SNMP ist die klassische Schnittstelle, um Cisco Router in Monitoring-Systeme wie Zabbix oder PRTG einzubinden. Damit kannst du Interface-Auslastung, Errors, CPU/Memory und Verfügbarkeit zentral überwachen. Für eine sichere Vorbereitung solltest du SNMP nicht „offen“ betreiben: nutze bevorzugt SNMPv3, begrenze Zugriffe per ACL auf deinen Monitoring-Server und aktiviere sinnvolle Traps/Logs. Dieses Tutorial zeigt praxistaugliche Konfigurationen für SNMPv3 (empfohlen) und SNMPv2c (nur wenn zwingend nötig).
Was Zabbix/PRTG typischerweise per SNMP abfragt
Die meisten Monitoring-Templates nutzen Standard-MIBs (IF-MIB, HOST-RESOURCES-MIB) plus Cisco-spezifische MIBs. Dafür muss SNMP am Router erreichbar sein und die Credentials müssen stimmen.
- Interface Status/Traffic: ifInOctets/ifOutOctets, Errors, Drops
- CPU/Memory: Auslastung, Peaks
- Uptime/Reachability: sysUpTime, sysDescr, sysName
- Optional: Routing/Neighbors, Temperatur/Spannung (plattformabhängig)
Vorbereitung: Management-IP und Zugriffspfad festlegen
SNMP sollte über ein definiertes Management-Netz laufen (z. B. Loopback oder Mgmt-VLAN). Das erleichtert ACLs, Routing und Audits. Vermeide SNMP auf untrusted Interfaces.
- Management-IP (Loopback oder Mgmt-Interface) als SNMP-Target nutzen
- Monitoring-Server-IP(s) dokumentieren (Zabbix/PRTG Probe)
- Firewall/ACL: UDP/161 (Poll), optional UDP/162 (Traps)
Management-Loopback (optional, empfohlen)
Router# configure terminal
Router(config)# interface loopback0
Router(config-if)# ip address 10.255.255.1 255.255.255.255
Router(config-if)# endSNMPv3 vs. SNMPv2c: klare Empfehlung
SNMPv2c nutzt Community Strings (ähnlich „Passwort im Klartext“). SNMPv3 bietet Authentifizierung und Verschlüsselung (authPriv) und ist für produktive Umgebungen der Best Practice-Standard.
- SNMPv3: User, Auth (SHA), Privacy (AES) – deutlich sicherer
- SNMPv2c: Community String, ohne echte Verschlüsselung
- Für Internet-exponierte Geräte: SNMPv3 + ACL ist Pflicht
Schritt 1: Zugriff per ACL auf den Monitoring-Server begrenzen
Begrenze SNMP auf die IP(s) deiner Monitoring-Systeme. Das gilt für v2c und v3 gleichermaßen. Damit ist SNMP nicht aus beliebigen Netzen erreichbar.
Beispiel: Nur Zabbix/PRTG-Server 192.168.10.20 erlauben
Router# configure terminal
Router(config)# ip access-list standard SNMP_MGMT
Router(config-std-nacl)# permit 192.168.10.20
Router(config-std-nacl)# deny any
Router(config-std-nacl)# endSchritt 2: SNMPv3 konfigurieren (empfohlen)
Für SNMPv3 brauchst du eine Gruppe und einen User. Best Practice ist authPriv (Authentifizierung + Verschlüsselung). Zusätzlich setzt du Kontakt/Location für bessere Inventarisierung in Zabbix/PRTG.
SNMPv3 Gruppe und User (authPriv)
Router# configure terminal
Router(config)# snmp-server contact noc@example.local
Router(config)# snmp-server location DC1-Rack12
Router(config)# snmp-server group NMS v3 priv access SNMP_MGMT
Router(config)# snmp-server user zbxuser NMS v3 auth sha Str0ngAuthP@ss priv aes 128 Str0ngPrivP@ss
Router(config)# end
Verifikation SNMPv3 Konfig
Router# show snmp user
Router# show running-config | include snmp-serverSchritt 3: SNMPv2c konfigurieren (nur wenn nötig)
Wenn dein Setup SNMPv3 nicht unterstützt, kannst du SNMPv2c nutzen – aber nur mit starker ACL und möglichst read-only. Nutze keine „public/private“ Communities.
