Vai al contenuto
Cliccare qui per aprire la documentazione per gli switch gestiti localmente, incluse le guide a CLI e API.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=switch-management-snmp

SNMP

La pagina SNMP permette di configurare le impostazioni del Simple Network Management Protocol (SNMP) sui Sophos Switch, inclusa la configurazione di utenti e gruppi, stringhe community, elenchi di visualizzazione ed elenchi accessi, nonché impostazioni di notifica per monitorare e gestire la rete in maniera sicura.

Aprire Switch, selezionare uno switch, stack o sito e cliccare su SNMP per configurare SNMP.

Impostazioni globali

La scheda Impostazioni globali consente di attivare o disattivare SNMP e configurare l’ID motore per SNMPv3.

È possibile configurare le seguenti impostazioni:

  • Stato di SNMP: selezionare On oppure Off per attivare o disattivare SNMP. Selezionare Non impostato per utilizzare la configurazione locale dello switch.

  • ID motore: impostare un valore esadecimale. Il numero di caratteri deve essere compreso tra 10 e 64. Questo valore è un identificatore univoco dello switch e protegge contro problemi di ripetizione dell’invio dei messaggi, ritardi e reindirizzamenti. Si consiglia di selezionare Impostazione predefinita per utilizzare il valore predefinito.

    Avviso

    Se si elimina o si modifica l’ID motore, verranno cancellati tutti gli utenti SNMP locali. Occorrerà riconfigurarli.

L’opzione Origine configurazione mostra l’origine delle impostazioni SNMP.

Cliccare su Aggiorna per salvare le modifiche.

Cliccare su Cancella per reimpostare i valori.

Utenti e gruppi

Gli utenti SNMP aumentano la protezione della rete, aggiungendo autenticazione, autorizzazione e crittografia al monitoraggio e alla gestione tramite SNMP. Utenti e community permette di gestire l’accesso ai dispositivi SNMP creando utenti SNMP da associare ai Gruppi che si creano. È necessario creare almeno un gruppo, se si desidera utilizzare gli elenchi accessi.

!!! info "Click the appropriate tab to see how to manage Users & Communities and Groups.

L’elenco Utenti e community mostra le impostazioni Nome, Protocolli e Autenticazione per tutti gli utenti SNMP nello switch. L’opzione Origine configurazione mostra l’origine delle impostazioni dell’utente.

Per aggiungere utenti e community, procedere come segue:

  1. In Utenti e community, cliccare su Aggiungi.

  2. Inserire le seguenti informazioni:

    • Nome: il nome dell’utente. Deve avere una lunghezza compresa tra 4 e 20 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

    • Modalità privilegi: Selezionare una delle seguenti opzioni:

      • Nessuna autenticazione: non utilizza alcuna autenticazione.
      • Autenticazione: autentica gli utenti prima che possano interagire con i dispositivi.
      • Privilegio: autentica gli utenti e crittografa i messaggi SNMP.

    • Protocollo di autenticazione: Selezionare una delle seguenti opzioni:

      • MD5: utilizza HMAC-MD5.
      • SHA: utilizza HMAC-SHA-96.

    • Password di autenticazione: inserire la password che si desidera utilizzare. Deve avere una lunghezza compresa tra 8 e 32 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

    • Protocollo di crittografia: selezionare il metodo utilizzato per autenticare gli utenti.

      • DES_CBC: crittografia a 64 bit che utilizza Data Encryption Standard con Cipher Block Chaining.
      • AES_CFB128: crittografia a 128 bit che utilizza Advanced Encryption Standard con Cipher Feedback.

    • Password di crittografia: inserire la password che si desidera utilizzare. Deve avere una lunghezza compresa tra 8 e 40 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

  3. (Facoltativo) Selezionare Attiva SNMP v1/v2c per questo utente.

    SNMPv1 e SNMPv2c controllano l’accesso utilizzando una stringa community come password. Selezionando questa opzione, viene creata una community utilizzando il Nome inserito e l’utente viene associato a questa community. Queste informazioni vengono trasmesse in testo normale, quindi sono meno sicure rispetto alle password crittografate utilizzate da SNMPv3 e vanno utilizzate solo per i dispositivi legacy che non supportano SNMPv3.

