SNMP auf Cisco Router: Monitoring mit Zabbix/PRTG vorbereiten

SNMP ist die klassische Schnittstelle, um Cisco Router in Monitoring-Systeme wie Zabbix oder PRTG einzubinden. Damit kannst du Interface-Auslastung, Errors, CPU/Memory und Verfügbarkeit zentral überwachen. Für eine sichere Vorbereitung solltest du SNMP nicht „offen“ betreiben: nutze bevorzugt SNMPv3, begrenze Zugriffe per ACL auf deinen Monitoring-Server und aktiviere sinnvolle Traps/Logs. Dieses Tutorial zeigt praxistaugliche Konfigurationen für SNMPv3 (empfohlen) und SNMPv2c (nur wenn zwingend nötig).

Was Zabbix/PRTG typischerweise per SNMP abfragt

Die meisten Monitoring-Templates nutzen Standard-MIBs (IF-MIB, HOST-RESOURCES-MIB) plus Cisco-spezifische MIBs. Dafür muss SNMP am Router erreichbar sein und die Credentials müssen stimmen.

• Interface Status/Traffic: ifInOctets/ifOutOctets, Errors, Drops
• CPU/Memory: Auslastung, Peaks
• Uptime/Reachability: sysUpTime, sysDescr, sysName
• Optional: Routing/Neighbors, Temperatur/Spannung (plattformabhängig)

Vorbereitung: Management-IP und Zugriffspfad festlegen

SNMP sollte über ein definiertes Management-Netz laufen (z. B. Loopback oder Mgmt-VLAN). Das erleichtert ACLs, Routing und Audits. Vermeide SNMP auf untrusted Interfaces.

• Management-IP (Loopback oder Mgmt-Interface) als SNMP-Target nutzen
• Monitoring-Server-IP(s) dokumentieren (Zabbix/PRTG Probe)
• Firewall/ACL: UDP/161 (Poll), optional UDP/162 (Traps)

Management-Loopback (optional, empfohlen)

Router# configure terminal
Router(config)# interface loopback0
Router(config-if)# ip address 10.255.255.1 255.255.255.255
Router(config-if)# end

SNMPv3 vs. SNMPv2c: klare Empfehlung

SNMPv2c nutzt Community Strings (ähnlich „Passwort im Klartext“). SNMPv3 bietet Authentifizierung und Verschlüsselung (authPriv) und ist für produktive Umgebungen der Best Practice-Standard.

• SNMPv3: User, Auth (SHA), Privacy (AES) – deutlich sicherer
• SNMPv2c: Community String, ohne echte Verschlüsselung
• Für Internet-exponierte Geräte: SNMPv3 + ACL ist Pflicht

Schritt 1: Zugriff per ACL auf den Monitoring-Server begrenzen

Begrenze SNMP auf die IP(s) deiner Monitoring-Systeme. Das gilt für v2c und v3 gleichermaßen. Damit ist SNMP nicht aus beliebigen Netzen erreichbar.

Beispiel: Nur Zabbix/PRTG-Server 192.168.10.20 erlauben

Router# configure terminal
Router(config)# ip access-list standard SNMP_MGMT
Router(config-std-nacl)# permit 192.168.10.20
Router(config-std-nacl)# deny any
Router(config-std-nacl)# end

Schritt 2: SNMPv3 konfigurieren (empfohlen)

Für SNMPv3 brauchst du eine Gruppe und einen User. Best Practice ist authPriv (Authentifizierung + Verschlüsselung). Zusätzlich setzt du Kontakt/Location für bessere Inventarisierung in Zabbix/PRTG.

