O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar e solucionar problemas de dispositivos de FTD do protocolo de gerenciamento de rede simples (SNMP - Simple Network Management Protocol) no firewall de próxima geração (NGFW - Next Generation Firewall).
Este documento exige conhecimento básico do protocolo SNMP.
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Os dispositivos Firepower NGFW podem ser divididos em dois subsistemas principais:
O FTD é um software unificado que consiste em dois mecanismos principais: o mecanismo Snort e o mecanismo LINA. O mecanismo SNMP atual do FTD é derivado do ASA clássico e tem visibilidade dos recursos relacionados ao LINA.
O FX-OS e o FTD têm planos de controle independentes e, para fins de monitoramento, têm diferentes mecanismos SNMP. Cada um dos mecanismos SNMP fornece informações diferentes e pode querer monitorar ambos para obter uma visão mais abrangente do status do dispositivo.
Do ponto de vista do hardware, há atualmente duas arquiteturas principais para os dispositivos Firepower NGFW: o Firepower 2100 Series e o Firepower 4100/9300 Series.
Os dispositivos Firepower 4100/9300 têm uma interface dedicada para o gerenciamento de dispositivos e essa é a origem e o destino do tráfego SNMP endereçado ao subsistema do FXOS. Por outro lado, a aplicação do FTD usa uma interface LINA (dados e/ou diagnóstico). Nas versões do FTD posteriores a 6.6, a interface de gerenciamento do FTD também pode ser usada para a configuração do SNMP.
O mecanismo SNMP nos dispositivos Firepower 2100 usa a interface de gerenciamento do FTD e o IP. O próprio dispositivo faz a ponte com o tráfego de SNMP recebido nessa interface e o encaminha para o software do FXOS.
Nos FTDs que usam a versão de software 6.6 ou superior, foram implementadas estas alterações:
Etapa 1. Abra a interface do usuário do Firepower Chassis Manager (FCM) e navegue até a guia Configurações da plataforma > SNMP. Marque a caixa de ativação SNMP, especifique a string de comunidade a ser usada nas solicitações do SNMP e clique em Salvar.
Observação: se o campo Comunidade/Nome de usuário já estiver definido, o texto à direita do campo vazio exibirá Conjunto: Sim. Se o campo Comunidade/Nome de usuário ainda não estiver preenchido com um valor, o texto à direita do campo vazio exibirá Set: No
Etapa 2. Configure o servidor de destino das interceptações do SNMP.
Observação: os valores de comunidade para consultas e host de interceptação são independentes e podem ser diferentes
O host pode ser definido como endereço IP ou por nome. Selecione OK e a configuração do servidor de interceptação do SNMP será salva automaticamente. Não há necessidade de selecionar o botão Salvar na página principal do SNMP. O mesmo ocorre quando você exclui um host.
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring* # set snmp community Enter a snmp community: ksec-fpr9k-1-A /monitoring* # enter snmp-trap 192.168.10.100 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v2c ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
Etapa 1. Abra o FCM e navegue até a guia Configurações da plataforma > SNMP.
Etapa 2. Para o SNMP v3, não há necessidade de definir uma string de comunidade na seção superior. Cada usuário criado pode executar com êxito as consultas para o mecanismo SNMP do FXOS. A primeira etapa é ativar o SNMP na plataforma. Uma vez feito isso, você pode criar os usuários e o host de interceptação de destino. Os usuários do SNMP e os hosts de interceptação do SNMP são salvos automaticamente.
Etapa 3. Conforme mostrado na imagem, adicione o usuário do SNMP. O tipo de autenticação é sempre SHA, mas você pode usar AES ou DES para criptografia:
Etapa 4. Adicione o host de interceptação do SNMP, conforme mostrado na imagem:
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring # create snmp-user user1 Password: ksec-fpr9k-1-A /monitoring/snmp-user* # set auth sha ksec-fpr9k-1-A /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: ksec-fpr9k-1-A /monitoring/snmp-user* # set aes-128 yes ksec-fpr9k-1-A /monitoring/snmp-user* # exit ksec-fpr9k-1-A /monitoring* # enter snmp-trap 10.48.26.190 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v3 ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
Alterações nas versões posteriores a 6.6
Há suporte para o recurso de gerenciamento de IP único do SNMP a partir da versão 6.6 em todas as plataformas do FTD:
Etapa 1. Na interface do usuário do FMC, navegue até Dispositivos > Configurações da plataforma > SNMP. Marque a opção "Ativar servidores do SNMP" e defina as configurações do SNMPv2 da seguinte forma:
Etapa 2. Na guia Hosts, selecione o botão Adicionar e especifique as configurações do servidor do SNMP:
Você também pode especificar a interface de diagnóstico como fonte para as mensagens do SNMP. A interface de diagnóstico é uma interface de dados que permite apenas o tráfego de entrada e de saída (somente gerenciamento).
Esta imagem é da versão 6.6 e usa o Light Tema.
Além disso, nas versões do FTD posteriores a 6.6, você também pode escolher a interface de gerenciamento:
Se a nova interface de gerenciamento for selecionada, o SNMP do LINA estará disponível na interface de gerenciamento.
O resultado:
Etapa 1. Na interface do usuário do FMC, navegue até Dispositivos > Configurações da plataforma > SNMP. Marque a opção "Ativar servidores do SNMP" e configure o usuário e o host do SNMPv3:
Etapa 2. Configure o host também para receber as interceptações:
Etapa 3. As interceptações que você deseja receber podem ser selecionadas na seção Interceptações do SNMP:
Comportamento anterior ao 7.2
Como funciona em versões mais recentes (FXOS 2.12.1, FTD 7.2, ASA 9.18.1 e posterior)
Pré-requisitos, plataformas suportadas
Nos sistemas FPR2100, não há FCM. A única maneira de configurar o SNMP é usando o FMC.
A partir do FTD 6.6, você também tem a opção de usar a interface de gerenciamento do FTD para SNMP. Nesse caso, as informações do SNMP do FXOS e do LINA são transferidas por meio da interface de gerenciamento do FTD.
Abra a interface do usuário do FMC e navegue até Dispositivos > Gerenciamento de dispositivos. Selecione o dispositivo e selecione SNMP:
Alteração no FTD 6.6 ou posteriores
Você pode especificar a interface de gerenciamento do FTD:
Como a interface de gerenciamento também pode ser configurada para SNMP, a página mostra esta mensagem de aviso:
A configuração SNMP da plataforma do dispositivo nesta página será desativada se as configurações de SNMP forem definidas com a interface de gerenciamento do dispositivo através de dispositivos > configurações da plataforma (Threat Defense) > SNMP > hosts.
