87509414-practica3a

Semestre 2010-II

Capítulo 2 ORGANIZACIÓN

Práctica 3A Administración de Redes Administración con SNMP 1

PRÁCTICA 3A Administración con SNMP

1.- Objetivo de aprendizaje

El alumno analizará y explorará el significado y utilidad de los diferentes objetos de la

MIB-II, consultando los valores a un agente SNMP con ayuda del software MG-SOFT

MIB Browser.

El alumno aprenderá a través de la interfaz de línea de comando, a configurar el

protocolo de mantenimiento SNMP, en routers Cisco.

El alumno aprenderá a crear una ACL, Lista de Control de Acceso (Access Control

List) sencilla para configurar el protocolo de mantenimiento SNMP.

2.- Conceptos teóricos

SNMP, Protocolo Simple de Administración (Simple Network Manager Protocol) es un

protocolo del nivel de aplicación que proporciona una estructura de mensajes para el

intercambio de información entre administradores y agentes SNMP, es decir proporciona un

entorno de trabajo estandarizado y un lenguaje común empleado para el monitoreo y

administración de dispositivos de la red. El protocolo SNMP se conforma de 3 elementos:

a. Un administrador SNMP, sistema empleado para controlar la actividad de los

componentes de la red mediante SNMP, regularmente denominado NMS, Sistema de

Administración de Red (Network Management System).

b. Un agente SNMP, es el componente software dentro del dispositivo administrado que

mantiene los datos del mismo e informa al administrador acerca de ellos, cuando se

requiere. Contiene variables de la MIB cuyos valores pueden ser solicitados o

modificados por el administrador SNMP, mediante operaciones get y set.

c. Una MIB, es una colección de objetos de información de administración, residente en

el dispositivo administrado. Sus colecciones de objetos están definidos como módulos

escritos en un lenguaje especial.

El protocolo funciona de la siguiente manera: el administrador puede leer un valor de un

agente o almacenar un valor en dicho agente, éste último obtiene los datos de la MIB, donde

se almacenan los parámetros del dispositivo y datos del funcionamiento de la red. El agente

responde a las solicitudes de los administradores y les puede enviar notificaciones no

solicitadas, en forma de informes o interrupciones (traps) para dar a conocer las condiciones

de la red. Existen 6 operaciones básicas que se realizan entre administradores y agentes

SNMP, las cuales se resumen en la Tabla No. 3.1.

Tabla No. 3.1 Operaciones básicas entre agentes y administradores SNMP

Operación Funcionamiento

get-request Solicita el valor de una variable específica.

get-next-request Solicita el valor de una variable sin conocer su nombre, se emplea en búsqueda secuencial en tablas.

get-bulk-request Solicita bloques grandes de datos, por ejemplo varias filas de una tabla.

get-response Es la respuesta a una petición get-request, get-next-request o set-request.

inform-request Permite la comunicación entre administradores SNMP.

trap Se refiere a los mensajes no solicitados enviados por los agentes al administrador SNMP si ocurre algún evento inesperado.

Semestre 2010-II



Nota: El protocolo SNMP funciona de acuerdo al modelo cliente/servidor, donde el proceso

servidor se ejecuta en los agentes y permanece escuchando las peticiones por parte del

administrador SNMP.

3.- Equipo y material necesario 3.1 Equipo del Laboratorio

PC’s Pentium con una NIC Ethernet 10/100 Mbps instalada en cada una de ellas.

Switch 3COM Ethernet 10BaseT o FastEthernet (24 puertos).

Routers Cisco 2811.

Routers 3Com 870

Software de análisis de MIB, MG-SOFT MIB Browser.

5 cables de consola de router RJ45-Serial.

4.- Desarrollo

4.1 Analizando la estructura de las MIB

El esquema de nombres únicos para cada objeto administrado se basa en la sintaxis de la

SMI, Estructura de Administración de la Información (Structure of Management

Information). La definición de objetos y su significado se almacena en la MIB, Base de

Información de Administración (Management Information Base).

La estructura de la SMI y MIB se definen de acuerdo al estándar ASN.1, Notación de Sintaxis

Abstracta Número Uno (Abstract Syntax Notation One), que es una norma de representación

de datos.

