| 1 | Exercices SNMP, partie I |
|---|
| 2 | ====================== |
|---|
| 3 | |
|---|
| 4 | Remarque : Bon nombre de commandes utilisées dans cet exercice n'ont pas besoin d'être exécutées en tant que root, mais il est prudent de les exécuter toutes en tant que root. |
|---|
| 5 | Il est donc plus simple de lancer un shell en tant que root et d'entrer toutes les commandes à ce niveau. Vous pouvez lancer un shell de root ainsi : |
|---|
| 6 | |
|---|
| 7 | $ sudo bash |
|---|
| 8 | |
|---|
| 9 | 1. Installation de paquets : |
|---|
| 10 | -------------------- |
|---|
| 11 | |
|---|
| 12 | # apt-get install snmp snmpd # ajoute les outils et l'agent |
|---|
| 13 | |
|---|
| 14 | 2. Essai de SNMP |
|---|
| 15 | |
|---|
| 16 | --------------- |
|---|
| 17 | |
|---|
| 18 | Pour vérifier que l'installation SNMP est opérationnelle, exécutez la commande snmpstatus sur chacun des dispositifs suivants |
|---|
| 19 | |
|---|
| 20 | $ snmpstatus -c 'NetManage' -v2c IP_ADDRESS |
|---|
| 21 | |
|---|
| 22 | Où IP_ADDRESS correspond à la liste suivante : |
|---|
| 23 | |
|---|
| 24 | * Le serveur NOC : 10.10.0.254 |
|---|
| 25 | * Le serveur NOC : 10.10.0.250 |
|---|
| 26 | * Le commutateur du backbone : 10.10.0.253 |
|---|
| 27 | * Les routeurs de la classe : 10.10.0.201-210 |
|---|
| 28 | * Les points d'accès : 10.10.0.251 |
|---|
| 29 | |
|---|
| 30 | 3. SNMP Walk et OID |
|---|
| 31 | --------------------- |
|---|
| 32 | |
|---|
| 33 | Vous allez maintenant utiliser la commande 'snmpwalk', qui fait partie de la boîte à outils SNMP, sur chacun des équipements testés plus haut afin de lister les tables associées aux OID ci-dessous : |
|---|
| 34 | |
|---|
| 35 | .1.3.6.1.2.1.2.2.1.2 |
|---|
| 36 | .1.3.6.1.2.1.31.1.1.1.18 |
|---|
| 37 | .1.3.6.1.4.1.9.9.13.1 |
|---|
| 38 | .1.3.6.1.4.1.11.2.14.11.1.2 |
|---|
| 39 | .1.3.6.1.2.1.25.2.3.1 |
|---|
| 40 | .1.3.6.1.2.1.25.4.2.1 |
|---|
| 41 | |
|---|
| 42 | Vous essaierez avec deux variantes de la commande 'snmpwalk' : |
|---|
| 43 | |
|---|
| 44 | $ snmpwalk -c 'NetManage' -v2c IP_ADDRESS OID |
|---|
| 45 | |
|---|
| 46 | et |
|---|
| 47 | |
|---|
| 48 | $ snmpwalk -On -c 'NetManage' -v2c IP_ADDRESS OID |
|---|
| 49 | |
|---|
| 50 | ... où OID est l'un des trois OID listés ci-dessus : .1.3.6... |
|---|
| 51 | |
|---|
| 52 | Remarque : l'option "-On" active l'affichage numérique, à savoir : aucune conversion OID <-> MIB de l'objet n'aura lieu. |
|---|
| 53 | |
|---|
| 54 | Pour ces OID : |
|---|
| 55 | |
|---|
| 56 | a) Tous les dispositifs répondent-ils ? |
|---|
| 57 | |
|---|
| 58 | b) Avez-vous remarqué quelque chose d'important à propos de l'OID sur la sortie ? |
|---|
| 59 | |
|---|
| 60 | 4. Configuration de SNMP sur votre routeur Cisco |
|---|
| 61 | --------------------------------------------- |
|---|
| 62 | |
|---|