Abra a interface do usuário do FMC e navegue até Escolher dispositivos > Gerenciamento de dispositivos. Escolha o dispositivo e selecione SNMP.
FTD 6.6 ou versões posteriores
Se a nova interface de gerenciamento for selecionada:
Depois da configuração, as informações de pesquisa/interceptação do SNMP de uma combinação de SNMP do LINA e FXOS (no FP1xxx/FP2xxx) estão na interface de gerenciamento do FTD.
Há suporte para o recurso de gerenciamento de IP único do SNMP a partir da versão 6.6 em todas as plataformas do FTD:
Para obter mais detalhes, selecione Configurar o SNMP para defesa contra ameaças
Verificação da configuração da CLI:
ksec-fpr9k-1-A /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: Yes Sys Contact: Sys Location: ksec-fpr9k-1-A /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Community Version V3 Privilege Notification Type ------------------------ -------- ---------- ------- ------------ ----------------- 192.168.10.100 162 V2c Noauth Traps
No modo do FXOS:
ksec-fpr9k-1-A(fxos)# show run snmp !Command: show running-config snmp !Time: Mon Oct 16 15:41:09 2017 version 5.0(3)N2(4.21) snmp-server host 192.168.10.100 traps version 2c cisco456 snmp-server enable traps callhome event-notify snmp-server enable traps callhome smtp-send-fail … All traps will appear as enable … snmp-server enable traps flexlink ifStatusChange snmp-server context mgmt vrf management snmp-server community cisco123 group network-operator
Verificações adicionais:
ksec-fpr9k-1-A(fxos)# show snmp host ------------------------------------------------------------------- Host Port Version Level Type SecName ------------------------------------------------------------------- 192.168.10.100 162 v2c noauth trap cisco456 -------------------------------------------------------------------
ksec-fpr9k-1-A(fxos)# show snmp Community Group / Access context acl_filter --------- -------------- ------- ---------- cisco123 network-operator
...
Testar as solicitações do SNMP.
Execute uma solicitação do SNMP em um host válido.
Confirmar a geração de interceptação.
Você pode usar o flap de uma interface com o EthAnalyzer ativado para confirmar se as interceptações do SNMP foram geradas e enviadas para os hosts de interceptação definidos:
ksec-fpr9k-1-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" Capturing on eth0 wireshark-broadcom-rcpu-dissector: ethertype=0xde08, devicetype=0x0 2017-11-17 09:01:35.954624 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap 2017-11-17 09:01:36.054511 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap
Aviso: uma oscilação de interface pode causar uma interrupção de tráfego. Faça esse teste apenas em um ambiente de laboratório ou em uma janela de manutenção
Etapa 1. Abrir a interface do usuário do FCM Configurações da plataforma > SNMP > Usuário mostra se há senhas e senhas de privacidade configuradas:
Etapa 2. Na CLI, você pode verificar a configuração do SNMP no monitoramento de escopo:
ksec-fpr9k-1-A /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: No Sys Contact: Sys Location: ksec-fpr9k-1-A /monitoring # show snmp-user SNMPv3 User: Name Authentication type ------------------------ ------------------- user1 Sha
ksec-fpr9k-1-A /monitoring # show snmp-user detail SNMPv3 User: Name: user1 Authentication type: Sha Password: **** Privacy password: **** Use AES-128: Yes
ksec-fpr9k-1-A /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Community Version V3 Privilege Notification Type ------------------------ -------- ---------- ------- ------------ ----------------- 192.168.10.100 162 V3 Priv Traps
Etapa 3. No modo do FXOS, você pode expandir a configuração e os detalhes do SNMP:
ksec-fpr9k-1-A(fxos)# show running-config snmp all … snmp-server user user1 network-operator auth sha 0x022957ee4690a01f910f1103433e4b7b07d4b5fc priv aes-128 0x022957ee4690a01f910f1103433e4b7b07d4b5fc localizedkey snmp-server host 192.168.10.100 traps version 3 priv user1 ksec-fpr9k-1-A(fxos)# show snmp user ______________________________________________________________ SNMP USERS ______________________________________________________________ User Auth Priv(enforce) Groups ____ ____ _____________ ______ user1 sha aes-128(yes) network-operator ______________________________________________________________ NOTIFICATION TARGET USERS (configured for sending V3 Inform) ______________________________________________________________ User Auth Priv ____ ____ ____
ksec-fpr9k-1-A(fxos)# show snmp host ------------------------------------------------------------------- Host Port Version Level Type SecName ------------------------------------------------------------------- 10.48.26.190 162 v3 priv trap user1 -------------------------------------------------------------------
Testar as solicitações do SNMP.
Você pode verificar a configuração e fazer uma solicitação do SNMP em qualquer dispositivo com os recursos do SNMP.
Para verificar como a solicitação do SNMP é processada, você pode usar a depuração do SNMP:
ksec-fpr9k-1-A(fxos)# debug snmp pkt-dump ksec-fpr9k-1-A(fxos)# 2017 Oct 16 17:11:54.681396 snmpd: 1281064976.000000:iso.10.10.1.1.10.10.10.10.1 = NULL SNMPPKTEND 2017 Oct 16 17:11:54.681833 snmpd: SNMPPKTSTRT: 3.000000 161 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89 2017 Oct 16 17:11:54.683952 snmpd: 1281064976.000000:iso.10.10.1.2.10.10.10.10.2.83886080 = STRING: "mgmt0" SNMPPKTEND 2017 Oct 16 17:11:54.684370 snmpd: SNMPPKTSTRT: 3.000000 162 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89
Cuidado: uma depuração pode afetar o desempenho do dispositivo.
Verifique a configuração usando a CLI:
FP2110-4 /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: Yes Sys Contact: Sys Location: FP2110-4 /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Version V3 Privilege Notification Type ------------------------ -------- ------- ------------ ----------------- 10.48.26.190 162 V2c Noauth Traps
Confirme o comportamento do SNMP.
Você pode verificar se é possível pesquisar o FXOS e enviar uma solicitação do SNMP em um host ou qualquer dispositivo com os recursos do SNMP.
