Nexus – SNMP find Ifindex oid

sh interface snmp-ifindex
--------------------------------------------------------------------------------
 Port IFMIB Ifindex (hex)
 --------------------------------------------------------------------------------
 Eth1/1 436207616 (0x1a000000)
 Eth1/2 436211712 (0x1a001000)
 Eth1/3 436215808 (0x1a002000)
 Eth1/4 436219904 (0x1a003000)
 Eth1/5 436224000 (0x1a004000)
 ..
 Po10            369098761  (0x16000009)
 ..
 Eth100/1/1      526581760  (0x1f630000)

 

Snmp security

Par défaut, une communauté IMLI est activée sur les routeurs. Elle est non protégé et permet donc de récupérer une minimum d’information sur le type d’équipement.

De la même manière lorsque vous activez une communauté en v2, il y a une v1 d’activer. Pour vérifier cela il suffit d’utiliser la commande suivante :

R1#sh snmp group
groupname: ILMI security model:v1
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active<
groupname: ILMI security model:v2c
readview : *ilmi writeview: *ilmi
notifyview: <no notifyview specified>
row status: active
groupname: public security model:v1
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active
groupname: public security model:v2c
readview : v1default writeview: <no writeview specified>
notifyview: <no notifyview specified>
row status: active

Voici la running configuration :

R1#sh run | i snmp
snmp-server community public RO
snmp-server enable traps tty

Pour supprimer ce qui ne nous sert pas :

R1(config)#no snmp-server group ILMI v1
 R1(config)#no snmp-server group ILMI v2c
 R1(config)#no snmp-server group public v1
 R1(config)#do sh snmp-server
 R1#sh snmp group
 *Mar 1 00:04:32.203: %SYS-5-CONFIG_I: Configured from console by console
 R1#sh snmp group
 groupname: public security model:v2c
 readview : v1default writeview: <no writeview specified>
 notifyview: <no notifyview specified>
 row status: active

Il est également souhaitable de filtrer par une ACL.

 

Configurer Netflow sur une debian

Pour configurer Netflow et envoyer vers un collecteur, il faut installer le paquet suivant :

apt-get install fprobe-ulog

Ensuite ajouter les lignes suivantes dans un iptable :

$IPTABLES -t filter -A INPUT -j LOG_N_RETURN
$IPTABLES -t filter -A OUTPUT -j LOG_N_RETURN
$IPTABLES -t filter -A FORWARD -j LOG_N_RETURN

Configurer le daemon dans /etc/default/fprobe-ulog

INTERFACE= »eth0:100,eth1:200″
FLOW_COLLECTOR= »IP_Collecteur1:9995 IP_CollecteurX1:9996″
OTHER_ARGS= »-a IP_Lookback ou autre »

Et lancer le daemon:

/etc/init.d/fprobe-ulog start