SNMP, emplea un espacio de nombres jerárquico que constituye un árbol, cuya raíz se

conecta a un conjunto de nodos etiquetados, donde cada una de tales etiquetas se compone

de una breve descripción y un entero. El OID, Identificador de Objetos (Object Id) es el

nombre de un nodo compuesto por la secuencia de enteros de las etiquetas de cada nodo,

desde la raíz hasta el nodo en cuestión.

4.1.1 Explorando la herramienta

La MIB-II define 10 grupos cada uno con funciones específicas y son:

a. system, grupo que provee información general sobre el sistema administrado,

conformado por 7 objetos escalares. Contiene información sobre la entidad, como

hardware y software del sistema así como su versión, el tiempo desde la última

iniciación, la persona de contacto, la localización física, entre otros.

b. interfaces, permite proporcionar información acerca de su descripción, tipo, máxima

longitud de octetos de PDU, valor estimado de la tasa de transferencia, estado de la

interfaz (up1-down2, testing3), su dirección física, errores en paquetes, cantidades

de octetos entrantes y salientes.

Semestre 2010-II



c. at, comprende las relaciones entre direcciones IP y direcciones específicas de la red

que deben soportar, como la tabla ARP, que relaciona direcciones IP con direcciones

físicas de la red LAN.

d. ip, almacena información propia de la capa IP, como el número de datagramas

transmitidos y recibidos, conteo de datagramas erróneos, etc. También contiene

información de variables de control, que permiten que aplicaciones remotas puedan

ajustar el TTL, Tiempo de Vida (Time To Live) y manipular las tablas de ruteo de IP.

e. icmp, este grupo describe las siguientes estadísticas: número de mensajes ICMP

recibidos, número de mensajes ICMP (destino inalcanzable) recibidos, número de

mensajes ICMP (tiempo excedido) recibidos, número de mensajes ICMP

(desbordamiento del emisor) recibidos, número de mensajes ICMP no enviados

debido a problemas en ICMP.

f. tcp, este grupo incluye información propia del protocolo TCP, como estadísticas del

número de segmentos transmitidos y recibidos, información de conexiones activas

como dirección IP, puerto o estado actual.

g. udp, este grupo describe la siguiente información: número de datagramas UDP

entregados a usuarios UDP, número de datagramas UDP recibidos para los que no

existía aplicación en el puerto de destino, número de datagramas UDP recibidos que

no se pudieron entregar y el número de datagramas UDP enviados por la entidad.

h. egp, este grupo describe las siguientes estadísticas: número de mensajes EGP

recibidos sin error, número de mensajes EGP con error, número de mensajes EGP

generados localmente, la dirección IP del vecino de esta entrada EGP, el estado EGP

del sistema local con respecto a la entrada EGP vecino.

i. transmisión, proporciona información específica de cada medio de transmisión, es

decir, este grupo soporta múltiples tipos de medios de comunicación, como cable

coaxial, cable UTP, cable de fibra óptica y sistemas T1/E1.

j. snmp, incluye estadísticas sobre tráfico de red SNMP, el número de paquetes

recibidos, el número de peticiones SNMP con nombres erróneos de comunidad, entre

otros.

1. Inicie la herramienta MG-SOFT MIB Browser a través del menú Inicio>Todos los

programas> MG-SOFT MIB Browser> MIB Browser, ver Figura 3.1. Haga clic en el

botón Continue y cierre la ventana que muestra el tip del día. Observe que la

dirección del agente remoto SNMP es la IP de la máquina asignada, en la que está

trabajando.

Figura 3.1 Menú inicial de la herramienta analizadora de MIB

Semestre 2010-II



2. Expanda la jerarquía desde la carpeta iso hasta llegar a mib-2 y observe los 10

grupos explicados anteriormente, ver Figura 3.2.

Figura 3.2 Grupos funcionales que integran a la mib-2

3. Expanda el nodo system.

I. Anote los parámetros de administración definidos en ese grupo.

__________________________________________________________________

__________________________________________________________________

4. Para observar las propiedades de cada uno de los parámetros administrables

seleccione la hoja final (sysServices), obtenga el menú contextual y seleccione la

opción Properties, ver Figuras 3.3 y 3.4.