Use o comando capture-traffic para ver a solicitação e a resposta do SNMP:
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 13:50:50.521383 IP 10.48.26.190.42224 > FP2110-4.snmp: C=cisco123 GetNextRequest(29) interfaces.ifTable.ifEntry.ifDescr 13:50:50.521533 IP FP2110-4.snmp > 10.48.26.190.42224: C=cisco123 GetResponse(32) interfaces.ifTable.ifEntry.ifDescr.1=[|snmp] ^C Caught interrupt signal Exiting. 2 packets captured 2 packets received by filter 0 packets dropped by kernel
Verifique a configuração usando a CLI:
FP2110-4 /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: No Sys Contact: Sys Location: FP2110-4 /monitoring # show snmp-user detail SNMPv3 User: Name: user1 Authentication type: Sha Password: **** Privacy password: **** Use AES-128: Yes FP2110-4 /monitoring # show snmp-trap detail SNMP Trap: SNMP Trap: 10.48.26.190 Port: 163 Version: V3 V3 Privilege: Priv Notification Type: Traps
Confirme o comportamento do SNMP.
Envie uma solicitação do SNMP para verificar se é possível pesquisar o FXOS.
Além disso, você pode capturar a solicitação:
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 14:07:24.016590 IP 10.48.26.190.38790 > FP2110-4.snmp: F=r U= E= C= [|snmp] 14:07:24.016851 IP FP2110-4.snmp > 10.48.26.190.38790: F= [|snmp][|snmp] 14:07:24.076768 IP 10.48.26.190.38790 > FP2110-4.snmp: F=apr [|snmp][|snmp] 14:07:24.077035 IP FP2110-4.snmp > 10.48.26.190.38790: F=ap [|snmp][|snmp] ^C4 packets captured Caught interrupt signal Exiting. 4 packets received by filter 0 packets dropped by kernel
Para verificar a configuração do SNMP do LINA do FTD:
Firepower-module1# show run snmp-server snmp-server host OUTSIDE3 10.62.148.75 community ***** version 2c no snmp-server location no snmp-server contact snmp-server community *****
A partir do FTD 6.6, você pode configurar e usar a interface de gerenciamento do FTD para SNMP:
firepower# show running-config snmp-server snmp-server group Priv v3 priv snmp-server group NoAuth v3 noauth snmp-server user uspriv1 Priv v3 engineID 80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 encrypted auth sha256 6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05:82:be:30:88:86:19:3c:96:42:3b :98:a5:35:1b:da:db priv aes 128 6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05 snmp-server user usnoauth NoAuth v3 engineID 80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 snmp-server host ngfw-management 10.225.126.168 community ***** version 2c snmp-server host ngfw-management 10.225.126.167 community ***** snmp-server host ngfw-management 10.225.126.186 version 3 uspriv1 no snmp-server location no snmp-server contact
Verificação adicional:
Firepower-module1# show snmp-server host host ip = 10.62.148.75, interface = OUTSIDE3 poll community ***** version 2c
Na CLI do servidor do SNMP, execute um snmpwalk:
root@host:/Volume/home/admin# snmpwalk -v2c -c cisco -OS 10.62.148.48 SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 10.2.3.1 (Build 43), ASA Version 9.9(2)4 SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2313 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8350600) 23:11:46.00 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: Firepower-module1 SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 4 IF-MIB::ifNumber.0 = INTEGER: 10 IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifIndex.6 = INTEGER: 6 IF-MIB::ifIndex.7 = INTEGER: 7 IF-MIB::ifIndex.8 = INTEGER: 8 IF-MIB::ifIndex.9 = INTEGER: 9 IF-MIB::ifIndex.10 = INTEGER: 10 IF-MIB::ifIndex.11 = INTEGER: 11 ...
Verificação das estatísticas de tráfego do SNMP.
Firepower-module1# show snmp-server statistics 1899 SNMP packets input 0 Bad SNMP version errors 0 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 1899 Number of requested variables 0 Number of altered variables 0 Get-request PDUs 1899 Get-next PDUs 0 Get-bulk PDUs 0 Set-request PDUs (Not supported) 1904 SNMP packets output 0 Too big errors (Maximum packet size 1500) 0 No such name errors 0 Bad values errors 0 General errors 1899 Response PDUs 5 Trap PDUs
A configuração do FXOS no FPR4100/9300 pode restringir o acesso do SNMP por endereço IP de origem. A seção de configuração da lista de acesso define quais redes/hosts podem acessar o dispositivo usando o SSH, HTTPS ou SNMP. Você precisa verificar se as consultas do SNMP no servidor do SNMP são permitidas.
ksec-fpr9k-1-A# scope system ksec-fpr9k-1-A /system # scope services ksec-fpr9k-1-A /system/services # enter ip-block 0.0.0.0 0 snmp ksec-fpr9k-1-A /system/services/ip-block* # commit-buffer
ksec-fpr9k-1-A /system/services # show ip-block Permitted IP Block: IP Address Prefix Length Protocol --------------- ------------- -------- 0.0.0.0 0 https 0.0.0.0 0 snmp 0.0.0.0 0 ssh
O Cisco SNMP Object Navigator é uma ferramenta on-line em que você pode converter as diferentes OIDs e obter uma breve descrição.
Use o comando show snmp-server oid na CLI do LINA do FTD para recuperar toda a lista de OIDs do LINA que podem ser pesquisadas.
> system support diagnostic-cli
firepower# show snmp-server oid ------------------------------------------------- [0] 10.10.1.10.10.10.1.1. sysDescr [1] 10.10.1.10.10.10.1.2. sysObjectID [2] 10.10.1.10.10.10.1.3. sysUpTime [3] 10.10.1.1.10.1.1.4. sysContact [4] 10.10.1.1.10.1.1.5. sysName [5] 10.10.1.1.10.1.1.6. sysLocation [6] 10.10.1.1.10.1.1.7. sysServices [7] 10.10.1.1.10.1.1.8. sysORLastChange
... [1081] 10.3.1.1.10.0.10.1.10.1.9. vacmAccessStatus [1082] 10.3.1.1.10.0.10.1.10.1. vacmViewSpinLock [1083] 10.3.1.1.10.0.10.1.10.2.1.3. vacmViewTreeFamilyMask [1084] 10.3.1.1.10.0.10.1.10.2.1.4. vacmViewTreeFamilyType [1085] 10.3.1.1.10.0.10.1.10.2.1.5. vacmViewTreeFamilyStorageType [1086] 10.3.1.1.10.0.10.1.10.2.1.6. vacmViewTreeFamilyStatus ------------------------------------------------- firepower#
Observação: o comando está oculto.
