El evento 1, asociado a la alarma de subida, debe de producirse instantes despus de haber lanzado el ping. Al finalizar la ejecucin de ping, tras unos instantes, se debe de generar el evento 2, correspondiente a la alarma de bajada. Ten en cuenta que si consultas las tablas de RMON a travs del MIB-Browser estars generando trfico a travs del interfaz monitorizado, lo que puede influir en el disparo de las alarmas. Observa como nunca se van a generar dos alarmas de subida o de bajada seguidas, sino que siempre se va alternando la generacin de una alarma de subida con una de bajada. Paso 6. Obtener informacin de las tablas RMON. Cuando haya llegado al menos un trap, accede a la tabla de log del grupo de eventos (objeto logTable), y observa la informacin que contiene. Comprala con la informacin obtenida con el comando show rmon events. Qu informacin se ofrece en cada caso?

5. Configuracin de RMON en un Switch CISCO Catalyst


El sistema operativo de los switches del laboratorio (modelo Catalyst 2950) soporta los grupos statistics y history de la MIB de RMON, adems de los grupos event y alarm que tambin soportan los routers. Los switches implementan muchos de los objetos como contadores hardware, por lo que el procesamiento de datos de RMON es bastante eficiente.

29

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Puesto que la configuracin de las alarmas y los eventos es muy similar a la que hemos visto previamente para los routers, nos centraremos en la configuracion del switch para que recopile informacin de los otros dos grupos. De nuevo, recordar que SNMP debe estar convenientemente configurado en el switch para poder acceder a los objetos de la MIB de RMON. Los grupos statistics e history se han de configurar por cada interfaz. Esto es, se configuran para recoger informacin acerca del trfico que circula por la red a la que se conecta el interfaz. Por tanto, los comandos que veremos se han de introducir desde el modo de configuracin de interfaz. El grupo statistics recoge informacin acerca del trfico que circula por el segmento de red al que se conecta el interfaz del switch donde se ha habilitado. Para poner en marcha esta recoleccin de estadsticas, basta con emplear el comando:
Switch(config-if)# rmon collection stats ndice [owner cadena]

nicamente hay que indicar el valor del ndice para la nueva entrada en la tabla etherStatsTable, y opcionalmente, la cadena que especifica el propietario de la fila. Una vez emitido el comando anterior para un interfaz, se pondr en marcha la recogida de las estadsticas bsicas para el trfico que circula por la red a la que se conecta dicho interfaz. Podemos visualizar las estadsticas recogidas mediante el comando:
Switch(config-if)# show rmon statistics

La salida de este comando ofrece de forma textual la informacin contenida en la tabla etherStatsTable de la MIB de RMON. El grupo history mantiene un registro histrico de muestras sobre la informacin contenida en el grupo statistics. En la tabla historyControlTable se puede programar un intervalo de muestreo, y el nmero de muestras que se quieren mantener. En la tabla etherHistoryTable se irn guardando las muestras obtenidas para cada funcin de muestreo. Al igual que suceda con el grupo statistics, se debe de habilitar la recoleccin de estadsticas en el grupo history para cada interfaz en particular, por lo que los comandos se han de introducir desde el modo de configuracin de interfaz. Se pueden definir tantas funciones de muestreo por cada interfaz como se desee, siempre y cuando tengan intervalos de muestreo distintos. El comando es el siguiente:
Switch(config-if)# rmon collection history indice [buckets numero-buckets]

30

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO [interval segundos] [owner cadena]

Se debe de especificar el valor del ndice para la entrada en la tabla historyControlTable, el nmero mximo de muestras que se desea almacenar (numero-buckets), el intervalo de muestreo en segundos, y el nombre del propietario de este grupo de estadsticas. Una vez introducido el comando, tras cada intervalo de muestreo, se recoger el valor de las estadsticas del interfaz y se almacenarn en una entrada de la tabla etherHistoryTable. Cada nueva muestra es una nueva entrada en esa tabla. Para visualizar las muestras recogidas en un instante dado, se puede emplear el comando:
Switch(config-if)# show rmon history