Figura 3.3 Propiedades de un nodo final Figura 3.4 Opción Properties de un objeto

II. ¿Qué información proporciona este grupo (sysServices) al administrador de

redes?

__________________________________________________________________

__________________________________________________________________

Semestre 2010-II



III. En la Figura 3.5 anote el nombre correspondiente de los componentes de la

MIB, de acuerdo a la siguiente lista: Root node, sub tree root node, scalar objects,

columnar objects.

Figura 3.5 Diagrama de los componentes de la MIB

4.1.1.1 Contactando al agente remoto SNMP

Inicie la comunicación con el agente remoto SNMP, de la siguiente manera:

1. En el espacio de trabajo de MIB Browser, haga clic en la pestaña de Query.

2. En el campo del Remote SNMP agent, introduzca la dirección de IP del switch,

192.168.2.123, que corresponde al agente remoto SNMP.

3. Haga clic en el botón Contact Remote SNMP Agent, de la barra de herramientas o

bien seleccione la opción Contact del menú SNMP, ver Figura 3.6.

4. Al establecer la comunicación con el agente SNMP a través de MIB Browser, el

resultado se mostrará en el panel Query Results, ver Figura 3.7.

Semestre 2010-II



Figura 3.6 Estableciendo comunicación con el agente remoto SNMP

Figura 3.7 Observando la respuesta del agente contactado remotamente

Semestre 2010-II



IV. Indique el resultado obtenido en la Figura 3.7 y explique por qué se presenta

esta situación.

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

4.1.2 Especificando parámetros del protocolo SNMP En este apartado de la práctica aprenderá a especificar los parámetros que usa el protocolo

SNMP del MIB Browser, para comunicarse con el agente remoto SNMP.

Nota: Es importante que se especifiquen correctamente los parámetros del protocolo SNMP

del MIB Browser, para que exista comunicación con el agente remoto SNMP.

1. Para especificar las preferencias del protocolo SNMP, seleccione del menú View>

SNMP Protocol Preferences o haga clic en el botón SNMP Protocol Preferences de la

barra de herramientas.

2. A continuación se abrirá una ventana de diálogo, ver Figura 3.8.

Figura 3.8 Cuadro de diálogo del protocolo SNMP

3. Puede elegir la versión del protocolo que esté utilizando ya sea SNMPv1, SNMPv2c o

SNMPv3, del cuadro de diálogo.

4. Dependiendo del protocolo a utilizar, se deben configurar específicamente los

parámetros.

4.1.3.1 Especificando parámetros del protocolo SNMPv1

Para usar el protocolo SNMPv1, se tienen que especificar los parámetros de la siguiente

manera:

1. Verifique que la opción SNMPv1, del área de SNMP protocol version, se encuentre

seleccionada, ver Figura 3.9.

Semestre 2010-II



Figura 3.9 Elección del protocolo SNMPv1

2. En el apartado de General, se muestra una lista desplegable de Read community, hay

que especificar el nombre de la cadena de lectura. Este parámetro permite utilizar

únicamente las primitivas: SNMP GetNext y SNMP GetBulk requests. Introduzca la

cadena publica.

3. Después se muestra la lista desplegable de Set community, hay que especificar el

nombre de la cadena de escritura. Este parámetro permite utilizar únicamente la

primitiva Set requests. Introduzca la cadena privada.

4. Introduzca en el campo Timeout, el tiempo en segundos que tiene que esperar la

herramienta para volver a realizar una petición, 5 segundos.

5. Introduzca en el campo Retransmits, el número de retransmisiones que debe hacer el

SNMP requests, 1 una vez.

6. Verifique en el menú desplegable Port number, el número de puerto que utiliza el

agente remoto SNMP. Por default el número de puerto que muestra el agente SNMP

es el 161.

7. Verifique que esté seleccionado la opción Add to agent profiles del cuadro de diálogo

del SNMP Protocol Preferences, para salvar los cambios efectuados para el agente

remoto.

8. Haga clic en el botón OK del cuadro de diálogo para aplicar los cambios.

9. Observe el cuadro de diálogo que indica el nuevo perfil creado para el agente remoto

y haga clic en OK.