Estes são os geradores de caso do SNMP mais comuns observados pelo Cisco TAC:
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Recomendação sobre como solucionar problemas
Este é o processo recomendado para solucionar problemas do fluxograma de pesquisa SNMP LINA:
Análise detalhada
1. O pacote SNMP chega no FTD
O SNMP na interface de gerenciamento FTD (versão pós-6.6) usa a palavra-chave de gerenciamento:
firepower# show run snmp-server
snmp-server host management 192.168.2.100 community ***** version 2c
O SNMP nas interfaces de dados do FTD usa o nome da interface:
firepower# show run snmp-server
snmp-server host net201 192.168.2.100 community ***** version 2c
Capture na interface de gerenciamento do FTD:
> capture-traffic
Please choose domain to capture traffic from:
0 - management1
1 - management0
2 - Global
Selection? 1
Capture na interface de dados do FTD:
firepower# capture SNMP interface net201 trace match udp any any eq 161
Rastreamento de pacote de interface de dados FTD (pré 6.6/9.14.1):
Rastreamento de pacote de interface de dados FTD (pós 6.6/9.14.1):
2. Caso não veja pacotes SNMP nas capturas de entrada de FTD:
3. Você vê respostas SNMP de FTD?
Para verificar se o FTD responde, confira:
Verifique se há pacotes do SNMP com porta de origem 161:
firepower# show capture SNMP
75 packets captured
1: 22:43:39.568101 802.1Q vlan#201 P0 192.168.2.100.58255 > 192.168.2.50.161: udp 39
2: 22:43:39.568329 802.1Q vlan#201 P0 192.168.2.100.58255 > 192.168.2.50.161: udp 39
3: 22:43:39.569611 802.1Q vlan#201 P0 192.168.2.50.161 > 192.168.2.100.58255: udp 119
Nas versões posteriores à 6.6/9.14.1, você tem um ponto de captura adicional: Capturar na interface NLP tap. O IP NATed é do intervalo 162.254.x.x:
admin@firepower:~$ sudo tcpdump -i tap_nlp
listening on tap_nlp, link-type EN10MB (Ethernet), capture size 262144 bytes
16:46:28.372018 IP 192.168.2.100.49008 > 169.254.1.2.snmp: C="Cisc0123" GetNextRequest(28) E:cisco.9.109
16:46:28.372498 IP 192.168.1.2.snmp > 192.168.2.100.49008: C="Cisc0123" GetResponse(35) E:cisco.9.109.1.1.1.1.2.1=0
4. Controlos complementares
a. Para dispositivos Firepower 4100/9300, verifique a tabela de compatibilidade FXOS.
b. Verifique as estatísticas do servidor snmp LINA do FTD:
firepower# clear snmp-server statistics
firepower# show snmp-server statistics
379 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
351 Number of requested variables <- SNMP requests in
…
360 SNMP packets output
0 Too big errors (Maximum packet size 1500)
0 No such name errors
0 Bad values errors
0 General errors
351 Response PDUs <- SNMP replies out
9 Trap PDUs
c. Tabela de conexão LINA FTD
Essa verificação é muito útil caso você não veja pacotes na captura na interface de ingresso do FTD. Observe que essa é uma verificação válida somente para o SNMP na interface de dados. Se o SNMP estiver na interface de gerenciamento (pós-6.6/9.14.1), nenhuma conexão será criada.
firepower# show conn all protocol udp port 161
13 in use, 16 most used
...
UDP nlp_int_tap 192.168.1.2:161 net201 192.168.2.100:55048, idle 0:00:21, bytes 70277, flags -c
d. FTD LINA syslogs
Esta também é uma verificação válida apenas para SNMP na interface de dados. Se o SNMP estiver na interface de gerenciamento, o registro não será criado:
firepower# show log | i 302015.*161
Jul 13 2021 21:24:45: %FTD-6-302015: Built inbound UDP connection 5292 for net201:192.0.2.100/42909 (192.0.2.100/42909) to nlp_int_tap:169.254.1.2/161 (192.0.2.50/161)
e. Verifique se o FTD descarta os pacotes SNMP devido ao IP de origem do host incorreto
f. Credenciais incorretas (comunidade SNMP)
No conteúdo da captura, você pode ver os valores da comunidade (SNMP v1 e 2c):
g. Configuração incorreta (por exemplo, versão de SNMP ou sequência de caracteres de comunidade)
Há algumas maneiras de verificar a configuração do SNMP do dispositivo e as strings de comunidade:
firepower# more system:running-config | i community
snmp-server host net201 192.168.2.100 community cISCO123 version 2c
Outra maneira:
firepower# debug menu netsnmp 4
h. Descartes de FTD LINA/ASA ASP
Esta é uma verificação útil para ver se os pacotes do SNMP foram descartados pelo FTD. Primeiro, limpe os contadores (clear asp drop) e depois teste:
firepower# clear asp drop
firepower# show asp drop
Frame drop:
No valid adjacency (no-adjacency) 6
No route to host (no-route) 204
Flow is denied by configured rule (acl-drop) 502
FP L2 rule drop (l2_acl) 1
Last clearing: 19:25:03 UTC Aug 6 2021 by enable_15
Flow drop:
Last clearing: 19:25:03 UTC Aug 6 2021 by enable_15
i. Capturas ASP
As capturas do ASP fornecem visibilidade dos pacotes descartados (por exemplo, ACL ou adjacência):
firepower# capture ASP type asp-drop all
Teste e verifique o conteúdo da captura:
firepower# show capture
capture ASP type asp-drop all [Capturing - 196278 bytes]
j. SNMP core (traceback) - modo de verificação 1
Esta verificação será útil caso você suspeite de problemas de estabilidade do sistema:
firepower# show disk0: | i core
13 52286547 Jun 11 2021 12:25:16 coredumpfsys/core.snmpd.6208.1626214134.gz
Núcleo do SNMP (traceback) – forma de verificação 2
admin@firepower:~$ ls -l /var/data/cores
-rw-r--r-- 1 root root 685287 Jul 14 00:08 core.snmpd.6208.1626214134.gz
Se você vir um arquivo de núcleo do SNMP, colete estes itens e entre em contato com o Cisco TAC:
Depurações do SNMP (estes são comandos ocultos e disponíveis somente nas versões mais recentes):
firepower# debug snmp trace [255]
firepower# debug snmp verbose [255]
firepower# debug snmp error [255]
firepower# debug snmp packet [255]
A resposta do SNMP do firewall chega ao servidor?
