snmp
Snmp协议
SNMP概述:
SNMP是一种简单网络管理协议,它属于TCP/IP五层协议中的应用层协议,用于网络管理的协议。SNMP主要用于网络设备的管理。由于SNMP协议简单可靠 ,受到了众多厂商的欢迎,成为了目前最为广泛的网管协议。
SNMP架构:
NMS(网络管理系统)是运行在网管主机上的网络管理软件。
Agent是运行在被管理设备上的代理进程。被管理设备在收到NMS的请求后,由Agent做出响应。
MIB(管理数据库)是一个虚拟数据库,Agent通过查找MIB收集设备状态信息。
SNMP采用UDP协议在管理端和agent之间传输信息。 SNMP采用UDP 161端口接收和发送请求,162端口接收trap,执行SNMP的设备缺省都必须采用这些端口。SNMP消息全部通过UDP端口161接收,只有Trap信息采用UDP端口162
SNMP版本:
SNMPV1:NMS和Agent之间通过交互SNMPV1报文实现对设备的管理。V1版本没有安全性。
SNMPV2C:在V1版本的基础上增加了安全性。
SNMPV3:在V2的基础上完善了安全性,模块化的设计思想,适用于多种操作环境,满足复杂网络的管理需求。
SNMP配置:
[RTA]snmp-agent //开启snmp代理
[RTA]snmp-agent sys-info version v2c //设置设备运行的snmp版本
[RTA]snmp-agent trap enble //开启向NMS发送告警消息功能
[RTA]snmp-agent trap source GE0/0/1 //指定发送trap消息的接口
[RTA] snmp-agent target-host trap address udp-domain 10.1.2.10 udp-port 50000 params securityname user001 v3 privacy //配置trap消息发送的网管地址
[RTA]display snmp-agent sys-info //查看snmp配置信息
[RTA]snmp-agent sys-info version v2c
[RTA]snmp-agent community write community001 mib-view WriteView //设置读写团体名
限制网管对设备的管理
有三种方式可以实现,ACL、MIB、ACL和MIB的组合
ACL方式:
1.创建acl
<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] rule deny source any
[HUAWEI-acl-basic-2001] quit
匹配acl
SNMPv1或SNMPv2c |
[HUAWEI] snmp-agent community write cipher market acl 2001 |
SNMPv3
|
基于单个SNMPv3用户: [HUAWEI] snmp-agent usm-user v3 acl 2001 基于SNMPv3用户组: [HUAWEI] snmp-agent group admin privacy acl 2001 |
任一SNMP协议版 本 |
[HUAWEI] snmp-agent acl 2001
|
MIB方式:
1. 创建MIB视图
<HUAWEI> system-view
[HUAWEI] snmp-agent mib-view included alliso iso
2. 将MIB视图alliso作为过滤规则
SNMPv1或SNMPv2c |
[HUAWEI] snmp-agent community write cipher market mib-view alliso |
SNMPv3
|
仅支持基于用户组进行配置: [HUAWEI] snmp-agent group admin privacy write-view alliso |
ACL 和 MIB 组合方式:
对于使用SNMPv1或SNMPv2c协议的网管,可以同时使用ACL和MIB视图限制网管对设备的管理。
第一种组合方式:先配置ACL,再配置MIB视图;或者先配置MIB视图,再配置ACL。
第二种组合方式:对于使用SNMPv1或SNMPv2c协议的网管,可以通过同时指定ACL和MIB视图对网管进行限制。
[HUAWEI] snmp-agent community write cipher market mib-view alliso acl 2001
SNMP典型配置实例
一、配置使用 SNMPv1 与网管通信示例:
组网需求
如图16-1所示,现有网络中网管服务器对网络中的设备进行监管,由于网络规模较小,安全性较高等因素,在规划时配置交换机使用SNMPv1版本与网管进行通信。现在新增一台交换机,用户希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。
图 16-1 配置使用 SNMPv1 与网管通信组网图
配置思路
采用如下思路配置SNMP:
1. 配置交换机的SNMP版本为v1,允许版本为v1的网管管理设备。
2. 配置访问控制,只允许指定IP地址的网管读写交换机指定MIB。
3. 配置团体名,在网管上添加设备时,使用团体名进行认证。
4. 配置告警主机,并使能设备主动发送Trap消息的功能。
5. 在网管上添加设备,网管上使用的团体名和设备保持一致,才能正常管理设备。
操作步骤
步骤1
配置交换机的SNMP版本为v1,允许版本为v1的网管管理交换机。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] snmp-agent sys-info version v1 //缺省情况下仅支持SNMPv3版本。
步骤2
配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。
# 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。
[Switch] snmp-agent mib-view included isoview01 system //配置MIB视图isoview01能够访问system子树。
[Switch] snmp-agent mib-view included isoview02 interfaces //配置MIB视图isoview02能够访问interfaces子树。
步骤3
配置团体名,在网管上添加交换机时,使用团体名进行认证,并应用访问控制,使访问控制功能生效。
[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //配置adminnms01对system子树具有只读权限。
[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //配置adminnms02对interface子树具有读写权限。
步骤4
配置告警主机,并使能交换机主动发送Trap消息的功能。
[Switch] snmp-agent trap enable
Warning: All switches of SNMP ìà†ÝȍnÑì²fic†ì²Ñn will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v1
步骤5
在网管上添加交换机。
配置文件
Switch的配置文件
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview01 acl 2001
snmp-agent community write
cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview02 acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!
YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
return
二、配置使用 SNMPv2c 与网管通信示例
组网需求
如图16-2所示,现有网管对网络中的设备进行监管。由于网络规模较大,安全性较高,但运行的业务较为繁忙,在规划时交换机使用SNMPv2c版本与网管进行通信。现在由于扩容需要,新增一台交换机,用户希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。
图 16-2 配置使用 SNMPv2c 与网管通信组网图
配置思路
采用如下思路配置SNMP:
1. 配置交换机的SNMP版本为v2c,允许版本为v2c的网管管理交换机。
2. 配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。
3. 配置团体名,在网管上添加交换机时,使用团体名进行认证。
4. 配置告警主机,并使能交换机主动发送Trap消息的功能。
5. 在网管上添加交换机,网管上使用的团体名和交换机保持一致,才能正常管理交换机。
操作步骤
步骤1
配置交换机的SNMP版本为v2c,允许版本为v2c的网管管理交换机。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] snmp-agent sys-info version v2c //缺省情况下仅支持SNMPv3版本。
步骤2
配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。
# 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。
[Switch] snmp-agent mib-view included isoview01 system //配置MIB视图isoview01能够访问system子树。
[Switch] snmp-agent mib-view included isoview02 interfaces //配置MIB视图isoview02能够访问interfaces子树。
步骤3
配置团体名,在网管上添加交换机时,使用团体名进行认证,并应用访问控制,使访问控制功能生效。
[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //配置adminnms01对system子树具有只读权限。
[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //配置adminnms02对interface子树具有读写权限。
步骤4
配置告警主机,并使能交换机主动发送Trap消息的功能。
[Switch] snmp-agent trap enable
Warning: All switches of SNMP ìà†ÝȍnÑì²fic†ì²Ñn will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v2c
步骤5
在网管上添加交换机。
配置文件
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview01 acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md
%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview02 acl 2001
snmp-agent sys-info version v2c v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!
YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%# v2c
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
Return
三、配置使用 SNMPv3 与网管通信示例
组网需求
如图16-3所示,现有网络中网管对设备进行监管,由于网络规模较大,安全性较低,在规划时配置交换机使用SNMPv3版本与网管进行通信,并配置认证加密功能保证安全性。用户现在新增一台交换机,希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。
图 16-3 配置使用 SNMPv3 与网管通信组网图
配置思路
采用如下思路配置SNMP:
1. 配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。
2. 配置访问控制,只允许指定的IP地址读写交换机指定的MIB。
3. 配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。
4. 配置告警主机,并使能交换机主动发送Trap消息的功能。
5. 在网管上添加交换机,网管上使用的用户组和用户与交换机保持一致,才能正常
管理交换机。
操作步骤
步骤1
配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] snmp-agent sys-info version v3 //缺省情况下支持SNMPv3版本,当交换机未去使能SNMPv3版本时,该命令可以不配置。
步骤2
配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。
# 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。
[Switch] snmp-agent mib-view included isoview iso //配置MIB视图isoview能够访问iso子树。
步骤3
配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。
# 配置用户组名为group001,安全级别为privacy,并应用访问控制,限制网管对交换机的管理。
[Switch] snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view
isoview acl 2001
# 配置一个SNMPv3用户,用户名为user001,归属于group001组。
[Switch] snmp-agent usm-user v3 user001 group group001
# 配置用户的认证算法为sha(HMAC-SHA-96),认证密码为Authe@1234。
[Switch] snmp-agent usm-user v3 user001 authentication-mode sha
Please cÑnfiªñàž the authentication password (8-64)
Enter Password: //输入认证密码
Ñnfiàm Password: //确认认证密码
说明
V200R003C00之前版本配置用户名的命令行为snmp-agent usm-user v3 user001 group001
authentication-mode sha Authe@1234 privacy-mode des56 Priva@1234。
V200R019C00及后续版本,系统软件中不包含sha参数,如需使用,需要安装弱加密算法插件(V200R019C00版本是SHA1插件,V200R019C10及后续版本为WEAKEA插件),但是该算法安全性低。为了保证更好的安全性,建议配置sha2-256参数(HMAC-SHA2-256-192算法)。
# 配置用户的加密算法为aes256(AES-256),加密密码为Priva@1234。
[Switch] snmp-agent usm-user v3 user001 privacy-mode aes128
Please cÑnfiªñàž the privacy password (8-64)
Enter Password: //输入加密密码
Ñnfiàm Password: //确认加密密码
步骤4
配置告警主机,并使能交换机主动发送Trap消息的功能。
[Switch] snmp-agent trap enable
Warning: All switches of SNMP ìà†ÝȍnÑì²fic†ì²Ñn will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机,缺省情况发送Trap的UDP端口号为162,安全名和用户名必须保持一致,否则网管无法管理设备。
步骤5
在网管上添加交换机
配置文件
#
sysname Switch
#
acl number 2001
rule 5 permit source 10.1.1.1 0
rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent sys-info version v3
snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view isoview acl 2001
nmp-agent mib-view included isoview iso
snmp-agent usm-user v3 user001
snmp-agent usm-user v3 user001 group group001
snmp-agent usm-user v3 user001 authentication-mode sha cipher %^%#*2C
%=4LZn1L>ni9xaybHdbXFW&[c_Wv0m!0MpTj!%^%#
snmp-agent usm-user v3 user001 privacy-mode aes128 cipher %^%#i\Fv-cC(u)+x26S2'rEX<.;V+e~nP)*.J
$Ulr($/%^%#
snmp-agent trap enable
#
return