V. Indique el contenido del panel Query Results e interprételo.

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

4.1.3 Monitoreando los agentes SNMP en la red

En este apartado aprenderá a manipular la información proporcionada por las ventanas de

monitoreo continuo de los agentes SNMP y verificar la conexión con el agente remoto,

configurada en el apartado anterior.

Semestre 2010-II



1. Expanda el árbol de la MIB, hasta llegar al nodo system, del cual obtendrá

información.

2. En el menú principal, seleccione la opción Tools>Info Windows, ver Figura 3.10.

Figura 3.10 Menu Tools>Info Windows

3. El explorador de la MIB, abrirá una ventana de información que proporciona una serie

de instancias de objetos con sus nombres, sintaxis y valores actuales, ver Figura

3.11. Observe los resultados.

Figura 3.11 Ventana de información del agente SNMP

De acuerdo a lo analizado con ayuda de la herramienta.

VI. Investigue el puerto que utiliza el agente SNMP para escuchar las peticiones

del administrador y así mismo el número de puerto empleado, por el agente para

responder a tales peticiones.

_________________________________________________________________________

_________________________________________________________________________

VII. Investigue al menos 3 aplicaciones que implementen SNMP para la

administración de redes.

_________________________________________________________________________

_________________________________________________________________________

Semestre 2010-II



4.1.4 Descubrimiento de los agentes SNMP en la red

El objetivo de este apartado es realizar un descubrimiento en la red, de todos los agentes

SNMP, que se encuentran activos, a través de la ventana Remote SNMP Agent Discovery.

1. Seleccione la opción Tools>Discover Agents, ver Figura 3.12.

2. Introduzca el rango de direcciones IP de la red a analizar, para este caso será desde

la dirección 192.168.2.100 a la 192.168.2.124, ver Figura 3.13.

3. Haga clic en el botón Start Remote SNMP Agent Discovery, ver Figura 3.14.

4. Verifique que las propiedades de configuración del protocolo SNMP sean las

correctas.

Figura 3.12 Opción Discover Agents Figura 3.13 Rango de direcciones IP

MG-SOFT MIB Browser permite monitorear y administrar cualquier dispositivo SNMP sobre la

red, éstos pueden ser servidores de base de datos, módems, impresoras, routers, switches,

etc., empleando el estándar SNMPv1, SNMPv2c y SNMPv3.

Figura 3.14 Dispositivos SNMPv1 encontrados en la red

La ventana muestra todos los agentes SNMP activos dentro del rango de direcciones.

Semestre 2010-II



VIII. Indique las características del switch.

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

5. Finalmente cierre la ventana de Remote SNMP Agent Discovery.

4.2 Configuración SNMP en los routers Cisco

El protocolo SNMP se usa para la administración remota de dispositivos IP, como los routers.

Por defecto existen dos nombres de comunidades que se usan por convenio: public con

permisos de sólo lectura y private con permisos de lectura y escritura.

Al ser conocidos los nombres de las comunidades SNMP, son empleados por programas

maliciosos para explotar vulnerabilidades, por lo que cambiar el nombre por defecto de las

comunidades SNMP evita la mayoría de los problemas de ataques remotos.

4.2.1 Verificando el soporte de SNMP

Para configurar el soporte SNMP, es necesario iniciar en primera instancia una sesión remota

de administración.

El método principal para la configuración, monitoreo y mantenimiento de equipos Cisco, es

la interfaz de línea de comando. El acceso a esta interfaz se realiza normalmente a través

del puerto consola de los routers. El cable que permite esta conexión puede ser de

diferentes tipos: uno muy común es aquél que en un extremo cuenta con un conector RJ45,

el cual no implica que sea una interfaz Ethernet, en el otro extremo tiene un conector serie

para una estación de trabajo. Este cable será el que utilizará en esta práctica, ver Figura

3.15.

Figura 3.15 Cable de conexión al router

1. Conecte el cable de consola al router en su extremo RJ45 en el puerto consola, ver

Figura 3.16.

Figura 3.16 Conexión al puerto consola del router con el extremo RJ45

2. Conecte el cable de consola del router en su extremo serial en el puerto serie de la

estación de trabajo, ver Figura 3.17.