    SNMPv1 e SNMPv2c inviano informazioni ai gestori SNMP in base ai tag trasporto. È possibile inserire un Tag trasporto per associare la community a dispositivi SNMP specifici. I tag trasporto garantiscono che i messaggi SNMP vengano inviati solo a dispositivi specifici e che vengano accettati solo da questi dispositivi. Se il tag non fa parte della stringa community, lo switch non può rispondere alle richieste SNMP. Questi valori devono essere definiti come l’Identificatore tag in Notifiche > Indirizzo di destinazione. Vedere Notifiche.

  4. Cliccare su Aggiungi.

Per eliminare utenti, selezionare gli utenti che si desidera eliminare e cliccare su Elimina.

I gruppi SNMP aiutano a controllare l’accesso alla rete organizzando gli utenti SNMP e assegnando loro diritti di gestione diversi, a seconda delle loro esigenze di accesso. È poi possibile aggiungere questi gruppi a elenchi accessi per controllare l’accesso ai dispositivi SNMP nella propria rete.

L’elenco Gruppi mostra il Nome gruppo, la Modalità di sicurezza e il Nome sicurezza per tutti i gruppi SNMP nello switch.

Per aggiungere gruppi, procedere come segue:

  1. In Gruppi, cliccare su Aggiungi.
  2. Inserire un Nome gruppo. Deve avere una lunghezza compresa tra 1 e 30 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

  3. Utilizzare le caselle di controllo per selezionare gli utenti e le versioni di SNMP che si desidera aggiungere al gruppo.

    Consiglio

    Selezionando la casella di controllo in cima alle colonne v1, v2c o v3, si imposta quella modalità di sicurezza per tutti gli utenti disponibili.

  4. Cliccare su Aggiungi.

    Nota

    Se si selezionano utenti senza i privilegi necessari per la Modalità di sicurezza selezionata o che si trovano già in un altro gruppo con le stesse impostazioni, verrà visualizzato un errore. Tuttavia, Sophos Central creerà comunque il gruppo senza quegli utenti.

Cliccare sul nome di un gruppo per modificarne le impostazioni.

Per eliminare gruppi, selezionare la casella di controllo accanto ai gruppi che si desidera rimuovere e cliccare su Elimina.

Visualizzazioni ed elenco accessi

Le visualizzazioni e gli elenchi accessi offrono controllo dettagliato su quali Identificatori di oggetto (OID) del Management Information Base (MIB) sono accessibili agli utenti SNMP.

Nota

Prima di configurare Visualizzazioni ed Elenco accessi, consigliamo di acquisire familiarità con MIB e OID. Vedere MIB e OID.

!!! info "Click the appropriate tab to see how to manage Views and Access lists.

SNMP utilizza le informazioni definite nei file MIB per gestire e monitorare i dispositivi di rete. All’interno del file MIB, uno spazio dei nomi gerarchico contenente OID organizza le informazioni relative a un dispositivo. La creazione di visualizzazioni da aggiungere ai propri elenchi accessi consente di specificare esattamente gli OID con i quali possono interagire gli utenti SNMP.

Visualizzazioni mostra i mapping dei nomi e degli OID per tutte le visualizzazioni nello switch.

Per configurare una nuova visualizzazione, procedere come segue:

  1. In Visualizzazioni, cliccare su Aggiungi.
  2. Inserire un Nome visualizzazione. Deve avere una lunghezza compresa tra 1 e 20 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

  3. Cliccare su Aggiungi nuovo mapping.

    Verrà creata una nuova riga nella tabella Mapping OID.

  4. Inserire l’OID sottoalbero. L’OID è una stringa univoca che identifica un oggetto nel MIB che un gestore SNMP includerà o escluderà dall’accesso.

  5. Inserire la Maschera sottoalbero. Si tratta di un numero intero compreso tra 1 e 20 che identifica gruppi di oggetti correlati all’interno del MIB. Il numero identifica il livello al quale il gestore SNMP applica la maschera. Per esempio, una Maschera sottoalbero 5 si applica solo agli oggetti al quinto livello dell’albero MIB.
  6. Selezionare il Tipo di visualizzazione. Selezionare quale ramo OID all’interno dell’albero MIB verrà Incluso o Escluso dalla visualizzazione SNMP selezionata. Se si contrassegna una voce come Esclusa, si consiglia di creare un’altra voce Inclusa, con il sottoalbero OID in sovrapposizione con la voce Esclusa.