La salida de este comando ofrece la informacin para cada muestra contenida en la tabla etherHistoryTable, de modo textual. Tarea 10. Configuracin Catalyst de los grupos statistics y history en el switch Cisco

En nuestra configuracin del laboratorio, a cada puerto del switch se conecta una nica estacin. Esto implica que las estadsticas que recogeremos en cada interfaz reflejarn slo la actividad de la estacin conectada a l. Paso 1. Nos conectamos a la consola del switch, cambiando el cable en el patch panel del armario a la roseta correspondiente. Paso 2. Antes de activar la recogida de estadsticas, vamos a comprobar qu puertos son los que estn activos en el switch. Para ello, ejecutaremos el comando show interfaces | include FastEthernet. Puesto que el comando show interfaces da una gran cantidad de informacin, aplicamos un filtro para mostrar slo aquellas lneas donde aparezca la palabra FastEthernet, que son las que tienen la informacin que nos interesa. Normalmente, estarn activos los puertos FastEthernet 0/1 y 0/2, que se usan para conectar el switch a las dos estaciones que hay por subred, y el ltimo puerto (0/24 0/12, segn el modelo de switch), que se usa para conectar el switch con el router. Verifcalo ejecutando el comando show cdp neighbors. El nico dispositivo que debe mostrar es el router, indicando adems por qu puerto se conecta a l. OJO!: En los switches los interfaces se numeran desde FastEthernet0/1 ( f0/1) a FastEthernet0/24 (f0/24), no empiezan en f0/0 como en los routers. Paso 3. Vamos a establecer las funciones de monitorizacin sobre el interfaz conectado al router. Esto nos permitir obtener estadsticas acerca del trfico que sale de nuestro segmento de red, a travs del router, hacia el resto del Laboratorio.

31

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

En primer lugar, por tanto, hemos de acceder al modo de configuracin global, y desde ah al modo de configuracin del interfaz elegido (suponemos que es el 24):
Switch# configure terminal Switch(config)# interface f0/24 Switch(config-if)#

Lo primero es habilitar la recogida de estadsticas, con el comando:


Switch(config-if)# rmon collection stats 10 owner gestor-prueba

Desde este momento, la sonda RMON implementada en el router empezar a recopilar estadsticas acerca del trfico que circula por la red conectada al interfaz del switch escogido. En nuestro caso, recoger estadsticas del trfico que circula entre nuestra subred y el router. Paso 4. Visualizar las estadsticas recogidas, empleando el comando show rmon statistics. A travs del MIB Browser, recuperad los objetos de la tabla etherStatsTable. La informacin recuperada es la misma que antes (obviando las diferencias numricas que pueda haber por los distintos instantes de consulta)? Probad a generar paquetes de tamao mayor a 1024 bytes, con el comando ping, y observad como vara el valor del contador que refleja el nmero de paquetes de tamao entre 1024 y 1518 bytes (es la ltima informacin que aparece). Paso 5. Establecer funciones de muestreo sobre el interfaz. Vamos a configurar dos funciones de muestreo sobre el mismo interfaz. RMON recomienda establecer dos funciones de muestreo, una con un intervalo de 30 segundos para recoger variaciones repentinas del trfico, y otra cada 30 minutos, para recoger el funcionamiento en rgimen permanente. Como obviamente no podemos esperar durante varios intervalos de media hora para ver cmo funciona sta segunda funcin, estableceremos su intervalo de muestreo en 5 minutos (300 segundos). Por tanto, para el mismo interfaz de antes, hay que introducir los siguientes comandos (recogeremos 20 muestras en cada caso):
Switch(config-if)# rmon collection history 10 buckets 20 interval 30 owner gestor-prueba Switch(config-if)# rmon collection history 11 buckets 20 interval 300 owner gestor-prueba

Las funciones de muestreo ya estn activas. Puedes verificarlo con el comando show rmon history. Este mismo comando tambin proporciona los datos muestreados, una vez se empiecen a recoger.