| 63 | Connectez-vous à votre routeur Cisco virtuel, et |
|---|
| 64 | vérifiez que snmp y est déjà bien configuré: |
|---|
| 65 | |
|---|
| 66 | $ ssh 10.10.0.X # où X est le numéro de votre routeur |
|---|
| 67 | |
|---|
| 68 | Login par défaut : "cisco", mot de passe "cisco", mot de passe enable secret "cisco" |
|---|
| 69 | |
|---|
| 70 | rtr$> enable |
|---|
| 71 | Password: |
|---|
| 72 | rtr1#show run | inc snmp |
|---|
| 73 | ... |
|---|
| 74 | rtr1#show run | inc 99 |
|---|
| 75 | ... |
|---|
| 76 | |
|---|
| 77 | Que remarquez-vous ? Que signifie l'access-list 99 ? |
|---|
| 78 | |
|---|
| 79 | Maintenant de retour sur votre PC, effectuez un test en utilisant certains des OID de la section 3 ci-dessus. |
|---|
| 80 | |
|---|
| 81 | $ snmpwalk -c 'NetManage' -v2c 10.10.0.X <OID> |
|---|
| 82 | |
|---|
| 83 | Que se passe-t-il si vous essayez d'utiliser une chaîne de communauté erronée (en remplaçant par exemple "NetManage" par autre chose) ? |
|---|
| 84 | |
|---|
| 85 | 5. Configuration de snmpd sur votre PC |
|---|
| 86 | ------------------------------------- |
|---|
| 87 | |
|---|
| 88 | * Editez le fichier suivant : |
|---|
| 89 | |
|---|
| 90 | # editor /etc/snmp/snmpd.conf |
|---|
| 91 | |
|---|
| 92 | Commentez cette ligne (en AJOUTANT '#' au début): |
|---|
| 93 | |
|---|
| 94 | com2sec paranoid default public |
|---|
| 95 | |
|---|
| 96 | ... comme suit : |
|---|
| 97 | |
|---|
| 98 | #com2sec paranoid default public |
|---|
| 99 | |
|---|
| 100 | Et supprimez le commentaire de la ligne (SUPPRIMEZ le '#' en début de ligne) et changez de communauté : |
|---|
| 101 | |
|---|
| 102 | #com2sec readonly default public |
|---|
| 103 | |
|---|
| 104 | ... comme suit : |
|---|
| 105 | |
|---|
| 106 | com2sec readonly default NetManage |
|---|
| 107 | |
|---|
| 108 | * Editez le fichier /etc/default/snmpd, et repérez la ligne : |
|---|
| 109 | |
|---|
| 110 | SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1' |
|---|
| 111 | |
|---|
| 112 | Supprimez 127.0.0.1 à la fin, ce qui donne : |
|---|
| 113 | |
|---|
| 114 | SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid' |
|---|
| 115 | |
|---|
| 116 | * Relancez snmpd |
|---|
| 117 | |
|---|
| 118 | # /etc/init.d/snmpd stop |
|---|
| 119 | # /etc/init.d/snmpd start |
|---|
| 120 | |
|---|
| 121 | 6. Vérifiez que snmpd fonctionne : |
|---|
| 122 | ------------------------------- |
|---|
| 123 | |
|---|
| 124 | $ snmpstatus -c NetManage -v2c localhost |
|---|
| 125 | |
|---|
| 126 | Qu'observez-vous ? |
|---|
| 127 | |
|---|
| 128 | 7. Testez votre voisin |
|---|
| 129 | ---------------------- |
|---|
| 130 | |
|---|
| 131 | Vérifiez maintenant que vous pouvez exécuter snmpstatus avec le serveur de votre voisin : |
|---|
| 132 | |
|---|
| 133 | $ snmpstatus -c NetManage -v2c 10.10.0.X # X = 1 -> 26 (PCs) |
