SNMP笔记

最新推荐文章于 2024-11-19 11:15:13 发布
最新推荐文章于 2024-11-19 11:15:13 发布
阅读量791 收藏 7
点赞数 4
文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34135099/article/details/137975477
版权
随心随写的运维
随心随写的运维

SNMP 笔记

1、什么是 SNMP?

snmp 可以用于管理网元(通常用于监控告警),当前涵盖三个版本分别是 SNMPv1、SNMPv2c 和 SNMPv3,其中 v1 几乎看不到了。从安全性上讲 v1<v2<v3。对于刚使用的人映像最深的就是 v2 只有一个密码,而 v3 是有两个密码,且还要选择两套加密算法(相当的安全)。不过在我眼里设备管理口都在纯内网,而且如果配置成只读,能获取到的也就是一些监控数据,用 V3 纯粹是折腾自己,因为很多人不大熟悉,配置的时候那边加密算法写错对不齐或者配置好以后搞不清哪个是用的哪个加密算法的密码或者压根不大会配置,还有很多设备上加密算法都是简写的,具体是哪个加密算法版本只能靠猜,而且监控工具的所带的加密算法版本还不一定匹配,都是需要一起调测。

从方向性上讲 snmp 可以使用 trap 主动发送告警数据(默认对端接收端口为 UDP162);还有一种是被动等待对端过来获取(默认本端监听端口是 UDP161),可以使用 snmpwalk 获取数据。

2、SNMP 有哪些参数配置,具体是什么?

v2v3 相同参数:

1、get 和 set 的权限(读写权限); 2、监听 UDP 的端口号;

v2v3 参数区别:

1、SNMPv2

  • 比较简单唯一的参数只有一个团体名( community),甚至没有用户名;

2、SNMPv3

  • User Name:v3 中会使用用户名进行认证。
  • Authentication Password:认证密码,使用(MD5 和 SHA)验证协议对密码加密。
  • Privacy Password: 隐私密码,使用(DES 或 AES)隐私协议对数据加密。

补充:

snmp 是一种协议,v1-v3 都是协议的版本;另外还有 Net-SNMP lib 是 snmp 代码库,我工作至今接触已有不下 5 千台设备,有 90%以上设备的 snmp 代码库版本都是<=5.7 的。最新 5.8 及以上版本(此版本官方连版本修订报告[1]都还没有)是可以选择更多的加密协议(比如 AES-192,AES-256,SHA256 等等)。5.7 以下则不支持,默认使用的加密协议是 SHA1 和 AES128。

3、网元设备中配置 SNMP 监控要注意哪些?

在说注意点之前,先说下 snmp 常用工具,有 snmpset、snmpget、snmpwalk、snmptrap。

snmpset: snmpset -v 2c -c public 192.168.201.97 1.3.6.1.2.1.1.6.0 s "Server Room" #oid为‘1.3.6.1.2.1.1.6.0’对应的是主机名,这里代表将主机名改成"Server Room"
snmpwalk: snmpwalk -v 2c -c huawei@public 192.168.201.97 #获取所有的数据
snmptrap: snmptrap -v 1 -c public 192.168.1.100 '.1.3.6.1.4.1.9.0.1' '0.0.0.0' 6 33 '55' .1.3.6.1.4.1.9.0.1 s "LOGIN" #发送LOGIN消息到网管192.168.1.100中,网管的snmptrapd收到数据后发送到snmptt匹配模板并格式化输出至文件中,zabbix-server读取该文件,发现有新数据则被监控项捕获,并更具触发器进行触发告警。
snmpget: 总的来说和snmpwalk用处类似,区别在于snmpget只能通过oid获取,无法获取全量。而snmpwalk可以获取全量的,也能通过单个oid获取数据。

上述案例中 snmptrap 使用的团体名 public 是网管中配置的团体名。团体名参数已 -c 表示。

  • walk、get、set 操作: 网管发出请求--->网元 161 端口,命令中的团体名或者账户密码 已网元配置为准。
  • trap 操作: 网元发出告警--->网管 162 端口 ,命令中的团体名或者账户密码 已网管配置为准。