Semestre 2010-II



Figura 3.17 Conexión al puerto serie de la estación de trabajo

3. Inicie una sesión Hyper Terminal, a través del menú Inicio>Todos los

programas>Accesorios>Comunicaciones>Hyper Terminal. Configure los valores de la

Tabla No. 3.2 en la nueva conexión.

Nombre de la conexión Router

Conectar usando COM1

Bits por segundo 9600

Bits de datos 8

Paridad Ninguno

Bits de parada 1

Control de flujo Hardware

Tabla No. 3.2 Configuración de la sesión Hyper Terminal

4. En pantalla se observa un prompt parpadeando. Presione la tecla Enter y observe el

prompt ya estudiado en la práctica anterior del router, ver Figura 3.18.

Figura 3.18 Sesión Hyper Terminal del router Cisco 2507

5. Pase al modo privilegiado con el password correspondiente proporcionado por el

profesor y teclee el siguiente comando, ver Figura 3.19.

Router>enable

Router#show snmp

Semestre 2010-II



Figura 3.19 Agente no activado

4.2.2 Activando soporte del protocolo SNMP

Para configurar el soporte SNMP dentro de un router Cisco, realice los siguientes pasos:

1. Pase a modo de configuración global.

Router# configure terminal

Router(config)#

2. Cree el control de acceso para una comunidad SNMP. Es necesario introducir un

nombre de comunidad para definir la relación entre el administrador SNMP y el

agente SNMP. Esta comunidad actúa como una palabra clave para regular el acceso

al agente que se haya en el router. Es posible especificar algunas características

adicionales, como pueden ser:

a. Una vista de la MIB, la cual define el subconjunto de objetos de la MIB

accesibles para la comunidad dada.

b. Permiso de lectura y escritura o de sólo lectura para los objetos de la MIB

accesibles.

c. Una ACL, con direcciones IP de los administradores SNMP a los que se permite

acceder al agente empleando el nombre de comunidad especificado.

Router(config)# snmp-server community comaccess ro 4

3. Habilite la comunidad a través de la siguiente instrucción:

Router(config)# no snmp-server community comaccess

4. Cree la vista llamada mib2 que contiene todos los objetos dentro del subárbol mib-2.

Router(config)# snmp-server view mib2 1.3.6.1.2.1 included

5. Pruebe los siguientes comandos en el router y responda las preguntas.

Router(config)# snmp-server view phred system included

Router(config)# snmp-server view phred cisco included

Nota: Si no se especifican los parámetros opcionales, se facilita acceso de sólo lectura a

toda la MIB y a todos los hosts, a la vista por defecto denominada everything.

Semestre 2010-II



4.2.3 Configuración de las comunidades en el router

El objetivo de este punto es preparar al router para que acepte peticiones SNMP de lectura y

escritura sobre toda la MIB, únicamente desde una estación en concreto, la estación

administradora y peticiones de lectura desde cualquier máquina, pero limitadas sobre el

grupo system de la MIB.

1. Se permitirá el acceso total de lectura y escritura desde una dirección IP que será la

de la máquina conectada al puerto consola del router. De manera que será necesario

crear una lista de acceso que sólo incluya esa estación, cuya dirección IP 192.168.2.X

a través del siguiente comando.

Router(config)# access-list 4 permit host 192.168.2.X

Router(config)# access-list 4 deny any

2. El acceso de lectura se podrá realizar desde cualquier estación pero sólo al grupo

system de la MIB, de manera que es necesario definir la vista correspondiente con el

nombre de público.

Router(config)# snmp-server view publico system included

3. Cree dos comunidades, una de sólo lectura: ro y otra de lectura-escritura: rw. La

primera tendrá el nombre de comunidad ‘s0l0le0’ y la segunda se llamará

‘le0escrib0’.

Nota: Son ceros “0”, no la letra 0.

Router(config)# snmp-server community s0l0le0 view publico ro

Router(comfit)# snmp-server community le0escrib0 rw 4

Nota: Elegir nombres de comunidad que no sean obvios resulta beneficioso para evitar que

usuarios malintencionados intenten ingresar.

Hasta este punto el router está preparado para recibir y atender peticiones SNMPv1 de

lectura sobre el grupo system de cualquier host y las peticiones de lectura y escritura sobre

toda la MIB únicamente desde la estación configurada en la ACL, siempre y cuando ésta

especifique el nombre de la comunidad ‘le0escrib0’.