Se o FTD responder, mas a resposta não chegar ao servidor, verifique:
a. Roteamento FTD
Para o roteamento da interface de gerenciamento do FTD:
> show network
Para o roteamento da interface de dados do LINA do FTD:
firepower# show route
b. Verificação MAC de destino
Verificação do MAC de destino do gerenciamento do FTD:
> capture-traffic
Please choose domain to capture traffic from:
0 - management1
1 - management0
2 - Global
Selection? 1
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n -e udp port 161
01:00:59.553385 a2:b8:dc:00:00:02 > 5c:fc:66:36:50:ce, ethertype IPv4 (0x0800), length 161: 10.62.148.197.161 > 10.62.184.23.49704: C="cisco" GetResponse(105) .1.10.1.1.1.1.1.1.0="Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3"
Verificação do MAC de destino da interface de dados do LINA do FTD:
firepower# show capture SNMP detail
...
6: 01:03:01.391886 a2b8.dc00.0003 0050.5685.3ed2 0x8100 Length: 165
802.1Q vlan#201 P0 192.168.21.50.161 > 192.168.21.100.40687: [udp sum ok] udp 119 (DF) (ttl 64, id 42429)
c. Verifique os dispositivos ao longo do caminho que potencialmente descartam/bloqueiam os pacotes SNMP.
Verifique o servidor do SNMP
a. Verifique o conteúdo da captura para verificar as configurações.
b. Verifique a configuração do servidor.
c. Tente modificar o nome da comunidade SNMP (por exemplo, sem caracteres especiais).
Você pode usar um host final ou até mesmo o FMC para testar a pesquisa, desde que as duas condições sejam atendidas:
admin@FS2600-2:~$ snmpwalk -c cisco -v2c 192.0.2.197
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3
Considerações de pesquisa SNMPv3
A pesquisa SNMPv3 ASA/FTD pode falhar usando os algoritmos de privacidade AES192/AES256
Falha na execução do bug da Cisco ID CSCvx45604 Snmpv3 walk no usuário com auth sha e priv aes 192
Observação: se o SNMPv3 falhar devido a uma incompatibilidade de algoritmo, as saídas show e os registros não mostrarão nada óbvio
Considerações sobre a pesquisa do SNMPv3 – Estudos de caso
admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a SHA -A Cisco123 -x AES -X Cisco123 192.168.21.50
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2315
Na captura (snmpwalk), você verá uma resposta para cada pacote:
O arquivo de captura não mostra nada incomum:
Dica #1: há um tempo limite:
admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a SHA -A Cisco123 -x DES -X Cisco123 192.168.21.50
Timeout: No Response from 192.168.2.1
Dica #2: há muitas solicitações e 1 resposta:
Dica #3: falha na descriptografia do Wireshark:
Dica 4. Verifique o arquivo ma_ctx2000.log para ver as mensagens "erro ao analisar ScopePDU":
> expert
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log
security service 3 error parsing ScopedPDU
security service 3 error parsing ScopedPDU
security service 3 error parsing ScopedPDU
O erro de análise de ScopedPDU é uma dica forte de um erro de criptografia. O arquivo ma_ctx2000.log mostra eventos somente para SNMPv3!
Dica #1: falha na autenticação
admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a MD5 -A Cisco123 -x AES -X Cisco123 192.168.21.50
snmpwalk: Authentication failure (incorrect password, community or key)
Dica #2: há muitas solicitações e respostas
Dica #3: Pacote Malformado do Wireshark
Dica 4. Verifique o arquivo ma_ctx2000.log para ver as mensagens "Falha na autenticação":
> expert
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log
Authentication failed for Cisco123
Authentication failed for Cisco123
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Solução de problemas recomendada
Este é o processo para solucionar problemas do fluxograma de polling SNMP FXOS:
1. Você vê pacotes SNMP em capturas FXOS?
FPR1xxx/21xx
> capture-traffic
Please choose domain to capture traffic from:
0 - management0
1 - Global
Selection? 0
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 192.0.2.100 and udp port 161
41xx/9300
firepower# connect fxos
firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 161" limit-captured-frames 50 write workspace:///SNMP.pcap
firepower(fxos)# exit
firepower# connect local-mgmt
firepower(local-mgmt)# dir
1 11152 Jul 26 09:42:12 2021 SNMP.pcap
firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap
2. Nenhum pacote nas capturas FXOS?
3. Respostas FXOS?
> capture-traffic
...