由上可知 snmpset 是具备修改功能的,所以当做监控,网元 snmp 配置时候,需要注意以下两点:

  • 需要配置只读权限。

  • 在保证都配置只读权限时,以及均在内网环境下,ACL 可以不做配置。但在不满足前两者情况,则需要考虑加上 ACL 来保证安全。

4、一起来配置一下吧

华为路由器 NE40E SNMPv2 配置:

# 开启snmp161端口服务,设置v2团体名
<HUAWEI>system-view
Enter system view, return user view with return command.
[~HUAWEI]snmp-agent
[*HUAWEI]snmp-agent udp-port 161
Info: The port is already bound to SNMP agent.
[*HUAWEI]snmp-agent sys-info version v2c
Warning: SNMPv1/SNMPv2c is not secure, and it is recommended to use SNMPv3(authentication-mode and privacy-mode).
[*HUAWEI]snmp-agent community read cipher huawei@public  #添加团体名,cipher为本地保存加密
[*HUAWEI]commit
[~HUAWEI]quit
<HUAWEI>save
Warning: The current configuration will be written to the device.
Are you sure to continue? [Y/N]:y
Now saving the current configuration to the slot 17
Info: Save the configuration successfully.
# 配置trap,推送告警到网管(zabbix或其他)
<HUAWEI>system-view
[~HUAWEI]snmp-agent
[*HUAWEI]snmp-agent trap enable
[*HUAWEI]snmp-agent target-host trap address udp-domain 192.168.5.6 params securityname huawei@public1 v2c
[*HUAWEI]commit
[~HUAWEI]quit
<HUAWEI>save

# 查看信息
[~HUAWEI]display info-center   # 查看SNMP Agent输出信息所使用的通道。
[~HUAWEI]display channel 7  #查看SNMP Agent所用通道输出的信息。
[~HUAWEI]display snmp-agent target-host    #查看SNMP Agent输出网管的信息。

详细解释参考华为官网[2]

华为路由器 NE40E SNMPv3 配置:

[~HUAWEI]undo snmp-agent  #删除snmp配置
# 开启snmp161端口服务,设置v3账户
[~HUAWEI]snmp-agent usm-user v3 snmpdemo group snmpg
Warning: Adding the user to a privacy group is recommended, because the bound group has insecure properties (with authentication or noauthentication configured).
[*HUAWEI]snmp-agent mib-view included TEST 1.3.6.1.2.1 #视图中设置单独的OID,这个视图和下面视图选其一配置即可
[*HUAWEI]snmp-agent mib-view included monitorview iso #视图中设置所有OID,iso表示所有OID
[*HUAWEI]snmp-agent group v3 snmpg privacy read-view TEST write-view TEST
[*HUAWEI]snmp-agent group v3 snmpg privacy read-view monitorview
[*HUAWEI]snmp-agent usm-user v3 snmpdemo authentication-mode sha  #添加认证密码
Please configure the authentication password (8-255)
Enter Password:
Confirm Password:
[*HUAWEI]snmp-agent usm-user v3 snmpdemo privacy-mode aes128  #添加隐私密码
Please configure the privacy password (8-255)
Enter Password:
Confirm Password:
Warning: The privacy and authentication passwords are the same, which is insecure. It is recommended that the privacy and authentication passwords be different.
公众号二维码
公众号二维码
个人博客二维码
个人博客二维码

客官,欢迎光临本站!路途遥远,常进来看看!

