助け合いフォーラム
CMLサーバ上で、snmpv3のauthでtrapの検証を行っているのですがどうしてもうまくいきません。
v2cまでは問題なく設定できたのですが・・・
検証環境としては、Routerを6台配置し、各ルータはEIGRPでルートを学習しています。
Router0をsnmp managerとし、その他のRouterで検知したeigrpをRouter0に通知することが目的です。
グループは「authgroup」、ユーザは「authuser」としています。
snmpの設定に関する部分のコンフィグは以下になります。
◆Router0
Router0#show archive log config all
idx sess user@line Logged command
63 1 console@console | logging enable
64 1 console@console | exit
65 1 console@console | exit
66 1 console@console |snmp-server group authgroup v3 auth
67 1 console@console |snmp-server user authuser authgroup v3 auth sha authpass
Router0#
Router0#show snmp user
User name: authuser
Engine ID: 80000009030052540026ADFF
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: authgroup
Router0#
Router0#show snmp group
groupname: ILMI security model:v1
contextname: <no context specified> storage-type: permanent
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active
groupname: ILMI security model:v2c
contextname: <no context specified> storage-type: permanent
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active
groupname: authgroup security model:v3 auth
contextname: <no context specified> storage-type: nonvolatile
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active
Router0#
Router0#show run | sec snmp
mmi snmp-timeout 180
snmp-server group authgroup v3 auth
snmp-server chassis-id
snmp-server manager
Router0#
◆Router3
Router3#show archive log config all
idx sess user@line Logged command
61 1 console@console | logging enable
62 1 console@console | exit
63 1 console@console | exit
64 1 console@console |snmp-server group authgroup v3 auth
65 1 console@console |snmp-server user authuser authgroup v3 auth sha authpass
66 1 console@console |snmp-server host 1.1.1.1 version 3 auth authuser eigrp
Router3#
Router3#show snmp user
User name: authuser
Engine ID: 8000000903005254002CEFEF
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: None
Group-name: authgroup
Router3#
Router3#show snmp grou
Router3#show snmp group
groupname: ILMI security model:v1
contextname: <no context specified> storage-type: permanent
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active
groupname: ILMI security model:v2c
contextname: <no context specified> storage-type: permanent
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active
groupname: authgroup security model:v3 auth
contextname: <no context specified> storage-type: nonvolatile
readview : v1default writeview: <no writeview specified>
notifyview: *tv.00000000.00000000.10000000.0
row status: active
Router3#
Router3#show run | sec snmp
mmi snmp-timeout 180
snmp-server group authgroup v3 auth
snmp-server chassis-id
snmp-server enable traps eigrp
snmp-server host 1.1.1.1 version 3 auth authuser eigrp
Router3#
Router3でneighborダウンさせて、Router0に表示されるdebugは以下のようになります。
Router3(config)#int g0/1
Router3(config-if)#
Router3(config-if)#sh
Router3(config-if)#
*Jun 18 10:18:24.528: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.50.1 (GigabitEthernet0/1) is down: interface down
Router3(config-if)#
*Jun 18 10:18:26.479: %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to administratively down
*Jun 18 10:18:27.479: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
Router3(config-if)#
~
Router0#
*Jun 18 10:18:23.989: SNMP: Packet received via UDP from 192.168.70.2 on GigabitEthernet0/2SrParseV3SnmpMessage:Wrong User Name.
SrParseV3SnmpMessage: Failed.
Router0#
どなたかご教示お願いします。
t
tym78
2025/06/19 18:01
Router0でユーザとリモートホストの関連付けが不足しているのではないでしょうか?
snmp-server engineID remote <agent-IP> <engineID>
snmp-server user authuser authgroup remote <agent-IP> v3 auth sha authpass
こちらの設定例が参考になると思います。
Ciscoのコンフィグレーションガイド
コメント
2025/06/19 23:10
ありがとうございます。
上記のコマンドも入れて試してみましたがうまくいきませんでした・・・
一応、こちらはエージェント側で指定するもの、でよろしかったでしょうか?
エージェントでshowコマンドを確認する限り問題なさそうで、ユーザ作成を行う前の一番初めの段階でEngineIDを指定しています。
Router5#show snmp engineID
Local SNMP engineID: 800000090300525400CC76DD
Remote Engine ID IP-addr Port
8000000903005254008F42A5 remote 1.1.1.1 162
Router5#
マネージャ側でエージェントのEngineIDの指定などはない認識なのですが何か見落としているのでしょうか。
ちなみに、パケットキャプチャで認証をしていると思われる部分が以下の通りだったのですが、何か関係ありますでしょうか。
~
▶msgAuthoritativeEngineID: 800000090300525400cc76dd
1... .... = Engine ID Conformance: RFC3411 (SNMPv3)
Engine Enterprise ID: ciscoSystems (9)
Engine ID Format: MAC address (3)
Engine ID Data: Cisco type: Agent (0x00)
Engine ID Data: MAC address: 52:54:00:cc:76:dd (52:54:00:cc:76:dd)
msgAuthoritativeEngineBoots: 2
msgAuthoritativeEngineTime: 945
msgUserName: authuser
msgAuthenticationParameters: f477ef40b2acef671ef86e31
msgPrivacyParameters: <MISSING>
~
コメント
この投稿に対して返信しませんか?
m mizobatarics
2025/06/18 19:22
書き忘れたのですが、Router0のLoopback 0 のアドレスが1.1.1.1になります。