SNMP配置

转自乖宝宝jack 的BLOG http://zerozerozero.blog.51cto.com/4057597/816148

SNMP配置

SNMP简介

目前网络中用得最广泛的网络管理协议是SNMP（Simple Network Management Protocol，简单网络管理协议）。SNMP是被广泛接受并投入使用的工业标准，用于保证管理信息在网络中任意两点间传送，便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告。

    SNMP的前身是简单网关监控协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB：体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。

SNMP由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema），和一组资料物件。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组（IETF，Internet Engineering Task Force）定义的internet协议簇的一部分。

SNMP风险

接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。　　

根据SANS协会的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于网络边缘的设备（防火墙保护圈之外的设备）上运行，进一步加剧了SNMP带来的风险。

SNMP采用轮询机制，只提供最基本的功能集，特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议UDP，因此可以实现和众多产品的无障碍连接。

    SNMP的工作机制

    SNMP分为NMS和Agent两部分： 

    NMS（Network Management Station，网络管理站）是运行客户端程序的工作站，目前常用的网管平台有QuidView、Sun NetManager和IBM NetView。

    Agent是运行在网络设备上的服务器端软件。

    NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文，Agent接收到NMS的这些请求报文后，根据报文类型进行Read或Write操作，生成Response报文，并将报文返回给NMS。

    Agent在设备发生异常情况或状态改变时（如设备重新启动），也会主动向NMS发送Trap报文，向NMS汇报所发生的事件。

    SNMP的版本

    目前，设备中的SNMP Agent支持SNMP v3版本，兼容SNMP v1版本、SNMP v2C版本。

    SNMP v3采用用户名和密码认证方式。

    SNMP v1、SNMP v2C采用团体名（Community Name）认证，非设备认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用，可以限制SNMP NMS访问设备上的SNMP Agent。用户可以选择指定以下一个或者多个与团体名相关的特性： 

    定义团体名可以访问的MIB视图。

    设置团体名对MIB对象的访问权限为读写权限（write）或者只读权限（read）。具有只读权限的团体名只能对设备信息进行查询，而具有读写权限的团体名还可以对设备进行配置。

    设置团体名指定的基本访问控制列表。 

    设备支持的MIB 在SNMP报文中用管理变量来描述设备中的管理对象。为了唯一标识设备中的管理对象，SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树，树的节点表示管理对象，如下图1-1所示。每一个节点，都可以用从根开始的一条路径唯一地标识。

    MIB（Management Information Base，管理信息库）的作用就是用来描述树的层次结构，它是所监控网络设备的标准变量定义的集合。在图1-1中，管理对象B可以用一串数字{1.2.1.1}唯一确定，这串数字是管理对象的对象标识符（Object Identifier）。

系统支持的常见MIB如下表1-1所示。

 

 

配置SNMP基本功能

SNMP v3版本和SNMP v1版本、SNMP v2C版本的配置有较大区别，在配置SNMP的基本功能时分为两种情况进行介绍。具体的配置见表1-2和表1-3。

 

 

 

配置Trap 

Trap是被管理设备不经请求，主动向NMS发送的信息，用于报告一些紧急的重要事件（如被管理设备重新启动等）。

配置准备

完成SNMP基本配置。

配置过程

 

SNMP显示和维护

在完成上述配置后，在任意视图下执行display命令，均可以显示配置后SNMP的运行情况，通过查看显示信息，来验证配置的效果。

 

 

案例：

实验拓扑：

 

R12

int e0

ip add 192.168.2.254 24

int s0

ip add 192.168.3.1 24

ip rout 192.168.4.0 24 192.168.3.2 

local user1 pass sim 123 service-type admin

snmp-agent

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info location zongbu

snmp-agent sys-info contact user1

snmp-agent sys-info version all

snmp-agent trap enable

snmp-agent trap enable standard authentication

snmp-agent trap enable standard coldstart

snmp-agent trap enable standard linkup

snmp-agent trap enable standard linkdown

snmp-agent trap enable standard warmstart

snmp-agent target-host trap address 192.168.2.200 sec public

R2

int s0

ip add 192.168.3.2 24

shut

un sh

int e0

ip add 192.168.4.254 24

quit

ip route 192.168.2.0 24 192.168.3.1

ping 192.168.2.254 

snmp-agent community read public 

snmp-agent community write private

snmp-agent sys-info version all

snmp-agent sys-info location branch

snmp-agent sys-info contact user2

snmp-agent trap enable

snmp-agent trap enable standard authentication

snmp-agent trap enable standard coldstart

snmp-agent trap enable standard warmstart

snmp-agent trap enable standard linkdown

snmp-agent trap enable standard linkup 

snmp-agent target-host trap add 192.168.2.200 sec public

SW3

int Vlan-interface 1

ip add 192.168.4.23 24

quit

ip route-static 0.0.0.0 0.0.0.0 192.168.4.254

ping 192.168.2.254

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info contact user3

snmp-agent sys-info location branch-1-jifang

snmp-agent sys-info version all

snmp-agent trap enable

snmp-agent trap enable standard authentication

snmp-agent trap enable standard coldstart

snmp-agent trap enable standard warmstart

snmp-agent trap enable standard linkup

snmp-agent trap enable standard linkdown

snmp-agent traget-host trap address udp-domain 192.168.2.200 

params securityname public

linux

安装net-snmp.i386

vim /etc/snmp/snmp.conf 

rocommunity public

rwcommunity private

service snmpd restart