  7. (Facoltativo) Cliccare su Aggiungi nuovo mapping per aggiungere ulteriori mapping OID.

    Questa operazione può essere ripetuta più volte.

  8. Cliccare su Salva.

Cliccare sul nome di una visualizzazione per modificarne le impostazioni.

Per eliminare visualizzazioni, selezionare la casella di controllo accanto alle visualizzazioni che si desidera rimuovere e cliccare su Elimina.

Gli elenchi accessi SNMP permettono di controllare quali gruppi SNMP possono interagire con dispositivi specifici all’interno della rete, nonché i livelli di interazione consentiti. È possibile utilizzare gli elenchi accessi per specificare i privilegi di lettura, scrittura e notifica per gruppi specifici, nonché per gli elenchi di visualizzazione. Per creare un elenco accessi, occorre creare almeno un gruppo.

L’elenco accessi mostra il nome, le modalità di sicurezza e privilegi, nonché le visualizzazioni di lettura, scrittura e notifica per tutti gli elenchi accessi nello switch.

Per creare un elenco accessi, procedere come segue:

  1. In Elenchi accessi, cliccare su Aggiungi.

  2. Dall’elenco a discesa, selezionare il gruppo al quale si desidera venga applicato l’elenco accessi.

    I dettagli della Modalità di sicurezza e della Modalità privilegi del gruppo vengono indicati nella tabella. Le impostazioni della Modalità privilegi possono essere modificate.

  3. Selezionare Visualizzazione lettura per ciascuna versione di SNMP attivata per il gruppo. È il nome dell’elenco di visualizzazione che si desidera limitare alla sola lettura.

  4. Selezionare Visualizzazione scrittura per ciascuna versione di SNMP attivata per il gruppo. È il nome dell’elenco di visualizzazione al quale si desidera concedere privilegi di scrittura.
  5. Selezionare Visualizzazione notificaper ciascuna versione di SNMP attivata per il gruppo. È il nome dell’elenco di visualizzazione per il quale si desidera ricevere i messaggi trap SNMP generati dall’agente SNMP dello switch.
  6. Cliccare su Salva.

Cliccare sul nome di un elenco accessi per modificarne le impostazioni.

Per eliminare elenchi accessi, selezionare la casella di controllo accanto agli elenchi che si desidera rimuovere e cliccare su Elimina.

MIB e OID

I MIB sono un riferimento per i gestori SNMP e sono essenzialmente database di informazioni organizzate relative ai dispositivi SNMP. I file MIB di Sophos Switch sono disponibili da Sophos Central. Per scaricare i file MIB di Sophos Switch, procedere come segue:

  1. Aprire Dispositivi > Programmi di installazione.
  2. Sotto Switch, cliccare su Scarica i file MIB SNMP per scaricare un archivio contenente i file MIB per tutti i modelli di Sophos Switch.
  3. Salvare l’archivio in una posizione a scelta.
  4. Estrarre i file MIB dall’archivio.

Ogni OID identifica una variabile che può essere letta o impostata tramite SNMP. Esiste un ampio elenco di parametri pubblici e spesso i vendor forniscono i loro OID specifici per il proprio hardware. Vedere OID o consultare la documentazione del vendor.

Notifiche

È possibile controllare il modo in cui i dispositivi SNMP comunicano tra di loro, configurando notifiche, parametri di destinazione e indirizzi di destinazione.

!!! info "Click the appropriate tab to see how to manage Target parameters, Notifications, and Target address.

Tutte le notifiche SNMP richiedono Parametri di destinazione. Definiscono le versioni di SNMP, il livello di sicurezza e i privilegi quando si inviano notifiche. Sono informazioni diverse rispetto agli indirizzi di destinazione, il che significa che è possibile associare più indirizzi di destinazione a un singolo parametro di destinazione.

L’opzione Parametri di destinazione mostra il nome, le impostazioni di sicurezza, la modalità privilegi e l’utente associato a tutti i Parametri di destinazione nello switch.

Per aggiungere parametri di destinazione, procedere come segue:

  1. Sotto Parametri di destinazione, cliccare su Aggiungi.
  2. Immettere un Nome. Deve avere una lunghezza compresa tra 1 e 30 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.
  3. Scegliere il Modello elaborazione messaggi dall’elenco a discesa. Selezionare v1, v2c o v3.

