پروتکل SNMP از جمله  پروتکل های Management و مدیریتی است که اهمیت آن بر هیچ یک از مدیران شبکه پوشیده نیست. این پروتکل در سه نسخه v1 ، V2و v3 تاکنون ارائه شده است. اما متاسفانه در دو نسخه ابتدایی آن هیچ feature امنیتی بصورت integrated در آن لحاظ نشده است. این جمله دقیقا به این معناست که خطرات امنیتی نظیر Man-in-the-Middle-Attack و spoofing براحتی می تواند آن را تهدید کنند. به همین دلیل IETF استاندارد جدیدی از SNMP را ایجاد کرد که امنیت در آن تعبیه شده است.  امنیت SNMPv3 به صورت User-Based Security Model یا USM  می باشد. در SNMPv3 امکان Authorize کردن کاربری که Packet های SNMP را ارسال کرده به همراه و تعریف privacy یا encryption بر روی packet های ارسالی وجود دارد . پشتیبانی از SNMPv3 از IOS نسخه 12.0(3) آغاز شده است.
تنظیمات لازم جهت کاربری از SNMPv3 کمی با دو ورژن قبلی متفاوت است. اولین گام در تنظیم SNMPv3 تعریف engineID می باشد. پارامتر engineID  یک عبارت تا24 کاراکتر است که نشانه دهنده ID مربوط SNMP Server به صورت Localy و بر روی Device می باشد. در صورتی که این پارامتر به صورت دستی وارد نشود ، خود سیستم عددی را به آن اختصاص می دهد. اما یک نکته بسیار مهم !!! به دلیل اینکه key  های مربوط به authentication و privacy ( encryption ) کاربران از روی engineID تولید و generate می شوند ، با تغییر آن تنظیمات کاربران نیاز باید دوباره انجام شود.

snmp-rtr#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
snmp-rtr(config)#router(config)# snmp-server engineID local 9876543210
snmp-rtr(config)#do sh snmp engineID
Local SNMP engineID: 9876543210
Remote Engine ID IP-addr Port

گام بعدی تعریف کاربران هست. اما .... من یکم ترتیب را جابجا می کنم. پس گام بعدی تعریف viewهست. اما در واقع view چیست ؟ هر دستگاهی که توسط SNMP مدیریت می شود ، می بایستی حتما دارای MIB باشد. در واقع MIB یک درخت یا tree است که اطلاعات مدیریتی را شامل می شود. هر یک از اطلاعاتی که توسط SNMP دریافت می شود ، شامل یک OID است. بطور مثال جهت اطلاع از MAC address مربوط به یک interface می شود که از OID معادل 1.3.6.1.2.1.2.2.1.6 استفاده کرد. بگذریم .... View یک مجموعه از OID ها می باشد که با فرمان include به آن اضافه و exclude از آن کم می شود. در SNMPv3 به هر کاربر یک view اختصاص می یابد که امکان استفاده از OID های مجاز آن را جهت دسترسی read و / یا write تعریف می کند. در صورتی که view نعریف نشود ، امکان دریافت هیچ گونه اطلاعاتی با snmp-get یا ارسال تنظیمات با snmp-set میسر نخواهد بود

snmp-rtr(config)#snmp-server view myview mib-2 included
snmp-rtr(config)#do sh snmp view
nms-view mib-2 - included nonvolatile active

در مرحله بعد یک group  تعریف می شود. تمامی کاربران بایدحتما عضو یک گروه باشند. تمامی view هایی که تعریف شده اند به یک group اختصاص می یابد. تمامی کاربرانی که در یک گروه هستند ، دسترسی هایی مبتنی بر view تعریف شده در گروه خود دارد. نکته مهم ، یک کاربر تنها و تنها عضو یک گروه می تواند باشد. قبلا اشاره شد که امنیت کاربران بر اساس authentication و privacyتعریف میشود. خوب .... به همین دلیل سه مدل امنیتی قابل تعریف است. مدل اول noAuthNoPriv که در آن اصلا امنیتی این چنین وجود ندارد و فقط view ها راهکار امنیتی محسوب می شوند. مدل بعدی authNoPriv می باشد که در آن authentication تمامی packet های ارسالی بر اساس MD5 یا SHA1وجود دارد اما privacy وجود ندارد. آخرین مدل هم authPriv است که علاوه بر Authentication ، امکان استفاده از encryption را هم ایجاد می کند. و گام انتهایی تعریف کاربر می باشد. در صورت استفاده از هر authentication و/ یا privacy تعریف password برای آنها الزامی است. به علاوه ، در صورتی که قصد محدود کردن دسترسی گروه و یا کاربران را بر اساس IP دارید ، می توانید از فرمان access استفاده کرده و سپس شماره یا نام   ACL مربوطه را ذکر کنید.

snmp-rtr(config)#access-list 10 remark NMS-ACCESS
snmp-rtr(config)#access-list 10 permit 192.168.1.0 255.255.255.0
snmp-rtr(config)#snmp-server group NMS v3 priv read nms-view access 10
snmp-rtr(config)#do sh snmp group
groupname: NMS       security model:v3 priv
readview : myview      writeview:
snmp-rtr(config)#snmp-server user net-snmp-tool NMS v3 auth ?
md5   Use HMAC MD5 algorithm for authentication
sha   Use HMAC SHA algorithm for authentication
snmp-rtr(config)#$user net-snmp-tool NMS v3 auth sha auth-pass priv ?
  3des   Use 168 bit 3DES algorithm for encryption
  aes   Use AES algorithm for encryption
  des   Use 56 bit DES algorithm for encryption
snmp-rtr(config)#$NMS v3 auth sha auth-pass priv aes 192 pri-pass
snmp-rtr(config)#do sh snmp user

User name:   net-snmp-tool
Engine ID:   9876543210
storage-type:   nonvolatile    active
Authentication Protocol:   SHA
Privacy Protocol:   AES192
Group-name:   NMS

C:\Users\iman>snmpget -v3 -u net-snmp-tool -l authPriv -a sha
-A auth-pass -X pri-pass 192.168.1.2 sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (652669) 1:48:46.69