4.2.4 Verificación de la configuración en el router

El objetivo de este apartado es verificar que el acceso a la MIB del router se realiza tal y

como se ha configurado, para lo cual utilizará el software de navegación MIB, analizado en el

inicio de la práctica.

1. Muestre el estado y configuración del agente SNMP en el router, a través del

siguiente comando, ver Figura 3.20.

Router> show snmp

Semestre 2010-II



Figura 3.20 Salida del comando SNMP

IX. Investigue el funcionamiento de la instrucción show snmp.

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

2. En el software MIB Browser, introduzca la dirección IP de la interfaz Ethernet del

router Cisco, en la lista desplegable, ver Figura 3.21.

Figura 3.21 Contactando al agente SNMP del router Cisco

3. Cambie las propiedades del protocolo SNMPv1, de acuerdo a las cadenas de

comunidad configuradas en el router Cisco, como se muestra en la Figura 3.22.

Semestre 2010-II



Figura 3.22 Cambiando los valores de configuración de SNMPv1

4. Haga una consulta de todos los valores obtenidos en las hojas del grupo system del

grupo de la MIB-II del router, seleccionado la carpeta system, menú contextual y

elija la opción Walk, ver Figura 3.23.

Figura 3.23 Consulta al grupo system de la MIB del agente residente en el router Cisco 2507

Nota Profesor: Verifique el funcionamiento de la ACL configurada en el routers, con

ayuda de sus alumnos y observe el funcionamiento del comando Set.

4.2.5 Restaurando la configuración del router

1. Ejecute el siguiente comando, que permite extraer la configuración actual y las líneas

que incluyan la palabra snmp.

Router# show running-config

Si el soporte a SNMP está activo se presentan dos líneas similares a la Figura 3.24, las

cuales indican que hay una comunidad de lectura y otra de escritura, configuradas.

Semestre 2010-II



Figura 3.24 Soprte activo de SNMP de las comunidades de lectura y escritura

Si no se desea el soporte para SNMP, en el router se requiere deshabilitarlo por razones de

seguridad, en nuestro caso lo haremos para comenzar con una configuración sin soporte a

SNMP.

2. Borre las comunidades establecidas a través de los siguientes comandos:

Router(config)# no snmp-server community s0l0le0 RO

Router(config)# no snmp-server community le0escrib0 RW

3. Deshabilite las interrupciones

Router(config)# no snmp-server enable traps

4. Deshabilite la posibilidad de apagar el router mediante mensajes SNMP.

Router(config)# no snmp-server system-shutdown

5. Deshabilite el servicio SNMP.

Router(config)# no snmp-server

6. Deshabilite la lista de acceso

Router(config)# no access-list 4

7. Para que tenga efecto las modificaciones teclee el siguiente comando.

Router#copy run start

8. Verifique que el soporte SNMP, no se encuentre activado.

Router# show snmp

Nota: No existen comandos específicos para habilitar SNMP en el router. SNMP se habilita

con el primer comando del tipo snmp-server que se introduzca en el prompt.

5.-Conclusiones Revise los objetivos iniciales de la práctica y anote sus resultados a continuación.

Router enble snmp-server community public RO

snmp-server community private RW

Semestre 2010-II



6.- Cuestionario previo 3A

PRÁCTICA 3A

Administración con SNMP Nombre: _____________________________________ Grupo de Laboratorio: ______

1. ¿Qué es un modelo de administración de red?

2. Investigue las características principales de los protocolos de administración de red:

CMIS, SNMP, CORBA.

3. Investigue los orígenes del protocolo SNMP, así como las versiones de snmpV1

snmoV2 y snmPV3 mencionando la diferencia principal entre estas.

4. Investigue la estructura de la MIB.

5. Investigue la estructura jerárquica de la MIB.

6. Investigue el concepto de identificador de objeto.

7. ¿Qué son las notificaciones, los traps y las peticiones de informe de SNMP?

8. Investigue la sintaxis y su funcionamiento de los siguientes comandos, para la

configuración del SNMP en un router.

snmp-server community.

snmp-server view phred system included

snmp-server view phred cisco included

access-list X permit host X.X.X.X

access-list X deny any

87509414-practica3a

Documents