32

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Paso 6. Obtn la informacin de la tabla historyControlTable con el MIB-Browser, y compara los valores obtenidos con los comandos introducidos previamente. Se parecen en algo? Paso 7. Verifica la recogida de datos mediante el comando show rmon history. En qu se diferencian los datos recogidos aqu de los datos recogidos en el grupo statistics? Mediante el MIB-Browser obtn tambin la informacin de la tabla etherHistoryTable. Contiene la misma informacin que la visualizada con el comando anterior? Deja pasar unos instantes, y vuelve a visualizar la informacin de la tabla. Cmo distingues las filas de datos que ha generado cada funcin de muestreo?

Tarea 11. Configuracin remota de una funcin de muestreo. En esta tarea vamos a comprobar como de forma remota se pueden definir las mismas funciones de monitorizacin que hemos establecido mediante comandos en el switch, a travs del protocolo SNMP. El procedimiento consiste en aadir una nueva fila en la tabla de control que nos interese, con los datos adecuados. Para ilustrar el procedimiento, vamos a aadir una nueva funcin de muestreo en el grupo history, sobre el mismo interfaz de antes, pero esta vez el periodo de muestreo ser de 60 segundos. Para ello, hay que crear una nueva fila en la tabla historyControlTable. Usaremos el programa MIB Browser. Paso 1. Crear la nueva fila con el estado createRequest(2). Para ello, se enva un PDU SetRequest sobre una instancia inexistente del objeto historyControlStatus, por ejemplo, el 20:
SetRequest(historyControlStatus.20) = createRequest(2)

Para enviar este mensaje al switch, debemos pinchar con el botn derecho del ratn en el objeto historyControlStatus y seleccionar la opcin Set. Se abrir una ventana donde hay que seleccionar una instancia para el objeto. Cirrala, pues vamos a crear una nueva. Seguidamente, se abre otra ventana (ver la figura) donde podemos especificar el OID completo del objeto que queremos modificar. Cambiad el ltimo nmero del OID (la instancia) a 20, y seleccionad createRequest como valor (al pinchar en el botn de la mano, aparece la lista de valores posibles). Confirmad el envo del PDU Set pinchando en el botn de arriba a la izquierda.

Envo de PDU Set

Instancia Seleccin del valor

33

PRCTICA 1. CONFIGURACIN DE SNMP Y RMON EN ROUTERS Y SWITCHES CISCO

Con esta operacin el agente SNMP del switch habr creado la nueva fila en la tabla historyControlTable de RMON. Paso 2. Damos valor al resto de campos de la entrada recin creada. Siguiendo el mismo procedimiento de antes, damos los siguientes valores a los restantes campos de la entrada (suponemos de nuevo que nos interesa el puerto 24). Esta vez, podremos seleccionar la instacia 20, que es la que acabamos de crear:
SetRequest(historyControlDataSource.20) = 1.3.6.1.2.1.2.2.1.1.24

As, indicamos el OID del interfaz sobre el que vamos a aplicar la funcin de muestreo. Corresponde a la instancia 24 del objeto ifIndex, en la tabla ifTable del grupo interfaces de la MIB-II (el 24 del final es la instancia). Podis obtener este OID seleccionando el objeto ifIndex en la ventana del navegador de MIBs, y pinchando con el botn derecho del ratn, donde aparece una opcin que es Copy OID. Luego podis pegar el OID el objeto donde os interese. Continuamos rellenando el resto de campos:
SetRequest(historyControlBucketsRequested.20) = 20 SetRequest(historyControlInterval.20) = 60 SetRequest(historyControlOwner.20) = gestor-prueba2

Paso 3. Validamos la entrada. Una vez hemos dado valor a todos lo campos de la tabla, y si todo ha funcionado correctamente, validamos la entrada poniendo su estado a valid(1):
SetRequest(historyControlStatus.20) = valid(1)

Tras estos pasos, se debe de haber puesto en marcha una nueva funcin de muestreo. Verifcalo mediante el MIB-Browser, visualizando las dos tablas del grupo history. Hay nuevas entradas en la tabla de datos relacionadas con la funcin de muestreo recin definida? Ahora ejecuta en el switch el comando show rmon history. Hay informacin acerca de la nueva funcin de muestreo?

34

También podría gustarte