SNMPv3 mit Alcatel Lucent Omniswitch

Will man SNMP auf einem Alcatel OmniSwitch nutzen sind die Befehle uU.. nicht völlig eingängig.

Will man einen v2 user zum lesen und einen v3 user zum schreibenden Zugriff haben ist folgendes nötig:


aaa authentication snmp local
user snmpv2user password 111222333 read-only all no auth
user snmpv3user password abcd1234 md5+des read-write all
snmp community map "public" user "snmpv2user" on
snmp security authentication set

– Zum authentifizieren nutzen wir die lokale Datenbank.
– Der User „snmpv2user“ angelegt und darf dank no auth auch snmp.
– Die SNMP community „public“ wird auf den user gemappt. Dank „no auth“ darf dieser snmp machen, fehlt das geht es nicht.
– Der User „snmpv3user“ darf dank „md5+des“ snmpv3 machen und nutzt auch die Privacy Extension -> Verschlüsselt.
– Mit „snmp security authentication set“ sagt man snmpv1/2c ist mit „get“ erlaubt für „set“ braucht man mindestens v3 gesigned.

Kontrolle:
>show snmp community map
Community mode : enabled
status community string user name
--------+--------------------------------+--------------------------------
enabled public snmpv2user
>show user
[..]
User name = snmpv3user,
Password expiration = None,
Password allow to be modified date = None,
Account lockout = None,
Password bad attempts = 0,
Read Only for domains = None,
Read/Write for domains = All ,
Snmp allowed = YES,
Snmp authentication = MD5,
Snmp encryption = DES,
Console-Only = Disabled
User name = snmpv2user,
Password expiration = None,
Password allow to be modified date = None,
Account lockout = None,
Password bad attempts = 0,
Read Only for domains = None,
Read/Write for domains = All ,
Snmp allowed = YES,
Snmp authentication = NONE,
Snmp encryption = NONE,
Console-Only = Disabled

Mit dem SNMP Tester von Paessler kann man schön überprüfen, ob man mit v2c/public oder dem v3 User reinkommt.

Zumindest im Paessler muss man wenn der user mit md5+des angelegt ist sowohl bei v3 Password und v3 encryption key das user Passwort angeben, nur eins reicht nicht.

Dank hierfür geht an Klaus Peras, der hat viel davon schon gewußt.

Im OmniVista macht man zur Nutzung für auto discovery folgendes
Discovery ->Ping Sweep -> Next
[New] SNMP Setup
Hier einen Namen angeben auf dem zweiten Reiter SNMPv3 angeben und auf dem letzten Reiter den Usernamen „Auth Method = MD5“ und Auth/Priv Password angeben.
Auf der nächsten Seite (Next) macht man eine Range und wählt das grade angelegte Setup.
Fertig.
Unter ->Toplogy -> Switches sollten die Geräte dann vorhanden sein.