Options: -n host 192.0.2.23 and udp port 161
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:17:25.952457 IP 192.168.2.23.36501 > 192.168.2.28.161: C="Cisco123" GetNextRequest(25) .10.3.1.1.2.1
08:17:25.952651 IP 192.168.2.28.161 > 192.168.2.23.36501: C="Cisco123" GetResponse(97) .1.10.1.1.1.1.1.1.0="Cisco Firepower FPR-1150 Security Appliance, System Version 2.10(1.1)"
Verificações adicionais
firepower# scope monitoring
firepower /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: Yes
FP4145-1# connect fxos
FP4145-1(fxos)# show running-config snmp all
FP4145-1(fxos)# show snmp community
Community Group / Access context acl_filter
--------- -------------- ------- ----------
Cisco123 network-operator
4. Caso a FXOS não responda
Verifique os contadores do SNMP do FXOS:
Se o tráfego for bloqueado pela ACL FXOS, você verá as solicitações, mas não verá nenhuma resposta:
firepower(fxos)# ethanalyzer local interface mgmt capture-filter
"udp port 161" limit-captured-frames 50 write workspace:///SNMP.pcap
Capturing on 'eth0'
1 2021-07-26 11:56:53.376536964 192.0.2.23 → 192.168.2.37 SNMP 84 get-next-request 10.3.1.10.2.1
2 2021-07-26 11:56:54.377572596 192.0.2.23 → 192.168.2.37 SNMP 84 get-next-request 10.10.1.10.1.1
3 2021-07-26 11:56:55.378602241 192.0.2.23 → 192.168.2.37 SNMP 84 get-next-request 10.3.1.10.2.1
Você pode verificar a ACL do FXOS na interface do usuário:
Você também pode verificar a ACL do FXOS na CLI:
firepower# scope system
firepower /system # scope services
firepower /system/services # show ip-block detail
Permitted IP Block:
IP Address: 0.0.0.0
Prefix Length: 0
Protocol: snmp
FP4145-1# connect fxos
FP4145-1(fxos)# terminal monitor
FP4145-1(fxos)# debug snmp pkt-dump
2021 Aug 4 09:51:24.963619 snmpd: SNMPPKTSTRT: 1.000000 161 495192988.000000 0.000000 0.000000 0.000000 0 0 2 1 0 Cisco123 8 remote ip,v4: snmp_44048_192.0.2.23 0 0 0 0 0 0 0 15
FP4145-1(fxos)# debug snmp all
2021 Aug 4 09:52:19.909032 snmpd: SDWRAP message Successfully processed
2021 Aug 4 09:52:21.741747 snmpd: Sending it to SDB-Dispatch
2021 Aug 4 09:52:21.741756 snmpd: Sdb-dispatch did not process
FXOS# show fault
Severity Code Last Transition Time ID Description
--------- -------- ------------------------ -------- -----------
Warning F78672 2020-04-01T21:48:55.182 1451792 [FSM:STAGE:REMOTE-ERROR]: Result: resource-unavailable Code: unspecified Message: Failed to set SNMP user (sam:dme:CommSvcEpUpdateSvcEp:SetEpLocal)
No FPR41xx/FPR9300:
firepower# connect local-mgmt
firepower(local-mgmt)# dir cores
1 1983847 Apr 01 17:26:40 2021 core.snmpd.10012.1585762000.gz
1 1984340 Apr 01 16:53:09 2021 core.snmpd.10018.1585759989.gz
No FPR1xxx/21xx:
firepower(local-mgmt)# dir cores_fxos
Se houver núcleos de snmpd, colete os núcleos juntamente com o pacote de solução de problemas do FXOS e entre em contato com o Cisco TAC.
5. A resposta SNMP chega ao servidor SNMP?
Esta saída é do FPR41xx/9300:
firepower# show fabric-interconnect
Fabric Interconnect:
ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability Ingress VLAN Group Entry Count (Current/Max) Switch Forwarding Path Entry Count (Current/Max)
---- --------------- --------------- --------------- ---------------- ---------------- ------ ----------- --------------------------------------------
A 192.168.2.37 192.168.2.1 10.255.255.128 :: :: 64 Operable 0/500 14/1021
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Como encontrar os valores de OID do SNMP
Estes documentos fornecem informações sobre as OIDs do SNMP nos dispositivos Firepower:
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/mib/b_FXOS_4100_9300_MIBRef.html
firepower# show snmp-server ?
engineID Show snmp engineID
group Show snmp groups
host Show snmp host's
statistics Show snmp-server statistics
user Show snmp users
firepower# show snmp-server oid <- hidden option!
[1] .1.10.1.1.10.1.2.1 IF-MIB::ifNumber
[2] .1.10.1.1.1.10.2.2.1.1 IF-MIB::ifIndex
[3] .1.10.1.1.1.10.2.2.1.2 IF-MIB::ifDescr
[4] .1.10.1.1.1.10.2.2.1.3 IF-MIB::ifType
https://snmp.cloudapps.cisco.com/Support/SNMP/do/BrowseOID.do?local=en
FP4145-1# connect fxos
FP4145-1(fxos)# show snmp internal oids supported create
FP4145-1(fxos)# show snmp internal oids supported
- SNMP All supported MIB OIDs -0x11a72920
Subtrees for Context:
ccitt
1
1.0.88010.1.1.1.1.1.1 ieee8021paeMIB
1.0.88010.1.1.1.1.1.2
...
Referência rápida de OIDs comuns
Requisitos |
OID |
CPU (LINA) |
1.3.6.1.4.1.9.9.109.1.1.1 |
CPU (Snort) |
1.3.6.1.4.1.9.9.109.1.1.1 (FP >= 6,7) |
Memória (LINA) |
1.3.6.1.4.1.9.9.221.1.1 |
Memória (Linux/FMC) |
1.3.6.1.1.4.1.2021.4 |
Informações de HA |
1.3.6.1.4.1.9.9.491.1.4.2 |
Informações de cluster |
1.3.6.1.4.1.9.9.491.1.8.1 |
Informações de VPN |
Sessões de número RA-VPN: 1.3.6.1.4.1.9.9.392.1.3.1 (7.x) Número de usuários de RA-VPN: 1.3.6.1.4.1.9.9.392.1.3.3 (7.x) Sessões de pico de número RA-VPN: 1.3.6.1.4.1.9.9.392.1.3.41 (7.x) Sessões de número de VPN S2S: 1.3.6.1.4.1.9.9.392.1.3.29 Sessões de pico de número de VPN S2S: 1.3.6.1.4.1.9.9.392.1.3.31 - Dica: firepower# show snmp-server oid | eu gosto |
Status de BGP |
ID de bug ENH Cisco CSCux13512 : Add BGP MIB for SNMP polling |
Smart Licensing do ASA/ASAv do FPR1K/2K |
ID de bug da Cisco ENH CSCv83590 : ASAv/ASA no FPR1k/2k: É necessário o SNMP OID para rastrear o status do Smart Licensing |
OIDs do SNMP do LINA para port-channel no nível do FXOS |
ID de bug da Cisco ENH CSCvu91544 : Suporte para OIDs SNMP Lina para estatísticas de interface de canal de porta de nível FXOS |
FMC 7.3 Adições (para FMC 1600/2600/4600 e mais recente)
Requisitos |
OID |
Trava de status do ventilador |
OID de interceptação: 1.3.6.1.4.1.9.9.117.2.0.6 Valor OID: 1.3.6.1.4.1.9.9.117.1.4.1.1.1.<index> 0 - ventilador não está funcionando 1 - o ventilador está funcionando |
armadilha de temperatura de CPU/PSU |
OID de interceptação: 1.3.6.1.4.1.9.9.91.2.0.1 OID de limite: 1.3.6.1.4.1.9.9.91.1.2.1.1.4.<índice>.1 Valor OID: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.<index> |
armadilha de status de PSU |
OID de interceptação: 1.3.6.1.4.1.9.9.117.2.0.2 OperStatus OID: 1.3.6.1.4.1.9.9.117.1.1.2.1.2.<índice> OID do status do administrador: 1.3.6.1.4.1.9.9.117.1.1.2.1.1.<index> 0 - presença de fonte de alimentação não detectada 1 - presença de fonte de alimentação detectada, ok |
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Solução de problemas recomendada
Este é o processo para solucionar problemas de fluxograma para problemas de interceptação SNMP do Firepower:
1. Você vê interceptações SNMP na captura de saída?
Para capturar as interceptações do LINA/ASA na interface de gerenciamento:
> capture-traffic
Please choose domain to capture traffic from:
0 - management0
1 - Global
Selection? 0
Options: -n host 192.168.2.100 and udp port 162
Para capturar as interceptações do LINA/ASA na interface de dados:
firepower# capture SNMP interface net208 match udp any any eq 162
Para capturar as interceptações do FXOS (41xx/9300):
firepower# connect fxos
firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" limit-captured-frames 500 write workspace:///SNMP.pcap
1 2021-08-02 11:22:23.661436002 10.62.184.9 → 10.62.184.23 SNMP 160 snmpV2-trap 10.3.1.1.2.1.1.3.0 10.3.1.1.6.3.1.1.4.1.0
firepower(fxos)# exit
firepower# connect local-mgmt
firepower(local-mgmt)# dir
1 11134 Aug 2 11:25:15 2021 SNMP.pcap
firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap
2. Se você não vir pacotes na interface de saída
firepower# show run all snmp-server
snmp-server host ngfw-management 10.62.184.23 version 3 Cisco123 udp-port 162
snmp-server host net208 192.168.208.100 community ***** version 2c udp-port 162
snmp-server enable traps failover-state
Configuração de interceptações do SNMP do FXOS:
FP4145-1# scope monitoring
FP4145-1 /monitoring # show snmp-trap
SNMP Trap:
SNMP Trap Port Community Version V3 Privilege Notification Type
------------------- ------- --------------- ----------- ---------------- -----------------
192.168.2.100 162 **** V2c Noauth Traps
Observação: em 1xxx/21xx, você verá essas configurações somente no caso de Devices > Device Management > SNMP config!
> show network
firepower# show route
FP4145-1# show fabric-interconnect
firepower# show snmp-server statistics | i Trap
20 Trap PDUs
E FXOS:
FP4145-1# connect fxos
FP4145-1(fxos)# show snmp | grep Trap
1296 Out Traps PDU
Verificações adicionais
Outras questões a verificar:
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Como solucionar problemas
Este é o processo para solucionar problemas do fluxograma do FMC SNMP:
1. O pacote SNMP chega ao FMC?
admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:58:45.961836 IP 192.168.2.10.57076 > 192.168.2.23.161: C="Cisco123" GetNextRequest(28) .10.3.1.1.4.1.2021.4
Dica: salve a captura no diretório FMC /var/common/ e baixe-a da interface do usuário do FMC
admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n -w /var/common/FMC_SNMP.pcap
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C46 packets captured
46 packets received by filter
O FMC responde?
Se o FMC não responder, verifique:
Se o FMC não responder, verifique:
admin@FS2600-2:~$ sudo pmtool status | grep snmpd
snmpd (normal) - Running 12948
Command: /usr/sbin/snmpd -c /etc/snmpd.conf -Ls daemon -f -p /var/run/snmpd.pid
PID File: /var/run/snmpd.pid
Enable File: /etc/snmpd.conf
admin@FS2600-2:~$ ls -al /var/common | grep snmpd
-rw------- 1 root root 5840896 Aug 3 11:28 core_1627990129_FS2600-2_snmpd_3.12948
admin@FS2600-2:~$ sudo cat /etc/snmpd.conf
# additional user/custom config can be defined in *.conf files in this folder
includeDir /etc/snmp/config.d
engineIDType 3
agentaddress udp:161,udp6:161
rocommunity Cisco123
rocommunity6 Cisco123
Observação: se o SNMP estiver desativado, o arquivo snmpd.conf não existirá
Nas versões anteriores a 6.4.0-9 e anteriores a 6.6.0, o FMC em standby não envia os dados do SNMP (o snmpd está no status Aguardando). Este é um comportamento esperado. Verificar aprimoramento ID de erro da Cisco CSCvs32303
Não é possível configurar o SNMP
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Como abordar os problemas de configuração do SNMP
Primeiras Coisas Primeiro: Documentação!
Tome conhecimento dos vários documentos do SNMP.
SNMP do FMC:
SNMP do FXOS:
Configuração do SNMP do Firepower 41xx/9300:
Configuração do SNMP do Firepower 1xxx/21xx:
Descrições dos problemas (exemplo de casos reais do Cisco TAC):
Como abordar os problemas de configuração do SNMP do FDM
1xxx/21xx/41xx/9300 (LINA/ASA) – O que coletar antes de abrir um caso com o Cisco TAC
Comando |
Descrição |
firepower# show run snmp-server |
Verificar a configuração do SNMP do LINA do ASA/FTD. |
firepower# show snmp-server statistics |
Verifique as estatísticas do SNMP no LINA do ASA/FTD. Concentre-se nos contadores de entrada e saída de pacotes do SNMP. |
> capture-traffic |
Capture o tráfego na interface de gerenciamento. |
firepower# capture SNMP-POLL interface net201 trace match udp any any eq 161 |
Capturar o tráfego na interface de dados (nomeif ‘net201’) para UDP 161 (poll SNMP). |
firepower# capture SNMP-TRAP interface net208 match udp any any eq 162 |
Capturar o tráfego na interface de dados (nomese ‘net208’) para UDP 162. (interceptações SNMP). |
firepower# show capture SNMP-POLL packet-number 1 trace |
Rastreie um pacote SNMP de entrada que chega à interface de dados ASA/FTD LINA. |
admin@firepower:~$ sudo tcpdump -i tap_nlp |
Capturar na interface de toque interna NLP (Non-Line Process). |
firepower# show conn all protocol udp port 161 |
Verifique todas as conexões LINA ASA/FTD no UDP 161 (pesquisa SNMP). |
firepower# show log | i 302015.*161 |
Verifique o registro 302015 do LINA do ASA/FTD para pesquisa do SNMP. |
firepower# more system:running-config | i comunidade |
Verifique a string de comunidade do SNMP. |
firepower# debug menu netsnmp 4 |
Verifique a configuração do SNMP e a ID do processo. |
