snmp

Snmp协议

SNMP概述:

SNMP是一种简单网络管理协议,它属于TCP/IP五层协议中的应用层协议,用于网络管理的协议。SNMP主要用于网络设备的管理。由于SNMP协议简单可靠 ,受到了众多厂商的欢迎,成为了目前最为广泛的网管协议。

SNMP架构:

NMS(网络管理系统)是运行在网管主机上的网络管理软件。

Agent是运行在被管理设备上的代理进程。被管理设备在收到NMS的请求后,由Agent做出响应。

MIB(管理数据库)是一个虚拟数据库,Agent通过查找MIB收集设备状态信息。

 

SNMP采用UDP协议在管理端和agent之间传输信息。 SNMP采用UDP 161端口接收和发送请求,162端口接收trap,执行SNMP的设备缺省都必须采用这些端口。SNMP消息全部通过UDP端口161接收,只有Trap信息采用UDP端口162

SNMP版本:

SNMPV1:NMS和Agent之间通过交互SNMPV1报文实现对设备的管理。V1版本没有安全性。

SNMPV2C:在V1版本的基础上增加了安全性。

SNMPV3:在V2的基础上完善了安全性,模块化的设计思想,适用于多种操作环境,满足复杂网络的管理需求。

SNMP配置:

[RTA]snmp-agent  //开启snmp代理

[RTA]snmp-agent sys-info version v2c  //设置设备运行的snmp版本

[RTA]snmp-agent trap enble  //开启向NMS发送告警消息功能

[RTA]snmp-agent trap source GE0/0/1  //指定发送trap消息的接口

[RTA] snmp-agent target-host trap address udp-domain 10.1.2.10 udp-port 50000 params securityname user001 v3 privacy  //配置trap消息发送的网管地址

[RTA]display snmp-agent sys-info  //查看snmp配置信息

 

[RTA]snmp-agent sys-info version v2c  

[RTA]snmp-agent community write community001 mib-view WriteView //设置读写团体名

 

限制网管对设备的管理

有三种方式可以实现,ACL、MIB、ACL和MIB的组合

ACL方式:

1.创建acl

<HUAWEI> system-view

[HUAWEI] acl 2001

[HUAWEI-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255

[HUAWEI-acl-basic-2001] rule deny source any

[HUAWEI-acl-basic-2001] quit

匹配acl

SNMPv1或SNMPv2c

[HUAWEI] snmp-agent community write cipher market acl 2001

SNMPv3

 

基于单个SNMPv3用户:

[HUAWEI] snmp-agent usm-user v3 acl 2001

基于SNMPv3用户组:

[HUAWEI] snmp-agent group admin privacy acl 2001

任一SNMP协议版

[HUAWEI] snmp-agent acl 2001

 

MIB方式:

1. 创建MIB视图

<HUAWEI> system-view

[HUAWEI] snmp-agent mib-view included alliso iso  

2. 将MIB视图alliso作为过滤规则

SNMPv1或SNMPv2c

[HUAWEI] snmp-agent community write cipher market mib-view alliso

SNMPv3

 

仅支持基于用户组进行配置:

[HUAWEI] snmp-agent group admin privacy write-view alliso

ACL 和 MIB 组合方式:

对于使用SNMPv1或SNMPv2c协议的网管,可以同时使用ACL和MIB视图限制网管对设备的管理。

第一种组合方式:先配置ACL,再配置MIB视图;或者先配置MIB视图,再配置ACL。

第二种组合方式:对于使用SNMPv1或SNMPv2c协议的网管,可以通过同时指定ACL和MIB视图对网管进行限制。

[HUAWEI] snmp-agent community write cipher market mib-view alliso acl 2001

 

SNMP典型配置实例

一、配置使用 SNMPv1 与网管通信示例

组网需求

如图16-1所示,现有网络中网管服务器对网络中的设备进行监管,由于网络规模较小,安全性较高等因素,在规划时配置交换机使用SNMPv1版本与网管进行通信。现在新增一台交换机,用户希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。

16-1 配置使用 SNMPv1 与网管通信组网图

 

配置思路

采用如下思路配置SNMP:

1. 配置交换机的SNMP版本为v1,允许版本为v1的网管管理设备。

2. 配置访问控制,只允许指定IP地址的网管读写交换机指定MIB。

3. 配置团体名,在网管上添加设备时,使用团体名进行认证。

4. 配置告警主机,并使能设备主动发送Trap消息的功能。

5. 在网管上添加设备,网管上使用的团体名和设备保持一致,才能正常管理设备。

操作步骤

步骤1

配置交换机的SNMP版本为v1,允许版本为v1的网管管理交换机。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] snmp-agent sys-info version v1 //缺省情况下仅支持SNMPv3版本。

步骤2

配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。

# 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。

[Switch] acl 2001

[Switch-acl-basic-2001] rule permit source 10.1.1.1 0

[Switch-acl-basic-2001] rule deny

[Switch-acl-basic-2001] quit

# 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。

[Switch] snmp-agent mib-view included isoview01 system //配置MIB视图isoview01能够访问system子树。

[Switch] snmp-agent mib-view included isoview02 interfaces //配置MIB视图isoview02能够访问interfaces子树。

步骤3

配置团体名,在网管上添加交换机时,使用团体名进行认证,并应用访问控制,使访问控制功能生效。

[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //配置adminnms01对system子树具有只读权限。

[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //配置adminnms02对interface子树具有读写权限。

步骤4

配置告警主机,并使能交换机主动发送Trap消息的功能。

[Switch] snmp-agent trap enable

Warning: All switches of SNMP ìà†ÝȍnÑì²fic†ì²Ñn will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。

[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v1

步骤5

在网管上添加交换机。

配置文件

Switch的配置文件

#

sysname Switch

#

acl number 2001

 rule 5 permit source 10.1.1.1 0

 rule 10 deny

#

snmp-agent

snmp-agent local-engineid 800007DB03360102101100

snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview01 acl 2001

snmp-agent community write

cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview02 acl 2001

snmp-agent sys-info version v1 v3

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!

YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#

snmp-agent mib-view included isoview01 system

snmp-agent mib-view included isoview02 interfaces

snmp-agent trap enable

#

return

二、配置使用 SNMPv2c 与网管通信示例

组网需求

如图16-2所示,现有网管对网络中的设备进行监管。由于网络规模较大,安全性较高,但运行的业务较为繁忙,在规划时交换机使用SNMPv2c版本与网管进行通信。现在由于扩容需要,新增一台交换机,用户希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。

16-2 配置使用 SNMPv2c 与网管通信组网图

 

 

 

配置思路

采用如下思路配置SNMP:

1. 配置交换机的SNMP版本为v2c,允许版本为v2c的网管管理交换机。

2. 配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。

3. 配置团体名,在网管上添加交换机时,使用团体名进行认证。

4. 配置告警主机,并使能交换机主动发送Trap消息的功能。

5. 在网管上添加交换机,网管上使用的团体名和交换机保持一致,才能正常管理交换机。

操作步骤

步骤1

配置交换机的SNMP版本为v2c,允许版本为v2c的网管管理交换机。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] snmp-agent sys-info version v2c //缺省情况下仅支持SNMPv3版本。

步骤2

配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。

# 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。

[Switch] acl 2001

[Switch-acl-basic-2001] rule permit source 10.1.1.1 0

[Switch-acl-basic-2001] rule deny

[Switch-acl-basic-2001] quit

# 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。

[Switch] snmp-agent mib-view included isoview01 system //配置MIB视图isoview01能够访问system子树。

[Switch] snmp-agent mib-view included isoview02 interfaces //配置MIB视图isoview02能够访问interfaces子树。

步骤3

配置团体名,在网管上添加交换机时,使用团体名进行认证,并应用访问控制,使访问控制功能生效。

[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001 //配置adminnms01对system子树具有只读权限。

[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001 //配置adminnms02对interface子树具有读写权限。

步骤4

配置告警主机,并使能交换机主动发送Trap消息的功能。

[Switch] snmp-agent trap enable

Warning: All switches of SNMP ìà†ÝȍnÑì²fic†ì²Ñn will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。

[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v2c

步骤5

在网管上添加交换机。

配置文件

#

sysname Switch

#

acl number 2001

rule 5 permit source 10.1.1.1 0

rule 10 deny

#

snmp-agent

snmp-agent local-engineid 800007DB03360102101100

snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview01 acl 2001

snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md

%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview02 acl 2001

snmp-agent sys-info version v2c v3

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!

YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%# v2c

snmp-agent mib-view included isoview01 system

snmp-agent mib-view included isoview02 interfaces

snmp-agent trap enable

#

Return

三、配置使用 SNMPv3 与网管通信示例

组网需求

如图16-3所示,现有网络中网管对设备进行监管,由于网络规模较大,安全性较低,在规划时配置交换机使用SNMPv3版本与网管进行通信,并配置认证加密功能保证安全性。用户现在新增一台交换机,希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。

16-3 配置使用 SNMPv3 与网管通信组网图

 

配置思路

采用如下思路配置SNMP:

1. 配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。

2. 配置访问控制,只允许指定的IP地址读写交换机指定的MIB。

3. 配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。

4. 配置告警主机,并使能交换机主动发送Trap消息的功能。

5. 在网管上添加交换机,网管上使用的用户组和用户与交换机保持一致,才能正常

管理交换机。

操作步骤

步骤1

配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] snmp-agent sys-info version v3 //缺省情况下支持SNMPv3版本,当交换机未去使能SNMPv3版本时,该命令可以不配置。

步骤2

配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。

# 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。

[Switch] acl 2001

[Switch-acl-basic-2001] rule permit source 10.1.1.1 0

[Switch-acl-basic-2001] rule deny

[Switch-acl-basic-2001] quit

# 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。

[Switch] snmp-agent mib-view included isoview iso //配置MIB视图isoview能够访问iso子树。

步骤3

配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。

# 配置用户组名为group001,安全级别为privacy,并应用访问控制,限制网管对交换机的管理。

[Switch] snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view

isoview acl 2001

# 配置一个SNMPv3用户,用户名为user001,归属于group001组。

[Switch] snmp-agent usm-user v3 user001 group group001

# 配置用户的认证算法为sha(HMAC-SHA-96),认证密码为Authe@1234。

[Switch] snmp-agent usm-user v3 user001 authentication-mode sha

Please cÑnfiªñàž the authentication password (8-64)

Enter Password: //输入认证密码

Ñnfiàm Password: //确认认证密码

说明

V200R003C00之前版本配置用户名的命令行为snmp-agent usm-user v3 user001 group001

authentication-mode sha Authe@1234 privacy-mode des56 Priva@1234。

V200R019C00及后续版本,系统软件中不包含sha参数,如需使用,需要安装弱加密算法插件(V200R019C00版本是SHA1插件,V200R019C10及后续版本为WEAKEA插件),但是该算法安全性低。为了保证更好的安全性,建议配置sha2-256参数(HMAC-SHA2-256-192算法)。

# 配置用户的加密算法为aes256(AES-256),加密密码为Priva@1234。

[Switch] snmp-agent usm-user v3 user001 privacy-mode aes128

Please cÑnfiªñàž the privacy password (8-64)

Enter Password: //输入加密密码

Ñnfiàm Password: //确认加密密码

步骤4

配置告警主机,并使能交换机主动发送Trap消息的功能。

[Switch] snmp-agent trap enable

Warning: All switches of SNMP ìà†ÝȍnÑì²fic†ì²Ñn will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。

[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机,缺省情况发送Trap的UDP端口号为162,安全名和用户名必须保持一致,否则网管无法管理设备。

步骤5

在网管上添加交换机

配置文件

#

sysname Switch

#

acl number 2001

 rule 5 permit source 10.1.1.1 0

 rule 10 deny

#

snmp-agent

snmp-agent local-engineid 800007DB03360102101100

snmp-agent sys-info version v3

snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view isoview acl 2001

nmp-agent mib-view included isoview iso

snmp-agent usm-user v3 user001

snmp-agent usm-user v3 user001 group group001

snmp-agent usm-user v3 user001 authentication-mode sha cipher %^%#*2C

%=4LZn1L>ni9xaybHdbXFW&[c_Wv0m!0MpTj!%^%#

snmp-agent usm-user v3 user001 privacy-mode aes128 cipher %^%#i\Fv-cC(u)+x26S2'rEX<.;V+e~nP)*.J

$Ulr($/%^%#

snmp-agent trap enable

#

return

posted @ 2021-07-15 11:26  小蟋帅  阅读(1845)  评论(0编辑  收藏  举报