参考资料

[1]

snmp官方修订网址: http://www.net-snmp.org/about/ChangeLog.html

 [2]

华为官网: https://support.huawei.com/enterprise/zh/doc/EDOC1100335690/525790b3#ZH-CN_TASK_0172361009

本文由 mdnice 多平台发布

JosiahWU
关注
华为交换机开启snmp
zuopiezia的博客
10-16 8554
华为交换机开启snmp <huayun_1G>sy [huayun_1G]snmp-agent sys-info version v2 //这个v2是对应的cacti中的snmp协议版本 Warning: SNMPv1/SNMPv2c is not secure, and it is recommended to use SNMPv3. [huayun_1G] [huayun_1G]snmp-agent community read cipher xxxxx@123 /设置读团体.
华为交换机配置脚本
normanhere的博客
04-26 1793
Switch] observe-port 1 interface-range gigabitethernet 1/0/4 gigabitethernet 1/0/5 //批量配置GE1/0/4~GE1/0/5为本地观察端口。log日志日期格式精确到毫秒。trap 日期格式精确到毫秒。[Switch-GigabitEthernet1/0/2] port-mirroring to observe-port 1 both //将接口GE1/0/2的出入方向绑定到索引为1的观察端口上。
net-snmp-5.9.4
01-09
net-snmp-5.9.4
netsnmp -5.9.1 支持SHA256,AES256环境搭建和测试
最新发布
BUG_MeDe的博客
11-19 939
1, 后面发现snmp V3 需要可以支持sha224 - 384 - 512 的认证算法和aes - 128 - 192 - 256加密算法,让后网上搜索了一下,发现在net-snmp的5.8版本之上支持这些算法,但是aes-192-256这些并不是snmp协议标准必须规定和实现的。再次运行:./snmpd -c ./snmpd.conf -L /var/log/snmpd.log & ,成功运行。出现其他配置报错时,执行./configure --help ,看看有什么选项不支持就disable。
snmpv3加密时,使用PrivAES256加密,报错aes加解密 Illegal key size
libing666666的博客
02-22 1413
snmpv3加密时,使用PrivAES256加密,报错aes加解密 Illegal key size问题背景解决方案如下: 问题背景 最近使用snmp的v3协议接收和发送数据,但对方规定了AES256加密。当我snmp发送trap时,会报错 Illegal key size。如果使用AES128加密,很正常,发送和接收v3的加密且认证数据一点问题也没用。 看了许久源码,终于找到了加密使用的是本地的jdk的类,如图 解决方案如下: 处理办法: 在官方网站下载JCE无限制权限策略文件 JDK7的下载地址: l
研究snmp移植
u014059609的博客
03-30 735
snmp移植
SNMP学习笔记
10-17
SNMP(Simple Network Management Protocol)是一种广泛用于网络设备管理的协议,它允许网络管理员远程监控和管理网络设备,如路由器、交换机、服务器等。SNMP由一系列标准组成,包括管理信息结构(MIB)、协议定义...
New SNMP开发笔记
03-17
### 新SNMP开发笔记知识点详解 #### 一、配置Ubuntu的编译环境 在进行SNMP(简单网络管理协议)相关的开发工作之前,首先需要在Ubuntu操作系统上搭建一个适合的编译环境。这一过程主要涉及以下几个步骤: 1. **...
学习笔记——网络管理与运维——SNMP(SNMP架构)
灵韵的博客
06-15 4263
Proxy是一种特殊的代理,在不能直接使用SNMP协议的地方,如:异种网络、不同版本的SNMP代理等情况,Proxy代替相关设备向管理站提供一种外观,为设备代理SNMP协议的实现。介于管理站和设备之间,与管理站通信并相应管理站的请求,从设备获取相应的数据,或对设备进行相应的设置,来响应管理站的请求。是SNMP的主要特性,之前的GET和SET是属于拉的操作,而SNMP正好相反,类似于推的操作,可以由agent发起,将一些信息push到SNMP Manager上。,对网络中支持SNMP协议的设备进行管理。
centos编译安装方式升级snmpwalk命令到5.9.1从而支持SHA-512鉴权协议测试
Kainx
07-11 3048