SNMPv2c Read-Only mit ACL
Router# configure terminal
Router(config)# snmp-server community R0_Str0ngC0mm RO SNMP_MGMT
Router(config)# endTraps: Ereignisse aktiv melden (optional, aber sinnvoll)
Polling zeigt Trends, Traps zeigen Events (Interface down/up, Cold Start). Für Zabbix/PRTG können Traps sinnvoll sein, sind aber optional. Wenn du Traps nutzt, musst du UDP/162 zum Trap-Receiver erlauben.
Trap-Host definieren (Beispiel)
Router# configure terminal
Router(config)# snmp-server enable traps
Router(config)# snmp-server host 192.168.10.20 version 3 priv zbxuser
Router(config)# endTypische Trap-Klassen
- Link up/down
- Cold/Warm Start
- Authentication Failures (hilft bei Attack Detection)
Auth-Fail Traps aktivieren (optional)
Router# configure terminal
Router(config)# snmp-server enable traps snmp authentication
Router(config)# endFirewall/ACL: Welche Ports müssen offen sein?
Für SNMP Polling braucht der Monitoring-Server UDP/161 zum Router. Für Traps braucht der Router UDP/162 zum Monitoring-Server. In internen Netzen wird das oft durch ACLs auf dem Management-Interface abgesichert.
- Polling: UDP/161 (NMS → Router)
- Traps: UDP/162 (Router → NMS)
Beispiel: Extended ACL für Management-Interface (optional)
ip access-list extended MGMT_IN
permit udp host 192.168.10.20 host 10.255.255.1 eq 161
deny ip any any
interface loopback0
ip access-group MGMT_IN in
PRTG/Zabbix Setup: Was du auf Router-Seite liefern musst
Für das Onboarding in Zabbix/PRTG brauchst du im Wesentlichen: Router-IP, SNMP-Version, Credentials (User/Pass oder Community) und ggf. SNMP-Port (Standard 161). Danach kannst du Templates/Sensoren aktivieren.
- Target: Management-IP (z. B. Loopback0)
- SNMPv3: User, Auth-Pass, Priv-Pass, Auth/Priv-Algorithmen
- SNMPv2c: Community (RO) + ACL
- Optional: Traps (Host, UDP/162, Trap-Receiver)
Troubleshooting: Wenn SNMP nicht funktioniert
SNMP-Probleme sind fast immer ACL/Routing/Version/Credentials. Prüfe zuerst Reachability (Ping), dann ACL, dann SNMP-User/Community und schließlich Traps/Ports.
- Router nicht erreichbar (Routing/Firewall)
- ACL blockiert UDP/161
- Falscher SNMPv3 User/Auth/Priv oder falsche Algorithmen
- SNMPv2c Community falsch oder nicht RO
- Traps: UDP/162 nicht erlaubt oder falscher Trap-Host
Router-Checks (Copy & Paste)
show running-config | include snmp-server
show snmp user
show access-lists SNMP_MGMT
show ip interface brief
show logging | include SNMP|AUTHBest Practices für sicheren Betrieb
SNMP ist ein Management-Service und sollte wie SSH behandelt werden: minimal erreichbar, stark authentifiziert, gut geloggt.
- SNMPv3 authPriv bevorzugen
- Zugriff strikt per ACL auf NMS-IPs begrenzen
- RO statt RW, RW nur in Ausnahmefällen
- Traps nur gezielt aktivieren, Auth-Fail-Traps prüfen
- SNMP nicht auf untrusted Interfaces exponieren
Konfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