|---|
| 134 | |
|---|
| 135 | |
|---|
| 136 | 8. Ajoutez des MIB |
|---|
| 137 | -------------- |
|---|
| 138 | |
|---|
| 139 | Lorsque vous aviez exécuté : |
|---|
| 140 | |
|---|
| 141 | $ snmpwalk -c NetManage -v2c 10.10.0.201 .1.3.6.1.4.1.9.9.13.1 |
|---|
| 142 | |
|---|
| 143 | ou |
|---|
| 144 | |
|---|
| 145 | $ snmpwalk -c NetManage -v2c 10.10.0.253 .1.3.6.1.4.1.11.2.14.11.1.2 |
|---|
| 146 | |
|---|
| 147 | vous aviez peut-être remarqué que le client SNMP (snmpwalk) ne parvenait pas à interpréter tous les OID issus de l'agent : |
|---|
| 148 | |
|---|
| 149 | SNMPv2-SMI::enterprises.9.9.13.1.3.1.2.1 = STRING: "chassis" |
|---|
| 150 | SNMPv2-SMI::enterprises.9.9.13.1.3.1.6.1 = INTEGER: 1 |
|---|
| 151 | |
|---|
| 152 | ou |
|---|
| 153 | |
|---|
| 154 | ... |
|---|
| 155 | RFC1155-SMI::enterprises.11.2.14.11.1.2.6.1.4.1 = INTEGER: 4 |
|---|
| 156 | RFC1155-SMI::enterprises.11.2.14.11.1.2.6.1.4.2 = INTEGER: 4 |
|---|
| 157 | RFC1155-SMI::enterprises.11.2.14.11.1.2.6.1.4.3 = INTEGER: 5 |
|---|
| 158 | RFC1155-SMI::enterprises.11.2.14.11.1.2.6.1.4.4 = INTEGER: 4 |
|---|
| 159 | ... |
|---|
| 160 | |
|---|
| 161 | Qu'est-ce que "9.9.13.1.3.1.3" ? |
|---|
| 162 | Qu'est-ce que ".11.2.14.11.1.2.6.1.4" ? |
|---|
| 163 | |
|---|
| 164 | Pour pouvoir interpréter cette information, nous devons télécharger des MIB supplémentaires : |
|---|
| 165 | |
|---|
| 166 | * Téléchargez les fichiers suivants sur votre machine : |
|---|
| 167 | |
|---|
| 168 | MIB CISCO : ftp://ftp.cisco.com/pub/mibs/v2/CISCO-SMI.my |
|---|
| 169 | ftp://ftp.cisco.com/pub/mibs/v2/CISCO-ENVMON-MIB.my |
|---|
| 170 | |
|---|
| 171 | MIB HP : http://ftp.hp.com/pub/networking/software/mibs-Oct09.tar |
|---|
| 172 | |
|---|
| 173 | Toutefois, nous avons un miroir local sur http://noc.ws.nsrc.org/mibs/ qui sera beaucoup plus rapide (surtout pour le gros paquet de la mib HP) |
|---|
| 174 | |
|---|
| 175 | # apt-get install wget |
|---|
| 176 | # cd /usr/share/snmp/mibs |
|---|
| 177 | # wget http://noc.ws.nsrc.org/mibs/CISCO-SMI.my |
|---|
| 178 | # wget http://noc.ws.nsrc.org/mibs/CISCO-ENVMON-MIB.my |
|---|
| 179 | |
|---|
| 180 | Cette partie ci-dessous n'est pas nécessaire si nous n'avont pas |
|---|
| 181 | de commutateur HP dans la classe: |
|---|
| 182 | |
|---|
| 183 | ### DEBUT SECTION HP |
|---|
| 184 | |
|---|
| 185 | # wget http://noc.ws.nsrc.org/mibs/mibs-Oct09.tar |
|---|
| 186 | |
|---|
| 187 | * Extrayez la MIB SNMP HP (dans /usr/share/snmp/mibs): |
|---|
| 188 | |
|---|
| 189 | # cd /usr/share/snmp/mibs # juste en cas de besoin ! |
|---|
| 190 | # mkdir hp |
|---|
| 191 | # cd hp |
|---|
| 192 | # tar -xvf ../mibs-Oct09.tar |
|---|
| 193 | |
|---|
| 194 | Remarque : Vous devriez voir un grand nombre d'éléments à l'écran |
|---|
| 195 | (les fichiers MIB HP) |
|---|
| 196 | |
|---|