SNMPv3 Gruppe und User (authPriv)

Router# configure terminal
Router(config)# snmp-server contact noc@example.local
Router(config)# snmp-server location DC1-Rack12
Router(config)# snmp-server group NMS v3 priv access SNMP_MGMT

Router(config)# snmp-server user zbxuser NMS v3 auth sha Str0ngAuthP@ss priv aes 128 Str0ngPrivP@ss

Router(config)# end

Verifikation SNMPv3 Konfig

Router# show snmp user
Router# show running-config | include snmp-server

Schritt 3: SNMPv2c konfigurieren (nur wenn nötig)

Wenn dein Setup SNMPv3 nicht unterstützt, kannst du SNMPv2c nutzen – aber nur mit starker ACL und möglichst read-only. Nutze keine „public/private“ Communities.

SNMPv2c Read-Only mit ACL

Router# configure terminal
Router(config)# snmp-server community R0_Str0ngC0mm RO SNMP_MGMT
Router(config)# end

Traps: Ereignisse aktiv melden (optional, aber sinnvoll)

Polling zeigt Trends, Traps zeigen Events (Interface down/up, Cold Start). Für Zabbix/PRTG können Traps sinnvoll sein, sind aber optional. Wenn du Traps nutzt, musst du UDP/162 zum Trap-Receiver erlauben.

Trap-Host definieren (Beispiel)

Router# configure terminal
Router(config)# snmp-server enable traps
Router(config)# snmp-server host 192.168.10.20 version 3 priv zbxuser
Router(config)# end

Typische Trap-Klassen

• Link up/down
• Cold/Warm Start
• Authentication Failures (hilft bei Attack Detection)

Auth-Fail Traps aktivieren (optional)

Router# configure terminal
Router(config)# snmp-server enable traps snmp authentication
Router(config)# end

Firewall/ACL: Welche Ports müssen offen sein?

Für SNMP Polling braucht der Monitoring-Server UDP/161 zum Router. Für Traps braucht der Router UDP/162 zum Monitoring-Server. In internen Netzen wird das oft durch ACLs auf dem Management-Interface abgesichert.

• Polling: UDP/161 (NMS → Router)
• Traps: UDP/162 (Router → NMS)

Beispiel: Extended ACL für Management-Interface (optional)

ip access-list extended MGMT_IN
 permit udp host 192.168.10.20 host 10.255.255.1 eq 161
 deny ip any any
interface loopback0

ip access-group MGMT_IN in

PRTG/Zabbix Setup: Was du auf Router-Seite liefern musst

Für das Onboarding in Zabbix/PRTG brauchst du im Wesentlichen: Router-IP, SNMP-Version, Credentials (User/Pass oder Community) und ggf. SNMP-Port (Standard 161). Danach kannst du Templates/Sensoren aktivieren.

• Target: Management-IP (z. B. Loopback0)
• SNMPv3: User, Auth-Pass, Priv-Pass, Auth/Priv-Algorithmen
• SNMPv2c: Community (RO) + ACL
• Optional: Traps (Host, UDP/162, Trap-Receiver)

Troubleshooting: Wenn SNMP nicht funktioniert

SNMP-Probleme sind fast immer ACL/Routing/Version/Credentials. Prüfe zuerst Reachability (Ping), dann ACL, dann SNMP-User/Community und schließlich Traps/Ports.

• Router nicht erreichbar (Routing/Firewall)
• ACL blockiert UDP/161
• Falscher SNMPv3 User/Auth/Priv oder falsche Algorithmen
• SNMPv2c Community falsch oder nicht RO
• Traps: UDP/162 nicht erlaubt oder falscher Trap-Host

Router-Checks (Copy & Paste)

show running-config | include snmp-server
show snmp user
show access-lists SNMP_MGMT
show ip interface brief
show logging | include SNMP|AUTH

Best Practices für sicheren Betrieb

SNMP ist ein Management-Service und sollte wie SSH behandelt werden: minimal erreichbar, stark authentifiziert, gut geloggt.

• SNMPv3 authPriv bevorzugen
• Zugriff strikt per ACL auf NMS-IPs begrenzen
• RO statt RW, RW nur in Ausnahmefällen
• Traps nur gezielt aktivieren, Auth-Fail-Traps prüfen
• SNMP nicht auf untrusted Interfaces exponieren

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.