SNMP ist im Netzwerkbetrieb unverzichtbar: Monitoring-Systeme lesen Zähler, Interface-Status, CPU/Memory und senden Alarme bei Störungen. SNMPv1/v2c arbeiten jedoch mit Klartext-„Community Strings“ und sind damit in modernen Netzen sicherheitstechnisch problematisch. SNMPv3 löst das mit Authentifizierung und optionaler Verschlüsselung (AuthPriv). Damit kannst du Monitoring sicher betreiben, ohne Klartext-Communities zu verteilen. Diese Anleitung zeigt eine praxistaugliche SNMPv3-Konfiguration auf Cisco Switches inklusive ACL-Härtung und Verifikation.
SNMPv3 Grundlagen: AuthNoPriv vs. AuthPriv
SNMPv3 nutzt Benutzer statt Community Strings. Je nach Sicherheitsstufe wird nur authentifiziert oder zusätzlich verschlüsselt. Für produktive Netze ist AuthPriv der Standard.
- noAuthNoPriv: keine Auth, keine Verschlüsselung (nicht empfohlen)
- authNoPriv: Authentifizierung, keine Verschlüsselung
- authPriv: Authentifizierung + Verschlüsselung (empfohlen)
Praxisempfehlung
Nutze authPriv (z. B. SHA + AES). Damit sind SNMP-Credentials und Nutzdaten nicht im Klartext sichtbar.
Voraussetzungen: Was du vor der Einrichtung festlegen musst
Bevor du konfigurierst, kläre, welche Monitoring-Server zugreifen dürfen, welche SNMP-Views benötigt werden und ob Traps an ein zentrales System gesendet werden sollen.
- IP(s) der Monitoring-/NMS-Server (z. B. Zabbix, PRTG, LibreNMS)
- Read-only Monitoring vs. Schreibzugriffe (in der Praxis meist nur Read)
- Auth-/Priv-Algorithmen (SHA/AES bevorzugt)
- Management-VLAN/Source-Interface für saubere Pfade
Management-Connectivity prüfen
show ip interface brief
ping <NMS-IP>
Schritt 1: SNMPv2c deaktivieren oder strikt begrenzen
Wenn dein Switch bereits SNMPv2c nutzt, solltest du es entfernen oder zumindest per ACL auf definierte NMS-IPs begrenzen. Ziel ist: keine offenen Klartext-Communities im Netz.
Communities prüfen
show running-config | include snmp-server community
Beispiel: Communities entfernen (falls vorhanden)
configure terminal
no snmp-server community public
no snmp-server community private
end
Schritt 2: SNMPv3 User, Group und View anlegen
In SNMPv3 wird der Zugriff über Groups (Security Model) und optional Views (MIB-Ausschnitt) gesteuert. Für viele Umgebungen reicht eine Read-only View, die „alles“ lesen darf. In strengeren Umgebungen begrenzt du auf benötigte OIDs.
SNMP View (optional, „alles“ lesen)
enable
configure terminal
snmp-server view MONITORING iso included
end
SNMPv3 Group mit AuthPriv (Read-only)
configure terminal
snmp-server group NMS-GRP v3 priv read MONITORING
end
SNMPv3 User mit SHA + AES (AuthPriv)
configure terminal
snmp-server user nmsuser NMS-GRP v3 auth sha <AUTH_PASS> priv aes 128 <PRIV_PASS>
end
Warum Read-only meistens genügt
Monitoring soll lesen und alarmieren, nicht konfigurieren. Write-Zugriff erhöht Risiko und wird in modernen Netzen meist über APIs/Automation gelöst, nicht über SNMP-Set.
Schritt 3: Zugriff per ACL auf Monitoring-Server begrenzen
SNMPv3 ist sicherer, aber Zugriff sollte trotzdem nur aus dem Monitoring-Netz erlaubt sein. Das verhindert unnötige Angriffsfläche und reduziert Log-Rauschen.
ACL für SNMP-Quellen (Beispiel)
configure terminal
ip access-list standard ACL-SNMP-NMS
permit 10.1.99.70
permit 10.1.99.71
deny any
exit
snmp-server group NMS-GRP v3 priv read MONITORING access ACL-SNMP-NMS
end
Hinweis zur Praxis
Wenn du mehrere NMS-Server oder Poller hast, pflege die ACL bewusst. Für große Umgebungen ist ein dediziertes Monitoring-Subnetz sinnvoll.
Schritt 4: Traps sicher senden (optional, aber empfohlen)
Polling ist nicht genug: Traps informieren dein Monitoring-System bei Events (Link Down, Auth-Failures). Bei SNMPv3 kannst du Traps ebenfalls sicher mit AuthPriv senden.
Traps aktivieren und Empfänger setzen
configure terminal
snmp-server enable traps
snmp-server host 10.1.99.70 version 3 priv nmsuser
snmp-server host 10.1.99.71 version 3 priv nmsuser
end
Source-Interface für Traps definieren
configure terminal
snmp-server trap-source vlan 99
snmp-server source-interface informs vlan 99
end
Schritt 5: Sinnvolle Systemdaten setzen (Kontakt, Location)
Diese Felder helfen im Betrieb enorm, weil Alarme sofort zugeordnet werden können. Das ist kein Security-Feature, aber ein Monitoring-Best-Practice.
configure terminal
snmp-server location DC1-Rack12-U18
snmp-server contact noc@corp.local
end
Verifikation: Prüfen, ob SNMPv3 korrekt arbeitet
Nach der Konfiguration verifizierst du, dass Groups/Users aktiv sind, die ACL greift und Traps korrekt konfiguriert sind. Zusätzlich sollten keine v2c Communities mehr aktiv sein.
show running-config | include snmp-server
show snmp group
show snmp user
show access-lists ACL-SNMP-NMS
Typische Fehlerbilder
- SNMPv3 Polling geht nicht: ACL blockt NMS-IP oder falscher User/Pass
- Traps kommen nicht an: falsches Source-Interface oder Routing/ACL
- NMS nutzt v2c: Communities entfernt, NMS muss auf v3 umgestellt werden
- AuthPriv/Algorithmen mismatch: NMS erwartet andere Algorithmen (SHA/AES)
Troubleshooting-Playbook: Wenn Monitoring nichts mehr sieht
Arbeite vom Switch zur NMS: Ist die Config korrekt? Greift die ACL? Stimmen User/Algorithmen? Ist das Management-Netz erreichbar? Prüfe dann Traps separat.
show snmp user
show snmp group
show access-lists ACL-SNMP-NMS
ping 10.1.99.70
show logging | include SNMP|AUTH|FAIL
Best Practices: SNMPv3 sicher und betrieblich sauber betreiben
SNMPv3 ist nur dann wirklich „sicherer Standard“, wenn du ihn konsistent einsetzt: AuthPriv, ACLs, saubere Source-Interfaces und das Entfernen alter Communities. So reduzierst du Angriffsfläche und vermeidest Klartext-Credentials.
- AuthPriv (SHA + AES) als Standard
- Read-only Zugriff für Monitoring (Write nur in Ausnahmefällen)
- ACLs auf NMS-IPs/Subnetze, nicht „any“
- SNMPv2c Communities entfernen oder streng begrenzen
- Traps/Informs mit SNMPv3, Source-Interface auf MGMT
- NTP/Syslog aktiv, damit Events korrekt zeitlich korrelieren
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