背景 CentOS7直接用yum方式安装snmpwalk版本为5.7.2并且鉴权协议只支持MD5 SHA这两种,但是测试过程中我需要用到SHA-512的鉴权协议 解决办法 查看官网 http://www.net-snmp.org/发现最新版本为5.9.1支持 SHA-512鉴权协议,于是尝试安装5.9.1版本但是CentOS系统只能编译安装,不能直接用yum或者rpm方式安装. 安装步骤 1. 下载安装包 点击 https://jaist.dl.sourceforge.net/project/net-sn
【Net-Snmp学习笔记一 ——源码编译安装】
LJ122298的博客
12-08 4853
NET-SNMP源码编译安装
snmp验证方式总结
weixin_33805992的博客
07-22 1391
最近在做安全加固,snmp v1的验证方式被认为不安全,要求升级至v2c或者v3,所以趁机总结下。一、先看下snmpwalk这个检测程序的几个参数:-v 1|2c|3 指定要使用的SNMP版本-c COMMUNITY 设置团体号-u USER-NAME 设置snmp v3的用户名-A PASSPHRASE ...
Linux系统安装NET-SNMP,自定义MIB节点实现Get、Set操作
qq_40611389的博客
04-02 5231
Linux系统安装NET-SNMP,自定义MIB节点实现Get、Set操作
SNMPv3 配置及snmpwalk命令信息获取
潇峰的博客
12-16 1万+
snmp v3安全级别有三种,分别为noAuthNoPriv(不认证也不加密)、authNoPriv(认证但是不加密)、authPriv(既认证又加密) 一、SNMPv3配置代码: 1 2 3 snmp-server contact zhangsan snmp-server location chengdu snmp-server view MIB-2 mib-2 included   1)如果设置安全级别为authPriv .
如何使用net-snmp构建代理程序
dreamflyly的博客
03-09 3256
本篇主要介绍如何使用开源代码net-snmp来构建自己的代理程序,实现自己的专属业务。net-snmp支持静态编译、动态库加载、子代理加载三种方式扩展MIB,构建代理。
UOS系统安装配置SNMP服务
有小小的远大抱负
03-16 6055
简单网络管理协议(SNMP) 是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。主要用在局域网中对设备进行管理,应用最为广泛的是对路由器交换机等网络设备的管理,当然不仅限于网络设备。SNMP分为管理端和代理端(agent),管理端的默认端口为UDP 162,主要用来接收Agent的消息如TRAP告警消息;Agent端使用UDP 161端口接收管理端下发的消息如SET/GET指令等。 SNMP协议目前在用的有3个版本,分别是V1,V2C,
snmp安装配置及snmpwalk使用
weixin_33979745的博客
03-21 1122
相关snmp,oid,mib的介绍如下:http://wenku.baidu.com/link?url=NbKuswetz4S_C6x8aZKr7txnhLHiMK-P938XvmQtC_ic91rOT3Yxg9evb_DJ4qEBksr4tsDoSo23lfEBJhC42Q4Ufvay_JKrISgD0fykobGsudo apt-get install snmpdsu...
snmpwalk 安装与使用详解-windows下
热门推荐
weixin_30752699的博客
07-01 1万+
snmpwalk是SNMP的一个工具,它使用SNMP的GETNEXT请求查询指定OID(SNMP协议中的对象标识)入口的所有OID树信息,并显示给用户。通过snmpwalk也可以查看支持SNMP协议(可网管)的设备的一些其他信息,比如cisco交换机或路由器IP地址、内存使用率等,也可用来协助开发SNMP功能。在日常监控中,经常会用到snmp服务,而snmpwalk命令则是采集系统各种信息最有效的...
Snmp学习总结(七)——SNMP4J介绍
weixin_33881041的博客
12-27 1445
一、SNMP4J介绍     SNMP4J是一个用Java来实现SNMP(简单网络管理协议)协议的开源项目.它支持以命令行的形式进行管理与响应。SNMP4J是纯面向对象设计与SNMP++(用C++实现SNMPv1/v2c/v3)相类似。   SNMP4J API 提供以下下特性: 支持MD5和SHA验证,DES,3DES,AES128、AES192和AES256加密的SNMPv3。 支...
SNMP学习笔记:系统管理员的强力助手
SNMP(Simple Network Management Protocol,简单网络管理协议)是一种广泛使用的网络管理协议。该协议能够使网络管理员监控和管理网络设备的性能,发现和解决网络问题。它是一种主从架构模型,使用代理(agent)和...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值