firepower# show asp table classify interface net201 domain permit match port=161 |
Verifique as contagens de ocorrências na ACL de SNMP na interface chamada ‘net201’. |
firepower# show disk0: | i núcleo |
Verifique se há núcleos do SNMP. |
admin@firepower:~$ ls -l /var/data/cores |
Verifique se há núcleos do SNMP. Aplicável somente no FTD. |
firepower# show route |
Verifique a tabela de roteamento do LINA do ASA/FTD. |
> show network |
Verifique a tabela de roteamento do plano de gerenciamento do FTD. |
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log |
Verifique/solucione problemas do SNMPv3 no FTD. |
firepower# debug snmp trace [255] firepower# debug snmp verbose [255] firepower# debug snmp error [255] firepower# debug snmp packet [255] |
Comandos ocultos nas versões mais recentes. Depurações internas, úteis para solucionar problemas do SNMP com o Cisco TAC. |
41xx/9300 (FXOS) – O que coletar antes de abrir um caso com o Cisco TAC
Comando |
Descrição |
firepower# connect fxos firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 161" limit-captured-frames 50 write workspace:///SNMP-POLL.pcap firepower(fxos)# exit firepower# connect local-mgmt firepower(local-mgmt)# dir 1 11152 Jul 26 09:42:12 2021 SNMP.pcap firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap |
Captura do FXOS para pesquisa do SNMP (UDP 161) Carregue em um servidor remoto do FTP IP FTP: 192.0.2.100 Nome de usuário do FTP: ftp |
firepower# connect fxos firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" limit-captured-frames 50 write workspace:///SNMP-TRAP.pcap |
Captura do FXOS para interceptações do SNMP (UDP 162) |
firepower# scope system firepower /system # scope services firepower /system/services # show ip-block detail |
Verifique a ACL do FXOS |
firepower# show fault |
Verifique se há falhas do FXOS |
firepower# show fabric-interconnect |
Verifique a configuração de interface e as configurações de gateway padrão do FXOS |
firepower# connect fxos firepower(fxos)# show running-config snmp all |
Verifique a configuração do SNMP do FXOS |
firepower# connect fxos firepower(fxos)# show snmp internal oids supported create firepower(fxos)# show snmp internal oids supported |
Verifique as OIDs do SNMP do FXOS |
firepower# connect fxos firepower(fxos)# show snmp |
Verifique as configurações e os contadores do SNMP do FXOS |
firepower# connect fxos firepower(fxos)# terminal monitor firepower(fxos)# debug snmp pkt-dump firepower(fxos)# debug snmp all |
Depuração do SNMP do FXOS ('packets' ou 'all') Use 'terminal no monitor' e 'undebug all' para pará-lo |
1xxx/21xx (FXOS) – O que coletar antes de abrir um caso com o Cisco TAC
Comando |
Descrição |
> capture-traffic |
Capture o tráfego na interface de gerenciamento |
> show network |
Verifique a tabela de roteamento do plano de gerenciamento do FTD |
firepower# scope monitoring firepower /monitoring # show snmp [host] firepower /monitoring # show snmp-user [detail] firepower /monitoring # show snmp-trap |
Verifique a configuração do SNMP do FXOS |
firepower# show fault |
Verifique se há falhas do FXOS |
firepower# connect local-mgmt firepower(local-mgmt)# dir cores_fxos firepower(local-mgmt)# dir cores |
Verifique se há arquivos de núcleo do FXOS (tracebacks) |
FMC – O que coletar antes de abrir um caso com o Cisco TAC
Comando |
Descrição |
admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n |
Capture o tráfego na interface de gerenciamento para pesquisa do SNMP |
admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n -w /var/common/FMC_SNMP.pcap |
Capture o tráfego na interface de gerenciamento para pesquisa do SNMP e salve-o em um arquivo |
admin@FS2600-2:~$ sudo pmtool status | grep SNMP |
Verifique o status de processo do SNMP |
admin@FS2600-2:~$ ls -al /var/common | grep SNMP |
Verifique se há arquivos de núcleo do SNMP (tracebacks) |
admin@FS2600-2:~$ sudo cat /etc/snmpd.conf |
Verifique o conteúdo do arquivo de configuração do SNMP |
Exemplos de snmpwalk
Estes comandos podem ser usados para verificação e solução de problemas:
Comando |
Descrição |
# snmpwalk -c Cisco123 -v2c 192.0.2.1 |
Busca todas as OIDs no host remoto usando o SNMP v2c. Cisco123 = string de comunidade 192.0.2.1 = host de destino |
# snmpwalk -v2c -c Cisco123 -OS 192.0.2.1 10.3.1.1.4.1.9.9.109.1.1.1.1.3 iso.3.6.1.4.1.9.9.109.1.1.1.1.3.1 = Medidor32: 0 |
Busca uma OID específica no host remoto usando o SNMP v2c |
# snmpwalk -c Cisco123 -v2c 192.0.2.1 .10.3.1.1.4.1.9.9.109.1.1.1.1 -On .10.3.1.1.4.1.9.9.109.1.1.1.1.6.1 = Medidor32: 0 |
Mostra as OIDs buscadas no formato numérico |
# snmpwalk -v3 -l authPriv -u cisco -a SHA -A Cisco123 -x AES -X Cisco123 192.0.2.1 |
Busca todas as OIDs no host remoto usando o SNMP v3. Usuário do SNMPv3 = cisco Autenticação do SNMPv3 = SHA. Autorização do SNMPv3 = AES |
# snmpwalk -v3 -l authPriv -u cisco -a MD5 -A Cisco123 -x AES -X Cisco123 192.0.2.1 |
Busca todas as OIDs no host remoto usando o SNMP v3 (MD5 e AES128) |
# snmpwalk -v3 -l auth -u cisco -a SHA -A Cisco123 192.0.2.1 |
Somente SNMPv3 com autenticação |
Produtos mais comuns:
Revisão | Data de publicação | Comentários |
---|---|---|
6.0 |
19-Oct-2023 |
PII removido, texto alternativo de imagem atualizado, erros de introdução corrigidos, tradução automática, requisitos de estilo e fundamentos. Formatação e gramática atualizadas. |
2.0 |
26-Oct-2021 |
Texto alternativo da imagem atualizado. |
1.0 |
03-Oct-2021 |
Versão inicial |