| 197 | ### FIN SECTION HP |
|---|
| 198 | |
|---|
| 199 | Créez le fichier /etc/snmp/snmp.conf et mettez dedans: |
|---|
| 200 | |
|---|
| 201 | mibdirs /usr/share/snmp/mibs:/usr/share/snmp/mibs/hp |
|---|
| 202 | mibs ALL |
|---|
| 203 | |
|---|
| 204 | Ceci indique aux commandes snmp* qu'elles doivent charger TOUS les MIBS |
|---|
| 205 | dans les répertoires /usr/share/snmp/mibs (et /usr/share/snmp/mibs/hp |
|---|
| 206 | si celles-ci sont installées). |
|---|
| 207 | |
|---|
| 208 | * Enregistrez le fichier et quittez. |
|---|
| 209 | |
|---|
| 210 | Faites maintenant un nouvel essai : |
|---|
| 211 | |
|---|
| 212 | $ snmpwalk -c 'NetManage' -v2c 10.10.0.254 .1.3.6.1.4.1.9.9.13.1 |
|---|
| 213 | |
|---|
| 214 | (et si nous avons un commutateur HP: |
|---|
| 215 | |
|---|
| 216 | $ snmpwalk -c 'NetManage' -v2c 10.10.0.253 .1.3.6.1.4.1.11.2.14.11.1.2 |
|---|
| 217 | |
|---|
| 218 | ) |
|---|
| 219 | |
|---|
| 220 | Que remarquez-vous ? |
|---|
| 221 | |
|---|
| 222 | |
|---|
| 223 | 9. SNMPwalk - le reste de la MIB-II |
|---|
| 224 | -------------------------------- |
|---|
| 225 | |
|---|
| 226 | Essayez d'exécuter snmpwalk sur des hôtes (routeurs, commutateurs, machines) |
|---|
| 227 | que vous n'avez pas encore testés, dans le réseau 10.10.0.X |
|---|
| 228 | |
|---|
| 229 | Notez le type d'informations que vous pouvez obtenir. |
|---|
| 230 | |
|---|
| 231 | $ snmpwalk -c NetManage -v2c 10.10.0.X ifDescr |
|---|
| 232 | $ snmpwalk -c NetManage -v2c 10.10.0.X ifTable |
|---|
| 233 | $ snmpwalk -c NetManage -v2c 10.10.0.X ifAlias |
|---|
| 234 | $ snmpwalk -c NetManage -v2c 10.10.0.X ifOperStatus |
|---|
| 235 | $ snmpwalk -c NetManage -v2c 10.10.0.X ifAdminStatus |
|---|
| 236 | $ snmpwalk -c NetManage -v2c 10.10.0.X if |
|---|
| 237 | |
|---|
| 238 | Pouvez-vous expliquer la différence entre ifOperStatus et ifAdminStatus ? |
|---|
| 239 | |
|---|
| 240 | Pouvez-vous imaginer un scénario où cela pourrait être utile ? |
|---|
| 241 | |
|---|
| 242 | |
|---|
| 243 | |
|---|
| 244 | 10. Autres réjouissances MIB-OID |
|---|
| 245 | -------------------- |
|---|
| 246 | |
|---|
| 247 | * Utilisez les OID du début de cette série d'exercices et examinez : |
|---|
| 248 | |
|---|
| 249 | a) les processus qui s'exécutent sur le serveur de votre voisin (hrSWRun) |
|---|
| 250 | b) l'espace disque disponible sur le serveur de votre voisin (hrStorage) |
|---|
| 251 | c) les interfaces sur le serveur de votre voisin (ifIndex, IfDescr) |
|---|
| 252 | |
|---|
| 253 | Pouvez-vous utiliser des noms abrégés pour parcourir ces tables OID ? |
|---|
| 254 | |
|---|
| 255 | * Faites un essai avec la commande "snmptranslate", par exemple : |
|---|
| 256 | |
|---|
| 257 | $ snmptranslate .1.3.6.1.4.1.9.9.13.1.3.1.3.1 |
|---|
| 258 | |
|---|
| 259 | * Essayez avec différents OID |
|---|