  4. Selezionare la Modalità di sicurezza dal menu a discesa. Selezionare v1, v2c o v3.

    Se si seleziona v3, occorre selezionare anche la Modalità privilegi.

  5. Selezionare un Utente dall’elenco a discesa.

  6. Cliccare su Salva.

Cliccare sul nome di un parametro di destinazione per modificarne le impostazioni.

Per eliminare parametri di destinazione, selezionare la casella di controllo accanto ai parametri di destinazione che si desidera rimuovere e cliccare su Elimina.

Le notifiche SNMP sono messaggi inviati tra dispositivi SNMP. È possibile scegliere il tipo di notifiche che lo switch invia a un gestore SNMP quando si verifica un evento, e contrassegnarle per semplificarne la classificazione.

L’opzione Notifiche mostra il nome, il tag e il tipo di messaggio per tutte le notifiche sullo switch.

Per aggiungere notifiche, procedere come segue:

  1. Sotto Notifiche, cliccare su Aggiungi.

  2. Inserire le seguenti informazioni:

  3. Nome della notifica: inserire un nome. Deve avere una lunghezza compresa tra 1 e 32 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

  4. Identificatore tag: inserire la stringa Identificatore tag. Identifica l’indirizzo di destinazione per le notifiche. Deve avere una lunghezza compresa tra 1 e 20 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.

  5. Tipo di notifica: Selezionare una delle seguenti opzioni:

    • Trap: i trap sono comunicazioni unidirezionali e non inviano una risposta. Il recapito non è né confermato, né garantito.
    • Inform: solo SNMPv2c e SNMPv3. I messaggi Inform sono più attendibili, perché includono una richiesta di conferma della ricezione. Tuttavia, consumano più risorse di sistema e di rete.

  6. Cliccare su Salva.

Cliccare sul nome di una notifica per modificarne le impostazioni.

Per eliminare notifiche, selezionare la casella di controllo accanto alle notifiche che si desidera rimuovere e cliccare su Elimina.

L’invio di notifiche SNMP richiede indirizzi di destinazione. Queste notifiche comunicano agli agenti SNMP informazioni sul dominio e sull’indirizzo del destinatario, sulla porta da utilizzare e su quanto spesso devono inviare o provare a inviare di nuovo le notifiche. Prima di poter configurare un indirizzo di destinazione, deve essere stato configurato almeno un parametro di destinazione.

Indirizzo di destinazione mostra il nome, l’indirizzo IP e le impostazioni di comunicazione per tutti gli indirizzi di destinazione nello switch.

Per configurare un indirizzo di destinazione, procedere come segue:

  1. Sotto Indirizzo di destinazione, cliccare su Aggiungi.

  2. Configura le seguenti impostazioni:

    • Nome indirizzo di destinazione: Immettere un nome. Deve avere una lunghezza compresa tra 1 e 32 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi.
    • Indirizzo IP: inserire l’indirizzo IP di destinazione.
    • Porta UDP: inserire la porta UDP utilizzata per inviare notifiche.
    • Timeout: inserire il tempo di attesa del dispositivo che deve trascorrere prima che invii di nuovo una notifica. Il valore predefinito è 15 secondi.

    • Riprova: inserire il tempo di attesa del dispositivo che deve trascorrere prima che invii di nuovo una richiesta Inform. Il valore predefinito è 3 secondi.

      Restrizione

      Quando si imposta il Tipo di una notifica su Inform, si applicano solo Timeout e Riprova.

    • Identificatore tag: inserire la stringa Identificatore tag. Deve avere una lunghezza compresa tra 1 e 20 caratteri e non può includere ", \, %, &, ?, ', !, ;, |, +, né spazi. Viene utilizzato come informazione per il tag trasporto. Vedere Utenti e gruppi.

    • Parametro di destinazione: selezionare un parametro di destinazione dall’elenco a discesa.

  3. Cliccare su Salva.

Cliccare sul nome di un indirizzo di destinazione per modificarne le impostazioni.

Per eliminare indirizzi di destinazione, selezionare la casella di controllo accanto agli indirizzi di destinazione che si desidera rimuovere e cliccare su Elimina.