Case Study: Migration von SNMPv2 zu SNMPv3 ohne Monitoring-Downtime

Die Migration von SNMPv2 zu SNMPv3 ist ein zentraler Schritt, um Netzwerkgeräte sicherer zu überwachen. Während SNMPv2 unverschlüsselte Community-Strings nutzt und anfällig für Sniffing oder Device Enumeration ist, bietet SNMPv3 Authentifizierung und Verschlüsselung. In dieser Case Study wird eine praxisorientierte Vorgehensweise beschrieben, um die Migration durchzuführen, ohne dass es zu Monitoring-Downtime kommt.

Ausgangslage: SNMPv2 Umgebung

Vor der Migration waren alle Router und Switches in den Filialen über SNMPv2c überwacht. Typische Probleme:

• Community-Strings wie public und private verwendet
• Monitoring-Server hatten vollständigen Lesezugriff auf alle Geräte
• Keine Verschlüsselung, anfällig für MitM-Angriffe
• SNMP-Traps unverschlüsselt, teilweise an mehrere Server gesendet

Router(config)# snmp-server community public RO
Router(config)# snmp-server host 10.10.10.100 version 2c public

Planung der Migration

Wesentliche Schritte zur Vorbereitung:

• Inventarisierung aller SNMPv2c-konfigurierten Geräte
• Erstellung von SNMPv3-Benutzern und Gruppen
• Festlegung der Authentifizierungs- und Verschlüsselungsmechanismen (SHA + AES empfohlen)
• Planung paralleler SNMPv2c- und SNMPv3-Konfiguration für Test und Übergangsphase
• Definition von Management-Subnetzen für die Traps und Polling-Server

Schritt 1: SNMPv3 Benutzer und Gruppen erstellen

Für jeden Monitoring-Zugang wird ein Benutzer mit Authentifizierung und Verschlüsselung angelegt:

Router(config)# snmp-server group NETOPS v3 auth
Router(config)# snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass

Empfehlung:

• Benutzer pro Monitoring-System anlegen
• Starke Passwörter und AES 128/256 verwenden
• Auth + Privileges aktivieren, um Lesezugriffe sicher zu machen

Schritt 2: Parallelbetrieb von SNMPv2c und SNMPv3

Um Monitoring-Downtime zu vermeiden, wird SNMPv2c zunächst parallel betrieben:

Router(config)# snmp-server host 10.10.10.100 version 2c public
Router(config)# snmp-server host 10.10.10.100 version 3 auth netadmin

Vorteile:

• Monitoring-Server können bereits SNMPv3 testen
• Fehler oder Berechtigungsprobleme können erkannt werden, ohne den Service zu unterbrechen
• Schrittweise Migration möglich

Schritt 3: Monitoring-Server konfigurieren

Die Monitoring-Software muss SNMPv3 unterstützen und die neuen Benutzer nutzen:

• AuthProtocol: SHA
• PrivProtocol: AES 128/256
• Trap-Konfiguration auf autorisierte Management-Subnetze beschränken
• Polling-Intervalle anpassen, um parallele Tests zu ermöglichen

# Beispiel für SNMPv3-Konfiguration in Monitoring-Tool
Host: 10.10.10.1
SNMP Version: 3
User: netadmin
AuthProtocol: SHA
AuthPass: AuthPass
PrivProtocol: AES
PrivPass: PrivPass
Access: Read-Only

Schritt 4: Test und Validierung

Vor Deaktivierung von SNMPv2c:

• Alle Geräte mit SNMPv3 erfolgreich pollen
• Traps korrekt empfangen und verarbeitet
• Logs und Monitoring-Dashboards überprüfen
• Fehlerhafte Konfigurationen korrigieren

show snmp user
show snmp group
show snmp host
show logging

Schritt 5: SNMPv2c deaktivieren

Nach erfolgreichem Test kann SNMPv2c entfernt werden:

Router(config)# no snmp-server community public
Router(config)# no snmp-server host 10.10.10.100 version 2c

Damit ist der Traffic verschlüsselt und sicher.

Schritt 6: Dokumentation und Reporting

Abschließend sollten alle Änderungen dokumentiert werden:

• SNMPv3-Benutzer, Gruppen und Rechte
• Trap-Hosts und Polling-Server
• Testprotokolle während Parallelbetrieb
• Datum der Deaktivierung von SNMPv2c
• Monitoring- und Audit-Reports

Lessons Learned

• Parallelbetrieb verhindert Monitoring-Downtime
• SNMPv3 bietet verschlüsselte und auditable Zugänge
• Segmentierung von Management-Traffic erhöht Sicherheit
• AAA-Integration verbessert Kontrolle und Auditfähigkeit
• Regelmäßige Key- und Passwortrotation schützt vor Kompromittierungen
• Dokumentation ist entscheidend für Compliance und zukünftige Änderungen

Praktische CLI-Zusammenfassung

snmp-server group NETOPS v3 auth
snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass
snmp-server host 10.10.10.100 version 3 auth netadmin
snmp-server host 10.10.10.100 version 2c public
# Nach Testphase
no snmp-server community public
no snmp-server host 10.10.10.100 version 2c

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.